Hackerangriff auf australischen Netzbetreiber Optus

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

In einem inzwischen gelöschten Beitrag in einem bekannten Leak-Forum veröffentlichte ein Unbekannter unter dem Pseudonym „Optusdata“, dass er im Besitz von 11,2 Millionen Kundendaten sei. Dazu lud er einen begrenzten authentischen Kundendatensatz dieser Daten hoch und verlangte 1 Million Dollar, um diesen zu löschen.

Auch Optus selbst bestätigte, dass sie Opfer eines Cyberangriffs waren, bei dem sich Angreifer Zugang zu Daten ehemaliger und bestehender Kunden verschafften. Optus erklärte, man habe den Angriff schnell erkannt, sofort gestoppt und die australischen Behörden zur Untersuchung des Vorfalls eingeschaltet.

Die australische Regierung spricht von einem Verlust von 9,8 Millionen Kundendaten. Davon sollen 2,8 Millionen Daten wie Ausweis- und Führerscheinnummern enthalten. Nach Angaben von Optus waren 36.900 Krankenversicherungsnummern betroffen, von denen 22.000 jedoch ungültig seien. Passwörter oder Zahlungsinformationen waren von dem Hackangriff jedoch nicht betroffen.

Während der CEO von Optus von einem raffinierten Angriff spricht, wirft die australische Regierung dem Unternehmen unzureichende Sicherheitsvorkehrungen vor. Inzwischen verdichten sich die Hinweise, dass der unberechtigte Zugriff aufgrund einer offenen und ungesicherten API möglich war. 

Was ist eine API?

Eine API (Application Programming Interface) stellt eine Programmierschnittstelle dar und ermöglicht einen schnellen standardisierten Datenaustausch. Das erleichtert vor allem Unternehmen den Datentransfer erheblich. Dies lässt sich vielfach im E-Commerce-Bereich beobachten. Einzelhändler stellen APIs zur Verfügung, um Daten über den Produktbestand zu erfassen. Die Systeme der Kunden kommunizieren über die API mit dem System des Einzelhändlers und erhalten so Informationen über die Verfügbarkeit dieser Produkte.

Folgen und Konsequenzen des Hackangriffs bei Optus

  • Für die Kunden

Für viele Kunden bedeutet der Vorfall eine Gefahr des Identitätsdiebstahls, insbesondere wegen der Fülle an erbeuteten Informationen.

  • Für Optus
    • Die Regierung erwartet, dass Optus alles in seiner Macht Stehende tut, um betroffene Kunden zu unterstützen. In einem ersten Schritt sollen die Kosten für den Schutzdienst „Equifax Protect“ für diese Kunden übernommen werden. Dieser bietet Kredit- und Identitätsüberwachungsdienste an, sodass ein etwaiger Identitätsmissbrauch schnellstmöglich erkannt und unterbunden werden kann.
    • Weiter soll Optus die Kosten für Neubeantragungen von Dokumenten tragen. Dies wird nötig, weil unter anderem Personalausweis-, Führerschein- und Krankenversicherungsnummern Teil der erbeuteten Daten darstellen.

Ausblick auf den Datenschutz in Australien

Die EU-Kommission hat in Bezug auf Australien bisher keinen Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DS-GVO gefasst. Mit den aktuell geltenden Datenschutzgesetzen entspricht der Schutz personenbezogener Daten in Australien, nicht dem Niveau nach der DS-GVO. Ebendies wäre jedoch für einen Angemessenheitsbeschluss notwendig. Die australische Regierung hat jedoch bereits angekündigt, ihre Datenschutzgesetze zu überprüfen und ggf. zu verschärfen. Die Höchststrafe für Cybersecurity-Verstöße war bisher auf 2,2 Millionen Dollar (1,4 Millionen Euro) begrenzt und soll nun auf 50 Millionen Dollar oder 30 Prozent des bereinigten Umsatzes eines Unternehmens in dem betreffenden Zeitraum erhöht werden. Zum Vergleich sieht die DS-GVO in solchen Fällen eine Strafe von bis zu 4 Prozent des Umsatzes eines Unternehmens oder maximal 20 Millionen Euro vor.

Handlungsempfehlung

Der Fall Optus zeigt, dass Nachlässigkeiten von Unternehmen von Hackern bemerkt und ausgenutzt werden. Sowohl für Unternehmen als auch für ihre Kunden haben solche Hackerangriffe schwerwiegende Folgen (auch nach der DS-GVO). Um von Hackerangriffen und daraus folgenden Bußgeldstrafen verschont zu bleiben sowie um Kunden den notwendigen Schutz ihrer Daten garantieren zu können, empfehlen wir Unternehmen, ihre Sicherheitsvorkehrungen regelmäßig zu überprüfen und gegebenenfalls zu optimieren.

 

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

(AR) Die Lage der Cybersicherheit in Deutschland ist laut der BSI-Chefin „besorgniserregend“. Das stellte das BSI in seinem Lagebericht für das Jahr…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

13.01.2023 Blog | Cybersecurity

Nach Angaben der Webseite Cybernews wurde am 16. November 2022 in einem Forum im Darknet ein Datensatz mit 487 Millionen Mobilfunknummern von…

Combined Shape

Bei einem Hackerangriff auf den australischen Netzbetreiber Optus ist es Angreifern gelungen, zehn Millionen Kundendaten abzugreifen.

Combined Shape

11.10.2022 Blog | Cybersecurity

Ransomware, Virus, Spyware, Trojaner – Diese Begriffe haben Sie bestimmt schon einmal im Kontext von Malware gehört. Bei dieser Vielzahl kann man…

Combined Shape

24.06.2022 Blog | Cybersecurity

Was haben die Elektronik-Fachmarktkette Media Markt, der Automobilzulieferer Eberspächer und der Landkreis Anhalt-Bitterfeld gemeinsam? Sie alle…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

Die fortschreitende Digitalisierung hat zur Folge, dass auch Cyberkriminelle sich diese neuen Technologien zunutze machen und neu entstehende…

Combined Shape

Bargeldloses Bezahlen, digitaler Impfausweis, Homeoffice, Videokonferenzen oder der digitale Gang zur Behörde sind nur einige Themengebiete, die durch…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Unser neuer Podcast widmet sich einem wichtigen Thema: der Schwachstellenanalyse in Unternehmen.

Combined Shape

Obwohl die E-Mail-Sicherheit im Unternehmen gerade mit SPF, DKIM und DMARC verstärkt wurde, kam es zu einem raffinierten Phishing-Angriff. Ein…

Combined Shape

Unser aktueller Podcast beleuchtet den folgenschweren Cyberangriff auf die Krankenhäuser in Herford, Rheda-Wiedenbrück und Bielefeld.

Combined Shape

Sara sitzt vor ihrem Computer, fest entschlossen, endlich online einen Termin für ihren neuen Personalausweis zu vereinbaren...

Combined Shape

Voller Vorfreude, sein neues Auto mit individuellem Wunschkennzeichen anzumelden, besucht Carsten die Online-Zulassungsstelle...

Combined Shape

Die EU-Whistleblowing-Richtlinie wurde mit dem Hinweisgeberschutzgesetz (HinSchG) in nationales Recht umgewandelt.

Combined Shape

Im hektischen Betrieb an einem Montag in der IT-Abteilung eines Unternehmens durchbrach das Telefonläuten die augenblickliche Arbeit. Der…

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In der neuen Folge unseres Podcasts "audatis DIALOG" geht es um das spannende Thema: die Zukunft von Cyberversicherungen.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um eine mögliche Phishing-Attacke trotz…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Allianz Risk Barometer 2022 und die Top…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ werden die Ransomwareangriffe auf Unternehmen der Gruppe REvil…

Combined Shape

26.04.2022 Podcast | Cybersecurity

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die möglichen Risiken bei der Nutzung von Kaspersky.

Combined Shape

In der neuen Folge geht es um das auf Cyber-Security Lösungen spezialisierte Unternehmen "Mandiant", welches kürzlich von Google gekauft wurde.

Combined Shape

In der neuen Folge geht es um die Erstellung von Audit-Programmen.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

In der neuen Folge geht es um Cyber-Versicherungen für Unternehmen.

Combined Shape

11.01.2022 Podcast | Cybersecurity

In der neuen Folge geht es um die Cyber Security Trends für das Jahr 2022.

Combined Shape

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Ransomware-Angriffe.

Combined Shape

Nach unserer Sommerpause starten wir den mit der ersten Folge der neuen Reihe zum Thema Sicherheit der Cloud und wie diese durch Schwachstellen…

Combined Shape

Die Anzahl der Cyberangriffe auf Unternehmen nehmen zu.

Combined Shape

In der neuen Folge geht es um die Sicherheit bei der WLAN-Nutzung und den daraus resultierenden Gefahren für Unternehmen und Mitarbeiter im…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Entschließung der EU zur digitalen Verschlüsselung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Sicherheit in der Software-Lieferkette.

Combined Shape

08.12.2020 Podcast | Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Phishing.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um das Internet der Dinge (IoT).

Combined Shape

23.06.2020 Podcast | Update-News, Datenschutz, Cybersecurity

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenschutz und IT-Sicherheit bei der App-Entwicklung.

Combined Shape