17
Wirklichkeitsfremd: Wann eine Ransomware-Attacke gemeldet werden muss - EDSA
Hallo,
in diesem Artikel geht es wieder mal um die Frage ob eine Ransomware-Attacke gemeldet werden muss.
https://www.storage-insider.de/wann-eine-ransomware-attacke-gemeldet-wer ...
Warum ist das ein Problem?
"Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) bereitet immer noch Schwierigkeiten. Gerade die Einhaltung der Meldepflichten nach DSGVO wirft weiterhin Fragen auf. Welche Cyberattacken müssen gemeldet werden, welche nicht, fragen sich die Unternehmen. Der Europäische Datenschutzausschuss (EDSA) gibt dazu Hinweise, zum Beispiel für den Fall einer Ransomware-Attacke."
und
"Offensichtlich brauchen die Unternehmen hier genauere Informationen, die ihnen helfen können, die Meldepflichten nach DSGVO richtig umzusetzen. Tatsächlich sieht die DSGVO auch vor, dass es solche Informationen zu den Meldepflichten geben soll. "
Die Lösung der EDSA
"So beschreibt der EDSA zum einen Ransomware-Attacken auf Unternehmen, die geschützte Backups haben und deren Daten nicht entwendet wurden, um sie zu verkaufen oder um mit der Veröffentlichung drohen und erpressen zu können. Dann betrachten die Aufsichtsbehörden den Fall, dass es kein Backup gibt. Der dritte untersuchte Fall ist die Situation, dass es ein Backup gibt, die Daten nicht entwendet wurden, aber dass es sich um ein Krankenhaus handelt. Der vierte Fall ist ein Unternehmen ohne Backup, bei dem die Daten ausgespäht wurden, so dass sie an Dritte weitergegeben werden können."
Wer ist die EDSA?
Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert.
https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_de
Warum glaube ich das, dies Quatsch ist?
Eine Ransomware-Attacke basiert darauf, dass der Angreifer eine Software auf einem PC/Server des Opfers starten konnte.
Dabei wurden Dateien verschlüsselt. Die Kommunikation des Angreifers mit seinem Command-Control-Server verläuft verschlüsselt.
Aus meiner Sicht dürften 99% der Unternehmen nicht in der Lage zu sein festzustellen ob Daten entwendet wurden oder nicht.
Einzig die Datenmenge zum CC-Server könnte ein Indiz sein. Aber ein 10 KB Word-Dokumentiert ist halt nicht besonders groß.
Und eine Datei reicht ja schon. Oder ein Screenshot des PCs/Servers könnte personenbezogene Daten beinhalten.
Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.
Stefan
in diesem Artikel geht es wieder mal um die Frage ob eine Ransomware-Attacke gemeldet werden muss.
https://www.storage-insider.de/wann-eine-ransomware-attacke-gemeldet-wer ...
Warum ist das ein Problem?
"Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) bereitet immer noch Schwierigkeiten. Gerade die Einhaltung der Meldepflichten nach DSGVO wirft weiterhin Fragen auf. Welche Cyberattacken müssen gemeldet werden, welche nicht, fragen sich die Unternehmen. Der Europäische Datenschutzausschuss (EDSA) gibt dazu Hinweise, zum Beispiel für den Fall einer Ransomware-Attacke."
und
"Offensichtlich brauchen die Unternehmen hier genauere Informationen, die ihnen helfen können, die Meldepflichten nach DSGVO richtig umzusetzen. Tatsächlich sieht die DSGVO auch vor, dass es solche Informationen zu den Meldepflichten geben soll. "
Die Lösung der EDSA
"So beschreibt der EDSA zum einen Ransomware-Attacken auf Unternehmen, die geschützte Backups haben und deren Daten nicht entwendet wurden, um sie zu verkaufen oder um mit der Veröffentlichung drohen und erpressen zu können. Dann betrachten die Aufsichtsbehörden den Fall, dass es kein Backup gibt. Der dritte untersuchte Fall ist die Situation, dass es ein Backup gibt, die Daten nicht entwendet wurden, aber dass es sich um ein Krankenhaus handelt. Der vierte Fall ist ein Unternehmen ohne Backup, bei dem die Daten ausgespäht wurden, so dass sie an Dritte weitergegeben werden können."
Wer ist die EDSA?
Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert.
https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_de
Warum glaube ich das, dies Quatsch ist?
Eine Ransomware-Attacke basiert darauf, dass der Angreifer eine Software auf einem PC/Server des Opfers starten konnte.
Dabei wurden Dateien verschlüsselt. Die Kommunikation des Angreifers mit seinem Command-Control-Server verläuft verschlüsselt.
Aus meiner Sicht dürften 99% der Unternehmen nicht in der Lage zu sein festzustellen ob Daten entwendet wurden oder nicht.
Einzig die Datenmenge zum CC-Server könnte ein Indiz sein. Aber ein 10 KB Word-Dokumentiert ist halt nicht besonders groß.
Und eine Datei reicht ja schon. Oder ein Screenshot des PCs/Servers könnte personenbezogene Daten beinhalten.
Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1074292812
Url: https://administrator.de/contentid/1074292812
Printed on: April 18, 2024 at 18:04 o'clock
17 Comments
Latest comment
Moin...
Frank
Aus meiner Sicht dürften 99% der Unternehmen nicht in der Lage zu sein festzustellen ob Daten entwendet wurden oder nicht.
das sehe ich auch so!Einzig die Datenmenge zum CC-Server könnte ein Indiz sein. Aber ein 10 KB Word-Dokumentiert ist halt nicht besonders groß.
ebend...Und eine Datei reicht ja schon. Oder ein Screenshot des PCs/Servers könnte personenbezogene Daten beinhalten.
richtig...Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
genau!Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.
sehe ich auch so.... bzw. würde ich auch so machen....Frank
Hallo Frank,
dann sind wir ja schon zu zweit.
Aber warum fragt "uns" keiner?
Stattdessen sitzen da 20 Personen in einem Gremium und sowas kommt dabei raus.
Und wir bezahlen die auch noch mit unseren Steuern....
Das ist doch Mist.
Stefan
dann sind wir ja schon zu zweit.
Aber warum fragt "uns" keiner?
Stattdessen sitzen da 20 Personen in einem Gremium und sowas kommt dabei raus.
Und wir bezahlen die auch noch mit unseren Steuern....
Das ist doch Mist.
Stefan
na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.
Stattdessen sitzen da 20 Personen in einem Gremium und sowas kommt dabei raus.
Und wir bezahlen die auch noch mit unseren Steuern....
Das ist doch Mist.
richtig...
Stefan
Frank
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.
Stattdessen sitzen da 20 Personen in einem Gremium und sowas kommt dabei raus.
Und wir bezahlen die auch noch mit unseren Steuern....
Das ist doch Mist.
Stefan
1
Moin,
An wem es wohl liegt, das Unternehmen nicht feststellen können ob Daten entwendet wurden?
Welche Maßnahmen empfiehlst du, um für den Fall der Fälle gewappnet zu sein?
Zum Thema Meldung.
Lieber gemeldet und das Schreiben, dass es sich um keinen meldepflichtigen Vorfall handelt, wegheften.
Die Folgen einer Fehlbewertung des Vorfalls, füllen meist ganze Ordner und beschäftigen mehrere Personen.
Gruß
C.C.
An wem es wohl liegt, das Unternehmen nicht feststellen können ob Daten entwendet wurden?
Welche Maßnahmen empfiehlst du, um für den Fall der Fälle gewappnet zu sein?
Zum Thema Meldung.
Lieber gemeldet und das Schreiben, dass es sich um keinen meldepflichtigen Vorfall handelt, wegheften.
Die Folgen einer Fehlbewertung des Vorfalls, füllen meist ganze Ordner und beschäftigen mehrere Personen.
Gruß
C.C.
