RANSOMWARE-ANGRIFF: WAS NUN?

In seinem aktuelle Lagebericht zur IT-Sicherheit in Deutschland 2021 legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Gefährdungslage der IT-Sicherheit in Deutschland dar. Laut BSI ist die IT-Sicherheitslage in Deutschland insgesamt angespannt bis kritisch. Ein Auslöser ist die Ausweitung der bekannten cyberkriminellen Lösegelderpressungen hin zu ergänzenden Schweigegeld- und Schutzgelderpressungen. Außerdem wurde eine Beschleunigung der Produktion neuer Schadsoftware-Varianten im Vergleich zum vorherigen Berichtszeitraum festgestellt werden. In einem früheren Beitrag haben wir bereits über Schadsoftware und die unterschiedlichen Wirkungen berichtet. Wir unterscheiden bei der Schadsoftware zwischen zwei Komponenten: dem Übertragungsmechanismus (z.B. Virus, Wurm, Trojaner) und der Schadfunktion (z.B. Spyware, Adware, Scareware, Bot-Netze, Ransomware, Crypto-Miner usw.). Der nachfolgende Beitrag soll den Blick auf die Bedrohungen durch Ransomware werfen, da der Einsatz heutzutage eine sehr gängige Methode geworden ist und sich die Bedrohungslage durch Ransomware in den letzten Jahren deutlich verschärft hat. Dies tritt insbesondere durch eine Reihe der Öffentlichkeit kommunizierter Fälle hervor. Zu nennen sind hier etwa der Angriff auf die Stadtverwaltung Dettelbach oder das Staatstheater Stuttgart.


WAS IST RANSOMWARE?

Nach der Veröffentlichung des BSI „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ verstehen wir hierunter Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt. Erfolgt der Einsatz von Ransomware wird der betroffene Nutzer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, häufig in Bitcoin zu entrichten, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante der Ransomware-Angriffe besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird. Es handelt sich bei Ransomware mithin um einen Angriff auf das Sicherheitsziel der Verfügbarkeit von Informationen bzw. Daten. Zu den gebräuchlichsten Angriffsvektoren zählen Spam, Drive-By Infektionen mittels Exploit-Kits, Schwachstellen in Servern und ungeschützte Fernzugänge. Für die Opfer ist der wesentliche Unterschied gegenüber einer Betroffenheit mit klassischer Schadsoftware, dass der Schaden unmittelbar eintritt und ganz konkrete Konsequenzen hat.


WELCHE MAßNAHMEN KÖNNEN PRÄVENTIV GETROFFEN WERDEN?

Um eine bestmögliche Schutzsphäre vor Ransomware-Angriffen aufbauen zu können, kommen einige präventive Maßnahmen in Betracht, die eine Infektion mit der Schadsoftware verhindern sollen oder auch das Schadensausmaß begrenzen können. Das BSI hat diesbezüglich ebenfalls ein Arbeitspapier in Form eines Maßnahmenkataloges veröffentlicht, in welchem eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware auf Basis der Erfahrungen bei der Fallbearbeitung gewonnen wurde. Zu den gelisteten Maßnahmen zählen insbesondere die unverzügliche Installation von Softwareupdates nach deren Bereitstellung durch den jeweiligen Softwarehersteller; die Deinstallation nicht benötigter Software, um die Angriffsfläche zu minimieren; die client- sowie serverseitige Behandlung von E-Mails hinsichtlich Darstellung, Konfiguration (bspw. Deaktivierung von Makros); Freigabe nur notwendiger Dienste und Ports; Nutzung von Spamfiltern usw.); Nutzung zentraler Datensicherungen und Minimierung lokaler Speicherung von Daten; Netzwerksegmentierung; Sicherung von Remote-Zugängen; Nutzung eines aktuellen Virenschutzes; Umsetzung eines Back-up/Datensicherungskonzeptes; Durchführung von Mitarbeitersensibilisierungen und Schulungen zur Steigerung von Awareness; Schwachstellenscans sowie Penetrationstests und vieles mehr.  


WELCHE MAßNAHMEN SIND REAKTIV ZU TREFFEN?

