Suchen

Praxisfälle Datenschutz-Grundverordnung Datenschutz und Ransomware

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Ransomware-Attacken sind sicher keine Unbekannten für Security-Verantwortliche. Immerhin werden sie inzwischen zu den häufigsten Angriffen gezählt. Doch ist eine Online-Erpressung auch eine Datenschutzverletzung nach Datenschutz-Grundverordnung (DSGVO), die Sanktionen der zuständigen Aufsichtsbehörde nach sich ziehen könnte? Allerdings!

Firmen zum Thema

Ransomware-Attacken treffen Unternehmen oft so schon hart genug. Umso wichtiger, zu verhindern, dass dazu noch ein Bußgeld wegen eines Verstoßes gegen die DSGVO kommt!
Ransomware-Attacken treffen Unternehmen oft so schon hart genug. Umso wichtiger, zu verhindern, dass dazu noch ein Bußgeld wegen eines Verstoßes gegen die DSGVO kommt!
(Bild: Cryptolocker ransomware / Cryptolocker ransomware / Christiaan Colen / CC BY-SA 2.0 / CC BY-SA 2.0)

Ransomware ist keine neuartige Kategorie von Schadsoftware, doch sie findet seit einigen Jahren verstärkt den Weg in die Schlagzeilen, denn es gibt Angriffswellen mit Erpresser-Viren zu beklagen. Wer erfolgreich mit Ransomware angegriffen wurde, hat Schadprogramme auf den Systemen, die den Zugriff auf Daten einschränken oder verhindern. In der Regel werden die Daten nur gegen Zahlung eines Lösegeldes („ransom“) wieder freigeben, andernfalls werden Daten dauerhaft unzugänglich gemacht. Mitunter geschieht dies auch, obwohl man ein Lösegeld gezahlt hat.

Ransomware-Angriffe haben neben zahlreichen Produktionsausfällen in der Wirtschaft zu teils erheblichen Beeinträchtigungen in Einrichtungen des Gemeinwesens geführt, berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Lagebericht zur IT-Sicherheit 2019. So waren mehrere Krankenhäuser sowie kommunale Einrichtungen wie etwa Stadtverwaltungen in Deutschland von solchen Angriffen betroffen. „IT-Sicherheitsvorfälle wie der erfolgreiche Ransomware-Angriff auf eine Krankenhaus-Trägergesellschaft in Rheinland-Pfalz müssen der Vergangenheit angehören!“, so BSI-Präsident Arne Schönbohm im Oktober 2019.

Die betroffenen Unternehmen und Behörden erleiden gleich mehrfach einen Schaden. Einerseits können die durch die Ransomware verschlüsselten Daten nicht genutzt werden, wodurch Geschäftsprozesse behindert werden und wirtschaftlicher Schaden eintreten kann. Zum anderen haben mehrere Opfer von Ransomware-Attacken tatsächlich das Lösegeld bezahlt. Damit sind die möglichen Folgen einer digitalen Erpressung aber noch nicht ausgestanden. Es gilt auch an die Folgen für den Datenschutz zu denken.

Verfügbarkeit als Schutzziel und Gewährleistungsziel

Wenn Daten ungewollt verschlüsselt werden und nicht mehr zugänglich sind, ist eines der zentralen Schutzziele der IT-Sicherheit nicht mehr erfüllt, die Verfügbarkeit der Daten. Die Verfügbarkeit der Daten ist aber auch ein Gewährleistungsziel des Datenschutzes, wenn die betroffenen Daten einen Personenbezug aufweisen, wie zum Beispiel ein Blick in die Datenschutz-Grundverordnung (Artikel 32 DSGVO Sicherheit der Verarbeitung) zeigt.

Auch das Standard Datenschutz Modell (SDM) nennt die Verfügbarkeit als Gewährleistungsziel. Dort heißt es: Das Gewährleistungsziel Verfügbarkeit bezeichnet die Anforderung, dass der Zugriff auf personenbezogene Daten und ihre Verarbeitung unverzüglich möglich ist und sie ordnungsgemäß im vorgesehenen Prozess verwendet werden können. Dazu müssen sie im Zugriff von Berechtigten liegen und die vorgesehenen Methoden zu deren Verarbeitung müssen auf sie angewendet werden können.

Keine Frage: Wurden personenbezogene Daten über Ransomware zwangsverschlüsselt, sind sie nicht mehr verfügbar. Offensichtlich liegt dann eine Verletzung des Datenschutzes vor. Tatsächlich nennen die Aufsichtsbehörden in dem Dokument „Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten“ explizit mögliche Vorfälle mit Ransomware als einen Grund, eine Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden, wie in Artikel 33 DSGVO gefordert.

Die Aufsichtsbehörden schreiben dazu: Ein Beispiel für den Verlust personenbezogener Daten kann sein, dass Geräte, die eine Kopie der Kundendatenbank eines Controllers enthalten, verloren gegangen oder gestohlen wurden. Ein weiteres Beispiel für einen Verlust kann sein, dass die einzige Kopie eines Satzes von Personaldaten von Ransomware verschlüsselt oder vom Controller mit einem Schlüssel verschlüsselt wurde, der sich nicht mehr in Besitz befindet.

Man kann dann sagen: War die Ransomware erfolgreich und die Verfügbarkeit der betroffenen personenbezogenen Daten ist nicht mehr gewährleistet, dann haben die geforderten Maßnahmen zu Art. 32 DSGVO bezüglich eines Angriffs nicht gegriffen, und es kommt zu einer Verletzung der Sicherheit nach DSGVO.

