Archive for Oktober 5th, 2020

Verschlüsselung – Vorsicht vor Hackerangriffen!

Posted by Erich von Maurnböck

Wissen Sie über Hackerangriffe Bescheid und darüber, wie Sie diese verhindern? Auch das ist ein wichtiger Bereich des Datenschutzes und der IT-Sicherheit. Wieso es Hackern nach wie vor so oft gelingt, ganze Großkonzerne lahmzulegen, und was man dagegen machen kann, können Sie in diesem Beitrag lesen.

Hackerangriffe auf Unternehmen

Was haben der Uhrenmacher „Swatch Group“, die französische Großreederei CMA CMG, der größte private Spitalsbetreiber und ein US-amerikanischer Versicherungsbroker gemeinsam? Was wie ein schlechter Witz beginnt, endet mit schweren IT-Pannen. Nun die „Pointe“: All diese Unternehmen wurden Ende September innerhalb einer Woche erfolgreich von Verschlüsselungsverbrechern angegriffen.

Wie kam es zu den erfolgreichen Angriffen? Details dazu liegen aktuell noch kaum vor, allerdings wurde bereits bekannt, dass mindestes zwei der betroffenen Unternehmen veraltete Betriebssysteme (in Einwahl-Gateways und Applikationsservern von Citrix bzw. F5 Networks) eingesetzt wurden. Diese hatten schwere Sicherheitslücken, welche damals noch nicht (durch Patches) beseitigt wurden.

Mittlerweile sind die meisten der Systeme am aktuellen Stand, trotzdem kann es sein, dass sie noch immer „offen“ sind. Der Grund liegt darin, dass nach bereits erfolgten erfolgreichen Angegriffen sogenannte Backdoors (=“Hintertüren“) installiert wurden. Das ist eine Malware, durch welche die Netzwerke für Angriffe offen bleiben. Somit tut sich hier ein neuer Schwarzmarkt auf, auf dem solche Zugänge zu großen Netzen inklusive dem geeigneten Schadsoftware-Paket an Erpresserbanden verkauft werden.

Vorgehensweise von Hackerangriffen

Zu Beginn werden Mengen an Daten aus dem betroffenen System kopiert und die Original-Datensätze beziehungsweise Datenbanksysteme werden verschlüsselt. Anschließend wird eine enorme Summe – mittlerweile meist im zweistelligen Millionenbereich – gefordert, um eine Wieder-Entschlüsselung der Daten zu erreichen.

Buchungssysteme sowie Gateway-Server sind direkt mit den unternehmensinternen Servern und Datenbanken verbunden und verbinden diese mit Partnerfirmen und -agenturen sowie mit eigenen Niederlassungen.
Genau so wurde beispielsweise der Konzern Merit gehackt. Dieser hatte im Laufe der letzten Jahre die IT-Systeme der Tochterfirmen– inklusive der CMA CMG als größte – vereinheitlicht. Grundsätzlich galt das implementierte System als sehr sicher – bis eine enorme Sicherheitslücke bekanntwurde: Beim Login mit dem Benutzernamen „NOBODY“ wurde kein Passwort abgefragt und auf diesem Weg wurden jedem, der damit einstieg, Administratorenrechte zuteil sowie ein Kommandozeilenprogramm zugänglich.

Hackerangriffe von Banden

Auch der größte Spitalsbetreiber der USA – Universal Health Services – mit 400 Kliniken, wurde erpresst. Kurz zuvor hatte es den Schweizer Uhrenmacher Swatch Group erwischt.

Ein besonders schwerwiegender Fall ereignete sich in der Uniklinik Düsseldorf und forderte sogar ein Todesopfer. Die Hackerbande hatte es auf die Heinrich-Heine-Universität Düsseldorf abgesehen, erwischte jedoch unbeabsichtigt das größte Notfallkrankenhaus in der Umgebung. Als die Täter darauf hingewiesen wurden, stellten sie die Schlüssel zur Verfügung und machten sich aus dem Staub.

Die Angreifer können keineswegs als homogene Gruppe angesehen werden – die Fähigkeiten und Fertigkeiten der Banden unterscheiden sich gravierend. Während manche eher ungeschickt und wenig erfolgsversprechend vorgehen, agieren andere äußerst professionell und erreichen eine Auszahlung der geforderten Lösegelder.

Unsere Praxistipps

Deutschland: DSGVO-Strafe über 35 Millionen Euro gegen H&M

Posted by Birgit von Maurnböck

Sind Sie sicher, dass Sie ausschließlich Daten erheben und speichern, deren Verarbeitung gerechtfertigt ist? H&M muss aufgrund eines Verstoßes gegen diesen Grundsatz nun einer DSGVO-Strafe von 35 Millionen Euro entgegensehen. Lesen Sie in diesem Beitrag, welches Vergehen sich die Modekette genau vorzuwerfen hat.

Fall H&M

H&M ist eines der bekanntesten Textilhandelsunternehmen weltweit und dürfte wohl jedem ein Begriff sein. Aktuell ist die Kette jedoch nicht durch einen besonders aufregenden Werbespot oder durch herausragende Rabatte in aller Munde – sondern wegen einer schweren Datenpanne, die bereits vor einigen Monaten bekannt wurde.

Das Unternehmen hat über Jahre hinweg Daten der Beschäftigten erhoben und gespeichert, die nicht in Zusammenhang mit dem Arbeitsverhältnis standen, sondern das Privatleben der Arbeitenden betrafen.
Nach Urlauben oder Krankenständen wurden sogenannte „Welcome Back Talks“ geführt, in denen die Betroffenen unter anderem über konkrete Erlebnisse und Ereignisse in Urlauben oder über genaue Diagnosen sowie Krankheitssymptome befragt wurden. Diese „Besprechungen“ fanden beispielsweise als lockere Einzelgespräche im Gang statt. Dabei wurden von Problemen im Privatleben über religiöse Bekenntnisse bis hin zum Gesundheitszustand umfangreiche Daten erhoben und anschließend gespeichert.

Diese waren dann bis zu 50 Führungskräften zugänglich und wurden zu einer systematischen Auswertung der persönlichen Arbeitsleistung sowie auch für Entscheidungen in Bezug auf das Arbeitsverhältnis herangezogen.

Strafe an H&M

Für dieses Vorgehen wurde nun vom Hamburgischen Datenschutzbeauftragten eine Geldstrafe von rund 35 Millionen Euro gegen die Modekette verhängt.
Mildernd kam hinzu, dass H&M einige Maßnahmen umgesetzt hat. Dazu zählen unter anderem die Vorlegung eines umfassenden Datenschutz-Konzepts sowie eine Entschuldigung und Schadenersatz-Zahlung an die betroffenen Mitarbeitenden.

Unsere Praxistipps