Aktuell mehren sich Berichte (ein Beispiel) über Sicherheitsvorfälle bzw. Datenlecks, bei denen Nutzerdaten und insbesondere E-Mail-Adressen durch Angreifer entwendet werden. Verschaffen sich Unbefugte Zugang zu den Accounts drohen in der Regel noch größere Schäden. Es können nicht nur in den Accounts hinterlegte Informationen wie E-Mail-Kommunikation, Bank- und Zahlungsinformationen, Anmeldedaten usw. ausgelesen werden. Es ist bei dem Eindringen auf einen E-Mail-Account zudem möglich, diesen für das Versenden von Spam-Nachrichten zu verwenden. In eine ähnliche Kerbe schlägt der Cybersicherheitsmonitor.
Passend zu diesem Thema vermeldet die Sächsische Datenschutz- und Transparenzbeauftragte in einer aktuellen Pressemitteilung den Anstieg der gemeldet Datenschutzverletzungen. Hierin führt die Aufsichtsbehörde aus, dass zu den häufigsten Meldungen von Datenschutzverletzungen Fehlversendungen, offene E-Mail-Verteiler und das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl gehören, jedoch in etwa jedem zehnten Fall personenbezogene Daten durch Cyberkriminalität abgegriffen wurden: „Hinter den Zahlen stehen zumeist menschliches Versagen, organisatorische Mängel oder technische Schwachstellen.“ Mit einem Blick in den aktuellen Tätigkeitsbericht wird zudem klar, dass Meldungen im Zusammenhang mit Cyberkriminalität eine zentrale Kategorie von Datenschutzverletzungen bleiben. Typische Beispiele für Cyberkriminalität sind Spam- und Phishing-Mails, die Verschlüsselung von Systemen durch Ransomware, der Einsatz von Schadsoftware (Malware) sowie das Ausnutzen von Sicherheitslücken.
Sonderfall kompromittiertes E-Mail-Konto
Eine weitere Gruppe von Datenschutzverletzungen, welche in den weiten Bereich der Cyberkriminalität zuzuordnen ist, stellen die sogenannten kompromittierten E-Mail-Konten dar. Die Sächsische Aufsichtsbehörde stellt hierzu fest, dass derartige Verletzungen signifikant zugenommen haben: „Bei derartigen Vorfällen gelangen unbefugte Dritte durch Hacking, Phishing oder unsichere Passwörter in den Besitz vonZugangsdaten und nutzen das Konto, um personenbezogene Daten auszuspähen, betrügerische Nachrichten zu versenden oder weiteren Schaden anzurichten […] Kompromittierte E-Mail-Konten stellen eine ernst zu nehmende Bedrohung dar, da sie den Zugang zu sensiblen Informationen ermöglichen.“
Jüngst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite zu dieser Thematik eine Checkliste für den Ernstfall des gehackten Accounts veröffentlicht. Das BSI gibt in dieser Checkliste Hinweise wie kompromittierte Konten erkannt werden können und welche Möglichkeiten Betroffenen im Ernstfall zur Verfügung stehen.
Erkennen eines kompromittierten Accounts
Die größte Auffälligkeit besteht selbstredend darin, dass Nutzerinnen und Nutzer nicht mehr auf Ihre Accounts zugreifen können, da in der Regel die Passwörter geändert wurden. Es ist aber auch denkbar, dass die Anbieter, zum Beispiel die E-Mail-Provider wie GMX oder web.de Auffälligkeiten erkennen und deshalb die Accounts vorsorglich sperren. Unabhängig davon können und sollten die Nutzenden auf entsprechende Nachrichten achten, welche Sie nicht versendet haben oder Inhalte mit Käufen und vor allem neuen Gerätanmeldungen enthalten.
Ergänzend fügt die Sächsische Datenschutzbeauftragte in Ihrem Tätigkeitsbericht noch an: Ungewöhnliche Aktivitäten in Form von E-Mails im Gesendet-Ordner, die nicht vom Kontoinhaber verschickt wurden, sowie fehlende oder gelöschte Nachrichten (die Angreifer löschen Nachrichten, um Spuren zu verwischen sowie abgewiesene Login-Versuche, denn der Zugriff auf das Konto ist gesperrt, weil der Angreifer die Zugangsdaten geändert hat).
Was ist im Ernstfall zu tun?
Das BSI und auch die Sächsische Datenschutzbeauftrage geben auch hier Möglichkeiten an die Hand. Sollte der Zugriff auf die Accounts verwehrt werden sollte schnellstmöglich der Anbieter kontaktiert und Kontakte (z. B. vor dem Versenden von Phishing-Nachrichten) gewarnt werden.
Sofern der Zugriff auf den Account noch möglich ist, empfiehlt das BSI folgende Maßnahmen:
- Sperrung des kompromittierten Kontos: Sobald ein Vorfall bekannt wird, sollte der Zugang zum betroffenen Konto unverzüglich gesperrt werden sowie Beenden aller aktiven Sitzungen;
- Passwortzurücksetzung: Das Passwort des Kontos muss umgehend geändert und dabei auf die Verwendung eines einzigartigen, starken Passworts geachtet werden;
- Account-Einstellungen kontrollieren (z. B. Kontrolle unbefugt eingerichteter automatischer Weiterleitungen);
- Kontakte informieren (Achtsamkeit bei Spam- und/oder Phishing-Nachrichten).
Mehr Sicherheit in der Zukunft
Auch an dieser Stelle geben das BSI und die Sächsische Aufsichtsbehörde zum Teil nützliche Tipps für mehr Sicherheit für die Accounts in der Zukunft:
- Sicherheitsrichtlinien: Etablieren Sie klare Richtlinien für den Umgang mit E-Mail-Konten, zum Beispiel den Verzicht auf die Verwendung privater Geräte für berufliche E-Mails.
- Passkeys nutzen: Mit der Alternative zu Passwörtern müssen Sie sich nicht mehr viele verschiedene Passwörter merken;
- Zwei-Faktor-Authentisierung aktivieren: Wenn Sie weiterhin Passwörter nutzen, schützt ein zweiter Faktor Ihren Account zusätzlich, sollte das Passwort in fremde Hände gelangen;
- Phishing-Mails erkennen: Seien Sie wachsam, wenn Sie in einer E-Mail etwa dazu aufgefordert werden, sich per Link in Ihren Account einzuloggen, und Ihnen dringender Handlungsbedarf suggeriert wird;
- Bildschirmsperre einrichten: Sollte beispielsweise Ihr Smartphone geklaut werden, verhindern Sie so, dass Fremde darauf zugreifen können und etwa über eine ungeschützte App Zugriff zu einem Account erlangen;
- Sparsam mit Daten umgehen: Geben Sie online möglichst wenig über sich preis;
- Vorsicht bei Links und Anhängen: Hinter E-Mail-Anhängen oder Links auf Webseiten kann sich Schadsoftware verbergen;
- Updates installieren: Damit schließen Hersteller oft Sicherheitslücken, sodass Kriminelle diese nicht ausnutzen können;
- Virenscanner und Firewall nutzen: Auf vielen Geräten sind diese bereits vorinstalliert. In manchen Fällen müssen sie in den Einstellungen jedoch noch aktiviert werden;
- Öffentliches WLAN meiden: Mitunter werden dort zum Beispiel Daten unverschlüsselt übertragen;
- Schulungen: Sensibilisieren Sie Beschäftigte und andere Nutzende für die Risiken und Erkennungsmerkmale von Cyberangriffen¸
- Incident Response Plan: Dokumentieren Sie Vorfälle und optimieren Sie Ihre Notfallpläne basierend auf den Erkenntnissen, um in Zukunft schneller reagieren zu können.
Alle genannten Maßnahmen sind jedenfalls auch mit Blick auf die rechtlichen Verpflichtungen zur Informationssicherheit ratsam, vgl. z. B. Art. 32 DS-GVO, Art. 21 NIS-2-RL oder § 4 Sächsisches Informationssicherheitsgesetz.
Fazit
Vorfälle von kompromittierten E-Mail-Konten können eine ernstzunehmende Bedrohung darstellen, denn Angreifer erhalten mitunter Zugriff auf sensible Informationen. Darüber hinaus können die betroffenen Accounts für weitere Phishing-Kampagnen missbraucht werden. Verantwortliche sind stets gut beraten, sich mit entsprechenden technischen und organisatorischen Maßnahmen bestmöglich abzusichern. Das BSI gibt über die Checkliste hinaus auch noch Informationen zur Prävention und für den Notfall.
Nicht zu vernachlässigen ist zudem, dass es sich bei Fällen der kompromittierten E-Mail-Konten im Regelfall um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DS-GVO handelt, welche eine Meldepflicht nach Art. 33 Abs. 1 DS-GVO nach sich zieht. Ebenso können weitere Meldepflichten nach dem IT-Sicherheitsrecht einschlägig sein.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
