Ransomware-Risikominderung beginnt mit Compliance
Ransomware-Attacken zählen zu den größten Bedrohungen für eine der wertvollsten Vermögenswerte im Unternehmen: deren Daten. Es ist existenziell, sie vor Angriffen zu schützen. Dabei stehen unterschiedliche Möglichkeiten zur Verfügung – eine der wichtigsten: das Sicherheitsbewusstsein und die Awareness der Mitarbeitenden durch E-Learnings zu fördern.
Was ist Ransomware?
1989 erlebte die Welt eine Premiere, als der sogenannte AIDS-Trojaner von dem in Harvard ausgebildeten Evolutionsbiologen Joseph L. Popp an die Teilnehmer der Internationalen AIDS-Konferenz der Weltgesundheitsorganisation verschickt wurde. Die per Post versendeten 200.000 Disketten mit der Bezeichnung „AIDS Information – Introductory Diskettes“ verschlüsselten die Benutzerdaten, sobald sie in einen Computer eingelegt wurden. Für die Entschlüsselung der Daten verlangte Popp im Gegenzug ein Lösegeld von 189 US Dollar, das Betroffene an ein Postfach in Panama schicken sollten.
Es ist kaum zu glauben (aber wahr), dass der Modus Operandi eines modernen Ransomware-Angriffs ähnlich funktioniert, wie bei diesem allerersten Angriff vor nunmehr 33 Jahren: Ransomware ist eine Schadsoftware, mit der Kriminelle via Cyberangriffen häufig das Ziel verfolgen, Lösegeld zu erpressen. Getarnt als harmloser Dateianhang oder nützliche Software, wird diese meist unbemerkt auf Betriebssystemen installiert und verschlüsselt die darauf befindlichen Daten so, dass ein weiterer Zugriff nicht mehr möglich ist – erst gegen Zahlung eines Lösegeldes. Die Erpresser bauen mitunter zusätzlichen Druck auf, indem sie mit der Veröffentlichung sensibler Daten drohen (sog. Name-and-Shame) oder mit deren Verkauf an die Konkurrenz.
Schäden durch Ransomware
Der Digitalverband Bitkom wartet in seiner aktuellen Studie mit besorgniserregenden Zahlen auf: Praktisch jedes Unternehmen in Deutschland wird Opfer von Cyberangriffen wie Diebstahl, Spionage und Sabotage: 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen, weitere neun Prozent gehen davon aus. Den wirtschaftlichen Schaden beziffert der IT-Branchenverband auf 203 Milliarden Euro. Ransomware-Attacken verursachten dabei in zwölf Prozent der Unternehmen Schäden. Auch der jüngste Bericht der Agentur der Europäischen Union für Cybersicherheit (ENISA) hat Ransomware als die Hauptbedrohung für Regierungen, Unternehmen und Einzelpersonen eingestuft. Ungefähr 58,2 Prozent aller gestohlenen Daten enthalten personenbezogene Daten gemäß Datenschutzgrundverordnung. (DSGVO).
Wird ein Ransomware-Angriff publik, müssen Organisationen Negativschlagzeilen und Reputationsschäden fürchten. Es können zudem Fremdschäden bei Kund:innen und Geschäftspartner:innen entstehen, zum Beispiel Datenschutz- oder Vertragsverletzungen – vor allem, wenn Daten durch unsachgemäßen Gebrauch und Missachtung der DSGVO gestohlen werden.
DSGVO-Compliance – eine wirksame Präventionsstrategie gegen Ransomware
Cybersicherheit, Datenschutz und Compliance sind eng miteinander verbunden. Das liegt daran, dass viele Datenschutzbestimmungen strenge Cybersicherheitsmaßnahmen erfordern, um die Sicherheit sensibler personenbezogener Daten zu gewährleisten. Leider sind Verstöße im Umgang mit personenbezogenen Daten keine Seltenheit: Insgesamt kam es 2021 in der Europäischen Union zu 356 Verstößen täglich und es wurden Bußgelder in Höhe von einer Milliarde Euro verhängt. Auffällig ist der Anstieg der angezeigten und bestraften Datenschutzverstöße in den Pandemiejahren 2020 und 2021: Von 2019 auf 2020 stieg die Zahl der geahndeten Verstöße um 104 Prozent und von 2020 auf 2021 noch einmal um 40 Prozent. Die Zunahme der Datenschutzverletzungen zeigt deutlich: Das Risiko, dass Zugangsdaten gestohlen und sensible Daten abgegriffen werden, ist höher als je zuvor.
Das Prinzip des „minimalen Zugangs” (Least-Privilege-Prinzip) ist in diesem Zusammenhang eines der wichtigsten Konzepte für Informationssicherheit. Es basiert darauf, dass Mitarbeitende nur so viele Zugriffsberechtigungen auf Daten erhalten, wie sie für die Ausführung ihrer Aufgaben benötigen. Die DSGVO erfordert genau diese Minimierung der Speicherung von Daten, dem Zugriff darauf sowie den Aufbewahrungsfristen. Unternehmen, die entsprechend DSGVO-konform dieses Prinzip einhalten, begrenzen von vornherein den Schaden durch eine Cyberattacke.
Neben einer vollständig umgesetzten DSGVO sind digitale Identitäts- und Zugriffsmanagementlösungen, Virenscanner, Firewalls und regelmäßige Updates zum Schutz vor Ransomware-Attacken essenziell. Richtig konfiguriert und mit neuesten Updates versorgt, halten Letztere die meisten Bedrohungen aus dem Internet automatisch fern.
Mit E-Learnings die Sicherheitslücke „Mensch” schließen
Da sich Hacker der aufgezählten Hürden bewusst sind, nutzen sie eine andere „Sicherheitslücke”: den Menschen. Durch gezielte Täuschungsmanöver (z. B. Phishing) sollen Mitarbeitende von Organisationen dazu verleitet werden, Ransomware in das System einzuschleusen. Dabei handeln die meisten unabsichtlich. Organisationen müssen Cyberattacken deshalb eine zusätzliche effektive Verteidigungsstrategie entgegensetzen: die regelmäßige Online-Schulung der Mitarbeitenden zur Sensibilisierung des Sicherheitsbewusstseins. Vor allem die Förderung von Awareness mit gezielten Online-Präventionsschulungen kann Ransomware-Attacken effektiv vorbeugen.
E-Learnings haben darüber hinaus – und im Gegensatz zu konventionellen Fort- und Weiterbildungen – folgende Vorteile:
- Komplexe Themen und Wissen werden multimedial, anschaulich und praxisorientiert geschult
- Angewandte Lernpsychologie schafft ein nachhaltiges Bewusstsein für Handlungsveränderungen
- E-Learning-Anbieter sind auf Wissensvermittlung spezialisiert: – das ist in einer Rechtsabteilung mit spezialisierten Expert:innen häufig nicht der Fall, da ihre Expertise in der Regel nicht in der Schulung von Mitarbeitenden liegt
Wichtig: Hacker entwickeln immer perfidere Methoden, um sich Zugang zu verschaffen. Sie verwenden beispielsweise nicht nur E-Mails für ihre Angriffe, sondern jegliche Chat-Dienste oder versenden Deepfake-Videos. Das sind Videos, die künstliche Intelligenz und Deep-Learning-Techniken nutzen, um gefälschte Bilder von Personen zu erzeugen – inklusive Sprachausgabe. Regelmäßige Refresher-Kurse schulen Mitarbeitende darin, alle Arten von Hackerangriffen zu erkennen.
Fazit
Ransomware-Angriffe stellen nicht nur ein erhebliches Geschäftsrisiko dar. Auch rechtliche Konsequenzen sind in Fällen nachgewiesener Fahrlässigkeit denkbar. Ausdrücklich empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht kontinuierliche Schulungen. Unternehmen sollten deshalb die Bekämpfung von Ransomware ins Zentrum ihrer Sicherheitsstrategie setzen. Denn ein Sicherheitskonzept ist nur so erfolgreich, wie die Beschäftigten es in ihrer täglichen Arbeit anwenden und umsetzen.
Autor: Philipp von Bülow ist Chief Executive Officer und Mitgesellschafter von lawpilots. Der Betriebswirt ist seit 2019 bei lawpilots tätig und leitet die strategische Positionierung des europäischen Marktführers für E-Learnings in rechtlich-regulatorischen Themen. Zuvor leistete von Bülow unter anderem mit der Gründung des Start-ups Jurato 2013 Pionierarbeit im Legal-Tech-Markt.