Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz vom 03.06.2020

In den ver­gan­ge­nen Tagen sind zahl­rei­che Orga­ni­sa­tio­nen und Betrie­be in Rhein­land-Pfalz mit einer neu­ar­ti­gen Schad­soft­ware ver­gleich­bar der Schad­soft­ware Emo­tet infi­ziert wor­den.

Beim Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz (LfDI) sind seit dem 20. Mai acht ent­spre­chen­de Daten­pan­nen gemel­det wor­den. Es sind Unter­neh­men als auch öffent­li­che Stel­len von den Angrif­fen betrof­fen. Bei der der­zei­ti­gen Angriffs­wel­le han­delt es sich um eine Schad­soft­ware, bei der der Schäd­ling in der Regel neben den E‑Mail-Kon­tak­ten auch die vor­han­de­ne E‑Mail-Kom­mu­ni­ka­ti­on aus­liest und sich dann auf dem E‑Mail-Weg wei­ter­ver­brei­tet. Ist die Schad­soft­ware erst­mal in IT-Syste­me ein­ge­drun­gen, kann sie unter Umstän­den ande­re Schad­pro­gram­me nach­la­den.

Ob und gege­be­nen­falls in wel­chem Umfang bei den jüng­sten Angrif­fen in Rhein­land-Pfalz über die Daten aus der E‑Mail-Kom­mu­ni­ka­ti­on hin­aus wei­te­re Daten abge­flos­sen sind, ist der­zeit noch offen. Nach den ersten Anga­ben der Ver­ant­wort­li­chen der betrof­fe­nen Unter­neh­men und Ein­rich­tun­gen sind bis­her kei­ne wei­te­ren Abflüs­se von Daten fest­ge­stellt wor­den; dies ist jedoch Gegen­stand wei­te­rer Ermitt­lun­gen. Daten­schutz­recht­lich sind Angrif­fe mit der neu­ar­ti­gen Schad­soft­ware pro­ble­ma­tisch, weil durch den Abfluss der E‑Mails per­so­nen­be­zo­ge­ne Daten unbe­fug­ten Drit­ten bekannt wer­den. Die­se E‑Mails kön­nen, je nach Zusam­men­hang, sen­si­ble Daten der Absen­der ent­hal­ten.

Die Angrif­fe ver­lau­fen in der Regel nach fol­gen­dem Muster: Die Schad­soft­ware liest Kon­takt­be­zie­hun­gen und E‑Mail-Inhal­te aus den Post­fä­chern bereits infi­zier­ter Syste­me aus. Anschlie­ßend wer­den authen­tisch aus­se­hen­de Spam-Mails an die Emp­fän­ger aus der Kon­takt­li­ste ver­schickt. Die­se erhal­ten also fin­gier­te Mails von Absen­dern, mit denen sie kürz­lich tat­säch­lich in Kon­takt stan­den, was das Risi­ko erhöht, dass den E‑Mails Ver­trau­en ent­ge­gen­ge­bracht wird. Die Beschrei­bun­gen der Betrof­fe­nen in Rhein­land-Pfalz in den ver­gan­ge­nen Tagen ähneln sich in die­sem Sin­ne: E‑Mails mit den Adres­sen der betrof­fe­nen Unter­neh­men und Ein­rich­tun­gen sind an Per­so­nen gegan­gen, die aus zwei Ele­men­ten bestan­den. Im obe­ren Teil der E‑Mail war ein kur­zer Satz mit einem Link ent­hal­ten, über den womög­lich eine Infek­ti­on erfol­gen könn­te. Im unte­ren Teil der E‑Mail war eine älte­re E‑Mail ange­hängt, die die Per­son zuvor an das Unter­neh­men oder die Ein­rich­tung gesandt hat­te.

Bei einem Befall mit der neu­ar­ti­gen Schad­soft­ware liegt daten­schutz­recht­lich eine Daten­schutz­ver­let­zung vor, die nach Arti­kel 33 DS-GVO bei der zustän­di­gen Auf­sichts­be­hör­de inner­halb von 72 Stun­den zu mel­den ist. Nach einem Angriff soll­ten alle betrof­fe­nen Per­so­nen, das heißt alle E‑Mail-Absen­der, die sich im Post­fach des infi­zier­ten Unter­neh­mens befin­den, nach dem Mot­to „Sharing is caring“ (Vor­beu­gen durch Infor­ma­tio­nen tei­len) über den Vor­fall infor­miert wer­den, um eine Aus­brei­tung zu ver­hin­dern. Han­delt es sich bei den betrof­fe­nen E‑Mails um E‑Mails mit sen­si­blen Inhal­ten wie beson­ders geschütz­te Daten nach Art. 9 DS-GVO, ist von einem hohen Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen aus­zu­ge­hen. In die­sen Fäl­len unter­liegt der Ver­ant­wort­li­che einer Pflicht zur Benach­rich­ti­gung der betrof­fe­nen Per­so­nen nach Art. 34 Abs. 1 DS-GVO.

Der LfDI emp­fiehlt den betrof­fe­nen Unter­neh­men und Orga­ni­sa­tio­nen ihre Mit­ar­bei­ter für die neue Wel­le von Phis­hing-Mails zu sen­si­bi­li­sie­ren und die Sicher­heits­vor­keh­rung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik zur Vor­beu­gung eines Angriffs zu befol­gen. Wei­te­re Infor­ma­tio­nen gibt es beim Bun­des­amt und dem Baye­ri­schen Lan­des­amt für Daten­schutz­auf­sicht.

Die Pres­se­mit­tei­lun­gen des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz kön­nen hier abge­ru­fen wer­den.