Datenpanne: Definition und Ursachen

Solche Nachrichten sind uns natürlich immer ein bisschen peinlich. Andererseits ist es ein enormer Motivationsschub zu wissen, dass wir Cyberkriminellen immer einen Schritt voraus sein können – selbst wenn unsere einzige Waffe ein gutes Passwort ist.

In dieser Serie von Beiträgen zum Datenschutz haben wir einige wichtige Bereiche der Cybersicherheit behandelt, vom Passwortschutz und der Browsersicherheit bis hin zu Ratschlägen, wie Sie Ihre Online-Informationen schützen können. Eine Datenpanne ist eine ständige Bedrohung, und deshalb zeigen wir Ihnen, wie Sie dies ganz einfach vermeiden können.

In diesem Artikel sprechen wir über:

• Was eine Datenpanne eigentlich ist.

• Die letzten bekannten Datenpannen.

• Wie und warum es zu Datenpannen kommt.

• Was Sie tun können, um sie zu verhindern.

Was ist eine Datenpanne?

Eine Datenpanne ist ein Vorfall, bei dem vertrauliche und geschützte Informationen enthüllt, kopiert, verwendet oder ohne Genehmigung entwendet werden. Ein Beispiel könnte der Diebstahl Ihrer Kreditkartendaten oder Ihrer Sozialversicherungsnummer sein. In größerem Umfang kann es passieren, dass riesige Unternehmen Millionen von Benutzerkennwörtern ungewollt Cyberkriminellen zugänglich machen. Wenn Daten erst einmal durchgesickert sind, gibt es keine Möglichkeit, ihre Verbreitung und Verwendung zu kontrollieren.

Von Krankenhäusern bis hin zu Spieleforen – Ihre Daten werden an verschiedenen Orten gespeichert. Obwohl wir darauf vertrauen, dass diese Institutionen unsere Daten schützen, geht oft etwas schief. Hacker werden stets versuchen, der Sicherheit von Geräten und Unternehmen einen Schritt voraus zu sein. Die FaceID des iPhones kann in weniger als 120 Sekunden gehackt werden, ein schwächeres Passwort kann in Millisekunden geknackt werden, und sogar Ihr Babyphone ist gefährdet.

Die wichtigsten Datenpannen des Jahres 2019

• Fortnite. Eine ungesicherte Webseite machte über 200 Millionen Benutzer angreifbar.

• Verifications.io. Die Marketing-Agentur hatte keine Sicherheitsmaßnahmen getroffen, um ihre gigantische Datenbank mit Verbraucherdaten zu schützen. Der Sicherheitsexperte Bob Diachenko meldete den Vorfall, woraufhin die Datenbank vom Netz genommen wurde. Sie enthielt die Namen, Geburtsdaten und Wohnadressen der Benutzer.

• Facebook. 540 Millionen Benutzer-IDs, Kontonamen, Likes und Kommentare konnten über einen öffentlich zugänglichen Server der Drittanbieter-App.

• Capital One eingesehen werden. Laut der New York Timesist es einer Mitarbeiterin gelungen, 80.000 Bankkontonummern, 140.000 Sozialversicherungsnummern und Millionen von Kreditkartenanträgen zu stehlen. Das Ergebnis: Sie hat bei einer der vertrauenswürdigsten Banken der Welt 300 Millionen Dollar Schulden angehäuft.

Die wichtigsten Datenpannen des Jahres 2020

• Marriott International. Hacker verschafften sich Zugang zu einer App eines Drittanbieters, die zur Bereitstellung von Gästeservices verwendet wird, indem sie die Anmeldedaten von zwei Mitarbeitern nutzten und so die privaten Informationen von 5,2 Millionen Marriott-Gästen enthüllten. Zu den preisgegebenen Daten gehörten die Namen der Gäste, E-Mail-Adressen, Telefonnummern, Geburtsdaten und mehr.

• Drizly. Das Online-Alkoholversand-Startup Drizly meldete eine Datenpanne, der die persönlichen Daten von mehr als 2,5 Millionen Drizly-Konten betraf. Zu den preisgegebenen Informationen gehörten gehashte Kennwörter, E-Mail-Adressen und Geburtsdaten.

• Microsoft. Eine Kunden-Support-Datenbank mit über 280 Millionen Microsoft-Kundendaten stand ungeschützt im Internet. Die angegriffene Datenbank enthielt IP-Adressen, E-Mail-Adressen und Details zu Supportfällen.

• T-Mobile. Eine unbekannte Anzahl von sensiblen Kundendaten wurde nach einem Supply-Chain-Angriff über ein E-Mail-Konto eines T-Mobile-Mitarbeiters abgerufen und veröffentlicht. Zu den privaten Daten gehörten Namen, Adressen, Sozialversicherungsnummern, Informationen über Finanzkonten und staatliche Identifikationsnummern sowie Telefonnummern.

Große Datenpannen 2021

• Facebook. Die persönlichen Daten von über 533 Millionen Facebook-Nutzern aus 106 Ländern wurden in einem einfachen Hacking-Forum kostenlos online gestellt. Die gescrapten Daten enthielten Telefonnummern, Namen, Standorte, E-Mail-Adressen und biografische Informationen.

• Reverb. Die Datenbank eines beliebten Online-Marktplatzes für Musikequipment wurde gehackt und die Daten wurden dann im Darknet veröffentlicht. Die betroffene Datenbank enthielt persönliche Daten von mehr als 5,6 Millionen Nutzern, darunter die Namen, Telefonnummern, PayPal-Kontoinformationen und IP-Adressen der Nutzer.

• MeetMindful. Die Dating-Plattform wurde von einem berüchtigten Hacker gehackt und die Kontodaten und persönlichen Informationen ihrer Nutzer wurden offengelegt. Zu den Informationen gehörten Details von mehr als 2,28 Millionen Nutzern, die Namen, E-Mails, Dating-Präferenzen, Familienstand, Geburtsdaten, IP-Adressen, Facebook-Benutzer-IDs und Facebook-Authentifizierungs-Token enthielten.

• Twitch. Die beliebte Live-Streaming-Plattform wurde Opfer einer massiven Datenpanne. Mehr als 100 GB an durchgesickerten Daten wurden auf 4chan online gestellt. Zu den Daten, die die Hacker erlangt und weitergegeben haben, gehörten der Quellcode von Twitch, interne Sicherheitsprotokolle und die Einkommensdaten vieler beliebter Streamer.

Die wichtigsten Datenpannen 2022

• Crypto.com. Am 17. Januar 2022 wurde die Kryptowährungsbörse Opfer eines Angriffs, der auf die Geldbörsen von fast 500 Benutzern abzielte. Die Hacker, die hinter dem Angriff stecken, konnten 18 Millionen Dollar an Bitcoin und 15 Millionen Dollar an Ethereum stehlen.

• Okta. Im März wurde das Authentifizierungsunternehmen Opfer eines Angriffs, der von einer berüchtigten Hackergruppe namens Lapsus$ durchgeführt wurde. Okta meldete die Datenpanne und gab bekannt, dass etwa 2,5 % seiner Kunden von der Sicherheitsverletzung betroffen waren.

• Rotes Kreuz. Das Internationale Komitee vom Roten Kreuz meldete einen Cyberangriff, der auf seine Server abzielte und bei dem es gelang, sich unbefugten Zugang zu großen Mengen personenbezogener Daten zu verschaffen. Die Angreifer waren in der Lage, Informationen wie Namen, Standorte und Kontaktdaten von über 515.000 Personen in die Hände zu bekommen.

Was sind die Ursachen für Datenpannen?

1. Schwache Passwörter und gestohlene Anmeldedaten. Der einfachste und gängigste Weg, Ihre Daten zu stehlen, ist einfach Ihre Passwörter zu erraten.

2. Sicherheitslücken in Apps und Software im Allgemeinen. Schlecht geschriebene Anwendungen können mit Sicherheitslücken gespickt sein, die ein perfektes Einfallstor für Hacker sind. Sobald sie drin sind, gehören Ihre Daten ihnen.

3. Malware. Dabei handelt es sich um Software, die ohne Absicht durch Phishing-E-Mails oder den Besuch illegaler Websites heruntergeladen wurde.

4. Insider-Jobs. Ähnlich wie bei Capital One gehören die Mitarbeiter zu den größten Bedrohungen für die Datensicherheit. Stellen Sie sich vor, 50.000 Mitarbeiter hätten jeden Tag direkten Zugriff auf Millionen von Benutzerdaten. Irgendwann taucht ein schwarzes Schaf auf, und die Folgen für das Unternehmen und seine Kunden können verheerend sein.

Was sollten Sie von einem Unternehmen erwarten, bei dem eine Sicherheitslücke aufgetreten ist?

Bei einer Datenpanne auf einer von Ihnen genutzten Online-Plattformen oder einem Dienstanbieter sollten Sie erwarten, dass diese alles tun, um das Risiko zu minimieren, dass Ihre personenbezogenen Daten in die falschen Hände geraten.

Zunächst sollte sich das betroffene Unternehmen melden und alle relevanten Informationen offenlegen: Datum, betroffene Systeme, betroffene Benutzer und die Art der betroffenen Daten.

Sie sollten auch wissen, wie das betroffene Unternehmen mit der Situation umgehen wird. Einer der ersten Schritte, die Sie erwarten sollten, ist die vollständige Eindämmung des Datenlecks und die Einführung zusätzlicher Sicherheitsmaßnahmen. Oft geben betroffene Organisationen offizielle Stellungnahmen ab, um zu erläutern, mit welchen Folgen zu rechnen ist. Halten Sie also Ausschau nach offiziellen Erklärungen.

Die guten Nachrichten sollten Sie mit Vorsicht genießen

Es gibt nicht viele Gelegenheiten, bei denen der Begriff „Silberstreif“ auf große Begeisterung stößt. Aber glauben Sie uns, wenn wir sagen, dass es ganz sicher einen gibt. Datenpannen dieses Ausmaßes schaffen ein massives öffentliches Bewusstsein und können, wenn sie positiv kanalisiert werden, zu großen Änderungen im Datenschutzrecht führen. Organisationen werden anfangen, ihre Sicherheitsvorkehrungen zu verstärken, und Menschen wie Sie und ich werden selbst die Verantwortung für unsere Sicherheit übernehmen. In der Tat boomt das Geschäft mit der Cybersicherheit. Angesichts der Tatsache, dass die Zahl der offenen Stellen im Bereich Cybersicherheit in den letzten fünf Jahren um 74 % gestiegen ist und die Ausgaben bis 2024 voraussichtlich 1 Billion US-Dollar erreichen werden, kann man nur optimistisch bleiben.

Hunderte von Apps und Tools wurden entwickelt, um Sie online zu schützen, ganz zu schweigen von den Tipps, die Sie nutzen können, wenn Sie in Schwierigkeiten geraten. Wenn Sie glauben, dass Ihre Daten gehackt wurden, gehen Sie wie folgt vor:

Ihr Reaktionsplan auf Datenpannen – eine kurze Checkliste

1. Verifizieren Sie das Datenleck. Mit Websites wie Haveibeenpwned.com können Sie Ihre E-Mail-Adresse überprüfen, um festzustellen, ob Sie von einer Datenpanne betroffen sind. Sie können das Unternehmen auch anrufen oder eine E-Mail schicken, um sich zu vergewissern, ob Ihre Daten betroffen waren.

2. Finden Sie heraus, welche Informationen missbraucht wurden. Während gestohlene Kreditkarten und Kontodaten ersetzt und geändert werden können, ist es schwieriger, eine neue Sozialversicherungsnummer zu erhalten. Wenn Sie wissen, was kompromittiert wurde, sind Sie auf der Spur des Hackers. Wenn zum Beispiel Ihre Kartendaten kompromittiert wurden, wissen Sie, dass dies auch für Ihr zugehöriges E-Mail-Konto gilt.

3. Verwenden Sie einen Passwort–Generator für maximale Sicherheit. Zufällige Passwörter wie MUK7GDj<Hax~nM8E sind extrem schwer zu hacken und selbst wenn man es versuchen würde, würde es Jahrtausende dauern.<Hax~nM8E are notoriously hard to hack and would take millennia for those willing to try.

4. Verwenden Sie einen Passwort-Manager. Ein Passwort-Manager erfüllt zwei wichtige Aufgaben:

   • Es merkt sich alle Ihre Kennwörter für Sie, damit Sie lange, komplexe und hackersichere Kennwörter erstellen können.

   • Es bewahrt Ihre Kennwörter verschlüsselt an einem separaten Ort auf. Das bedeutet, dass Ihre Passwörter niemals in Ihrem Browser, auf Ihrem Gerät oder in Ihren Apps auftauchen werden.

   • Die Sicherung Ihrer Passwörter ist eine der einfachsten Möglichkeiten, Ihre Online-Sicherheit zu erhöhen, da dies in der Regel der erste Angriffspunkt für Cyberkriminelle ist.

Das Fazit

Die Cybersicherheit selbst in die Hand zu nehmen, muss keine schwierige Aufgabe sein. Da fast jeder Bereich unseres Lebens auch online stattfindet, ist es da nicht an der Zeit, über unsere eigene Sicherheit nachzudenken? Vor allem, bevor es zu spät ist.

Die Realität ist, dass die Cybersicherheit in großen und geschäftigen Unternehmen oft in den Hintergrund tritt. Wenn es zu einer Datenpanne kommt, besteht der übliche Aktionsplan darin, das Vertrauen der Nutzer wiederherzustellen – und die Ursache zu ermitteln. Manchmal wird eine Datenpanne erst Monate später entdeckt oder gemeldet.

Es ist bedauerlich, aber der Schaden wird in der Regel dem Benutzer überlassen, der ihn beheben muss. Deshalb ist es unerlässlich, Ihre Passwörter abzusichern. Es gibt zwar neuere, leistungsfähigere Verschlüsselungstechnologien, aber es ist zu riskant anzunehmen, dass sich jeder genauso um Ihre Sicherheit sorgt wie Sie. Sie haben die ultimative Macht über Ihre Online-Sicherheit, und wir sind lediglich dazu da, Ihnen dabei zu helfen, dieses Ziel zu erreichen. Deshalb haben wir NordPass entwickelt – einen einfachen, komfortablen Passwortmanager, der die Online-Sicherheit wieder in die Hände der Menschen legt.