Ransomware-Angriffe sind weiterhin in aller Munde und eine akute Bedrohung. Immer öfter erbeuten die Angreifergruppen zuvor aber auch sensible Datensätze der betroffenen Organisation bevor sie damit beginnen die Systeme zu verschlüsseln. Ein prominentes Beispiel aus dem vergangenen Jahr ist der Cyberangriff auf den DAX-Konzern Continental (hier nachzulesen). Teilweise haben es Angreifergruppen mittlerweile auch gezielt „nur“ auf Datensätze abgesehen. Die erbeuteten Daten nutzen die Angreifer*innen anschließend dazu den Druck auf die betroffene Organisation zur Zahlung des geforderten Lösegelds zu erhöhen. Sie drohen damit die Daten zum Kauf anzubieten, die betroffenen Personen direkt zu kontaktieren oder die Daten im Darknet zu veröffentlichen. Teilweise drohen die Angreifergruppen sogar damit die zuständigen Datenschutzaufsichtsbehörden zu informieren und auf Schwachstellen in den IT-Systemen der betroffenen Organisation hinzuweisen. Aus datenschutzrechtlicher Perspektive gilt ein Abfluss von personenbezogenen Daten und deren Veröffentlichung als absolutes Worst-Case-Szenario.

Nachdem wir uns in vorangegangenen Blogbeiträgen mit Cyberangriffen (wir berichteten), Denial-of-Service-Angriffen (wir berichteten) und Ransomware-Attacken (wir berichteten) befasst haben, sollen in diesem Blogbeitrag die datenschutzrechtlichen Folgen und Herausforderungen für die Organisation aufgezeigt werden, die von einem Datenleak betroffen ist.

Datenabfluss erkennen

Werden die IT-Systeme bei einem Cyberangriff kompromittiert, ist stets zu prüfen, ob in diesem Zusammenhang Daten abgeflossen sind. Auch im Falle von Ransomware-Attacken ist (mittlerweile) damit zu rechnen, dass es die Angreifer*innen auch auf Datensätze abgesehen haben. Da die forensische Analyse des Vorfalls regelmäßig äußerst komplex ist, wird oftmals die Unterstützung spezialisierter IT-Forensiker*innen benötigt. Die Expert*innen werden dabei versuchen mit Hilfe der gegebenen Informationen (z. B. aus Log-Servern) das Vorgehen der Angreifer*innen zu rekonstruieren und die genutzte(n) Schwachstelle(n) zu ermitteln. Einen tatsächlichen Datenabfluss nachzuweisen ist hierbei oft nicht leicht und stets abhängig von der konkreten Gestaltung der IT-Infrastruktur und der nutzbaren Informationen. Wird der Netzwerkverkehr z. B. mittels eines Denial-of-Sercvie-Abwehrsystems überwacht, können sich durch einen stark erhöhten Traffic zum Zeitpunkt des Angriffs erste Erkenntnisse zu einem möglichen Datenfluss ergeben. Ebenso können sich durch eine hinterlegte Erpressernachricht sowie das bekannte übliche Vorgehen der Angreifergruppe (sofern bekannt) Indizien dafür ergeben, dass die Angreifer*innen (auch) Daten erbeuten wollten. Können im Rahmen der Analyse das Extraktionsskript und womöglich auch die genutzten Suchbegriffe identifiziert werden, steigt das Risiko eines Datenabflusses erheblich.

Parallel zur forensischen Analyse sollte auch regelmäßig das Darknet durchleuchtet werden, um ein Datenleak möglichst frühzeitig erkennen zu können. Wird der Vorgang zu Anzeige gebracht unterstützen Ermittlungsbehörden mitunter auch beim fortlaufenden Screening der relevanten Bereiche des Darknets. Betroffene Organisationen sollten sich dabei auch dann nicht in Sicherheit wiegen, wenn der Cyberangriff bereits mehrere Monate in der Vergangenheit liegt. Fälle wie der von Continental (hier nachzulesen) zeigen, dass Angreifergruppen mitunter erst Monate nach dem initialen Angriff Daten veröffentlichen. Teilweise veröffentlichen die Angreifergruppen aber auch kurz nach dem Angriff Auszüge (sog. „Samples“) der erbeuteten Daten, um den Besitz von Daten zu beweisen und ihren Lösegeldforderungen Nachdruck zu verleihen (aktuelle Beispiele sind GKS Hydraulik und die CMC Group).

