22.01.2019
22.01.2019
Kim Lisa Stoklossa / Peter Bongartz
In einem Untergrund-Forum wurde eine Liste mit knapp 773 Millionen verschiedene E-Mail-Adressen und dazugehörigen 23 Millionen Passwörtern gefunden. Was ist als Unternehmen zu tun?
„Collection #1“ – So heißt die neuste Liste an im Internet veröffentlichten Kundendaten. Die Datenpanne wurde vom Betreiber der Passwort-Sicherheits-Webseite „Have I Been Pwnded“, Troy Hunt, aufgedeckt. „Collection #1“ umfasse nicht nur 773 Millionen verschiedene E-Mail-Adresse, sondern auch die dazugehörigen 21 Millionen Passwörter.
Die Liste sei nach Angaben von „Have I Been Pwnded“ so strukturiert gewesen, dass sich die Daten insbesondere für „Credential Stuffing“ eignen. Dabei werden umfangreiche automatisierte Anmeldeanfragen und Login-Kombinationen, mit der in der Liste vorhandenen Daten, auf verschiedensten Seiten getestet. Stimmen dort E-Mail-Adresse und Passwort überein, erfolgt der Zugriff auf das Konto und die damit verbundenen Daten. Credential Stuffing-Angriffe werden erst dadurch ermöglicht, dass viele Nutzer immer wieder dasselbe Passwort verwenden. Eine Umfrage ergab, dass 81% der Nutzer ein Passwort an zwei oder mehr Standorten wiederverwendet haben und 25% der Nutzer das gleiche Passwort an einem Großteil ihrer Konten verwenden.
„Collection #1“ sei aller Wahrscheinlichkeit nach das Resultat aus verschiedenen Hack- und Passwort-Leaks aus der Vergangenheit und noch nicht das Ende. Denn der Anbieter der Daten habe „Collection #1“ als eine der kleineren und vor allem älteren Datensätze nun zum Verkauf angeboten. Die Daten seien bereits rund zwei bis drei Jahre alt, so der auf IT-Sicherheit spezialisierte Journalist Brian Krebs. Darüber hinaus verfüge der Hacker noch über weitere Listen mit den Bezeichnungen Collection #2, Collection #3, #4 und #5.
Trotz des Alters der Datensätze sollte der Vorfall gerade von Unternehmen dazu genutzt werden, sich erneut vertieft mit dem Thema des Datenschutzes zu befassen. Denn von dem Datenklau sind nicht nur private Nutzerdaten betroffen, sondern auch eine Vielzahl von Unternehmerdaten. Zudem kommt, dass noch eine Vielzahl von Datensätzen im Darknet kursieren, welche bislang noch nicht öffentlich preisgegeben wurden.
Unternehmen sind stets gesetzlich dazu verpflichtet, etwaige Datenpannen gemäß Art. 33 und 34 DSGVO der zuständigen Aufsichtsbehörde anzuzeigen. Eine Datenpanne ist die Verletzung des Schutzes personenbezogener Daten; also eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Beispiele für Datenpannen sind die Löschung von Datensätzen durch eine nicht autorisierte Person, das Abhandenkommen von Datensätzen durch Datendiebstahl und auch das Verlieren eines unverschlüsselten USB-Sticks.
Kommt es trotz Sicherheitsmaßnahmen zu einer Datenpanne, so ist stets eine Meldung an die zuständige Aufsichtsbehörde angezeigt. Die einzige Ausnahme stellt der Fall dar, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt. Diese Beurteilung sollte allerdings nur von einer Fachstelle vorgenommen werden.
Die Meldung der Datenpanne muss innerhalb von 72 Stunden nach dem Bekanntwerden der Datenpanne erfolgen. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich. Bei der Meldung sind die Art der Datenpanne, die Kategorie der betroffenen Daten, die Anzahl der Betroffenen und der Datensätze, eine Einschätzung der Folgen für den Betroffenen sowie die Maßnahme zur Ursachenbeseitigung bzw. zur Schadensminimierung anzugeben.
Von einer Meldung sollte nicht zu schnell abgesehen werden. Denn schließlich ist bei fast keiner Datenpanne völlig auszuschließen, dass der Vorfall nicht Betroffenenrechte beeinträchtigt. Und ein Verstoß gegen die Meldepflicht kann die zuständige Aufsichtsbehörde mit einem Bußgeld von bis zu 10 Mio. Euro bzw. 2 % des Umsatzes ahnden.
Kim Lisa Stoklossa |