Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung beinhaltet die Freigabe sensibler Informationen. Viele Arten von Online-Angriffen haben in erster Linie das Ziel, ein Datenleck zu erzeugen, um an Informationen wie Anmeldedaten und persönliche Finanzangaben zu gelangen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Eine Datenschutzverletzung definieren
  • Verschiedene Beispiele für Datenschutzverletzungen geben
  • Strategien zur Bekämpfung von Datenschutzverletzungen verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung ist die Freigabe von vertraulichen, privaten oder anderweitig sensiblen Informationen in eine ungesicherte Umgebung. Ein solches Datenleck kann versehentlich auftreten oder das Ergebnis eines beabsichtigten Angriffs sein.

Jedes Jahr sind Millionen von Menschen von Datenschutzverletzungen betroffen. Die Bandbreite reicht von einem Arzt, der versehentlich die falsche Patientenakte ansieht, bis hin zu einem groß angelegten Versuch, sich Zugang zu Regierungscomputern zu verschaffen, um an sensible Informationen zu gelangen.

Datenschutzverletzung

Datenschutzverletzungen sind ein großes Problem für die Sicherheitsproblem, da heutzutage ständig sensible Daten über das Internet übertragen werden. Dieser kontinuierliche Informationstransfer ermöglicht es Angreifern auf der ganzen Welt, bei fast jeder beliebigen Person oder jedem Unternehmen Chancen auf eine Datenpanne zu haben.

Daten werden von Unternehmen auf der ganzen Welt auch in digitaler Form gespeichert. Die Server, auf denen die Daten gespeichert sind, sind oft anfällig für verschiedene Formen von Cyberangriffen.

Wer ist normalerweise das Ziel von Datenschutzverletzungen?

Die Hauptziele der Angreifer, die versuchen, Datenschutzverletzungen zu begehen, sind aufgrund der riesigen Nutzlast häufig Großunternehmen. Diese Nutzlast kann die personenbezogenen und/oder finanziellen Daten von Millionen von Benutzern umfassen, wie z. B. Anmeldedaten und Kreditkartennummern. Anschließend können diese Daten auf dem Schwarzmarkt weiterverkauft werden.

Angreifer haben es auf jeden abgesehen, dem sie Daten entlocken können. Alle persönlichen oder vertraulichen Daten sind für Cyber-Kriminelle wertvoll – in der Regel findet sich jemand auf der Welt, der dafür bezahlen möchte.

Was sind die wichtigsten Ursachen für eine Datenschutzverletzung?

  • Verlorene oder gestohlene Anmeldedaten – Die einfachste Möglichkeit, private Daten online einzusehen, ist die Verwendung der Zugangsdaten einer anderen Person, um sich bei einem Dienst anzumelden. Zu diesem Zweck setzen Angreifer eine ganze Reihe von Strategien ein, um an die Benutzernamen und Passwörter von Personen zu gelangen. Dazu gehören Brute-Force-Angriffe und On-Path-Middle-Angriffe.
  • Verlorene oder gestohlene Geräte – Ein verlorener Computer oder ein verlorenes Smartphone, das vertrauliche Informationen enthält, kann in den falschen Händen sehr gefährlich sein.
  • Social-Engineering-AngriffeSocial Engineering beinhaltet den Einsatz psychologischer Manipulation, um Menschen zur Herausgabe sensibler Informationen zu verleiten. Ein Angreifer kann sich beispielsweise als Finanzbeamter ausgeben und seine Opfer anrufen, um sie davon zu überzeugen, ihm ihre Bankkontodaten zu verraten.
  • Insider-Bedrohungen – Hierbei handelt es sich um Personen, die Zugang zu geschützten Informationen haben und diese Daten bewusst weitergeben, z. B. um sich persönlich zu bereichern. Beispiele hierfür wären der Kellner eines Restaurants, der die Kreditkartennummern von Kunden kopiert, sowie hochrangige Regierungsbeamte, die Geheimnisse an andere Staaten verkaufen. (Erfahren Sie mehr über Insider-Bedrohungen.)
  • Ausnutzung von Sicherheitslücken – Fast jedes Unternehmen auf der Welt verwendet eine Vielzahl verschiedener Softwareprodukte. Da Software so komplex ist, enthält sie oft Fehler, die als „Schwachstellen“ bekannt sind. Ein Angreifer kann sich über diese Schwachstellen unbefugt Zugang verschaffen und vertrauliche Daten einsehen oder kopieren.
  • Malware-Infektionen – Viele böswillige Softwareprogramme sind darauf ausgelegt, Daten zu stehlen oder die Aktivitäten des Nutzers zu verfolgen und die gesammelten Informationen an einen vom Angreifer kontrollierten Server zu senden.
  • Physische Kartenterminal-Angriffe – Diese Angriffe zielen auf Kredit- und Bankkarteninformationen ab und betreffen meist die Geräte, die diese Karten scannen und lesen. Zum Beispiel könnte jemand einen gefälschten Geldautomaten aufstellen oder in der Hoffnung, Karten- und PIN-Nummern zu ergattern, sogar einen Scanner an einem legitimen Geldautomaten installieren.
  • Credential Stuffing – Nachdem die Anmeldedaten einer Person in einer Datenschutzverletzung offengelegt wurden, kann ein Angreifer versuchen, dieselben Anmeldedaten auf Dutzenden von anderen Plattformen ebenfalls zu verwenden. Wenn sich dieser Benutzer mit demselben Benutzernamen und Passwort bei mehreren Diensten anmeldet, kann sich der Angreifer so Zugang zu den E-Mail-, Social-Media- und/oder Online-Banking-Konten des Opfers verschaffen.
  • Fehlende Verschlüsselung – Wenn eine Website, die persönliche oder finanzielle Daten sammelt, keine SSL/TLS-Verschlüsselung verwendet, kann jeder die Übertragungen zwischen dem Nutzer und der Website überwachen und die Daten im Klartext einsehen.
  • Fehlkonfigurierte Web-Apps oder Server – Wenn eine Website, eine Anwendung oder ein Webserver nicht ordnungsgemäß eingerichtet ist, könnten die Daten für jeden mit einer Internetverbindung zugänglich sein. Vertrauliche Daten können von Nutzern eingesehen werden, die zufällig darüber stolpern, oder von Angreifern, die gezielt danach suchen.

