Beispiel: Man-in-the-Middle

Beispiel: Man-in-the-Middle

   Praxisnahe Beispiele    13. Januar 2025  |  0

Eine Führungskraft eines mittelständischen Unternehmens nutzte einen Firmenlaptop, um auf einer Terminalserver-Umgebung zu arbeiten. Der Laptop war verschlüsselt und über VPN (IPSec) mit dem Firmennetzwerk verbunden. Gemeinsam mit einer dritten Person, die in der IT-Branche tätig ist, kam sie auf die Idee, die IT-Sicherheit des Terminalservers eigenständig zu testen.

Hierfür wurde das Tool Mimikatz auf den Terminalserver hochgeladen und ausgeführt. Dabei wurden sämtliche Passwörter der auf dem Terminalserver angemeldeten Benutzer ausgelesen – sogar das Passwort des Geschäftsführers war betroffen. Die gewonnenen Erkenntnisse teilte die Mitarbeiterin anschließend dem Geschäftsführer mit.

Dieses Fallbeispiel beinhaltet mehrere mögliche IT-Sicherheits- und DSGVO-Verstöße, die ich im Folgenden analysiere:

1. Analyse der IT-Sicherheitsverstöße

Unbefugtes Testen von IT-Systemen

  • Verstoß: Die Mitarbeiterin führte ohne Zustimmung und außerhalb einer autorisierten Penetrationstest-Umgebung Sicherheitstests durch. Selbst wenn sie das Unternehmen schützen wollte, ist dies ein unbefugter Eingriff in IT-Systeme und stellt einen Verstoß gegen interne Sicherheitsrichtlinien und gängige IT-Sicherheitsstandards dar.
  • Relevante Vorschriften: IT-Sicherheitsrichtlinien des Unternehmens, BSI IT-Grundschutz, Strafgesetzbuch (StGB) § 202a (Ausspähen von Daten) oder § 303b (Computersabotage).

Hochladen und Ausführen von Mimikatz

  • Verstoß: Das Hochladen und die Ausführung von Mimikatz – einem Werkzeug, das Passwörter auslesen kann – stellt ein erhebliches Risiko für die Integrität und Vertraulichkeit des Systems dar. Solche Tools dürfen ausschließlich in kontrollierten Tests verwendet werden, idealerweise durch ein autorisiertes Security-Team.
  • Risiko: Das Tool könnte Schwachstellen für Angreifer offenlegen oder versehentlich sensitive Daten ungeschützt lassen.

2. Analyse möglicher DSGVO-Verstöße

Bitte beachten Sie, dass es sich hierbei um meine persönliche Einschätzung handelt. Ich bin kein Datenschutzbeauftragter und ersetze diesen auch nicht. Bitte informieren Sie stets Ihren Datenschutzbeauftragten, der über das weitere Vorgehen entscheidet.

Auslesen personenbezogener Daten (Passwörter)

  • Verstoß: Die Passwörter der Benutzer des Terminalservers, darunter auch des Geschäftsführers, wurden ausgelesen. Da Passwörter personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind, stellt dies eine unrechtmäßige Verarbeitung dar, da keine Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt.
  • Risiko: Die Offenlegung solcher Daten könnte zu einem Sicherheitsvorfall führen, insbesondere, wenn die Passwörter weiterverwendet oder offengelegt werden.

Unzureichender Schutz sensibler Daten

  • Verstoß: Durch den Zugriff auf sensible personenbezogene Daten (Passwörter) wurde gegen das Prinzip der Datenminimierung (Art. 5 Abs. 1c DSGVO) verstoßen. Es besteht keine Rechtfertigung für die Erhebung dieser Daten in diesem Kontext.

Meldung an die Aufsichtsbehörde

  • Erforderlichkeit: Da es sich um einen Vorfall handelt, bei dem personenbezogene Daten kompromittiert wurden, könnte dies gemäß Art. 33 DSGVO eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde auslösen. Die Meldepflicht ist verpflichtend, wenn der Vorfall ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

3. Muss eine Anzeige bei der Polizei erfolgen?

Ja, eine Anzeige bei der Polizei könnte notwendig sein. Es handelt sich um mögliche Straftatbestände nach dem Strafgesetzbuch:

  • § 202a StGB (Ausspähen von Daten): Die unbefugte Beschaffung von Passwörtern.
  • § 202b StGB (Abfangen von Daten): Falls die Passwörter während der Übertragung abgefangen wurden.
  • § 303a StGB (Datenveränderung): Falls durch den Einsatz von Mimikatz Daten im System manipuliert wurden.
  • § 303b StGB (Computersabotage): Falls das Unternehmen durch die Tests geschädigt wurde.

