Datenpanne nach Art. 33 DSGVO und das Murmeltier

Publiziert in IT-Sicherheit

Ein einziger Klick mit langer Wirkung - und eine Datenpanne nach Art.33 DSGVO

Nein, es ist nicht täglich - aber doch immer wieder finde ich E-Mails mit gefährlichen Anhängen vorgeblich von der Mitarbeiterin eines Kunden in meinem Posteingang. Das wird sich vermutlich auch so schnell nicht ändern, weil es nicht zu ändern ist. Ursache für die Situation war ein einziger unbedachter Klick. Und die Konsequenz erinnert mich jedes Mal an Bill Murray in der Rolle des arroganten und zynischen Wettermanns Phil Connors in „Und täglich grüßt das Murmeltier“…

Am Anfang stand das Virus

Vor einiger Zeit wurde ich von besagtem Kunden informiert, dass es einen Virenbefall im Computersystem gab. Wie sich später herausstellte, fand dieser seinen Auslöser klassisch über den Aufruf eines E-Mail-Anhangs. Das Ganze passierte in einer für Tierkliniken sehr typischen Umgebung, die sich erfahrungsgemäß ungefähr wie folgt darstellt:

Ab einer gewissen Mitarbeiterzahl ist es nicht mehr möglich, den gesamten E-Mail-Verkehr zentral zu steuern. Es ist im Zeitablauf üblicherweise eine Infrastruktur gewachsen, bei der über mehrere Rechner auf mehrere E-Mail-Konten zugegriffen werden. Ein weiteres Charakteristikum solch einer Infrastruktur ist, dass - vorwiegend von Leitungskräften - auch noch Zugriffe auf (halb-)private E-Mail-Accounts erfolgen, die eben auch noch aus der Historie heraus bei Lieferanten und/oder Kunden bzw. Kollegen hinterlegt sind. In diesen Fällen erfolgt der Zugriff oft über ein Webportal und aus den Anhängen werden Downloads.

Solch eine Umgebung sicherheitstechnisch strukturiert abzusichern ist für den IT-Fachmann alleine schon eine ordentliche Herausforderung an sich - wenn er denn überhaupt die Ressourcen zur Verfügung gestellt bekäme, die für ein adäquates Sicherheitsmanagement notwendig sind.

In der Beratung erlebe ich immer wieder, dass in Praxen und Kliniken IT-Infrastrukturen mit 15 Arbeitsplätzen und mehr immer noch vom „computeraffinen“ Chef gemanaged oder zumindest „wesentlich betreut“ werden.

Meine Meinung dazu: Die Wahrscheinlichkeit, dass das schief geht ist hoch - und sie wächst mit jedem Tag.

Die Zeiten der Hacker-Kiddies sind vorbei

In einer Welt, in der über das Internet alles mit allem immer mehr zusammenwächst, tun sich ständig neue Geschäftsfelder auf. Und wenn sich etwas lohnt, stößt man da oftmals auch schnell auf weniger seriöse Akteure. Ein Paradebeispiel hierfür ist die Computerkriminalität. Die nimmt aktuell eine äußerst interessante Entwicklung, die sich - ganz stark vereinfacht - so beschreiben lässt:

Waren es lange Zeit vorwiegend irgendwelche jugendliche (oder nicht erwachsen gewordene) Nerds, die sich einen Spaß daraus machten, nach Schulschluss in fremde Netzwerke einzudringen und sich über den Erfolg zu profilieren, sind es heute zunehmend bestens organisierte Mafiastrukturen, die sich in dem Umfeld breit machen. Ihr Ziel: einzig und alleine Gewinnmaximierung. Ihre Opfer: wahllos ausgewählte Unternehmen.

Wesentlich zu der Entwicklung beigetragen haben Kryptowährungen wie Bitcoin oder Ethereum. Mit ihnen können Lösegeldzahlungen so gut verschleiert werden, dass man darauf ein sehr ertragreiches Geschäftsmodell aufsetzen und breit skalieren kann.

