mos6581
Goto Top

Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?

Moin Kollegen,

wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?

In Art. 33, Abs. 1 heißt es ja:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?

Danke und schönen Sonntag,
MOS

Content-Key: 387443

Url: https://administrator.de/contentid/387443

Printed on: June 15, 2024 at 00:06 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Sep 23, 2018 updated at 06:45:19 (UTC)
Goto Top
Moin,

Das ist eher eine Frage an einen Rechtsverdreher als einen Admin. Als Admin sollte man grundsätzluch erstmal das schlimmste annehmen:

  • Die Malware hat die Systeme infiltriert und Backdoors geschaffen, über die jederzeit ein Datenabfluß möglich wäre.

Dann wäre das Meldepflichtig. Aber dann müßte man bei jedem Pups melden.

Ich denke, das ist eine Einzelfallentscheidung, die man individuell in Abspracge mut einem Anwalt teeffen muß, je nachdem was und wieviel betroffen ist.

lks
Member: StefanKittel
StefanKittel Sep 23, 2018 updated at 06:47:16 (UTC)
Goto Top
Moin,

es wurde eine Software auf einem System aktiv.
Die sichtbare Folge ist, dass die Daten verschlüsselt sind.
Es ist eine reine Annahme, dass die Daten nicht zusätzlich kopiert wurden.
Viele unerwünschte Programme bringen andere unerwünschte Programme mit.

Stefan
Member: Mikrofonpartner
Mikrofonpartner Sep 23, 2018 at 06:45:36 (UTC)
Goto Top
Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut. Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden. Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
Member: Vision2015
Vision2015 Sep 23, 2018 at 07:31:13 (UTC)
Goto Top
Moin...
Zitat von @MOS6581:

Moin Kollegen,

wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...

In Art. 33, Abs. 1 heißt es ja:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?
du kannst nicht wissen ob der schädling daten transportiert...

Danke und schönen Sonntag,
MOS
Frank
Member: Vision2015
Vision2015 Sep 23, 2018 updated at 07:43:09 (UTC)
Goto Top
Moin...
Zitat von @Mikrofonpartner:

Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
oh... habt ihr das öfter? face-smile
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden.
muss es ja auch nicht.... ihr habt ja 72 Stunden zeit, alles in ruhe zu prüfen...
Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
was ja auch richtig ist!
nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe.... face-smile

Frank
Member: MOS6581
MOS6581 Sep 23, 2018 at 08:45:59 (UTC)
Goto Top
@Vision2015
Zitat von @Vision2015:
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...

Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.

lG MOS
Member: Mikrofonpartner
Mikrofonpartner Sep 23, 2018 at 09:29:24 (UTC)
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @Mikrofonpartner:

Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
oh... habt ihr das öfter? face-smile
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden.
muss es ja auch nicht.... ihr habt ja 72 Stunden zeit, alles in ruhe zu prüfen...
Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
was ja auch richtig ist!
nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe.... face-smile

Frank

Wir nicht. ;)

In den letzten 4 Wochen haben sich 2 Kunden Ransomware durch Mailanhänge eingefangen. "Lustigerweise" kurz nachdem der DSB Schulungen im Umgang mit Mails und so abgehalten hatte.
Member: manuel-r
manuel-r Sep 23, 2018 at 09:33:03 (UTC)
Goto Top
gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?

Meiner persönlichen Einschätzung nach: Ja
Das Unternehmen hat in dem Fall nämlich offenkundig die administrative Kontrolle über die Daten verloren. Streng ausgelegt hat offenkundig ein Fremder die Daten verarbeitet indem er sie verschlüsselt hat.

Ich bin aber kein Anwalt und auch nicht bei der Datenschutzbehörde...
Member: n.o.b.o.d.y
n.o.b.o.d.y Sep 23, 2018 at 10:40:18 (UTC)
Goto Top
Hallo,

ihr müsst (solltet) ja eigentlich den Schutzbedarf der betroffenen Daten wissen. Wenn es medizinische Daten sind, liegt da die Latte schon mal relativ hoch. Die Abrechnungsdaten sind da nicht so "wichtig". Wichtig ist noch die Anzahl Betroffener. Versuche zu ermittel, ob die Daten abgeflossen sein können. Wenn das nicht feststellbar ist, must Du eine (mögliche) Datenpanne an die Aufsichtsbehörde melden. So einfach ist das. Ich wüste auch nicht was gegen eine Meldung sprechen würde. Passtieren wird da mit größter Wahrscheinlichkeit nichts, da die Landesdatenschutzbehörden mehr als ausgelastet sind.
Member: falscher-sperrstatus
falscher-sperrstatus Sep 23, 2018 at 15:29:46 (UTC)
Goto Top
Hallo MOS;

ja, ist es.

