Datenleck: Framework-Kunden betroffen
von caschy | 8 Kommentare
Framework, der Hersteller modularer Laptops, setzt seine Kunden derzeit über ein Datenleck in Kenntnis. Betroffen war Keating Consulting, der wichtigste externe Buchhaltungspartner von Framework. Einer der Buchhalter ist auf eine Mail hereingefallen, die angeblich vom CEO von Framework gekommen war. Allerdings war es nicht der CEO, sondern Angreifer. So gelangten diese an die Daten, konkret fragten die Betrüger Debitoreninformationen zu ausstehenden Beträgen für Framework-Käufe an.
Die Liste, die der Buchhalter dem vermeintlichen CEO von Framework mitteilte, enthielt die vollständigen Namen, Mail-Adresse und offene Beiträge. Laut Framework handelte es sich hauptsächlich um eine Teilmenge der offenen Vorbestellungen, aber auch einige abgeschlossene frühere Bestellungen mit ausstehenden Buchhaltungssynchronisierungen. Kunden wurden bereits per Mail informiert, die müssen natürlich Obacht walten lassen, da die Betrüger nun genaue Daten haben und versuchen könnten, sich als Framework auszugeben.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Sollten solche Daten nicht eh verschlüsselt versendet werden? In Deutschland wäre das sicher ein DSGVO verstoß.
Was hätte das für einen unterschied gemacht?
Der falsche Empfänger kann die Daten nicht ohne weiteres öffnen? (Sofern das Kennwort für die Datei nicht in der E-Mail steht, Kennwort ist idealerweise auf einem zweiten weg an den Empfänger zu übermitteln)
Selbst verschlüsselt wäre es eine Datenschutzpanne, denn die Mail muss ja mit einem für den Empfänger bekannten Schlüssel verschlüsselt werden (unabhängig davon, ob der auch wirklich der ist, für den er sich ausgibt).
Das Datenschutzproblem ist hier nicht die Art der Übermittlung, sondern die Übermittlung an sich.
Personendaten sollten immer verschlüsselt versendet werden, auch wenn man die zB intern versendet. Damit, falls die in die falschen Hände gelangen, diese eben nutzlos für die Angreifer sind. Ja, auch verschlüsselte Daten sind nicht 100%ig sicher aber besser als „im Klartext in ner Email“. Die Hauptpanne ist tatsächlich die Übermittlung, das unverschlüsselte übermitteln verschärft die Panne aber deutlich. Kennwort für die verschlüsselten Daten sollten über einen zweiten Faktor versendet werden.
Was bringt eine Verschlüsselung, wenn du die Daten dem Angreifer direkt zusendest? Der Mitarbeiter wollte ja, dass der Empfänger die Daten lesen kann.
Und was wenn wie bei Phising-Angriffen üblich gar nicht eine Datei verschickt wurde, sondern lediglich Zugriffsdaten abgefangen wurden? Zumal ein sicherer Datenaustausch abseits von hochsensiblen Daten wohl immernoch Wunschdenken ist.
Als Framework-Kunde (der allerdings offenbar nicht betroffen ist) kann ich nur sagen, dass ich mir auch von anderen Herstellern eine so vorbildliche Transparenz und Reaktionsgeschwindigkeit wünschen würde. Offenbar ereignete sich der Vorfall ja erst gestern und die Betroffenen wurden innerhalb weniger Stunden in Kenntnis gesetzt.