Meldung

Deutschlands größte Datenskandale 2021

Mit 2021 ist ein Jahr mit einer erneuten Rekordanzahl an Cyberangriffen zu Ende gegangen. Der VPN-Dienst-Anbieter NordVPN hat die weltweit größten Datenschutzverstöße des Jahres ausgewertet und auf dieser Basis eine Top 5 für Deutschland erstellt. Das Opferspektrum reicht von Privatpersonen über Krankenhäuser bis hin zu einem ganzen Landkreis, der sich nur noch mit dem Ausruf eines Katastrophenfalls zu helfen wusste.
Einige der laut NordVPN größten Datenskandale Deutschlands in 2021 beruhen auf Ransomware-Angriffe.
Die von Jahr zu Jahr ansteigende Anzahl an Cyberangriffen erreichte auch in Deutschland 2021 einen neuen Höhepunkt. So wurden laut Bundesamt für Sicherheit in der Informationstechnik (BSI) etwa 144 Millionen neue Schadvarianten gezählt – das ist ein Zuwachs von 22 Prozent gegenüber dem Vorjahr [1].

Aus der enormen Anzahl von in Deutschland zu verzeichenenden Datenschutzverletzungen und Hackerangriffen des Jahres 2021 haben Datenschutz- und Sicherheitsexperten von NordVPN [2] nun die ihrer Meinung nach schwerwiegendsten fünf gekürt.

Nummer 5: Cyberangriff legt gesamten Landkreis lahm
Der Landkreis Anhalt-Bitterfeld erlebte den ersten wegen eines Cyberangriffs ausgerufenen Katastrophenfall in Deutschland. Im Juli 2021 haben Hacker nämlich die Computersysteme der Kommune attackiert und fast vollständig zum Erliegen gebracht – um erbeutete Dateien zu verschlüsseln und erst nach einer Geldzahlung wieder freizugeben.

Doch statt sich zu beugen und zu zahlen, rief der Landkreis den Katastrophenfall aus und konnte seinen rund 157.000 Einwohnern in der Folge zunächst unter anderem keine Sozialleistungen auszahlen oder Kfz-Zulassungen ausstellen. Erst Wochen später waren die Behörden in der Lage, ihre Arbeit wieder vernünftig zu verrichten.

Nummer 4: Krankenhäuser zunehmend Ziel von Cyberkriminellen
Als besorgniserregende neue Form der Internetkriminalität war Killware im vergangenen Jahr auf dem Vormarsch. Diese Malware-Variante schafft es, Krankenhäuser lahmzulegen und wichtige Infrastrukturen zu manipulieren – sodass Menschenleben auf dem Spiel stehen.

Denn da Krankenhäuser in puncto Cybersicherheit meist nur dürftig ausgerüstet sind, stehen sie immer wieder im Visier von Hackern und bildeten auch im Jahr 2021 ein willkommenes Ziel für Ransomware-Angriffe. So war unter anderen das Städtische Klinikum Dessau im Oktober Ziel eines Angriffs. Hier haben die Verantwortlichen die Attacke allerdings schnell erkannt und Schlimmeres verhindert. Die betroffenen Systeme wurden umgehend vom Netz genommen. Auch im Klinikum Braunschweig hatte im November ein Angriff des Computervirus Emotet für mehrere Stunden den elektronischen Kommunikationsverkehr der Klinik lahmgelegt.

Nummer 3: Erst Covid-Test, dann Daten weg
Die in der Corona-Pandemie neu entstandene Branche, die Organisatoren von Bürgertests, muss zwei Schlüsselqualifikationen aufweisen: Neben medizinischer Kompetenz sollten die Mitarbeiter der Anbieter wissen, wie sie mit den persönlichen Daten der von ihnen oft Tausenden Getesteten umgehen – das war aber leider nicht immer so:  

Während im Frühjahr 2021 die dritte Welle des Covid-Virus grassierte, identifizierte das Kollektiv "Zerforschung" [3] eine Sicherheitslücke in den Datenbanken des Unternehmens Eventus Media International. So sollen Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Testresultate schlecht geschützt gewesen sein; das betraf insgesamt rund 17.000 Terminregistrierungen und 7.000 Testresultate. Auch das von der selben Forschungsgruppe überprüfte Unternehmen 21DX des Dienstleister Medicus AI wies eine Sicherheitslücke auf, die ganze 136.000 Testergebnisse einfach zugänglich machte.

Nummer 2: Facebook-Datenleck betrifft Millionen deutscher Nutzer
An Ostern 2021 wurden über eine halbe Milliarde persönliche Facebook-Daten weltweit veröffentlicht – darunter auch Daten von rund sechs Millionen Usern aus Deutschland. Grund für den Vorfall war eine Sicherheitslücke, die das Unternehmen eigentlich bereits 2019 geschlossen hatte. Damals waren Telefonnummern und Profile von Facebook-Nutzern unverschlüsselt zugänglich.

Erste Anzeichen für den Diebstahl der Daten gab es im Januar 2021, als der Sicherheitsexperte Alon Gal auf Twitter schrieb, dass über Telegram ein Bot verfügbar sei. Bei diesem könne man gegen Bezahlung die Handynummern von Facebook-User erstehen.

Nummer 1: Lieferdienste im Visier
Eine Branche, die sich während der Pandemie an Konjunktur erfreut, ist die der Lieferdienste. Dabei setzen die einzelnen Anbieter im Rennen um den größten Marktanteil oft auf schnelle Expansion – und vernachlässigen bei oft extremen Unternehmenswachstum die Datensicherheit.

So bestellte erneut die Projektgruppe "Zerforschung" im Frühjahr 2021 beim Lieferdienst Flink einen Smoothie und untersuchte anschließend die App des Berliner Dienstes. Dabei stellte die Gruppe fest, dass sie die Bestellungen und Adressdaten anderer Kunden einsehen können: eine Sicherheitslücke. Denn die Gruppe konnte die Kommunikation der App durch ein Machine-in-the-Middle-Proxy (MitM) mitlesen. In der App gab es einen hinterlegten Autorisierungs-Token, über den sich die Gruppe direkt mit dem Flink-Server verband und die Datenbank abfragte. Auch der von der Gruppe bestellte Smoothie fand sich unter den Daten samt Name, Adresse, Telefonnummer und die letzten vier Ziffern der Kreditkarte. Auf diese Weise hätten auch die Daten von fast 4000 Bestellungen der letzten Monate und der dazugehörigen Kundendetails abgefragt werden können.

Auch beim 10-Minuten-Lieferservice Gorillas hat die selbe Gruppe darauf aufmerksam gemacht, dass persönliche Daten von über 200.000 Kunden im Netz abrufbar waren.
11.01.2022/mh

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen