Notfallplanung bei Ransomware: Datenschutzvorbereitung

Ransomware-Angriffe stellen ein erhebliches Risiko und damit ein ernstzunehmendes Szenario für jedes Unternehmen dar. Die IT-Sicherheitsabteilungen halten für solche Vorfälle Notfallpläne bereit und führen regelmäßige Übungen durch. Doch wie sieht es mit dem Datenschutz aus? Datenschutzbeauftragte werden in der Regel erst involviert, wenn der Schaden bereits entstanden ist. Dabei sollte der Datenschutz integraler Bestandteil der Notfallplanung sein. Dieser Artikel stellt einen ersten Leitfaden dar, wie Datenschutz in die Notfallstrategie eingebunden werden kann.

Ransomware ist meist auch ein Datenschutzvorfall

Ransomware-Angriffe, die mit erpresserischen Absichten geführt werden, sind nicht nur eine IT-Sicherheitsfrage, sondern auch ein Datenschutzproblem. Sobald personenbezogene Daten betroffen sind, sei es etwa durch Verschlüsselung oder exfiltrierte Informationen, ist an die Meldepflicht nach Art. 33 f. DSGVO zu denken. Unternehmen müssen dann schnell handeln, die Auswirkungen bewerten und ggf. Behörden sowie Betroffene informieren. Doch oft fehlt es an einer klaren Struktur, wie die für den Datenschutz betrauten Personen im Unternehmen in den Notfallprozess eingebunden werden.

Wissen, wo die Daten sind

Ein zentrales Problem für den Datenschutz im Notfall wird das fehlende Wissen über die gespeicherten und die Art der Daten sein. Wenn die Daten nach einer gelungenen Ransomware-Attacke erstmal verschlüsselt sind und das Unternehmen nicht genau weiß, wo welche personenbezogene Daten gespeichert und welche davon ggf. besonders schützenswert sind, erschwert dies eine adäquate und vor allem schnelle Reaktion.

Präventive Maßnahmen: von IT-Sicherheit lernen

Präventive Maßnahmen sind ein probates Mittel, um solche Angriffe zu reduzieren. Gleichzeitig bereiten sich die IT-Sicherheitsabteilung und ggf. auch ein vorhandenes IT-Forensik-Team durch regelmäßige Notfallübungen, auf den Ernstfall vor. An diese beiden zeitlichen Aspekte kann der Datenschutz ansetzen und sich entsprechend vorbereiten.

Solche präventiven Maßnahmen sind:

• Alle Beteiligten sollten im Notfallplan vorab benannt werden, sodass bereits vor einem Vorfall klar ist, wer welche (datenschutzrechtliche) Rolle und Verantwortlichkeit im Krisenfall übernimmt.
• Schützenswerte Assets sollten identifiziert werden, sodass ebenfalls ersichtlich ist, welche, insb. besonders schützenswerte, personenbezogene Daten auf welchen Systemen liegen. Hier können Datenflussdiagramme einen genauen Überblick geben.
• Übung macht bekanntlich den Meister, deshalb sollte man sich schon vorab Notfallszenarien ausdenken und gemeinsam erproben, sodass auch ein Datenschutzteam in der Lage ist, besonnen und nach einem vorgegebenen Plan zu agieren.
• Das A und O ist die interdisziplinäre Zusammenarbeit. Das heißt, dass der Datenschutz nicht isoliert betrachtet werden darf. Daher sollten Übungen, weil ein Ransomware-Angriff für gewöhnlich viele Bereiche des Unternehmens betreffen wird, regelmäßig zusammen mit der IT- und/oder Forensikabteilung durchgeführt werden. Gerade beim Aufbau eines solchen Notfallkonzeptes ist dies besonders sinnvoll.
• Nicht zuletzt sollten alle Prozesse und Meldewege dokumentiert werden, sodass schnell ersichtlich ist, wer wen und mit welchen Informationen auf einen Vorfall aufmerksam macht. Ein klarer Ablaufplan hilft, Verzögerungen zu vermeiden.

Datenschutz aktiv in die Notfallplanung einbinden

Ein Notfallplan ist nur so gut wie die Vorbereitung hierauf. Die Festlegung einer entsprechenden Strategie, angelehnt an die IT-Sicherheit, kann helfen, erste Schritte in die richtige Richtung zu gehen. Unternehmen sollten daher nicht nur technische Maßnahmen gegen Ransomware ergreifen, sondern auch die mit dem Datenschutz betrauten Personen, wie den/die Datenschutzbeauftragte(n) aktiv in die Notfallplanung einbeziehen.

Webinar zum Thema „IT-Notfall Ransomware“

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „IT-Notfall Ransomware“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

Mittwoch, den 09.04.2025
von 15:00 bis 17:00 Uhr

Dienstag, den 23.09.2025
von 15:00 bis 17:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.