Eine Anzeige ist insbesondere dann zu prüfen, wenn die Handlungen der Mitarbeiterin über bloße Fahrlässigkeit hinausgehen oder ein Schaden entstanden ist. Dies ist aber bitte mit einem Anwalt zu klären. Ich mache keine Rechtsberatung an dieser Stelle.

4. Empfehlungen

  1. Interne Untersuchung einleiten:
    • Die Geschäftsleitung sollte in Zusammenarbeit mit der IT-Sicherheitsabteilung oder einem externen Auditor prüfen, welche Systeme und Daten durch die Tests betroffen sind.
    • Protokolle des Terminalservers sollten analysiert werden, um sicherzustellen, dass keine weiteren unautorisierten Zugriffe oder Datenabflüsse erfolgt sind.
  2. Meldung an die Datenschutzbehörde:
    • Falls die Passwörter in unbefugte Hände geraten sein könnten oder das Risiko für die betroffenen Personen als hoch eingeschätzt wird, ist die Meldung gemäß Art. 33 DSGVO erforderlich.
  3. Sicherheitsrichtlinien und Schulung:
    • Mitarbeitende, insbesondere Führungskräfte, sollten zu den Grenzen ihrer Befugnisse im IT-Bereich und zum richtigen Umgang mit IT-Sicherheit geschult werden.
  4. Technische Maßnahmen:
    • Implementierung von Überwachungsmechanismen, um unautorisierte Nutzung von Tools wie Mimikatz zu erkennen und zu verhindern.
    • Verbesserung der Zugriffskontrollen und Einführung von Maßnahmen wie Credential Guard oder ähnlichen Technologien, die die Auslesbarkeit von Passwörtern minimieren.
SchrittMaßnahmeBegründung
Interne UntersuchungAnalyse der Protokolle des Terminalservers und der VPN-Verbindungen.Feststellen, welche Daten kompromittiert wurden und ob unbefugte Zugriffe erfolgt sind.
Prüfung des Umfangs des Vorfalls (z. B. betroffene Benutzer, Systeme).Klärung der Sicherheitslage und des tatsächlichen Schadens.
Kommunikation internSofortige Information der Geschäftsleitung über den Vorfall und die Risiken.Transparenz und Schadensbegrenzung.
Einleitung eines internen Sicherheitsberichts und ggf. Einbindung externer IT-Forensik.Dokumentation für interne Nachverfolgung und externe Behörden.
Meldepflicht prüfenBewertung des Vorfalls gemäß Art. 33 DSGVO hinsichtlich Meldepflicht.Klären, ob der Vorfall der Datenschutzaufsichtsbehörde gemeldet werden muss.
Falls erforderlich, Meldung innerhalb von 72 Stunden nach Kenntnisnahme.Vermeidung von DSGVO-Sanktionen und Sicherstellung gesetzlicher Konformität.
Anzeige prüfenAbklärung mit der Rechtsabteilung, ob der Vorfall nach § 202a/b oder § 303a/b StGB eine Strafanzeige erfordert.Ggf. Anzeige bei der Polizei wegen unbefugter Datenverarbeitung oder Ausspähung von Daten.
SicherheitsrichtlinienÜberprüfung und ggf. Aktualisierung der internen Sicherheitsrichtlinien, insbesondere zu Penetrationstests.Sicherstellen, dass alle Mitarbeitenden die Grenzen ihrer Befugnisse und die Meldepflichten verstehen.
Sensibilisierung & SchulungSchulung der Mitarbeitenden zu den Themen IT-Sicherheit, DSGVO und dem Umgang mit Sicherheitslücken.Verhindern künftiger Vorfälle durch besseres Sicherheitsbewusstsein.
Technische MaßnahmenImplementierung von Mechanismen wie Credential Guard oder ähnlichen Technologien, die das Auslesen von Passwörtern verhindern.Minimierung der Risiken durch Tools wie Mimikatz.
Verstärkung der Zugriffskontrollen und Einführung von Monitoring-Lösungen.Erhöhung der Sicherheit und Erkennung unautorisierter Zugriffe.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Neueste Kommentare

Es sind keine Kommentare vorhanden.
Neueste Kommentare

    MAB IT-CONSULTING Marcus Breiter Breitseeweg 63 63303 Dreieich

    © 2025 MAB-IT Consulting. Built using WordPress and Mesmerize Theme.