Heute dominieren streng organisierte mafiöse Strukturen

Man kann sich die Hierarchie bei den Akteuren wie folgt vorstellen:

An oberster Stelle stehen die Scouts. Das sind einzelne Personen oder kleine Einheiten, die nichts anderes tun als Schwachstellen in Software zu finden, sei es in Betriebssystemen wie Windows oder in auch in Gerätesoftware wie z.B. in Routern. Dies sind hochsprezialisierte IT-Experten, deren Arbeitsgebiet einzig und alleine Schwachstellensuche in Softwareapplikationen ist.

Haben die Scouts eine lohnende Schwachstelle gefunden, treten die Architekten in Erscheinung. Sie programmieren die Angriffssoftware für die Schwachstellen und bauen diese in ihre Angriffsumgebung, die wie Baukästen aufgebaut sind, ein. Manchmal handelt es sich hierbei um Eintrittstrojaner, die nichts anderes tun, als sich - in Anlehnung an den Begriff „trojanisches Pferd“ - in einem System einzunisten und auf weitere Anweisungen von außen zu warten. Und manchmal sind es Applikationen, die so programmiert sind, dass sie z.B. eben solche Anweisungen enthalten. Die aktuell bekannteste Form kennt man unter dem Begriff „Ransomware“, die Datenträger so verschlüsselt, dass die Daten nicht mehr brauchbar sind. Entschlüsselt wird dann - vielleicht - wieder nach Zahlung eines Lösegelds.

Und an dritter Stelle kommen dann die Ameisen. Das sind Einheiten, deren Aufgabe einzig und alleine darin besteht, das Virus so schnell wie möglich zu verteilen und zeitnah die maximale Zahl an Opfern abzuarbeiten – ergo: das maximale Lösegeld einzutreiben, bevor wirkungsvolle Gegenmaßnahmen z.B. über Antivirenprogramme verteilt werden. Hierfür sind beispielsweise gut formulierte Anschreiben z.B. Bewerbungsanschreiben und eine solide Datenbasis von E-Mail-Adressen in Unternehmen notwendig.

Führt man sich diesen Aufbau und die Arbeitsweise dieser Gruppierungen vor Augen, dann versteht man auch, weshalb solche Angriffe vorwiegend in Wellen auftreten.

Aber nun zurück zu dem konkreten Fall:

Bei dem Virus in dem Unternehmen handelte es sich um „Emotet“, einen sogenannten „Outlook-Harvester“. Das Virus im Umfeld des E-Mail-Programms Microsoft Outlook aktiv und leitet die eingegangenen Emails der vergangenen Monate aus dem Programm heraus an eine bestimmte Email-Adresse der „Ameisen“ weiter. Der Nutzer am Rechner bekommt davon nichts mit, weil das Ganze so programmiert ist, dass Outlook diesen Postausgang nicht protokolliert.

Bemerkt wird der Angriff meist erst, wenn die ersten Kunden anrufen und auf eine ungewöhnliche E-Mail hinweisen, die sie erhalten haben. Und das kommt so:

Die in Outlook „geernteten“ E-Mails werden von den „Ameisen“ automatisch aufbereitet und mit ihnen werden die ursprünglichen Absender (deren E-Mail-Adresse ja als Absenderadresse in den E-Mails enthalten war) mit einem kurzen persönlichen Hinweis (der als ein allgemeiner Bezug auf die Korrespondenz formuliert ist) mit dem Inhalt der ursprünglichen E-Mail des Absenders (als vertrauensbildende Maßnahme) mit der (vorgegaukelten) Identität des ursprünglichen Empfängers - und einem Anhang versandt.

