Das LKA warnt aktuell vor einer gefährlichen Betrugsmasche über Microsoft-Accounts, die im Umlauf ist. Unternehmen können schnell betroffen sein und müssen bei einem Datenleck im schlimmsten Fall mit enorm kostspieligen Konsequenzen rechnen.
Im Rahmen von aktuellen Ermittlungen durch das Landeskriminalamt Nordrhein-Westfalen wurde festgestellt, dass derzeit viele Unternehmen von Cyberangriffen auf Office 365 (E-Mail und Dokumentenverwaltung) betroffen sind. Diese Angriffe bergen Gefahren auch für angebundene Firmen des Unternehmensnetzwerks sowie für deren Kunden und Kommunikationspartner. Eventuelle Datenlecks können dann enorme Folgen haben. Die Datenlecks bei Facebook, Twitter und Deezer zeigen dies eindrucksvoll.
Datenverlust durch Angriffe – E-Mail-Konten werden übernommen
Unbekannte Täter übernehmen E-Mail-Konten und versenden dann Nachrichten im Namen der betroffenen Firmen. Diese E-Mails enthalten gefährliche Anhänge oder Links. Die E-Mails sehen echt aus, da sie keine Sprachfehler, dafür aber oft echte frühere Gesprächsverläufe enthalten. Sobald ein Empfänger auf die Links klickt, kann das IT-System unmittelbar angegriffen werden, und es kann zu Datenverlust bzw. dem Diebstahl von Daten sowie weiteren Angriffen zum Beispiel Phishing Attacken kommen.
Die Täter durchsuchen außerdem die übernommenen E-Mail-Konten gezielt nach Informationen aus der Anfangszeit der Corona-Krise, besonders nach VPN-Zugangsdaten nicht öffentlicher IT-Netzwerke. Diese Informationen ermöglichen es den Tätern, direkten Zugriff auf die IT-Infrastruktur von Unternehmen zu erhalten. Auch auf Dokumente in den E-Mails können sie zugreifen.
Durch Ermittlungen des Landeskriminalamtes Nordrhein-Westfalen konnten inzwischen einige Firmen vor weiteren Angriffen wie Verschlüsselungen durch Ransomware und den damit verbundenen Erpressungen geschützt werden. Durch solche Cyberattacken entstehen ansonsten regelmäßig Schäden in Millionenhöhe.
Wenn eine Unternehmens-IT von solchen Office 365 Angriffen betroffen ist oder wenn Mitarbeiter auf verdächtige Links klicken oder ihre Zugangsdaten eingegeben haben, besteht ein hohes Risiko für Unternehmens-IT-Systeme. Dies gilt auch, wenn Dateien von namhaften Plattformen bzw. von Clouddiensten großer Anbieter heruntergeladen wurden. Die Täter aktualisieren ständig ihre gefährlichen Anhänge, sodass vorhandene Virenscanner diese möglicherweise nicht immer erkennen können.
Der Fall zeigt, dass für Unternehmen umfassende Sicherheitskonzepte und die Sensibilisierung von Mitarbeitenden von enormer Bedeutung sind. Kommen Daten abhanden, kann es für Unternehmen extrem teuer werden, denn Betroffenen kann dann neben Auskunftsansprüchen auch Schadensersatz zustehen. Die Datenlecks bei Facebook, Twitter und Deezer stehen dafür exemplarisch.
Müssen Unternehmen für Datenlecks haften?
Grundsätzlich hat ein Datenverarbeiter bei einer Datenpanne die bußgeldbewehrte Pflicht, die Betroffenen zu informieren. Ob ein betroffenes Unternehmen die Betroffenen von der Datenpanne informieren muss, richtet sich nach Art. 34 DSGVO. In Art. 34 DSGVO ist vorgesehen, dass betroffene Personen von den Verantwortlichen „unverzüglich“ von der Verletzung zu unterrichten sind. Dies gilt aber nur dann, wenn von der Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ ausgeht. Die Informationspflicht ist zudem ausgeschlossen, wenn Unternehmen nach einem Vorfall sofort Maßnahmen ergriffen haben, die die Sicherheit der Daten wiederherstellen. Ob die Voraussetzungen des Art. 34 vorliegen, ist im Einzelfall sodann zu prüfen sein.
Warum kann Betroffenen Schadensersatz zustehen?
Auf der Grundlage von Art. 15 DSGVO können Betroffene Auskunft gegenüber des jeweiligen Unternehmens verlangen, ob sie vom Datenleck betroffen sind. Erteilt dieses dann keine oder eine unvollständige Auskunft, kann sich daraus zu Gunsten der Betroffenen bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen der Unternehmen im Zusammenhang mit einem Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.
Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse.
Sind Sie von einem Datenleck bei Twitter, Facebook oder Deezer betroffen? Hier kostenlos prüfen
tsp