Sollte es trotz der getroffenen Präventionsmaßnahmen zu einem Sicherheitsvorfall mit Ransomware kommen, gilt es zum einem mit Bedacht zu handeln und zum anderen eine Reihe von reaktiven Maßnahmen in Betracht zu ziehen. Zunächst stellt sich die Frage nach dem Umgang mit den Lösegeldforderungen. Das BSI rät hier nachdrücklich dazu angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückzugreifen und nicht zu zahlen. Jede erfolgreiche Erpressung zeigt den Erfolg und motiviert die Angreifer mit ihrem Vorgehen weiterzumachen. Weiterhin kann die Zahlung der Lösegeldsumme zur Finanzierung der Weiterentwicklung und Verbreitung der Schadsoftware genutzt werden.  Es gibt insoweit keine Sicherheit für die Opfer, dass die Angreifer nach Vornahme der Zahlung tatsächlich die Daten lösche oder zurückspielen. Wichtiger Punkt ist zudem die Erstattung einer polizeilichen Strafanzeige. Das BSI empfiehlt weiterhin im Rahmen des Incident Response zur Begrenzung des möglichen Schadens die infizierten Systeme zunächst umgehend vom Netz zu trennen. Am schnellsten geht dies durch die Trennung des Netzwerkkabel vom Computer und die Abschaltung etwaiger WLAN-Adapter. Bei der Identifikation der betroffenen Systeme helfen Logdaten, anhand derer bspw. Zugriffe auf Netzwerklaufwerke erkannt werden können. Daneben bedarf es der Entscheidung, ob eine forensische Untersuchung durchgeführt werden soll. Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Bevor mit der Datenwiederherstellung begonnen wird, ist eine Neuinstallation des infizierten Systems erforderlich. Unter Umständen bedarf es des Rückgriffs auf externe Expertise durch einen fachkundigen Dienstleister.

Darüber hinaus ist eine Auseinandersetzung mit geltenden Verpflichtungen des IT-Sicherheitsrechtes hinsichtlich gesetzlicher Melde- und Informationspflichten an die zuständigen Behörden erforderlich. Ransomware-Vorfälle können eine Meldepflicht bei der zuständigen Datenschutz-Aufsichtsbehörde auslösen. Über das Bestehen der Meldepflicht nach Art. 33 DS-GVO bei IT-Sicherheitsvorfällen haben wir bereits berichtet. Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert und setzt eine Verletzung der Sicherheit voraus. Erforderlich bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen von Art. 33 DS-GVO ist stets eine exakte Betrachtung und Bewertung des Vorfalls. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar. Die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss (EDSA) „on Examples regarding Personal Data Breach Notification“ enthält unter Ziff. 2 ebenfalls Ausführungen hinsichtlich der Betroffenheit von Ransomware-Vorfällen. In vier verschiedenen Fällen stellt der EDSA die unterschiedliche Handhabung von Ransomware-Angriffen hinsichtlich des Bestehens einer Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO gegenüber dem Vorliegen von Melde- und Informationspflichten nach Art. 33 Abs. 1 und Art. 34 Abs. 1 DS-GVO. Entscheidend für die Differenzierung ist u.a., ob Datenverlust eingetreten ist, ob die Daten unbefugten Dritten zugänglich gemacht wurden und ob es zu einer unbefugten/unbeabsichtigten Datenänderung gekommen ist. Hiernach ist in die Betrachtung einzubeziehen, ob die Daten vor Abfluss verschlüsselt waren – z-B- im Fall von Datenspeichern – und den Angreifern die notwendige Kenntnis zur Entschlüsselung fehlt, ob die – möglichst vollständigen – Protokollierungen tatsächlich einen Datenabfluss verzeichnen, ob ein vollständiges und funktionierendes Back-up vorliegt, welche Zeitspanne zwischen Bekanntwerden des Angriffs und Trennung der betroffenen Systeme vergangen ist (Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich) und welche Auswirkungen auf den konkreten Betrieb der Systeme festgestellt werden können. Neben der Meldepflicht gemäß Art. 33 DS-GVO können weitere – teilweise sektorspezifische Melde- und Informationspflichten – einschlägig sein. Hinzuweisen ist vor allem auf die Meldepflichten nach § 8b Abs. 4 BSI-Gesetz (BSIG) für Betreiber kritischer Infrastrukturen oder nach § 168 Telekommunikationsgesetz für Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste. Bedeutung erlangen zudem insbesondere § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz.


FAZIT

Einen vollständigen Schutz vor Ransomware-Angriffen wird es nicht geben können. Zu dynamisch ist die Fortentwicklung von Angriffsvektoren und -zielen. Organisationen ist daher anzuraten die seitens des BSI empfohlenen präventiven Maßnahmen zu berücksichtigen und bestmöglich umzusetzen. Sollte es dennoch zu einem Sicherheitsvorfall kommen, empfiehlt sich schnellstmögliches Handeln, um die Auswirkungen abschwächen zu können. Hierfür ist ein funktionierendes Incident Response System unerlässlich.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • IT-Sicherheit
  • Meldepflichten
  • Ransomware
  • Technische-organisatorische Maßnahmen
Lesen

DER „STAND DER TECHNIK“

„Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“. Ähnlich zu dieser Art. 32 Datenschutz-Grundverordnung (DS-GVO) entstammenden Regelung ergeben sich die hinsichtlich bestimmter Produkte oder Sektoren einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, Art. 52 Abs. 7 Satz 1 Rechtsakt zur Cybersicherheit (CSA-VO), § 19 Abs. 4 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)). Im IT-Sicherheits- und Datenschutzrecht wird zur Bestimmung eines entsprechenden Schutzniveaus in letzter Konsequenz all zu oft auf den unbestimmten Rechtsbegriff „Stand der Technik“ zurückgegriffen. Doch was verstehen wir unter diesem Begriff und wie ist der „Stand der Technik“ in der Praxis zu bestimmen. Mit diesen Fragen soll sich der nachfolgende Beitrag näher befassen.


