Was ist ein Datenleck?

Zunächst sollten wir klären, was ein Datenleck ist. Kurz gesagt, handelt es sich hierbei um einen Sicherheitsvorfall, im Zuge dessen private Informationen für Personen ohne Zugriffsrechte offengelegt werden. In einem solchen Szenario werden die Daten von Personen gestohlen, unabsichtlich übermittelt oder absichtlich weitergegeben. Kompromittierte Daten können in digitaler (elektronische Dateien) oder physischer Form (Dokumente, Briefe, Bilder oder Geräte) vorhanden sein. Allerdings muss zwischen Datenlecks und Datenschutzverletzungen unterschieden werden.

Datenleck vs. Datenschutzverletzung: Worin besteht der Unterschied?

Obgleich die beiden Begriffe manchmal synonym verwendet werden, weisen sie grundlegende Unterschiede auf. Beide Erscheinungsformen führen zum selben Ergebnis – der unerlaubten Offenlegung von Daten. Was sie unterscheidet ist die Ursache.

Datenlecks sind meist auf unzureichende Sicherheitsmaßnahmen oder unabsichtliche Handlungen zurückzuführen. In der Regel steckt hinter Datenlecks keine böswillige Absicht, sondern menschliches Versagen. Sicherheitsforscher bei vpnMentor befassen sich schon seit Jahren mit offenen Datenbanken. Im Jahr 2020 lag eines der bedeutsamsten Untersuchungsergebnisse vor: Die Forscher entdeckten, dass die Smartphone-App Key Ring einen falsch konfigurierten Amazon S3-Bucket zum Speichern von 44 Millionen Datensätzen verwendet hatte. Diese umfassten Kopien von Ausweisen, Versicherungsdaten, Führerscheinen und Kreditkarten. Auch wenn keine böswilligen Akteure davon Notiz genommen hatten und das Unternehmen die Datenbank rechtzeitig schließen konnte, wird der Vorfall trotzdem als Datenleck gewertet.

Im Unterschied dazu werden Datenschutzverletzungen absichtlich herbeigeführt. Bei einer Datenschutzverletzung verschaffen sich Cyberkriminelle Zugriff auf eine Datenbank und die darin enthaltenen geheimen und sensiblen Informationen. Bewährte Taktiken, die im Zuge einer Datenschutzverletzung Anwendung finden, sind z. B. DDoS-Angriffe, Einschleusen von Schadsoftware (Malware) und Methoden des Social Engineering, die die Abwehrsysteme des betroffenen Unternehmens lahmlegen. Ob Datenschutzverletzung oder Datenleck – das Ergebnis ist ein ähnliches. Was aber beim Datenleck fehlt, ist die betrügerische Absicht.

Arten von Datenlecks

Möchten Sie ein Datenleck möglichst schnell aufspüren, müssen Sie sich mit den verschiedenen Vorfällen und Strategien befassen, die ein solches herbeiführen können.

• Menschliches Versagen

  Ein unbeabsichtigtes Datenleck kann durch etwas so Banales wie eine vertrauliche E-Mail, die an die falsche Adresse gesendet wird, entstehen. Auch eine öffentlich zugängliche Kundendatenbank oder ein verloren gegangenes Gerät mit wertvollen Informationen werden als Datenlecks eingestuft. Die sich daraus ergebenden Konsequenzen sind jedoch davon abhängig, wer die E-Mail erhalten oder eine Hintertür gefunden hat, durch die der Zugriff möglich wird. Manche Personen löschen so eine E-Mail sofort, andere kommen aber womöglich auf abwegige Gedanken.

• Betrügereien und Systempannen

  Manchmal versuchen Personen, Schwachstellen in Ihrem Sicherheitssystem ausfindig zu machen, um sich Gewissheit zu deren Existenz zu verschaffen. Dabei kann es sich etwa um veraltete Software oder Systemfehler handeln. Solche Personen werden Ihr System aus einem Hinterhalt angreifen. Sie werden ein Schlupfloch finden, über das sie auf Informationen zugreifen, die für Außenstehende eigentlich nicht zugänglich sind. Wieder andere bedienen sich raffinierter Social-Engineering-Methoden, mit denen sie die perfekte Umgebung für ein Datenleck kreieren.

• Absichtliches Datenleck

  Obgleich Datenlecks per se nicht auf einer böswilligen Absicht beruhen, können sie trotzdem vorsätzlich initiiert werden. Dazu kann es z. B. kommen, wenn sich ein Mitarbeiter Zugriff auf Geschäftsgeheimnisse oder Nutzerdaten verschafft, um aus deren Verkauf Profit zu schlagen. Auch ein Whistleblower, der Vorgänge im eigenen Unternehmen moralisch nicht vertreten kann, kann durch die Veröffentlichung firmeninterner Informationen ein Datenleck verursachen. In beiden Fällen sind sich die Mitarbeiter über ihr Handeln bewusst und versuchen in der Regel anonym zu bleiben, da sie als undichte Stelle im Unternehmen agieren.

Welche Daten sind gefährdet?

Für die Betroffenen sind Datenlecks ein Debakel, für Cyberkriminelle aber eine großartige Chance, um mit sensiblen Daten beträchtliche Gewinne zu erzielen. Letztere haben es vor allem auf persönliche Daten wie Namen, Adresse, Sozialversicherungsnummer und Kreditkarteninformationen abgesehen. Diese Daten können in der Folge z. B. für einen Identitätsdiebstahl oder Geldwäsche verwendet werden. Gestohlene Anmeldedaten werden häufig in Datenbanken mit kompromittierten Passwörtern zusammengefasst und anschließend im Dark Web verkauft.

Für böswillige Akteure, die ein bestimmtes Unternehmen schädigen möchten, sind persönliche Daten erst der Anfang. Häufig greifen sie auch sensible Unternehmensinformationen, wie interne Nachrichten oder strategische Pläne, ab. Auch Betriebsgeheimnisse und geistiges Eigentum, wie etwa proprietärer Quellcode oder proprietäre Software, haben solche Akteure auf dem Radar.

Daten sind in der heutigen Zeit von unschätzbarem Wert. Die stetig steigende Zahl der Cyberangriffe muss Unternehmen zum Ergreifen verstärkter Sicherheitsmaßnahmen bewegen, damit ein wirksamer Schutz von Firmendaten gewährleistet werden kann.

Wie werden die durchgesickerten Daten verwendet?

Haben sich Hacker erst einmal Zugriff auf offengelegte oder gestohlene Daten verschafft, können sie diese entsprechend ihren Zielen instrumentalisieren. Im Folgenden sind einige Vorgehensweisen beschrieben, die zeigen, wie offengelegte Daten zweckentfremdet werden.

Social Engineering

Bei offengelegten Daten handelt es sich häufig um persönliche Informationen wie Namen, Passwörter und E-Mail-Adressen. Hacker können diese Informationen für Social-Engineering-Angriffe nutzen. Bei einem Phishing-Angriff versenden Hacker gefälschte E-Mails von einer scheinbar seriösen Quelle, die das potenzielle Opfer zum Herunterladen eines schädlichen Anhangs oder Öffnen eines gefährlichen Links verleiten sollen. Ohne Passwortzugriff hätten Hacker beim Ausführen solcher Cyberangriffe weitaus weniger Erfolg.

Doxing

Beim Doxing (oder Doxxing) werden persönliche Informationen wie Name, Anschrift und Telefonnummer typischerweise mit böswilliger Absicht gegenüber den Betroffenen veröffentlicht. Nach einem solchen webbasierten Angriff verfügen Hacker über mehr als genug Informationen, die sie über die betroffene Person im Internet freigeben können. Doxing zielt häufig auf eine bestimmte Person oder Gruppe von Personen ab und fand bereits in Belästigungskampagnen Anwendung.

Verlangsamung oder Unterbrechung des Geschäftsbetriebs

Ein Datenleck kann verheerende Folgen für das betroffene Unternehmen haben. Laut der amerikanischen National Cyber Security Alliance müssen ganze 60 % der Unternehmen innerhalb von sechs Monaten nach Auftreten eines Datenlecks ihr Geschäft aufgeben.

Beispiele aus der Praxis: Datenlecks und Datenschutzverletzungen

Datenlecks und Datenschutzverletzungen treten immer häufiger in Erscheinung und Experten sind sich einig, dass die Zahl solcher Vorfälle in Zukunft noch weiter ansteigen wird. Im Folgenden erörtern wir einige der schwerwiegendsten Vorfälle, mit denen sich verschiedene Unternehmen auf der ganzen Welt auseinandersetzen mussten – manche davon zogen weitreichende Folgen nach sich:

• ChatGPT

  Im März 2023 führte ein Fehler im Chatbot ChatGPT von OpenAI zur Offenlegung von Kundendaten, darunter Namen, Chatnamen und in begrenztem Ausmaß auch Kredikarteninformationen. Das Team von OpenAI beteuerte, dass keine vollständigen, sondern nur die letzten vier Zahlen der Kreditkartennummern und das Verfallsdatum kompromittiert wurden. Die Plattform ging vorübergehend offline, um das Problem zu beheben.

• Credit Suisse

  Im Februar 2022 verursachte ein Whistleblower ein Datenleck, um mehrere Kriminelle – Personen mit hohem Bekanntheitsgrad und Kunden der Schweizer Bank Credit Suisse – auffliegen zu lassen. Das Datenleck tangierte mehr als 18.000 Konten. Die offengelegten Daten wurden der Süddeutschen Zeitung zugespielt, die in der Folge einen Enthüllungsbericht über das Schweizer Bankensystem veröffentlichte.

• Twitch

  Im Oktober 2021 gaben die Verantwortlichen der Live-Streaming-Plattform Twitch bekannt, dass das Portal von einer schwerwiegenden Datenverletzung betroffen war. 100 GB an sensiblen Daten wurden veröffentlicht, darunter die Namen, Adressen, E-Mail-Adressen und Einkünfte der Streamer.

• Facebook

  Am 3. April 2021 entdeckte ein Sicherheitsexperte ein riesiges Datenleck, das 533 Millionen Facebook-Nutzer gefährdete. Insgesamt wurden 2.837.793.637 Datenpunkte veröffentlicht. Durchschnittlich legten Hacker mindestens fünf Datentypen pro Nutzer offen. Diese umfassten Telefonnummern, Vor- und Nachnamen, Geburtsdaten, Facebook-Namen, E-Mail-Adressen und biometrische Daten.

• Experian

  Im Februar 2021 wurden Berichte zur verheerendsten Datenschutzverletzung in der Geschichte Brasiliens publiziert. Sensible Daten von mehr als 200 Millionen Menschen und 40 Millionen Unternehmen wurden offengelegt. In Verdacht geriet Serasa Experian, ein Unternehmen, das Informationen und Datendienste offerierte. Unter den freigegebenen Daten fanden sich persönliche Informationen wie z. B. Geburtsdaten, Vor- und Nachnamen, Adressen, Passfotos sowie Informationen zur Kreditwürdigkeit, zum Einkommen und andere Finanzdaten.

So verhindern Sie Datenlecks und Datenschutzverletzungen

Wenn Sie das Risiko eines Datenlecks minimieren möchten, ist das Einführen von Sicherheitsverfahren unumgänglich. Seien Sie sich darüber bewusst, dass Sie in Sachen Sicherheit nicht jedes kleine Detail kontrollieren können. Sie können nicht vorhersehen, ob bzw. wann Sie zur Zielscheibe von Cyberkriminellen werden. Sie können jedoch Präventivmaßnahmen ergreifen, die Sie nachts ruhig schlafen lassen.

• Kontrollieren Sie Ihre Daten

  Legen Sie für all Ihre Daten eine Sicherheitskopie an – aber bewahren Sie keine unnötigen Informationen auf. Speichern Sie sensible Daten in einer einzigen sicheren Datenbank und nicht auf verschiedenen Endgeräten. Dadurch senken Sie das Risiko eines Datenlecks. Außerdem sollten Sie wissen und überprüfen, wer Zugriff auf die Daten hat. Angestellte sollten nur Zugriff auf arbeitsrelevante Informationen haben. Damit vermeiden Sie Vorfälle und absichtliche Datenlecks.

• Legen Sie Beschränkungen für die E-Mails Ihrer Mitarbeiter fest

  Konfigurieren Sie Google Drive so, dass Angestellte immer eine Benachrichtigung erhalten, wenn Sie versuchen, Dateien an unternehmensexterne Personen weiterzuleiten. Richten Sie Spam- und Phishing-Filter ein, um das Risiko eines Social-Engineering-Angriffs zu senken.

• Schulen Sie Ihre Mitarbeiter

  Alle Mitarbeiter Ihres Unternehmens sollten mit den Grundlagen der verschiedenen Cybersicherheitsgefahren vertraut sein, insbesondere wenn sie mit sensiblen Daten arbeiten. Sowohl Empfangsmitarbeiter als auch Chefanalysten sollten über Social-Engineering-Angriffe, Arten von Schadsoftware und firmeninterne Sicherheitsanforderungen unterrichtet sein. Wenn die Mitarbeiter verstehen, welch großen Schaden ein Datenleck dem Unternehmen zufügen kann, werden sie mehr Vorsicht walten lassen.

• Etablieren Sie starke Sicherheitsmaßnahmen in Ihrem Unternehmen

  Installieren Sie Firewalls, die Ihr Netzwerk schützen und den Datenverkehr für bestimmte Anwendungen und Dienste beschränken. Stellen Sie sicher, dass Ihr Unternehmen vor Schadsoftware (z. B. Ransomware, Spionageprogrammen oder Keyloggern) geschützt ist. Verwenden Sie ein VPN mit starker Verschlüsselung zum Sichern Ihrer Verbindungen, insbesondere wenn Ihre Angestellten oft auf Geschäftsreisen sind oder im Homeoffice arbeiten. Vergewissern Sie sich, dass sie starke Passwörter verwenden und für sensible Konten die Zwei-Faktor-Authentifizierung aktiviert haben. Animieren Sie Ihre Mitarbeiter, einen Passwort-Generator für das Erstellen komplexer Passwörter zu nutzen, diese Passwörter in einem verschlüsselten Webtresor zu speichern und in regelmäßigen Abständen zu aktualisieren, damit sie nicht in die Hände von Hackern geraten.

• Bereiten Sie sich auf das Schlimmste vor

  Niemand möchte, dass das Worst-Case-Szenario eintritt, doch vor einer Datenpanne ist keiner gefeit. Es empfiehlt sich daher einen Notfallplan zur Schadensbegrenzung zu entwerfen, auf den im Fall eines Datenlecks zurückgegriffen werden kann. Bei einem Cyberangriff zählt jede Minute. Durch ein schnelles Reagieren können Sie viel Geld sparen und langfristig das Vertrauen der Kunden stärken.

• Stellen Sie sicher, dass der Cloud-Speicher ordnungsgemäß gesichert ist

  Die Sicherheit von Cloud-Daten muss unbedingt gewährleistet werden. Ohne geeignete Sicherheitsmaßnahmen können sensible Informationen offengelegt und gestohlen werden. Nehmen Sie sich ausreichend Zeit, Ihren Cloud-Speicher den besten Sicherheitsverfahren entsprechend zu konfigurieren. Schützen Sie den Cloud-Speicher, falls erforderlich, darüber hinaus mit zusätzlichen Tools.

• Bewertung und Überwachung von Drittanbieter-Risiken

  Auch wenn es Ihnen gelingt, Ihr Unternehmen vollumfänglich zu schützen, müssen Sie wachsam sein. Daten können nämlich auch über Dritte wie z. B. Geschäftspartner und Lieferanten kompromittiert werden. Supply-Chain-Angriffe sind im Steigen begriffen. Unternehmen können jedoch das Risiko eines Datenlecks minimieren, indem sie Ihre Geschäftsbeziehungen mit firmenexternen Parteien auf Sicherheitslücken überprüfen.

Datenlecks und Präventivmaßnahmen

Zunächst müssen Sie feststellen, welche Daten kompromittiert wurden. Häufig betroffen sind Kontobezeichnungen, E-Mail-Adressen und Passwörter. Sollte Ihr Konto durch ein Datenleck gefährdet sein, ändern Sie bitte umgehend das zugehörige Passwort. Bei Mehrfachverwendung müssen Sie dieses Passwort auch für alle anderen relevanten Konten ändern. Andernfalls könnten Sie einem Credential-Stuffing-Angriff zum Opfer zu fallen, und alle mit diesem Passwort geschützten Online-Konten stünden auf dem Spiel. Sollten Ihre Kreditkartendaten oder Bankinformationen von einem Datenleck betroffen sein, wenden Sie sich unbedingt sofort an Ihre Bank und lassen Sie Ihre Karten sperren.

Wenn in Ihrem Unternehmen eine Datenpanne auftritt, ist schnelles Handeln gefragt. Bringen Sie das Datenleck schnellstmöglich unter Kontrolle. Leiten Sie umgehend eine Untersuchung ein, um der Sache auf den Grund zu gehen. Informieren Sie Ihre Kundschaft über das Datenleck. Gewähren Sie Einblick in alle relevanten Informationen: das Datum der Datenpanne, den Datentyp sowie die betroffenen Systeme und Nutzer. Um das Risiko eines solchen Sicherheitsvorfalls in Zukunft zu senken, sollten Sie als letzte Maßnahme auch die Sicherheitsinfrastruktur Ihres Unternehmens aufrüsten.

Fazit

Die digitale Umgebung wird zunehmend von Datenlecks bedroht. Es ist deshalb unabdingbar, böswilligen Akteuren einen Schritt voraus zu sein. Sie sind besorgt über die Sicherheit Ihrer berufsbezogenen oder persönlichen Daten? Ergreifen Sie Maßnahmen, um diese zu schützen. Ganz oben auf der Tagesordnung sollte das Einrichten eines Passwort-Managers für Unternehmen stehen.

Der Passwort-Manager von NordPass bietet einen verschlüsselten Speicher für sensible Informationen wie Anmeldedaten, Adressen, Kreditkarteninformationen oder Ausweisdaten. Neben dem sicheren Webtresor können Sie weitere Funktionen zum Schutz Ihrer Daten nutzen: Das Tool für Passwortqualität prüft, ob Ihre Passwörter schwach oder mehrmals verwendet wurden. Der Datenleck-Scanner sendet Ihnen eine Benachrichtigung, falls eines Ihrer Passwörter kompromittiert wurde. Agieren Sie vorausschauend und reagieren Sie auf Datenlecks, bevor Ihre wertvollen Informationen in die falschen Hände gelangen.