Seit einigen Tagen sind mehrere Datenpannen den Aufsichtsbehörden gemeldet worden, bei denen ein externer Angriff nach einem ähnlichen Muster verlaufen ist. Dabei wird von der Schadsoftware eine vergleichbare Vorgehensweise gewählt, wie sie im vergangenen Jahr mit dem Trojaner Emotet für Aufsehen gesorgt hat.
Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, bei der der Schädling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Ist die Schadsoftware erstmal in IT-Systeme eingedrungen, kann sie unter Umständen andere Schadprogramme nachladen.
Datenschutzrechtlich sind Angriffe mit der neuartigen Schadsoftware problematisch, weil durch den Abfluss der E-Mails personenbezogene Daten unbefugten Dritten bekannt werden.
Virusattacken erfolgen über E-Mail
Die Angriffe verlaufen in der Regel nach folgendem Muster: Die Schadsoftware liest Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Anschließend werden authentisch aussehende Spam-Mails an die Empfänger aus der Kontaktliste verschickt.
Die Empfänger erhalten also fingierte Mails von Absendern, mit denen sie kürzlich tatsächlich in Kontakt standen, was das Risiko erhöht, dass den E-Mails Vertrauen entgegengebracht wird. Die Muster ähneln sich sehr: E-Mails mit den Adressen der betroffenen Unternehmen und Einrichtungen sind an Personen gegangen, die aus zwei Elementen bestanden. Im oberen Teil der E-Mail war ein kurzer Satz mit einem Link enthalten, über den womöglich eine Infektion erfolgen kann. Im unteren Teil der E-Mail war eine ältere E-Mail angehängt, die die Person zuvor an das Unternehmen oder die Einrichtung gesandt hatte.
Datenschutzpanne durch Virenbefall
Bei einem Befall mit der neuartigen Schadsoftware liegt datenschutzrechtlich eine Datenschutzverletzung vor, die nach Artikel 33 DS-GVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist.
Nach einem Angriff sollten alle betroffenen Personen, das heißt alle E-Mail-Absender, die sich im Postfach des infizierten Unternehmens befinden zur Vermeidung einer weiteren Ausbreitung über den Vorfall informiert werden.