Datenverlust, Angst und IT-Sicherheitsrecht

Folgen Sie uns jetzt auf YouTube!

Immer wieder erhalte ich Anfragen von Mandanten, die Probleme mit Ransomware haben. Also deren Rechner, Systeme und Daten von einem Erpressungstrojaner gesperrt und verschlüsselt wurden. Geschockt erzählen sie dann davon, dass zum Beispiel die Personaldaten ihres Unternehmens, ganz egal, ob groß oder klein, verschwunden sind und statt des Windows-Anmeldebildschirms eine fiese Nachricht einer Ransomware wie PETYA, TESLACRYPT, WANNACRY oder LOCKY erscheint, mit Instruktionen, dass sie eine bestimmte Summe in Bitcoins zahlen müssen. Ansonsten seien die Daten verloren.

Mein Name ist Peter Hense, ich bin Rechtsanwalt und Partner bei Spirit Legal. Ich arbeite an der Schnittstelle von Technologie, Daten und Recht.

An Dramatik sind solche Szenen, wie ich sie eben beschrieben habe, kaum zu überbieten. Und sie häufen sich. War es vor ein paar Jahren noch so, dass man derartige Fälle nur aller Jubeljahre auf dem Tisch hatte, so gehören sie mittlerweile zum Alltag von Rechtsanwälten, die sich mit IT, Daten und Cybersecurity beschäftigen. Wie groß die Angriffsfläche mittlerweile ist, belegt ein aktueller Fall aus Österreich: Vor kurzem wurden die IT-Systeme eines Hotels in Kärnten von Ransomware befallen. Betroffen waren Point of Sale-Terminals, also die Kassensysteme, das Property Management und auch das Schließsystem war betroffen, Gäste konnten wohl nicht mehr auf ihre Zimmer. Das Hotel entschied sich in Panik zu zahlen – 1.500 Euro, ein überschaubarer Betrag.

Was hätten Sie getan, unter Zeitdruck und ohne eigenes Expertenwissen?

Umgang mit Ransomware

Im Umgang mit Erpressern gibt es zwei verbreitet Taktiken: Zahlen und schweigen oder sich wehren und kämpfen. Befürworter der letzteren Variante sind in der Minderzahl, leider zu Unrecht, wie ich finde.

Wir kennen die Situation aus actiongeladenen Kinofilmen: Jemand wird entführt, die Angehörigen werden erpresst. Und immer wieder die Ratschläge der Polizei: Nicht zahlen, denn die Erpresser lassen nicht nach! Sie kommen wieder und es wird immer schlimmer. Selbst wenn man zahlt kann man nie sicher sein, seine geliebten Angehörigen oder wie hier seine geliebten Daten tatsächlich wiederzubekommen. Doch ergibt es wirklich Sinn, sich auf Ratschläge und Filme aus der digitalen Steinzeit zu stützen? Gelten heute nicht andere Maßstäbe? Ist schnell zahlen nicht die viel bessere Variante?

Ein Entführer hinterlässt Spuren, ich kann ihn jagen und schnappen. Aber Ransomware? Wo sind Petya und Wannacry beheimatet? Das weiß niemand. Die Attribuierung, die Zuordnung von Cyber-Angriffen ist kompliziert, vorsichtig ausgedrückt. Die Daten sind ja noch da, nur leider unlesbar, der Entführer sitzt tausende Kilometer entfernt oder im Nachbardorf. Wer weiß das schon?

Erstaunlich an der Situation ist, dass wir mittlerweile Daten und IT-Systemen ähnlich emotional verbunden sind, wie Familienmitgliedern und eine Stilllegung der IT ähnlich harte Auswirkungen auf unser Arbeitsleben hat, wie die Entführung eines Menschen für unser Privatleben. Auch wenn Sicherheitsexperten und Cybercrime Units der Strafverfolgungsbehörden immer wieder warnen und auffordern, nicht zu zahlen, um die Erpresser nicht noch weiter zu füttern und das Geschäftsmodell der Erpressung am Leben zu erhalten, so gehen Unternehmen in den meisten Fällen doch den vermeintlich einfachen Weg und zahlen, zwischen wenigen hundert und mehreren tausend Euro pro Datensatz.