Datenanalyse und datenschutzrechtliche Folgen

Wird ein Datenleak im Darknet bekannt, kommen zahlreiche Aufgaben auf die datenschutzrechtlich verantwortliche Stelle, den*die Datenschutzbeauftragte*n, die Rechtsabteilung sowie die Fachbereiche IT und Öffentlichkeitsarbeit zu, die es zeitgleich zu koordinieren gilt. Um den datenschutzrechtlichen Anforderungen hierbei gerecht werden zu können, ist schnelles und zielgerichtetes Handeln gefragt. Zunächst ist zu klären, welche Datenkategorien und welche Kategorien von Personen von dem Leak betroffen sind und um welche Datenmenge es sich (in etwa) handelt. Sind in den geleakten Daten auch Daten mit Personenbezug enthalten, ist in aller Regel ein Risiko für die Rechte und Freiheiten der betroffenen Personen anzunehmen und gemäß Art. 33 DSGVO eine unverzügliche Meldung bei der zuständigen Datenschutz Aufsichtsbehörde vorzunehmen. Können die relevanten Informationen nicht innerhalb der Frist von 72 Stunden zusammengetragen werden, sollte von der Möglichkeit der stufenweisen Meldung gemäß Art. 33 Abs. 4 DSGVO Gebrauch gemacht werden.

In Abhängigkeit des Umfangs der betroffenen Datensätze kann die Analyse der Daten oft mit einigen Hürden verbunden sein. Dies resultiert zum einen daraus, dass für den Zugang zum Darknet die technischen Voraussetzungen geschaffen werden müssen (z. B. Tor-Browser) und aufgrund der mit Schadsoftware infizierten Daten im Darknet eine Analyse nur über hierfür vorgesehene, isolierte (vom Netzwerk getrennte) Rechner vorgenommen werden sollte. Hinzu kommt, dass ein Download der Daten aus dem Darknet oft mehrere Tage oder Wochen in Anspruch nehmen kann, da die Downloadgeschwindigkeit aus dem Darknet sehr stark begrenzt ist. In einem ersten Schritt empfiehlt es sich daher lediglich die Liste der Dateinamen herunterzuladen und diese in geeigneter Weise zu analysieren. Vor der Analyse der Dateinamen und dem Download der Dateien empfiehlt es sich zudem mithilfe geeigneter Skripte eine Filterung der Dateien vorzunehmen, sodass Dateiformate die keinen Personenbezug aufweisen (z. B. Dateien mit Programmcode, Schriftarten, Anwendungsdateien etc.) bereits zuvor aussortiert und strukturiert werden können. Die Erkenntnisse, die im Rahmen der ersten Analyse gewonnen werden, sollten sodann für die (stufenweise) Meldung gemäß Art. 33 DSGVO gegenüber der zuständigen Aufsichtsbehörde herangezogen werden.

Zeitgleich hat der Verantwortliche zu beurteilen, ob es durch die Veröffentlichung der Daten auch zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen kommen kann. Ist dies der Fall, sind die betroffenen Personen unverzüglich gemäß Art. 34 DSGVO zu benachrichtigen. Sofern die Personen im Zusammenhang mit dem Datenleak bzw. aufgrund der Quelle der Daten (z. B. ein bestimmtes Netzlaufwerk/Fileordner) in ähnlicher Weise betroffen sind, kann durch die Erstellung einer Vorlage eines entsprechenden Benachrichtigungsschreibens der Verpflichtung aus Art. 34 DSGVO meist leicht und ohne große Aufwände entsprochen werden. Hauptaufgabe wird es dann sein die betroffenen Personen zu identifizieren und deren Kontaktdaten zu ermitteln. Handelt es sich allerdings um heterogene Datensätze und sind Personen in unterschiedlicher Art und Weise von dem Datenleak betroffen, kann die Analyse der veröffentlichten Daten zu erheblichen Aufwänden führen. Die Analyse der Daten ist dabei zwingend erforderlich, um die betroffenen Personen über die möglichen Folgen im Zusammenhang mit der Veröffentlichung (z.B. Kontrollverlust, Identitätendiebstahl, Rufschädigung, Versuche finanzieller Schädigung etc.) sowie die Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen aufklären zu können.

Bei einer Veröffentlichung von personenbezogenen Daten im Darknet kann der datenschutzrechtlich Verantwortliche selbst, neben der Zurücksetzung von Passwörtern, oft nur wenig tun, um die möglichen negativen Folgen abzumildern. Allerdings kann er schnellstmöglich die betroffenen Personen benachrichtigen und ihnen Maßnahmen aufzeigen und empfehlen, die dazu beitragen können die negativen Folgen nach Möglichkeit zu reduzieren. In Abhängigkeit der veröffentlichten Datenarten und der betroffenen Personenkreise gehören hierzu insbesondere die Empfehlung umgehend alle Passwörter und Benutzernamen bei Online-Diensten zu ändern und nach Möglichkeit eine 2-Faktor-Authentifizierung einzurichten, auf betrügerische Phishing E-Mails und SMS zu achten und ggf. neue Ausweispapiere zu beantragen (sofern z. B. Personalausweise betroffen sind). Hierbei bietet es sich oftmals auch an, auf die allgemeinen Bekanntmachungen des BKA sowie der Verbraucherzentrale NRW zu üblichen Betrugsmaschen sowie der Veröffentlichungen der Polizei und der Verbraucherzentrale NRW zu Phishing hinzuweisen.

Liegen verschiedene Kontaktdaten er betroffenen Personen (Anschrift, E-Mail-Adresse, Telefonnummer) vor, empfiehlt es sich regelmäßig den Kontaktweg zu wählen, über den die Person mit großer Wahrscheinlichkeit erreicht werden kann. Hierbei gilt es auch zu berücksichtigen, welches Kontaktdatum am aktuellsten erscheint. Dementsprechend ist es nicht ratsam eine postalische Benachrichtigung auf den Weg zu bringen, sofern die Angaben zur Adresse bereits einige Jahre alt sind und die betroffene Person zwischenzeitlich umgezogen sein könnte. Mündliche Benachrichtigungen sind hierbei zwar grundsätzlich möglich, sollten jedoch stets nach einem formalisierten Prozedere erfolgen, um den Rechenschaftspflichten des Art. 5 Abs. 2 DSGVO entsprechen zu können. Auch sollte den betroffenen Personen angeboten werden die Benachrichtigung zusätzlich schriftlich zur Verfügung zu stellen.

Öffentliche Bekanntmachung

Sofern die Identifikation der betroffenen Personen nicht möglich ist bzw. die Benachrichtigung der betroffenen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, kann der Verantwortliche anstatt einer individuellen Benachrichtigung eine öffentliche Bekanntmachung vornehmen. Der Ausnahmetatbestand des Art. 34 Abs. 3 lit. c DSGVO ist hierbei jedoch restriktiv zu verstehen und greift nur, sofern tatsächlich unverhältnismäßige Aufwände, z. B. aufgrund einer sehr großen Anzahl betroffener Personen bzw. nur schwer ermittelbarer Kontaktdaten, einer individuellen Benachrichtigung entgegenstehen. Dies muss der Verantwortliche genau belegen können (detaillierte Kostenschätzung etc.) und sollte die Gründe hinreichend dokumentieren (Rechenschaftspflicht). In Zweifelsfällen kann es hierbei durchaus sinnvoll sein, die zuständige Aufsichtsbehörde zu bitten, einen verbindlichen Beschluss im Sinne des Art. 34 Abs. 4 2. Alt. DSGVO zu erlassen.

Wird eine öffentliche Bekanntmachung z. B. über die Webseite vorgenommen, ist mit einer erheblichen öffentlichen Resonanz zu rechnen, sodass der genaue Wortlaut der Bekanntmachung zuvor mit den verantwortlichen Personen der PR-Abteilung sowie der Leitungsebene der Organisation im Detail abgestimmt sein sollte. Eine klare Kommunikationsstrategie ist hierbei essenziell, um möglichst weitere (Image-)Schäden von der Organisation abzuwenden (vgl. Blogbeitrag zu Ransomeware-Angriffen). Der Spagat zwischen einer adressatengerechten, deutlichen und verständlichen Information, die die Mindestanforderungen des Art. 34 DSGVO erfüllt und einer Information die gleichzeitig aus Sicht der PR-Expert*innen sowie der Leitungsebene tolerierbar erscheint, stellt regelmäßig eine Herausforderung dar. Handelt es sich um ein großes Datenleak bei dem im Laufe der Analyse mit weiteren Veränderungen der Sachlage zu rechnen ist, empfiehlt es sich daher oftmals die Bekanntmachung so zu gestalten, dass sich diese fortlaufend mit wenig Aufwand ergänzen lässt. Vorteilhaft ist daher eine Gestaltung der Informationen in Form von FAQ.

