Die IT-Woche: Daten, das neue Kokain

19. August 2022, 12:28
  • rückblick
  • kolumne
  • it-woche
image

Für Kriminelle sind Datendiebstahl und Erpressung ein höchst lukratives Geschäft. Diese Woche gab es über (potenzielle) Datenmiseren einiges zu berichten.

Rund eine halbe Milliarde Datensätze von Kunden hätten bei der SBB wegen einer Lücke geklaut werden können. Das Bahnunternehmen schloss diese zwar im Januar 2022 nach externen Hinweisen – "umgehend", angeblich. Diese Woche wurde jedoch bekannt: Die SBB wusste nicht nur zwei Jahre lang über die kritische Lücke Bescheid, sondern riss diese auch mutwillig wieder auf, nachdem sie schon geschlossen worden war. Die Begründung für letzteres klingt wie Hohn in den Ohren der Kundschaft. Man habe damit ein "Kundenproblem" lösen wollen und dabei die Risiken falsch eingeschätzt, so die SBB reumütig.
Keine Daten sollen indes beim Cyberangriff auf Bülach abgeflossen sein. Das zumindest teilt die Stadt 4 Wochen nach einem erfolgreichen Hack mit. Oder vielleicht genauer: Es gebe keine Hinweise auf einen Datendiebstahl. Wie das genau festgestellt wurde, eine Möglichkeit wäre ein Blick in sauber dokumentierte Logdaten oder ins Darkweb, schreibt Bülach nicht. Da die Stadt aber nach eigenem Bekunden kein Lösegeld bezahlt hat, könnte sich ihre Angabe bestätigten, wenn in den nächsten Wochen keine Daten auf den einschlägigen Marktplätzen auftauchen. Einwohner- und Steuerdaten sollen ohnehin nie bedroht gewesen sein, heisst es von der Stadt, diese würden nicht auf eigenen Servern gespeichert – die offenbar gehackt worden war.
Deutlich schwerer traf es die Fachhochschule Neuenburg Anfang Juli, die nun ihre Untersuchungen abgeschlossen hat: Auf Ransomware spezialisierte Angreifer sollen mithilfe eines Trojaners in die Systeme eingedrungen sein. In der Folge musste die Haute Ecole Arc sämtliche Computer neu aufsetzen. Dank zuvor "getroffener Massnahmen und einer angemessenen Reaktion", hätte die Verschlüsselung der Daten aber verhindert werden können. Also auch hier konnten die Kriminellen mutmasslich keine Belohnung abgreifen. Das ist wichtig, damit die Angriffe eingedämmt und das lukrative Geschäft unterbunden werden kann.
Daten schützen und solche Vorfälle beurteilen sollte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb). Da ein total revidiertes Datenschutzgesetz mit mehr Kompetenzen und Handlungsspielraum für den Edöb nach mehrfacher Verzögerung erst im Herbst 2023 in Kraft treten soll, stellt dieser derzeit zusätzliches Personal an. Insgesamt 8 Vollzeitstellen wurden ihm zugesprochen. Ob das reicht? In seinem letzten Bericht heisst es, das neue Datenschutzgesetz sei zu wenig detailliert. "Wie bei jedem neuen Gesetz braucht es eine gewisse Anlaufzeit, weshalb es zum heutigen Zeitpunkt schwierig ist zu wissen, in welchem Bereich die meisten Anfragen anfallen werden", erklärt nun sein Büro.

Loading

Mehr zum Thema

image

IT-Woche: Keine gute Woche für den IT-Journalismus

Bei der 'Computerworld' wurde ein folgenschwerer Fehlentscheid getroffen.

publiziert am 3.2.2023
image

Vor 16 Jahren: Windows Vista erscheint

War es das schlechteste Windows aller Zeiten?

publiziert am 3.2.2023
image

10?! Sabrina Storck, COO SAP Schweiz

Die Chief Operating Officer von SAP Schweiz erklärt, wie sich ihre Rolle als "Innenministerin" des Unternehmens wandelt und was es mit der Halbwertszeit von Ferienfotos auf sich hat.

publiziert am 2.2.2023
image

Due Diligence: Hydromea

In dieser Kolumne schreibt Ramon Forster regelmässig über Schweizer Tech-Startups. Heute unter der Lupe: Hydromea aus Renens (VD).

publiziert am 2.2.2023