01.04.2024

Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.

Ihr ISiCO-Experte für das Thema:
Dr. Jan Scharfenberg
Director Informationssicherheit

Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Im Zeitraum von Juni 2022 bis Juni 2023 waren in Deutschland 15 von insgesamt 68 bekannt gewordenen Opfern von Ransomware-Angriffen. Durch den Einsatz von Künstlicher Intelligenz (KI) wird ein Anstieg an Ransomware-Angriffen zu erwarten sein. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.

Schützen Sie Ihr Unternehmen vor Ransomware und aufsichtsrechtlichen Sanktionen! Wir bieten professionelle Beratung und Unterstützung bei der Implementierung effektiver technischer und organisatorischer Maßnahmen (TOM) zur Sicherstellung Ihrer IT-Sicherheits-Compliance. Vermeiden Sie existenzielle Risiken und aktualisieren Sie Ihre Dokumentation mit unserer Expertise. Kontaktieren Sie uns jetzt für eine umfassende Beratung – auch im Falle einer bevorstehenden Datenschutzüberprüfung.

Die Bedeutung präventiver Maßnahmen und regulatorischer Compliance im Kampf gegen Ransomware

Es ist wichtig, dass Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, um Ransomware-Attacken zu verhindern. Nicht zuletzt da die Datenschutz-Grundverordnung (DSGVO) Verantwortliche dazu verpflichtet, solche TOM zur Gewährleistung der Datensicherheit zu ergreifen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führt außerdem seit Februar 2024 Follow-Up Prüfungen bei Unternehmen mit Sitz in Bayern durch, die in den letzten Jahren Opfer von Ransomware-Attacken wurden. So ermitteln sie, ob die erforderlichen TOM tatsächlich implementiert wurden. Auch die Richtlinie für Netz- und Informationssicherheit (NIS-2) ist für die IT-Sicherheit von großer Bedeutung. Sie legt Sicherheitsanforderungen für eine deutlich größere Anzahl von Unternehmen fest, als bisher durch die BSI-KritisV erfasst wurden. Für Unternehmen besteht hier die Chance, durch ein einheitliches Risikomanagement-System Compliance zu gewährleisten. Es ist nicht ausgeschlossen, dass sich weitere Datenschutzbehörden oder -stellen aus anderen Bundesländern diesem Vorgehen anschließen.

Wie Künstliche Intelligenz das Ransomware-Geschäft beeinflusst, die Vorgehensweise des BayLDA und wie ein effektives Risikomanagement und Compliance mit den neuesten EU-Regularien aussehen können, erläutern wir im Folgenden.

Wer muss für Cybersicherheit sorgen?

Unternehmen, die personenbezogene Daten verarbeiten, müssen die Anforderungen der DSGVO erfüllen. Dabei müssen sie sowohl als Verantwortlicher als auch als Auftragsverarbeiter geeignete TOM implementieren. Dies dient dem Schutz der Rechte der betroffenen Personen und stellt sicher, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Verantwortlicher ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist die Stelle, die personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet. Beide haben dafür zu sorgen, dass die entsprechenden TOM gewährleistet werden.

Was ist eine Ransomware-Attacke?

Ransomware-Attacken (aus dem Englischen ransom für „Lösegeld“) sind Sicherheitsvorfälle, bei denen die Systeme der Betroffenen angegriffen und die gespeicherten Daten (teilweise) verschlüsselt werden. Auch eine komplette Sperrung des Systems ist möglich. Die Entschlüsselung der Daten wird dann durch die Zahlung eines entsprechenden Lösegeldes erpresst. Daher kursieren auch andere Bezeichnungen wie Erpressungs- oder Kryptotrojaner. Teilweise werden die Daten auch gleichzeitig in unverschlüsselter Form extrahiert, um der Drohung, die Daten zu veröffentlichen oder weiterzugeben, Nachdruck zu verleihen. Ransomware kann unter anderem über präparierte E-Mail-Anhänge (beliebt sind zum Beispiel schädliche Makros in Office-Dateien), schädliche Links oder Sicherheitslücken in Webbrowsern auf den Computer oder andere Endgeräte gelangen. Dabei schleusen die Täter Schadcode ein, der die Daten verschlüsselt und gegebenenfalls auf einen von den Angreifern kontrollierten Server hochlädt.

Die Ransomware ist in der Regel so gestaltet, dass sie sich im Unternehmensnetzwerk ausbreitet und so zur Verschlüsselung eines Großteils der Unternehmensdaten und in der Folge zum Stillstand des gesamten Unternehmens führen kann. Zur Bezahlung der erpressten Summe greifen die Kriminellen in der Regel auf weitgehend anonyme Kryptowährungen wie Bitcoin zurück. Bei den Angreifern handelt es sich keineswegs nur um Einzeltäter oder kleine Banden, sondern oft um hochprofessionelle Gruppen, die in großem Stil Unternehmen und Behörden angreifen, teilweise aber auch ihrerseits Ransomware als bequem buchbare Dienstleistung für Dritte anbieten (Ransomware-as-a-Service).

Welche Auswirkung hat Künstliche Intelligenz auf Ransomware-Attacken?

Das BSI geht in seinem Lagebericht zur IT-Sicherheit 2023 davon aus, dass große KI-Sprachmodelle (LLM) zu einer Skalierung von bekannter Cyberbedrohung führen werden. Künstliche Intelligenz wird Bedrohungsakteure vor allem im Bereich des Social Engineering unterstützen. Generative KI (GenAI) kann bereits eingesetzt werden, um überzeugende Interaktionen mit Opfern zu ermöglichen. Große Sprachmodelle (LLMs) sind nicht nur Meister darin, qualitativ hochwertige Texte zu verfassen; sie können auch den Schreibstil nahezu perfekt imitieren. Diese Fähigkeit eröffnet neue Wege für Social-Engineering-Angriffe wie Spear-Phishing und CEO-Fraud, die dadurch noch überzeugender werden. Betrüger können mit KI zeitraubende Aufgaben automatisieren, um erbeutete Daten effizienter zu nutzen oder KI-Modelle weiter zu trainieren. Doch die KI in Unternehmen birgt auch Risiken: Wird sie zur Schwachstelle, können Hacker tiefer eindringen. Die Möglichkeit von LLMs, Code zu generieren, senkt zudem die Hürden für Cyberkriminalität, indem weniger technisches Know-how für die Erstellung von Schadsoftware benötigt wird. Das könnte die Zahl der potenziellen Cyberkriminellen erhöhen. Die Herausforderungen für Unternehmen im Bereich der Cyber-Sicherheit werden sich mit der Weiterentwicklung der Technologie weiter verschärfen. Dies stellt Unternehmen und Behörden vor noch nie dagewesene Herausforderungen.

Welche Risiken birgt Ransomware für Unternehmen?

Wenn Unternehmen nicht mehr in vollem Umfang auf ihre Daten zugreifen können, kann dies erhebliche Auswirkungen auf die tägliche Arbeit wichtiger Systeme haben. Die Folge ist, dass Produktionen und Prozesse nur noch eingeschränkt funktionieren oder ganz zum Erliegen kommen. Im schlimmsten Fall können Daten sogar unwiederbringlich verloren gehen. Ist kein entsprechendes Wiederherstellungskonzept im Unternehmen vorgesehen, kann dies zu hohen wirtschaftlichen Reputationsschäden und Datenschutzverletzungen führen. Sofern von einem Ransomware-Angriff auch personenbezogene Daten betroffen sind oder sein können, liegt regelmäßig auch eine Verletzung des Schutzes personenbezogener Daten vor, da zum einen durch die Verschlüsselung die Integrität und Verfügbarkeit der Daten beeinträchtigt werden kann und zum anderen durch einen möglichen Datenabzug auch die Vertraulichkeit der Daten verletzt wird. Daraus ergibt sich in der Regel auch eine Meldepflicht des Datenschutzvorfalls an die zuständige Datenschutzaufsichtsbehörde und gegebenenfalls an die betroffenen Personen.

Datenschutzaudit des BayLDA

Die Aufsichtsbehörden haben nach Art. 58 Abs. 1 DSGVO verschiedene Untersuchungsbefugnisse. Hierzu zählen auch Untersuchungen in Form von Datenschutzüberprüfungen. Im Rahmen seiner Befugnisse hat das BayLDA im Jahr 2022 ein solches Datenschutzaudit zur „Ransomware-Prävention“ durchgeführt. Mit dem Audit sollte sichergestellt werden, dass bestimmte Datenschutzkonzepte den Anforderungen der DSGVO entsprechen und somit ein Höchstmaß an Sicherheit gewährleistet ist. Die Prüfungen sollten grundlegende Sicherheitslücken oder Mängel in der IT-Organisation von Unternehmen aufzeigen, bevor es zu einem Vorfall kommt. Präventiv wurde den Unternehmen aufgezeigt, wo noch Handlungsbedarf besteht. Das BayLDA untersuchte dabei, welche TOM bereits von Unternehmen mit Sitz in Bayern gegen Ransomware-Angriffe eingesetzt wurden. Dies erfolgte mittels eines Fragebogens, der von den angefragten Unternehmen auszufüllen war. Gegenstand der Befragung waren auch Anforderungen, die im Falle eines erfolgreichen Angriffs das Schadensausmaß zumindest begrenzen können. Anknüpfungspunkt für die Prüfung ist die Verpflichtung des Verantwortlichen, geeignete Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gem. Art. 5 Abs. 1 lit. f und Art. 32 DSGVO zu treffen. Seit Februar 2024 führt das BayLDA nun Ransomware-Nachprüfungen durch. Dabei werden die Sicherheitsmaßnahmen von Unternehmen überprüft, die dem BayLDA in den vergangenen Jahren eine Datenschutzverletzung nach Art. 33 DSGVO infolge einer Ransomware-Attacke gemeldet hatten.

Grundlagen der Ransomware-Prävention für Unternehmen

Im Rahmen der Maßnahmen zur Ransomware-Prävention müssen sich Unternehmen unter anderem Fragen zur Systemlandschaft stellen. Dazu gehört unter anderem ein vollständiger und aktueller Überblick über alle im Unternehmen eingesetzten IT-Systeme und IT-Komponenten. Es sollte geprüft werden, ob es einen geregelten Update-Prozess und ein Backup-Konzept im Unternehmen gibt. Darüber hinaus sollte auch eine Kontrolle des Datenverkehrs durchgeführt werden. Ebenso wichtig wie Berechtigungskonzepte im Unternehmen sind Awareness-Schulungen für Mitarbeiter:innen.

Wie können Ransomware-Attacken verhindert werden?

Um sich bereits im Vorfeld wirksam vor Ransomware-Attacken zu schützen, ist die Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOM) unerlässlich. Eine sorgfältig zusammengestellte Checkliste enthält eine Auswahl solcher Maßnahmen, die zum Schutz vor Ransomware-Attacken beitragen können. Diese Checkliste kann heruntergeladen werden, um Organisationen und Unternehmen dabei zu unterstützen, ihre Sicherheitsvorkehrungen zu überprüfen und zu verbessern.

Einheitliche Compliance DSGVO, NIS-2 und DORA

Um ein einheitlich hohes Cybersicherheitsniveau im gesamten europäischen Raum gewährleisten zu können, wurde Ende 2022 die zweite Fassung der NIS-2 Richtlinie durch das Europäische Parlament und den Rat der EU verabschiedet. Für den Finanzsektor wurde der Digital Operational Resilience Act (DORA) verabschiedet. Die NIS-2 Richtline wird bis Oktober durch das NIS2UmsuCG in nationales Recht umgesetzt. Die NIS-2 Richtlinie und die DORA-Verordnung verpflichten die betroffenen Unternehmen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netz- und Informationssysteme zu gewährleisten. Verstöße gegen die NIS-2-Richtlinie werden mit hohen Bußgeldern geahndet. Die DORA-Verordnung selbst sieht keine Bußgelder oder strafrechtliche Sanktionen vor, es steht den Mitgliedsstaaten jedoch frei, entsprechende Sanktionen im nationalen Recht zu verankern. Für Unternehmen bietet sich hier die Chance, ein einheitliches Risikomanagementsystem zu etablieren.

Was ist noch zu tun?

Ransomware kann für Unternehmen ein existenzielles Risiko darstellen. Um Ransomware-Attacken effektiv abzuwehren, müssen unbedingt effektive TOM implementiert werden. Neben den faktischen Risiken von Ransomware-Attacken besteht bei Feststellung eines unzureichenden Datenschutzniveaus im Unternehmen immer auch die Gefahr weiterer aufsichtsrechtlicher Maßnahmen und Sanktionen. Schon aus diesem Grund sollten Unternehmen ihre Dokumentation aktualisieren und prüfen, welche Maßnahmen zur Gewährleistung der IT-Sicherheits-Compliance noch fehlen.

Gerne unterstützen wir Ihr Unternehmen bei der Implementierung effektiver technischer und organisatorischer Maßnahmen (TOM). Auch wenn Sie bereits für eine Datenschutzüberprüfung ausgewählt wurden, beraten wir Sie gerne. Kontaktieren Sie uns jetzt!

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …