In den letzten Jahren sind Ransomware-Angriffe zu einer der größten Cyberbedrohungen für Unternehmen in Brasilien und weltweit geworden. Angesichts dieses Szenarios erklärt der auf Digitalrecht spezialisierte Anwalt Gabriel Araújo Souto von der Kanzlei PG Advogados die wesentlichen rechtlichen Schritte, die Unternehmen und Fachleute ergreifen müssen, wenn sie Opfer dieser Art von Verbrechen werden.
„Der erste Fehler, den viele Unternehmen machen, ist das Handeln ohne spezialisierte rechtliche Beratung“, warnt der Anwalt. Laut ihm führt die Eile bei der Datenwiederherstellung viele Organisationen dazu, vorschnelle Entscheidungen zu treffen, die die rechtliche Situation verschärfen können. „Lösegeldzahlungen sind zum Beispiel in Brasilien kein Verbrechen, müssen jedoch mit Vorsicht betrachtet werden, da sie ethische und rechtliche Implikationen haben können“, erklärt er.
Der Spezialist hebt drei rechtliche Maßnahmen hervor, die nach einem Angriff erforderlich sind
1. BeweissicherungDas Abschalten der betroffenen Systeme ohne technische Anleitung kann wichtige Beweismittel für Ermittlungen zerstören;
2. Benachrichtigung an die BehördenDie LGPD (Gesetz zum Schutz personenbezogener Daten) verlangt eine Mitteilung an die ANPD (Nationale Datenschutzbehörde) innerhalb von 72 Stunden bei Datenlecks;
3. VertragsanalyseEs ist essenziell, Verpflichtungen mit Kunden und Lieferanten hinsichtlich des Datenschutzes zu überprüfen.
Zur Prävention empfiehlt Souto, dass Unternehmen spezifische Klauseln zur Cybersicherheit in Verträge mit IT-Lieferanten aufnehmen; einen Incident-Response-Plan entwickeln, der den gesetzlichen Anforderungen entspricht; und regelmäßige Audits durchführen, um die Einhaltung der Datenschutzbestimmungen zu überprüfen.
Die rechtliche Seite der digitalen Sicherheit wird oft vernachlässigt, bis es zu spät ist. Präventive Beratung kann nicht nur die Schäden des Angriffs selbst verhindern, sondern auch die rechtlichen Konsequenzen, die Jahre andauern können, erklärt der Experte.
