Das geschah vor einem Jahr: Informationssicherheits- und Datenschutzpannen – August
In unserer Serie „Das geschah vor einem Jahr“ wollen wir wie im vorherigen Jahr von Informationssicherheits- und Datenschutzpannen berichten, die jeden treffen können.
Oft genug hören wir Sätze wie „Ich brauche keinen Datenschutzbeauftragten, in unserem Unternehmen ist noch nie etwas passiert!“ oder „Wer soll denn unser Unternehmen angreifen?“. Die wenigsten Hacker haben es persönlich auf Sie oder Ihr Unternehmen abgesehen. Aber wenn Sie Ihre Daten nicht auf aktuellem Standard sichern bzw. schützen, erleichtern Sie Dritten den Zugriff.
Verkannt wird oftmals, dass Informationssicherheit und Datenschutz nicht dasselbe sind. Datenschutz hat zum Ziel, personenbezogene Daten vor Missbrauch zu schützen. Informationssicherheit hingegen dient der Aufrechterhaltung des Schutzes von Informationen, Unternehmensdaten und Systemen und in Folge dem Verhindern oder zumindest Minimieren finanzieller Schäden. Beide Begriffe sind selbstverständlich eng mit dem Zweck verbunden, Bußgeldbescheide und Reputationsverluste zu vermeiden.
Für Unternehmen gelten seit vielen Jahren strenge Gesetze zum Schutz (nicht nur von personenbezogenen) Daten und zur Erhöhung der Datensicherheit. Nicht jedem Geschäftsführer ist klar, dass er für Fehler und mangelnde Sicherheit der Unternehmens-IT persönlich haftet.
Das sind die Highlights, nein – Lowlights aus dem August 2020…
Chaos Computer Club: digitale Corona-Liste gehackt
Der CCC hackte die Cloud-Software, in welcher sich Besucher eines Restaurants in eine digitale Kontaktliste zur Bekämpfung der Coronavirus-Epidemie eintragen sollten. Sie verschafften sich Zugang zu 87.000 Corona-Datensätzen und 5,4 Millionen gespeicherten Reservierungen
Zugriff auf Server der Grafik- und Icon-Datenbank Freepik und Flaticon
Im Rahmen einer Hacker-Attacke hatten die Angreifer Zugriff auf Mail-Adressen und Passwörter von 8,3 Millionen Nutzern
Angreifer wollten Bundeswehr-Fuhrparkservice erpressen
Der Erpressungstrojaner „Emotet“ hat das IT-Netz infiziert. Anschließend sei ein weiterer Erpressungstrojaner und daraufhin die Schadsoftware „Cobalt Strike“ nachgeladen worden
Google: Mail-Versand mit fremder Identität
Eine serverseitige Sicherheitslücke ermöglichte es, dass Angreifer sich wirkungsvoll als andere Gmail- bzw. G Suite-Nutzer hätten ausgeben können
Elster-Anwenderforum: Abgegriffene Nutzerdaten durch Sicherheitslücke
Durch eine Lücke in der Forensoftware vBulletin kopierten Angreifer Daten
Website des BAFA war via XSS manipulierbar
Die Website wies eine Cross-Site-Scripting-Lücke auf, sodass es Angreifern möglich gewesen wäre, einen eigenen Code zu injizieren
TeamViewer: Fernwartungstool wies gefährliche Schwachstelle auf
Eine Schwachstelle erlaubte unter Umständen unbefugte Fernzugriffe
Im Visier von Hackern: WLAN-Router
Nutzer sind im Homeoffice auf sichere Router angewiesen, allerdings nehmen die Angriffe auf WLAN-Router drastisch zu. Womöglich macht die Verlagerung von Firmendaten in Heimnetzwerke solche Attacken wesentlicher lukrativer für die Angreifer
Veröffentlichung im Erpresserforum: Liste mit 900+ VPN-Firmenzugängen
Ein Unbekannter hat im Erpresserforum eine Liste mit IP-Adressen, Benutzernamen und Passwörtern veröffentlicht. Darunter befinden sich auch deutsche Firmen
Punkte-Diebstahl bei Payback-Konten
Offenbar greifen Kriminelle immer häufiger Punkte fremder Payback-Konten ab und kaufen damit ein. Payback sieht den Angriffsvektor hierbei bei der mangelnden Vorsicht der Nutzer