Meldung von Cyber- und Social Engineering-Angriffen

In unseren Beiträgen „Meldung einer Datenpanne“ und „Notwendigkeit der Meldung eines Ransomware-Angriffs“ sind wir darauf eingegangen, was zu befolgen ist, wenn in einem Unternehmen ein Datenschutzvorfall erkannt wird und anhand einiger Beispiele von Ransomware-Angriffen, wann die Datenschutzaufsichtsbehörde darüber zu informieren ist oder sogar eine Benachrichtigung an die betroffenen Personen erfolgen muss. Ransomware-Angriffe sind allerdings nicht die einzige Cyber-Gefahr für den Schutz personenbezogener Daten. Im Folgenden betrachten wir die Notwendigkeit einer Meldung von Cyber- und Social Engineering-Angriffen (Beispiele und Bewertungen auf denen des Entwurfs für „Richtlinien anhand von Beispielen zur Meldung eines Datenschutzvorfalls“ des Europäischen Datenschutzausschusses basierend) näher.

Hinweis: Beispiele und Bewertungen basieren auf denen des Entwurfs für „Richtlinien anhand von Beispielen zur Meldung eines Datenschutzvorfalls“ des Europäischen Datenschutzausschusses und spiegeln die Ansichten dessen wider.

Angriffe mit Verlust personenbezogener Daten

Bei einem Cyber-Angriff ist es nicht selten, dass Daten – speziell personenbezogene Daten – verloren gehen und deren Schutz und Sicherheit kompromittiert wird. Im Folgenden betrachten wir ein paar der vom EU-Datenschutzausschuss erläuterten Fälle aus Sicht einer notwendigen Meldung eines Datenschutzvorfalls näher.

Ableiten personenbezogener Daten von einem Karriereportal

Ein Beispielszenario besteht darin, dass Angreifer durch den Einsatz eines Codes Zugriff zu den personenbezogenen Daten auf einem Karriereportal erlangen. Auf einem Karriereportal sind schließlich zahlreiche personenbezogene Daten zu finden. In diesem Fall entdeckte der Verantwortliche bzw. das betroffene Unternehmen den Code einen Monat nach dessen Programmierung. Dabei wurde auch klar, dass der Angreifer bei der Programmierung eine automatische Spurenbeseitigung jeglichen Datenabflusses bewirkt hat.  Des Weiteren kann der Angreifer einen kontinuierlichen Überblick über die Datenverarbeitung behalten, insbesondere wenn es sich auf die personenbezogenen Daten bezieht. Aufgrund der Art der Daten, die der Angreifer einsehen kann, besteht ein hohes Risiko für die Rechte und Freiheiten für die betroffenen Personen, auch wenn der Verantwortliche keine sensiblen Daten verarbeitet. Demnach sind sowohl die betroffenen Personen über den Datenschutzvorfall zu informieren als auch die Datenschutzaufsichtsbehörde.

Ableiten von verschlüsselten Passwörtern von einer Webseite

Als Beispiel betrachten wir eine Webseite: die EU-Datenschutzausschuss-Richtlinien zu Beispielen über Datenschutzvorfälle nehmen Bezug zu einer Koch-Webseite. Der Webseiten-Betreiber hat die Individuen, die sich dafür registriert haben, ermutigt, als Nutzernamen Pseudonyme und nicht ihre E-Mail-Adresse zu nutzen. Passwörter werden mithilfe von Kryptographie verschlüsselt. Im Fall einer Hobby-Webseite kann man davon ausgehen, dass keine Daten besonderer Kategorien verarbeitet werden. Aufgrund dessen wäre eine Meldung an die Datenschutzaufsichtsbehörde und die Betroffenen nicht nötig. Handelte es sich um die Seite einer politischen Organisation, könnte ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen entstehen. Demnach wäre eine Meldung gegebenenfalls notwendig.

Massenhafte Angriffe auf eine Bank-Webseite mit gestohlenen Log-In-Daten

In diesem Fall erlangt der Angreifer auf anderem Weg Zugriff zu Log-In-Daten. Diese missbraucht er, um sie auf der Webseite einer Bank zum Anmelden zu benutzen und somit Zugang zu den Bankkonten zu erlangen. Wir nehmen an, dass der Angreifer versucht, auf mindestens 100.000 Konten zuzugreifen. Bei mehreren Tausenden hat er Erfolg. Dadurch hat er Zugriff auf Daten wie Namen, Geburtstage, Steuernummern usw. Transaktionen führt er nicht durch. Der Bank bewusst wird der Angriff durch eine Benachrichtigung durch das Sicherheitszentrum, welches eine hohe Anzahl an Anmeldeversuchen registriert. Da es sich hierbei um sensible Daten handelt, die durch den Angriff gefährdet sind, ist dieser Datenschutzvorfall sowohl an die Aufsichtsbehörde als – aufgrund besagter Sensibilität der Daten – auch an die Betroffenen zu melden.

Social Engineering oder auch zwischenmenschliche Beeinflussung

Unter Social Engineering sind Fälle zu verstehen, bei denen ein Angreifer eine Person dazu bringt, eine Tat zu begehen, aus der der Angreifer einen Vorteil erhält. Dabei wird in sehr vielen Fällen die Hilfsbereitschaft und das Pflichtbewusstsein einer Person missbraucht.

Identitätsdiebstahl

In dem Fallbeispiel ruft eine Person bei einem Telekommunikationsunternehmen an, um die Rechnungsadresse zu ändern. Aus unbekanntem Grund ist der Anrufer in Besitz von der Steuernummer und Adresse und kann Sicherheitsfragen somit beantworten. Als Folge dessen versandte das Telekommunikationsunternehmen zukünftige Rechnungen an die Adresse des Anrufers. Eine Informations-E-Mail erhielt der tatsächliche Kunde nicht. Als dieser sich aufgrund der fehlenden Rechnung meldet, erkennt das Telekommunikationsunternehmen den Datenschutzvorfall. Es handelt sich dabei um einen Vorfall, der sowohl der Aufsichtsbehörde als auch der betroffenen Person mitzuteilen ist. Das Risiko für die Rechte und Freiheiten des Betroffenen sind hoch. Aufgrund der Telefonrechnung lassen sich Verhaltensweisen erkennen, aber es sind auch die Kontaktpersonen bzw. deren Nummern ersichtlich. Die betroffene Person könnte auch Opfer weiterführender Angriffe werden (z. B. Stalking).

Weiterleitung von E-Mails

Gleiches gilt, wenn ein Hacker die E-Mail-Konten eines Unternehmens so konfiguriert, dass jegliche Kommunikation mit Stichworten wie „Rechnung“, „Zahlung“, Kreditkartenauthentifizierung“ etc. auf ein E-Mail-Postfach weitergeleitet wird, auf das er Zugriff hat. Anschließend gibt der Angreifer vor, ein Lieferant zu sein und sendet Rechnungen. Das Unternehmen bemerkt den Vorfall, als das Überwachungssystem eine Warnung bezüglich der betroffenen E-Mail-Ordner anzeigt. Wie der Angreifer allerdings Zugriff auf die E-Mail-Konten erhalten konnte, ist unbekannt. Die Vermutung liegt bei einer mit einem Virus infizierten E-Mail. Aufgrund der Weiterleitung von E-Mails basierend auf bestimmten Stichwörtern erhielt der Angreifer auch Zugriff auf Gehaltszahlungen. Diese enthielten Informationen wie Name, Familienstand, Anzahl der Kinder, Gehalt, Arbeitszeiten etc. Dabei handelt es sich um einen Datenschutzvorfall, der den Betroffenen und der Datenschutzaufsichtsbehörde zu melden ist. Schon allein deshalb, weil die Informationen zu Identitätsdiebstahl, Betrug, finanziellem Verlust und damit einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führen können.

Fazit

Ganz gleich, ob ein Datenschutzvorfall der Datenschutzaufsichtsbehörde gemeldet werden muss: Er muss intern dokumentiert werden.

Möglicherweise trügt der Schein, aber die Gefahr solcher Angriffe auf Unternehmen und betroffene Personen ist sehr hoch! Um den Eintritt eines Datenschutzvorfalls möglichst gering zu halten, müssen technische und organisatorische Maßnahmen ergriffen werden. Die Folgen eines Angriffs können vielfältig sein: Image-Schaden, Bußgelder, Schadenersatzansprüche betroffener Personen, eventuell sogar Existenzgefahr des Unternehmens. Umso wichtiger ist es, dem Datenschutz viel Beachtung zu schenken.

Bei der Einführung des Datenschutzes in Ihrem Unternehmen können wir helfen und bei Bedarf auch einen externen Datenschutzbeauftragten stellen. Kontaktieren Sie uns dazu.