Ransomware-Prävention – Wie Unternehmen Attacken vorbeugen können

Cyberattacken – insbesondere Ransomware-Angriffe – gegen Unternehmen häufen sich zusehends und werden von vielen mittlerweile als größte unternehmensgefährdende Risiken eingestuft. Auch Cyberversicherungen lehnen mittlerweile immer öfter Anfragen ab. Umso wichtiger ist es, dass Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz gegen Ransomware-Attacken treffen. Präventive Maßnahmen zur Cybersicherheit dienen dem angemessenen und wirksamen Schutz personenbezogener Daten vor den täglichen Gefahren im digitalen Zeitalter. Auch die Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche solche TOM zur Gewährleistung der Datensicherheit zu ergreifen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun angekündigt, zufällig ausgewählte Unternehmen in Bayern hinsichtlich entsprechender TOM zu prüfen. Das BayLDA möchte dabei ermitteln, welche TOM von Unternehmen als präventive Schutzmaßnahmen vorgesehen sind. Darüber hinaus möchte es untersuchen, welche Sicherheitsanforderungen geeignet sein können, um einen Ransomware-Angriff abzuwehren oder den Schaden zu begrenzen.

Näheres zu Ransomware-Angriffen, wie die BayLDA vorgeht und was Unternehmen bei Ransomware-Attacken beachten müssen, erläutern wir Ihnen im Folgenden.

Wer muss für Cybersicherheit sorgen?

Zunächst gilt zu klären, wer nach der DSGVO überhaupt geeignete TOM zum Zwecke der Cybersicherheit ergreifen muss. Unternehmen, die personenbezogene Daten verarbeiten, müssen den Anforderungen der DSGVO gerecht werden. Dabei müssen sie sowohl als Verantwortlicher, als auch als Auftragsverarbeiter geeignete TOM implementieren. Dies dient dem Schutz der Rechte der betroffenen Personen und gewährleistet, dass die Verarbeitung mit der DSGVO in Einklang steht. Verantwortlicher ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter ist diejenige Stelle, die personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet. Beide haben dafür zu sorgen, dass entsprechende TOM gewährleistet werden. In die Prüfung durch das BayLDA sind primär bayerische Wirtschaftsunternehmen, freiberuflich Tätige sowie Vereine und Verbände einbezogen.

Was ist eine Ransomware-Attacke?

Ransomware-Attacken (aus dem Englischen ransom für „Lösegeld“) sind Sicherheitsvorfälle, bei denen die Systeme der Betroffenen angegriffen und die gespeicherten Daten (teil-)verschlüsselt werden. Auch eine komplette System-Blockade ist möglich. Die Entschlüsselung der Daten wird dann durch die Zahlung eines entsprechenden Lösegeldes erpresst. Deswegen sind auch verschiedene andere Bezeichnungen wie Erpressungs- oder Kryptotrojaner im Umlauf. Zum Teil werden auch zugleich Daten in unverschlüsselter Form abgezogen, um der Drohung, die Daten öffentlich zu machen oder weiterzugeben, Nachdruck zu verleihen. Ransomware kann unter anderem durch präparierte E-Mail-Anhänge (beliebt sind etwa schadhafte Makros in Office-Dateien), maliziöse Links oder Sicherheitslücken in Webbrowsern auf den Computer oder andere Endgeräte gelangen. Dabei schleusen die Täter Schadcode ein, der die Daten dann verschlüsselt und ggf. auf einen von den Angreifern kontrollierten Server hochlädt. Die Ransomware ist dabei in aller Regel so gestaltet, dass sie sich auf das Netzwerk des Unternehmens ausbreitet und so zur Verschlüsselung eines Großteils der Unternehmensdaten und in der Folge zum Stillstand des gesamten Unternehmens führen kann. Zur Zahlung der erpressten Summe greifen die Kriminellen in der Regel auf weitgehend anonyme Kryptowährungen wie Bitcoin zurück. Bei den Angreifern handelt es sich dabei keineswegs nur um einzelne Kriminelle oder kleine Banden, sondern oft um hochprofessionelle Gruppen, die in großem Stil Unternehmen und Behörden angreifen, aber auch ihrerseits teilweise Ransomware als komfortabel buchbaren Service für Dritte anbieten (Ransomware-as-a-Service).

