RANSOMWARE-ANGRIFF: WAS NUN?

In seinem aktuelle Lagebericht zur IT-Sicherheit in Deutschland 2021 legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Gefährdungslage der IT-Sicherheit in Deutschland dar. Laut BSI ist die IT-Sicherheitslage in Deutschland insgesamt angespannt bis kritisch. Ein Auslöser ist die Ausweitung der bekannten cyberkriminellen Lösegelderpressungen hin zu ergänzenden Schweigegeld- und Schutzgelderpressungen. Außerdem wurde eine Beschleunigung der Produktion neuer Schadsoftware-Varianten im Vergleich zum vorherigen Berichtszeitraum festgestellt werden. In einem früheren Beitrag haben wir bereits über Schadsoftware und die unterschiedlichen Wirkungen berichtet. Wir unterscheiden bei der Schadsoftware zwischen zwei Komponenten: dem Übertragungsmechanismus (z.B. Virus, Wurm, Trojaner) und der Schadfunktion (z.B. Spyware, Adware, Scareware, Bot-Netze, Ransomware, Crypto-Miner usw.). Der nachfolgende Beitrag soll den Blick auf die Bedrohungen durch Ransomware werfen, da der Einsatz heutzutage eine sehr gängige Methode geworden ist und sich die Bedrohungslage durch Ransomware in den letzten Jahren deutlich verschärft hat. Dies tritt insbesondere durch eine Reihe der Öffentlichkeit kommunizierter Fälle hervor. Zu nennen sind hier etwa der Angriff auf die Stadtverwaltung Dettelbach oder das Staatstheater Stuttgart.


WAS IST RANSOMWARE?

Nach der Veröffentlichung des BSI „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ verstehen wir hierunter Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt. Erfolgt der Einsatz von Ransomware wird der betroffene Nutzer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, häufig in Bitcoin zu entrichten, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante der Ransomware-Angriffe besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird. Es handelt sich bei Ransomware mithin um einen Angriff auf das Sicherheitsziel der Verfügbarkeit von Informationen bzw. Daten. Zu den gebräuchlichsten Angriffsvektoren zählen Spam, Drive-By Infektionen mittels Exploit-Kits, Schwachstellen in Servern und ungeschützte Fernzugänge. Für die Opfer ist der wesentliche Unterschied gegenüber einer Betroffenheit mit klassischer Schadsoftware, dass der Schaden unmittelbar eintritt und ganz konkrete Konsequenzen hat.


WELCHE MAßNAHMEN KÖNNEN PRÄVENTIV GETROFFEN WERDEN?

Um eine bestmögliche Schutzsphäre vor Ransomware-Angriffen aufbauen zu können, kommen einige präventive Maßnahmen in Betracht, die eine Infektion mit der Schadsoftware verhindern sollen oder auch das Schadensausmaß begrenzen können. Das BSI hat diesbezüglich ebenfalls ein Arbeitspapier in Form eines Maßnahmenkataloges veröffentlicht, in welchem eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware auf Basis der Erfahrungen bei der Fallbearbeitung gewonnen wurde. Zu den gelisteten Maßnahmen zählen insbesondere die unverzügliche Installation von Softwareupdates nach deren Bereitstellung durch den jeweiligen Softwarehersteller; die Deinstallation nicht benötigter Software, um die Angriffsfläche zu minimieren; die client- sowie serverseitige Behandlung von E-Mails hinsichtlich Darstellung, Konfiguration (bspw. Deaktivierung von Makros); Freigabe nur notwendiger Dienste und Ports; Nutzung von Spamfiltern usw.); Nutzung zentraler Datensicherungen und Minimierung lokaler Speicherung von Daten; Netzwerksegmentierung; Sicherung von Remote-Zugängen; Nutzung eines aktuellen Virenschutzes; Umsetzung eines Back-up/Datensicherungskonzeptes; Durchführung von Mitarbeitersensibilisierungen und Schulungen zur Steigerung von Awareness; Schwachstellenscans sowie Penetrationstests und vieles mehr.  


WELCHE MAßNAHMEN SIND REAKTIV ZU TREFFEN?

Sollte es trotz der getroffenen Präventionsmaßnahmen zu einem Sicherheitsvorfall mit Ransomware kommen, gilt es zum einem mit Bedacht zu handeln und zum anderen eine Reihe von reaktiven Maßnahmen in Betracht zu ziehen. Zunächst stellt sich die Frage nach dem Umgang mit den Lösegeldforderungen. Das BSI rät hier nachdrücklich dazu angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückzugreifen und nicht zu zahlen. Jede erfolgreiche Erpressung zeigt den Erfolg und motiviert die Angreifer mit ihrem Vorgehen weiterzumachen. Weiterhin kann die Zahlung der Lösegeldsumme zur Finanzierung der Weiterentwicklung und Verbreitung der Schadsoftware genutzt werden.  Es gibt insoweit keine Sicherheit für die Opfer, dass die Angreifer nach Vornahme der Zahlung tatsächlich die Daten lösche oder zurückspielen. Wichtiger Punkt ist zudem die Erstattung einer polizeilichen Strafanzeige. Das BSI empfiehlt weiterhin im Rahmen des Incident Response zur Begrenzung des möglichen Schadens die infizierten Systeme zunächst umgehend vom Netz zu trennen. Am schnellsten geht dies durch die Trennung des Netzwerkkabel vom Computer und die Abschaltung etwaiger WLAN-Adapter. Bei der Identifikation der betroffenen Systeme helfen Logdaten, anhand derer bspw. Zugriffe auf Netzwerklaufwerke erkannt werden können. Daneben bedarf es der Entscheidung, ob eine forensische Untersuchung durchgeführt werden soll. Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Bevor mit der Datenwiederherstellung begonnen wird, ist eine Neuinstallation des infizierten Systems erforderlich. Unter Umständen bedarf es des Rückgriffs auf externe Expertise durch einen fachkundigen Dienstleister.

Darüber hinaus ist eine Auseinandersetzung mit geltenden Verpflichtungen des IT-Sicherheitsrechtes hinsichtlich gesetzlicher Melde- und Informationspflichten an die zuständigen Behörden erforderlich. Ransomware-Vorfälle können eine Meldepflicht bei der zuständigen Datenschutz-Aufsichtsbehörde auslösen. Über das Bestehen der Meldepflicht nach Art. 33 DS-GVO bei IT-Sicherheitsvorfällen haben wir bereits berichtet. Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert und setzt eine Verletzung der Sicherheit voraus. Erforderlich bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen von Art. 33 DS-GVO ist stets eine exakte Betrachtung und Bewertung des Vorfalls. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar. Die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss (EDSA) „on Examples regarding Personal Data Breach Notification“ enthält unter Ziff. 2 ebenfalls Ausführungen hinsichtlich der Betroffenheit von Ransomware-Vorfällen. In vier verschiedenen Fällen stellt der EDSA die unterschiedliche Handhabung von Ransomware-Angriffen hinsichtlich des Bestehens einer Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO gegenüber dem Vorliegen von Melde- und Informationspflichten nach Art. 33 Abs. 1 und Art. 34 Abs. 1 DS-GVO. Entscheidend für die Differenzierung ist u.a., ob Datenverlust eingetreten ist, ob die Daten unbefugten Dritten zugänglich gemacht wurden und ob es zu einer unbefugten/unbeabsichtigten Datenänderung gekommen ist. Hiernach ist in die Betrachtung einzubeziehen, ob die Daten vor Abfluss verschlüsselt waren – z-B- im Fall von Datenspeichern – und den Angreifern die notwendige Kenntnis zur Entschlüsselung fehlt, ob die – möglichst vollständigen – Protokollierungen tatsächlich einen Datenabfluss verzeichnen, ob ein vollständiges und funktionierendes Back-up vorliegt, welche Zeitspanne zwischen Bekanntwerden des Angriffs und Trennung der betroffenen Systeme vergangen ist (Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich) und welche Auswirkungen auf den konkreten Betrieb der Systeme festgestellt werden können. Neben der Meldepflicht gemäß Art. 33 DS-GVO können weitere – teilweise sektorspezifische Melde- und Informationspflichten – einschlägig sein. Hinzuweisen ist vor allem auf die Meldepflichten nach § 8b Abs. 4 BSI-Gesetz (BSIG) für Betreiber kritischer Infrastrukturen oder nach § 168 Telekommunikationsgesetz für Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste. Bedeutung erlangen zudem insbesondere § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz.


