Sicherheitsvorfall im Unternehmen

Ein Sicherheitsvorfall liegt schneller vor, als man denkt. Eh man sich versieht hat man eine Datenpanne im Unternehmen. Wir haben hier einen Fall aus dem wahren Leben. Sie sehen, wie schnell es gehen kann, was die Folgen sind und was Sie tun können.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Ein Sicherheitsvorfall aus dem wahren Leben

Der im Folgenden geschilderte Sicherheitsvorfall samt der damit verbundenen Datenpanne ist tatsächlich passiert. Das schlimmst daran ist allerdings, dass vergleichbare Sicherheitsvorfälle  immer wieder vorkommen. Dieser Beitrag soll Sie dazu ermutigen, manchmal etwas genauer hinzusehen und Abwehrmaßnahmen, oder -mechanismen im Unternehmen zu etablieren.

Was ist passiert?

Ein Mail-Account eines Mitarbeiters wurde „gehackt“. Über diesen Account wurden in der Nacht mehrere Hundert ziemlich gute Phishing-Mails an Kontakte aus dem Mail-Adressbuch versendet.

Wie wurde man auf den Vorfall aufmerksam?

Aufdeckt wurde der Vorfall durch einen anderen Mitarbeiter. Er stellte fest, dass eine Bestätigung der angeforderten Passwort-Änderung ausblieb. Daraufhin fragte er beim IT-Support nach. Die Passwort-Änderung kam übrigens von einer Phishing-Mail.

Erst danach stellte der IT-Dienstleister fest, dass es bereits in der Nacht eine Warnung des Exchange-Servers gab. Der Exchange-Server meldete Auffälligkeiten in besagten Mail-Account, denn dieser versendete auffällig viele E-Mails.

Wie konnte der Mail-Account gehackt werden?

Wie der Accoutn gehackt werden konnte, ist nicht ganz klar. Vermutlich wurde ein privates Passwort des Mitarbeiters im Internet geleakt, und zugleich für den Firmen-Account verwendet. (Das bedeutet, das selbe Passwort wurde für unterschiedliche Konten verwendet!) Anzeichen für eine Brute-Force Attacke, oder einen anderen Angriff lagen nicht vor. Weder in den Log-Files des Active Directroy, noch denen der Firewall gab es Auffälligkeiten.

Wie sehen die datenschutzrechtlichen Folgen aus?

Durch einen solchen Sicherheitsvorfall besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde für Datenschutz nach Art. 33 DSGVO. Die Frist für die Meldung eines solchen Sicherheitsvorfalls beträgt 72 Stunden ab Bekanntwerden des besagten Vorfalls. Der Grund hierfür liegt in dem Fremdzugriff auf den Account, bei dem man davon ausgehen muss, dass Unberechtigte Kenntnis von personenbezogenen Daten erhalten haben. Dies stellt eine Verletzung des Schutzes personenbezogener Daten dar, weil die Vertraulichkeit nicht mehr gewahrt war.

Es besteht in der Folge für die Verantwortliche Stelle die Pflicht, alle Betroffenen unverzüglich über die Datenpanne zu informieren (Art. 34 DSGVO). In der Regel sollte eine Benachrichtigung der Betroffenen in Abstimmung mit der zuständigen Aufsichtsbehörde stattfinden. Grund für die Benachrichtigung ist das mögliche hohe Risiko für die betroffenen Personen. Denn fällt jemand auf eine solche E-Mail herein, entstehen Risiken für die persönlichen Rechte und Freiheiten der Person.

Was kann gegen solche Sicherheitsvorfälle getan werden?

Sie verhindern einen solchen Sicherheitsvorfall durch unterschiedliche Maßnahmen – je mehr, desto besser:

  1. Schulen Sie Mitarbeiter zu Ihren Passwort-Richtlinien.
  2. Weisen Sie Ihre Mitarbeiter auf die Notwendigkeit von unterschiedlichen Passwörtern hin. Jeder Dienst wird mit einem eigenen Passwort abgesichert.
  3. Setzen Sie die Mehr-Faktor-Authentifizierung ein.
  4. Beachten Sie die Warnmeldungen Ihrer IT-Systeme -> permanentes Monitoring
  5. Begrenzen Sie ausgehende E-Mails (maximal x E-Mails pro Stunde) in Exchange oder Exchange-Online. So minimieren Sie Schäden.
  6. Betreiben Sie ein strenges Berechtigungsmanagement nach dem Need-to-know-Prinzip.

Warum bleibt ein ungutes Gefühl?

Trotz der sofortigen Sperrung des Mail-Accounts und dem Check des Systems bleibt ein ungutes Gefühl. Es ist nicht klar, ob der Angreifer nur E-Mails versendet hat. Möglich ist auch, dass der Angreifer andere Daten abgegriffen, oder eine Backdoor eingerichtet hat.

Dieser Beitrag ist ein Gastbeitrag unseres Kollegen Ralf Blinzig von https://www.blinzig-it.de/

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Inhalte AuftragsverarbeitungsvertragInhalte Auftragsverarbeitungsverträge Inhalte Auftragnehmer AuftraggeberRisiken Lösungen AuftragsverarbeitungenRisiken in der Auftragsverarbeitung