Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Rheinland-Pfalz warnt vor einer neuen Welle von Schadsoftware, die zu einem Anstieg von Datenpannen mit Datenschutzverletzungen führten und führen. In den vergangenen Tagen sind zahlreiche Organisationen und Betriebe in Rheinland-Pfalz mit einer neuartigen Schadsoftware vergleichbar der Schadsoftware Emotet infiziert worden.
Blog-Leser 1ST1 hatte in diesem Kommentar bereits einen Hinweis auf diese Warnung gegeben. Da die Kommentare aber schnell verschwinden, ziehe ich das Ganze mal in einen eigenen Artikel.
Malware-Kampagne: Phishing-Mails mit Anhang
Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) sind seit dem 20. Mai acht entsprechende Datenpannen gemeldet worden. Es sind Unternehmen als auch öffentliche Stellen von den Angriffen betroffen.
Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, bei der der Schädling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Ist die Schadsoftware erstmal in IT-Systeme eingedrungen, kann sie unter Umständen andere Schadprogramme nachladen.
Datenabfluss ist unbekannt
Der Landesbeauftragte für den Datenschutz schreibt, das aktuell unklar sei, ob und gegebenenfalls in welchem Umfang bei den jüngsten Angriffen in Rheinland-Pfalz über die Daten aus der E-Mail-Kommunikation hinaus weitere Daten abgeflossen sind. Der Datenschützer ist da auf die Angaben der Betroffenen angewiesen, die wohl noch untersuchen, auf was zugegriffen wurde.
Nach den ersten Angaben der Verantwortlichen der betroffenen Unternehmen und Einrichtungen sind bisher keine weiteren Abflüsse von Daten festgestellt worden. Dies sei jedoch Gegenstand weiterer Ermittlungen, so der Landesbeauftragte für den Datenschutz.
Datenschutzrechtlich sind Angriffe mit der neuartigen Schadsoftware problematisch, weil durch den Abfluss der E-Mails personenbezogene Daten unbefugten Dritten bekannt werden. Diese E-Mails können, je nach Zusammenhang, sensible Daten der Absender enthalten. Es gibt also jeweils ein Datenschutzverfahren der Aufsichtsbehörde.
So laufen die Angriffe ab
Die Angriffe verlaufen in der Regel nach folgendem Muster: Die Schadsoftware liest, sobald sie erfolgreich auf dem System des Opfers ausgeführt wird, Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Anschließend werden authentisch aussehende Spam-Mails an die Empfänger aus der Kontaktliste verschickt. Diese erhalten also fingierte Mails von Absendern, mit denen sie kürzlich tatsächlich in Kontakt standen. Dies erhöht das Risiko, dass den E-Mails Vertrauen entgegengebracht wird.
Die Beschreibungen der Betroffenen in Rheinland-Pfalz in den vergangenen Tagen ähneln sich in diesem Sinne: E-Mails mit den Adressen der betroffenen Unternehmen und Einrichtungen sind an Personen gegangen, die aus zwei Elementen bestanden.
- Im oberen Teil der E-Mail war ein kurzer Satz mit einem Link enthalten, über den womöglich eine Infektion erfolgen könnte.
- Im unteren Teil der E-Mail war eine ältere E-Mail angehängt, die die Person zuvor an das Unternehmen oder die Einrichtung gesandt hatte.
Zudem müssen die Mails wohl einen Anhang mit der Schadsoftware enthalten haben, den die Opfer öffneten. Zumindest interpretiere ich die Sachlage so.
Datenschutzrechtliche Einordnung und Verhalten
Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) gibt auch eine rechtliche Einschätzung ab. Bei einem Befall mit der neuartigen Schadsoftware liegt datenschutzrechtlich eine Datenschutzverletzung vor, die nach Artikel 33 DS-GVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist.
Nach einem Angriff sollten alle betroffenen Personen, das heißt alle E-Mail-Absender, die sich im Postfach des infizierten Unternehmens befinden, nach dem Motto „Sharing is caring“ (Vorbeugen durch Informationen teilen) über den Vorfall informiert werden, um eine Ausbreitung zu verhindern.
Handelt es sich bei den betroffenen E-Mails um E-Mails mit sensiblen Inhalten wie besonders geschützte Daten nach Art. 9 DS-GVO, ist von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen. In diesen Fällen unterliegt der Verantwortliche einer Pflicht zur Benachrichtigung der betroffenen Personen nach Art. 34 Abs. 1 DS-GVO.
Empfehlung: Mitarbeiter sensibilisieren
Der LfDI empfiehlt den betroffenen Unternehmen und Organisationen ihre Mitarbeiter für die neue Welle von Phishing-Mails zu sensibilisieren und die Sicherheitsvorkehrung des Bundesamts für Sicherheit in der Informationstechnik zur Vorbeugung eines Angriffs zu befolgen. Weitere Informationen gibt es beim Bundesamt und dem Bayerischen Landesamt für Datenschutzaufsicht.
Der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht stellen eine Checkliste mit Best-Practice-Maßnahmen zur Sicherstellung der Verfügbarkeit bezüglich Cyberattacken in medizinischen Einrichtungen zur Verfügung.
Ich würde gerne mal genauere Details zu den Anhängen wissen, wie die meisten Infektionen aktuell ablaufen. Sind immer noch die Makro Viren das Haupteinfallstor?