Schon wieder: IT-Sicherheit und eMail, UK sicheres Drittland

HMDATA Datenschutz-Newsletter 07/2021, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Mein Fokus der letztern Monate und Jahre lag auf der Sensibilisierung von Datenschutzverletzungen bei ausgehenden eMails. Kleine Fortschritte sind über die Jahre erkennbar, insb. meine 5-Sekunden-Durchschnaufregel hat eine gewisse Berüchtigtheit erlangt.
Nun konnte ich Einblick bei einem größeren Versicherungsmakler in einen unangekündigten Mitarbeiter-Awareness-Test bei eingehenden Mails erhalten. Mit - aus meiner Sicht - dramatischen Ergebnis: trotz Schulung wurden von ca. einem Drittel unbekannte Links angeklickt, ca. 10% haben auf den "gefakten" Webseiten des Tests Login-Daten preisgegeben.

Trotz Schulungen und interner IT-Abteilungen ist also noch immer nicht der richtige Umgang bei eingehenden Mails in der Breite zu verzeichnen. Das Fatale: es genügt schlimmstenfalls ein falscher Klick auf einen manipulierten Link und die Schadsoftware nimmt ihren Lauf.

Die harten Fakten

Um es nochmals klarzustellen: wie viele Patientenakten sollen noch kriminell veröffentlicht, wie viele Bußgelder zur Wiederherstellung von Firmendaten bezahlt, wie viele Firmen wegen verschlüsselter Daten lahmgelegt, wie viele Stromnetze ausfallen, wie viele Pipelines stillgelegt werden, wie viele Kassensysteme unbrauchbar gemacht werden, bis hier die nötige Kenntnis und Aufmerksamkeit bei den Mitarbeitern vorhanden ist?
Das sind alles Beispiele aus den letzten Monaten, die es "in die Tagesschau und auf die Gazetten" gebracht haben. Allesamt ausgelöst durch unvorsichtigen Umgang bei eingehenden Mails.

Das Geschäft der Hacker

Man darf dabei nicht vergessen, dass das Geschäft mit den verschlüsselten Firmendaten (Ransomware-Attacken) von hochprofessionalisierten mafiös organisierten und technisch und psychologisch hochgerüsteten kriminellen Banden durchgeführt wird. Da weiß man nicht nur genau, wie man an die "schwächsten" oder "labilsten" Mitarbeiter herantritt, sondern auch, wie hoch die Lösegeldforderung sein darf, um Aussicht auf Erfolg zu haben. Das ist aber nicht im geringsten ein Grund, den Kopf in den Sand zu stecken.
In den seltensten Fällen ist hierbei jedoch eine vorsätzlich gezielte Attacke der Ausgangspunkt. Die typische Vorgehensweise ist eine andere: intelligente Scanner suchen per Internet automatisiert Schwachstellen in Firmensystemen, eine "Longlist". Diese werden von den Kriminellen ausgewertet auf ein möglichst hohes Aufwand-/Nutzen-Verhältnis. Bei lohnenden Zielen, der "Shortlist", erfolgt eine manuelle Recherche und der Angriff startet. Von 10 möglichen Zielen bleibt dann vielleicht noch eines übrig, das Lohnenswerteste. Darauf konzentrieren sich dann die technischen und psychologischen Attacken.

Die Gegenmaßnahmen

Es ist eigentlich ganz leicht: man darf nicht auf die Shortlist gelangen. Und das ist ganz einfach: solide Technik, geschulte Mitarbeiter.
Mein Credo seit Jahren: man muss nur seine Hausaufgaben machen.
Und nun auch nochmals ganz klar formuliert, in aller Härte: ohne solides Backup, ordentlich installierte Firewall und qualifizierte Mitarbeiter hält sich das Mitleid für die Betroffenen in Grenzen. Es ist eben nicht so, dass "... es noch immer gutgegangen ist". Ich schätze das Risiko des Befalls der eigenen IT mit Schadsoftware mittlerweile auf über 50% / p.a., es wäre also mehr als fahrlässig, hier keine Prävention zu betreiben.

Und wie kann ich da jetzt in meinem Betrieb was machen?

Risikomanagement, IT-Check und Mitarbeiterqualifizierung - so einfach ist es.
Denken Sie aber bitte daran: wenn Sie die letzten 10 Jahre die IT-Sicherheit - aus welchen Gründen auch immer - nicht ernst genommen haben, vielleicht wegen der Kosten oder mangelndem zur Verfügung stehendem Fachwissen: etwas Aufwand muss dafür schon betrieben werden, von alleine geht's nicht.
Stellen Sie doch einfach mal die Frage "Wie viel ist es mir wert, wenn die IT ausgefallen ist, dass ich möglichst bald wieder weiterarbeiten kann?" Glauben Sie mir, wenn es soweit ist, dann ist man gerne bereit für eine wesentlich größere Summe als gedacht die Wiederherstellung in Kauf zu nehmen.
Und auch noch eine Klarstellung; ich möchte hier keine Ängste schüren oder zu übertriebenen Maßnahmen raten. Ich möchte nur, dass sich jeder mit dem Risiko ganz für sich selbst auseinandergesetzt hat und für sich die beste Lösung findet.

Angemessenheitsbeschluss für Datenübertragung nach UK

Eine ganz kurze Meldung noch: am 28. Juni 2021 hat die EU-Kommission den Antrag, UK zu einem sicheren Drittland zu erklären, angenommen. Einer Datenübertragung an Firmen im Vereinigten Königreich steht damit aus datenschutzrechtlicher Sicht - vorerst - nichts mehr im Wege.
Der Antrag wurde jedoch zuvor vom EU-Parlament abgelehnt, zu dem ist noch die juristische Bewertung des EuGH abzuwarten, nachdem in einem Urteil vom 6.10.2020 die Datenverarbeitunhgsbefugnisse britischer Geheimdienste als unzulässig bewertet wurden.
Wir warten also auf Schrems-III, bis dahin spricht formal nichts gegen eine Datenübertragung.