Bei einem Hacker-Angriff in der letzten Woche wurden sämtliche Kundendaten eines großen US-amerikanischen E-Mail-Anbieters vernichtet. VFEMail ist ein Provider, der seit 2001 damit wirbt, E-Mail für die Massen sicher zu machen. Anfang letzter Woche ist das Unternehmen nun zur Zielscheibe eines fatalen Hacker-Angriffs geworden. Die Angreifer konnten dabei in die Server des Unternehmens eindringen und löschten die Daten sämtlicher Kunden. Für sie dürften daher die E-Mails vieler Jahre verloren sein.
Ein Angreifer ist offenbar in die Systeme eingedrungen und hat versucht, so viel Zerstörung wie möglich anzurichten. So wurden nicht nur die Festplatten-Daten auf den Servern gelöscht, sondern auch die VMs und Backup-Systeme, obwohl diese mit einer anderen Authentifizierung abgesichert waren. Für das Unternehmen VFEMail eine existenzbedrohende Katastrophe, die einen Fortbestand fraglich macht.
TOM – Vorgaben der DSGVO
Um einem solchen Super-GAU zu entgehen, geben die DSGVO und das BSI wichtige und sinnvolle Hinweise. Gemäß Art. 32 Abs. 1 und eingeschränkt auch in Art. 5 Abs. 1 DSGVO sind alle Stellen, welche personenbezogene Daten verarbeiten verpflichtet, technische und organisatorische Maßnahmen (kurz: TOM) zu treffen. Dies um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen erfüllt sind. In diesen Rahmen fällt eben auch die Verfügbarkeitskontrolle um den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können.
BSI gibt Empfehlungen
Der oben genannte Fall zeigt auf dramatische Weise einmal mehr, wie wichtig ein Datensicherungs-Konzept ist. Denn im Endeffekt geht es bei einem Backup vor allem darum, Daten so zu lagern, dass ein „Vorfall“ eintreten kann. Das BSI gibt zu diesem Thema im Rahmen des IT-Grundschutz Empfehlungen, die z.B. vorgeben, Backup-Datenträger räumlich getrennt vom System aufzubewahren, wenn möglich in einem anderen Gebäudeabschnitt. Auch sollte aus Sicherheitsgründen das Speichermedium nicht dauerhaft mit dem Computer verbunden bleiben, sondern nur während der Datensicherung.
Ihr Ansprechpartner: Ulrich Kück-Bohms, ukueck-bohms@datenschutz-nord.de, Tel: 0421-696632-320.
27. Februar 2019 @ 11:18
Kein Backup – kein Mitleid!
Sorry, das sind Basics !
25. Februar 2019 @ 10:57
Nach letzter Aussage wird VFEmail weiter operieren:
„VFEmail will not be shutting down. We’re not back to 100% capacity, and we’re still hoping user data between 8/2016 and 2/2019 can be recovered.
The US data center has been vacated, and we will run entirely from the NL datacenter.“
Ob das angesichts dieses Zwischenfalls eine gute Idee ist, und wie potentielle Kunden dazu stehen, sei mal dahingestellt. Unabhängig vom Angriffsvektor, und momentan deutet eigentlich alles auf einen internen Angreifer hin, ist die Ursache für den umfassenden Datenverlust letztlich Schlamperei; zumindest physisch entkoppelte Off-Site Backups gehören zum OPSEC-Einmaleins.
Der Twitter-Account liest sich ganz wundervoll, immerhin waren sie transparent. Zu den Sätzen die man von seinem Datenverarbeiter am wenigsten lesen möchte gehört ganz sicher:
„This is not looking good.“
Das Drama in Kurzfassung hier:
https://twitter.com/VFEmail
Es ist ja immer einfach mit dem Finger auf andere zu zeigen und zu behaupten, dass einem selbst sowas nie passieren könnte, aber es gibt einfach Vorfälle die so blöde und vermeidbar sind, dass man sich nur an den Kopf fassen kann. Dieser fällt klar in diese Kategorie.