Datendiebstahl: Was Sie darüber wissen müssen
Im deutschsprachigen Raum, wird häufig nur von Datenlecks gesprochen. Bei den meisten Vorfällen handelt es sich jedoch um „data breaches“, Datendiebstahl, der Millionenschäden verursachen kann und nicht nur um interne Datenlecks. Die Ursachen sind vielfältig, die Folgen oft gravierend, doch man kann sich schützen.
Der Datendiebstahl boomt. Der jüngste Vorfall bei Facebook, bei welchem 533 Millionen Kunden Datensätze im Darkweb landeten, ist nur ein Beispiel unter vielen. Egal ob grosse Soziale Netzwerke, IT Provider oder Covid-19 Plattformen, Vorfälle passieren leider überall, auch in der Schweiz. So mancher Benutzer ist der vielen Meldungen müde geworden. Obwohl es scheint, als ob den Benutzern die Privatsphäre egal ist, sollten sich Unternehmen unbedingt vor den verschiedenen Folgeschäden schützen, die für Unternehmen gravierend und kostspielig sein können.
Häufige Ursachen für Datendiebstahl
Die Gründe für die Datenschutzvorfälle sind unterschiedlicher Natur. Die häufigste Ursache sind unbefugte Zugriffe aufgrund von schlechten Authentifizierungsprozessen. So sind zum Beispiel schwache Passwörter oder Passwörter welche durch Phishing gestohlen wurden ein leichtes Einfallstor für Angreifer. Gerade in den letzten 12 Monaten entstanden viele neue Cloud-Dienste im Zuge der Digitalen Transformation. Aufgrund von fehlenden Ressourcen und mangelnden Wissens wurden die Dienste oft nicht ausreichend geschützt, was dazu führte das Datensätze für Jedermann im Internet freizugänglichen waren. Egal ob AWS S3 Speicher oder Elasticsearch-Datenbanken, Cyberkriminelle scannen das Internet täglich nach schlecht konfigurierten Cloud-Diensten und stehlen die Daten oder nutzen den Zugang für weitere Attacken. So kann zum Beispiel ein simples Formjacking JavaScript, welches auf diesem Weg in einem Online Shop platziert wird, täglich tausende von Kreditkarten Daten unbemerkt stehlen und auswerten.
Selbst bei korrekt konfigurierten Systemen kann es zu Datenverlust kommen, wenn einzelne Benutzer das ganze Netzwerk enumerieren und abspeichern können. So konnte zum Beispiel ein Nutzer der Audio Chat App Clubhouse ein Telefonbuch aller 1.3 Millionen Benutzer mit Profildaten erstellen und dies ins Internet stellen.1 Natürlich handelt es sich hierbei um bereits öffentlich zugängliche Daten, jedoch sind sie nun aggregiert und einfach weiterverwendbar. Hier fehlte das Monitoring der Datenzugriffe, welches ein solches Abgrasen verhindern sollte.
Des Weiteren werden auch Schwachstellen in Systemen ausgenutzt, Malware eingesetzt, menschliche Fehler ausgeschöpft oder Daten durch die eigenen Mitarbeiter entwendet.
Folgen für Private Nutzer
Für die Privaten Benutzer sind die Folgen von Datendiebstahl oft nicht leicht abzuschätzen, gerade bei Sozialen Netzwerken, trotzdem bleibt ein unwohles Gefühl. Gestohlene Profildaten von Sozialen Netzwerken werden häufig von Cyberkriminellen dazu verwendet um personalisierte Phishing Emails zu erstellen. Der persönliche Touch in Emails mit namentlicher Ansprache und realem Bezug kann sehr überzeugend wirken. Aktuell gab es nach dem Datenleck bei Facebook vermehrt Spam SMS auf die veröffentlichten Mobilenummern, welche angebliche Paketlieferungen ankündigten, es aber auf Kreditkartendaten abgesehen hatten.
Pikante persönliche Fotos oder private Chatnachrichten können theoretisch für Erpressungsversuche verwendet werden, allerdings skaliert diese nur schwer, weshalb die Angreifer oft pauschale Drohungen aussprechen und hoffen das die Opfer auch ohne konkrete Beweise aus Angst reagieren.
Es dürfte offensichtlich sein das erbeutete Kreditkarten Daten natürlich auch sehr profitable für die Kriminellen sind. Die erbeuteten Datensätze werden in Untergrund Foren gehandelt. Hunderttausende von Benutzerdaten kosten im Durchschnitt nur wenige Dollars.
Falls bei der Attacke auch die Passwörter der Benutzer entwendet wurden, folgen weitere Attacken. Als erstes können die Angreifer nun in die Konten der Benutzer einloggen. Dies ermöglicht es überzeugende Spam Nachrichten an den Bekanntenkreis zu senden und neue potentielle Opfer zu finden. Natürlich können die Profile auch missbraucht werden um Malware zu verteilen oder andere Konten mit Followern anzukurbeln.
Indirekte Folgen für Unternehmen
Genau solche Zugriffe auf private Konten können auch Unternehmen Probleme bereiten, falls es sich um Mitarbeiter handelt. Denn leider ist es noch immer eine weit verbreitete Praxis das Gleiche Passwort auf mehreren unterschiedlichen Diensten zu nutzen. Falls nun einer dieser Services einen Datenvorfall erleidet, kann der Angreifer die Kombination von Benutzername und Passwort auch bei anderen Diensten testen. Diese Schrottflinten Methode wird auch Credential Stuffing genannt. Angreifer können so häufig Zugriff auf das VPN des Unternehmens, die Office 365 Umgebung, Fileshare Plattformen oder andere Firmen Ressourcen erhalten. Wenn das Geschäftsemailkonto in die falschen Hände fällt, kann der Angreifer sogar Passwörter zurücksetzen lassen und aus dem Email Archiven lernen.
Mit dem Wandel zu mehr Arbeit von Zuhause aus, hat sich auch das Privatleben noch mehr mit dem Geschäftlichen vermischt. Vielerorts werden die Geschäftslaptops auch für Privates Surfen verwendet. Somit führt ein Malware Befall durch ein privates Social Media Netzwerk, direkt zu einem kompromittierten Geschäftsgerät. Beim nächsten einloggen ins Firmen VPN kann sich der Schadcode dann an der Firewall vorbei ins Unternehmensnetzwerk schleusen.
Ein geknacktes, privates Mitarbeiterkonto kann für die Angreifer der Schlüssel zum Unternehmen sein. Es braucht also unbedingt einen sicheren Umgang mit Passwörtern und Authentifizierung. Starke und einzigartige Passwörter sind nur der Anfang. Multi-Factor Authentifizierung (MFA), User Entity Behavior Analytics (UEBA) oder ZeroTrust Access könnten zusätzlich helfen die Folgen von gestohlen Passwörtern zu minimieren. Da es sich um private Konten der Mitarbeiter handelt, welche sich nicht unter der Kontrolle des Unternehmens befinden, ist Aufklärung ein weiterer wichtiger Bestandteil der Security Kampagne.
Gezielte Ransomware
Der Datendiebstahl kann für die Angreifer sehr profitable sein. Nicht unbedingt durch den direkten Verkauf der Daten, sondern durch Erpressung. Dies wird ersichtlich, wenn man sieht wie gezielte Ransomware Attacken seit einigen Jahren sich vermehrt auf Daten Diebstahl fokussiert. So hatte im Mai 2021 die Ransomware Gruppe Babuk verkündet mit der Daten-Verschlüsselung aufzuhören und sich komplett auf Daten Diebstahl zu konzentrieren, da es einfacher und profitabler sei. Die Ransomware Gruppe DarkSide hat in weniger als 3 Monaten 17.5 Millionen Dollar durch solche Erpressungen erbeutet. Eine Untersuchung von Coveware zeigt, dass 77% der Ransomware Angriffe im ersten Quartal diesen Jahres Daten exfiltrierten, eine Zunahme von 10%. Derzeit gibt es über 30 Ransomware Gruppen welche zusammen für mehr als 2’000 veröffentliche Datensätze im letzten Jahr verantwortlich sind.
Mögliche Folgen von Datendiebstahl
Nach einem Datendiebstahl verlieren die Kunden oft das Vertrauen in ein Unternehmen, zum Beispiel durch negative Presseberichte. Es kann aber auch rechtliche Konsequenzen und Strafen durch Datenschutz-Verordnungen wie der DSGVO nach sich ziehen. Der Verlust von geschützten Informationen, geheimen Finanzdaten oder Patenten, ist nicht nur schmerzlich, sondern kann auch zu Folgeattacken führen, welche die Daten wie zum Beispiel Passwörter missbrauchen. Noch gravierender sind die bereits erwähnten Erpressungen durch Cyberkriminelle, welche mit der Veröffentlichung der Daten drohen. Selbst die Aufarbeitung des Vorfalles und das zeitnahe verbessern der IT Infrastruktur kann grosse Kosten mit sich bringen.
