Meerschweinchen Geburtstag

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

Help Button

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Im Zuge der Dis­kus­si­on um Infor­ma­ti­ons­si­cher­heits­kon­zep­te und tech­ni­sche Maß­nah­men im Sin­ne der DSGVO stößt man unwei­ger­lich auf das The­ma Not­fall­ma­nage­ment. Vor­ran­gig zie­len die ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men einer Orga­ni­sa­ti­on ja dar­auf ab, Sicher­heits­vor­fäl­le und Not­fäl­le mög­lichst zu ver­mei­den. Die Ein­tritts­wahr­schein­lich­keit soll mög­lichst nahe Null lie­gen. Das dies für jede Art von Vor­fall nicht immer gelingt, liegt auf der Hand. Umso wich­ti­ger ist, von sol­chen Vor­fäl­len früh­zei­tig Kennt­nis zu erlan­gen, die­se kor­rekt zu bewer­ten und ange­mes­sen zu reagieren.

Dies setzt jedoch sen­si­bi­li­sier­te Mit­ar­bei­ter vor­aus, die im Fal­le eines Sicher­heits­vor­falls oder eines Not­falls wis­sen, was zu tun ist. Die Alli­anz für Cyber-Sicher­heit hat sich zusam­men mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und eini­gen ande­ren Ein­rich­tun­gen im Hin­blick auf IT-Sicher­heits­vor­fäl­le Gedan­ken gemacht.

Die IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” für Mitarbeiter

Sie ken­nen das sicher noch aus der Ers­te-Hil­fe-Aus­bil­dung. Die 5 “W” für den rich­ti­gen Notruf:

  1. Wo ist das Ereignis?
  2. Wer ruft an?
  3. Was ist geschehen?
  4. Wie vie­le Betroffene?
  5. War­ten auf Rückfragen

Ana­log zu die­ser Vor­ge­hens­wei­se gibt es nun die IT-Not­fall­kar­te zum kos­ten­frei­en Down­load und zur Ver­tei­lung an Mit­ar­bei­ter bzw. Aus­hang der Kar­te. Nach Ein­trag der inter­nen Ruf­num­mer für IT-Not­fäl­le kom­men die 5 “W” für die Notfallmeldung:

  1. Wer mel­det?
  2. Wel­ches IT-Sys­tem ist betroffen?
  3. Wie haben Sie mit dem IT-Sys­tem gear­bei­tet bzw. was haben Sie beobachtet?
  4. Wann ist das Ereig­nis eingetreten?
  5. Wo befin­det sich das betrof­fe­ne IT-Sys­tem (Gebäu­de, Raum, Arbeitsplatz)?

Dar­un­ter fin­den sich eini­ge Ver­hal­tens­hin­wei­se für den oder die betrof­fe­nen Mit­ar­bei­ter. Für den Fall eines Befalls mit Kryp­to­tro­ja­nern wäre mög­li­cher­wei­se die Emp­feh­lung “Netz­werk­ka­bel zie­hen” noch recht hilf­reich gewesen.

Sehr gut hat uns die Aus­sa­ge gefal­len “Ruhe bewah­ren & IT-Not­fall mel­den. Lie­ber ein­mal mehr als ein­mal zu wenig anru­fen!”, die sich als zwei­te Über­schrift auf der Kar­te oben findet.

Top 12 Maß­nah­men bei Cyber-Angriffen

Da es nach der Mel­dung eines IT-Not­falls mit der Bear­bei­tung wei­ter­ge­hen muss, lie­fert die Alli­anz für Cyber­si­cher­heit zur wei­te­ren “Bewäl­ti­gung des Not­falls” eine Top 12 Lis­te mit. Auf die­ser fin­den sich die wich­tigs­ten Maß­nah­men zur Scha­dens­be­gren­zung und auch der Nach­be­ar­bei­tung des hof­fent­lich glimpf­lich ver­lau­fe­nen Angriffs.

