Gesetzliche Auflagen bei Ransomware-Vorfällen

Von einem Ransomware-Angriff betroffen zu sein ist wohl ein Albtraum für jeden Unternehmer. Ein gut organisierter Notfallplan zur Bewältigung eines Angriffs kann den Prozess vereinfachen und dazu beitragen, sich in Zukunft vor weiteren Hackerattacken zu schützen. Dieses Thema wird ausführlich in unserem 14 Punkte Notfallplan behandelt. Ein wichtiger Punkt – den viele leider jedoch übersehen – sind die gesetzlichen Auflagen zu Ransomwarevorfällen. Hier erhalten Sie eine kurze Einführung in das Thema, sowie wichtige Kontaktdaten.

Warum es wichtig ist, sich an gesetzliche Auflagen zu halten

Die Nichteinhaltung von gesetzlichen Auflagen kann unter Umständen zu Haftungsschäden, Geld- und Freiheitsstrafen führen. Die Vorschriften hierzu können je nach geltendem Recht Ihres Landes (Unternehmenssitz) und Branche variieren.

Zum Beispiel haben die USA besondere Anforderungen an betroffene Unternehmen im Gesundheitswesen. Im Falle von allgemeinen Datenschutzverletzungen verfügen 47 von 50 US-Bundesstaaten über Vorschriften zur Meldung ebensolcher.

In Europa gibt es hierzu die allgemeine EU-Datenschutz-Grundverordnung (EU-DSGVO), die die unverzügliche Meldung von Datenschutzverletzungen vorschreibt, sofern diese voraussichtlich zu einem Risiko für Betroffene führen können. Wenn Sie eine Datenschutzverletzung melden müssen, muss dies binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Die Nichteinhaltung kann mit hohen Bußgeldern geahndet werden, in einigen Fällen bis zu 10-20 Mio. EUR

Diese Vorschriften sind zum Schutz von Verbrauchern und Kunden gedacht, sollten sensible Daten gestohlen werden. Die genauen Anforderungen für eine Mitteilung an die Behörden können auch vom Ausmaß des Verstoßes abhängig sein.

Meist haben Opfer von Ransomware-Angriffen leider keine andere Wahl, als mit den Hackern zu verhandeln. Sollte dieser Fall eintreffen, ist es wichtig, sich der individuellen, internationalen Sanktionen hierzu bewusst zu sein. Das Office of Foreign Asset Control (OFAC) der Vereinigten Staaten stellt eine Liste von sanktionierten Einrichtungen und Einzelpersonen zur Verfügung. Bei Verstößen gegen die geltenden OFAC-Sanktionen können empfindliche Strafen verhängt werden, z.B. Geldstrafen von bis zu 20 Millionen US-Dollar oder bis zu 30 Jahren Gefängnis. 

Es ist zwar unwahrscheinlich, dass Opfer eines Ransomware-Angriffs ein so hohes Strafmaß erhalten würden, da in hier keine Böswilligkeit unterstellt werden kann, dennoch sollte man sich an die Regelungen des OFAC zu halten.

Behörden in den meisten Jurisdiktionen ermutigen Opfer von Ransomware-Angriffe, eine Meldung einzureichen, auch wenn es keine gesetzliche Notwendigkeit hierzu gibt. Die in den Meldungen enthaltenen Informationen können den Strafverfolgungsbehörden nützlich sein, die Hacker ausfindig zu machen und vor Gericht zu stellen – zu unser aller Wohl.

Welche Informationen werden benötigt?

Die Einreichung einer Meldung kann je nach geltendem Recht zu Ransomware in Ihrem Land variieren. Die Art und Inhalt der Meldung kann sich je nach Unternehmenssitz, der Branche und dem von Ihnen gewählten Ransomware-Aktionsplan unterscheiden. Zu den wichtigsten Punkten gehören in der Regel:

• Informationen zu Ihrem Unternehmen oder Ihrer Organisation.
• Datum und Uhrzeit, zu der der Angriff entdeckt wurde.
• Ein Screenshot oder Foto der Lösegeldforderung.
• Der geforderte Lösegeldbetrag
• Alle ungewöhnlichen IP-Adressen, die sich mit Ihrem Netzwerk verbunden haben
• Die Dateierweiterungen der verschlüsselten Dateien.
• Jede andere Kommunikation oder Korrespondenz mit den Angreifern.
• Bezifferung aller (finanziellen) Verluste im Zusammenhang mit dem Angriff.

Je nach der für Ihren Gerichtsstandort zuständigen Strafverfolgungsbehörde, können zusätzliche Anforderungen gelten.

Strafverfolgungsbehörden im Zusammenhang mit Ransomware-Angriffen

Hier haben wir eine Liste von Strafverfolgungsbehörden in verschiedenen Ländern zusammengestellt, an die Sie sich wenden können: Je nach Unternehmenssitz ist es vielleicht erforderlich, mehrere Meldungen an verschiedene Behörden einreichen zu müssen. Es ist ratsam, zuerst die für Ihren Unternehmensitz zuständige Polizeidirektion zu kontaktieren und hier mehr über die geltenden Ransomware Vorschriften zu erfahren, bevor weitere Schritte eingeleitet werden.

