Sofortmaßnahmen bei einer Ransomware-Attacke

Kommt es trotz aller Vorsichtsmaßnahmen doch zu einer Infektion durch Ransomware, müssen IT-Verantwortliche unverzüglich feststellen, welche Geräte und Systeme betroffen sind. Infizierte Geräte müssen isoliert und vom Netzwerk getrennt werden, um eine weitere Ausbreitung zu unterbinden. Nach einer genauen Schadensanalyse muss die Arbeitsfähigkeit schnellstens wiederhergestellt werden. Falls die Backup-Systeme noch intakt sein sollten, ist die Wiederherstellung der Daten und der Programmstruktur der betroffenen Geräte relativ schnell erledigt. Gibt es keine Backups (mehr), müssen die Geräte komplett neu eingerichtet werden. Im schlimmsten Fall muss die gesamte IT-Infrastruktur neu aufgebaut werden.

Wenn es einen Datenschutzbeauftragten gibt, sollte diesem die Ransomware-Attacke unverzüglich mitgeteilt werden. Da bei einer Ransomware-Attacke in aller Regel auch personenbezogene Daten betroffen sind, stellt diese auch eine Datenschutzverletzung dar. Der Datenschutzbeauftragte kann am besten deren Ausmaß beurteilen, darüber entscheiden, ob nach Art. 33 DSGVO eine Meldung an die zuständige Aufsichtsbehörde erfolgen muss. Sollte für die Personen, die direkt von der Datenschutzverletzung betroffen sind, ein besonderes Risiko bestehen (z. B. Offenlegung von Gesundheitsdaten oder Finanzinformationen), müssen diese außerdem unverzüglich direkt über den Vorfall informiert werden. Der Datenschutzbeauftragte muss seine Risikoanalyse auch dann schriftlich dokumentieren, wenn diese ergibt, dass keine Meldung erfolgen muss.

Gibt es keinen Datenschutzbeauftragten, muss die Geschäftsleitung über den Umgang mit der Datenschutzverletzung entscheiden. Genau wie der Datenschutzbeauftragte muss auch die Geschäftsleitung die Risikoanalyse schriftlich dokumentieren. Im Zweifelsfall sollte die Ransomware-Attacke der zuständigen Aufsichtsbehörde immer gemeldet werden.

Meldepflichten

Wo die Ransomware-Attacke gemeldet werden muss, ist abhängig von der Art des Unternehmens.

Betreiber kritischer Infrastrukturen, Betreiber von Energieversorgungsnetzen und Anbieter digitaler Dienste melden die Ransomware-Attacke „unverzüglich“ als Sicherheitsvorfall beim BSI (§ 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG, § 8c Abs. 3 BSIG). Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste melden den Sicherheitsvorfall an das BSI sowie die Bundesnetzagentur (§ 109 Abs. 5 TKG). In der Regel verfügen diese Unternehmen über etablierte Kontakt- und Meldewege. Die Meldung kann aber auch direkt über die BSI-Homepage erfolgen.

Alle anderen Unternehmen melden die Ransomware-Attacke beim zuständigen Landesamt für Datenschutz. Nach Art. 33 Abs. 1 DSGVO muss die Datenschutzverletzung innerhalb von 72 Stunden gemeldet werden. Auf der Homepage des zuständigen Landesamts gibt es in der Regel einen Eintrag mit der Bezeichnung Meldung einer Datenpanne gemäß Artikel 33 DSGVO (o. ä.), der zu einem Online-Formular führt. Im Formular muss dann unter anderem die Anzahl der betroffenen Personen, die Anzahl der betroffenen personenbezogenen Datensätze und die Art der betroffenen Daten angegeben werden.