Deutsche Datenschutzbehörden führen im Rahmen ihrer gesetzlichen Aufgabe von Zeit zu Zeit Prüfungen bei Unternehmen und Organisationen durch. Diese erfolgen sowohl anlassbezogen als auch anlasslos. Aktuell erhielten Firmen vom BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) Post, die in den vergangenen Jahren an diese einen Ransom-Angriff gemeldet hatten.
Abfrage des aktuellen Sicherheitsstands ist das Ziel des Ransom-FollowUps
Auszug aus dem Anschreiben: „…Wir gehen davon aus, dass Sie im Rahmen der Aufarbeitung des Vorfalls ihrerseits ggf. die Sicherheitsmaßnahmen ausgeweitet oder zumindest angemessen angepasst haben. Im Rahmen der vorliegenden Ransomware-Nachprüfung möchten wir nun Ihren aktuellen Sicherheitsstand diesbezüglich abfragen. Die dazugehörigen Prüfunterlagen liegen diesem Schreiben bei (Anlage A). Mit dieser Prüfung bestätigen Sie uns damit bei Ihnen durchgeführte Maßnahmen zur Sicherheit nach Art. 32 DS-GVO. Falls bestimmte Maßnahmen bei Ihnen nicht ergriffen werden konnten, sind ergänzende Ausführungen zur Begründung möglich…“
Dem Anschreiben liegt ein Fragebogen als Anlage bei.
Der Fragebogen dieser Ransomware-Nachprüfung enthält:
29 Abfragen zur Systemlandschaft
12 Abfragen zum Patchmanagement
6 Abfragen zum Backup-Konzept
4 Abfragen zur Überprüfuung des Datenverkehrs
7 Abfragen zu Awareness und Berechtigungen
5 Abfragen zur Datenschutzorganisation
8 Abfragen zum Unternehmen inkl.:
der jeweiligen Anzahlen von Sicherheitsvorfällen mit
a) einem Risiko für die Betroffenen,
b) einem hohen Risiko für die Betroffenen,
c) mit keinem oder geringen Risiko für die Betroffenen
d) Ursache bei einem Auftragsverarbeiter
Abschlussbericht zum gemeldeten Ransom-Angriffs wird ebenfalls angefordert
Die Behörde fordert mit dieser Nachprüfung wie folgt auf: „…Neben den ausgefüllten Prüfunterlagen (Anlage A) bitten wir zudem um Zusendung des eigenen Abschlussberichts zum Sicherheitsvorfall der bei uns am … eingereichten und unter dem Aktenzeichen … geführten Meldung. Bitte fügen Sie Ihrem Abschlussbericht den vollständigen forensischen Bericht – sofern vorhanden – bei…“
Anlasslose Prüfung zum Thema Ransom-Prävention erfolgte bereits 2021
Im November 2021 startete die Bayerischen Aufsichtsbehörde bereits eine anlasslose Prüfung zum Thema Ransom-Prävention. Die Auswahl der angeschriebenen Unternehmen und Organisationen erfolgte damals zufällig. In unserem Artikel https://mb-datenschutz.de/2022/02/praevention-ransomware-checkliste/ verwiesen wir auf diese Prüfaktion und die darin vorhandene, sinnvolle Checkliste – noch in geringerem Umfang als die Abfragen der aktuellen Nachprüfung.
Zeit für einen Check und ggf. einer dringenden Aktualisierung Ihrer TOM
Ob Sie nun Post von Ihrer Behörde erhalten haben oder nicht, es empfiehlt sich grundsätzlich ein Meeting zwischen Geschäftsführung und IT, um die aktuell getroffenen TOM (technische und organisatorische Maßnahmen) mal wieder auf den Prüfstand zu stellen. Involvieren Sie auch Ihren Datenschutzbeauftragten.