Schadcode
Informationen zum datenschutzrechtlichen Umgang mit Schadcode-Vorkommen bei Verantwortlichen
Software, die zu kriminellen Zwecken entwickelt und eingesetzt wird und ihre Funktionalität entsprechend verbirgt, wird häufig als Malware oder Schadcode bezeichnet. Sollte ein Verantwortlicher eine solche Software unbeabsichtigt zur Ausführung bringen (z. B. über Klicken auf einen E-Mail-Anhang), dann kommt es zu einem Schadcode-Befall auf dem betroffenen Rechner – mitunter aber auch zu einer Ausweitung auf das (komplette) Netzwerk.
Gesetzliche Anforderungen
Die Datenschutz-Grundverordnung (DS-GVO) beinhaltet als gesetzliche Anforderung Art. 32 DS-GVO, der zur Verhinderung solcher Vorkommnisse beitragen soll. Konkret ist ein dem Risiko angemessenes Schutzniveau zu schaffen, dass die aus der Informationssicherheit bekannten Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten und der damit verbundenen IT-Systeme sicherstellt. Damit sind auch präventive technische und organisatorische Maßnahmen zu treffen, damit es nicht zu einem Befall mit Schadcode kommt.
Sollten die Maßnahmen zu Art. 32 DS-GVO bezüglich eines Angriffs nicht greifen, weil bspw. ein Mitarbeiter, obwohl er es an sich besser weiß, auf einen Link in einer Phishing-E-Mail klickt und Schadcode zur Ausführung bringt, dann kommt es zu einer Verletzung der Sicherheit nach DS-GVO. Je nach Höhe des Risikos für die Rechte und Freiheiten der betroffenen Personen kommt zu es unterschiedlichen Rechtsfolgen:
1. Kein/Geringes Risiko
Es kam zwar zu einer Verletzung der Sicherheit bspw. indem ein Link in einer E-Mail geklickt wurde, dieser aber vom auf dem Rechner installierten Schutzprogramm vor Ausführung des Schadcodes unterbunden wurde. Solch eine Verletzung der Sicherheit wird als kein/geringes Risiko eingestuft. In diesem Fall ist der Vorfall gemäß Art. 5 Abs. 2 DS-GVO (Rechenschaftspflicht) zu dokumentieren und ggf. im Rahmen von internen Awareness-Schulungen zu verwenden.
2. Risiko
Es kam zu einer Ausführung eines Schadcodes. In der Beurteilung der damit aufgetretenen Schäden oder noch zu erwarteten Folgen sowie deren Eintrittswahrscheinlichkeit wird ein Risiko für die Rechte und Freiheiten der betroffenen Personen angenommen, weil es zu einem Datenabfluss oder deutlichen Störungen der Betriebsabläufe kam. In diesem Fall ist der Vorfall intern nach Art. 5 Abs. 2 DS-GVO zu dokumentieren und zusätzlich nach Art. 33 DS-GVO die zuständige Aufsichtsbehörde zu informieren (Online-Service). Die Betroffenen müssen auf Grundlage der datenschutzrechtlichen Anforderung der DS-GVO nicht informiert werden – sollte der Verantwortliche dies auf Grundlage anderer Rechtsvorschriften machen müssen oder zur Verhinderung von Rufschäden eine freiwillige Meldung durchführen, so steht dies dem Verantwortlichen selbstverständlich frei.
3. Hohes Risiko
Es kam zu einer Ausführung eines Schadcodes, der in seiner spezifischen Ausprägung sowohl bei dem zu erwarteten Schaden als auch der Eintrittswahrscheinlichkeit auf ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen schließen lässt. Dies ist bspw. in der Regel bei manchen Varianten des Emotet-Schadcodes (Link) der Fall. Dieser spezielle Schadecode besitzt die Möglichkeit, verschiedene Softwarebausteine nachzuladen, um damit u. a. die Mail-Kommunikation zu entwenden, einen manuellen Zugriff für den Angreifer zu etablieren (sog. Backdoor) oder eine Komponente zur Verschlüsselung von Dateien (Ransomware) zur Ausführung zu bringen. Außerdem werden zur weiteren Streuung der Schadsoftware beim Versand von E-Mails Kontextinformationen und Kommunikationsverläufe aus früheren E-Mails eingesetzt. In diesem Fall ist neben einer Information der zuständigen Aufsichtsbehörde nach Art. 33 DS-GVO (Online-Service) eine Information der Betroffenen nach Art. 34 DS-GVO durchzuführen.