Die­se Top 12 Maß­nah­men bei Cyber-Angrif­fen rich­ten sich an IT-Ver­ant­wort­li­che und Admi­nis­tra­to­ren und soll­ten an kei­nem Arbeits­platz als Hil­fe­stel­lung fehlen.

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Die­se bei­den Hil­fe­stel­lun­gen sind ein ers­ter Schritt in die rich­ti­ge Rich­tung. Doch ohne pro­fes­sio­nel­les Not­fall­ma­nage­ment wird kei­ne Orga­ni­sa­ti­on zukünf­tig aus­kom­men. Wur­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in der Ver­gan­gen­heit meist schon sehr stief­müt­ter­lich behan­delt, haben gera­de klei­ne Orga­ni­sa­tio­nen das The­ma Not­fall­ma­nage­ment gar nicht oder nur weit am Ende des Erfas­sungs­be­reichs auf dem Radar.

Hier ver­weist die Alli­anz für Cyber­si­cher­heit auf den Stan­dard 100–4 des BSI IT-Grund­schut­zes. 100–4 beschreibt eine pro­fes­sio­nel­le und sys­te­ma­ti­sche Vor­ge­hens­wei­se zur Ein­füh­rung und Wei­ter­ent­wick­lung eines Not­fall­ma­nage­ments in Orga­ni­sa­tio­nen jeg­li­cher Grö­ße und Bran­che. Bei ers­ter Durch­sicht mag das dem einen oder ande­ren Leser etwas sper­rig oder zu auf­ge­bauscht wir­ken. Und sicher emp­fiehlt es sich, in Abhän­gig­keit von der Orga­ni­sa­ti­ons­grö­ße den Stan­dard 100–4 ange­mes­sen und zweck­dien­lich umzu­set­zen. Eine stoi­sche 1:1 Umset­zung ist eher suboptimal.

Sinn und Not­wen­dig­keit für ein Not­fall­ma­nage­ment soll­ten jedoch schnell klar wer­den. Ein Not­fall ist etwas ande­res als “Kein Papier im Dru­cker”. Ok, der betrof­fe­ne Mit­ar­bei­ter mag das kurz­zei­tig so emp­fin­den 🙂 In einem Not­fall oder auch bei der Ver­ket­tung meh­re­rer Arten von Not­fäl­len ist kei­ne gro­ße Zeit, sich über die Not­fall­be­hand­lung Gedan­ken zu machen oder wich­ti­ge Infor­ma­tio­nen für die Besei­ti­gung des Not­falls zu beschaffen.

Wenn Sie mit dem The­ma lieb­äu­geln, kön­nen wir Ihnen den Kurs “Not­fall­ma­nage­ment” der Baye­ri­schen Ver­wal­tungs­schu­le wärms­tens an Herz legen. Die­ser ist nicht auf baye­ri­sche Ver­wal­tun­gen beschränkt, son­dern steht inter­es­sier­ten Teil­neh­mern aus Behör­den und Unter­neh­men aus ganz Deutsch­land offen.

Im Rah­men von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten wird die Ent­wick­lung eines Not­fall­vor­sor­ge­kon­zepts und eines Not­fall­plans (erst die Ver­mei­dung, dann die Reak­ti­on, wenn es mit dem Ver­mei­den nicht geklappt hat) gefor­dert. Wer sich also mit den Stan­dards wie IT-Grund­schutz, ISIS12 oder auch der Arbeits­hil­fe (für klei­ne­re Ein­rich­tun­gen) und deren Ein­füh­rung befasst, wird um das The­ma nicht herumkommen.

Was kann a.s.k. Daten­schutz für Sie tun?

Vor­aus­ge­schickt: a.s.k. Daten­schutz ist der Dozent an der Baye­ri­schen Ver­wal­tungs­schu­le u.a. für das The­ma Not­fall­ma­nage­ment und die Aus­bil­dung von zer­ti­fi­zier­ten Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten. Im Zuge von zahl­rei­chen Sicher­heits­kon­zep­ten beglei­ten wir die Ein­füh­rung von Not­fall­vor­sor­ge­kon­zep­ten und die Erstel­lung von Not­fall­plä­nen. Selbst­ver­ständ­lich bie­ten wir die­se Dienst­leis­tung im Rah­men der Ein­füh­rung und Beglei­tung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten, aber auch flan­kie­rend zur Tätig­keit als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te an. Spre­chen Sie uns ein­fach an. Ihren Daten­schutz­be­auf­trag­ten wird das sicher auch freuen.

Apro­pos Daten­schutz­be­auf­trag­ter: Ver­fügt Ihre Orga­ni­sa­ti­on über einen Daten­schutz­be­auf­trag­ten? Öffent­li­che Stel­len sind zur Bestel­lung unge­ach­tet der Mit­ar­bei­ter­zahl gene­rell ver­pflich­tet. Unter­neh­men benö­ti­gen einen Daten­schutz­be­auf­trag­ten ab 10 Mit­ar­bei­tern (soll­te das 2. DsAnpG den Bun­des­rat pas­sie­ren erhöht sich die Zahl auf 20), die regel­mä­ßig mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten befasst sind. Und las­sen Sie sich kei­nen Sand in die Augen streu­en. Ob mit oder ohne Daten­schutz­be­auf­trag­ten müs­sen alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on erfüllt sein. Wenn es kei­nen DSB gibt, muss sich jemand ande­res um die meist büro­kra­ti­schen Auf­ga­ben küm­mern. Ein­fa­cher und prag­ma­ti­scher geht es mit a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te. For­dern Sie noch heu­te Ihr unver­bind­li­ches Ange­bot an.

Unver­bind­li­ches Ange­bot anfordern
aboutpixel.de / Geldwäsche © Rainer Sturm

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde weitergeleitet.

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che Unzulässigkeit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email- Adres­se sind per­so­nen­be­zo­ge­nen Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Übermittlung (nichts ande­res stellt eine Email dar) ist daher nur zulässig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Übermittlung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Empfänger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzulässigkeit ab. Statt­des­sen wur­de ein Buß­geld verhängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin verhängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt. Das BayL­DA teil­te jedoch mit, daß es in einem ähnlichen Fall in zu einem Buß­geld gegen ein wei­te­res Unter­neh­men kam. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat­te nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Um sol­che Vorfälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regelmäßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne können Sie hierfür die­sen Blog­bei­trag ein­set­zen. Was ist zu beach­ten? Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adres­sie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den sel­ben recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen auslösen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Zum rich­ti­gen Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men des Direkt­mar­ke­tings hilft Ihnen kom­pe­tent Ihr Daten­schutz­be­auf­trag­ter wei­ter. Sie haben kei­nen? Dann soll­ten Sie sich dar­um küm­mern, da eine gesetz­li­che Bestell­pflicht vor­lie­gen kann. Spre­chen Sie uns unver­bind­lich und kos­ten­frei an!

 

aboutpixel.de / Geldfalle © Rainer Sturm

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutschland).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­wa­re. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeichnet.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich Win­dows-Sys­te­me einer Angriffs­wel­le durch einen Kryp­to-Tro­ja­ner aus­ge­setzt. Der hieß damals Tes­lacrypt. Aktu­ell ist Ver­si­on 3, gegen den kein Kraut gewach­sen ist. Für die Ver­sio­nen 1 und 2 gab es nach eini­ger Zeit wirk­sa­me Ent­schlüs­se­lungs­tools. Aktu­ell ist Locky der bekann­tes­te Vertreter.

Kryp­to-Tro­ja­ner sind sehr heim­tü­ckisch. Wur­den die­se zu Beginn allei­ne durch prä­pa­rier­te Email-Anhän­ge (zumeist Office Doku­men­te mit Makro Code) in die Welt gestreut, sind Infek­tio­nen mitt­ler­wei­le auch durch soge­nann­te Dri­ve By Down­loads mög­lich. Es reicht der Besuch einer infi­zier­ten Web­sei­te und eine dazu­ge­hö­ri­ge Schwach­stel­le im Brow­ser oder Flash Plugin und der Spaß geht los. Exper­ten rech­nen damit, dass zeit­nah noch wei­te­re Infek­ti­ons­mög­lich­kei­ten am Start sein wer­den. Dazu wer­den die Tro­ja­ner auch immer wei­ter entwickelt.

Ein­mal aktiv, beginnt der Kryp­to-Tro­ja­ner mit der Ver­schlüs­se­lung einer sehr lan­gen Lis­te an Datei­en. Und das nicht nur auf der loka­len Fest­plat­te, son­dern auch auf allen kon­nek­tier­ten Netz­lauf­wer­ken und Frei­ga­ben. Auch ver­link­te Cloud-Spei­cher sind betrof­fen. Eben­so ist das Über­sprin­gen von einem Gerät auf das nächs­te über­haupt kein Pro­blem mehr. Die ein­zi­ge War­nung, die der Nut­zer erhal­ten kann, ist eine ver­mehr­te Fest­plat­ten­ak­ti­vi­tät zu Beginn. Je nach Aus­brei­tung im inter­nen Netz kön­nen auch Stö­run­gen bei Datei­zu­grif­fen durch die Nut­zer ein Warn­si­gnal sein.

Ist der Kryp­to-Tro­ja­ner mit sei­ner Arbeit fer­tig, prä­sen­tiert er in der pas­sen­den Lan­des­spra­che (Locky übri­gens in per­fek­tem Deutsch) eine über­haupt nicht wit­zi­ge Nachricht:

!!!! WICHTIGE INFORMATIONEN !!!!
Alle Datei­en wur­den mit RSA-2048 und AES-128 Zif­fern verschlüsselt.
Die Ent­schlüs­se­lung Ihrer Datei­en ist nur mit einem pri­va­ten Schlüs­sel und einem Ent­schlüs­se­lungs­pro­gramm, wel­ches sich auf unse­rem Ser­ver befin­det, möglich.

Eine Frei­schal­tung oder genau­er Ent­schlüs­se­lung ist dann nur noch gegen Zah­lung von Bit­coins mög­lich. Das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) rät von der Zah­lung ab. Man kön­ne sich nicht sicher sein, ob die Hacker danach wirk­lich die pas­sen­den Schlüs­sel für die Ent­schlüs­se­lung her­aus­rü­cken. Eini­ge Unter­neh­men aus den USA (News-Mel­dung) und Deutsch­land (Video-Bei­trag) haben gezahlt, und die indi­vi­du­el­len Schlüs­sel funktionierten.

Da der Tro­ja­ner jedoch sehr gut pro­gram­miert ist, ver­wen­det er auch für jedes befal­le­ne Gerät einen neu­en Schlüs­sel. Und damit sind die Schlüs­sel zur Ent­schlüs­se­lung nicht über­trag­bar. Es muss also wirk­lich für jedes Gerät mit Anzei­ge der Ver­schlüs­se­lung ein eige­ner Schlüs­sel gekauft werden.

Ist die eige­ne Orga­ni­sa­ti­on betrof­fen, muss man den Kopf nicht hän­gen las­sen. Man befin­det sich in bes­ter Gesell­schaft. Kran­ken­häu­ser sind nur noch per Free­mail-Adres­se erreich­bar, ver­schie­ben Ope­ra­tio­nen und ver­wei­sen nicht aku­te Fäl­le in der Not­auf­nah­me an ande­re Ein­rich­tun­gen. Das Fraun­ho­fer-Insti­tut hiss­te vor kur­zem eben­falls die wei­ße  Flag­ge, 60 Arbeits­plät­ze vollverschlüsselt.

Aktu­ell geht eine sehr gut gemach­te Warn­mel­dung durch die Email-Ver­tei­ler (Scherz­kek­se haben die­se sogar in sozia­len Netz­wer­ken geteilt). Dar­in warnt angeb­lich das BKA vor der Locky-Infek­ti­on. Und bie­tet umge­hend im Anhang das BKA Locky Remo­val Tool zur Besei­ti­gung der Infek­ti­on an. Wer den Anhang star­tet, holt sich — was Wun­der — einen Tro­ja­ner ins Sys­tem. Glück­li­cher­wei­se ein alter Bekann­te, gute Scan­ner mit aktu­el­len Signa­tu­ren mis­ten den Schad­code sofort wie­der aus.

Was kön­nen Sie in Ihrer Orga­ni­sa­ti­on tun, um bes­ser gegen Locky & Co gewapp­net zu sein? Ein fata­lis­ti­scher Rat auf einer Ver­an­stal­tung vor­ges­tern lau­te­te: beten. Es geht aber dann doch etwas mehr:

 

  • Mög­lichst Ver­zicht auf Soft­ware, die für Anfäl­lig­kei­ten von (Zero-Day-) Sicher­heits-Lücken bekannt ist, wie bei­spiels­weise Ado­be Flash
  • Betriebs­sys­te­me und Anwen­dun­gen stets aktu­ell mit Patches und Secu­ri­ty Fixes versorgen
  • Gerä­te auf denen das nicht mög­lich ist, mög­lichst in getrenn­ten Netz­seg­men­ten und /​ oder gar nicht mit Inter­net­an­schluß betreiben
  • Kein Sys­tem ohne Viren­schutz mit regel­mä­ßi­ger, im Zwei­fel stünd­li­cher Aktua­li­sie­rung der Signa­tu­ren (Ach­tung: auch mobi­le Gerä­te berücksichtigen!)
  • Back­up-Stra­te­gie prü­fen, im Zwei­fel vor­über­ge­hend kür­zere Siche­rungs­in­ter­val­le einrichten
  • Siche­rungs­me­di­en nach erfolg­tem Back­up aus dem Netz entfernen!
  • Schu­len und sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwi­schen­be­rich­te bei­spiels­weise per Rund­mail, wenn sich neue Bedro­hungs­la­gen erge­ben — durch­aus täg­lich oder öfter. Auch wenn es nervt, die größ­te Gefahr sind momen­tan unbe­dach­te Hand­lun­gen durch Mit­ar­bei­ter. Also lie­ber ein mal mehr das The­ma ange­spro­chen als zu wenig.
  • Ver­fü­gen Sie über ent­spre­chende Mög­lich­kei­ten der Sys­tem­ver­hal­tens­ana­ly­se, so kon­fi­gu­rie­ren Sie die­se auf Sym­pto­me wie “vie­le Datei­zu­grif­fe inner­halb kur­zer Zeitspannen”.
  • Nut­zen Sie Funk­tio­nen, Sys­te­me mit sol­chen Auf­fäl­lig­kei­ten im Zwei­fel sofort vom Netz zu nehmen.
  • Wenn mög­lich, set­zen Sie Email-Anhän­ge auto­ma­ti­siert in Qua­ran­tä­ne. Der Anwen­der kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ran­som­wa­re aus­ein­an­der­set­zen müssen.


Mit die­sen Maß­nah­men haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ran­som­wa­re, aber das Risi­ko des Ein­tritts ist zumin­dest gesenkt.

Bedau­er­li­cher­wei­se ent­wi­ckeln sich die Vari­an­ten von Locky & Co per­ma­nent wei­ter. Das Geschäfts­mo­dell der Ent­wick­ler geht auf. Bis­her sind alle Ver­su­che geschei­tert, die Ver­ur­sa­cher zu iden­ti­fi­zie­ren. Und die­se müs­sen sich wirk­lich sicher füh­len. So sind mitt­ler­wei­le Ver­sio­nen gesich­tet (unbe­stä­tigt), die nicht nur einen Link zu einem Video ent­hal­ten “Wie besor­ge ich mir Bit­coins zur Zah­lung des Löse­gelds”, son­dern es wird auch ein Text­chat ange­bo­ten. Wie dreist ist das denn?

Und in den Nach­rich­ten? “Spocht” (Grü­ße von RTL Sams­tag Nacht)

Ich wün­sche uns allen ein gutes Gelin­gen in der Abwehr der aktu­el­len Bedrohungswelle
Ihr Sascha Kuhrau

PS: Übri­gens gibt es neben unse­rem Fach­blog Daten­schutz seit kur­zem auch einen Blog zur Infor­ma­ti­ons- und IT-Sicher­heit. Dort erfah­ren Sie mehr über die aktu­el­le Bedro­hungs­la­ge und die Mög­lich­kei­ten, sich dage­gen zu schüt­zen. Oder Sie tra­gen sich dort gleich in den Sicher­heits-News­let­ter ein, um stets auf dem Lau­fen­den zu bleiben.

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unternehmen.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht werden.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu versenden.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren kön­nen von Mit­ar­bei­tern aus­ge­hen: Ver­tei­len Sie USB Sticks auf dem Park­platz eines Unter­neh­mens vor Arbeits­be­ginn, wie zufäl­lig ver­lo­ren. Zuvor prä­pa­rie­ren Sie die­se mit einer klei­nen, ein­deu­ti­gen und unge­fähr­li­chen Ping Rou­ti­ne im Auto­start. Sie wer­den stau­nen, wie vie­le die­ser Sticks sich bis zum Abend aus dem Unter­neh­mens­netz­werk auf dem bereit­ge­stell­ten Ping Ser­ver gemel­det haben. Stel­len Sie sich vor, die­se Sticks wären mit Schad­soft­ware prä­pa­riert gewe­sen (Back­doors, Lösch­funk­tio­nen etc.) !! Hor­ror­vor­stel­lung, aber bedau­er­li­cher­wei­se Realität.

Eine belieb­te Metho­de ist das Aus­spä­hen von Daten und Geheim­nis­sen über die Abfall­be­häl­ter. Sei es direkt aus den Papier­kör­ben an den Schreib­ti­schen oder aus den Con­tai­nern im Hof. Etwas Unter­stüt­zung vom Rei­ni­gungs­per­so­nal und Sie wer­den stau­nen, an wel­che Infor­ma­tio­nen man bei der “Müll”-Auswertung so alles gelan­gen kann. Zahl­rei­chen Unter­su­chun­gen zufol­ge fin­den fast 50% der Spio­na­ge-Angrif­fe nicht auf elek­tro­ni­schem Weg statt, son­dern durch ein­fa­ches Durch­su­chen der Abfall­be­häl­ter, auch “Bin Rai­ding” genannt.

100%ige Sicher­heit und Schutz vor die­sen und ähn­li­chen Gefah­ren gibt es nicht. Als Bera­ter für Daten­schutz und Daten­si­cher­heit unter­stüt­ze ich Sie jedoch bei der Mini­mie­rung die­ser Risi­ken durch kon­kre­te Maß­nah­men im Bereich der IT Sicher­heit und durch Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch Schu­lung und Auf­klä­rung. Sie kön­nen Ihre Mit­ar­bei­ter zu den regel­mä­ßi­gen Schu­lun­gen “Daten­schutz und Daten­si­cher­heit” schi­cken oder ange­pass­te Schu­lun­gen auf Basis Ihrer vor­han­de­nen (oder noch zu erstel­len­den) Nut­zungs­richt­li­ni­en durch mich bei Ihnen vor Ort durch­füh­ren las­sen. Spre­chen Sie mich an.

Lesen Sie aktu­el­le Aus­sa­gen (07.07.2014) zu die­sem The­ma vom Ver­fas­sungs­schutz-Prä­si­dent H.-G. Maaßen auf unse­rer Bera­tungs-Web­page.

[wpfi­le­ba­se tag=‘file’ id=‘2’]