Datenschutz im Backoffice

2. Dezember 2019| Noch kein Kommentar | Von Dr. Datenschutz

Ein zentraler Dreh- und Angelpunkt stellt das Backoffice in den meisten Unternehmen dar. Hierbei werden oft wichtige Verarbeitungen personenbezogener Daten durchgeführt. Welche dies sind und worauf zu achten ist, lesen Sie hier. Weiterlesen →

Social Engineering: Relevante Angriffstechniken im Überblick

25. April 2019| 2 Kommentare | Von Dr. Datenschutz

Social Engineering ist mittlerweile eine der größten Formen von Sicherheitsbedrohungen für Unternehmen geworden. Die Angreifer nutzen dabei gezielt bestimmte menschliche Schwächen wie Unsicherheit, Eitelkeit oder Gier aus und verwenden Informationen, die sie z.B. durch das Ausspionieren sozialer Medien gewonnen haben. Dieser Beitrag gibt einen Überblick über die verschiedenen Angriffstechniken und zeigt bestimmte Szenarien für Social Engineering Angriffe im Unternehmen. Weiterlesen →

Studie zur IT-Sicherheit: Malware-Anstieg von 36 %

18. April 2016| Noch kein Kommentar | Von Dr. Datenschutz

Laut dem Sicherheitsunternehmen Symantec und der gerade veröffentlichten Studie Internet Security Threat Report sind im Jahr 2015 mehr als eine halbe Milliarde Datensätze mit persönlichen Daten gestohlen oder „verloren gegangenen“. Symantec entdeckte 2015 mehr als 430 Millionen Malware Computerprogramme, was einen Anstieg von 36 % gegenüber dem Vorjahr darstelle. Weiterlesen →

Social Engineering – Beispiele und Prävention

19. Oktober 2015| 1 Kommentar | von Astrid Ackermann, LL.M.

Das größte Sicherheitsrisiko in einem Unternehmen ist der Mensch. Was zunächst unwahrscheinlich klingt, bewahrheitet sich aber leider nur allzu oft. Verfügen die internen Systeme der Unternehmen über meist sehr strenge Sicherheitssysteme, sind die Mitarbeiter mitunter erschreckend schlecht auf Angriffe im Wege des Social Engineering vorbereitet. Weiterlesen →

Gefahr durch Social Engineering – Bezahldienstleister geknackt

24. Mai 2012| 1 Kommentar | von kcluever

Erfolgreiche Hacks von Internetdiensten mit entsprechender Gefährdung personenbezogener Daten sind in den letzten Jahren schon häufig bekannt geworden. Man müsste meinen, dass die Verantwortlichen um die Gefahr wissen und entsprechende Maßnahmen veranlasst haben. Leider ist dem nicht so. Die heutige Meldung im Heise-Newsticker bestätigt das mal wieder.

Kreditkarteninformation, Mailadressen und persönliche Daten geklaut

Was war geschehen? Angreifer, die sich selbst als UGNazi bezeichnen, brachen in die Web-Server des britischen Bezahldienstleisters WHMCS ein.

Weiter bei Heise:

Den Angreifern gelang es nicht nur, die Benutzerdatenbank von WHMCS auszulesen, sondern auch den kompletten Server-Inhalt zu kopieren, bevor sie alles löschten. WHMCS zufolge gingen beim Angriff alle Bestellungen und Support-Anfragen der 17 Stunden vor dem Angriff verloren.

Aus Datenschutzsicht ist vor allem kritisch, dass Kreditkarteninformationen kompromittiert wurden und die gekaperte Benutzerdatenbank mehr als 500.000 Mailadressen und persönliche Daten enthält.

Angriff mit Social Engineering

Möglich war der Hack anscheinend durch sog. Social Engineering, also das Ausnutzen von Freundlichkeit und Hilfsbereitschaft, wobei sich der Angreifer als scheinbar Berechtigter ausgibt. Im konkreten Fall wurde der Hosting-Anbieter des Billing-Portals vom scheinbaren Chefentwickler von WHMCS angerufen. Er beantwortete alle Sicherheitsabfragen korrekt und hatte dann Zugriff auf die Server.

Solche Angriffe sind weder trivial noch selten. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat daher Social Engineering in seinen Grundschutz-Katalogen als eine eigene Gefährdung definiert.

Konsequenz

Eine Binsenweisheit lautet, dass es 100%ige Sicherheit nicht gibt – auch nicht in der IT. Trotzdem muss man als verantwortliche Stelle oder Dienstleister von Auftragsdatenverarbeitungen die erforderlichen Maßnahmen ergreifen, damit die Daten geschützt sind. Ob WHMCS dies getan hat, kann an dieser Stelle natürlich nicht beantwortet werden. Die Hacker selber behaupten, der Server sei weiter gefährdet…

Jemand der sich zwar nicht unbedingt mit Hackern, dafür aber mit dem Thema Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

BSI-Register aktueller Cybergefährdungen und -Angriffsformen

20. Januar 2012| Noch kein Kommentar | Von Dr. Datenschutz

Vor wenigen Tagen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Register aktueller Cyber-Gefährdungen und -Angriffsformen auf seiner Webseite zum Download veröffentlicht. In dieses Register sind die Ergebnisse von Umfragen des BSI bei Verbänden, Unternehmen und Forschungseinrichtungen eingeflossen. Weiterlesen →

Archiv

Kreditkarteninformation, Mailadressen und persönliche Daten geklaut

Angriff mit Social Engineering

Konsequenz