„Datenlecks gefährden mehr als 150 Millionen Internetnutzer.“ „Hacker stehlen mehr als 33 Millionen Benutzernamen und Passwörter.“ Solche Schlagzeilen klingen vertraut? Während Sicherheitstechnologien immer fortschrittlicher und ausgereifter werden, bereitet es Unternehmen große Mühe, aktuellen Anforderungen gerecht zu werden. Es vergeht kaum ein Tag, an dem Datenlecks oder Datenschutzverletzungen keine Schlagzeilen machen. Sehen wir uns an, inwiefern sich diese unterscheiden und wie Sie Ihr Unternehmen vor einer Datenpanne schützen können.
Zunächst sollten wir klären, was ein Datenleck ist? Kurz gesagt, handelt es sich hierbei um einen Sicherheitsvorfall, im Zuge dessen private Informationen für Personen ohne Zugriffsrechte offengelegt werden. In einem solchen Szenario werden die Daten von Personen gestohlen, unabsichtlich übermittelt oder absichtlich weitergegeben. Kompromittierte Daten können in digitaler (elektronische Dateien) oder physischer Form (Dokumente, Briefe, Bilder oder Geräte) vorhanden sein. Allerdings muss zwischen Datenlecks und Datenschutzverletzungen unterschieden werden.
Datenleck vs. Datenschutzverletzung: Worin besteht der Unterschied?
Obgleich die beiden Begriffe manchmal synonym verwendet werden, weisen Sie grundlegende Unterschiede auf. Beide Erscheinungsformen führen zum selben Ergebnis – der unerlaubten Offenlegung von Daten. Was sie unterscheidet ist die Ursache.
Datenlecks sind meist auf unzureichende Sicherheitsmaßnahmen oder unabsichtliche Handlungen zurückzuführen. In der Regel steckt hinter Datenlecks keine böswillige Absicht, sondern menschliches Versagen. Sicherheitsforscher bei vpnMentor befassen sich schon seit Jahren mit offenen Datenbanken. Im Jahr 2020 lag eines der bedeutsamsten Untersuchungsergebnisse vor: Die Forscher entdeckten, dass die Smartphone-App Key Ring einen falsch konfigurierten Amazon S3-Bucket zum Speichern von 44 Millionen Datensätzen verwendet hatte. Diese umfassten Kopien von Ausweisen, Versicherungsdaten, Führerscheinen und Kreditkarten. Auch wenn keine böswilligen Akteure davon Notiz genommen hatten und das Unternehmen die Datenbank rechtzeitig schließen konnte, wird der Vorfall trotzdem als Datenleck gewertet.
Im Unterschied dazu werden Datenschutzverletzungen absichtlich herbeigeführt. Bei einer Datenschutzverletzung verschaffen sich Cyberkriminelle Zugriff auf eine Datenbank und die darin enthaltenen geheimen und sensiblen Informationen. Bewährte Taktiken, die im Zuge einer Datenschutzverletzung Anwendung finden, sind z. B. DDoS-Angriffe, Einschleusen von Schadsoftware und Methoden des Social Engineering, die die Abwehrsysteme des betroffenen Unternehmens lahmlegen. Ob Datenschutzverletzung oder Datenleck – das Ergebnis ist ein ähnliches. Was aber beim Datenleck fehlt, ist die betrügerische Absicht.
Arten von Datenlecks
Möchten Sie ein Datenleck möglichst schnell aufspüren, müssen Sie sich mit den verschiedenen Vorfällen und Strategien befassen, die ein solches herbeiführen können.
Menschliches Versagen
Ein unbeabsichtigtes Datenleck kann durch etwas so Banales wie eine vertrauliche E-Mail, die an die falsche Adresse gesendet wird, entstehen. Auch eine öffentlich zugängliche Kundendatenbank oder ein verloren gegangenes Gerät mit wertvollen Informationen werden als Datenlecks eingestuft. Die sich daraus ergebenden Konsequenzen sind jedoch davon abhängig, wer die E-Mail erhalten oder eine Hintertür gefunden hat, durch die der Zugriff möglich wird. Manche Personen löschen so eine E-Mail sofort, andere kommen aber womöglich auf abwegige Gedanken.
Betrügereien und Systempannen
Manchmal versuchen Personen Schwachstellen in Ihrem Sicherheitssystem ausfindig zu machen, um sich Gewissheit zu deren Existenz zu verschaffen. Dabei kann es sich etwa um veraltete Software oder Systemfehler handeln. Solche Personen werden Ihr System aus einem Hinterhalt angreifen. Sie werden ein Schlupfloch finden, über das sie auf Informationen zugreifen, die für Außenstehende eigentlich nicht zugänglich sind. Wieder andere bedienen sich raffinierter Social-Engineering-Methoden, mit denen sie die perfekte Umgebung für ein Datenleck kreieren.
