Datenlecks: Spätfolgen für Einzelne

Wenn Daten in die Hände Krimineller geraten, ist der Medienrummel erst einmal gross. Zu Recht. Was in diesem Trubel untergeht, sind die Folgen für einzelne Personen: Der Missbrauch der persönlichen Informationen. Dieser hat für Einzelpersonen nicht nur unmittelbare, sondern auch langfristige Folgen. Denn das Perfide ist, dass es mitunter Wochen oder Monate dauern kann, bis jemand persönliche Daten verwendet.

Die Dimension des Datenmissbrauchs

Wer glaubt, dass es Cyberkriminelle ausschliesslich auf Passwörter abgesehen haben, liegt falsch. Denn ein geleaktes Kennwort lässt sich leicht ändern und oft um einen zweiten Anmeldefaktor erweitern. Das heisst, Passwörter sind das kleinste Problem. Daten, die sich kaum oder nur mit teils grossem Aufwand ändern lassen, sind das weitaus grössere Problem: Klarnamen, Kontaktinformationen, medizinische Diagnosen oder Kontodaten. All diese Informationen lassen sich mit entsprechender krimineller Energie zu Geld machen.

Wenn heute also Cyberkriminelle einen Datensatz stehlen, kann es Monate dauern, bis jemand diese Daten in krimineller Absicht nutzt. Wenn das passiert, haben Betroffene meist viel Arbeit, um mit den Folgen zu kämpfen. Und es fragt in dieser akuten Situation niemand, aus welchem Datenleck genau die Informa­tionen stammen.

Nicht die Masse ist entscheidend

Nachrichtenportale oder Fachmedien berichten gerne über grosse Datenlecks, bei denen Kriminelle gigabyte- oder terabyteweise Daten abgegriffen haben. Dabei sagt die Menge der Daten noch nichts über den Inhalt oder die Brisanz der Informationen aus. Wer beispielsweise einen Storage-Server hackt und das komplette Videoarchiv eines Unternehmens herunterlädt, hat sich auch erst einmal eine beachtliche Menge Daten verschafft. Ob diese allerdings wertvoll sind, ist fraglich. Wenn die heruntergeladenen ­Videodateien etwa bereits auf Youtube öffentlich verfügbar sind, relativiert sich das Ausmass dieses virtuellen Raubzugs schnell.

Dass die reine Datenmenge kein geeigneter Indikator für den angerichteten Schaden ist, zeigt ein anderes plakatives Beispiel: Eine einzelne 500 Kilobyte grosse Excel-Datei mag auf den ersten Blick keine Meldung wert sein. Enthält die Datei allerdings sämt­liche Passwörter eines Unternehmensnetzwerkes, dann wird aus einem vermeintlich unspektakulären Datenleck schnell ein Ereignis mit genug Sprengkraft, um auch ein grosses Unternehmen nachhaltig zu schädigen.

Schnell handeln, Schaden begrenzen

Alle Datenlecks haben eines gemeinsam: Sind Daten einmal ge­leakt, lassen sie sich nie wieder einfangen. Die einzigen Optionen, die alle Nutzerinnen und Nutzer haben: Wachsam sein und genau darauf achten, welche Informationen sie online preisgeben. Auch wenn es mittlerweile niemand mehr hören kann: Gute Passwort-Hygiene ist ein absolutes Muss, ebenso wie die Verwendung eines Passwortmanagers und der Einsatz von Zwei-Faktor-Authentifizierung, wo immer dies möglich ist. Wird eine Plattform kompromittiert, ist das Kennwort unverzüglich zu ändern. Ohne Wenn und Aber.

----------

Kundendaten sind ein wertvoller Schatz, den es unbedingt zu schützen gilt

Datenlecks sind für Unternehmen und Kunden ein grosses Ärgernis. Unternehmen drohen Imageschaden und Strafzahlungen, Privatpersonen im Worst Case finanzielle Verluste. Cornelia Lehle, Head of Sales DACH bei G Data, erläutert im Interview, wie man das Risiko reduzieren kann und welche Verantwortung Unternehmen tragen müssen. Interview: Coen Kaat

Wie gross ist die Wahrscheinlichkeit, tatsächlich Opfer von Datenmissbrauch zu werden?

