Wie bereits in den vergangenen Jahren möchten wir uns auch 2025 in den grauen Novembertagen dem Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) widmen. Der aktuelle Bericht des BSI für den Zeitraum 1. Juli 2024 bis 30. Juni 2025 ist hier abrufbar. Der heutige Beitrag soll einige der Themen aus dem aktuellen Berichtszeitraum aufzeigen.

Die Lage bleibt angespannt

Laut BSI hat sich die Lage zur IT-Sicherheit zwar grundlegend stabilisiert, verbleibt aber auf einem hohen angespannten Niveau. Zudem wurden im aktuellen Berichtszeitraum neue Angriffsinfrastrukturen bekannt. Im Trend bleibt zudem das Phishing, wobei es hier immer attraktiver wird, maliziöse Webseiten zu verwenden. Maliziöse URL sind Webadressen, auf denen Angreifer Schadprogramme zum Download bereithalten und diese zum Beispiel über Spam‑Mail‑ oder Phishing‑Kampagnen verbreiten. Die Seiten sind sehr oft authentisch gestaltet und leiten die Nutzenden aber beim Anklicken auf bösartige Webseiten um, laden schädliche Software herunter oder verleiten Nutzende zur Preisgabe vertraulicher Informationen. Die Anzahl maliziöser Seiten wächst seit Jahren kontinuierlich. Die durchschnittliche Lebensdauer einer solchen Webseite lag im Berichtszeitraum bei ca. 1,77 Stunden, mit Schwankungen.

Das BSI führt hierzu weiter aus: „Gängige Methoden im aktuellen Berichtszeitraum waren etwa Typo‑Squatting, bei dem die URLs Tippfehlervarianten einer bekannten Marke oder Webseite enthalten (z. B. „facebok.com“ anstelle von „facebook.com“), oder Brand‑Jacking, bei dem der Name einer bekannten Marke oder eines Unternehmens in die URL eingesetzt wird, um Nutzende zu täuschen und auf Phishing‑Seiten zu leiten.“

Angriffe aus dem Web und Schwachstellenhoch

Mit Blick auf die Angriffsflächen zeigt sich, dass diese durch die fortschreitende Digitalisierung eindeutig im Wachstum sind. Von wachsender Bedeutung sind insbesondere Web-Flächen mit zuweilen einsehbaren sensiblen Informationen. Darüber hinaus können Schwachstellen in jeglicher Form von IT-Produkten auftreten.

Laut BSI bieten auch digitale Kommunikationswege wie E-Mail-Adressen, Social-Media-Accounts, Messenger-Accounts und SMS-fähige Telefonnummern weiterhin große, schwer zu schützende Angriffsflächen. Diese Dienste stellen eine essenzielle Grundlage für den Informationsaustausch dar, bieten gleichwohl große Angriffsflächen, um Schadsoftware oder Links zu maliziösen Webseiten und Schadcode‑behafteten Webservern zu verteilen, Daten zu stehlen, Systeme zu infiltrieren oder Nutzende zu täuschen. Wissenswerte Informationen dazu finden sich hier.

Ein weiteres Thema sind KI-Schwachstellen. Große Sprachmodelle (Large Language Models, LLMs) wie GPT, Gemini, Claude oder LLaMA werden bereits von großen Bevölkerungsteilen im Alltag verwendet. Hiermit gehen Gefahren wie verringerte menschliche Kontrolle, Unschärfen, Halluzinationen usw. einher. Werbeinteressen sowie zufällig oder durch Cyberangriffe manipulierte, bösartige Trainingsdaten können Entscheidungen zudem verzerren. Angreifer manipulieren bereits LLMs, um bestimmte Narrative zu verstärken, Produktwahl oder Preise zu verändern. Innentäter oder in interne Systeme eingedrungene Angreifer haben durch Komplexität und Unschärfe größere Chancen, in einem internen Netzwerk unentdeckt zu bleiben.

Exploits und Datenleaks rücken vermehrt in den Vordergrund

Ein gefährlicher Trend zeichnet sich zudem dadurch ab, dass im aktuellen Berichtszeitraum mehr Schwachstellen-Exploits und mehr Datenleaks aufgetreten sind. Zwar bleibt die Zahl der Ransomware-Angriffe weitgehend unverändert, die Angriffe führten aber in zahlreichen Fällen zu Datenleaks.

Problematisch ist hierbei, dass im Vergleich zu Angriffen mit dem Ziel die Datenbestände der Opfer zu verschlüsseln, bei Datenleaks die Backupstrategien der Organisationen nicht helfen. Außerdem erpressen Angreifer häufiger mit Daten, die sie aus unzureichend gesicherten Datenbanken oder aus schwachstellenbehafteten Systemen im Internet exfiltrieren. Hinsichtlich der Angriffsvektoren zeigte sich, dass die Ausnutzung von Schwachstellen in Web-Angriffsflächen mittels Exploitation weiter an Bedeutung gewann, wohingegen Angriffe per E-Mail spürbar zurückgegangen sind, was wiederrum auf eine voranschreitende Durchdringung der digitalen Kommunikation durch Kanäle wie etwa Social Media oder Messenger zurückzuführen ist.

Das Zauberwörtchen heißt Resilienz

Das BSI ruft seit Jahren zu mehr Resilienz auf. Dies bleibt zwar unverändert, jedoch stellt das BSI insbesondere unter den Verbraucherinnen und Verbrauchen eine rückläufige Anwendung fest. Das betraf insbesondere die Verwendung und das Management von sicheren Passwörtern. Um dem Trend zur Verwendung unsicherer Passwörter entgegenzuwirken, bieten sich Passkeys an. Insbesondere mit Blick auf die oben genannten zunehmenden Exploits und Datenleaks kommt es künftig vermehrt auf präventive Maßnahmen und ein entsprechendes Angriffsflächenmanagement an. Ziel muss es sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Weitere Übersichten hält das BSI hier bereit.

Fazit

Wie schon in den vergangenen Jahren stagniert die Lage zur IT-Sicherheit auf einem besorgniserregenden und angespannten hohen Niveau. Ein wesentlicher Faktor dafür sind weiterhin die unzureichend geschützten Angriffsflächen. Dies muss ein Weckruf für alle Organisationen sein, sich künftig – unabhängig von bestehenden oder kommenden Digitalregulierungen – intensiver mit dem Management von Informationssicherheit und im speziellen IT-Sicherheit zu befassen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 ist nunmehr erschienen und soll einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland geben. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Der heutige Blog-Beitrag soll einige ausgewählte Themen aus dem aktuellen Berichtszeitraum (1. Juli 2023 bis 30. Juni 2024) aufgreifen und darstellen.

Von DDoS-Angriffen bis Phishing-Kampagnen

Einen neuen Trend verzeichnete das BSI bei den sogenannten Distributed Denial-of-Service-Angriffen (kurz: DDoS-Angriffen). Neu ist diese Angriffsart bei weitem nicht. Wir haben uns in der Vergangenheit z. B. mit der Frage befasst „Was tun, wenn die Smart-Home-Geräte nicht mehr smart sind?“. Die Neuigkeit, die verzeichnet werden kann, ist ein enormer Anstieg der aufgetretenen DDoS-Angriffe: „Eine herausgehobene Entwicklung war im Berichtszeitraum bei DDoS-Angriffen zu verzeichnen. Insbesondere im ersten Halbjahr 2024 nahmen Qualität und Häufigkeit von DDoS-Angriffen deutlich zu […] Sollte sich der Trend fortsetzen, wäre dies ein Indiz dafür, dass Angreifer gezielt Botnetz-Kapazitäten aufgebaut haben und künftig grundsätzlich mit mehr hochvoluminösen DDoS-Angriffen zu rechnen wäre.“

Ein Klassiker der aktuellen Gefährdungsklage bleiben weiterhin Ransomware-Angriffe. Über die operative größte Gefährdung haben wir bereits hier und hier berichtet. In Bezug auf die aktuelle Lage ist insbesondere hervorzuheben, dass eine weitere Professionalisierung der Cyberangriffe hervorzuheben ist. Insbesondere im Bereich der Ransomware spricht man diesbezüglich von einem Massengeschäft „Ransomware-as-a-Service“:

„Andererseits wurden aufgrund des geringeren technologischen Aufwandes bei Nutzung von Ransomware-as-a-Service (RaaS) vor allem Ransomware-Angriffe auch zum Massengeschäft: Zunehmend sind die kleinen und mittleren Unternehmen (KMU), aber auch Kommunen, Universitäten und Forschungseinrichtungen betroffen. Dabei gehen die Angreifer nach wie vor oft den Weg des geringsten Widerstandes. Auch wenn gezielte Angriffe auf umsatzstarke Unternehmen registriert werden, suchen sich die Kriminellen tendenziell die am leichtesten angreifbare Opfer aus. Je schlechter Organisationen ihre Angriffsflächen schützen, desto eher werden sie Opfer von Cyberangriffen.“ Zu den bekanntesten Opfern des letzten Jahres zählt vermutlich Südwestfalen-IT.

Ebenso erfreuen sich bei den Cyberkriminellen weiterhin diverse Phishing-Kampagnen großer Beliebtheit, wobei sich die Methoden diesbezüglich leicht verändert haben. Über das Problem mit dem Phishing haben wir ebenfalls bereits in unserem Blog berichtet. Für den aktuellen Berichtszeitraum stellt das BSI fest: „Neben bereits bekannten Phishing-Kampagnen im Namen von Banken und Finanzinstituten wurde eine Zunahme von Kampagnen unter missbräuchlicher Nutzung von Markennamen einschlägiger Streamingdienste registriert. Thematisch lehnten sich diese an Maßnahmen zur Verhinderung von unerlaubtem Accountsharing, Änderungen in den Nutzungsbedingungen von Familien-Accounts und Änderungen von Preisen und Zahlungsbedingungen an. Es handelte sich also um Themen, die breit in Gesellschaft und Medien bekannt waren.“

