Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
@frederik Da hängt es viel von der Betrachtung ab:
- Wer garantiert, dass die andere Seite die Daten löscht?
- Falls das nicht passiert, kommt der Angreifer vielleicht wieder und will einen "Nachschuss"? Wie oft passiert das?
- Falls die Daten wirklich gelöscht werden, ist für diese Firma alles fein. Aber der Angreifer hat mehr Mittel, um andere anzugreifen. Das heißt, das Risiko für die Daten aller steigt. -
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
@frederik *sollten* nicht, aber *tun* die meisten, in der Hoffnung, dann zügig wieder Access zu haben.
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
Das Zwischenergebnis ist ja sehr eindeutig
Ich hab wohl leider eine Klarstellung vergessen, die mir erst durch den Kommentar von @eingemaischt bewusst wurde:
Es geht um den Fall, dass mit der Veröffentlichung von Daten gedroht wird, wenn nicht Betrag X bezahlt wird. Die reine Verschlüsselung von Daten ("klassische" Ransomware) soll hier mal außen vor bleiben. Es geht nur um die Offenlegung.
Wenn die Umfrage rum ist, schreib ich mal noch ein paar Gedanken auf, will aber nichts verfälschen
-
@frederik aus meiner Sicht sollte das Zahlen von Lösegeld unter Strafe (sprich Haftstrafe für den der es durchführt oder anordnet) gestellt werden. Das könnte die Erfolgsaussichten der Täter deutlich reduzieren und damit auch deren Motivation.
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
@frederik Lösegeld-Verbot inklusive Strafen würde das Geschäftsmodell möglicherweise austrocknen. Solange immer mal wieder Lösegeld bezahlt wird, ist das aber unmöglich.
-
@warteschleife @frederik könnte sein. Das müsste ein Rechtsgelehrter sagen.
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
@frederik kommt darauf an …
wie illegal die Daten vorher gesammelt wurden.
Waren es „wirklich legitime“ Gründe? Dann nicht bezahlen, dann sind nämlich die Cyberangriffe die Bösen.
War die Datensammlung selber schon (nach strengster DSGVO-Auslegung, natürlich) schon falsch? Dann bitte ganz schnell ganz viel bezahlen und alles vertuschen …
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
Ich habe mit „Nein“ gestimmt. Zum einen, weil eine Lösegeldzahlung keinerlei Garantie bietet, dass die Daten der Betroffenen nicht trotzdem veröffentlicht oder weiterverkauft werden. Zum anderen stärkt jede Zahlung das Geschäftsmodell der Täter und macht weitere Angriffe wahrscheinlicher – auch auf andere Organisationen. Aus meiner Sicht schützt man Betroffene am besten, indem man in Prävention, gute Backups, Incident Response und Transparenz investiert, statt Kriminelle zu finanzieren.
-
R relay@relay.an.exchange shared this topic
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
@frederik eine schwierige Entscheidung, da die daten vermutlich dennoch verkauft werden oder es zumindest könnten. "Ehrliche" Verbrecher gibt es eben nicht. Von daher eher nicht zahlen.
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
Unternehmen und auch nach Wirtschaftlichkeitsgrundsatz geführte öffentliche Stellen werden bei Erpressungen mit der Veröffentlichung von personenbezogenen Daten zu allererst rechnen: was kommt teurer?
Das Nicht-Zahlen kann im Fall von Gesundheitsdaten schon mal 65 Mio USD kosten, wie hier zB in einem Vergleich ausgehandelt: https://www.hipaajournal.com/lehigh-valley-health-network-blackcat-settlement/
Spannend wäre, ob Datenschutzaufsichtsbehörden, im Sinne des europarechtlichen effet util, eine Zahlung anordnen müssten, wenn man sie dazu im vorläufigen Rechtsschutz zwingt.
-
@frederik aus meiner Sicht sollte das Zahlen von Lösegeld unter Strafe (sprich Haftstrafe für den der es durchführt oder anordnet) gestellt werden. Das könnte die Erfolgsaussichten der Täter deutlich reduzieren und damit auch deren Motivation.
-
Interessante Diskussion zum #Datenschutz heute mit ein paar Kolleg*innen:
Sollten Unternehmen bei Cyberangriffen #Lösegeld bezahlen? Um das Risiko zumindest zu verringern, dass die Daten der Betroffenen auch noch veröffentlicht werden?
Ich weiß, ich hab hier nur ein paarundelfzig Follower und davon interessieren sich nur drölf für Datenschutz, daher gerne #Boost für Reichweite!
Wow, vielen Dank für die vielen Antworten und Kommentare!
Zum Schluss möchte ich noch eine kontroverse, aber wie ich finde durchaus interessante Stimme einwerfen.
Wenn man nur den Datenschutz betrachtet – also den Schutz der betroffenen Personen, nicht den Schutz des Unternehmens – könnte man sagen: Das Unternehmen muss zahlen.
Die Daten sind in den Händen der Kriminellen. *Der* Zug ist abgefahren. Was man jetzt noch beeinflussen kann: Die Chance, dass sie veröffentlicht/verkauft werden.
-
Wow, vielen Dank für die vielen Antworten und Kommentare!
Zum Schluss möchte ich noch eine kontroverse, aber wie ich finde durchaus interessante Stimme einwerfen.
Wenn man nur den Datenschutz betrachtet – also den Schutz der betroffenen Personen, nicht den Schutz des Unternehmens – könnte man sagen: Das Unternehmen muss zahlen.
Die Daten sind in den Händen der Kriminellen. *Der* Zug ist abgefahren. Was man jetzt noch beeinflussen kann: Die Chance, dass sie veröffentlicht/verkauft werden.
Klar, es sind Kriminelle. Vertrauen kann man denen nicht. Aber nach allem, was man so liest, funktioniert gerade in der Ransomware-Szene vieles über Reputation. D.h. das Risiko, dass die Daten veröffentlicht werden, sinkt zumindest, wenn man zahlt. Es wird nie 0, aber es ist geringer als wenn man nicht zahlt.
Natürlich vertritt niemand diese Auffassung öffentlich. Abgesehen davon, was das für einen Eindruck macht, liegen die Gefahren auf der Hand (Ihr habt sie hier ja schon schön beschrieben).
-
Klar, es sind Kriminelle. Vertrauen kann man denen nicht. Aber nach allem, was man so liest, funktioniert gerade in der Ransomware-Szene vieles über Reputation. D.h. das Risiko, dass die Daten veröffentlicht werden, sinkt zumindest, wenn man zahlt. Es wird nie 0, aber es ist geringer als wenn man nicht zahlt.
Natürlich vertritt niemand diese Auffassung öffentlich. Abgesehen davon, was das für einen Eindruck macht, liegen die Gefahren auf der Hand (Ihr habt sie hier ja schon schön beschrieben).
Spannender Punkt mit der „Datenschutzperspektive“ und der angeblichen Reputation der Gruppen. Ich sehe ein paar Haken, vor allem bei Prüfbarkeit und Langfristfolgen.
Hab das hier ausführlicher aufgedröselt:
„Ransomware: Wenn Daten zum Druckmittel werden“
️ https://www.secunis.de/ransomware-druckmittel/Wenn du Lust hast, schau gern in den Artikel rein – ich habe ihn tatsächlich durch deine geschilderte Situation als Anstoß geschrieben.
