Im Rahmen der Meldeverpflichtungen gegenüber dem Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) war zuletzt festzustellen, dass öffentliche Stellen vermehrt Ziel sogenannter Social-Engineering-Angriffe werden. Mit diesen Angriffen versuchen Kriminelle personenbezogene Daten auszuspähen. Erfolgreiche Angriffe können für die betroffenen Personen mit erheblichen Risiken verbunden sein.

Bei Social-Engineering-Angriffen werden Beschäftigte gezielt manipuliert, um sensible Informationen preiszugeben, die anschließend für betrügerische oder andere böswillige Zwecke genutzt werden können. Dieses Vorgehen ist derzeit vermehrt gegenüber öffentlichen Stellen in Mecklenburg-Vorpommern festzustellen.

Konkret ist dabei in Mecklenburg-Vorpommern ein systematisches Vorgehen zu beobachten:
Den Beginn stellt regelmäßig ein Anruf dar, bei dem sich der Anrufer als Beschäftigter einer anderen öffentlichen Stelle ausgibt und Informationen abfragt, die für ein eigenes Verfahren dringend benötigt werden. Nicht selten wird dabei auch vorgetäuscht, dass die Anrufer Beschäftigte von Sicherheitsbehörden seien, die die Informationen für dringliche Ermittlungstätigkeiten bräuchten. Um das Vertrauen des Anrufers zu gewinnen, werden durch den Anrufer ergänzende Informationen zu dem jeweiligen Informationsbegehren mitgeteilt, wodurch suggeriert wird, dass es sich tatsächlich um eine öffentliche Stelle handelt, die im Rahmen ihrer Aufgabenerfüllung tätig ist. Zusätzlich wird in derartigen Fällen sogenanntes Call-ID-Spoofing eingesetzt, um sich das Vertrauen zu erschleichen; das heißt, es wird die Telefonnummer des Anrufers gefälscht. Bei derartigen Anrufen kann somit in der Telefonanzeige durchaus eine andere Telefonnummer vorgetäuscht werden, wie z. B. von verschiedensten Sicherheitsbehörden. Eine Telefonnummer ist somit keinesfalls ein Indikator für die Authentizität eines Anrufers. Auch die Stimme einer bekannten Person kann mittels KI-Technologie überzeugend gefälscht werden.

Regelmäßig ist das Vorgehen nicht auf diese Systematik beschränkt, sondern um weitere Authentizität vorzutäuschen, wird durch die Täter als vermeintliche öffentliche Stelle mitgeteilt, dass ihnen bewusst sei, dass vertrauliche Informationen nicht einfach am Telefon übermittelt werden könnten. Insoweit kündigen die Täter in derartigen Fällen an, dass eine formale Anfrage per E-Mail folgt. Bei darauffolgenden E-Mails wird sodann die E-Mail-Adresse des vermeintlichen Absenders nur leicht verfälscht, indem einzelne Buchstaben oder Wörter ausgetauscht werden; der Anzeigename des Absenders wird häufig vollständig korrekt vorgetäuscht.

Dieses strafbewehrte Vorgehen zum Ausspähen von Daten ist inzwischen vermehrt zu beobachten und kann mit beträchtlichen Folgen für die betroffenen Personen einhergehen.

Wie können sich Verantwortliche vor derartigen Angriffen schützen?
Der LfDI MV empfiehlt Verantwortlichen, ihre Beschäftigten weitgehend bezüglich derartiger Angriffe zu sensibilisieren. Dies sollte sowohl anlassbezogen als auch in regelmäßigen Schulungen der Mitarbeitenden erfolgen. Darüber hinaus sollten Beschäftige auch entsprechend unterwiesen werden, personenbezogenen Daten oder sensible Informationen nur über hinreichend sichere Kommunikations- und Übertragungswege zu übermitteln und jegliche Informationsbegehren anderer Stellen kritisch geprüft werden. Die ausschließliche Nutzung von sicheren Kommunikations- und Übertragungswegen, wie z. B. das besondere elektronische Behördenpostfach und die kritische Prüfung von Informationsbegehren erweisen sich als effektives Mittel, um derlei Angriffen zu begegnen. Auch die Verifizierung von vermeintlichen Anrufen und Anfragen per E-Mail durch eine andere öffentliche Stelle über bekannte und unabhängige Kontaktwege ist ein geeignetes Mittel, um Social-Engineering-Angriffe zu erkennen.

Was ist zu tun, wenn personenbezogene Daten unberechtigt offengelegt wurden?
Bedauerlicherweise war im Rahmen der Meldeverpflichtungen gegenüber dem LfDI MV zu verzeichnen, dass es den Angreifern in Einzelfällen gelang, über das geschilderte Vorgehen personenbezogene Daten auszuspähen bzw. sich das Vertrauen zu erschleichen und somit Beschäftigte zur Herausgabe von personenbezogenen Daten zu veranlassen. Werden solche Vorfälle bekannt, ist schnelles Handeln gefragt: Nicht selten könnten die erlangten Informationen für Identitätsdiebstähle der betroffenen Personen genutzt werden; auch Erpressungsversuche und Ähnliches sind denkbar.

Folglich ist umgehend den jeweils geltenden Meldeverpflichtungen nachzukommen, wie z. B. gegenüber der Behördenleitung, der/dem behördlichen Datenschutzbeauftragten und der/dem Informationssicherheitsbeauftragten. Soweit die Übermittlung der personenbezogenen Daten an einen unberechtigten Empfänger voraussichtlich auch ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge hat, ist diese durch den Verantwortlichen hierüber im Einklang mit Art. 34 Datenschutz-Grundverordnung (DS-GVO) unverzüglich zu unterrichten.

Zugleich sollte eine unverzügliche anlassbezogene interne Sensibilisierung erfolgen, da nach erfolgreichen Angriffen häufig weitere Versuche folgen. Um zu gewährleisten, dass die Sensibilisierung auch alle Beschäftigten erreicht, ist eine direkte Sensibilisierung, z. B. über Vorgesetzte innerhalb der jeweiligen Behördenstruktur essenziell; denn eine Informations-E-Mail erreicht möglicherweise nicht alle Beschäftigten zeitnah.

Darüber hinaus sollte geprüft werden, ob technische Maßnahmen ergriffen werden können: So ist beispielsweise die Sperrung von ausgehenden E-Mails an von den Kriminellen genutzte E Mail-Adressen denkbar.

Schließlich ist der Verpflichtung einer Meldung einer Verletzung des Schutzes personenbezogener Daten an den LfDI MV nachzukommen (Art. 33 DS-GVO) und es wird eindringlich die Erstattung einer Anzeige angeregt. Das geschilderte Vorgehen dürfte regelmäßig Straftatbestände – insbesondere nach § 202a Strafgesetzbuch, § 42 Abs. 2 Bundesdatenschutzgesetz – erfüllen. Gerade angesichts des systematischen Vorgehens sind zur weiteren Verfolgung die Ermittlungsbehörden gefragt.

Der LfDI MV warnt Verantwortliche vor derartigen Angriffen, mit denen Kriminelle versuchen, personenbezogene Daten auszuspähen. Zudem ruft der LfDI MV öffentliche Stelle zu besonderer Umsicht und erhöhter Wachsamkeit auf.