Rançongiciels : des attaques en constante augmentation

Ransomware: Angriffe nehmen zu

Legal Watch Nr. 51 – September 2022.

Ransomware: Angriffe nehmen zu : Die Nachrichten vom Herbst bringen uns zurück zu einer wiederkehrenden Sorge der Datenverantwortlichen: Sicherheitsverletzungen.

Der Cyberangriff auf das Krankenhaus in Essonne und die Verbreitung mehrerer Gigabyte an Patientendaten erinnern uns daran, wie wichtig es ist, alle notwendigen Maßnahmen zu ergreifen, um uns vor solchen Angriffen zu schützen.

Diese Tatsachen spiegeln einen anhaltenden Trend zunehmender Angriffe in ganz Europa wider.

Die CNIL gibt somit einen Anstieg der Meldungen von Datenschutzverletzungen um 79,1 TP3T im Jahr 2021 im Vergleich zu 2020 an (5037 im Jahr 2021). Im Jahr 2021 gingen mehr als 2150 Meldungen von Verletzungen ein, die auf einen Ransomware-Angriff zurückzuführen sind, oder 43,1 TP3T des Gesamtvolumens.

Darüber hinaus zielte die Hälfte der im letzten Jahr von der CNIL verhängten Sanktionen auf Verstöße gegen Datenschutzverpflichtungen ab.

Dieser Monat Oktober ist daher eine Gelegenheit, eine Bestandsaufnahme der wesentlichen Sicherheitsmaßnahmen vorzunehmen, wie von der CNIL und der ANSSI gefordert, die ihre Sensibilisierungskampagne „Cybermonth“ bezüglich Ransomware.

Diese Kampagne ist die französische Version der europäischen ECSM-Cybersicherheitskampagne, die von der Mehrheit der europäischen Länder und der europäischen Sicherheitsagentur ENISA unterstützt wird.

Erinnern wir uns zunächst an die Empfehlungen der CNIL, in der die verschiedenen Phasen der Verwaltung der Sicherheit der Datenverarbeitung aufgelistet sind, darunter:

  • Das Inventar der Datenverarbeitung und ihrer Träger (Hardware, Software, Kommunikationskanäle, Papierträger):
  • Die Bewertung der durch jede Verarbeitung entstehenden Risiken sowie ihrer möglichen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen (insbesondere bei der Verarbeitung sensibler Daten).
  • Risikoquellen (menschliche und nicht-menschliche Quellen).
  • Realisierbare Bedrohungen, d. h. mögliche auslösende Ereignisse (z. B. Vandalismus, natürliche Abnutzung, voller Speicher, Denial-of-Service-Angriff).
  • Vorhandene oder geplante Maßnahmen zur Bewältigung jedes Risikos (z. B. Backups, Verschlüsselung), die den Risiken angemessen sind.
  • Die Schwere und Wahrscheinlichkeit der Risiken im Lichte der vorhergehenden Elemente.

ANSSI informiert über die wesentlichen Schutzmaßnahmen:

  • Stellen Sie automatische Backups bereit, getrennt vom Netzwerk;
  • Testen Sie Backups regelmäßig;
  • Erstellen Sie einen Geschäftskontinuitätsplan (BCP);
  • Bereitstellung einer Kriseneinheit;
  • Üben Sie einen Krisenmechanismus.

Die Agentur wiederholt außerdem ihren Rat zur Vorsicht bei unerwünschten E-Mails, insbesondere wenn diese einen Anhang enthalten:

  • Vertrauen Sie keinen in der Nachricht genannten Telefonnummern oder Hyperlinks,
  • Überprüfen Sie die Adresse des Absenders, indem Sie darauf klicken, und rufen Sie den üblichen Kontakt an, anstatt auf eine verdächtige Nachricht zu antworten.

Im Falle einer Datenschutzverletzung müssen unverzüglich geeignete Maßnahmen ergriffen werden, um die Verletzung zu stoppen und die Auswirkungen auf die betroffenen Personen zu begrenzen.

Im Falle eines Ransomware-Angriffs empfiehlt die ANSSI, Abhilfemaßnahmen und das Krisenreaktionssystem zu aktivieren und anschließend die zuständigen Behörden (Polizei, Gendarmerie, ANSSI) zu alarmieren, bevor technische Hilfe angefordert wird.

Wenn Sie einen Einbruch vermuten, finden Sie nützliche Informationen auf der Website des Regierungszentrums für Überwachung, Warnung und Reaktion auf Computerangriffe und auf der Regierungswebsite zum Thema Cyberkriminalität.

Denken Sie abschließend daran, dass der Verantwortliche gemäß DSGVO die CNIL innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes über diesen informieren muss.

Wenn durch den Datenabfluss voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht (beispielsweise beim Diebstahl sensibler Daten wie Gesundheitsdaten), muss die betroffene Person zusätzlich individuell informiert werden.

Die CNIL organisiert am 18. und 21. Oktober zwei Webinare zu Passwörtern und der Sicherheit von Systemen der künstlichen Intelligenz. Eine Anmeldung ist erforderlich. Details finden Sie auf der Website.

Und auch

Frankreich:

Am 8. September hat die CNIL verhängte eine Geldstrafe von 250.000 Euro gegen die GIE INFOGREFFE, Infogreffe veröffentlicht auf seiner Website den Dienst zur Verbreitung rechtlicher und offizieller Informationen über Unternehmen. Infogreffe wurde wegen der Nichteinhaltung mehrerer DSGVO-Verpflichtungen hinsichtlich der Aufbewahrungsfristen und der Sicherheit personenbezogener Daten sanktioniert.

Künstliche Intelligenz: der Staatsrat äußert sich zur Governance der zukünftigen europäischen Regulierung und veröffentlicht zwei Studien zu diesem Thema.

– In seinem Dokument vom 30. August 2022 befasst sich der Staatsrat mit der Frage der Qualität des öffentlichen Dienstes und legt den Grundstein für eine französische KI-Strategie.

Er fordert unter anderem die Stärkung der Befugnisse der CNIL und es formell für die Regulierung von KI-Systemen verantwortlich zu machen.

– Der Staatsrat befasste sich auch mit der Regulierung sozialer Netzwerke im Kontext der Entwicklung der KI.

Am 27. September veröffentlichte er eine Studie, in der er formulierte 17 Empfehlungen zum Rebalancing die Kräfte zugunsten der Nutzer, Stärkung der öffentlichen Behörden in ihrer Rolle als Regulierungsbehörde und Nachdenken über die sozialen Netzwerke von morgen.

Der CE schlägt außerdem die Schaffung einer verstärkten interministeriellen Drehscheibe vor, um die verschiedenen Fachbereiche des Staates in diesem Bereich zusammenzuführen. 

Europa:

Am 16. September 2022 wird der Europäische Datenschutzbeauftragte (EDSB) eine Klage eingereicht zu zwei Bestimmungen der neuen Verordnung, die es der Agentur Europol rückwirkend erlauben, Bürgerdaten zu verarbeiten auch ohne nachgewiesenen Zusammenhang mit kriminellen Aktivitäten.

Der EDSB hat den Gerichtshof der Europäischen Union aufgefordert, die beiden Bestimmungen dieser Verordnung, die am 28. Juni 2022 in Kraft getreten ist, für nichtig zu erklären.

In der zweiten Ausgabe seines TechSonar-Newsletter, Der EDSB wählt 5 neue Trends aus: Er entwickelt die Themen

  • die Erkennung von „Fake News“,
  • die digitale Währung der Zentralbank,
  • das Metaversum,
  • „Federated Learning“ und „Synthetische Daten“, zwei Themen im Zusammenhang mit künstlicher Intelligenz.

Auf dem Weg zu mehr Rechenschaftspflicht im Bereich KI?

Der Vorschlag der Europäischen Kommission zur Überarbeitung der Produkthaftungsrichtlinie zielt darauf ab, das Haftungssystem der EU an das digitale Zeitalter anzupassen.

Es wurde eine zusätzliche Richtlinie vorgeschlagen, die sich mit spezifischen Schäden befasst, die durch künstliche Intelligenz verursacht werden.

Die Haftung würde auch nach der Markteinführung des Produkts bestehen bleiben und Software-Updates, die Nichtbeachtung von Cybersicherheitsrisiken und maschinelles Lernen abdecken.

Mit anderen Worten: Die Entwickler wären weiterhin für das autonome Lernen von KI-Systemen und für die Bereitstellung von Updates bzw. deren Fehlen verantwortlich.

Die DSGVO kann im Rahmen von Wettbewerbsfällen berücksichtigt werden : Am 20. September veröffentlichte der Generalanwalt des EuGH, Herr Rantos, ein Gutachten, wonach die DSGVO von den Wettbewerbsbehörden bei der Beurteilung der marktbeherrschenden Stellung von Meta berücksichtigt werden kann.

MdEPs besuchten die irischen Behörden Datenschutz und scheinen mit ihrer Reise nicht ganz zufrieden zu sein: Die Delegation des Ausschusses für bürgerliche Freiheiten (LIBE) des Parlaments wollte ausdrücklich die Umsetzung und Anwendung der DSGVO prüfen, insbesondere die Funktionsweise des „One-Stop-Shop“-Mechanismus.

Der Delegationsleiter beschrieb die irische Datenschutzbehörde als „ein Engpass des Single-Window-Mechanismus“, und fügte hinzu, dass „eine unabhängige Überprüfung der Verfahren und Maßnahmen des DPC sinnvoll wäre.“

Am 13. September trafen sich Mitglieder der Digital Rights Group EDRi traf sich mit dem Europäischen Datenschutzausschuss (EDSA), um zu besprechen mögliche Verbesserungen bei der Anwendung der DSGVO.

EDRi weist darauf hin, dass die mangelnde Harmonisierung nationaler Bestimmungen und grenzüberschreitende Fälle nicht die einzigen Probleme sind.

Der NGO zufolge gibt es zahlreiche nationale Fälle, in denen Beschwerden und Verstöße gegen die DSGVO von den Aufsichtsbehörden nicht ordnungsgemäß bearbeitet wurden, vor allem aufgrund fehlender Ressourcen.

Zu den aufgetretenen Problemen zählten die Weigerung, einer Beschwerde nachzugehen, unerklärliche Verzögerungen bei der Bearbeitung einer Beschwerde, das Fehlen von Statusaktualisierungen und Schwierigkeiten, überhaupt eine Beschwerde einzureichen.

Der Berliner Beauftragte für Datenschutz und Freiheiten (BInBDI) verhängte gegen einen Einzelhandelskonzern eine Geldstrafe von 525.000 € wegen Verstoßes gegen Artikel 38(6) der DSGVO aufgrund der Interessenkonflikt ihres Datenschutzbeauftragten: Letzterer kontrollierte auch die Entscheidungen, die in seiner Funktion als Direktor des Unternehmens getroffen wurden.

Zum gleichen Thema, die isländische Datenschutzbehörde war der Ansicht, dass ein Interessenkonflikt vorlag, wenn ein Datenschutzbeauftragter gleichzeitig leitender Anwalt, stellvertretender Geschäftsführer oder Mitglied des Vorstands eines Unternehmens war.

Ein DSB kann jedoch auch die Position eines Compliance Officers innehaben.

In diesem Zusammenhang sei darauf hingewiesen, dass die Benennung und Funktion des DSB Gegenstand der nächsten koordinierten Überwachungsmaßnahme des Europäischen Datenschutzausschusses sein werden.

Die IHK Karlsruhe hob eine Entscheidung der Vergabekammer Baden-Württemberg auf, in der es unter anderem hieß, dass die bloße Tatsache, dass ein Datenverarbeiter eine Tochtergesellschaft einer Unternehmensgruppe aus einem Drittland sei, die Verpflichtung des Verarbeiters, personenbezogene Daten ausschließlich im Europäischen Wirtschaftsraum zu verarbeiten, nicht in Frage stelle.

Rumänische ODA einem Verleger eine Geldstrafe von 5.000 Euro auferlegt, Fehlen angemessener technischer und organisatorischer Maßnahmen, nach zwei Datenschutzverletzungen, von denen 10.739 seiner (ehemaligen) Kunden und 100 seiner Mitarbeiter und Partner betroffen waren.

Spanische ODA kam zu dem Schluss, dass ein Verantwortlicher gegen Artikel 6 der DSGVO verstoßen hatte, nachdem er ein Foto auf Instagram gepostet hatte ohne gültige Rechtsgrundlage.

Die Datenschutzbehörde verhängte gegen den Verantwortlichen eine Geldstrafe von 10.000 Euro.

Dänische ODA kam zu dem Schluss, dass eine politische Partei gemäß Artikel 6 Absatz 1 Buchstabe f der DSGVO über eine ausreichende Rechtsgrundlage verfügte, um gegen eines ihrer Mitglieder wegen mutmaßlicher sexueller Gewalt zu ermitteln.

Sie rügte jedoch den Verantwortlichen und den Auftragsverarbeiter, weil sie nicht nicht informiert haben die betroffene Person gemäß Artikel 14 Absatz 2 Buchstabe b über die Verarbeitung zu informieren.

Belgische ODA verhängte gegen ein medizinisches Labor eine Geldbuße von 20.000 € wegen Verstoßes gegen mehrere Pflichten gemäß Artikel 5 Absatz 1 Buchstabe f und Artikel 35 Absatz 3 der DSGVO aufgrund das Fehlen einer Sicherheits- und Vertraulichkeitsrichtlinie auf seiner Website und das Fehlen einer Datenschutz-Folgenabschätzung (nationale Entscheidungen, die von GDPRhub erfasst werden).

Das Datenzugriffsabkommen zwischen dem Vereinigten Königreich und den USA, das Ermittlern beider Länder den Zugriff auf elektronische Daten zu schweren Straftaten ermöglicht, trat am 3. Oktober in Kraft.

Der Text ermöglicht es britischen und amerikanischen Strafverfolgungsbehörden, Daten anzufordern, die von Telekommunikationsanbietern in ihren jeweiligen Rechtsräumen gespeichert werden.

Schweizer Kurierunternehmen Proton und Threema haben gemeinsam mit anderen ausländischen Unternehmen eine Charta unterzeichnet, die sie dazu verpflichtet, möglichst wenig Daten zu sammeln und Nachrichten zu verschlüsseln. Ziel ist es, dass sich auch andere Technologieunternehmen anschließen.

Internationales:

Nach einer neuen UN-Bericht (Büro für Menschenrechte) vom 16. September 2022Das Recht auf Privatsphäre des Einzelnen gerät durch die Nutzung vernetzter digitaler Technologien zunehmend unter Druck.

Dem Bericht zufolge handelt es sich bei diesen Technologien um gewaltige Instrumente der Überwachung, Kontrolle und Unterdrückung, die einer wirksamen Regulierung auf der Grundlage von Gesetzen und internationalen Menschenrechtsstandards bedürfen.

Der Bericht befasst sich mit drei Schlüsselbereichen:

  • Der Missbrauch von Spyware durch Behörden,
  • Die Schlüsselrolle starker Verschlüsselungsmethoden beim Schutz der Menschenrechte im Internet
  • Die Folgen der umfassenden digitalen Überwachung öffentlicher Räume, sowohl offline als auch online.

Dort Indonesisches Repräsentantenhaus seinen Gesetzentwurf zum Schutz personenbezogener Daten verabschiedet.

Googles Tool „Ergebnisse über Sie“ Einem Bericht des Unternehmens zufolge wird derzeit ein Tool eingeführt, das das Entfernen von Suchergebnissen mit persönlichen Informationen wie E-Mail-Adresse oder Telefonnummer vereinfachen soll.

Google hat diese Funktion Anfang des Jahres angekündigt und erklärt, dass sie bald in der Google-App verfügbar sein würde.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Entdecken Sie Viqtor®
de_DE_formalDE
fr_FRFR en_USEN es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_DE_formalDE