Informationssicherheit und Datenschutz -Pannen 2019 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate. 

Oberlandesgericht Berlin wird gehackt – Informationssicherheit fraglich 

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung  besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit. 

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T-Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste … 

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben. 

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden. 

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden. 

2019-11 – Sicherheitslücke bei chinesischem Smartphone-Hersteller 

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt. 

2019-12 – Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm-, Kontakt- Kunden- und Transaktionsdaten. 

2020-02 – Vorfall in der Informationssicherheit bei Samsung 

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt. 

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten. 

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services. 

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten. 

2020-03 – Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin 

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis-, Bank-, Steuer- und Unternehmensdaten. 

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert. 

Am 28.01.2020 fand in Berlin der diesjährige, 14. Europäische Datenschutztag der Datenschutzkonferenz statt. Auf Initiative des Europarats jährt sich der Datenschutztag seit 2007 um den 28. Januar und wird in Deutschland als Veranstaltung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ausgerichtet.

In diesem Jahr lag das Augenmerk insbesondere auf Datenschutz im Kontext des Entwicklungsfortschritts der KI. Unter dem Motto „Künstliche Intelligenz – Zwischen Bändigung und Förderung“ wurden Freiheiten, Grundrechte und Schutzbedürfnisse bei der Schaffung von Rahmenbedingungen und der Entfaltung diesbezüglicher Aktivitäten thematisiert von Referenten aus Politik, Wissenschaft, Recht und den Teilnehmern.

Die Vorträge beschäftigten sich unter anderem mit den Themen:

  • Aspekte des Unionsrechts im Hinblick auf Digitalisierung und Datenschutz
  • Der Handlungsrahmen für KI-Anwendungen: Wirtschaft, Technik, Ethik und (Datenschutz-) Recht in Deutschland, Europa und der Welt“ und
  • Was verstehen Nutzer unter Algorithmen?

„Persönlich“ wurde es – in fachlicher Hinsicht – im Rahmen der Podiumsdiskussion zum „Nutzen und Schaden von KI für den Einzelnen – Was geht mich KI an?„. Die KI und ihr Datenschutz sind ein spannendes und lebendiges Thema, das jeden Alltag in naher Zukunft in greifbarer Weise bestimmen wird. Weitere Informationen zu dem Themenbereich erhalten Sie unter nachfolgenden Links.

Was meinen Sie zu dem Thema, liebe Leser? Freuen Sie sich auf Ihr erstes Roboterauto oder ist Ihnen das alles spooky? Sie können es uns im Kommentarfeld wissen lassen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicherheitskongress – KI         BSI – KI im Auto         Fraunhofer Institut – KI

a.s.k. Datenschutz braucht Verstärkung oder anders ausgedrückt – WIR SUCHEN DICH! 🙂

Aushilfskraft (m/w) mit technischem Hintergrund für befristete Unterstützung bei einigen Kundenprojekten gesucht. Kenntnisse im Bereich Cloud, Datenschutz und Informationssicherheit von Vorteil. Tätigkeit kann von jedem internetfähigen (nicht öffentlichen!) PC ausgeführt werden.

Kein Kundenkontakt, keine Akquise, reine Unterstützung im Backoffice.

Befristete Anstellung als Aushilfe, gerne auch Tätigkeit als freier Mitarbeiter – wie Sie es wünschen.

Kurzbewerbungen mit technischem Hintergrund bitte per Post an a.s.k. Datenschutz, Sascha Kuhrau, Schulstrasse 16a, 91245 Simmelsdorf oder per Mail an aushilfe201704@ask-datenschutz.de. Bitte bei Email-Bewerbungen beachten: Ihre Daten werden unverschlüsselt übertragen, solange Sie nicht unser S/MIME-Zertifikat für die Verschlüsselung einsetzen. Gerne senden wir Ihnen dies vorab per Mail zu.