Erstes Bußgeld in Deutschland nach der DSGVO

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat wegen eines Verstoßes gegen die in Art. 32 DSGVO normierte Datensicherheit am 21.11.2018 das erste Bußgeld in Höhe von 20.000€ verhängt.

Das Unternehmen hatte sich nach einem Hackerangriff an das LfDI gewandt, bei dem personenbezogene Daten von ca. 330.000 Nutzern entwendet und veröffentlich worden waren. Die betroffenen Benutzer wurden nach den Vorgaben der DSGVO informiert und das Unternehmen hat bereits innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer Sicherheits-IT umgesetzt.

LfDI lobt hervorragende Zusammenarbeit

Das mit 20.000€ der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO lange nicht ausgeschöpft ist, lag an der guten Zusammenarbeit des Unternehmens mit der LfDI. So wurden Datenverarbeitungs- und Unternehmensstrukturen sowie eigene Versäumnisse offen gelegt. Hierdurch wurde bekannt, dass Passwörter ohne eine Verschlüsselung oder Verfremdung gespeichert wurden. Damit verstieß das Unternehmen klar gegen die Obliegenheit der Datensicherheit im Rahmen der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit. a DSGVO. Neben der guten Zusammenarbeit wurde auch der Gesamtrahmen der finanziellen Belastung, wie Maßnahmen zur IT-Sicherheit  des Unternehmens bei der Festlegung des Bußgeldes beachtet. Wie Dr. Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg hierzu sagte, soll es nicht darum gehen möglichst hohe Bußgelder zu verteilen sondern den Datenschutz und die Datensicherheit von betroffenen Nutzern zu verbessern.

Petya: Globaler Schadangriff verbreitet sich über Unternehmen

Kurz nach WannaCry läuft bereits der nächste globale Angriff mit Schadsoftware. Die Angreifer nutzen vor allem Unternehmensnetzwerke. Anders als WannaCry verschlüsselt die aktuelle Petya-Kampagne die Daten nicht, sondern macht sie endültig unbrauchbar.

Unternehmen werden in diesen Tagen Opfer einer globalen Angriffswelle mit Schadsoftware, die vermutlich Teil einer „Petya-Kampagne“ ist, zu der auch die im letzten Mai weltweit auftretende WannaCry-Ransomware zu zählen ist. Als Petya wird eine ganze Familie an Schadcodes bezeichnet, der neben dem Trojaner Petya noch die Programme Goldeneye und Mischa angehören. Für die nun grassierende Schadsoftware existieren unterschiedliche Bezeichnungen. Eine ältere ist „NotPetya“, weil Sicherheitsforscher davon ausgingen, dass die aktuelle Schadsoftware doch nicht zur Petya-Familie zu zählen ist. Dies scheint jedoch der Fall zu sein, weshalb momentan der Name „exPetr“ relativ weit verbreitet ist.

Angriff und Verbreitung über Unternehmensnetzwerke

Die Angreifer haben sich vermutlich gezielt für die Verbreitung über Unternehmensnetzwerke entschieden. Nach dem jetzigen Kenntnisstand nutzt exPetr gezielt Unternehmen, die eine Buchungssoftware namens MeDoc verwenden. Die von den Angreifern entdeckte Sicherheitslücke scheint u.a. deshalb attraktiv zu sein, weil die ukrainische Regierung MeDoc für die Abwicklung von Zahlungen verwendet. Unternehmen, die Geschäftsbeziehungen zur Ukraine unterhalten bzw. dort Steuern entrichten sowie Bürger müssen MeDoc installieren, um Rechnungen stellen und Steuern bezahlen zu können. Von der Ukraine aus hat sich exPetr nach Russland ausgebreitet. Mittlerweile sind namhafte dänische wie deutsche Unternehmen und US-amerikanische Anwaltskanzleien betroffen.

Daten werden vernichtet, Entschlüsselung wohl nicht möglich

Anders als bei WannaCry werden die Daten der befallenen Computer nicht verschlüsselt, um sie für erpresserische Zwecke nutzen zu können. Zwar erscheint nach Befall des Computers eine entsprechende Mail. Abgesehen davon, dass die bei einem deutschen Mailanbieter hinterlegte Adresse der vermeintlichen Erpresser inzwischen abgeschaltet wurde, ist die generierte Zahlenfolge zu einer Bitcoin-Zahlung zufällig und damit nutzlos. Dies berichtet das IT-Sicherheitsunternehmen Kaspersky. Die Daten werden von exPetr zwar verschlüsselt. Eine sogenannte Installations-ID fehlt jedoch, so dass die Angreifer keinen Schlüssel zur Freigabe der Daten erstellen können. Damit werden die verschlüsselten Daten endgültig unbrauchbar. Der weltweite Schaden ist noch nicht bekannt, dürfte aber beträchtlich ausfallen.

Aktuell kann man betroffenen Unternehmen und Personen nur dazu raten, die befallenen Geräte vollständig vom Stromnetz zu entfernen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht Handlungsempfehlungen.

BSI Jahresbericht 2016: Bedrohungslage steigt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Jahresbericht 2016 veröffentlicht. Fazit: Die Bedrohungslage für Unternehmen steigt. Teils blieben Gefahrensituationen unverändert kritisch, teils stieg die Qualität der Bedrohungen.

Die Bedrohungslage für Unternehmen im Bereich der Cybersicherheit ist dem BSI zufolge im Jahr 2016 gestiegen. Besonders sprunghaft haben Angriffe mit sog. Ransomware zugenommen. Dabei handelt es sich um Trojaner, die durch das Verschlüsseln von Dateien diese oder den ganzen Computer unbrauchbar machen. In der Regel wird zur Entschlüsselung Geld gefordert. Ein IT-System oder Teile davon werden folglich unbrauchbar gemacht, um den Besitzer erpressen zu können.

Bekannte Schwachstellen bleiben unverändert kritisch

Laut dem Bericht bleibt das Risiko bekannter Schwachstellen unverändert kritisch. Davon betroffen sind u.a. die gängigsten Software-Anwendungen, wie Betriebssysteme, Office-Produkte, Plug-Ins und Webbrowser, und Hardwareprodukte wie Breitbandrouter.

Des Weiteren stehen (professionellen) Angreifern immer noch – teilweise enorme – Bot-Netze aus gekaperten Geräten weltweit zur Verfügung. Damit bleiben Angreifer in der Lage, massenhaft infizierte Mails zu versenden oder große Ressourcen für DDoS-Angriffe zu bündeln. Gerade infizierte Mails sind ein beliebtes Einfallstor für Ransomware.

Das BSI kritisiert zudem, dass Anwender auch Standardsicherheitsmaßnahmen oftmals unzureichend oder gar nicht umsetzen. Die Zunahme von anonymen Zahlungsmethoden wie Paysafe-Cards oder Kryptowährungen wie Bitcoin machen es kriminellen Angreifern leichter, Angriffswerkzeuge zu verkaufen oder Erpressungen durchzuführen.

Handlungsempfehlungen für Unternehmen

Für manche Probleme im Bereich der Cybersicherheit gibt es Lösungen. Zwar sind Unternehmen bei Sicherheitslücken in Betriebssystemen oder Programmen von Drittanbietern auf Sicherheitsupdates angewiesen. Allerdings führt nicht jedes Unternehmen zeitnah solche Updates durch oder überprüft seine Systeme auf eventuell festgestellte Sicherheitslücken. Hier können Maßnahmen mit kleinem Aufwand bereits effektiv sein.

Unverändert relevant bleibt dem Bericht zufolge die Schwachstelle Mensch. Angriffe mittels Social Engineering bleiben attraktiv, ebenso Angriffe auf die Unternehmens-IT mittels infizierter USB-Sticks, Keylogger oder Mails mit Schadprogrammen. Die besten Sicherheitssysteme und Richtlinien büßen an Wirkung ein, wenn Mitarbeiter sie ausschalten bzw. nicht einhalten. Awareness und Schulung der Mitarbeiter bleiben hierbei die erfolgreichsten Methoden, um sich wirksam vor Angriffen zu schützen.

Jeder Zweite schließt unbekannte USB-Sticks an

Sicherheitsforscher von Google haben erneut die Awareness hinsichtlich unbekannter USB-Sticks getestet. Das Ergebnis: de facto jeder nimmt gefundene USB-Sticks mit, die Hälfte schließt sie an einen Computer an und öffnet Dateien.

Die Gefahr, die von unbekannten USB-Sticks ausgeht, ist seit langem bekannt. Angreifer infizieren sie mit Malware, Zero Day-Exploits oder Trojanern. Die Folgen können gekaperte IT-Systeme, infizierte IT-Strukturen, Wirtschaftsspionage und Datendiebstahl sein. Sicherheitsforscher des „Anti-Abuse Team“ von Google haben zum wiederholten Male getestet, wie Menschen mit gefundenen unbekannten USB-Sticks umgehen und welches Sicherheitsrisiko sie mit ihrem Verhalten für ein Unternehmen darstellen können.

