Datenverlust, Angst und IT-Sicherheitsrecht

Immer wieder erhalte ich Anfragen von Mandanten, die Probleme mit Ransomware haben. Also deren Rechner, Systeme und Daten von einem Erpressungstrojaner gesperrt und verschlüsselt wurden. Geschockt erzählen sie dann davon, dass zum Beispiel die Personaldaten ihres Unternehmens, ganz egal, ob groß oder klein, verschwunden sind und statt des Windows-Anmeldebildschirms eine fiese Nachricht einer Ransomware wie PETYA, TESLACRYPT, WANNACRY oder LOCKY erscheint, mit Instruktionen, dass sie eine bestimmte Summe in Bitcoins zahlen müssen. Ansonsten seien die Daten verloren.

Mein Name ist Peter Hense, ich bin Rechtsanwalt und Partner bei Spirit Legal. Ich arbeite an der Schnittstelle von Technologie, Daten und Recht.

An Dramatik sind solche Szenen, wie ich sie eben beschrieben habe, kaum zu überbieten. Und sie häufen sich. War es vor ein paar Jahren noch so, dass man derartige Fälle nur aller Jubeljahre auf dem Tisch hatte, so gehören sie mittlerweile zum Alltag von Rechtsanwälten, die sich mit IT, Daten und Cybersecurity beschäftigen. Wie groß die Angriffsfläche mittlerweile ist, belegt ein aktueller Fall aus Österreich: Vor kurzem wurden die IT-Systeme eines Hotels in Kärnten von Ransomware befallen. Betroffen waren Point of Sale-Terminals, also die Kassensysteme, das Property Management und auch das Schließsystem war betroffen, Gäste konnten wohl nicht mehr auf ihre Zimmer. Das Hotel entschied sich in Panik zu zahlen – 1.500 Euro, ein überschaubarer Betrag.

Was hätten Sie getan, unter Zeitdruck und ohne eigenes Expertenwissen?

Umgang mit Ransomware

Im Umgang mit Erpressern gibt es zwei verbreitet Taktiken: Zahlen und schweigen oder sich wehren und kämpfen. Befürworter der letzteren Variante sind in der Minderzahl, leider zu Unrecht, wie ich finde.

Wir kennen die Situation aus actiongeladenen Kinofilmen: Jemand wird entführt, die Angehörigen werden erpresst. Und immer wieder die Ratschläge der Polizei: Nicht zahlen, denn die Erpresser lassen nicht nach! Sie kommen wieder und es wird immer schlimmer. Selbst wenn man zahlt kann man nie sicher sein, seine geliebten Angehörigen oder wie hier seine geliebten Daten tatsächlich wiederzubekommen. Doch ergibt es wirklich Sinn, sich auf Ratschläge und Filme aus der digitalen Steinzeit zu stützen? Gelten heute nicht andere Maßstäbe? Ist schnell zahlen nicht die viel bessere Variante?

Ein Entführer hinterlässt Spuren, ich kann ihn jagen und schnappen. Aber Ransomware? Wo sind Petya und Wannacry beheimatet? Das weiß niemand. Die Attribuierung, die Zuordnung von Cyber-Angriffen ist kompliziert, vorsichtig ausgedrückt. Die Daten sind ja noch da, nur leider unlesbar, der Entführer sitzt tausende Kilometer entfernt oder im Nachbardorf. Wer weiß das schon?

Erstaunlich an der Situation ist, dass wir mittlerweile Daten und IT-Systemen ähnlich emotional verbunden sind, wie Familienmitgliedern und eine Stilllegung der IT ähnlich harte Auswirkungen auf unser Arbeitsleben hat, wie die Entführung eines Menschen für unser Privatleben. Auch wenn Sicherheitsexperten und Cybercrime Units der Strafverfolgungsbehörden immer wieder warnen und auffordern, nicht zu zahlen, um die Erpresser nicht noch weiter zu füttern und das Geschäftsmodell der Erpressung am Leben zu erhalten, so gehen Unternehmen in den meisten Fällen doch den vermeintlich einfachen Weg und zahlen, zwischen wenigen hundert und mehreren tausend Euro pro Datensatz.

Brian Krebs, der Betreiber des sehr bekannten IT-Security-Blogs krebsonsecurity.com empfiehlt:

„First off — breathe deep and try not to panic. And don’t pay the ransom.“

Wie kann ich mich vor Ransomware schützen?

Doch wie kann ich mich gegen dieses Massenphänomen der Datenentführung wehren? Bin ich wirklich hilflos? Im Gegenteil! Als Unternehmen kann ich mich vorbereiten. Ich kann belastbare Backup-Strategien fahren, Schlagworte sind hier Isolated Recovery, Air Gapping und Continuous Data Protection. Für das Hotel im Beispielfall war es offenbar die vierte Cyber-Attacke und man war leider immer noch nicht genügend vorbereitet. Ich kann, ich muss einen Notfallplan erstellen und einüben. Ich kann Systeme für einen Ersatzbetrieb vorbereiten. Und ich kann die Feuerwehr rufen, also IT-Experten, die mir bei der Vorbereitung helfen und die mich an die Hand nehmen, wenn das Kind in den Brunnen gefallen ist. Nicht zuletzt kann ich eine Cybersecurity-Versicherung abschließen, die mir die heftigsten Schäden ersetzt. Ich muss einen Datenschutzbeauftragten bestellen, da ansonsten keine Versicherung etwas zahlt, weder Betriebsausfallversicherung noch Cybersecurityversicherung.