Cloud-Computing, aber sicher

Es wäre verfehlt Cloud-Computing als neuen Schritt in der Digitalisierung zu bezeichnen. Zu große Schritte haben wir – auch in Deutschland – in den vergangenen Jahren gemacht und der Umzug in die Cloud spielt hier eine entscheidende Rolle. Wir lagern heutzutage viele Datenbestände in die Cloud-Dienste aus. Umso wichtiger erscheint daher mit Blick auf die Sicherheitslage die Sicherung dieser Datenbestände: „Im Berichtszeitraum kam es zu mehreren erfolgreichen Ransomware-Angriffen auf Public-Cloud-Dienste, die deren Verfügbarkeit einschränkten. Zudem wurden mehrfach Fälle von Angriffen auf die Vertraulichkeit von Cloud-Diensten durch Identitätsdiebstahl, sowohl der Identitäten der Anwenderinnen und Anwender als auch des Personals des Anbieters, bekannt.“

Das Zauberwort lautet Resilienz

Einhergehend mit der Zunahme der Bedrohungen und Gefährdungen war auch ein Anwachsen der Resilienz (Widerstandfähigkeit) spürbar. Das BSI fordert alle Beteiligten auf, zur Stärkung der Resilienz gegen Cyberkriminalität und IT-Sicherheitsvorfälle beizutragen: „Hersteller sollten in Zukunft noch sicherere Produkte bereitstellen, die durchweg nach den Grundsätzen von Security by Design und Security by Default entwickelt und im gesamten Lebenszyklus unterstützt werden. Betreiber sollten die Grundsätze der Cybersicherheit umzusetzen und ihre Systeme so bestmöglich gegen Angriffe und bei Vorfällen schützen. Auch Verbraucherinnen und Verbraucher sind gefordert, Kompetenzen zu Cybersicherheit aufbauen.“

Puzzlestücke sind hierbei Strafverfolgungen gegen RaaS, Resilienz in Verwaltung, Kritischer Infrastruktur und nicht zuletzt in Cloud-Infrastrukturen: Cloud-intrinsische Fähigkeiten, wie etwa umfassende Protokollierungs- und Detektionsmöglichkeiten, helfen, etwaige Angriffe zu entdecken und einzudämmen. Der hohe Automatisierungsgrad von Cloud-Diensten erhöht weiterhin die Widerstandsfähigkeit der Anwender gegen Angriffe, etwa durch das frühzeitige Einspielen von Sicherheitspatches und die Bereitstellung von Präventions-, Detektions- und Reaktionsmaßnahmen, welche auf aktuelle Entwicklungen in der Cyberbedrohungslandschaft eingehen.“

Fazit

Als Fazit möchten wir noch folgende Aussage des BSI hervorhaben: „Zugleich besteht breiter Handlungsbedarf insbesondere hinsichtlich der Angriffsfläche, die mit der allgemeinen Digitalisierung stetig zunimmt. Jedes Unternehmen, jede Behörde, jede wissenschaftliche oder soziale Einrichtung, jeder Einzelunternehmer – ganz Deutschland ist aufgerufen, eigene Angriffsflächen zu ermitteln und zu schützen. Das ist in historisch gewachsenen IT-Landschaften eine große Herausforderung, aber notwendig, denn die Angreifer suchen beständig nach neuen Angriffsvektoren.“

So kurz wie diese Zusammenfassung erscheint, so zutreffend ist diese auch. Selbstverständlich erfolgt in der Europäischen Union zunehmend eine Verrechtlichung der IT-Sicherheit und Cybersicherheit. Die NIS-2-Richtlinie, der Cyber Resilience Act und der DORA – Digital Operational Resilience Act sind nur einige Beispiele für sicherheitsrechtlichen Teil der Datenstrategie der EU. Die rechtlichen Anforderungen sollten und dürfen aber keinesfalls der alleinige Antrieb von Organisationen – gleichgültig welcher Natur – sein, sich mit IT-Sicherheit und Resilienz der eigenen Infrastruktur zu beschäftigten. Vielmehr bedarf es eines gewichtigen Eigeninteresses, zum Beispiel am Schutz der IT-Systeme, der verarbeiteten Informationen und an der Aufrechterhaltung der Geschäftsprozesse. Hierfür ist es unerlässlich die eigenen Schwächen zu kennen und diese gezielt auszumerzen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Für Furore sorgten in den letzten Tagen Beiträge in denen berichtet wurde, dass mehrere Millionen vernetzter Zahnbürsten durch Cyberkriminelle mittels Schadsoftware infiltriert wurden, um diese künftig für einen sogenannten DDoS-Angriff benutzen zu können.  Mittlerweile ist klar, das konkrete Szenario ist nicht real. Laut Golem erwies sich das das dargestellte Szenario inzwischen nach Klarstellung durch das Cybersicherheitsunternehmen Fortinet als hypothetisches Beispielszenario: Die kompromittierten Zahnbürsten hätten durch einen Befehl des Angreifers gleichzeitig die Webseite einer Schweizer Firma aufgerufen. Die Seite sei daraufhin zusammengebrochen und vier Stunden lang nicht erreichbar gewesen. Dabei sei ein Schaden in Millionenhöhe entstanden.

