Ransomware: Profitieren Online-Erpresser von der DSGVO?
Bild: @istock.com/vchal
Sorgen die Strafandrohungen der neuen Datenschutz-Grundverordnung DSGVO dafür, dass Unternehmen eher auf Erpressungsversuche eingehen? Der dänische IT-Sicherheitsanbieter Heimdal Security zum Beispiel ist davon überzeugt.
Die Zahl der Angriffe durch Erpressersoftware (Ransomware) könnte im Laufe dieses Jahres noch deutlich zulegen. Dies erwartet zum Beispiel der dänische IT-Sicherheitsspezialist Heimdal Software laut einem Bericht des IT-Blogs „Look@IT“ von IT-Journalist Michael Kroker. Einer der Gründe sei die Ende Mai in Kraft getretene europäische Datenschutz-Grundverordnung (DSGVO) – und hier insbesondere die mit ihr verbundenen Strafandrohungen. Bei Verstoß gegen die DSGVO droht Unternehmen ein Bußgeld von bis zu vier Prozent ihres weltweiten Jahresumsatzes. Infolgedessen seien Firmenverantwortliche eher bereit, geforderte Lösegelder von Cyber-Kriminellen zu zahlen, um den Schaden und die Datenverluste möglichst klein zu halten oder sogar ganz zu unterbinden.
Die Angst vor Datenverlust ist begründet. So berichtet der Antiviren-Spezialist Kaspersky Lab in seinen „Ransomware-Trends des Jahres 2017“, dass 65 Prozent der im Jahr 2017 von Ransomware betroffenen Unternehmen entweder den Zugriff auf einen Großteil oder alle ihre Daten verloren haben. Allerdings: Selbst die Zahlung des Lösegeldes sei ohne Garantie. Ein Sechstel der Unternehmen, die gezahlt hätten, seien nicht in der Lage gewesen, ihre Daten wiederherzustellen.
Schon die Hälfte der Unternehmen betroffen
Falls die DSGVO die Bereitschaft, Lösegeld zu bezahlen, wirklich erhöht, würde dies den eh schon rasanten Vormarsch von Betrugs- und Erpressungssoftware noch zusätzlich beschleunigen. Bereits rund die Hälfte aller Unternehmen sind zum Ziel von Ransomware-Attacken geworden. Bei Mittelständlern ist die Rate jedoch noch geringer: So berichtet ebenfalls Michael Kroker auf seinem Blog, dass es 2016 weltweit rund fünf Prozent aller KMU getroffen habe. Mehr als ein Drittel (35 Prozent) von ihnen sei bereit gewesen, ein Lösegeld zu zahlen.
Die Höhe des dabei durchschnittlich geforderten Lösegelds hat sich laut Symantec im vergangenen Jahr auf 544 US-Dollar eingependelt. Dies sei auf den ersten Blick auch für kleinere Unternehmen kein großer Betrag. „Doch sollten sich Unternehmen im Klaren darüber sein, dass dies nur die durchschnittliche Forderung für eine einzelne Infektion darstellt“, so Symantec in ihrem Ransomware-Report 2017. „Bei Angriffen, bei denen Dutzende oder gar Hunderte Computer infiziert sind, erhöht sich die Lösegeldforderung um ein Vielfaches.“
Was fordert die DSGVO?
Doch was sieht die DSGVO selbst vor? Vor allem für den Fall, in dem es Hacker bereits geschafft haben, in die Unternehmensnetzwerke einzudringen? Konkrete Handlungsanweisungen bezüglich eines DSGVO-konformen Schutzes gegen Cyberangriffe gibt die Verordnung nicht. Schließlich entwickeln sich die entsprechenden Technologien, Produkte und Verfahren ständig weiter. Im Kapitel 32 der DSGVO sind lediglich die allgemeinen Aspekte für notwendige Schutzmaßnahmen umschrieben. Und falls es bereits zu einem Datenverlust gekommen ist, regelt die DSGVO in Artikel 33 und 34 vor allem das Prozedere der Melde- und Berichtspflicht.
Wer in Sachen Ransomware auf Nummer sicher gehen will, kommt um die Datenspeicherung auf Offline-Medien nicht herum. Davon ist auch Stéphane Estevez vom Speicheranbieter Quantum überzeugt. In einem Beitrag für das IT-Portal „Security Insider“ schlägt er einen pragmatischen Ansatz vor, der darin besteht, eine Kopie der Daten auf Magnetbändern (Tape) mit einer ein- oder zweimonatigen Aufbewahrungsfrist vorzuhalten. „Tape ermöglicht es, eine Lösegeld-freie Zone zu erstellen, die nichts verbirgt, sondern physisch von Ihrem Netzwerk getrennt ist“, so Estevez. „Selbst ein kompromittiertes Backup-Administratorkonto kann nicht auf Ransomware zugreifen und diese dann verwenden, um Backups auf Band zu verschlüsseln.“
Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG