Immer häufiger werden kleine und mittelständische Unternehmen Ziel von gezielten Hackerangriffen. Fatalerweise vertrauen viele Unternehmensleitungen darauf, dass ihre Firma nicht angegriffen wird, weil es „nichts zu holen“ gibt. Oder sie glauben, nichts gegen die Angriffe tun zu können, wenn die Hacker sie ins Visier nehmen. Als Datenschützer sagen wir Ihnen: Werden Sie aktiv und schützen Sie Ihr Unternehmen und die personenbezogenen Daten, für die Sie verantwortlich sind. Dies ist nicht nur wichtig, um einen drohenden Imageverlust durch einen erfolgreichen Hackerangriff zu vermeiden, sondern auch um bußgeldbewährte Datenschutzvorfälle zu verhindern. Dass diese Gefahr real ist, zeigen zwei aktuellere Fälle aus der Datensicherheit.

Gemeinde wird Opfer von Ransomware-Angriff und verliert etwa 30.000 Dokumente

Anfang des Jahres wurde einer Gemeinde ein erfolgreicher Ransomware-Angriff zum Verhängnis. Bei einem solchen Angriff werden IT-Systeme von den Kriminellen so verschlüsselt, dass der Verantwortliche selbst nicht mehr an die Daten gelangt, sondern – nach Zahlung von Lösegeld – auf die freiwillige Entschlüsselung durch die Kriminellen angewiesen ist. Hierbei erlitt die Gemeinde einen schwerwiegenden Datenschutzvorfall. Die Kriminellen verschlüsselten etwa 30.000 Dokumente von Bürgern und Mitarbeitern und kopierten zuvor die Daten. Zudem löschten sie die Sicherheitskopien („Backup“) der Daten. Diese Dokumente enthielten teils sensible Informationen der Betroffenen. Die Gemeinde meldete den Datenschutzvorfall an die zuständige Aufsichtsbehörde. Diese wiederum verhängte ein Bußgeld von über 400.000 € gegen die Gemeinde. Hierbei stellte die Behörde fest, dass die Gemeinde keine ausreichenden TOM (technischen und organisatorischen Maßnahmen) zur Datensicherheit eingehalten hatte. Insbesondere habe es an einem funktionieren und ausreichend geschützten Backup-System gefehlt und zudem sei eine Zwei-Faktor-Authentifizierung erforderlich gewesen, um den Angriff zu vereiteln.

In diesem Blogartikel erfahren Sie mehr zum Thema TOM: https://sidit.de/blog/wann-sind-die-tom-sicher-genug

Zu einfaches Passwort führt zu Datenklau bei Unternehmen

Ein weiterer Fall, bei dem ein Unternehmen keine ausreichenden TOM einsetzte, führte ebenso zu einem Bußgeld in Höhe von 400.000 €. Hier hatten die Hacker sehr leichtes Spiel. Mittels eines Benutzer-Accounts eines IT-Mitarbeiters verschafften sich die Kriminellen sehr einfach Zugang zu den IT-Systemen. Leider war der Account nur mit einem sehr schwachen Passwort geschützt. Deshalb hatten die Hacker leichtes Spiel. Auch in diesem Fall hätte eine Multi-Faktor-Authentifizierung für wesentlich mehr Sicherheit gesorgt. Leider war eine solche nicht implementiert, sodass die Kriminellen etwa 83.000 Datensätze illegal herunterladen konnten.

Welche Probleme veraltete Software verursachen kann, lesen Sie hier: https://sidit.de/blog/bussgeld-wegen-alter-sicherheitssoftware-auf-webseite/

Zur Frage der Dringlichkeit von Backups erfahren Sie mehr unter: https://sidit.de/blog/wie-dringlich-sind-back-ups/

Suchen Sie einen kompetenten Datenschutzbeauftragten? Melden Sie sich noch heute unter: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Kein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.