Schutz vor Ransomware: Fragebogen der Bayerischen Datenschutz-Aufsicht

In der heutigen digital vernetzten Welt stellen Cyberangriffe eine ständige Bedrohung dar, wobei Ransomware als eine der häufigsten und somit gefährlichsten Bedrohungsszenarien gilt. Dabei werden mittels Schadsoftware die Daten auf dem Gerät des Opfers verschlüsselt oder der Zugriff darauf blockiert, um für die Freigabe der Daten ein Lösegeld zu verlangen. Die rasante Zunahme von Ransomware-Angriffen in den letzten Jahren hat gezeigt, wie ernst und weitreichend diese Bedrohung sein kann, die sowohl große Unternehmen als auch einzelne Nutzer betrifft.

Diese Bedrohungslage sieht auch das Bayerische Landesamt für Datenschutz und hat erneut einen Fragebogen zu Ransomware an verschiedene Unternehmen versandt. Zielgruppe sind Unternehmen, die innerhalb der letzten Jahre Ziel eines Ransomware-Angriffs wurden sowie solche, bei denen hohe Risiko bestehen, in den Fokus von Cyberkriminellen zu geraten.

Vertrauen ist gut, Kontrolle ist besser.

Die Folgen eines Ransomware-Angriffs können katastrophal sein: Wichtige Daten sind nicht mehr zugänglich, Geschäftsabläufe werden unterbrochen und finanzielle Verluste entstehen. Daher ist es wichtig, sich mit wirksamen Strategien gegen diese Cyber-Bedrohung zu wappnen. Die Datenschutz-Grundverordnung kennt solche unter der Bezeichnung „technische und organisatorische Maßnahmen“ (Art. 32 DSGVO): Dazu gehören die Implementierung robuster Sicherheitsmaßnahmen, regelmäßige Datensicherungen und ein geschärftes Bewusstsein für Taktiken, mithilfe derer Cyberkriminelle in Netzwerke eindringen.

Welche Aspekte und Maßnahmen das sein könnten, zeigt auch der Fragenkatalog des Bayerischen Landesamts für Datenschutz:

1. Systemlandschaft: Zunächst einmal ist es hilfreich, überhaupt einen dokumentierten Überblick über seine Systeme zu haben. Dies ist fundamental für ein wirksames Patch-Management. Außerdem kann darauf aufbauend ein aktuelles und lückenloses Berechtigungskonzept erstellt werden. – Darüber hinaus sollten Rahmenbedingungen durch Implementierung notwendiger Anwendungen (von Firewall und Sandbox über VPN aus dem Homeoffice zu Deep Packet Inspection) geschaffen werden, um Risiken zu minimieren.
2. Patch-Management: Das rechtzeitige Schließen von Sicherheitslücken ist elementar in einer funktionierenden IT-Infrastruktur. Dafür notwendig ist ein schlüssiges Patch-Management, das Einspielen von Software- und Hardwareupdates organisiert.
3. Backup-Konzept: Auch bei umfassender Kontrolle über die Systeme sind zuverlässige Backup-Möglichkeiten unerlässlich. Solche gewährleisten die Fortführung der unternehmerischen Tätigkeiten, selbst wenn Teile der IT-Systeme von Angriffen betroffen waren. Dabei gilt, sich an die „3-2-1-Regel“ zu halten, die besagt, dass 3 Datenspeicherungen (inkl. Originaldaten) auf 2 verschiedenen Backupmedien erstellt werden sollen, wobei 1 davon an einem externen Standort liegt.
4. Überprüfung des Datenverkehrs: „Die Hälfte der Unternehmen wurde bereits gehackt, die andere hat es noch nicht gemerkt.“ – Viele werden diesen Satz vermutlich schon gehört haben. Er hat jedoch nicht an Aktualität verloren. Viele Unternehmen haben bis heute nämlich keine ausreichenden Möglichkeiten implementiert, um überhaupt feststellen zu können, ob es zu Zugriffen von außen kam.
5. Awareness und Berechtigungen: Das größte Sicherheitsrisiko bleibt auch weiterhin der Mensch selbst. Fehler passieren, meist in unglücklichen und unpassenden Situation, aber oftmals auch aufgrund fehlender konsequenter Einweisung und Sensibilisierung für die unternehmensspezifischen Risiken und Gefahren und zum fachgerechten Umgang mit den IT-Komponenten in diesem Zusammenhang. „Social-Engineering“-Angriffe bestehen heutzutage schon lange nicht mehr aus E-Mails, die das Erbe eines entfernten unbekannten Verwandten versprechen, sondern sind – auch mithilfe von KI-Anwendungen – deutlich perfider und trickreicher.
6. Datenschutzorganisation: Auch eine funktionierende Datenschutzorganisation ist ein weiteres Puzzlestück zu verantwortungsbewusstem Risikomanagement. Das reicht von festen Ansprechpartnern zu Prozessvorgaben.

Fazit: Wo stehe ich eigentlich?

Auch wenn Ihr Unternehmen keine Post von der Bayerischen Aufsicht erhalten hat, empfehlen wir Ihnen, Ihr Unternehmen selbst zu überprüfen. Sie können hierzu unser webbasiertes Audit-System privASSIST mit dem Audit CPS 082 (Prüfung von Maßnahmen zur Ransomware-Abwehr auf Basis des Prüfkatalogs des BayLDA) einsetzen.

Wir stehen Ihnen als Ansprechpartner zur Verfügung und können Ihnen neben Ratschlägen und Empfehlungen auch ein Cyber-Security-Audit („CPS 041“) anbieten, der explizit Sicherheitslücken aufdecken soll. Denn eins ist sicher: Der nächste Angriff kommt bestimmt.