Handreichung und Präventionsprüfung zu Ransomware

Ransomware

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern (v.a. durch Verschlüsselung) und eine Freigabe dieser Ressourcen erfolgt nur gegen Zahlung eines Lösegeldes (engl. ransom). Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2021 ein Papier zum Thema „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ veröffentlicht und auf den Umstand hingewiesen, dass sich in den letzten Jahren die Bedrohungslage durch Ransomware deutlich verschärft hat. Nach den Erfahrungswerten des BSI zahlen Opfer in vielen Fällen das geforderte Lösegeld, da der Leidensdruck für die Betroffenen extrem hoch ist. Dieser Erfolg der Täter führe dazu, dass mittlerweile Kapazitäten aus dem „Banking-Trojaner-Geschäft“ abgezogen werden und die Botnetze nun Ransomware verteilen.
Das BSI stellt in dem oben genannten Dokument neben einer kurzen Darstellung der Bedrohungslage konkrete Hilfen für die Prävention und die Reaktion im Schadensfall bereit.

In seinem regelmäßig veröffentlichten Bericht „Die Lage der IT-Sicherheit in Deutschland“ warnte das BSI in dem Bericht aus 2021 davor, dass die Angreifer mittlerweile ihre Bemühungen auf Organisationen fokussieren, bei denen ein möglichst hohes Lösegeld gefordert werden kann. Die Höhe des Lösegelds machten die Angreifer dabei beispielsweise an öffentlich verfügbaren Informationen über ihre Opfer, wie etwa der Unternehmensgröße oder den Quartalszahlen, fest (Big Game Hunting).

Für die bevorstehenden Weihnachtsfeiertage besteht aus Sicht des BSI und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen. Als ursächlich hierfür wird der erneute Versand von Emotet-Spam sowie das aktive öffentliche Werben von Ransomware-Gruppierungen um kriminelle Mitstreiter gesehen. Auch die weiterhin bestehende Verwundbarkeit vieler Microsoft-Exchange-Server in Deutschland erhöhe dieses Risiko. 
Daher überrascht es nicht, dass sich aktuell auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auch dieser Problematik angenommen hat und das Thema aus der Perspektive einer Datenschutz-Aufsichtsbehörde vorantreiben möchte. Anlässlich der enorm gestiegenen Gefährdungslage im Internet führt das BayLDA Prüfungen durch, um grundlegende Sicherheitslücken oder Mängel in der IT-Organisation aufzuzeigen und Verantwortliche somit noch vor einem Vorfall hinsichtlich des Bedarfs an durchzuführenden Maßnahmen hinzuweisen. Die Behörde weist auf den vorbeugenden vorbeugende Charakter der Datenschutzkontrollen hin, stellt aber gleichzeitig fest, dass seit der Anwendbarkeit der DS-GVO neben der bereits existierenden gesetzlichen Verpflichtung, für ein ausreichendes Sicherheitsniveau im Umgang mit personenbezogenen Daten zu sorgen, auch grundsätzlich die Möglichkeit besteht, bei (gravierenden) Verstößen gegen die Sicherheit der Verarbeitung nach Art. 32 DS-GVO Geldbußen zu verhängen.

Die sog. „Ransomware Präventionsprüfung“ richtet sich naturgemäß an private Wirtschaftsunternehmen, bei freiberuflich Tätigen, in Vereinen und Verbänden im Bereich Bayern, jedoch dürfte der Blick in die vom BayLDA veröffentlichten Prüfdokumente auch für Verantwortliche in anderen Bundesländern eine gutes Hilfsmittel sein, den von einer Aufsichtsbehörde als notwendig erachteten SOLL-Zustand mit dem im Unternehmen bestehenden IST-Zustand abzugleichen und zu überprüfen, ob die technischen und organisatorische Maßnahmen nach Art. 32 DS-GVO ausreichend sind, einen Basisschutz gegen Ransonware-Angriffe zu gewährleisten.

Die Prüfunterlagen können hier abgerufen werden:
https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

(Foto: ryanking999 – stock.adobe.com)




Letztes Update:07.12.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • Neue SCCerforderlich

    Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

    Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein

    Mehr erfahren
  • Kündigung auf Grund der Verletzung einer „Clean-Desk-Policy“

    Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme,

    Mehr erfahren
  • Identitätsdiebstahl Handesregister

    Handelsregister mit Datenschutzmängeln

    Seit dem 1. August 2022 sind über das Portal „Handelsregister.de“ sämtliche Einträge in den Handels-, Genossenschafts-, Partnerschafts- und Vereinsregistern ohne weitere Einschränkungen kostenfrei abrufbar. Das hat auf dem ersten Blick Vorteile in punkto Transparenz. Das Handelsregister handelt es sich um die zentrale Registerplattform des Bundes für Firmen in Deutschland. Der Umstand, dass die Abrufe aus

    Mehr erfahren