Datenpanne

Datenpanne erklärt: Arten, Mechanismen und ihre Auswirkungen

Was ist ein Datenleck?

Ein Datenleck (auch als Datenschutzpanne oder Datenverlust bekannt) ist der unbefugte Zugriff und das Abrufen vertraulicher Informationen durch eine Einzelperson, eine Gruppe oder ein Softwaresystem. Es handelt sich um ein Cybersicherheitsproblem, das auftritt, wenn Daten absichtlich oder unabsichtlich ohne Wissen des Benutzers oder Eigentümers in die falschen Hände geraten.

Datenlecks sind teilweise das Ergebnis der zunehmenden Verfügbarkeit von Daten aufgrund der Zunahme digitaler Produkte, die eine überwältigende Menge an Informationen in die Hände von Unternehmen gelegt hat. Während einige der Informationen nicht sensibel sind, handelt es sich bei vielen um geschützte und vertrauliche Informationen über Einzelpersonen und Unternehmen.

Wichtige Erkenntnisse

Ein Datenleck beinhaltet den unbefugten Zugriff auf vertrauliche Geschäfts- oder persönliche Informationen.
Unbeabsichtigte Datenlecks können aufgrund von Fahrlässigkeit von Mitarbeitern auftreten, z. B. durch verlorene Geräte oder die Nutzung ungesicherter Netzwerke.
Absichtliche Datenlecks beinhalten oft Hacker, die Malware, Botnetze oder Angriffe auf die Lieferkette einsetzen.
Bei Datenlecks gestohlene Daten können auf Marktplätzen des Darknets verkauft werden, was zu Identitätsdiebstahl und finanziellen Verlusten führt.
Die zunehmende Verfügbarkeit digitaler Daten hat sowohl den Nutzen für Unternehmen als auch die Risiken erhöht, was die Notwendigkeit robuster Cybersicherheitsmaßnahmen unterstreicht.

Wie Datenlecks auftreten und Unternehmen beeinflussen

Der Fokus auf technologiegestützte Tools wie Cloud-Computing-Plattformen hat Informationen leicht verfügbar, leicht zugänglich und mühelos teilbar zu geringen Kosten gemacht. Unternehmen teilen und nutzen diese Daten, um ihre Prozesse zu verbessern und den Anforderungen einer zunehmend technikaffinen Bevölkerung gerecht zu werden. Einige Übeltäter versuchen jedoch, auf diese Informationen zuzugreifen, um sie für illegale Aktivitäten zu nutzen. Die Zunahme der gemeldeten Datenlecks in Unternehmen weltweit hat das Thema Cybersicherheit und Datenschutz in den Fokus gerückt, was viele Regulierungsbehörden dazu veranlasst hat, neue Gesetze zur Bekämpfung dieses Problems zu erlassen.

Eigentümer und Benutzer eines kompromittierten Systems oder Netzwerks wissen nicht immer sofort, wann der Verstoß aufgetreten ist. Im Jahr 2016 gab Yahoo bekannt, was möglicherweise der größte Cybersicherheitsverstoß aller Zeiten war, als es erklärte, dass schätzungsweise 500 Millionen Konten betroffen waren. Weitere Untersuchungen ergaben, dass der Datenverstoß tatsächlich zwei Jahre zuvor, im Jahr 2014, stattgefunden hatte.

Während einige Cyberkriminelle gestohlene Informationen nutzen, um Unternehmen und Einzelpersonen zu belästigen oder Geld zu erpressen, verkaufen andere die verletzten Informationen in Untergrund-Webmärkten, die mit illegalen Vermögenswerten handeln. Beispiele für Informationen, die in diesen Darknets gekauft und verkauft werden, sind gestohlene Kreditkarteninformationen, geistiges Eigentum von Unternehmen, SSNs und Geschäftsgeheimnisse von Unternehmen.

Unbeabsichtigte Datenlecks: Häufige Ursachen und Beispiele

Ein Datenleck kann unbeabsichtigt oder absichtlich durchgeführt werden. Ein unbeabsichtigtes Datenleck tritt auf, wenn ein legitimer Verwalter von Informationen, wie ein Mitarbeiter, Unternehmenswerkzeuge verliert oder fahrlässig verwendet. Ein Mitarbeiter, der auf ungesicherte Websites zugreift, eine kompromittierte Software auf einem Arbeitslaptop herunterlädt, sich mit einem ungesicherten Wi-Fi-Netzwerk verbindet, einen Laptop oder ein Smartphone an einem öffentlichen Ort verliert usw., läuft Gefahr, dass die Daten seines Unternehmens gefährdet werden. Im Jahr 2015 wurden die Daten von Nutmeg, einem Online-Investmentmanagement-Unternehmen, kompromittiert, als ein fehlerhafter Code im System dazu führte, dass die personenbezogenen Daten (PII) von 32 Konten per E-Mail an die falschen Empfänger gesendet wurden. Die versendeten Informationen umfassten Namen, Adressen und Anlagedetails und setzten die Kontoinhaber dem Risiko eines Identitätsdiebstahls aus.

Absichtliche Datenlecks verstehen: Methoden und Prävention

Ein absichtliches Datenleck tritt auf, wenn ein Cyberangreifer in das System einer Einzelperson oder eines Unternehmens eindringt, um geschützte und persönliche Informationen zu erlangen. Cyberhacker verwenden verschiedene Methoden, um in ein System zu gelangen. Einige betten bösartige Software in Websites oder E-Mail-Anhänge ein, die beim Zugriff das Computersystem anfällig für einfachen Zugriff und Zugänglichkeit von Daten durch Hacker machen. Einige Hacker verwenden Botnetze, das sind infizierte Computer, um auf die Dateien anderer Computer zuzugreifen.

Botnetze ermöglichen es den Tätern, gleichzeitig mit demselben Malware-Tool auf mehrere Computer zuzugreifen. Hacker können auch einen Angriff auf die Lieferkette nutzen, um an Informationen zu gelangen. Wenn ein Unternehmen eine solide und undurchdringliche Sicherheitsmaßnahme hat, kann ein Hacker über ein Mitglied des Lieferkettennetzwerks des Unternehmens gehen, das ein verwundbares Sicherheitssystem hat. Sobald der Hacker in das Computersystem des Mitglieds gelangt ist, kann er auch auf das Netzwerk des Zielunternehmens zugreifen.

Hacker müssen nicht sensible Informationen wie Sozialversicherungsnummern (SSN) auf einmal stehlen, um die Identität eines Benutzers zu enthüllen und Zugriff auf sein/ihr persönliches Profil zu erhalten. Im Falle des Diebstahls von Informationen zum Zwecke des Identitätsdiebstahls können Hacker mit Datensätzen von Quasi-Identifikatoren Informationsfragmente zusammensetzen, um die Identität einer Entität zu enthüllen. Quasi-Identifikatoren wie Geschlecht, Alter, Familienstand, Rasse und Adresse können aus verschiedenen Quellen bezogen und zu einer Identität zusammengesetzt werden. Im Jahr 2015 bestätigte der IRS, dass ein Datenleck von über 300.000 Steuerzahlern stattgefunden hatte. Die Cyberkriminellen hatten Quasi-Identifikatoren verwendet, um auf die Informationen der Steuerzahler zuzugreifen und Steuerrückerstattungsanträge auszufüllen. Dies führte dazu, dass der IRS über 50 Millionen Dollar an Rückerstattungsschecks an Identitätsdiebe auszahlte.

Was passiert bei einem Datenleck?

Ein Datenleck ist jeder Fall, in dem unbefugter Zugriff auf vertrauliche oder geschützte Informationen wie Sozialversicherungsnummern oder Bankkontodaten erlangt wird. Dies kann Dieben ermöglichen, Finanzinformationen, Identitäten und andere persönliche Daten zu stehlen. Diese Daten werden dann an andere Kriminelle verkauft, die diese Daten ausnutzen können, um unerlaubte und betrügerische Belastungen zu verursachen.

Ist ein Datenleck ein Cyberangriff?

Ein Cyberangriff kann dasselbe wie ein Datenleck sein, aber das ist nicht immer der Fall. Ein Cyberangriff ist der elektronische Diebstahl von Daten oder vertraulichen Informationen. Ein Datenleck ist jede unbefugte Offenlegung von vertraulichen oder geschützten Informationen.

Was ist ein Beispiel für ein Datenleck?

Am 5. Dezember 2019 erlitt Microsoft ein Datenleck, als eine Änderung an der Netzwerksicherheitsgruppe der Datenbank vorgenommen wurde, die falsch konfigurierte Sicherheitsregeln enthielt. Die Server enthielten 250 Millionen Einträge mit Informationen wie E-Mail-Adressen, IP-Adressen und Supportfall-Details. Ingenieure stoppten den Verstoß am 31. Dezember 2019. Die Untersuchung von Microsoft ergab keine "böswillige Nutzung und die meisten Kunden hatten keine personenbezogenen Daten offengelegt".

Yahoo. "An Important Message About Yahoo User Security."

Yahoo. "Yahoo Security Notice September 22, 2016."

Business Insider. "A Startup That Chooses Where to Invest People's Money Admits it Accidentally Emailed Sensitive Data to the Wrong People."

Internal Revenue Service. "IRS Statement On Get Transcript."

CNBC. "IRS: Breach Affected 2x as Many Taxpayers as Expected."

Microsoft Security Response Center. "Access Misconfiguration for Customer Support Database."

Investieren

Gesetze & Vorschriften

Cybersicherheit