Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?

Mitglied: MOS6581

MOS6581 (Level 2) - Jetzt verbinden

23.09.2018, aktualisiert 08:23 Uhr, 3128 Aufrufe, 22 Kommentare, 3 Danke

Moin Kollegen,

wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?

In Art. 33, Abs. 1 heißt es ja:

Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?

Danke und schönen Sonntag,
MOS
Mitglied: Lochkartenstanzer
23.09.2018, aktualisiert um 08:45 Uhr
Moin,

Das ist eher eine Frage an einen Rechtsverdreher als einen Admin. Als Admin sollte man grundsätzluch erstmal das schlimmste annehmen:

  • Die Malware hat die Systeme infiltriert und Backdoors geschaffen, über die jederzeit ein Datenabfluß möglich wäre.

Dann wäre das Meldepflichtig. Aber dann müßte man bei jedem Pups melden.

Ich denke, das ist eine Einzelfallentscheidung, die man individuell in Abspracge mut einem Anwalt teeffen muß, je nachdem was und wieviel betroffen ist.

lks
Bitte warten ..
Mitglied: StefanKittel
23.09.2018, aktualisiert um 08:47 Uhr
Moin,

es wurde eine Software auf einem System aktiv.
Die sichtbare Folge ist, dass die Daten verschlüsselt sind.
Es ist eine reine Annahme, dass die Daten nicht zusätzlich kopiert wurden.
Viele unerwünschte Programme bringen andere unerwünschte Programme mit.

Stefan
Bitte warten ..
Mitglied: Mikrofonpartner
23.09.2018 um 08:45 Uhr
Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut. Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden. Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
Bitte warten ..
Mitglied: Vision2015
23.09.2018 um 09:31 Uhr
Moin...
Zitat von MOS6581:

Moin Kollegen,

wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...

In Art. 33, Abs. 1 heißt es ja:

Da Ransomware ja typischerweise keine Daten nach außen verschifft und sämtliche Daten aus dem Backup wiederhergestellt werden können, trifft meiner Auffassung nach kein Risiko für die Rechte und Freiheiten natürlicher Personen zu. Sehe ich das richtig?
du kannst nicht wissen ob der schädling daten transportiert...

Danke und schönen Sonntag,
MOS
Frank
Bitte warten ..
Mitglied: Vision2015
23.09.2018, aktualisiert um 09:43 Uhr
Moin...
Zitat von Mikrofonpartner:

Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
oh... habt ihr das öfter?
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden.
muss es ja auch nicht.... ihr habt ja 72 Stunden zeit, alles in ruhe zu prüfen...
Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
was ja auch richtig ist!
nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe....

Frank
Bitte warten ..
Mitglied: MOS6581
23.09.2018 um 10:45 Uhr
@Vision2015
Zitat von Vision2015:
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...

Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.

lG MOS
Bitte warten ..
Mitglied: Mikrofonpartner
23.09.2018 um 11:29 Uhr
Zitat von Vision2015:

Moin...
Zitat von Mikrofonpartner:

Unser DSB hat beim letzten Befall durch Ransomware sehr schnell Druck aufgebaut.
oh... habt ihr das öfter?
der DSB mag ja Druck aufbauen wollen, allerdings muss er warten, bis alle fakten bekannt sind!
Da war noch gar nicht klar, was alles an Daten verschlüsselt wurden.
muss es ja auch nicht.... ihr habt ja 72 Stunden zeit, alles in ruhe zu prüfen...
Hatten vor 30 Minuten erst die Info erhalten und gleich die Server vom Netz genommen.
was ja auch richtig ist!
nun, wenn es nicht auszuschließen ist, das daten kopiert wurden, muss der DSB es melden! was ja auch erstmal nicht soo schlimm ist!
allerdings wenn rauskommt, das grob fahrlässig gehandelt wurde, kann das mit einer strafe geahndet werden. was aber erstmal zu beweisen wäre...
also nur die ruhe....

