Yet another Trickbot wave
13. Dezember 2019
MAZE machen ernst
25. Dezember 2019Yet another Trickbot wave
13. Dezember 2019MAZE machen ernst
25. Dezember 2019
Warum sollte ein Ransomware-Befall einen meldepflichtigen Datenschutzvorfall darstellen?
Wurden personenbezogene Daten verschlüsselt, erleiden die Personen dadurch ja keinen Schaden.
…möchte man meinen!!!
Als ob ein Ransomware-Ausbruch nicht schon schlimm genug wäre, planen Ransomware-Lieferanten jetzt, dass sie die gestohlenen Daten der Opfer veröffentlichen, sofern diese das Lösegeld nicht bezahlen wollen. Zu allem Überfluss haben die Lösegeld-Banden eine Webseite öffentlich gestellt, auf der die Unternehmen, die kürzlich Opfer einer Ransomware-Attacke wurden, bekannt gemacht werden.
In gebrochenem Englisch wird angegeben, dass auf der Website veröffentlichte Unternehmen nicht mit den Kriminellen kooperieren wollen und versuchen, erfolgreiche Ransomware-Angriffe zu vertuschen. Man sollte den News folgen und auf die gestohlenen Datenbanken und private Dokumente warten.
Recherchen haben ergeben, dass veröffentlichte Unternehmen auf der Webseite tatsächlich Maze Opfer wurden und man Informationen über den Zeitpunkt der Infektion, gestohlene Office Dokumente, PDF, Textdateien im Gigabyte Bereich usw. erhält.
Demnach kann man davon ausgehen, dass die Gigabyte an gestohlenen Daten auch personenbezogene Daten enthalten. In Bezug auf die DSGVO bedeutet dies, dass Datenschutz-Vorfälle nicht mehr auf die leichte Schulter genommen werden sollten, da hohe Bußgelder drohen, wenn Verstöße nicht gemeldet werden. Websites wie die von Maze werden Ransomware-Fälle künftig vermutlich drastisch komplizieren.
Wie sollten sich Unternehmen auf solche Fälle vorbereiten:
- der Incident Response Plan sollte auf alle Fälle einen Data-Breach Prozess beinhalten
- Mitarbeiter-Sensibilisierung sollte integraler Bestandteil einer Cyber-Resilienz Strategie sein
- Überlegungen dazu anstellen, wie man Ransomware-Vorfälle bzw. Cyber-Incidents bestmöglich vorbeugen kann (hier unterstützt der Defence in Depth-Ansatz)
- Konzepte entwickeln, mit denen forensische Beweise geliefert werden können, welche Daten betroffen waren und wie der Cyber-Angriff durchgeführt wurde
