Anstieg von Datenpannen durch Phishing Mails

In den vergangenen Monaten sind zahlreiche Organisationen und Betriebe in Deutschland mit einer neuartigen Schadsoftware (vergleichbar mit der Schadsoftware Emotet) infiziert worden.
Seit dem 20. Mai sind beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz mehrere Datenpannen gemeldet worden.

Hierbei handelt es sich um eine Schadensoftware, bei der der Schädling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Nach der Installation der genannten Software können unter Umständen andere Schadprogramme nachgeladen werden. Unternehmen und öffentliche Stellen sind von dem Angriff betroffen.

Welche Daten aus den E-Mail-Kommunikationen gefischt wurden ist noch unklar. Datenschutzrechtlich ist der Angriff problematisch, da personenbezogene Daten durch den Abfluss der E-Mails unbefugt an Dritte gelangt. Der Inhalt der Nachrichten kann je nach Zusammenhang, sensible Daten der Absender enthalten.

Die Angriffe fangen meist damit an, dass die Schadsoftware Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme ausliest. Danach werden Mails an die Empfänger aus der Kontaktliste versendet. Somit wird eine fingierte Mail von dem Absender geschaffen, welche das Vertrauen erhöht. Die Mails bestanden mehreren Elementen. Im ersten Teil war ein kurzer Satz mit einem Link vorhanden, über den die Infektion erfolgen könnte. Darunter war eine ältere Mail angehängt, die zuvor von der Person an das Unternehmen gesendet wurde.

So ein Befall ist laut Art. 33 DSGVO die Datenschutzverletzung innerhalb von 72 Stunden zu melden. Zudem sollte die Datenpanne im Unternehmen kommuniziert werden, damit nicht mehr Mitarbeit auf die Mail „reinfallen“. HUBIT unterstützt Sie bei der Meldung an die Aufsichtsbehörde.