Mögliche Konsequenzen

Neben dem entstehenden Imageschaden muss der Verantwortliche mit kritischen Rückfragen der zuständigen Datenschutz-Aufsichtsbehörde rechnen. Schwerpunkte der Rückfragen bilden hierbei erfahrungsgemäß die technischen und organisatorischen Maßnahmen, die der Verantwortliche zum Zeitpunkt des Cyberangriffs implementiert hatte und inwiefern diese geeignet waren, um ein angemessenes Schutzniveau der Daten zu gewährleisten. Regelmäßig ist dabei für die Aufsichtsbehörden auch von Interesse, ob es bereits vor dem eigentlichen Angriff verdächtige Aktivitäten im Netzwerk der betroffenen Organisation gegeben hat und wenn ja, ob und wann diese erkannt wurden und wie hierauf reagiert wurde.

Wenngleich die Aufsichtsbehörden in Deutschland gemäß § 43 Abs. 4 BDSG die Meldung nach Art. 33 DSGVO sowie die Benachrichtigung nach Art. 34 DSGVO nicht ohne die Zustimmung des Verantwortlichen in einem Bußgeldverfahren heranziehen dürfen, besteht weiterhin die Gefahr, dass die zuständige Aufsichtsbehörde den Vorfall zum Anlass nimmt insbesondere die implementierten technischen und organisatorischen Maßnahmen sowie die hinreichende und rechtzeitige Reaktion des Verantwortlichen zu überprüfen. Stellt die Aufsichtsbehörde in diesem Zusammenhang Versäumnisse fest, kann dies in einem Bußgeld gemäß Art. 83 DSGVO resultieren. Dass die Aufsichtsbehörden in Europa derartige Vorfälle äußerst ernst nehmen und Verstöße gegen datenschutzrechtliche Verpflichtungen sanktionieren, belegen mittlerweile zahlreiche Beispiele (z.B. hier, hier, hier oder hier).

Neben der Gefahr von Aufsichtsbehörden mit Sanktionen belegt zu werden, steigt mit einem Datenleak im Darknet bzw. den daraus resultierenden Benachrichtigungspflichten die Wahrscheinlichkeit, dass betroffene Personen vermehrt von Ihren Rechten auf Auskunft und Kopie gemäß Art. 15 DSGVO bzw. (sofern anwendbar) Ihren Rechten aus dem Informationsfreiheitsgesetz (IFG) gebrauch machen. Die Bearbeitung derartiger Auskunftsersuchen führt dann dazu, dass weitere interne Ressourcen gebunden werden und dem Verantwortlichen hierdurch zusätzliche Kosten entstehen. Nicht selten verwenden die betroffenen Personen die hieraus gewonnen Erkenntnisse, um Schadensersatzforderungen nach Art. 82 DSGVO gegenüber dem Verantwortlichen geltend zu machen. Inwiefern derartige Schadensersatzforderungen unter Berücksichtigung der Rechtsprechung des EuGH (Urteil vom 04.05.2023 – Rechtssache C‑300/21 Rn. 50) der geltenden Beweislastregeln und der Voraussetzung eines tatsächlich entstandenen (immateriellen) Schadens Aussicht auf Erfolgt haben, ist dabei stets Abhängig von den konkreten Umständen des Vorfalls (wir berichteten z.B. hier und hier).

Fazit

Werden Daten im Zusammenhang mit einem Cyberangriff geleakt und später auch noch von den Angreifer*innen im Darknet veröffentlicht, ergibt sich daraus für den datenschutzrechtlich Verantwortlichen ein absolutes Worst-Case-Szenario mit weitreichenden Folgen. Neben dem eintretenden Imageschaden, der enormen Aufwände zur Aufklärung des Vorfalls und der Umsetzung der datenschutzrechtlichen Verpflichtungen, wird der Verantwortliche regelmäßig mit kritischen Fragen der Aufsichtsbehörden sowie Schadensersatzforderungen der betroffenen Personen konfrontiert sein.

Damit ein solches Szenario ein fiktives Szenario bleibt, muss der Verantwortliche präventiv und vorausschauend erforderliche technische und organisatorische Maßnahmen umsetzen, regelmäßig prüfen, am Stand der Technik ausrichten und die hierfür erforderlichen Mittel bereitstellen. Damit dies gelingen kann, bedarf es des eindeutigen Commitments der Führungsebene. Cyber-Sicherheit ist und bleibt Chefinnen- und Chefsache!

Weitere Beiträge aus dieser Blogreihe finden Sie hier: