DSGVO: Fast die Hälfte der Unternehmen unzureichend vorbereitet

Die Datenschutzgrundverordnung (DSGVO) tritt am 15. Mai 2018 in Kraft und noch viele Unternehmen treffen schleppende oder gar keine Vorbereitungen. Das kann sich rächen, denn die Zeit für eine erfolgreiche Umsetzung der neuen rechtlichen Anforderungen wird knapp.

Um den Ist-Zustand bei der Umsetzung der DSGVO in der deutschen Unternehmenslandschaft zu ermitteln, hat die IDC 251 Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt (Stand August 2017). In Anbetracht der Tatsache, dass Unternehmen nur etwas mehr als ein halbes Jahr haben, um compliant zu werden, fällt das Ergebnis ernüchternd aus. Zwar gaben 15% der befragten Unternehmen an, dass sie bereits jetzt vollständig compliant sind. 41% der Unternehmen haben zumindest vereinzelte Maßnahmen umgesetzt.

Demgegenüber stehen 44%, die noch keine Maßnahmen ergriffen haben. Diese setzen sich wie folgt zusammen: 16% haben zwar einen konkreten Plan, wie sie die DSGVO in ihrem Unternehmen umsetzen wollen. Begonnen haben sie damit aber noch nicht. 25% kennen die neuen Anforderungen, verharren jedoch in einer abwartenden Haltung. Erfreulich ist, dass die Zahl der Unternehmen, die sich mit der Thematik noch überhaupt nicht auseinandergesetzt haben, mit 3% marginal ist. Laut der IDC würden sich vor allem mittelständische Unternehmen schwertun. In diesem Segment gaben 40% der Befragten an, dass sie skeptisch sind, die Anforderungen fristgerecht umsetzen zu können.

Befragung offenbart: Unternehmen haben kaum Datenschutzbeauftragte

Interessante Einblicke gewährt die Befragung, wenn man etwas ins Detail geht. Eine Schlüsselposition für ein erfolgreiches Datenschutzmanagement im Unternehmen ist bei den meisten wohl unbesetzt: 83% haben keinen Datenschutzbeauftragten. Höhere Sanktionen in der DSGVO, wenn kein Datenschutzbeauftragter im Unternehmen ist, sind sehr wahrscheinlich der Grund, warum 50% zumindest in den nächsten Monaten einen Datenschutzbeauftragten einsetzen möchten. Auch der Branchenverband bitkom sieht diesen Zustand, mit Blick auf die Umsetzung des DSGVO und die aktuelle Rechtslage, kritisch.

Es ist zu begrüßen, dass viele Unternehmen jetzt einen solchen Datenschutzbeauftragten bestellen möchten. Allerdings kostet diese Versäumnis nun wichtige Ressourcen und relevantes Know-how bei der Umsetzung der DSGVO. Ein schon eingearbeiteter und erfahrener betrieblicher bzw. externer Datenschutzbeauftragter könnte die Umsetzung erheblich erleichtern.

Wer macht was mit welchen Daten? Vielen Unternehmen fehlt noch der Überblick

Hinzu kommt, dass noch viele Unternehmen keinen umfassenden Überblick über die Datenverarbeitungen in ihrem Unternehmen haben. Für einen rechtskonformen und effizienten Datenschutz ist gerade dies aber ein zentraler Aspekt. Wer nicht weiß, welche Daten wo verarbeitet werden und wer darauf Zugriff hat, kann sich schnell mit Beschwerden, den Datenschutzbehörden und Imageschäden konfrontiert sehen.

Die IDC-Umfrage hat nun ergeben, dass 23% nicht wissen, wo ihre Daten gespeichert werden. 27% sind nicht in der Lage anzugeben, wer Zugriff auf personenbezogene Daten hat. Mit hoher Wahrscheinlichkeit bedeutet dies auch, dass es keine wirksamen Zugangs- und Zugriffskontrollen zu den Daten gibt. 37% räumten zudem ein, dass ihre Daten unkontrolliert und dem Zugriff durch Mitarbeiter ausgesetzt auf den Servern zugänglich sind.

Fatal könnte sich auch auswirken, dass etliche Unternehmen besonders Anforderungen als weniger relevant zu betrachten scheinen, die auf die Benachrichtigung Dritter ausgelegt sind: 53% planen keine Einführung von Prozessen zur Benachrichtigung der durch die Datenverarbeitung betroffenen Personen, 47% wollen keine Prozesse zur, unter bestimmten Umständen allerdings gesetzlich verpflichtenden, Benachrichtigung der zuständigen Datenschutzbehörden etablieren. Alles in allem ein Bild, das — mit Blick auf die hohen Anforderungen der DSGVO — den noch enormen Handlungsbedarf bei deutschen Unternehmen unterstreicht.

Unternehmen müssen jetzt handeln

Unternehmen, die einen derartigen Handlungsbedarf wie den oben skizzierten aufweisen, sollten jetzt handeln. Bis zum Inkrafttreten der DSGVO bleibt nicht mehr viel Zeit und die Einführung eines rechtskonformen und effizienten Datenschutzmanagements, das sowohl dem Unternehmen als auch den Betroffenen nützt, braucht Zeit: ein geeigneter Datenschutzbeauftragter muss gefunden und geschult werden. Sämtliche Mitarbeiter müssen datenschutzrechtlich auf den aktuellen Stand gebracht werden. Insbesondere die unternehmensinternen Arbeitsprozesse bedürfen einer datenschutzrechtlichen Optimierung, um einen Datenschutz „on the job“ gewährleisten zu können. Unternehmen, die bis zum 25. Mai 2018 nicht compliant sind, drohen deutlich höhere Geldbußen als sie bislang im BDSG vorgesehen sind. Die Strafe kann bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe betragen.

CEO-Fraud: 100 Mio. USD erbeutet

Erneut sind zwei Unternehmen Opfer eines umfangreichen CEO-Fraud geworden. Der Täter erbeutete insgesamt 100 Millionen USD.

Die Fälle, in denen Unternehmen Opfer eines sog. CEO-Fraud werden, häufen sich. Mittels falscher Identitäten, technischer Hilfsmittel und Social Engineering erbeuten die Täter immer wieder Millionen, indem sie sich bspw. als Manager des eigenen Unternehmens oder als Geschäftspartner ausgeben und teilweise Millionen schwere Transaktionen veranlassen. Über CEO-Fraud und Social Engineering, was es ist und wie man sich schützt, publiziert MKM+PARTNER immer wieder.

Ein Täter, zwei Jahre, 100 Millionen USD Beute

Der 48-jährige Tatverdächtige wurde in Litauen festgenommen, wie das US-Justizministerium bekannt gab. Die beiden geschädigten Unternehmen sollen ein „international tätiges Technologie- und ein international tätiges Social-Media-Unternehmen“ sein.

Das Vorgehen des Verdächtigen ist, wie bei vielen anderen Social Engineering-Angriffen, durchdacht und von fundierten Informationen über die betroffenen Unternehmen getragen. Nachdem er den Unternehmensnamen eines asiatischen Geschäftspartners der beiden betroffenen Firmen ermittelte, gründete er selbst ein Unternehmen unter diesem Namen in Lettland. Anschließend eröffnete er entsprechende Konten in Lettland und Zypern.

Mittels Phishing-Mails gelangte er an vertrauliche Informationen der US-Unternehmen, u.a. an die Namen real existierender Mitarbeiter des asiatischen Geschäftspartners, Dokumente und Unterschriften. So konnte er gefälschte Rechnungen ausstellen und die Transaktionen veranlassen. Über zwei Jahre hinweg soll der Verdächtige dann die beiden US-Unternehmen um insgesamt 100 Millionen USD betrogen haben. Das Geld wurde von seinen Firmenkonten in Lettland und Zypern auf Konten in Hong Kong, Ungarn und der Slowakei sowie in weitere Länder verteilt.

Mit einfachen Mitteln zum Erfolg

Auffallend bei diesem Vorgehen ist, mit welch einfachen Mitteln der Verdächtige eine derart große Summe erbeuten konnte. Wie fast immer bei Social Engineering-Angriffen dürften die benötigten Basisinformationen öffentlich zugänglich gewesen sein. In diesem Fall vermutlich der Name des asiatischen Geschäftspartners und die Mailadressen, an die die Phishing-Mails versandt wurden.

Wie so oft griff auch hier die „Schwachstelle Mensch“. Die Empfänger der kompromittierten Mails öffneten diese, der Angreifer hackte sich so in das Netzwerk der Unternehmen. Je nach Ausgestaltung dieser Mails ist es den Opfern u.U. kaum möglich gewesen zu erkennen, dass diese gefälscht waren. Die Erbeutung echter Namen, Dokumente und Unterschriften garantierte dem Verdächtigen dann eigentlich den Erfolg. Ab diesem Zeitpunkt war es sehr unwahrscheinlich, dass jemand in den Unternehmen Verdacht schöpfte. Insbesondere, wenn durch den Hack Interna über Rechnungsabläufe, Leitlinien, Personalstruktur etc. ersichtlich wurden.

Jeder Zweite schließt unbekannte USB-Sticks an

Sicherheitsforscher von Google haben erneut die Awareness hinsichtlich unbekannter USB-Sticks getestet. Das Ergebnis: de facto jeder nimmt gefundene USB-Sticks mit, die Hälfte schließt sie an einen Computer an und öffnet Dateien.

Die Gefahr, die von unbekannten USB-Sticks ausgeht, ist seit langem bekannt. Angreifer infizieren sie mit Malware, Zero Day-Exploits oder Trojanern. Die Folgen können gekaperte IT-Systeme, infizierte IT-Strukturen, Wirtschaftsspionage und Datendiebstahl sein. Sicherheitsforscher des „Anti-Abuse Team“ von Google haben zum wiederholten Male getestet, wie Menschen mit gefundenen unbekannten USB-Sticks umgehen und welches Sicherheitsrisiko sie mit ihrem Verhalten für ein Unternehmen darstellen können.

Fast jeder steckt USB-Sticks ein, die Hälfte öffnet Dateien

Für ihren Test legten die Sicherheitsforscher 297 USB-Sticks auf öffentlichen Plätzen aus: Parkplätze, Universitätsgelände, Hörsäle und Flure. Auf diesen Sticks befanden sich HTML-Dateien, u.a. als JPEG und Word getarnt, die unerkannt Informationen an die Rechner der Forscher übermittelten und so bestätigten konnten, falls sie angeschlossen wurden. Das Ergebnis lässt bzgl. einer vorherrschenden Awareness skeptisch stimmen. De facto jeder nahm den gefunden USB-Stick mit (98 %), ca. die Hälfte (45 %) aller Personen schloss den USB-Stick an einen Computer an und öffnete hinterlegte Dateien. Bei einer anschließenden Befragung wollen die Forscher die Motivation der Testpersonen ermitteln. Von den Befragten gaben 68 % an, dass sie den Besitzer über die gespeicherten Dateien ermitteln wollten. Fast jeder Fünfte (18 %) gab zu einfach neugierig gewesen zu sein. Am häufigsten wurden Sticks auf Parkplätzen mitgenommen (53 %). War an dem USB-Stick zusätzlich ein Schlüssel befestigt, öffneten die Finder am meisten vorhandene Bilddateien, mutmaßlich um den Besitzer identifizieren zu können.

Awareness steigern, Angreifer können gezielt vorgehen

Die Ergebnisse dieser Studie lassen u.a. zwei Schlüsse zu.

Awareness der Mitarbeiter steigern

Die Awareness für das Risiko unbekannter USB-Sticks muss erhöht werden. Die meisten Angreifer kompromittieren Sticks mit Schadprogrammen, die von einem Virenscanner nicht entdeckt werden. Sicherheitsforscher kritisieren weiter, dass die Computersysteme so programmiert sind, dass sie USB-Sticks nicht ausreichend überprüfen. Solange dieser Zustand anhält bleibt Unternehmen kaum eine andere Möglichkeit, als ihre Mitarbeiter gezielt auf den Umgang mit unbekannten Datenträgern zu schulen. Die nun veröffentliche Studie zeigt deutlich, dass viele Personen noch nicht ausreichend für die Thematik sensibilisiert sind und so ein Sicherheitsrisiko für ihr Unternehmen darstellen.

Angreifer können gezielt vorgehen

Angreifer können gezielt mit infizierten Datenträgern vorgehen und sie tun es auch. Die Studie zeigt Hochrisiko-Orte sowie Hochrisiko-Szenarien. Auf Parkplätzen sind Findern am meisten geneigt, USB-Sticks mitzunehmen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen, nutzen Angreifer Firmenparkplätze. Sind die Parkplätze mit einer Zutrittskontrolle gesichert und schafft es ein Angreifer diese zu überwinden (bspw. mittels Social Engineering), dürfe die Bereitschaft sogar noch höher ausfallen.

Sind an einem Stick persönliche Gegenstände befestigt, wie vorliegend ein Schlüssel, zeigen die Testpersonen eine hohe Bereitschaft zum Öffnen von Bilddateien. Angreifer können ein solches Verhalten gezielt nutzen, um den Finder gezielt zu manipulieren. Um die Wahrscheinlichkeit zu erhöhen, können besonders unverdächtige Gegenstände verwendet werden. Ein Plüschtier könnte auf einen kindlichen Besitzer hinweisen, Werbemittel der eigenen Firma auf einen Kollegen, der auf dem Parkplatz seinen Stick verloren hat. Beide Beispiele lassen vermuten, dass der Finder das Risiko als sehr gering bzw. nicht existent einstufen wird.

Ein größeres Risiko entsteht zusätzlich dadurch, dass Angreifer diese Methode mit weiteren, wie Social Engineering, kombinieren können. Um sog. Zero Day-Exploits (Schwachstellen eines Programms, die bei Entwicklung nicht berücksichtigt wurden) auszunutzen, muss i.d.R. das verwendete Betriebssystem bekannt sein. Um dies herauszufinden können Social Engineers unter Vorspielen falscher Tatsachen in ein Unternehmen eindringen und so in Erfahrung bringen, welche Betriebssysteme zum Einsatz kommen.

Wir empfehlen daher eine intensive Schulung der Mitarbeiter, das Erstellen und Bekanntmachen von Richtlinien im Unternehmen, regelmäßige Tests und möglichst immer up to date zu bleiben.

Leoni AG: 40 Mio. EUR-Betrug durch Social Engineering

Der Autozulieferer Leoni ist einem sog. „CEO-Fraud“ zum Opfer gefallen. Der Schaden beläuft sich auf ca. 40 Millionen EUR. Die Täter gaben sich als Mitarbeiter wohl aus dem hohen Management aus und ergatterten ihr Beute mithilfe von Informationen, über das Unternehmen, die sie geschickt einzusetzen wussten, mutmaßlich aus dem hohen Management mit entsprechenden Befugnissen. Der Fall ist ein Lehrstück für Social Engineering.

Betrüger erbeuten von Leoni mit Social Engineering 40 Millionen EUR

Das Unternehmen machte aufgrund seiner Börsennotierung den Betrug selbst mit einer Pressemitteilung öffentlich. Die Täter hätten sich „unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ als Mitarbeiter mit entsprechenden Befugnissen ausgegeben und eine Transferierung von ca. 40 Millionen EUR auf ausländische Konten veranlasst. Die Täter nutzten dabei den sog. „CEO-Fraud“, auch „Chef-Masche“ genannt. Dabei geben sie sich als in der Unternehmenshierarchie weit oben stehende Personen oder Personen mit sonstigen speziellen Befugnissen aus, um Mitarbeiter zur Transferierung von Geldsummen anzuweisen. Der aktuelle Leoni-Fall ist ein Lehrstück für Social Engineering.

Social Engineering als Methode für Hacking und Betrug

Social Engineering ist eine Low Tech-Methode, um an Daten zu gelangen. Es handelt sich dabei de facto um Hacking von Menschen. In einem Beitrag für die DATEV haben sich zwei Autoren von MKM+PARTNER mit dem Thema beschäftigt und die verschiedenen Angriffsmethoden sowie Schutzmaßnahmen vorgestellt. In einem weiteren Beitrag für DATEV stellen sie Social Engineering und Visual Hacking als Low Tech-Angriffe vor und geben Tipps, wie sich Unternehmen schützen können.

Kurz und knapp lässt sich Social Engineering als das Erzeugen einer Illusion beschreiben, mittels derer ein Angreifer an Daten gelangen möchte. Der Angreifer schafft ein Szenario, in welchem er vorgibt eine bestimmte Person zu sein. Diese kann entweder tatsächlich existieren (Identitätsdiebstahl) oder erfunden sein und ist mit echten oder vermeintlichen Befugnissen bzw. Aufträgen ausgestattet. Um das Szenario so wirkmächtig wie möglich zu gestalten werden vor dem Angriff so viele brauchbare Informationen wie möglich über das Ziel, i.d.R. ein Unternehmen, gesammelt: Konzern- und Personalstruktur, Personen der verschiedenen Führungsebenen, Veranstaltungen, Kunden, Projekte und dergleichen. Oftmals sind diese Informationen öffentlich zugänglich.

Mitarbeiter in Unternehmen sollten im Rahmen von Schulungen für diese Themen sensibilisiert und geschult werden. Die Schwachstelle ist beim Social Engineering grundsätzlich der Mensch. Falls Sie Beratungsbedarf hierzu haben, kommen Sie gern auf uns zu.