Cornelia Lehle: Das lässt sich pauschal kaum beantworten. Für Einzelpersonen gilt sicherlich: Je mehr Accounts sie bei Onlinediensten angelegt haben, desto höher ist auch die Wahrscheinlichkeit, dass die Daten im Zuge eines Leaks in falsche Hände geraten. Nach Berechnungen des Hasso-Plattner-Instituts werden jeden Tag mehr als 1,6 Millionen Accounts geleakt. Die Gesamtzahl der kompromittierten Nutzerkonten liegt bei mehr als 12,8 Milliarden – Tendenz steigend. Auf der anderen Seite tragen Unternehmen einen Grossteil der Verantwortung. Sie müssen die Sicherheit ihrer Kundendaten gewährleisten. Und nicht immer entsprechen die Schutzmassnahmen dem aktuellen Standard.

Wie verhindert man, dass man die eigenen Daten in einem Datenleck wiederfindet?

Der einfachste Weg wäre sicherlich, keine Kundenkonten anzulegen. Aber im Ernst: Der wichtigste Tipp ist Datensparsamkeit. Anwenderinnen und Anwender sollten stets nur die notwendigsten Daten angeben. Ansonsten sind die Einflussmöglichkeiten einzelner Personen sicherlich stark limitiert. Aus meiner Sicht ist daher ein anderer Punkt entscheidend. Nutzer und Nutzerinnen können mit einfachen Massnahmen zumindest dafür sorgen, dass im Falle eines Datenlecks die Daten für Kriminelle wertlos sind. Wer bei seinen Konten Zwei-Faktor-Authentifizierung nutzt und jedes Konto mit einem eigenen komplexen Kennwort sichert, kann grösseren Schaden abwenden.

Wie lassen sich Klarnamen, Kontaktinformationen oder medizinische Diagnosen zu Geld machen?

Der Fantasie sind hier leider nur wenige Grenzen gesetzt: Sei es durch Anrufe eines vermeintlichen Microsoft-Supports, oder durch das Bestellen von Waren im Namen und auf Rechnung einer anderen Person, das Eröffnen von Bankkonten mit fremden Informationen oder die Durchführung von Überweisungen zu Lasten eines fremden Bankkontos. Selbst veraltete und nicht mehr aktuelle Daten sind für Kriminelle einen Blick wert. So haben Täter alte Informationen benutzt, um aktuelle Daten zu erhalten – etwa durch Mails, in denen sie unter einem Vorwand ganz offen um die "Bestätigung" oder "Aktualisierung" von Daten bitten. Selbst ein schon vor langer Zeit geändertes Passwort oder eine alte medizinische Information kann zum Hebel werden, der Kriminellen Zugang zu mehr Daten verschafft. Kurzum: Möglich ist grundsätzlich alles.

Was können Unternehmen, die derartige Daten verarbeiten, tun, um diese Informationen zu schützen?

Für viele Unternehmen sind Kundeninformationen ein zentraler Datenschatz. Daher sollten in erster Linie nur diejenigen Kundendaten erhoben werden, die zur Verarbeitung des aktuellen Auftrags auch wirklich zwingend notwendig sind. Ebenso sollte man diese unbedingt fachmännisch vor externen Zugriffen schützen. Dazu gehört natürlich eine ganzheitliche IT-Sicherheitsstrategie. Eine Selbstverständlichkeit sollte es sein, nur die notwendigsten Systeme von aussen zugänglich zu machen. Regelmässig sollten IT-Verantwortliche prüfen, welche Geräte Zugang zum Internet haben und ob das wirklich erforderlich ist. Dann gilt es natürlich, seine IT-Abteilung so aufzustellen, dass Patches so schnell wie möglich ausgerollt werden können. Und last but not least gelten die ebenfalls unverändert empfohlenen Vorsichtsmassnahmen für Mitarbeitende im Umgang mit Mails und Dateianhängen.

Ist Prävention der einzige Schutz? Was macht man, wenn die Daten bereits geklaut wurden?

Prävention ist natürlich der beste, aber nicht der einzige Schutz. Wird eine Plattform trotz aller Schutzmassnahmen doch einmal kompromittiert, ist das Passwort sofort zu ändern. Das Problem dabei: Wenn heute ein Datensatz gestohlen wird, kann es Monate dauern, bis jemand diese Daten in krimineller Absicht nutzt. Insofern ist "Diebstahl" streng genommen nicht der korrekte Begriff – denn auch wenn ein etwa Passwort "gestohlen" wurde, sind die Ressourcen für die betroffene Person in der Regel noch zugänglich. Anders als etwa, wenn einem der Hausschlüssel gestohlen wurde, hat der Bestohlene meist noch Zugriff auf digitale Besitztümer – nur, dass jemand anderes diesen Zugang nun auch besitzt. Wenn das passiert, dann haben Betroffene meist alle Hände voll zu tun, um mit den Folgen zu kämpfen. In der Situation fragt sich kaum jemand, aus welchem Datenleck genau nun die Informationen stammen.