Betrügerische DSAR-Erkennung

What Is Betrügerische DSAR-Erkennung?

Betrügerische DSARs sind Zugriffsanfragen betroffener Personen, die von Angreifern gestellt werden, die sich als legitime Personen ausgeben, um personenbezogene Daten von Organisationen zu extrahieren. Hierbei handelt es sich um eine zunehmende Social-Engineering-Taktik, die das Recht auf Privatsphäre gegen genau die Menschen ausnutzt, die es schützen soll. Artikel 12 Absatz 6 der DSGVO gibt Organisationen das Recht, Anfragen abzulehnen, die „offensichtlich unbegründet oder übertrieben“ sind. Sie müssen jedoch wissen, wie Sie zwischen einer legitimen Anfrage und einem Angriff unterscheiden können. Diese Übung stellt Ihnen mehrere eingehende DSARs vor, von denen einige echt und andere betrügerisch sind. Sie prüfen jede Anfrage auf Warnsignale: Inkonsistenzen in der behaupteten Identität des Antragstellers, Dringlichkeitsformulierungen, die eine schnelle Einhaltung erzwingen sollen, Anfragen, die sich an bestimmte Personen mit hohem Stellenwert richten, und Kontaktdaten, die nicht mit vorhandenen Datensätzen übereinstimmen. Das Szenario testet Ihre Fähigkeit, eine verhältnismäßige Identitätsprüfung durchzuführen, ohne Hindernisse zu schaffen, die legitime Antragsteller abschrecken. In realen Fällen haben Angreifer gestohlene Teilzugangsdaten wie Geburtsdatum und Adressfragmente verwendet, um grundlegende Identitätsprüfungen zu bestehen. Sie üben den Eskalationsprozess, wenn eine Anfrage verdächtig erscheint, und erfahren, wie Sie die Antwort verzögern können, ohne die 30-Tage-Frist zu verletzen, indem Sie eine zusätzliche Überprüfung anfordern. In der Übung geht es auch darum, wie Sie Ihre Begründung dokumentieren, wenn Sie einen Antrag als offensichtlich unbegründet ablehnen. Dies in beide Richtungen falsch zu machen, ist kostspielig: Durch die Bearbeitung einer betrügerischen Anfrage werden personenbezogene Daten preisgegeben, während die fälschliche Ablehnung einer legitimen Anfrage behördliche Beschwerden nach sich zieht.

What You'll Learn in Betrügerische DSAR-Erkennung

• Identifizieren Sie Warnsignale in DSAR-Einsendungen, die auf Social Engineering oder Identitätsdiebstahl hinweisen
• Wenden Sie angemessene Verfahren zur Identitätsprüfung an, die Betrug aufdecken, ohne legitime Antragsteller zu belasten
• Nutzen Sie die Gründe gemäß Artikel 12 Absatz 6 DSGVO korrekt, wenn Sie offensichtlich unbegründete oder übermäßige Anträge ablehnen
• Schritte zur Dokumentenüberprüfung und Ablehnungsbegründung, um der Prüfung durch die Aufsichtsbehörde standzuhalten
• Eskalieren Sie verdächtige DSARs über die entsprechenden internen Kanäle und wahren Sie dabei die Reaktionszeit von 30 Tagen

Betrügerische DSAR-Erkennung — Training Steps

1. Einführung

   Heute erfahren Sie, wie Angreifer die DSGVO-Vorschriften ausnutzen, um durch betrügerische DSARs personenbezogene Daten zu stehlen.

2. Die dringende Bitte

   Alice beginnt ihren Morgen damit, den DSAR-Posteingang zu überprüfen. Unter den üblichen Anfragen erregt eine E-Mail aufgrund ihres aggressiven Tons und der dringenden Betreffzeile sofort ihre Aufmerksamkeit. Die E-Mail soll angeblich von „Marcus Thompson“ stammen, fordert innerhalb von 24 Stunden alle personenbezogenen Daten und droht mit rechtlichen Schritten.

3. Rote Flagge – Falsche Zeitleiste

   Alice bemerkt sofort, dass mit dieser Anfrage etwas nicht stimmt. Der Absender behauptet, PrivacyFirst müsse innerhalb von 24 Stunden antworten und droht mit rechtlichen Schritten. Aber Alice erinnert sich aus ihrer DSGVO-Schulung daran, dass der tatsächliche Reaktionszeitplan anders ist.

4. Rote Flagge – Persönliche E-Mail

   Alice bemerkt ein weiteres verdächtiges Element: Die Anfrage kam von einer persönlichen Gmail-Adresse und nicht von einer Firmen- oder zuvor registrierten E-Mail-Adresse. Das ist ungewöhnlich für jemanden, der behauptet, ein bestehender Kunde zu sein.

5. Rote Flagge – Aggressiver Ton

   Die bedrohliche Sprache und die rechtlichen Drohungen in der E-Mail sollen Alice einschüchtern und unter Druck setzen, schnell zu handeln, ohne ordnungsgemäße Überprüfungsverfahren einzuhalten. Diese emotionale Manipulation ist eine klassische Social-Engineering-Taktik.

6. Verifizierungsprotokoll

   Trotz des aggressiven Tons weiß Alice, dass sie die richtigen Verifizierungsverfahren befolgen muss. Die Übermittlung personenbezogener Daten an einen nicht verifizierten Antragsteller würde selbst eine Datenschutzverletzung im Sinne der DSGVO darstellen. Ihr erster Schritt besteht darin, zu überprüfen, ob Marcus Thompson in der Kundendatenbank vorhanden ist, und die hinterlegte E-Mail-Adresse zu überprüfen.

7. Suche nach Kundendatensätzen

   Alice greift auf die Kundendatenbank zu, um nach Marcus Thompson zu suchen. Wenn es sich um einen echten Kunden handelt, wird in seinem Datensatz die registrierte E-Mail-Adresse angezeigt, sodass sie überprüfen kann, ob der DSAR vom tatsächlichen Kontoinhaber stammt.

8. Kritische Entdeckung

   Die Kundensuche bringt wichtige Informationen zum Vorschein: Marcus Thompson IST ein echter Kunde, aber seine registrierte E-Mail-Adresse lautet m.thompson@techcorp.com – völlig anders als die Gmail-Adresse, die den DSAR gesendet hat. Dies bestätigt Alices Verdacht: Jemand versucht, sich als echter Kunde auszugeben, um dessen Daten zu stehlen.

9. Einleitung der ordnungsgemäßen Überprüfung

   Gemäß dem Unternehmensprotokoll sendet Alice nun eine Verifizierungsanfrage an den ECHTEN Marcus Thompson unter Verwendung seiner registrierten E-Mail-Adresse m.thompson@techcorp.com – und nicht der in der verdächtigen Anfrage angegebenen Adresse. Dadurch wird sichergestellt, dass nur der tatsächliche Kunde seine Identität überprüfen kann.

10. Betrüger schlägt bei der Überprüfung fehl

    Die Verifizierungsanfrage an m.thompson@techcorp.com erhält eine verwirrte Antwort vom ECHTEN Marcus Thompson, der bestätigt, dass er nie eine DSAR-Anfrage gestellt hat. In der Zwischenzeit sendet der Angreifer immer aggressivere Folge-E-Mails an den DSAR-Posteingang und verlangt, zu erfahren, warum die Daten nicht gesendet wurden.