Frank

Wir nicht. ;)

In den letzten 4 Wochen haben sich 2 Kunden Ransomware durch Mailanhänge eingefangen. "Lustigerweise" kurz nachdem der DSB Schulungen im Umgang mit Mails und so abgehalten hatte.
Bitte warten ..
Mitglied: manuel-r
23.09.2018 um 11:33 Uhr
gilt dies dann als meldepflichtige Datenpanne nach DSGVO, selbst wenn das Opfer ein Backup der Daten hat?

Meiner persönlichen Einschätzung nach: Ja
Das Unternehmen hat in dem Fall nämlich offenkundig die administrative Kontrolle über die Daten verloren. Streng ausgelegt hat offenkundig ein Fremder die Daten verarbeitet indem er sie verschlüsselt hat.

Ich bin aber kein Anwalt und auch nicht bei der Datenschutzbehörde...
Bitte warten ..
Mitglied: n.o.b.o.d.y
23.09.2018 um 12:40 Uhr
Hallo,

ihr müsst (solltet) ja eigentlich den Schutzbedarf der betroffenen Daten wissen. Wenn es medizinische Daten sind, liegt da die Latte schon mal relativ hoch. Die Abrechnungsdaten sind da nicht so "wichtig". Wichtig ist noch die Anzahl Betroffener. Versuche zu ermittel, ob die Daten abgeflossen sein können. Wenn das nicht feststellbar ist, must Du eine (mögliche) Datenpanne an die Aufsichtsbehörde melden. So einfach ist das. Ich wüste auch nicht was gegen eine Meldung sprechen würde. Passtieren wird da mit größter Wahrscheinlichkeit nichts, da die Landesdatenschutzbehörden mehr als ausgelastet sind.
Bitte warten ..
Mitglied: certifiedit.net
23.09.2018 um 17:29 Uhr
Hallo MOS;

ja, ist es.

VG
Bitte warten ..
Mitglied: Vision2015
23.09.2018 um 18:24 Uhr
Moin...
Zitat von MOS6581:

@Vision2015
Zitat von Vision2015:
das Backup ist erst einmal nicht das Wichtigste, die erste frage wäre doch, was sind das genau für Kundendaten?
es muss zunächst festgestellt werden, ob diese Daten überhaubt schutz bedürfen... evtl. sind es nur nummern etc...

Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
abrechnungsdaten an die KV sind von hause aus verschlüsselt, und nicht im klartext... wenn es an die PVS geht wäre das was anderes....
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.
also wenn du davon ausgehen würdest, würde ich sagen du bist dir nicht sicher! im zweifel sind die Backup´s nicht verschlüsselt, was aber auch nicht das thema wäre.. denn die schadsoftware kommt ja an die rohdaten, und es wäre möglich, das daten übertragen werden... also wäre das zu melden!

lG MOS
Frank
Bitte warten ..
Mitglied: StefanKittel
23.09.2018 um 19:13 Uhr
Zitat von MOS6581:
Im (fiktiven) Fall wären das durchaus schützenswerte Medizindaten. Und Backups einer Abrechnungssoftware von geschätzt mehreren Hundert Kunden, ebenfalls im medizinischen Bereich. Also eher unlustig, wenn diese Daten in fremde Hände gelangen.
Ich würde davon ausgehen, dass die Backups dieser Daten auf dem Server vernünftig verschlüsselt sind. Demnach sollte ein Angreifer erst mal keinen Klartext-Zugriff auf die Datenbestände haben.

Um was für Daten es sicht handelt must Du ja nun wissen.
Sind es nun in Deinem fiktivem Beispiel Arbeitsdaten oder Datensicherungen?

Arbeitsdaten sind in den meisten Daten nicht verschlüsselte Daten-Datei oder Datei-Datenbanken.
Selbst wenn die HDD im Server verschlüsselt ist, ist sie das im normalen Betrieb nicht.
->Arschkarte

Wenn es Datensicherungen sind ist die Frage ob und wenn ja wie diese Verschlüsselt sind.
Ich würde es trotzdem melden um nichts falsch zu machen mit dem Hinweis, dass die Daten mit "der Software "Schnubbelbackup V1.20" erstellt und dabei mit "AES256" verschlüsselt wurden.

