Handreichung und Präventionsprüfung zu Ransomware

Ransomware

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern (v.a. durch Verschlüsselung) und eine Freigabe dieser Ressourcen erfolgt nur gegen Zahlung eines Lösegeldes (engl. ransom). Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2021 ein Papier zum Thema „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ veröffentlicht und auf den Umstand hingewiesen, dass sich in den letzten Jahren die Bedrohungslage durch Ransomware deutlich verschärft hat. Nach den Erfahrungswerten des BSI zahlen Opfer in vielen Fällen das geforderte Lösegeld, da der Leidensdruck für die Betroffenen extrem hoch ist. Dieser Erfolg der Täter führe dazu, dass mittlerweile Kapazitäten aus dem „Banking-Trojaner-Geschäft“ abgezogen werden und die Botnetze nun Ransomware verteilen.
Das BSI stellt in dem oben genannten Dokument neben einer kurzen Darstellung der Bedrohungslage konkrete Hilfen für die Prävention und die Reaktion im Schadensfall bereit.

In seinem regelmäßig veröffentlichten Bericht „Die Lage der IT-Sicherheit in Deutschland“ warnte das BSI in dem Bericht aus 2021 davor, dass die Angreifer mittlerweile ihre Bemühungen auf Organisationen fokussieren, bei denen ein möglichst hohes Lösegeld gefordert werden kann. Die Höhe des Lösegelds machten die Angreifer dabei beispielsweise an öffentlich verfügbaren Informationen über ihre Opfer, wie etwa der Unternehmensgröße oder den Quartalszahlen, fest (Big Game Hunting).

Für die bevorstehenden Weihnachtsfeiertage besteht aus Sicht des BSI und des Bundeskriminalamtes (BKA) ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen. Als ursächlich hierfür wird der erneute Versand von Emotet-Spam sowie das aktive öffentliche Werben von Ransomware-Gruppierungen um kriminelle Mitstreiter gesehen. Auch die weiterhin bestehende Verwundbarkeit vieler Microsoft-Exchange-Server in Deutschland erhöhe dieses Risiko. 
Daher überrascht es nicht, dass sich aktuell auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) auch dieser Problematik angenommen hat und das Thema aus der Perspektive einer Datenschutz-Aufsichtsbehörde vorantreiben möchte. Anlässlich der enorm gestiegenen Gefährdungslage im Internet führt das BayLDA Prüfungen durch, um grundlegende Sicherheitslücken oder Mängel in der IT-Organisation aufzuzeigen und Verantwortliche somit noch vor einem Vorfall hinsichtlich des Bedarfs an durchzuführenden Maßnahmen hinzuweisen. Die Behörde weist auf den vorbeugenden vorbeugende Charakter der Datenschutzkontrollen hin, stellt aber gleichzeitig fest, dass seit der Anwendbarkeit der DS-GVO neben der bereits existierenden gesetzlichen Verpflichtung, für ein ausreichendes Sicherheitsniveau im Umgang mit personenbezogenen Daten zu sorgen, auch grundsätzlich die Möglichkeit besteht, bei (gravierenden) Verstößen gegen die Sicherheit der Verarbeitung nach Art. 32 DS-GVO Geldbußen zu verhängen.

Die sog. „Ransomware Präventionsprüfung“ richtet sich naturgemäß an private Wirtschaftsunternehmen, bei freiberuflich Tätigen, in Vereinen und Verbänden im Bereich Bayern, jedoch dürfte der Blick in die vom BayLDA veröffentlichten Prüfdokumente auch für Verantwortliche in anderen Bundesländern eine gutes Hilfsmittel sein, den von einer Aufsichtsbehörde als notwendig erachteten SOLL-Zustand mit dem im Unternehmen bestehenden IST-Zustand abzugleichen und zu überprüfen, ob die technischen und organisatorische Maßnahmen nach Art. 32 DS-GVO ausreichend sind, einen Basisschutz gegen Ransonware-Angriffe zu gewährleisten.

Die Prüfunterlagen können hier abgerufen werden:
https://www.lda.bayern.de/de/kontrollen_stabsstelle.html

(Foto: ryanking999 – stock.adobe.com)




Letztes Update:07.12.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • Recht auf Löschen

    Orientierungshilfe „Das Recht auf Löschung nach der DS-GVO“

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren
  • GPS-Tracking

    Zwecke für GPS-Tracking im Beschäftigungsverhältnis

    GPS-Tracking im Beschäftigtenverhältnis kann datenschutzrechtlich zulässig sein, soweit die Interessen des Arbeitgebers und das Persönlichkeitsrecht der Beschäftigten in einen angemessenen Ausgleich gebracht werden und es auf das erforderliche Maß beschränkt ist. In seinem 50. Tätigkeitsbericht geht der Hessische Datenschutzbeauftragte auf mögliche Zwecke eines GPS-Trackings ein und schildert anhand eines von der Behörde geprüften Falles, welches

    Mehr erfahren
  • Mitarbeiterexzess Datenbankabfrage

    Datenschutzverstöße durch „Mitarbeiterexzess“

    Regel: Unternehmen haften für Datenschutzverstöße ihrer BeschäftigtenNach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

    Mehr erfahren