7 minute read
Mitgliederdaten im Visier von Hackern
Text Achim Barth
Cyberangriffe auf Kleinunternehmen nehmen zu. Wer seine IT-Systeme schützen will, muss Vorsorge treffen. Fitnessstudios werden digitaler, die Datenmenge nimmt zu und Hacker finden immer neue Schwachstellen, die Zugang zu diesen Daten ermöglichen. Wie können Fitnessstudios sich vor Anschlägen schützen? Mit welchen Methoden arbeiten die Internetbetrüger? Wo haben Erpresser leichtes Spiel? Datenschutzexperte Achim Barth weiß, wo die Schwachstellen liegen, was es braucht, um die Clubs, inklusive Mitglieder, Mitarbeiter und Dienstleister, abzusichern, und wie Studios sich so wenig angreifbar wie möglich machen können.
„Firma Müller/Kühnle/Lüdenscheid ist Opfer eines Hackerangriffes geworden.“ Kaum eine Woche vergeht, in der solche Meldungen nicht durch die Medien wandern. Betroffen sind Firmen und Organisationen aller Art und aus allen Branchen, große Kliniken genauso wie kleine Fitnessstudios. Die meisten Attacken zielen nicht auf einen bestimmten Adressaten. Vielmehr trifft es diejenigen, die ihre IT-Systeme, Server, Tablets oder Smartphones nicht ausreichend gesichert haben. Mit breitem Netz fischen die Onlinekriminellen gerne die kleinen Unternehmen ab, die bekannte Schwachstellen noch nicht geschlossen haben. Die Zahl der Angriffe in Deutschland steigt kontinuierlich, verkündet das Bundesinnenministerium im August 2022. Im Jahr 2020 waren es in absoluten Zahlen 100.514 Cyberattacken auf Unternehmen in Deutschland. Dabei handelt es sich ausschließlich um die Fälle, die zur Anzeige gebracht wurden. 2021 lag die Zahl bereits bei 146.363 Delikten. Seit Beginn des Ukraine-Krieges haben die Internetattacken noch mal massiv zugenommen. Direkt mit Beginn des Konflikts warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Verwendung von Kaspersky-Virenschutzprodukten.
Die größte Bedrohung: Angriffe mit Ransomware
Kriminelle versenden massenhaft gefälschte, oftmals täuschend echt aussehende E-Mails, um ein bestimmtes Verhalten hervorzurufen. Ziel dieser Taktik ist es, sensible Daten „abzufischen“. Um vertrauensvoll zu wirken, imitieren die Angreifer häufig die E-Mail-Struktur eines real existierenden Unternehmens. In der Nachricht
massiv zugenommen
verbreiten sie dann Panik. Zum Beispiel, dass das Studio eine Rechnung nicht bezahlt hätte oder dass ein Kundenkonto gesperrt wird. Empfänger sollen unter Druck geraten und ihre Kreditkarten- oder Kontoinformationen freiwillig herausgeben. Die meisten Fitnessstudios sind reine Zufallsopfer, weil Kriminelle beim Scannen der Netzwerke kritische Schwachstellen in deren Webserver erkannt haben. Über Nacht wird die eigene Webseite dann Teil eines kriminellen Bot-Netzwerkes, zur Spamschleuder oder zu einer Werbeplattform für Onlinespiele. Kapern Hacker den Mailserver, verschicken die Betrüger im Namen des Studiobetreibers feindliche Schad-Mails an alle Kontakte – das beschädigt nicht nur das eigene Image, sondern gefährdet zudem die IT-Sicherheit der eigenen Mitglieder und Lieferanten.
Die größte Bedrohung sind jedoch Angriffe mit Ransomware: Hinterlistige verschicken Phishing-E-Mails, die Links oder Anhänge enthalten. Wieder soll ein unaufmerksamer Mitarbeiter in der Verwaltung die Datei öffnen oder dem Link folgen. Wer unbedarft in die Falle tappt, landet zum Beispiel auf einer Fake-Webseite, die Daten abgreift. Alternativ lädt der Empfänger per Klick versehentlich tückische Schadprogramme herunter. Diese Malware bleibt zunächst unbemerkt, weil sie erst mal in Ruhe das firmeneigene IT-System analysiert. Erst nach einigen Tagen oder Wochen wird der Schädling aktiv und treibt sein Unwesen: Die Malware beginnt, alle verfügbaren Daten im Studio zu verschlüsseln. Durch Phishing können die Verbrecher Mitglieder- und Vertragsinformationen, E-Mail-Adressen oder sensible Gesundheitsdaten
Die größte Bedrohung sind Angriffe mit Ransomware: Hier werden sogenannte Phishing-E-Mails verschickt, die Links oder Anhänge enthalten. Wer unbedarft in die Falle tappt, und den Link oder Anhang öffnet, landet z. B. auf einer Fake-Webseite, die Daten abgreift
abgreifen und sie im Darknet zu Geld machen. Allein das wieder in den Griff zu bekommen und alle Beteiligten zu beruhigen, kostet Clubbetreiber jede Menge Zeit und Ärger. Neben den finanziellen Belastungen leidet das Ansehen unter solchen Vorfällen. Noch schlimmer kommt es, wenn Clubs Opfer einer Erpressung werden. In diesem Fall fordern Kriminelle für die Entschlüsselung der Inhalte einen Geldbetrag in Kryptowährung. Bei allen Fällen handelt es sich um Datenpannen, die Studioinhaber der DatenschutzAufsichtsbehörde melden müssen.
Gezielte Suche nach leichten Opfern
Inzwischen wirken Phishing-Mails so authentisch, dass Empfänger nur mit vorheriger Schulung den kriminellen Charakter erkennen. Beim sog. SpearFishing z. B. ist die E-Mail-Offensive nicht auf die breite Masse, sondern auf ein bestimmtes Opfer ausgerichtet. Kriminelle arbeiten hier nicht mehr automatisiert mit Scannern, die wahllos im Internet nach Sicherheitslücken suchen. Vielmehr suchen sie sich gezielt ein Opfer aus und schaffen in ihren Nachrichten einen persönlichen Bezug zum Empfänger. Vom Aufbau ähnelt das einer klassischen Phishing-E-Mail. Für den persönlichen Touch sammeln die Betrüger Informationen über den Betrieb. Über Webseite, soziale Medien und Google-Suchen ermitteln sie zum Beispiel, wie der Studioleiter heißt oder wer die Buchhaltung betreut. Durch gezielte Anrufe erschleichen sich die Angreifer Details über eine bestimmte Person. Sie analysieren die jeweilige Position im Studio, das typische Verhalten wie Pausenzeiten, Anfahrtsweg zur Arbeit, Geschäftspartner sowie Familie oder Freunde. Die eigentliche Attacke startet zu einem sensiblen Zeitpunkt: Ist der Chef im Urlaub, fingieren die Betrüger eine Notlage: Beispielsweise müsse dringend ein Betrag X überwiesen werden. Durch die vorab gesammelten Informationen ergibt sich bei dieser Bitte ein stimmiges Gesamtbild und der Kontakt wirkt vertrauenswürdig. Überweist der Mitarbeiter pflichtbewusst die Summe, ist das Geld fast immer unwiederbringlich weg. Die Frage lautet: Wie können Studios sich vor solchen feindlichen Angriffen schützen?
DSGVO und Kontrollen als Basisschutz
Wer sich gegen Cyberangriffe rüsten will, hat mehrere Chancen. Als Erstes die Basis: Fitnessstudios müssen ihre Hausaufgaben machen und die DSGVO einhalten. Allein schon, um nicht Schmerzensgelder oder Schadenersatzzahlungen oder Bußgelder zu riskieren, sind alle Clubs seit 2018 verpflichtet, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen. Dass deren Einhaltung
Zusatztipp für Schutz vor Cyberangriffen
Ist Ihre Website sicher? Prüfen Sie es und führen Sie unter: www.barth-datenschutz.de/lp/ dsgvo-compliance-check/ einen kostenlosen WebsiteScan durch.
DAS BUCH ZUM THEMA
Als Clubbetreiber möchten Sie vor allem eines: Schaden von Ihrem Studio abwenden. Das ist, was die Datenschutz-Grundverordnung (DSGVO) betrifft, vor allem das Risiko, ein Bußgeld bezahlen zu müssen, abgemahnt zu werden, einen Imageverlust zu erleiden und/oder Opfer eines Cyberangriffes zu werden. Wie sich dieses Risiko reduzieren lässt und was Sie als Verantwortlicher dafür genau tun müssen, erfahren Sie kompakt und auf das Wesentliche zusammengefasst in diesem Buch. Dabei müssen Sie nicht mit ausschweifenden Herleitungen und Begründungen rechnen, sondern erhalten in aller Kürze Informationen darüber, was zu tun ist, um das Thema DSGVO angemessen umzusetzen.
auch einen wichtigen Beitrag zum Schutz vor Cyberangriffen leistet, haben die wenigsten auf dem Schirm. Egal, ob es sich um Personal Trainer, einen Premiumclub mit vielen Beschäftigten oder eine große Kette mit zahlreichen Standorten handelt. Die DSGVO fordert z. B., dass Verantwortliche zum Schutz personenbezogener Daten passende technische und organisatorische Maßnahmen ergreifen. Viele vernachlässigen jedoch die Verordnung, sie liegt ihnen als lästige Pflicht schwer im Magen. Doch wer sie richtig umsetzt, ist automatisch besser vor digitalen Angriffen geschützt, weil die Systeme auf aktuellem Stand sind. Die DSGVO sorgt für transparente, aktuelle Prozesse und einen bewussten Umgang mit personenbezogenen Inhalten. Studioinhaber machen sich am besten Gedanken, mit welchen Maßnahmen sie den Schutz der Daten gewährleisten können. Bewährt hat sich eine Aufteilung in Vertraulichkeit. Darunter fallen:
• Zutrittskontrolle – wie wird der
Eingang zum Studio und der IT abgesichert? • Zugangskontrolle – wie werden die digitalen Systeme abgesichert? • Zugriffskontrolle – wie wird sichergestellt, dass Mitarbeiter nur Daten einsehen, die für sie relevant sind? • Trennungskontrolle – wie kann garantiert werden, dass Mitgliederdetails nicht vermischt werden? • Pseudonymisierung – wie werden
Inhalte gespeichert, sodass ein
Personenbezug nicht direkt ersichtlich ist? Darüber hinaus sollte sich der Studiobetreiber gemeinsam mit dem ITVerantwortlichen überlegen, wie sich Datenintegrität (Richtigkeit der Daten) und Datenverfügbarkeit, z. B. bei Stromausfall, sicherstellen lassen. Diesen IT-Basisschutz sollte jeder Fitnessclub mit gesundem Menschenverstand umsetzen. Es ist nicht notwendig, übermäßig viel Geld für IT-Service auszugeben. Wichtig ist, ein angepasstes Konzept zu entwickeln, das die Anforderungen ausreichend in den Blick nimmt. Wichtig ist auch die Human-Firewall. Schulen Sie alle Mitarbeiter in der IT-Sicherheit und Phishing-Awareness.
Bereit für den Notfall
Clubbetreiber müssen sich bewusst sein: Egal, was sie einrichten, planen und vorsorgen – hundertprozentigen Schutz gibt es nie. Daher sollten Fitnessstudios zudem ein Back-up-System einführen, das sowohl bei Angriffen, aber auch bei Wasserschäden, Technikversagen oder menschlichen Fehlern die Rettung sein kann. Nur wer sich auf ein zuverlässiges Back-up mit genügend Sicherungsvolumen verlassen kann, fällt im Notfall weich und ist weniger erpressbar.
Neben tagesaktuellen Sicherungen gehören Wochen- und Monatssicherungen sowie eventuell sogar JahresBack-ups dazu. Studiobetreiber sollten sich gemeinsam mit ihrem IT-Verantwortlichen eine individuelle Strategie überlegen und die Back-up-Einspielung regelmäßig testen. Wer nicht ausprobiert, ob sich die Daten in verschiedenen Szenarien überhaupt einspielen lassen, dem nützt die beste Sicherung nichts. Zu guter Letzt sollte sich der Clubbetreiber ein klares Notfallkonzept überlegen. Was ist zu tun, wenn Systeme längere Zeit nicht zur Verfügung stehen? Wie ist bei einem Stromausfall vorzugehen? Wie sieht der Notfallplan aus, wenn die Büros und das Studio wegen Brand nicht genutzt werden können? Kommt es zu kritischen Situationen, sparen diese Überlegungen jede Menge Zeit, Geld und Stress.
Achim Barth ist einer der kompetentesten Ansprechpartner rund um den Schutz personenbezogener Daten. Zielgerichtet, sachkundig und immer up-to-date begleitet er Verantwortliche und Unternehmen bei der praktikablen Umsetzung des Datenschutzes. In der Beratung sowie in Seminaren und Vorträgen überzeugt der Gründer von „Barth Datenschutz“ mit praktikablen Lösungen. Sein Fachwissen vermittelt er eingängig und unterhaltsam, sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren. www.barth-datenschutz.de