WARUM BEZIEHEN WIR UNS AUF DEN „STAND DER TECHNIK“?

Bei der Begrifflichkeit „Stand der Technik“ handelt es sich insoweit um einen unbestimmten Rechtsbegriff. Durch die Verwendung unbestimmter Rechtsbegriffe soll eine bestimmte zu erfüllende Anforderung geregelt, jedoch nicht festgelegt werden, wie diese Anforderung im Einzelnen ausgestaltet sind. Unbestimmte Rechtsbegriffe sind grundsätzlich uneingeschränkt gerichtlich überprüfbar. Die Anforderungen an die konkrete Bestimmbarkeit hängen wiederrum von den Eigenarten des zu regelnden Sachbereiches, insbesondere hinsichtlich Ausmaßes, Art und Intensität von Grundrechtseingriffen, ab.

Vor allem aufgrund der dynamischen Technologieentwicklung kommt dem Begriff „Stand der Technik“ im IT-Sicherheits- und Datenschutzrecht besondere Bedeutung zu, da durch die Verwendung dieses zunächst unbestimmten Rechtsbegriffs, entsprechende Flexibilität bei der Festlegung des Sicherheitsniveaus gewahrt werden kann. Der technische Fortschritt unterliegt aufgrund der hohen Dynamik technischer Innovationen und den damit einhergehenden immer kürzeren Innovationszyklen zugleich sich kontinuierlich ändernden Anforderungen an das zu bestimmende Sicherheitsniveau. Insbesondere wegen der zunehmenden Komplexität von IT-Systemen ist eine absolute Sicherheit nicht erreichbar. Eine weitergehende Konkretisierung des Begriffs erfolgt daher regelmäßig nicht. Entscheidend für die tatsächliche Bestimmbarkeit des jeweiligen Sicherheitsniveaus ist mithin die tatsächliche Bestimmbarkeit des jeweiligen Stands der Technik.


WAS IST DER „STAND DER TECHNIK“?

Der Rechtsbegriff „Stand der Technik“ hat eine längere Entwicklung zurückgelegt als es seine aktuelle Verwendung im IT-Sicherheits- und Datenschutzrecht aufgrund zunehmender Implikationen in Gesetzen vermuten lässt. In den jüngeren Gesetzgebungsverfahren hat der Begriff – wie eingangs erwähnt – immer häufiger zur Bestimmung eines Technologieniveaus herangezogen. In den europarechtliche Normen Art. 32 DS-GVO sowie Art. 14 der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) erfolgt eine die Verwendung des Begriffs „state oft the art“.

In seiner Kalkar-I-Entscheidung beschäftigte sich das Bundesverfassungsgericht 1978 (BVerfG, Beschl. v. 8.8.1978 – 2 BvL 8/77) erstmals mit den Begriffen „anerkannten Regeln der Technik“, „Stand von Wissenschaft und Technik“ und „Stand der Technik“ und so mit der heute bekannten „Drei-Stufen-Theorie. Das Technologieniveau „Stand der Technik“ ist zwischen dem Technologiestand „Stand der Wissenschaft und Forschung“ und dem Technologiestand „allgemeinanerkannten Regeln der Technik“ einzuordnen. Eingegrenzt werden die drei Begriffe zum Technologieniveau zudem durch die „Allgemeine Anerkennung“ sowie die „Bewährung in der Praxis“. Eine Unterscheidung zwischen den drei Begrifflichkeiten ist die wesentliche Grundlage für die Bestimmung des geforderten Technologiestandes. In der Praxis kommt es noch zu häufig zu einer Vermischung und somit keiner trennscharfen Unterscheidung der Begrifflichkeiten. Den „Stand der Technik“ bestimmt das BVerfG als Front der technischen Entwicklung. Somit umfasst der „Stand der Technik“ nicht die beste zur Verfügung stehende Technologie, sondern jene fortschrittlichen Verfahren, die in hinreichendem Maße zur Verfügung stehen und auf gesicherten Erkenntnissen beruhen oder mit Erfolg erprobt wurden. Kurz gesagt: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung eines IT-Sicherheitsziel. Für die Bestimmung eines erforderlichen Sicherheitsniveaus eignet sich daher der Begriff „Stand der Technik“ besonders gut, vollziehen sich IT-Sicherheits- und Datenschutzrecht nicht als wissenschaftliche Konzeption, die sich nach Theoriestatus und Erprobung in der Praxis zu einem anerkannten Standard manifestieren. Von Vorteil ist insoweit, dass eine dynamische in Bezugnahme möglich ist, da auf eine allgemeine Anerkennung verzichtet wird. Dies ist wiederrum erforderlich, um dem technischen Fortschritt gerecht zu werden. Trotz oder vielleicht gerade aufgrund seiner des häufigen Gebrauchens führt die Auslegung sowie Anwendung des „Stand der Technik“ in der Praxis zuweilen jedoch zu ungeahnten Schwierigkeiten.


WIE KÖNNEN WIR DEN STAND DER TECHNIK BESTIMMEN?

Es beststehen zuweilen Verwendungssituationen, in denen direkt aus dem Gesetz durch einen Verweis auf eine technische Norm der „Stand der Technik“ näher bestimmt wird, so beispielsweise in § 18 Abs. 2 Satz 2 De-Mail-Gesetz mit dem Verweis auf die Technische Richtlinie 01201 De-Mail des Bundesamt für Sicherheit in der Informationssicherheit (BSI). Zur weiteren Konkretisierung kann regelmäßig eine Orientierung mittels des sogenannten Soft Law in Form von „branchenüblichen Normen und Standards“ erfolgen. Hierfür kommen eine Reihe nationaler wie auch internationaler technischer Normen, Best Practice, Praxisleitfäden und vergleichbarer Standards in Betracht. Zu nennen sind insbesondere DIN-Normen vom Deutschen Institut für Normung sowie ISO-Normen der International Organisation for Standardization mit Bezug zur IT-Sicherheit wie beispielsweise DIN ISO 19600 für den Inhalt von Compliance Management Systeme, ISO 20000 für IT-Service Management, ISO/IEC 27000-Reihe für Informationssicherheits-Managementsysteme, ISO/IEC 27018 mit datenschutzrechtlichen Anforderungen für Cloud-Anbieter oder die IEC 62443 im Bereich IT-Sicherheit für industrielle Systeme. Von zunehmender Bedeutung sind zudem das IT-Grundschutz-Kompendium des BSI sowie Praxisleitfäden von Interessenverbänden, beispielsweise Bitkom-Kompass für IT-Sicherheitsstandards oder die Handreichung des TeleTrust Bundesverband IT-Sicherheit e.V. Bei diesen technisch geprägten Standards handelt es sich nicht per se um verbindliche Rechtsnormen, sondern laut eines Urteil des Bundesgerichtshof (BGH, Urt. v. 22.8.2019 – III ZR 113/18) vielmehr um „private Regelwerke mit Empfehlungscharakter“.  Dennoch sind diese Regelungswerke zugleich bei der Frage, ob ein bestimmter Sicherheitsstandard eingehalten wird, zur Auslegung heranzuziehen.  Im Grundsatz tragen die technischen Normen und Standards die widerlegliche Vermutung in sich, den aktuellen Stand der Technik einzuhalten. Weiterhin mögen die technischen Normen, Standards und Regelwerke im Ergebnis zwar als unverbindlich und daher als nicht durchsetzbar gelten, entfalten sich durch ihre branchenweite Befolgung aber zunehmende faktische Verbindlichkeit. Jedoch birgt auch die Verwendung derartiger Standards Probleme, welche insbesondere mit Blick auf die ISO-27000-Reihe oder IT-Grundschutz-Kompendium im unterschiedlichen Verwendungs- und Umsetzungsgrad und mithin einer fehlenden Vergleichbarkeit bei der Umsetzung zu sehen sein können. Darüber hinaus unterliegen viele der genannten Standards einer hohen Abstraktheit, was gleichwohl bei den Rechtsanwendern zu einer Scheinsicherheit führt.


FAZIT

Der Umgang und die Verwendung mit dem unbestimmten Rechtsbegriff Stand der Technik gestaltet sich in der Praxis alles andere als leicht. So zwingend die Verwendung des unbestimmten Rechtsbegriffs ist, um auf den stetig technischen Fortschritt und die IT-Systemen innewohnende Dynamik mit größtmöglicher Flexibilität zu reagieren. Umso schwieriger erscheint die tatsächliche Bestimmung des entsprechend einzuhaltenden Schutzniveaus, selbst unter Heranziehung branchenüblicher Normen und Standards.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Informationssicherheit
  • IT-Grundschutz
  • Stand der Technik
  • Technische-organisatorische Maßnahmen
Lesen

SCHADSOFTWARE

Schadsoftware oder oftmals auch „Malware“ (malicious software – bösartiges Programm) genannt, dient dem Ziel, Endgeräte zu infizieren, unerwünschte Operationen auszuführen und die jeweilige betroffene Person dadurch zu schädigen. Man kennt Schadsoftware auch unter den Begriffen „Virus“, „Wurm“ oder „Trojaner“. Doch wo liegen die Unterschiede? Welche weiteren Arten von Schadsoftware gibt es noch? Wie kann ich gegebenenfalls erkennen, dass ein Endgerät mit Schadsoftware befallen ist und wie schütze ich mich bestmöglich davor? Diese Fragen soll der nachfolgende Beitrag klären.


WELCHE ARTEN VON SCHADSOFTWARE GIBT ES?

Je nach Art und Weise des Befalls sowie der Wirkungsweise von Schadsoftware, kann diese in unterschiedliche Kategorien unterteilt werden. Dabei ist zu berücksichtigen, dass bestimmte Schadsoftwares Bestandteile oder Wirkungsweisen vieler verschiedener Kategorien aufweisen können. Eine trennscharfe Abgrenzung ist meist nicht möglich. Dennoch ist es wichtig, die verschiedenen Arten und Wirkungsweisen zu kennen. Die eigene Sensibilisierung zu diesem Thema hilft, Bedrohungen durch Schadsoftware frühzeitig zu erkennen und den Befall der Endgeräte möglichst zu vermeiden.

Virus: Oft als Oberbegriff für sämtliche Schadsoftwares verwendet, umfasst diese Kategorie Schadsoftware, welche sich unter Zuhilfenahme von Dateien („Wirtsdatei“) ausbreitet. Bei einer Nutzung der Datei wird unbemerkt die Schadsoftware mit ausgeführt.

Wurm: Ein Wurm verfolgt das Ziel der weitestmöglichen Ausbreitung: Nach dem Befall eines Endgerätes erfolgt die eigenständige Ausbreitung auf weitere Geräte. Folgen können die Installation weiterer Schadsoftware oder die gezielte Überlastung von Endgeräten und Netzwerken sein.

Trojaner: Ähnlich wie das bekannte trojanische Pferd, tarnt sich der Trojaner zunächst als nützliches Werkzeug. Einmal installiert, ist der Trojaner in der Lage eigenständig weitere Schadsoftware zu installieren.

Ransomware: Diese Art der Schadsoftware verschlüsselt die gesamte Festplatte des Endgerätes und verlangt zur Entschlüsselung ein Lösegeld. Auf die Lösegeldforderung sollte grundsätzlich nicht eingegangen werden.

Spyware: Hierdurch werden schützenswerte Informationen über ein Gerät, Netzwerk oder eine Person, einschließlich Anmeldeinformationen und Finanzdaten, gesammelt und an Kriminelle übermittelt.

Adware: Mittels Adware werden durch Werbeanzeigen für den Entwickler Einnahmen generiert. Dies erfolgt in der Regel durch kostenlose Spiele oder Browsererweiterungen. Auch wenn die Auswirkungen zunächst harmlos erscheinen, können hierdurch dennoch zur Personalisierung der Werbeanzeigen persönliche Daten des Betroffenen gesammelt werden.

Scareware: „Wir haben auf Ihrem Gerät mehrere kritische Fehler entdeckt!“ Kennen Sie derartige Anzeigen aus dem Internet? Dabei handelt es sich um sogenannte Scareware. Dem Betroffenen wird durch Erzeugung eines Angstzustandes zur Installation einer „Reparatursoftware“ verleitet. Das perfide daran: Der Betroffene installiert hierbei nun regelmäßig die eigentliche Schadsoftware eigenständig.

Botnet: Mittels eines Botnets können eine Vielzahl von Endgeräten (einschließlich der smarten Waschmaschine) missbraucht werden, um koordiniert andere Netzwerke zu überlasten oder lahmzulegen. Auch wenn es sich bei einem Botnet selbst um keine Schadsoftware handelt, macht der Befall des Gerätes mit Schadsoftware einen solchen Missbrauch und gezielten Angriff erst möglich.


WIE KANN EINE INFIZIERUNG ERFOLGEN?

Endgeräte können über verschiedene Einfallsvektoren von Schadsoftware befallen werden. Dabei ist es grundsätzlich unerheblich, um welchen Gerätetyp es sich handelt oder welches Betriebssystem auf dem jeweiligen Gerät installiert ist: Kein Endgerät ist immun gegen Schadsoftware.

Oftmals gelangt Schadsoftware über einen E-Mail-Anhang auf das Endgerät. Dabei muss es sich nicht zwangsläufig um eine ausführbare Datei (z.B. .exe) handeln. Auch in gängigen Dokumenten- (z.B. .txt, .doc, .xls, .pdf) oder Bilddateien (z.B. .jpg, .png) kann Schadsoftware enthalten sein. Das kurze Öffnen einer solchen Datei kann dann bereits ausreichen, um das jeweilige Endgerät zu befallen. Auch per SMS oder E-Mail versandte Links stellen eine potenzielle Gefahr dar. Durch Aufruf der jeweiligen Internetseite kann Schadsoftware auf das Endgerät installiert werden. Oftmals nehmen die Betroffenen die Installation der jeweiligen Schadsoftware auch eigenständig vor, ohne zu wissen, dass es sich dabei um Schadsoftware handelt.

Auch Neugierde kann eine Infektion mit Schadsoftware begünstigen: Wie eine Studie der Universitäten von Illinois und Michigan zeigt, schlossen knapp die Hälfte der Finder von auf dem Campus-Gelände platzierten USB-Sticks an ihrem Endgerät an. Darauf installierte Schadsoftware hätte die Endgeräte ohne Weiteres befallen können. Dieser Weg zur Verbreitung von Schadsoftware ist gar nicht unüblich. Aus diesem Grund sollten insbesondere im Unternehmenskontext auch keine Speichermedien als Werbegeschenke angenommen werden. Sollte sich eine Nutzung fremder USB-Sticks nicht vermeiden lassen, ist zuvor zumindest eine Untersuchung des USB-Sticks durch die IT-Abteilung vorzunehmen.


WIE KANN ICH ERKENNEN, DASS MEINE ENDGERÄTE VON SCHADSOFTWARE BEFALLEN SIND?

Grundsätzlich sind die meisten Kategorien von Schadsoftware dergestalt konzipiert, dass Betroffene meist nicht oder erst sehr spät bemerken, dass ihre Endgeräte von Schadsoftware befallen sind. Anzeichen können dabei sein, dass unbekannte E-Mails im eigenen Namen versandt werden, Endgeräte ungewöhnliches Verhalten zeigen (z.B. nur sehr langsam oder stark verzögert reagieren), ohne erkennbaren Grund deutlich weniger Arbeits- oder Festplattenspeicher zur Verfügung steht oder sich regelmäßig unerwünschte Fenster oder Programme öffnen. Da es keine bestimmten Anzeichen gibt, die verlässlich auf den Befall mit Schadsoftware hinweisen, sollten Endgeräte regelmäßig mittels sogenannter „Antivirenprogrammen“ überprüft werden. Aber auch hierbei besteht keine absolute Gewissheit, dass die Schadsoftware auch erkannt wird. Aus diesem Grund sollten Maßnahmen ergriffen werden, welche bereits die Gefahr des Befalls mit Schadsoftware deutlich minimieren können.

Sollten Sie im beruflichen Kontext den Befall mit Schadsoftware feststellen oder eine entsprechende Vermutung bestehen, sollten Sie sich unverzüglich an Ihre IT-Abteilung wenden und gegebenenfalls die Datenschutz- und IT- bzw. Informationssicherheitsbeauftragten informieren. Maßnahmen, welche Sie bei einem Verdacht im privaten Umfeld ergreifen sollten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite zusammengefasst.


WIE SCHÜTZE ICH MICH BESTMÖGLICH VOR SCHADSOFTWARE?

Da die alleinige Verwendung von Antivirenprogrammen oder Firewalls bei weitem nicht ausreicht, um dem Befall mit Schadsoftware im genügenden Umfang entgegenzutreten, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitere Maßnahmen zu ergreifen:

– Um gegebenenfalls bestehende Sicherheitslücken zu schließen, sollten durch den Hersteller / Anbieter bereitgestellte Updates zeitnah installiert werden. Derartige Updates – und Softwares im Allgemeinen – sollten grundsätzlich jedoch ausschließlich von vertraulichen Quellen bezogen werden.

– Verwenden Sie Benutzerkonten mit reduzierten Rechten. Zur Installation von Schadsoftware und einem systemweiten Zugriff auf die Daten, benötigen Schadsoftwares in der Regel Administratorrechte. Eine Trennung zwischen einem Administratorkonto zur Verwaltung des Endgerätes sowie eines Nutzerkontos zur alltäglichen Verwendung des Endgerätes, hilft das Risiko eines Befalls zu minimieren.

– Legen Sie regelmäßig Backups wichtiger Daten, Ordner oder ganzer Festplattenpartitionen an. Sollte Ihr Endgerät von Schadsoftware befallen oder im schlimmsten Fall durch Verschlüsselung zunächst unbrauchbar gemacht worden sein, können Sie diese durch ein aktuelles Backup wiederherstellen.

– Öffnen Sie Anhänge und Links aus E-Mails mit Bedacht. Dies gilt insbesondere dann, wenn es sich um eine E-Mail eines unerwarteten Absenders und / oder um einen unerwarteten Anhang bzw. Link handelt. Auch eine vermeintliche E-Mail Ihres Chefs kann sich im Nachgang als Betrugsversuch herausstellen (sogenannter „CEO-Fraud“).


FAZIT

Der Beitrag zeigt die unterschiedlichen Formen von Schadsoftware. Dabei wird deutlich, dass durch die unterschiedlichen Arten und Wirkungsweisen von Schadsoftware ein allumfassender Schutz nie möglich sein wird. Durch Zuhilfenahme von Antivirenprogrammen und der Vornahme weiterer Schutzmaßnahmen kann das Risiko eines Befalls jedoch erheblich reduziert werden. Hierzu gehört jedoch auch, dass sich alle Nutzer regelmäßig über mögliche Risiken informieren und ihre Endgeräte nicht nur sensibilisiert nutzen, sondern auch entsprechend technisch absichern.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Endgeräte
  • Malware
  • Schadsoftware
  • Technische-organisatorische Maßnahmen
Lesen

DIE MELDEPFLICHT NACH ART. 33 DS-GVO BEI IT-SICHERHEITSVORFÄLLEN

In seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) einmal mehr ausdrücklich auf die zunehmend angespannte Sicherheitslage hin. Das BSI beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus stehen Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen. Ein Faktor für steigenden Zahlen mag sicherlich die angespannte Cyber-Sicherheitslage unter dem Einfluss der COVID-19-Pandemie sein. Vielseitige Phishing-Kampagnen unter inhaltlicher Bezugnahme auf die Pandemie gehören in vielen Organisationen mittlerweile sogar zum täglichen Lagebild. Darüber hinaus bestimmen aber auch vermehrt Vorfälle größerer Natur die mediale Aufmerksamkeit. Exemplarisch können hier die kritischen Schwachstellen in Microsoft Exchange (bekanntgeworden unter dem Begriff der sog. Hafnium-Sicherheitslücke), die Log4j-Schwachstelle oder der Solar-Winds-Vorfall angeführt werden. Schließlich wird die Cyber-Sicherheitslage durch immer neue Schadsoftware-Varianten und Bedrohungsszenarien geprägt. So gehören auch die cyber-kriminelle Erpressungsmethoden beinahe zum Alltag in Unternehmen und Verwaltung. Dies alles ist Grund genug, um im nachfolgenden Beitrag den Blick auf die datenschutzrechtlichen Herausforderungen im Zusammenhang mit Melde- und Benachrichtigungspflichten bei IT-Sicherheitsvorfällen zu werfen.


WIE GESTALTET SICH DIE RECHTLICHE AUSGANGSLAGE?

Gesetzliche Meldepflichten für den Fall von IT-Sicherheitsvorfällen existieren in Deutschland für eine Vielzahl unterschiedlicher Situationen. Neben der wohl bekanntesten Norm des Art. 33 DS-GVO kann in diesem Zusammenhang beispielhaft auf § 8b Abs. 4 BSI-Gesetz (BSIG) zur Meldepflicht für Betreiber kritischer Infrastrukturen oder § 168 Telekommunikationsgesetz hingewiesen werden. Bedeutung erlangen zudem § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz. Die Meldepflichten an die jeweils zuständigen Behörden sind je nach Rechtsgebiet unterschiedlich ausgestaltet und unterscheiden sich in Ihrer Art und Weise, d.h. in Bezug auf Inhalt und Frist, nach dem konkreten Anwendungsfall.  Datenschutzrechtliche Relevanz im Zusammenhang mit den eingangs dargestellten steigenden Cyberbedrohungen entfalten vermehrt Fragen im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der im Rahmen von IT-Sicherheitsvorfällen möglicherweise entstehenden Meldepflicht an die zuständige Datenschutzaufsichtsbehörde.


WANN IST VON EINER MELDEPFLICHT NACH ART. 33 DS-GVO AUSZUGEHEN?

Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert. Als Verletzung des Schutzes personenbezogener Daten ist demnach „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ zu verstehen. Durch die vorstehende Definition wird ersichtlich, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften eine Meldepflicht nach Art. 33 DS-GVO auslöst. Vielmehr wird eine Verletzung der Sicherheit adressiert.

Im Falle des Vorliegens einer Verletzung meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies der zuständigen Datenschutzaufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hierbei ergeben sich die Mindestinhalte der Meldung aus Art. 33 Abs. 3 DS-GVO. Nach Art. 33 Abs. 5 DS-GVO ist der Verantwortliche schließlich verpflichtet, Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Die Norm ist mithin Ausfluss der Rechenschaftspflicht. Soweit die Theorie. In der Praxis stellen sich hierbei zunehmend Herausforderungen bei der rechtlichen Bewertung ein.


WO LIEGT NUN DAS (AUSLEGUNGS-)PROBLEM?

Die im Zusammenhang mit der Meldepflicht nach Art. 33 DS-GVO entstehenden Probleme, können am Fall der sog. „Hafnium-Sicherheitslücke“ sehr gut verdeutlicht werden. Unter dem Begriff der „Hafnium-Sicherheitslücke“ werden Schwachstellen in on-premise betriebenen Microsoft-Exchange-Servern bezeichnet, wie sie Anfang März 2021 aufgetreten sind. Das BSI führt im Lagebericht 2021 hierzu aus: „Im März 2021 veröffentlichte Microsoft ein außerplanmäßiges Sicherheitsupdate für den weit verbreiteten Groupware- und E-Mail-Server Exchange. Das Update schloss vier kritische Schwachstellen, die in Kombination bereits für gezielte Angriffe ausgenutzt worden waren. Eine der Schwachstellen ermöglicht Angreifern, sich durch Senden speziell formulierter HTTP-Anfragen auf dem Exchange-Server zu authentisieren. Anschließend kann unter Ausnutzung der weiteren Schwachstellen beliebiger Programmcode mit weitreichenden Zugriffsrechten ausgeführt werden. Angreifer nutzten dies aus, um auf tausenden Servern Hintertüren in Form sogenannter Webshells einzuschleusen. Wurden diese nach der Installation der Sicherheitsupdates nicht entfernt, hatten die Täter weiterhin Zugriff auf betroffene Systeme und konnten darüber zum Beispiel E-Mails ausspähen oder Schadprogramme, wie Ransomware, ausrollen. Zum Zeitpunkt des Bekanntwerdens der Schwachstellen waren 98 Prozent der geprüften Systeme in Deutschland verwundbar […]“. Insbesondere in diesem Fall von erhöhter medialer Aufmerksamkeit äußerten sich die deutschen Datenschutzaufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus. Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Weit überwiegend wurde jedoch im Fall einer Kompromittierung eine Meldepflicht gemäß Art. 33 DS-GVO angenommen. Die vielen unterschiedlichen Ansichten sorgten jedoch für extreme Rechtsunsicherheiten.


WAS NEHMEN WIR FÜR DIE PRAXIS MIT?

Die Hafnium-Sicherheitslücke zum Anlass genommen, hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorfalls. Nach Ansicht des Arbeitskreises führt das reine Vorhandensein von Sicherheitslücken bzw. Schwachstellen noch nicht zur Annahme einer Datenschutzverletzung und mithin zu einer Meldepflicht: „Nur die Kenntnis einer Sicherheitslücke durch den Verantwortlichen reicht nicht aus, sondern es müssen Hinweise vorliegen, dass Risiken für die Rechte und Freiheiten von Betroffenen bestehen. Ein Angriff auf ein System, mit dem personenbezogene Daten verarbeitet werden, kann jedoch genügen […]“. So entfällt die Meldepflicht gemäß Art. 33 Abs. 1 Satz 1 Hs. 2 DS-GVO, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Arbeitskreis führt hierzu aus: „Da Exchange-Server in sehr unterschiedlichen Konfigurationen betrieben werden, kann nicht davon ausgegangen werden, dass nur wegen des Vorliegens einer Schwachstelle auch eine Kompromittierung stattgefunden hat.“ Und weiter: „Lässt sich aber nicht mit hinreichender Sicherheit feststellen, ob nach festgestellter Kompromittierung der Systeme auch eine konkrete Datenschutzverletzung vorliegt, so können nur wenige Hinweise auf eine Verletzung des Schutzes personenbezogener Daten eine hinreichende Konkretisierung als Grundlage für eine spätere Meldung an die zuständige Aufsichtsbehörde sein […] nur die Feststellung einer Kompromittierung kann aus unserer Sicht noch keine Meldepflicht begründen.“ Der Arbeitskreis fordert mit Blick auf die gesetzgeberische Intention auch bei Vorliegen einer Kompromittierung weitergehende Prüfungen bzw. Konkretisierungen, ob es gleichwohl zu Verletzung des Schutzes personenbezogener Daten gekommen ist. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar.


FAZIT

Was zunächst bleibt, ist der Umstand, dass die Bewertung des Vorliegens einer Datenschutzverletzung und damit einhergehend des Bestehens einer Meldepflicht nach Art. 33 DS-GVO auch in den Konstellationen der IT-Sicherheitsvorfälle stets einzelfallbezogen zu bewerten ist. Letztlich verbietet sich aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren eine generische Bewertung von IT-Sicherheitsvorfällen im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“.

Datenschutzrechtlich Verantwortlichen ist zudem anzuraten ein strukturiertes Incident-Response-Management in Betracht zu ziehen. Wesentlicher Bestandteil ist die Etablierung von Melde- und Prozessketten für die Behandlung von IT-Sicherheits- und Datenschutzvorfällen. Zentraler Baustein für die fristgerechte Wahrnehmung der gesetzlichen Meldepflichten ist der organisationsinterne Informationsfluss an die letztlich entscheidungsbefugten Ebenen. Für den Aufbau eines erfolgversprechenden Meldeprozess bedarf es wiederrum der Schaffung eines grundlegenden Verständnisses und den Beschäftigten.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Datenschutzverletzung
  • Europäischer Datenschutzausschuss
  • IT-Sicherheitsvorfall
  • Meldepflichten
Lesen