Notwendigkeit einer Meldung eines Ransomware-Angriffs

Seit Einführung der EU-Datenschutzgrundverordnung besteht eine generelle Pflicht, Datenschutzvorfälle zu melden. In unserem Beitrag „Meldung einer Datenpanne“ gehen wir darauf ein, was zu beachten ist, wenn ein Datenschutzvorfall zu melden ist. Details zur Meldepflicht veröffentlichte der Europäische Datenschutzausschuss am 14. Januar 2021 in einem ersten Entwurf zu Leitlinien für Beispiele in Bezug zu Datenschutzvorfallmeldungen. Die Erkenntnisse aus diesem Entwurf haben wir für Sie in den nächsten drei Blog-Beiträgen aufbereitet. In diesem ersten Beitrag erläutern wir die Notwendigkeit einer Meldung eines Ransomware-Angriffs.

Hinweis: Beispiele und Bewertungen basieren auf denen des Entwurfs für Richtlinien anhand von Beispielen zur Meldung eines Datenschutzvorfalls des Europäischen Datenschutzausschusses und spiegeln die Ansichten des Zusammenschlusses der Datenschutzaufsichtsbehörden in der EU wider.

Ransomware-Angriffe

Ransomware-Angriffe sind Ereignisse, bei denen ein Angreifer alle in einem IT-System gespeicherten Daten verschlüsselt. Um den Entschlüsselungs-Code zu erhalten und die Daten wiederherstellen zu können, fordert der Angreifer vom Opfer meist Lösegeld (z. B. in Form von Bitcoins) zu zahlen. (Mehr dazu kann man auch in unserem Beitrag „Daten erfolgreich gegen Cyber-Angriffe schützen“ lesen.)

Ransomware-Angriff mit angemessenen Backup und ohne Datenabfluss

In diesem Fallbeispiel ist das IT-System eines kleinen Herstellerunternehmens von einem Ransomware-Angriff betroffen und in Folge dessen verschlüsselt der Angreifer die Daten. Zuvor hatte aber der Verantwortliche – das Herstellerunternehmen – selbst allerdings die Firmendaten verschlüsselt in einem Backup gespeichert. Somit kann der Angreifer keine Daten einsehen. Mithilfe eines externen Unternehmens, kann auch festgestellt werden, dass keinerlei Daten abgeflossen sind. Aufgrund des vorhandenen Backups des Verantwortlichen ist es möglich, die Daten innerhalb weniger Stunden nach dem Angriff wiederherzustellen, ohne dem Angreifer ein Lösegeld zahlen zu müssen, damit der den Entschlüsselungscode übermittelt. Nach Analyse durch den Verantwortlichen ist einzuschätzen, dass das Risiko für die Rechte und Freiheiten Betroffener als niedrig einzuschätzen ist. Der Datenschutzvorfall muss intern dokumentiert werden, aber eine Meldung an die Datenschutzaufsichtsbehörde oder Betroffene ist unnötig.

Ransomware-Angriff ohne angemessenen Backup

Ein Angreifer verschlüsselt die Daten auf dem IT-System eines Agrarunternehmens. Es kann allerdings festgestellt werden, dass keine Daten abgeflossen sind. Im Endeffekt betroffen sind Daten von Kunden und Beschäftigten – ungefähr 12 Personen –, allerdings keine Daten besonderer Kategorien. Da es kein Backup gab, mussten die Daten von Papierdokumenten wiederhergestellt werden. Egal wie hoch das Risiko für die Rechte und Freiheiten Betroffener ist, ist es Pflicht des Verantwortlichen, einen Datenschutzvorfall zu dokumentieren. In diesem Fall ist es auch vonnöten, die Aufsichtsbehörde von diesem Vorfall zu unterrichten. Da das Risiko nicht als hoch für die Betroffenen eingeschätzt wird, muss der Vorfall diesen nicht gemeldet werden.

Ransomware-Angriff mit Backup und ohne Datenabfluss in einem Krankenhaus

Ein Ransomware-Angriff in einem Krankenhaus führt dazu, dass der Angreifer einen beachtlichen Anteil der Daten verschlüsselt. Bei Analyse des Vorfalls mithilfe eines externen Dienstleisters kann der Verantwortliche – das Krankenhaus – feststellen, dass keine Daten abfließen. Von dem Angriff betroffen sind Beschäftigte und Patienten. Auch wenn das Krankenhaus die Daten innerhalb von zwei Tagen wiederherstellen kann, ist es neben der internen Dokumentation nötig, die Datenschutzaufsichtsbehörde und auch die betroffenen Personen von dem Vorfall zu informieren. Der Grund ist, dass dieser Angriff zu einem hohen Risiko für die Rechte und Freiheiten Betroffener führt, schon, weil es sich hier auch um Daten besonderer Kategorien handelt.

Ransomware-Angriff ohne Backup und mit Datenabfluss

Bei einem Transportunternehmen kommt es zu einem Ransomware-Angriff, bei dem der Angreifer die Daten verschlüsselt. Der Verantwortliche bemerkt auch, dass Daten abfließen. Von dem Angriff betroffen sind Kreditkarten-, Personalidentifikations-, Finanzdaten und Grunddaten (bspw. Namen). Aufgrund der Natur der Daten handelt es sich hierbei um einen Vorfall mit hohem Risiko für die Rechte und Freiheiten der Betroffenen. Materiellen Schaden kann es in Form von finanziellen Verlusten durch die Kreditkartendaten geben. Schäden auf immaterieller Ebene können durch Identitätsdiebstahl oder Betrug mit diesen Daten entstehen. Der Vorfall ist den Datenschutzaufsichtsbehörden und den betroffenen Personen zu melden. Die interne Dokumentation darf natürlich nicht fehlen.

Fazit

Ransomware-Angriffe können jedes Unternehmen treffen. Wie schwerwiegend die Folgen für das Unternehmen sind, ist abhängig davon, wie viel Beachtung ein Verantwortlicher dem Datenschutz und der Sicherheit personenbezogener Daten bis dato geschenkt hat, ob der Angriff insgesamt abgewehrt werden konnte, ob nur auf verschlüsselte Daten zugegriffen werden konnte und ob außer den Produktivdaten der Angreifer auch noch Backups verschlüsselt wurden. Ein Ransomware-Angriff kann die Existenz eines Unternehmens gefährden sowie gravierende Folgen für die Rechte und Freiheiten betroffener Personen nach sich ziehen.

Wir können dabei helfen, dies zu vermeiden oder zumindest die Meldepflichten einzuhalten, um nicht wegen Verletzung der Meldepflichten noch zusätzlich mit einem Bußgeld belangt zu werden. Kontaktieren Sie uns gern!