Moin,
Das Problem mit diesen Gremien ist, daß die nicht mit Fachleuten besetzt werden, sondern mit "Experten". Das sind meist die, die den Politikern nach dem Mund reden und die, die Ahnung von der Materie haben und sich auch mal trauen, Widerrede zu geben. Ein Freund von mir wurde mal von der Uschi abgesägt, weil der sich getraut hatte, daß die Kinderpornosperren, wie sie es sich vorstellt nicht funktioniert. Das Prinzesschen hat aber mit dem Fuß aufgestampft und meinte "Ich will aber!" und schwups war mein Freund aus der Kommission rausgeworfen und ihm wurde beruflich Steine in den Weg gelegt.
Wenn man sich Malware eingefangen hat, weiß man ja nie, was die so genau treibt und sofern das nicht in einem Honigtopf passiert ist, kann man nicht einmal nachvollziehen, was sie versucht alles zu machen. Von daher müßte man als, wie Du schon sagst, jedesmal eine Meldung rausgeben, daß es passiert sein könnte, aber man es nicht weiß, ob es passiert ist.
lks
Das Problem mit diesen Gremien ist, daß die nicht mit Fachleuten besetzt werden, sondern mit "Experten". Das sind meist die, die den Politikern nach dem Mund reden und die, die Ahnung von der Materie haben und sich auch mal trauen, Widerrede zu geben. Ein Freund von mir wurde mal von der Uschi abgesägt, weil der sich getraut hatte, daß die Kinderpornosperren, wie sie es sich vorstellt nicht funktioniert. Das Prinzesschen hat aber mit dem Fuß aufgestampft und meinte "Ich will aber!" und schwups war mein Freund aus der Kommission rausgeworfen und ihm wurde beruflich Steine in den Weg gelegt.
Zitat von @StefanKittel:
Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.
Also wäre die einzige Konsequenz: Jeder Vorfall muss gemeldet werden.
Mit dem Hinweis, dass keine Informationen vorliegen, dass Daten entwendet wurden.
Wenn man sich Malware eingefangen hat, weiß man ja nie, was die so genau treibt und sofern das nicht in einem Honigtopf passiert ist, kann man nicht einmal nachvollziehen, was sie versucht alles zu machen. Von daher müßte man als, wie Du schon sagst, jedesmal eine Meldung rausgeben, daß es passiert sein könnte, aber man es nicht weiß, ob es passiert ist.
lks
Der Freund (H.D.) wohnt aber nicht zufällig in Berlin und hat ein Buch über eine "Fledermaus" geschrieben 
Zitat von @HoyerAC:
Der Freund (H.D.) wohnt aber nicht zufällig in Berlin und hat ein Buch über eine "Fledermaus" geschrieben
Der Freund (H.D.) wohnt aber nicht zufällig in Berlin und hat ein Buch über eine "Fledermaus" geschrieben
Genau der. Und ich kann viele seiner Aussagen aus persönlicher Erfahrung bestätigen, z.B. die Zustände an den Universitäten oder suspekte Arbeitsangebote in CH.
lks
Naja, eigentlich will man ja auch nicht zuviele Meldungen. Das ist politisch ja auch etwas unkomod.
Und auf der anderen Seite will auch nicht jedes Unternehmen - jeden - "Virenbefall" melden. Der Mensch hofft erstmal da Beste – und nimmt nicht das Schlimmste an. Prinzip Hoffnung.
Beim Thema "Haftung" ist das ja auch am Ende ne wirtschaftliche Risiko-Abschätzung: Gebe ich es bekannt und werde "pleitegeklagt" oder hoffe ich, dass ich durchkomme ohne Meldung und Aufsehen. Und aus Mgmnt-Sicht z.B. einer GmbH ist das dann ziemlich einfach
Da treffen zwei - gemeinsame (ergänzt!) - Interessen aufeinander.
Und auf der anderen Seite will auch nicht jedes Unternehmen - jeden - "Virenbefall" melden. Der Mensch hofft erstmal da Beste – und nimmt nicht das Schlimmste an. Prinzip Hoffnung.
