AKDB LogoWir sind heu­te zu Gast als Refe­rent auf einer Infor­ma­ti­ons­ver­an­stal­tung für IT- und Geschäfts­lei­ter der baye­ri­schen Land­rats­äm­ter, kreis­frei­en Städ­te und Bezir­ke der AKDB (Anstalt für kom­mu­na­le Daten­ver­ar­bei­tung Bay­ern) in Regensburg.

Unser The­ma “Pra­xi­scheck Daten­si­cher­heit: Schwach­stel­len und Risi­ken erken­nen und bekämp­fen — der BSI IT Grund­schutz­ka­ta­log als Werk­zeug­kof­fer”.

Wir freu­en uns auf zahl­rei­che neue Kon­tak­te, Dis­kus­sio­nen und Fragen.

Die Geis­ter, die ich rief

Nur böse Zun­gen behaup­ten, PwC hät­te mit der vor­ge­leg­ten Stu­die zum Daten­schutz in Unter­neh­men (“Nichts dazu­ge­lernt? Unter­neh­men pfei­fen auf Daten­schutz”) die bösen Geis­ter geru­fen, die nun dazu füh­ren, daß rei­hen­wei­se bekann­te und teil­wei­se glo­ba­le Mar­ken­un­ter­neh­men mit Daten­pan­nen in den Medi­en landen.

Man muß kein Insi­der sein, um zu erken­nen, daß ein Gemisch aus laxem Umgang mit dem The­ma Daten­schutz, teil­wei­se ver­al­te­ten IT-Sicher­heits­me­cha­nis­men und dem Fak­tor Mensch die Ursa­che ist.

Der Nächs­te bitte

Nach Sony, Apple, Face­book, Necker­mann, Acer, o2, citi­bank war nun laut meh­re­ren Medi­en­be­rich­ten Sega an der Rei­he. Deren Online-Netz­werk Sega-Pass sei ange­grif­fen und Kun­den­da­ten ent­wen­det wor­den. Betrof­fen sol­len Per­so­nen­da­ten sowie die ver­schlüs­sel­ten Pass­wör­ter sein. Zah­lungs­da­ten wären wohl nicht betroffen.

Reden ist Sil­ber, Schwei­gen ist Gold

Sega hat das Pass-Sys­tem der­weil vom Netz genom­men, angeb­lich um neue Funk­tio­nen ein­zu­pfle­gen. Eine offi­zi­el­le Stel­lung­nah­me zu dem mög­li­chen Vor­fall ist nicht zu finden.

Die Hin­ter­män­ner

Unklar ist zur Zeit noch, wer hin­ter der Atta­cke ste­cken könn­te. Die Hacker­grup­pe Lulz­Sec, die sich zu dem Angriff auf Sony bekann­te, weist jede Ver­ant­wor­tung von sich. Iro­ni­scher­wei­se bie­tet sie Sega bei Twit­ter nun Hil­fe an, die Schul­di­gen aufzuspüren:

Lulz­Sec: “@Sega — con­ta­ct us. We want to help you des­troy the hackers that atta­cked you. We love the Dream­cast, the­se peop­le are going down.”

Vor­beu­gen ist besser

Früh­zei­ti­ge Ein­bin­dung des Daten­schutz­be­auf­trag­ten in (IT-) Pro­jek­te, regel­mä­ßi­ges Moni­to­ring der inter­nen IT-Sicher­heits­maß­nah­men, Aktua­li­sie­rung der IT-Sys­te­me (z.B. Sicher­heits­patches), grund­le­gen­de Model­lie­rung nach dem BSI Grund­schutz­ka­ta­log sowie fort­lau­fen­de Sen­si­bi­li­sie­rung der Mit­ar­bei­ter und Unter­neh­mens­lei­tung zum The­ma Daten­schutz und Daten­si­cher­heit schlie­ßen zwar sol­che Daten­pan­nen nicht aus, redu­zie­ren aber das Risi­ko deut­lich. Ein guter Daten­schutz­be­auf­trag­ter hält als Kri­sen­ma­na­ger für den hof­fent­lich nicht ein­tre­ten­den Fall einer Daten­pan­ne eine fest­ge­leg­te Ver­fah­rens­wei­se parat, wel­che den offe­nen Umgang mit dem Vor­fall im Zusam­men­spiel mit den Daten­schutz­be­hör­den und den Betrof­fe­nen vorsieht.

Sie haben gar kei­nen Daten­schutz­be­auf­trag­ten im Unter­neh­men? Dann ver­sto­ßen Sie mög­li­cher­wei­se bereits ganz ohne Daten­pan­ne gegen das Bun­des­da­ten­schutz­ge­setz und set­zen Ihr Unter­neh­men unnö­tig einem Buß­gel­dri­si­ko bis 50.000 EUR aus. Im Zwei­fel nut­zen Sie unse­ren Online-Fra­ge­bo­gen und erhal­ten Klar­heit in Ver­bin­dung mit einem trans­pa­ren­ten und nach­voll­zieh­ba­ren Ange­bot zu dar­stell­ba­ren Preisen.

Guckst Du …

Da staun­ten die Mit­ar­bei­ter des Bad Hers­fel­der Land­rat­amts nicht schlecht, als sie am 01.02.2011 zur Arbeit erschie­nen. Kein Inter­net, kei­ne Emails, kein Dru­cken. Die Bild­schir­me der Kfz-Zulas­sungs­stel­le blie­ben schwarz, die Geld­au­to­ma­ten der Sozi­al­kas­se out of order.

Der Feh­ler steckt im Detail …

Wobei besag­tes Detail sich dann doch als etwas grö­ßer her­aus­stell­te — es fehl­ten 10 der 20 Ser­ver im Rech­ner­raum. Ein­bruch, jedoch wur­den kei­ne wei­te­ren Ver­mö­gens­wer­te ver­misst. Das ser­ver­sei­ti­ge Alarm­sys­tem war wenig durch­dacht. Es lös­te ledig­lich Email-Alarm im inter­nen Netz aus. Da nachts jedoch kein Mit­ar­bei­ter vor dem Bild­schirm weilt, lief der Alarm ins Lee­re. Die Die­be schul­ter­ten also gleich Ser­ver samt Alarm­sys­tem und zogen unge­stört von dannen.

Wir haben es ja schon immer gewußt …

Pein­lich: die ermit­teln­de Kri­mi­nal­po­li­zei wuss­te um die unge­nü­gen­den Sicher­heits­maß­nah­men und hat die Behör­de in der Ver­gan­gen­heit mehr­mals auf das Risi­ko hin­ge­wie­sen. Was ist pas­siert? Nichts. Nach wie vor bestand die Siche­rung des Ser­ver­raums aus Holz­tü­ren mit ein­fa­chen Schlössern.

Ja aber …

Was ging neben der Hard­ware ver­lo­ren? Ein Quer­schnitt an Daten, die in einem Land­rats­amt anfal­len. Die Behör­de ver­such­te zu beschwich­ti­gen, die per­so­nen­be­zo­ge­nen Daten und Vor­gän­ge auf den Ser­vern sei­en alle verschlüsselt.

Aus­sit­zen …

Wie sicher die Schlüs­sel waren, wel­che Daten nun genau ver­lo­ren gin­gen und wel­cher finan­zi­el­le Scha­den durch den Ein­bruch dem Steu­er­zah­ler ent­stan­den sei, woll­te die ct in einem Inter­view erfah­ren. Die Behör­de ver­wei­ger­te die Auskunft.

Und nun …

Bleibt nur die Emp­feh­lung, beson­ders an die Ver­ant­wort­li­chen des Bad Hers­fel­der Land­rat­amts, aber auch an jeden für die IT-Sicher­heit Ver­ant­wort­li­chen in Unter­neh­men sich aktiv mit dem sog. BSI Grund­schutz-Kata­log aus­ein­an­der­zu­set­zen. Die­ser hält zahl­rei­che Prüf- und Schutz­maß­nah­men zur Abwehr sol­cher Vor­fäl­le parat.