VG
Member: Vision2015
Vision2015 Sep 23, 2018 at 16:24:48 (UTC)
Goto Top
Moin...
Zitat von @MOS6581:

@Vision2015
Zitat von @Vision2015:
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...

Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
abrechnungsdaten an die KV sind von hause aus verschlüsselt, und nicht im klartext... wenn es an die PVS geht wäre das was anderes....
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.
also wenn du davon ausgehen würdest, würde ich sagen du bist dir nicht sicher! im zweifel sind die Backup´s nicht verschlüsselt, was aber auch nicht das thema wäre.. denn die schadsoftware kommt ja an die rohdaten, und es wäre möglich, das daten übertragen werden... also wäre das zu melden!

lG MOS
Frank
Member: StefanKittel
StefanKittel Sep 23, 2018 at 17:13:40 (UTC)
Goto Top
Zitat von @MOS6581:
Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.

Um was für Daten es sicht handelt must Du ja nun wissen.
Sind es nun in Deinem fiktivem Beispiel Arbeitsdaten oder Datensicherungen?

Arbeitsdaten sind in den meisten Daten nicht verschlüsselte Daten-Datei oder Datei-Datenbanken.
Selbst wenn die HDD im Server verschlüsselt ist, ist sie das im normalen Betrieb nicht.
->Arschkarte

Wenn es Datensicherungen sind ist die Frage ob und wenn ja wie diese Verschlüsselt sind.
Ich würde es trotzdem melden um nichts falsch zu machen mit dem Hinweis, dass die Daten mit "der Software "Schnubbelbackup V1.20" erstellt und dabei mit "AES256" verschlüsselt wurden.

Stefan
Mitglied: 127132
127132 Sep 24, 2018 at 05:27:44 (UTC)
Goto Top
Kommt wie so oft drauf an.

Genaueres erklärt Art 4 (12) DSGVO.
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Frage eins ist immer: handelt es sich um personenbezogene Daten?
Wenn ja, muss man weiterschauen.
Sind Backups da? Wenn nein, dann muss man davon ausgehen, dass personenbezogene Daten nun vernichtet wurden -> Meldung
Ob bei dem Angriff auch Daten offen gelegt bzw. übermittelt wurden ist die Gretchenfrage.
Und die würde ich eher von einem Rechtsgelehrten beantworten lassen.

Knackpunkt ist halt der, man weiß, dass ein Angriff erfolgte. Und theoretisch besteht die Möglichkeit, dass da eine Backdoor gesetzt wurde.
Aber: die könnte man auch haben, ohne dass es einen offensichtlichen Angriff gab.
Da IT per se nicht 100% sicher ist, könnte man demnach laufend von so einer Bedrohung ausgehen und da eine Meldung absetzen.
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".

Wenn es also personenbezogene Daten waren, die Dateien mit den Daten zwar verschlüsselt aber nicht verändert oder vernichtet (da Backup vorhanden) und es kein Anzeichen gibt, dass die Daten (nicht nur die Dateien) übermittelt wurden, würde ich behaupten, es besteht kein Anlass zu einer Meldung.

Aber -> Rechtsgelehrter sollte das im Zweifel entscheiden.
Member: falscher-sperrstatus
falscher-sperrstatus Sep 24, 2018 at 06:45:41 (UTC)
Goto Top
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".

heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.

Die Frist ist im Zweifelsfalle wichtiger.
Member: Uwe-Kernchen
Uwe-Kernchen Sep 24, 2018 at 08:52:22 (UTC)
Goto Top
Datenpanne nach DSGVO? -> ja
DSGVO Art. 5 Abs. 1f)
Personendaten müssen... in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen

Daraus folgt: Datenpanne dokumentieren.

