In seinem aktuelle Lagebericht zur IT-Sicherheit in Deutschland 2021 legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Gefährdungslage der IT-Sicherheit in Deutschland dar. Laut BSI ist die IT-Sicherheitslage in Deutschland insgesamt angespannt bis kritisch. Ein Auslöser ist die Ausweitung der bekannten cyberkriminellen Lösegelderpressungen hin zu ergänzenden Schweigegeld- und Schutzgelderpressungen. Außerdem wurde eine Beschleunigung der Produktion neuer Schadsoftware-Varianten im Vergleich zum vorherigen Berichtszeitraum festgestellt werden. In einem früheren Beitrag haben wir bereits über Schadsoftware und die unterschiedlichen Wirkungen berichtet. Wir unterscheiden bei der Schadsoftware zwischen zwei Komponenten: dem Übertragungsmechanismus (z.B. Virus, Wurm, Trojaner) und der Schadfunktion (z.B. Spyware, Adware, Scareware, Bot-Netze, Ransomware, Crypto-Miner usw.). Der nachfolgende Beitrag soll den Blick auf die Bedrohungen durch Ransomware werfen, da der Einsatz heutzutage eine sehr gängige Methode geworden ist und sich die Bedrohungslage durch Ransomware in den letzten Jahren deutlich verschärft hat. Dies tritt insbesondere durch eine Reihe der Öffentlichkeit kommunizierter Fälle hervor. Zu nennen sind hier etwa der Angriff auf die Stadtverwaltung Dettelbach oder das Staatstheater Stuttgart.
WAS IST RANSOMWARE?
Nach der Veröffentlichung des BSI „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ verstehen wir hierunter Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt. Erfolgt der Einsatz von Ransomware wird der betroffene Nutzer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, häufig in Bitcoin zu entrichten, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante der Ransomware-Angriffe besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird. Es handelt sich bei Ransomware mithin um einen Angriff auf das Sicherheitsziel der Verfügbarkeit von Informationen bzw. Daten. Zu den gebräuchlichsten Angriffsvektoren zählen Spam, Drive-By Infektionen mittels Exploit-Kits, Schwachstellen in Servern und ungeschützte Fernzugänge. Für die Opfer ist der wesentliche Unterschied gegenüber einer Betroffenheit mit klassischer Schadsoftware, dass der Schaden unmittelbar eintritt und ganz konkrete Konsequenzen hat.
WELCHE MAßNAHMEN KÖNNEN PRÄVENTIV GETROFFEN WERDEN?
Um eine bestmögliche Schutzsphäre vor Ransomware-Angriffen aufbauen zu können, kommen einige präventive Maßnahmen in Betracht, die eine Infektion mit der Schadsoftware verhindern sollen oder auch das Schadensausmaß begrenzen können. Das BSI hat diesbezüglich ebenfalls ein Arbeitspapier in Form eines Maßnahmenkataloges veröffentlicht, in welchem eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware auf Basis der Erfahrungen bei der Fallbearbeitung gewonnen wurde. Zu den gelisteten Maßnahmen zählen insbesondere die unverzügliche Installation von Softwareupdates nach deren Bereitstellung durch den jeweiligen Softwarehersteller; die Deinstallation nicht benötigter Software, um die Angriffsfläche zu minimieren; die client- sowie serverseitige Behandlung von E-Mails hinsichtlich Darstellung, Konfiguration (bspw. Deaktivierung von Makros); Freigabe nur notwendiger Dienste und Ports; Nutzung von Spamfiltern usw.); Nutzung zentraler Datensicherungen und Minimierung lokaler Speicherung von Daten; Netzwerksegmentierung; Sicherung von Remote-Zugängen; Nutzung eines aktuellen Virenschutzes; Umsetzung eines Back-up/Datensicherungskonzeptes; Durchführung von Mitarbeitersensibilisierungen und Schulungen zur Steigerung von Awareness; Schwachstellenscans sowie Penetrationstests und vieles mehr.
WELCHE MAßNAHMEN SIND REAKTIV ZU TREFFEN?
Sollte es trotz der getroffenen Präventionsmaßnahmen zu einem Sicherheitsvorfall mit Ransomware kommen, gilt es zum einem mit Bedacht zu handeln und zum anderen eine Reihe von reaktiven Maßnahmen in Betracht zu ziehen. Zunächst stellt sich die Frage nach dem Umgang mit den Lösegeldforderungen. Das BSI rät hier nachdrücklich dazu angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückzugreifen und nicht zu zahlen. Jede erfolgreiche Erpressung zeigt den Erfolg und motiviert die Angreifer mit ihrem Vorgehen weiterzumachen. Weiterhin kann die Zahlung der Lösegeldsumme zur Finanzierung der Weiterentwicklung und Verbreitung der Schadsoftware genutzt werden. Es gibt insoweit keine Sicherheit für die Opfer, dass die Angreifer nach Vornahme der Zahlung tatsächlich die Daten lösche oder zurückspielen. Wichtiger Punkt ist zudem die Erstattung einer polizeilichen Strafanzeige. Das BSI empfiehlt weiterhin im Rahmen des Incident Response zur Begrenzung des möglichen Schadens die infizierten Systeme zunächst umgehend vom Netz zu trennen. Am schnellsten geht dies durch die Trennung des Netzwerkkabel vom Computer und die Abschaltung etwaiger WLAN-Adapter. Bei der Identifikation der betroffenen Systeme helfen Logdaten, anhand derer bspw. Zugriffe auf Netzwerklaufwerke erkannt werden können. Daneben bedarf es der Entscheidung, ob eine forensische Untersuchung durchgeführt werden soll. Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Bevor mit der Datenwiederherstellung begonnen wird, ist eine Neuinstallation des infizierten Systems erforderlich. Unter Umständen bedarf es des Rückgriffs auf externe Expertise durch einen fachkundigen Dienstleister.
Darüber hinaus ist eine Auseinandersetzung mit geltenden Verpflichtungen des IT-Sicherheitsrechtes hinsichtlich gesetzlicher Melde- und Informationspflichten an die zuständigen Behörden erforderlich. Ransomware-Vorfälle können eine Meldepflicht bei der zuständigen Datenschutz-Aufsichtsbehörde auslösen. Über das Bestehen der Meldepflicht nach Art. 33 DS-GVO bei IT-Sicherheitsvorfällen haben wir bereits berichtet. Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert und setzt eine Verletzung der Sicherheit voraus. Erforderlich bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen von Art. 33 DS-GVO ist stets eine exakte Betrachtung und Bewertung des Vorfalls. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar. Die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss (EDSA) „on Examples regarding Personal Data Breach Notification“ enthält unter Ziff. 2 ebenfalls Ausführungen hinsichtlich der Betroffenheit von Ransomware-Vorfällen. In vier verschiedenen Fällen stellt der EDSA die unterschiedliche Handhabung von Ransomware-Angriffen hinsichtlich des Bestehens einer Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO gegenüber dem Vorliegen von Melde- und Informationspflichten nach Art. 33 Abs. 1 und Art. 34 Abs. 1 DS-GVO. Entscheidend für die Differenzierung ist u.a., ob Datenverlust eingetreten ist, ob die Daten unbefugten Dritten zugänglich gemacht wurden und ob es zu einer unbefugten/unbeabsichtigten Datenänderung gekommen ist. Hiernach ist in die Betrachtung einzubeziehen, ob die Daten vor Abfluss verschlüsselt waren – z-B- im Fall von Datenspeichern – und den Angreifern die notwendige Kenntnis zur Entschlüsselung fehlt, ob die – möglichst vollständigen – Protokollierungen tatsächlich einen Datenabfluss verzeichnen, ob ein vollständiges und funktionierendes Back-up vorliegt, welche Zeitspanne zwischen Bekanntwerden des Angriffs und Trennung der betroffenen Systeme vergangen ist (Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich) und welche Auswirkungen auf den konkreten Betrieb der Systeme festgestellt werden können. Neben der Meldepflicht gemäß Art. 33 DS-GVO können weitere – teilweise sektorspezifische Melde- und Informationspflichten – einschlägig sein. Hinzuweisen ist vor allem auf die Meldepflichten nach § 8b Abs. 4 BSI-Gesetz (BSIG) für Betreiber kritischer Infrastrukturen oder nach § 168 Telekommunikationsgesetz für Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste. Bedeutung erlangen zudem insbesondere § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz.
FAZIT
Einen vollständigen Schutz vor Ransomware-Angriffen wird es nicht geben können. Zu dynamisch ist die Fortentwicklung von Angriffsvektoren und -zielen. Organisationen ist daher anzuraten die seitens des BSI empfohlenen präventiven Maßnahmen zu berücksichtigen und bestmöglich umzusetzen. Sollte es dennoch zu einem Sicherheitsvorfall kommen, empfiehlt sich schnellstmögliches Handeln, um die Auswirkungen abschwächen zu können. Hierfür ist ein funktionierendes Incident Response System unerlässlich.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