Wie sieht eine Datenschutzverletzung in der Praxis aus?

Die Equifax-Datenverletzung im Jahr 2017 ist ein wichtiges Beispiel einer groß angelegten Datenschutzverletzung. Equifax ist eine amerikanische Kreditauskunftei. Zwischen Mai und Juni 2017 verschafften sich böswillige Akteure Zugang zu den privaten Daten von fast 150 Millionen US-Amerikanern, etwa 15 Millionen britischen Bürgern und etwa 19.000 kanadischen Bürgern auf den Servern von Equifax. Der Angriff war möglich, weil Equifax eine Software-Schwachstelle in seinem System nicht behoben hatte.

Auch kleinere Datenschutzverletzungen können eine große Wirkung haben. Im Jahr 2020 hijackten Angreifer die Twitter-Konten zahlreicher berühmter und einflussreicher Personen. Der Angriff wurde durch eine anfängliche Social-Engineering-Attacke ermöglicht, die es den Angreifern Zugang zu den internen Verwaltungstools von Twitter verschafften. Ausgehend von diesem anfänglichen Sicherheitsverstoß waren die Angreifer in der Lage, die Konten mehrerer Personen zu übernehmen und einen Betrug zu verbreiten, bei dem etwa 117.000 $ in Bitcoin gesammelt wurden.

Eine der berüchtigtsten Datenschutzverletzungen der letzten Jahrzehnte war der Cyberangriff auf das große Einzelhandelsunternehmen Target im Jahr 2013. Die Kombination von Strategien, mit denen dieser Angriff durchgeführt wurde, war ziemlich raffiniert. Der Angriff umfasste eine Social-Engineering-Attacke, das Hijacking eines Drittanbieters und einen groß angelegten Angriff auf physische Kassengeräte.

Der Angriff wurde mit einem Phishing-Betrug eingeleitet, der sich gegen Mitarbeiter einer Klimaanlagenfirma richtete, die Klimaanlagen an Target-Geschäfte lieferte. Diese Klimaanlagen waren mit Computern in Targets Netzwerk verbunden, um den Energieverbrauch zu überwachen, und die Angreifer hackten die Software der Klimaanlagenfirma, um so Zugang zu Targets System zu erhalten. Schließlich konnten die Angreifer die Kreditkartenscanner in Targets Geschäften so umprogrammieren, dass sie ihnen die Kreditkartendaten der Kunden lieferten. Diese Scanner waren zwar nicht mit dem Internet verbunden, aber sie waren so programmiert, dass sie regelmäßig gespeicherte Kreditkartendaten in einem von den Angreifern überwachten Zugangspunkt ablegten. Der Angriff war erfolgreich und führte dazu, dass die Daten von schätzungsweise 110 Millionen Target-Kunden kompromittiert wurden.

Wie können Unternehmen Datenschutzverletzungen verhindern?

Da Datenschutzverletzungen in so vielen Formen auftreten, gibt es keine Einzellösung, um Datenschutzverletzungen anzuhalten. Es ist ein ganzheitlicher Ansatz erforderlich. Einige der wichtigsten Maßnahmen, die Unternehmen einleiten können, sind:

Zugriffskontrolle: Unternehmen können bei der Bekämpfung von Datenschutzverletzungen helfen, indem sie dafür sorgen, dass ihre Mitarbeiter nur das für ihre Arbeit erforderliche Mindestmaß an Zugriff und Berechtigungen erhalten.

Verschlüsselung: Unternehmen sollten ihre Websites und die Daten, die sie empfangen, mit SSL/TLS-Verschlüsselung verschlüsseln. Unternehmen sollten auch Daten im Ruhezustand verschlüsseln, wenn sie auf ihren Servern oder auf den Geräten ihrer Mitarbeiter gespeichert sind.

