Abschlussbericht Cyberangriff Südwestfalen-IT, Cyberangriffe und vieles mehr
INFORMATIONSSICHERHEIT
Abschlussbericht: Cyberangriff auf Südwestfalen-IT (SIT)
In der Nacht vom 29. auf den 30. Oktober 2023 erfolgte ein massiver Cyberangriff auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT). Die Auswirkungen des Vorfalls waren verheerend. Die Bürgerservices von mehr als 70 Kommunen mit rund 1,7 Millionen Bürgern wurden lahmgelegt bzw. stark eingeschränkt. Zum Ende des ersten Quartals 2024 ist eine erste Auswahl an wichtigen Fachverfahren aus dem Melde-, Sozial-, und KFZ-Wesen freigegeben worden. An vielen kommunalen Stellen wird aber weiterhin mit manuellen Papierdokumenten oder Behelfslösungen gearbeitet. Die fehlenden Dienste sollen Schritt für Schritt wieder aufgebaut werden.
Mit dem forensischen Abschlussbericht ist die Fehleranalyse nun abgeschlossen. Danach sind keine Bürgerdaten der betroffenen Kreise, Städte und Gemeinden abgeflossen. Zudem blieben die Datensicherungen unbeschadet. Das Einfallstor war eine VPN-Verbindung, über die weitere Hürden genommen wurden. Der Wiederaufbau der IT-Infrastruktur wird bis Ende 2024 andauern.
DATENSCHUTZ
Entscheidung des OLG Stuttgart: Direktwerbung per Brief
Der Auslöser dieses Verfahrens war der Versand eines Werbebriefs über Lebensversicherungsprodukte durch die Beklagte an den Kläger. Die Adressdaten für die Zustellung wurden über einen Adressanbieter bezogen. Die Beklagte handelte im Rahmen einer Auftragsverarbeitung, als sogenanntes Lettershop-Verfahren und damit als Dienstleister eines Versicherers. Die Adressdaten selbst blieben ausschließlich auf der Infrastruktur des Dienstleisters und wurden nicht selbst an die Lebensversicherung übermittelt. Der Kläger hatte bisher keine Kundenbeziehung zur Beklagten oder deren Geschäftspartnern, eine Einwilligung lag nicht vor.
Der Beklagte machte daraufhin sein Auskunfts- und Löschungsrecht geltend und klagte auf immateriellen Schadensersatz in Höhe von 3.000 Euro nach Art. 82 DSGVO. Das Landgericht Stuttgart wies die Klage (Az. 17 O 807/21) ab. Die eingelegte Berufung wies das OLG Stuttgart als „offensichtlich unbegründet“ zurück.
Das OLG begründete dies damit, dass die Zusendung im Rahmen des berechtigten Interesses der Beklagten nach Art. 6 Abs.1 lit.f DSGVO erfolgte. Es ergeben sich aus den Rechtsgrundlagen keine Anhaltspunkte, dass Direktwerbung per Brief nur innerhalb einer Kundenbeziehung möglich sei.
DATENSCHUTZ
Übersicht zu Schadensersatzurteilen nach der DSGVO
Im Rahmen unserer Datenschutzberatung werden wir regelmäßig nach Bußgeldhöhen gefragt. In den ersten Jahren der DSGVO wurden diese zurückhaltend ausgesprochen, nun sind sechsstellige Beträge keine Ausnahme mehr.
Neben den Bußgeldern spielen Schadensersatzansprüche nach Art. 82 DSGVO durch natürliche Personen eine immer größere Rolle. Die verhängten Beträge der gerichtlichen Instanzen wirken auf den ersten Blick überschaubar. Sie können das Bußgeldrisiko aber sogar noch übersteigen, wenn Schadensersatzansprüche kumuliert und in Summe gesetzt werden. Nicht selten betreffen Datenschutzverstöße tausende Personen und werden dann im Rahmen eines Massenverfahrens verhandelt.
Eine transparente Auflistung wird durch die Kanzlei CMS Hasche Sigle zur Verfügung gestellt und fortlaufend aktualisiert.
DATENSCHUTZ
Messaging-App Signal: eigene Telefonnummer nicht für alle sichtbar
Für viele Smartphone-Nutzer ist die Verwendung von Messenger-Diensten nicht mehr wegzudenken, allen voran WhatsApp. Es liegt auf der Hand, dass die schnelle Erreichbarkeit von Kontakten auch im dienstlichen Umfeld immer wieder angefragt wird, beispielsweise um beim Ausfall eines Mitarbeitenden im Nachtdienst kurzfristig Ersatz zu finden oder bei der Einbindung von ehrenamtlich Tätigen.
Aufgrund der intransparenten Datenverarbeitung im Meta-Konzern kann WhatsApp grundsätzlich nicht empfohlen werden. Im Rahmen unserer Datenschutzberatung empfehlen wir neben organisatorischen Regeln für den Umgang mit Messengern, die Verwendung datenschutzkonformerer Lösungen. Eine Alternative, die von Kunden hierbei eingesetzt wird, ist die App Signal.
Kürzlich hat der Messenger-Dienst Signal eine Funktion eingeführt, die die persönliche Telefonnummer besser schützen soll. Sie ist künftig nur noch für Nutzende sichtbar, die sie ohnehin in den eigenen Telefonkontakten gespeichert haben. Um mit weiteren Personen in Kontakt zu treten, kann ein (temporärer) Benutzername eingesetzt werden. Den entsprechenden Blogbeitrag von Signal zur neuen Einstellung finden Sie hier.
INFORMATIONSSICHERHEIT
Cyberangriffe im April
Im April wurde ein kritisches Datenleck bei der millionenfach heruntergeladenen Kinderüberwachungs-App KidSecurity aufgedeckt. Besorgte Eltern können damit ihre Kinder orten und deren Aktivitäten überwachen. Laut IT-Sicherheitsforschern waren über ein Jahr lang Millionen Datensätze online offen einsehbar, darunter GPS-Daten, Audioaufnahmen und private Chatverläufe der kontrollierten Kinder. Das Leck war auf eine fehlende Authentifizierung für einen Kafka-Broker-Cluster des App-Anbieters zurückzuführen. Generell ist die Verwendung von Tracker-Apps umstritten, da sie einen massiven Eingriff in das informationelle Selbstbestimmungsrecht der Kinder darstellen. Bisher hat sich die Entwicklerfirma aus Kasachstan noch nicht zu dem Vorfall geäußert.
Die Genios Deutsche Wirtschaftsdatenbank GmbH, ein Tochterunternehmen der FAZ und der Handelsblatt Media Group, ist auch Opfer eines massiven Ransomware-Angriffs geworden. Als Folge waren die Server nicht mehr erreichbar und der Webauftritt nicht mehr abrufbar. Der kommerzielle Anbieter ist bekannt für seine Volltextdatenbanken wissenschaftlicher Texte, die von zahlreichen Stadtbibliotheken und Hochschulen für Recherchezwecke genutzt werden. Laut Genios werden die zentralen Rechercheplattformen im Laufe der nächsten Wochen in einem eingeschränkten Basisbetrieb wieder ans Netz gehen.
IT-Sicherheitsforscher vom Datensicherheitsunternehmen Proofpoint deckten in diesem Monat eine neue Malware-Kampagne mit gefälschten offenen Metro-Rechnungen auf. Die Gruppe TA547 verschickte betrügerische Rechnungsdokumente im Namen des bekannten Großhandelskonzerns an Unternehmenskunden. Die vermeintliche Rechnung wurde von einer scheinbar legitimen E-Mail-Adresse als ZIP-Datei verschickt und mit einem Passwort geschützt. Sobald die Empfänger die enthaltene LNK-Datei anklickten, wurde eine Schadsoftware heruntergeladen und die Infektionskette in Gang gesetzt. Das Besondere an dieser Kampagne ist, dass die Angreifer offenbar Teile der Malware mithilfe eines Large Language Models wie ChatGPT erstellt haben.
In diesem Monat hat das BSI vor einer erhöhten Gefahr staatlich gelenkter Phishing-Angriffe auf deutsche Parteien gewarnt. Die Bedrohungslage im Europawahljahr 2024 ist besorgniserregend. Cyberkriminelle setzen verstärkt auf sogenannte Hack-and-Leak- Angriffe, bei denen sie nicht öffentliche Dateien und Dokumente stehlen und anschließend gefälscht veröffentlichen. Diese Desinformationskampagnen zielen darauf ab, die öffentliche Meinung zu manipulieren und das Vertrauen in die Demokratie zu untergraben. Darüber hinaus haben Sicherheitsbehörden wiederholt Angriffsversuche beobachtet, bei denen die Angreifer Domains registrierten, die den offiziellen Webmail-Domains ähnelten. Politiker erhielten E-Mails im Namen des IT-Supports, in denen sie aufgefordert wurden, sich auf der manipulierten Website mit ihren Zugangsdaten einzuloggen.
Außerdem wurde im April bekannt, dass der deutsche Autohersteller Volkswagen über mehrere Jahre hinweg (2010-2015) im Visier von mutmaßlich chinesischen Staatshackern war. Im Laufe der Jahre wurden ca. 19.000 Dokumente gestohlen, darunter vertrauliche Informationen zur Entwicklung von Ottomotoren, Getrieben und Elektromobilität. Die Angreifer nutzten dabei verschiedene Angriffsmethoden wie Schadsoftware, Phishing und Social Engineering, um in die IT-Systeme von Volkswagen einzudringen. Hinweise auf chinesische Hacker lassen sich durch den Einsatz von Spionagesoftware wie "PlugX" und "China Chopper" erkennen. Der finanzielle Schaden ist noch nicht genau bezifferbar, aber neben dem Diebstahl von Know-How, der sich wiederum negativ auf die Wettbewerbsfähigkeit des Unternehmens auswirken kann, entstehen enorme Kosten für die Aufklärung des Vorfalls. Volkswagen gibt an, dass die IT-Sicherheitsmaßnahmen als Reaktion auf den Vorfall erheblich verstärkt wurden.
Die Heinrich-Heine-Universität in Düsseldorf scheint ein attraktives Angriffsziel für kriminelle Aktivitäten zu sein, da sie erneut Opfer eines Cyberangriffs wurde, nur ein Jahr nach einem früheren Sicherheitsvorfall. Diesmal konnten Kriminelle über gestohlene Studierenden-Accounts Zugriff auf das Prüfsystem der Universität erlangen und Daten von 15.000 geprüften Studierenden entwenden. Neben E-Mail-Adressen wurden auch Matrikelnummern und Studienfächer samt Prüfungsantworten und Bewertungen kompromittiert. Es gibt jedoch keine Hinweise darauf, dass Noten manipuliert und heruntergeladen wurden. Der Angriff wurde durch eine Sicherheitslücke innerhalb des E-Klausurensystems ermöglicht. Die Universität erkannte den Angriff jedoch schnell und sperrte die gehackten Studierendenkonten umgehend. Am nächsten Tag wurden alle betroffenen IT-Systeme heruntergefahren und die Betroffenen informiert.
WIR UNTERSTÜTZEN SIE GERNE
Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann! |