Stellt ein Ransomware-Angriff eine Datenschutzverletzung dar?

Ransomware führt zu einem Kontrollverlust

Die meisten IT-Experten setzen die Exfiltration von Daten aus ihrem Netzwerk mit dem Punkt gleich, ab dem die Kontrolle verloren geht und eine Datenschutzverletzung aufgetreten ist. Ihr Denkansatz orientiert sich daran, „wo die Bits liegen“, und wenn Ihre Benutzerdatenbank mit Bittorrent im Internet herumgereicht und für 0,0001 Bitcoins pro Konto verkauft wird, haben Sie eindeutig die Kontrolle verloren.

Nicht ganz so offenkundig ist, dass der Befall mit Ransomware (oder einer anderen Form von Malware) auf einen Verlust der Kontrolle über die Daten innerhalb Ihres Netzwerks darstellt und deshalb eine Datenschutzverletzung ist.

Der Vorgang muss tatsächlich so eingestuft werden, als sei ein Krimineller in Ihr Büro spaziert, an der Rezeption und dem Wachdienst vorbeigegangen und mit dem Fahrstuhl in den Keller gefahren, um dort die Tür zu Ihrem Serverraum aufzuschließen, sich mit gestohlenen Anmeldeinformationen eines Administrators auf Ihrem zentralen Server anzumelden und 10.000 zufällig ausgewählte Dateien zu verschlüsseln, die Ihre Benutzer unbedingt für ihre Arbeit benötigen, und sei danach wieder verschwunden.

Wenn tatsächlich jemand einen derartigen physischen Angriff in Ihren Räumlichkeiten durchführen würde, wäre das eindeutig ein Verlust der Kontrolle über die Daten. Viel zu viele Systemadministratoren betrachten einen Ransomware-Angriff allerdings irrtümlich als rein interne Angelegenheit und keine Datenschutzverletzung.

Auf konzeptioneller Ebene sollte ein solcher aber als Verletzung Ihres Kontrollsystems und nicht als Verletzung des Netzwerks selbst betrachtet werden.

Die meisten bundesstaatlichen Richtlinien für Datenschutzverletzungen in den USA basieren eindeutig auf dem Modell der HIPAA-Vorschriften, in denen Ransomware-Infektionen eindeutig als Datenschutzverletzung eingestuft sind:

„Das Vorhandensein von Ransomware (oder anderer Malware) in den Computersystemen einer abgedeckten Rechtsperson oder eines ihrer Geschäftspartner stellt einen Sicherheitsverstoß gemäß HIPAA-Sicherheitsverordnung dar. Ein Sicherheitsverstoß ist als der Versuch oder die erfolgreiche Umsetzung eines unbefugten Zugriffs, einer Nutzung, Offenlegung, Modifikation oder Zerstörung von Informationen oder eines Eingriffs in den Systembetrieb eines Informationssystems definiert.“

Quelle: https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf

Ein Ransomware-Angriff stellt eine Datenschutzverletzung dar, und Organisationen sollten ihn dementsprechend behandeln.