Ransomware : Ein Lehrstück in digitaler Fahrlässigkeit bei Personalakten
Auch die Personalakte ist im digitalen Zeitalter angelangt. Sie ersetzt zunehmend papierbasierte Akten. Unternehmen sind zudem verpflichtet, bestimmte Personalund Entgeltunterlagen bis 2027 zu digitalisieren. Da auch Bestandsakten digitalisiert werden müssen, entsteht ein merkbarer Aufwand, der mit der Anzahl der Mitarbeitenden steigt. Abhilfe versprechen Dienstleister, die Personalakten einscannen und verschlagworten.
Auf den ersten Blick scheint die Beauftragung eines Scandienstleisters risikolos zu sein. Doch dann kommt an einem Freitagnachmittag ein Anruf eben jenes Dienstleisters. Sie fragen ungläubig nach: „Wie, Sicherheitsvorfall? Was meinen Sie damit, dass unsere Daten betroffen sind?“
Einmal nicht nachgefragt = Star im Darknet
Ransomwareangriffe passiert täglich. Eine kleine Lücke in der Sicherheitsstruktur oder die Unachtsamkeit von Beschäftigten reicht bereits aus, damit Angreifer Zugriff auf das System erhalten – und damit auf die firmeninternen Daten.
Ein Ransomware-Angriff beginnt damit, dass sich eine kriminelle Organisation Zugriff auf die Unternehmensserver und -netze verschafft. Dazu werden die klassischen Techniken wie das Ausnutzen von nicht gepatchten Sicherheitslücken oder Social Engineering verwendet. Hat der Angreifer Zugriff erlangt, installiert er Schadsoftware im Unternehmen. Der Schadcode kopiert anschließend die Daten auf den Server des Angreifers und verschlüsselt gleichzeitig die Originaldaten auf den Servern des Unternehmens. Somit hat der Angreifer alle Daten selbst zur freien Verfügung und das Unternehmen ist faktisch lahmgelegt. Das bietet sich natürlich hervorragend als Druckmittel für etwaige Geldforderungen an. Denn sollte die Summe nicht bezahlt werden, werden die Daten z. B. im Darknet an den Höchstbietenden versteigert oder einfach veröffentlicht. Bei Bezahlung besteht die Chance, die Daten entschlüsselt zu bekommen. In jedem Fall ist ein betroffenes Unternehmen mit Aufräumarbeiten für mehrere Wochen bis Monate beschäftigt.
Neben Sicherheitslücken in Router, Server und anderen Geräte sowie Softwareprogramme stellt auch die Unaufmerksamkeit von Beschäftigten ein Einfallstor dar. Beispielsweise klickt ein Beschäftigter auf einen Link in einer E‑Mail, der eine mit Schadcode versehene Webseite aufruft. Durch maschinelle Erstellungsmöglichkeiten in jeder beliebigen Sprache wirken solche E‑Mails inzwischen täuschend echt. Ein Klick auf einen vermeintlich harmlosen Link, den angeblich eine Kollegin schickte, geschieht erfahrungsgemäß sehr schnell.
Doch was passiert, wenn ein solcher Angriff nicht das eigene Unternehmen trifft, sondern einen beauftragten Dienstleister? In unserem Beispiel wurden die Personalakten an einen Scan-Dienstleister zur Digitalisierung übergeben. Bei einem erfolgreichen Angriff auf den Dienstleister fallen den Tätern die gescannten Personalakten in die Hände. Der Dienstleister wird unter Androhung der Veröffentlichung der Personalakten seiner Kunden erpresst.
Der Dienstleister steht vor der Wahl, der Erpressung nicht nachzugeben, um eine weitere Stärkung der kriminellen Organisation zu vermeiden, oder zu bezahlen, in der Hoffnung, dass die Täter auf eine Veröffentlichung verzichten. Das beauftragende Unternehmen schaut dem Treiben eher hilflos zu, wohl wissen, dass es für etwaige Bußgelder oder Schäden in Anspruch genommen werden kann.
Vor allem Personalakten enthalten nicht nur Stammdaten, wie den Namen oder die Kontaktdaten, sondern auch Daten mit merkbaren Schädigungspotenzial wie z. B. Kontodaten. Eine Offenlegung dieser Daten im Darknet führt aller Erfahrung nach zu Unmut in der Belegschaft und beschädigt das Vertrauen in den Arbeitgeber.
Regelmäßig ist das beauftragende Unternehmen verpflichtet, die betroffenen Beschäftigten nach Art. 34 Datenschutz-Grundverordnung (DS‑GVO) zu informieren, dass Personalakten in die Hände Unbefugter gelangt sind. Kurze Zeit später treffen die ersten Auskunftsersuchen nach Art. 15 DS‑GVO ein, da die Beschäftigten genauer erfahren wollen, welche Daten konkret in unbefugte Hände gelangt sind.
Das beauftragende Unternehmen hat zudem die Datenschutzaufsichtsbehörde über den Vorfall zu informieren.
Parallel dazu sind der Dienstleister und die von ihm beauftragten Spezialisten mit der Analyse des Angriffs und der Wiederherstellung der Daten und der Arbeitsfähigkeit beschäftigt. Die Beauftragung von Forensik-Experten ordnet sich monetär in einem fünfstelligen Bereich ein.
Die Konsequenzen sind langwierig und kostspielig. Das Vertrauen von etwaigen Kunden in die Geschäftsbeziehung wird beschädigt. Weiterhin ist auch der eventuelle Unmut der Belegschaft nicht zu unterschätzen. Mitarbeitende bringen dem Arbeitgeber einen großen Vertrauensvorschuss entgegen, der durch einen solchen Angriff beeinträchtigt werden kann. Da es sich bei unserem Beispiel um Personalakten handelt, kann von der Datenpanne jeder innerhalb des Unternehmens betroffen sein. Diese Unsicherheit nutzen die Angreifer aus, um somit noch mehr Druck aufzubauen und Geldforderungen in die Höhe zu treiben.
Auch abgeschlossene Aufträge können von Ransomware-Angriffen betroffen werden. Sollte die Dienstleistung abgeschlossen sein, sind die überlassenen Daten beim Dienstleister und seinen Unterauftragsverarbeitern bis zum Ende der Lieferkette zu löschen, sofern nichts anderes beauftragt wurde. Die Erfahrung lehrt, dass vertraglich vereinbarte Löschpflichten nicht immer eingehalten werden. Deshalb hat der Bundesgerichtshof (BGH, Urteil vom 11. November 2025 – VI ZR 396/24) jüngst entschieden, dass das auftraggebende Unternehmen verpflichtet ist, eine Bestätigung über die faktische Löschung einzufordern.
Wie hätte das alles verhindert werden können?
Hier gibt es mehr als nur eine Schraube, an der gedreht werden muss. Es ist wichtig, Mitarbeitende regelmäßig zu schulen und zu sensibilisieren. Vor allem maschinell erstellte E-Mails mit Schadsoftware oder Links zu Phishing-Seiten sind zunehmend schwieriger zu identifizieren.
Weiterhin muss in puncto IT-Security sichergestellt werden, dass Angriffe schnellstmöglich entdeckt und unterbunden werden, bevor größerer Schaden entstehen kann. Dazu ist es erforderlich, dass die bereits vorhandenen Log-Daten, die das Verhalten von PCs, Notebooks, Servern und Netzwerkgeräten aufzeichnen, zentral zusammengeführt und kontinuierlich ausgewertet werden. Fehlt es an einer solchen Auswertung, können sich Angreifer jahrelang unerkannt im Unternehmen aufhalten.
Jedes Computerprogramm, jeder Router, jede Firewall weist grundsätzlich Sicherheitslücken auf. Solche Lücken lassen sich zunehmend maschinell finden und ausnutzen. Deshalb ist es unabdingbar, die Mailinglisten der Hersteller dieser Produkte zu abonnieren und Updates binnen Stunden oder Tagesfrist einzuspielen. Eine immer wieder zu beobachtende Ursache für erfolgreiche Angriffe ist, dass die Patches der Hersteller nicht eingespielt wurden.
Auf Seiten des Auftraggebers muss noch einmal klar hervorgehoben werden, dass eine rein vertragliche Regelung der Löschung nicht automatisch zu einer gewissenhaften Umsetzung führt. Natürlich wäre das in einer perfekten, theoretischen Welt der Fall – in der Realität sieht dies jedoch meist anders aus. Das Oberlandesgericht (OLG) Dresden hat bereits im Oktober 2024 geurteilt, dass der Auftraggeber seinen Kontrollpflichten nachkommen und eine schriftliche Löschbestätigung nach Beendigung des Auftragsverhältnisses einholen muss (Aktenzeichen: 4 U 940/24). Ein Telefonat mit anschließender Notiz oder eine formlose E-Mail reicht hierfür nicht aus. Die Bestätigung hat insbesondere das Ziel, die eigene Dokumentation bei etwaigen Kontrollen sauber und lückenlos zu halten und den Dienstleister dazu zu verpflichten, die Daten tatsächlich zu löschen – sofern er keinen Vertragsbruch zugeben oder eine Falschaussage tätigen möchte.
Fazit
Damit Angreifer jeglicher Art möglichst wenig Angriffsfläche vorfinden, empfiehlt es sich, auch bei Auftragsverarbeitungen gründlich zu sein. Man vertraut einem Dritten die firmeninternen Daten an und liefert diese in weiten Teilen aus. Eine nachlässige Sicherheitsarchitektur kann sich schnell zu einem größeren Problem auswachsen. Die Absicherung der eigenen IT ist genauso wichtig wie die Absicherung bei Dienstleistern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu die Top 10 der Ransomware-Maßnahmen herausgegeben. [1] Bei Auftragsverarbeiter ist ein Nachweis der erfolgten Datenlöschung spätestens bei Auftragsende einzufordern.
Nina Müller und Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH
[1] BSI: Top 10 Ransomware-Maßnahmen. URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Analysenund-Prognosen/Ransomware-Angriffe/Top-10-Ransomware-Massnahmen/top10-ransomware-massnahmen_node.html, 20.05.2026