Österreich

Webseite: https://bundeskriminalamt.at/306/start.aspx

E-Mail-Kontakt:

[email protected]

Belgien

Webseite: https://www.police.be/fr

E-Mail-Kontakt: [email protected]

Bulgarien

Webseite: https://www.cybercrime.bg/bg

E-Mail-Kontakt:[email protected]

Kroatien

Webseite: https://mup.gov.hr/

E-Mail-Kontakt:[email protected]

Zypern

Webseite: http://www.dataprotection.gov.cy/

E-Mail-Kontakt: [email protected]

Tschechische Republik

Webseite: https://www.uoou.cz/

E-Mail-Kontakt: [email protected]

Dänemark

Webseite: https://www.datatilsynet.dk/

E-Mail-Kontakt: [email protected]

Estland

Webseite: https://www.aki.ee/

E-Mail-Kontakt: [email protected]

Finnland

Webseite: https://tietosuoja.fi/en/home

E-Mail-Kontakt: [email protected]

Frankreich

Webseite: https://www.cnil.fr/

E-Mail-Kontakt: https://www.cnil.fr/fr/webform/contacter-la-redaction-du-site-cnilfr

Deutschland

Bundeskriminalamt

Webseite: https://www.bka.de/DE/Home/home_node.html

E-Mail-Kontakt: [email protected]

Bundespolizei

Webseite: https://www.bundespolizei.de/Web/DE/_Home/home_node.html

E-Mail-Kontakt: https://www.bundespolizei.de/Web/DE/Service/Kontakt/kontakt_node.html

Baden-Württemberg

Webseite: https://www.polizei-bw.de/

E-Mail-Kontakt: [email protected]

Bayern

Webseite: https://www.polizei.bayern.de/

E-Mail-Kontakt: [email protected]

Berlin

Webseite: https://www.internetwache-polizei-berlin.de/index_5.html

E-Mail-Kontakt: [email protected]

Brandenburg

Webseite: https://polizei.brandenburg.de/

E-Mail-Kontakt:[email protected]

Bremen

Webseite: https://www.polizei.bremen.de/

E-Mail-Kontakt:[email protected]

Hamburg

Webseite: https://www.polizei.hamburg/

E-Mail-Kontakt: https://www.polizei.hamburg/ansprechpartner/

Hessen

Webseite: https://www.polizei.hessen.de/Startseite/

E-Mail-Kontakt: [email protected]

Mecklenburg-Vorpommern

Webseite: https://www.polizei.mvnet.de/

E-Mail-Kontakt: https://www.polizei.mvnet.de/Kontakt/

Niedersachsen

Webseite: https://www.polizei-nds.de/startseite/

E-Mail-Kontakt: https://www.polizei-nds.de/wir_ueber_uns/kontakt-26.html

Nordrhein-Westfalen

Webseite: https://polizei.nrw/

E-Mail-Kontakt: [email protected]

Rheinland-Pfalz

Webseite: https://www.polizei.rlp.de/de/onlinewache/lob-beschwerde/

E-Mail-Kontakt: [email protected]

Saarland

Webseite: https://www.saarland.de/polizei/DE/home/home_node.html

E-Mail-Kontakt: https://www.saarland.de/polizei/DE/service/kontakt/kontaktformular/kontaktformular_node.html

Sachsen

Webseite: https://www.polizei.sachsen.de/de/index.htm

E-Mail-Kontakt: [email protected]

Sachsen-Anhalt

Webseite: https://polizei-web.sachsen-anhalt.de/

E-Mail-Kontakt: https://www.sachsen-anhalt.de/meta/kontaktformular/?no_cache=1&tx_tsacontactform_pi1%5Bcaller%5D=44404

Schleswig-Holstein

Webseite: https://www.schleswig-holstein.de/DE/Landesregierung/POLIZEI/Polizei_node.html

E-Mail-Kontakt: https://www.schleswig-holstein.de/DE/Landesregierung/POLIZEI/Kontakt/kontakt_node.html

Thüringen

Webseite:
https://www.thueringen.de/th3/polizei/

E-Mail-Kontakt: [email protected]

Griechenland

Webseite: http://www.astynomia.gr/index.php?option=ozo_content&perform=view&id=8194&Itemid=378&lang=

E-Mail-Kontakt: [email protected]

Ungarn

Webseite: http://www.police.hu/ugyintezes

E-Mail-Kontakt: [email protected]

Island

Webseite: https://www.personuvernd.is/

E-Mail-Kontakt: [email protected]

Italien

Webseite: https://www.commissariatodips.it/

E-Mail-Kontakt: [email protected]

Irland

Webseite: https://www.garda.ie/en/

E-Mail-Kontakt: [email protected]

Lettland

Webseite: http://www.dvi.gov.lv/

E-Mail-Kontakt: [email protected]

Liechtenstein

Webseite: https://www.datenschutzstelle.li/

E-Mail-Kontakt: [email protected]

Litauen

Webseite: https://vdai.lrv.lt/

E-Mail-Kontakt: [email protected]

