Stellt ein Ransomware-Angriff eine Datenschutzverletzung dar?

Die meisten IT-Experten setzen die Exfiltration von Daten aus ihrem Netzwerk mit dem Punkt gleich, ab dem die Kontrolle verloren geht und eine Datenschutzverletzung aufgetreten ist. Ihr Denkansatz orientiert sich...
Michael Buckbee
1 minute gelesen
Letzte aktualisierung 1. November 2021

Ransomware führt zu einem Kontrollverlust

Die meisten IT-Experten setzen die Exfiltration von Daten aus ihrem Netzwerk mit dem Punkt gleich, ab dem die Kontrolle verloren geht und eine Datenschutzverletzung aufgetreten ist. Ihr Denkansatz orientiert sich daran, „wo die Bits liegen“, und wenn Ihre Benutzerdatenbank mit Bittorrent im Internet herumgereicht und für 0,0001 Bitcoins pro Konto verkauft wird, haben Sie eindeutig die Kontrolle verloren.

Nicht ganz so offenkundig ist, dass der Befall mit Ransomware (oder einer anderen Form von Malware) auf einen Verlust der Kontrolle über die Daten innerhalb Ihres Netzwerks darstellt und deshalb eine Datenschutzverletzung ist.

Der Vorgang muss tatsächlich so eingestuft werden, als sei ein Krimineller in Ihr Büro spaziert, an der Rezeption und dem Wachdienst vorbeigegangen und mit dem Fahrstuhl in den Keller gefahren, um dort die Tür zu Ihrem Serverraum aufzuschließen, sich mit gestohlenen Anmeldeinformationen eines Administrators auf Ihrem zentralen Server anzumelden und 10.000 zufällig ausgewählte Dateien zu verschlüsseln, die Ihre Benutzer unbedingt für ihre Arbeit benötigen, und sei danach wieder verschwunden.

Wenn tatsächlich jemand einen derartigen physischen Angriff in Ihren Räumlichkeiten durchführen würde, wäre das eindeutig ein Verlust der Kontrolle über die Daten. Viel zu viele Systemadministratoren betrachten einen Ransomware-Angriff allerdings irrtümlich als rein interne Angelegenheit und keine Datenschutzverletzung.

Auf konzeptioneller Ebene sollte ein solcher aber als Verletzung Ihres Kontrollsystems und nicht als Verletzung des Netzwerks selbst betrachtet werden.

Die meisten bundesstaatlichen Richtlinien für Datenschutzverletzungen in den USA basieren eindeutig auf dem Modell der HIPAA-Vorschriften, in denen Ransomware-Infektionen eindeutig als Datenschutzverletzung eingestuft sind:

„Das Vorhandensein von Ransomware (oder anderer Malware) in den Computersystemen einer abgedeckten Rechtsperson oder eines ihrer Geschäftspartner stellt einen Sicherheitsverstoß gemäß HIPAA-Sicherheitsverordnung dar. Ein Sicherheitsverstoß ist als der Versuch oder die erfolgreiche Umsetzung eines unbefugten Zugriffs, einer Nutzung, Offenlegung, Modifikation oder Zerstörung von Informationen oder eines Eingriffs in den Systembetrieb eines Informationssystems definiert.“

Quelle: https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf

Ein Ransomware-Angriff stellt eine Datenschutzverletzung dar, und Organisationen sollten ihn dementsprechend behandeln.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

eu-datenschutz-grundverordnung:-5-punkte,-die-sie-kennen-sollten
EU-Datenschutz-Grundverordnung: 5 Punkte, die Sie kennen sollten
Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss. Wir...
würde-die-dsgvo-bereits-gelten,-müsste-yahoo-einen-großen-scheck-ausstellen
Würde die DSGVO bereits gelten, müsste Yahoo einen großen Scheck ausstellen
Die Datenschutz-Apokalypse bei Yahoo wird nun von zwei EU-Datenschutzbehörden unter die Lupe genommen. Die britische Datenschutzaufsichtsbehörde ICO, die das Ausmaß der Attacke als „erschütternd“ bezeichnete, kündigte an, den Fall genauer...
ein-anderer-name-für-dsgvo:-das-neue-britische-datenschutzgesetz-(data-protection-bill)
Ein anderer Name für DSGVO: Das neue britische Datenschutzgesetz (Data Protection Bill)
Im letzten Monat wurde im Vereinigten Königreich die endgültige Version eines Gesetzes veröffentlicht, das die derzeitigen Datensicherheits- und Datenschutzvorschriften ersetzen soll. Für diejenigen, die das Brexit-Drama, das sich derzeit in...
neue-eu-datenschutzgesetze
Neue EU-Datenschutzgesetze
Anlässlich der CeBIT 2015 in Hannover, befragte Varonis IT-Fachleute aus dem Kreis der Fachbesucher im Hinblick auf die neuen EU-Datenschutzgesetze. Diese reformieren die seit 1996 gültigen Datenschutzverordnungen. Ein Auszug aus...