DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (11)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Heute erscheint der letzte Teil dieser Reihe, welcher die Lösungen der Fälle 17 und 18 beinhaltet.


FALL 17: LÖSUNG

Viele wird der Sachverhalt erinnert haben an die Datenschutzverletzung bei der 1&1 Telecom GmbH und das anschließende Bußgeldverfahren des Bundesdatenschutzbeauftragten. Dort lag der Fall allerdings etwas anders: Eine Anruferin hatte bei der Hotline des Unternehmens Namen und Geburtsdatum ihres Ex-Mannes genannt, im Gegenzug dessen neue Funknummer mitgeteilt bekommen. Der BfDI verhängte für die (eindeutig) unzureichende Authentifizierungs-Vorgabe ein Bußgeld von 9,6 Millionen Euro, das im anschließenden Einspruchsverfahren auf 900.000 Euro reduziert wurde (Urteil des LG Bonn vom – im Ernst! – 11.11.2020, Az. 29 OWi 1/20).

Der Fall 17 mag daraus abgeleitet sein, leider mit Lücken bei den Angaben zum Sachverhalt: Zur Abschätzung, welche Risiken aus der Datenschutzverletzung resultieren könnten, fehlen wichtige Informationen. Vor allem ist unklar, welche Daten die Telefonrechnung dem unbefugten Dritten offenbart hat. Da dieser Dritte für die eigene Legitimation gegenüber dem TK-Unternehmen Steuernummer und Postanschrift der betroffenen Person nutzte, waren ihm solche Daten offenbar schon bekannt.

Falls die versendete Rechnung außer den (bekannten) Adressdaten der betroffenen Person und den (datenschutzrechtlich irrelevanten) Daten des TK-Unternehmens nur den Rechnungsbetrag enthielt, wäre das Missbrauchsrisiko sehr gering. Wenn zusätzlich z.B. (dem Angreifer zuvor nicht bekannte) Telefon- und Vertragsnummern oder sogar Bankverbindungsdaten und Abrechnungsdaten für Einzelgespräche verschickt wurden, ergibt sich eindeutig ein anderes Bild (und ein viel höheres Missbrauchsrisiko).

Vom letztgenannten Szenario scheint der EDSA ausgegangen zu sein (ohne dies im Sachverhalt klarzustellen) und sieht offenbar deshalb in seiner Richtlinie Meldepflichten sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber der betroffenen Person. In der Variante „Übermittlung lediglich eines Monats-Rechnungsbetrages an einen unbefugten Dritten“ wäre die Ablehnung beider Meldepflichten sehr gut vertretbar.

Die Begründung der EDSA-Richtlinie für die Annahme der Meldepflichten (Textziffer 124) ist nur bei Unterstellung „reichhaltiger Rechnungsdaten“ verständlich. Argumentiert wird dort mit hohen Risiken, weil sich aus den Rechnungsdaten Informationen über das Privatleben der betroffenen Person ergeben könnten, z.B. Gewohnheiten und Kontakte (dazu nötig: Verbindungsdaten zu Einzelgesprächen). Der EDSA behauptet sogar Risiken für die körperliche Unversehrtheit („risk to physical integrity“), obwohl laut Sachverhalt der Angreifer bereits vor der Datenschutzverletzung die Adressdaten der betroffenen Person kannte (und im Call-Center verwendete). Bei Neuauflage der EDSA-Richtlinie sollte Fall 17 also „nachgearbeitet“ werden.

Immerhin findet sich jedoch ein wichtiger Hinweis auf einen meist einfachen und zuverlässigen Weg zur Authentifizierung: Bei Änderung von Kontaktdaten (z.B. der E-Mail-Adresse) sollte stets eine Bestätigung über die bisherigen Kommunikationskanäle (durch Rückfrage z.B. auf die alte E-Mail-Adresse) eingeholt werden.


FALL 18: LÖSUNG

Bei der Fall-Analyse beunruhigt vor allem, dass der Verantwortliche auch im Nachhinein den Zugang des Angreifers und dessen Handlungen im IT-System nur unvollständig aufklären konnte. Neben dem Aspekt der „Vertraulichkeit“ kann der Vorfall also auch „Integrität/Richtigkeit“ und „Verfügbarkeit“ der Daten betreffen. Er umfasst jedenfalls auch für die 89 Mitarbeiter, bei denen „nur“ Namen und Monatseinkommen ausgespäht wurden, Daten mit erhöhtem Schutzbedarf und erhöhtem Missbrauchsrisiko. Meldepflichten bestehen deshalb sowohl gegenüber der Aufsichtsbehörde, als auch gegenüber (allen) Betroffenen.

Der EDSA nennt (in Textziffern 130 und 131) eine ganze Reihe möglicher technischer Maßnahmen zur Wiederherstellung und künftigen Sicherung datenschutzgerechter Abläufe (unter anderem die Einschränkung oder Verhinderung von Regeln zur automatisierten Weiterleitung), betont aber, dass letztlich stets die Umstände des Einzelfalles geprüft und angemessen behandelt werden müssen.


FAZIT

Das wäre dann auch ein schöner Schlusssatz: Entscheiden Sie über die notwendigen Maßnahmen immer unter angemessener Berücksichtigung aller relevanten Umstände des vorliegenden Einzelfalles! Immer richtig, nur in der Praxis nicht sehr hilfreich. Dennoch Dank an den Europäischen-Datenschutzausschuss, weil er mit dieser Richtlinie für den Bereich der Meldepflichten jedenfalls etwas mehr Datenschutz-Klarheit gestiftet hat. Und Dank an Sie für´s Mitmachen!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Social Engineering
Lesen

DAS PROBLEM MIT DEM PHISHING

Vor dem Hintergrund des durch die Corona-Pandemie bedingten Anstiegs der im „Home-Office“ tätigen Beschäftigten ist es nahezu denklogisch, dass ebenfalls eine drastische Zunahme von sogenannten Phishing-E-Mails zu verzeichnen ist.

Dem neuen KnowBe4 Phishing-Report ist dabei zu entnehmen, dass zu den aktuellen Themen (Untersuchung von echten Phishing-E-Mail-Betreffzeilen aus der Praxis) u.a. folgende Themen gehören:  „IT: Jährliche Bestandsaufnahme der Geräte“, „Twitter: Sicherheitswarnung: Neuer oder ungewöhnlicher Twitter-Login“, „Amazon: Aktion erforderlich | Ihre Amazon Prime-Mitgliedschaft wurde abgelehnt“, „Zoom: Fehler bei geplanter Besprechung“, „Google Pay: Bezahlung gesendet“, „Microsoft 365: Aktion erforderlich: Aktualisieren Sie die Adresse für Ihren Xbox Game Pass für Konsolen-Abonnement“, „Arbeitstag: Erinnerung: Wichtiges Sicherheitsupgrade erforderlich“.

Daneben beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere Phishing-E-Mails zu Themen Änderungen von Datenschutzbestimmungen (bspw. PayPal), Teilnahmen an Gewinnspielen, Sicherheitsüberprüfungen (z.B. von Bank- und Kreditinstituten) sowie Aktualisierung von Nutzerdaten.

Was ein Phishing-Angriff ist, wie ein solcher erkannt werden kann und wie man sich bei einer Reaktion auf eine Phishing-E-Mail verhalten muss, soll im folgenden Beitrag näher beleuchtet werden.


WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.


WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.


WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.


WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.


FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • E-Mail
  • Homeoffice
  • Phishing
  • Social Engineering
Lesen