Jetzt anrufen: +49-8802-333 06 90
Datenschutz für Ihr Unternehmen
  • Rss
  • X
  • Youtube
  • LinkedIn
  • Home
  • Datenschutz
  • Hinweisgeberschutz
  • Angebote
    • KI Workshop
    • Transkription von Onlinemeetings
    • CyberRisikoCheck nach DIN SPEC 27076
  • Über uns
  • Blog
  • Kontakt
  • Suche
  • Menü Menü

Sicherheitsvorfall im Unternehmen

Ein Sicherheitsvorfall liegt schneller vor, als man denkt. Eh man sich versieht hat man eine Datenpanne im Unternehmen. Wir haben hier einen Fall aus dem wahren Leben. Sie sehen, wie schnell es gehen kann, was die Folgen sind und was Sie tun können.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Ein Sicherheitsvorfall aus dem wahren Leben

Der im Folgenden geschilderte Sicherheitsvorfall samt der damit verbundenen Datenpanne ist tatsächlich passiert. Das schlimmst daran ist allerdings, dass vergleichbare Sicherheitsvorfälle  immer wieder vorkommen. Dieser Beitrag soll Sie dazu ermutigen, manchmal etwas genauer hinzusehen und Abwehrmaßnahmen, oder -mechanismen im Unternehmen zu etablieren.

Was ist passiert?

Ein Mail-Account eines Mitarbeiters wurde „gehackt“. Über diesen Account wurden in der Nacht mehrere Hundert ziemlich gute Phishing-Mails an Kontakte aus dem Mail-Adressbuch versendet.

Wie wurde man auf den Vorfall aufmerksam?

Aufdeckt wurde der Vorfall durch einen anderen Mitarbeiter. Er stellte fest, dass eine Bestätigung der angeforderten Passwort-Änderung ausblieb. Daraufhin fragte er beim IT-Support nach. Die Passwort-Änderung kam übrigens von einer Phishing-Mail.

Erst danach stellte der IT-Dienstleister fest, dass es bereits in der Nacht eine Warnung des Exchange-Servers gab. Der Exchange-Server meldete Auffälligkeiten in besagten Mail-Account, denn dieser versendete auffällig viele E-Mails.

Wie konnte der Mail-Account gehackt werden?

Wie der Accoutn gehackt werden konnte, ist nicht ganz klar. Vermutlich wurde ein privates Passwort des Mitarbeiters im Internet geleakt, und zugleich für den Firmen-Account verwendet. (Das bedeutet, das selbe Passwort wurde für unterschiedliche Konten verwendet!) Anzeichen für eine Brute-Force Attacke, oder einen anderen Angriff lagen nicht vor. Weder in den Log-Files des Active Directroy, noch denen der Firewall gab es Auffälligkeiten.

Wie sehen die datenschutzrechtlichen Folgen aus?

Durch einen solchen Sicherheitsvorfall besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde für Datenschutz nach Art. 33 DSGVO. Die Frist für die Meldung eines solchen Sicherheitsvorfalls beträgt 72 Stunden ab Bekanntwerden des besagten Vorfalls. Der Grund hierfür liegt in dem Fremdzugriff auf den Account, bei dem man davon ausgehen muss, dass Unberechtigte Kenntnis von personenbezogenen Daten erhalten haben. Dies stellt eine Verletzung des Schutzes personenbezogener Daten dar, weil die Vertraulichkeit nicht mehr gewahrt war.

Es besteht in der Folge für die Verantwortliche Stelle die Pflicht, alle Betroffenen unverzüglich über die Datenpanne zu informieren (Art. 34 DSGVO). In der Regel sollte eine Benachrichtigung der Betroffenen in Abstimmung mit der zuständigen Aufsichtsbehörde stattfinden. Grund für die Benachrichtigung ist das mögliche hohe Risiko für die betroffenen Personen. Denn fällt jemand auf eine solche E-Mail herein, entstehen Risiken für die persönlichen Rechte und Freiheiten der Person.

