Das geschah vor einem Jahr: Informationssicherheits- und Datenschutzpannen – April 2020
23. April 202130. Juni 2022
2
In Compliance, Fakten

Das geschah vor einem Jahr: Informationssicherheits- und Datenschutzpannen – April 2020

In unserer Serie „Das geschah vor einem Jahr“ wollen wir wie im vorherigen Jahr von Informationssicherheits- und Datenschutzpannen berichten, die jeden treffen können.

Oft genug hören wir Sätze wie „Ich brauche keinen Datenschutzbeauftragten, in unserem Unternehmen ist noch nie etwas passiert!“ oder „Wer soll denn unser Unternehmen angreifen?“. Die wenigsten Hacker haben es persönlich auf Sie oder Ihr Unternehmen abgesehen. Aber wenn Sie Ihre Daten nicht auf aktuellem Standard sichern bzw. schützen, erleichtern Sie Dritten den Zugriff.

Verkannt wird oftmals, dass Informationssicherheit und Datenschutz nicht dasselbe sind. Datenschutz hat zum Ziel, personenbezogene Daten vor Missbrauch zu schützen. Informationssicherheit hingegen dient der Aufrechterhaltung des Schutzes von Informationen, Unternehmensdaten und Systemen und in Folge dem Verhindern oder zumindest Minimieren finanzieller Schäden. Beide Begriffe sind selbstverständlich eng mit dem Zweck verbunden, Bußgeldbescheide und Reputationsverluste zu vermeiden.

Für Unternehmen gelten seit vielen Jahren strenge Gesetze zum Schutz (nicht nur von personenbezogenen) Daten und zur Erhöhung der Datensicherheit. Nicht jedem Geschäftsführer ist klar, dass er für Fehler und mangelnde Sicherheit der Unternehmens-IT persönlich haftet.

Das sind die Highlights, nein – Lowlights aus dem April 2020…

Schwachstellen in Antiviren-Programmen

Ein Forscher-Team hat in 28 Antiviren-Programmen sogenannte Symlink-(Race-) Schwachstellen entdeckt, welche das Löschen von (System-) Dateien ermöglichte. Dies betrifft unter anderem die Produkte von Windows, Linux und macOS

Nintendo: Unbefugte Zugriffe auf 160.000 Nutzerkonten

Angreifer konnten sich unbefugt durch unautorisierte Logins Zugriff auf rund 160.000 Nutzerkonten verschaffen

Angriffe auf Revive Adserver

Eine Gruppe von Angreifern versuchte im Rahmen einer Malvertising-Kampagne Rechner von Endnutzern über falsche Flash-Updates mit Malware zu infizieren

Zero-Day-Lücken in Apple Mail: iPhones angreifbar

Über manipulierte E-Mails konnten entfernte Angreifer aufgrund von Schwachstellen Schadcode auf iPhones und iPads einschleusen

Aptoide leakt Daten zu über 20 Millionen Nutzeraccounts

Angreifer haben beim alternativen Android-App-Store Aptoide Daten von über 20 Millionen Store-Nutzern kopiert und auch in einschlägigen (Hacker-) Forum veröffentlicht

Clearview Al: Erneute Datenpanne

Vorübergehend waren sensible interne Dateien wie der Quellcode der Biometrie-Anwendung, Apps für Android, iOS, Mac und Windows, 70.000 Videos sowie Zugangskennungen für die betriebliche Messenger-Kommunikation übers Internet frei zugänglich. Zurückzuführen ist die Datenpanne auf einen nachlässig konfigurierten Server

Fidor Bank: Schwachstelle im Onlinebanking

Die Schwachstelle ermöglichte angemeldeten Privat- und Geschäftskunden mittels einfacher URL-Manipulation den Zugriff auf Überweisungsdaten anderer Kunden

Zoom: Veröffentlichte Login-Daten aus Credential-Stuffing-Angriffen

Der Videokonferenzdienst wurde zur Zielscheibe erfolgreicher Credential-Stuffing-Angriffe. Daten wurden abgegriffen beziehungsweise Accounts kompromittiert

Ransomware: Militärische Dokumente nach Angriff geleakt

Angreifer haben nach einem Angriff auf den US-amerikanischen Industrie-Zulieferer Visser Precision vertrauliche Unterlagen, u.a. geheime Papiere wie Spezifikationen für ein Mörserabwehrsystem, im Netz veröffentlicht. Das Unternehmen hatte sich zuvor geweigert, den Forderungen der Erpresser nachzukommen

NRW stoppt vorerst Auszahlung von Soforthilfen Vermutlich wurden über gefälschte Websites Daten für betrügerische Anträge abgegriffen