Wie bekannte IT-Schwachstellen zu Datenpannen führen können
Schwachstelle bekannt, aber Lücke bleibt bestehen
Wenn es um die Ausnutzung von Schwachstellen geht und um Cyberattacken, die diese Sicherheitslücken missbrauchen, denken viele Unternehmen zuerst an neue, noch unbekannte Schwachstellen, an sogenannte Zero-Day-Schwachstellen, die die Hacker kennen, nicht aber die Softwareanbieter und schon gar nicht die betroffenen Unternehmen.
Doch die meisten Schwachstellen, die für Cyberangriffe ausgenutzt werden, sind weder neu noch unbekannt. Vielmehr haben die Softwareanbieter bereits Fehlerbehebungen veröffentlicht. Diese wurden aber nicht installiert, so dass die Unternehmen eine alte Schwachstelle hatten, die die Hacker ausgenutzt haben.
Beispiel: Bekannte Lücke bei ESXi-Server
Im Februar 2023 füllten Cyberattacken die Schlagzeilen (https://www.tagesschau.de/inland/gesellschaft/cyberattacke-deutschland-101.html), die eine Sicherheitslücke bei sogenannten ESXi-Servern ausnutzten. Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) erklärte (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-205338-1032.pdf), wurden tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt.
Die Täter machten sich dabei eine länger bekannte Schwachstelle zu Nutze. Informationen zur Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als „hoch“ bewertet wird – sowie ein Patch wurden vom Hersteller bereits im Februar 2021 veröffentlicht.
Es gab also seit zwei Jahren eine Warnung, eine Einstufung als hohes Risiko und auch einen Patch zur Fehlerbehebung. Trotzdem konnten zahlreiche Organisationen durch Ausnutzung der Schwachstelle erfolgreich angegriffen werden.
Ransomware-Angriff bedeutet meist Datenschutzverletzung
Wenn Erpresser-Viren Daten kriminell verschlüsseln, dann sind diese nicht mehr verfügbar. Entsprechend wird durch Ransomware eines der Schutzziele im Datenschutz verletzt, die Verfügbarkeit personenbezogener Daten, wenn Daten mit Personenbezug betroffen sind, was meist der Fall ist.
Ransomware und die damit verbundene Online-Erpressung kann noch weitere Folgen haben, aber schon der Verlust der Verfügbarkeit macht deutlich: Ransomware führt bei einer erfolgreichen Attacke und fehlenden, sicheren Backups zu einer Datenschutzverletzung.
Ransomware hatte im Fall der ESXi-Server aber nur Erfolg, weil eine seit zwei Jahren bekannte Schwachstelle nicht behoben war und ausgenutzt werden konnte. Mangelndes Schwachstellenmanagement ist also auch ein Datenschutz-Problem.
Was die Aufsichtsbehörden zu Schwachstellen sagen
Man muss nicht lange suchen, um Hinweise der Aufsichtsbehörden zur Notwendigkeit eines Schwachstellen- und Patchmanagements zu finden. So sagte zum Beispiel Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, bereits im Februar 2022: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können.“
Aber Schwachstellen- und Patchmanagement sind nicht alles, sie müssen Teil eines umfassenden Datenschutz- und Cybersicherheitskonzeptes sein. Das macht auch Marit Hansens weitere Einschätzung deutlich: „Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware“.