Am 1. Dezember hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) per Pressemitteilung die Prüfung nicht öffentlicher Stellen wie Unternehmen, Verbände und Vereine angekündigt.  

Auf der Website des BayLDA finden sich unter “Datenschutzprüfungen” die Detailinformationen zum Kontrollprojekt im Zeitfenster 01.12.21 – 21.12.2021. Organisationen, die einen Brief des Landesamtes erhalten, müssen innerhalb der Frist einen Prüfbogen mit 5 Basisfragen beantworten. Diese 5 Fragen beziehen sich auf die Schwerpunkte: 

• Systemlandschaft (Dokumentation) 
• Patch Management (Aktualisierung von Systemen) 
• Backup Konzept (Datensicherung) 
• Überprüfung des Datenverkehrs (Monitoring) 
• Awareness und Berechtigungen (Schulung, Zugriffsrechte) 

und müssen mit „Ja habe ich umgesetzt” oder „Nein habe ich nicht umgesetzt und ich begründe dies mit …“ beantwortet werden. 

Im Brief befindet sich zusätzlich eine Handreichung zum Prüfbogen, der die Anforderungen an den jeweiligen Punkt im Detail beschreibt. Hier kann nachvollzogen werden, was das BayLDA als geeignete Maßnahmen für die 5 Sicherheitskategorien vorsieht.  

Man kann es sich einfach machen…oder? 

5 Kreuze bei „Ja habe ich umgesetzt“ sieht auf den ersten Blick einfach aus. Das BayLDA behält sich aber vor, im Einzelfall vor Ort Kontrollen nachzuschieben oder Nachweise zur Umsetzung einzufordern wie z.B. die Netzwerkdokumentation. Eine Antwort sollte also wohlüberlegt sein, da der Prüfbogen per Unterschrift bestätigt werden muss und Nachforderungen von Nachweisen üblich sind. 

Das Besondere liegt aber an anderer Stelle. 

Die Tatsache, dass das Landesamt diese Prüfaktion durchführt, zeigt, in welcher aktuellen Gefahrenlage wir uns befinden. Das Landesamt schreibt in der Pressemitteilung von mehreren hundert gemeldeten Ransomware Angriffen im zurückliegenden Jahr. Damit ergeben die 5 Fragen auf dem Prüfbogen absolut Sinn und konzentrieren sich auf die am meisten angesetzten Angriffsvarianten. Organisationen sollten die Kampagne zum Anlass nehmen, auch ohne direkte Anfrage die Prüfpunkte der eigenen Infrastruktur gegenüberzustellen. 

Systemlandschaft

Liegt Ihnen eine aktuelle Dokumentation vor? Um im Schadensfall ein System wieder herzustellen, ist das Wissen um die Infrastruktur essentiell. Besonders wichtig ist dies, wenn Ihr Netzwerk von einer Einzelperson betreut wird.  

Patch Management

Stellen Sie sicher, dass die Aktualität der Systeme gewährleistet ist –  nicht nur für Kernprodukte von Microsoft, sondern für alle eingesetzten Softwareprodukte (Third Party Management). Veraltete Programme beinhalten bekannte Schwachstellen, sind damit Einfallstore von extern und Schleusen bei der internen Weiterverbreitung. 

Backup Konzept

Das Backup Konzept bezeichnen wir als Lebensversicherung, um Daten nach einem Verschlüsselungsangriff aus der Sicherung wiederherstellen zu können. Backup Konzepte erweisen sich im Notfall nicht immer als durchgängig, z.B. 

• gibt es keine abgedockte, externe Sicherung. 
• sind die Daten in der Sicherung nicht integer, Wiederherstellungstests werden nicht durchgeführt. 
• ist der Wiederherstellungsvorgang auf Grund der Dauer ungeeignet und hohe Schäden durch Ausfallzeiten bei vorhandenem Backup entstehen. 
• hoher Datenverlust, weil die Spanne zwischen den Datensicherungen oder das Aufbewahrungsfenster von Datensicherungen nicht stimmig gewählt wurde. 

Überprüfung des Datenverkehrs 

Ursprüngliche Ransomware Angriffe beschränkten sich auf das „Versperren“ von Daten. Im Rückschluss verbesserten immer mehr Organisationen  die Backup Strategie. Damit schienen diese Art von Ransomware Angriffen beherrschbar.  

Folglich änderte sich die Strategie der Angreifer. Vor der Verschlüsselung wurden sensible Daten auf externe Server ausgelagert. Damit ergab sich neben einer Einschränkung der Verfügbarkeit auch eine Einschränkung der Vertraulichkeit. Der Erpressungsdruck wurde höher und richtet sich nicht nur an das betroffene Unternehmen selbst, sondern auch gegenüber Kunden des betroffenen Unternehmens, wenn deren Daten ebenfalls ausgeleitet wurden. Keiner möchte seine sensiblen Daten im Internet oder Darknet wissen. 

Weiter bedeutet ein Angriff eine Meldung gegenüber dem BayLDA innerhalb von 72 Stunden. Die Aussage, Daten wurden nicht ausgeleitet, würde der Aufsichtsbehörde nicht reichen. Dazu müsste diese Aussage mit dokumentierten Nachweisen aus Logdaten gegenüber der Behörde nachgewiesen werden. 

Awareness und Berechtigungen

Nur informierte Beschäftigte können sich richtig verhalten. Idealerweise werden bestimmte Handlungen, wie das Öffnen einer schadhaften E-Mail, gar nicht erst ausgeführt. Mindestens müssen Beschäftigte wissen, wie und an wen ein ungewöhnliches Systemverhalten gemeldet werden kann. 

Schließlich sorgt ein durchdachtes Berechtigungskonzept dafür, dass Beschäftigte nur auf die Daten zugreifen können, die für die jeweilige Aufgabenbewältigung unbedingt notwendig ist. Weiter bedeutet dies, dass Schadsoftware ebenfalls auf diesen Zugriffsbereich eingegrenzt ist und damit weniger Angriffsfläche vorliegt. 

Fazit

Sollten Sie einen Brief der Aufsichtsbehörde erhalten haben, unterstützen wir Sie gerne bei der Beantwortung. Auch ohne Brief sollten Sie sich dem Thema annehmen. Kommen Sie auf uns für ein kostenloses Erstgespräch zu. Gemeinsam können wir das für Ihre Organisation passende Sicherheitskonzept erarbeiten.