Nach Abschluss seiner Untersuchung des Datenschutzvorfalls bei der South China Athletic Association (SCAA) hat das Büro des Datenschutzbeauftragten für personenbezogene Daten (PCPD) heute seine Ergebnisse veröffentlicht.

Die Untersuchung ergab sich aus einer Datenschutzverletzungsmeldung, die die SCAA dem PCPD am 18. März 2024 übermittelte und in der sie meldete, dass ihre Server von Ransomware angegriffen und böswillig verschlüsselt worden waren (der Vorfall). Die Untersuchungergab, dass ein Hacker im Januar 2022 Malware auf einem der mit dem Internet verbundenen Server der SCAA installierte, es zu diesem Zeitpunkt jedoch keine Hinweise auf weitere böswillige Aktivitäten gab. Im März 2024 kompromittierte der Hacker das Netzwerk der SCAA über die auf dem oben genannten Server erstellte Malware und installierte Fernsteuerungssoftware. Der Hacker startete anschließend per Fernzugriff Brute-Force-Angriffe auf die Computersysteme der SCAA und führte andere böswillige Aktivitäten aus, darunter Netzwerkauskundschaftung, Umgehung von Verteidigungssystemen, Deaktivierung von Antiviren- und Anti-Malware-Software, Installation von Tools zum Erfassen von Anmeldeinformationen und Lateral Movement und verschlüsselte schließlich Dateien mit den persönlichen Daten der Mitglieder mittels Ransomware. Bei der Ransomware handelte es sich um eine Variante von Trigona. Bei dem Vorfall wurden insgesamt acht Server, ein Datenspeichergerät und 18 Computer der SCAA angegriffen und mit Ransomware verschlüsselt. Der Hacker forderte von der SCAA ein Lösegeld für die Entschlüsselung der verschlüsselten Dateien. Der Vorfall betraf die persönlichen Daten von 72.315 Mitgliedern der SCAA. Die betroffenen persönlichen Daten umfassten Namen, Hongkonger Personalausweisnummern, Passnummern, Fotos, Geburtsdaten, Adressen, E-Mail-Adressen, Telefonnummern und die Namen und Telefonnummern von Notfallkontaktpersonen. Die SCAA hat alle betroffenen Mitglieder benachrichtigt und nach dem Vorfall eine Reihe von Verbesserungsmaßnahmen zur Erhöhung der Systemsicherheit umgesetzt. Dazu gehörten die Beschränkung der Verbindung von Intranetdiensten mit dem Internet, die Aktivierung einer Multi-Faktor-Authentifizierung für Administratorkonten, die Formulierung von Richtlinien zur Verwendung von Passwörtern, die Durchführung regelmäßiger Scans zur Ermittlung von Sicherheitslücken im Netzwerk und die vollständige Implementierung einer Offline-Datensicherung. Das PCPD dankte der SCAA für ihre Kooperation und die Bereitstellung der im Rahmen der Untersuchung angeforderten Informationen und Dokumente. Nach Prüfung der Umstände des Vorfalls und der im Rahmen der Untersuchung erhaltenen Informationen stellte die Datenschutzbeauftragte für personenbezogene Daten (Datenschutzbeauftragte), Frau Ada CHUNG Lai-ling, fest, dass die folgenden Mängel der SCAA zum Auftreten des Vorfalls beigetragen haben:

1. Versehentliche Aussetzung des betreffenden Servers dem Internet , wodurch das Risiko von Cyberangriffen auf die Computersysteme der SCAA erheblich stieg. Der Hacker nutzte den betreffenden Server daher als Sprungbrett, um in das Netzwerk der SCAA einzudringen und Ransomware-Angriffe zu starten;
2. Fehlen wirksamer Erkennungsmaßnahmen in den Informationssystemen zur Identifizierung der böswilligen Aktivitäten des Hackers im Januar 2022, die es dem Hacker ermöglichten, im März 2024 über die auf dem kompromittierten Server erstellte Schadsoftware in das Netzwerk der SCAA einzudringen, die betroffenen Computer fernzusteuern, Konten mit Administratorrechten zu erstellen und die Antiviren- und Anti-Malware-Software auf dem betroffenen Server zu deaktivieren. Zwischen dem 15. und 16. März 2024 führte der Hacker Brute-Force-Angriffe durch und unternahm über 43.400 Anmeldeversuche auf einem anderen Administratorkonto des kompromittierten Servers, wobei innerhalb eines Zeitraums von vier Stunden mehr als 20.000 Versuche registriert wurden. Da die SCAA zum fraglichen Zeitpunkt die Eindringlingssperrfunktion für fehlgeschlagene Anmeldeversuche nicht aktiviert hatte, konnte der Hacker die Brute-Force-Angriffe ohne Unterbrechung fortsetzen;
3. Fehlende Aktivierung der Multi-Faktor-Authentifizierung für Administratorkonten , wodurch der Hacker ohne zusätzliche Identitätsüberprüfung auf das Betriebssystem des angegriffenen Servers zugreifen und verschiedene böswillige Aktivitäten ausführen sowie die persönlichen Daten der Mitglieder verschlüsseln konnte.
4. Fehlende Strategien und Richtlinien zur Informationssicherheit , was dazu führte, dass den Mitarbeitern keine umfassenden und konkreten Anforderungen und Verfahren für die Sicherheitsüberprüfung von Informationssystemen an die Hand gegeben wurden. Die SCAA hat es außerdem versäumt, eine schriftliche Passwortrichtlinie mit Anforderungen an die Passwortkomplexität zu formulieren und hat keine Sperrfunktion gegen unbefugte Zugriffe und keine Ablauffristen für Passwörter implementiert, um die Sicherheit der Benutzerkonten zu gewährleisten.
5. Fehlen regelmäßiger Risikobewertungen und Sicherheitsaudits zur Überprüfung der Wirksamkeit der Sicherheitsmaßnahmen, was dazu führt, dass keine Verbesserungsmaßnahmen ergriffen werden, um die Systeme, die die persönlichen Daten der Mitglieder enthalten, vor Cyberangriffen zu schützen; und
6. Es fehlten Offline-Lösungen zur Datensicherung . Daher wurden die Sicherungsdaten der Mitglieder beim Vorfall vom Hacker verschlüsselt, was die Datenwiederherstellung erschwerte.

Auf dieser Grundlage war die Datenschutzbeauftragte, Frau Ada CHUNG Lai-ling, der Ansicht, dass sich der SCAA der Notwendigkeit des Schutzes der personenbezogenen Daten seiner Mitglieder nicht ausreichend bewusst sei . Da es sich um einen alteingesessenen Sportverband handelt, der über eine erhebliche Menge personenbezogener Daten verfügt, war die Datenschutzbeauftragte sehr enttäuscht darüber, dass der SCAA es vor dem Vorfall versäumt hatte, wirksame Sicherheitsmaßnahmen für sein Informationssystem zu ergreifen, um die personenbezogenen Daten seiner Mitglieder zu schützen. Die Datenschutzbeauftragte war der Ansicht, dass der Vorfall wahrscheinlich hätte vermieden werden können, wenn der SCAA vor dem Vorfall geeignete und angemessene organisatorische und technische Sicherheitsmaßnahmen ergriffen hätte . In dieser Hinsicht stellte die Datenschutzbeauftragte fest, dass der SCAA nicht alle praktikablen Schritte unternommen hatte, um sicherzustellen, dass die betreffenden personenbezogenen Daten vor unberechtigtem oder versehentlichem Zugriff, Verarbeitung, Löschung, Verlust oder Verwendung geschützt waren, und damit gegen den Datenschutzgrundsatz 4(1) der Personal Data (Privacy) Ordinance (PDPO) bezüglich der Sicherheit personenbezogener Daten verstoßen hatte.

Der Datenschutzbeauftragte hat der SCAA eine Durchsetzungsanordnung zugestellt, in der er sie anweist, Maßnahmen zu ergreifen, um den Verstoß zu beheben und die Wiederholung ähnlicher Verstöße in Zukunft zu verhindern . Steigender Trend bei Datenschutzverletzungen in Bezug auf Schulen und gemeinnützige Organisationen ( NGOs ) in den letzten Jahren . Die PCPD hat in den letzten Jahren einen klaren Aufwärtstrend bei Datenschutzverletzungen in Bezug auf Schulen und NGOs festgestellt. Von den 157 Meldungen über Datenschutzverletzungen, die das PCPD im Jahr 2023 erhielt, betrafen 61 Fälle Schulen und NGOs (das sind etwa 39 % der Gesamtzahl), was einer Steigerung um fast das 1,5-fache (140 %) gegenüber 25 Fällen (etwa 24 % der Gesamtzahl) im Jahr 2022 entspricht. In den ersten drei Quartalen des Jahres 2024 erhielt das PCPD insgesamt 51 Meldungen über Datenschutzverletzungen von Schulen und NGOs, was etwa 33 % der Gesamtzahl der eingegangenen Meldungen entspricht, und dies ist vergleichbar mit dem Prozentsatz derartiger Meldungen im Jahresvergleich. Daher ist der Datenschutzbeauftragte der Ansicht, dass Schulen und NGOs wachsam sein und ausreichende Ressourcen aufwenden sollten, um ihre Datensicherheitsmaßnahmen zu verbessern und so das Risiko von Cyberangriffen auf ihre personenbezogenen Datensysteme zu verringern.

Die Datenschutzbeauftragte, Frau Ada CHUNG Lai-ling, weist darauf hin: „Jede Organisation, die personenbezogene Daten besitzt, sollte sich unabhängig von ihrer Größe oder Branche über die neuesten Entwicklungen in der Datensicherheit auf dem Laufenden halten und geeignete Datensicherheitsmaßnahmen ergreifen, um die in ihrem Besitz befindlichen personenbezogenen Daten zu schützen . Die PCPD fordert Organisationen auf, die Empfehlungen in der „ Anleitung zu Datensicherheitsmaßnahmen für Informations- und Kommunikationstechnologie “ und der „ Anleitung zum Umgang mit Datenschutzverletzungen und zur Meldung von Datenschutzverletzungen  “ zur Kenntnis zu nehmen , um sich auf Cyberangriffe vorzubereiten und die Cybersicherheit und Datensicherheit zu verbessern.“

Das PCPD führt ein Paket zur „Datensicherheit“ ein

Darüber hinaus begrüßt das PCPD ausdrücklich das politische Ziel der Stärkung der Cybersicherheit, das in der Grundsatzrede des Chief Executive für 2024 dargelegt wurde. Um die Fähigkeiten von Schulen, NGOs und kleinen und mittleren Unternehmen (KMU) zur Gewährleistung der Daten- und Cybersicherheit zu stärken, hat das PCPD heute das Paket „Datensicherheit“ eingeführt. Die teilnehmenden Organisationen erhalten nach Abschluss einer Bewertung durch den „Data Security Scanner“, der die Angemessenheit ihrer Datensicherheitsmaßnahmen beurteilt, fünf kostenlose Kontingente für die Teilnahme an professionellen Workshops und Seminaren, die vom PCPD organisiert werden. Darüber hinaus hat das PCPD die thematische Webseite zur Datensicherheit und die „Datensicherheitshotline“ 2110 1155 eingerichtet, um diesbezüglich relevante Informationen und Unterstützung bereitzustellen. Interessierte Schulen, NGOs und KMU können gerne weitere Informationen per E-Mail an training@pcpd.org.hk erhalten .  Das PCPD wird mit dem Bildungssektor bzw. den NGOs zusammenarbeiten, um im Dezember 2024 zwei Seminare zur Datensicherheit zu veranstalten, um einige wichtige Tipps zur Verbesserung der Datensicherheit und zur Umsetzung wirksamer Sicherheitsmaßnahmen zu geben. Darüber hinaus organisiert das PCPD Inhouse-Seminare, die auf die Bedürfnisse einzelner Organisationen zugeschnitten sind. Zu den Seminarinhalten gehört auch der Schutz der Datensicherheit. In den ersten neun Monaten des Jahres 2024 organisierte das PCPD Inhouse-Seminare für insgesamt 92 Organisationen.

https://www.pcpd.org.hk/english/news_events/media_statements/press_20241022.html