Die Verwirrung über Datenschutzbestimmungen wächst
Während Datenschutz und Wiederherstellung für viele IT-Experten eine hohe Priorität haben, ist die Einhaltung gesetzlicher Vorschriften ein düstereres Thema. In einer Umfrage von Acronis gaben etwa 10% der Befragten an, sich nicht sicher zu sein, ob sie Datenschutzbestimmungen unterliegen - doppelt so viel wie im Jahr 2020.2
Wenn IT-Experten nicht einmal wissen, an welche Vorschriften sie gebunden sind, können sie diese vorgeschriebenen Datenschutzstandards natürlich nicht zuverlässig erfüllen. Dies birgt das Risiko erheblicher Bussgelder für Verstösse gegen die Vorschriften, ganz zu schweigen von teuren Rechtsstreitigkeiten und Reputationsschäden, falls Daten aufgrund dieser Praktiken verloren gehen.
Unternehmen sollten Lösungen einführen, die ihnen helfen, die relevanten Datenschutzrahmen einzuhalten, damit sie nicht auf gefährliche und möglicherweise kostspielige Lücken in Bezug auf Bewusstsein und Fähigkeiten stossen.
Komplexe Patchworks von Lösungen
Da IT-Umgebungen immer umfangreicher und komplexer werden, verlassen sich IT-Experten zunehmend auf einen grossen Flickenteppich an Lösungen, um sich gegen Datenverlust und andere Cyberrisikenzu schützen. Eine Umfrage von Acronis ergab, dass die meisten Unternehmen bereits bis zu 10 verschiedene Dienste und Agenten zum Schutz von Daten, Anwendungen und Systemen verwenden. In der weltweiten Eile des letzten Jahres, neue Lösungen einzuführen, die Remote-Arbeit unterstützen können, hat sich dieser Trend nur beschleunigt. 21% der Befragten verwendeten sogar mehr als 10 verschiedene Sicherheitslösungen.3
Dieser hohe Ansatz ist sowohl ineffizient als auch potenziell gefährlich. Techniker müssen lernen, eine Vielzahl von Anwendungen zu verwenden und zu warten, während die schiere Anzahl der laufenden Agenten das Potenzial hat, Systeme zu überlasten. Und Komplexität selbst ist ein Risikofaktor. Aktualisierungen einer Lösung können zu Inkompatibilitäten mit anderen führen. Die Tatsache, dass diese Lösungen - häufig von konkurrierenden Anbietern - nicht immer miteinander verbunden sind, führt zu weiteren Blindenflecken.
10 Tipps, wie Sie Datendiebstahl vorbeugen:
- Speichern Sie nur die Daten welche Sie auch wirklich benötigen
- Überprüfen Sie die Datenschutzverordnungen welche für Sie relevant sind
- Implementieren Sie einen Vulnerability und Compliance Management Prozess
- Kontrollieren und Protokollieren Sie die Datenzugriffe
- Implementieren Sie eine Identitäts- und Zugriffsverwaltung welche über Passwörter hinaus geht
- Nutzen Sie einen integrierten holistischer Cyber Protektion Ansatz
- Erstellen Sie einen Notfallplan, inklusive einer Liste mit den Stellen welche Sie bei einem Datenleck informieren müssen
- Verschlüsseln Sie die Daten wo immer möglich, insbesondere auch Passwörter
- Führen Sie Awareness Trainings durch, zum Beispiel im Umgang mit Mobilen Geräten
- Führen Sie regelmässig Audits durch
1www.netzwoche.ch/news/2021-04-13/clubhouse-13-millionen-nutzerdaten-im-netz
2Acronis Globaler Security Bericht 2021
3Acronis Bericht zur Cyber-Protection in Deutschland und Europa
Über den Autor
Candid Wüest arbeitet als VP Cyber Protection Research bei Acronis und analysiert die Sicherheitslage im Internet. Er berät Unternehmen und Regierungen in IT Security Fragen. Davor war er mehr als 16 Jahre als Lead Threat Researcher im globalen Symantec Security Response Team tätig. Er besitzt einen Master in Informatik von der ETH Zürich und verschiedene Patente.
Wie der IT-Arbeitsplatz von morgen gemäss HP aussieht
Endpoint Detection and Response als Managed Service nutzen
Update: Österreichischer Investor übernimmt Devolo
Die wichtigsten Werkzeuge für die Abwehr
"Wir suchen Partner, die wachsen möchten"
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Cybersicherheit mit Infinigate Cloud
Umfassende Cybersicherheit für OT-Umgebungen
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
