Informationssicherheit und Datenschutz -Pannen 2019 2020

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­ein­ter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­pho­ne-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­pho­ne-Her­stel­ler OnePlus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­pho­nes über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Am 28.01.2020 fand in Ber­lin der dies­jäh­ri­ge, 14. Euro­päi­sche Daten­schutz­tag der Daten­schutz­kon­fe­renz statt. Auf Initia­ti­ve des Euro­pa­rats jährt sich der Daten­schutz­tag seit 2007 um den 28. Janu­ar und wird in Deutsch­land als Ver­an­stal­tung der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der ausgerichtet.

In die­sem Jahr lag das Augen­merk ins­be­son­de­re auf Daten­schutz im Kon­text des Ent­wick­lungs­fort­schritts der KI. Unter dem Mot­to “Künst­li­che Intel­li­genz — Zwi­schen Bän­di­gung und För­de­rung” wur­den Frei­hei­ten, Grund­rech­te und Schutz­be­dürf­nis­se bei der Schaf­fung von Rah­men­be­din­gun­gen und der Ent­fal­tung dies­be­züg­li­cher Akti­vi­tä­ten the­ma­ti­siert von Refe­ren­ten aus Poli­tik, Wis­sen­schaft, Recht und den Teilnehmern.

Die Vor­trä­ge beschäf­tig­ten sich unter ande­rem mit den Themen:

  • Aspek­te des Uni­ons­rechts im Hin­blick auf Digi­ta­li­sie­rung und Daten­schutz
  • Der Hand­lungs­rah­men für KI-Anwen­dun­gen: Wirt­schaft, Tech­nik, Ethik und (Daten­schutz-) Recht in Deutsch­land, Euro­pa und der Welt” und
  • Was ver­ste­hen Nut­zer unter Algo­rith­men?

“Per­sön­lich” wur­de es — in fach­li­cher Hin­sicht — im Rah­men der Podi­ums­dis­kus­si­on zum “Nut­zen und Scha­den von KI für den Ein­zel­nen — Was geht mich KI an?”. Die KI und ihr Daten­schutz sind ein span­nen­des und leben­di­ges The­ma, das jeden All­tag in naher Zukunft in greif­ba­rer Wei­se bestim­men wird. Wei­te­re Infor­ma­tio­nen zu dem The­men­be­reich erhal­ten Sie unter nach­fol­gen­den Links.

Was mei­nen Sie zu dem The­ma, lie­be Leser? Freu­en Sie sich auf Ihr ers­tes Robo­ter­au­to oder ist Ihnen das alles spoo­ky? Sie kön­nen es uns im Kom­men­tar­feld wis­sen las­sen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicher­heits­kon­gress — KI         BSI — KI im Auto         Fraun­ho­fer Insti­tut — KI

a.s.k. Daten­schutz braucht Ver­stär­kung oder anders aus­ge­drückt — WIR SUCHEN DICH! 🙂

Aus­hilfs­kraft (m/​w) mit tech­ni­schem Hin­ter­grund für befris­te­te Unter­stüt­zung bei eini­gen Kun­den­pro­jek­ten gesucht. Kennt­nis­se im Bereich Cloud, Daten­schutz und Infor­ma­ti­ons­si­cher­heit von Vor­teil. Tätig­keit kann von jedem inter­net­fä­hi­gen (nicht öffent­li­chen!) PC aus­ge­führt werden.

Kein Kun­den­kon­takt, kei­ne Akqui­se, rei­ne Unter­stüt­zung im Backoffice.

Befris­te­te Anstel­lung als Aus­hil­fe, ger­ne auch Tätig­keit als frei­er Mit­ar­bei­ter — wie Sie es wünschen.

Kurz­be­wer­bun­gen mit tech­ni­schem Hin­ter­grund bit­te per Post an a.s.k. Daten­schutz, Sascha Kuhrau, Schul­stras­se 16a, 91245 Sim­mels­dorf oder per Mail an aushilfe201704@​ask-​datenschutz.​de. Bit­te bei Email-Bewer­bun­gen beach­ten: Ihre Daten wer­den unver­schlüs­selt über­tra­gen, solan­ge Sie nicht unser S/MI­ME-Zer­ti­fi­kat für die Ver­schlüs­se­lung ein­set­zen. Ger­ne sen­den wir Ihnen dies vor­ab per Mail zu.