Brian Krebs, der Betreiber des sehr bekannten IT-Security-Blogs krebsonsecurity.com empfiehlt:

„First off — breathe deep and try not to panic. And don’t pay the ransom.“

Wie kann ich mich vor Ransomware schützen?

Doch wie kann ich mich gegen dieses Massenphänomen der Datenentführung wehren? Bin ich wirklich hilflos? Im Gegenteil! Als Unternehmen kann ich mich vorbereiten. Ich kann belastbare Backup-Strategien fahren, Schlagworte sind hier Isolated Recovery, Air Gapping und Continuous Data Protection. Für das Hotel im Beispielfall war es offenbar die vierte Cyber-Attacke und man war leider immer noch nicht genügend vorbereitet. Ich kann, ich muss einen Notfallplan erstellen und einüben. Ich kann Systeme für einen Ersatzbetrieb vorbereiten. Und ich kann die Feuerwehr rufen, also IT-Experten, die mir bei der Vorbereitung helfen und die mich an die Hand nehmen, wenn das Kind in den Brunnen gefallen ist. Nicht zuletzt kann ich eine Cybersecurity-Versicherung abschließen, die mir die heftigsten Schäden ersetzt. Ich muss einen Datenschutzbeauftragten bestellen, da ansonsten keine Versicherung etwas zahlt, weder Betriebsausfallversicherung noch Cybersecurityversicherung.

Geschäftsführer und Vorstände haften

IT-Sicherheit ist eine Pflicht der Unternehmensleitung. Wer sich nicht kümmert handelt fahrlässig und macht sich unter Compliance-Gesichtspunkten selbst haftbar. Wer von Ihnen für kritische Infrastrukturen verantwortlich ist, hat zusätzliche Pflichten nach dem deutschen IT Sicherheitsgesetz. Das sollte bekannt sein.

Aber dass auch jeder Shopbetreiber, jeder Online-Versicherungsvermittler, jedes Reisebüro und jedes Hotel für seine Webseiten, für sein CRM und seine PMS-Systeme mit dem IT Sicherheitsgesetz harte, greifbare Pflichten auferlegt bekommen hat, das ist vielen nicht bewusst.

Sie müssen regelmäßig ihre Systeme updaten, auch die Points of Sale-Systeme im Restaurant und an der Rezeption und sie müssen Buchungsstrecke bzw. Checkout auf der Website verschlüsseln. Das machen beileibe noch nicht alle. Und mit der kommenden EU-Datenschutzgrundverordnung wird es ab Mai 2018 nicht leichter, sondern werden Nachlässigkeiten teurer, viel teurer.

Technische und rechtliche Vorsorge sind aktive Haftungsvermeidung für Unternehmer, für Vorstände und für Aufsichtsräte. Doch anstatt vorzusorgen zahlen viele der von Ransomware betroffenen lieber Geld an ihre Erpresser. Die Kriminellen freuen sich derweil, dass das Geschäftsmodell so gut läuft.

Es wäre klasse, wenn es uns in Zukunft gelänge, durch bessere Vorsorge und weniger Hasenfüßigkeit beim Thema IT-Sicherheit, weniger Fälle von Ransomware zu ermöglichen und bei den eingetretenen Fällen, den Schaden gering zu halten.

Wie sieht das bei Ihnen aus? Mich würde Ihre Meinung interessieren: Lieber Zahlen oder lieber Vorsorgen? Was tun Sie in Ihrem Unternehmen, um Ransomware fernzuhalten? Schreiben Sie uns einfach oder kommentieren zu diesem Video. Wir freuen uns darauf!

Und wer sich zum Thema Information Security und Recht auf dem Laufenden halten will, der folgt mir unter @peterhense auf Twitter oder liest weiterhin unseren Blog.