Absichtliches Datenleck
Obgleich Datenlecks per se nicht auf einer böswilligen Absicht beruhen, können sie trotzdem vorsätzlich initiiert werden. Dazu kann es z. B. kommen, wenn sich ein Mitarbeiter Zugriff auf Geschäftsgeheimnisse oder Nutzerdaten verschafft, um aus deren Verkauf Profit zu schlagen. Auch ein Whistleblower, der Vorgänge im eigenen Unternehmen moralisch nicht vertreten kann, kann durch die Veröffentlichung firmeninterner Informationen ein Datenleck verursachen. In beiden Fällen sind sich die Mitarbeiter über ihr Handeln bewusst und versuchen in der Regel anonym zu bleiben, da sie als undichte Stelle im Unternehmen agieren.
Welche Daten sind gefährdet?
Für die Betroffenen sind Datenlecks ein Debakel, für Cyberkriminelle aber eine großartige Chance, um mit sensiblen Daten beträchtliche Gewinne zu erzielen. Letztere haben es vor allem auf persönliche Daten wie Namen, Adresse, Sozialversicherungsnummer und Kreditkarteninformationen abgesehen. Diese Daten können in der Folge z. B. für einen Identitätsdiebstahl oder Geldwäsche verwendet werden. Gestohlene Anmeldedaten werden häufig in Datenbanken mit kompromittierten Passwörtern zusammengefasst und anschließend im Dark Web verkauft.
Für böswillige Akteure, die ein bestimmtes Unternehmen schädigen möchten, sind persönliche Daten erst der Anfang. Häufig greifen sie auch sensible Unternehmensinformationen, wie interne Nachrichten oder strategische Pläne, ab. Auch Betriebsgeheimnisse und geistiges Eigentum, wie etwa proprietärer Quellcode oder proprietäre Software, haben solche Akteure auf dem Radar.
Daten sind in der heutige Zeit von unschätzbarem Wert. Die stetig steigende Zahl der Cyberangriffe muss Unternehmen zum Ergreifen verstärkter Sicherheitsmaßnahmen bewegen, damit ein wirksamer Schutz von Firmendaten gewährleistet werden kann.
Wie werden die durchgesickerten Daten verwendet?
Haben sich Hacker erst einmal Zugriff auf offengelegte oder gestohlene Daten verschafft, können sie diese entsprechend ihren Zielen instrumentalisieren. Im Folgenden sind einige Vorgehensweisen beschrieben, die zeigen, wie offengelegte Daten zweckentfremdet werden.
Social Engineering
Bei offengelegten Daten handelt es sich häufig um persönliche Informationen wie Namen, Passwörter und E-Mail-Adressen. Hacker können diese Informationen für Social-Engineering-Angriffe nutzen. Bei einem Phishing-Angriff versenden Hacker gefälschte E-Mails von einer scheinbar seriösen Quelle, die das potenzielle Opfer zum Herunterladen eines schädlichen Anhangs oder Öffnen eines gefährlichen Links verleiten sollen. Ohne Passwortzugriff hätten Hacker beim Ausführen solcher Cyberangriffe weitaus weniger Erfolg.
Doxing
Beim Doxing (oder Doxxing) werden persönliche Informationen wie Name, Anschrift und Telefonnummer typischerweise mit böswilliger Absicht gegenüber den Betroffenen veröffentlicht. Nach einem solchen webbasierten Angriff verfügen Hacker über mehr als genug Informationen, die sie über die betroffene Person im Internet freigeben können. Doxing zielt häufig auf eine bestimmte Person oder Gruppe von Personen ab und fand bereits in Belästigungskampagnen Anwendung.
Verlangsamung oder Unterbrechung des Geschäftsbetriebs
Ein Datenleck kann verheerende Folgen für das betroffene Unternehmen haben. Laut der amerikanischen National Cyber Security Alliance müssen ganze 60 % der Unternehmen innerhalb von sechs Monaten nach Auftreten eines Datenlecks ihr Geschäft aufgeben.
Beispiele aus der Praxis: Datenlecks und Datenschutzverletzungen
Datenlecks und Datenschutzverletzungen treten immer häufiger in Erscheinung und Experten sind sich einig, dass die Zahl solcher Vorfälle in Zukunft noch weiter ansteigen wird. Im Folgenden erörtern wir einige der schwerwiegendsten Vorfälle, mit denen sich verschiedene Unternehmen auf der ganzen Welt auseinandersetzen mussten – manche davon zogen weitreichende Folgen nach sich:
ChatGPT
Im März 2023 führte ein Fehler im Chatbot ChatGPT von OpenAI zur Offenlegung von Kundendaten, darunter Namen, Chatnamen und in begrenztem Ausmaß auch Kredikarteninformationen. Das Team von OpenAI beteuerte, dass keine vollständigen, sondern nur die letzten vier Zahlen der Kreditkartennummern und das Verfallsdatum kompromittiert wurden. Die Plattform ging vorübergehend offline, um das Problem zu beheben.
Credit Suisse
Im Februar 2022 verursachte ein Whistleblower ein Datenleck, um mehrere Kriminelle – Personen mit hohem Bekanntheitsgrad und Kunden der Schweizer Bank Credit Suisse – auffliegen zu lassen. Das Datenleck tangierte mehr als 18.000 Konten. Die offengelegten Daten wurden der Süddeutschen Zeitung zugespielt, die in der Folge einen Enthüllungsbericht über das Schweizer Bankensystem veröffentlichte.
Twitch
Im Oktober 2021 gaben die Verantwortlichen der Live-Streaming-Plattform Twitch bekannt, dass das Portal von einer schwerwiegenden Datenverletzung betroffen war. 100 GB an sensiblen Daten wurden veröffentlicht, darunter die Namen, Adressen, E-Mail-Adressen und Einkünfte der Streamer.
Facebook
Am 3. April 2021 entdeckte ein Sicherheitsexperte ein riesiges Datenleck, das 533 Millionen Facebook-Nutzer gefährdete. Insgesamt wurden 2.837.793.637 Datenpunkte veröffentlicht. Durchschnittlich legten Hacker mindestens fünf Datentypen pro Nutzer offen. Diese umfassten Telefonnummern, Vor- und Nachnamen, Geburtsdaten, Facebook-Namen, E-Mail-Adressen und biometrische Daten.
Experian
Im Februar 2021 wurden Berichte zur verheerendsten Datenschutzverletzung in der Geschichte Brasiliens publiziert. Sensible Daten von mehr als 200 Millionen Menschen und 40 Millionen Unternehmen wurden offengelegt. In Verdacht geriet Serasa Experian, ein Unternehmen, das Informationen und Datendienste offerierte. Unter den freigegebenen Daten fanden sich persönliche Informationen wie z. B. Geburtsdaten, Vor- und Nachnamen, Adressen, Passfotos sowie Informationen zur Kreditwürdigkeit, zum Einkommen und andere Finanzdaten.
So verhinderst du Datenlecks und Datenpannen
Wenn Sie das Risiko eines Datenlecks minimieren möchten, ist das Einführen von Sicherheitsverfahren unumgänglich. Seien Sie sich darüber bewusst, dass Sie in Sachen Sicherheit nicht jedes kleine Detail kontrollieren können. Sie können nicht vorhersehen, ob bzw. wann Sie zur Zielscheibe von Cyberkriminellen werden. Sie können jedoch Präventivmaßnahmen ergreifen, die Sie nachts ruhig schlafen lassen.
Kontrolliere deine Daten
Legen Sie für all Ihre Daten eine Sicherheitskopie an – aber bewahren Sie keine unnötigen Informationen auf. Speichern Sie sensible Daten in einer einzigen sicheren Datenbank und nicht auf verschiedenen Endgeräten. Dadurch senken Sie das Risiko eines Datenlecks. Außerdem sollten Sie wissen und überprüfen, wer Zugriff auf die Daten hat. Angestellte sollten nur Zugriff auf arbeitsrelevante Informationen haben. Damit vermeiden Sie Vorfälle und absichtliche Datenlecks.
Lege Beschränkungen für die E-Mails deiner Mitarbeiter fest
Konfigurieren Sie Google Drive so, dass Angestellte immer eine Benachrichtigung erhalten, wenn Sie versuchen, Dateien an unternehmensexterne Personen weiterzuleiten. Richten Sie Spam- und Phishing-Filter ein, um das Risiko eines Social-Engineering-Angriffs zu senken.
Schule deine Mitarbeiter
Alle Mitarbeiter Ihres Unternehmens sollten mit den Grundlagen der verschiedenen Cybersicherheitsgefahren vertraut sein, insbesondere wenn sie mit sensiblen Daten arbeiten. Sowohl Empfangsmitarbeiter als auch Chefanalysten sollten über Social-Engineering-Angriffe, Arten von Schadsoftware und firmeninterne Sicherheitsanforderungen unterrichtet sein. Wenn die Mitarbeiter verstehen, welch großen Schaden ein Datenleck dem Unternehmen zufügen kann, werden sie mehr Vorsicht walten lassen.
Etabliere starke Sicherheitsmaßnahmen in deinem Unternehmen
Installieren Sie Firewalls, die Ihr Netzwerk schützen und den Datenverkehr für bestimmte Anwendungen und Dienste beschränken. Stellen Sie sicher, dass Ihr Unternehmen vor Schadsoftware (z. B. Ransomware, Spionageprogramme oder Keylogger) geschützt ist. Verwenden Sie zum Sichern Ihrer Verbindungen ein VPN mit starker Verschlüsselung, insbesondere wenn Ihre Angestellten oft auf Geschäftsreisen sind oder im Homeoffice arbeiten. Vergewissern Sie sich, dass sie starke Passwörter verwenden und für sensible Konten die Zwei-Faktor-Authentifizierung aktiviert haben. Animieren Sie Ihre Mitarbeiter, für das Erstellen komplexer Passwörter einen Passwort-Generator zu nutzen, diese Passwörter in einem verschlüsselten Webtresor zu speichern und in regelmäßigen Abständen zu aktualisieren, damit sie nicht in die Hände von Hackern geraten.
Bereite dich auf das Schlimmste vor
Niemand möchte, dass das Worst-Case-Szenario eintritt, doch vor einer Datenpanne ist keiner gefeit. Es empfiehlt sich daher einen Notfallplan zur Schadensbegrenzung zu entwerfen, auf den im Fall eines Datenlecks zurückgegriffen werden kann. Bei einem Cyberangriff zählt jede Minute. Durch ein schnelles Reagieren können Sie viel Geld sparen und langfristig das Vertrauen der Kunden stärken.
Stelle sicher, dass der Cloud-Speicher ordnungsgemäß gesichert ist.
Ensuring the security of data stored in the cloud is imperative. Without appropriate security measures, sensitive information can be exposed and stolen. Take your time configuring your cloud storage following the best security practices, and if necessary, adopt additional tools to protect your cloud storage.
Bewertung und Ãœberwachung von Drittanbieter-Risiken.
Auch wenn es Ihnen gelingt Ihr Unternehmen vollumfänglich zu schützen, müssen Sie wachsam sein. Daten können nämlich auch über Dritte wie z. B. Geschäftspartner und Lieferanten kompromittiert werden. Lieferkettenangriffe sind im Steigen begriffen. Unternehmen können jedoch das Risiko eines Datenlecks minimieren, indem Sie Ihre Geschäftsbeziehungen mit firmenexternen Parteien auf Sichereitslücken überprüfen.
Datenlecks und Präventivmaßnahmen
Zunächst müssen Sie feststellen, welche Daten kompromittiert wurden. Häufig betroffen sind Kontobezeichnung, E-Mail-Adressen und Passwörter. Sollte Ihr Konto durch ein Datenleck gefährdet sein, ändern Sie bitte umgehend das zugehörige Passwort. Bei Mehrfachverwendung müssen Sie dieses Passwort auch für alle anderen relevanten Konten ändern. Andernfalls könnten Sie einem Credential-Stuffing-Angriff zum Opfer zu fallen, und alle mit diesem Passwort geschützten Online-Konten stünden auf dem Spiel. Sollten Ihre Kreditkartendaten oder Bankinformationen von einem Datenleck betroffen sein, wenden Sie sich unbedingt sofort an Ihre Bank und lassen Sie Ihre Karten sperren.
Wenn in Ihrem Unternehmen eine Datenpanne auftritt, ist schnelles Handeln gefragt. Bringen Sie das Datenleck schnellstmöglich unter Kontrolle. Leiten Sie umgehend eine Untersuchung ein, um der Sache auf den Grund zu gehen. Informieren Sie Ihre Kundschaft über das Datenleck. Gewähren Sie Einblick in alle relevanten Informationen: das Datum der Datenpanne, den Datentyp sowie die betroffenen Systeme und Nutzer. Um das Risiko eines solchen Sicherheitsvorfalls in Zukunft zu senken, sollten Sie als letzte Maßnahme auch die Sicherheitsinfrastruktur Ihres Unternehmens aufrüsten.
Fazit
Die digitale Umgebung wird zunehmend von Datenlecks bedroht. Es ist deshalb unabdingbar, böswilligen Akteuren einen Schritt voraus zu sein. Sie sind besorgt über die Sicherheit Ihrer berufsbezogenen oder persönlichen Daten? Ergreifen Sie Maßnahmen, um diese zu schützen. Ganz oben auf der Tagesordnung sollte das Einrichten eines Passwortmanagers für Unternehmen stehen.
Der Passwortmanager von NordPass bietet einen verschlüsselten Speicher für sensible Informationen wie Anmeldedaten, Adressen, Kreditkarteninformationen oder Ausweisdaten. Neben dem sicheren Webtresor können Sie weitere Funktionen zum Schutz Ihrer Daten nutzen: Das Tool für Passwortqualität prüft, ob Ihre Passwörter schwach oder mehrmals verwendet wurden. Der Datenleck-Scanner sendet Ihnen eine Benachrichtigung, falls eines Ihrer Passwörter kompromittiert wurde. Agieren Sie vorausschauend und reagieren Sie auf Datenlecks, bevor Ihre wertvollen Informationen in die falschen Hände gelangen.