Die Stoppuhr tickt: Wie Ransomware eine Eventmeldung über einen Sicherheitsverstoß in Gang setzen kann

Organisationen stehen vor einer Reihe von Schwierigkeiten hinsichtlich der Meldegesetze für Datenverletzungen

Von unserem Gastautor Matthias Canisius, Regional Director Central and Eastern Europe bei SentinelOne

[datensicherheit.de, 15.07.2020] In den letzten Monaten häuften sich wieder Ransomware-Vorfälle, die auf europäische Einrichtungen abzielten. Mittlere Führungskräfte aus den Bereichen Pharma, Recht, Finanzen, Business Services, Einzelhandel und Gesundheitswesen in Deutschland, Österreich und der Schweiz wurden mit der Thanos Ransomware ins Visier genommen. Die europäische Niederlassung von Conduent, einem IT Services-Unternehmen, wurde mit der Maze Ransomware infiziert. Fresenius, Europas größter privater Krankenhausbetreiber, wurde Opfer der Snake Ransomware und erst kürzlich wurde der Standort von Mitsubishi in Deutschland von der DoppelPaymer Ransomware angegriffen. All diese Vorfälle haben eines gemeinsam – sie sind Teil des neuesten Trends in der Cyberkriminalität, nämlich Opfer aus Unternehmen zu erpressen, indem ihnen nicht nur der Zugang zu ihren eigenen Unternehmensdaten verweigert wird, sondern auch damit gedroht wird, diese Daten öffentlich zugänglich zu machen. Dies birgt zwar die Gefahr, dass geistiges Eigentum durchsickern kann, das für Konkurrenten nützlich sein könnte, aber es offenbart noch ein anderes Risiko, nämlich dass das Unternehmen mit der Gesetzgebung in Konflikt gerät, die Verbraucherdaten schützen soll, sowie vor Rechtsstreitigkeiten der betroffenen Kunden.

Matthias Canisius, Regional Director Central and Eastern Europe, Bild: SentinelOne

Die Situation stellt Organisationen vor eine Reihe von Schwierigkeiten hinsichtlich der Meldegesetze für Datenverletzungen. Müssen Unternehmen eine Datenverletzung melden? Wem gegenüber müssen sie Rechenschaft leisten? Wann und unter welchen Umständen müssen sie Auskunft über Vorfälle geben? In diesem Beitrag gehen wir auf diese Fragen ein und erörtern die Herausforderungen beim Umgang mit einer Datenverletzung.

Was sind Data Breach Notification-Gesetze?

Es handelt sich hierbei um gesetzliche Anforderungen, die entweder auf der Gesetzgebung eines Bundesstaates oder einer Regierung basieren und die eine Organisation dazu verpflichten, Kunden oder andere betroffene Parteien über eine Datenverletzung zu informieren und die in der Gesetzgebung festgelegten Maßnahmen zur Behebung der Situation zu ergreifen.

Seit des Inkrafttretens der DSGVO in 2018, wirkt sie sich auf alle Unternehmen aus, die mit der europäischen Gemeinschaft Handel treiben und Informationen von in der EU ansässigen Personen verarbeiten. In den USA gibt es seit dem 1. Januar 2020 mit dem kalifornischen Consumer Privacy Act (CCPA) eine ähnliche Gesetzgebung. Solche Richtlinien gibt es in der einen oder anderen Form schon seit fast zwei Jahrzehnten. Die rapide steigende Zahl von Verstößen und die zunehmende Menge an persönlich identifizierbaren Informationen (PII), die von Organisationen gespeichert werden, hat jedoch dazu geführt, dass diese Gesetze in größerem Umfang in Kraft getreten sind und sich rasch weiterentwickelt haben.

Ist eine Ransomware-Attacke ein Data Breach Incident?

Wir haben die Mitte des Jahres 2020 erreicht, und die Ransomware-Epidemie ist noch lange nicht abgeklungen. Nachdem sie im Jahr 2019 einen geschätzten Schaden von über 7,5 Milliarden US-Dollar angerichtet haben, haben die Ransomware-Betreiber ihre Zielorganisationen weiterhin attackiert und ihr böses Spiel sogar noch weitergetrieben, um Lösegeld-Auszahlungen zu erhalten. Die Angreifer haben viele verschiedene Opfer im Visier, von kleinen Unternehmen bis hin zu den größten MSPs. Der jüngste Data Breach Investigations Report zeigt, dass Ransomware die dritthäufigste Art eines Malware-Breaches und die zweithäufigste Art von Malware-Vorfällen ist.

Zusätzlich zur Verschlüsselung der Daten eines Unternehmens exfiltrieren moderne Ransomware-Arten wie Sodinokibi und Maze die Zieldateien auf Remote-Ebenen die der Angreifer kontrolliert. Ist es dazu gekommen, können die Erpresser nicht nur Geld verlangen, um die Daten auf kompromittierten Endpunkten zu entschlüsseln, sondern das Opfer auch mit der Drohung erpressen, die exfiltrierten Daten an die Öffentlichkeit preiszugeben.

Müssen Unternehmen eine Datenpanne melden, sobald ein Ransomware-Angriff stattfindet?

Melden oder nicht melden? Auf diese Frage kann es nur eine Antwort geben. Früher standen Ransomware-Opfer vor allem vor der Herausforderung, den Zugang zu ihren Daten zurück zu bekommen und vor dem Dilemma, ob sie die Kriminellen für die Entschlüsselung bezahlen sollten. Jetzt haben sie eine weitere Sorge: Unternehmen sind gesetzlich verpflichtet, die Datenverletzung zu melden. In einigen Fällen konnten die Ransomware-Opfer verschlüsselte Daten wiederherstellen, ohne den Forderungen der Angreifer nachgeben zu müssen. In diesen Fällen ist es durchaus plausibel anzunehmen, dass die Daten nicht von Außenstehenden eingesehen werden konnten und daher keine Meldung der Verletzung notwendig war. Die jüngsten Kampagnen sind jedoch nicht so nachsichtig. Selbst wenn die Daten, die sich im Netzwerk der Opfer befinden, wiedergewonnen (entschlüsselt oder aus dem Backup wiederhergestellt) werden und der Erpresser die gestohlenen Daten nie veröffentlicht, sind die Opfer nicht mehr davon freigestellt, den Behörden und gegebenenfalls ihren Kunden mitzuteilen, dass Daten gestohlen wurden.

Wann sollte ein Datenmissbrauch gemeldet werden?

Sowohl private als auch staatliche Organisationen sind gesetzlich verpflichtet, Regulierungsbehörden und Einzelpersonen über eine Datenverletzung im Zusammenhang mit PII (persönlich identifizierbaren Informationen) zu informieren, wie in Artikel Nr. 33 der DSGVO („Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“) festgelegt.

Eine Benachrichtigung ist laut DSGVO dann erforderlich, wenn die Befürchtung besteht, dass eine Datenverletzung zu physischem, materiellem oder immateriellem Schaden für natürliche Personen führen kann, wenn er nicht angemessen und rechtzeitig gemeldet wird. Das betrifft unter anderem den Verlust der Kontrolle über personenbezogene Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, unbefugte Umkehrung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, oder jeder andere bedeutende wirtschaftliche oder soziale Nachteil für die betroffene natürliche Person. Je nach Datentyp, den das Unternehmen verarbeitet, kann dies die Verletzung von Namen und einem anderen eindeutigen Identifizierungsmerkmal wie Sozialversicherungsnummern, Führerschein oder Personalausweis, Kontonummern, Kreditkartennummern und manchmal medizinischen Informationen umfassen.

Wem muss eine Datenverletzung gemeldet werden?

Seit dem 25. Mai 2018 ist in ganz Europa die DSGVO als Gesetz zur Meldung von Datenverletzungen in Kraft getreten. Zwischen Mai 2018 und März 2019 wurden den Regulierungsbehörden über 59.000 Datenschutzverletzungen gemeldet, wobei die Niederlande, Deutschland und das Vereinigte Königreich die Liste der betroffenen Länder anführen. Einige der Bußgelder waren beträchtlich – so wurde beispielsweise British Airways wegen einer Datenverletzung, die 500.000 Kunden betraf, mit £183,39 Millionen (ca. 203 Millionen Euro) bestraft, und Marriott International wurde mit über £99 Millionen (ca. 89 Millionen Euro) bestraft, weil es 339 Millionen Gastdatensätze offengelegt hatte, von denen 31 Millionen in der EU ansässig waren. Die Datenverletzung sollte grundsätzlich der Regierungsbehörde und manchmal auch den Personen, deren Daten gestohlen wurden, innerhalb von 72 Stunden gemeldet werden. Dies ist ein sehr belastender Zeitrahmen für Unternehmen, die gerade einen lähmenden Cyberangriff erlitten haben und immer noch versuchen, die Situation zu verstehen und in den Griff zu bekommen.

Unternehmen müssen weiterhin beachten, dass es in den USA, Israel, China, Hongkong und Singapur zusätzliche Gesetze zur Meldung von Datenverletzungen gibt. Einige davon könnten auch für europäische Unternehmen mit Kunden, die in diesen Ländern ansässig sind, relevant sein.

Unter welchen Umständen muss ein Datenmissbrauch gemeldet werden?

Aber das eigentliche Problem ist nicht, wann und wem ein Vorfall zu berichten ist. Wenn die gesamte Datenbank (und manchmal auch Server und Endpunkte) verschlüsselt sind und Unternehmen keinen Zugriff darauf haben, dann fehlt auch das Wissen darüber, welche Daten möglicherweise offengelegt wurden. Das Unternehmen weiß auch nicht, ob Daten lediglich verschlüsselt oder außerdem auch exfiltriert wurden.

Dies ist ein ernsthafter Grund zur Besorgnis für Unternehmen, die mit massenhaft privaten Daten umgehen. Sollten Unternehmen davon ausgehen, dass die Daten kompromittiert wurden und alle potenziellen Opfer benachrichtigen? Ist es besser abzuwarten, bis die Kriminellen die Daten veröffentlicht haben, um die Daten dann zu sichten und nur die Personen zu benachrichtigen, die betroffen sind? Sollten Firmen einfach davon ausgehen, dass keine PII gestohlen wurden und dass die Daten sicher freigegeben werden, und niemandem Bericht erstatten?

Die zuletzt genannte Vorgehensweise ist leichtsinnig, da immer das Risiko besteht, dass sensible Daten nach außen gedrungen sind, was hohe Geldstrafen und Gerichtsverfahren nach sich ziehen könnte. Bis heute sind Hunderte von Unternehmen aufgrund von Verstößen gegen die DSGVO mit Bußgeldern belegt worden, und diese Zahl wird noch steigen. Und das Schlimmste daran ist, dass Unternehmen bei Lösegeldforderungen unter enormem Zeitdruck stehen: Sie haben nicht den Luxus, sich Zeit zu lassen und die Situation in aller Ruhe zu bewerten. Die Uhr tickt, und wenn Unternehmen die Meldefrist nicht einhalten, riskieren sie, in einem oder mehreren Ländern mit einer Geldstrafe belegt zu werden.

Empfehlungen für den Umgang mit Datenverletzungen

Wie die obige Auflistung verdeutlicht, sind die den Unternehmen auferlegten rechtlichen Pflichten komplex und vielfältig. Bevor es zu einer Datenverletzung kommt, sollte die Rechtsabteilung beurteilen, welchen Behörden das Unternehmen unter welchen Umständen und in welchem Zeitrahmen Bericht erstatten müsste. Die Verantwortlichen müssen sicherstellen, dass diese Beurteilung in regelmäßigen Abständen durchgeführt wird, um zu prüfen, ob sich sowohl ihr Geschäftsbetrieb als auch die Gesetzgebung geändert haben. Darüber hinaus muss ein Plan für die Wiederherstellung nach einem Sicherheitsvorfall vorhanden sein. Viele Unternehmen mussten aufgrund ihrer Unfähigkeit, sich von Cyberangriffen zu erholen, ihre Geschäftstätigkeit komplett aufgeben. In einigen Fällen waren diese erzwungenen Schließungen eine Folge der Kosten von Datenlecks und nicht wiederherstellbarem Datenverlust.

Die beste Vorbereitung besteht natürlich darin, sicherzustellen, dass das Unternehmen durch eine bewährte Sicherheitsplattform vor Ransomware, Malware und Datenverletzungen geschützt ist. Viele der Opfer der jüngsten Angriffe von Lösegeldforderungen auf APT-Gruppen glaubten, sie seien geschützt, nur um herauszufinden, dass die alten Antivirenprogramme kein wirkliches Hindernis für moderne Cyberkriminelle sind.

Fazit

Als ob die Forderung nach Lösegeld und der Schaden für die Unternehmen aufgrund von Ausfallzeiten nicht schon schlimm genug wären, zwingt moderne Ransomware die Unternehmen außerdem dazu, sich mit dem Verstoß und seinen Auswirkungen auseinanderzusetzen. Dazu gehört auch sich mit Behörden und verärgerten Kunden herumzuschlagen, die darauf bestehen, darüber informiert zu werden, was mit ihren Daten geschehen ist. Prävention und eine robuste Endpunktsicherheitslösung sind nach wie vor die wichtigsten Eckpfeiler einer soliden Cyber-Verteidigung und können eine Menge Schaden und Aufklärungsarbeit einsparen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.01.2020
Sensible Kundendaten: Datenleck beim Autovermieter Buchbinder