Cyberattacken und Bußgelder: Rückblick 2022
16. Februar 202316. Februar 2023
11
In Compliance, Fakten, Legal

Cyberattacken und Bußgelder: Rückblick 2022

Das Jahr ist bereits in vollem Gange. Ein guter Zeitpunkt, um noch einmal zurückzublicken. Heute präsentieren wir die spektakulärsten Hackerangriffe und höchsten Bußgelder aus dem vergangen Jahr. Haben Sie alle Fälle mitbekommen? Waren Sie eventuell sogar selbst betroffen?

Januar 2022

Crypto.com – Hacker bestehlen User:innen
Der Angriff fand am 17. Januar statt und zielte auf die Kryptowährungs-Geldbörsen (Wallets) von fast 500 Personen ab. In diesem Fall stahlen die Hacker Bitcoins im Wert von etwa 18 Millionen US-Dollar und Ethereum im Wert von 15 Millionen US-Dollar sowie andere Kryptowährungen.
Dies war vor allem dank des Könnens der Hacker möglich, die Zwei-Faktor-Authentifizierung zu umgehen und auf die Geldbörsen der Nutzer zuzugreifen. Ein weiteres Beispiel dafür, warum die Verwendung eines Passwortmanagers so wichtig ist.

Diebstahl beim Roten Kreuz
Hacker führten einen Angriff auf Server durch, auf denen sich die persönlichen Daten von mehr als 500.000 Menschen befanden, die Dienstleistungen des Roten Kreuzes und des Roten Halbmonds in Anspruch nehmen. Die gehackten Server enthielten Daten, die sich auf die Dienste der Organisation zur Familienzusammenführung bezogen. Der/die Täter konnten nicht identifiziert werden.

Februar 2022

GiveSendGo – fataler Cyberangriff
GiveSendGo ist eine christliche Spendensammel-Website, die von kanadischen Lastwagenfahrern bevorzugt wurde, die quer durch das Land fuhren, um gegen die COVIDVorschriften zu protestieren – der sogenannte Freedom Convoy. Der Hacker leitete die Spendenseite auf eine Seite um, die die Proteste des Freedom Convoy verurteilte – ein Fall von Distributed Denial of Service (DDoS)-Angriff. Der Hacker veröffentlichte dann die persönlichen Daten der 90.000 Spender, die über die GiveSendGo-Website für den Freedom Convoy gespendet hatten.

Angriff auf die Lieferkette von Marquard & Bahls
Der deutsche Lieferant wurde angegriffen und die IT-Infrastruktur destabilisiert, was zur Schließung von mehr als 200 Tankstellen in ganz Deutschland führte. Es handelte sich eindeutig um einen Angriff auf die Lieferkette, da Unternehmen wie Shell Schwierigkeiten hatten, ihre Kunden zu beliefern. Experten zufolge scheint der Angriff von der Hackergruppe BlackHat Gang ausgegangen zu sein – einer russischen Gruppe, die in der Vergangenheit bereits Ölpipelines angegriffen hat.

März 2022

Datenpanne bei Microsoft
Eine Hackergruppe namens Lapsus$ postete auf Telegram einen, zunächst für sie verheißungsvollen Screenshot, durch den bekannt wurde, dass sie mehrere Konten für Produkte wie Bing und Cortana kompromittiert hätten. Aufgrund zahlreicher Ankündigungen und Angriffe auf andere Unternehmen konnte Microsoft schnell reagieren und den Schaden begrenzen.

Nachrichtenstopp bei PressReader
Nachdem PressReader bekannt gab, vor allem Ukrainerinnen freien Zugang zu Nachrichten
zu gewähren, erfolgte der Angriff. PressReader konnte den vollen Umfang an Diensten schnell wiederherstellen, aber der dreitägige Angriff verhinderte den Zugang zu
mehr als 7.000 Nachrichtenquellen.

April 2022

Cash-App Datenschutzverletzung
Cash-App räumte ein, dass ein ehemaliger Mitarbeiter in die Serverstruktur eingedrungen war. Der Hack betraf Kundennamen, Informationen zum Aktienhandel, Kontonummern, Portfoliowerte, sowie zahlreiche andere sensible Finanzdaten.

Angriff auf EU- Kommissar per Spyware
Hacker greifen erneut intensiv die Smartphones von EU-Mitarbeiterinnen an, unter anderem das des Kommissars Didier Reynders. Der Angriff ging erneut von der NSO-Group aus, sie verwendeten dafür die Spyware Pegasus. Apple benachrichtigte bereits im vergangenen Jahr zahlreiche Nutzer in den Sektoren internationaler Verteidigung und Politik, die Indizien dafür sind IOC’s.

Mai 2022

Cyberangriff auf Sixt SE
Das Unternehmen wurde Ziel eines umfangreichen Angriffes von unbekannten Hackern. Dabei wurden zwar keine Kundendaten gestohlen, allerdings wurde der Betrieb massiv eingeschränkt, sodass CRM-Tools und telefonische Kundenservices gänzlich, schriftliche Kundenservices stark eingeschränkt, gewährleistet wurden. Forensiker untersuchen den Vorgang genauer.

Lösegeldforderung an das Fraunhofer Institut
Hacker fordern 2,2 Millionen US-Dollar Lösegeld für gestohlene Forschungsdaten des Fraunhofer Instituts Das Institut für Mikrostruktur von Werkstoffen und Systemen nahm die IT-Systeme vom Netz, nachdem ein unautorisierter Zugriff Dritter registriert wurde. Der Vorfall wurde unmittelbar angezeigt, um Untersuchungen aufzunehmen. Nachdem eine Lösegeldforderung bei dem Institut einging, aber angelehnt wurde, sind ca. 320 GB der abgeschöpften Daten im Darknet für den Verkauf eingespeist worden.

Juni 2022

Mahnung für Google-Unternehmen
Seitens des Bundeskartell-Amtes wurden aufgrund des Mangels an Einspruchs- und Widerspruchsmöglichkeiten für Nutzer:innen seitens der Google- Unternehmen Alphabet Inc.,
Mountain View, USA, Google Ireland Ltd., Dublin, Irland und Google Germany GmbH,
Hamburg, eine Mahnung ausgesprochen. Aufgrund der Datenverarbeitung könne Werbung
geschaltet werden, die auch über Drittanbieterinnen erfolgen könnte – wogegen sich die User:innen nicht wehren könnten.

Weltweiter Angriff auf ungesicherte Elasticsearch- Server mit anschließender Erpressung
Nachdem laut Schätzungen über 1200 unzureichend geschützte Server gehackt wurden,
haben die betroffenen Unternehmen Lösegeldforderungen erhalten. Die Forderungen
belaufen sich auf 620 US Dollar, für die die Betroffenen einen Download-Link erhalten, um
die ursprünglichen Datensätze wiederherstellen. Diese wurden beim Angriff umgeschrieben,
jedoch nicht verschlüsselt. Aufgrund der hohen Anzahl der Angriffe ist die Wahrscheinlichkeit
gering, dass die Cyberkriminellen Kopien der Daten erstellten, weshalb die Unternehmen
trotz Zahlung der Lösegeldforderungen einen irreversiblen Schaden durch Datenverlust
erleiden.

Juli 2022

Server-Angriff bei Continental
Etliche Daten landen im Darknet. 8 Gigabyte an Daten und 55 Mio. Speicherpfade wurden gestohlen und freigegeben. Unter anderem betraf der Leak Dokumente über die Kommunikation zwischen Vorständen und Aufsichtsräten. Auch Daten der HR, Investitions- und Strategiepläne, sowie interne Kundendaten von Mercedes, BMW und VW wurden veröffentlicht. Die Ausführung erfolgte durch das Öffnen einer Mail durch einen Mitarbeiter.

Clearview AI muss Bußgeld i.H.v. 20.000.000 € zahlen
Die griechische Datenschutzbehörde verhängt das Bußgeld, nachdem ein Betroffener über eine gemeinnützige Organisation Beschwerde einreichte. Der US- Dienstleister Clearview AI hatte sein Auskunftsersuchen nicht beantwortet und entsprechende Daten nicht gelöscht. Die zuständige
Behörde hat über die Beschwerde hinaus die grundsätzliche Datenschutzpraxis des Unternehmens untersucht. Durch das Verfahren kam zutage, dass das Unternehmen mittels Web-Scraping
eine Datenbank erstellt, in der mehrere Milliarden Bilder ungesichert abgespeichert wurden.
Durch die übermittelten Bilder werden für die User:innen biometrische Bilder mittels KI erstellt, die ggf. mit weiteren Daten, Websites und Bildern verknüpft werden können. Die italienische Sicherheitsbehörde ermittelte bereits aufgrund der Verstöße gegen Art. 5 Abs. 1 lit. a DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO sowie Art. 14 DSGVO, Art. 15 DSGVO und Art. 27 DSGVO, wofür 9.000.000 € Bußgeld ausgesprochen wurden. Die griechische Instanz verhängt ein Bußgeld von 20.000.000 € und darüber hinaus werden jegliche Aktivitäten im Griechenland und für griechische Klientinnen verboten. Die Löschung von Daten dieser Klientinnen wurde ebenfalls angeordnet.

August 2022

UBEEQO INTERNATIONAL
Das Unternehmen erhebt und speichert auf unzulässige Weise Daten. Die französische Datenschutzbehörde CNIL ermittelt gegen das Carsharing-Unternehmen, weil zum einen Fahrzeug- und Standortdaten über die gesetzliche Dauer hinaus gespeichert wurden, zum anderen die gesetzliche Grundlage für die Speicherung fehlt. Untersuchungen, dass App-Userinnen nicht ausreichend über die
Verarbeitung ihrer Daten aufgeklärt wurden. Insgesamt wurde wegen der Verstöße gegen
Art. 5 Abs. 1 lit. c und e DSGVO und Art. 12 DSGVO ein Bußgeld in Höhe von 175.000,- €
ausgesprochen.

Bußgeld für Sephora Inc.
Der Staat Kalifornien verhängt gegen den US_Kosmetikkonzern ein Bußgeld i.H.v. 1.207.973,- $ wegen der Verletzung von Rechten privater Nutzer:innen. Gegen den Konzern wurde ermittelt, weil Kundendaten ohne Zustimmung weiterverkauft und Anfragen von Kundinnen nicht bearbeitet wurden, die proaktiv einen Stopp des Verkaufs anfragten. Abgesehen vom Bußgeld musste Sephora Inc. auf Ihrer US-Website angeben, dass Kundendaten verarbeitet und verkauft werden. Zudem muss das Unternehmen entsprechend die Verträge gem. CCPA (California Consumer Privacy Act) anpassen. Der kalifornischen Staatsanwaltschaft muss Sephora Berichte zum Verkauf personenbezogener Daten, etwaigen Dienstleistern sowie Bestrebungen, den Vorgaben des Global Privacy Control (GPC) zu entsprechen, vorlegen.

September 2022

Rekordbußgeld für Instagram
Ein Bußgeld i.H.v. 405.000.000,- € muss nach Abschuss der Untersuchungen gezahlt werden. Nach einem Hinweis aus dem Jahr 2020 wurde seitens der irischen Datenschutzbehörde ermittelt, weil Minderjährige im Alter von 13 bis 17 Jahren Konten auf der socialmedia Plattform eröffnen durften. Die Konten waren zudem nicht auf privat gestellt, was externe Zugriffe auf E-Mail-Adressen und Telefonnummern vereinfachte. Vor allem betroffen sind die Art. 5 Abs. 1 lit. a und c DSGVO, Art. 6 Abs. 1 DSGVO, Art. 12 Abs. 1 DSGVO , Art. 24 DSGVO, Art. 25 Abs. 1 und 2 DSGVO und Art. 35 Abs. 1 DSGVO.

Daten von IHG Hotels werden aus Spaß vernichtet
Ein Hackerpaar aus Vietnam, das unter dem Namen TeaPea bekannt ist und Anfang September mit einem versuchten Ransomware-Angriff in die Datenbank von InterContinental Hotels (IHG) eindrang, gab zu, diese Angriffe zum Vergnügen begangen zu haben.
Als das Sicherheitsteam von IHG diese Versuche wiederholt vereitelte, ging TeaPea zu Plan
B über und löschte einfach einen großen Teil der internen Daten in einer Aktion, die die
Hacker als „etwas lustig“ bezeichneten. Die Sache wurde für IHG noch schlimmer, weil der
Vorfall offenbar als Spearphishing-Angriff begann, der durch das komisch einfache Passwort
der Datenbank erheblich erleichtert wurde: Qwerty1234. Durch den Einbruch wurden die
Buchungssysteme eines Großteils des IHG-Netzwerks außer Betrieb gesetzt und die interne
Kommunikation tagelang behindert. Kundendaten wurden vermutlich aber nicht in Mitleidenschaft gezogen.

Oktober 2202

5 Mio € Bußgeld wegen mangelnder Datenschutzschulungen für Interserve Group Limited
Das Bauunternehmen vernachlässigte den Datenschutz und etliche Schulungen, weshalb
ein Mitarbeiter eine Mail mit einer zip-Datei öffnete, die für die Deinstallation von AntiVirus-Softwares sorgte und somit zahlreiche Daten von Mitarbeiter:innen von den Hackern gestohlen wurden. Es handelt sich vor allem um personenbezogene Daten, Lohnabrechnungen, Steuernummern und Versicherungsdaten. Das Bundeskriminalamt (BKA) hat eine Person (24 Jahre) und zwei mutmaßliche Mittäter festgenommen, nachdem sie verdächtigt wurden, durch Phishing-Angriffe 4.000.000 Euro
von Online-Nutzern gestohlen zu haben.
Die Phishing-E-Mails informierten die Empfänger über Aktualisierungen des Sicherheitssystems der entsprechenden Bank und forderten sie auf, auf einen beigefügten Link zu klicken, der dann auf eine Landing Page führte, auf der Anmeldedaten und TAN (Transaktionsauthentifizierungsnummer) abgefragt wurden. Nach dem Abgriff der Daten konnte auf die OnlineBanking Konten zugegriffen und Geld
Sobald sie die Anmeldeinformationen und den TAN-Code der Opfer hatten, konnten sie auf
das Online-Banking-Konten zugreifen und Geld transferieren.

November 2022

Wiederholte Fälle von Cybercrime bei Vodafone
Der britische Telekommunikationskonzern räumte ein, dass durch einen Angriff auf einen Drittanbieter eine große Menge an persönlichen Daten von Vodafone-Italien-Kunden erbeutet worden war.
Der Angriff wurde möglicherweise von dem Hacker-Kollektiv namens KelvinSecurity durchgeführt, das behauptete, italienische Vodafone-Daten in einem Cyberforum für kriminelle Errungenschaften zu verkaufen. Zu den gestohlenen Informationen gehören sowohl Vodafone-Kontodaten als auch personenbezogene Daten. Und das, obwohl das Unternehmen keine Netzunterbrechungen erlitten hat. Neben Datenleaks in Indien und Spanien, war dieser Vorfall eine der größten Datenpannen 2022 für Vodafone.

Datenpanne legt 3 TB an Thomson Reuters-Daten frei
Der internationale Medien-, Steuer- und Rechtsunternehmer Thomson Reuters hat eine Fehlkonfiguration eines seiner eigenen Server als Ursache für ein beträchtliches Datenleck Anfang November erkannt. Ein Cybersecurity-Forschungsteam stellte fest, dass auf drei ungeschützten Servern rund 3 TB an Nutzerdaten gespeichert waren, auf die kriminelle Akteure vereinfachten Zugriff hatten. Das abgeschöpfte Material scheint mit ElasticSearch in Verbindung zu stehen, einem CRM- Tool eines Drittanbieters, das von Thomson Reuters eingesetzt wird, um Daten zu sammeln und zu verwalten, die durch Interaktionen zwischen Benutzern und Kunden entstehen.
Die Daten enthielten Anmeldeinformationen, die den Zugang zu Servern von Drittanbietern ermöglichen könnten, was Bedenken hinsichtlich künftiger Angriffe auf Anbieter und Partner von Thomson Reuters weckt.

Dezember 2022:

Datenleak bei der der Partei „Forum voor Democratie“
Die niederländische Partei legt persönliche Daten ihrer Mitglieder offen. Versehentlich wurden die Namen, Adressen und Bankkontonummern aller 92.901 aktuellen und ehemaligen Mitglieder weitergegeben.
Auf ihrer Website bezeichnete die Partei den Vorfall als „möglichen feindlichen Angriff“ auf ihre IT-Systeme und erklärte, dass sie nach Abschluss der Ermittlungen eine Strafanzeige in Erwägung ziehe.
Obwohl dies darauf hindeutet, dass der Angriff das Ergebnis eines komplexen Eindringens in die Systeme der Website war – vielleicht als Ergebnis eines DDoS-Angriffs (Distributed Denial-of-Service) oder einer Ransomware – scheint der Verstoß zumindest teilweise selbst verschuldet gewesen zu sein.
Der Schaden entstand durch einen IT-Fehler in ForumApp, einem von der Partei Anfang des Monats eingerichteten System, durch den sensible Informationen online öffentlich zugänglich wurden.
Unabhängig von den betroffenen Finanzdaten geht aus dem Leck hervor, dass die Betroffenen Mitglieder des Forum voor Democratie sind. Nach der Datenschutz-Grundverordnung (GDPR) gilt die Mitgliedschaft in einer politischen Partei als hochsensible Information und unterliegt somit einem zusätzlichen Schutz.

Vermutlich 400 Millionen Twitter-Nutzerdaten von einem Hacker verkauft
Nachdem eine Sicherheitslücke ausfindig gemacht wurde, behauptete ein Cyberkrimineller am 23. Dezember 2022 in einem Dark-Web-Forum, über 400 Millionen Twitter-Nutzerdaten gestohlen zu haben. Die persönlichen Daten von 37 Personen sind in der Stichprobe enthalten, die direkt in dem Datensatz auf der Forumsseite zu finden ist. Der Hacke teilte auch einen Link zu den Daten von 1.000 weiteren Nutzern.
Einige Daten, wie Name, Benutzername, Anzahl der Follower und Datum der Kontoerstellung, sind bereits öffentlich zugänglich und können mit automatisierten Tools aus Twitter ausgelesen werden.
E-Mail-Adressen und Telefonnummern in diesem Beispielsatz von personenbezogenen Daten sind dafür anfällig, über eine Sicherheitslücke abgeschöpft zu werden. Bei einigen der E-Mail-Adressen handelt es sich um Geschäftsadressen, die bereits in den Biografien von Twitter-Konten aufgeführt sind.