Ransomware-Attacken f\u00fchren zu ungewollter Datenverschl\u00fcsselung, sodass \u2013 ohne entsprechende und pr\u00e4ventive Sicherheitsma\u00dfnahmen – kein Zugriff mehr auf diese Daten erfolgen kann. Damit ist die Verf\u00fcgbarkeit beeintr\u00e4chtigt und aus der Ransomware-Attacke wird ein Datenschutzvorfall. Details dazu, aber auch die bereits angesprochenen Pr\u00e4ventionsma\u00dfnahmen erwarten Sie in diesem Beitrag.<\/p>\n
Der Begriff \u201eRansomware\u201c wurde vom englischen Wort \u201eransom\u201c (\u201eL\u00f6segeld\u201c) abgeleitet. Damit wird das Prinzip schon deutlicher: Bei Ransomware handelt es sich um erpresserische Malware, die bestrebt ist, Systeme und \/ oder Daten unbenutzbar zu machen. Daten werden verschl\u00fcsselt und Anwender aufgefordert, eine Entschl\u00fcsselung durch ein L\u00f6segeld herzustellen. Aufgrund dieser Verschl\u00fcsselungstaktik wird Ransomware auch h\u00e4ufig als Verschl\u00fcsselungs- oder Kryptotrojaner bezeichnet.<\/p>\n
Betroffen sein k\u00f6nnen alle erdenklichen Betriebssysteme einschlie\u00dflich mobiler Systeme oder Hardwareplattformen wie Server. Bezahlt werden soll das L\u00f6segeld in aller Regel in der virtuellen W\u00e4hrung Bitcoins, da sich diese W\u00e4hrung anonym nutzen l\u00e4sst; eine R\u00fcckverfolgung zu den Cyberkriminellen ist also nicht m\u00f6glich. Viele Unternehmen, die gro\u00dfe Summen f\u00fcr die Entschl\u00fcsselung ihrer Daten zahlten, mussten jedoch feststellen, dass eine Entschl\u00fcsselung nicht immer folgt.<\/p>\n
Eine Infizierung des Systems verl\u00e4uft \u00e4hnlich wie bei anderen Schadprogrammen: E-Mail-Anh\u00e4nge, die acht- und arglos ge\u00f6ffnet werden, infizierte Websites, heruntergeladene und infizierte Software oder entsprechend pr\u00e4parierte Datentr\u00e4ger k\u00f6nnen den Ausschlag geben.<\/p>\n
Zwar erkennen viele der stets aktuell gehaltenen Virenscanner etliche Varianten von Kryptotrojanern und vermeiden effizient Infizierungen. Neue Versionen von Ransomware machen es den Virenscannern jedoch schwerer. Ist die Ransomware ins System gelangt, kann sie in der Lage sein, sich \u00fcber nicht geschlossene Sicherheitsl\u00fccken in den Netzwerken weiterzuverbreiten.<\/p>\n
In aller Regel nutzt Ransomware zwei Varianten: Sie blockiert ganze Systeme oder sie verschl\u00fcsselt Daten.<\/p>\n
Die Blockade von Systemen geschieht in einfacher Variante beispielsweise mit Pop-up-Fenstern, die der Anwender nicht mehr schlie\u00dfen kann und die das Nutzen des Rechners schwer bis unm\u00f6glich machen. Die Software sorgt f\u00fcr die Einblendung von Hinweisen, dass sich diese Blockade gegen eine L\u00f6segeldzahlung beseitigen lie\u00dfe. Tats\u00e4chlich k\u00f6nnen Blockaden dieser Art mit ein wenig Ahnung recht einfach aufgehoben werden, ohne Daten in Mitleidenschaft zu ziehen.<\/p>\n
Ein deutlich gr\u00f6\u00dferes Schadenspotenzial liegt in der Verschl\u00fcsselung von Daten, also in Kryptotrojanern: Diese Art von Ransomware verschl\u00fcsselt Daten auf der Festplatte sowie auf angeschlossenen Systemen wie Cloudspeichern oder Serverlaufwerken. Anwender bemerken in aller Regel nichts davon, bis sie nach dem Verschl\u00fcsseln keinen Zugriff mehr auf die Daten haben. Die Ransomware fordert den Nutzer zur L\u00f6segeldzahlung auf, um in den Besitz des Schl\u00fcssels zum Entschl\u00fcsseln der Daten zu kommen. Ob Cyberkriminelle nach Zahlung eines L\u00f6segelds dem wirklich nachkommen, ist nicht immer gewiss.<\/p>\n