Was kann gegen solche Sicherheitsvorfälle getan werden?

Sie verhindern einen solchen Sicherheitsvorfall durch unterschiedliche Maßnahmen – je mehr, desto besser:

  1. Schulen Sie Mitarbeiter zu Ihren Passwort-Richtlinien.
  2. Weisen Sie Ihre Mitarbeiter auf die Notwendigkeit von unterschiedlichen Passwörtern hin. Jeder Dienst wird mit einem eigenen Passwort abgesichert.
  3. Setzen Sie die Mehr-Faktor-Authentifizierung ein.
  4. Beachten Sie die Warnmeldungen Ihrer IT-Systeme -> permanentes Monitoring
  5. Begrenzen Sie ausgehende E-Mails (maximal x E-Mails pro Stunde) in Exchange oder Exchange-Online. So minimieren Sie Schäden.
  6. Betreiben Sie ein strenges Berechtigungsmanagement nach dem Need-to-know-Prinzip.

Warum bleibt ein ungutes Gefühl?

Trotz der sofortigen Sperrung des Mail-Accounts und dem Check des Systems bleibt ein ungutes Gefühl. Es ist nicht klar, ob der Angreifer nur E-Mails versendet hat. Möglich ist auch, dass der Angreifer andere Daten abgegriffen, oder eine Backdoor eingerichtet hat.

Dieser Beitrag ist ein Gastbeitrag unseres Kollegen Ralf Blinzig von https://www.blinzig-it.de/

Datenschutz, Informationssicherheit, Hinweisgeberschutz – unser komplettes Leistungsangebot:

Datenschutz, Informationssicherheit, Hinweisgeberschutz – unser komplettes Leistungsangebot:

Ihr Ansprechpartner Christian Schröder

Christian Schröder Datenschutzbeauftragter Datenschutzberatung

Kontaktieren Sie uns:

Jetzt E-Mail schreiben



Jetzt anrufen

Oder direkt kostenloses Erstgespräch buchen:

Kürzlich
  • Vollautomatisierte Angriffe durch KI?23. Juli 2024 - 11:13
  • Prüfaktion zum Auskunftsrecht und ihre Bedeutung für Unternehmen
    Die Prüfaktion zum Auskunftsrecht12. April 2024 - 16:12
  • Was der BayLDA Tätigkeitsbericht für Unternehmen bedeutet
    BayLDA Tätigkeitsbericht 20236. April 2024 - 20:33
  • Die Importanz des Tätigkeitsberichts vom Datenschutzbeauftragten
    Tätigkeitsbericht29. März 2024 - 16:03
  • Welche Bedeutung Datenschutz und KI in Unternehmen hat
    Datenschutz und KI27. März 2024 - 14:34
  • Schwellenwertanalyse und Datenschutz-Folgenabschätzung
    Datenschutz-Folgenabschätzung21. Februar 2024 - 15:48
Schlagworte
Art. 5 DSGVO Art. 32 DSGVO Auftraggeber Auftragnehmer Auftragsverarbeitung Auftragsverarbeitungsvertrag Buchempfehlung Datenpanne Datenschutz Datenschutzbeauftragter Datenschutzmanagment DSB DSGVO DSGVO Grundsätze Hinweisgeber Informationssicherheit IT-Sicherheit Jitsi Jitsi Meet Online-Meetings PDSG Rezension Schutzziel Sicherheit der Verarbeitung Sicherheitslücke Sicherheitsvorfall technische und organisatorische Maßnahmen TOM Verantwortlicher Zoom

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Anrufen: 08802 333 06 90

E-Mail: service@datenschutzfachmann.eu

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.
Christian SchröderIhr Datenschutz- & Informationssicherheitsbeauftragter
ZurückWeiter

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Inhalte AuftragsverarbeitungsvertragInhalte Auftragsverarbeitungsverträge Inhalte Auftragnehmer AuftraggeberRisiken Lösungen AuftragsverarbeitungenRisiken in der Auftragsverarbeitung
Nach oben scrollen