Häufig kommt es vor, dass Rechner gehackt und für fremde Zwecke missbraucht werden. Extrem ungünstig für den Betreiber des Servers ist dies vor allem dann, wenn sensible Daten kompromittiert wurden oder selbiges zumindest nicht ausgeschlossen werden kann. In bestimmten Fällen knüpfen sich hieran auch Informationspflichten gegenüber Betroffenen und Aufsichtsbehörden, was die Situation für das jeweils betroffene Unternehmen nicht unbedingt angenehmer macht.
Der Inhalt im Überblick
Ballerspiele auf Server von Arztpraxis
Wie nun das Portal it-business berichtet geschah selbiges auch mit einem Webserver einer Radiologie-Praxis im US-Bundesstaat New Hampshire. Unbekannte hatten den Server gehackt, um selbigen für den neuen Online-Shooter „Black-Ops“ zu nutzen.
Von Zombies, Bots und anderen Merkwürdigkeiten
Insbesondere bei Privatrechnern ist zu beobachten, dass immer wieder Rechner durch Hacker gekapert und anschließend so eingerichtet werden, dass diese ferngesteuert durch den Virenautor Datenübertragungen an andere Rechner vornehmen (sog. Zombies).
Hierbei werden insbesondere Werbung (Spam) oder Viren an andere Rechner verteilt. Eine andere beliebte Möglichkeit diese Untoten in böswilliger Art und Weise zu nutzen besteht darin, dass sämtliche ferngesteuerten Rechner zum gleichen Zeitpunkt auf eine bestimmte Webseite zugreifen, welche aufgrund der Überlastung sodann zusammenbricht (sog. Distributed Denial of Service-Attacke).
Häufig werden ganze Horden solcher Zombies zusammengeschlossen (sog. Botnetze oder Zombie-Armee), um gemeinsam tätig zu werden und beispielsweise Webseiten mit Anfragen zu überlasten, ein solches Netz kann sich auch schnell aus über einer Million Rechner zusammensetzen.
Zuletzt wurden beispielsweise US-Finanzunternehmen welche die Weiterleitung von Spenden an Wikileaks eingestellt hatten, Opfer solcher DoS-Attacken von Bot-Netzen, wobei die Teilnehmer sich allerdings freiwillig zusammengeschlossen hatten.
Updates und Konfiguration ist alles
Die Angreifer machen sich zu diesem Zweck gerne fehlkonfigurierte Firewalls zu nutze, aber auch die fehlende Installation von kritischen Softwareupdates bietet insbesondere bei Internet-Browsern erhebliche Angriffspunkte, da vorhandene Schwachstellen in der Software auch Kriminellen bekannt sind. Tatsächlich existieren im Internet sogar ganze Listen mit solchen Schwachstellen nebst dazugehöriger Software (sog. exploits). Auch die Installation von Antivirensoftware und den dazugehörigen Updates kann helfen, Attacken bereits im Vorfeld zu vermeiden.
Informationspflichten (Security-Breach-Notification)
Wurde der unternehmenseigene Server erst einmal von Hackern gekapert, so kann selbiges unangenehme Konsequenzen nach sich ziehen. So schreibt das BDSG in § 42a BDSG vor, dass die Betroffenen und die Aufsichtsbehörden zu informieren sind (Security-Breach-Notification), sofern
-
besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG),
-
personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
-
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
-
personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Das Unterlassen dieser Informationsverpflichtung kann mit einem Bußgeld von bis zu 300.000,- EUR geahndet werden (§ 43 Absatz II Nr. 7; § 43 Absatz III BDSG).
Hält man sich dies einmal aus unternehmerischen Gesichtspunkten vor Augen, so gibt es sicherlich angenehmere Dinge als seine Kunden, Mandanten oder Patienten mit einem Anschreiben, wie z.B.
Sehr geehrter Kunde,
leider waren wir nicht in der Lage Ihre Daten ordnungsgemäß zu schützen, weshalb selbige Dritten zur Kenntnis gelangt sind, da diese unseren Server gehackt und für Ballerspiele genutzt haben. Leider können wir schwerwiegende Beeinträchtigungen für Ihre Rechte und schutzwürdigen Interessen nicht ausschließen.
zu begrüßen. Ob ein Kunde, Mandant oder Patient sich dann noch in der Lage sieht das notwendige Vertrauen für eine weitere Geschäftsbeziehung aufzubringen, erscheint eher zweifelhaft.
Technische und organisatorische Maßnahmen
Auch das Gesetz sieht in § 9 BDSG und in der dazugehörigen Anlage eine Reihe von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor. Notwendig ist natürlich, dass diese Maßnahmen nicht nur im Unternehmen implementiert, sondern auch sorgfältig ausgeführt werden, denn auch die Anschaffung der besten Firewall nutzt nichts, wenn diese anschließend fehlerhaft konfiguriert wird.
Ein Ansprechpartner, der Ihnen sicherlich mit ersten Informationen zur Seite stehen kann, ist der betriebliche Datenschutzbeauftragte.