Stefan
Bitte warten ..
Mitglied: 127132
24.09.2018 um 07:27 Uhr
Kommt wie so oft drauf an.

Genaueres erklärt Art 4 (12) DSGVO.
Frage eins ist immer: handelt es sich um personenbezogene Daten?
Wenn ja, muss man weiterschauen.
Sind Backups da? Wenn nein, dann muss man davon ausgehen, dass personenbezogene Daten nun vernichtet wurden -> Meldung
Ob bei dem Angriff auch Daten offen gelegt bzw. übermittelt wurden ist die Gretchenfrage.
Und die würde ich eher von einem Rechtsgelehrten beantworten lassen.

Knackpunkt ist halt der, man weiß, dass ein Angriff erfolgte. Und theoretisch besteht die Möglichkeit, dass da eine Backdoor gesetzt wurde.
Aber: die könnte man auch haben, ohne dass es einen offensichtlichen Angriff gab.
Da IT per se nicht 100% sicher ist, könnte man demnach laufend von so einer Bedrohung ausgehen und da eine Meldung absetzen.
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".

Wenn es also personenbezogene Daten waren, die Dateien mit den Daten zwar verschlüsselt aber nicht verändert oder vernichtet (da Backup vorhanden) und es kein Anzeichen gibt, dass die Daten (nicht nur die Dateien) übermittelt wurden, würde ich behaupten, es besteht kein Anlass zu einer Meldung.

Aber -> Rechtsgelehrter sollte das im Zweifel entscheiden.
Bitte warten ..
Mitglied: certifiedit.net
24.09.2018 um 08:45 Uhr
Weil: Art 33 DSGVO verlangt ja nur eine Meldung, wenn man auch tatsächlich weiß, dass es zu einer Verletzung nach Art 4 (12) DSGVO gekommen ist. Wörtlich: "nachdem ihm die Verletzung bekannt wurde".

heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.

Die Frist ist im Zweifelsfalle wichtiger.
Bitte warten ..
Mitglied: Uwe-Kernchen
24.09.2018 um 10:52 Uhr
Datenpanne nach DSGVO? -> ja
DSGVO Art. 5 Abs. 1f)
Personendaten müssen... in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen

Daraus folgt: Datenpanne dokumentieren.

Datenpanne meldepflichtig? -> nein
Ransomware "zerstört" im Allgemeinen die Daten, aber es erfolgt kein unbefugter Zugriff.
Damit erfolgt kein Schaden bei Dritten und es besteht keine Meldepflicht.

Sollten Daten abgeflossen sein, und das sind auch noch sensible Gesundheitsdaten, sieht das natürlich anders aus.
Bitte warten ..
Mitglied: certifiedit.net
24.09.2018 um 10:55 Uhr
und da er das nicht sicher ausschliessen kann - Meldepflicht
Bitte warten ..
Mitglied: StefanKittel
24.09.2018 um 11:04 Uhr
Moin,

wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.

Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.
Also müßte Ihr die Ärzte informieren deren Daten hier gespeichert wurden und diese müssen alle Patienten informieren die in Ihrer Software gespeichert sind.

Inklusive aller Folgen wie z.B. Schadensersatz & Co.

Die zwingende Folge ist, dass die Daten so verschlüsselt sein müssen, das ein Hacker damit nichts anfangen kann.

Stefan
Bitte warten ..
Mitglied: 127132
24.09.2018 um 13:48 Uhr
Zitat von StefanKittel:

wir sprechen hier die ganze Zeit von der Meldepflicht gegenüber den Behörden.

Wenn etwas Meldepflichtig ist, dann muss ich aber auch die Betroffenen informieren.

Nein. Der Betroffene muss nur dann informiert werden, wenn ein hohes Risiko für dessen persönlichen Rechte und Freiheiten besteht.
Siehe Art 34 (1) DSGVO und § 66 Abs. 1 BDSG
Es müssen auch nicht alle Verletzungen an die Aufsichtsbehörde gemeldet werden. Nur dann, wenn überhaupt ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Art 33 (1) DSGVO und § 66 Abs. 3 BDSG


Zitat von certifiedit.net:

heisst aber, man muss schon melden, wenn die Daten verschlüsselt wurde und man noch gar nicht weiss, welche.

Und genau das muss eben ein Rechtsmensch klären.
Denn nur, weil etwas wahrscheinlich ist, ist es noch nicht zwangsläufig auch wirklich eingetreten.
Mit dieser Argumentation müsste ich nämlich fast täglich irgendwelche Meldungen machen.
Die Frage ist halt, ob hier tatsächlich ein tatsächliches Risiko besteht.

Insgesamt werde ich da aber jetzt mal bei der Rechtsabteilung des Dachverbandes meines Unternehmens nachfragen, wie die das sehen. Wird ein Weilchen dauern, aber ich werde da mit Sicherheit Antwort erhalten.
Bitte warten ..
Mitglied: certifiedit.net
24.09.2018 um 14:14 Uhr
Ich verweise hierbei auf

Sollten Sie die Pflichten zur Dokumentation und ggf. Meldung einer Datenpanne nicht beachten, so kann ein solcher Verstoß mit einem Bußgeld von bis zu 10.000.000,- EUR oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) führen.

meldet man etwas, was danach glücklicherweise "doch nichts" ist, dann ist kein Bußgeld fällig. Meldet man es zu spät, siehe oben.
Bitte warten ..
Mitglied: 127132
24.09.2018 um 14:28 Uhr
Das ist ja richtig, aber hier steht ja auch die Meldepflicht an die Betroffenen im Raum.
Sowas will die Geschäftsleitung schon ganz gerne genau wissen, ob es denn notwendig ist.
Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.09.2018, aktualisiert um 14:30 Uhr
Zitat von 127132:

Soweit ich weiß, sind sich die Rechtsgelehrten da auch noch immer uneins.

meiner Erfahrung nach sind die sich da immer uneins. Da gibt es den bekannten Spruch, mit den drei Anwälten in einem Raum und vier (Rechts-)Meinungen. Meine Erfahrung ist, daß die meisten Anwälte dem Clienten den Rat geben, der ihnen das höchste Honorar verspricht.

lks
Bitte warten ..
Mitglied: certifiedit.net
24.09.2018 um 14:48 Uhr
Ich denke, das wichtigste ist die Meldepflicht an die Behörden. Ob und wie an die betroffenen muss man dann sowieso evaluieren, ggf. mit den Behörden.
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft21 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing20 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
Datenschutz
Datenschutzbeauftragter DSGVO
leon123FrageDatenschutz15 Kommentare

Hallo zusammen, ich werde vermutlich zum Datenschutzbeauftragen verdonnert, weil ich hier auf 2 IHK Vorträgen war Da mir bewusst ...

Datenschutz
DSGVO und Zeiterfassung
gelöst Stewy0310FrageDatenschutz14 Kommentare

Hallo zusammen, nachdem unsere Firma von dem neuen Gerichtsurteil zur Zeiterfassung erfahren hat, müssen wir in ein Zeiterfassungssystem Geld ...

Datenschutz
DSGVO Datenschutzgesetz
1Werner1AnleitungDatenschutz9 Kommentare

Moin, ja was ist das, da ist die DSGVO Datenschutzverordnung. Wie das Gesetz gibt es schon 2 Jahre? Nun ...

Humor (lol)
DSGVO - Lösungsansatz
emeriksFrageHumor (lol)4 Kommentare

Hi, das Thema DSGVO ist ja hier schon ein paar Mal angesprochen worden. Mir ist jetzt ein wirklich sehr ...

Datenschutz
DSGVO Mailing Private Handys
gelöst retrieveFrageDatenschutz35 Kommentare

Guten Tag, ich habe eine frage bezüglich der DSGVO. Dürfen auf Privat Handys der Mitarbeiter Ihre E-Mail Accounts des ...

Datenschutz
DSGVO - konkrete Auswirkungen
gelöst 127132FrageDatenschutz8 Kommentare

Hallo zusammen! Es dauert ja jetzt nicht mehr so lange, dann muss DSGVO angewendet werden. Ich bin mir da ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT