Quelle: www.telekom-presse.at

Ransomware, also die Verschlüsselung von User Daten und der en Freigabe nach Zahlung, ist zu einem der größten Probleme geworden. Dazu kommt die weitere Verbreitung von Geräten im Internet of Things (IoT), die neue Angriffsflächen bieten.

Das britische National Cyber Security Center (NCSC) und die National Crime Agency (NCA) warnen in einem gemeinsamen Bericht, dass die zunehmende Verbreitung vernetzter und internetfähiger Geräte zu einem Anstieg von gefährlichen Ransomware-Attacken führen könnte.

Neben klassischen Endgeräten könnten zukünftig auch Smartphones, Fitness-Tracker, SmartTVs oder andere IoT-Geräte – im privaten wie im Unternehmensumfeld – von Cyber-Erpressung betroffen sein.

Andy Norton, Risk Officer EMEA beim Endpoint Protection-Spezialisten SentinelOne sieht in der geplanten EU-Datenschutz-Grundverordnung einen weiteren Anreiz für Cyberkriminelle, mit Krypto-Trojanern anzugreifen:

„Ransomware hat sich in den letzten Monaten zum echten Problem entwickelt und die Ziele und Angriffsmöglichkeiten der Cyber-Erpresser werden dabei immer raffinierter, wie die aktuellen Berichte zeigen. Vor allem vor dem Hintergrund der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung, geraten Unternehmen zunehmend unter Druck.  Denn für Unternehmen, die von Datenschutzverstößen betroffen sind können dann Bußgelder in Höhe von bis zu 4 Prozent der Jahresumsätze bzw. bis zu 20 Millionen Euro verhängt werden. Ransomware wird für Cyberkriminelle dann noch interessanter werden. Denn anstatt die gestohlenen Daten im Dark Net direkt zum Verkauf anzubieten, können die Hacker für die Freigabe der verschlüsselten Unternehmensdaten ein Lösegeld fordern, das deutlich unter den Bußgeldern liegt. Unternehmen dürften dann gewillt sein, dieses zu bezahlen, schon alleine um ein Bekanntwerden des Cyberangriffs zu verhindern.“

Kommentar

Leider kann man sich in diesem Bereich nicht geschmeichelt fühlen, wenn man bestätigt wird. Meine Befürchtung ist, dass wir nicht nur durch Ransomware eine Abzockindustrie sehen werden. Die meisten denken bei der EU-Datenschutz-Grundverordnung (DSGVO), es geht nur um die Großen, was leider nur ein großer Irrtum ist. Die DSGVO gilt ab Mai 2018 für alle, also auch für Vereine, EPUs und KMUs, welche in Österreich 99% der Unternehmen ausmachen und wo, wie wir aus der IT-Sicherheit ja wissen, erhebliche Mängel bestehen. Das heißt, ich erwarte hier eine große Abzockindustrie, was nun mittlerweile bereits von verschiedenen Anwälten bestätigt wurde …

Findige Anwälte brauchen nur diese 99% anschreiben und darauf hinweisen, dass sie Datenschutzmängel haben und das mit sehr hohen Strafen sanktioniert wird. Sie können sich aber durch einen kleinen (annehmbaren) Betrag von einer Klage freikaufen. Nachdem der Datenverarbeiter beweisen muss, dass das nicht stimmt, bin ich davon überzeugt, dass dieses Geschäftsmodell sehr gut funktionieren wird, da sich wohl kaum jemand mit den Fakten geschweige den mit einem Anwalt und mit einer Klage auseinandersetzen möchte.

Der Schaden durch die oben dargestellten erwartbaren automatisierten Angriffe wird natürlich um ein vielfaches höher sein. Das bedeutet, wir werden hier wohl enorme, nicht-intendierte Nebeneffekte sehen, die ziemlich viel Ärger und Schaden erzeugen werden. Damit wird eine gute Absicht ziemlich konterkariert. Ganz abgesehen davon, dass sich die DSGVO kaum mit Industrie 4.0, Big Data und Co in Einklang bringen lässt. Siehe etwa Big Data: Die Revolution, die unser Leben verändern wird; Bei Losgröße 1 gibt es immer personenbezogene Daten und bei Big Data gibt es keine Anonymität bzw. ist ein Nutzen nur zu erzielen, wenn möglichst viele Daten zur Verfügung stehen, was ganz klar der Datensparsamkeit und anlassbezogene Speicherung widerspricht.