Erfolgreiche Hacks von Internetdiensten mit entsprechender Gefährdung personenbezogener Daten sind in den letzten Jahren schon häufig bekannt geworden. Man müsste meinen, dass die Verantwortlichen um die Gefahr wissen und entsprechende Maßnahmen veranlasst haben. Leider ist dem nicht so. Die heutige Meldung im Heise-Newsticker bestätigt das mal wieder.
Der Inhalt im Überblick
Kreditkarteninformation, Mailadressen und persönliche Daten geklaut
Was war geschehen? Angreifer, die sich selbst als UGNazi bezeichnen, brachen in die Web-Server des britischen Bezahldienstleisters WHMCS ein.
Weiter bei Heise:
Den Angreifern gelang es nicht nur, die Benutzerdatenbank von WHMCS auszulesen, sondern auch den kompletten Server-Inhalt zu kopieren, bevor sie alles löschten. WHMCS zufolge gingen beim Angriff alle Bestellungen und Support-Anfragen der 17 Stunden vor dem Angriff verloren.
Aus Datenschutzsicht ist vor allem kritisch, dass Kreditkarteninformationen kompromittiert wurden und die gekaperte Benutzerdatenbank mehr als 500.000 Mailadressen und persönliche Daten enthält.
Angriff mit Social Engineering
Möglich war der Hack anscheinend durch sog. Social Engineering, also das Ausnutzen von Freundlichkeit und Hilfsbereitschaft, wobei sich der Angreifer als scheinbar Berechtigter ausgibt. Im konkreten Fall wurde der Hosting-Anbieter des Billing-Portals vom scheinbaren Chefentwickler von WHMCS angerufen. Er beantwortete alle Sicherheitsabfragen korrekt und hatte dann Zugriff auf die Server.
Solche Angriffe sind weder trivial noch selten. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat daher Social Engineering in seinen Grundschutz-Katalogen als eine eigene Gefährdung definiert.
Konsequenz
Eine Binsenweisheit lautet, dass es 100%ige Sicherheit nicht gibt – auch nicht in der IT. Trotzdem muss man als verantwortliche Stelle oder Dienstleister von Auftragsdatenverarbeitungen die erforderlichen Maßnahmen ergreifen, damit die Daten geschützt sind. Ob WHMCS dies getan hat, kann an dieser Stelle natürlich nicht beantwortet werden. Die Hacker selber behaupten, der Server sei weiter gefährdet…
Jemand der sich zwar nicht unbedingt mit Hackern, dafür aber mit dem Thema Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.