Spannender Punkt mit der „Datenschutzperspektive“ und der angeblichen Reputation der Gruppen. Ich sehe ein paar Haken, vor allem bei Prüfbarkeit und Langfristfolgen.

Hab das hier ausführlicher aufgedröselt:

„Ransomware: Wenn Daten zum Druckmittel werden“

️ https://www.secunis.de/ransomware-druckmittel/

Wenn du Lust hast, schau gern in den Artikel rein – ich habe ihn tatsächlich durch deine geschilderte Situation als Anstoß geschrieben.

Natürlich vertritt niemand diese Auffassung öffentlich. Abgesehen davon, was das für einen Eindruck macht, liegen die Gefahren auf der Hand (Ihr habt sie hier ja schon schön beschrieben).

Zum Schluss möchte ich noch eine kontroverse, aber wie ich finde durchaus interessante Stimme einwerfen.

Wenn man nur den Datenschutz betrachtet – also den Schutz der betroffenen Personen, nicht den Schutz des Unternehmens – könnte man sagen: Das Unternehmen muss zahlen.

Die Daten sind in den Händen der Kriminellen. *Der* Zug ist abgefahren. Was man jetzt noch beeinflussen kann: Die Chance, dass sie veröffentlicht/verkauft werden.

Unternehmen und auch nach Wirtschaftlichkeitsgrundsatz geführte öffentliche Stellen werden bei Erpressungen mit der Veröffentlichung von personenbezogenen Daten zu allererst rechnen: was kommt teurer?

Das Nicht-Zahlen kann im Fall von Gesundheitsdaten schon mal 65 Mio USD kosten, wie hier zB in einem Vergleich ausgehandelt: https://www.hipaajournal.com/lehigh-valley-health-network-blackcat-settlement/

Spannend wäre, ob Datenschutzaufsichtsbehörden, im Sinne des europarechtlichen effet util, eine Zahlung anordnen müssten, wenn man sie dazu im vorläufigen Rechtsschutz zwingt.

Ich habe mit „Nein“ gestimmt. Zum einen, weil eine Lösegeldzahlung keinerlei Garantie bietet, dass die Daten der Betroffenen nicht trotzdem veröffentlicht oder weiterverkauft werden. Zum anderen stärkt jede Zahlung das Geschäftsmodell der Täter und macht weitere Angriffe wahrscheinlicher – auch auf andere Organisationen. Aus meiner Sicht schützt man Betroffene am besten, indem man in Prävention, gute Backups, Incident Response und Transparenz investiert, statt Kriminelle zu finanzieren.

wie illegal die Daten vorher gesammelt wurden.

Waren es „wirklich legitime“ Gründe? Dann nicht bezahlen, dann sind nämlich die Cyberangriffe die Bösen.

War die Datensammlung selber schon (nach strengster DSGVO-Auslegung, natürlich) schon falsch? Dann bitte ganz schnell ganz viel bezahlen und alles vertuschen …

Ich hab wohl leider eine Klarstellung vergessen, die mir erst durch den Kommentar von @eingemaischt bewusst wurde:

Es geht um den Fall, dass mit der Veröffentlichung von Daten gedroht wird, wenn nicht Betrag X bezahlt wird. Die reine Verschlüsselung von Daten ("klassische" Ransomware) soll hier mal außen vor bleiben. Es geht nur um die Offenlegung.

Wenn die Umfrage rum ist, schreib ich mal noch ein paar Gedanken auf, will aber nichts verfälschen

- Wer garantiert, dass die andere Seite die Daten löscht?
- Falls das nicht passiert, kommt der Angreifer vielleicht wieder und will einen "Nachschuss"? Wie oft passiert das?
- Falls die Daten wirklich gelöscht werden, ist für diese Firma alles fein. Aber der Angreifer hat mehr Mittel, um andere anzugreifen. Das heißt, das Risiko für die Daten aller steigt.

Im Zweiten Fall ist der Begriff sogar falsch, weil die Gefahr eben nicht ge"löst" wird.

ein gewisser noob namens fefe würde sagen die sollen verdient pleite gehen wenn sie ihre sicherheit auf kosten der kunden so sträflich vernachlässigt haben und den kunden schadensersatz zahlen kann da helfen und dann sollte man sie brandmarken und nie nie nie wieder irgendetwas von denen kaufen oder so ähnlich...

Ich würde "Nein" als Default ansehen, aber grundsätzlich eine Abwägung gegen die Interessen der Betroffenen zulassen.

Allerdings würde ich die Hürde SEHR hoch legen, zumal Zahlungen ja auch keine Garantie geben. Spontan ist mir keine realistische Situation eingefallen, in der ich sagen würde: Ja, da sollte man zahlen.