Neue Schadsoftware Welle
Bereits seit mehreren Jahren infiziert die Malware Emotet in verschiedenen Generationen und Ausprägungen tausende Rechner und wurde so zu einem der aggressivsten Schadprogramme weltweit. Durch Emotet kam es bisher zu großflächigen oder kompletten Ausfällen gesamter Unternehmens IT-Infrastrukturen, wodurch ganze Firmen und auch Behörden lahmgelegt, tausende Zugangsdaten von Usern ausgespäht sowie viele Betroffene beim Online-Banking betrogen wurden. Wie alles begann und welche Ausprägungen die Malware hat kann unter heise.de nachgelesen werden.
Die Gefahr schien bis Ende Dezember 2019 abgeflacht zu sein, bis eine große Phishing-Mail-Welle die Mailpostfächer vieler User überschwemmte. Daraufhin veröffentlichten einige Institutionen und IT-Unternehmen akute Warnhinweise.
Nun kam es zu einer erneuten Infektionswelle. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) berichtet, dass seit dem 20.05.20 acht Datenpannen aufgrund von Phishing Mails gemeldet wurden. Auch andere Aufsichtsbehörden melden einen Anstieg der Fälle. Neben Unternehmen seien auch öffentliche Stellen von den Angriffen betroffen. Wie stark der Befall ist und welchen Umfang die Datenpannen haben, kann derzeit noch nicht abgesehen werden.
Wie verhält sich die Schadsoftware?
„Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, bei der der Schädling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Ist die Schadsoftware erstmal in IT-Systeme eingedrungen, kann sie unter Umständen andere Schadprogramme nachladen.“, so der Landesbeauftragte in seiner Pressemitteilung vom 03.06.2020.
Die Schadsoftware analysiert E-Mail-Inhalte und Kontakte sowie die jeweiligen Beziehungen in den bereits befallenen Postfächern. Daraufhin werden authentisch aussehende Spam-Mails generiert und an die Kontakte versandt – v.a. an Personen, mit denen die Betroffenen kürzlich in Kontakt standen.
Was muss das Unternehmen im Falle eines Befalls tun?
Datenschutzrechtlich liegt im Fall eines Befalls eine Datenschutzverletzung vor. Diese muss nach Art. 33 DS-GVO/§ 33 KDG binnen 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Sollten Sie von einem derartigen Befall betroffen sein, nehmen Sie bitte unverzüglich Kontakt zum Datenschutzbeauftragten auf. Hierdurch können im Rahmen der datenschutzrechtlichen Melde- und Handlungswege weitere Eindämmungsmaßnahmen ergriffen und koordiniert werden. Darüber hinaus muss je nach Ausbreitung und Risikobewertung eine Benachrichtigung der betroffenen Personen gem. Art. 34 Abs. 1 DS-GVO/§ 34 Abs. 1 KDG erfolgen.
Quelle: pixabay.com
Wo gibt es weiterführende Informationen zu Präventionsmaßnahmen?
Das virtuelle Datenschutzbüro hat auf seiner Seite Informationen bereitgestellt, die das Thema Emotet aus datenschutzrechtlicher Sicht beleuchten. Des Weiteren gibt es auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) ebenfalls Informationen zu Prävention und Reaktion im Falle eines Befalls hier und hier. Auch der LfDI Rheinland-Pfalz empfiehlt Unternehmen dringend ihre Beschäftigten für dieses Thema zu sensibilisieren. Dies können sie auch unter anderem mit den Informationen des Bayerischen Landesamt für Datenschutzaufsicht tun.
Auf jeden Fall müssen als Präventionsmaßnahmen vor allem ausreichende technisch organisatorische Maßnahmen ergriffen werden. Best-Practice-Beispiele zur Sicherheit der Verarbeitung können in unserem letzten Blogbeitrag nachgelesen werden.
Kontaktieren Sie uns!
Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.