Ransomware führt zu einem Kontrollverlust
Die meisten IT-Experten setzen die Exfiltration von Daten aus ihrem Netzwerk mit dem Punkt gleich, ab dem die Kontrolle verloren geht und eine Datenschutzverletzung aufgetreten ist. Ihr Denkansatz orientiert sich daran, „wo die Bits liegen“, und wenn Ihre Benutzerdatenbank mit Bittorrent im Internet herumgereicht und für 0,0001 Bitcoins pro Konto verkauft wird, haben Sie eindeutig die Kontrolle verloren.
Nicht ganz so offenkundig ist, dass der Befall mit Ransomware (oder einer anderen Form von Malware) auf einen Verlust der Kontrolle über die Daten innerhalb Ihres Netzwerks darstellt und deshalb eine Datenschutzverletzung ist.
Der Vorgang muss tatsächlich so eingestuft werden, als sei ein Krimineller in Ihr Büro spaziert, an der Rezeption und dem Wachdienst vorbeigegangen und mit dem Fahrstuhl in den Keller gefahren, um dort die Tür zu Ihrem Serverraum aufzuschließen, sich mit gestohlenen Anmeldeinformationen eines Administrators auf Ihrem zentralen Server anzumelden und 10.000 zufällig ausgewählte Dateien zu verschlüsseln, die Ihre Benutzer unbedingt für ihre Arbeit benötigen, und sei danach wieder verschwunden.
Wenn tatsächlich jemand einen derartigen physischen Angriff in Ihren Räumlichkeiten durchführen würde, wäre das eindeutig ein Verlust der Kontrolle über die Daten. Viel zu viele Systemadministratoren betrachten einen Ransomware-Angriff allerdings irrtümlich als rein interne Angelegenheit und keine Datenschutzverletzung.
Auf konzeptioneller Ebene sollte ein solcher aber als Verletzung Ihres Kontrollsystems und nicht als Verletzung des Netzwerks selbst betrachtet werden.
Die meisten bundesstaatlichen Richtlinien für Datenschutzverletzungen in den USA basieren eindeutig auf dem Modell der HIPAA-Vorschriften, in denen Ransomware-Infektionen eindeutig als Datenschutzverletzung eingestuft sind:
„Das Vorhandensein von Ransomware (oder anderer Malware) in den Computersystemen einer abgedeckten Rechtsperson oder eines ihrer Geschäftspartner stellt einen Sicherheitsverstoß gemäß HIPAA-Sicherheitsverordnung dar. Ein Sicherheitsverstoß ist als der Versuch oder die erfolgreiche Umsetzung eines unbefugten Zugriffs, einer Nutzung, Offenlegung, Modifikation oder Zerstörung von Informationen oder eines Eingriffs in den Systembetrieb eines Informationssystems definiert.“
Quelle: https://www.hhs.gov/sites/default/files/RansomwareFactSheet.pdf
Ein Ransomware-Angriff stellt eine Datenschutzverletzung dar, und Organisationen sollten ihn dementsprechend behandeln.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Michael Buckbee
Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.