Die bayerische Datenschutzbehörde hat eine neue Stabsstelle für Prüfverfahren gegründet und gibt damit den Startschuss für eine Reihe anlassloser fokussierter Kontrollen.
Die erste Prüfung dieser Reihe erfolgt zum Thema „Ransomware Präventionen“. In diesem kurzen Beitrag zeigen wir Ihnen den Inhalt der Prüfung und der Fragen des LDAs sowie der daraus resultierenden Handlungen auf.
Inhaltsverzeichnis
Kurzbeschreibung der Prüfung
Ziel der Prüfung
Es werden technische und organisatorische Maßnahmen nach Art. 32 DS-GVO abgefragt, mit dem Ziel, einen Basisschutz gegen Ransomware-Angriffe zu gewährleisten.
In der Prüfung werden gezielte, grundlegende Sicherheitsanforderungen zur Abwehr oder zur Schadensbegrenzung von Ransomware abgefragt und geprüft.
Zielgruppe
Folgende Zielgruppen werden für die Prüfung ausgewählt:
- Kleine und mittlere Unternehmen
- Kleine Krankenhäuser
- Schulen
- Arztpraxen
Antwortzeitraum
Aus dem Beispielsanschreiben vom 30.11.2021 wurde die Beantwortung für den 22.12.2021 vorgemerkt. Für die Beantwortung hat man daher gute 3 Wochen Zeit.
Prüfbogen und Handreichung des BayLDA
Die eigentliche Prüfung besteht aus zwei Dokumenten. Zum einen erhalten die befragten Organisationen einen Prüfbogen, in welchem das optimale Szenario z.B. zur Systemlandschaft zu beschreiben ist. Der Verantwortliche gibt an, ob die Aussage zutreffend ist oder nicht. Zum anderen gibt es noch eine Checklisten-Handreichung, welche dem Verantwortlichen dazu dient, die Aussagen im Prüfbogen besser einordnen zu können und einen Art „Selbstcheck“ durchführen zu können.
Hinweis: Die Handreichung wird nur vereinzelt wiedergegeben und ist in unserem Beitrag nicht vollständig. Bitte sehen Sie sich das Dokument der Behörde an.
Systemlandschaft
Ein vollständiger und aktueller Überblick über alle eingesetzten IT-Systeme und IT-Komponenten (wie Clients,
Server, Firewall, Switches, VPN-Endpunkte) des eigenen Betriebs ist vorhanden (IT-Inventar, Netzplan). Es findet
hierfür ein ordnungsgemäßes Netz- und Systemmanagement statt (u. a. IT-Netzwerke-Trennung, Absicherung
von Fernzugriffen, sichere Basiskonfiguration der Systeme und Anwendungen), das die Dokumentation des IT-Netzes als wesentlichen Bestandteil umfasst. Auch Aspekte zum sicheren mobilen Arbeiten (z. B. im Home Office)
werden in der Behandlung der Systemlandschaft ausreichend beleuchtet (wie Anbindung der Telearbeitsplätze
und anderer mobiler Clients, Mobile Device Management, Regelungen zu Bring Your Own Device, Freigaberichtlinien).
- Ist eine Übersicht über vorhandene PCs / Notebooks mit Betriebssystem und -version vorhanden?
- Ist eine Übersicht über alle eingesetzten dienstlichen Smartphones, Tablets und sonstigen mobilen Endgeräten vorhanden?
- Ist ein vollständiger aktueller Netzwerkplan mit allen internen sowie extern betriebenen IT-Systemen inkl. aktiver und passiver Netzwerkkomponenten (Switche etc.) vorhanden?
- Erfolgt die Anbindung mobiler Arbeitsplätze verschlüsselt (z.B. VPN, MFA etc.)?
- Sind Microsoft-Office-Pakte so konfiguriert, dass nur signierte Makros ausgeführt werden können?
- Wird ein Anti-Spam-Filter und Antivirusfilter auf dem E-Mail-Server eingesetzt?
- Werden E-Mails mit verdächtigen Anhängen vorläufig in Quarantäne zur Analyse verschoben?
- Besitzen die Administratoren zwei Benutzeraccounts: Konto für reine Administratorenaufgaben und ein Konto für tägliche Aufgaben?
Patch Management
Es besteht ein geregelter Updateprozess für alle eingesetzten IT-Systeme und Anwendungen inklusive dazugehöriger Dokumentation zur Versionsübersicht bzw. zu Updates. Es findet eine regelmäßige Auswertung von Informationen zu Sicherheitslücken der eingesetzten Komponenten statt, damit wichtige Sicherheitsupdates unverzüglich eingespielt werden können. Die eigene Serverlandschaft wird hinsichtlich Patch-Level und Schwachstellen geprüft. Gerade die an das Internet angeschlossenen Server werden dabei regelmäßig kontrolliert (u. a. auch laufendes Monitoring). Vorbereitungen für nicht-patchbare Sicherheitslücken (Zero Day Exploits) wurden getroffen, um
im Ernstfall zeitnah angemessen reagieren zu können.
- Sind automatische Updates für das Betriebssystem eingeschaltet und können von Mitarbeitern nicht unterbrochen werden?
- Ist eine Übersicht über aktuelle eingesetzten Softwaren mit Version und Stand vorhanden?
- Werden nur Hersteller von Betriebssystemen und Softwaren eingesetzt, die regelmäßig Sicherheitsupdates anbieten?
- Ist ein unverzügliches Einspielen von sicherheitsrelevanten Updates aller Netzwerkkomponenten (Firewall, VPN-Applicances) gegeben?
Backup-Konzept
Besteht ein wirksames Backup-Konzept, das entweder die Idee der „3-2-1 Regel“ (3 Datenkopien, 2 verschiedene Speichermedien, 1 davon an externen Standort) bedarfsgerecht umsetzt? Oder existiert ein anderes Konzept, welches einen anderen, speziell auf Ransomware-Bedrohungen ausgerichteten wirksamen Ansatz berücksichtigt? Backups werden regelmäßig automatisiert durchgeführt. Es werden Tests durchgeführt, ob alle relevanten Daten im Backup-Prozess enthalten sind und eine Wiederherstellung funktioniert. Das Backup-Konzept wird somit regemäßig hinsichtlich seiner Wirksamkeit geprüft. Es werden zudem Maßnahmen ergriffen, damit Datensicherungen nicht verschlüsselt werden können.
- Werden Backups nach der 3-2-1-Regel durchgeführt: 3 Datenspeicherungen, 2 verschiedene Backupmedien, 1 davon an externen Standort (Off-Site-Backup)?
- Ist eine dokumentierte Regel vorhanden, welche Daten von welchem Server und PC/Notebook im Backup-Konzept aufgenommen wurden?
- Wird eine regelmäßige Wiederherstellung der Backups durchgeführt, falls die Server aufgrund der Verschlüsselung nicht mehr zugänglich sind?
- Erfolgt eine regelmäßige Überprüfung, ob mindestens ein Backup täglich durchgeführt wird?
Überprüfung des Datenverkehrs
Aufrufe am Internetübergangspunkt werden durch den Verantwortlichen überprüft, damit Netzwerkaktivitäten aus dem internen Netz an bekannte kompromittierte externe Server erkannt werden können (z. B. an der Firewall die Indicators of Compromise, kurz: IoC). Es findet eine Blockierung, Protokollierung und Alarmierung hierzu samt täglicher Aktualisierung der IoC-Listen durch geeignete Quellen statt. Es besteht zudem ein Protokollierungs- und Analysekonzept (Umgang mit Störungsmeldungen, Manipulationsschutz, Logging, Überwachung und Absicherung der log files). Firewall-Systeme werden regelmäßig hinsichtlich der ordnungsgemäßen Konfiguration überprüft.
- Ist der Internetzugang nach innen und außen mittels Firewall gesichert?
- Wird neben der Firewall der Datenverkehr über einen Web-Proxy geleitet?
- Werden durch den Web-Proxy aufgerufene Seiten gefiltert und blockiert?
- Basiert die Protokollierung des Datenverkehrs ins Internet auf externen IP-Adressen mit einer Speicherdauer von 90 Tagen mit dem Ziel, Auswertungen einer möglichen Unregelmäßigkeit nach einem Vorfall nachvollziehen zu können?
- Sind die Protokolle verschlüsselt, um Missbrauch zu verhindern?
Awareness und Berechtigungen
Mitarbeiterinnen und Mitarbeiter werden regelmäßig und passend zur öffentlich bekannten Bedrohungslage geeignet über Angriffswege geschult. Im Fokus stehen aktuelle Social-Engineering-Techniken und gefälschte E-Mails, die auch einen Bezug zu bekannter, zum Teil eigener E-Mail-Korrespondenz haben können. Die Geschulten
werden dabei instruiert, welches Verhalten angemessen ist (u. a. kein Klick auf fremde Links, kein Öffnen von
bestimmten Dateien, kein Aktivieren von Makros). Mitarbeiterinnen und Mitarbeiter steht für die Arbeit an den
Endgeräten eine Auswahl von sicheren Authentifizierungsverfahren zur Verfügung (u. a. starke Passwörter mit
mind. 10 Stellen für Standard-Passwörter und mind. 16 Stellen für administrative Passwörter, Zwei-Faktor-Lösungen insbesondere für Administration, keine Wiederverwendung von lokalen administrativen Kennungen auf
Windows-Rechnern). Die Rollen- und Berechtigungen werden dabei nach dem Least-Privilege-Prinzip eingerichtet.
