Zurück zur Übersicht
04.11.2022

Ransomware-Angriffe

Die Anzahl erfolgreicher Cyberangriffe mit dem Ziel der Verschlüsselung von personenbezogenen Daten bleibt in Bayern auf hohem Niveau.

Auch im Jahr 2021 haben sogenannte Ransomwareangriffe viele Unternehmen in Bayern getroffen. Das BayLDA hat insgesamt 314 Meldungen nach Art. 33 erhalten, die in diese Kategorie eingeordnet werden können, was einer Steigerung von 27% zu 2021 entspricht.

Die Vorgehensweise der Angreifergruppierungen ähneln sich dabei zunehmend. Nachdem in einem ersten Schritt meist eine Mail mit einem Schadcodelink geklickt und das im Nachgang sich öffnende Office-Dokument bestätigt wurde, schalten sich die Angreifer:innen „von Hand“ auf ein derart kompromittiertes System. Mitunter werden auch Sicherheitslücken in über das Internet erreichbaren Softwarekomponenten ausgenutzt oder Passwörter für den Fernzugang (z.B. aus dem Homeoffice) in Erfahrung gebracht. Nachdem sich die Angreifer:in lokale Administrationsrechte (durch unzureichend konfigurierte interne Systeme oder schwache verwendete Passwörter) beschafft hat, wird im lokalen Netzwerk nach lohnender Beute in Form von Word, Excel, PDF oder Grafikdateien, mitunter sogar komplette Datenbanken gesucht und auf einen Server der Angreifenden im Internet kopiert. Danach werden so viele IT-Systeme und Daten verschlüsselt, wie es unmittelbar möglich ist, ehe sehr prägnant eine Erpressernachricht platziert wird.

In dieser „Ransomware-Note“ wird auf einen – meist im Tor-Netzwerk befindlichen – Kommunikationskanal verwiesen, über den mit dem/der Angreifer:in in Form von Chat-Nachrichten in Kontakt getreten werden kann. Die Angreifer:innen verweisen meist darauf, dass die entwendeten Daten auf einer Darknet-Seite veröffentlicht werden, sollte das geforderte Lösegeld in einer bis zu 8-stelligen Größenordnung nicht gezahlt werden (sog. Double-Extorsion). Ziel ist mit dieser Aktion Druck auf die Unternehmen aufzubauen, die Rufschäden und Wettbewerbsnachteile fürchten. In Einzelfällen wird auch angedroht, dass die entwendeten Daten selbst für weitere Angriffe und Belästigungen auf Kund:innen und Geschäftspartner:innen verwendet würden, sollte – da möglicherweise ein Backup vorhanden ist – von einer Lösegeldzahlung Abstand genommen werden.


Das LDA stuft derartige Ransomwarevorfälle so ein, dass von einer maximalen Eintrittswahrscheinlichkeit eines Datenmissbrauchs der entwendeten Daten ausgegangen werden muss, da diese in die Hände von kriminellen Gruppierungen gefallen sind. Ob dieser Sachverhalt nicht nur eine Meldepflicht nach Art. 33 DSGVO sondern auch die weitergehenden Pflichten nach Art. 34 DSGVO auslöst, hängt wesentlich von der Sensitivität der betroffenen Daten ab. Eine Art. 33 Meldung ist damit in der Regel erforderlich, eine Art. 34 Meldung nur bei sehr unsensitiven Daten (z.B. berufliche Kontaktdaten des Vertriebs, die als allgemein bekannt angesehen werden können) nicht.


Lösegeldzahlungen haben nach Ansicht des LDA keine risikosenkende Wirkung. Dem Versprechen, diese Daten weder weiterzuverkaufen noch anderweitig zu verwenden, sondern stattdessen zu löschen, kann bei cyberkriminellen Vereinigungen keine hinreichende Bedeutung zuerkannt werden.

Letztendlich bleibt den Verantwortlichen nur übrig, die eigenen Maßnahmen zur Abwehr von Ransomwareangriffen zu überprüfen und ggf. robuster zu machen. Sollen Angreifer:innen einmal die Kontrolle über das Netzwerk eines Unternehmens erlangt haben, dann ist es meist zu spät.

Quelle: BayLDA

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks