Handreichung und Präventionsprüfung zu Ransomware

Ransomware

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern (v.a. durch Verschlüsselung) und eine Freigabe dieser Ressourcen erfolgt nur gegen Zahlung eines Lösegeldes (engl. ransom). Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2021 ein Papier zum Thema „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ veröffentlicht und auf den Umstand hingewiesen, dass sich in den letzten Jahren die Bedrohungslage durch Ransomware deutlich verschärft hat. Nach den Erfahrungswerten des BSI zahlen Opfer in vielen Fällen das geforderte Lösegeld, da der Leidensdruck für die Betroffenen extrem hoch ist. Dieser Erfolg der Täter führe dazu, dass mittlerweile Kapazitäten aus dem „Banking-Trojaner-Geschäft“ abgezogen werden und die Botnetze nun Ransomware verteilen.
Das BSI stellt in dem oben genannten Dokument neben einer kurzen Darstellung der Bedrohungslage konkrete Hilfen für die Prävention und die Reaktion im Schadensfall bereit.

In seinem regelmäßig veröffentlichten Bericht „Die Lage der IT-Sicherheit in Deutschland“ warnte das BSI in dem Bericht aus 2021 davor, dass die Angreifer mittlerweile ihre Bemühungen auf Organisationen fokussieren, bei denen ein möglichst hohes Lösegeld gefordert werden kann. Die Höhe des Lösegelds machten die Angreifer dabei beispielsweise an öffentlich verfügbaren Informationen über ihre Opfer, wie etwa der Unternehmensgröße oder den Quartalszahlen, fest (Big Game Hunting).

Für die bevorstehenden Weihnachtsfeiertage besteht aus Sicht des BSI und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen. Als ursächlich hierfür wird der erneute Versand von Emotet-Spam sowie das aktive öffentliche Werben von Ransomware-Gruppierungen um kriminelle Mitstreiter gesehen. Auch die weiterhin bestehende Verwundbarkeit vieler Microsoft-Exchange-Server in Deutschland erhöhe dieses Risiko. 
Daher überrascht es nicht, dass sich aktuell auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auch dieser Problematik angenommen hat und das Thema aus der Perspektive einer Datenschutz-Aufsichtsbehörde vorantreiben möchte. Anlässlich der enorm gestiegenen Gefährdungslage im Internet führt das BayLDA Prüfungen durch, um grundlegende Sicherheitslücken oder Mängel in der IT-Organisation aufzuzeigen und Verantwortliche somit noch vor einem Vorfall hinsichtlich des Bedarfs an durchzuführenden Maßnahmen hinzuweisen. Die Behörde weist auf den vorbeugenden vorbeugende Charakter der Datenschutzkontrollen hin, stellt aber gleichzeitig fest, dass seit der Anwendbarkeit der DS-GVO neben der bereits existierenden gesetzlichen Verpflichtung, für ein ausreichendes Sicherheitsniveau im Umgang mit personenbezogenen Daten zu sorgen, auch grundsätzlich die Möglichkeit besteht, bei (gravierenden) Verstößen gegen die Sicherheit der Verarbeitung nach Art. 32 DS-GVO Geldbußen zu verhängen.

Die sog. „Ransomware Präventionsprüfung“ richtet sich naturgemäß an private Wirtschaftsunternehmen, bei freiberuflich Tätigen, in Vereinen und Verbänden im Bereich Bayern, jedoch dürfte der Blick in die vom BayLDA veröffentlichten Prüfdokumente auch für Verantwortliche in anderen Bundesländern eine gutes Hilfsmittel sein, den von einer Aufsichtsbehörde als notwendig erachteten SOLL-Zustand mit dem im Unternehmen bestehenden IST-Zustand abzugleichen und zu überprüfen, ob die technischen und organisatorische Maßnahmen nach Art. 32 DS-GVO ausreichend sind, einen Basisschutz gegen Ransonware-Angriffe zu gewährleisten.

Die Prüfunterlagen können hier abgerufen werden:
https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

(Foto: ryanking999 – stock.adobe.com)




Letztes Update:07.12.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • USA Überwachungsgesetz

    DSK-Gutachten: Aktueller Stand des US-Überwachungsrechts

    Die DSK (Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder) haben ein von Prof. Stephen Vladek erstelltes Gutachten zu den US-Überwachungsbefugnissen veröffentlicht. Es existiert auch eine deutsche Übersetzung des Gutachtens. Das Dokument könnte ein Schlüsselelement für Durchsetzungsmaßnahmen im Zusammenhang mit den deutschen Datenschutzbehörden sowie eine gute Informationsquelle für die Bewertung von

    Mehr erfahren
  • TTDSG

    DSK: Konsultationsverfahren zur „Orientierungshilfe Telemedien 2021“

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 20.12.2021 eine neue Fassung ihrer Orientierungshilfe für Anbieter/-innen von Telemedien veröffentlicht („Orientierungshilfe Telemedien 2021“). Mittels des überarbeiteten Papiers soll Betreibern und Betreiberinnen von Webseiten, Apps oder Smarthome-Anwendungen konkrete Hilfestellung bei der Umsetzung der am 01.12.2021 in Kraft getretenen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)

    Mehr erfahren
  • Umsetzung des Auskunftsrechts: EDSA beschließt Leitlinien

    „Das Auskunftsrecht ermöglicht es Einzelpersonen, sich darüber zu informieren, wie und warum ihre personenbezogenen Daten verarbeitet werden. Die Leitlinien enthalten Beispiele, die den für die Verarbeitung Verantwortlichen helfen sollen, Auskunftsanträge in einer der DS-GVO entsprechenden Weise zu beantworten“, so die Vorsitzende des europäischen Datenschutzausschusses (EDSA), Andrea Jelinek. Auf seiner Plenartagung im Januar hat der EDSA

    Mehr erfahren