Wachsamkeit bezüglich Spam-, Viren- und Phishingmails ist weiterhin geboten
Die Anzahl der Meldungen zu Angriffen auf E-Mail-Konten sowie diesbezügliche Beschwerden an die Datenschutzbehörden zeigen, dass Spam-, Viren und Phishingmails ein Dauerproblem sind, auf das Verantwortliche mit geeigneten Maßnahmen reagieren müssen.
Ungefähr 20 Prozent der Meldungen nach Art. 33 DSGVO werden durch Hacker*innenangriffe ausgelöst. Neben Angriffen mit Ransomware stellen Angriffe über Spam-, Viren- und Phishingmails (im folgenden Schadmails) den überwiegenden Teil dieser Meldungen dar.
Die Ziele der Angreifer*innen können dabei sehr unterschiedlich sein. In den meisten Fällen geht es den Angreifer*innen darum, Zugriff auf ein E-Mail-Konto zu erlangen. Damit sind zumeist auch personenbezogene Daten von diesen Angriffen betroffen. Die Schadmails verlocken die Empfänger*innen dazu, eine Datei zu öffnen oder Anmeldedaten auf einer gefälschten Webseite anzugeben. Wird eine solche Datei geöffnet, wird im Hintergrund – häufig unbemerkt – der Computer mit einer Schadsoftware infiziert. Über die Schadsoftware können die Angreifer*innen meist den infizierten Computer oder einzelne Anwendungen kontrollieren.
Eine häufig beobachtete Schadsoftware ist Emotet. Hierbei handelt es sich um einen sog. Makrovirus, der in Office-Dokumente eingebettet und zumeist über täuschend echt aussehende E-Mails verteilt wird. Daneben gibt es inzwischen verschiedene Varianten solcher Schadsoftware, die teilweise nicht bzw. zu spät von Virenscannern erkannt werden. Mittlerweile werden diese Schadsoftwaretypen so generisch gestaltet, dass Angreifer*innen bei erfolgreicher Infektion weitere Schadsoftware auf die befallenen Computer nachladen und von dort aus weitere Systeme infizieren können.
Haben Angreifer*innen über die Schadsoftware oder erbeutete Zugangsdaten Zugriff auf ein E-Mail-Konto, werden von diesem meist Adressbücher und E-MailKorrespondenzen ausgelesen. Das E-Mail-Konto wird dann häufig dazu genutzt, weitere Schadmails von einer validen E-Mail-Adresse zu versenden. Dies geschieht zumeist als Antwort auf vorangegangene EMails, so dass die Empfänger*innen nicht direkt erkennen können, dass es sich um Schadmails handelt. Auf diese Weise kann sich der Angriff ausweiten. Auch nachdem der Angriff erkannt wurde und der Zugriff auf den Computer bzw. das E-Mail-Konto für die Angreifer*innen nicht mehr möglich ist, werden die erbeuteten Adressbücher und E-Mail-Korrespondenzen weiterhin verwendet, um weitere – teilweise sehr authentische – Schadmails von anderen E-Mail-Adressen zu versenden. Zudem gelangen die E-Mail-Adressen – auch mit einem größeren zeitlichen Versatz – regelmäßig auf Spam-Verteilerlisten und können für sog. Password-Spraying oder Credential-Stuffing genutzt werden. Bei den letzteren Angriffen werden die E-Mail-Adressen als Benutzernamen zusammen mit häufig verwendeten Passwörtern für Login-Versuche bei verschiedenen Online-Diensten genutzt.
Um den Gefahren solcher Angriffe zu begegnen, müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen.
Um einen externen Zugriff durch das Erraten von Passwörtern zu vermeiden, sollten Verantwortliche über Passwortrichtlinien sicherstellen, dass nur starke Passwörter genutzt werden. Zudem sollte geprüft werden, ob bei einem Zugang auf E-Mail-Konten über das Internet (sog. Web-Mail) eine Multi-Faktor-Authentifizierung eingesetzt werden kann. Durch diese Maßnahme wird ein Zugang zu einem E-Mail-Konto meist auch dann noch verhindert, wenn die Angreifer*innen das Passwort des Kontos erlangt haben.
Häufig erfolgen Angriffe von bestimmten IP-Adressen bzw. gewissen IP-Adressbereichen. Diese können ggf. durch entsprechende Firewall-Einstellungen von einem externen Zugriff auf Systeme der Verantwortlichen ausgeschlossen werden. Alternativ können nur Zugriffe von bestimmten IP-Adressbereichen erlaubt werden, aus denen die befugten Zugriffe stattfinden.
Ein weiteres Einfallstor für Angreifer sind Sicherheitslücken oder unsichere Konfigurationen von Office-Anwendungen (beispielsweise durch die Ausführung unsicherer Makros). Hierzu müssen Verantwortliche ein systematisches und kontinuierliches Patch-Management etablieren und eingesetzte Office-Produkte entsprechend sicher konfigurieren.
Nicht zuletzt müssen Verantwortliche ihre Angestellten schulen und sensibilisieren, damit diese SchadMails frühzeitig erkennen können. Zudem müssen Angestellte wissen, welche Stellen beim Verantwortlichen bei Auffälligkeiten, die auf einen Hacker*innenangriff hindeuten, zu informieren sind.
Ist es trotz aller vorbeugenden Maßnahmen zu einem erfolgreichen Angriff auf ein E-Mail-Konto gekommen, empfiehlt die Datenschutzaufsicht den Verantwortlichen, – unabhängig vom Vorliegen einer Benachrichtigungspflicht nach Art. 34 DSGVO – die betroffenen Personen schnellstmöglich über den Vorfall zu informieren. Dadurch werden diese nicht nur über den Empfang von Schad-Mails informiert, sondern auch hinsichtlich des Missbrauchs der Daten für mögliche weitere Angriffe (etwa Password-Spraying oder Credential-Stuffing) sensibilisiert. Dies gilt insbesondere vor dem Hintergrund, dass Verantwortliche keine Kontrolle über einmal an Angreifer*innen abgeflossene personenbezogene Daten haben. Durch die Information der betroffenen Personen kann in vielen Fällen eine Ausweitung des Angriffs verhindert werden. Zudem können die Betroffenen dann in ihrer eigenen Sphäre Schutzmaßnahmen treffen.
Sofern personenbezogene Daten von einem solchen Angriff betroffen sind, ist dieser gemäß Art. 33 Abs. 5 DSGVO intern zu dokumentieren. Sollte ein mehr als geringes Risiko für die betroffenen Personen festgestellt werden, so muss die Datenpanne gemäß Art. 33 Abs. 1 DSGVO an die zuständige Datenschutzbehörde gemeldet werden.
Schad-Mails bleiben als Einfallstor für Hacker*innen ein Dauerthema. Die Angriffe werden zunehmend ausgefeilter und werden teilweise auf die Empfänger*innen personalisiert. Mit verschiedenen technischen Maßnahmen kann den Gefahren solcher Schad-Mails wirksam begegnet werden. Vor allem sind die jeweiligen Angestellten regelmäßig bezüglich Schad-Mails zu schulen und zu sensibilisieren. Die Angestellten müssen insbesondere wissen, welche Stellen beim Verantwortlichen in diesen Fällen zu informieren sind. Eine unverzügliche Benachrichtigung der betroffenen Personen trägt zur Eindämmung des Angriffs bei und ermöglicht es den betroffenen Personen in ihrer eigenen Sphäre Schutzmaßnahmen zu treffen.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks