+49 (55 03) 9 15 96 48 sorge@DatCon.de

Attacken durch Ransomware im Schatten der DSGVO

Corona und Co. bieten für Cybertäter ganz neue unverschämte Möglichkeiten. Durch Androhung von einer
Datenschutzkatastrophe greifen Unternehmen schon mal (eher) in das Krypto-Wallet und schon ist das Geld im Rahmen
einer Bitcoin-Zahlung futsch. Oftmals auch die Daten! Niemand ist leider gegen Ransomware immun. Aber Prävention hilft
nachweislich.
Ganz schnell mal eben ein Klick. Und schön ist es passiert.
Oder vielleicht doch nicht? Kam die E-Mail wirklich von der Deutschen Bundesregierung? Hier steht bspw. unter Androhung
von Strafen „Auf Grund der COVID19-Pandemie müssen sie Ihre gewerbliche Tätigkeit mit schneller Wirkung wegstellen.“
Das GAnze aber in gebrochenem Deutsch und/oder nicht korrekter Grammatik. Ganz ehrlich. Gäbe es nicht die paar
Grammatik- und Rechtschreibungsfehler hätten Sie doch vielleicht keinen Verdacht geschöpft. Logo ist da, Thema und
Adresse passen doch.
Ganz schnell mal eben ein Klick. Und schön ist hat sich der produktive Arbeitsalltag erledigt.
Und nun noch die DSGVO mit ihren Strafen und Sanktionen aufgrund einer Datenpanne. Sie können davon sicher
ausgehen, dass der oder die Täter Ihre Daten nicht nur verschlüsseln, sondern auch diese für eine weitere Einnahmequelle
abgreifen, wie z.B. für eine spätere Androhung einer Veröffentlichung. Da hilft auch keine Datensicherung mehr.
Sagt die DSGVO etwas dazu?
Art. 83 der DSGVO macht es deutlich: „Allgemeine Bedingungen für die Verhängung von Geldbußen“. Noch interessanter
ist Art. 25, „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Bedeutet im
Klartext, dass die verantwortliche Stelle (also Sie) geeignete technische und organisatorische Maßnahmen trifft. Sie
müssen den ausreichenden Schutz der personenbezogenen Daten bereitstellen, wie bspw. durch Präventionsmaßnahmen.
Auch ist es nicht unerheblich, dass die zuständige Behörde sowohl ein Bußgeld verhängen als auch die Auszahlung der
Lösegeldforderungen veranlassen kann, sofern sie dies als „wirksam, verhältnismäßig und abschreckend“ einstuft.
Blöd gelaufen …
Der Aluminiumhersteller Norsk Hydro ASA fiel einer Attacke mit der Malware LockerGoga zum Opfer. Um eine
Beschädigung der Anlagen zu vermeiden, hat man sich dazu entschlossen die automatisierten Fertigungslstraßen
heruntergefahren. Es sollte dann zeitweise manuell gesteuert gefertigt werden. Problem war nur, dass ohne Zugriff auf
Auftragsdaten oder die notwendigen Rezepturen es mit der Fertigung nicht weit her war. Auch eine Qualitätskontrolle ohne
Abgleich mit den Normwerten war schwer möglich. Es wunde kein Lösegeld gezahlt, es wurden Datensicherungen genutzt.
Gemäß dem Unternehmen lag der wirtschaftliche Schaden bei rund 45 Millionen Euro. Der Austausch mit der
Datenschutzaufsicht ist ein weiterer Stressfaktor.
Was kann man nun machen? Kann was machen? Ja!
• Der gesunde Menschenverstand sollte bei jeder Tätigkeit dabei sein
• Vorsicht bei dubiosen Webseiten oder „interessanten“ Links – menschliche Neugierde
• Fremde (offene) Wlan-Netze bieten Risiken und sollten tabu sein
• Sicherheitsupdates für Soft- und Hardware nach Möglichkeit ohne Verzögerung einspielen
• Sicherheitssoftware auf dem aktuellen Stand halten
• Personenbezogene Daten niemals unverschlüsselt: übertragen, sichern und an Unbefugte (Dritte) geben
• Neue/Sichere Schutzmaßnahmen kontinuierlich evaluieren
• Regelmäßige Risikobewertungsprüfungen und Sicherheitsaudits durchführen
• Regelmäßige Präventionsmaßnahmen durchführen
Fazit?
Art. 25 DSGVO zeigt es auf, die verantwortliche Stelle muss die notwendigen Maßnahmen ergreifen, bevor es zu spät ist.
Einen einhundertprozentig sicheren Zustand gibt es nicht, aber die richtigen Maßnahmen können doch das eine oder
andere lindern.
Der Tenor der Datenschutzaufsichten ist, dass ab 2021 wesentlich mehr Prüfungen (auch anlasslos) bei den Unternehmen
durchgeführt werden sollen. Bei diesen Prüfungen sollen in erster Linie die Beachtung und Umsetzung der
Datenschutzanforderungen kontrolliert werden, insbesondere ein funktionierendes Datenschutzmanagementsystem.
Es geht nicht um „Bangemachen“! Auch kleine, aber kontinuierliche, Verbesserungen werden positiv eingestuft.
Sie haben Fragen? Melden Sie sich bitte bei uns!
Es bleibt spannend!