Erpressungstrojaner und ihre Abwehr

Vorige Woche berichteten „Stern“ und „Hamburger Abendblatt“: Hamburgs führender Juwelier sei Opfer eines Erpressungstrojaners geworden. Es soll ein Lösegeld in Millionenhöhe gezahlt worden sein. Das Unternehmen verkauft viele Schweizer Marken, z.B. Rolex, und hat über 30 Filialen.

Zur Abwehr der Risiken durch Erpressungstrojaner sollten viele Maßnahmen getroffen werden. Es fängt damit an, dass eingehende Mails auf Spam und Schadsoftware gescannt werden. Auf jedem Rechner sollten Virenscanner laufen, die verhindern sollen, dass Anwendungen mit Schadsoftware gespeichert oder gestartet werden können. Doch die Kriminellen erfinden immer neue Formen von Schadsoftware, und Methoden zur Tarnung, wie zuletzt bei dem Trojaner Emotet. Eine weitere Verteidigungsmaßnahme kann das Server-Monitoring sein, indem für definierte Ereignisse automatische Reaktionen festlegt werden. Zum Beispiel: bei vielen Änderungen von Dateien in kürzester Zeit wird der Rechner automatisch herunterfahren und eine Alarm-Mail schicken.

So tiefgestaffelt das Verteidigungssystem gegen Schadsoftware auch sein mag: Man muss auch für den Fall planen, dass ein Benutzer den falschen Klick macht, und einen Verschlüsselungstrojaner startet, der unternehmenskritische Ressourcen verschlüsselt, zum Beispiel die Datenbank für Kundengeschäfte. Dann gibt es nur noch eins, was hilft: das Backup.

Backup-Strategien

Um die Backups im Ernstfall nutzen zu können, müssen diese vor Zugriffen der Ransomware geschützt werden. Denn im schlimmsten Fall könnten auch die aktuellen Backups von Ransomware verschlüsselt werden, und es könnten nur noch ältere Backups eingespielt werden. Damit könnte zwar die generelle IT-Infrastruktur wiederhergestellt werden und die Mitarbeiter wären erst einmal wieder arbeitsfähig. Allerdings wären die aktuellen Daten verloren.

Bei Angriffen mit Ransomware wurden in der Vergangenheit Sicherheitslücken ausgenutzt, mit denen die Angreifer Beschränkungen des Berechtigungssystems überwinden konnten. Daher waren häufig ganze Infrastrukturen betroffen. Wenn die Backups auf zugänglichen Laufwerken gespeichert wurden, wurden auch diese mit verschlüsselt.

Standardmäßig arbeiten viele Backup-Systeme aber mit Sicherungsbändern und automatischen Bandwechseln. Die nicht genutzten Bändern werden dadurch Offline gelagert und die Ransomware kann diese daher nicht verschlüsseln. Das Backup-System verwaltet dabei die eingesetzten Backupmedien, führt die Backups automatisch durch und stellt sicher, dass noch benötigte Bänder nicht überschrieben werden. Dies erfolgt anhand festgelegter Einstellungen, z.B. wie oft wird gesichert, wie viele Backups werden aufbewahrt und für wie lange werden Backups aufbewahrt.

Diese Einstellungen müssen dabei auf das Unternehmen zugeschnitten sein. Unternehmen mit Transaktionen, wie Banken oder große Shops, werden für diese Systeme stündliche oder noch häufigere Backups benötigen, für andere Systeme reichen aber z.B. tägliche Backups.

Das Backup ist für ein Unternehmen die letzte Lebensversicherung, entsprechend sorgfältig muss es geplant und durchgeführt werden. Es gehört zur Datensicherheit, dass regelmäßig eine „Wiederherstellung“ aus dem Backup erprobt wird, um sicher zu sein, dass die Wiederherstellung von Daten funktioniert.

Löschungsanspruch und Anforderungen aus dem Datenschutz

Ein unter Juristen gern diskutiertes Thema ist die Löschung aus dem Backup, wenn eine betroffene Person ihr „Recht auf Vergessenwerden“ aus Art. 17 DSGVO ausübt. Die sichere Löschung einzelner Daten aus einem Backup-System würde es erfordern, Backups wiederherzustellen, darin die Löschung vorzunehmen, und anschließend die geänderten Daten wieder zu sichern. Das müsste für alle Backups wiederholt werden und wäre daher sehr aufwendig.

Stattdessen sollte das Backup- und Restore-Konzept um den Umgang mit Löschanfragen erweitert werden. Dazu sollten Löschanfragen dokumentiert werden und nach der Wiederherstellung eines Backups erneut bearbeitet werden. Daher muss sichergestellt sein, dass nur wenige Personen Zugriff auf die Backups haben, und diese nicht zweckentfremdet werden.

Backups sind nach Art. 32 Abs. 1 lit. c DSGVO rechtlich geboten. Nach Erwägungsgrund 49 DSGVO ist das Interesse an Datensicherheit ein berechtigtes Interesse, das in Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden kann, um die Speicherung in Backup-Medien zu rechtfertigen.

Auch in Rahmen von Datenschutz-Audits werden das Backupkonzept und seine Umsetzung geprüft, etwa bei Audits nach Art 28 Abs. 3 lit h DSGVO (Auftragsverarbeitung) oder bei der Wahrnehmung der Audit-Aufgaben des betrieblichen Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b DSGVO.