Updates und Sicherheitspatches vergessen? Ein Hacker hat das genutzt, um Kundendaten abzugreifen und auch deren Systeme zu verschlüsseln.
Foto: normalfx - stock.adobe.com

Digitalisierung + IT

IT-Desaster: Updates ignoriert, Kunden gehackt

Datenschutzverstöße und was man aus ihnen lernen kann: Wer ist verantwortlich, wenn der Betrieb einen IT-Dienstleister beauftragt – und dann gehackt wird?

Aus der Praxis: Dienstleister ohne Update-Hinweis

Um den E-Mail-Verkehr auf eine neue technische Basis zu stellen, beauftragte ein niedersächsisches Unternehmen einen renommierten IT-Dienstleister mit einem Allround-Paket für die neue Software: Der Dienstleister lieferte Server und installierte seine eigene Software. Er wies jedoch nicht auf die Notwendigkeit regelmäßiger Updates und Sicherheitspatches hin.

Cyberangriff Schritt für Schritt

Da der E-Mail-Server über einen längeren Zeitraum keine Sicherheitspatches erhielt, nutzten Cyberkriminelle eine Sicherheitslücke aus, um sich die Kontrolle über den Server zu verschaffen. Sie zogen die dort gespeicherten E-Mails und Kontaktdaten ab.

Anschließend nutzten sie den Server, um auch die Kontrolle über das übrige Unternehmensnetzwerk zu übernehmen und die dort gespeicherten Daten zu verschlüsseln.

Die erbeuteten Kontaktdaten und Mails nutzten die Cyberkriminellen, um den Kunden des Unternehmens speziell auf sie zugeschnittene Phishing-Mails zukommen zu lassen. Das führt zu weiteren Schäden bei den Kunden und einem erheblichen Imageverlust für das Unternehmen.

Für die verschlüsselten Daten gab es zwar ein Backup, die Wiederherstellung nahm jedoch einige Zeit in Anspruch. Währenddessen war das Unternehmen weitgehend arbeitsunfähig.

[Tipp: Sie wollen beim Thema IT-Sicherheit im Handwerk nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!]

Wer ist für das Desaster verantwortlich?

Foto: LfD Niedersachsen Der Verantwortung für den Datenschutz können sich Unternehmen nicht dadurch entziehen, dass sie Dienstleister beauftragen, sagt Datenschutz-Experte Evgeni Kolotilin.

Gegenüber der Landesbeauftragten für Datenschutz Niedersachsen erklärte der Geschäftsführer, er könne für die ganze Sache nichts. Die Schuld liege beim IT-Dienstleister.

Doch für die Sicherheit des Servers ist das Unternehmen datenschutzrechtlich verantwortlich. Dieser Verantwortung kann man sich nicht entziehen, indem Tätigkeiten an Dienstleister ausgelagert werden.

Tipps: So behalten Sie Sicherheits-Updates im Blick

Um sicherzustellen, dass Ihr Unternehmen über aktuelle Sicherheitsupdates verfügt, ist es ratsam, Abläufe festzulegen. Dazu kann es hilfreich sein, sich folgende Fragen zu stellen:

  • Wer ist im Unternehmen für die Überprüfung von Updates und deren Installation verantwortlich?
  • In welchen Intervallen erfolgt die Überprüfung?
  • Wie werden akute Sicherheitslücken behandelt?
  • Weist die eingesetzte Software selbstständig auf Updates hin?

    • Daneben sollten Sie auch die Meldungen und Warnungen vom Bundesamt für Sicherheit in der Informationstechnik beachten.

    Tipp: Cyberkriminelle machen vor Sonn- und Feiertagen nicht halt. Und der Freitag ist ein besonders beliebter Tag für einen Angriff. Wenn Patch-Bedarf besteht, sorgen Sie schleunigst für dessen Umsetzung – je eher, desto besser.

    Datensicherheit ist nicht nur eine Anforderung des Datenschutzrechts, sondern auch im finanziellen Interesse der Unternehmen. Nur so lassen sich Imageschäden, wirtschaftliche Verluste und Betriebsstörungen vermeiden.

    Der Autor dieses Beitrags, Evgeni Kolotilin, ist Mitarbeiter der Landesbeauftragten für Datenschutz (Lfd)  Niedersachsen und dort insbesondere für Wirtschaftsbetriebe zuständig.

    Tipp: Sie wollen beim Thema IT-Sicherheit im Handwerk nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!

    Diese Artikel könnten Sie auch interessieren:

    Das könnte Ihnen auch gefallen: