Datenverlust, Angst und IT-Sicherheitsrecht
Immer wieder erhalte ich Anfragen von Mandanten, die Probleme mit Ransomware haben. Also deren Rechner, Systeme und Daten von einem Erpressungstrojaner gesperrt und verschlüsselt wurden. Geschockt erzählen sie dann davon, dass zum Beispiel die Personaldaten ihres Unternehmens, ganz egal, ob groß oder klein, verschwunden sind und statt des Windows-Anmeldebildschirms eine fiese Nachricht einer Ransomware wie PETYA, TESLACRYPT, WANNACRY oder LOCKY erscheint, mit Instruktionen, dass sie eine bestimmte Summe in Bitcoins zahlen müssen. Ansonsten seien die Daten verloren.
Mein Name ist Peter Hense, ich bin Rechtsanwalt und Partner bei Spirit Legal. Ich arbeite an der Schnittstelle von Technologie, Daten und Recht.
An Dramatik sind solche Szenen, wie ich sie eben beschrieben habe, kaum zu überbieten. Und sie häufen sich. War es vor ein paar Jahren noch so, dass man derartige Fälle nur aller Jubeljahre auf dem Tisch hatte, so gehören sie mittlerweile zum Alltag von Rechtsanwälten, die sich mit IT, Daten und Cybersecurity beschäftigen. Wie groß die Angriffsfläche mittlerweile ist, belegt ein aktueller Fall aus Österreich: Vor kurzem wurden die IT-Systeme eines Hotels in Kärnten von Ransomware befallen. Betroffen waren Point of Sale-Terminals, also die Kassensysteme, das Property Management und auch das Schließsystem war betroffen, Gäste konnten wohl nicht mehr auf ihre Zimmer. Das Hotel entschied sich in Panik zu zahlen – 1.500 Euro, ein überschaubarer Betrag.
Was hätten Sie getan, unter Zeitdruck und ohne eigenes Expertenwissen?
Umgang mit Ransomware
Im Umgang mit Erpressern gibt es zwei verbreitet Taktiken: Zahlen und schweigen oder sich wehren und kämpfen. Befürworter der letzteren Variante sind in der Minderzahl, leider zu Unrecht, wie ich finde.
Wir kennen die Situation aus actiongeladenen Kinofilmen: Jemand wird entführt, die Angehörigen werden erpresst. Und immer wieder die Ratschläge der Polizei: Nicht zahlen, denn die Erpresser lassen nicht nach! Sie kommen wieder und es wird immer schlimmer. Selbst wenn man zahlt kann man nie sicher sein, seine geliebten Angehörigen oder wie hier seine geliebten Daten tatsächlich wiederzubekommen. Doch ergibt es wirklich Sinn, sich auf Ratschläge und Filme aus der digitalen Steinzeit zu stützen? Gelten heute nicht andere Maßstäbe? Ist schnell zahlen nicht die viel bessere Variante?
Ein Entführer hinterlässt Spuren, ich kann ihn jagen und schnappen. Aber Ransomware? Wo sind Petya und Wannacry beheimatet? Das weiß niemand. Die Attribuierung, die Zuordnung von Cyber-Angriffen ist kompliziert, vorsichtig ausgedrückt. Die Daten sind ja noch da, nur leider unlesbar, der Entführer sitzt tausende Kilometer entfernt oder im Nachbardorf. Wer weiß das schon?
Erstaunlich an der Situation ist, dass wir mittlerweile Daten und IT-Systemen ähnlich emotional verbunden sind, wie Familienmitgliedern und eine Stilllegung der IT ähnlich harte Auswirkungen auf unser Arbeitsleben hat, wie die Entführung eines Menschen für unser Privatleben. Auch wenn Sicherheitsexperten und Cybercrime Units der Strafverfolgungsbehörden immer wieder warnen und auffordern, nicht zu zahlen, um die Erpresser nicht noch weiter zu füttern und das Geschäftsmodell der Erpressung am Leben zu erhalten, so gehen Unternehmen in den meisten Fällen doch den vermeintlich einfachen Weg und zahlen, zwischen wenigen hundert und mehreren tausend Euro pro Datensatz.
