Zum Inhalt springen

Hacker

Ever­no­te erfolg­reich gehackt — Mil­lio­nen Nut­zer­da­ten und Pass­wör­ter abgegriffen

Der cloud­ba­sier­te Notiz­ser­vice Ever­no­te wur­de Opfer eines erfolg­rei­chen Hacker­an­griff. Dies ver­laut­bar­te das Unter­neh­men ges­tern auf sei­nem Blog.

 

Lapi­dar wird über den Zugriff und das Aus­le­sen von ca. 50 Mil­lio­nen Nut­zer­pro­fi­len samt Pass­wör­tern berich­tet. Letz­te­re waren ver­schlüs­selt und bei Ever­no­te ist man sich ziem­lich sicher, das eine Ent­schlüs­se­lung nicht mög­lich sei. Den­noch hat das Unter­neh­men alle Pass­wör­ter zurück­ge­setzt. Sobald sich ein Nut­zer ein­loggt, wird er zur Ver­ga­be eines neu­en Pass­worts auf­ge­for­dert. Eine wei­te­re Auf­klä­rung des Nut­zers über das War­um und Wie­so unter­läßt Ever­no­te an die­ser Stel­le. Die Grün­de muss der Nut­zer selbst im Web recherchieren.

Nach Anga­ben von Ever­no­te sei­en kei­ne Zah­lungs­da­ten von Pre­mi­um-Nut­zern betrof­fen gewesen.

Update 03.03.2013, 15 Uhr: Mitt­ler­wei­le ver­sen­det das Unter­neh­men Emails an die Account-Inha­ber mit einer ent­spre­chen­den Erklä­rung des Vor­falls. Es han­delt sich dabei um eine Über­set­zung des ein­gangs erwähn­ten Blogbeitrags.

Sony wehrt sich gegen Geld­stra­fe wegen Hacker­an­griffs auf sein Play­sta­ti­on Network

2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­geld­ri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.

Bliz­zards batt​le​.net gehackt

Am 04. August 2012 wur­de die Spie­le­platt­form batt​le​.net des Anbie­ters Bliz­zard gehackt. Betrof­fen sind neben der Email-Adres­se (alle Regio­nen außer Chi­na) auch Sicher­heits­ab­fra­gen (zumin­dest von Spie­le-Ser­vern aus Nord­ame­ri­ka). Am 09.08.2012 stell­te Bliz­zard eine offi­zi­el­le Stel­lung­nah­me ins Netz. Mit erhöh­tem Spam­auf­kom­men für Nut­zer von batt​le​.net ist zu rech­nen. Bliz­zard warnt wei­ter­hin vor mög­li­chen Phis­hing-Emails und rät zum zeit­na­hen Wech­sel der Zugangs­pass­wör­ter (Ser­ver Nordamerika).

Phis­hing-Emails an Kun­den von K&M Elektronik

Mehr oder weni­ger hei­ter weiter

hei­se secu­ri­ty infor­miert heu­te im News­ti­cker über einen aktu­el­len Miß­brauch von Kun­den­da­ten nach einer bereits län­ger zurück­lie­gen­den Daten­pan­ne — die­ses Mal bei dem bekann­ten Elek­tronik­händ­ler K&M Elek­tro­nik. Damit reiht sich das Unter­neh­men in eine ste­tig wach­sen­de Lis­te illus­trer Mar­ken­un­ter­neh­men mit Daten­pan­nen ein.

Seit 2009 in den Hän­den von Hackern

Wie das Unter­neh­men gegen­über dem Ver­lag bestä­tig­te, ist die Kun­den­da­ten­bank bereits im Novem­ber 2009 in die Hän­de von Hackern gefal­len, Anschrif­ten und EMail-Adres­sen inklu­si­ve. Trotz wei­te­rer Sicher­heits­maß­nah­men wur­den im Mai 2011 erneut Kun­den­da­ten entwendet.

Phis­hing frei Haus

Die betrof­fe­nen Inha­ber der gestoh­le­nen Email-Adres­sen erhiel­ten nun die fro­he Bot­schaft ins Post­fach: K&M gibt zum 15-jäh­ri­gen Jubi­lä­um des Online-Shops einen Gut­schein aus. Link ankli­cken, Gut­schein per Java-App­let gleich erstel­len las­sen und den Gut­schein­code einlösen.

Der Haken: das Java-App­let küm­mert sich nicht um den Wunsch des Besu­chers nach einem Gut­schein, son­dern ver­folgt eige­ne Inter­es­sen. Eine Schad­rou­ti­ne wird nach­ge­la­den und instal­liert, das Sys­tem des arg­lo­sen Besu­chers ist verseucht.

Kri­sen­ma­nage­ment?

K&M reagier­te, nahm die allem Anschein nach mit­tels SQL-Injec­tion ver­seuch­ten Sys­te­me vom Netz.  und infor­mier­te über die Face­book-Sei­te des Unter­neh­mens. Da auf den befal­le­nen Sys­te­men eben­falls die Mail­funk­tio­nen ablie­fen, konn­ten die betrof­fe­nen Kun­den nicht per Email infor­miert und gewarnt werden.

Mitt­ler­wei­le ist die Sicher­heits­lü­cke geschlos­sen, die Sys­te­me sind wie­der online. Ein Hin­weis im Online-Shop infor­miert Besu­cher über die Phis­hing-Gefahr. Es fehlt jedoch jeg­li­cher Hin­weis auf die zuvor gehack­ten Kun­den­da­ten. Laut Mel­dung des hei­se-Tickers sieht K&M auch kei­ne direk­te Infor­ma­ti­on der Betrof­fe­nen z.B. per Email vor. Wie übri­gens schon zuvor nicht, als in der Ver­gan­gen­heit die Kun­den­da­ten abhan­den gekom­men sind.

Kri­sen­ma­nage­ment und das Ernst­neh­men der Daten­schutz­in­ter­es­sen von Kun­den sehen anders aus. Die­se Ansicht tei­len die meis­ten Kom­men­ta­to­ren der Face­book-Mel­dung vom K&M. Das sel­be Bild zeich­net sich eben­falls in den Foren­bei­trä­gen auf hei­se online ab — “the cus­to­mers are not amu­sed” in Anbe­tracht einer sol­chen Informationspolitik.

Vor­beu­gen ist besser …

… als hin­ter­her die Scher­ben zusam­men­zu­keh­ren. Die­ses State­ment fin­det auf alle pro­mi­nen­ten Daten­pan­nen der letz­ten Tagen und Wochen Anwen­dung. Was emp­fiehlt der Daten­schutz­be­auf­trag­te eines Unter­neh­mens? BSI Grund­schutz­ka­ta­log, regel­mä­ßi­ge Stress­tests und Sicher­heits­up­dates, kon­ti­nu­ier­li­che Sen­si­bi­li­sie­rung der Mit­ar­bei­ter und Unter­neh­mens­lei­tung und … und … und …

Sie haben gar kei­nen Daten­schutz­be­auf­trag­ten? Das könn­te ein Pro­blem sein. Liegt näm­lich eine Bestell­pflicht vor, ris­kie­ren Sie bereits jetzt ein Buß­geld — ganz ohne Daten­pan­ne. Spre­chen Sie uns an — wir prü­fen kos­ten­frei, ob eine sol­che Bestell­pflicht für Ihr Unter­neh­men vorliegt.

Jeder darf mit­ma­chen — nun auch Daten­pan­ne bei Sega

Die Geis­ter, die ich rief

Nur böse Zun­gen behaup­ten, PwC hät­te mit der vor­ge­leg­ten Stu­die zum Daten­schutz in Unter­neh­men (“Nichts dazu­ge­lernt? Unter­neh­men pfei­fen auf Daten­schutz”) die bösen Geis­ter geru­fen, die nun dazu füh­ren, daß rei­hen­wei­se bekann­te und teil­wei­se glo­ba­le Mar­ken­un­ter­neh­men mit Daten­pan­nen in den Medi­en landen.

Man muß kein Insi­der sein, um zu erken­nen, daß ein Gemisch aus laxem Umgang mit dem The­ma Daten­schutz, teil­wei­se ver­al­te­ten IT-Sicher­heits­me­cha­nis­men und dem Fak­tor Mensch die Ursa­che ist.

Der Nächs­te bitte

Nach Sony, Apple, Face­book, Necker­mann, Acer, o2, citi­bank war nun laut meh­re­ren Medi­en­be­rich­ten Sega an der Rei­he. Deren Online-Netz­werk Sega-Pass sei ange­grif­fen und Kun­den­da­ten ent­wen­det wor­den. Betrof­fen sol­len Per­so­nen­da­ten sowie die ver­schlüs­sel­ten Pass­wör­ter sein. Zah­lungs­da­ten wären wohl nicht betroffen.

Reden ist Sil­ber, Schwei­gen ist Gold

Sega hat das Pass-Sys­tem der­weil vom Netz genom­men, angeb­lich um neue Funk­tio­nen ein­zu­pfle­gen. Eine offi­zi­el­le Stel­lung­nah­me zu dem mög­li­chen Vor­fall ist nicht zu finden.

Die Hin­ter­män­ner

Unklar ist zur Zeit noch, wer hin­ter der Atta­cke ste­cken könn­te. Die Hacker­grup­pe Lulz­Sec, die sich zu dem Angriff auf Sony bekann­te, weist jede Ver­ant­wor­tung von sich. Iro­ni­scher­wei­se bie­tet sie Sega bei Twit­ter nun Hil­fe an, die Schul­di­gen aufzuspüren:

Lulz­Sec: “@Sega — cont­act us. We want to help you des­troy the hackers that atta­cked you. We love the Dream­cast, the­se peo­p­le are going down.”

Vor­beu­gen ist besser

Früh­zei­ti­ge Ein­bin­dung des Daten­schutz­be­auf­trag­ten in (IT-) Pro­jek­te, regel­mä­ßi­ges Moni­to­ring der inter­nen IT-Sicher­heits­maß­nah­men, Aktua­li­sie­rung der IT-Sys­te­me (z.B. Sicher­heits­patches), grund­le­gen­de Model­lie­rung nach dem BSI Grund­schutz­ka­ta­log sowie fort­lau­fen­de Sen­si­bi­li­sie­rung der Mit­ar­bei­ter und Unter­neh­mens­lei­tung zum The­ma Daten­schutz und Daten­si­cher­heit schlie­ßen zwar sol­che Daten­pan­nen nicht aus, redu­zie­ren aber das Risi­ko deut­lich. Ein guter Daten­schutz­be­auf­trag­ter hält als Kri­sen­ma­na­ger für den hof­fent­lich nicht ein­tre­ten­den Fall einer Daten­pan­ne eine fest­ge­leg­te Ver­fah­rens­wei­se parat, wel­che den offe­nen Umgang mit dem Vor­fall im Zusam­men­spiel mit den Daten­schutz­be­hör­den und den Betrof­fe­nen vorsieht.

Sie haben gar kei­nen Daten­schutz­be­auf­trag­ten im Unter­neh­men? Dann ver­sto­ßen Sie mög­li­cher­wei­se bereits ganz ohne Daten­pan­ne gegen das Bun­des­da­ten­schutz­ge­setz und set­zen Ihr Unter­neh­men unnö­tig einem Buß­geld­ri­si­ko bis 50.000 EUR aus. Im Zwei­fel nut­zen Sie unse­ren Online-Fra­ge­bo­gen und erhal­ten Klar­heit in Ver­bin­dung mit einem trans­pa­ren­ten und nach­voll­zieh­ba­ren Ange­bot zu dar­stell­ba­ren Preisen.

Daten­pan­ne bei Necker­mann: 1,2 Mil­lio­nen Gewinn­spiel­teil­neh­mer betroffen

1,2 Mil­lio­nen Daten­sät­ze gehackt

Laut eige­ner Pres­se­mit­tei­lung vom 31.05.2011 wur­de die necker​mann​.de GmbH Opfer eines Hacker­an­griffs. Am 26.05.2011 nah­men Hacker Zugriff auf die IT-Sys­te­me und ent­wen­de­ten die Daten von 1,2 Mil­lio­nen Gewinn­spiel­teil­neh­mern. Adress- und Zah­lungs­da­ten gin­gen kei­ne ver­lo­ren. Betrof­fen sind laut Necker­mann ledig­lich Vor­na­me, Name und Email-Adres­sen — vor­wie­gend aus Deutsch­land. Atta­ckiert wur­de ein Neben­sys­tem, nicht der eigent­li­che Online-Shop.

Der Neben­ein­gang

Glück im Unglück. Schnell ist der Zugriff über Neben­sys­te­me auch auf rele­van­te Haupt­sys­te­me mög­lich, sofern in den Siche­rungs­me­cha­nis­men über­haupt unter­schie­den wird.

Kri­sen­ma­nage­ment

Necker­mann hat nach Bekannt­wer­den Anzei­ge gegen Unbe­kannt erstat­tet und die Sys­tem­si­cher­heit wie­der her­ge­stellt. Die betrof­fe­nen Teil­neh­mer sei­en über den Angriff infor­miert und es stün­de nun eine kos­ten­freie Hot­line unter 0800 /​ 664 69 87 für Rück­fra­gen zur Verfügung.

Obwohl nach eige­ner und exter­ner Ein­schät­zung kei­ne mel­de­pflich­ti­ge Daten­pan­ne vor­lie­ge, habe man den­noch die Lan­des­da­ten­schutz­be­hör­de über den Vor­fall informiert.

Im Gegen­satz zu ande­ren Pan­nen­kan­di­da­ten der jüngs­ten Zeit — wie z.B. Sony — hat hier ein Unter­neh­men gemerkt, daß Offen­heit in Ver­bin­dung mit einem funk­ti­ons­fä­hi­gen Kri­sen­ma­nage­ment die bes­se­re Ver­fah­rens­wei­se dar­stel­len. Dau­men hoch, trotz Panne.

Der Trug­schluss — Unse­re Sys­te­me sind sicher

Die aktu­el­len Vor­fäl­le zei­gen klar auf: das Risi­ko steigt immens durch immer höhe­ren Ein­satz von IT-Sys­te­men und deren welt­wei­te Ver­net­zung Opfer eines Angriffs zu wer­den. Wer sich in Sicher­heit wiegt, ist auf dem Holz­weg. Hin­ter jedem IT-Sys­tem ste­hen Men­schen — in der Admi­nis­tra­ti­on und in der Pro­gram­mie­rung -, und Men­schen machen Fehler.

Abhil­fe

Vor­beu­gen ist bes­ser als hin­ter­her die Scher­ben einer Daten­pan­ne zusam­men­zu­keh­ren. Nicht jedes Unter­neh­men hat eine Markt­po­si­ti­on, um die Nega­tiv­pres­se samt Image­scha­den einer Daten­pan­ne zu über­ste­hen. Kon­se­quen­te Aus­ge­stal­tung der IT-Sys­te­me nach den IT-Grund­schutz­ka­ta­lo­gen des BSI und ein akti­ves Daten­schutz­ma­nage­ment in Zusam­men­ar­beit mit dem Daten­schutz­be­auf­trag­ten kön­nen Pan­nen nicht ver­hin­dern, aber die Wahr­schein­lich­keit deut­lich reduzieren.

Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es viel­leicht höchs­te Zeit. Liegt eine gesetz­li­che Bestell­pflicht vor, set­zen Sie Ihr Unter­neh­men auch ganz ohne Daten­pan­ne schon einem Buß­geld­ri­si­ko aus. Spre­chen Sie mich an.

Die mobile Version verlassen