- Erhalten Mitarbeiter regelmäßige Schulungen zu Cyber-Angriffen?
- Erhalten neue Mitarbeiter eine Einweisung zum Umgang mit IT-Komponenten und Verhalten bei Social-Engineering?
- Werden neue Mitarbeiter auf die möglichen IT-Risiken und vor Aufnahme der Datenverarbeitung sensibilisiert?
- Ist den Mitarbeiter der Meldeweg und zuständige Ansprechpartner (DSB; ISB) bei Vorfällen bekannt?
Wie kann ich mich auf die Prüfung vorbereiten?
Bei der Prüfung geht es vor allem um die technischen und organisatorischen Maßnahmen (TOMs).
Wir empfehlen Ihnen daher, die Dokumentation und Wirksamkeit der TOMs nochmals zu prüfen und auch zu optimieren, falls Handlungsbedarf besteht.
Es wurden Maßnahmen geplant, sind jedoch noch nicht umgesetzt. Was jetzt?
Das ist super! Das bedeutet, das Sie sich mit den aktuellen Stand Ihrer IT-Infrastruktur auseinandergesetzt und Verbesserungspotential entdeckt haben. Dokumentieren Sie in Ihren TOMs diese zukünftigen Maßnahmen und auch den aktuellen Stand. Teilen Sie diese auch der Behörde mit – ein Punkt, der meiner Ansicht nach positiv zu werten ist.
Was tun, wenn Sie ein Schreiben der Behörde erhalten?
Ganz wichtig: Erst einmal Ruhe bewahren! Die Behörde möchte in erster Linie herausfinden, wo die Unternehmen mit Ihren Sicherheitsmaßnahmen stehen und wo ggf. Beratungs- und Handlungsbedarf notwendig ist. Die Aussprache eines Bußgelds erkenne ich aus der Intention und dem Schreibverhalten der Behörde nicht.
Kontaktieren Sie zunächst Ihren Datenschutzbeauftragten, mit der Bitte um Unterstützung beim Ausfüllen des Prüfbogens und beantworten Sie den Fragebogen ehrlich und gewissenhaft.
Was passiert, wenn man den Prüfbogen nicht beantwortet?
Hierzu steht im Anschreiben des BayLDA folgendes dabei:
Die Datenschutz-Grundverordnung legt in Art. 58 Abs. 1 Buchstabe a fest, dass jede Aufsichtsbehörde über die Befugnis verfügt, den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Daneben verfügt jede Aufsichtsbehörde über die Befugnis, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten (vgl. Art. 58 Abs. 1 Buchstabe e DS-GVO). Ein Verstoß gegen diese Verpflichtung stellt eine Ordnungswidrigkeit dar und kann mit einer Geldbuße geahndet werden.
Muster-Anschreiben des BayLDA zum Thema Ransomeware-Prävention
Wird sofort ein Bußgeld erlassen, wenn man den Prüfbogen überwiegend mit „Nein“ beantwortet?
Die Aussprache eines Bußgeldes hängt grundsätzlich immer vom Einzelfall ab. Die DSK hat ein Berechnungsmodell für Bußgelder veröffentlicht, welches wir in einem kurzen Artikel mit einem Beispiel erläutert haben.
Dennoch ist die Aufsichtsbehörde erst mal dazu angehalten, den Verantwortlichen zu beraten und zu unterstützen (Art. 57 Abs. 1 lit. d DSGVO). Durch die transparente Darlegung des Hintergrunds der Prüfung und auch aus dem Anschreiben der Behörde, sehe ich darin keine Absicht der Behörde, „nur“ Bußgelder zu erlassen.
Wie sind Ihre Erfahrungen?
Hatten Sie schon Prüfungen durch die Aufsichtsbehörden? Sei es konkret in diesem Fall oder in anderen Zusammenhängen rund um den Datenschutz? Wenn ja, wie waren Ihre Erfahrungen?
Natürlich interessiert es uns auch, wie Sie sich auf eine mögliche Prüfung vorbereiten. Schreiben Sie uns doch einen Kommentar zum Beitrag!
Natürlich stehen wir Ihnen bei der Beantwortung der Fragebögen zur Seite, sofern Sie diesen erhalten!
Hier finden Sie noch eine weitere Prüfung zum Einsatz von Drittlandsanbietern von Behörden und unsere Empfehlungen.
Quellen
- Muster-Anschreiben des BayLDA: https://www.lda.bayern.de/media/pruefungen/Ransomware_Praevention_Anschreiben.pdf
- Prüfbogen zur Ransomeware-Präventionsprüfung: https://www.lda.bayern.de/media/pruefungen/Ransomware_Praevention_Antwortbogen.pdf
- Handreichung zum Prüfbogen: https://www.lda.bayern.de/media/pruefungen/Ransomware_Praevention_Handreichung.pdf