Die Risiken einer Ransomware-Attacke für Unternehmen

Haben Unternehmen keinen vollen Zugriff mehr auf Daten, kann dies erhebliche Auswirkungen auf die tägliche Arbeit wichtiger Systeme bedeuten. Das hat zur Folge, dass Produktionen und Abläufe nur noch eingeschränkt funktionieren oder komplett stillstehen. Im schlimmsten Fall können die Daten sogar unwiderruflich verloren gehen. Sollte kein entsprechendes Wiederherstellungs-Konzept im Unternehmen vorgesehen sein, kann dies zu hohen wirtschaftlichen Reputationsschäden und zu Datenschutzverletzungen führen. Sofern von einem Ransomware-Angriff auch personenbezogene Daten betroffen sind bzw. sein können, liegt regelmäßig auch eine Verletzung des Schutzes personenbezogener Daten vor, da durch die Verschlüsselung zum einen die Integrität und Verfügbarkeit der Daten beeinträchtigt sein kann und zum anderen durch einen etwaigen Datenabzug auch die Vertraulichkeit der Daten verletzt wäre. In der Folge entsteht in der Regel auch die Pflicht zur Meldung des Datenschutzvorfalls an die zuständige Datenschutz-Aufsichtsbehörde und ggf. auch die betroffenen Personen. Ein Ransomware-Angriff kann also mit erheblichen Schäden einhergehen, die ein Stillstand des Betriebs oder der (temporäre oder dauerhafte) Verlust wichtiger Daten mit sich bringt. Darüber hinaus sind immer auch Reputationsschäden zu befürchten, wenn Kunden oder die Öffentlichkeit von dem Ransomware-Vorfall erfahren.

---

Das könnte Sie auch interessieren:

• Unsere Top 10 – Die meistgelesenen Blogartikel des Jahres 2021
• Referentenentwurf für das IT-Sicherheitsgesetz 2.0: Verbraucherschutz und neue Unternehmenspflichten
• Augen auf bei Zoom: Herausforderungen im Datenschutz

Beispiel: Die Sicherheitslücke „Log4Shell“ als Einfallstor für Ransomware

Die Sicherheitslücke Log4Shell war in den letzten Wochen brisantes Thema. Dabei handelt es sich um eine Sicherheitslücke im Java-Logging-Framework Log4j, die nahezu als Standard für Protokollierungen von Programmaktivitäten (Logging) in Java gilt. Sie ist damit Bestandteil von unzähligen kommerziellen und quelloffenen Produkten. Log4j behandelt Daten, die von außerhalb des Systems kommen, wie Java-Objekte. Das heißt, der von außerhalb des Systems kommende Dateipfad wird von Log4j nicht nur als Text in eine Logdatei (Protokolldatei) geschrieben, sondern wird direkt als Befehl im System ausgeführt. Zweck dieser Protokolle ist unter anderem die Möglichkeit zur Fehlersuche innerhalb von Software. Das sofortige Umsetzen eines Dateipfades, der eigentlich nur protokolliert wurde, hat Cyberkriminelle aufhorchen lassen. Die Sicherheitslücke Log4Shell ist deshalb so gefährlich, da Cyberkriminelle Eingaben innerhalb der Log4j-Software vornehmen und dadurch Schadcodes direkt einführen können oder sogar die Kontrolle über ein gesamtes System übernehmen können. Log4Shell bietet daher eine ideale Möglichkeit zur Einführung einer Ransomware in Millionen von Systemen.

Vorgehen des BayLDA

Den Aufsichtsbehörden kommen verschiedene Untersuchungsbefugnisse gem. Art. 58 Abs. 1 DSGVO zu. Dazu zählen auch Untersuchungen in Form von Datenschutzüberprüfungen. Im Rahmen seiner Befugnisse führt das BayLDA ein solches Datenschutzaudit zur „Ransomware Prävention“ durch. Das Audit soll gewährleisten, dass gewisse Datenschutzkonzepte den Maßgaben der DSGVO genügen und somit maximale Sicherheit besteht. Die Prüfungen sollen grundlegende Sicherheitslücken oder Mängel in der IT-Organisation von Unternehmen bereits vor einem Vorfall aufzeigen. Präventiv werden Unternehmen darauf aufmerksam gemacht, wo noch Bedarf an durchzuführenden Maßnahmen besteht. Dabei untersucht das BayLDA die bereits von Unternehmen mit Sitz in Bayern gegen Ransomware-Angriffe eingesetzten TOM. Dies erfolgt per Fragebogen, der von den angefragten Unternehmen auszufüllen ist. Die Untersuchung erstreckt sich auch auf solche Anforderungen, die zumindest das Ausmaß des Schadens bei einem erfolgreichen Angriff begrenzen können. Anknüpfungspunkt für die Prüfung ist die Verpflichtung des Verantwortlichen, sachgerechte Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO zu ergreifen.

