WannaCry führt Sicherheitsunzulänglichkeiten bezüglich GDPR vor

Originalartikel von Bharat Mistry

Nach all der Panik scheinen Unternehmen nun weltweit die WannaCry-Ransomware endlich in den Griff bekommen zu haben. Dennoch sollte man nicht einfach zum Alltag übergehen und die Schadsoftware vergessen. Unternehmen müssen ihre Lehren aus dem Angriff ziehen, vor allem auch Antworten zu den Fragen geben, warum die Attacke so erfolgreich war und was zu tun ist, um eine Wiederholung zu verhindern. Viele der von WannaCry betroffenen Organisationen könnten empfindliche Strafen zahlen müssen, sollte dasselbe in einem Jahr nochmals passieren. Denn die EU General Data Protection Regulation (GDPR) tritt dann (25. Mai 2018) in Kraft. Unternehmen müssen bis dahin ihre Cybersicherheit gründlich überdenken, um gegen Angriffe wie den von WannaCry gerüstet zu sein.

Datendiebstahl oder Ransomware?

Auf den ersten Blick gibt es keinen offensichtlichen Grund, Ransomware-Angriffe mit den neuen Datenschutzgesetzen der EU in Verbindung zu bringen. Schließlich wurden die Daten der von WannaCry betroffenen Unternehmen alle verschlüsselt und nicht gestohlen. Doch bei näherer Betrachtung der GDPR stellt sich die Situation anders dar.

Sinngemäß besagt Artikel 4.12, dass unter dem Diebstahl (Breach) personenbezogener Daten ein Sicherheitsvorfall zu verstehen ist, „der zur unbeabsichtigten oder unrechtmäßigen Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden”, führt.

Die WannaCry-Hacker aber griffen definitiv unrechtmäßig auf Kundendaten zu, die verloren gingen oder durch Verschlüsselung gar vernichtet wurden.

Artikel 5.1 wiederum fordert sinngemäß, dass bei der Verarbeitung persönlicher Daten die geeignete Sicherheit dieser Daten gewährleistet sein muss, einschließlich des Schutzes vor nicht autorisierter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Vernichtung oder Beschädigung. Dafür bedarf es geeigneter technischer oder organisatorischer Maßnahmen (‘Integrität und Vertraulichkeit’). Darüber hinaus verlangt Artikel 32, dass die Verantwortlichen oder Verarbeiter unter „gebührender Berücksichtigung des Stands der Technik” sicherstellen, dass die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, um ein dem Risiko entsprechendes Sicherheitsniveau zu gewährleisten. „Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

WannaCry war zu verhindern

Wie konnten Organisationen von WannaCry angegriffen werden? Indem sie es versäumten, eine bekannte Windows SMB-Sicherheitslücke (CVE-‎2017-0144) zu patchen. Diese Lücke ermöglichte es den Angreifern, eine Ransomware-Datei auf betroffene Systeme abzulegen und Unternehmensdateien mit 176 verschiedenen Extensions, einschließlich Microsoft Office, Datenbanken, Dateiarchive, Multimedia-Dateien zu verschlüsseln. Darunter befanden sich natürlich auch Dateien mit wichtigen Kundendaten, die unter die Gesetzgebung der GDPR fallen.

Was würde dies in den Augen der Regulierer bedeuten? In erster Linie, dass jedes Unternehmen, das Kundendaten verwaltet und von WannaCry betroffen war, sich potenziell der Zustimmung zur „nicht autorisierten oder unrechtmäßigen Verarbeitung” dieser unter die EU-Datenschutzgesetze fallenden Daten schuldig gemacht hat. Auch wurden sie technisch gesehen Opfer eines Einbruchs in personenbezogene Daten, auch wenn keine Daten gestohlen wurden, doch virtuell verloren gingen oder de facto vernichtet wurden.

Schlimmer noch, könnte den Unternehmen vorgeworfen werden, sie hätten nicht die dem offensichtlichen Risiko entsprechenden Sicherheitsmaßnahmen getroffen, denn ein offizieller Microsoft-Patch war schon Wochen vor dem Angriff verfügbar. Und auch Technologie für das virtuelle Patching zum Schutz von nicht gepatchten oder nicht mehr unterstützten Systemen ist vorhanden.

Die Folgen

Staatliche Gesundheitsorganisationen und zahllose andere Unternehmen wurden von WannaCry getroffen. Wäre der Angriff ein Jahr später passiert, so wären sie wegen fehlender Compliance zu den GDPR-Prinzipien dran gewesen. Die Strafen dafür können bis zu 4 % des weltweiten jährlichen Umsatzes oder bis zu 20 Mio. € betragen. Auch wären sie gezwungen worden, die Öffentlichkeit innerhalb von 72 Stunden nach dem Angriff zu informieren. Damit hätten sie nicht nur negative Schlagzeilen sondern auch zusätzliche Kosten in Kauf nehmen müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*