Das Ergebnis, das sich nun mehr oder minder regelmäßig in meinem Postfach findet, sieht dann so aus:

Spammail mit Virenanhang

Dieser ganze Prozess läuft automatisiert ab und ist sehr effektiv. Im Eifer des Gefechts der täglichen Arbeit ist schnell mal auf den Anhang einer E-Mail von einem „vermeintlichen Geschäftspartner“ geklickt. Und dann zeigt sich, ob das eigene System „gehärtet“ ist. (Das ist der übliche Branchenbegriff für die Widerstandsfähigkeit eines Systems, weil aus der Sicht eines IT-Sicherheitsfachmanns ein System nie sicher sein kann, sondern nur so hart, dass es bei dem aktuellen Angriff nicht zusammenbricht)…

Im besten Fall schlägt das Antivirenprogramm Alarm und bereinigt die Situation. Im schlimmsten Fall kann so ein Klick auch schon mal richtig viel Geld kosten - sei es als Lösegeld oder auch nur in Form von Ausfall- und Reparaturzeit des gesamten Netzwerks in der Klinik/Praxis. Die Bandbreite der Möglichkeiten, was das Virus verursachen kann, ist riesig.

Und die Datenschutz-Aufsichtsbehörde mischt auch noch mit

Nicht nur der Befall des Computersystems und die daraus entwachsenden Folgen können für ein Unternehmen richtig heftig werden, es löst in den meisten Fällen auch noch eine Meldung der Datenpanne bei der Datenschutz-Aufsichtsbehörde aus.

Dies ist eine Neuerung der Datenschutz-Grundverordnung und sie ist in den Artikel 33 (bzw. 34) geregelt.

Und ehrlich gesagt: Jedes betroffene Unternehmen ist gut beraten, dieser Pflicht auch nachzukommen. Erlangt die Aufsichtsbehörde über einen anderen Weg Kenntnis von der Datenpanne, verläuft die anschließende Kommunikation sicher nicht besonders harmonisch - und eine Nichtmeldung ist bußgeldbehaftet.

Gemäß Art. 33 DSGVO hat der Verantwortliche bei einer „…Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde zu melden“, es sei denn, „dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Was den zweiten Halbsatz angeht, haben die Aufsichtsbehörden zwischenzeitlich schon klargestellt, dass ein Datendiebstahl, wie es das „Qutlook-Harvesting“ ist, ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt - und deshalb meldepflichtig ist und zwar unabhängig von der Anzahl der betroffenen Personen, die das Unternehmen im Zweifelsfall überhaupt nicht ermitteln kann, weil ja nicht protokolliert wird, wessen E-Mail „geerntet“ wurde.

Was tun?

In dem betroffenen Unternehmen wurde der befallene Rechner – unter Inkaufnahme des Datenverlustes der lokal gespeicherten Daten - komplett neu aufgesetzt. Das Netzwerk wurde auf weiteren Virenbefall hin überprüft und in einen weiteren Malware- und Antivirenschutz investiert.

Alleine die Beseitigung dieses unmittelbaren Schadens belief sich bereits auf einen vierstelligen Betrag. Aber das ist eher gering im Verhältnis zum Reputationsschaden. Es muss davon ausgegangen werden, dass die E-Mail-Adressen von weit über einhundert Kunden „geerntet“ wurden und nun wiederkehrend mit Schadsoftware kontaktiert werden. Verliert man auf Grund solch eines Ereignisses nur fünf Kunden, kann man leicht ausrechnen, wie hoch der Einnahmeverlust in den nächsten Jahren sein wird.

Fazit:

Die ergriffenen Maßnahmen haben eigentlich nur eine geringe Verbesserung des Schutzes für die Zukunft zur Folge. Für eine gewisse Zeit gibt es sicher eine erhöhte Aufmerksamkeit bei den Mitarbeitern und vielleicht schlägt der zusätzliche Virenschutz beim nächsten Angriff auch tatsächlich an. Aber das liegt nicht an der Qualität des Virenschutzes sondern lediglich an der Wahrscheinlichkeit, dass er gerade diesen Virus erkennt.

Führt man sich dann noch vor Augen, dass das E-Mail-System nur eines von vielen möglichen Einfalltoren ist, dann liegt die Überlegung einer systematischen Überprüfung der IT-Infrastruktur nahe. Sie kostet in der Regel ein Bruchteil dessen, was ein Virenbefall verursacht, bringt mehr Sicherheit und nicht zuletzt auch noch eine erhöhte Transparenz in die „Black Box IT“. Das bietet oft neue Ansätze für Kosteneinsparungen und lohnt sich alleine schon deshalb unter betriebswirtschaftlichen Aspekten.