Wie die schlimmsten Firmenhacks 2019 hätten vermieden werden können: gewonnene Erkenntnisse

Mit einer Rekordzahl von Datenpannen in der Unternehmenswelt wurde 2019 zu einem Meilenstein in puncto Sicherheit. Anmeldedaten, Kundendatensätze, Firmen-E-Mails, sensible Unternehmensdokumente, medizinische und Steuerinformationen sind nur einige Beispiele für Datentypen, die in die falschen Hände gerieten und publik offengelegt wurden. Die Frage lautet nicht länger, ob Ihr Unternehmen irgendwann einer Datenpanne zum Opfer fallen wird, sondern wann dies der Fall sein wird.

Solche Vorfälle können Ihnen jedoch teuer zu stehen kommen. Laut des IBM-Berichtes über Datenpannen 2019 stiegen die Kosten für Datenschutzverletzungen in den letzten 5 Jahren um 12% an und liegen nun durchschnittlich bei 3,92 Millionen US Dollar. Die schlechte Nachricht ist, dass sich die Auswirkungen einer Datenpanne nicht auf deren unmittelbare Folgen beschränken, sondern sich auch noch Jahre später bemerkbar machen. Reputationsschäden, Rückgang des Aktienkurses, Rechtsverfahren und Reputationsverlust sind nur ein paar Beispiele für die Konsequenzen, die man infolge einer Datenschutzverletzung zu tragen hat.

Die gute Nachricht? Der Mehrzahl der Datenpannen kann durch die Umsetzung entsprechender Richtlinien und Tools vorgebeugt werden. Werfen wir doch einmal einen Blick auf die prominentesten Beispiele aus dem letzten Jahr.

Gehaltsabrechnungsdaten von 29 000 Facebook-Mitarbeitern gestohlen

Was ist geschehen?

Berichten zufolge erfolgte die Datenschutzverletzung, nachdem mehrere unverschlüsselte physische Festplatten aus dem Auto eines Lohnabrechnungssachbearbeiters gestohlen worden waren. Die Informationen auf den Festplatten umfassten offensichtlich Namen, Bankkontonummern, Sozialversicherungsnummern, Gehaltsinformationen, Bonusbeträge und Details zum Eigenkapital.

Wie hätte dies vermieden werden können?

Bei der Speicherung sensibler Daten auf externen Festplatten sollte man unbedingt eine Hardware-Verschlüsselung anwenden, die die Informationen durch deren Umwandlung in unlesbaren, von unbefugten Personen nicht entzifferbaren Code schützt. Doch nicht nur Festplatten können in die falschen Hände geraten. Daten werden auch oft dadurch offengelegt, dass die physischen Geräte eines Nutzers – Laptop, iPad, iPhone – gestohlen werden oder verloren gehen. Um Ihre sensiblen Daten vor einem derartigen Diebstahl zu schützen, ist es empfehlenswert, Ihre Daten über die Entfernung mithilfe einer cloudbasierten Speicherlösung zu verwalten. Diese ermöglicht Ihnen die Fernlöschung von Daten vom Gerät. In diesem Fall, wenn Ihr Gerät in die falschen Hände gelangen sollte, kann Ihr Administrator die Daten von diesem löschen.

Medizinische Daten von rund 20 Millionen Personen infolge der AMCA-Datenpanne

Was ist geschehen?

Bei einer Sicherheitsverletzung bei der American Medical Collection Agency (AMCA), einem Abrechnungsdienstleister für den amerikanischen Gesundheitssektor, wurden personenbezogene und finanzielle Informationen (Namen, Adressen, Rufnummern, Geburtstage, Sozialversicherungsnummern, Zahlungsinformationen und Kontodaten) von mehr als 20 Millionen Amerikanern offengelegt. Dies geschah aufgrund eines unbefugten Zugriffs auf eine Datenbank, der fast 8 Monate lang möglich war.

Wie hätte dies vermieden werden können?

Bei der Verwaltung höchstvertraulicher Informationen wie medizinischer oder finanzieller Daten muss sichergestellt werden, dass keine unbefugte Person Zugriff auf die Datenbank erlangen kann. Obwohl viele Anbieter mit “sicherem” Speichern für sensible Geschäftsdaten werben, können nur Services mit Ende-zu-Ende-Verschlüsselung unbefugten Zugriff technisch unmöglich machen. Dabei werden Dateien lokal auf dem Nutzergerät verschlüsselt, so dass nicht einmal der Servicedienstleister die Inhalte der Dateien einsehen kann. Auch wenn die Server des Anbieters gehackt werden sollten, würden Hacker nur einen Wortsalat vorfinden, der unlesbar ist. Auch das Festlegen von Nutzerrechten und -berechtigungen kann dazu beitragen, dass ausschließlich befugte Personen auf sensible Daten zugreifen können.

264 GB personenbezogene Daten beim Fortune 500-Unternehmen Tech Data offengelegt

Was ist geschehen?

Beim Technologieriesen Tech Data war ein gehackter Server für die Datenpanne verantwortlich. Die Datenbank beinhaltete Kundendaten, inklusive Namen, Postanschriften, E-Mail-Adressen, berufliche Positionen, Rechnungsdaten und Zahlungsinformationen wie Kartentyp, Karteninhaber und Ablaufdatum der Kreditkarte. Mit Ausnahme von obfuskierten Kartennummern waren die Daten in Klartext zu finden.

Wie hätte dies vermieden werden können?

Wenn ein böswilliger Hacker Zugriff auf einen unverschlüsselten Server erlangt, können Daten auf einfache Weise enthüllt werden. Es ist unerlässlich, dass Unternehmen ihre Daten in verschlüsselter Form speichern. Darüber hinaus müssen sie sicherstellen, dass sie die Verschlüsselungscodes nicht auf demselben Server verwahren. Wenn Sie oder Ihr Anbieter die Verschlüsselungscode haben/hat, kann jede Person, die Zugriff auf die Server erlangt, die Daten entschlüsseln. Um einer derartigen Datenpanne vorzubeugen, sollten Firmen sich für Cloudlösungen entscheiden, die die Dateien lokal auf dem Nutzergerät und nicht in der Cloud verschlüsseln und entschlüsseln.

3 Millionen Kundenakten infolge der UniCredit-Datenpanne offengelegt

Was ist geschehen?

Laut Aussage der italienischen Bank UniCredit erfolge der Sicherheitsverstoß aufgrund einer einzelnen kompromittierten Datei im Jahr 2015, was dazu führte, dass 3 Millionen Kundenakten, inklusive Namen, Rufnummern, E-Mail-Adressen und Wohnorte, offengelegt wurden.

Wie hätte dies vermieden werden können?

Der Fall zeigt, wie wichtig sicherer Datentausch und Kontrolle über geteilte Daten sind. Beim externen und internen Teilen von Dateien sollten Unternehmen Services nutzen, die Datentausch mithilfe von sicheren Links anbieten. Es sollte auch eine Option zur Linksperrung verfügbar sein, falls der Link versehentlich an eine falsche Person gelangt, und auch weitere Optionen wie Ablaufdatum und/oder Öffnungsbeschränkung können dazu beitragen, versendete Dateien besser kontrollieren zu können.

Was kann man als Schlussfolgerung mitnehmen?

Um durch menschliches Versagen oder bösartige Angriffe verursachte Datenpannen zu vermeiden, sollten Unternehmen Lösungen wählen, die vertrauliche Geschäftsdaten mit folgenden Funktionalitäten schützen:

  • Ende-zu-Ende-Verschlüsselung
  • Zero-Knowledge-Authentifizierung
  • Große Auswahl an Kontrolloptionen für Administratoren
  • Sicherer und kontrollierbarer Datentausch außerhalb und innerhalb der Firma

Sie möchten wissen, wie Sie Ihr Unternehmen vor der nächsten Datenpanne schützen können?

Erfahren Sie hier mehr über Tresorits sicheren Cloudservice

Suggested posts

Jahresüberblick 2019

Bevor wir uns an die neuen und spannenden Herausforderungen machen, die 2020 mit sich bringt, möchten wir ein Blick darauf werfen, was wir 2019 erreicht...