Leitfaden zu gesetzlichen Auflagen bei Ransomware-Angriffen

Von einem Ransomware-Angriff betroffen zu sein, ist kein Spaziergang. Ein gut organisierter und angemessener Plan zur Bewältigung eines Angriffs, kann den Prozess vereinfachen und dazu beitragen, sich in Zukunft vor weiteren Problemen in dieser Hinsicht zu schützen. Dieses Thema wird ausführlich in unserem Ransomware-Notfallratgeber beleuchtet. Ein Teil eines Cyber-Angriffs, die viele Menschen übersehen, ist die Bedeutung der Einhaltung von Ransomware-Gesetzen und -Vorschriften. Auf dieser Seite erhalten Sie eine kurze Einführung in das Thema, sowie wichtige Kontaktdaten.

Warum die Meldung eines Cyber-Angriffs so wichtig ist

Im Falle eines Ransomware-Angriffs müssen einige gesetzliche Auflagen befolgt werden, deren Nichteinhaltung zu Haftungsschäden, Geldstrafen und Freiheitsstrafen führen kann. Die gesetzlichen Auflagen hierzu können nach geltendem Recht Ihres Landes (Unternehmenssitz) und Branche variieren.

Zum Beispiel haben die USA besondere Anforderungen an Unternehmen im Gesundheitswesen, die von Hackerangriffen betroffen sind. Im Falle von allgemeinen Datenschutzverletzungen verfügen 47 von 50 US-Bundesstaaten über Vorschriften zur Meldung ebensolcher.

In Europa gibt es hierzu die allgemeine EU-Datenschutz-Grundverordnung (EU-DSGVO), die die unverzügliche Meldung von Datenschutzverletzungen vorschreibt, sofern diese voraussichtlich zu einem Risiko für Betroffene führen können. Wenn Sie eine Datenschutzverletzung melden müssen, muss dies binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Die Nichteinhaltung kann mit hohen Bußgeldern geahndet werden, in einigen Fällen bis zu 10-20 Mio. EUR

Diese Verordnungen sollen die Verbraucher im Falle des Bekanntwerdens sensibler Daten schützen. Die genauen Anforderungen für eine Mitteilung an die Behörden können auch vom Ausmaß des Verstoßes abhängig sein.

In den meisten Fällen haben Opfer von Ransomware-Angriffen leider keine andere Wahl, als mit den Angreifern zu verhandeln. In einem solchen Fall ist es auch wichtig, sich der individuellen, internationalen Sanktionen hierzu bewusst zu sein. Das Office of Foreign Asset Control (OFAC) der Vereinigten Staaten stellt eine Liste von sanktionierten Einrichtungen und Einzelpersonen hierzu zur Verfügung. Verstöße gegen die geltenden OFAC-Sanktionen können zu Strafmaßnahmen führen, einschließlich Geldstrafen von bis zu 20 Millionen US-Dollar oder bis zu 30 Jahren Gefängnis,

Es ist zwar unwahrscheinlich, dass ein Opfer eines Ransomware-Angriffs eine so hohes Strafmaß erhalten würde, wenn hier keine Böswilligkeit unterstellt werden kann, dennoch besteht kein Zweifel daran, dass es besser wäre, sich an die Regelungen des OFAC zu halten.

Behörden in den meisten Jurisdiktionen ermutigen Opfer von Ransomware-Angriffe, einen Meldung einzureichen, auch wenn es keine gesetzliche Anforderung hierzu gibt. Im Allgemeinen ist dies eine gute Praxis, da die in Meldungen enthaltenen Informationen auch den Strafverfolgungsbehörden helfen können, Angreifer ausfindig zu machen und vor Gericht zu stellen. Unabhängig von den Ransomware Gesetzen und Vorschriften in Ihrem Land, sind wir der Meinung, dass es immer sinnvoll ist, eine Meldung an die entsprechende Behörde einzureichen.

Welche Informationen werden benötigt?

Die Einreichung einer Meldung kann je nach geltendem Recht zu Ransomware in Ihrem Land variieren. Die Art und Inhalt der Meldung kann sich je nach Unternehmenssitz, der Branche und dem von Ihnen gewählten Ransomware-Aktionsplan unterscheiden. Zu den wichtigsten Punkten gehören in der Regel:

Informationen zu Ihrem Unternehmen oder Ihrer Organisation.
Datum und Uhrzeit, zu der der Angriff entdeckt wurde.
Ein Screenshot oder Foto der Lösegeldforderung.
Der geforderte Lösegeldbetrag
Alle ungewöhnlichen IP-Adressen, die sich mit Ihrem Netzwerk verbunden haben
Die Dateierweiterungen der verschlüsselten Dateien.
Jede andere Kommunikation oder Korrespondenz mit den Angreifern.
Bezifferung aller (finanziellen) Verluste im Zusammenhang mit dem Angriff.

Je nach der für Ihren Gerichtsstandort zuständigen Strafverfolgungsbehörde, können zusätzliche Anforderungen gelten.

Datenschutz-Grundverordnungen

Gemäß den Datenschutz-Grundverordnungen müssen bestimmte Arten von Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden. In einigen Fällen können Unternehmen verpflichtet werden, die von Datenschutzverletzungen betroffenen Personen zu informieren. In einigen Ländern müssen sowohl die zuständige DSGVO-Behörde als auch die betroffenen Kunden informiert werden.

Auch wenn aufgrund der Art der Datenschutzverletzung weder eine Meldung an die zuständige Behörde, noch an die betroffenen Kunden erfolgen muss, so sind Unternehmen dennoch verpflichtet, alle Datenschutzverletzungen zu dokumentieren und Aufzeichnungen hierüber zu führen. Im Folgenden finden Sie die Kontaktdaten für lokale DSGVO-Behörden.

Leitfaden zu gesetzlichen Auflagen bei Ransomware-Angriffen

Warum die Meldung eines Cyber-Angriffs so wichtig ist

Welche Informationen werden benötigt?

Datenschutz-Grundverordnungen

DSGVO KONTAKTE

Österreich

Belgien

Kroatien

Zypern

Tschechische Republik

Dänemark

Estland

Europa

Finnland

Deutschland

Griechenland

Ungarn

Irland

Italien

Lettland

Litauen

Luxemburg

Malta

Polen

Portugal

Rumänien

Slowakei

Slowenien

Spanien

Schweden

Island

Liechtenstein

Norwegen

Strafverfolgungsbehörden im Zusammenhang mit Ransomware-Angriffen

Österreich

Belgien

Bulgarien

Kroatien

Zypern

Tschechische Republik

Dänemark

Estland

Finnland

Frankreich

Deutschland

Bundeskriminalamt

E-Mail-Kontakt: [email protected]

Bundespolizei

Baden-Württemberg

Bayern

Berlin

Brandenburg

Bremen

Hamburg

Hessen

Mecklenburg-Vorpommern

Niedersachsen

Nordrhein-Westfalen

Rheinland-Pfalz

Saarland

Sachsen

Sachsen-Anhalt

Schleswig-Holstein

Thüringen