Datenschutz und Datensicherheit

Nützliche Hinweise des LfDI Hessen zum Thema Phishing

Nützliche Hinweise zum Thema Phishing

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat in seinem 48. Tätigkeitsbericht zum Datenschutz einige wie ich finde sehr nützliche Hinweise zum Thema Phishing gegeben.

Aus den festgestellten und aufgelisteten Versäumnissen anderer lassen sich - wie so häufig im Leben - nun auch mal nützliche Handlungshinweise zur Fehlervermeidung ableiten:

Festgestellte Versäumnisse: Konkret wurden bei Überprüfungen bekannt gewordener Phishing-Attacken wiederholt folgende Versäumnisse der Verantwortlichen festgestellt:

  1. Im Vorfeld zu ergreifende Maßnahmen:

    • Unzureichende Absicherung des Authentifizierungs-Prozesses: Vielfach mangelt es an angemessenen organisatorischen und technischen Maßnahmen zur Absicherung des Authentifizierungs-Prozesses. So fehlen beispielsweise verbindliche Passwortrichtlinien oder die geforderte Passwortkomplexität ist im Verhältnis zu den verarbeiteten personenbezogenen Daten inadäquat. Hinzu kommt, dass eine Authentifizierung mittels Benutzerkennung und Passwort in der Regel nur eine von mehreren Alternativen ist. Für die Microsoft Office 365-Plattform besteht bspw. auch die Möglichkeit zum Einsatz einer 2-Faktor-Authentifizierung (d. h. neben der Eingabe des Benutzernamens und des Passwortes wird ein weiterer „Faktor“ zur Authentifikation des Nutzers verwendet)

    • Fehlende Regelungen zur Internet- und E-Mail-Nutzung am Arbeitsplatz: Seitens der Verantwortlichen wurde häufig versäumt, eindeutige und verbindliche Regelungen zur Internet- und E-Mail-Nutzung am Arbeitsplatz zu treffen. So kann etwa eine geduldete, ungeregelte Privatnutzung des betrieblichen E-Mail-Kontos dazu führen, dass die Aufklärung von IT-Sicherheitsvorfällen – etwa durch Untersuchung eines kompromittierten E-Mail-Kontos – mit vermeidbaren Rechtsunsicherheiten einhergeht. Für die Evaluierung des Risikos für die Rechte und Freiheiten betroffener Personen ist es beispielsweise in der Regel erforderlich, eine Überprüfung von E-Mail-Inhalten und -Metadaten durchzuführen.

    • Unzureichende technische und organisatorische Präventionsmaßnahmen: Neben der Kernfunktionalität der E-Mail-Kommunikation bieten gängige E-Mail-Plattformen ergänzende Schnittstellen und Funktionalitäten. Hierzu zählen insbesondere auch solche aus dem Bereich der IT-Sicherheit, z. B. die Möglichkeit zur Integration von Virenscannern und eine Spam-Erkennung. Diese sollten entsprechend eingerichtet, genutzt und gewartet werden. Gleichzeitig sollten nicht benötigte Funktionalitäten und Dienste deaktiviert werden. Sie können Schwachstellen enthalten, die von Angreifern ausgenutzt werden könnten. Rein technische Lösungen sind in vielen Fällen jedoch nicht ausreichend. So wurde beispielsweise in einem Prüfverfahren festgestellt, dass selbst von der Plattform als potenzielle SPAM-E-Mails gekennzeichnete E-Mail-Nachrichten von Beschäftigten geöffnet wurden. Technische Maßnahmen müssen daher um organisatorische Maßnahmen ergänzt werden, um ihre volle Wirkung entfalten zu können. So sollten bspw. Vorgaben zum Umgang mit systemseitig als Spam identifizierten E-Mails definiert werden.

    • Nicht vorhandene Notfallpläne: Sollte es Dritten gelingen, durch Phishing ein oder mehrere E-Mail-Konten zu übernehmen, so kann der Faktor Zeit einen wesentlichen Einfluss auf die weitere Ausbreitung, die Tragweite und die Eindämmung von Phishing- Attacken haben. Dementsprechend sollten Verantwortliche über Notfallpläne verfügen, die ihnen eine schnelle, umfassende und wirksame Eindämmung der Phishing-Attacke ermöglichen. Dabei sollte nicht nur Wert auf die Erstellung entsprechender Dokumentationen gelegt werden, sondern die Praxistauglichkeit der Steuerung und Koordination sollte zusätzlich durch Notfallübungen überprüft werden.

    • Fehlende Strukturen und Prozesse zur Behandlung von Verletzungsmeldungen: Häufig ist festzustellen, dass es innerhalb der Organisationsstruktur des Verantwortlichen keine etablierten Prozesse zur Meldung und zum Umgang mit Verletzungen des Schutzes personenbezogener Daten gibt. So erkennen Beschäftigte häufig bereits nicht, dass sie durch ihr Verhalten Datenschutzrechte anderer Personen verletzt haben könnten. Auch ist den handelnden Personen häufig nicht bewusst, dass aufgrund der 72-Stunden-Frist des Art. 33 Abs. 1 Satz 1 DS-GVO umgehend nach Bekanntwerden der Verletzung des Schutzes personenbezogener Daten eine Meldung an die Aufsichtsbehörde zu erfolgen hat. Unklar ist oftmals auch, welche Personen seitens des Verantwortlichen zu informieren sind (z. B. Datenschutz- und IT-Sicherheitsbeauftragte). Es sollten daher vorab Prozesse etabliert werden, die eine strukturierte und effiziente Bearbeitung der Verletzung des Schutzes personenbezogener Daten ermöglichen.

    • Mangelnde Effektivität der ergriffenen Schulungsmaßnahmen: Zwar ist durchaus festzustellen, dass Verantwortliche bemüht sind, ihren Beschäftigten datenschutzrechtlich relevante Inhalte zu vermitteln. Auch können regelmäßig Verpflichtungen von Mitarbeitern zu Regelungen des Datenschutzes nachgewiesen werden (vgl. hierzu auch das Kurzpapier Nr. 19 der Konferenz des Datenschutzbeauftragten des Bundes und der Länder zur „Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO“ (abrufbar über https://datenschutz.hessen.de/infothek/kurzpapiere-der-dsk). Bei den der Behörde bekannt gewordenen Vorfällen zeigt sich aber, dass ein tatsächlich nachhaltiges Bewusstsein für datenschutzrechtliche Themen häufig nicht vorhanden ist. Dies zeigt sich etwa daran, dass – selbst wenn Strukturen und Prozesse zur Behandlung von Verletzungsmeldungen vorhanden sind – diese bei den Beschäftigten nicht ausreichend verinnerlicht sind und daher nicht zu einem effektiven Handeln im Sinne des Datenschutzes führen.

  2. Nach Bekanntwerden ergriffene Maßnahmen

    • Unterschätzung der Tragweite: Häufig erfolgt im Rahmen von Phishing-Vorfällen eine starke Fokussierung auf die Überprüfung der E-Mail-Kommunikation. Gleichzeitig werden etwaige weiterreichende Auswirkungen nicht oder nur unzureichend betrachtet. Im Kontext von Microsoft Office 365-Plattform wird bspw. nicht berücksichtigt, dass das zur Authentifizierung am E-Mail-Postfach verwendete Benutzerkonto in der Regel auch für eine Authentifizierung an anderen Diensten der Plattform verwendet werden kann (z. B. Teams, Sharepoint, OneDrive). Es sollte daher darauf geachtet werden, dass von einzelnen Nutzerinnen und Nutzern nicht benötigte Dienste für deren Benutzerkonten gesperrt werden. Nur gesperrte Dienste müssen bei der Analyse von Phishing-Vorfällen nicht mitberücksichtigt werden. Je nach Ausgestaltung des Authentifizierungsprozesses sollte darüber hinaus geprüft werden, ob unter Umständen temporär sämtliche Benutzerkonten gesperrt werden müssen, um eine weitere Ausbreitung des Angriffs zu unterbinden. Vor einer Reaktivierung müssen in der Regel sämtliche Passwörter zurückgesetzt werden.

    • Unzureichende Nachbereitung: Neben den Notfallplänen sollten auch Maßnahmen ergriffen werden, die eine vollständige Analyse und Aufbereitung im Anschluss an eine Phishing- Attacke ermöglichen. Hierzu zählen z. B. eine datenschutzkonforme Protokollierung, anlassbezogene Schulungsmaßnahmen und die Überprüfung der Wirksamkeit der im Rahmen des Vorfalls ergriffenen Maßnahmen. Nur auf Basis einer angemessenen Nachbereitung und einer entsprechenden Dokumentation kann ein Verantwortlicher seinen Verpflichtungen aus der DS-GVO vollständig nachkommen.

    • Unzureichende und verspätete Information betroffener Personen: Betroffene Personen sind gemäß Art. 34 Abs. 1 DS-GVO über eine Verletzung des Schutzes personenbezogener Daten unverzüglich zu informieren, falls diese voraussichtlich ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen zur Folge hat und keine der Bedingungen aus Art. 34 Abs. 3 DS-GVO erfüllt ist. Dies setzt zunächst die Identifikation der betroffenen Person voraus. Anschließend muss für diese Personen das voraussichtliche Risiko für Rechte und Freiheiten sowie das Vorliegen der Bedingungen aus Art. 34 Abs. 3 DS-GVO ermittelt werden. Bei der Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen stelle ich fest, dass Verantwortliche sowohl die Anzahl der von einer Datenpanne betroffenen Personen als auch die potenziellen Risiken tendenziell unterschätzen. Auch fürchten viele Verantwortliche mögliche Image-Schäden, die mit der Erfüllung der Informationspflicht einhergehen können. Auch ist darauf zu achten, dass die Betroffenen transparent über geeignete Kommunikationsmittel und -wege über die Verletzung des Schutzes ihrer personenbezogenen Daten unterrichtet werden.

Es folgt der zutreffende Hinweis: Grundsätzlich ist zu beachten, dass Versäumnisse, die im Rahmen einer Prüfung nach Art. 33 DS-GVO festgestellt werden, weitergehende aufsichtsbehördliche Verwaltungs- und Bußgeldverfahren nach sich ziehen können.

Quelle: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit 
48. Tätigkeitsbericht zum Datenschutz, S. 22 ff.