Präventive Maßnahmen
Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO sollen auch das Risiko für den Befall durch Schadcode wirksam und nachweisbar eindämmen. Dazu zählen insbesondere folgende Maßnahmen (ohne Anspruch auf Vollständigkeit):
- Zeitgemäße Awareness-Schulung der Mitarbeiter mit Ziel eines gesunden Misstrauens bei digitalen Dateianhängen/Links
- Rollen-/Berechtigungssysteme nach dem Least-Privilege-Prinzip einrichten
- Aktualität der Software mittels wirksamen Patch-Managements im kompletten Unternehmen sicherstellen
- Verwendung von starken Passwörtern auch innerhalb des Unternehmensnetzes sowie, wo möglich, Verwendung von Verfahren zur 2-Faktor-Authentisierung
- Durchführung von Backups auf externen Speichermedien sowie stark verschlüsselten Cloud-Speichern und Überprüfung der Backups
- Einsatz von geeigneten Antivirenlösungen mit Aktivierung des heuristischen Modus
- Protokollierung und Auswertung von Netzwerkaktivitäten (insbesondere am Übergangspunkt zum Internet), Einrichtung von IDS (Intrusion-Detection-System) oder IPS (Intrusion Prevention System)
- Netzwerktrennung von Bereichen unterschiedlicher Kritikalität mittels Firewalls/Routern sowie Einsatz von Web-Proxies
-
Einsatz von Betriebssystem-Schutzmechanismen gegen Schadcode-Befall, z. B. bei Microsoft-Systemen:
- Deaktivierung von nicht benötigten administrativen Freigaben (Admin$, IPC$)
- Einrichtung einer Software Restriction Policy (SRP) zur Deaktivierung der Ausführung von ausführbaren Dateien aus temporären Laufwerken
- Verwendung von expliziten Vertrauenszuweisungen an Anwendungen durch Microsoft AppLocker
- Deaktivierung von Windows Script Hosts (WSH)
- Standardmäßige Anzeige von Dateiendungen
- Deaktivierung bzw. Einschränkung durch manuelle Freigabe von Makros in Office-Dokumenten
- Überlegungen für das Auftreten von Schadcode anstellen, dokumentieren und ggf. einüben (z. B. Erstellung von Reaktionsmaßnahmen, Einbindung von externen Fach-Dienstleistern, rechtliche Meldeverpflichtungen)
- Deaktivierung von Dynamic Data Exchange (DDE) bei Microsoft Office Produkten, sofern nicht benötigt (Link)
Reaktive Maßnahmen
Trotz aller getroffenen Maßnahmen kann ein Angriff mittels Schadcodes erfolgreich sein, wenn bspw. ein Mitarbeiter einen E-Mail-Anhang ausführt oder eine über das Internet erreichbare Schwachstelle nicht rechtzeitig behoben wird. Festgestellt wird ein solcher Angriff z. B. dadurch, dass Kommunikationspartner sich beim Verantwortlichen melden, die eine vermeintlich von diesem Verantwortlichen versendete E-Mail mit Schadcode erhalten haben.
In diesem Fall ist das dem Risiko angemessene Schutzniveau nach Art. 32 DS-GVO unverzüglich wiederherzustellen. Dies setzt voraus, dass der in Ausführung begriffene Schadcode so schnell wie möglich deaktiviert wird und dabei trotzdem Informationen zur forensischen Aufarbeitung erhoben werden.
Folgende Schritte können dazu hilfreich sein:
- Betroffenen Rechner nicht ausschalten
- Trennung des betroffenen Rechners vom Netzwerk (Ziehen des Netzwerksteckers)
- Durchführung eines kompletten Durchlaufs mit einem aktuellen Virenscanner. Falls kein Schadecode gefunden wurde, kann das System trotzdem infiziert sein.
- Erstellung eines Speicherdumps des Arbeitsspeichers und Sicherung des Dumps auf einem externen Datenträger für eine spätere forensische Auswertung (Tipp: Suchmaschine mit Begriff „forensic ram dump tool“).
- Betroffenen Rechner jetzt herunterfahren
- Änderung aller betroffenen Passwörter (insbesondere auch bei externen E-Mail-Providern und bei Cloud-Diensten) von einem anderen Rechner aus
- Ersetzen der betroffenen Festplatte und Aufbewahrung dieser für spätere forensische Analysen. Wir raten von einer vermeintlichen Entfernung des Schadcodes mittels Antivirensoftware ohne eine Neuinstallation des kompletten Systems ab.
- Ggf. Kontaktierung des externen Fach-Dienstleister für die Durchführung einer forensischen Analyse; bei diesem den sichergestellten Speicherdump sowie die ausgebaute Festplatte des betroffenen Rechners analysieren lassen
- Sichergestellte Festplatte mittels eines dezidierten Analyserechners sowie eines speziellen Virenscanners erneut scannen (Tipp: Suchmaschine mit Begriff „antivirus rescue“)
- Scannen des möglicherweise betroffenen Netzwerks im Hinblick auf Auffälligkeiten, Auswertung von Log-Dateien (insbesondere die Internetübergangspunkte/Web-Proxies)
- Prüfung, Dokumentation und ggf. Meldung bezüglich einer Verletzung der Sicherheit bei der zuständigen Datenschutzaufsichtsbehörde nach Art. 33 DS-GVO (Online-Service)
- Prüfung, Dokumentation und ggf. Benachrichtigung der betroffenen Personen bezüglich einer Verletzung der Sicherheit nach Art. 34 DS-GVO
- Erstatten einer Anzeige bei der zuständigen Polizeidienststelle
- Prüfung, ob eine erneute Awareness-Schulung der Mitarbeiter angezeigt ist
- Prüfung, ob alle technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO (siehe oben) wirksam umgesetzt sind. Dies kann mit Unterstützung des betrieblichen Datenschutzbeauftragten, sofern bestellt, erfolgen.
Weitere Informationen / Links
Häufig gestellte Fragen:
AntwortDie Benachrichtigung an die betroffenen Personen sollte in klarer und einfacher Sprache über den Vorfall und mögliche Folgen informieren. Explizite Formerfordernisse gibt es ansonsten nicht – es empfiehlt sich, sich die vorzustellen, ob die "eigene Tante" die Beschreibung des Vorfalls verstehen würde.
AntwortAb dem Zeitpunkt, zu dem eine Person und Stelle im Unternehmen von einem möglichen Vorfall Kenntnis erlangt, fängt die Uhr an zu ticken. Dies kann der Informationssicherheitsbeauftragte, der Datenschutzbeauftragte oder auch ein Mitarbeiter eines Callcenters sein. Innerhalb von 72 Stunden (auch das Wochenende wird mitgezählt) muss die Meldung nach Art. 33 DS-GVO bei der zuständigen Aufsichtsbehörde erfolgen.
AntwortEs braucht hinreichende Anhaltspunkte (z. B. Eintrag in Log-Dateien, Meldung von betroffenen Personen, …) dafür, dass wahrscheinlich eine Datenschutzverletzung stattgefunden hat. Wichtig ist, bereits eine Meldung vor einer vollständigen (forensischen) Aufarbeitung durchzuführen, da diese Aufarbeitung in der Regel länger als 72 Stunden dauert.
AntwortEs gibt keine bestimmten Formerfordernisse, wie eine Verletzung der Sicherheit dokumentiert werden muss. Ansonsten sind die Anforderungen des Art. 33 Abs. 3 DS-GVO zu dokumentieren. Auch Datenschutzverletzungen, die nicht zu einem Risiko führen und damit nicht der Aufsichtsbehörde gemeldet werden müssen, sind in die Dokumentation aufzunehmen und der Aufsichtsbehörde bei einer Prüfung nach Art. 5 Abs. 2 DS-GVO (Rechenschaftspflicht) vorzulegen.
AntwortIn der Regel ja, wenn alle Partitionen der Festplatte gelöscht und formatiert werden. Bei der automatischen Verbreitung eines Schadcodes über das Netzwerk (sog. Wurm) muss darauf geachtet werden, dass alle betroffenen Systeme isoliert (z. B. Netzwerkstecker ziehen) und erst dann neu aufgesetzt werden, da es sonst zu einer erneuten Infektion kommen kann. Auch an betroffene externe Datenträger wie USB-Sticks oder Festplatten muss gedacht werden; ebenso müssen Cloud-Ablagen beachtet werden, die – sofern verschlüsselt – vom Cloud-Dienstleister nicht auf Schadcode überprüft werden können.
AntwortEs müssen alle betroffenen Personen informiert werden. Wenn es hinreichende Anhaltspunkte dafür gibt, dass ein System mit allen Kundendaten betroffen ist, dann sind auch alle Kunden zu informieren. Sollten nur Teilsysteme betroffen sein, dann ist entsprechend nur dieser Teil der Kunden zu benachrichtigen.
AntwortDas BayLDA kann keine konkrete Empfehlung für bestimmte Softwareprodukte aussprechen. Neben einer signaturbasierten Erkennung (der Standard) empfiehlt sich eine heuristische Erkennung (Erkennung anhand schadcodetypischer Programm-/Schnittstellenaufrufe) sowie einer Sandboxing-Funktionalität (Ausführung von Schadcode in einer gesicherten Umgebung).