Beim Thema "Haftung" ist das ja auch am Ende ne wirtschaftliche Risiko-Abschätzung: Gebe ich es bekannt und werde "pleitegeklagt" oder hoffe ich, dass ich durchkomme ohne Meldung und Aufsehen. Und aus Mgmnt-Sicht z.B. einer GmbH ist das dann ziemlich einfach
Da treffen zwei - gemeinsame (ergänzt!) - Interessen aufeinander.
Zitat von @Visucius:
Und auf der anderen Seite will auch nicht jedes Unternehmen - jeden - "Virenbefall" melden. Der Mensch hofft erstmal da Beste – und nimmt nicht das Schlimmste an. Prinzip Hoffnung.
Optimismus ist nur ein Mangel an InformationenUnd auf der anderen Seite will auch nicht jedes Unternehmen - jeden - "Virenbefall" melden. Der Mensch hofft erstmal da Beste – und nimmt nicht das Schlimmste an. Prinzip Hoffnung.
Optimismus ist nur ein Mangel an Informationen
Ja, wenn die Kalendersprüche Kontakt zur Realität finden 
Zitat von @Vision2015:
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.
Aber warum fragt "uns" keiner?
na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.
Hammergeiler Spruch!
Den merke ich mir.
Zitat von @Vision2015:
na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.
na weil wir nicht hoch genug bezahlt werden... sowas können nur Experten!
Experten sind Leute, die 99 Liebesstellungen kennen - aber kein einziges Mädchen.
Du meinst sie sind gay?
lks
Du meinst sie sind gay?
Nee, wenn gay, kennen sie ja die 99 Mädchen aber keine Liebesstellungen (mit diesen).
Also noch zum Thema:
Ja in der Realität braucht man schon ne Menge Glaubwürdigkeit um einen Datenabfluss ausschließen zu können, aber unmöglich ist es nicht. Es ist nicht zwingend so das hinter einer Ransomware auch ein C&C Server steht. Man stelle sich vor das eine Software über USB einen Rechner infiziert der nicht mit dem Internet verbunden ist, eindeutiger ginge es kaum. Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren. Es ist mehr so ein 50 Shades of Internet...
Ja in der Realität braucht man schon ne Menge Glaubwürdigkeit um einen Datenabfluss ausschließen zu können, aber unmöglich ist es nicht. Es ist nicht zwingend so das hinter einer Ransomware auch ein C&C Server steht. Man stelle sich vor das eine Software über USB einen Rechner infiziert der nicht mit dem Internet verbunden ist, eindeutiger ginge es kaum. Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren. Es ist mehr so ein 50 Shades of Internet...
Zitat von @ukulele-7:
... Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren...
Nein, kann sie gar nicht. Denn die Software muss vorher den privaten Schlüssel nach Hause schicken den sie generiert hat. Ohne den kann man später die Daten ja nicht entschlüsseln. Also wartet sie ab bis sie eine Verbindung herstellen kann.... Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren...
Zitat von @StefanKittel:
Zitat von @ukulele-7:
... Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren...
Nein, kann sie gar nicht. Denn die Software muss vorher den privaten Schlüssel nach Hause schicken den sie generiert hat. Ohne den kann man später die Daten ja nicht entschlüsseln. Also wartet sie ab bis sie eine Verbindung herstellen kann.... Auch hier wird die Ransomware sicher aktiv ohne vorher nach Hause zu telefonieren...
Nein muss sie nicht. Erstmal gibt es genug Ransomware denen deine Daten ### egal sind und die, mit C&C Server oder ohne, den Schlüssel gar nicht raus geben. Dann gibt es solche die einen Gernalschlüssel verwenden und selbst wenn ein Schlüssel erzeugt wird muss der ja nicht zum C&C Server gelangen, warum sollte man sich die Mühe machen und das vorher validieren? - Ich betreibe ja auch kein Debugging um die Produktqualität zu steigern.
