Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSA

Mitglied: StefanKittel
Hallo,

in diesem Artikel geht es wieder mal um die Frage ob eine Ransomware-Attacke gemeldet werden muss.
https://www.storage-insider.de/wann-eine-ransomware-attacke-gemeldet-wer ...

Warum ist das ein Problem?
"Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) bereitet immer noch Schwierigkeiten. Gerade die Einhaltung der Meldepflichten nach DSGVO wirft weiterhin Fragen auf. Welche Cyberattacken müssen gemeldet werden, welche nicht, fragen sich die Unternehmen. Der Europäische Datenschutzausschuss (EDSA) gibt dazu Hinweise, zum Beispiel für den Fall einer Ransomware-Attacke."

und
"Offensichtlich brauchen die Unternehmen hier genauere Informationen, die ihnen helfen können, die Meldepflichten nach DSGVO richtig umzusetzen. Tatsächlich sieht die DSGVO auch vor, dass es solche Informationen zu den Meldepflichten geben soll. "

Die Lösung der EDSA
"So beschreibt der EDSA zum einen Ransomware-Attacken auf Unternehmen, die geschützte Backups haben und deren Daten nicht entwendet wurden, um sie zu verkaufen oder um mit der Veröffentlichung drohen und erpressen zu können. Dann betrachten die Aufsichtsbehörden den Fall, dass es kein Backup gibt. Der dritte untersuchte Fall ist die Situation, dass es ein Backup gibt, die Daten nicht entwendet wurden, aber dass es sich um ein Krankenhaus handelt. Der vierte Fall ist ein Unternehmen ohne Backup, bei dem die Daten ausgespäht wurden, so dass sie an Dritte weitergegeben werden können."

Wer ist die EDSA?
Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert.
https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_de

Warum glaube ich das, dies Quatsch ist?
Eine Ransomware-Attacke basiert darauf, dass der Angreifer eine Software auf einem PC/Server des Opfers starten konnte.
Dabei wurden Dateien verschlüsselt. Die Kommunikation des Angreifers mit seinem Command-Control-Server verläuft verschlüsselt.

Aus meiner Sicht dürften 99% der Unternehmen nicht in der Lage zu sein festzustellen ob Daten entwendet wurden oder nicht.
Einzig die Datenmenge zum CC-Server könnte ein Indiz sein. Aber ein 10 KB Word-Dokumentiert ist halt nicht besonders groß.
Und eine Datei reicht ja schon. Oder ein Screenshot des PCs/Servers könnte personenbezogene Daten beinhalten.

Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.

Stefan

Content-Key: 1074292812

Url: https://administrator.de/contentid/1074292812

Ausgedruckt am: 27.07.2021 um 16:07 Uhr

Mitglied: Vision2015
Vision2015 22.07.2021 aktualisiert um 10:21:20 Uhr
Goto Top
Moin...

Aus meiner Sicht dürften 99% der Unternehmen nicht in der Lage zu sein festzustellen ob Daten entwendet wurden oder nicht.
das sehe ich auch so!
Einzig die Datenmenge zum CC-Server könnte ein Indiz sein. Aber ein 10 KB Word-Dokumentiert ist halt nicht besonders groß.
ebend...
Und eine Datei reicht ja schon. Oder ein Screenshot des PCs/Servers könnte personenbezogene Daten beinhalten.
richtig...

Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
genau!
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.
sehe ich auch so.... bzw. würde ich auch so machen....

Frank
Mitglied: StefanKittel
StefanKittel 22.07.2021 um 10:13:22 Uhr
Goto Top
Hallo Frank,

dann sind wir ja schon zu zweit.
Aber warum fragt "uns" keiner?

Stattdessen sitzen da 20 Personen in einem Gremium und sowas kommt dabei raus.
Und wir bezahlen die auch noch mit unseren Steuern....
Das ist doch Mist.

Stefan
Mitglied: Vision2015
Vision2015 22.07.2021 um 10:23:44 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo Frank,

dann sind wir ja schon zu zweit.
Aber warum fragt "uns" keiner?
na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.

Stattdessen sitzen da 20 Personen in einem Gremium und sowas kommt dabei raus.
Und wir bezahlen die auch noch mit unseren Steuern....
Das ist doch Mist.
richtig...

Stefan
Frank
Mitglied: C.Caveman
C.Caveman 22.07.2021 um 10:28:35 Uhr
Goto Top
Moin,

An wem es wohl liegt, das Unternehmen nicht feststellen können ob Daten entwendet wurden?
Welche Maßnahmen empfiehlst du, um für den Fall der Fälle gewappnet zu sein?

Zum Thema Meldung.
Lieber gemeldet und das Schreiben, dass es sich um keinen meldepflichtigen Vorfall handelt, wegheften.
Die Folgen einer Fehlbewertung des Vorfalls, füllen meist ganze Ordner und beschäftigen mehrere Personen.

Gruß

C.C.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.07.2021 um 10:35:08 Uhr
Goto Top
Moin,

Das Problem mit diesen Gremien ist, daß die nicht mit Fachleuten besetzt werden, sondern mit "Experten". Das sind meist die, die den Politikern nach dem Mund reden und die, die Ahnung von der Materie haben und sich auch mal trauen, Widerrede zu geben. Ein Freund von mir wurde mal von der Uschi abgesägt, weil der sich getraut hatte, daß die Kinderpornosperren, wie sie es sich vorstellt nicht funktioniert. Das Prinzesschen hat aber mit dem Fuß aufgestampft und meinte "Ich will aber!" und schwups war mein Freund aus der Kommission rausgeworfen und ihm wurde beruflich Steine in den Weg gelegt.