Eine derzeit gef\u00fcrchtete Ransomware ist EKANS: Die Schadsoftware nimmt Industriekontrollsysteme ins Visier und stellt damit eine gro\u00dfe Gefahr dar. Forscher von FortiGuard Labs haben EKANS analysiert<\/a>: Sie zielt speziell auf Windows-Systeme ab und verschl\u00fcsselt dort Dateien. Eine weiterentwickelte Form, die die Firewalls von infizierten Systemen lahmlegt, ist seit Juni 2020 in Umlauf.<\/p>\n EKANS w\u00e4hlt seine Opfersysteme gezielt aus. Die Malware versucht, die Domain von infizierten Systemen aufzul\u00f6sen, au\u00dferdem mit einer Liste von IP-Adressen abzugleichen. Die Ransomware bricht ihre Routine ab, wenn das Ziel beim Abgleich nicht best\u00e4tigt wird. Wurde hingegen das korrekte Ziel gefunden und angegriffen, wird das System nach Dom\u00e4nencontrollern durchsucht. Die Dateien werden verschl\u00fcsselt, ein L\u00f6segeld gefordert.<\/p>\n Auch bei EKANS ist unklar, ob die Cyberkriminellen den Entschl\u00fcsselungsschl\u00fcssel nach Zahlung des L\u00f6segelds bereitstellen oder nicht \u2013 und wenn, ob dieser \u00fcberhaupt funktioniert.<\/p>\n Die weiterentwickelte EKANS-Variante, die seit Juni ihr Unwesen treibt, ist zus\u00e4tzlich in der Lage, die Einstellungen des Industriekontrollsystems zu manipulieren. Es ist laut den Forschern unter anderem m\u00f6glich, die Firewall des Systems abzuschalten. F\u00fcr die Forscher liegt die Vermutung nahe, dass so die Schutzma\u00dfnahmen des Systems erkannt und blockiert werden k\u00f6nnen.<\/p>\n Mittels RSA-Verschl\u00fcsselung macht die Ransomware Dateien unbrauchbar. Jedoch soll EKANS auch in der Lage sein, Prozesse zu beenden, die die eigene Aktivit\u00e4t behindern. Perfide: Mit dem L\u00f6schen von Schattenkopien soll die Ransomware verhindern, Wiederherstellungspunkte zu erreichen und die Daten ohne Schl\u00fcssel zur\u00fcckzuerhalten.<\/p>\n Ransomware-Attacken z\u00e4hlen mittlerweile zu den h\u00e4ufigsten Angriffen. Da kommt man kaum umhin, sich mit der Frage zu befassen, ob derartige Erpressungen als Datenschutzvorfall einzustufen sind, f\u00fcr die wom\u00f6glich Sanktionen folgen k\u00f6nnten. Schlie\u00dflich treffen die Attacken mit Ransomware Unternehmen schon genug: Die verschl\u00fcsselten Daten lassen sich nicht nutzen. Das behindert Gesch\u00e4ftsprozesse und wirtschaftliche Sch\u00e4den k\u00f6nnen folgen.<\/p>\n Die Sache ist nur die: Werden Daten so verschl\u00fcsselt, dass sie aufgrund fehlender Entschl\u00fcsselungsm\u00f6glichkeiten unbrauchbar geworden sind, ist eines der zentralen Schutzziele in der IT-Sicherheit unerf\u00fcllt \u2013 n\u00e4mlich die st\u00e4ndige Verf\u00fcgbarkeit der Daten. Die Verf\u00fcgbarkeit von Daten kann jedoch auch ein Gew\u00e4hrleistungsziel im Datenschutz sein: Weisen die betroffenen Daten einen Personenbezug auf, ist dieser Fall gegeben. Rechtsgrundlage dazu bildet Art. 32 DSGVO \u2013 Sicherheit der Verarbeitung<\/a>.<\/p>\n Die Verf\u00fcgbarkeit von Daten ist auch im Standard-Datenschutzmodell (SDM)<\/a> Gew\u00e4hrleistungsziel. Man verst\u00fcnde unter dem Gew\u00e4hrleistungsziel Verf\u00fcgbarkeit die Aufforderung, dass Zugriff und Verarbeitung auf und von personenbezogenen Daten unverz\u00fcglich m\u00f6glich sein m\u00fcssen. Au\u00dferdem m\u00fcssen sie ordnungsgem\u00e4\u00df im daf\u00fcr vorgesehenen Prozess Verwendung finden k\u00f6nnen. Daf\u00fcr m\u00fcssen Berechtigte Zugriff auf diese Daten haben und die f\u00fcr sie vorgesehenen Verarbeitungsmethoden m\u00fcssen auch angewendet werden k\u00f6nnen.<\/p>\n Es steht komplett au\u00dfer Frage, dass zwangsverschl\u00fcsselte, personenbezogene Daten nicht verf\u00fcgbar sind. Und dann liegt per Definition von DSGVO und SDM eine Verletzung des Datenschutzes vor. In ihrem Dokument \u201eLeitlinien zur Meldung von Verletzungen des Schutzes von personenbezogenen Daten\u201c<\/a> (PDF) nennen die Aufsichtsbeh\u00f6rden Ransomware-Vorf\u00e4lle explizit als Grund, einen Datenschutzvorfall als „Verletzung des Schutzes personenbezogener Daten“ an die zust\u00e4ndige Aufsichtsbeh\u00f6rde zu melden. Rechtsgrundlage hierf\u00fcr ist Art. 33 DSGVO<\/a>.<\/p>\n Sind die Systeme einer Organisation durch Ransomware befallen, wird das betroffene Unternehmen sehr bald die Attacke bemerken: Zum einen ist der Gesch\u00e4ftsprozess durch das Fehlen von Daten unterbrochen, zum anderen wenden sich die Cyberkriminellen mit einer L\u00f6segeldforderung an das Opfer. Wie gerade erw\u00e4hnt, verlangt die DSGVO, diesen Datenschutzvorfall an die zust\u00e4ndige Aufsichtsbeh\u00f6rde zu melden. Dar\u00fcber hinaus verlangt Art. 34 DSGVO<\/a>, dass auch die Inhaber der betroffenen personenbezogenen Daten \u00fcber den Datenschutzvorfall \/ die Datenschutzverletzung informiert werden. Diese Meldepflicht an Aufsichtsbeh\u00f6rde und Betroffene existiert nur dann nicht, wenn f\u00fcr die Betroffenen keinerlei Risiko besteht.<\/p>\n Das ungewollte Verschl\u00fcsseln von Daten durch Ransomware ist jedoch als meldepflichtiger Datenschutzvorfall einzustufen. Gerade, wenn die folgenden Bedingungen erf\u00fcllt werden: Die verschl\u00fcsselten oder blockierten Daten lassen sich nicht wiederherstellen oder aber der Zeitraum, der zur Datenwiederherstellung ben\u00f6tigt wird, ist derartig lang, dass dies zu erheblichen Beeintr\u00e4chtigungen des betroffenen Kunden f\u00fchrt.<\/p>\n Ignoriert eine Organisation die Meldepflicht des Datenschutzvorfalls, kann dies Bu\u00dfgelder gem\u00e4\u00df Art. 33 und 34 DSGVO nach sich ziehen. Es ist also sinnvoller, Ransomware-Attacken binnen der 72-Stunden-Frist an die zust\u00e4ndige Aufsicht zu melden.<\/p>\n Das Bayerische Landesamt f\u00fcr Datenschutzaufsicht (BayLDA) erhielt die meisten Meldungen nach Art. 33 DSGVO von Unternehmen, die es mit der Ransomware Emotet zu tun bekamen. Der gef\u00fcrchtete Verschl\u00fcsselungstrojaner leitete die E-Mail-Kommunikation aus und verwendete sie im Namen von bereits betroffenen Unternehmen f\u00fcr automatisierte Angriffe. In der Folge wurden die Unternehmen von Kommunikationspartnern darauf hingewiesen, eine E-Mail mit Schadcodelink oder \u2013anhang von ihnen erhalten haben. Was Emotet bereits angerichtet hat, lesen Sie in unserem Beitrag \u201eEmotet erkennen: Ma\u00dfnahmen gegen Trojaner\u201c<\/a>.<\/p>\n Verfolgen Sie unsere Beitr\u00e4ge regelm\u00e4\u00dfig, wissen Sie bereits: Es gibt keine 100-prozentige Sicherheit. Dennoch gibt es Schutzma\u00dfnahmen, die pr\u00e4ventiv wirksam sind:<\/p>\n Ransomware-Attacken f\u00fchren zu ungewollter Datenverschl\u00fcsselung, sodass \u2013 ohne entsprechende und pr\u00e4ventive Sicherheitsma\u00dfnahmen – kein Zugriff mehr auf diese Daten erfolgen kann. Damit ist die Verf\u00fcgbarkeit beeintr\u00e4chtigt und aus der Ransomware-Attacke wird ein Datenschutzvorfall. Details dazu, aber auch die bereits angesprochenen Pr\u00e4ventionsma\u00dfnahmen erwarten Sie in diesem Beitrag. Die Funktionsweise von Ransomware Der Begriff \u201eRansomware\u201c wurde vom … <\/p>\nRansomware-Attacken als Datenschutzvorfall<\/h2>\n
Handlungsempfehlungen nach Ransomware-Attacken<\/h2>\n
Emotet als weiteres prominentes Beispiel<\/h3>\n
Schutz gegen Ransomware \u2013 vermeiden des Datenschutzvorfalls<\/h2>\n
\n