Beispiele für Meldepflichten nach DSGVO Wann eine Ransomware-Attacke gemeldet werden muss

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) bereitet immer noch Schwierigkeiten. Gerade die Einhaltung der Meldepflichten nach DSGVO wirft weiterhin Fragen auf. Welche Cyberattacken müssen gemeldet werden, welche nicht, fragen sich die Unternehmen. Der Europäische Datenschutzausschuss (EDSA) gibt dazu Hinweise, zum Beispiel für den Fall einer Ransomware-Attacke.

Firmen zum Thema

Ein Ransomware-Fall ist für ein Unternehmen ein schwerwiegender IT-Sicherheits-Vorfall, aber kann sich auch schnell zu einem Verstoß gegen die DSGVO-Meldepflichten entwickeln.
Ein Ransomware-Fall ist für ein Unternehmen ein schwerwiegender IT-Sicherheits-Vorfall, aber kann sich auch schnell zu einem Verstoß gegen die DSGVO-Meldepflichten entwickeln.
(© Suttipun - stock.adobe.com)

Kommt es zu einem Angriff mit Ransomware, können personenbezogene Daten mehrfach in Gefahr sein. Zum einen kann die erzwungene Verschlüsselung die Verfügbarkeit der Daten gefährden, wenn es keine geschützten Backups gibt. Zum anderen gehen die Angreifer dazu über, die ausgespähten und kriminell verschlüsselten Daten an Dritte zu verkaufen oder sie drohen damit. Damit wäre dann auch die Vertraulichkeit der personenbezogenen Daten nicht mehr gewährleistet.

Doch bedeutet das auch, dass das betroffene Unternehmen eine Meldung an die für es zuständige Aufsichtsbehörde durchführen muss? Generell empfehlen viele Aufsichtsbehörden, man solle lieber zu viel melden als zu wenig. Doch was passiert, wenn man eine Ransomware-Attacke nicht gemeldet hat? Ist dies dann ein Verstoß gegen die DSGVO, sind dann zum Beispiel Sanktionen möglich?

Offensichtlich brauchen die Unternehmen hier genauere Informationen, die ihnen helfen können, die Meldepflichten nach DSGVO richtig umzusetzen. Tatsächlich sieht die DSGVO auch vor, dass es solche Informationen zu den Meldepflichten geben soll.

Laut Artikel 70 DSGVO soll der Europäische Datenschutzausschuss (EDSA) „Leitlinien, Empfehlungen und bewährte Verfahren (...) für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit (...), und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat, bereitstellen“, gleiches zu den „Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen (...) zur Folge hat“.

Datenschutzausschuss liefert Leitlinien zu Meldepflichten

Inzwischen gibt es verschiedene Guidelines des EDSA, die zuerst immer eine Phase der Kommentierung (Public Consultation) durchlaufen und dann verabschiedet werden, auch solche Richtlinien, die mit „Examples regarding Data Breach Notification“ bezeichnet werden und damit eine wichtige Unterstützung bei der Umsetzung der Meldepflichten sein können.

Die vom EDSA veröffentlichten Beispiele betreffen verschiedene Arten von Datenschutzvorfällen und möglichen Datenschutzverletzungen, darunter auch die weiter um sich greifenden Ransomware-Attacken. Es lohnt sich, das Beispiel Ransomware als Datenschutzvorfall genauer anzusehen, da sich hier exemplarisch „lernen“ lässt, wann man melden muss und wann nicht. Natürlich muss dies letztlich jedes Unternehmen in eigener Verantwortung entscheiden, doch diese Empfehlungen und Leitlinien der Aufsichtsbehörden sind sicher mehr als willkommen.

Es kommt auf den Ransomware-Vorfall an

Wenn man sich die Leitlinien des EDSA ansieht, stellt man fest, dass Ransomware-Attacken in vier Ausprägungen genannt werden. Bereits diese Ausprägungen zeigen, worauf man bei der Bewertung der Risiken für die Betroffenen zu achten hat.

So beschreibt der EDSA zum einen Ransomware-Attacken auf Unternehmen, die geschützte Backups haben und deren Daten nicht entwendet wurden, um sie zu verkaufen oder um mit der Veröffentlichung drohen und erpressen zu können. Dann betrachten die Aufsichtsbehörden den Fall, dass es kein Backup gibt. Der dritte, untersuchte Fall ist die Situation, dass es ein Backup gibt, die Daten nicht entwendet wurden, aber dass es sich um ein Krankenhaus handelt. Der vierte Fall ist ein Unternehmen ohne Backup, bei dem die Daten ausgespäht wurden, so dass sie an Dritte weitergegeben werden können.

Offensichtlich kommt es insbesondere auf Backups (für den Schutz der Verfügbarkeit), auf die Ausspähung der Daten (Gefahr für die Vertraulichkeit) und auf die Kategorien der Daten (wie Gesundheitsdaten) an. Was aber bedeuten diese Parameter für die Meldepflichten?

Wie die Meldepflicht jeweils geprüft wird

Um die Meldepflichten für die verschiedenen Ransomware-Vorfälle prüfen und bewerten zu können, müssen sich die verantwortlichen und von der Attacke getroffenen Unternehmen oder Organisation sicher sein, ob sie ein funktionstüchtiges Backups haben, ob wirklich keine Daten abgeflossen sind, wie die Daten geschützt wurden (Verschlüsselung) und welche Datenkategorien genau betroffen sind.

Ob abgeflossene Daten ein hohes Risiko darstellen oder nicht, hat insbesondere mit der vorhandenen Verschlüsselung der Daten zu tun, mit deren Stärke und mit dem Schutz für das Schlüsselmaterial. Waren also die Daten, die die Angreifer verschlüsselt haben, bereits von dem Unternehmen selbst verschlüsselt oder nicht? Eine weitere Frage ist, ob die Datenflüsse überwacht werden, ob zum Beispiel eine DLP-Lösung (Data Loss Prevention) im Einsatz ist und ob diese Hinweise auf einen Datenabfluss rund um die Attacke liefert oder nicht.

Dann stellt sich die Frage, welche Daten von welchen Betroffenen in welcher Anzahl wie lange und mit welchen Konsequenzen betroffen waren. Waren es wenige Daten, wenige Betroffene, keine besonderen Datenkategorien? Konnten die Daten wieder schnell verfügbar gemacht werden, gab es keine Störungen, weil die Daten nur kurzfristig nicht verfügbar waren?

Welche Art von Ransomware wurde genutzt? Welche Folgen hatten vergleichbare Angriffe mit dieser Ransomware? Auch solche Fragen gilt es zu klären, wobei sicherlich die Unterstützung durch Security-Expertise von extern notwendig sein wird.

Diese Fragen müssen schnell geklärt werden können, wenn man die 72-Stunden-Frist für die Meldung nach DSGVO nicht gefährden will, was bereits einen Verstoß darstellen würde.

Die Risikoanalyse, die zu dem Ransomware-Vorfall durchgeführt wird, muss in jedem Fall dokumentiert werden. Kommt die verantwortliche Stelle zu dem Schluss, dass für die Betroffenen kein hohes Risiko für ihre Rechte und Freiheiten besteht, muss keine Meldung an die Betroffenen erfolgen (Artikel 34 DSGVO). Besteht laut Risikoanalyse gar kein Risiko für die Betroffenen, muss auch keine Meldung an die zuständige Aufsichtsbehörde erfolgen.

Fehlt aber zum Beispiel das Backup und die Wiederherstellung der Daten dauert, so dass es Störungen in den Prozessen mit Folgen für die Betroffenen gibt, sollte in jedem Fall davon ausgegangen werden, dass die Aufsichtsbehörde zu benachrichtigen ist. Je nach Schwere der Folgen für die Betroffenen, müssen auch diese benachrichtigt werden. Wenn zum Beispiel in einem Krankenhaus Operationen verschoben werden müssen, weil die Daten nach dem Ransomware-Vorfall nicht verfügbar waren, müssen auch die Betroffenen informiert werden über den Datenschutzvorfall.

Diese Überlegungen zeigen beispielhaft, dass es weiterhin anspruchsvoll ist, die Meldepflichten zu prüfen, doch die Aufsichtsbehörden geben mehr und mehr Hilfsmittel an die Hand, die man als Unternehmen nicht ungenutzt lassen sollte.

(ID:47465020)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research