Geschäftsführer und Vorstände haften

IT-Sicherheit ist eine Pflicht der Unternehmensleitung. Wer sich nicht kümmert handelt fahrlässig und macht sich unter Compliance-Gesichtspunkten selbst haftbar. Wer von Ihnen für kritische Infrastrukturen verantwortlich ist, hat zusätzliche Pflichten nach dem deutschen IT Sicherheitsgesetz. Das sollte bekannt sein.

Aber dass auch jeder Shopbetreiber, jeder Online-Versicherungsvermittler, jedes Reisebüro und jedes Hotel für seine Webseiten, für sein CRM und seine PMS-Systeme mit dem IT Sicherheitsgesetz harte, greifbare Pflichten auferlegt bekommen hat, das ist vielen nicht bewusst.

Sie müssen regelmäßig ihre Systeme updaten, auch die Points of Sale-Systeme im Restaurant und an der Rezeption und sie müssen Buchungsstrecke bzw. Checkout auf der Website verschlüsseln. Das machen beileibe noch nicht alle. Und mit der kommenden EU-Datenschutzgrundverordnung wird es ab Mai 2018 nicht leichter, sondern werden Nachlässigkeiten teurer, viel teurer.

Technische und rechtliche Vorsorge sind aktive Haftungsvermeidung für Unternehmer, für Vorstände und für Aufsichtsräte. Doch anstatt vorzusorgen zahlen viele der von Ransomware betroffenen lieber Geld an ihre Erpresser. Die Kriminellen freuen sich derweil, dass das Geschäftsmodell so gut läuft.

Es wäre klasse, wenn es uns in Zukunft gelänge, durch bessere Vorsorge und weniger Hasenfüßigkeit beim Thema IT-Sicherheit, weniger Fälle von Ransomware zu ermöglichen und bei den eingetretenen Fällen, den Schaden gering zu halten.

Wie sieht das bei Ihnen aus? Mich würde Ihre Meinung interessieren: Lieber Zahlen oder lieber Vorsorgen? Was tun Sie in Ihrem Unternehmen, um Ransomware fernzuhalten? Schreiben Sie uns einfach oder kommentieren zu diesem Video. Wir freuen uns darauf!

Und wer sich zum Thema Information Security und Recht auf dem Laufenden halten will, der folgt mir unter @peterhense auf Twitter oder liest weiterhin unseren Blog.

 

Einen Kommentar schreiben

Tags

arbeitnehmer Marketing Trademark Home-Office Datenschutzgrundverordnung Handynummer AIDA Informationsfreiheit Twitter Wettbewerb Online Shopping KUG html5 Xing fake news Nutzungsrecht Onlineplattform Annual Return Ratenparität Meinungsfreiheit Bundeskartellamt fristen Vertrauen neu Sponsoren Gepäck Education Corporate Housekeeping Keyword-Advertising Kinderrechte 5 UWG Wettbewerbsverbot Urteile unternehmensrecht hate speech Impressum jahresabschluss Schöpfungshöhe Niederlassungsfreiheit Meldepflicht datenverlust Datenschutzerklärung DSGVO Tracking Preisangabenverordnung § 24 MarkenG Digitalwirtschaft Dark Pattern Ring Art. 13 GMV Verlängerung Meinung ecommerce Phishing Email drohnengesetz Insolvenz Kundenbewertungen Datenschutzrecht JointControl WLAN Human Resource Management Bewertung BDSG kinderfotos Auftragsverarbeitung Geschäftsführer Content-Klau Custom Audiences Online-Bewertungen Weihnachten Distribution Registered Microsoft berufspflicht gezielte Behinderung markenanmeldung Boehmermann 2014 Kundendaten Panorama § 5 MarkenG verbraucherstreitbeilegungsgesetz Gastronomie Hotelvermittler ransomware Textilien Spitzenstellungsbehauptung LMIV Recht Hotelrecht Zahlungsdaten besondere Darstellung Machine Learning Technologie Leipzig Online Internet of Things Social Media Infosec Sampling FashionID technology fotos verlinken Abhören Werbung E-Mobilität Erbe Referendar Rufschädigung wallart ReFa Urteil Medienrecht custom audience § 4 UWG Direktmarketing Bots Videokonferenz Datenschutzbeauftragter Markenrecht Schadensersatz Persönlichkeitsrecht Lebensmittel Urheberrecht Blog Leaks Know How Bußgeld data privacy Bachblüten Diskriminierung GmbH Unlauterer Wettbewerb kommunen Flugzeug informationspflichten Gesichtserkennung Sponsoring Amazon Kundenbewertung Doxing Arbeitsrecht total buy out PSD2 Reisen Notice & Take Down Hotelsterne SSO targeting ePrivacy FTC copter Arbeitsvertrag Störerhaftung Event Gegendarstellung Anonymisierung Foto CRM Unionsmarke Spielzeug wetteronline.de AGB Rabattangaben Gesamtpreis Bildung Gäste Suchmaschinen Kinder Informationspflicht Unterlassungsansprüche Konferenz Hotellerie Midijob Haftung Website Dynamic Keyword Insertion Verbandsklage kündigungsschutz Telefon News Cyber Security IT-Sicherheit Europawahl Geschäftsanschrift Unterlassung Hacking Lizenzrecht Duldungsvollmacht Vertragsgestaltung Kekse Identitätsdiebstahl Mitarbeiterfotografie Domainrecht München Jahresrückblick Abmahnung § 5 UWG

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2023, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: