Sicherheitsvorfall im Unternehmen

Ein Sicherheitsvorfall liegt schneller vor, als man denkt. Eh man sich versieht hat man eine Datenpanne im Unternehmen. Wir haben hier einen Fall aus dem wahren Leben. Sie sehen, wie schnell es gehen kann, was die Folgen sind und was Sie tun können.

Ein Sicherheitsvorfall aus dem wahren Leben

Der im Folgenden geschilderte Sicherheitsvorfall samt der damit verbundenen Datenpanne ist tatsächlich passiert. Das schlimmst daran ist allerdings, dass vergleichbare Sicherheitsvorfälle  immer wieder vorkommen. Dieser Beitrag soll Sie dazu ermutigen, manchmal etwas genauer hinzusehen und Abwehrmaßnahmen, oder -mechanismen im Unternehmen zu etablieren.

Was ist passiert?

Ein Mail-Account eines Mitarbeiters wurde „gehackt“. Über diesen Account wurden in der Nacht mehrere Hundert ziemlich gute Phishing-Mails an Kontakte aus dem Mail-Adressbuch versendet.

Wie wurde man auf den Vorfall aufmerksam?

Aufdeckt wurde der Vorfall durch einen anderen Mitarbeiter. Er stellte fest, dass eine Bestätigung der angeforderten Passwort-Änderung ausblieb. Daraufhin fragte er beim IT-Support nach. Die Passwort-Änderung kam übrigens von einer Phishing-Mail.

Erst danach stellte der IT-Dienstleister fest, dass es bereits in der Nacht eine Warnung des Exchange-Servers gab. Der Exchange-Server meldete Auffälligkeiten in besagten Mail-Account, denn dieser versendete auffällig viele E-Mails.

Wie konnte der Mail-Account gehackt werden?

Wie der Accoutn gehackt werden konnte, ist nicht ganz klar. Vermutlich wurde ein privates Passwort des Mitarbeiters im Internet geleakt, und zugleich für den Firmen-Account verwendet. (Das bedeutet, das selbe Passwort wurde für unterschiedliche Konten verwendet!) Anzeichen für eine Brute-Force Attacke, oder einen anderen Angriff lagen nicht vor. Weder in den Log-Files des Active Directroy, noch denen der Firewall gab es Auffälligkeiten.

Wie sehen die datenschutzrechtlichen Folgen aus?

Durch einen solchen Sicherheitsvorfall besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde für Datenschutz nach Art. 33 DSGVO. Die Frist für die Meldung eines solchen Sicherheitsvorfalls beträgt 72 Stunden ab Bekanntwerden des besagten Vorfalls. Der Grund hierfür liegt in dem Fremdzugriff auf den Account, bei dem man davon ausgehen muss, dass Unberechtigte Kenntnis von personenbezogenen Daten erhalten haben. Dies stellt eine Verletzung des Schutzes personenbezogener Daten dar, weil die Vertraulichkeit nicht mehr gewahrt war.

Es besteht in der Folge für die Verantwortliche Stelle die Pflicht, alle Betroffenen unverzüglich über die Datenpanne zu informieren (Art. 34 DSGVO). In der Regel sollte eine Benachrichtigung der Betroffenen in Abstimmung mit der zuständigen Aufsichtsbehörde stattfinden. Grund für die Benachrichtigung ist das mögliche hohe Risiko für die betroffenen Personen. Denn fällt jemand auf eine solche E-Mail herein, entstehen Risiken für die persönlichen Rechte und Freiheiten der Person.

Was kann gegen solche Sicherheitsvorfälle getan werden?

Sie verhindern einen solchen Sicherheitsvorfall durch unterschiedliche Maßnahmen – je mehr, desto besser:

  1. Schulen Sie Mitarbeiter zu Ihren Passwort-Richtlinien.
  2. Weisen Sie Ihre Mitarbeiter auf die Notwendigkeit von unterschiedlichen Passwörtern hin. Jeder Dienst wird mit einem eigenen Passwort abgesichert.
  3. Setzen Sie die Mehr-Faktor-Authentifizierung ein.
  4. Beachten Sie die Warnmeldungen Ihrer IT-Systeme -> permanentes Monitoring
  5. Begrenzen Sie ausgehende E-Mails (maximal x E-Mails pro Stunde) in Exchange oder Exchange-Online. So minimieren Sie Schäden.
  6. Betreiben Sie ein strenges Berechtigungsmanagement nach dem Need-to-know-Prinzip.

Warum bleibt ein ungutes Gefühl?

Trotz der sofortigen Sperrung des Mail-Accounts und dem Check des Systems bleibt ein ungutes Gefühl. Es ist nicht klar, ob der Angreifer nur E-Mails versendet hat. Möglich ist auch, dass der Angreifer andere Daten abgegriffen, oder eine Backdoor eingerichtet hat.

Dieser Beitrag ist ein Gastbeitrag unseres Kollegen Ralf Blinzig von https://www.blinzig-it.de/