![Perplexity, ChatGPT Search & Co.: Kann Google jetzt einpacken? [Search Camp 367]](https://blog.bloofusion.de/wp-content/uploads/2025/02/Search-Camp-Canva-367.png)
![Die SEO-Debatte: Kann KI-generierter Content ranken? [Search Camp 366]](https://blog.bloofusion.de/wp-content/uploads/2025/02/Search-Camp-Canva-366.png)
![SEO-Monatsrückblick Februar 2025: Google AIO in DE, AI-Studien + mehr [Search Camp 365]](https://blog.bloofusion.de/wp-content/uploads/2025/03/Search-Camp-Canva-365.png)
:quality(80)/p7i.vogel.de/wcms/83/bd/83bd27f8e2bf6c4b2167705885e23852/0123480009v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/14/02/1402457cf7451b223709ef5ea1383db8/0112150345v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/bf/67/bf67e625efbd29b8e6198918cd2600c4/0122917139v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/2e/00/2e008f38b3044593fd9ada929af6bad1/0123639613v2.jpeg?#)
Notfallplanung bei Ransomware: Datenschutzvorbereitung
Ransomware-Angriffe stellen ein erhebliches Risiko und damit ein ernstzunehmendes Szenario für jedes Unternehmen dar. Die IT-Sicherheitsabteilungen halten für solche Vorfälle Notfallpläne bereit und führen regelmäßige Übungen durch. Doch wie sieht es mit dem Datenschutz aus? Datenschutzbeauftragte werden in der Regel erst involviert, wenn der Schaden bereits entstanden ist. Dabei sollte der Datenschutz integraler Bestandteil der […]
Ransomware-Angriffe stellen ein erhebliches Risiko und damit ein ernstzunehmendes Szenario für jedes Unternehmen dar. Die IT-Sicherheitsabteilungen halten für solche Vorfälle Notfallpläne bereit und führen regelmäßige Übungen durch. Doch wie sieht es mit dem Datenschutz aus? Datenschutzbeauftragte werden in der Regel erst involviert, wenn der Schaden bereits entstanden ist. Dabei sollte der Datenschutz integraler Bestandteil der Notfallplanung sein. Dieser Artikel stellt einen ersten Leitfaden dar, wie Datenschutz in die Notfallstrategie eingebunden werden kann.
Ransomware ist meist auch ein Datenschutzvorfall
Ransomware-Angriffe, die mit erpresserischen Absichten geführt werden, sind nicht nur eine IT-Sicherheitsfrage, sondern auch ein Datenschutzproblem. Sobald personenbezogene Daten betroffen sind, sei es etwa durch Verschlüsselung oder exfiltrierte Informationen, ist an die Meldepflicht nach Art. 33 f. DSGVO zu denken. Unternehmen müssen dann schnell handeln, die Auswirkungen bewerten und ggf. Behörden sowie Betroffene informieren. Doch oft fehlt es an einer klaren Struktur, wie die für den Datenschutz betrauten Personen im Unternehmen in den Notfallprozess eingebunden werden.
Wissen, wo die Daten sind
Ein zentrales Problem für den Datenschutz im Notfall wird das fehlende Wissen über die gespeicherten und die Art der Daten sein. Wenn die Daten nach einer gelungenen Ransomware-Attacke erstmal verschlüsselt sind und das Unternehmen nicht genau weiß, wo welche personenbezogene Daten gespeichert und welche davon ggf. besonders schützenswert sind, erschwert dies eine adäquate und vor allem schnelle Reaktion.
Präventive Maßnahmen: von IT-Sicherheit lernen
Präventive Maßnahmen sind ein probates Mittel, um solche Angriffe zu reduzieren. Gleichzeitig bereiten sich die IT-Sicherheitsabteilung und ggf. auch ein vorhandenes IT-Forensik-Team durch regelmäßige Notfallübungen, auf den Ernstfall vor. An diese beiden zeitlichen Aspekte kann der Datenschutz ansetzen und sich entsprechend vorbereiten.
Solche präventiven Maßnahmen sind:
- Alle Beteiligten sollten im Notfallplan vorab benannt werden, sodass bereits vor einem Vorfall klar ist, wer welche (datenschutzrechtliche) Rolle und Verantwortlichkeit im Krisenfall übernimmt.
- Schützenswerte Assets sollten identifiziert werden, sodass ebenfalls ersichtlich ist, welche, insb. besonders schützenswerte, personenbezogene Daten auf welchen Systemen liegen. Hier können Datenflussdiagramme einen genauen Überblick geben.
- Übung macht bekanntlich den Meister, deshalb sollte man sich schon vorab Notfallszenarien ausdenken und gemeinsam erproben, sodass auch ein Datenschutzteam in der Lage ist, besonnen und nach einem vorgegebenen Plan zu agieren.
- Das A und O ist die interdisziplinäre Zusammenarbeit. Das heißt, dass der Datenschutz nicht isoliert betrachtet werden darf. Daher sollten Übungen, weil ein Ransomware-Angriff für gewöhnlich viele Bereiche des Unternehmens betreffen wird, regelmäßig zusammen mit der IT- und/oder Forensikabteilung durchgeführt werden. Gerade beim Aufbau eines solchen Notfallkonzeptes ist dies besonders sinnvoll.
- Nicht zuletzt sollten alle Prozesse und Meldewege dokumentiert werden, sodass schnell ersichtlich ist, wer wen und mit welchen Informationen auf einen Vorfall aufmerksam macht. Ein klarer Ablaufplan hilft, Verzögerungen zu vermeiden.
Datenschutz aktiv in die Notfallplanung einbinden
Ein Notfallplan ist nur so gut wie die Vorbereitung hierauf. Die Festlegung einer entsprechenden Strategie, angelehnt an die IT-Sicherheit, kann helfen, erste Schritte in die richtige Richtung zu gehen. Unternehmen sollten daher nicht nur technische Maßnahmen gegen Ransomware ergreifen, sondern auch die mit dem Datenschutz betrauten Personen, wie den/die Datenschutzbeauftragte(n) aktiv in die Notfallplanung einbeziehen.
Webinar zum Thema „IT-Notfall Ransomware“
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „IT-Notfall Ransomware“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Mittwoch, den 09.04.2025
von 15:00 bis 17:00 Uhr
Dienstag, den 23.09.2025
von 15:00 bis 17:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
