Deutsche Datenschutzbehörden führen im Rahmen ihrer gesetzlichen Aufgabe von Zeit zu Zeit Prüfungen bei Unternehmen und Organisationen durch. Diese Überprüfungen können sowohl gezielt aufgrund bestimmter Anlässe als auch ohne spezifischen Anlass erfolgen. Gegenwärtig haben Unternehmen, die in den vergangenen Jahren einen Ransomware-Angriff gemeldet hatten, Schreiben vom Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) erhalten.
Ziel der Ransomware-Nachprüfung ist die Abfrage des aktuellen Sicherheitsstands, ob Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO einen wirksamen Schutz gegen Ransomware-Angriffe gewährleisten.
Auszug aus dem Anschreiben:
„…Wir gehen davon aus, dass Sie im Rahmen der Aufarbeitung des Vorfalls ihrerseits ggf. die Sicherheitsmaßnahmen ausgeweitet oder zumindest angemessen angepasst haben. Im Rahmen der vorliegenden Ransomware-Nachprüfung möchten wir nun Ihren aktuellen Sicherheitsstand diesbezüglich abfragen. Die dazugehörigen Prüfunterlagen liegen diesem Schreiben bei (Anlage A). Mit dieser Prüfung bestätigen Sie uns damit bei Ihnen durchgeführte Maßnahmen zur Sicherheit nach Art. 32 DS-GVO. Falls bestimmte Maßnahmen bei Ihnen nicht ergriffen werden konnten, sind ergänzende Ausführungen zur Begründung möglich…“
Anschreiben und Fragebogen des BayLDA:
https://www.lda.bayern.de/media/pruefungen/Ransomware_Followup_Anschreiben.pdf