Das geschah vor einem Jahr: Informationssicherheits- und Datenschutzpannen – April 2020
In unserer Serie „Das geschah vor einem Jahr“ wollen wir wie im vorherigen Jahr von Informationssicherheits- und Datenschutzpannen berichten, die jeden treffen können.
Oft genug hören wir Sätze wie „Ich brauche keinen Datenschutzbeauftragten, in unserem Unternehmen ist noch nie etwas passiert!“ oder „Wer soll denn unser Unternehmen angreifen?“. Die wenigsten Hacker haben es persönlich auf Sie oder Ihr Unternehmen abgesehen. Aber wenn Sie Ihre Daten nicht auf aktuellem Standard sichern bzw. schützen, erleichtern Sie Dritten den Zugriff.
Verkannt wird oftmals, dass Informationssicherheit und Datenschutz nicht dasselbe sind. Datenschutz hat zum Ziel, personenbezogene Daten vor Missbrauch zu schützen. Informationssicherheit hingegen dient der Aufrechterhaltung des Schutzes von Informationen, Unternehmensdaten und Systemen und in Folge dem Verhindern oder zumindest Minimieren finanzieller Schäden. Beide Begriffe sind selbstverständlich eng mit dem Zweck verbunden, Bußgeldbescheide und Reputationsverluste zu vermeiden.
Für Unternehmen gelten seit vielen Jahren strenge Gesetze zum Schutz (nicht nur von personenbezogenen) Daten und zur Erhöhung der Datensicherheit. Nicht jedem Geschäftsführer ist klar, dass er für Fehler und mangelnde Sicherheit der Unternehmens-IT persönlich haftet.
Das sind die Highlights, nein – Lowlights aus dem April 2020…
Schwachstellen in Antiviren-Programmen
Ein Forscher-Team hat in 28 Antiviren-Programmen sogenannte Symlink-(Race-) Schwachstellen entdeckt, welche das Löschen von (System-) Dateien ermöglichte. Dies betrifft unter anderem die Produkte von Windows, Linux und macOS
Nintendo: Unbefugte Zugriffe auf 160.000 Nutzerkonten
Angreifer konnten sich unbefugt durch unautorisierte Logins Zugriff auf rund 160.000 Nutzerkonten verschaffen
Angriffe auf Revive Adserver
Eine Gruppe von Angreifern versuchte im Rahmen einer Malvertising-Kampagne Rechner von Endnutzern über falsche Flash-Updates mit Malware zu infizieren
Zero-Day-Lücken in Apple Mail: iPhones angreifbar
Über manipulierte E-Mails konnten entfernte Angreifer aufgrund von Schwachstellen Schadcode auf iPhones und iPads einschleusen
Aptoide leakt Daten zu über 20 Millionen Nutzeraccounts
Angreifer haben beim alternativen Android-App-Store Aptoide Daten von über 20 Millionen Store-Nutzern kopiert und auch in einschlägigen (Hacker-) Forum veröffentlicht
Clearview Al: Erneute Datenpanne
Vorübergehend waren sensible interne Dateien wie der Quellcode der Biometrie-Anwendung, Apps für Android, iOS, Mac und Windows, 70.000 Videos sowie Zugangskennungen für die betriebliche Messenger-Kommunikation übers Internet frei zugänglich. Zurückzuführen ist die Datenpanne auf einen nachlässig konfigurierten Server
Fidor Bank: Schwachstelle im Onlinebanking
Die Schwachstelle ermöglichte angemeldeten Privat- und Geschäftskunden mittels einfacher URL-Manipulation den Zugriff auf Überweisungsdaten anderer Kunden
Zoom: Veröffentlichte Login-Daten aus Credential-Stuffing-Angriffen
Der Videokonferenzdienst wurde zur Zielscheibe erfolgreicher Credential-Stuffing-Angriffe. Daten wurden abgegriffen beziehungsweise Accounts kompromittiert
Ransomware: Militärische Dokumente nach Angriff geleakt
Angreifer haben nach einem Angriff auf den US-amerikanischen Industrie-Zulieferer Visser Precision vertrauliche Unterlagen, u.a. geheime Papiere wie Spezifikationen für ein Mörserabwehrsystem, im Netz veröffentlicht. Das Unternehmen hatte sich zuvor geweigert, den Forderungen der Erpresser nachzukommen
NRW stoppt vorerst Auszahlung von Soforthilfen Vermutlich wurden über gefälschte Websites Daten für betrügerische Anträge abgegriffen