DSGVO-Konsequenzen durch Hacking

Es gibt verschiedene Arten von Hackern und Vorgehensweisen. Wir untersuchen, welche technischen Maßnahmen die DSGVO vorschreibt, und was bei einem Datenschutzvorfall zu tun ist. [...]

Tagebuch eines Datenschutz-Beauftragten (c) CW
Tagebuch eines Datenschutz-Beauftragten (c) CW

Landläufig wird unter Hacking das widerrechtliche Eindringen in ein Computersystem verstanden. Im österreichischen Strafgesetzbuch (STGB) ist derartiges Hacking durch die Paragraphen §118a, §126a-c mit Geld- bzw. Freiheitsstrafen bedroht. Abhängig von der Schwere des Delikts, wird in diesen Paragrafen der Strafrahmen für das gesetzwidrige Verhalten des Hackers definiert. Der in diesen Paragrafen abgebildete Strafrahmen reicht von Geldstrafen bis hin zu mehrjährigen Haftstrafen. Schon allein der Strafrahmen zeigt, dass es sich um kein Kavaliersdelikt handeln kann.

Wer sind die Hacker? Hacker können wie folgt klassifiziert werden:

  1. White Hacker (Security Spezialisten)
  2. Black Hacker (Scriptkiddie, Professionelle Hacker, Insider)
  3. Grey Hacker (haben ethisch moralische Ziele)

White Hacker

Bei sogenannten „White Hacker“ handelt es sich um Security Spezialisten (intern oder extern), die im Auftrag eines Unternehmens Schwachstellen im IT-Security System suchen und Lösungsvorschläge aufzeigen.

Black Hacker:

Scriptkiddies

Scriptkiddies stellen die erste Gruppe der Black Hacker dar. Meist sind es Jugendliche die oftmals als Spaß und Neugier das Eindringen in Internetkonten von Freunden, Bekannten und Unternehmen als „cool“ ansehen. Sie sind sich der Konsequenzen meist nicht bewusst. Sie verwenden vorgefertigte im Internet verfügbare Scripts um mit diesen Scripts in fremde IT-Systeme einzubrechen. Daher auch der Name Scriptkiddie der sich aus „script“ und „kid“ ableitet.

Professionelle Hacker

Professionelle Hacker sind im Allgemeinen als gefährlich einzustufen. Sie verfolgen meist den Ansatz durch kriminelle Machenschaften Geld zu stehlen, zu erpressen oder versuchen durch Spionage Geschäftsgeheimnisse auszuspähen und diese anschließend zu verkaufen. Im Falle der Geldbeschaffung, sind die kritischen Fälle immer dann gegeben, wenn Kontodaten Ziel des Angriffs sind, die potentiell missbraucht werden können. Bei der Umsetzung von Erpressungsversuchen wird meist versucht einen Mitarbeiter zum Öffnen einer Phishing-Mail zu verleiten, die anschließend durch entsprechendes Ausführen von Schadcode Teile der gespeicherten Daten verschlüsselt.

Insider

Nicht zu unterschätzen sind auch Fälle, in denen sich Mitarbeiter, die sich ungerecht behandelt fühlen, sich als Hacker betätigen. Diese Gruppe stellt für viele Firmen auf Grund des Insiderwissens eine besondere Herausforderung dar. 

Grey Hacker

Grey Hacker unterscheiden sich gegenüber dem Black Hackern einzig in der Motivation. Ihnen geht es darum, ein Unternehmen oder auch eine Person auszuspionieren. Die moralische Legitimation wird beispielsweise durch die Veröffentlichung von Sicherheitslücken, um ein Leugnen unmöglich zu machen und die Verantwortlichen dazu zu zwingen, diese zu beheben. Grey-Hacker sind nicht eindeutig als gut oder böse einzustufen. 

Vorgangsweise von Hackern

Die gute Nachricht ist, dass es kein vorgefertigtes Tool gibt, mit dem man ein System von außen (Internet) hacken kann. Die schlechte Nachricht ist, dass es sich gezeigt hat, dass auch sehr gut geschützte Systeme gehackt wurden. Aus großer Flughöhe betrachtet sieht es so aus, dass sich immer die klassische Frage von Aufwand / Nutzen stellt.

Die Gruppe der Scriptkiddies beginnt vorgefertigte Scripts gegen einen Server anzuwenden. Üblicherweise stellt das für ein regelmäßig gepachtetes IT-System kein Problem dar, da auch einfache Firewalls derartige Angriffe erkennen und den Angreifer aussperren.