FAZIT

Einen vollständigen Schutz vor Ransomware-Angriffen wird es nicht geben können. Zu dynamisch ist die Fortentwicklung von Angriffsvektoren und -zielen. Organisationen ist daher anzuraten die seitens des BSI empfohlenen präventiven Maßnahmen zu berücksichtigen und bestmöglich umzusetzen. Sollte es dennoch zu einem Sicherheitsvorfall kommen, empfiehlt sich schnellstmögliches Handeln, um die Auswirkungen abschwächen zu können. Hierfür ist ein funktionierendes Incident Response System unerlässlich.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • IT-Sicherheit
  • Meldepflichten
  • Ransomware
  • Technische-organisatorische Maßnahmen
Lesen

AUSWIRKUNGEN DER §§ 327 ff. BGB AUF DATENSCHUTZ UND IT-SICHERHEIT

Mit Wirkung zum 1. Januar 2022 wird das deutsche Schuldrecht im Bürgerlichen Gesetzbuch (BGB) grundlegend reformiert. Es handelt sich um die größte Gesetzesänderung seit der Schuldrechtsmodernisierung 2001. Die Änderungen betreffen unter anderem die verbraucherschützenden Regelungen der §§ 327 ff. BGB. Darüber hinaus erfolgen Neuerungen im Kauf-, im Verbrauchsgüterkauf-, im Schenkungs-, im Miet- und Werkvertragsrecht. Der Beitrag zeigt vorrangig einige Auswirkungen der §§ 327 ff. BGB auf die Bereiche des Datenschutzes und der IT-Sicherheit.


WORUM GEHT ES?

Durch die Richtlinien (EU) 2019/770 vom 20. Mai 2019 (Digitale-Inhalte-Richtlinie, kurz: DIRL) und (EU) 2019/771 (Warenkaufrichtlinie) sowie dem damit verbundenen nationalen Umsetzungsgesetz erfolgt ab dem 1. Januar 2022 eine weitreichende Änderung des Bürgerlichen Gesetzbuches, zum einen hinsichtlich des Verbraucherschutzrechtes bei Verträgen über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen und zum anderen bezüglich des Kaufs von Sachen mit digitalen Elementen. Die neuen Regelungen enthalten unter anderem Änderungen des Mangelbegriffs im Zivilrecht, eine Updateverpflichtung für Unternehmen und eine verlängerte Frist für die Beweislastumkehr. Adressat der Regelungen sind alle Unternehmen, die digitale Inhalte, digitale Dienstleistungen oder Waren mit digitalen Elementen bereitstellen. Zentralen Vertragsgegenstand der §§ 327 ff. BGB bilden die sogenannten „digitalen Produkte“, welche nach der Legaldefinition des § 327 Abs. 1 Satz 1 BGB digitale Inhalte und digitale Dienstleistungen erfassen. Vom Anwendungsbereich umfasst werden gemäß Erwägungsgrund 19 DIRL u.a. Computerprogramme, Anwendungen, Video-, Audio- und Musikdateien, digitale Spiele, elektronische Bücher und Publikationen. Beispiele für digitale Dienstleistungen sind Software-as-a-Service, wie die gemeinsame Nutzung von Video- und Audioinhalten und andere Formen des Datei-Hosting, Textverarbeitung oder Spie-le, in einer Cloud-Computing-Umgebung und in sozialen Medien.


WELCHEN HINTERGRUND HABEN DIE GESETZLICHEN NEUREGELUNGEN?

Durch die stetig voranschreitende Digitalisierung kommt es zu einer immer größeren Durchdringung nahezu sämtlicher Lebensbereiche mit Informations- und Kommunikationstechnik. Die Nutzung digitaler Inhalte und digitaler Dienstleistungen ist deshalb aus dem Verbraucheralltag nicht mehr wegzudenken.  Digitalisierung und Vernetzung bringen jedoch zugleich neue Risiken – beispielsweise durch Sicherheitslücken – mit sich. Trotz dieses Schutzbedürfnisses einerseits und der rasanten technischen Entwicklung anderseits waren Regelungen zu vertraglichen Aspekten über die Bereitstellung digitaler Produkte bisher rar gesät. Vorrangiges Ziel der Gesetzesänderung ist daher die Schaffung von Rechtssicherheit für den Verbrauchersektor.