Zitat von @StefanKittel:

Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.

Wenn man sich Malware eingefangen hat, weiß man ja nie, was die so genau treibt und sofern das nicht in einem Honigtopf passiert ist, kann man nicht einmal nachvollziehen, was sie versucht alles zu machen. Von daher müßte man als, wie Du schon sagst, jedesmal eine Meldung rausgeben, daß es passiert sein könnte, aber man es nicht weiß, ob es passiert ist.

lks
Mitglied: HoyerAC
HoyerAC 22.07.2021 um 10:53:32 Uhr
Goto Top
Der Freund (H.D.) wohnt aber nicht zufällig in Berlin und hat ein Buch über eine "Fledermaus" geschrieben ;-) face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.07.2021 aktualisiert um 11:07:21 Uhr
Goto Top
Zitat von @HoyerAC:

Der Freund (H.D.) wohnt aber nicht zufällig in Berlin und hat ein Buch über eine "Fledermaus" geschrieben ;-) face-wink

Genau der. Und ich kann viele seiner Aussagen aus persönlicher Erfahrung bestätigen, z.B. die Zustände an den Universitäten oder suspekte Arbeitsangebote in CH.

lks
Mitglied: Visucius
Visucius 22.07.2021 aktualisiert um 11:10:32 Uhr
Goto Top
Naja, eigentlich will man ja auch nicht zuviele Meldungen. Das ist politisch ja auch etwas unkomod.

Und auf der anderen Seite will auch nicht jedes Unternehmen - jeden - "Virenbefall" melden. Der Mensch hofft erstmal da Beste – und nimmt nicht das Schlimmste an. Prinzip Hoffnung.

Beim Thema "Haftung" ist das ja auch am Ende ne wirtschaftliche Risiko-Abschätzung: Gebe ich es bekannt und werde "pleitegeklagt" oder hoffe ich, dass ich durchkomme ohne Meldung und Aufsehen. Und aus Mgmnt-Sicht z.B. einer GmbH ist das dann ziemlich einfach ;-) face-wink

Da treffen zwei - gemeinsame (ergänzt!) - Interessen aufeinander.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.07.2021 um 11:08:16 Uhr
Goto Top
Zitat von @Visucius:

Da treffen zwei Interessen aufeinander.

"gemeinsame" fehlt. :-) face-smile
Mitglied: StefanKittel
StefanKittel 22.07.2021 um 11:10:29 Uhr
Goto Top
Zitat von @Visucius:
Und auf der anderen Seite will auch nicht jedes Unternehmen - jeden - "Virenbefall" melden. Der Mensch hofft erstmal da Beste – und nimmt nicht das Schlimmste an. Prinzip Hoffnung.
Optimismus ist nur ein Mangel an Informationen
Mitglied: Visucius
Visucius 22.07.2021 um 11:15:04 Uhr
Goto Top
Optimismus ist nur ein Mangel an Informationen
Ja, wenn die Kalendersprüche Kontakt zur Realität finden ;-) face-wink
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 22.07.2021 um 11:18:48 Uhr
Goto Top
Zitat von @Vision2015:
Aber warum fragt "uns" keiner?
na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.

Hammergeiler Spruch!
Den merke ich mir. :-) face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.07.2021 um 11:29:49 Uhr
Goto Top
Zitat von @Vision2015:

na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.

Du meinst sie sind gay?

lks
Mitglied: Visucius
Visucius 22.07.2021 um 11:48:08 Uhr
Goto Top
Du meinst sie sind gay?
Nee, wenn gay, kennen sie ja die 99 Mädchen aber keine Liebesstellungen (mit diesen).
Mitglied: ukulele-7
ukulele-7 22.07.2021 um 14:05:31 Uhr
Goto Top
Also noch zum Thema:

Ja in der Realität braucht man schon ne Menge Glaubwürdigkeit um einen Datenabfluss ausschließen zu können, aber unmöglich ist es nicht. Es ist nicht zwingend so das hinter einer Ransomware auch ein C&C Server steht. Man stelle sich vor das eine Software über USB einen Rechner infiziert der nicht mit dem Internet verbunden ist, eindeutiger ginge es kaum. Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren. Es ist mehr so ein 50 Shades of Internet...
Mitglied: StefanKittel
StefanKittel 22.07.2021 um 16:02:22 Uhr
Goto Top
Zitat von @ukulele-7:

... Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren...
Nein, kann sie gar nicht. Denn die Software muss vorher den privaten Schlüssel nach Hause schicken den sie generiert hat. Ohne den kann man später die Daten ja nicht entschlüsseln. Also wartet sie ab bis sie eine Verbindung herstellen kann.
Mitglied: ukulele-7
ukulele-7 22.07.2021 um 16:15:55 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @ukulele-7:

... Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren...
Nein, kann sie gar nicht. Denn die Software muss vorher den privaten Schlüssel nach Hause schicken den sie generiert hat. Ohne den kann man später die Daten ja nicht entschlüsseln. Also wartet sie ab bis sie eine Verbindung herstellen kann.

Nein muss sie nicht. Erstmal gibt es genug Ransomware denen deine Daten scheiß egal sind und die, mit C&C Server oder ohne, den Schlüssel gar nicht raus geben. Dann gibt es solche die einen Gernalschlüssel verwenden und selbst wenn ein Schlüssel erzeugt wird muss der ja nicht zum C&C Server gelangen, warum sollte man sich die Mühe machen und das vorher validieren? - Ich betreibe ja auch kein Debugging um die Produktqualität zu steigern.
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 15 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 15 StundenFrageNetzwerkmanagement15 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 9 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...