Luxemburg

Webseite: https://cnpd.public.lu/fr.html

E-Mail-Kontakt: [email protected]

Malta

Webseite: https://idpc.org.mt/

E-Mail-Kontakt: [email protected]

Niederlande

Webseite: https://autoriteitpersoonsgegevens.nl/nl

E-Mail-Kontakt: [email protected]

Norwegen

Webseite: https://www.datatilsynet.no/

E-Mail-Kontakt: [email protected]

Polen

Webseite: https://policja.pl/

E-Mail-Kontakt: [email protected]

Portugal

Webseite: https://www.cnpd.pt/

E-Mail-Kontakt: [email protected]

Rumänien

Webseite: https://www.dataprotection.ro/

E-Mail-Kontakt: [email protected]

Spanien

Webseite: https://www.aepd.es/es

E-Mail-Kontakt: [email protected]

Schweden

Webseite: https://www.datainspektionen.se/

E-Mail-Kontakt: [email protected]

Europäischer Datenschutzbeauftragter

Webseite: https://edps.europa.eu/

E-Mail-Kontakt: [email protected]

Datenschutz-Grundverordnungen

Gemäß der geltenden Datenschutz-Grundverordnung (DSGVO) müssen bestimmte Arten von Datenschutzverletzungen binnen 72 Stunden gemeldet werden. In einigen Fällen können Unternehmen verpflichtet werden, die von Datenschutzverletzungen betroffenen Personen zu informieren. In einigen Ländern müssen sowohl die zuständige DSGVO-Behörde als auch die betroffenen Kunden informiert werden.

Auch wenn aufgrund der Art der Datenschutzverletzung weder eine Meldung an die zuständige Behörde, noch an die betroffenen Kunden erfolgen muss, so sind Unternehmen dennoch verpflichtet, alle Datenschutzverletzungen zu dokumentieren und Aufzeichnungen hierüber zu führen. Im Folgenden finden Sie die Kontaktdaten für lokale DSGVO-Behörden.

DSGVO KONTAKTE

Österreich

Webseite: https://www.dsb.gv.at/

E-Mail-Kontakt: [email protected]

Belgien

Webseite: https://www.gegevensbeschermingsautoriteit.be/

E-Mail-Kontakt: [email protected]

Kroatien

Webseite: https://azop.hr/

E-Mail-Kontakt: [email protected]

Zypern

Webseite: http://www.dataprotection.gov.cy/

E-Mail-Kontakt: [email protected]

Tschechische Republik

Webseite: http://www.uoou.cz/

E-Mail-Kontakt: [email protected]

Dänemark

Webseite: https://www.datatilsynet.dk/

E-Mail-Kontakt: [email protected]

Estland

Webseite: https://www.aki.ee/et

E-Mail-Kontakt: [email protected]

Europa

Webseite: http://www.edps.europa.eu/EDPSWEB/

E-Mail-Kontakt: [email protected]

Finnland

Webseite: http://www.tietosuoja.fi/en/

E-Mail-Kontakt: [email protected]

Deutschland

Webseite: http://www.bfdi.bund.de/

E-Mail-Kontakt: [email protected]

Griechenland

Webseite: http://www.dpa.gr/

E-Mail-Kontakt: [email protected]

Ungarn

Webseite: https://www.naih.hu/

E-Mail-Kontakt: [email protected]

Irland

Webseite: https://www.dataprotection.ie/

E-Mail-Kontakt: [email protected]

Italien

Webseite: https://www.garanteprivacy.it/

E-Mail-Kontakt: [email protected]

Lettland

Webseite: http://www.dvi.gov.lv/

E-Mail-Kontakt: [email protected]

Litauen

Webseite: https://vdai.lrv.lt/

E-Mail-Kontakt: [email protected]

Luxemburg

Webseite: http://www.cnpd.lu/

E-Mail-Kontakt: [email protected]

Malta

Webseite: http://www.idpc.org.mt/

E-Mail-Kontakt: [email protected]

Polen

Webseite: https://uodo.gov.pl/

E-Mail-Kontakt: [email protected]

Portugal

Webseite: https://www.cnpd.pt/

E-Mail-Kontakt: [email protected]

Rumänien

Webseite: http://www.dataprotection.ro/

E-Mail-Kontakt: [email protected]

Slowakei

Webseite: https://dataprotection.gov.sk/

E-Mail-Kontakt: [email protected]

Slowenien

Webseite: https://www.ip-rs.si/

E-Mail-Kontakt: [email protected]

Spanien

Webseite: https://www.aepd.es/

E-Mail-Kontakt: [email protected]

Schweden

Webseite: https://www.datainspektionen.se/

E-Mail-Kontakt: [email protected]

Island

Webseite: https://www.personuvernd.is/

E-Mail-Kontakt: [email protected]

Liechtenstein

Webseite: https://www.datenschutzstelle.li/

E-Mail-Kontakt: [email protected]

Norwegen

Webseite: https://www.datatilsynet.no/

E-Mail-Kontakt: [email protected]

Sollten hier Fragen auftauchen oder Sie sich unsicher über das weitere Vorgehen sein, wenden Sie sich an uns für eine kostenlose Beratung.