WELCHE AUSWIRKUNGEN BRINGT DIE GESETZESÄNDERUNG FÜR DEN DATENSCHUTZ?

Besonders offensichtlich tritt der datenschutzrechtliche Bezug in § 327 Abs. 3 BGB hervor. Der Anwendungsbereich der §§ 327 ff. BGB erfasst grundsätzlich zwar nur Verträge, die die Zahlung eines Preises zum Gegenstand haben. Entgeltlichen Verträgen werden jedoch gemäß § 327 Abs. 3 BGB solche Verträge gleichgestellt „[…] bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet […]“. Der Begriff der personenbezogenen Daten ist hierbei ausweislich der Gesetzesbegründung gleich der Begriffsbestimmung in Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) zu verstehen. Damit ist nunmehr ein „Bezahlen mit Daten“ im dem Sinne erfasst, dass Verbraucher:innen dem Unternehmen personenbezogene Daten überlassen, die weder zur Vertragserfüllung noch aufgrund rechtlicher Verpflichtungen verarbeitet werden müssen. Gleichwohl kommt damit nicht zum Ausdruck, dass jede Datenangabe durch die Verbraucher:innen beziehungsweise jede Datenerhebung durch Unternehmen einen vertrag begründet. Angesichts zahlreicher „kostenfreier“ Dienste stellt dies eine besonders wichtige Neuregelung dar.

Ebenfalls kann das Datenschutzrecht im Rahmen der Mangelhaftigkeit zum Tragen kommen. Dies lässt sich insbesondere anhand von Erwägungsgrund 48 DIRL nachvollziehen: Erfolgt hier eine ausdrückliche Bezugnahme auf wesentliche Grundsätze der DS-GVO wie Datenminimierung, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie die Klarstellung, dass bei Nichteinhaltung dieser Grundsätze je nach Umständen des Einzelfalls, dies als fehelende Übereinstimmung mit den subjektiven oder objektiven Anforderungen an die Vertragsmäßigkeit betrachtet werden kann.

Von datenschutzrechtlicher Relevanz ist zudem die Regelung des § 327q Abs. 1 BGB. Hier wird das Verhältnis zwischen der Ausübung datenschutzrechtlicher Betroffenenrechte beziehungsweise Abgabe datenschutzrechtlicher Erklärungen einerseits und der Bestand des Vertragsverhältnisses andererseits in den Blick genommen: „Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.“ Konsequenter Weise zur Erreichung einer Stärkung des Verbraucherschutzes zeigt die Ausübung von Betroffenenrechten kaum Auswirkungen auf die vertragliche Position der Verbraucher:innen. Allein nach § 327q Abs. 2 BGB bei der Ausübung eines Widerrufes oder Widerspruchs kann ein Sonderkündigungsrecht im Rahmen von Dauerschuldverhältnissen seitens der Unternehmer ergeben.


WELCHE ROLLE SPIELT IT-SICHERHEIT BEI DIGITALEN PRODUKTEN?

Im Zuge der gesetzlichen Neuregelung erfolgt in § 327e Abs. 3 Nr. 2 BGB die Normierung eines Sicherheitsbegriffs. Gleichwohl ist dieser Begriff wegen eines fehlenden Bezugs zu informationstechnischen Systemen und Prozessen auslegungsbedürftig. Dies führt bei genauer Auseinandersetzung jedoch zu einigen Schwierigkeiten. In der Gesetzgebung sowie der technischen Normung und Standardisierung und der damit verbundenen Anwendungspraxis erfolgt keine einheitliche Begriffsführung von IT-Sicherheit. Insbesondere aber eine unionsrechtskonforme Auslegung gebietet jedoch Sicherheit in § 327e Abs. 3 Nr. 2 BGB als „security“ und damit im deutschen Sprachgebrauch als IT-Sicherheit zu verstehen. Auch in den Erwägungsgründen der Digitale-Inhalte-Richtlinie – hier insbesondere Erwägungsgrund 48 DIRL – finden sich Anknüpfungspunkte für Bezugnahme zur IT-Sicherheit, beispielsweise Anfälligkeit von Produkten für Schad- und Spähsoftware.

