Datenabflüsse haben im vergangenen Jahr viel zu reden gegeben. Der Internet-Konzern Yahoo! musste eingestehen, dass bei einem Hacker-Angriff die Daten aller Kunden gestohlen wurden. Uber und der US-Finanzdienstleister Equifax waren weitere prominente Hacker-Opfer. Uber vertuschte einen massiven Hackerangriff zunächst und musste schliesslich eingestehen, dass 57 Millionen Kundendaten weg sind. Statt die Behörden oder Betroffene zu informieren, bezahlte Uber den Hackern 100'000 Dollar, damit sie die gestohlenen Daten vernichteten.
Bei Equifax hatten Kriminelle in hunderttausenden Fällen Zugriff auf sensible Daten von US-Bürgern wie Sozialversicherungs- oder Kreditkartennummern.
In der Schweiz hatte die Swisscom einen Datenabfluss mit 800'000 Kunden-Datensätzen zu beklagen. Ebenfalls von Datenlecks betroffen waren Digitec, Groupe Mutuel, dvd-shop.ch oder die Inkassofirma EOS Schweiz, um nur die Spitze des Eisberges zu nennen. Besonders brisant: «Offenbar haben Ärzte auf einem Portal von EOS ganze Krankenakten hochgeladen», heisst es im Bericht des Bundes.
Betroffen sind viel mehr Firmen als publik gemacht wird, da es in der Schweiz bislang keine gesetzliche Meldepflicht für Cybervorfälle gibt. Eine Übersicht der wichtigsten Vorfälle im letzten Jahr gibt es in diesem Artikel.
Auf jeden Fall gilt bei allen aufgezählten Firmen: Wer es noch nicht getan hat, sollte das entsprechende Passwort ändern und es bei keinem anderen Online-Dienst mehr nutzen.
Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes beleuchtet in ihrem am Donnerstag veröffentlichten Halbjahresbericht die Ursachen und Folgen solcher Datenabflüsse.
Die bei Hackerattacken gestohlenen Namen, E-Mail-Adressen, Telefonnummern, Postadressen oder Passwörter werden oft für Spam-Mails bzw. gezielte Phishing-Angriffe genutzt.
Anfang März 2018 bekamen tausende Schweizer innert weniger Stunden gefälschte E-Mails mit Absender Kantonspolizei Aargau, Zürich, Basel-Landschaft, Thurgau etc. Unbekannte gaben sich als Polizisten aus und warnten vor einem angeblich gefährlichen Gewaltverbrecher im Wohnort des angeschriebenen Opfers. Mehr Infos über den Mann finde man in der angehängten Datei.
Wer solche Anhänge öffnet, fängt sich einen E-Banking-Trojaner ein. Das Perfide daran: Die Kriminellen sprachen die Opfer in den gefälschten E-Mails persönlich an, weil sie offenbar im Besitz gestohlener Nutzerdaten (Name, Postadresse) waren.
Künftig könnten den Unternehmen hohe Bussen drohen. In der Schweiz wird derzeit das Datenschutzgesetz revidiert. Es sei davon auszugehen, dass die Revision verschiedene Neuerungen der EU-Datenschutz-Grundverordnung (DSGVO) aufgreifen werde, schreibt MELANI.
Bei Verstössen gegen die DSGVO drohen Unternehmen Geldbussen von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes. Das werde den Umgang mit Datenpannen wohl grundlegend verändern und den Fokus verstärkt auf die Sicherheit lenken, heisst es im Bericht.
Allerdings könnte die Vorgabe die Cyber-Kriminellen noch mehr motivieren, Profit aus Datenabflüssen zu erzielen. Ein Erpressungsangebot, das unter der Summe der Geldbusse liege, würde vielleicht die eine oder andere Firma dazu verleiten, das billigere Angebot anzunehmen.
Beunruhigend sind mögliche Hackerangriffe auf medizinische Geräte. Im vergangenen Jahr kamen Sicherheitslücken bei Herzschrittmachern zum Vorschein. Die Patientinnen und Patienten mussten sich in der Folge einem Prozedere für ein Update unterziehen. In der Schweiz seien 5000 Personen betroffen gewesen, schreibt MELANI.
Weiter berichtet die Meldestelle über einen experimentellen Hackerangriff auf ein Flugzeug. Sicherheitsexperten gelang es demnach, ins Computersystem einer Boeing 757 am US-Flughafen Atlantic City einzudringen.
Crimeware war auch im zweiten Halbjahr 2017 weit verbreitet. Zum Einsatz kamen laut MELANI vor allem Verschlüsselungs- und E-Banking-Trojaner. Zur am stärksten verbreiteten Schadsoftware gehört «Downadup», auch bekannt als «Conficker». Dies, obwohl für die ausgenutzte Sicherheitslücke seit mehr als zehn Jahren ein Patch zur Verfügung steht.
Eine der aggressivsten Schadsoftware in der Schweiz ist «Retefe». Zur Verteilung werden E-Mails benutzt. Nach erfolgreicher Infektion ändert «Retefe» die Einstellungen des Browsers so, dass bestimmte Websites – namentlich E-Banking-Portale – über einen Proxy-Server umgeleitet werden. Meldet sich ein Opfer beim vermeintlichen E-Banking-Portal an, wird es aufgefordert, etwas herunterzuladen, angeblich zur Erhöhung der Sicherheit. In Wahrheit können sich die Kriminellen so ins E-Banking des Opfers einloggen.
Viele Kriminelle versuchen an die Zugangsdaten zu E-Mail-Konten zu gelangen. Gelingt ihnen das, durchforsten sie das Konto nach brauchbarem Material, zum Beispiel elektronischen Rechnungen, die sie dann manipulieren.
MELANI empfiehlt, bei Überweisungen die Informationen über das Empfängerkonto stets auf Plausibilität hin zu prüfen. Stutzig werden sollte man etwa, wenn das Geld ins Ausland überwiesen werden soll, obwohl die Rechnung von einer Schweizer Firma ausgestellt wurde.
Der vollständige MELANI-Halbjahresbericht zu Themen wie Datenabflüsse, Crimeware und Angriffe auf industrielle Kontrollsysteme kann hier als PDF heruntergeladen werden.
(oli/sda)
Kriminelle stehlen Daten.
Aber die Bestohlenen werden immer beschuldigt.
Ist in etwa so wie
Auf offener Strasse kreuzt dich einer und haut dir in die Fresse.
Dann sagt die Polizei
"Wieso haben sie keine Kampfsport Ausbildung?"
Firmen verstossen gegen geltendes Gesetzt (i.e. Sorgfaltspflicht, i.e. Datenverarbeitungsanlagen, u.a.)
An wen können sich Betroffene wenden und können/dürfen Anzeigen erstattet werden, wer nimmt diese entgegen? Kann mir das hier jemand beantworten?
Danke...! 🙏