Megapannen 2020 im Datenschutz: Auswirkungen auf digitale Identitäten

Mit wenig Aufwand hätten sich die Top 6 Megapannen verhindern lassen. Warum Multi-Faktor-Authentifizierung das Stichwort ist, lesen Sie in diesem Blog.

Jun 9, 2021 - 2 Min.
Picture of: Sonja Spaccarotella
Sonja Spaccarotella

Deutschland ist federführend bei der Anwendung von Security-Automatisierung, so die „Cost of a Data Breach“-Studie 2020 von IBM Security. Demnach nutzen bereits 75 Prozent der deutschen Unternehmen Sicherheitsautomatisierung, davon vertrauen 30 Prozent auf eine vollständige Automation. Damit liegt die deutsche Industrie über dem globalen Durchschnitt. Die Erfolge können sich sehen lassen: Enorme Kosteneinsparungen und eine schnellere Eindämmung von Datenlecks. Dennoch liegt die Anzahl der Cyberangriffe weiterhin auf einem Rekordniveau. Die Top 6 Megapannen der Datenschutzverstösse 2020 verdeutlichen die Sicherheitslücken, die durch gestohlene digitale Identitäten entstehen können und sich durch eine Multi-Faktor-Authentifizierung (MFA) minimieren lassen. 

Zugangsdaten von Mitarbeitern und fehlerhafte Cloud-Konfigurationen sind die zwei beliebtesten Varianten, mit denen sich Cyberkriminelle unbefugten Zugang zu Firmennetzwerken verschaffen. Ihr Anteil liegt bei fast 40 Prozent, so die Ergebnisse der „Cost of a Data Breach“-Studie 2020. Auslöser sind in einem von fünf Fällen gestohlene digitale Identitäten in Form von Passwörtern oder E-Mails. Die Top 6 Megapannen bestätigen das Muster. 

Buchbinder ignoriert zweifache Warnungen 

Bereits 2019 informierte der IT-Sicherheitsforscher Matthias Nehl die grösste Autovermietung Deutschlands zweimal über offene Netzwerkschnittstellen eines zentralen Backup-Servers. Statt die Warnungen ernst zu nehmen, ignorierte Buchbinder den Hinweis zunächst. Erst nachdem sich Nehls an das Bayerische Amt für Datenschutzaufsicht wandte, schloss das Unternehmen die Sicherheitslücke. Bis dahin waren die digitalen Identitäten von über drei Millionen Kunden im Netz verfügbar, darunter Führerschein-Nummern mit zugehörigen Adressen, Zahlungs- und Geburtsdaten sowie Telefonnummern. Zu den Betroffenen zählten unter anderem auch Politiker, Sportler und Journalisten. 

Kreditkartendaten von Easyjet-Kunden gestohlen

Über neun Millionen Kunden der britischen Airline Easyjet wurden Opfer eines Hackerangriffs. Neben Reiseinformationen konnten Unbekannte auch E-Mail-Adressen und Kreditkartendaten von mehr als 2.200 Kunden samt Sicherheitscode erbeuten. Das Unternehmen reagierte mit Rundschreiben an die betreffenden Kunden, um frühzeitig gegen Phishing-Attacken der Betrüger vorzugehen.

Panne nach Datenleck beim Deutschen Roten Kreuz 

Nur drei Minuten benötigte ein Hacker, um sich Zugriff zu den Servern mehrerer Kreisverbände des Deutschen Roten Kreuzes in Brandenburg zu verschaffen. Damit standen ihm Patientendaten von über 30.000 Personen und eine Liste der Krankentransporte offen. Die Brisanz ergibt sich vor allem aus dem fehlenden Krisenmanagement: Trotz eines Hinweises des Hackers auf die Sicherheitslücke und einer Aufzeichnung seines Vorgehens wurde die Webseite nur gesperrt. Der Server diente jedoch weiterhin als Eingangstür zu den Patientendaten. Wochen später testete der Hacker erneut die Sicherheitslücke – mit Erfolg und freiem Zugriff auf Patientendaten und digitale Identitäten. Erst nach einer Kontaktaufnahme mit Journalisten reagierten die Kreisverbände, mehr als 72 Tage nach dem ersten Hinweis des Hackers. 

Corona-Schnellkredite in NRW durch Phishing-Methode erbeutet 

Zahlreiche Antragsteller von Soforthilfe-Krediten wurden in Nordrhein-Westfalen mit der Phishing-Methode auf gefälschte Webseiten gelockt. Zum Einsatz kamen neben gefälschten Anträgen auch ein kopierter Internetauftritt des Landeswirtschaftsministeriums. Sobald die Antragsteller die gefälschten Formulare ausfüllten, hatten die Cyberkriminellen alle Daten zur Verfügung, um im Namen der Unternehmer digitale Identitäten für echte Anträge zu erstellen. Einzig die Bankverbindung wurde ausgetauscht, sodass die Opfer vergebens auf die dringende Corona-Soforthilfe vom Bund warteten. 

Britische Impfstoff-Forscher von Industriespionage betroffen 

Laut Informationen des britischen Zentrums für Cybersicherheit (NCSC) sind neben Grossbritannien auch die USA und Kanada von russischer Industriespionage betroffen. Demnach versuchte die Gruppe APT29, auch bekannt als „The Dukes“, im Auftrag des Kremls, Informationen über die Impfstoff-Produktion von Forschungsinstituten und Pharmaunternehmen zu stehlen. Darunter befanden sich auch vertrauliche Regierungsdokumente mit Protokollen von britisch-amerikanischen Handelsgesprächen. Neben Phishing-E-Mails wurde auch benutzerdefinierte Malware genutzt.

Erpressungen nach Insider-Angriff bei Scalable Capital

Nach einem Insider-Angriff bei dem Vermögensverwaltungsservice Scalable Capital häuften sich die Beschwerden über Erpressungen und Spam-Anrufe. Ausgangspunkt war ein Hacker-Angriff eines ehemaligen Mitarbeiters, der sich Zugriff auf ein Archiv verschafft hatte. Rund 30.000 digitale Identitäten waren betroffen, darunter Ausweiskopien, Kontaktdaten und Steuer-Identifikationsnummern. Einzig Depotdaten blieben verschont. Die Beschwerden halten dennoch an: Allein bei der Europäischen Gesellschaft für Datenschutz werden derzeit rund 800 Fälle von Scalable-Kunden auf Schadenersatz geprüft. 

Was also tun gegen solche Angriffe? Immer wieder erweist sich eine unzureichende Absicherung von Zugängen als Einfallstor für die Hacker. Insbesondere veraltete Passwortverfahren halten dem Einfallsreichtum der Cyberkriminellen heute nicht mehr Stand. Um die Sicherheit persönlicher Daten in der Online-Welt zu gewährleisten, eignet sich eine MFA. Dabei erfolgt die Identitätsprüfung durch die Kombination unterschiedlicher Sicherheits- und Validierungsverfahren wie die Gesichtserkennung oder die Analyse des Tippverhaltens. Die Massnahme kostet den Anwender weder Zeit noch Mühe, sorgt aber für eine hohe Sicherheit vor unbefugten Zugriffen auf digitale Identitäten.

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!