Hackerangriffe auf Internetseiten, Datenbanken, oder Softwares stellen für Unternehmen eine echte Bedrohung dar. Dabei werden häufig Internetseiten, aber auch Dateiserver oder ganze Netzwerke Ziel eines Angriffs. Meistens ist das gar kein gezielter Angriff, sondern Hacker greifen zufällig leicht anzugreifende Ziele an. Über kostenlose Tools ist es ganz einfach möglich herauszufinden wo veraltete Programme installiert sind und welche Sicherheitslücken sie aufweisen. Diese Lücken werden dann genutzt und automatisiert angegriffen.
Die große Herausforderung für Unternehmen ist dabei nicht nur einen Angriff zu identifizieren und abzuwehren, sondern auch entsprechend der Datenschutzgrundverordnung vorzugehen. Sie müssen die Lücken identifizieren, schließen und entsprechend das ganze dokumentieren. Eventuell müssen Betroffene angeschrieben und informiert werden. Das zieht einen Rattenschwanz an Arbeit nach sich. Wir unterstützen Sie dabei! Einer unserer Mandanten wurde kürzlich angegriffen.
Im Mai 2020 ist einer unserer Mandanten einem Hackerangriff zum Opfer gefallen. Er hatte sich entschlossen, eine bereits existierte Software zu kaufen und sie selbst weiterzuentwickeln. Die Programmierung des neuen Projekts hat er outgesourct und an einem anderen Entwickler übergeben.
Das Framework des Programms war eine veraltete Version von “Laravel“, bei der die Sicherheitsupdates fehlten. Darüber hinaus haben die betroffenen schwache und unsichere Kennwörter für den Zugang zum Adminbereich verwendet, die sehr leicht knackbar waren. Zudem hat das Unternehmen keine Backups automatisiert erstellt, um die Daten wiederherzustellen, falls diese verloren gegangen sind.
Der Hacker hat diese Schwachstellen im Programm ausgenutzt und sich über diese Lücken Zugang zur zentralen Datenbank verschafft. Als Nächstes hat der Hacker die Daten extern gesichert, verschlüsselt und vom Server gelöscht. Dadurch ist das Programm abgestürzt und die Nutzer konnten das “Tool” nicht mehr benutzen.
Der Hacker hat dem Mandanten einen Hinweis hinterlassen, dass er gegen 500€ als Bitcoin die Daten zurückkaufen kann, sonst wird er die Daten endgültig löschen und somit sein Geschäft zerstören.
Der Betreiber hat sich an uns als Software– und Datenschutzunternehmen gewendet. Wir haben erstmal das Problem analysiert und haben folgende Schritte durchgeführt:
Unser Team hat direkt die technischen Probleme identifiziert und die Gegenmaßnahmen bestimmt. Aber bevor wir mit der Implementierung der Lösung angefangen haben, wollten wir erstmal die rechtliche Seite von dem Vorfall klären. Entsprechend haben wir dem Kunden empfohlen, eine Strafanzeige gegen Hackerangriff bei der Polizei zu stellen und haben dann geprüft, ob es sich um einen meldepflichtigen Vorfall an die Aufsichtsbehörde für Datenschutz handelt. Nachdem wir die rechtliche Seite geklärt haben, haben wir mit den technischen Lösungen begonnen.
Als Erstes haben wir die Zugangsdaten geändert und die Logfiles gesichert. Hier wird geschaut, wie die Hacker ins System kamen und ob sie spuren hinterlassen haben, die uns Hinweise über ihre Identität liefern können. Danach haben wir die aktuellen Sicherheitsupdates installiert und die unsicheren Programmierstellen identifiziert und korrigiert.
Anschließend haben wir das Backup des Providers eingespielt und Daten wiederhergestellt. Um einen solchen Vorfall in der Zukunft zu vermeiden, haben wir eine externe Datensicherung für den Kunden erstellt und die Daten darauf automatisiert gesichert.
Der Kunde könnte innerhalb kurzer Zeit die Plattform für die Öffentlichkeit wieder freischalten. Wir haben somit unsere Mission erfolgreich abgeschlossen 🙂
Bei Hackerangriffen wenden sich viele Unternehmen direkt an IT-Dienstleistern, um das Problem möglichst schnell in den Griff zu bekommen. Jedoch wird die rechtliche Seite, darunter auch Datenschutz, komplett vernachlässigt oder sogar vergessen. Dies kann zu sehr großen Probleme führen und kann schlimmere Konsequenzen nach sich ziehen – auch wenn der Hackerangriff vorbei ist.
Laut Artikel 33 DSGVO müssen Unternehmen, immer wenn Daten verloren gegangen sind oder unbefugte Zugriff darauf hatten, den Sachverhalt intensiv untersuchen, dokumentieren, und innerhalb von 72 Stunden bei der Aufsichtsbehörde melden.
Stellen Unternehmen heraus, dass das Risiko für die betroffenen Personen hoch ist, sind sie Laut Artikel 34 DSGVO verpflichtet, diese Personen zu informieren.
Damit das alles reibungslos läuft und es zu keinen hohen Bußgeldern kommt, übernehmen wir für unsere Mandanten verschiedene Arbeiten:
Damit ist unser Mandant optimal abgesichert, falls er doch einmal Opfer von Hackerangriff wird.
Input your search keywords and press Enter.
