(C) All-in-Media GmbH

Ransomware nicht auf dem Schirm? – Datenschutzbehörde prüft anlasslos Unternehmen, Krankenhäuser, Arztpraxen

Im Bayerischen Landesamt für Datenschutzaufsicht prüft eine neue Stabsstelle kleine und mittlere Unternehmen, kleinere Krankenhäuser, Schulen, Arztpraxen
Dies kann durch Prüfungen vor Ort, im schriftlichen Verfahren oder als Online-Prüfung erfolgen.

Aber das soll erst der Anfang von anlasslosen Prüfungen sein…

Jetzt könnte man meinen, warum nimmt sich eine Landesdatenschutzbehörde als Überwacher des Umgangs mit personenbezogenen Daten nun die Datensicherheit vor.

Dazu muss man wissen, dass auch in der Datenschutzgrundverordnung (DSGVO) der Punkt der Datensicherheit als einzuhaltendes Ziel im Artikel 32 DSGVO erwähnt wird. 
Am bekanntesten dürften die TOMs – also die technisch-organisatorischen Maßnahmen – sein.

Ransomware 2.0

Darunter versteht man die Entwendung von von personenbezogenen Daten vor einer Verschlüsselung. Diese Daten werden dann als Druckmittel bei der Erpressung benutzt. Motto: “Keine Zahlung – dann Veröffentlichung”.

Und wenn dann die Daten im Darknet auftauchen ist der Schaden enorm – gerade bei Patientenakten, Kontodaten,  Bewerbungsunterlagen usw.

Das bedeutet, dass man mit klugen Backups einem Unternehmensstillstand vorbeugen kann – aber eben nur schwer bis gar nicht der Veröffentlichung personenbezogener Daten im Internet.

Und hat man auch die Clouddienstleister auf dem Schirm?
Wie z.B. Dienstleister im Gesundheitswesen, Steuerbüros, ausgelagerte Personaldaten usw.?

Meldung innerhalb von 72 Stunden nach Kenntnis

Unternehmen müssen einen Angriff innerhalb von 72 Stunden nach dem Bekanntwerden eines Angriffs melden (Art. 33 DSGVO).

Aber das Problem ist damit nicht erledigt. Denn wenn Daten veröffentlich werden, müssen oft auch nach Art. 34 DSGVO alle Betroffene in Kenntnis gesetzt und über Schutzmaßnahmen aufgeklärt werden.

Dadurch, dass die Daten veröffentlicht werden können, kann solch ein Vorfall für die Betroffenen massive Konsequenzen für deren Rechte und Freiheiten bedeuten und damit ist eine Information nach DSGVO an die Betroffenen zwingend.

Die Folge ist, dass Ransomware-Angriffe nun massiv in den Datenschutz eingreifen – mit allen Konsequenzen.

Und deswegen ist es zwingend, sich rein über den Punkt Wiederanlauf des Unternehmens mit den weiteren Konsequenzen eines Ransomware-Angriffs auseinander zu setzen.

Denn sollten die Betroffenen nicht einzeln erreicht werden können (z.B. neue Anschrift) ist eine Informationspflicht in der Öffentlichkeit vorzusehen – also mit Anzeigen in Tageszeitungen.
Ehrlich gesagt: positives Marketing sieht anders aus…

Ziel ist die Unterstützung der Unternehmen

Das Landesamt stellt schon im Vorfeld eine Reihe von hochinformativen Unterlagen bereit (siehe unten).

Zum Beispiel die Handreichung “Detailpunkte zu Schwerpunkten der Ransomware-Präventionsprüfung”.
Hierin werden im Detail die relevanten Punkte einer Prüfung vorgestellt. Man kann sich also vorbereiten.

Antwortbogen

Im Antwortbogen, den das Unternehmen dann zum Landesamt zurückschicken muss, wird eine Abfrage zum Schutzstatus gemacht. Ein Schummeln ist nicht anzuraten, da man dies mit einer Unterschrift bestätigen muss – und ehrlich gesagt, wäre das ja auch ein Selbstbetrug.

Wenig Zeit bei einer Prüfung

Nach Eingang der anlasslosen Prüfung hat das Unternehmen ca. 3 Wochen zur Beantwortung.

Also man tut gut daran, sich schnell damit zu beschäftigen.
Und nicht zuletzt ist es ja auch zur eigenen Sicherheit…

Nicht zu vergessen: Das ist erste eine Reihe von anlasslosen Prüfungen durch die neue Stabstelle des Bayerischen Landesamts für Datenschutzaufsicht.

 

Dokumente zur Prüfung durch das Bayerische Landesamt für Datenschutzaufsicht

Hinweis: Die obigen Dokumente sind beispielhaft. Es fehlen z.B. Rechtsbelehrungen.

Weiterführende Links

  • BSI: Ransomware: Bedrohungslage, Prävention und Detektion 2021 – Link PDF
  • BayLDA: Cybersicherheit in medizinischen Einrichtungen – Link PDF
  • BayLDA: Patch Management Checkliste nach Art. 32 DSGVO – Link PDF




Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf.


Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen.