Definition und Arten von Datenverletzungen
Eine Datenverletzung oder ein Datenleck ist ein Sicherheitsereignis, bei dem geschützte Daten von Unbefugten eingesehen oder an Unbefugte weitergegeben werden. Eine Datenverletzung unterscheidet sich von einem Datenverlust, bei dem aufgrund eines Hardwarefehlers, einer Löschung oder einer anderen Ursache nicht mehr auf Daten zugegriffen werden kann. Zu den geschützten Daten können Informationen über einzelne Kunden oder Mitarbeiter gehören, wie z. B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsinformationen, Zahlungskarteninformationen und Sozialversicherungsnummern. Es kann sich auch um Unternehmensinformationen oder geistiges Eigentum (IP) handeln, wie z. B. Geschäftsgeheimnisse, Details über Fertigungsprozesse, Lieferanten- und Kundendaten, Informationen über Fusionen und Übernahmen oder Daten über Gerichtsverfahren oder andere Rechtsstreitigkeiten.
Datenverletzungen sind nicht immer beabsichtigt. Benutzer können versehentlich geschützte Daten an die falsche E-Mail-Adresse senden oder sie auf die falsche Freigabe hochladen; tatsächlich sind Fehler für 17 % der Verstöße verantwortlich, so der bekannte Verizon’s 2018 Data Breach Investigation Report. Der Bericht stellte jedoch fest, dass die meisten Verstöße vorsätzlich und finanziell motiviert sind. Während verschiedene Methoden verwendet werden, um Zugang zu sensiblen Daten zu erlangen, sind laut dem Verizon-Bericht 28 % der Verstöße auf Insider zurückzuführen. Organisationen in jeder Branche sind potenzielle Ziele.
Die verschiedenen Quellen definieren unterschiedliche Arten von Datenschutzverletzungen. Hier gruppiere ich sie nach der Hauptursache:
- Cyber-Attacken – Hacker nutzen Malware, Phishing, Social Engineering, Skimming und ähnliche Techniken, um an geschützte Informationen zu gelangen.
- Diebstahl oder Verlust von Geräten – Laptops, Smartphones, USB-Sticks und andere Datenspeichermedien können verloren, gestohlen oder unsachgemäß entsorgt werden. Wenn sie geschützte Informationen enthalten und diese in die falschen Hände geraten, ist das eine Datenverletzung.
- Datendiebstahl oder Datenleck durch Mitarbeiter – Mitarbeiter, insbesondere solche, die bald ausscheiden, könnten absichtlich und in böser Absicht auf geschützte Informationen zugreifen, ohne dazu berechtigt zu sein.
- Menschliche Fehler. Fehler passieren, und Menschen sind nachlässig. Mitarbeiter senden geschützte Daten versehentlich an die falsche Person, laden sie auf öffentliche Freigaben hoch oder konfigurieren die Server, auf denen sie gespeichert sind, falsch.
Lessons learned from the three of the world’s biggest data breaches
Wer: Yahoo
Wann es passierte: Eine Reihe von Datenschutzverletzungen in den Jahren 2013 und 2014
Wann wurde es bekannt: 2016
Das Ausmaß der Verletzung: Im Jahr 2016 schätzte Yahoo, dass über 1 Milliarde Nutzerkonten bei der Sicherheitsverletzung von 2014 kompromittiert worden sein könnten. Später, im Jahr 2017, gab das Unternehmen zu, dass alle 3 Milliarden seiner Nutzerkonten gehackt worden waren.
Details: Bei den Verstößen wurden Details zu den Nutzerkonten gestohlen, wie E-Mail-Adressen, Telefonnummern, gehashte Passwörter, Geburtsdaten und in einigen Fällen Antworten auf Sicherheitsfragen. Glücklicherweise wurden keine Zahlungsinformationen, wie Kreditkartennummern oder Bankkontodaten, gestohlen. Die erste Sicherheitslücke, die 2016 öffentlich bekannt wurde, ereignete sich im Jahr 2014 und betraf etwa 500 Millionen Nutzer. Einige Monate später gab Yahoo einen weiteren Verstoß bekannt, der sich 2013 ereignete und nach eigenen Angaben über 1 Milliarde Nutzerkonten betraf. Es dauerte fast ein Jahr, bis das Unternehmen den Vorfall untersuchte und bekannt gab, dass wahrscheinlich alle 3 Milliarden Benutzerkonten von der Sicherheitsverletzung im Jahr 2013 betroffen waren.
Auswirkungen: Im Jahr 2016, als die ersten beiden Ankündigungen von Sicherheitsverletzungen Schlagzeilen machten, befand sich Yahoo mitten in den Verhandlungen über einen Kaufvertrag mit Verizon. Aufgrund dieser Entdeckung senkte Verizon sein Angebot für die Yahoo-Anlagen um 350 Millionen Dollar. Darüber hinaus wurde das Unternehmen mit etwa 43 Sammelklagen konfrontiert.
Lessons learned: Die Untersuchung der Sicherheitsverletzung von 2014 hat gezeigt, dass das Sicherheitsteam und die Führungskräfte von Yahoo sofort wussten, dass einige Benutzerkonten gehackt worden waren, und sie haben einige Abhilfemaßnahmen ergriffen, einschließlich der Kontaktaufnahme mit den Benutzern, deren Konten vermutlich betroffen waren. Sie haben es jedoch versäumt, weitere Untersuchungen durchzuführen, um die Angelegenheit vollständig zu verstehen. Hätte Yahoo die Sicherheitsverletzung von 2014 ordnungsgemäß und umgehend untersucht, wäre das Unternehmen möglicherweise früher auf die Sicherheitsverletzung von 2013 aufmerksam geworden, möglicherweise bevor die Nutzerdaten auf dem Schwarzmarkt verkauft wurden. Die wichtigste Lektion hier ist, bei der Untersuchung keine Kompromisse einzugehen, auch wenn ein Vorfall scheinbar klein ist. Untersuchen Sie gründlich, um vollständig zu verstehen, was passiert ist, wie es passiert ist und welche Daten betroffen waren, damit Sie die negativen Auswirkungen minimieren und ähnliche Vorfälle in der Zukunft verhindern können.
Wer: Equifax
Wann ist es passiert: Mitte Mai 2017
Wann wurde es bekannt gegeben: September 2017
Der Umfang der Sicherheitsverletzung: 147,9 Millionen US-amerikanische Verbraucher
Details: Hacker verschafften sich Zugang zu bestimmten Dateien mit Sozialversicherungsnummern, Geburtsdaten, Adressen, Führerscheinnummern und anderen persönlichen Informationen. Bei 209.000 Verbrauchern wurden auch die Daten ihrer Kreditkarten offengelegt. Eine Untersuchung des U.S. General Accounting Office führte den Angriff auf das Versäumnis des Unternehmens zurück, bekannte bewährte Sicherheitspraktiken anzuwenden, sowie auf das Fehlen interner Kontrollen und routinemäßiger Sicherheitsüberprüfungen; insbesondere nutzte der Angriff eine Software-Schwachstelle auf einem einzelnen, dem Internet zugewandten Webserver aus, die Equifax nicht gepatcht hatte.
Auswirkungen: Die Sicherheitsverletzung beeinträchtigte den Aktienkurs des Unternehmens und der CEO, CIO und CSO von Equifax traten kurz nach Bekanntgabe der Sicherheitsverletzung zurück. Die Sicherheitslücke trug auch dazu bei, dass einige Staaten, darunter Kalifornien, strengere Datenschutzbestimmungen verabschiedeten.
Lessons learned: Um zu vermeiden, dass Ihrem Unternehmen Ähnliches widerfährt, sollten Sie diese Sicherheitsgrundlagen nicht vergessen:
- Kennen Sie Ihre Anlagen und führen Sie eine regelmäßige Bestandsaufnahme durch.
- Software regelmäßig aktualisieren und patchen.
- Klassifizieren Sie Ihre Daten und sichern Sie sie entsprechend ihrer Sensibilität.
- Archivieren oder löschen Sie nicht mehr benötigte Daten rechtzeitig.
Wer: Uber
Wann geschah es: 2016
Wann wurde es bekannt: 2017
Der Umfang der Sicherheitsverletzung: Die persönlichen Daten von 57 Millionen Uber-Nutzern und 600.000 Fahrern
Details: Ende 2016 erfuhr Uber, dass Hacker die Namen, E-Mail-Adressen und Handynummern von 57 Millionen Nutzern der Uber-App sowie die Führerscheinnummern von 600.000 Uber-Fahrern erlangt hatten. Die Hacker waren in der Lage, auf das GitHub-Konto von Uber zuzugreifen, wo sie die Anmeldedaten für das Amazon Web Services (AWS)-Konto von Uber fanden. Uber erfuhr von dem Verstoß im Jahr 2016, als die Hacker Geld forderten, um ihre Kopie der Daten zu löschen; Uber ging schließlich ein Jahr später mit dem Verstoß an die Öffentlichkeit.
Folgen: Der Bruch soll Uber teuer zu stehen gekommen sein, sowohl was den Ruf als auch das Geld angeht. Als die Sicherheitslücke bekannt wurde, lag die Bewertung von Uber bei 68 Milliarden Dollar und das Unternehmen stand in Verhandlungen, um einen Anteil an Softbank zu verkaufen. Als der Deal im Dezember abgeschlossen wurde, war die Bewertung auf 48 Milliarden Dollar gesunken. Nicht der gesamte Rückgang ist auf die Sicherheitslücke zurückzuführen, aber Analysten halten sie für einen wichtigen Faktor. Der CEO von Uber und der Direktor für Sicherheit und Strafverfolgung wurden beide gefeuert, und auch der CSO wurde entlassen. Der Vergleich belief sich auf 148 Millionen Dollar.
Lessons learned: Wenn Sie Cloud-Repositories verwenden, stellen Sie Folgendes sicher, um das Risiko eines ähnlichen Vorfalls zu minimieren:
- Wissen Sie, welche Informationen Sie in öffentlichen Repositories speichern, und speichern Sie dort keine unnötigen Daten.
- Konfigurieren Sie Ihre Cloud-Repositories richtig.
- Setzen Sie starke Sicherheitskontrollen für Ihre Cloud-Repositories durch.
Die größten Datenschutzverletzungen der Welt auf einen Blick:
Firmenname | Was ist passiert | Umfang der Datenschutzverletzung | Lessons learned |
---|---|---|---|
Yahoo | Yahoo hat es versäumt, eine gründliche Untersuchung durchzuführen, um den Verstoß von 2014 vollständig zu verstehen. Das Ergebnis war, dass sie erst 2016 das wahre Ausmaß dieses Verstoßes herausfanden. | 3 Milliarden Konten | Machen Sie es zu einer Priorität, gründlich zu untersuchen, wenn Sie auch nur einen Hinweis auf einen Vorfall haben. |
Equifax | Die Hacker nutzten ungepatchte Software auf einem einzigen Webserver mit Internetanschluss. | 147,9 Millionen Konten | – Kennen Sie Ihre Anlagen und führen Sie eine regelmäßige Bestandsaufnahme durch. – Aktualisieren und patchen Sie Software regelmäßig. – Klassifizieren Sie Daten und sichern Sie sie entsprechend ihrer Sensibilität. – Archivieren oder löschen Sie nicht mehr benötigte Daten rechtzeitig. |
Uber | Die Hacker konnten auf den GitHub-Account von Uber zugreifen, wo sie die Zugangsdaten für den Amazon Web Services (AWS)-Account von Uber fanden. | 57 Millionen Uber-Benutzer und 600.000 Fahrer | – Wissen Sie, welche Informationen Sie in öffentlichen Repositories speichern, und speichern Sie dort keine unnötigen Daten. – Konfigurieren Sie Ihre Cloud-Repositories richtig. – Setzen Sie starke Sicherheitskontrollen für Ihre Cloud-Repositories durch. |
Folgen von Datenschutzverletzungen
Die Folgen einer Datenschutzverletzung sind oft schwerwiegend und können in vier Schlüsselbereichen lang anhaltende Auswirkungen haben:
- Finanziell. Unternehmen sehen sich in der Regel mit erheblichen finanziellen Verlusten konfrontiert, einschließlich behördlicher Geldstrafen und Vergleichszahlungen. Oft sehen sie auch einen Rückgang ihrer Bewertung, wie in den Fällen von Yahoo und Uber. Und sie können zukünftige Einnahmen verlieren, insbesondere wenn geistiges Eigentum verletzt wird, da dies oft zum Verlust von Wettbewerbsvorteilen und Marktanteilen führt.
- Rechtlich. Wann immer ein Verstoß irgendeine Art von persönlichen Daten betrifft, sind Unternehmen wahrscheinlich mit Sammelklagen konfrontiert. In einigen Fällen können Behörden Unternehmen verbieten, bestimmte Operationen durchzuführen, wie es Heartland im Januar 2009 passierte, als es als nicht konform mit PCI DSS eingestuft wurde und bis Mai 2009 keine Zahlungen mit großen Kreditkartenanbietern abwickeln durfte.
- Reputationsschäden. Es kann schwierig sein, abzuschätzen, wie viel Schaden eine Sicherheitsverletzung dem Ruf eines Unternehmens zufügt, aber der Schaden ist oft lang anhaltend. Außerdem können einzelne Führungskräfte entlassen oder zum Rücktritt gezwungen werden, um den Schaden zu mindern.
- Betrieblich. Datenverletzungen stören oft den normalen Betrieb, insbesondere während des Untersuchungsprozesses. Darüber hinaus beinhalten einige Datenschutzverletzungen den vollständigen Verlust wichtiger Daten, was besonders schmerzhaft ist, da es Zeit kostet, die Daten zu replizieren.
Risikofaktoren für Datenschutzverletzungen
Nach der 2018 Cost of Data Breach Study des Ponemon Institute liegen die durchschnittlichen Kosten einer Datenschutzverletzung in den USA bei 7,91 Millionen US-Dollar und die durchschnittliche Anzahl der verletzten Datensätze bei 31.465 – also 251 US-Dollar pro Datensatz. Es ist also ratsam, einen Teil Ihrer Sicherheitsbemühungen in die Risikominimierung von Datenschutzverletzungen zu investieren.
Um das Risiko einer Datenschutzverletzung zu reduzieren, müssen Sie verstehen, woher das Risiko kommt. Es gibt zwei Hauptrisikofaktoren: Menschen und Geräte. Einigen Personen muss der Zugang zu regulierten oder sensiblen Informationen gewährt werden; Sie können nicht einfach allen den Zugang zu den Daten verwehren. Aber ihre absichtlichen oder versehentlichen Handlungen können zu einer Datenverletzung wertvoller Unternehmensdaten führen. Wie wir gesehen haben, können sie Fehler machen, wie z. B. das Senden von Informationen an die falsche E-Mail-Adresse oder das Hochladen auf eine ungesicherte Freigabe, und sie können ihren Zugang auch absichtlich nutzen, um wichtige Daten zum finanziellen Vorteil zu stehlen oder das Unternehmen zu sabotieren. Darüber hinaus können Benutzer Opfer eines Identitätsdiebstahls werden, bei dem jemand anderes ihre Anmeldedaten erfährt und ihre Benutzeridentität übernimmt, um Zugriff auf Daten zu erhalten.
Der andere große Risikofaktor sind Geräte, insbesondere tragbare Geräte, auf denen sensible Daten gespeichert werden können, und mobile Geräte, die für den Zugriff auf Unternehmensnetzwerke und -ressourcen verwendet werden. Diese Geräte gehen oft verloren oder werden gestohlen, und es kann schwierig sein, Sicherheitskontrollen auf diese Geräte auszuweiten. Andere Geräte stellen ebenfalls ein ernsthaftes Risiko dar, wenn Software nicht rechtzeitig gepatcht wird oder sie falsch konfiguriert sind.
Vorbeugung und Reaktion auf Datenschutzverletzungen
Cyberkriminelle entwickeln ständig neue Techniken und Strategien, was es schwierig macht, vorherzusagen, wie genau sie ihren nächsten Angriff auf Ihre sensiblen Daten durchführen werden. Nichtsdestotrotz gibt es Dinge, die Sie tun können, um das Risiko einer Datenverletzung zu minimieren. In diesem Blog habe ich mich entschieden, das NIST Cybersecurity Framework zu verwenden, um grundlegende Schritte zu skizzieren, die Ihnen helfen können, Datenverletzungen zu verhindern:
- Identifizieren Sie Cybersecurity-Risiken für Ihre Daten. Der 2018 Netwrix IT Risks Report fand heraus, dass 70 % der Unternehmen mindestens einmal eine Risikobewertung durchgeführt haben, aber nur 33 % der Unternehmen bewerten ihre IT-Risiken mindestens einmal im Jahr neu. Allerdings entwickeln sich sowohl Cyber-Bedrohungen als auch Ihre IT-Umgebung ständig weiter – Menschen, Software, Hardware, mobile Geräte und Cloud-Plattformen verändern sich ständig. Um neue Risiken zu entdecken und diese zum Schutz Ihrer Daten abzumildern, müssen Sie mindestens einmal im Jahr eine Informationsrisikobewertung durchführen.
Nur 33 % der Unternehmen führen mindestens einmal im Jahr eine Neubewertung ihrer IT-Risiken durch
- Schützen Sie Ihre Daten durch die Implementierung geeigneter Schutzmaßnahmen. Wenn Sie nicht sicher sind, wo Sie anfangen sollen, können Sie sich immer an einem der Dokumente zur Einhaltung von Vorschriften orientieren. Sie können einiges über Datensicherheitskontrollen lernen, insbesondere aus Vorschriften, die sich ausschließlich auf Datensicherheit und Datenschutz konzentrieren, wie die GDPR. Eine weitere nützliche Quelle ist die Liste der CIS-Kontrollen, die vom Center for Internet Security erstellt wurde und auf dem neuesten Stand gehalten wird. Da dies ein großes Thema ist, werde ich nur drei grundlegende Schutzmaßnahmen erwähnen, die Ihre Datensicherheit erheblich verbessern können:
- Verschlüsselung – Laut der Ponemon-Studie ist der zweitwichtigste Faktor, der die Gesamtkosten einer Datenverletzung reduziert, die Verschlüsselung. Es ist eine einfache, aber oft vernachlässigte Möglichkeit, Ihre Daten zu sichern. Selbst wenn sie gestohlen oder verletzt werden, sind richtig verschlüsselte Daten für böswillige Akteure nutzlos; sie können sie nicht verkaufen oder gegen Sie oder die Personen, deren Daten sie gestohlen haben, verwenden.
- Data Access Governance – Regelmäßige Privilegienbescheinigungen und Datenzugriffsüberwachung reduzieren Ihre Angriffsfläche und helfen Ihnen, abnormale Aktivitäten in einem frühen Stadium zu erkennen.
- Mitarbeiterschulung und -bewusstsein – Der Netwrix-Bericht zeigt, dass 50 % der Datenschutzverletzungen reguläre Benutzer betreffen. Wenn Sie Ihre Sicherheitsrichtlinien klar kommunizieren und Ihren Mitarbeitern beibringen, wie sie Angriffe erkennen und darauf reagieren können, verringern Sie das Risiko einer Datenverletzung.
- Ermöglichen Sie die rechtzeitige Erkennung von Cybersecurity-Ereignissen, die Ihre Daten bedrohen. Laut Verizon bleiben 68 % der Datenschutzverletzungen monatelang oder sogar länger unbemerkt. Kein Wunder, dass die Erkennung einer der beiden Top-Bereiche ist, die die Teilnehmer der Netwrix-Umfrage zu IT-Risiken verbessern wollen, um das Risiko von Datenschutzverletzungen zu minimieren. Eine wirklich gute Quelle, die dabei helfen kann, ist die MITRE ATT&CK-Wissensdatenbank, die detailliert die Anzeichen beschreibt, auf die Sie achten müssen, um Angriffe zu erkennen.
62% der Befragten gaben an, dass sie geeignete Aktivitäten entwickeln und implementieren müssen, um das Auftreten eines Cybersecurity-Ereignisses zu erkennen
- Sie müssen darauf vorbereitet sein, angemessen zu reagieren, wenn eine Datenverletzung entdeckt wird. Erstellen Sie einen Reaktionsplan und kommunizieren Sie diesen klar, damit jeder im Unternehmen weiß, an wen er sich wenden und was er im Falle einer Datenverletzung tun muss. Nehmen Sie in Ihren Plan ein Benachrichtigungsverfahren auf, das auf die Vorschriften abgestimmt ist, denen Ihr Unternehmen unterliegt. Erinnern Sie sich an die Lektion aus den Yahoo-Verletzungen – führen Sie eine gründliche Untersuchung durch, um vollständig zu verstehen, was passiert ist, wie es passiert ist, welche Daten betroffen sind und was getan werden muss, um ähnliche Vorfälle in Zukunft zu verhindern.
- Seien Sie in der Lage, Daten, Systeme und Dienste wiederherzustellen, die bei einer Datenverletzung gestohlen oder zerstört wurden. Verfügen Sie über einen Wiederherstellungsplan und testen und verbessern Sie diesen regelmäßig.
Fazit
Diese grundlegenden Maßnahmen können ein guter Ausgangspunkt sein, um das Risiko einer Datenverletzung zu reduzieren. Allerdings muss jede von ihnen gründlich analysiert und auf die Besonderheiten des Geschäfts Ihres Unternehmens übertragen werden. Hier sind einige Dinge, die Ihnen bei diesem Prozess helfen können:
- Machen Sie keine Alleingänge. Suchen Sie nach Lösungen, die Ihnen dabei helfen, so viele Aufgaben wie möglich zu automatisieren, damit Sie und Ihr Team sich auf strategisch wichtige Aktivitäten konzentrieren können.
- Suchen Sie nach neuen Cybersicherheitsentwicklungen in verschiedenen Branchen und wenden Sie diejenigen an, die am besten zu Ihrem Unternehmen zu passen scheinen.