Was ist eigentlich ein Data Breach?

Ein Data Breach (deutsch: Datenleck) oder auch nur „Breach“ ist ein Datendiebstahl oder -missbrauch. Häufig geschieht dies, indem sich jemand unerlaubt Zugriff auf ein Unternehmensnetzwerk verschafft und sensible Informationen entwendet.

Theoretisches

Diese sensiblen Informationen sind häufig persönliche Daten, wie Kreditkarteninformationen, Sozialversicherungsnummern, Gesundheitsdaten, aber auch vertrauliche Unternehmensinformationen. Werden diese Art Daten von einer Person eingesehen, die dafür keine Berechtigung besitzt, spricht man von einem Data Breach bzw. einer Datenpanne.

Die bekannteste Art eines Data Breach ist wohl der Hacker, der sich Zugriff auf ein Unternehmensnetzwerk verschafft und Einsicht in sensible Informationen erhält oder diese sogar weiter verbreitet.

Streng genommen wäre eine Datenpanne allerdings auch schon ein Kollege, der einem anderen Kollegen über die Schulter schaut, während dieser personenbezogene Daten bearbeitet bzw. geöffnet hat.

Auch Social Engineering kann einen Data Breach auslösen. Was Social Engineering genau ist, hat mein Kollege bereits hier beschrieben.
Per E-Mail Phishing werden hier beispielsweise Login-Daten oder Kreditkarteninformationen der Opfer abgegriffen oder mit simplen Telefonaten und viel Geschick interne Informationen einfach erfragt. Kevin Mitnick beispielsweise gelang dies bereits in den 90ern bei Motorola.

Im Bundesdatenschutzgesetz  ist festgelegt, dass bei der sogenannten „unrechtmäßigen Kenntniserlangung von Daten“ Meldepflicht besteht (§ 42a BDSG). Und zwar, wenn folgende Art von Daten „unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind […]“:

  1. besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG),
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

Gab es bereits einen bekannten Data Breach?

Beispiele für bekannte Datenpannen gibt es einige.
Eine der bekannteren ist wahrscheinlich der Data Breach von Yahoo! im Jahre 2013, der allerdings erst im Jahr 2016 erkannt wurde, als ein anderer Security Incident untersucht wurde.
Die kompromittierten Daten enthielten Informationen zu Benutzeraccounts wie Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und gehashte Passwörter, aber auch Sicherheitsfragen- und antworten. Nach weiteren Untersuchungen wurde klar, dass alle 3 Milliarden Accounts von Yahoo! betroffen waren.

Ein weiterer Vorfall dieser Art ereignete sich noch einmal im Jahr 2014 bei Yahoo!. Dieses Mal wurden jedoch „nur“ Daten mit Bezug zu 500 Millionen Nutzeraccounts gestohlen.
Nach dem Bekanntwerden des Vorfalls wurden betroffene Nutzer informiert und gebeten ihr Passwort zu ändern.

Wie kann ich mich schützen?

Da es für den Data Breach wie bereits erwähnt verschiedene Ursachen gibt, gibt es auch verschiedene Methoden ihn zu vermeiden.

Um die eigenen Daten zu schützen, gibt es eine ganz einfache und wirksame Maßnahme:
Verwenden Sie für jeden Ihrer Accounts ein anderes Passwort. Sollte einer Ihrer Accounts dann trotz aller Vorsichtsmaßnahmen doch einmal gehackt werden, so ist nur dieser Account betroffen. Wird das kompromittierte Passwort auch auf anderen Plattformen verwendet, im „Idealfall“ dann noch in Kombination mit der gleichen E-Mail-Adresse, so ist dieser Account ebenso nicht mehr sicher vor Zugriffen oder Missbrauch.
Wie Sie möglichst sichere Passwörter generieren und mit welchen Tools Sie sich diese auch merken können, erklären meine Kollegen in den verlinkten Beiträgen.

Gegen Social Engineering schützen Sie sich am besten mit Hilfe von Awareness-Kampagnen sowie der Schulung der eigenen Mitarbeiter. Denn jede Security-Kette ist nur so stark wie ihr schwächstes Glied.

Andererseits gibt es zum Schutz auch Lösungen, die einen ganzheitlichen IT-Security-Ansatz verfolgen, wie beispielsweise ein Breach Prevention System. Was das genau ist, habe ich bereits hier beschrieben.

Und, wie immer, gilt auch hier:

  • Fördern und fordern Sie eine offene Unternehmenskultur.
  • Schulen Sie Ihre Mitarbeiter und informieren Sie diese regelmäßig über bekannte Betrugsmaschen.
  • Legen Sie eine gesunde Skepsis an den Tag.

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *