Datenlecks

28 Jan

  • in DSMS
  • von
  • 0

 

Datenlecks – wer hat in den vergangenen Monaten nicht davon gehört, gelesen oder war sogar selbst Betroffener? So wurden z.B. Patientendaten auf ungeschützten, also öffentlich zugänglichen Servern gespeichert. Diese Liste lässt sich ohne große Schwierigkeiten um unzählige Datenlecks ergänzen.

 

Aber was ist ein Datenleck genau?

Meist handelt es sich hier um den unberechtigten Zugriff Dritter auf die Daten eines Unternehmens oder einer Behörde. Dieser Vorgang wird häufig als Datenpanne bzw. Datenleak bezeichnet. Es betrifft meistens Kundendaten, die beispielsweise über (meist unzureichend bzw. nicht gesicherte) Datenbanken oder Clouddienste abgerufen werden können. Solch ein Ereignis kann aber auch durch den „ordnungsgemäßen Datennutzer“ selbst, z.B. durch eine Fehlbedienung einer Anwendung oder durch „menschliches Versagen“, hervorgerufen werden.

Sind hierbei personenbezogene Daten betroffen und besteht hieraus ein Risiko für die betroffene Person, ist solch ein Ereignis gegenüber der zuständigen Datenschutzbehörde meldepflichtig.

Laut dem ForgeRock-Report zu Datenpannen erfolgte zwischen Mai 2018 und Januar 2020 die Meldung von 160.000 Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) in den 28 Mitgliedstaaten der Europäischen Union, plus Norwegen, Island und Liechtenstein.
Mehr als 10.000 davon kamen 2019 aus Deutschland. Infolge dieser Meldungen verhängten die europäischen Datenschutzbeauftragten seit Mai 2018 Strafen im Umfang von ca. 114 Millionen Euro.
Die Bußgelder in Deutschland beliefen sich auf ca. 24,5 Millionen Euro.

 

 

Kosten und Dauer

Grundsätzlich entsteht dem „Opfer“ eines Datenlecks – egal, ob extern verursacht, z.B. durch eine Attacke von Hackern oder selbstverschuldet – meist ein hoher finanzieller Schaden.  Viel schlimmer zu verkraften ist der Verlust von Vertrauen in das Unternehmen, die Produkte oder die Dienstleistung.
Auf Basis des Cost of Data Breach Report 2020 verursacht solch ein Ereignis für ein Unternehmen in den USA im Schnitt rund 8,6 Millionen Euro. In Deutschland sind es rund 4,5 Millionen Euro.
Hierzulande dauert es im Schnitt ca. 160 Tage bis ein Angriff entdeckt und eingedämmt ist. Auch wenn sich dies nach einer relativ langen Zeitspanne anhört – Deutschland ist damit schneller als der Durchschnitt der im Report aufgeführten 17 Länder. Diese benötigen im Schnitt 280 Tage. Man darf hier schließlich nicht vergessen, dass es nicht genügt, den entdeckten Angreifer zu entfernen und dann quasi die Türen zu verschließen, um einen Zugriff auf die Daten zu verwehren.
Für Unternehmen ist es elemantar herauszufinden, wie weit die Täter bereits vorgedrungen sind und auf welche Daten bzw. Bereiche im Unternehmensnetzwerk sie es abgesehen haben. Dafür ist eine gründliche Beobachtung und Analyse notwendig (siehe hierzu auch den Artikel BMW ausgespäht).
Bei Bedarf ziehen betroffene Unternehmen auch Spezialisten (sog. CERT) und/oder Strafverfolgungsbehörden zur Unterstützung hinzu.

Grundsätzlich unterstützt ein ISMS (Informationssicherheitssystem) die Steuerung notwendiger Maßnahmen, um das Auftreten von Datenlecks – unabhängig, ob extern oder intern verursacht – zu minimieren bzw. sogar ganz zu verhindern.

Es gibt einige „Best Practices“ Punkte, deren Umsetzung sich lohnen kann:

  • Data Discovery
    Da sich Unternehmensdaten nicht mehr nur im Unternehmen(-netzwerk) tummeln, sondern sich auch auf Mobilgeräten, in der Cloud und im Homeoffice befinden, ist es unabdingbar zu wissen, welche Daten wohin fließen, wer Zugriff hat und sie weitergeben kann. Hier ist die notwendige Transparenz über die Daten zu schaffen.
  • Daten-/ Informationsklassifizierung
    Bereits durch ISO/IEC 27001 gefordert, ebenfalls eine Grundlage für den korrekten Umgang mit Informationen/Daten. Je nach Klassifizierung ist klar, wie Daten gespeichert, verarbeitet und auch „aus dem Verkehr gezogen“ werden.
  • Zugriffsregelung
    Nicht jeder Mitarbeiter benötigt alle Unternehmensdaten für seine tägliche Arbeit. Hier ist eine Regelung nach dem „need to know“-Prinzip sinnvoll – stellen unvorsichtige Mitarbeiter doch seit Jahren eine der Hauptursachen für Datenpannen dar.
  • Mitarbeiter aufklären – Schaffung von Awareness
    Es ist wichtig und sinnvoll, dass jeder Mitarbeiter seinen Beitrag, den er aktiv (oder auch passiv, indem er manches unterlässt) zum Schutz der Unternehmensdaten und damit zum Erhalt der Unternehmenswerte, kennt. Auch muss ihm bewusst sein, wie er sich in bestimmten Situationen verhalten soll. Hierzu gehört auch die Einführung einer positiven Meldekultur von Ereignissen/Vorfällen. Niemand bekennt sich zu einem „Fehler“, wenn er dadurch Sanktionen befürchten muss.

 

Was kann man nach einem Datenleck bzw. dem Bekanntwerden eines Datenlecks als Privatperson tun?

Als erstes überprüfen, ob man von der Datenpanne betroffen ist. Dazu gibt es kostenlose Tools, mit denen man seine E-Mail-Adresse einfach überprüfen kann. Vier Links finden sie hier.

Auf jeden Fall ist es sinnvoll, sein Passwort für die E-Mail-Adresse zeitnah zu ändern. Dient die E-Mail-Adresse doch meist als Basis für alle LogIns, die sich auf dem PC befinden. Erstaunlicherweise ändern laut einer Umfrage zwei von drei Betroffenen nach einem Datenleck nicht ihr Passwort.

Grundsätzlich ist der Einsatz eines Passwort-Managers sinnvoll und wird auch vom BSI für Bürger empfohlen. Am besten wählt man eine Variante, die einen auch bei der Erzeugung von starken Passwörtern unterstützt und (wenn gewünscht) auch für die Bearbeitung von besonders sensiblen Daten eine Zwei-Faktor-Authentisierung anbietet.

Die Überprüfung der E-Mail-Adressen bietet sich auch für Unternehmen im Rahmen von wiederkehrenden Routine-Aufgaben an, die z.B. durch die IT durchgeführt werden. So besitzt man im Ernstfall bereits Erfahrung mit dem Umgang zu einer Basis-Recherche.

 

Schreiben Sie uns Ihre Fragen, Anregungen, Gedanken bitte an:

 

[email protected]

 

 

 

Urheber: keyboard with red enter key hatch underpass ladder data leak von Imilian von Getty Image auf Canva

Alle Zugriffe zuletzt am 18.11.2020, 17:00 Uhr:
https://www.golem.de/specials/datenleck/
https://www.cyclonis.com/de/hacker-enthullten-die-identitat-von-267-millionen-facebook-nutzern-im-neuesten-datenleck/
https://www.zdf.de/nachrichten/heute/millionen-patientendaten-ungeschuetzt-im-netz-100.html
https://datenschutz.hessen.de/datenschutz/hochschulen-schulen-und-archive/meldepflicht-bei-datenpannen
https://www.lanline.de/it-security/10-000-dsgvo-verstoesse-in-deutschland.251855.html
https://de.statista.com/infografik/19071/finanzieller-schaden-fuer-unternehmen-durch-datenlecks/?utm_source=Statista+Global&utm_campaign=c98b76f3a1-All_InfographTicker_daily_DE_PM_KW32_2020_Mo&utm_medium=email&utm_term=0_afecd219f5-c98b76f3a1-308590433
https://www.ibm.com/security/data-breach
https://www.br.de/nachrichten/wirtschaft/fr-autoindustrie-im-visier-von-hackern-bmw-ausgespaeht,RjnLkD4
https://de.wikipedia.org/wiki/Computer_Emergency_Response_Team#:~:text=Ein%20Computer%20Emergency%20Response%20Team,konkreten%20IT%2DSicherheitsvorf%C3%A4llen%20(z.
https://www.all-about-security.de/security-artikel/management-und-strategie/single/die-kosten-eines-datenlecks
https://rucon-group.com/phishing-wie-man-durch-mitarbeitertraining-schulung-vorbeugen-kann/
https://www.onlinepc.ch/software/sicherheit/so-finden-ob-e-mail-account-gehackt-1755237.html?ganzseitig=1
https://computerwelt.at/news/grossteil-aendert-passwort-nach-datenleck-nicht/
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Passwort_Manager/Passwort_Manager_node.html
https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/OnlineBanking/Zwei_Faktor_Authentisierung/Zwei-Faktor-Authentisierung_node.html
Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.