Durch die wesentliche Änderung des Mangelbegriffs erfolgt zudem eine weitgehende Gleichstellung zwischen subjektiven und objektiven Beschaffenheitsanforderungen, weshalb digitale Produkte zukünftig einen Mindeststandard an IT-Sicherheit aufweisen müssen. Problematisch gestaltet sich hierbei allerdings mit Blick auf den Wortlaut des § 327e Abs. 3 Nr. 2 BGB („Das digitale Produkt entspricht den objektiven Anforderungen, wenn es eine Beschaffenheit, einschließlich der […] der Sicherheit aufweist, die bei digitalen Produkten derselben Art üblich ist und die der Verbraucher unter Berücksichtigung der Art des digitalen Produkts erwarten kann […]“) die Frage, was mangels einheitlicher europäischer Standards unter üblich und erwartbaren Sicherheitsanforderungen zu verstehen sein wird.

Flankiert werden die oben genannten Anforderungen durch die in § 327f BGB normierte Aktualisierungspflicht, welche ausweislich des eindeutigen Wortlautes auch Sicherheitsaktualisierungen zu den erforderlichen Updates zählt. Auf diese Art und Weise soll dem Verbraucher für einen angemessenen Zeitraum der Erhalt der Vertragsmäßigkeit des digitalen Produktes durch den Unternehmer sichergestellt werden. Dies kann zu einer nachhaltigen Steigerung der IT-Sicherheit digitaler Produkte führen.

Nicht außer Acht gelassen werden darf in diesem Zusammenhang schließlich § 327h BGB, welcher die Möglichkeit eröffnet, durch individuelle Vereinbarung von den objektiven Beschaffenheitsvereinbarungen, so gesehen den Sicherheitsanforderungen und Aktualisierungspflichten, unter bestimmten Voraussetzungen durch individuelle Vereinbarung abzuweichen.


FAZIT

Es bleibt daher festzuhalten, dass durch die gesetzlichen Neuregelungen der §§ 327 ff. BGB auch eine verbraucherschützende Regulierung zur Sicherheit informationstechnischer Systeme erfolgt. Darüber hinaus finden sich Regelungen mit datenschutzrechtlichem Bezug, welche die bereit gängige Praxis entsprechend widerspiegeln. Dennoch dürften mit den neuen Regelungen vom Start weg zahlreiche Rechtsunsicherheiten verbunden sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 08. Februar 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenschutz
  • Digitale Inhalte
  • Digitale Produkte
  • IT-Sicherheit
  • Schuldrecht
Lesen

DIE MENSCHLICHE FIREWALL – DER NUTZER ALS SICHERHEITSRISIKO?

Mit Blick auf die Gefährdungslage der IT-Sicherheit ist für die letzten Jahre sowohl im privaten als auch im betrieblichen Umfeld ein stetiger Anstieg von Bedrohungsszenarien zu verzeichnen. Auch wenn Angreifer für Cyberangriffe zunehmend auf Schadprogramme zurückgreifen, kann durch den alleinigen Einsatz von Antiviren-Softwares kein umfassender Schutz gewährleistet werden. Zunehmend wird der Nutzer zur entscheidenden Sicherheitsbarriere. Hierbei ergeben sich sowohl Chancen als auch Risiken.


DER NUTZER ALS SICHERHEITSRISIKO?

Seit Beginn der Covid-19-Pandemie und der damit einhergehenden Dezentralisierung der betrieblichen IT-Infrastrukturen durch die Verlagerung der Arbeitstätigkeiten ins „Homeoffice“ ergeben sich für Cyberkriminelle zunehmend neue Angriffsmöglichkeiten. An dieser Stelle besonders hervorzuheben ist das sogenannte „Social Engineering“, welches nach wie vor eines der beliebtesten Werkzeuge zur Verwirklichung krimineller Absichten darstellt. Zudem zielt es auf das vermeintlich schwächste Glied in der IT-Sicherheit ab: den Nutzer.

