Zurück zur Übersicht
05.06.2023

Nichts passiert – oder doch?

Es ist der Albtraum für jedes Unternehmen: Das IT-System wird angegriffen und verschlüsselt, zumeist unmittelbar mit der Anforderung einer Lösegeldzahlung verbunden, die auf dem Bildschirm erscheint oder in Papierform den Drucker verlässt. Instruktionen dazu, wie das Unternehmen durch Zahlung einer bestimmten Summe eine Entschlüsselung erwirken kann, sind beigefügt, für Fragen steht in einigen Fällen sogar ein Chat-Support zur Verfügung. Da sich die Angreifer jedoch in der Regel nicht darauf verlassen wollen, dass sich das Unternehmen alleine aufgrund der Verschlüsselung auf eine Zahlung einlässt, wird mit der Veröffentlichung von erbeuteten Daten gedroht. Schließlich kann es sein, dass das Unternehmen so gut mit Back-ups aufgestellt ist, dass es die Forderung ignoriert und dann wäre der betriebene Aufwand für die Erpresser umsonst, die die Angriffe schließlich als Geschäftsmodell betreiben.

Ob und in welchem Umfang tatsächlich ein Datenabfluss stattgefunden hat, ist oft nicht sicher festzustellen, da die entsprechenden Vorgänge technisch verschleiert werden. Dass auch eine intensive Untersuchung unter Hinzuziehung des Landeskriminalamtes und trotz Sichtung der von den Erpressern angegebenen Adresse, unter denen eine Veröffentlichung der erbeuteten Daten im Darknet erfolgen sollte, keine zuverlässige Aussage hierzu ermöglicht, zeigte sich im Fall eines im August 2021 erfolgreich angegriffenen Unternehmens. Hier war insbesondere aufgrund einer festgestellten verhältnismäßigen kurzen Zugriffsdauer davon ausgegangen worden, dass die Daten des Unternehmens nur lokal verschlüsselt wurden.

Als im Februar 2022 für ein anderes aufsichtsbehördliches Verfahren Einsicht in die Veröffent- lichungsseite der Erpressergruppe im Darknet genommen wurde, stellte sich diese Einschätzung als falsch heraus. Hier wurden umfangreiche personenbezogene Daten von Beschäftigten des Unternehmens vorgefunden, darunter eine Geburtstagsliste, Kommunikation mit dem Job- center, Verdienstabrechnungen und eine Aufstellung der Krankheitstage. Das Auffinden der Daten erforderte dabei keine besonderen Kenntnisse oder eine gezielte Recherche; die agierende Erpressergruppe stellt die Namen der angegriffenen Unternehmen in übersichtlicher Anordnung unter Nennung des Standorts sowie einer kurzen Beschreibung des jeweiligen Unternehmenszwecks dar, die erbeuteten Dateien sind unmittelbar über einen Link abrufbar. Der Verantwortliche wurde von der Veröffentlichung der Daten benachrichtigt und informierte seinerseits seine Beschäftigten über die neuen Erkenntnisse.

Der beschriebene Fall zeigt, dass ein Sicherheitsvorfall ernst zu nehmen ist. Auch wenn in der Folge eines erfolgreichen Angriffs keine veröffentlichten Daten vorgefunden werden, bedeutet dies nicht, dass keine Daten abgeflossen sind und keine Veröffentlichung zu einem späteren Zeitpunkt erfolgt oder die Daten für andere Zwecke genutzt werden. Insoweit war von einem hohen Risiko für die persönlichen Rechte und Freiheiten der Beschäftigten auszugehen. Dies erforderte eine ordnungsgemäße Benachrichtigung der Beschäftigten, die durch das Unternehmen nunmehr nachgeholt wurde. Im Übrigen wird auch die Zahlung des geforderten Lösegeldes für die Entschlüsselung der Dateien keine Garantie dafür darstellen, dass erbeutete Daten vernichtet werden. Angesichts der kriminellen Energie, die durch das Vorgehen der Erpresser deutlich wird, dürfte dies nicht überraschen.

Was ist zu tun? Eine nicht erfolgte Veröffentlichung von personenbezogenen Daten im Darknet im Zuge eines erfolgreichen Angriffs mit Verschlüsselungssoftware kann nicht dahin gehend bewertet werden, dass kein Abfluss erfolgt ist.

Quelle: ULD

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks