Für den Ernstfall gewappnet? – Datenschutzprüfung gegen Welle von Ransomwaren-Angriffen bei bayerischen Unternehmen

Startschuss für anlasslose Prüfungen der Datenschutzaufsichtsbehörde

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 01.12.2021

Bayerische Unternehmen – von der kleinen Arztpraxis bis zum Konzern – werden zunehmend von international agierenden Cyberkriminellen angegriffen. Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es dabei vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen. Alleine innerhalb des letzten Jahres wurden dem Bayerischen Landesamt für Datenschutzaufsicht von bayerischen Unternehmen mehrere hundert Ransom-Angriffe gemeldet, bei denen Lösegeld von 10 TSD bis zu 50 Mio. Euro gefordert wurden. Präsident Michael Will: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann. Mit unserer Prüfaktion greifen wir Basisaufgaben auf, die in jedem Unternehmen gewährleistet werden können und sollten.“

Die hohe Anzahl der gemeldeten Fälle, die nach einer Sommerpause ab September wieder deutlich angestiegen sind, spiegelt das Risiko für jedes Unternehmen wieder, Opfer eines Cyberangriffs zu werden. Gerade auch Unternehmen aus dem Mittelstand sind überproportional betroffen und widerlegen damit das trügerische Gefühl, nicht im Fokus der Angreifer zu sein.

Werden Daten und IT-System verschlüsselt, dann ruht häufig der Betrieb. Selbst eine funktionierende Datensicherung bietet aber vor dem Trend, dass Angreifer personenbezogene Daten entwenden (Ransomware 2.0), keinen Schutz und verlagert den Schaden auf die betroffene Belegschaft und Kundschaft. Gravierend kann es werden, wenn sensitive Informationen wie Inhalte einer ärztlichen Patientenakte, Kontoverbindungsdaten oder Bewerbungsunterlagen im sogenannten Darknet auftauchen, um dort in Marktplätzen für andere Internetverbrecher zum Verkauf angeboten zu werden.

Aufgrund der sehr hohen Bedrohungslage von Angriffen mit Ransomware hat sich das BayLDA entschieden, die Auftaktprüfung einer ganzen Prüfreihe diesem Thema zu widmen. Ziel ist, mit fünf zielgerichteten Prüffragen die wichtigsten Sicherheitsbereiche abzufragen sowie weitere Informationen für einen umfassenden Schutz anzubieten. „IT-Sicherheit zum Schutz vor Ransomware gehört zu den Pflichtaufgaben für alle Unternehmen, die personenbezogene Daten verarbeiten. Unsere Prüfung zeigt gerade für kleine und mittelständige Unternehmen einfache und wirksame Maßnahmen auf, mit denen sie ihre Datenschutzanforderungen wahren und sich im besten Fall zugleich erfolgreich gegen die Angriffe Cyberkrimineller verteidigen.“, so Will.

Neu gegründete Stabstelle Prüfverfahren

Mit der Prüfung „Ransomware“ gibt die neu gegründete Stabstelle Prüfverfahren des BayLDA den Startschuss für eine Reihe anlassloser fokussierter Kontrollen. In kurzen Abständen werden künftig standardisierte schriftliche und auch automatisiert über das Internet ausgeführte Prüfungen mit klarer Schwerpunktsetzung durchgeführt. Begleitend werden die Prüffragen sowie Informationen zu dem jeweiligen Prüfkomplex unter https://www.lda.bayern.de/de/kontrollen_stabsstelle.html veröffentlicht. Künftige Themenbereiche werden zudem bereits vorangekündigt.

Ziel der regelmäßigen fokussierten Prüfungen ist einerseits, die datenschutzrechtlichen Kontrollen der nicht-öffentlichen Stellen in Bayern auszuweiten. Andererseits soll durch die begleitende Bereitstellung von Informationen das Augenmerk auch der Datenschutzbeauftragten auf die jeweils geprüften oder zur Prüfung anstehenden Thematiken gelenkt werden. „Wir möchten die betrieblichen Datenschutzexperten als Multiplikatoren gewinnen, um gemeinsam den Schutz der bayerischen Unternehmen zu erhöhen. Unsere fokussierten Prüfkataloge bieten ihnen einfache Werkzeuge für interne Kontrollen und Schulungen.“, erläutert Präsident Michael Will.