Von einem Ransomware-Angriff betroffen zu sein ist wohl ein Albtraum für jeden Unternehmer. Ein gut organisierter Notfallplan zur Bewältigung eines Angriffs kann den Prozess vereinfachen und dazu beitragen, sich in Zukunft vor weiteren Hackerattacken zu schützen. Dieses Thema wird ausführlich in unserem 14 Punkte Notfallplan behandelt. Ein wichtiger Punkt – den viele leider jedoch übersehen – sind die gesetzlichen Auflagen zu Ransomwarevorfällen. Hier erhalten Sie eine kurze Einführung in das Thema, sowie wichtige Kontaktdaten.
Warum es wichtig ist, sich an gesetzliche Auflagen zu halten
Die Nichteinhaltung von gesetzlichen Auflagen kann unter Umständen zu Haftungsschäden, Geld- und Freiheitsstrafen führen. Die Vorschriften hierzu können je nach geltendem Recht Ihres Landes (Unternehmenssitz) und Branche variieren.
Zum Beispiel haben die USA besondere Anforderungen an betroffene Unternehmen im Gesundheitswesen. Im Falle von allgemeinen Datenschutzverletzungen verfügen 47 von 50 US-Bundesstaaten über Vorschriften zur Meldung ebensolcher.
In Europa gibt es hierzu die allgemeine EU-Datenschutz-Grundverordnung (EU-DSGVO), die die unverzügliche Meldung von Datenschutzverletzungen vorschreibt, sofern diese voraussichtlich zu einem Risiko für Betroffene führen können. Wenn Sie eine Datenschutzverletzung melden müssen, muss dies binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Die Nichteinhaltung kann mit hohen Bußgeldern geahndet werden, in einigen Fällen bis zu 10-20 Mio. EUR
Diese Vorschriften sind zum Schutz von Verbrauchern und Kunden gedacht, sollten sensible Daten gestohlen werden. Die genauen Anforderungen für eine Mitteilung an die Behörden können auch vom Ausmaß des Verstoßes abhängig sein.
Meist haben Opfer von Ransomware-Angriffen leider keine andere Wahl, als mit den Hackern zu verhandeln. Sollte dieser Fall eintreffen, ist es wichtig, sich der individuellen, internationalen Sanktionen hierzu bewusst zu sein. Das Office of Foreign Asset Control (OFAC) der Vereinigten Staaten stellt eine Liste von sanktionierten Einrichtungen und Einzelpersonen zur Verfügung. Bei Verstößen gegen die geltenden OFAC-Sanktionen können empfindliche Strafen verhängt werden, z.B. Geldstrafen von bis zu 20 Millionen US-Dollar oder bis zu 30 Jahren Gefängnis.
Es ist zwar unwahrscheinlich, dass Opfer eines Ransomware-Angriffs ein so hohes Strafmaß erhalten würden, da in hier keine Böswilligkeit unterstellt werden kann, dennoch sollte man sich an die Regelungen des OFAC zu halten.
Behörden in den meisten Jurisdiktionen ermutigen Opfer von Ransomware-Angriffe, eine Meldung einzureichen, auch wenn es keine gesetzliche Notwendigkeit hierzu gibt. Die in den Meldungen enthaltenen Informationen können den Strafverfolgungsbehörden nützlich sein, die Hacker ausfindig zu machen und vor Gericht zu stellen – zu unser aller Wohl.
Welche Informationen werden benötigt?
Die Einreichung einer Meldung kann je nach geltendem Recht zu Ransomware in Ihrem Land variieren. Die Art und Inhalt der Meldung kann sich je nach Unternehmenssitz, der Branche und dem von Ihnen gewählten Ransomware-Aktionsplan unterscheiden. Zu den wichtigsten Punkten gehören in der Regel:
- Informationen zu Ihrem Unternehmen oder Ihrer Organisation.
- Datum und Uhrzeit, zu der der Angriff entdeckt wurde.
- Ein Screenshot oder Foto der Lösegeldforderung.
- Der geforderte Lösegeldbetrag
- Alle ungewöhnlichen IP-Adressen, die sich mit Ihrem Netzwerk verbunden haben
- Die Dateierweiterungen der verschlüsselten Dateien.
- Jede andere Kommunikation oder Korrespondenz mit den Angreifern.
- Bezifferung aller (finanziellen) Verluste im Zusammenhang mit dem Angriff.
Je nach der für Ihren Gerichtsstandort zuständigen Strafverfolgungsbehörde, können zusätzliche Anforderungen gelten.
Strafverfolgungsbehörden im Zusammenhang mit Ransomware-Angriffen
Hier haben wir eine Liste von Strafverfolgungsbehörden in verschiedenen Ländern zusammengestellt, an die Sie sich wenden können: Je nach Unternehmenssitz ist es vielleicht erforderlich, mehrere Meldungen an verschiedene Behörden einreichen zu müssen. Es ist ratsam, zuerst die für Ihren Unternehmensitz zuständige Polizeidirektion zu kontaktieren und hier mehr über die geltenden Ransomware Vorschriften zu erfahren, bevor weitere Schritte eingeleitet werden.
