Die CNIL berichtet regelmäßig über typische Datenschutzverletzungen, die auf tatsächlichen Vorfällen beruhen, die ihr gemeldet werden. Ziel dieser Veröffentlichung ist es, allen Fachleuten zu ermöglichen, die Risiken des Zugriffs auf von Subunternehmern gespeicherte Daten zu verstehen und zu vermeiden.

Die Geschichte von Bu3ba und Dan

Der Verlauf des Angriffs

1. Einige Wochen vor dem Angriff sammelte der Hacker Bu3ba zahlreiche berufliche E-Mail-Adressen aus dem Darknet.
    
2. Anschließend startet er eine Phishing -Kampagne , eine kostengünstige und effektive Operation. Unter Verwendung einer der gesammelten Adressen schickte Bu3ba eine Nachricht an eine Logistikplattform und gab sich dabei als bekannter Kunde des Unternehmens aus (er entdeckte das Firmenlogo auf der Seite „Unsere Kunden“ der Website der Plattform).
   
   Die gefälschte Nachricht, die legitim erscheint, fordert zu dringender Aktion auf und enthält einen Link zu einem Authentifizierungsbildschirm in den Farben des Kundenunternehmens. Der Plattformmitarbeiter authentifiziert sich automatisch mit dem im Team geteilten Benutzernamen und Passwort. Es erscheint die Meldung, dass das System nicht verfügbar ist.
    
3. Bu3ba ist mit seinem Angriff erfolgreich und beginnt mit der Datensammlung: Er bemerkt einen direkten, ungeschützten Zugriff auf einen Dienst, der scheinbar große Datenmengen enthält. Letzterem widmet er sich dann ganz.
    
4. Als Bu3ba sich mit dem gestohlenen Konto des Mitarbeiters anmeldete, stellte er fest, dass er nur Zugriff auf Daten von zwei Kundenunternehmen hatte. Der Zugriff ist jedoch vollständig und das Tool, das ihn anbietet , startet einen Download der Daten für jede dieser Datenbanken.
    
5. Von diesem Konto aus greift es auf andere Clientdatenbanken zu, indem es die an die Datenbank gesendeten Abfragen ändert . Die Daten eines dritten Großkundenkontos werden angezeigt: Er lädt sie herunter. Geduldig und sorgfältig sammelt er von jedem Kunden eine große Menge an Daten, die er dann zu analysieren beginnt.
   
   Aufgrund der angebotenen Dienstleistung (Logistik) handelt es sich bei den Daten hauptsächlich um personenbezogene Daten: Personenstand, Postanschrift, E-Mail-Adressen, Telefonnummern, aber auch Bestellreferenzen und konkrete Anfragen, und zwar in sehr großen Mengen. In diesen unterschiedlichen Datenbanken sind mehrere Millionen Zeilen vorhanden.
    
6. Um seine Spuren so weit wie möglich zu verwischen, nutzte Bu3ba verschiedene VPNs, die durch mehrere Länder führten und nicht unbedingt miteinander kooperierten. Das allgemeine Sicherheitsniveau war (sehr) niedrig: Es war nicht erforderlich, einem bestimmten IP-Adressbereich anzugehören oder ein VPN zu verwenden, um eine Verbindung aus dem Internet herzustellen. Als er die verschiedenen Downloads startete, kam es zu keiner Unterbrechung: Er vermutet, dass DLP ( Data Loss Prevention) fehlt , ein Gerät, das es normalerweise ermöglicht, diese Art von Massendownloads abzuwehren. Da er nicht wusste, ob es so etwas wie minimalen Holzeinschlag gibt  , wartete er einige Monate, bevor er seine Ergebnisse veröffentlichte.
    
7. Bu3ba hat die Datei in einem Darknet-  Forum gepostet und einen Screenshot von einigen hundert Zeilen aus der Datenbank hinzugefügt. Die Information verbreitet sich schnell: Wie so oft entdeckt das Opfer zu diesem Zeitpunkt den Hack, wahrscheinlich durch einen angreifenden Post in einem sozialen Netzwerk. Im besten Fall wird er über einen Internet Information Leak Search (IILS) -Dienst eines seiner Kunden darauf aufmerksam gemacht.

Wie reagieren?

Die interne Untersuchung

Wenige Stunden nach der Veröffentlichung von Bu3ba erhielt Dan, ein Datenschutzbeauftragter eines Logistikplattform-Kunden, einen Anruf von der Polizei, in dem ihm mitgeteilt wurde, dass Daten seiner Organisation im Darknet online seien . Ein Internetnutzer entdeckte eine Datei mit einer großen Menge an Daten, von denen einige mit Dans Arbeitgeber in Verbindung standen, und schlug Alarm.

Dans Team analysiert die hochgeladene Probe und kommt zu dem Schluss, dass die Daten offenbar ihnen gehören. Das Security Operations Center („SOC“   ) von Dans Unternehmen konnte jedoch keine massiven Angriffe auf das Informationssystem feststellen, die zu einer allgemeinen Kompromittierung hätten führen können.

Nach näherer Untersuchung stellt sich jedoch heraus, dass diese Daten mit den Daten übereinstimmen, die zu Lieferzwecken an einen Subunternehmer übermittelt werden. Dan nahm schnell Kontakt zu seinem Subunternehmer auf, der gerade auch von einem anderen seiner Kunden benachrichtigt worden war. Damit ist der Einstiegspunkt entdeckt.

Meldung des Verstoßes an die CNIL und Information der betroffenen Personen

Mithilfe seines Subunternehmers muss Dan die Verletzung des Schutzes personenbezogener Daten bewältigen , die dieser Vorfall im Sinne der DSGVO darstellt . Er hat daher ab Entdeckung des Vorfalls 72 Stunden Zeit, diese Meldung an die CNIL zu richten.

Der Subunternehmer verfügt über interne Verfahren zum Vorfallmanagement und sammelt eine Reihe von Elementen, um den für die Datenverarbeitung Verantwortlichen bei der Meldung von Datenschutzverletzungen zu helfen.

1. Dokumentieren und benachrichtigen Sie die CNIL . Zunächst konsolidiert Dan die von seinem Dienstanbieter gesammelten Informationen und dokumentiert diesen Vorfall als Verstoß gegen den Schutz personenbezogener Daten. Nach Analyse und Konsultation der diesbezüglichen Ratschläge der CNIL meldet es die Datenschutzverletzung.
    
2. Informieren Sie die Leute. Bei den betroffenen Daten handelt es sich nicht um sensible Daten im Sinne des Gesetzes . Allerdings sind durch den Verstoß mehr als eine Million Adressen, E-Mail-Adressen und Telefonnummern durchgesickert, sodass das Risiko als hoch einzustufen ist. Er verfasst eine Informationsnachricht für die betroffenen Kunden und gibt darin die obligatorischen Informationen wieder: die Umstände des Vorfalls, die Art der betroffenen Daten, die Kontaktstelle für weitere Informationen, die bereits ergriffenen und geplanten Maßnahmen sowie die möglichen Folgen für die betroffenen Personen, im konkreten Fall den Diebstahl von Bankdaten.
   
   Nach Kontaktaufnahme mit der CNIL-Verstoßstelle ( violations@cnil.fr ), um sicherzustellen, dass die Informationen für die Empfänger so klar wie möglich sind, wurde beschlossen, sie in Form von Antworten auf die folgenden Fragen zu verfassen:

• „Was ist passiert?“ »
• „Wie haben wir reagiert? »
• „Welche Daten sind betroffen?“
• „Was sind die möglichen Konsequenzen? »
• „Was sind unsere Empfehlungen? »
• und „An wen können Sie sich bei Fragen wenden?“. 

3. Füllen Sie die Meldung aus. Nach der Benachrichtigung der betroffenen Personen reichte Dan eine zusätzliche Meldung bei der CNIL ein und übermittelte die neuen Informationen  : eine präzise Angabe der Anzahl der betroffenen Personen, die Beschreibung des vom Angreifer gewählten Weges, die ergriffenen Maßnahmen, um sicherzustellen, dass dies nicht noch einmal passiert, die Anzahl der informierten Personen und ein nicht namentliches Modell der an sie gesendeten Nachricht.
    
4. Vermeiden Sie weitere Angriffe . Sobald die Krise bewältigt ist, wird Dan, dessen Vorgesetzte bereits eine interne Prüfung angeordnet haben, den Subunternehmer erneut auf die Unzulänglichkeit seiner Sicherheitsmaßnahmen hinweisen und verlangen, diese angesichts der Risiken zu verstärken.

Wie lässt sich dieses Risiko begrenzen?

Als Verantwortlicher für die Datenverarbeitung verpflichten Sie Ihre Subunternehmer in Ihren Verträgen  zu Sicherheitsmaßnahmen und regelmäßigen Audits .

 Erlauben Sie nicht die gemeinsame Nutzung von Konten oder Passwörtern innerhalb eines Teams: Jeder Benutzer muss über ein persönliches Konto verfügen . Dies ist im Falle eines Angriffs erforderlich, um den Verlauf zu verfolgen und zu wissen, wo der Angriff begonnen hat. Darüber hinaus ist der Verkauf von Konten durch Mitarbeiter eine Realität; ein persönliches Konto begrenzt dieses Risiko.

 Stellen Sie sicher, dass für alle Anwendungen eine detaillierte Protokollierung der Zugriffe und Aktionen implementiert ist.

 Analysieren Sie die generierten Protokolle proaktiv, um verdächtige Ereignisse zu erkennen, damit diese so schnell wie möglich verarbeitet werden können. Informieren Sie Ihre Kunden über die geltenden Sicherheitsmaßnahmen.

 Vermeiden Sie die Möglichkeit eines böswilligen Zugriffs auf Tools aus dem Internet. Erzwingen Sie die Verwendung eines VPN und einer Multi-Faktor-Authentifizierung für den Remote-Zugriff.

 Erlauben Sie Benutzern nicht, alle Daten herunterzuladen, mit Ausnahme genau definierter Rollen, für die dies unbedingt erforderlich ist: Beschränken Sie diese Möglichkeit sowohl hinsichtlich des Umfangs der Zugriffsrechte als auch hinsichtlich der Häufigkeit und Größe der Anfragen.

 Implementieren Sie eine strikte Trennung zwischen verschiedenen Datenbanken (Client- und andere) und führen Sie diesbezüglich Audits durch.

https://www.cnil.fr/fr/compromission-donnees-chez-un-sous-traitant-quels-risques