Selbst wenn die Daten nach der Ransomware-Attacke wiederhergestellt werden können, kann eine Datenschutzverletzung vorliegen. Die Aufsichtsbehörden begründen dies so: Eine Infektion durch Ransomware kann zu einem vorübergehenden Verlust der Verfügbarkeit führen, wenn die Daten aus dem Backup wiederhergestellt werden können. Es ist jedoch immer noch ein Netzwerkeinbruch aufgetreten, und eine Benachrichtigung der Aufsichtsbehörden kann erforderlich sein, wenn der Vorfall als Verletzung der Vertraulichkeit eingestuft wird (Angreifer greift auf personenbezogene Daten zu) und dies ein Risiko für die Rechte und Freiheiten von Personen darstellt.

Meldung einer Ransomware-Attacke als Datenschutzvorfall

Bei einer Ransomware-Attacke kann das betroffene Unternehmen auch nicht sagen, es habe nichts von dem Vorfall mitbekommen, man hätte nichts melden können. Der Grund: Ein Cyberkrimineller kontaktiert das betroffene Unternehmen, nachdem er das System gehackt hat, um ein Lösegeld zu verlangen.

In diesem Fall hat das Unternehmen nach Überprüfung seines Systems, um zu bestätigen, dass er angegriffen wurde, sogar eindeutige Beweise dafür, dass ein Verstoß aufgetreten ist, und es besteht kein Zweifel daran, dass das Unternehmen davon Kenntnis erlangt hat.

Je nach Folgen der fehlenden Verfügbarkeit für die betroffenen Personen, müssen auch die Inhaber der personenbezogenen Daten informiert werden, wie es Artikel 34 DSGVO vorschreibt.

Das Bayerische Landesamt für Datenschutzaufsicht in Bayern (BayLDA) hat sogar eine spezielle Prüfung durchgeführt, um festzustellen, wie zum Beispiel Arztpraxen auf Ransomware-Attacken vorbereitet sind. Dazu erklärte das BayLDA: Die DSGVO legt in Art. 33 fest, wann eine Datenschutzverletzung an die Aufsichtsbehörde gemeldet werden muss. Nur wenn für die Betroffenen kein Risiko besteht, muss keine Meldung der Datenschutzverletzung an die Aufsichtsbehörde erfolgen.

Eine Verschlüsselung von Daten durch einen Trojaner gehört in der Regel zu den meldepflichtigen Vorfällen – vor allem dann, wenn eine der beiden folgenden Bedingungen erfüllt ist: Die Daten können nicht wiederhergestellt werden, oder der Zeitraum bis zur Wiederherstellung der Daten ist so lang, dass dies zu einer nicht unerheblichen Beeinträchtigung der Patienten führt.

Es versteht sich, dass sowohl Mängel bei der Umsetzung von Artikel 32 DSGVO (Sicherheit der Verarbeitung) als auch bei fehlender Meldung der Datenschutzverletzung nach Artikel 33 und 34 DSGVO die Aufsichtsbehörden zu Sanktionen greifen können, also zum Beispiel ein Bußgeld verhängen können. Kommt es zu einer Ransomware-Attacke, sollte man als betroffenes Unternehmen also lieber die Meldung an die zuständige Aufsicht vornehmen, innerhalb der 72 Stunden Frist.

Aufsichtsbehörden berichten von Praxisfällen

Das BayLDA erwähnt Ransomware auch in seinem aktuellen Tätigkeitsbericht: Die Erpressung von Verantwortlichen mit einer Lösegeldforderung, sei es durch die vollständige Verschlüsselung mittels Ransomware oder durch eine entwendete Kopie von Kundendaten, ist bereits ein alltägliches Szenario. Im Berichtszeitraum musste die Aufsicht dabei sogar Fälle feststellen, bei denen der ganze Betrieb stillstand und manche Mitarbeiter zum Teil einige Zeit zu Hause bleiben mussten. Keine Seltenheit war es, dass gerade kleine Betriebe, KMUs und Arztpraxen Opfer solcher Angriffe wurden.

Die meisten solcher Meldungen nach Art. 33 DSGVO erhielt BayLDA von Unternehmen, die mit einem Emotet infiziert wurden, der die E-Mail-Kommunikation ausleitet, die dann im Namen des betroffenen Unternehmens für weitere automatisierte Angriffe verwendet werden. Die Unternehmen wurden hierbei von bestehenden Kommunikationspartnern darauf hingewiesen, dass sie eine vermeintliche E-Mail samt Schadcode(link) von diesen erhalten hätten.

Bei den Vorkommnissen mit Ransomware in Bayern war größtenteils ein relativ aktuelles Backup vorhanden, so dass die Unternehmen nach Bereinigung der Systeme durch einen spezialisierten IT-Dienstleister wieder den Betrieb in gewohnter Weise aufnehmen konnten.

Die Kosten durch die Ransomware-Attacke waren dort dann meist eher niedrig und im hohen dreistelligen oder niedrigen vierstelligen Euro-Bereich anzusiedeln. Bei den Firmen, die jedoch entweder sehr viele infizierte Arbeitsplatzrechner hatten oder bei denen zentrale Fileserver betroffen waren, dauerte die Aufarbeitung deutlich länger. Zum Teil musste auch neue Hardware beschafft werden. Die Kosten dafür waren dann nicht mehr so gering, sondern schnell im mittleren fünfstelligen Bereich. In wenigen Einzelfällen war in Produktionsbetrieben durch die Cyberattacke sogar der Produktionsablauf gestört. Hier wurden dann deutlich größere wirtschaftliche Schäden spürbar.

Damit es aber nicht noch zusätzlich zu Sanktionen durch die zuständige Aufsicht kommen kann, sollten betroffene Unternehmen bei Ransomware-Attacken immer auch an den Datenschutz denken und an die Prüfung, ob eine Datenschutzverletzung zu melden ist.

(ID:46655468)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research