Datenschutzverstöße durch schwache IT-Sicherheit
Die Gewährleistung von IT-Sicherheit ist eine stetige Herausforderung für Unternehmen, Behörden, Vereine und andere öffentliche wie private Stellen. Auch 2023 konnte wieder beobachtet werden, dass mangelhafte IT-Sicherheit zu teils gravierenden Datenschutzverstößen, unrechtmäßiger Veröffentlichung von Daten und großen Schäden für betroffene Personen und zahlreiche Verantwortliche führte.
Laut dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohungslage zur IT-Sicherheit 2023 so hoch wie nie. Dabei sind laut BSI überproportional häufig Kommunalverwaltungen betroffen, insbesondere bei Ransomware. Diese haben oftmals nicht genügend Personal, verarbeiten aber teils sehr sensible Daten und sollten daher einen größeren Stellenwert auf IT-Sicherheit legen, um solche Risiken frühzeitig zu vermeiden.
Die Datenschutzbehörde erhielt 2023 beinahe täglich Meldungen über Ransomware-Vorfälle von Unternehmen und Behörden unterschiedlicher Größen. Da mit solchen Fällen in aller Regel ein Risiko einhergeht, dass die Rechte und Freiheiten der betroffenen Personen verletzt wurden oder werden können, sind diese nach Artikel 33 DSGVO meldepflichtig. Eine wichtige Frage für Verantwortliche ist, wann die betroffenen Personen über den Verlust des Schutzes personenbezogener Daten nach Artikel 34 DSGVO informiert werden müssen. Dies ist dann der Fall, wenn der Vorfall voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Europäische Datenschutzausschuss hat zwei Hilfestellungen für diese Frage veröffentlicht:
- Die „Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten
- Die „Guidelines 9/2022 on personal data breach notification under GDPR“ (derzeit nur in englischer Sprache erhältlich)
Demnach ist bei Ransomware-Vorfällen in der Regel eine Information der Betroffenen erforderlich, insbesondere wenn Artikel-9-Daten betroffen sind, Exfiltration von Daten stattgefunden hat, wenn Daten von einem Server oder dem Computer einer Person unberechtigt kopiert, übertragen oder abgerufen werden, oder diese gar veröffentlicht wurden.
Phishing und neue Betrugs-Maschen
Häufig sind zudem auch Phishing-Angriffe auf Nutzende von Cloud-Diensten aller Art, insbesondere Online-Speicher und E-Mail-Dienste. Die Gefährlichkeit von Phishing wird häufig unterschätzt, da oftmals nicht klar ist, auf welche Daten die Angreifer zugegriffen haben und kompromittierte E-Mail-Konten vermeintlich nur zum Verschicken von Spam und Malware verwendet werden. Aber gerade davon kann bei den Empfänger_innen ein hohes Risiko ausgehen, da Malware zahlreiche Folgeschäden verursachen kann und aufgrund vermeintlich vertrauenswürdiger Absender_innen oftmals nicht oder zu spät als Schadsoftware erkannt wird.
Angriffe auf E-Mail-Konten bringen seit einiger Zeit aber auch noch ein weiteres Risiko mit sich: Angreifer_innen durchsuchen die Ein- oder Ausgangsmails nach kürzlich verschickten Rechnungen, ändern die Kontonummer der Empfänger_innen und verschicken die Rechnung erneut. Wenn die Angreifer_innen die Kontrolle über das Empfänger-Postfach haben, löschen sie die ursprüngliche Rechnung. Wenn sie nur die Kontrolle über den Absender haben, geben sie vor, eine Aktualisierung zu verschicken. Durch diese Masche entsteht oftmals ein hoher finanzieller Schaden, zumal die fehlgeleitete Überweisung meistens erst zu spät entdeckt wird.
Verantwortliche sollten daher nach erfolgreichen Phishing-Vorfällen genau prüfen, auf welche E-Mails (potenziell) zugegriffen wurde, welche E-Mails verschickt und ob Umleitungen eingerichtet wurden, mit denen die Angreifer_innen sich dauerhaft Kopien aller Eingangsmails weiterleiten lassen. Neben der Pflicht, bei hohem Risiko nach Artikel 34 DSGVO die Betroffenen zu informieren, kann es auch zum Schutz vor zivilrechtlichen Schadensersatzforderungen sinnvoll sein, Geschäftspartner_innen und andere Betroffene zu informieren.
Wichtiger ist aber, solche Vorfälle bereits im Vorfeld zu erschweren:
- 2-Faktor-Authentifizierung erschwert Angreifern den Zugang zu fremden Cloud-Konten. Dieser Schutz ist sehr sinnvoll, allerdings beobachten wir immer mehr, dass dieser Schutz umgangen wird, er kann daher nicht als alleinige Maßnahme ausreichen.
- Die Nutzung von Cloud-Diensten sollte so eingeschränkt werden, dass nur berechtigte Personen Zugriff haben. Einen guten Schutz bieten beispielsweise individuelle Client-Zertifikate oder die Beschränkung des Zugriffs auf den vom Verantwortlichen genutzten IP-Adress-Bereich.
- Beschäftigte, sollten regelmäßig für Phishing-Gefahren sensibilisiert werden.
Sicherheitslücken bei Webseiten und Online-Diensten
Die Datenschutzbehörde hat 2023 mehrere Hinweise auf Sicherheitslücken bei Internetangeboten von Unternehmen aus verschiedenen Branchen und Behörden erhalten, die zur Offenlegung großer Datenmengen geführt haben. Teilweise haben die Verantwortlichen zuvor auf Hinweise nicht reagiert. Anders als private Hinweisgeber_innen haben wir als Datenschutz-Aufsichtsbehörde nach Artikel 58 DSGVO die Möglichkeit, in solchen Fällen die Verantwortlichen anzuweisen, die Sicherheitslücke schnell zu schließen oder, wenn dies nicht möglich ist, gar den jeweiligen Dienst vorläufig zu stoppen, dadurch die Gefahrenquelle zu beseitigen und so dafür zu sorgen, dass das Risiko für betroffene Personen reduziert wird. Üblicherweise schließen Verantwortliche nach unseren Hinweisen und Anhörungen solche Lücken schnell, so dass eine förmliche Anordnung unterbleiben kann.
Ursachen für solche Sicherheitslücken sind in aller Regel Fehler bei der Software-Entwicklung oder der Server-Konfiguration, die von aufmerksamen Fachleuten schnell bemerkt würden. Häufige Ursachen sind zum Beispiel:
- Offen einsehbare Debug-Werkzeuge (wie Symfony Profiler), wodurch Login-Daten für Admins und Datenbanken veröffentlicht werden. Mit diesen Daten können Angreifer_innen sich bei der jeweiligen Anwendung oder gar direkt bei der Datenbank anmelden und so umfangreiche Daten abgreifen. Solche Werkzeuge sollten ausschließlich in der Entwicklung genutzt werden. Ist ausnahmsweise eine Nutzung in Produktion notwendig, muss der Zugang gut abgesichert werden.
- Online verfügbare Rechnungen, Kunden-Uploads oder sonstige Dokumente, die von der Software mit fortlaufenden Nummern im Dateinamen versehen werden, wodurch es sehr leicht ist, auf fremde Daten anderer Nutzer zuzugreifen. Angreifer_innen können damit viele Daten kopieren und entsprechende Zugriffe werden meist nicht entdeckt. Wenn Dateien öffentlich ohne weitere Authentisierung zugänglich sein müssen, sollten die Dateinamen ausreichend lange Zeichenketten aus Zufallswerten (z. B. eine UUID Version 4 nach RFC
4122) enthalten. - Immer wieder gibt es auch offen im Netz zugängliche Datenbanken mit Standard-Passwörtern oder solchen, die leicht erratbar sind.
- Viele Web-Entwickler_innen nutzen heutzutage Schnittstellen von Drittanbietern und greifen auf diese mittels API-Keys zu. Wenn diese im Quelltext einer Webseite zu finden sind oder anderweitig an die Nutzenden gelangen, können sie dort von jedem ausgelesen und verwendet werden, um auf die Schnittstelle direkt zuzugreifen und Daten auszulesen.
Das Open Worldwide Application Security Project (OWASP) veröffentlicht seit 2003 eine Liste der zehn häufigsten Sicherheitsrisiken bei Web-Applikationen. Web-Entwickler_innen sollten ihre Anwendungen regelmäßig auf diese Risiken prüfen und Verantwortliche eine solche Prüfung von ihren Auftragnehmern einfordern. Je nach Größe des Projekts oder Risikos bietet es sich auch an, unabhängige professionelle Audits durchführen zu lassen oder die Anwendung selbst z. B. anhand des OWASP Web Security Testing Guide zu prüfen. Verantwortliche müssen IT-Sicherheit stärker und frühzeitig beachten, um den Anforderungen des Datenschutzes gerecht zu werden. Dies gilt sowohl bei Eigenentwicklungen als auch bei der Vergabe von Aufträgen, bei denen sie sicherstellen müssen, dass sie die einzelnen Dienstleister und sonstigen am Gesamtprojekt Beteiligten wirksam und technisch fundiert kontrollieren können. Insbesondere Behörden und große Unternehmen müssen daher geeignetes internes Personal haben, um im jeweiligen Projektverlauf in der Lage zu sein, ständig den
Herausforderungen an die Qualität der Leistungen im Bereich der IT-Sicherheit und des Datenschutzes gerecht zu werden. Eventuelle Mängel können so frühzeitig aufgespürt und behoben werden. Zudem ist es oftmals nötig, eventuelle gegenläufige Interessen der Dienstleister erkennen zu können.
Zwar werden externe Dienstleister oftmals gerne eingesetzt, um die Verantwortung auf mehrere Schultern zu verteilen. Dies entbindet den in der Regel datenschutzrechtlich verantwortlichen Auftraggeber allerdings nicht vor seiner Gesamtverantwortung (vgl. auch Urteil des EuGH, vom 5. Dezember 2023, Az. C-683/21, Randnummer 84f.) und von der Notwendigkeit, eigene interne Kompetenzen aufzubauen. Eine effektive Kontrolle von externen Dienstleistern ist in der Regel dann möglich, wenn interne Mitarbeitende in der Lage wären, mit entsprechendem Zeitaufwand die Dienstleistung selbst zu erbringen.
Quelle: LfDI BW
Wir beraten Unternehmen als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte um die IT-Sicherheit und Cyber-Resilienz zu stärken.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks