Mit der Kisters AG wurde ein für Energieversorger relevanter Dienstleister Opfer eines Ransomware -Angriffs. Dies hat für die betroffenen Unternehmen gleich mehrseitige Handlungsempfehlungen zur Folge.
1. Prüfen, ob Sie betroffen sind!
An erster Stelle steht die Prüfung, ob es sich bei der Kisters AG um einen Dienstleister Ihres Unternehmens handelt. Die Kisters AG ist bekannt für die Herstellung und den Support zu einer Softwarelösung für Netzleitstellen.
Bei Unsicherheit darüber, ob Sie hier betroffen sind, sollten Sie Ihre Dienstleisterübersicht zur Rate ziehen. Diese finden Sie bei ISO 27001 oder -19-zertifizierten Unternehmen unter dem Prüfungspunkt A15 der Norm.
Die Kisters AG hat aber auch bereits alle betroffenen Unternehmen auf die eine oder andere Weise kontaktiert. Schauen Sie also den E-Mail-Eingang durch.
2. Ausmaß der Betroffenheit klären:
Wenn die Kisters AG ein Dienstleister Ihres Unternehmens ist, besteht nun ein Grund zur weiteren Recherche. Welche Dienstleistungen werden von der Kisters AG übernommen?
• Bestehen Wartungs- bzw. Supportzugriffe?
· Falls ja, wann war der letzte Zugriff und was wurde dort gemacht?
• Sind Daten in jüngerer Zeit an die Kisters AG übermittelt worden?
· Falls ja, welche Daten? Gibt es Login-Daten von Mitarbeitern Ihrer Organisation auf die Infrastruktur der Kisters AG?
• Hat die Kisters AG eventuell Verzeichnisse mit Kontaktdaten Ihrer Mitarbeiter oder Kunden?
3. Erste-Hilfe-Maßnahmen ergreifen.
Sofern noch nicht geschehen, sollten Sie bestehende Zugriffsoptionen der Kisters AG auf Ihr System umgehend abstellen oder blockieren. Sollte der Zugang bisher offen gewesen sein, empfiehlt sich eine Auswertung etwaiger Logdateien über solche Zugriffe.
Bei externen Zugriffen auf das System nach dem 10.11.2021, 21.00 Uhr, sollte das System umgehend komplett geprüft werden.
4. Einleitung von Abhilfemaßnahmen.
In den uns bisher bekannten Fällen waren zwei Maßnahmen empfehlenswert:
1. Alle Mitarbeiter, die Accounts für die Softwareprodukte der Kisters AG hatten, sollten die hier betroffenen Login-Daten zwingend wechseln müssen.
2. Alle Mitarbeiter in Ihrem Unternehmen sollten auf die Möglichkeit von nun eventuell folgenden Phishing-Angriffen vorbereitet werden. Denn alle Mitarbeiter, deren Kontaktdaten bei der Kisters AG hinterlegt waren (Vertrieb, Einkauf, Geschäftsleitung etc.), sind den Angreifern nun möglicherweise bekannt. Mit diesen Informationen können ggfs. im Wege des sogenannten Social Engineering gefälschte E-Mails erschaffen werden, die Ihre Mitarbeiter zum Öffnen von Dateien oder dem Aufruf von schädlichen Verlinkungen verleiten sollen.
Nutzen Sie daher nochmal diese Möglichkeit und erklären Ihren Mitarbeitern, woran gefälschte E-Mails erkennbar sind und was man machen muss, wenn man auf einen schädlichen Link geklickt haben sollte.
Gerne stellen wir unseren Auftraggebern zu diesen Zwecken Awareness-Material kostenfrei zur Verfügung.
5. Bestehende Meldepflichten prüfen – Muss ich melden?
Für diesen Fall gibt es zwei mögliche Meldewege. Rechtlich sind beide voneinander unabhängig zu betrachten.
Meldung an die Datenschutzaufsicht Eine Meldepflicht besteht gemäß Art. 33 DSGVO, wenn ein Risiko für die von der Datenpanne betroffenen Personen nicht ausgeschlossen werden kann.
Wir empfehlen im Zusammenhang mit der Kisters AG eine rein vorsorgliche Meldung an die zuständige Aufsichtsbehörde.
Diese Bewertung unterteilt sich in eine Bewertung der möglichen Auswirkungen und der Wahrscheinlichkeit des Eintritts dieser Auswirkungen.
Für die Bewertung der Auswirkungen kommt es immer auf die Sensibilität der betroffenen Daten an. Und hier liegt für diesen Fall der mögliche Wertungskonflikt. Die betroffenen Daten sind überwiegend dienstliche Kontaktdaten und entsprechende Logins. Da hier weder Zahlungsinformationen noch sensible Informationen über die betroffenen Personen betroffen sind, wäre eine Meldepflicht aus diesem Grund nicht gegeben. Es ist aber auch zu prüfen, was mit den betroffenen Daten angestellt werden kann. Wie oben bereits erwähnt, besteht nun die Möglichkeit, dass mit den Daten neue Ransomware-Angriffe auf die Kunden der Kisters AG erfolgen können. Diese mögliche Folge nehmen wir als Anlass zur vorsorglichen Meldung.
Das war aber nur die Auswirkung. Nachfolgend soll die Eintrittswahrscheinlichkeit betrachtet werden. Bei dem Datenschutzvorfall der Kisters AG kann noch immer nicht geklärt werden, ob auch personenbezogene Daten in Form von Kontakt- und Login-Daten der Mitarbeiter, aber auch ggfs. sogar Kundendaten der betriebenen Stromnetze mit betroffen sind. Die derzeitige Ransomeware-Praxis begnügt sich aber nicht mehr mit der bloßen Verschlüsselung der Daten auf den betroffenen Systemen. Vielmehr werden zu der Verschlüsselung Datenbestände von den betroffenen Systemen gestohlen. Mit der Veröffentlichung dieser Datensätze wird dann zusätzlich gedroht.
Es liegt daher ein Fall vor, bei dem personenbezogene Daten möglicherweise von einer unberechtigten Stelle übernommen / eingesehen wurden. Allein die Möglichkeit reicht im Regelfall bereits für die Meldung aus.
Man kann auf Basis dieser Betrachtung aber auch die gegenteilige Auffassung vertreten. In dem Fall beachten Sie aber die Pflicht zur internen Dokumentation. (siehe dazu unten). Aus unserer Sicht sind Meldungen an die Aufsichtsbehörde nicht schädlich. Ob eine Meldung nicht notwendigerweise hätte erfolgen müssen, ist ein Punkt, den die Aufsichtsbehörde für sich beurteilen kann. Eine aufsichtsbehördliche Maßnahme bis zum Bußgeld kann aber allenfalls für eine fehlende oder unzureichende Meldung erfolgen. (Oder wenn in der Meldung noch ganz andere Schwachstellen oder Verfehlungen offenbart werden müssen.) Für eine vorsorgliche Meldung gibt es kein Bußgeld.
Die Meldung muss im Regelfall durch den Verantwortlichen selbst (also das betroffene Unternehmen) bei der zuständigen Landesdatenschutzaufsicht erfolgen. Hierfür haben alle Aufsichtsbehörden Meldeportale auf ihren Webseiten eingerichtet.
Nehmen Sie eine Meldung am besten immer unter Beteiligung Ihres Datenschutzbeauftragten vor. Als secopan GmbH haben wir hier die nötige Erfahrung und können Ihnen auch durch den unklaren Dschungel der Fragen und Formulierungen helfen.
Meldung an das BSI Die Meldepflicht nach § 8b IV BSIG besteht derzeit formell für alle Energieversorgungsnetzbetreiber. Zu klären ist aber, wie es in diesem Einzelfall aussieht.
Nach unserer Auffassung wäre eine Meldung an das BSI dann erforderlich, wenn es zusätzliche Umstände hierfür gibt.
Kriterium ist gem. § 8b IV Nr. 2 BSIG, ob ein möglicher Ausfall von Systemen oder Prozessen zur Versorgungsicherheit eintreten könnte. Theoretisch könnte man annehmen, dass aufgrund der Eigenschaft der Kisters AG als Dienstleister für kritische Infrastrukturen bereits ein versorgungssicherheitsrelevantes System betroffen ist. Praktisch ist laut Angaben der Kisters AG das BSI bereits informiert, sodass eine Meldung aus diesem Grund keinen Mehrwert bieten würde.
Wenn es aber einen unmittelbar mit dem Vorfall im Zusammenhang stehenden Zugriff der Kisters AG auf die eigenen Systeme gab (z.B. jeder Supportzugriff nach dem 10.11.2021), dann wäre dies ein Umstand, der für eine mögliche Kompromittierung der eigenen Systeme sprechen würde. In diesem Fall wäre eine Meldung sinnvoll. Andere mögliche Gründe sollten mit dem Informationssicherheitsbeauftragten abgestimmt werden.
Ohne Meldung an das BSI geht es unten weiter.
Eine gute Übersicht zur Meldung beim BSI finden Sie auf der nachfolgenden Webseite https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Meldepflicht/faq-zur-meldepflicht_node.html
Keine Meldung Sofern die Meldung nicht erfolgt, ist jedoch noch nicht alles erledigt!
So läuft im Rahmen des eigenen ISMS der Prozess des Incidentmanagements nach A16 der ISO 27001 weiter. Erfolgt eine Meldung an das BSI oder die Datenschutzaufsicht nicht, dann wäre im Rahmen der internen Dokumentation auch mindestens ein Satz zur Begründung der Nichtmeldung an diese Behörden aufzunehmen.
Es sollte daher dokumentiert werden, aus welchen Gründen eine Meldepflicht nach Auffassung des ISMS-Teams nicht bestanden hat. Im Regelfall sollte man sich hier zu dem erkannten oder vermuteten Risiko äußern. Besteht kein relevantes Risiko kann man nach der erfolgten Dokumentation dann endlich die Füße hochlegen.
Anbei ein schneller Beispielsatz für die eigene Dokumentation:
Eine Meldung an das BSI ist nicht erfolgt.
Eine Meldepflicht besteht nach Auffassung des ISMS-Teams in Abstimmung mit dem ISB nicht. Die Voraussetzungen des § 8b IV BSIG liegen nicht vor. Weder sind relevante Systeme ausgefallen, noch besteht ein erhebliches Risiko für die Versorgungssicherheit.
6. Fristen beachten
Im Falle der Datenschutzaufsicht besteht eine Meldepflicht von 72h ab dem Zeitpunkt der Kenntnisnahme des Vorfalls. Die Information der Kisters AG über die mögliche Betroffenheit von personenbezogenen Daten erfolgte am 17.11.2021 nachmittags.
Eine spätere Meldung ist möglich, sollte aber begründet werden.
Im Falle des BSI müsste die Meldung umgehend erfolgen.