Brian Krebs, der Betreiber des sehr bekannten IT-Security-Blogs krebsonsecurity.com empfiehlt:
„First off — breathe deep and try not to panic. And don’t pay the ransom.“
Wie kann ich mich vor Ransomware schützen?
Doch wie kann ich mich gegen dieses Massenphänomen der Datenentführung wehren? Bin ich wirklich hilflos? Im Gegenteil! Als Unternehmen kann ich mich vorbereiten. Ich kann belastbare Backup-Strategien fahren, Schlagworte sind hier Isolated Recovery, Air Gapping und Continuous Data Protection. Für das Hotel im Beispielfall war es offenbar die vierte Cyber-Attacke und man war leider immer noch nicht genügend vorbereitet. Ich kann, ich muss einen Notfallplan erstellen und einüben. Ich kann Systeme für einen Ersatzbetrieb vorbereiten. Und ich kann die Feuerwehr rufen, also IT-Experten, die mir bei der Vorbereitung helfen und die mich an die Hand nehmen, wenn das Kind in den Brunnen gefallen ist. Nicht zuletzt kann ich eine Cybersecurity-Versicherung abschließen, die mir die heftigsten Schäden ersetzt. Ich muss einen Datenschutzbeauftragten bestellen, da ansonsten keine Versicherung etwas zahlt, weder Betriebsausfallversicherung noch Cybersecurityversicherung.
Geschäftsführer und Vorstände haften
IT-Sicherheit ist eine Pflicht der Unternehmensleitung. Wer sich nicht kümmert handelt fahrlässig und macht sich unter Compliance-Gesichtspunkten selbst haftbar. Wer von Ihnen für kritische Infrastrukturen verantwortlich ist, hat zusätzliche Pflichten nach dem deutschen IT Sicherheitsgesetz. Das sollte bekannt sein.
Aber dass auch jeder Shopbetreiber, jeder Online-Versicherungsvermittler, jedes Reisebüro und jedes Hotel für seine Webseiten, für sein CRM und seine PMS-Systeme mit dem IT Sicherheitsgesetz harte, greifbare Pflichten auferlegt bekommen hat, das ist vielen nicht bewusst.
Sie müssen regelmäßig ihre Systeme updaten, auch die Points of Sale-Systeme im Restaurant und an der Rezeption und sie müssen Buchungsstrecke bzw. Checkout auf der Website verschlüsseln. Das machen beileibe noch nicht alle. Und mit der kommenden EU-Datenschutzgrundverordnung wird es ab Mai 2018 nicht leichter, sondern werden Nachlässigkeiten teurer, viel teurer.
Technische und rechtliche Vorsorge sind aktive Haftungsvermeidung für Unternehmer, für Vorstände und für Aufsichtsräte. Doch anstatt vorzusorgen zahlen viele der von Ransomware betroffenen lieber Geld an ihre Erpresser. Die Kriminellen freuen sich derweil, dass das Geschäftsmodell so gut läuft.
Es wäre klasse, wenn es uns in Zukunft gelänge, durch bessere Vorsorge und weniger Hasenfüßigkeit beim Thema IT-Sicherheit, weniger Fälle von Ransomware zu ermöglichen und bei den eingetretenen Fällen, den Schaden gering zu halten.
Wie sieht das bei Ihnen aus? Mich würde Ihre Meinung interessieren: Lieber Zahlen oder lieber Vorsorgen? Was tun Sie in Ihrem Unternehmen, um Ransomware fernzuhalten? Schreiben Sie uns einfach oder kommentieren zu diesem Video. Wir freuen uns darauf!
Und wer sich zum Thema Information Security und Recht auf dem Laufenden halten will, der folgt mir unter @peterhense auf Twitter oder liest weiterhin unseren Blog.