Keine Panik nach dem Ransomware-Angriff

Angriffe durch Ransomware sind nach wie vor ein Problem für Unternehmen wie Behörden. Trotz allen Präventionsmaßnahmen sollte man immer auf den schlimmsten Fall vorbereitet sein. Somit werden Panik und die daraus resultierenden Folgefehler vermieden.

  • Geräte schnell isolieren.
    Die vom Ransomware-Angriff betroffenen Systeme sollten umgehend vom Netzwerk isoliert werden, um eine Ausbreitung zu verhindern.
  • Den Angriffsvektor verstehen.
    Es gilt, sowohl für die unmittelbare Reaktion als auch für zukünftige Maßnahmen, nachzuvollziehen, woher der Angriff kam. Wie wurde er durchgeführt und welches Gerät im Netzwerk war als erstes betroffen?
  • Backups sichern und überprüfen.
    Daten sind unersetzlich, weswegen Angreifer häufig speziell nach Backups suchen. Sicherungen sollten vom Netzwerk offline genommen werden, damit die Malware sich nicht darauf ausbreitet.
    Generell ist es sinnvoll getrennt aufbewahrte Offline-Backups zu führen.
  • Projekte und geplante Aufgaben stoppen.
    IT-Administratoren sollten alle Ressourcen auf die Ransomware-Attacke konzentrieren und andere Anwendungen und Aufgaben (einschließlich automatisierter Vorgänge wie Backups) stoppen. Nicht zuletzt, um damit die Ausbreitung der Malware auf weitere, in Benutzung stehende Teile der IT-Architektur zu unterbinden.
  • Potenziell kompromittierte Bereiche unter Quarantäne stellen.
    Nach dem Angriff sollten alle potenziell betroffenen Teile der Infrastruktur vom Netz genommen und einzeln untersucht werden.
  • Nach dem Angriff ist vor dem Angriff: Passwörter ändern.
    Egal ob der Angriff von einfacher Natur war oder mit viel Vorarbeit und erbeuteten Authentifikationsdaten durchgeführt wurde: die Passwörter von systemrelevanten Nutzerkonten sollten in jedem Fall geändert werden, um evtl. Folgeangriffen vorzubeugen.
  • Keine Panik – Kritische Sicherheitssituationen planen und üben
    Grundsätzlich sollten im Vorfeld Sicherheitsmaßnamen definiert werden, sodass im Ernstfall eine Blaupause für zu ergreifenden Maßnahmen bereit steht.
    Damit wird eine Situation verhindert, in der die IT-Administration besonders hohem Druck ausgesetzt ist und infolge dessen falsche Entscheidungen trifft.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/keine-panik-nach-dem-ransomware-angriff-18079

Videoüberwachung – Pictogramm genügt nicht mehr

Noch immer sieht man vielerorts an den Türen und Zufahrten von Geschäften und Unternehmen die alt hergebrachten Bildchen von Kameras, die auf eine eingerichtete Videoüberwachung hindeuten sollen.

Leider genügt diese Beschilderung nicht mehr den Anforderungen der Datenschutzgrundverordnung (DSGVO).

Werden personenbezogene Daten erhoben, zu denen Bilddaten von natürlichen Personen zu zählen sind, sind die Betroffenen vorab (das Gesetz schreibt „bei Erhebung“) über die geplante Verarbeitung in Kenntnis zu setzen. Um selbstbestimmt darüber entscheiden zu können, was mit ihren Daten geschieht, müssen Betroffene zumindest über grundlegende Informationen verfügen, bevor Sie sich mit der Datenverarbeitung, in dem Falle der Aufzeichnung einer Videokamera, konfrontieren.

Der komplette Anforderungskatalog an eine Datenschutz-Information findet sich in Art. 13 DSGVO. Grundsätzlich ist es zulässig, diese Informationen in mehreren Stufen bekannt zu geben, deren Einteilung sich nach folgenden Kriterien richten sollte:

  • Erste grobe Orientierung für die Betroffenen auf den ersten Blick
  • Detailinformationen im zweiten Schritt zur tieferen Auseinandersetzung

Die Datenschutzkonferenz nennt dabei folgende Informationen, die bereits im ersten Schritt bereitgestellt werden müssen. Grundsätzlich zählen dazu folgende Angaben:

  • Umstand der Videoüberwachung mittels Pictogramm
  • Kontaktdaten des Verantwortlichen (ggf. Europäischer Vertreter)
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke in Stichworten und Rechtsgrundlage der Verarbeitung
  • Berechtigtes Interesse
  • Speicherdauer
  • Hinweis, wo weitere Informationen zu finden sind

z.B. Aushang am Empfang oder Verweis auf eine Webseite

Auf der weitergehenden Information müssen dann auch die restlichen Informationen bekanntgegeben werden:

  • Empfänger oder Kategorien von Empfängern
  • Drittlandübertragung
  • Betroffenenrechte
  • Beschwerderecht bei einer Aufsichtsbehörde

Details und Vorlagen finden unsere Kunden im myGINDAT-Portal oder auch in der Orientierungshilfe der Datenschutzkonferenz

https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf

Die Einteilung der einzelnen Informationen in die verschiedenen Schritte ist in der Fachwelt nicht unumstritten. Rechtsprechung zu dieser Thematik gibt es bislang noch nicht. Den Grundgedanken des Datenschutzes folgend, betroffenen Personen die Durchsetzung Ihrer informationellen Selbstbestimmung zu ermöglichen, bedarf es allerdings dieser Informationen.

Es empfiehlt sich also, sich an die Vorgaben der Datenschutzaufsichtsbehörden zu halten. Nur so ist sichergestellt, dass sich Betroffene gegen Eingriffe in die informationelle Selbstbestimmung zur Wehr zu setzen können, sei es gegenüber dem Verantwortlichen selbst, sei es über die Aufsichtsbehörden. Die Transparenzpflichten sowie auch die Ahndungsmöglichkeiten haben sich mit der DSGVO zudem deutlich verschärft, so dass Verantwortliche Ihre bestehenden Pictrogramme mit weiteren Informationen anfüttern sollten.

Für Detailfragen oder zur Ausgestaltung Ihrer Hinweisschilder steht Ihnen Ihr Datenschutzbeauftragter zur Verfügung.