Wenn professionelle Hacker in ein IT-System einbrechen um Zugriff auf dort gespeicherte Daten zu haben, ist es für sie notwendig, die entsprechende Zugriffsberechtigung zu erhalten.

Üblicherweise wird im ersten Schritt versucht festzustellen, welche Services via Internet von außerhalb erreichbar sind. Findet man dabei ein Service, das bekannte Schwachstellen besitzt, wird versucht, mittels dieses Service in das System einzudringen, sich festzusetzen und im Anschluss anschließend entsprechende Tools einsetzen.

Social Hacking

Ein weiterer Weg ist das „Social Hacking“. Dabei werden über sozialen Medien Informationen zu Firma und deren Beschäftigten gesammelt. Über die Firma kommt man an die Beschäftigten und im nächsten Schritt an E-Mail-Adressen. Ob es sich dabei um private Adressen handelt ist praktisch egal, da im nächsten Schritt versucht wird, diese E-Mail-Adressen mit im Internet verfügbaren Hacker-Datenbanken abzugleichen. Das Ergebnis ist meist eine Menge an möglichen Passwörtern, die der Hacker in ein sogenanntes Passwortdictonary einfließen lässt um benutzerorientierte Services zu hacken (beispielsweise den E-Mail-Account eines Angestellten via Webclient zu öffnen). Erschreckend ist, dass diese Methode sehr gut funktioniert. Viele Anwender beherrschen die Flut an Passwörtern nicht mehr und benutzen deshalb gerne dieselben Passwörter sowohl in der Firma als auch im privaten Umfeld.

Living of the Land

Sollte der Hacker sich einmal in dem IT-System eingenistet haben, so passiert im Falle von Spionageangriffen oftmals eine ganze Zeit gar nichts um keinen Verdacht zu erregen bzw. werden «Living off the Land»-Taktiken eingesetzt. „Living of the Land“ bedeutet, dass vorhandene Systemtools und legitime Prozesse für bösartige Zwecke missbraucht werden. So kann z.B. PowerShell von den Angreifern für die Etablierung von Backdoors eingesetzt werden.

Im erweiterten Kreis der professionellen Hacker sind auch jene Kriminellen einzustufen, die erst gar nicht in das System einbrechen wollen, sondern versuchen durch verseuchte E-Mails das IT-System zu verschlüsseln und damit unbrauchbar zu machen (Ransomware-Attacken). In einem zweiten Schritt wird dem Betroffenen angeboten nach Bezahlung der geforderten Summe über eine Kryptowährung den Key zur Entschlüsselung seiner Daten zu geben.

Interne Hacker

Der Aufwand sogenannte Insider (Interne Hacker) zu überführen, gestaltet sich meist sehr aufwendig, da einerseits der Personenkreis so klein als möglich gehalten werden muss und andererseits alle arbeitsrechtlichen Fragen dabei zu berücksichtigen sind. Von der technischen Seite betrachtet sind oftmals internen Netze nicht so abgesichert wie von außen über das Internet. Wenn es beispielsweise möglich ist einen USB anzustecken und ein Programm zu starten, so wird einem „Internen Hacker“ das Leben sehr vereinfacht. Er kann zumindest mit sogenannten Sniffern die gesamte Übertragung des Netzwerks mitlesen und etwaige nicht verschlüsselte Passwörter im Klartext auslesen. Die Konsequenz wäre die Möglichkeit eines unbefugten Zugriffs auf Daten.

Gefahren durch WLAN

Nicht zu unterschätzen ist auch das Potential das WLANs für Hacker bieten. Wenn ein Traffic lang genug mitverfolgt wird besteht auch hier die Möglichkeit Passwörter zu rekonstruieren. Dieses Potential sollte vor allem dann ins Bewusstsein rücken, wenn es öffentlich zugängliche Plätze gibt, die als Parkplatz zur Überwachung des WLAN Betriebs genutzt werden können und wo es gar nicht auffällt, dass externe Personen versuchen Zugriff auf das System zu erhalten.

DSGVO – Datenschutzvorfälle durch Hackerangriffe?

Die gesamte DSGVO zielt auf den Schutz von personenbezogenen Daten ab. Im Paragraf 32 der DSGVO werden Vorgaben zum Schutz von personenbezogenen Daten – die sogenannten TOMs (Technisch Organisatorischen Maßnahmen) – angeführt. 

Stand der Technik

In diesem Paragrafen ist festgelegt, dass der Stand der Technik unter Berücksichtigung der daraus resultierenden Implementierungskosten vom in der DSGVO definierten Verantwortlichen umzusetzen ist.

Der Begriff „Stand der Technik“ ist also aus Sicht der DSGVO gleichzeitig mit den Implementierungskosten zu betrachten. Zur Verdeutlichung nachfolgend ein einfaches Beispiel zur Verdeutlichung: Der Vergleich eines kleinen Gewerbebetriebs mit einer Bank.

Die in einer Bank zur Anwendung kommende Sicherheitsarchitektur stellt üblicherweise den Stand der Technik dar. Für den kleinen Gewerbebetrieb ist der dafür erforderliche finanzielle und personelle Aufwand in der Realität nicht umsetzbar, er wäre ruiniert. Hier greift dann der in der DSGVO vorgesehene Begriff der Implementierungskosten, die zu berücksichtigen sind. Um ein angemessenes Schutzniveau zu erreichen ist es dem Bäcker ums’s Eck aber sehr wohl zuzumuten, dass er den üblicher Basisschutz der personenbezogenen Daten, die Passwortsicherheit erst nimmt und Virenscanner bzw. Firewall mit aktuellen Signaturen automatisiert versorgen lässt.

Datenschutz-Vorfall

Aus Sicht der DSGVO ist jeder erfolgreiche Hackerangriff als potenzieller Datenschutzvorfall unverzüglich zu untersuchen und auch die ergriffenen Maßnahmen zu protokollieren. In diesen Fällen sind aus technischer Sicht die betroffenen IT-Systeme auf die IT-Grundsätze „Sicherheit – Vertraulichkeit – Verfügbarkeit zu prüfen (🡪 §32 DSGVO). Sollte dabei festgestellt werden, dass ein Hacker das Sicherheitsnetz für personenbezogene Daten durchbrochen hat, ist der Ernstfall eines “Data-Breach Vorfalls“ eingetreten. Es ist im ersten Schritt notwendig, herauszufinden, welche durch diesen Angriff personenbezogene Daten eingesehen, entwendet oder verändert wurden und welche Risiken für Betroffene bestehen. Nicht zu vergessen ist, dass auch die Verhinderung des Zugriffs auf personenbezogene Daten einen meldepflichtigen Datenschutzvorfall darstellt, wenn dadurch ein besonderes Risiko für die betroffenen Personen entsteht und dieser Zugriff nicht in angemessener Zeit wiederhergestellt werden kann (Verfügbarkeit). Dies könnte  beispielsweise durch Verschlüsselung in einem Ransomware-Angriff Szenario gegeben sein, wenn Backups nicht rasch genug zurückgespielt werden können.

Sobald feststeht, welche Daten durch den Hack kompromittiert wurden, ist das Risiko für die betroffenen Personen abzuschätzen. Hier sollten die in der DSGVO vorgesehenen Unterstützungstools wie „Verzeichnis der Verarbeitungen“ und „Datenschutzfolgeabschätzung“ bzw ein eventuell vorhandener „Data-Breach Leitfaden“ entsprechende Unterstützung bieten. Die betroffenen Personen selbst sind bei Vorliegen eines Risikos entsprechend den DSGVO Regenl zu informieren 

Zu beachten ist, dass im Falle eines meldepflichtigen Datenschutzvorfalls, dieser innerhalb von 72h bei der Behörde anzuzeigen ist. Zum Intervall werden auch arbeitsfreie Zeitenhinzugerechnet: Bekanntwerden des Data-Breach Vorfalls am Freitag 12:00 zieht eine Meldepflicht bis spätestens Montag 12:00 nach sich.

Schlussbemerkung 

Sobald ein Zugang zum Internet geöffnet wird, ist erfolgreiches Hacking nicht mehr auszuschließen. Üblicherweise ist in solchen Fällen auch ein Datenschutzvorfall durch Kompromittierung personenbezogener Daten gegeben. Ob dieser der Datenschutzbehörde gemeldet werden muss oder nicht, ist im Einzelfall in Abhängigkeit vom Risiko für Betroffene zu beurteilen. 

Die Zeitspanne eines Meldepflichtigen Datenschutzvorfalls beträgt 72h vom Zeitpunkt der Kenntnisnahme. Dies ist meist sehr knapp und sollte in der Organisation geprobt werden.

Unsere Empfehlung ist es, im Vorfeld zu prüfen, ob ihre TOMs ausreichend sind, um sich gegen „normales Hacking“, wie zuvor angeführt zu schützen. 

* DI Wolfgang Fiala und DI Dr. Peter Gelber sind Datenschutz Ziviltechniker bei der DSGVO Datenschutz Ziviltechniker GmbH



Mehr Artikel