Gefahr durch Social Engineering – Bezahldienstleister geknackt

it-sicherheit 32
News

Erfolgreiche Hacks von Internetdiensten mit entsprechender Gefährdung personenbezogener Daten sind in den letzten Jahren schon häufig bekannt geworden. Man müsste meinen, dass die Verantwortlichen um die Gefahr wissen und entsprechende Maßnahmen veranlasst haben. Leider ist dem nicht so. Die heutige Meldung im Heise-Newsticker bestätigt das mal wieder.

Kreditkarteninformation, Mailadressen und persönliche Daten geklaut

Was war geschehen? Angreifer, die sich selbst als UGNazi bezeichnen, brachen in die Web-Server des britischen Bezahldienstleisters WHMCS ein.

Weiter bei Heise:

Den Angreifern gelang es nicht nur, die Benutzerdatenbank von WHMCS auszulesen, sondern auch den kompletten Server-Inhalt zu kopieren, bevor sie alles löschten. WHMCS zufolge gingen beim Angriff alle Bestellungen und Support-Anfragen der 17 Stunden vor dem Angriff verloren.

Aus Datenschutzsicht ist vor allem kritisch, dass Kreditkarteninformationen kompromittiert wurden und die gekaperte Benutzerdatenbank mehr als 500.000 Mailadressen und persönliche Daten enthält.

Angriff mit Social Engineering

Möglich war der Hack anscheinend durch sog. Social Engineering, also das Ausnutzen von Freundlichkeit und Hilfsbereitschaft, wobei sich der Angreifer als scheinbar Berechtigter ausgibt. Im konkreten Fall wurde der Hosting-Anbieter des Billing-Portals vom scheinbaren Chefentwickler von WHMCS angerufen. Er beantwortete alle Sicherheitsabfragen korrekt und hatte dann Zugriff auf die Server.

Solche Angriffe sind weder trivial noch selten. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat daher Social Engineering in seinen Grundschutz-Katalogen als eine eigene Gefährdung definiert.

Konsequenz

Eine Binsenweisheit lautet, dass es 100%ige Sicherheit nicht gibt – auch nicht in der IT. Trotzdem muss man als verantwortliche Stelle oder Dienstleister von Auftragsdatenverarbeitungen die erforderlichen Maßnahmen ergreifen, damit die Daten geschützt sind. Ob WHMCS dies getan hat, kann an dieser Stelle natürlich nicht beantwortet werden. Die Hacker selber behaupten, der Server sei weiter gefährdet…

Jemand der sich zwar nicht unbedingt mit Hackern, dafür aber mit dem Thema Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.