Web-Sicherheitslösungen: Eine Web Application Firewall (WAF) kann ein Unternehmen vor verschiedenen Arten von Anwendungsangriffen und Schwachstellenausnutzungen schützen, die auf Datenschutzverletzungen abzielen. Es wird sogar spekuliert, dass eine ordnungsgemäß konfigurierte WAF den großen Angriff auf die Datenschutzverletzung bei Equifax im Jahr 2017 verhindert hätte.

Netzwerksicherheit: Zusätzlich zu ihren Websites müssen Unternehmen auch ihre internen Netzwerke vor Kompromittierung schützen. Firewalls, DDoS-Schutz, sichere Web-Gateways und Data Loss Prevention (DLP) können zur Sicherheit der Netzwerke beitragen.

Software und Hardware auf dem neuesten Stand halten: Alte Versionen von Software sind gefährlich. Software enthält fast immer Schwachstellen, die es Angreifern ermöglichen, auf sensible Daten zuzugreifen, wenn sie richtig ausgenutzt werden. Software-Anbieter veröffentlichen regelmäßig Sicherheits-Patches oder völlig neue Versionen ihrer Software, um Schwachstellen zu beheben. Wenn diese Patches und Updates nicht installiert werden, können Angreifer diese Systeme kompromittieren – wie es bei Equifax der Fall war. Ab einem bestimmten Punkt stellen die Hersteller den Support für ein Softwareprodukt ein, sodass die Software für alle neu entdeckten Schwachstellen anfällig ist.

Vorbereitung: Unternehmen sollten einen Reaktionsplan erstellen, der im Falle einer Datenschutzverletzung ausgeführt wird, mit dem Ziel, das Informationsleck zu minimieren oder einzudämmen. So empfiehlt es sich beispielsweise, Sicherungskopien von wichtigen Datenbanken zu erstellen.

Schulungen: Social Engineering ist eine der häufigsten Ursachen für Datenschutzverletzungen. Schulen Sie Ihre Mitarbeiter darin, Social Engineering-Angriffe zu erkennen und darauf zu reagieren.

Wie können sich Nutzer vor Datenschutzverletzungen schützen?

Im Folgenden finden Sie einige Tipps zum Schutz Ihrer Daten, auch wenn diese Maßnahmen für sich allein genommen keine Datensicherheit garantieren:

Verwenden Sie für jeden Dienst ein anderes Kennwort: Viele Nutzer verwenden ihre Passwörter für mehrere Online-Dienste. Wenn es bei einem dieser Dienste zu einer Datenschutzverletzung kommt, können Angreifer diese Anmeldedaten verwenden, um auch die anderen Konten der Nutzer zu kompromittieren.

Verwenden Sie die Zwei-Faktor-Authentifizierung: Bei der Zwei-Faktor-Authentifizierung (2FA) wird die Identität eines Nutzers mit mehr als einer Überprüfungsmethode bestätigt, bevor er sich anmelden kann. Eine der gebräuchlichsten Formen der 2FA ist die Eingabe eines einmaligen Codes, den der Nutzer zusätzlich zu seinem Passwort auf sein Handy erhält. Nutzer, die 2FA einsetzen, sind weniger anfällig für Datenschutzverletzungen, bei denen Anmeldedaten preisgegeben werden, da ihr Passwort allein nicht ausreicht, um einem Angreifer den Diebstahl ihrer Konten zu ermöglichen.

Übermitteln Sie personenbezogene Informationen nur auf HTTPS-Websites: Eine Website, die keine SSL-Verschlüsselung verwendet, hat nur „http://“ in ihrer URL, nicht „https://“. Bei Websites ohne Verschlüsselung sind alle auf der Website eingegebenen Daten ungeschützt, von Benutzernamen und Passwörtern bis hin zu Suchanfragen und Kreditkartennummern.

Halten Sie Software und Hardware auf dem neuesten Stand: Dieser Ratschlag gilt sowohl für Nutzer als auch für Unternehmen.

Verschlüsseln Sie Festplatten: Wenn das Gerät eines Nutzers gestohlen wird, hindert die Verschlüsselung den Angreifer daran, die lokal auf dem Gerät gespeicherten Dateien einzusehen. Angreifer, die sich durch eine Malware-Infektion oder eine andere Methode Fernzugriff auf das Gerät verschafft haben, werden dadurch jedoch nicht angehalten.

Installieren Sie nur Anwendungen und öffnen Sie nur Dateien aus seriösen Quellen: Jeden Tag laden Nutzer versehentlich Malware herunter und installieren sie. Vergewissern Sie sich, dass alle Dateien oder Anwendungen, die Sie öffnen, herunterladen oder installieren, wirklich von einer seriösen Quelle stammen. Darüber hinaus sollten Nutzer es vermeiden, unerwartete E-Mail-Anhänge zu öffnen – Angreifer tarnen Malware oft in scheinbar harmlosen Dateien, die an E-Mails angehängt sind.