Österreich
Webseite: https://bundeskriminalamt.at/306/start.aspx
E-Mail-Kontakt:
Belgien
Webseite: https://www.police.be/fr
E-Mail-Kontakt: [email protected]
Bulgarien
Webseite: https://www.cybercrime.bg/bg
E-Mail-Kontakt:[email protected]
Kroatien
Webseite: https://mup.gov.hr/
E-Mail-Kontakt:[email protected]
Zypern
Webseite: http://www.dataprotection.gov.cy/
E-Mail-Kontakt: [email protected]
Tschechische Republik
Webseite: https://www.uoou.cz/
E-Mail-Kontakt: [email protected]
Dänemark
Webseite: https://www.datatilsynet.dk/
E-Mail-Kontakt: [email protected]
Estland
Webseite: https://www.aki.ee/
E-Mail-Kontakt: [email protected]
Finnland
Webseite: https://tietosuoja.fi/en/home
E-Mail-Kontakt: [email protected]
Frankreich
Webseite: https://www.cnil.fr/
E-Mail-Kontakt: https://www.cnil.fr/fr/webform/contacter-la-redaction-du-site-cnilfr
Deutschland
Bundeskriminalamt
Webseite: https://www.bka.de/DE/Home/home_node.html
E-Mail-Kontakt: [email protected]
Bundespolizei
Webseite: https://www.bundespolizei.de/Web/DE/_Home/home_node.html
E-Mail-Kontakt: https://www.bundespolizei.de/Web/DE/Service/Kontakt/kontakt_node.html
Baden-Württemberg
Webseite: https://www.polizei-bw.de/
E-Mail-Kontakt: [email protected]
Bayern
Webseite: https://www.polizei.bayern.de/
E-Mail-Kontakt: [email protected]
Berlin
Webseite: https://www.internetwache-polizei-berlin.de/index_5.html
E-Mail-Kontakt: [email protected]
Brandenburg
Webseite: https://polizei.brandenburg.de/
E-Mail-Kontakt:[email protected]
Bremen
Webseite: https://www.polizei.bremen.de/
E-Mail-Kontakt:[email protected]
Hamburg
Webseite: https://www.polizei.hamburg/
E-Mail-Kontakt: https://www.polizei.hamburg/ansprechpartner/
Hessen
Webseite: https://www.polizei.hessen.de/Startseite/
E-Mail-Kontakt: [email protected]
Mecklenburg-Vorpommern
Webseite: https://www.polizei.mvnet.de/
E-Mail-Kontakt: https://www.polizei.mvnet.de/Kontakt/
Niedersachsen
Webseite: https://www.polizei-nds.de/startseite/
E-Mail-Kontakt: https://www.polizei-nds.de/wir_ueber_uns/kontakt-26.html
Nordrhein-Westfalen
Webseite: https://polizei.nrw/
E-Mail-Kontakt: [email protected]
Rheinland-Pfalz
Webseite: https://www.polizei.rlp.de/de/onlinewache/lob-beschwerde/
E-Mail-Kontakt: [email protected]
Saarland
Webseite: https://www.saarland.de/polizei/DE/home/home_node.html
E-Mail-Kontakt: https://www.saarland.de/polizei/DE/service/kontakt/kontaktformular/kontaktformular_node.html
Sachsen
Webseite: https://www.polizei.sachsen.de/de/index.htm
E-Mail-Kontakt: [email protected]
Sachsen-Anhalt
Webseite: https://polizei-web.sachsen-anhalt.de/
E-Mail-Kontakt: https://www.sachsen-anhalt.de/meta/kontaktformular/?no_cache=1&tx_tsacontactform_pi1%5Bcaller%5D=44404
Schleswig-Holstein
Webseite: https://www.schleswig-holstein.de/DE/Landesregierung/POLIZEI/Polizei_node.html
E-Mail-Kontakt: https://www.schleswig-holstein.de/DE/Landesregierung/POLIZEI/Kontakt/kontakt_node.html
Thüringen
Webseite:
https://www.thueringen.de/th3/polizei/
E-Mail-Kontakt: [email protected]
Griechenland
Webseite: http://www.astynomia.gr/index.php?option=ozo_content&perform=view&id=8194&Itemid=378&lang=
E-Mail-Kontakt: [email protected]
Ungarn
Webseite: http://www.police.hu/ugyintezes
E-Mail-Kontakt: [email protected]
Island
Webseite: https://www.personuvernd.is/
E-Mail-Kontakt: [email protected]
Italien
Webseite: https://www.commissariatodips.it/
E-Mail-Kontakt: [email protected]
Irland
Webseite: https://www.garda.ie/en/
E-Mail-Kontakt: [email protected]
Lettland
Webseite: http://www.dvi.gov.lv/
E-Mail-Kontakt: [email protected]
Liechtenstein
Webseite: https://www.datenschutzstelle.li/
E-Mail-Kontakt: [email protected]
Litauen
Webseite: https://vdai.lrv.lt/
E-Mail-Kontakt: [email protected]
Luxemburg
Webseite: https://cnpd.public.lu/fr.html
E-Mail-Kontakt: [email protected]
Malta
Webseite: https://idpc.org.mt/
E-Mail-Kontakt: [email protected]
Niederlande
Webseite: https://autoriteitpersoonsgegevens.nl/nl
E-Mail-Kontakt: [email protected]
Norwegen
Webseite: https://www.datatilsynet.no/
E-Mail-Kontakt: [email protected]
Polen
Webseite: https://policja.pl/
E-Mail-Kontakt: [email protected]gov.pl
Portugal
Webseite: https://www.cnpd.pt/
E-Mail-Kontakt: [email protected]
Rumänien
Webseite: https://www.dataprotection.ro/
E-Mail-Kontakt: [email protected]
Spanien
Webseite: https://www.aepd.es/es
E-Mail-Kontakt: [email protected]
Schweden
Webseite: https://www.datainspektionen.se/
E-Mail-Kontakt: [email protected]
Europäischer Datenschutzbeauftragter
Webseite: https://edps.europa.eu/
E-Mail-Kontakt: [email protected]
Datenschutz-Grundverordnungen
Gemäß der geltenden Datenschutz-Grundverordnung (DSGVO) müssen bestimmte Arten von Datenschutzverletzungen binnen 72 Stunden gemeldet werden. In einigen Fällen können Unternehmen verpflichtet werden, die von Datenschutzverletzungen betroffenen Personen zu informieren. In einigen Ländern müssen sowohl die zuständige DSGVO-Behörde als auch die betroffenen Kunden informiert werden.
Auch wenn aufgrund der Art der Datenschutzverletzung weder eine Meldung an die zuständige Behörde, noch an die betroffenen Kunden erfolgen muss, so sind Unternehmen dennoch verpflichtet, alle Datenschutzverletzungen zu dokumentieren und Aufzeichnungen hierüber zu führen. Im Folgenden finden Sie die Kontaktdaten für lokale DSGVO-Behörden.
DSGVO KONTAKTE
Österreich
Webseite: https://www.dsb.gv.at/
E-Mail-Kontakt: [email protected]
Belgien
Webseite: https://www.gegevensbeschermingsautoriteit.be/
E-Mail-Kontakt: [email protected]
Kroatien
Webseite: https://azop.hr/
E-Mail-Kontakt: [email protected]
Zypern
Webseite: http://www.dataprotection.gov.cy/
E-Mail-Kontakt: [email protected]
Tschechische Republik
Webseite: http://www.uoou.cz/
E-Mail-Kontakt: [email protected]
Dänemark
Webseite: https://www.datatilsynet.dk/
E-Mail-Kontakt: [email protected]
Estland
Webseite: https://www.aki.ee/et
E-Mail-Kontakt: [email protected]
Europa
Webseite: http://www.edps.europa.eu/EDPSWEB/
E-Mail-Kontakt: [email protected]
Finnland
Webseite: http://www.tietosuoja.fi/en/
E-Mail-Kontakt: [email protected]
Deutschland
Webseite: http://www.bfdi.bund.de/
E-Mail-Kontakt: [email protected]
Griechenland
Webseite: http://www.dpa.gr/
E-Mail-Kontakt: [email protected]
Ungarn
Webseite: https://www.naih.hu/
E-Mail-Kontakt: [email protected]
Irland
Webseite: https://www.dataprotection.ie/
E-Mail-Kontakt: [email protected]
Italien
Webseite: https://www.garanteprivacy.it/
E-Mail-Kontakt: [email protected]
Lettland
Webseite: http://www.dvi.gov.lv/
E-Mail-Kontakt: [email protected]
Litauen
Webseite: https://vdai.lrv.lt/
E-Mail-Kontakt: [email protected]
Luxemburg
Webseite: http://www.cnpd.lu/
E-Mail-Kontakt: [email protected]
Malta
Webseite: http://www.idpc.org.mt/
E-Mail-Kontakt: [email protected]
Polen
Webseite: https://uodo.gov.pl/
E-Mail-Kontakt: [email protected]
Portugal
Webseite: https://www.cnpd.pt/
E-Mail-Kontakt: [email protected]
Rumänien
Webseite: http://www.dataprotection.ro/
E-Mail-Kontakt: [email protected]
Slowakei
Webseite: https://dataprotection.gov.sk/
E-Mail-Kontakt: [email protected]
Slowenien
Webseite: https://www.ip-rs.si/
E-Mail-Kontakt: [email protected]
Spanien
Webseite: https://www.aepd.es/
E-Mail-Kontakt: [email protected]
Schweden
Webseite: https://www.datainspektionen.se/
E-Mail-Kontakt: [email protected]
Island
Webseite: https://www.personuvernd.is/
E-Mail-Kontakt: [email protected]
Liechtenstein
Webseite: https://www.datenschutzstelle.li/
E-Mail-Kontakt: [email protected]
Norwegen
Webseite: https://www.datatilsynet.no/
E-Mail-Kontakt: [email protected]
Sollten hier Fragen auftauchen oder Sie sich unsicher über das weitere Vorgehen sein, wenden Sie sich an uns für eine kostenlose Beratung.