Datenschutzverletzungen mögen bedrohlich erscheinen: Sie machen jeden Tag Schlagzeilen und versetzen uns in einen ständigen Zustand der Besorgnis. Doch der Schuldige ist nicht immer ein großes, furchterregendes Datenmonster, das es auf uns abgesehen hat – manchmal liegt der Fehler bei unseren eigenen schwachen Passwörtern. Tatsächlich werden 80 % der Datenschutzverletzungen durch kompromittierte, schwache und wiederverwendete Passwörter verursacht.
Einerseits kommen wir uns bei solchen Nachrichten alle ein bisschen dumm vor. Andererseits ist es sehr ermutigend zu wissen, dass wir Cyberkriminellen immer einen Schritt voraus sein können – selbst wenn unsere einzige Waffe ein gutes Passwort ist.
In dieser Reihe von Beiträgen zum Datenschutz haben wir einige wichtige Bereiche der Cybersicherheit behandelt, vom Passwortschutz über die Browsersicherheit bis hin zu Tipps zum Schutz deiner Online-Daten. Die Gefahr, in eine Datenschutzverletzung involviert zu werden, ist eine ständige Sorge. Deshalb zeigen wir dir hier, wie du sie ganz einfach vermeiden kannst.
In diesem Artikel besprechen wir:
Was eine Datenschutzverletzung eigentlich ist.
Jüngste Datenschutzverletzungen.
Wie und warum es zu Datenschutzverletzungen kommt.
Was du tun kannst, um sie zu verhindern.
Was ist eine Datenschutzverletzung?
Eine Datenschutzverletzung ist ein Ereignis, bei dem vertrauliche und geschützte Informationen enthüllt, kopiert, verwendet oder unbefugt entwendet werden. Ein Beispiel wäre der Diebstahl deiner Kreditkartendaten oder deiner Sozialversicherungsnummer. In größerem Umfang können Großkonzerne unbeabsichtigt Millionen von Benutzerpasswörtern an Cyberkriminelle weitergeben. Sind die Daten erst einmal durchgesickert, gibt es keine Möglichkeit, deren Verbreitung und Nutzung zu kontrollieren.
Von Krankenhäusern bis hin zu Gaming-Foren – deine Daten werden an verschiedenen Orten gespeichert. Obwohl wir darauf vertrauen, dass diese Institutionen unsere Daten schützen, geht oft etwas schief. Hacker versuchen immer einen Schritt voraus zu sein, was die Sicherheit von Geräten und Unternehmen angeht. Die FaceID des iPhones kann in weniger als 120 Sekunden gehackt werden, ein schwaches Passwort kann in Millisekunden geknackt werden, und sogar dein Babyphone ist gefährdet.
Die größten Datenschutzverletzungen des Jahres 2019
Fortnite. Eine ungesicherte Internetseite machte über 200 Millionen Nutzer angreifbar.
Verifications.io. Die Marketingagentur hatte keine Sicherheitsvorkehrungen getroffen, um ihre gigantische Verbraucherdatenbank zu schützen. Der Sicherheitsexperte Bob Diachenko meldete den Vorfall, der dazu führte, dass die Datenbank abgeschaltet wurde. Sie enthielt die Namen, Geburtsdaten und Wohnadressen der Nutzer.
Facebook. 540 Millionen Nutzerkennungen, Kontonamen, Likes und Kommentare, die auf einem öffentlich zugänglichen Server einer Drittanbieter-App offengelegt wurden.
Capital One. Laut The New York Times ist es einer Angestellten gelungen, 80.000 Bankkontonummern, 140.000 Sozialversicherungsnummern und Millionen von Kreditkartenanträgen zu stehlen. Das Ergebnis: Sie verursachte 300 Millionen Dollar Schulden bei einer der vertrauenswürdigsten Banken der Welt.
Die größten Datenschutzverletzungen des Jahres 2020
Marriott International. Hacker verschafften sich mit den Anmeldedaten von zwei Mitarbeitern Zugang zu einer App eines Drittanbieters, die für Gästeservices genutzt wird, und enthüllten so private Informationen von 5,2 Millionen Marriott-Gästen. Zu den veröffentlichten Daten gehörten Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und mehr.
Drizly. Das Online-Alkohol-Lieferdienst-Startup Drizzly meldete einen Verstoß, der die persönlichen Daten von mehr als 2,5 Millionen Drizly-Konten betraf. Zu den aufgedeckten Informationen gehörten gehashte Passwörter, E-Mail-Adressen und Geburtsdaten.
Microsoft. Eine Kundensupport-Datenbank mit über 280 Millionen Microsoft-Kundendatensätzen wurde ungeschützt ins Internet gestellt. Die angegriffene Datenbank enthielt IP-Adressen, E-Mail-Adressen und Details zu Supportfällen.
T-Mobile. Eine unbekannte Anzahl sensibler Kundendaten wurde nach einem Angriff auf die Lieferkette über ein E-Mail-Konto eines T-Mobile-Mitarbeiters abgegriffen und veröffentlicht. Zu den privaten Daten gehörten Namen, Adressen, Sozialversicherungsnummern, Informationen über Finanzkonten und amtliche Identifikationsnummern sowie Telefonnummern.
Die größten Datenschutzverletzungen des Jahres 2021
Facebook. Persönliche Informationen von über 533 Millionen Facebook-Nutzern aus 106 Ländern wurden in einem Hacking-Forum kostenlos online gestellt. Zu den abgegriffenen Daten gehörten Telefonnummern, Namen, Standort, E-Mail-Adressen und biografische Informationen.
Reverb. Die Datenbank eines beliebten Online-Marktplatzes für Musikzubehör wurde geknackt und anschließend ins Dark Web gestellt. Die betroffene Datenbank enthielt persönliche Daten von über 5,6 Millionen Nutzern, darunter Namen, Telefonnummern, PayPal-Kontodaten und IP-Adressen.
MeetMindful. Die Dating-Plattform wurde von einem berüchtigten Hacker geknackt, der die Kontodaten und persönlichen Informationen seiner Nutzer offenlegte. Die Daten von mehr als 2,28 Millionen Nutzern enthielten Namen, E-Mails, Dating-Vorlieben, Familienstand, Geburtsdaten, IP-Adressen, Facebook-User-IDs und Facebook-Authentifizierungstoken.
Twitch. Auf der beliebten Live-Streaming-Plattform fand ein massiver Verstoß statt. Mehr als 100 GB an geleakten Daten wurden auf 4chan online gestellt. Zu den von den Hackern erbeuteten Daten gehörten der Quellcode von Twitch, interne Sicherheitsprotokolle und die Einkommensdaten vieler beliebter Streamer.
Die größten Datenschutzverletzungen des Jahres 2022
Crypto.com. Am 17. Januar 2022 wurde die Website der Kryptowährung-Börse Opfer eines Angriffs, von dem fast 500 Wallets der Nutzer betroffen waren. Den Hackern, die hinter dem Angriff steckten, gelang es, Bitcoin im Wert von 18 Millionen Dollar und Ethereum im Wert von 15 Millionen Dollar zu erbeuten.
Okta. Im März wurde das Authentifizierungsunternehmen Opfer eines Verstoßes, der von einer berüchtigten Hackergruppe namens Lapsus$ verübt wurde. Okta meldete den Einbruch und erklärte, dass etwa 2,5 % seiner Kunden von dem Einbruch betroffen waren.
Red Cross. Das Internationale Komitee vom Roten Kreuz meldete einen Cyberangriff auf seine Server, bei dem sich die Angreifer unbefugt Zugang zu großen Mengen persönlicher Daten verschafft haben. Den Angreifern gelang es, Informationen wie Namen, Standorte und Kontaktdaten von über 515.000 Menschen in die Hände zu bekommen.
Wie entstehen Datenschutzverletzungen?
Schwache Passwörter und gestohlene Anmeldedaten. Am einfachsten und am häufigsten werden deine Daten durch Erraten deiner Passwörter gestohlen.
Hintertüren, die in Apps und Software im Allgemeinen offen gelassen werden. Schlecht geschriebene Apps können mit Sicherheitslücken übersät sein, die das perfekte Schlupfloch für Hacker sind. Wenn sie erst einmal drin sind, können sie deine Daten erbeuten.
Malware. Das ist Software, die ohne Absicht durch Phishing-E-Mails oder den Besuch illegaler Websites heruntergeladen wird.
Insider-Jobs. Ähnlich wie bei Capital One gehören die Mitarbeiter zu den größten Bedrohungen der Datensicherheit. Stell dir vor, 50.000 Mitarbeiter haben täglich direkten Zugang zu Millionen von Nutzerdaten. Irgendwann taucht ein faules Ei auf, dessen Folgen für das Unternehmen und seine Kunden katastrophal sein können.
Was solltest du von einem Unternehmen erwarten, das Opfer eines Sicherheitsverstoßes geworden ist?
Wenn eine der von dir genutzten Online-Plattformen oder Dienstleister angegriffen wird, kannst du von ihnen einige Maßnahmen zur Minimierung der Risiken erwarten, die damit verbunden sind, dass deine persönlichen Daten in die falschen Hände geraten.
Als Erstes sollte die betroffene Organisation die Nachricht von einem Verstoß melden und alle relevanten Informationen offenlegen: Datum der Verletzung, betroffene Systeme, betroffene Nutzer und die Art der verletzten Daten.
Du solltest auch wissen, wie das betroffene Unternehmen mit der Situation umgehen wird. Als einen der ersten Schritte solltest du erwarten, dass der Verstoß vollständig eingedämmt wird und zusätzliche Sicherheitsmaßnahmen ergriffen werden. Oftmals geben die betroffenen Unternehmen offizielle Erklärungen ab, in denen sie beschreiben, was zu erwarten ist. Halte also nach offiziellen Erklärungen die Augen offen.
Die gute Nachricht mit einer Prise Salz
Es gibt nicht viele Gelegenheiten, bei denen der Begriff "Silberstreifen" auf große Begeisterung stößt. Wir glauben aber, dass es einen gibt. Datenschutzverletzungen dieses Ausmaßes schaffen ein massives öffentliches Bewusstsein und können bei positiver Kanalisierung zu großen Änderungen der Datenschutzgesetze führen. Unternehmen werden anfangen, ihre Sicherheitsgürtel enger zu schnallen, während Menschen wie du und ich uns selbst ermächtigen werden, unsere Sicherheit ernster zu nehmen. In der Tat boomt die Zukunft der Cybersicherheit. In den letzten fünf Jahren ist die Zahl der Stellenangebote im Bereich Cybersicherheit um 74 % gestiegen, wobei die Ausgaben bis zum Jahr 2024 eine Billion US-Dollar erreichen werden.
Hunderte von apps und Tools wurden entwickelt, um dich im Internet zu schützen, ganz zu schweigen von den vielen Tipps, die du nutzen kannst, wenn du in Schwierigkeiten gerätst. Wenn du glaubst, dass du von einem Datenschutzverstoß betroffen bist, solltest du Folgendes tun:
Dein Reaktionsplan auf Datenschutzverletzungen – eine kurze Checkliste
Bestätige den Verstoß. Websites wie Haveibeenpwned.com prüfen deine E-Mail-Adresse, um herauszufinden, ob du von einem Datenschutzverstoß betroffen warst. Du kannst das Unternehmen auch anrufen oder eine E-Mail schreiben, um herauszufinden, ob deine Daten betroffen waren.
Finde heraus, welche Informationen missbraucht wurden. Gestohlene Kreditkarten- und Kontodaten können zwar ersetzt und geändert werden, eine neue Sozialversicherungsnummer ist jedoch schwieriger zu bekommen. Wenn du weißt, welche Daten kompromittiert wurden, kommst du den Hackern auf die Spur. Wenn beispielsweise deine Kartendaten missbraucht wurden, weißt du, dass dasselbe auch für dein E-Mail-Konto gilt.
Verwende einen Passwort-Generator für maximale Sicherheit. Zufällige Passwörter wie MUK7GDj<Hax~nM8E sind bekanntermaßen schwer zu knacken und würden Jahrtausende dauern, wenn man es versuchen würde.
Verwende einen Passwort-Manager. Ein Passwortmanager erfüllt zwei wichtige Aufgaben:
Er merkt sich alle deine Passwörter für dich, sodass du lange, komplexe und hackersichere Passwörter erstellen kannst.
Er speichert deine Passwörter verschlüsselt an einem separaten Ort. Somit werden deine Passwörter niemals in deinem Browser, auf deinem Gerät oder in deinen Apps offenbart.
Die Sicherung deiner Passwörter ist eine der einfachsten Möglichkeiten, deine Internetsicherheit zu erhöhen, denn sie sind in der Regel der erste Angriffspunkt für Cyberkriminelle.
Die wichtigsten Erkenntnisse
Cybersicherheit in die eigenen Hände zu nehmen, muss keine entmutigende Aufgabe sein. Da fast jeder Bereich unseres Lebens einen Online-Bezug hat, ist es nicht sinnvoll, über unsere eigene Sicherheit nachzudenken? Vor allem, bevor es zu spät ist.
Tatsächlich gerät die Cybersicherheit in großen und vielbeschäftigten Unternehmen oft in den Hintergrund. Wenn ein Datenschutzverstoß vorliegt, besteht der übliche Aktionsplan darin, das Vertrauen der Nutzer wiederherzustellen – und die Ursache für den Verstoß zu ermitteln. Oft wird ein Verstoß erst Monate später entdeckt oder gemeldet.
Das ist bedauerlich, aber der Schaden bleibt meist bei den Nutzern hängen. Deshalb ist es wichtig, dass du deine Passwörter sicher machst. Zwar gibt es immer neuere, leistungsfähigere Verschlüsselungstechnologien, aber es ist das Risiko nicht wert, davon auszugehen, dass sich jeder so sehr um die Sicherheit kümmert wie du. Zusammenfassend lässt sich sagen, dass du die ultimative Macht über deine Sicherheit im Internet hast, und wir sind einzig und allein dazu da, dir dabei zu helfen. Deshalb haben wir NordPass entwickelt – einen einfachen, praktischen Passwortmanager, der die Sicherheit im Internet wieder in die Hände der Menschen legt.