Das geschah vor einem Jahr: Informationssicherheits- und Datenschutzpannen – August 2020
26. August 202120. Juni 2022
2
In Compliance, Fakten

Das geschah vor einem Jahr: Informationssicherheits- und Datenschutzpannen – August

In unserer Serie „Das geschah vor einem Jahr“ wollen wir wie im vorherigen Jahr von Informationssicherheits- und Datenschutzpannen berichten, die jeden treffen können.

Oft genug hören wir Sätze wie „Ich brauche keinen Datenschutzbeauftragten, in unserem Unternehmen ist noch nie etwas passiert!“ oder „Wer soll denn unser Unternehmen angreifen?“. Die wenigsten Hacker haben es persönlich auf Sie oder Ihr Unternehmen abgesehen. Aber wenn Sie Ihre Daten nicht auf aktuellem Standard sichern bzw. schützen, erleichtern Sie Dritten den Zugriff.

Verkannt wird oftmals, dass Informationssicherheit und Datenschutz nicht dasselbe sind. Datenschutz hat zum Ziel, personenbezogene Daten vor Missbrauch zu schützen. Informationssicherheit hingegen dient der Aufrechterhaltung des Schutzes von Informationen, Unternehmensdaten und Systemen und in Folge dem Verhindern oder zumindest Minimieren finanzieller Schäden. Beide Begriffe sind selbstverständlich eng mit dem Zweck verbunden, Bußgeldbescheide und Reputationsverluste zu vermeiden.

Für Unternehmen gelten seit vielen Jahren strenge Gesetze zum Schutz (nicht nur von personenbezogenen) Daten und zur Erhöhung der Datensicherheit. Nicht jedem Geschäftsführer ist klar, dass er für Fehler und mangelnde Sicherheit der Unternehmens-IT persönlich haftet.

Das sind die Highlights, nein – Lowlights aus dem August 2020…

Chaos Computer Club: digitale Corona-Liste gehackt

Der CCC hackte die Cloud-Software, in welcher sich Besucher eines Restaurants in eine digitale Kontaktliste zur Bekämpfung der Coronavirus-Epidemie eintragen sollten. Sie verschafften sich Zugang zu 87.000 Corona-Datensätzen und 5,4 Millionen gespeicherten Reservierungen

Zugriff auf Server der Grafik- und Icon-Datenbank Freepik und Flaticon

Im Rahmen einer Hacker-Attacke hatten die Angreifer Zugriff auf Mail-Adressen und Passwörter von 8,3 Millionen Nutzern

Angreifer wollten Bundeswehr-Fuhrparkservice erpressen

Der Erpressungstrojaner „Emotet“ hat das IT-Netz infiziert. Anschließend sei ein weiterer Erpressungstrojaner und daraufhin die Schadsoftware „Cobalt Strike“ nachgeladen worden

Google: Mail-Versand mit fremder Identität

Eine serverseitige Sicherheitslücke ermöglichte es, dass Angreifer sich wirkungsvoll als andere Gmail- bzw. G Suite-Nutzer hätten ausgeben können

Elster-Anwenderforum: Abgegriffene Nutzerdaten durch Sicherheitslücke

Durch eine Lücke in der Forensoftware vBulletin kopierten Angreifer Daten

Website des BAFA war via XSS manipulierbar

Die Website wies eine Cross-Site-Scripting-Lücke auf, sodass es Angreifern möglich gewesen wäre, einen eigenen Code zu injizieren

TeamViewer: Fernwartungstool wies gefährliche Schwachstelle auf

Eine Schwachstelle erlaubte unter Umständen unbefugte Fernzugriffe

Im Visier von Hackern: WLAN-Router

Nutzer sind im Homeoffice auf sichere Router angewiesen, allerdings nehmen die Angriffe auf WLAN-Router drastisch zu. Womöglich macht die Verlagerung von Firmendaten in Heimnetzwerke solche Attacken wesentlicher lukrativer für die Angreifer 

Veröffentlichung im Erpresserforum: Liste mit 900+ VPN-Firmenzugängen

Ein Unbekannter hat im Erpresserforum eine Liste mit IP-Adressen, Benutzernamen und Passwörtern veröffentlicht. Darunter befinden sich auch deutsche Firmen

Punkte-Diebstahl bei Payback-Konten

Offenbar greifen Kriminelle immer häufiger Punkte fremder Payback-Konten ab und kaufen damit ein. Payback sieht den Angriffsvektor hierbei bei der mangelnden Vorsicht der Nutzer