Updates und Sicherheitspatches vergessen? Ein Hacker hat das genutzt, um Kundendaten abzugreifen und auch deren Systeme zu verschlüsseln.
Foto: normalfx - stock.adobe.com
Updates und Sicherheitspatches vergessen? Ein Hacker hat das genutzt, um Kundendaten abzugreifen und auch deren Systeme zu verschlüsseln.

Inhaltsverzeichnis

Digitalisierung + IT

5. Juni 2023

IT-Desaster: Updates ignoriert, Kunden gehackt

Datenschutzverstöße und was man aus ihnen lernen kann: Wer ist verantwortlich, wenn der Betrieb einen IT-Dienstleister beauftragt – und dann gehackt wird?

Von Evgeni Kolotilin
Evgeni Kolotilin
Evgeni Kolotilin

ist Mitarbeiter der Landesbeauftragten für Datenschutz (Lfd)  Niedersachsen und dort insbesondere für Wirtschaftsbetriebe zuständig.

Verfasste Artikel

Aus der Praxis: Dienstleister ohne Update-Hinweis

Um den E-Mail-Verkehr auf eine neue technische Basis zu stellen, beauftragte ein niedersächsisches Unternehmen einen renommierten IT-Dienstleister mit einem Allround-Paket für die neue Software: Der Dienstleister lieferte Server und installierte seine eigene Software. Er wies jedoch nicht auf die Notwendigkeit regelmäßiger Updates und Sicherheitspatches hin.

Cyberangriff Schritt für Schritt

Da der E-Mail-Server über einen längeren Zeitraum keine Sicherheitspatches erhielt, nutzten Cyberkriminelle eine Sicherheitslücke aus, um sich die Kontrolle über den Server zu verschaffen. Sie zogen die dort gespeicherten E-Mails und Kontaktdaten ab.

Anschließend nutzten sie den Server, um auch die Kontrolle über das übrige Unternehmensnetzwerk zu übernehmen und die dort gespeicherten Daten zu verschlüsseln.

Die erbeuteten Kontaktdaten und Mails nutzten die Cyberkriminellen, um den Kunden des Unternehmens speziell auf sie zugeschnittene Phishing-Mails zukommen zu lassen. Das führt zu weiteren Schäden bei den Kunden und einem erheblichen Imageverlust für das Unternehmen.

Für die verschlüsselten Daten gab es zwar ein Backup, die Wiederherstellung nahm jedoch einige Zeit in Anspruch. Währenddessen war das Unternehmen weitgehend arbeitsunfähig.

[Tipp: Sie wollen beim Thema IT-Sicherheit im Handwerk nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!]

Wer ist für das Desaster verantwortlich?

Der Verantwortung für den Datenschutz können sich Unternehmen nicht dadurch entziehen, dass sie Dienstleister beauftragen, sagt Datenschutz-Experte Evgeni Kolotilin.
Foto: LfD Niedersachsen
Der Verantwortung für den Datenschutz können sich Unternehmen nicht dadurch entziehen, dass sie Dienstleister beauftragen, sagt Datenschutz-Experte Evgeni Kolotilin.

Gegenüber der Landesbeauftragten für Datenschutz Niedersachsen erklärte der Geschäftsführer, er könne für die ganze Sache nichts. Die Schuld liege beim IT-Dienstleister.

Doch für die Sicherheit des Servers ist das Unternehmen datenschutzrechtlich verantwortlich. Dieser Verantwortung kann man sich nicht entziehen, indem Tätigkeiten an Dienstleister ausgelagert werden.

Tipps: So behalten Sie Sicherheits-Updates im Blick

Um sicherzustellen, dass Ihr Unternehmen über aktuelle Sicherheitsupdates verfügt, ist es ratsam, Abläufe festzulegen. Dazu kann es hilfreich sein, sich folgende Fragen zu stellen:

  • Wer ist im Unternehmen für die Überprüfung von Updates und deren Installation verantwortlich?
  • In welchen Intervallen erfolgt die Überprüfung?
  • Wie werden akute Sicherheitslücken behandelt?
  • Weist die eingesetzte Software selbstständig auf Updates hin?

Daneben sollten Sie auch die Meldungen und Warnungen vom Bundesamt für Sicherheit in der Informationstechnik beachten.

Tipp: Cyberkriminelle machen vor Sonn- und Feiertagen nicht halt. Und der Freitag ist ein besonders beliebter Tag für einen Angriff. Wenn Patch-Bedarf besteht, sorgen Sie schleunigst für dessen Umsetzung – je eher, desto besser.

Datensicherheit ist nicht nur eine Anforderung des Datenschutzrechts, sondern auch im finanziellen Interesse der Unternehmen. Nur so lassen sich Imageschäden, wirtschaftliche Verluste und Betriebsstörungen vermeiden.

Der Autor dieses Beitrags, Evgeni Kolotilin, ist Mitarbeiter der Landesbeauftragten für Datenschutz (Lfd)  Niedersachsen und dort insbesondere für Wirtschaftsbetriebe zuständig.

Tipp: Sie wollen beim Thema IT-Sicherheit im Handwerk nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!

Diese Artikel könnten Sie auch interessieren:

Erste Reaktionen bei einem Fälschungsangriff auf Ihre E-Mails: W-Lan-Router aus, aber Server laufen lassen, rät ein IT-Experte.

Gefälschte Rechnungen: 4 Tipps, wie Betriebe sich schützen

In einer E-Mail-Rechnung wird die Bankverbindung vom Handwerker zum Kunden verändert. Wie reagieren Betriebe darauf und wie schützen sie sich davor? 4 Tipps von einem IT-Experten.
Artikel lesen
Warnung: Dies ist weder ein sicheres Passwort noch ein guter Aufbewahrungsort.

Die 3 größten Fehler im Umgang mit Passwörtern

Passwörter sind unsere Schlösser in der digitalen Welt. Trotzdem sind wir oft nachlässig und machen leichtsinnige Fehler. Kommt Ihnen einer davon bekannt vor?
Artikel lesen

Anzeige

Frustriert von der Mitarbeitersuche?

handwerk.com und die Schlütersche helfen Ihnen Ihre offenen Stellen einfach, zeit- und kostensparend mit den richtigen Kandidaten zu besetzen! Mehr als 500 Betriebe vertrauen uns bei der Mitarbeitersuche!

Jetzt Bewerber finden!

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.
Newsletter: Wie komme ich da wieder raus? Es widerspricht dem Datenschutz-Ziel, wenn die Abbestellung eines Newsletters viele Schritte fordert.

Recht

Escape Game: Kämpfe Dich durch das Labyrinth der Newsletter-Abmeldung!

Datenschutzverstöße und was man aus ihnen lernen kann: Ein Unternehmen macht Kunden die Abmeldung vom Newsletter möglichst schwer. Was sagt der Experte?

    • Recht, Digitalisierung + IT
Nur, wenn 3 Voraussetzungen erfüllt sind: Laut einem EuGH-Urteil löst nicht jeder Datenschutzverstoß Schadensersatzansprüche aus.

Recht

Schadensersatz wegen DSGVO-Verstoß: Das sagt der EuGH

Nach einem Datenschutzverstoß wird ein Unternehmen verklagt: Der EuGH hat jetzt geklärt, unter welchen 3 Voraussetzungen bei einem DSGVO-Verstoß Schadensersatz droht.

    • Recht, IT-Recht
Dienstleister versäumt Schneeräumung: Weil der Betrieb davon wusste und nichts unternahm, muss er jetzt Schadensersatz leisten.

Recht

Räumpflicht: Wer haftet, wenn der Dienstleister nicht anrückt?

Bei Schnee verunglückt ein Lkw auf dem Betriebshof. Der Betrieb muss Schadensersatz zahlen – obwohl er einen Dienstleister mit dem Winterdienst beauftragt hat. Warum ist das so?

    • Recht
Bilder aus einer offenen Videoüberwachung können vor Gericht als Beweis eines Arbeitszeitbetruges genutzt werden.

Urteil

Kamera überführt Arbeits-Schwänzer – Kündigung rechtens?

Mit einer Überwachungskamera entdeckt ein Arbeitgeber einen Arbeitszeitbetrug. Was sagt der Datenschutz dazu?

    • Personal, Recht, Arbeitsrecht