Datenpanne meldepflichtig? -> nein
Ransomware "zerstört" im Allgemeinen die Daten, aber es erfolgt kein unbefugter Zugriff.
Damit erfolgt kein Schaden bei Dritten und es besteht keine Meldepflicht.

Sollten Daten abgeflossen sein, und das sind auch noch sensible Gesundheitsdaten, sieht das natürlich anders aus.
Member: falscher-sperrstatus
falscher-sperrstatus Sep 24, 2018 at 08:55:54 (UTC)
Goto Top
und da er das nicht sicher ausschliessen kann - Meldepflicht
Member: StefanKittel
StefanKittel Sep 24, 2018 at 09:04:00 (UTC)
Goto Top
Moin,

wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.

Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.
Also müßte Ihr die Ärzte informieren deren Daten hier gespeichert wurden und diese müssen alle Patienten informieren die in Ihrer Software gespeichert sind.

Inklusive aller Folgen wie z.B. Schadensersatz & Co.

Die zwingende Folge ist, dass die Daten so verschlüsselt sein müssen, das ein Hacker damit nichts anfangen kann.

Stefan
Mitglied: 127132
127132 Sep 24, 2018 at 11:48:04 (UTC)
Goto Top
Zitat von @StefanKittel:

wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.

Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.

Nein. Der Betroffene muss nur dann informiert werden, wenn ein hohes Risiko für dessen persönlichen Rechte und Freiheiten besteht.
Siehe Art 34 (1) DSGVO und § 66 Abs. 1 BDSG
Es müssen auch nicht alle Verletzungen an die Aufsichtsbehörde gemeldet werden. Nur dann, wenn überhaupt ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Art 33 (1) DSGVO und § 66 Abs. 3 BDSG


Zitat von @falscher-sperrstatus:

heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.

Und genau das muss eben ein Rechtsmensch klären.
Denn nur, weil etwas wahrscheinlich ist, ist es noch nicht zwangsläufig auch wirklich eingetreten.
Mit dieser Argumentation müsste ich nämlich fast täglich irgendwelche Meldungen machen.
Die Frage ist halt, ob hier tatsächlich ein tatsächliches Risiko besteht.

Insgesamt werde ich da aber jetzt mal bei der Rechtsabteilung des Dachverbandes meines Unternehmens nachfragen, wie die das sehen. Wird ein Weilchen dauern, aber ich werde da mit Sicherheit Antwort erhalten.
Member: falscher-sperrstatus
falscher-sperrstatus Sep 24, 2018 at 12:14:26 (UTC)
Goto Top
Ich verweise hierbei auf

Sollten Sie die Pflichten zur Dokumentation und ggf. Meldung einer Datenpanne nicht beachten, so kann ein solcher Verstoß mit einem Bußgeld von bis zu 10.000.000,- EUR oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) führen.

meldet man etwas, was danach glücklicherweise "doch nichts" ist, dann ist kein Bußgeld fällig. Meldet man es zu spät, siehe oben.
Mitglied: 127132
127132 Sep 24, 2018 at 12:28:04 (UTC)
Goto Top
Das ist ja richtig, aber hier steht ja auch die Meldepflicht an die Betroffenen im Raum.
Sowas will die Geschäftsleitung schon ganz gerne genau wissen, ob es denn notwendig ist.
Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.
Member: Lochkartenstanzer
Lochkartenstanzer Sep 24, 2018 updated at 12:30:59 (UTC)
Goto Top
Zitat von @127132:

Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.

meiner Erfahrung nach sind die sich da immer uneins. Da gibt es den bekannten Spruch, mit den drei Anwälten in einem Raum und vier (Rechts-)Meinungen. Meine Erfahrung ist, daß die meisten Anwälte dem Clienten den Rat geben, der ihnen das höchste Honorar verspricht.

lks
Member: falscher-sperrstatus
falscher-sperrstatus Sep 24, 2018 at 12:48:25 (UTC)
Goto Top
Ich denke, das wichtigste ist die Meldepflicht an die Behörden. Ob und wie an die betroffenen muss man dann sowieso evaluieren, ggf. mit den Behörden.