![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Der Landesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit in Rheinland-Pfalz warnt vor einer neuen Welle von Schadsoftware, die zu einem Anstieg von Datenpannen mit Datenschutzverletzungen f\u00fchrten und f\u00fchren. In den vergangenen Tagen sind zahlreiche Organisationen und Betriebe in Rheinland-Pfalz mit einer neuartigen Schadsoftware vergleichbar der Schadsoftware Emotet infiziert worden.<\/p>\n
<\/p>\n
Beim Landesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) sind seit dem 20. Mai acht entsprechende Datenpannen gemeldet worden. Es sind Unternehmen als auch \u00f6ffentliche Stellen von den Angriffen betroffen. <\/p>\n Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, bei der der Sch\u00e4dling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Ist die Schadsoftware erstmal in IT-Systeme eingedrungen, kann sie unter Umst\u00e4nden andere Schadprogramme nachladen.<\/p>\n Der Landesbeauftragte f\u00fcr den Datenschutz schreibt, das aktuell unklar sei, ob und gegebenenfalls in welchem Umfang bei den j\u00fcngsten Angriffen in Rheinland-Pfalz \u00fcber die Daten aus der E-Mail-Kommunikation hinaus weitere Daten abgeflossen sind. Der Datensch\u00fctzer ist da auf die Angaben der Betroffenen angewiesen, die wohl noch untersuchen, auf was zugegriffen wurde. <\/p>\n Nach den ersten Angaben der Verantwortlichen der betroffenen Unternehmen und Einrichtungen sind bisher keine weiteren Abfl\u00fcsse von Daten festgestellt worden. Dies sei jedoch Gegenstand weiterer Ermittlungen, so der Landesbeauftragte f\u00fcr den Datenschutz. <\/p>\n Datenschutzrechtlich sind Angriffe mit der neuartigen Schadsoftware problematisch, weil durch den Abfluss der E-Mails personenbezogene Daten unbefugten Dritten bekannt werden. Diese E-Mails k\u00f6nnen, je nach Zusammenhang, sensible Daten der Absender enthalten. Es gibt also jeweils ein Datenschutzverfahren der Aufsichtsbeh\u00f6rde. <\/p>\n Die Angriffe verlaufen in der Regel nach folgendem Muster: Die Schadsoftware liest, sobald sie erfolgreich auf dem System des Opfers ausgef\u00fchrt wird, Kontaktbeziehungen und E-Mail-Inhalte aus den Postf\u00e4chern bereits infizierter Systeme aus. Anschlie\u00dfend werden authentisch aussehende Spam-Mails an die Empf\u00e4nger aus der Kontaktliste verschickt. Diese erhalten also fingierte Mails von Absendern, mit denen sie k\u00fcrzlich tats\u00e4chlich in Kontakt standen. Dies erh\u00f6ht das Risiko, dass den E-Mails Vertrauen entgegengebracht wird. <\/p>\n Die Beschreibungen der Betroffenen in Rheinland-Pfalz in den vergangenen Tagen \u00e4hneln sich in diesem Sinne: E-Mails mit den Adressen der betroffenen Unternehmen und Einrichtungen sind an Personen gegangen, die aus zwei Elementen bestanden. <\/p>\n Zudem m\u00fcssen die Mails wohl einen Anhang mit der Schadsoftware enthalten haben, den die Opfer \u00f6ffneten. Zumindest interpretiere ich die Sachlage so. <\/p>\n Der Landesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) gibt auch eine rechtliche Einsch\u00e4tzung ab. Bei einem Befall mit der neuartigen Schadsoftware liegt datenschutzrechtlich eine Datenschutzverletzung vor, die nach Artikel 33 DS-GVO bei der zust\u00e4ndigen Aufsichtsbeh\u00f6rde innerhalb von 72 Stunden zu melden ist. <\/p>\n Nach einem Angriff sollten alle betroffenen Personen, das hei\u00dft alle E-Mail-Absender, die sich im Postfach des infizierten Unternehmens befinden, nach dem Motto \u201eSharing is caring\" (Vorbeugen durch Informationen teilen) \u00fcber den Vorfall informiert werden, um eine Ausbreitung zu verhindern. <\/p>\n Handelt es sich bei den betroffenen E-Mails um E-Mails mit sensiblen Inhalten wie besonders gesch\u00fctzte Daten nach Art. 9 DS-GVO, ist von einem hohen Risiko f\u00fcr die Rechte und Freiheiten der betroffenen Personen auszugehen. In diesen F\u00e4llen unterliegt der Verantwortliche einer Pflicht zur Benachrichtigung der betroffenen Personen nach Art. 34 Abs. 1 DS-GVO.<\/p>\n Der LfDI empfiehlt den betroffenen Unternehmen und Organisationen ihre Mitarbeiter f\u00fcr die neue Welle von Phishing-Mails zu sensibilisieren und die Sicherheitsvorkehrung des Bundesamts f\u00fcr Sicherheit in der Informationstechnik zur Vorbeugung eines Angriffs zu befolgen. Weitere Informationen gibt es beim Bundesamt<\/a> und dem Bayerischen Landesamt<\/a> f\u00fcr Datenschutzaufsicht.<\/p>\n Der Bayerische Landesbeauftragte f\u00fcr den Datenschutz und das Bayerische Landesamt f\u00fcr Datenschutzaufsicht stellen eine Checkliste mit Best-Practice-Ma\u00dfnahmen zur Sicherstellung der Verf\u00fcgbarkeit bez\u00fcglich Cyberattacken in medizinischen Einrichtungen<\/a> zur Verf\u00fcgung.<\/p>\n","protected":false},"excerpt":{"rendered":" Der Landesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit in Rheinland-Pfalz warnt vor einer neuen Welle von Schadsoftware, die zu einem Anstieg von Datenpannen mit Datenschutzverletzungen f\u00fchrten und f\u00fchren. In den vergangenen Tagen sind zahlreiche Organisationen und Betriebe in Rheinland-Pfalz mit einer neuartigen … Weiterlesen Blog-Leser 1ST1 hatte in diesem Kommentar<\/a> bereits einen Hinweis auf diese Warnung<\/a> gegeben. Da die Kommentare aber schnell verschwinden, ziehe ich das Ganze mal in einen eigenen Artikel. <\/p>\n
Malware-Kampagne: Phishing-Mails mit Anhang <\/h2>\n
Datenabfluss ist unbekannt<\/h2>\n
So laufen die Angriffe ab<\/h2>\n
\n
Datenschutzrechtliche Einordnung und Verhalten<\/h2>\n
Empfehlung: Mitarbeiter sensibilisieren<\/h2>\n