Wir wollen aber dennoch den Fragen auf den Grund gehen, was eigentlich ein solcher DDoS-Angriff ist, wie realistisch ein Angriff vernetzter Geräte wirklich ist und wie man sich möglicherweise vor derartigen Angriffen schützen kann.

Was ist eigentlich ein DDoS-Angriff?

Zunächst richten wir den Blick auf die Frage, was ist eigentlich ein DDoS-Angriff? Vorgelagert müssen wir uns noch die Frage stellen, was ist noch gleich ein DoS-Angriff? Bei dieser Art von Angriffen geht es im Unterschied zu Angriffen mittels Schadsoftware – z.B. im Rahmen eine Ransomware-Angriffs – oder dem sogenannten Social Engineering, bei dem gezielt eine soziale Komponente ausgenutzt wird, darum ein IT-System lahmzulegen oder zu blockieren, jedenfalls so zu zur Überlastung zu bringen, dass das System für die Nutzer nicht mehr zur Verfügung steht. Diese geschilderte Grundform stellt einen sogenannten Denial-of-Service-Angriff (DoS-Angriff) dar.

Darüberhinausgehend versteht man unter einem sogenannten Distributed Denial-of-Service-Angriff (DDoS-Angriff), also einem verteilten DoS-Angriff, von einer Fallkonstellation, in der mehrere Rechner ein Ziel – beispielsweise einen bestimmten Server – gleichzeitig attackieren. Hierbei übernehmen die Angreifer im Vorfeld eines solchen Angriffs meist unbemerkt die Kontrolle über eine Vielzahl von Einzelrechnern, z.B. durch eine nochmals vorgelagerte Infektion mit Schadsoftware. Die Ausführung des DDoS-Angriffs erfolgt zumeist nicht in unmittelbarem Zusammenhang mit der Infektion durch die Schadsoftware. Vielmehr ist den Angreifern daran gelegen, mittels der infizierten Rechner ein sogenanntes Botnetz, also kurz gesprochen ein Netz von „Zombie-Rechnern“ aufzubauen. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Begriffe DoS-Angriff bzw. DDoS-Angriff in seinem aktuellen Lagebericht wie folgt:

„Denial-of-Service-Angriffe (DoS-Angriffe) sind Angriffe auf die Verfügbarkeit von Internetdiensten. Häufig sind Webseiten Ziel solcher Angriffe. Die zugehörigen Webserver werden dabei so mit Anfragen überflutet, dass die Webseiten nicht mehr erreichbar sind. Wird ein solcher Angriff mittels mehrerer Systeme parallel ausgeführt, spricht man von einem Distributed-Denial-of-Service-Angriff (DDoS-Angriff).“

DoS- und DDoS-Angriffe stellen insoweit Angriffe auf das Schutzziel der Verfügbarkeit dar. Typische Szenarien bestehen beispielsweise bei Online-Shops, welche durch den Absturz des entsprechenden Webservers nicht mehr verfügbar sind. Das BSI geht in seinem Lagebericht auch darauf ein, dass DDoS-Angriffe eine Form der Schutzgelderpressung darstellen können, bei der Angreifer Geld vom Opfer fordern, um die Angriffe zu stoppen oder im Rahmen eines Ransomware-Vorfalls den Druck auf das Opfer zu erhöhen und ein Lösegeld für verschlüsselte Daten zu erpressen. Möglich ist zudem, dass DDoS-Angriffe genutzt werden, um von den eigentlichen Angriffs-Szenarien abzulenken.

Folgen einer DDoS-Attacke sind laut BSI zum einen finanzielle Schäden für Anbieter, wenn deren Dienste nicht erreichbar sind und zum anderen Imageschäden und gegebenenfalls Unsicherheit in der Bevölkerung folgen, wenn beispielsweise Webseiten von Banken oder der Polizei in ihrer Verfügbarkeit beeinträchtigt werden. Eines der bekannteren Beispiele von DDoS-Angriffen in unserem unmittelbaren Wirkkreis ereignete sich im Zusammenhang mit den Angriffen auf die Lernplattform LernSax. In einer gesellschaftlich angespannten Zeit nahmen die Angreifer die Lernplattform vermehrt ins Visier.

Der Hintergrund ist schnell erklärt: Zu einer Zeit in der Schulschließungen aufgrund der Corona-Pandemie auf der Tagesordnung standen, waren die Schülerinnen und Schüler auf andere Lernwege angewiesen. Eine dieser zentralen Alternativen stellt die Lernplattform LernSax des Freistaates Sachsen dar. Ziel der Angreifer war es mutmaßlich, die Gesellschaft an einem ohnehin verwundeten Punkt zu treffen. Forderungen nach Lösegeld o.ä. wie dies zuweilen im Rahmen von Angriffen mittels Schadsoftware der Fall sind, wurden nicht bekannt. Ebenso wurden weder Daten vom eigentlichen System entwendet noch Bestandteile der IT-Infrastruktur beschädigt. Mutmaßlich war das Ziel der Angreifer schlicht und ergreifend einen entsprechend notwendigen Dienst für das Funktionieren eines Teils der Gesellschaft „vom Netz zu nehmen“, sodass ein Rückgriff zumindest temporär nicht möglich war.

Wie realistisch ist ein Angriff der Smart-Home-Geräte?

Zurück zu unserem Ausgangsfall lässt sich feststellen, dass sich die Zahnbürsten nicht gegen Ihre Besitzer gewendet haben und auch nicht als Teil eines Botnetzes ein IT-System oder eine Anwendung bzw. einen Dienst zu Fall gebracht haben. Allerdings können wir nun die Frage aufwerfen, wie wahrscheinlich ist eine Invasion der Smart Home Geräte?

„Jedes Gerät, das mit dem Internet verbunden ist, ist ein potenzielles Ziel – oder kann für einen Angriff missbraucht werden“, warnte Fortinet angesichts des geschilderten Szenarios, „das treffe nicht nur auf Babyphones und Webcams zu, sondern ebenso auf elektrische Zahnbürsten“.

Die Liste der Geräte, welche Ziel eines solchen Angriffs sein können und anschließend als Teil des Botnetzes agieren kann beliebig weitergeführt werden: Smart-TVs, Kühlschränke, Waschmaschinen, Kaffeemaschinen, … .

Wie kann man sich vor DDoS-ANgriffen schützen?

Hier bestehen zuweilen Unterschiede im Vergleich zu den DoS-Angriffen. Diese lassen sich möglicherweise von Verantwortlichen der IT-Abteilungen in Unternehmen und Verwaltungen durchaus leicht erkennen, da diese Angriffe von einer bestimmten Internetprotokolladresse ausgehen. Daher lassen sich DoS-Angriffe unterbinden, indem beispielsweise die entsprechende Verbindung gekappt wird. Dies ist bei DDoS-Angriffen nicht ohne Weiteres möglich.

Seitens des BSI gibt es Empfehlungen zur präventiven Behandlung von DDoS-Angriffen. Zu den effektiven technischen Maßnahmen zählen zudem Netzwerksegmentierung und die Härtung von Systemen. Seitens der Anwender bzw. Nutzer kann DDoS-Angriffe insbesondere durch das Patchen, d.h. das Einspielen vorhandener Sicherheitsupdates begegnet werden. Ebenso können die Verwendung einer Antivirensoftware und die Überprüfung von Datenströmen hilfreich sein. Darüber hinaus gibt es seitens des BSI Empfehlungen zur Abwehr von DDoS-Angriffen.

Fazit

Sowohl DoS- als auch DDoS-Angriffe stellen keine Neuheiten im Bereich der Cybersicherheit dar. Vielmehr zeigt der Lagebricht des BSI, dass die Bedeutung dieser Angriffsart nicht unterschätzt werden darf. An den Beispielen der Smart-Home-Geräte geht eindrucksvoll hervor, welche Gefahren die zunehmende Vernetzung mit sich bringt, wenn bei der Verwendung dieser Geräte nicht auf die grundlegenden Sicherheitseigenschaften geachtet wird.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) – die oberste Cybersicherheitsbehörde in Deutschland – hat seinen aktuellen Bericht zur Lage der IT-Sicherheit vorgelegt. Eine Übersicht über die wichtigsten Zahlen, Fakten und Daten gibt es hier:

Der nachfolgende Beitrag stellt einige der wichtigsten Punkte des Berichts vor.

Die Lage im Cyber-Raum bleibt angespannt

Die operativ größte Bedrohung für Unternehmen und Behörden in Deutschland bleibt die Ransomware. Unter dem Begriff Ransomware fassen wir Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt.

Die betroffene Stelle wird bedroht, dass Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird.

Bei Ransomware-Angriffen war schon im letzten Jahr eine Erweiterung der Erpressermethoden zu erkennen, an welche nun nahtlos angeknüpft wird. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Das jedoch nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf die Landkreisverwaltung des Landkreises Anhalt-Bitterfeld: Erstmals wurde im Jahr 2021 wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. Nach der Attacke konnten Elterngeld, Arbeitslosen- und Sozialgeld, Kfz-Zulassungen und andere Leistungen nicht erbracht werden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in einem Beitrag dargestellt. Unter datenschutzrechtlichen Gesichtspunkten kann die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Hierüber haben wir im Rahmen unserer Mitmach-Serie „Datenschutzverletzung und Meldepflicht“ in den Teilen I, II, III und IV berichtet.

Auch beim Phishing ist keine Besserung in Sicht

Laut BSI nehmen Phishing-E-Mails mit rund 90% den größten Anteil im Bereich der Betrugs-E-Mails ein. Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Manipulation von Verhaltensweisen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt dabei das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Über das Problem mit dem Phishing haben wir uns ebenfalls bereits auseinandergesetzt. Zu unterscheiden sind aktuell Phishing- und Spear-Phishing-Methoden: „Während Angreifer mit Spear-Phishing aufwendig und gezielt gegen einzelne Personen wie zum Beispiel bedeutende Persönlichkeiten in Staat oder Wirtschaft vorgehen, um deren Identitätsdaten zu erbeuten […], richten sich massenhaft und ungezielt verteilte Phishing-Mails gegen die breite Bevölkerung.“

Besonders warnt das BSI vor sogenannten Finance Phishing-E-Mails: „Diese E-Mails sind mittlerweile in der Regel in sehr gutem Deutsch verfasst und so gestaltet, dass sie zum Corporate Design großer Banken in Deutschland passen. Häufig werden Designs verwendet, die denen von Sparkassen, Volksbanken oder der Postbank nachempfunden sind. Die Angreifer suggerieren den Opfern so, eine vermeintlich notwendige Verifizierung durchführen zu müssen, bei der sie ihnen die Zugangsdaten für ihr Online-Banking entlocken. Da Banken in Deutschland ihre Kundinnen und Kunden grundsätzlich nicht per E-Mail zur Eingabe von Zugangsdaten auffordern, sollten Anwenderinnen und Anwender solche E-Mails stets als Phishing-Versuche werten, keinesfalls Zugangsdaten eingeben oder auf enthaltene Links klicken und ihren E-Mail-Provider oder ihr Geldinstitut informieren, damit diese Gegenmaßnahmen ergreifen können.“

DIstributed Denial of Service (DDoS) vor allem in der Vorweihnachtszeit

Aber auch im Bereich der DDoS-Angriffe konnten deutliche Zunahmen im Vergleich zum Vorjahreszeitraum beobachtet werden. Bei einem DDoS-Angriff werden von einer großen Zahl von Endgeräten Anfragen an einen Server oder Dienst gestellt, mit dem Ziel, diesen durch die enorme Anzahl von Anfragen (temporär) zu überlasten und hierdurch lahmzulegen. Aufgrund der Verwendung unterschiedlichster Quellen, kann keine effektive Blockierung eines solchen Angriffs vorgenommen werden, ohne die jeweiligen Server oder Dienste gänzlich vom Netz zu trennen.

Wird beispielsweise ein Onlineshop Ziel eines DDoS-Angriffs, können so insbesondere in regelmäßig umsatzstarken Zeiträumen die wirtschaftlichen Schäden besonders groß sein und dementsprechend die Motivation zur Durchführung derartiger Angriffe zunehmen. So warnt das BSI diesbezüglich: „Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt.“ Zu beobachten ist stets auch eine deutliche Zunahme der Bandbreiten und Anfrageraten: „Microsoft berichtete über einen abgewehrten DDoS-Angriff mit einer Bandbreite von 2,4 Tbps (Terabit per second), der in der letzten Augustwoche 2021 auf einen Azure-Kunden in Europa abzielte. […] Mitte August berichtete Cloudflare über einen DDoS-Angriff, bei dem der Anfrageraten-Rekordwert von 17,2 Mrps (Million requests per second / Millionen Anfragen pro Sekunde) erreicht wurde.“ Die Motivation hinter derartigen DDoS-Angriffen ist oftmals die Möglichkeit zur Erpressung von hohen Schutz- und Lösegeldern.

Fazit

Der aktuelle Bericht zur Lage der IT-Sicherheit des BSI zeigt auch in diesem Jahr wieder eindrücklich die Vielfalt der Angriffsvektoren und die technische Fortentwicklung auf der Seite der Angreifer. Abgebildet werden hierbei neben den (wieder einmal) gestiegenen Angriffszahlen jedoch ebenfalls die abzuleitenden zielgruppenspezifischen Erkenntnisse und Maßnahmen für die Gesellschaft, die Wirtschaft sowie den Staat und die Verwaltung, welche auch einen Einblick in die zu erwartenden technischen Entwicklungen geben. So oder so lohnt sich ein Blick in den aktuellen Bericht des BSI allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Schadsoftware oder oftmals auch „Malware“ (malicious software – bösartiges Programm) genannt, dient dem Ziel, Endgeräte zu infizieren, unerwünschte Operationen auszuführen und die jeweilige betroffene Person dadurch zu schädigen. Man kennt Schadsoftware auch unter den Begriffen „Virus“, „Wurm“ oder „Trojaner“. Doch wo liegen die Unterschiede? Welche weiteren Arten von Schadsoftware gibt es noch? Wie kann ich gegebenenfalls erkennen, dass ein Endgerät mit Schadsoftware befallen ist und wie schütze ich mich bestmöglich davor? Diese Fragen soll der nachfolgende Beitrag klären.

WELCHE ARTEN VON SCHADSOFTWARE GIBT ES?

Je nach Art und Weise des Befalls sowie der Wirkungsweise von Schadsoftware, kann diese in unterschiedliche Kategorien unterteilt werden. Dabei ist zu berücksichtigen, dass bestimmte Schadsoftwares Bestandteile oder Wirkungsweisen vieler verschiedener Kategorien aufweisen können. Eine trennscharfe Abgrenzung ist meist nicht möglich. Dennoch ist es wichtig, die verschiedenen Arten und Wirkungsweisen zu kennen. Die eigene Sensibilisierung zu diesem Thema hilft, Bedrohungen durch Schadsoftware frühzeitig zu erkennen und den Befall der Endgeräte möglichst zu vermeiden.

Virus: Oft als Oberbegriff für sämtliche Schadsoftwares verwendet, umfasst diese Kategorie Schadsoftware, welche sich unter Zuhilfenahme von Dateien („Wirtsdatei“) ausbreitet. Bei einer Nutzung der Datei wird unbemerkt die Schadsoftware mit ausgeführt.

Wurm: Ein Wurm verfolgt das Ziel der weitestmöglichen Ausbreitung: Nach dem Befall eines Endgerätes erfolgt die eigenständige Ausbreitung auf weitere Geräte. Folgen können die Installation weiterer Schadsoftware oder die gezielte Überlastung von Endgeräten und Netzwerken sein.

Trojaner: Ähnlich wie das bekannte trojanische Pferd, tarnt sich der Trojaner zunächst als nützliches Werkzeug. Einmal installiert, ist der Trojaner in der Lage eigenständig weitere Schadsoftware zu installieren.

Ransomware: Diese Art der Schadsoftware verschlüsselt die gesamte Festplatte des Endgerätes und verlangt zur Entschlüsselung ein Lösegeld. Auf die Lösegeldforderung sollte grundsätzlich nicht eingegangen werden.

Spyware: Hierdurch werden schützenswerte Informationen über ein Gerät, Netzwerk oder eine Person, einschließlich Anmeldeinformationen und Finanzdaten, gesammelt und an Kriminelle übermittelt.

Adware: Mittels Adware werden durch Werbeanzeigen für den Entwickler Einnahmen generiert. Dies erfolgt in der Regel durch kostenlose Spiele oder Browsererweiterungen. Auch wenn die Auswirkungen zunächst harmlos erscheinen, können hierdurch dennoch zur Personalisierung der Werbeanzeigen persönliche Daten des Betroffenen gesammelt werden.

Scareware: „Wir haben auf Ihrem Gerät mehrere kritische Fehler entdeckt!“ Kennen Sie derartige Anzeigen aus dem Internet? Dabei handelt es sich um sogenannte Scareware. Dem Betroffenen wird durch Erzeugung eines Angstzustandes zur Installation einer „Reparatursoftware“ verleitet. Das perfide daran: Der Betroffene installiert hierbei nun regelmäßig die eigentliche Schadsoftware eigenständig.

Botnet: Mittels eines Botnets können eine Vielzahl von Endgeräten (einschließlich der smarten Waschmaschine) missbraucht werden, um koordiniert andere Netzwerke zu überlasten oder lahmzulegen. Auch wenn es sich bei einem Botnet selbst um keine Schadsoftware handelt, macht der Befall des Gerätes mit Schadsoftware einen solchen Missbrauch und gezielten Angriff erst möglich.

WIE KANN EINE INFIZIERUNG ERFOLGEN?

Endgeräte können über verschiedene Einfallsvektoren von Schadsoftware befallen werden. Dabei ist es grundsätzlich unerheblich, um welchen Gerätetyp es sich handelt oder welches Betriebssystem auf dem jeweiligen Gerät installiert ist: Kein Endgerät ist immun gegen Schadsoftware.

Oftmals gelangt Schadsoftware über einen E-Mail-Anhang auf das Endgerät. Dabei muss es sich nicht zwangsläufig um eine ausführbare Datei (z.B. .exe) handeln. Auch in gängigen Dokumenten- (z.B. .txt, .doc, .xls, .pdf) oder Bilddateien (z.B. .jpg, .png) kann Schadsoftware enthalten sein. Das kurze Öffnen einer solchen Datei kann dann bereits ausreichen, um das jeweilige Endgerät zu befallen. Auch per SMS oder E-Mail versandte Links stellen eine potenzielle Gefahr dar. Durch Aufruf der jeweiligen Internetseite kann Schadsoftware auf das Endgerät installiert werden. Oftmals nehmen die Betroffenen die Installation der jeweiligen Schadsoftware auch eigenständig vor, ohne zu wissen, dass es sich dabei um Schadsoftware handelt.

Auch Neugierde kann eine Infektion mit Schadsoftware begünstigen: Wie eine Studie der Universitäten von Illinois und Michigan zeigt, schlossen knapp die Hälfte der Finder von auf dem Campus-Gelände platzierten USB-Sticks an ihrem Endgerät an. Darauf installierte Schadsoftware hätte die Endgeräte ohne Weiteres befallen können. Dieser Weg zur Verbreitung von Schadsoftware ist gar nicht unüblich. Aus diesem Grund sollten insbesondere im Unternehmenskontext auch keine Speichermedien als Werbegeschenke angenommen werden. Sollte sich eine Nutzung fremder USB-Sticks nicht vermeiden lassen, ist zuvor zumindest eine Untersuchung des USB-Sticks durch die IT-Abteilung vorzunehmen.

WIE KANN ICH ERKENNEN, DASS MEINE ENDGERÄTE VON SCHADSOFTWARE BEFALLEN SIND?

Grundsätzlich sind die meisten Kategorien von Schadsoftware dergestalt konzipiert, dass Betroffene meist nicht oder erst sehr spät bemerken, dass ihre Endgeräte von Schadsoftware befallen sind. Anzeichen können dabei sein, dass unbekannte E-Mails im eigenen Namen versandt werden, Endgeräte ungewöhnliches Verhalten zeigen (z.B. nur sehr langsam oder stark verzögert reagieren), ohne erkennbaren Grund deutlich weniger Arbeits- oder Festplattenspeicher zur Verfügung steht oder sich regelmäßig unerwünschte Fenster oder Programme öffnen. Da es keine bestimmten Anzeichen gibt, die verlässlich auf den Befall mit Schadsoftware hinweisen, sollten Endgeräte regelmäßig mittels sogenannter „Antivirenprogrammen“ überprüft werden. Aber auch hierbei besteht keine absolute Gewissheit, dass die Schadsoftware auch erkannt wird. Aus diesem Grund sollten Maßnahmen ergriffen werden, welche bereits die Gefahr des Befalls mit Schadsoftware deutlich minimieren können.

Sollten Sie im beruflichen Kontext den Befall mit Schadsoftware feststellen oder eine entsprechende Vermutung bestehen, sollten Sie sich unverzüglich an Ihre IT-Abteilung wenden und gegebenenfalls die Datenschutz- und IT- bzw. Informationssicherheitsbeauftragten informieren. Maßnahmen, welche Sie bei einem Verdacht im privaten Umfeld ergreifen sollten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite zusammengefasst.

WIE SCHÜTZE ICH MICH BESTMÖGLICH VOR SCHADSOFTWARE?

Da die alleinige Verwendung von Antivirenprogrammen oder Firewalls bei weitem nicht ausreicht, um dem Befall mit Schadsoftware im genügenden Umfang entgegenzutreten, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitere Maßnahmen zu ergreifen:

– Um gegebenenfalls bestehende Sicherheitslücken zu schließen, sollten durch den Hersteller / Anbieter bereitgestellte Updates zeitnah installiert werden. Derartige Updates – und Softwares im Allgemeinen – sollten grundsätzlich jedoch ausschließlich von vertraulichen Quellen bezogen werden.

– Verwenden Sie Benutzerkonten mit reduzierten Rechten. Zur Installation von Schadsoftware und einem systemweiten Zugriff auf die Daten, benötigen Schadsoftwares in der Regel Administratorrechte. Eine Trennung zwischen einem Administratorkonto zur Verwaltung des Endgerätes sowie eines Nutzerkontos zur alltäglichen Verwendung des Endgerätes, hilft das Risiko eines Befalls zu minimieren.

– Legen Sie regelmäßig Backups wichtiger Daten, Ordner oder ganzer Festplattenpartitionen an. Sollte Ihr Endgerät von Schadsoftware befallen oder im schlimmsten Fall durch Verschlüsselung zunächst unbrauchbar gemacht worden sein, können Sie diese durch ein aktuelles Backup wiederherstellen.

– Öffnen Sie Anhänge und Links aus E-Mails mit Bedacht. Dies gilt insbesondere dann, wenn es sich um eine E-Mail eines unerwarteten Absenders und / oder um einen unerwarteten Anhang bzw. Link handelt. Auch eine vermeintliche E-Mail Ihres Chefs kann sich im Nachgang als Betrugsversuch herausstellen (sogenannter „CEO-Fraud“).

FAZIT

Der Beitrag zeigt die unterschiedlichen Formen von Schadsoftware. Dabei wird deutlich, dass durch die unterschiedlichen Arten und Wirkungsweisen von Schadsoftware ein allumfassender Schutz nie möglich sein wird. Durch Zuhilfenahme von Antivirenprogrammen und der Vornahme weiterer Schutzmaßnahmen kann das Risiko eines Befalls jedoch erheblich reduziert werden. Hierzu gehört jedoch auch, dass sich alle Nutzer regelmäßig über mögliche Risiken informieren und ihre Endgeräte nicht nur sensibilisiert nutzen, sondern auch entsprechend technisch absichern.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS IST EMOTET?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.

WIE FUNKTIONIERT EMOTET?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.

WIE KANN MAN SICH SCHÜTZEN?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.

WAS IST BEI EINER INFIZIERUNG ZU TUN?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.

IST EINE MELDUNG AN DIE AUFSICHTSBEHÖRDE UND EINE INFORMATION AN DIE BETROFFENEN NOTWENDIG?

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.