Banken-Erpressergruppe DD4BC geschnappt

Die Hackergruppe DD4BC hatte unter anderem auch deutsche Banken erpresst. Die Masche  der Hacker war immer gleich: bei den Opfern gingen Erpresserschreiben per Mail ein, in denen ein Betrag in der CyberwĂ€hrung Bitcoins gefordert wurde. Sollte der benannte Betrag nicht auf dem beschriebenen Weg transferriert werden, drohten die Erpresser einen DDoS-Angriff an. zur Untermauerung der Ernsthaftigkeit wurde schon einmal vorab ein kĂŒrzerer DDoS-Angriff verĂŒbt.

Eine Beschreibung des Vorgehens und der beeindruckenden “Einnahmenentwicklung” der Hackergruppe wurde vom Frankfurter Unternehmen Link11 GmbH erstellt.

Das Angriffsszenario von DD4BC habe ich im vergangen Jahr auch als Grundlage fĂŒr DrehbĂŒcher von KrisenstabsĂŒbungen herangezogen. Das realitĂ€tsgetreue Szenario hat sich sehr gut fĂŒr KrisenstabsĂŒbungen geeignet und war eine Herausforderung fĂŒr die Krisenstabsmitglieder.

Europol hat nun, wie heise berichtet, mit PolizeikrÀften aus mehreren europÀischen Staaten VerdÀchtige der Hackergruppe DD4BC in Bosnien und Herzegowina gefasst.

Jetzt ist diesem Spuk von DD4BC hoffentlich ein Ende gesetzt, doch das bestens funktionierende GeschĂ€ftsmodell  der Cyber-Erpressung wird uns weiter in Atem halten. Die neue Bedrohung firmiert mit gleichem GeschĂ€ftsmodell unter “Armada Collective”. Gerade kleine und mittlere Unternehmen können dieser Bedrohung kaum etwas entgegensetzen und viele werden im GefĂŒhl der Machtlosigkeit zĂ€hneknirschend die Bitcoins auf den elektronischen Weg bringen, um schnell wieder mit dem Online-Shop Geld verdienen zu können. Genauso wie Privatanwender fĂŒr die EntschlĂŒsselung ihrer Daten auf dem PC nach einer Malware-Attacke zum Portemonnaie greifen, weil die letzte Datensicherung doch schon etwas lĂ€nger zurĂŒckliegt.

Hacker erpressten drei griechische Banken

Drei griechische Banken wurden von der Hackergruppe “Armada Collective” erpresst. Die Webseiten der Banken wurden zunĂ€chst mit einer DDoS-Attacke angegriffen. Danach verlangten die Hacker sieben Millionen US Dollar in Bitcoins von jedem Institut, andernfalls wĂŒrden die Hacker die Webseiten der Banken mit einer erneuten DDoS-Attacke lahmlegen. Die Banken weigerten sich zu bezahlen, kooperierten mit den griechischen Ermittlungsbehörden und hĂ€rteten ihre Systeme gegen die folgenden Angriffe. Die folgenden Attacken der Hacker konnten so erfolgreich abgewehrt werden.

Quelle: Finextra

Dies ist mittlerweile ein “klassisches” Szenario, auf das sich jedes Unternehmen in der IT, dem BCM und Krisenmanagement vorbereiten sollte. Dieses Szenario kann jedes Unternehmen unabhĂ€ngig von GrĂ¶ĂŸe und Branche treffen. Gerade kleine und mittelstĂ€ndische Unternehmen sind besonders gefĂ€hrdet, da die technischen und organisatorischen Abwehrmaßnahmen sowie oftmals auch das erforderliche Know How zum Umgang mit diesen Bedrohungsszenarien nicht vorhanden sind. Es werden dann ein paar tausend Euro bezahlt, um grĂ¶ĂŸere SchĂ€den abzuwenden. FĂŒr die Hacker ist dies daher ein sehr lohnenswertes GeschĂ€ftsmodell, wie in diesem Beitrag der BCM-News bereits dargestellt.

Aktuelles zum IT-Sicherheitsgesetz

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Bereits die ersten EntwĂŒrfe des Gesetzes wurden heftigst diskutiert. Die Spannungskurve ist nach der Verabschiedung allerdings nicht abgesunken, da viele Fragen erst durch Rechtsverordnungen geklĂ€rt und festgelegt werden mĂŒssen. Hierzu gehören die betroffenen Unternehmen und Dienstleistungen wie auch die konkreten Anforderungen aus dem Gesetz. Dass das IT-Sicherheitsgesetz keine langweilige und trockene Angelegenheit wird, zeigte die Veranstaltung der Gesellschaft fĂŒr Informatik zu diesem Thema am vergangenen Freitag in Frankfurt. Trotz Streiks bei der Lufthansa war die Veranstaltung sehr gut besucht. Den Gastgeber Bahn hat dies natĂŒrlich auch sehr gefreut ;-). Weiterlesen…

Ransomware befÀllt das britische Parlament

Nach dem deutschen Bundestag war jetzt auch eine Cyberattacke auf das britische Parlament erfolgreich. Bereits im Mai wurden nach einem Bericht von Security affairs Computer des Parlaments erfolgreich mit Ransomware angegriffen. Die Hacker verlangten Lösegeld fĂŒr die Freigabe der Daten des Computers eines Abgeordneten. GrĂ¶ĂŸerer Schaden durch die Attacke auf streng geheime Daten konnte noch verhindert werden.

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jĂŒngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale GeschĂ€ftsbetrieb muss ja noch gewĂ€hrleistet bleiben und die Unternehmen werden weiter Menschen beschĂ€ftigen, die das schwĂ€chste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case fĂŒr Cyber-Kriminelle hochattraktiv. Mit der VerschlĂŒsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar tĂ€glich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. FĂŒr einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives GeschĂ€ftsmodell ist! Wir mĂŒssen daher davon ausgehen, dass dieses GeschĂ€ftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “GeschĂ€ftsmodell” sind gerade auch kleine und mittelstĂ€ndische Unternehmen.  Die eingeforderten BetrĂ€ge sind fĂŒr die Betroffenen verkraftbar kalkuliert und so ist es auch fĂŒr viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische KalkĂŒl der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz fĂŒr ein sorgloses Leben und Arbeiten können sie nicht gewĂ€hren. Im Zweifel sind die kriminellen besser ausgestattet und technisch ĂŒberlegen.

Daher mĂŒssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity PlĂ€ne fĂŒr diese Szenarien (Bsp. Nicht-VerfĂŒgbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management fĂŒr die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement fĂŒr die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-KriminalitĂ€t mit seinen potentiellen Auswirkungen auf kritische GeschĂ€ftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement mĂŒssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewĂ€ltigen zu können.

Die Angriffe sind mittlerweile so ausgeklĂŒgelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile tĂ€uschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der FĂ€lle das Business weiter lĂ€uft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade fĂŒr diese Szenarien PlĂ€ne nicht ausreichend. Gerade hier gilt ĂŒben, ĂŒben, ĂŒben. Denn die Bedrohungsszenarien Ă€ndern sich laufend genauso wie sich elektronische VertriebskanĂ€le und schĂŒtzenswerte Daten Ă€ndern. WofĂŒr die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss stĂ€ndig geĂŒbt werden, so wie Piloten im Simulator regelmĂ€ĂŸig die Notfallverfahren ĂŒben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias HĂ€mmerle

BSI-Magazin 2015 erschienen

Zum zweiten Mal hat das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) das BSI-Magazin
“Mit Sicherheit” veröffentlicht. Das Magazin richtet sich an alle interessierten BĂŒrgerinnen und
BĂŒrger und gibt Einblicke in ausgewĂ€hlte Projekte des BSI zu Themen der IT- und Cyber-Sicherheit.
In der aktuellen Ausgabe befinden sich unter anderem ein Interview mit dem scheidenden
BSI-PrÀsidenten Michael Hange, BeitrÀge zum IT-Sicherheitsgesetz, zur Modernisierung des
IT-Grundschutzes und zu De-Mail.

https://www.bsi.bund.de/BSI-Magazin

(Quelle: BSI)

 

IT-Sicherheitsgesetz ist verabschiedet

Am vergangenen Freitag, den 12. Juni 2015 wurde das IT-Sicherheitsgesetz im Bundestag verabschiedet. Unter dem Eindruck der erfolgreichen Cyber-Attacken auf das IT-System wurden noch Änderungen am Gesetz vorgenommen.

So gilt das Gesetz jetzt auch fĂŒr Bundesbehörden:

“(1) Das Bundesamt erarbeitet Mindeststandards fĂŒr die Sicherheit der Informationstechnik des Bundes. Das Bundesministerium des Innern kann im Benehmen mit dem IT-Rat diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften fĂŒr alle Stellen des Bundes erlassen. Das Bundesamt berĂ€t die Stellen des Bundes auf Ersuchen bei der Umsetzung und Einhaltung der Mindeststandards. FĂŒr die in § 2 Absatz 3 Satz 2 genannten Gerichte und Verfassungsorgane haben die Vorschriften nach diesem Absatz empfehlenden Charakter.”

Zudem sind VerstĂ¶ĂŸe gegen das IT-Sicherheitsgesetz jetzt strafbewehrt mit einem Maximalbetrag von 100.000 Euro. Dies betrifft die Vorkehrungen fĂŒr die IT-Sicherheit, aber auch die Benennung der Kontaktstelle sowie die Meldepflichten.

Der Gesetzgeber geht nach wie vor davon aus, dass maximal 2.000 Unternehmen als Betreiber kritischer Infrastrukturen vom IT-Sicherheitsgesetz betroffen sein werden:

“Nach aktuellen SchĂ€tzungen wird die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen. Weiterhin wird geschĂ€tzt, dass pro Betreiber maximal sieben Meldungen von IT-SicherheitsvorfĂ€llen pro Jahr erfolgen.”

Die Betreiber kritischer Infrastrukturen sorgen in ErfĂŒllung des Gesetzes fĂŒr

“- die Einhaltung eines Mindestniveaus an IT-Sicherheit,

 

– den Nachweis der ErfĂŒllung durch Sicherheitsaudits,

 

– die Einrichtung und Aufrechterhaltung von Verfahren fĂŒr die Meldung erheblicher IT-SicherheitsvorfĂ€lle an das BSI sowie

 

– das Betreiben einer Kontaktstelle.”

Die Meldepflicht beinhaltet:

„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der VerfĂŒgbarkeit, IntegritĂ€t, AuthentizitĂ€t und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer BeeintrĂ€chtigung der FunktionsfĂ€higkeit der von ihnen betriebenen Kritischen Infrastrukturen 1. fĂŒhren können oder 2. gefĂŒhrt haben, ĂŒber die Kontaktstelle unverzĂŒglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsĂ€chlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten.“

Dass ich das IT-Sicherheitsgesetz nicht ausschließlich auf IT-SicherheitsvorfĂ€lle bezieht, wird aus der Meldepflicht deutlich. Störungen in der VerfĂŒgbarkeit von IT, Komponenten oder Prozessen, die zu einer BeeintrĂ€chtigung der FunktionsfĂ€higkeit von Organisationen fĂŒhren gehören eindeutig in das Aufgabengebiet des Business Continuity Management.

Dies trifft vor allem Unternehmen, die als Betreiber kritischer Infrastrukturen den Anforderungen des IT-Sicherheitsgesetzes entsprechen mĂŒssen und die bislang noch keinen vergleichbaren regulatorischen Anforderungen genĂŒgen mĂŒssen.

“Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten fĂŒhren, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der entstehende Aufwand hĂ€ngt einerseits vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo des Normadressaten ab.

Mit Spannung blicken wir auf die Inhalte der Rechtsverordnung, die den Adressatenkreis der Betreiber kritischer Infrastrukturen regeln wird.

Quellen:

Gesetzesentwurf IT-Sicherheitsgesetz (pdf)

Beschlussempfehlung IT-Sicherheitsgesetz (pdf)

Kritik am IT-Sicherheitsgesetz in der ersten Lesung im Bundestag

Am Freitag, den 20. MĂ€rz 2015 fand im Bundestag die erste Lesung des Entwurf fĂŒr das IT-Sicherheitsgesetz statt. Der Entwurf wurde im Bundestag kontrovers diskutiert. Die Bundesregierung sieht sich mit dem Gesetz als als “Vorbild und Vorreiter der IT-Sicherheit”, so Bundesinnenminister Dr. Thomas de MaiziĂšre. Die Opposition bemĂ€ngelte an dem Entwurf, dass nicht geklĂ€rt ist, welche Unternehmen zu den Kritischen Infrastrukturen gehören. Dies soll im Rahmen von Rechtsverordnungen nach Verabschiedung des Gesetzes geregelt werden. In einer ersten Zahl wurden 2.000 betroffene Unternehmen genannt. Wie viel Substanz diese GrĂ¶ĂŸenordnung hat, wird sich noch zeigen. Nimmt man zum Beispiel alleine die Energie- und Wasserversorger hinzu, wird diese Zahl kaum zu halten sein. Mit dem IT-Sicherheitsgesetz kommt auch eine Meldepflicht fĂŒr SicherheitsvorfĂ€lle bei Unternehmen der Kritischen Infrastrukturen. Welche VorfĂ€lle gemeldet werden mĂŒssen und was mit den gesammelten Daten passiert, ist im Gesetzesentwurf ebenfalls nicht genau geregelt. Der Cyber-Sicherheitsrat hat zudem gar verfassungsrechtliche Bedenken gegenĂŒber dem Gesetzesentwurf: Behörden des Bundes werden von den Pflichten der Kritischen Infrastrukturen nicht erfasst und mĂŒssen demzufolge keine vergleichbare Pflichten zum Schutz vor Cyberattacken leisten. Einig sind sich zumindest alle Parteien, dass AktivitĂ€ten zum Schutz vor Cyber-Attacken dringend nötig sind.

Aus meiner bescheidenen Sicht ist die Definition der Kritischen Infrastrukturen tatsĂ€chlich ein kritischer Erfolgsfaktor fĂŒr die Wirksamkeit des Gesetzes. Die Verlagerung der Definition des Scopes der gesetzlichen Regelungen auf die nachgelagerten Rechtsverordnungen hat zumindest Unsicherheit und Diskussionen erzeugt, die die Verabschiedung des Gesetzes verzögern können. Zur Zeit laufen branchenbezogene Studien zur Definition der kritischen Prozesse fĂŒr die Kritischen Infrastrukturen. Zudem finden GesprĂ€che mit den Branchenvertretern statt. Es gilt auch je Branche die Standards festzulegen, die von den betroffenen Unternehmen einzuhalten sind. Die Lobbyarbeit lĂ€uft sicherlich hinter den Kulissen auf Hochtouren. Die bereits stark regulierten Branchen wie Finanzdienstleister werden mit den Konsequenzen dieses Gesetzes wesentlich leichter umgehen können als Unternehmen, die sich diesen Anforderungen erst neu stellen mĂŒssen. Gerade fĂŒr mittelstĂ€ndische Unternehmen kann dies zu einer Herausforderung werden, aber gerade diese Unternehmen sind auch besonders stark gefĂ€hrdet, ohne dass das Bewusstsein – und Budget – hierfĂŒr immer vorhanden ist. Es besteht Handlungsbedarf und ein erster Schritt muss getan werden. Der Gesetzgeber wĂ€re gut beraten, gerade den mittelstĂ€ndischen Unternehmen auch bessere Hilfsmittel zur Umsetzung an die Hand zu geben. Das Umsetzungsrahmenwerk fĂŒr den BSI 100-4 Standard Notfallmanagement ist ein guter Ansatz in diese Richtung. Mehr davon, kann ich da nur appellieren. Auch der BSI 100-4 hat mittlerweile eine dicke Staubschicht angesammelt. Vorschriften sind das eine, doch darf man gerade kleine und mittelstĂ€ndische Unternehmen bei der Umsetzung nicht alleine lassen – auch wenn wir als Berater den Bedarf natĂŒrlich gerne ganz uneigennĂŒtzig aufgreifen 😉

Spendabler Geldautomat fĂŒhrt zum grĂ¶ĂŸten Cyber-Bankraub der Geschichte

Computerbetrug

Ende 2013 spuckte in Kiew ein Bankomat zeitweise ohne irgendeinen Benutzereingriff Geld aus. ZufĂ€llig vorbeikommende Passanten wurden mit Bargeld reich beschenkt. Als Kaspersky Lab damit beauftragt wurde, diesen Vorfall zu untersuchen, kam einer der grĂ¶ĂŸten Cyber-Attacken auf Banken ans Tageslicht. Über 100 Banken in mehr als 30 Staaten wurden mittels einer Malware angegriffen. Mit Kamera- und Videoaufnahmen wurden die Bankmitarbeiter bei ihren TĂ€tigkeiten ĂŒberwacht. Mit diesem Wissen konnten ĂŒber 300 Millionen Dollar auf fremde Konten transferiert werden.

In der New York Times wird dieser Cyber-Bankraub jetzt ausfĂŒhrlich beschrieben.

Bundeskabinett beschließt IT-Sicherheitsgesetz

Das Bundeskabinett hat heute den Entwurf des Sicherheitsgesetzes verabschiedet. Damit kommt die Meldepflicht fĂŒr IT-SicherheitsvorfĂ€lle und das Bundesamt fĂŒr Sicherheit in der Informationstechnik BSI erhĂ€lt umfassende Kompetenzen und KapazitĂ€ten als Zentralstelle fĂŒr die IT-Sicherheit. Welche Unternehmen und Organisationen als Betreiber kritischer Infrastrukturen dem neuen IT-Sicherheitsgesetz unterliegen, wird eine spannende Frage sein, die Anfang des neuen Jahres in konkreten Verordnungen ausgestaltet werden wird. Die Bundesregierung geht aktuell von rund 2.000 Betreibern der kritischen Infrastruktur aus. Auch die Hersteller von IT-Systemen unterliegen zukĂŒnftig der Aufsichtspflicht des BSI. Der Gesetzesenturf war heftig umstritten. Der Industrie ging er mit den Meldepflichten zu weit, wĂ€hrend Sicherheitsfachleute befĂŒrchten, durch die anonymisierten Meldungen kein vollstĂ€ndiges Lagebild zu erhalten. Die Praxis wird bald zeigen, ob sich der Aufwand fĂŒr die Unternehmen in einem konkreten Sicherheitsgewinn auszahlt.

Teures Nachspiel eines IT-Ausfalls fĂŒr die RBS

2012 fĂŒhrte der IT-Ausfall der Royal Bank of Scotland RBS dazu, dass Millionen Kunden der RBS, NatWest und Ulster Bank tagelang keinen Zugriff auf ihre Konten bekamen. Ursache war ein fehlgeschlagenes Software-Update, sowie ĂŒber Jahre fehlende Investitionen in die Absicherung und Erneuerung der IT-Systeme. In der Folge renovierte die Bank aufwĂ€ndig ihre IT-Systeme. Der Reputationsschaden blieb an der Bank haften. Der direkte finanzielle Schaden belief sich auf rund 175 Millionen Pfund (rund 220 Mio. Euro). Jetzt hat dieser IT-Ausfall ein weiteres Nachspiel: die britische Finanzaufsicht wird eine Strafe in zweistelliger Millionenhöhe fĂŒr den IT-Ausfall erheben.
Quelle: The Guardian

Vertrauliche Kundendaten auf dem PrÀsentierteller

Ja, es ist verfĂŒhrerisch, an öffentlichen PlĂ€tzen mit Mobiltelefon und Laptop seiner Arbeit nachzugehen. Die Folgen sind hier mal wieder zu besichtigen.

2014-11-14 15.25.07
Informationssicherheit im Zug

Zumindest eine Displayschutzfolie fĂŒr das Notebook ist Pflicht. Dienstliche Telefonate fĂŒhre ich im Zug gar nicht. Jedes Mobiltelefon hat eine Mobilbox. Meine Mobilbox wandelt mir die gesprochene Nachrichten aus der Mobilbox in Text um und sendet diesen Text an das Smartphone. So bin ich unterwegs immer informiert und kann auch direkt per E-Mail reagieren, wenn es erforderlich sein sollte. Eine solche App fĂŒr das Smartphone gibt es zum Beispiel beim magentafarbenen Anbieter fĂŒr 99 Cent / Jahr. Sicherheit zum Preis eines Kaugummis!
Viele Dinge können aber noch einen Moment warten, bis ich wieder in einer privaten AtmosphĂ€re bin. Es sind die Daten und Informationen meiner Kunden und diese Kunden mĂŒssen sich darauf verlassen können, dass ich so sorgsam wie irgend möglich mit ihnen umgehe. Dies habe ich sogar vertraglich zugesichert. Hier reden wir nicht von bösen Hackerattacken feindlicher MĂ€chte auf Unternehmensdaten in Hotel-W-Lans, sondern von einer grob fahrlĂ€ssigen Veröffentlichung persönlich anvertrauter Kundendaten!