Der Fragebogen

Im Fragebogen müssen Unternehmen verschiedene Fragen zur Ransomware-Prävention beantworten. Darunter sind unter anderem Fragen zur Systemlandschaft. Dies betrifft einen vollständigen und aktuellen Überblick über alle eingesetzten IT-Systeme und IT-Komponenten im Unternehmen. Darüber hinaus wird abgefragt, ob ein geregelter Update-Prozess und ein Backup-Konzept im Unternehmen bestehen. Außerdem müssen Angaben zur Überprüfung des Datenverkehrs gemacht werden. Schließlich enthält der Fragebogen, ob Awareness-Schulungen für Mitarbeiter:innen angeboten werden und wie Berechtigungskonzepte im Unternehmen aussehen. Zur Unterstützung der Beantwortung der Fragen stellt das BayLDA eine sehr hilfreiche Handreichung zum Prüfbogen bereit, die checklistenartig aufführt, welche einzelnen Maßnahmen für das jeweilige Themengebiet relevant sein können.

Prävention

Um sich bereits im Vorfeld vor Ransomware-Attacken zu schützen, müssen geeignete TOM implementiert werden. Die Handreichung zum Prüfbogen enthält einige solcher geeigneter TOM, um sich vor Ransomware-Attacken zu schützen. Darunter zum Beispiel:

• Eine vollständige und aktuelle Liste aller vorhandenen PCs und Notebooks oder sonstigen mobilen Endgeräte samt Betriebssystem und jeweiliger Version
• Ein vollständiger und aktueller Netzwerkplan mit allen intern und extern betriebenen IT-Systemen unter Berücksichtigung aktiver und passiver Netzkomponenten (beispielsweise Firewalls oder VPN-Appliances)
• Programme, die das Ausführen von Software ohne valide Authentizität durch das Betriebssystem verhindern
• Browser-Plugins wie z.B. Flash und Java werden nur installiert, wenn eine Anwendung dies unbedingt erforderlich macht
• E-Mails mit gefährlichen Dateianhängen wie ausführbare Dateien, mit Passwort verschlüsselten ZIP-Archive oder Office-Dokumente mit Makros werden vom Mailserver in einen Quarantäne-Ordner zur Analyse verschoben
• Alle PCs sind so konfiguriert, dass Softwareupdates des Betriebssystems automatisch eingespielt werden
• Ausschließlicher Einsatz solcher Betriebssysteme, deren Hersteller (noch) Sicherheitsupdates zur Verfügung stellt
• Durchführung von Backups nach der 3-2-1 Regel: 3 Datenspeicherungen der Originaldaten, 2 verschiedene Backupmedien (auch offline), 1 Backup an einem externen Standort
• Dokumentierte Regelung, welche Daten von welchen Servern oder PCs in ein Backup-Konzept aufgenommen werden
• Der zentrale Internetübergangspunkt vom internen Netzwerk zum Internet ist mittels einer Firewall abgesichert
• Sensibilisierung (neuer) Beschäftigter bezüglich IT-Risiken vor der Aufnahme der Datenverarbeitung
• Informationen an die Mitarbeiter über Meldewege und Zuständigkeiten

Fazit

Ransomware kann mit existenziellen Risiken für Unternehmen bergen und geht oft auch mit erheblichen Risiken für die Rechte und Freiheiten natürlicher Personen einher. Um eine Ransomware-Attacke effektiv abzuwehren, müssen unbedingt effektive TOM implementiert werden. Eine Auswertung der Prüf-Kampagne des BayLDA wurde noch nicht veröffentlicht. Auch wenn diese Überprüfung derzeit nur vom BayLDA durchgeführt wird, ist nicht auszuschließen, dass andere Aufsichtsbehörden ebenfalls vergleichbare Prüfungen durchführen werden. Neben den faktischen Risiken von Ransomware-Angriffen besteht im Falle der Feststellung eines unzureichenden Datenschutzniveaus im Unternehmen immer auch das Risiko weiterer aufsichtsbehördlicher Maßnahmen. Schon allein aus diesem Grund sollten Unternehmen ihre Dokumentation aktualisieren und prüfen, welche Maßnahmen ggf. noch fehlen.

Hier finden Sie das Informationsblatt zur Aufklärung über Ransomware-Präventionsprüfung der BayLDA.

Gerne unterstützen wir Ihr Unternehmen bei der Implementierung effektiver technischer und organisatorischer Maßnahmen (TOM). Wir beraten Sie auch gerne, wenn Sie bereits für eine Datenschutzüberprüfung ausgewählt wurden. Kontaktieren Sie uns jetzt!