Dem „Faktor Mensch“ sind im Rahmen der IT-Sicherheit zwei wesentliche Aufgaben zuzuschreiben: Einerseits proaktiv mögliche Bedrohungslagen und potenzielle Gefährdungen für die IT-Sicherheit zu erkennen und andererseits reaktiv auf derartige Ereignisse angemessen zu reagieren, um bereits eingetretene Schäden zu minimieren. Besonders entscheidend ist an dieser Stelle das Bewusstsein der Nutzer über sowie die Einhaltung von definierten internen Meldeprozessen im Hinblick auf die gesetzlichen Melde- und Benachrichtigungspflichten, beispielsweise gemäß Art. 33 und Art. 34 Datenschutz-Grundverordnung (DS-GVO).

Unterstützung können hierbei etwaige Sicherheitsrichtlinien, Anweisungen oder verschriftlichte Prozesse schaffen, welche sowohl das Verständnis als auch die Sensibilität hinsichtlich (potenzieller) Bedrohungslagen fördern. Darüber hinaus ist darauf zu achten, dass getroffene Vorkehrungen und Regelungen auf ein gewisses Maß an Akzeptanz seitens der Nutzer stoßen.


SENSIBILISIERUNG IST DER SCHLÜSSEL

Ein wesentliches Element stellt hierbei die Sensibilisierung einzelner Nutzer und Nutzergruppen dar. Dies geht beispielsweise auch aus dem Baustein „ORP.3: Sensibilisierung und Schulung zur Informationssicherheit“ des BSI IT-Grundschutzes hervor. Bereits im Rahmen des Onboardings ist sicherzustellen, dass die Nutzer mit den grundlegenden Anforderungen und Richtlinien vertraut gemacht werden. Ergänzend hierzu sollten zeitnah weitere Sensibilisierungsmaßnahmen durchgeführt werden, um die Thematik gegenwärtig und präsent zu halten. Im weiteren Verlaufe können zu aktuellen oder besonders sensiblen Schwerpunkten weitere Maßnahmen ergriffen werden.

Von entscheidender Bedeutung ist es dabei, ein gutes Maß an Sensibilisierungsmaßnahmen zu finden. Während eine unzureichende Sensibilisierung die Wirksamkeit der übrigen getroffenen technischen und organisatorischen Maßnahmen erheblich abschwächt, kann eine Übersensibilisierung aufgrund der Informationsfülle ebenfalls zu einer Abschwächung des Schutzniveaus führen. Abhilfe kann insbesondere ein Sensibilisierungskonzept schaffen, welches dabei insbesondere aktuelle Bedrohungsszenarien und die spezifischen Anforderungen der jeweiligen Organisation berücksichtigt. Mittels eines solchen Konzeptes lässt sich zudem unter Zuweisung von Verantwortlichkeiten ein zeitlich und inhaltlich koordiniertes Awareness-Management dokumentiert nachweisen.

Zu berücksichtigen ist in jedem Falle, dass es auch mit einer einmaligen Durchführung von Sensibilisierungsmaßnahmen nicht getan ist, sondern diese regelmäßig wiederholt werden sollten. Die stetige Berücksichtigung aktueller Bedrohungsszenarien und Angriffsmodelle vermeidet dabei repetitive Inhalte.

Eine umfassende Darstellung der sich ergebenden Sicherheitsrisiken sowie Umsetzungsmöglichkeiten für Sensibilisierungsmaßnahmen können Sie unserem Beitrag „Die menschliche Firewall – Der Nutzer als Sicherheitsrisiko?“ entnehmen, welcher in der Ausgabe Nr. 06/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Awareness
  • Informationssicherheit
  • IT-Sicherheit
  • Meldepflichten
  • Sensibilisierung
Lesen

PASSWORTSICHERHEIT

Passwörter dienen nicht nur dem Schutz vertraulicher Daten, sondern auch als Authentifizierungsmerkmal bei der Verwendung von Nutzerkonten. Umso wichtiger ist es daher, dass die eigens gewählten Passwörter einen hohen Schutzstandard aufweisen. Betrachtet man jedoch die Rangliste der beliebtesten Passwörter in Deutschland, so handelt es sich bei der Zeichenfolge „123456“ nach wie vor um das am meisten genutzte Passwort deutscher Internetnutzer – dicht gefolgt von „123456789“ und „passwort“.


WAS ZEICHNET EIN SICHERE PASSWORT AUS?

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Auch wenn unter diesen Umständen die Verlockung groß ist: Vermeiden Sie es unbedingt, sich Ihre Passwörter zu notieren. Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Das BSI empfiehlt darüber hinaus auch die Verwendung sogenannter Passwort-Manager.

Die Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist hingegen nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei sicheren Passwörtern nicht mehr erforderlich (siehe IT Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23).


ÄNDERN SICH VOREINGESTELLTE PASSWÖRTER UMGEHEND

Diverse Hardware- und Softwarelösungen verfügen über allgemein bekannte voreingestellte oder „leere“ Passwörter. Diese stellen ein besonderes Sicherheitsrisiko dar und sind aus diesem Grund umgehend abzuändern. In diesem Zusammenhang sei noch erwähnt, dass Router stets über ein mindestens 20-stelliges Passwort verfügen sollten.


SICHERN SIE IHRE ENDGERÄTE PER SPERRBILDSCHIRM

Sämtliche gängigen Betriebssysteme bieten automatische Bildschirm-Timeouts in Verbindung mit der Eingabe eines Passwortes bei Reaktivierung an. Diese Funktion sollte abhängig vom jeweiligen Endgerät, spätestens jedoch fünf Minuten nach der letzten Benutzeraktivität den Zugang sperren. Bei kürzerer Abwesenheit ist auch eine Sperrung per Tastenkombination, beispielsweise durch Windows-Taste + L möglich. Dies verhindert, dass unbefugte Dritte während Ihrer Abwesenheit Zugang zu personenbezogenen Daten sowie anderen vertraulichen Informationen erhalten.


GEBEN SIE PASSWÖRTER MÖGLICHST NUR AUF EIGENEN GERÄTEN EIN

Oftmals ist nicht bekannt, ob fremde Endgeräte über einen ausreichenden Schutz vor Schadprogrammen verfügen. Demnach kann auch nicht ausgeschlossen werden, dass mittels sogenannter „Keylogger“ sämtliche Tastatur- und Bildschirmeingaben aufgezeichnet werden. Vermeiden Sie aus diesem Grund auf die Eingabe Ihrer Zugangsdaten bei der Nutzung fremder Endgeräte. Sofern Sie beispielsweise während einer Dienstreise gezwungenermaßen ausschließlich über fremde Geräte Ihre Zugangsdaten eingeben können, empfiehlt sich für diese Zeit die Nutzung eines temporären Ersatzpasswortes.


GEBEN SIE PASSWÖRTER NIEMALS WEITER

Wie eingangs erwähnt, handelt es sich bei Passwörtern auch um ein Authentifizierungsmerkmal Ihrer Person. Geben Sie aus diesem Grund Passwörter niemals weiter, weder an Familienangehörige noch an Vorgesetzte oder Kolleginnen und Kollegen. Ändern Sie Ihr Passwort umgehend, wenn Sie mitbekommen haben, dass ein anderer Ihre Zugangsdaten in Erfahrung bringen konnte.


TRENNEN SIE BERUFLICHE UND PRIVATE PASSWÖRTER

Verwenden Sie für berufliche und private Zwecke stets unterschiedliche Passwörter. So vermeiden Sie, dass berufliche Passwörter durch das Ausspähen von Zugangsdaten bei privaten Dienstanbietern bekannt werden.


NUTZEN SIE DIE ZWEI-FAKTOR-AUTHENTISIERUNG

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und 2FA-Apps angeboten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • IT-Sicherheit
  • Keylogger
  • Passwort
  • Sperrbildschirm
  • Zwei-Faktor-Authentisierung
Lesen

EMOTET – AKTUELLE INFORMATIONEN

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


WAS IST EMOTET?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


WIE FUNKTIONIERT EMOTET?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


WIE KANN MAN SICH SCHÜTZEN?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


WAS IST BEI EINER INFIZIERUNG ZU TUN?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


IST EINE MELDUNG AN DIE AUFSICHTSBEHÖRDE UND EINE INFORMATION AN DIE BETROFFENEN NOTWENDIG?

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen