Salta al contenuto
News Cybersecurity Data breach Principi GDPR

Sanktion des Garante gegen Wind Tre wegen Data Breach durch Social Engineering

Sanktion des Garante gegen Wind Tre wegen Data Breach durch Social Engineering

Auf einen Blick

Der Garante für den Schutz personenbezogener Daten hat Wind Tre S.p.A. aufgrund von zwei im Februar 2025 aufgetretenen Data Breaches sanktioniert. Die Angreifer erlangten mittels Social Engineering-Techniken Zugangsdaten zur Kundenbasis und verletzten so die personenbezogenen Daten von über 365.000 Kunden. Es wurde ein erheblicher Mangel bei der Verwaltung digitaler Zertifikate festgestellt.

Hintergrund

Der Garante für den Schutz personenbezogener Daten hat am 14. Mai 2026 eine Anordnung erlassen und ein Sanktionsverfahren gegen Wind Tre S.p.A. eingeleitet. Die Maßnahme resultierte aus der Prüfung von zwei Data-Breach-Meldungen, die das Unternehmen selbst am 20. Februar 2025 (Aktenzeichen DB008078) und am 28. Februar 2025 (Aktenzeichen DB008140) gemäß Art. 33 der Verordnung (EU) 2016/679 vorgelegt hatte.
Die Ereignisse, die von ähnlicher Art waren und innerhalb weniger Tage in zwei verschiedenen Verkaufsstellen stattfanden, führten zu unbefugten Zugriffen auf die Web Application XX durch Unbekannte. Die Angreifer hatten alle Authentifizierungsfaktoren durch Social Engineering-Techniken erlangt, insbesondere indem sie telefonisch einen Mitarbeiter der Verkaufsstelle kontaktierten und den Fernzugriff auf das Gerät unter dem Vorwand technischer Unterstützung anforderten.
Nach dem ersten Vorfall gelang es den Angreifern, 66 gezielte Abfragen der Wind Tre-Kundenbasis durchzuführen, wodurch die personenbezogenen Daten von etwa 23 Kunden verletzt wurden. Der zweite und umfangreichere Angriff führte zu rund 2 Millionen Anfragen insgesamt, die einer Enumerationslogik folgten, d.h. durch schrittweises Erhöhen der Kunden-ID (sog. „customerId“), wodurch die personenbezogenen Daten von 365.048 Kunden kompromittiert wurden. Die betroffenen Daten umfassen demografische und Kontaktdaten. Darüber hinaus sind für eine Untergruppe von 41.359 Personen auch Daten zu der in den Wind Tre-Systemen registrierten Zahlungsmethode (Postanweisung, IBAN, Kreditkarte mit maskierter PAN und Ablaufdatum) betroffen. Bei der Meldung erläuterte das Unternehmen Maßnahmen wie die Sperrung von Zugangsdaten und den Widerruf des digitalen Zertifikats sowie Sicherheitswarnungen an Händler. Der Garante stellte einen erheblichen Mangel bei der Verwaltung digitaler Zertifikate fest.

Warum es wichtig ist

Diese Anordnung unterstreicht die entscheidende Bedeutung eines robusten Managements der Sicherheit personenbezogener Daten, insbesondere gegen Social-Engineering-Angriffe, wie es die DSGVO fordert. Die Kompromittierung von Zugangsdaten und der unbefugte Zugriff auf sensible Daten, einschließlich Zahlungsmethoden, verdeutlicht die Notwendigkeit, angemessene technische und organisatorische Maßnahmen zum Schutz der verarbeiteten Informationen zu implementieren. Der vom Garante festgestellte Mangel bei der Verwaltung digitaler Zertifikate ist ein Beispiel für eine Schwachstelle, die ausgenutzt werden kann und die unter die Sicherheitsverpflichtungen des Artikels 32 der DSGVO fällt.
Für einen DPO oder einen IT-Verantwortlichen zeigt dieser Fall, dass Sicherheitsrichtlinien auch die Schulung des Personals (zur Erkennung und Bekämpfung von Social Engineering) sowie das strenge Management von Zugriffsrechten und digitalen Zertifikaten umfassen müssen. Die Compliance-Auswirkungen umfassen nicht nur den Datenschutz, sondern auch die korrekte und zeitnahe Benachrichtigung der Betroffenen, wie sie anfänglich mit Schwierigkeiten erfolgte, und die effektive Verwaltung der Kommunikation mit auch nicht mehr aktiven Nutzern.

Was zu tun ist

  • Schulung des Personals, insbesondere der Mitarbeiter in Verkaufsstellen oder im Kundenkontakt, zu den Risiken von Social Engineering und Phishing verstärken, um die Weitergabe von Zugangsdaten und sensiblen Informationen zu verhindern.
  • Verfahren zur Zugriffs- und Zugangsdatenverwaltung, einschließlich des sofortigen Widerrufs bei Kompromittierung oder Verdacht auf Missbrauch, implementieren und regelmäßig überprüfen.
  • Die Verwaltung digitaler Zertifikate verbessern, um sicherzustellen, dass sie korrekt verwendet werden, ihre Schwachstellen überwacht und zeitnah behoben werden und sie bei Vorfällen umgehend widerrufen werden.
  • Die Sicherheitsmaßnahmen für Webanwendungen, die auf Kundendaten zugreifen, bewerten und verstärken, indem anomale Zugriffe wie Enumerationsversuche (sequenzielles Scannen von Identifikatoren) überwacht werden.
  • Sicherstellen, dass die Verfahren zur Meldung von Data Breaches an die Betroffenen wirksam und DSGVO-konform sind, und auch alternative Methoden für ehemalige Kunden oder inaktive Kontakte, wie SMS oder gezielte Benachrichtigungen, vorsehen.

Was zu vermeiden ist

  • Die Risiken von Social-Engineering-Angriffen nicht unterschätzen und sie nicht als geringere Bedrohung im Vergleich zu direkten technischen Angriffen betrachten.
  • Kompromittierte Zugangsdaten oder digitale Zertifikate aktiv auf den Systemen belassen oder ihren Widerruf verzögern.
  • Die Schulung des Personals in Bezug auf Cybersicherheit, insbesondere in Bezug auf Social Engineering und Phishing-Techniken, vernachlässigen.
  • Erhebliche Mängel bei der Verwaltung digitaler Zertifikate aufweisen, wodurch sie zu einem Schwachpunkt in der Sicherheitskette der Organisation werden.

Praktische Auswirkungen

Dieser Fall zeigt, dass eine einzelne Schwachstelle in der Personalschulung oder im technischen Management (z.B. digitale Zertifikate) zu einer weitreichenden Verletzung mit erheblichen Auswirkungen auf die Privatsphäre von Hunderttausenden von Personen führen kann. Organisationen müssen einen ganzheitlichen Sicherheitsansatz verfolgen, der menschliche Schulung mit strengen technischen Maßnahmen und Prozessen zur Schwachstellenverwaltung integriert. Die Unfähigkeit, Daten angemessen zu schützen, kann zu Sanktionen des Garante und schwerwiegendem Reputationsschaden führen, was die Notwendigkeit ständiger Wachsamkeit und Aktualisierung der Abwehrmaßnahmen unterstreicht.

Empfohlene Maßnahmen

  • Eine spezifische Risikobewertung für Social Engineering und Schwachstellen im Management digitaler Zertifikate und Zugangsdaten durchführen.
  • Interne Richtlinien und Verfahren für das Zugriffsmanagement und die Sicherheit von Verkaufsstellen, externen Partnern oder öffentlichen Schnittstellen aktualisieren.
  • In Überwachungslösungen investieren, um anomale Zugriffsmuster wie Enumerationsversuche oder Zugriffe von ungewöhnlichen Standorten zu erkennen.
  • Die Incident-Response-Pläne und Data-Breach-Meldungs-Verfahren, einschließlich der Kommunikation mit den Betroffenen, regelmäßig testen und deren Wirksamkeit und Vollständigkeit überprüfen.

Zu vermeidende Fehler

  • Sicherheitsprotokolle nicht aktualisieren, um neuen Bedrohungen wie der Entwicklung von Social-Engineering-Techniken Rechnung zu tragen.
  • Sich auf rein technische Sicherheitsmaßnahmen zu beschränken, ohne den menschlichen Faktor und die Notwendigkeit von Schulung und Sensibilisierung zu berücksichtigen.
  • Den Widerruf kompromittierter Zugangsdaten oder digitaler Zertifikate verzögern, selbst bei geringstem Verdacht.
  • Sich im Falle eines Data Breach ausschließlich auf generische Mitteilungen an die Betroffenen zu verlassen, ohne direkte und gezielte Benachrichtigungen zu versuchen.

Fragen zur Selbsteinschätzung

  • Ist unser Personal angemessen geschult, um Social-Engineering- und Phishing-Angriffe zu erkennen und darauf zu reagieren?
  • Sind unsere Verfahren zur Verwaltung digitaler Zertifikate und Zugangsdaten robust, werden sie regelmäßig überprüft und streng angewendet?
  • Sind wir in der Lage, anomale Zugriffe oder Enumerationsversuche auf unsere Kundendatenbanken oder kritischen Anwendungen zeitnah zu erkennen und zu blockieren?
  • Sind unsere Pläne zur Reaktion auf Data Breaches wirksam, und ist die Kommunikation mit den Betroffenen schnell und vollständig, auch für ehemalige Kunden oder Nutzer mit veralteten Kontaktdaten?

Verweise

Nationales Recht: Regolamento (UE) 2016/679 (GDPR) art. 33 · Regolamento (UE) 2016/679 (GDPR) art. 58 par. 2 · d.lgs. 196/2003 (Codice Privacy) art. 166 comma 5

Zum Originalartikel auf garanteprivacy.it ↗

Lesen Sie auch