Der Mittelstand gilt als Rückgrat der deutschen Wirtschaft – flexibel, leistungsfähig und innovationsgetrieben. Gleichzeitig zeigt die aktuelle Bedrohungslage immer deutlicher: Cyberangriffe sind längst kein Randphänomen mehr, sondern betreffen Unternehmen aller Größen und Branchen. Gerade mittelständische Organisationen geraten zunehmend in den Fokus professioneller Angreifer – nicht zuletzt, weil sie hochgradig vernetzt arbeiten, gleichzeitig jedoch oft mit begrenzten Ressourcen im Bereich Informationssicherheit operieren.

Aktueller Praxisfall

Ein aktueller Praxisfall verdeutlicht diese Entwicklung eindrücklich. Innerhalb weniger Stunden eskalierte ein zunächst punktuell erscheinender IT-Sicherheitsvorfall zu einem umfassenden Ransomware-Angriff. Erste technische Auffälligkeiten wurden am frühen Abend erkannt. Im weiteren Verlauf kam es zu einer aktiven Verschlüsselung zentraler Systeme, die sich innerhalb kurzer Zeit über wesentliche Teile der IT-Infrastruktur ausbreitete.

Die eingeleiteten Reaktionsmaßnahmen folgten bewährten Mustern des Notfallmanagements: Systeme wurden isoliert, Netzwerke getrennt und kontrolliert heruntergefahren, um eine weitere Ausbreitung zu verhindern. Parallel wurde ein interdisziplinärer Krisenstab eingerichtet und externe Expertise aus IT-Forensik, Incident Response, Datenrettung sowie rechtlicher Beratung hinzugezogen. Zeitgleich mussten organisatorische Notlösungen etabliert werden, um grundlegende Geschäftsprozesse – soweit möglich – aufrechtzuerhalten.

Und Plötzlich Zeit(-Druck)

Wie in vergleichbaren Szenarien zeigte sich auch hier, dass die operative Wiederherstellung komplexer IT-Landschaften Zeit erfordert. Insbesondere die Wiederherstellung geschäftskritischer Systeme, die Validierung von Datenbeständen sowie die parallele forensische Analyse führen zwangsläufig zu einem gestaffelten Wiederanlauf. Insgesamt ergab sich in dem betrachteten Fall eine erhebliche Beeinträchtigung über einen Zeitraum von rund 19 Tagen – verbunden mit einem weiterhin eingeschränkten Betrieb über diesen Zeitraum hinaus.

Dieser Verlauf ist kein Einzelfall, sondern entspricht in weiten Teilen dem typischen Muster moderner Cyberangriffe. Die zunehmende Professionalisierung von Angreifern, automatisierte Angriffswerkzeuge sowie die gezielte Ausnutzung komplexer IT-Strukturen führen dazu, dass selbst gut aufgestellte Organisationen vor erheblichen Herausforderungen stehen.

Informationssicherheit ist eine Querschnittsaufgabe

Vor diesem Hintergrund wird deutlich: Informationssicherheit ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil der unternehmerischen Resilienz. Im Kern geht es um die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit von Informationen – und damit unmittelbar um die Aufrechterhaltung des Geschäftsbetriebs.

Gleichzeitig zeigt die Praxis, dass Informationssicherheit im Mittelstand häufig historisch gewachsen ist. Sicherheitsmaßnahmen werden sukzessive implementiert und an konkrete Anforderungen angepasst. Dieses Vorgehen ist nachvollziehbar, führt jedoch in komplexen IT-Umgebungen zunehmend an seine Grenzen. Die Dynamik aktueller Bedrohungslagen erfordert daher verstärkt strukturierte und ganzheitliche Ansätze.

Hier setzen etablierte Standards und Frameworks an, wie etwa die ISO/IEC 27001. Sie bieten einen systematischen Rahmen, um Informationssicherheit nicht nur technisch, sondern auch organisatorisch und prozessual zu verankern. Für mittelständische Unternehmen bedeutet dies vor allem: Transparenz über Risiken, klare Verantwortlichkeiten sowie definierte Abläufe für den Ernstfall. Dabei steht nicht die Zertifizierung im Vordergrund, sondern die nachhaltige Stärkung der eigenen Widerstandsfähigkeit.

Der geschilderte Vorfall unterstreicht insbesondere die Komplexität von Cyberereignissen. Aspekte wie Angriffserkennung, Eindämmung, Wiederherstellung und Kommunikation greifen ineinander und müssen unter hohem Zeitdruck koordiniert werden. Gleichzeitig zeigen solche Situationen, wie entscheidend vorbereitete Strukturen, abgestimmte Prozesse und sensibilisierte Mitarbeitende sind.

Für die Unternehmensleitung ergibt sich daraus ein klarer strategischer Auftrag. Informationssicherheit sollte als integraler Bestandteil der Unternehmensführung verstanden und entsprechend priorisiert werden. Ausgangspunkt bildet eine fundierte Betrachtung der eigenen Risiken und Abhängigkeiten. Darauf aufbauend gilt es, geeignete organisatorische und technische Maßnahmen zu etablieren sowie Notfall- und Wiederanlaufprozesse vorzubereiten und regelmäßig zu überprüfen.

Ebenso wichtig ist die Einbindung der Mitarbeitenden. Informationssicherheit ist eine Querschnittsaufgabe, die nur dann wirksam ist, wenn sie in der gesamten Organisation gelebt wird. Sensibilisierung und klare Leitlinien tragen dazu bei, Risiken frühzeitig zu erkennen und angemessen zu reagieren.

Fazit

Der Praxisfall zeigt letztlich vor allem eines: Cyberangriffe sind heute Teil der unternehmerischen Realität. Die Frage ist nicht mehr, ob ein Unternehmen betroffen sein könnte, sondern wie gut es darauf vorbereitet ist. Die rund 19 Tage eingeschränkter Geschäftsbetrieb verdeutlichen die betriebswirtschaftliche Dimension solcher Vorfälle. Informationssicherheit ist daher keine optionale Zusatzaufgabe, sondern ein wesentlicher Baustein für Stabilität, Vertrauen und Zukunftsfähigkeit im Mittelstand.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie, Handel sowie Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

Wie bereits in den vergangenen Jahren möchten wir uns auch 2025 in den grauen Novembertagen dem Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) widmen. Der aktuelle Bericht des BSI für den Zeitraum 1. Juli 2024 bis 30. Juni 2025 ist hier abrufbar. Der heutige Beitrag soll einige der Themen aus dem aktuellen Berichtszeitraum aufzeigen.

Die Lage bleibt angespannt

Laut BSI hat sich die Lage zur IT-Sicherheit zwar grundlegend stabilisiert, verbleibt aber auf einem hohen angespannten Niveau. Zudem wurden im aktuellen Berichtszeitraum neue Angriffsinfrastrukturen bekannt. Im Trend bleibt zudem das Phishing, wobei es hier immer attraktiver wird, maliziöse Webseiten zu verwenden. Maliziöse URL sind Webadressen, auf denen Angreifer Schadprogramme zum Download bereithalten und diese zum Beispiel über Spam‑Mail‑ oder Phishing‑Kampagnen verbreiten. Die Seiten sind sehr oft authentisch gestaltet und leiten die Nutzenden aber beim Anklicken auf bösartige Webseiten um, laden schädliche Software herunter oder verleiten Nutzende zur Preisgabe vertraulicher Informationen. Die Anzahl maliziöser Seiten wächst seit Jahren kontinuierlich. Die durchschnittliche Lebensdauer einer solchen Webseite lag im Berichtszeitraum bei ca. 1,77 Stunden, mit Schwankungen.

Das BSI führt hierzu weiter aus: „Gängige Methoden im aktuellen Berichtszeitraum waren etwa Typo‑Squatting, bei dem die URLs Tippfehlervarianten einer bekannten Marke oder Webseite enthalten (z. B. „facebok.com“ anstelle von „facebook.com“), oder Brand‑Jacking, bei dem der Name einer bekannten Marke oder eines Unternehmens in die URL eingesetzt wird, um Nutzende zu täuschen und auf Phishing‑Seiten zu leiten.“

Angriffe aus dem Web und Schwachstellenhoch

Mit Blick auf die Angriffsflächen zeigt sich, dass diese durch die fortschreitende Digitalisierung eindeutig im Wachstum sind. Von wachsender Bedeutung sind insbesondere Web-Flächen mit zuweilen einsehbaren sensiblen Informationen. Darüber hinaus können Schwachstellen in jeglicher Form von IT-Produkten auftreten.

Laut BSI bieten auch digitale Kommunikationswege wie E-Mail-Adressen, Social-Media-Accounts, Messenger-Accounts und SMS-fähige Telefonnummern weiterhin große, schwer zu schützende Angriffsflächen. Diese Dienste stellen eine essenzielle Grundlage für den Informationsaustausch dar, bieten gleichwohl große Angriffsflächen, um Schadsoftware oder Links zu maliziösen Webseiten und Schadcode‑behafteten Webservern zu verteilen, Daten zu stehlen, Systeme zu infiltrieren oder Nutzende zu täuschen. Wissenswerte Informationen dazu finden sich hier.

Ein weiteres Thema sind KI-Schwachstellen. Große Sprachmodelle (Large Language Models, LLMs) wie GPT, Gemini, Claude oder LLaMA werden bereits von großen Bevölkerungsteilen im Alltag verwendet. Hiermit gehen Gefahren wie verringerte menschliche Kontrolle, Unschärfen, Halluzinationen usw. einher. Werbeinteressen sowie zufällig oder durch Cyberangriffe manipulierte, bösartige Trainingsdaten können Entscheidungen zudem verzerren. Angreifer manipulieren bereits LLMs, um bestimmte Narrative zu verstärken, Produktwahl oder Preise zu verändern. Innentäter oder in interne Systeme eingedrungene Angreifer haben durch Komplexität und Unschärfe größere Chancen, in einem internen Netzwerk unentdeckt zu bleiben.

Exploits und Datenleaks rücken vermehrt in den Vordergrund

Ein gefährlicher Trend zeichnet sich zudem dadurch ab, dass im aktuellen Berichtszeitraum mehr Schwachstellen-Exploits und mehr Datenleaks aufgetreten sind. Zwar bleibt die Zahl der Ransomware-Angriffe weitgehend unverändert, die Angriffe führten aber in zahlreichen Fällen zu Datenleaks.

Problematisch ist hierbei, dass im Vergleich zu Angriffen mit dem Ziel die Datenbestände der Opfer zu verschlüsseln, bei Datenleaks die Backupstrategien der Organisationen nicht helfen. Außerdem erpressen Angreifer häufiger mit Daten, die sie aus unzureichend gesicherten Datenbanken oder aus schwachstellenbehafteten Systemen im Internet exfiltrieren. Hinsichtlich der Angriffsvektoren zeigte sich, dass die Ausnutzung von Schwachstellen in Web-Angriffsflächen mittels Exploitation weiter an Bedeutung gewann, wohingegen Angriffe per E-Mail spürbar zurückgegangen sind, was wiederrum auf eine voranschreitende Durchdringung der digitalen Kommunikation durch Kanäle wie etwa Social Media oder Messenger zurückzuführen ist.

Das Zauberwörtchen heißt Resilienz

Das BSI ruft seit Jahren zu mehr Resilienz auf. Dies bleibt zwar unverändert, jedoch stellt das BSI insbesondere unter den Verbraucherinnen und Verbrauchen eine rückläufige Anwendung fest. Das betraf insbesondere die Verwendung und das Management von sicheren Passwörtern. Um dem Trend zur Verwendung unsicherer Passwörter entgegenzuwirken, bieten sich Passkeys an. Insbesondere mit Blick auf die oben genannten zunehmenden Exploits und Datenleaks kommt es künftig vermehrt auf präventive Maßnahmen und ein entsprechendes Angriffsflächenmanagement an. Ziel muss es sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Weitere Übersichten hält das BSI hier bereit.

Fazit

Wie schon in den vergangenen Jahren stagniert die Lage zur IT-Sicherheit auf einem besorgniserregenden und angespannten hohen Niveau. Ein wesentlicher Faktor dafür sind weiterhin die unzureichend geschützten Angriffsflächen. Dies muss ein Weckruf für alle Organisationen sein, sich künftig – unabhängig von bestehenden oder kommenden Digitalregulierungen – intensiver mit dem Management von Informationssicherheit und im speziellen IT-Sicherheit zu befassen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 ist nunmehr erschienen und soll einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland geben. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Der heutige Blog-Beitrag soll einige ausgewählte Themen aus dem aktuellen Berichtszeitraum (1. Juli 2023 bis 30. Juni 2024) aufgreifen und darstellen.

Von DDoS-Angriffen bis Phishing-Kampagnen

Einen neuen Trend verzeichnete das BSI bei den sogenannten Distributed Denial-of-Service-Angriffen (kurz: DDoS-Angriffen). Neu ist diese Angriffsart bei weitem nicht. Wir haben uns in der Vergangenheit z. B. mit der Frage befasst „Was tun, wenn die Smart-Home-Geräte nicht mehr smart sind?“. Die Neuigkeit, die verzeichnet werden kann, ist ein enormer Anstieg der aufgetretenen DDoS-Angriffe: „Eine herausgehobene Entwicklung war im Berichtszeitraum bei DDoS-Angriffen zu verzeichnen. Insbesondere im ersten Halbjahr 2024 nahmen Qualität und Häufigkeit von DDoS-Angriffen deutlich zu […] Sollte sich der Trend fortsetzen, wäre dies ein Indiz dafür, dass Angreifer gezielt Botnetz-Kapazitäten aufgebaut haben und künftig grundsätzlich mit mehr hochvoluminösen DDoS-Angriffen zu rechnen wäre.“

Ein Klassiker der aktuellen Gefährdungsklage bleiben weiterhin Ransomware-Angriffe. Über die operative größte Gefährdung haben wir bereits hier und hier berichtet. In Bezug auf die aktuelle Lage ist insbesondere hervorzuheben, dass eine weitere Professionalisierung der Cyberangriffe hervorzuheben ist. Insbesondere im Bereich der Ransomware spricht man diesbezüglich von einem Massengeschäft „Ransomware-as-a-Service“:

„Andererseits wurden aufgrund des geringeren technologischen Aufwandes bei Nutzung von Ransomware-as-a-Service (RaaS) vor allem Ransomware-Angriffe auch zum Massengeschäft: Zunehmend sind die kleinen und mittleren Unternehmen (KMU), aber auch Kommunen, Universitäten und Forschungseinrichtungen betroffen. Dabei gehen die Angreifer nach wie vor oft den Weg des geringsten Widerstandes. Auch wenn gezielte Angriffe auf umsatzstarke Unternehmen registriert werden, suchen sich die Kriminellen tendenziell die am leichtesten angreifbare Opfer aus. Je schlechter Organisationen ihre Angriffsflächen schützen, desto eher werden sie Opfer von Cyberangriffen.“ Zu den bekanntesten Opfern des letzten Jahres zählt vermutlich Südwestfalen-IT.

Ebenso erfreuen sich bei den Cyberkriminellen weiterhin diverse Phishing-Kampagnen großer Beliebtheit, wobei sich die Methoden diesbezüglich leicht verändert haben. Über das Problem mit dem Phishing haben wir ebenfalls bereits in unserem Blog berichtet. Für den aktuellen Berichtszeitraum stellt das BSI fest: „Neben bereits bekannten Phishing-Kampagnen im Namen von Banken und Finanzinstituten wurde eine Zunahme von Kampagnen unter missbräuchlicher Nutzung von Markennamen einschlägiger Streamingdienste registriert. Thematisch lehnten sich diese an Maßnahmen zur Verhinderung von unerlaubtem Accountsharing, Änderungen in den Nutzungsbedingungen von Familien-Accounts und Änderungen von Preisen und Zahlungsbedingungen an. Es handelte sich also um Themen, die breit in Gesellschaft und Medien bekannt waren.“

Cloud-Computing, aber sicher

Es wäre verfehlt Cloud-Computing als neuen Schritt in der Digitalisierung zu bezeichnen. Zu große Schritte haben wir – auch in Deutschland – in den vergangenen Jahren gemacht und der Umzug in die Cloud spielt hier eine entscheidende Rolle. Wir lagern heutzutage viele Datenbestände in die Cloud-Dienste aus. Umso wichtiger erscheint daher mit Blick auf die Sicherheitslage die Sicherung dieser Datenbestände: „Im Berichtszeitraum kam es zu mehreren erfolgreichen Ransomware-Angriffen auf Public-Cloud-Dienste, die deren Verfügbarkeit einschränkten. Zudem wurden mehrfach Fälle von Angriffen auf die Vertraulichkeit von Cloud-Diensten durch Identitätsdiebstahl, sowohl der Identitäten der Anwenderinnen und Anwender als auch des Personals des Anbieters, bekannt.“

Das Zauberwort lautet Resilienz

Einhergehend mit der Zunahme der Bedrohungen und Gefährdungen war auch ein Anwachsen der Resilienz (Widerstandfähigkeit) spürbar. Das BSI fordert alle Beteiligten auf, zur Stärkung der Resilienz gegen Cyberkriminalität und IT-Sicherheitsvorfälle beizutragen: „Hersteller sollten in Zukunft noch sicherere Produkte bereitstellen, die durchweg nach den Grundsätzen von Security by Design und Security by Default entwickelt und im gesamten Lebenszyklus unterstützt werden. Betreiber sollten die Grundsätze der Cybersicherheit umzusetzen und ihre Systeme so bestmöglich gegen Angriffe und bei Vorfällen schützen. Auch Verbraucherinnen und Verbraucher sind gefordert, Kompetenzen zu Cybersicherheit aufbauen.“

Puzzlestücke sind hierbei Strafverfolgungen gegen RaaS, Resilienz in Verwaltung, Kritischer Infrastruktur und nicht zuletzt in Cloud-Infrastrukturen: Cloud-intrinsische Fähigkeiten, wie etwa umfassende Protokollierungs- und Detektionsmöglichkeiten, helfen, etwaige Angriffe zu entdecken und einzudämmen. Der hohe Automatisierungsgrad von Cloud-Diensten erhöht weiterhin die Widerstandsfähigkeit der Anwender gegen Angriffe, etwa durch das frühzeitige Einspielen von Sicherheitspatches und die Bereitstellung von Präventions-, Detektions- und Reaktionsmaßnahmen, welche auf aktuelle Entwicklungen in der Cyberbedrohungslandschaft eingehen.“

Fazit

Als Fazit möchten wir noch folgende Aussage des BSI hervorhaben: „Zugleich besteht breiter Handlungsbedarf insbesondere hinsichtlich der Angriffsfläche, die mit der allgemeinen Digitalisierung stetig zunimmt. Jedes Unternehmen, jede Behörde, jede wissenschaftliche oder soziale Einrichtung, jeder Einzelunternehmer – ganz Deutschland ist aufgerufen, eigene Angriffsflächen zu ermitteln und zu schützen. Das ist in historisch gewachsenen IT-Landschaften eine große Herausforderung, aber notwendig, denn die Angreifer suchen beständig nach neuen Angriffsvektoren.“

So kurz wie diese Zusammenfassung erscheint, so zutreffend ist diese auch. Selbstverständlich erfolgt in der Europäischen Union zunehmend eine Verrechtlichung der IT-Sicherheit und Cybersicherheit. Die NIS-2-Richtlinie, der Cyber Resilience Act und der DORA – Digital Operational Resilience Act sind nur einige Beispiele für sicherheitsrechtlichen Teil der Datenstrategie der EU. Die rechtlichen Anforderungen sollten und dürfen aber keinesfalls der alleinige Antrieb von Organisationen – gleichgültig welcher Natur – sein, sich mit IT-Sicherheit und Resilienz der eigenen Infrastruktur zu beschäftigten. Vielmehr bedarf es eines gewichtigen Eigeninteresses, zum Beispiel am Schutz der IT-Systeme, der verarbeiteten Informationen und an der Aufrechterhaltung der Geschäftsprozesse. Hierfür ist es unerlässlich die eigenen Schwächen zu kennen und diese gezielt auszumerzen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am vergangenen Donnerstag, den 2. November 2023 seinen jährlichen Bericht zur Lage der IT-Sicherheit veröffentlicht. Mit dem Bericht gibt das BSI einen umfassenden Bericht über die aktuelle Bedrohungslage. Für den zurückliegenden Berichtszeitraum zieht das BSI das vernichtende Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie“. Die neue Präsidentin des BSI – Claudia Plattner – sprach bei der Vorstellung des Berichtes von besorgniserregend. Zu den Gründen gehören die gestiegene Anzahl der Sicherheitslücken, Missbrauchsmöglichkeiten von KI-Tools oder aber Datendiebstahl bei Verbraucherinnen und Verbrauchern. Die wichtigsten Fakten im Überblick:

Im nachstehenden Beitrag sollen die wichtigsten Punkte des Berichts dargestellt und abschließend ein Blick auf mögliche datenschutzrechtliche Auswirkungen gewagt werden.

Ransomware ist und bleibt die größte Bedrohung

Die Schlagzahl der Ransomware-Angriffe bleibt hoch. Allerdings ist laut BSI zu beobachten, dass nunmehr nicht länger nur ein sogenanntes „Big Game Hunting“ – also Angriffe auf große, zahlungskräftige Unternehmen – erfolgt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Stellen und vor allem auch Kommunen von den Angriffen betroffen sind. Insbesondere im Bereich der Kommunen sieht man sich zum Teil mit weitreichenden Auswirkungen auf die Bürgerinnen und Bürgern konfrontiert, wenn bürgernahe Leistungen über einen bestimmten Zeitraum nicht zur Verfügung stehen.

Zudem zeichnen sich die Cyberangriffe durch eine steigende Professionalisierung aus. Sehr häufig wird von einem Konzept „Cybercrime-as-a-Service“ gesprochen. Das BSI seinerseits spricht sogar von einem „wachsenden Dienstleistungscharakter“ und einem gezielten Anbieten und Ausspielen von „Services im Bereich der Cyberangriffe.„

KI ist auch im Bereich der Cybersicherheit angekommen

Das Thema der Künstlichen Intelligenz – kurz KI – erstreckt sich im Bereich der Informationssicherheit neben den möglichen datenschutzrechtlichen Anforderungen bei der Nutzung von KI zunehmend auch auf den Bereich der Cybersicherheit. Die Anzahl und Fülle der KI-basierten Tools hat rasant zugenommen und steht somit der breiten Öffentlichkeit zur Verfügung. Mit „ChatGPT“ und Co. lassen sich zuweilen herausragende und authentische Ergebnisse erstellen. Zudem überzeugen die Tools durch einen hohen Grad der einfachen Bedienbarkeit.

Durch diese hohe Verfügbarkeit steigt allerdings gleichfalls die Gefahr der missbräuchlichen Verwendung. Insbesondere die sogenannten Deepfakes lassen sich immer authentischer erstellen. Die Gefahr durch Deepfakes und die Anwendungsszenarien missbräuchlicher Verwendung sind mannigfaltig und umfassen sowohl teilweise massive Schädigungen von Persönlichkeitsrechten von Personen als auch die Verbreitung falscher Informationen. Das BSI fasst unter der Begriff Deepfakes eine Bezeichnung für Methoden, die dazu verwendet werden können, Identitäten in medialen Inhalten mit Hilfe von Methoden aus dem Bereich der künstlichen Intelligenz gezielt zu manipulieren. Sprachlich betrachtet setzt sich der Begriff Deepfake seinerseits aus den Begriffen „Deep“ – als Abkürzung für Deep Learning (englisch: tiefes bzw. tief-gehendes Lernen) und Fake (englisch: Fälschung) zusammen.

Deep Learning bezeichnet hierbei eine spezielle Form des maschinellen Lernens und baut auf dem Konzept der sogenannten neuronalen Netze auf. Hierdurch können – vereinfacht gesprochen – komplexe Lernaufgaben an die KI adressiert werden. Durch selbstlernende Algorithmen ist es möglich Foto-, Audio- oder Videodateien für die Deepfakes zu verändern oder gänzlich neue zu generieren. Programme sind in der Lage aus einer Unzahl von Mediendateien von Personen durch Anlernen der KI menschliche Gesichtszüge, Bewegungen und sogar Stimmen zu erfassen und zu reproduzieren. Möglich ist es so beispielsweise, dass Gesichter von Personen ausgetauscht oder Stimmen durch eine maschinell generierte Originalstimme ersetzt und gleichzeitig auch Lippenbewegungen und Mimik so angeglichen werden, dass eine Unterscheidung zur Originaldatei nicht mehr möglich ist.

Sind in der Vergangenheit Deepfakes noch erkennbar gewesen, so sind sie mittlerweile mit bloßem Auge nicht mehr als solche zu identifizieren.

Warum ist Cybersicherheit auch für das Datenschutzrecht relevant?

Unter datenschutzrechtlichen Gesichtspunkten kann bei Cyberangriffen und IT-Sicherheitsvorfällen insbesondere die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Allerdings kann eine pauschale Beantwortung zum Vorliegen einer Verpflichtung nicht gegeben werden. Aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren verbietet sich eine generische Bewertung im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Erforderlich ist bei der Behandlung stets eine exakte Betrachtung und Bewertung des Vorfalls.

Auslegungshilfe bietet zum Beispiel ein entsprechender Leitfaden einer Unterarbeitsgruppe des Arbeitskreises Datenschutz der Bitkom. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“. Anhaltspunkte zum Umgang mit Datenschutzverletzungen – insbesondere auch bei Ransomware-Angriffen – lassen sich zudem der Handreichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Umgang mit Data-Breach-Meldungen nach Art. 33 DS-GVO entnehmen.

Fazit

Das BSI bleibt auch in seinem aktuellen Jahresbericht bei der äußerst kritischen Einschätzung der vergangenen Jahre. Die IT-Sicherheits- bzw. Cybersicherheitslage ist und bleibt auch weiterhin angespannt. Für öffentliche und nicht-öffentliche Stellen wird mit Blick in die Zukunft auch zu beobachten sein, wie sich die rechtlichen Anforderungen des neuen Cybersicherheitsrechtes der Europäischen Union durch insbesondere die NIS-2-Richtlinie und den Cyber Resilience Act auswirken.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es ist längst kein Geheimnis mehr, dass Unternehmen wie auch die öffentliche Verwaltung gleichermaßen zunehmend einer sich immer weiter zuspitzenden Lage der IT-Sicherheit in Deutschland ausgesetzt gegenübersehen. Dieser Umstand wird nicht nur das Bundesamt für Sicherheit in der Informationstechnik (BSI) im jährlichen Lagebericht dargelegt, sondern ist neben den Fachinformationsquellen zuweilen auch aus den allgemeinen Medien zu entnehmen. Es vergeht nahezu kein Tag ohne Berichterstattung welche Phishing-Kampagnen, Ransomware-Angriffe oder Technologien im Bereich Deepfakes und zahlreiche andere Szenarien zum Gegenstand haben. Durch Cyberangriffe wie Ransomware können komplette Betriebsabläufe gefährdet werden, indem Daten und Systeme verschlüsselt werden können. Die IT- bzw. Cybersicherheitslage ist angespannt. Dieses Lagebild zeichnet sich gleichwohl nicht nur für den deutschen Raum ab. Weltweit sind Unternehmend und Behörden Zielscheiben von Cyberangriffen. Neben Lösegelderpressungen, Umsatzeinbußen, Ausfallkosten durch Beeinträchtigungen von Produktionssystemen, Patentrechtsverletzungen, Imageschäden sowie Kosten für Ermittlungen, Ersatzmaßnahmen und Rechtsstreitigkeiten sind ebenso datenschutzrechtliche Aspekte zu betrachten. Dies gilt sowohl in präventiver Hinsicht – z.B. Einhaltung der Grundsätze aus Art. 5 Abs. 1 lit. f), Art. 32 DS-GVO – als auch für den repressiven Bereich, wie der aktuelle Fall der Centric Health Ltd. anschaulich verdeutlicht. Was sich genau ereignet hat und an welcher Stelle das Datenschutzrecht ins Spiel kommt, soll der nachstehende Beitrag näher beleuchten.

Was ist passiert?

Gegen die Centric Health Ltd. wurde gemäß Art. 83 DS-GVO ein Bußgeld insgesamt in Höhe von EUR 460.000 aufgrund eines Ransomware-Angriffs verhängt. Die Centric Health Ltd. bietet hausärztliche und zahnärztliche Leistungen der primären Gesundheitsversorgung, fachärztliche und berufsbezogene Dienstleistungen für über 400.000 Patienten in ganz Irland. Der Hauptsitz des Unternehmens befindet sich in Dublin. Bei dem Vorfall – der sich bereits 2019 ereignete – waren Daten von ca. 70.000 Patienten betroffen. Bei Ransomware handelt es sich um eine – wenn nicht sogar die – operativ größte Bedrohung im Cybersicherheitsbereich. Ransomware sind Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen üblicherweise nur gegen Lösegeld erfolgt. Bei dem Einsatz von Ransomware wird das betroffene Opfer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in der Vergangenheit näher beleuchtet.

Im Fall der Centric. Health Ltd. haben sich die Täter über eine Sicherheitslücke Zugriff auf die Computersysteme des Gesundheitsunternehmens verschafft. Dabei wurden personenbezogene Daten von Patienten zunächst verschlüsselt und in einem späteren Schritt durch die Hacker sogar Datensätze von ca. 2.500 Patienten gelöscht. Die Daten auf dem System wurden zwar regelmäßig durch Backups gesichert, und jeden Tag wurde ein Snapshot der Daten erstellt, aber auch diese Sicherungen waren durch den Angriff betroffen. Forensische Untersuchungen haben ergeben, dass anhand der verfügbaren Daten keine Beweise für eine Datenexfiltration festgestellt werden konnten. Unter den betroffenen Datenkategorien befanden sich insbesondere Namen, Geburtsdaten, Sozialversicherungsnummern sowie Kontaktinformationen der Patienten. Es gab in der Folge eine Lösegeldforderung, welcher durch die Centric. Health Ltd. auch nachgekommen wurde, wodurch die Entschlüsselung der Daten erreicht werden sollte.

Was wird der verantwortlichen Stelle vorgeworfen?

Zunächst ist festzuhalten, dass der Fall bereits deshalb besondere Aufmerksamkeit verdient, da es sich um die Verhängung eines Bußgeldes durch die Irische Datenschutzaufsichtsbehörde (An Coimisiún um Chosaint Sonraí) handelt. Der gegenständliche Fall spielt zur Überraschung abseits der großen Tech-Giganten, welche üblicherweise mit der irischen Datenschutzaufsichtsbehörde in Verbindung gebracht werden.

In der Begründung des Bescheides wird u.a. ausgeführt, dass der Verstoß von Centric in der Nichtumsetzung technischer und organisatorischer Maßnahmen, die dem Risiko angemessen sind, das sich aus der Verarbeitung personenbezogenen Daten der Patienten ergibt, liegt. Das Versäumnis die erforderlichen Schutzmaßnahmen nicht rechtzeitig und wirksam zu ergreifen, führte zu der die Möglichkeit, dass personenbezogene Daten von Patienten an Unbefugte weitergegeben wurden. Im Sinne des Art. 4 Nr. 12 DS-GVO liegt demnach eine Verletzung des Schutzes personenbezogener Daten durch eine unbefugte Offenlegung von bzw. einen unbefugten Zugang zu personenbezogenen Daten vor.

Die Untersuchung der Aufsichtsbehörde ergab, dass die Gesundheitseinrichtung keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte, was den Angriff noch erleichterte. Vorgeworfen wird der Centric Health Ltd. ein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO [„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet…“], Art. 5 Abs. 2 DS-GVO sowie Art. 32 Abs. 2 DS-GVO [„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind…“].

Den Angaben entsprechend verfügte Centric zwar über funktionierende Firewall-Systeme und Protokollierungen. Der forensische Bericht stellte allerdings fest, dass die Konfiguration der Netzwerk-Firewall von Centric zum Zeitpunkt des Vorfalls „vollständig offen war und sämtlichen eingehenden und ausgehenden Datenverkehr durchließ“. Weiterhin sei der Remote Desktop Protocol (RDP) Dienst auf dem Host Server „vollständig dem Internet ausgesetzt und lediglich mit einem Kennwort gesichert, dass ohne große Schwierigkeiten durch einen Brute-Force-Angriff geknackt werden konnte.“ Im forensischen Bericht wird ferner festgestellt, dass die Passwörter für die Administratorkonten „anscheinend einem üblichen organisatorischen Format folgten und nicht den üblichen Passwortsicherheitsstandards entsprachen“. Schließlich wird festgestellt, dass auf das Windows-Betriebssystem im gesamten Jahr 2018 keine Sicherheits- oder Funktionspatches angewendet wurden.

Welche Auswirkungen ergeben sich für die Praxis?

Der gezeigte Fall lässt insoweit aufhorchen, als dass durch die Begründung für die Bußgeldsanktionierung mehr als deutlich hervorgehoben wird, welche Bedeutung der technische Datenschutz einnimmt. Insbesondere Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO verpflichten die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung personenbezogener Daten verbundenen Risiken angemessen ist.

Zu einem angemessenen Sicherheitsniveau gehören technische Maßnahmen, die in der Lage sind, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Zu den angemessenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DS-GVO gehören – mit Blick auf den konkreten Fall – unter anderem, dass verfügbare Sicherheits-Patches zeitnah eingespielt werden. Weiterhin umfasst sind funktionierende Backups, wobei hierunter nicht nur die gebetsmühlenartige Belehrung zu zählen ist, dass überhaupt ein Backupsystem vorhanden ist. Vielmehr muss das für Sorge getragen werden, dass z.B. im Fall eines Cyberangriffs die Verfügbarkeit der Daten durch das erfolgreiche Einspielen des Backups gewährleistet werden kann. Ebenso stellt eine erfolgreiche Passwortsicherheit einen entscheidenden Schritt für ein angemessenes Sicherheitsniveau dar. Umso erschreckender erscheint es, dass unter den beliebtesten deutschen Passwörter 2022 zuweilen immer noch altbekannte Klassiker zu finden sind.

Fazit

Zusammenfassend lässt sich zunächst festhalten, dass der Fall für datenschutzrechtlich verantwortliche Stellen in jeglicher Hinsicht ein Augenöffner darstellen sollte, welchen Stellenwert die Datensicherheit bzw. die Sicherheit der Verarbeitung nach Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO für die grundlegende Erfüllung der datenschutzrechtlichen Verpflichtungen einnimmt. „Mut zur Lücke“ ist in diesem Bereich selten ein guter Ratschlag, insbesondere auch im Hinblick auf die eingangs erwähnte sich zuspitzende Sicherheitslage.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) – die oberste Cybersicherheitsbehörde in Deutschland – hat seinen aktuellen Bericht zur Lage der IT-Sicherheit vorgelegt. Eine Übersicht über die wichtigsten Zahlen, Fakten und Daten gibt es hier:

Der nachfolgende Beitrag stellt einige der wichtigsten Punkte des Berichts vor.

Die Lage im Cyber-Raum bleibt angespannt

Die operativ größte Bedrohung für Unternehmen und Behörden in Deutschland bleibt die Ransomware. Unter dem Begriff Ransomware fassen wir Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt.

Die betroffene Stelle wird bedroht, dass Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird.

Bei Ransomware-Angriffen war schon im letzten Jahr eine Erweiterung der Erpressermethoden zu erkennen, an welche nun nahtlos angeknüpft wird. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Das jedoch nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf die Landkreisverwaltung des Landkreises Anhalt-Bitterfeld: Erstmals wurde im Jahr 2021 wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. Nach der Attacke konnten Elterngeld, Arbeitslosen- und Sozialgeld, Kfz-Zulassungen und andere Leistungen nicht erbracht werden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in einem Beitrag dargestellt. Unter datenschutzrechtlichen Gesichtspunkten kann die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Hierüber haben wir im Rahmen unserer Mitmach-Serie „Datenschutzverletzung und Meldepflicht“ in den Teilen I, II, III und IV berichtet.

Auch beim Phishing ist keine Besserung in Sicht

Laut BSI nehmen Phishing-E-Mails mit rund 90% den größten Anteil im Bereich der Betrugs-E-Mails ein. Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Manipulation von Verhaltensweisen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt dabei das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Über das Problem mit dem Phishing haben wir uns ebenfalls bereits auseinandergesetzt. Zu unterscheiden sind aktuell Phishing- und Spear-Phishing-Methoden: „Während Angreifer mit Spear-Phishing aufwendig und gezielt gegen einzelne Personen wie zum Beispiel bedeutende Persönlichkeiten in Staat oder Wirtschaft vorgehen, um deren Identitätsdaten zu erbeuten […], richten sich massenhaft und ungezielt verteilte Phishing-Mails gegen die breite Bevölkerung.“

Besonders warnt das BSI vor sogenannten Finance Phishing-E-Mails: „Diese E-Mails sind mittlerweile in der Regel in sehr gutem Deutsch verfasst und so gestaltet, dass sie zum Corporate Design großer Banken in Deutschland passen. Häufig werden Designs verwendet, die denen von Sparkassen, Volksbanken oder der Postbank nachempfunden sind. Die Angreifer suggerieren den Opfern so, eine vermeintlich notwendige Verifizierung durchführen zu müssen, bei der sie ihnen die Zugangsdaten für ihr Online-Banking entlocken. Da Banken in Deutschland ihre Kundinnen und Kunden grundsätzlich nicht per E-Mail zur Eingabe von Zugangsdaten auffordern, sollten Anwenderinnen und Anwender solche E-Mails stets als Phishing-Versuche werten, keinesfalls Zugangsdaten eingeben oder auf enthaltene Links klicken und ihren E-Mail-Provider oder ihr Geldinstitut informieren, damit diese Gegenmaßnahmen ergreifen können.“

DIstributed Denial of Service (DDoS) vor allem in der Vorweihnachtszeit

Aber auch im Bereich der DDoS-Angriffe konnten deutliche Zunahmen im Vergleich zum Vorjahreszeitraum beobachtet werden. Bei einem DDoS-Angriff werden von einer großen Zahl von Endgeräten Anfragen an einen Server oder Dienst gestellt, mit dem Ziel, diesen durch die enorme Anzahl von Anfragen (temporär) zu überlasten und hierdurch lahmzulegen. Aufgrund der Verwendung unterschiedlichster Quellen, kann keine effektive Blockierung eines solchen Angriffs vorgenommen werden, ohne die jeweiligen Server oder Dienste gänzlich vom Netz zu trennen.

Wird beispielsweise ein Onlineshop Ziel eines DDoS-Angriffs, können so insbesondere in regelmäßig umsatzstarken Zeiträumen die wirtschaftlichen Schäden besonders groß sein und dementsprechend die Motivation zur Durchführung derartiger Angriffe zunehmen. So warnt das BSI diesbezüglich: „Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt.“ Zu beobachten ist stets auch eine deutliche Zunahme der Bandbreiten und Anfrageraten: „Microsoft berichtete über einen abgewehrten DDoS-Angriff mit einer Bandbreite von 2,4 Tbps (Terabit per second), der in der letzten Augustwoche 2021 auf einen Azure-Kunden in Europa abzielte. […] Mitte August berichtete Cloudflare über einen DDoS-Angriff, bei dem der Anfrageraten-Rekordwert von 17,2 Mrps (Million requests per second / Millionen Anfragen pro Sekunde) erreicht wurde.“ Die Motivation hinter derartigen DDoS-Angriffen ist oftmals die Möglichkeit zur Erpressung von hohen Schutz- und Lösegeldern.

Fazit

Der aktuelle Bericht zur Lage der IT-Sicherheit des BSI zeigt auch in diesem Jahr wieder eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. So oder so lohnt sich ein Blick in den aktuellen Bericht des BSI allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In seinem aktuelle Lagebericht zur IT-Sicherheit in Deutschland 2021 legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Gefährdungslage der IT-Sicherheit in Deutschland dar. Laut BSI ist die IT-Sicherheitslage in Deutschland insgesamt angespannt bis kritisch. Ein Auslöser ist die Ausweitung der bekannten cyberkriminellen Lösegelderpressungen hin zu ergänzenden Schweigegeld- und Schutzgelderpressungen. Außerdem wurde eine Beschleunigung der Produktion neuer Schadsoftware-Varianten im Vergleich zum vorherigen Berichtszeitraum festgestellt werden. In einem früheren Beitrag haben wir bereits über Schadsoftware und die unterschiedlichen Wirkungen berichtet. Wir unterscheiden bei der Schadsoftware zwischen zwei Komponenten: dem Übertragungsmechanismus (z.B. Virus, Wurm, Trojaner) und der Schadfunktion (z.B. Spyware, Adware, Scareware, Bot-Netze, Ransomware, Crypto-Miner usw.). Der nachfolgende Beitrag soll den Blick auf die Bedrohungen durch Ransomware werfen, da der Einsatz heutzutage eine sehr gängige Methode geworden ist und sich die Bedrohungslage durch Ransomware in den letzten Jahren deutlich verschärft hat. Dies tritt insbesondere durch eine Reihe der Öffentlichkeit kommunizierter Fälle hervor. Zu nennen sind hier etwa der Angriff auf die Stadtverwaltung Dettelbach oder das Staatstheater Stuttgart.

WAS IST RANSOMWARE?

Nach der Veröffentlichung des BSI „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ verstehen wir hierunter Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt. Erfolgt der Einsatz von Ransomware wird der betroffene Nutzer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, häufig in Bitcoin zu entrichten, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante der Ransomware-Angriffe besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird. Es handelt sich bei Ransomware mithin um einen Angriff auf das Sicherheitsziel der Verfügbarkeit von Informationen bzw. Daten. Zu den gebräuchlichsten Angriffsvektoren zählen Spam, Drive-By Infektionen mittels Exploit-Kits, Schwachstellen in Servern und ungeschützte Fernzugänge. Für die Opfer ist der wesentliche Unterschied gegenüber einer Betroffenheit mit klassischer Schadsoftware, dass der Schaden unmittelbar eintritt und ganz konkrete Konsequenzen hat.

WELCHE MAßNAHMEN KÖNNEN PRÄVENTIV GETROFFEN WERDEN?

Um eine bestmögliche Schutzsphäre vor Ransomware-Angriffen aufbauen zu können, kommen einige präventive Maßnahmen in Betracht, die eine Infektion mit der Schadsoftware verhindern sollen oder auch das Schadensausmaß begrenzen können. Das BSI hat diesbezüglich ebenfalls ein Arbeitspapier in Form eines Maßnahmenkataloges veröffentlicht, in welchem eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware auf Basis der Erfahrungen bei der Fallbearbeitung gewonnen wurde. Zu den gelisteten Maßnahmen zählen insbesondere die unverzügliche Installation von Softwareupdates nach deren Bereitstellung durch den jeweiligen Softwarehersteller; die Deinstallation nicht benötigter Software, um die Angriffsfläche zu minimieren; die client- sowie serverseitige Behandlung von E-Mails hinsichtlich Darstellung, Konfiguration (bspw. Deaktivierung von Makros); Freigabe nur notwendiger Dienste und Ports; Nutzung von Spamfiltern usw.); Nutzung zentraler Datensicherungen und Minimierung lokaler Speicherung von Daten; Netzwerksegmentierung; Sicherung von Remote-Zugängen; Nutzung eines aktuellen Virenschutzes; Umsetzung eines Back-up/Datensicherungskonzeptes; Durchführung von Mitarbeitersensibilisierungen und Schulungen zur Steigerung von Awareness; Schwachstellenscans sowie Penetrationstests und vieles mehr.  

WELCHE MAßNAHMEN SIND REAKTIV ZU TREFFEN?

Sollte es trotz der getroffenen Präventionsmaßnahmen zu einem Sicherheitsvorfall mit Ransomware kommen, gilt es zum einem mit Bedacht zu handeln und zum anderen eine Reihe von reaktiven Maßnahmen in Betracht zu ziehen. Zunächst stellt sich die Frage nach dem Umgang mit den Lösegeldforderungen. Das BSI rät hier nachdrücklich dazu angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückzugreifen und nicht zu zahlen. Jede erfolgreiche Erpressung zeigt den Erfolg und motiviert die Angreifer mit ihrem Vorgehen weiterzumachen. Weiterhin kann die Zahlung der Lösegeldsumme zur Finanzierung der Weiterentwicklung und Verbreitung der Schadsoftware genutzt werden.  Es gibt insoweit keine Sicherheit für die Opfer, dass die Angreifer nach Vornahme der Zahlung tatsächlich die Daten lösche oder zurückspielen. Wichtiger Punkt ist zudem die Erstattung einer polizeilichen Strafanzeige. Das BSI empfiehlt weiterhin im Rahmen des Incident Response zur Begrenzung des möglichen Schadens die infizierten Systeme zunächst umgehend vom Netz zu trennen. Am schnellsten geht dies durch die Trennung des Netzwerkkabel vom Computer und die Abschaltung etwaiger WLAN-Adapter. Bei der Identifikation der betroffenen Systeme helfen Logdaten, anhand derer bspw. Zugriffe auf Netzwerklaufwerke erkannt werden können. Daneben bedarf es der Entscheidung, ob eine forensische Untersuchung durchgeführt werden soll. Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Bevor mit der Datenwiederherstellung begonnen wird, ist eine Neuinstallation des infizierten Systems erforderlich. Unter Umständen bedarf es des Rückgriffs auf externe Expertise durch einen fachkundigen Dienstleister.

Darüber hinaus ist eine Auseinandersetzung mit geltenden Verpflichtungen des IT-Sicherheitsrechtes hinsichtlich gesetzlicher Melde- und Informationspflichten an die zuständigen Behörden erforderlich. Ransomware-Vorfälle können eine Meldepflicht bei der zuständigen Datenschutz-Aufsichtsbehörde auslösen. Über das Bestehen der Meldepflicht nach Art. 33 DS-GVO bei IT-Sicherheitsvorfällen haben wir bereits berichtet. Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert und setzt eine Verletzung der Sicherheit voraus. Erforderlich bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen von Art. 33 DS-GVO ist stets eine exakte Betrachtung und Bewertung des Vorfalls. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar. Die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss (EDSA) „on Examples regarding Personal Data Breach Notification“ enthält unter Ziff. 2 ebenfalls Ausführungen hinsichtlich der Betroffenheit von Ransomware-Vorfällen. In vier verschiedenen Fällen stellt der EDSA die unterschiedliche Handhabung von Ransomware-Angriffen hinsichtlich des Bestehens einer Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO gegenüber dem Vorliegen von Melde- und Informationspflichten nach Art. 33 Abs. 1 und Art. 34 Abs. 1 DS-GVO. Entscheidend für die Differenzierung ist u.a., ob Datenverlust eingetreten ist, ob die Daten unbefugten Dritten zugänglich gemacht wurden und ob es zu einer unbefugten/unbeabsichtigten Datenänderung gekommen ist. Hiernach ist in die Betrachtung einzubeziehen, ob die Daten vor Abfluss verschlüsselt waren – z-B- im Fall von Datenspeichern – und den Angreifern die notwendige Kenntnis zur Entschlüsselung fehlt, ob die – möglichst vollständigen – Protokollierungen tatsächlich einen Datenabfluss verzeichnen, ob ein vollständiges und funktionierendes Back-up vorliegt, welche Zeitspanne zwischen Bekanntwerden des Angriffs und Trennung der betroffenen Systeme vergangen ist (Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich) und welche Auswirkungen auf den konkreten Betrieb der Systeme festgestellt werden können. Neben der Meldepflicht gemäß Art. 33 DS-GVO können weitere – teilweise sektorspezifische Melde- und Informationspflichten – einschlägig sein. Hinzuweisen ist vor allem auf die Meldepflichten nach § 8b Abs. 4 BSI-Gesetz (BSIG) für Betreiber kritischer Infrastrukturen oder nach § 168 Telekommunikationsgesetz für Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste. Bedeutung erlangen zudem insbesondere § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz.

FAZIT

Einen vollständigen Schutz vor Ransomware-Angriffen wird es nicht geben können. Zu dynamisch ist die Fortentwicklung von Angriffsvektoren und -zielen. Organisationen ist daher anzuraten die seitens des BSI empfohlenen präventiven Maßnahmen zu berücksichtigen und bestmöglich umzusetzen. Sollte es dennoch zu einem Sicherheitsvorfall kommen, empfiehlt sich schnellstmögliches Handeln, um die Auswirkungen abschwächen zu können. Hierfür ist ein funktionierendes Incident Response System unerlässlich.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

FALL 4: LÖSUNG

Sowohl die Vertraulichkeit der Daten wurde durch die Datenschutzverletzung aufgehoben (Datenexport durch einen unbekannten, unbefugten Dritten), als auch Integrität und Verfügbarkeit gestört (Änderung der Daten durch unbefugte Verschlüsselung, infolge ebenfalls betroffener Backup-Dateien endgültiger Datenverlust beim Verantwortlichen). Angesichts der betroffenen Datenkategorien (Ausweisnummern, Finanzdaten / Kreditkartendaten) müssen die Betroffenen Kenntnis vom Datenabfluss erhalten, dies schon wegen der für den Angreifer eröffneten Missbrauchsmöglichkeiten. Im Ergebnis also tatsächlich „das volle Programm“: Interne Dokumentation, Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen.

Bevor die EDSA-Richtlinie an dieser Stelle die „Fallgruppe Ransomware“ verlässt, gibt sie (in Textziffer 49 der Richtlinie) Empfehlungen für einen bestmöglichen Schutz gegen Ransomware-Attacken. Auch wenn Verantwortliche nicht alle Maßnahmen vollständig umsetzen, gilt – wie im Datenschutz so häufig: Verantwortliche sollten sich „bewegen“, also Schritt für Schritt Sicherheit erhöhen und bei ihrer Kosten/Nutzen-Betrachtung das Risiko von Cyber-Attacken nicht geringschätzen. Empfehlungen des EDSA sind unter anderem:
– Firmware, Betriebssystem und Anwendungssoftware auf Servern, Clients und sämtlichen Netzwerkkomponenten aktuell halten.
– Geeignete Teile des Netzwerks segmentieren oder isolieren, um die Verbreitung von Malware zu behindern.
– Back-up-Verfahren einführen und regelmäßig testen, einschließlich mittel- und langfristiger Backups auf separaten (vom Netzwerk getrennten) Speichermedien.
– Verwendung aktueller Software zur Malware-Erkennung.
– Einrichtung einer aktuellen, effektiven Firewall und Sicherstellung, dass die gesamte Netzwerk-Kommunikation mit dem Internet über diese Firewall verläuft (einschließlich des Zugriffs z.B. im Home-Office beschäftigter Mitarbeiter).
– Schulung der Mitarbeiter zur Erkennung und Vermeidung von Malware.
– Sorgfältige Analyse des Schadcodes im Falle einer tatsächlichen Attacke. Der EDSA verweist hier auch auf die Software des Projekts „no more ransom“: nomoreransom.org.
– Vollständige Protokollierung auf einem zentralen Logserver mit Zeitstempeln der Einträge.
– Zuverlässige Verschlüsselung oder Authentifizierung insbesondere für administrative Zugriffe.
– Regelmäßige Pen-Tests.
– Bildung eines Notfall-Teams beim Verantwortlichen oder Anschluss an organisationsübergreifende entsprechende Strukturen für IT-Sicherheits-Vorfälle.
– „Lernen aus Fehlern“: Anpassung der Schutzmaßnahmen nach Sicherheitsvorfällen.

Damit verlassen wir in Begleitung des EDSA den Bereich der Ransomware-Attacken und befassen uns für die nächsten drei Fälle mit Hacking aus Datenschutz-Sicht: unbefugtem Datenzugriff/Datenexport durch Dritte.

FALL 5: ZUGRIFF AUF BEWERBUNGSDATEN VON EINER INTERNETSEITE

Auf der Internetseite einer Personalvermittlung wurde Schadcode installiert, der unbefugten Dritten ermöglichte, auf dem Webserver gespeicherte Online-Bewerbungsdaten abzurufen. Der Vorfall wurde einen Monat später bemerkt. 213 Bewerbungen waren möglicherweise betroffen; besondere Kategorien personenbezogener Daten nicht involviert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

FALL 3: LÖSUNG

Vertraulichkeit: Die Analyse des Datenschutz-Vorfalls ergab keine unbefugten Daten-Exporte. Insoweit kann auf die Überlegungen bei Fall 2 zurückgegriffen werden: Für eine genaue Risiko-Abschätzung ist enorm wichtig, wie lückenlos das betroffene System Datenabflüsse protokolliert und wie zuverlässig ausgeschlossen werden kann, dass der Angreifer spätere Datenabflüsse angelegt/vorbereitet hat. In Fall 3 besteht der wichtigste Unterschied zu Fall 2 auch bezüglich Vertraulichkeit bei Quantität und Qualität der betroffenen Daten: Die Attacke erfasste tausende Patienten und Beschäftigte, außerdem hochsensible Datenkategorien (Gesundheitsdaten). Schon relativ geringe verbleibende Restrisiken hinsichtlich eines Vertraulichkeit-Bruches dürften deshalb eine Meldepflicht gegenüber der Aufsichtsbehörde begründen. So sieht das auch der Europäische Datenschutz-Ausschuss in Textziffer 37 und 39 seiner Richtlinie.

Integrität: Auch hier gelten die Überlegungen zu Fall 2, erneut gewissermaßen betrachtet durch ein „Vergrößerungsglas“ angesichts Quantität und Qualität der betroffenen Daten. Eine komplette Datenwiederherstellung war nicht möglich. Im Bereich „Daten-Integrität“ ergibt sich deshalb ebenso eine Meldepflicht gemäß Art. 33 DS-GVO.

Verfügbarkeit: Die Wiederherstellung der Daten (soweit Backups vorhanden waren) gelang trotz des größeren Datenvolumens zwar schneller als in Fall 2 (zwei anstelle fünf Arbeitstage). Wegen des betroffenen Verarbeitungs-Bereiches und der hundertfach größeren Zahl betroffener Personen sind die verbleibenden Risiken und Schäden dennoch erheblich höher als in Fall 2: Behandlungen von Patienten verzögerten sich, geplante ärztliche Maßnahmen mussten verschoben werden, das allgemeine Behandlungsniveau hat sich jedenfalls für die genannten zwei Tage reduziert.

Gerade mit Blick auf diese hohen Risiken/Schäden der Datenschutz-Attacke im Bereich der Datenverfügbarkeit ist auch eine Meldepflicht gegenüber den Betroffenen nach Art. 34 DS-GVO bei Fall 3 zu bejahen. Die betroffenen Beschäftigten und Patienten müssen also unverzüglich „in klarer und einfacher Sprache“ über die Art der Datenschutz-Pflichtverletzung benachrichtigt werden und außerdem die Informationen nach Art. 33 Abs. 3 lit. b, c und d DS-GVO erhalten (Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen des Vorfalls, Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Schutzmaßnahmen).

An dieser Stelle sei angemerkt: In der Praxis wird die Information betroffener Personen häufig allein dann erwogen, wenn die Betroffenen durch eigene Maßnahmen Risiken aus dem Datenschutz-Vorfall beseitigen oder mindern können (Beispiel: Aufruf an Nutzer, „geleakte“ Zugangsdaten für E-Mail Accounts zu verändern, die kompromittierten Accounts nicht mehr zu nutzen).

Art. 34 DS-GVO ist jedoch ganz klar nicht nur eine Vorschrift für den „Aufruf zur Selbsthilfe“. Der Verantwortliche muss betroffene Personen bei hohen Risiken einer Datenschutz-Verletzung auch benachrichtigen, wenn er ihnen keine geeigneten Schutzmaßnahmen vorschlagen kann. Dies folgt dem Datenschutz-Grundprinzip, dass betroffene Personen nicht als Datenobjekte behandelt werden dürfen, sondern über den Verbleib ihrer Daten ausreichend informiert werden müssen. Für das informationelle Selbstbestimmungsrecht ist natürlich auch wichtig, dass betroffene Personen wissen, ob und unter welchen Umständen ihre Daten (und welche genau) „verlorengingen“, sich also vielleicht in den Händen unbefugter Dritter befinden.

Die Fall-Lösung lautet deshalb:
(1) Dokumentation des Vorfalls: natürlich ja.
(2) Meldungen die Aufsichtsbehörde: ja.
(3) Meldung an die Betroffenen: ja.

Der EDSA befürwortet in seiner Richtlinie ausdrücklich auch eine Information an betroffene Personen, deren Behandlung im Krankenhaus längst abgeschlossen ist. Der Ausschuss verweist dafür auf die Möglichkeiten „öffentlicher Kommunikation oder entsprechender Maßnahmen, durch die Betroffenen in Vergleich bei fiktiver Weise informiert werden“ (Textziffer 39 EDSA-Richtlinie). Wenn Möglichkeiten zur individuellen Benachrichtigung (z.B. auf dem Postwege) fehlen, weil Kontaktdaten zu langjährig ausgeschiedenen Patienten/Beschäftigten nicht verfügbar sind, bedeutet die „öffentliche Benachrichtigung“ für den Verantwortlichen unter Umständen einen erheblichen Imageschaden und Wettbewerbsnachteil.

Auch dies kann und sollte Verantwortliche zu entsprechenden Sicherheits-Vorkehrungen motivieren (z.B. Abweisung veralteter MS-Office-Dateien in E-Mail-Anhängen). Natürlich gilt wie immer: Vollständiger Schutz und Risikoausschluss ist nicht erreichbar. Damit auf zur „letzten Ransomware-Attacke“.

FALL 4: RANSOMWARE OHNE BACKUP UND MIT DATENABFLUSS

Der Server eines öffentlichen Verkehrsunternehmens wurde einem Ransomware-Angriff ausgesetzt und seine Daten wurden verschlüsselt. Nach den Erkenntnissen der internen Untersuchung hat der Täter die Daten nicht nur verschlüsselt, sondern auch exportiert. Betroffen sind Daten von Kunden und Beschäftigten (mehrere tausend Personen). Neben grundlegenden Identitätsdaten waren auch Ausweisnummern und Finanzdaten wie Kreditkartendaten von der Sicherheitsverletzung betroffen. Es existiert eine Backup-Datenbank, die aber ebenfalls vom Angreifer verschlüsselt wurde.

Als vierte Variante im „Ransomware-Zyklus“ nun also der worst case und Albtraum Verantwortlicher, Betroffener sowie Datenschutzbeauftragter. Ergibt sich daraus bei den Meldepflichten „das volle Programm“? Prüfen Sie, notieren Sie Ihre Meinung und … bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

FALL 2: LÖSUNG

Vertraulichkeit: Die Untersuchungen zum Vorfall haben ergeben, dass im betroffenen Zeitraum keine Datenabflüsse nach außen erfolgten. Dies ist eine gute Nachricht, erlaubt aber noch keine vollständige „Entwarnung“. Im Einzelfall (dies mahnt auch der EDSA in Textziff. 28 der Richtlinie an) muss genauer geprüft werden, ob die vorhandenen Protokolle wirklich alle Datenexporte zuverlässig ausschließen oder vielleicht bestimmte Exportwege gar nicht abdecken. Nur wenn tatsächlich sicher ausgeschlossen werden kann, dass (1) Daten unbefugt die Verarbeitungssysteme des Verantwortlichen verließen und / oder (2) der Angreifer sich im System des Verantwortlichen „eingenistet hat“ und bei späterer Gelegenheit Datenexporte möglich sind, wäre „Vertraulichkeit“ vom geschilderten Eingriff nicht verletzt.

Der Unterschied zu Fall 1 – und der Nachteil für den Verantwortlichen in Fall 2 – liegt bei dem Thema „Vertraulichkeit“, genauer in der Fall 1 gegebenen bzw. in Fall 2 fehlenden Datenverschlüsselung durch den Verantwortlichen. Anders als bei der Datenspeicherung ist für aktive EDV-Systeme eine Datenverschlüsselung häufig nicht möglich, weil die Verarbeitung dann übermäßig erschwert oder ausgeschlossen wäre. Seit vielen Jahren ist dieser Bereich ein Arbeitsfeld der Kryptografen, das sicher noch für viele weitere Jahre erhalten bleibt. Die in Fall 2 geschilderte Situation entspricht daher dem täglichen Normalzustand der meisten EDV-Systeme. Für diesen häufig anzutreffenden Fall ist bei Angriffen Dritter die möglichst vollständige Protokollierung von Datenabflüssen enorm wichtig, um das Risiko eines Vertraulichkeitsbruchs einschätzen zu können. Verbleiben insoweit Unsicherheiten, ist vom möglichen Zugriff Dritter, also dem worst-case-Szenario, auszugehen (so auch EDSA-Richtlinie Textziffer 30).

Integrität der Daten: Die vom Angreifer unbefugt verschlüsselten Daten wurden verändert, entsprechen also nicht mehr dem ursprünglichen, korrekten Zustand. Sie liegen – mangels vollständiger Backups – auch nicht als Duplikate in unveränderter, einsatzfähiger Art vor. Allerdings existieren (nach dem Sachverhalt: einwandfreie) Unterlagen in Papierform, wenn auch nicht für den gesamten Datenbestand. Die Daten sind also entweder korrekt vorhanden oder jedenfalls (soweit Papierdaten fehlen) klar als „unbefugt verändert“ erkennbar. Es besteht folglich nicht das Risiko einer künftigen Verarbeitung unbefugt/unabsichtlich verfälschter Daten.

Verfügbarkeit: Die Datenschutzverletzung führte nach dem Sachverhalt eindeutig zu einer Störung der Verfügbarkeit. Zum einen ist die Wiederherstellung der Daten teilweise (wenn auch für einen geringen Teil) überhaupt nicht möglich gewesen. Zum anderen war für die Datenwiederherstellung (im überwiegenden Teil) eine erneute Digitalisierung unter Nutzung der Papier-Unterlagen notwendig, die immerhin fünf Arbeitstage beanspruchte und Verzögerungen bei Kundenaufträgen verursacht hat.

Damit hat die Datenschutzverletzung nicht nur Risiken begründet, sondern sogar konkrete Schäden tatsächlich eintreten lassen. Eine Meldung nach Art. 33 DS-GVO ist folglich nötig. Hohe Risiken für die Rechte und Freiheiten natürlicher Personen ergeben sich demgegenüber aus dem Sachverhalt nicht. Der Umfang der Datenschutzverletzung ist quantitativ (Daten von „ein paar Dutzend Personen“) und qualitativ (keine Daten besonderer Kategorien) begrenzt. Eingetretene Schäden beschränken sich auf geringfügige Lieferverzögerungen. Meldepflichten nach Art. 34 DS-GVO entstehen deshalb nicht.

Gesamtergebnis also:
(1) Dokumentation ja.
(2) Meldung an die Aufsichtsbehörde ja.
(3) Meldung an Betroffene nein.

FALL 3: RANSOMWARE-ATTACKE AUF EIN KRANKENHAUS BEI VORHANDENEM BACKUP UND OHNE DATENABFLUSS

Das Informationssystem eines Krankenhauses/Gesundheitszentrums war einem Ransomware-Angriff ausgesetzt und ein erheblicher Teil der Daten wurde vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise einer externen Cybersecurity-Firma, um sein Netzwerk zu überwachen. Protokolle zur Verfolgung aller Datenströme, die das Unternehmen verlassen, einschließlich ausgehender E-Mails, sind verfügbar. Der Täter hat die Daten nur verschlüsselt, ohne zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten beziehen sich auf tausende Personen (Beschäftigte und Patienten). Backups waren in elektronischer Form verfügbar. Der größte Teil der Daten wurde wiederhergestellt. Dieser Vorgang dauerte jedoch 2 Arbeitstage und führte zu erheblichen Verzögerungen bei der Behandlung der Patienten mit abgesagten/verschobenen Operationen und zu einer Senkung des Serviceniveaus aufgrund der Nichtverfügbarkeit der Systeme.

Was meinen Sie? Interne Dokumentation: sicher. Meldung zur Aufsichtsbehörde? Mitteilung an die betroffenen Beschäftigten und Patienten?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.