Ransomware-Attacken gelten als Datenschutzvorfall
Ransomware-Attacken führen zu ungewollter Datenverschlüsselung, sodass – ohne entsprechende und präventive Sicherheitsmaßnahmen – kein Zugriff mehr auf diese Daten erfolgen kann. Damit ist die Verfügbarkeit beeinträchtigt und aus der Ransomware-Attacke wird ein Datenschutzvorfall. Details dazu, aber auch die bereits angesprochenen Präventionsmaßnahmen erwarten Sie in diesem Beitrag.
Die Funktionsweise von Ransomware
Der Begriff „Ransomware“ wurde vom englischen Wort „ransom“ („Lösegeld“) abgeleitet. Damit wird das Prinzip schon deutlicher: Bei Ransomware handelt es sich um erpresserische Malware, die bestrebt ist, Systeme und / oder Daten unbenutzbar zu machen. Daten werden verschlüsselt und Anwender aufgefordert, eine Entschlüsselung durch ein Lösegeld herzustellen. Aufgrund dieser Verschlüsselungstaktik wird Ransomware auch häufig als Verschlüsselungs- oder Kryptotrojaner bezeichnet.
Betroffen sein können alle erdenklichen Betriebssysteme einschließlich mobiler Systeme oder Hardwareplattformen wie Server. Bezahlt werden soll das Lösegeld in aller Regel in der virtuellen Währung Bitcoins, da sich diese Währung anonym nutzen lässt; eine Rückverfolgung zu den Cyberkriminellen ist also nicht möglich. Viele Unternehmen, die große Summen für die Entschlüsselung ihrer Daten zahlten, mussten jedoch feststellen, dass eine Entschlüsselung nicht immer folgt.
Wie kommt die Ransomware ins System?
Eine Infizierung des Systems verläuft ähnlich wie bei anderen Schadprogrammen: E-Mail-Anhänge, die acht- und arglos geöffnet werden, infizierte Websites, heruntergeladene und infizierte Software oder entsprechend präparierte Datenträger können den Ausschlag geben.
Zwar erkennen viele der stets aktuell gehaltenen Virenscanner etliche Varianten von Kryptotrojanern und vermeiden effizient Infizierungen. Neue Versionen von Ransomware machen es den Virenscannern jedoch schwerer. Ist die Ransomware ins System gelangt, kann sie in der Lage sein, sich über nicht geschlossene Sicherheitslücken in den Netzwerken weiterzuverbreiten.
Wie arbeitet Ransomware konkret?
In aller Regel nutzt Ransomware zwei Varianten: Sie blockiert ganze Systeme oder sie verschlüsselt Daten.
Die Blockade von Systemen geschieht in einfacher Variante beispielsweise mit Pop-up-Fenstern, die der Anwender nicht mehr schließen kann und die das Nutzen des Rechners schwer bis unmöglich machen. Die Software sorgt für die Einblendung von Hinweisen, dass sich diese Blockade gegen eine Lösegeldzahlung beseitigen ließe. Tatsächlich können Blockaden dieser Art mit ein wenig Ahnung recht einfach aufgehoben werden, ohne Daten in Mitleidenschaft zu ziehen.
Ein deutlich größeres Schadenspotenzial liegt in der Verschlüsselung von Daten, also in Kryptotrojanern: Diese Art von Ransomware verschlüsselt Daten auf der Festplatte sowie auf angeschlossenen Systemen wie Cloudspeichern oder Serverlaufwerken. Anwender bemerken in aller Regel nichts davon, bis sie nach dem Verschlüsseln keinen Zugriff mehr auf die Daten haben. Die Ransomware fordert den Nutzer zur Lösegeldzahlung auf, um in den Besitz des Schlüssels zum Entschlüsseln der Daten zu kommen. Ob Cyberkriminelle nach Zahlung eines Lösegelds dem wirklich nachkommen, ist nicht immer gewiss.
Ransomware EKANS
Eine derzeit gefürchtete Ransomware ist EKANS: Die Schadsoftware nimmt Industriekontrollsysteme ins Visier und stellt damit eine große Gefahr dar. Forscher von FortiGuard Labs haben EKANS analysiert: Sie zielt speziell auf Windows-Systeme ab und verschlüsselt dort Dateien. Eine weiterentwickelte Form, die die Firewalls von infizierten Systemen lahmlegt, ist seit Juni 2020 in Umlauf.
EKANS wählt seine Opfersysteme gezielt aus. Die Malware versucht, die Domain von infizierten Systemen aufzulösen, außerdem mit einer Liste von IP-Adressen abzugleichen. Die Ransomware bricht ihre Routine ab, wenn das Ziel beim Abgleich nicht bestätigt wird. Wurde hingegen das korrekte Ziel gefunden und angegriffen, wird das System nach Domänencontrollern durchsucht. Die Dateien werden verschlüsselt, ein Lösegeld gefordert.
Auch bei EKANS ist unklar, ob die Cyberkriminellen den Entschlüsselungsschlüssel nach Zahlung des Lösegelds bereitstellen oder nicht – und wenn, ob dieser überhaupt funktioniert.
Die weiterentwickelte EKANS-Variante, die seit Juni ihr Unwesen treibt, ist zusätzlich in der Lage, die Einstellungen des Industriekontrollsystems zu manipulieren. Es ist laut den Forschern unter anderem möglich, die Firewall des Systems abzuschalten. Für die Forscher liegt die Vermutung nahe, dass so die Schutzmaßnahmen des Systems erkannt und blockiert werden können.
Mittels RSA-Verschlüsselung macht die Ransomware Dateien unbrauchbar. Jedoch soll EKANS auch in der Lage sein, Prozesse zu beenden, die die eigene Aktivität behindern. Perfide: Mit dem Löschen von Schattenkopien soll die Ransomware verhindern, Wiederherstellungspunkte zu erreichen und die Daten ohne Schlüssel zurückzuerhalten.
Ransomware-Attacken als Datenschutzvorfall
Ransomware-Attacken zählen mittlerweile zu den häufigsten Angriffen. Da kommt man kaum umhin, sich mit der Frage zu befassen, ob derartige Erpressungen als Datenschutzvorfall einzustufen sind, für die womöglich Sanktionen folgen könnten. Schließlich treffen die Attacken mit Ransomware Unternehmen schon genug: Die verschlüsselten Daten lassen sich nicht nutzen. Das behindert Geschäftsprozesse und wirtschaftliche Schäden können folgen.
Die Sache ist nur die: Werden Daten so verschlüsselt, dass sie aufgrund fehlender Entschlüsselungsmöglichkeiten unbrauchbar geworden sind, ist eines der zentralen Schutzziele in der IT-Sicherheit unerfüllt – nämlich die ständige Verfügbarkeit der Daten. Die Verfügbarkeit von Daten kann jedoch auch ein Gewährleistungsziel im Datenschutz sein: Weisen die betroffenen Daten einen Personenbezug auf, ist dieser Fall gegeben. Rechtsgrundlage dazu bildet Art. 32 DSGVO – Sicherheit der Verarbeitung.
Die Verfügbarkeit von Daten ist auch im Standard-Datenschutzmodell (SDM) Gewährleistungsziel. Man verstünde unter dem Gewährleistungsziel Verfügbarkeit die Aufforderung, dass Zugriff und Verarbeitung auf und von personenbezogenen Daten unverzüglich möglich sein müssen. Außerdem müssen sie ordnungsgemäß im dafür vorgesehenen Prozess Verwendung finden können. Dafür müssen Berechtigte Zugriff auf diese Daten haben und die für sie vorgesehenen Verarbeitungsmethoden müssen auch angewendet werden können.
Es steht komplett außer Frage, dass zwangsverschlüsselte, personenbezogene Daten nicht verfügbar sind. Und dann liegt per Definition von DSGVO und SDM eine Verletzung des Datenschutzes vor. In ihrem Dokument „Leitlinien zur Meldung von Verletzungen des Schutzes von personenbezogenen Daten“ (PDF) nennen die Aufsichtsbehörden Ransomware-Vorfälle explizit als Grund, einen Datenschutzvorfall als „Verletzung des Schutzes personenbezogener Daten“ an die zuständige Aufsichtsbehörde zu melden. Rechtsgrundlage hierfür ist Art. 33 DSGVO.
Handlungsempfehlungen nach Ransomware-Attacken
Sind die Systeme einer Organisation durch Ransomware befallen, wird das betroffene Unternehmen sehr bald die Attacke bemerken: Zum einen ist der Geschäftsprozess durch das Fehlen von Daten unterbrochen, zum anderen wenden sich die Cyberkriminellen mit einer Lösegeldforderung an das Opfer. Wie gerade erwähnt, verlangt die DSGVO, diesen Datenschutzvorfall an die zuständige Aufsichtsbehörde zu melden. Darüber hinaus verlangt Art. 34 DSGVO, dass auch die Inhaber der betroffenen personenbezogenen Daten über den Datenschutzvorfall / die Datenschutzverletzung informiert werden. Diese Meldepflicht an Aufsichtsbehörde und Betroffene existiert nur dann nicht, wenn für die Betroffenen keinerlei Risiko besteht.
Das ungewollte Verschlüsseln von Daten durch Ransomware ist jedoch als meldepflichtiger Datenschutzvorfall einzustufen. Gerade, wenn die folgenden Bedingungen erfüllt werden: Die verschlüsselten oder blockierten Daten lassen sich nicht wiederherstellen oder aber der Zeitraum, der zur Datenwiederherstellung benötigt wird, ist derartig lang, dass dies zu erheblichen Beeinträchtigungen des betroffenen Kunden führt.
Ignoriert eine Organisation die Meldepflicht des Datenschutzvorfalls, kann dies Bußgelder gemäß Art. 33 und 34 DSGVO nach sich ziehen. Es ist also sinnvoller, Ransomware-Attacken binnen der 72-Stunden-Frist an die zuständige Aufsicht zu melden.
Emotet als weiteres prominentes Beispiel
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erhielt die meisten Meldungen nach Art. 33 DSGVO von Unternehmen, die es mit der Ransomware Emotet zu tun bekamen. Der gefürchtete Verschlüsselungstrojaner leitete die E-Mail-Kommunikation aus und verwendete sie im Namen von bereits betroffenen Unternehmen für automatisierte Angriffe. In der Folge wurden die Unternehmen von Kommunikationspartnern darauf hingewiesen, eine E-Mail mit Schadcodelink oder –anhang von ihnen erhalten haben. Was Emotet bereits angerichtet hat, lesen Sie in unserem Beitrag „Emotet erkennen: Maßnahmen gegen Trojaner“.
Schutz gegen Ransomware – vermeiden des Datenschutzvorfalls
Verfolgen Sie unsere Beiträge regelmäßig, wissen Sie bereits: Es gibt keine 100-prozentige Sicherheit. Dennoch gibt es Schutzmaßnahmen, die präventiv wirksam sind:
- Updates: Wie Sie eingangs lesen konnten, werden Sicherheitslücken in Software häufig als Einfallstor genutzt. Halten Sie Ihre Software – vom Betriebssystem über Anwendungssoftware bis hin zu Apps – aktuell, wird es schwieriger, Sie anzugreifen. Denn Updates schließen bestenfalls Sicherheitslücken, sodass Sie geringere Angriffsflächen bieten.
- Backups: Tatsächlich besteht der günstigste, einfachste und beste Schutz vor Ransomware in Sicherungskopien, mit denen Sie Ihre Daten im Zweifel wiederherstellen können. Dabei gilt es jedoch, einige Details zu beachten: Verbinden Sie das Backup-System nicht dauerhaft mit Ihrem System. Ransomware ist durchaus in der Lage, Sicherungsdateien zu löschen oder genauso zu verschlüsseln, falls der Zugriff vom infizierten System auf das Backup möglich ist. Nutzen Sie deshalb bitte externe Speichermedien, die nicht dauerhaft, sondern nur bei Bedarf mit Ihrem System verbunden werden. Eine Alternative sind seriöse Clouddienste. Prüfen Sie Ihre Backups regelmäßig auf Funktionalität, also darauf, ob eine Wiederherstellung daraus möglich wäre.
- AV-Software: Antivirensoftware, die aktuell gehalten wird, erkennt viele Malware-Familien einschließlich Ransomware. Achten Sie darauf, dass Ihre AV-Software von vertrauenswürdigen Anbietern stammt, damit diese Erkennung gegeben ist. Gute Antiviren-Produkte erkennen und blockieren Verschlüsselungstrojaner, sodass es gar nicht erst zur Infektion kommt. Da Ransomware, wie das Beispiel Emotet zeigt, jedoch weiterentwickelt und komplexer wird, ist es wichtig, auf AV-Software mit hohen Erkennungsraten zu setzen. Jüngst wurde bekannt, dass in vielen AV-Programmen Sicherheitslücken klaffen, wir berichteten. Lesen Sie Testberichte und informieren Sie sich genau, bevor Sie sich für eine Lösung entscheiden.
- Nutzer- und Zugriffsrechte: Es hat sich als sinnvoll erwiesen, Nutzern lediglich Zugriff auf jene Daten zu geben, die sie für ihre Arbeit wirklich benötigen (Need-to-know-Prinzip). Dabei sollten Nutzer-Accounts so wenig Berechtigungen wie möglich und so viele wie nötig besitzen (Least-Privilege-Prinzip). Für bestimmte Aktionen, die tiefere Ein- und Zugriffe erfordern, lässt sich ein Administratorenkonto nutzen. Da viele Arten von Malware nicht in der Lage einer selbstständigen Installation sind, wird es umso schwerer für Angreifer, Nutzerkonten aufzutun, die mit entsprechenden Rechten ausgestattet sind.
- Mitarbeitersensibilisierung: Technische Schutzmaßnahmen sind grundsätzlich nur so sicher wie ihre Anwender. Wenn Ihre Mitarbeiterinnen und Mitarbeiter Gefahren wie Ransomware nicht kennen, können sie Ihre Systeme auch nicht davor schützen. Deshalb ist die Sensibilisierung von Mitarbeitern – auch Awareness genannt – eines der besten Mittel zum Schutz vor Angriffen und damit vor meldepflichtigen Datenschutzvorfällen. Geschultes Personal weiß, welche Folgen ein Klick auf einen Link in einer E-Mail von unbekanntem Absender haben kann, und wird vorsichtiger agieren. Verstehen Sie Ihre Mitarbeiter als festen Bestandteil Ihres Sicherheitskonzepts und nutzen Sie Awareness-Schulungen zur Sensibilisierung.