Fast jeder steckt USB-Sticks ein, die Hälfte öffnet Dateien

Für ihren Test legten die Sicherheitsforscher 297 USB-Sticks auf öffentlichen Plätzen aus: Parkplätze, Universitätsgelände, Hörsäle und Flure. Auf diesen Sticks befanden sich HTML-Dateien, u.a. als JPEG und Word getarnt, die unerkannt Informationen an die Rechner der Forscher übermittelten und so bestätigten konnten, falls sie angeschlossen wurden. Das Ergebnis lässt bzgl. einer vorherrschenden Awareness skeptisch stimmen. De facto jeder nahm den gefunden USB-Stick mit (98 %), ca. die Hälfte (45 %) aller Personen schloss den USB-Stick an einen Computer an und öffnete hinterlegte Dateien. Bei einer anschließenden Befragung wollen die Forscher die Motivation der Testpersonen ermitteln. Von den Befragten gaben 68 % an, dass sie den Besitzer über die gespeicherten Dateien ermitteln wollten. Fast jeder Fünfte (18 %) gab zu einfach neugierig gewesen zu sein. Am häufigsten wurden Sticks auf Parkplätzen mitgenommen (53 %). War an dem USB-Stick zusätzlich ein Schlüssel befestigt, öffneten die Finder am meisten vorhandene Bilddateien, mutmaßlich um den Besitzer identifizieren zu können.

Awareness steigern, Angreifer können gezielt vorgehen

Die Ergebnisse dieser Studie lassen u.a. zwei Schlüsse zu.

Awareness der Mitarbeiter steigern

Die Awareness für das Risiko unbekannter USB-Sticks muss erhöht werden. Die meisten Angreifer kompromittieren Sticks mit Schadprogrammen, die von einem Virenscanner nicht entdeckt werden. Sicherheitsforscher kritisieren weiter, dass die Computersysteme so programmiert sind, dass sie USB-Sticks nicht ausreichend überprüfen. Solange dieser Zustand anhält bleibt Unternehmen kaum eine andere Möglichkeit, als ihre Mitarbeiter gezielt auf den Umgang mit unbekannten Datenträgern zu schulen. Die nun veröffentliche Studie zeigt deutlich, dass viele Personen noch nicht ausreichend für die Thematik sensibilisiert sind und so ein Sicherheitsrisiko für ihr Unternehmen darstellen.

Angreifer können gezielt vorgehen

Angreifer können gezielt mit infizierten Datenträgern vorgehen und sie tun es auch. Die Studie zeigt Hochrisiko-Orte sowie Hochrisiko-Szenarien. Auf Parkplätzen sind Findern am meisten geneigt, USB-Sticks mitzunehmen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen, nutzen Angreifer Firmenparkplätze. Sind die Parkplätze mit einer Zutrittskontrolle gesichert und schafft es ein Angreifer diese zu überwinden (bspw. mittels Social Engineering), dürfe die Bereitschaft sogar noch höher ausfallen.

Sind an einem Stick persönliche Gegenstände befestigt, wie vorliegend ein Schlüssel, zeigen die Testpersonen eine hohe Bereitschaft zum Öffnen von Bilddateien. Angreifer können ein solches Verhalten gezielt nutzen, um den Finder gezielt zu manipulieren. Um die Wahrscheinlichkeit zu erhöhen, können besonders unverdächtige Gegenstände verwendet werden. Ein Plüschtier könnte auf einen kindlichen Besitzer hinweisen, Werbemittel der eigenen Firma auf einen Kollegen, der auf dem Parkplatz seinen Stick verloren hat. Beide Beispiele lassen vermuten, dass der Finder das Risiko als sehr gering bzw. nicht existent einstufen wird.

Ein größeres Risiko entsteht zusätzlich dadurch, dass Angreifer diese Methode mit weiteren, wie Social Engineering, kombinieren können. Um sog. Zero Day-Exploits (Schwachstellen eines Programms, die bei Entwicklung nicht berücksichtigt wurden) auszunutzen, muss i.d.R. das verwendete Betriebssystem bekannt sein. Um dies herauszufinden können Social Engineers unter Vorspielen falscher Tatsachen in ein Unternehmen eindringen und so in Erfahrung bringen, welche Betriebssysteme zum Einsatz kommen.

Wir empfehlen daher eine intensive Schulung der Mitarbeiter, das Erstellen und Bekanntmachen von Richtlinien im Unternehmen, regelmäßige Tests und möglichst immer up to date zu bleiben.