Über den Autor:

Peter Hense

Rechtsanwalt, Partner

Peter Hense ist Rechtsanwalt und Partner bei Spirit Legal in Leipzig. Als Experte für IT, Datenschutz, Marken- und Wettbewerbsrecht sowie Travel Industry Law arbeitet er an der Schnittstelle von Wirtschaft und Technologie. Für Verhandlungen, Vorträge und Seminare ist er bundesweit für die Sozietät unterwegs.

Artikel erschienen am 12.09.2017 von Peter Hense

noch keine Kommentare vorhanden
Jetzt kommentieren!

Kategorie:

Video

Schlagworte:

Was suchen Sie?

Kategorien

Archiv

2024 (10)
2023 (28)
2022 (20)
2021 (26)
2020 (37)
2019 (72)
2018 (42)
2017 (47)
2016 (36)
2015 (39)
2014 (20)

vorherigen Artikel lesen

nächsten Artikel lesen

Einen Kommentar schreiben

Tags

USPTO fristen Doxing Registered Datenportabilität Markensperre Technologie A1-Bescheinigung informationspflichten #bsen Auslandszustellung online werbung Lohnfortzahlung Konferenz EuGH Berlin Haftung AIDA zahlungsdienst LinkedIn Rechtsanwaltsfachangestellte Hotellerie Internetrecht Conversion Abmahnung Einwilligung Umtausch Dokumentationspflicht Urlaub Arbeitsvertrag handel besondere Darstellung 3 UWG Großbritannien Stellenangebot Compliance #emd15 Wahlen Job Apps Booking.com targeting Amazon Sponsoring Markenrecht Bußgeld GmbH Barcamp Google Handynummer Kreditkarten data Medienstaatsvertrag Plattformregulierung Ratenparität Kapitalmarkt PSD2 Verbandsklage § 15 MarkenG Jugendschutzfilter Europa OLG Köln Preisauszeichnung Unterlassung drohnen Tracking Analytics Finanzaufsicht Kinder transparenzregister Datenpanne Unionsmarke Interview Entschädigung Vergütung selbstanlageverfahren USA SEA Corporate Housekeeping events NetzDG datenverlust Double-Opt-In EU-Kosmetik-Verordnung Filesharing Buchungsportal verbraucherstreitbeilegungsgesetz Gaming Disorder Chat Extremisten Bundeskartellamt Stellenausschreibung Artificial Intelligence JointControl Fotografen Rufschädigung Identitätsdiebstahl LG Hamburg Alexa Schadenersatz schule Schadensersatz Datengeheimnis Distribution Education § 5 UWG E-Mobilität Datenschutzgrundverordnung Kundenbewertungen Recht technology Gegendarstellung Fotografie Reisen §75f HGB AGB Beschäftigtendatenschutz Schadensfall UWG Abhören Prozessrecht Crowdfunding Anmeldung Kennzeichnungskraft brexit Machine Learning Home-Office Domainrecht Aufsichtsbehörden Handelsregister Website Beleidigung Türkisch Direktmarketing § 24 MarkenG Presse markenanmeldung Hausrecht Marketing TeamSpirit Algorithmus Transparenz Event Personenbezogene Daten E-Mail Urteil Infosec informationstechnologie Mitarbeiterfotografie Pseudonomisierung Erschöpfungsgrundsatz Schöpfungshöhe Medienrecht Authentifizierung ecommerce patent Phishing Künstliche Intelligenz Werbekennzeichnung Weihnachten ransom Geschmacksmuster Duldungsvollmacht Verlängerung Schleichwerbung Radikalisierung Internet of Things Spielzeug Influencer geldwäsche hate speech Sperrabrede Spirit Legal kommunen Asien Vergütungsmodelle Kündigung CNIL Data Protection Einzelhandel Urteile information technology custom audience Bots Single Sign-On AfD wetteronline.de gender pay gap Bildung LMIV Online Marketing FTC CRM Vertragsgestaltung Newsletter Journalisten Erbe KUG Onlineshop Limited Hotelvermittler