Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Ransomware bildet dabei die Hauptbedrohung. Dabei werden von Unbefugten, die sich mit technischen Mitteln Zugang zu IT-Systemen verschaffen, Daten gelöscht, verschlüsselt oder abgezogen. Der Verantwortliche sowie die Betroffenen werden anschließend erpresst oder bloßgestellt. Opfer sind unter anderem die öffentliche Verwaltung und Hochschulen sowie kleine und mittelständische Unternehmen (KMU), die überproportional häufig angegriffen wurden. Das stellt das Bundesamt für Informationssicherheit (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland für 2023Öffnet sich in einem neuen Fenster fest. Auch in Hessen beeinträchtigen derartige Angriffe die öffentliche Ordnung und das Wirtschaftsleben.
Es besteht daher für jede IT-Infrastruktur ein Risiko, Hackerangriffen mit Ransomware zum Opfer zu fallen. Aus Sicht des Datenschutzes sind dadurch insbesondere die Gewährleistungsziele Verfügbarkeit (Art. 32 Abs. 1 Buchst. b DS-GVO), Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DS-GVO, Art. 32 Abs. 1 Buchst. b DS-GVO) der Verarbeitung personenbezogener Daten direkt bedroht. Verantwortliche müssen daher mittels geeigneter technischer und organisatorischer Maßnahmen (TOMs) bei einem Ransomware-Angriff rasch die Verfügbarkeit und den Zugang (Art. 32 Abs. 1 Buchst. c DS-GVO) zu den personenbezogenen Daten sicherstellen.
Das Backup gehört zu den zentralen TOMs, die insbesondere dem Erhalt der Verfügbarkeit dienen. Ein zuverlässiges Backup sollte verschiedene Kopien der Daten vorhalten.
Von den in Betrieb befindlichen Systemen sollte ein Backup erstellt werden, das aus dem Netz erreichbar ist. Dieses Backup sollten Verantwortliche regelmäßig aktualisieren und in mehreren Versionen vorhalten.
Um das Backup im Fall einer kompromittierten Betriebsumgebung vor einem Zugriff durch potentielle Angreifer zu schützen, sollten sie idealerweise eine weitere Kopie des Backups auf einem anderen Speichermedium wie Bändern vorhalten. Zusätzliche Verlässlichkeit erreicht man etwa durch eine dritte Kopie des Backups, die an einem weiteren Standort vorgehalten wird. So kann eine vollständige Löschung oder Verschlüsselung der Daten durch Ransomware aus einer kompromittierten Betriebsumgebung heraus verhindert werden, und die Daten sind vor Zerstörung oder technischen Defekten besser geschützt („3-2-1-Backup“).
Im Fall eines erfolgreichen Ransomware-Angriffs verringert ein wirksames Backup-Konzept folgende Risiken:
- vollständige Verschlüsselung/Löschung des Backups
- ausgefallene/manipulierte Backup-Routinen
- ausgefallene/manipulierte Anbindung zum Offline-Backup
Sobald personenbezogene Daten betroffen sind, unterliegt das Backup den Anforderungen der DS-GVO, da es selbst eine Datenverarbeitungstätigkeit darstellt. Deshalb müssen die Rechte der betroffenen Personen bezüglich der verarbeiteten Daten ebenfalls im Backupkonzept berücksichtigt werden. Zu beachten sind insbesondere das Auskunftsrecht nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO. Außerdem ist ein entsprechender Eintrag in das Verzeichnis der Verarbeitungstätigkeiten erforderlich (Art. 30 DS-GVO). Die praktische Funktionalität des Backup-Prozesses sollte überwacht und von Sensibilisierungsmaßnahmen der Mitarbeitenden hinsichtlich Hackerattacken, Phishing und Schadsoftware begleitet werden, um eine größtmögliche Wirksamkeit zu erzielen.
Weitere Informationen zum Thema Backup sowie praktischer Beispiele und Erörterungen sind im 51.Tätigkeitsbericht (Abschnitt 17.7: Kein Backup? Kein Mitleid! – Gewährleistung der Verfügbarkeit, S. 281 ff.) zu finden.