Drei namhafte Datenschutzverletzungen

Datenschutzverletzungen kommen aus den unterschiedlichsten Gründen immer wieder vor. Diejenigen, die in den Nachrichten erscheinen, haben drei Dinge gemeinsam:

1. Die Daten betreffen Sie und mich, die Öffentlichkeit, den Normalbürger.
2. Die Daten betreffen viele von uns, Millionen, ja Milliarden.
3. Die Unternehmen, die die Daten verwalten, sind bekannte Namen.

In diesem Artikel werden wir uns drei berühmte Unternehmen ansehen, bei denen jeweils eine Menge Daten verloren gegangen sind.

Der Wert der Daten

Für Hacker und Cyberkriminelle sind personenbezogene Daten oder persönlich identifizierbare Informationen (PII) eine Art Währung. (PII bedeutet Dinge wie Geburtsdaten, Kreditkartennummern, E-Mail-Adressen, alles, was zur Identifizierung einer Person verwendet werden kann). Solche Daten sind wertvoll. Personenbezogene Daten können für bis zu 250 Dollar pro Person an andere Kriminelle verkauft werden. PII-Datensätze können verwendet werden, um betrügerische Gelder zu erlangen, indem man sich als eine andere Person ausgibt oder diese erpresst. Wenn die Daten schwach verschlüsselte Kennwörter enthalten, können diese entschlüsselt und zum Hacken anderer Konten verwendet werden, da viele von uns dasselbe Kennwort auf mehreren Websites verwenden.

Datenschutzverletzungen sind kein neues Problem. Aber die Reaktion der Öffentlichkeit auf große Datenschutzverletzungen hat sich geändert. Viele Unternehmen stützen ihr gesamtes Geschäftsmodell auf die Verwertung der privaten persönlichen Daten ihrer Kunden. Wenn diese Daten an die Öffentlichkeit gelangen, fliehen die Kunden, der Ruf des Unternehmens bröckelt und die Aktienkurse fallen. Das alles bedeutet einen wirtschaftlichen Schaden für das Unternehmen, das die Daten verwaltet.

Wie es zu Datenverletzungen kommt

Es gibt viele Gründe für Datenschutzverletzungen und viele Möglichkeiten, sie zu klassifizieren. Am aufschlussreichsten ist es, sie in vermeidbare und nicht vermeidbare zu unterteilen. Ein Beispiel für eine nicht vermeidbare Datenschutzverletzung wäre die Ausnutzung einer unbekannten (Zero-Day-)Sicherheitslücke in Software.

Eine vermeidbare Datenschutzverletzung wäre auf eine Fehlkonfiguration des Servers oder der Datenbank, das versehentliche Versenden oder Veröffentlichen von Anmeldedaten im Klartext oder, was am bedauerlichsten ist, das Versäumnis, die Software zu aktualisieren, zurückzuführen. Bedauerlich deshalb, weil es sich um ein Versäumnis handelt und nicht um eine falsche Handlung. Dies ist der klassische Fall, in dem Nichtstun zur Katastrophe führt.

Warum wir das Patchen von Software vermeiden

Hier finden Sie einige klassische Antworten (und unsere Interpretationen) auf Branchenumfragen, in denen Unternehmen gefragt werden, warum sie Software-Patches nicht sofort installieren.

Zur weiteren Veranschaulichung sind hier die Details von drei berühmten Datenschutzverletzungen aufgeführt.

1. Equifax (2017)

• Die persönlichen Daten von 148 Millionen Menschen wurden gestohlen.
• Die Hacker nutzten eine bekannte Sicherheitslücke aus, die seit 2-5 Monaten nicht mehr behoben wurde.

Equifax hat seinen Sitz in Atlanta, GA, und ist ein S&P 500-Unternehmen für die Bewertung von Verbraucherkrediten. Das Unternehmen beschäftigt 9.900 Mitarbeiter und betreut 800 Millionen Kunden und 88 Millionen Unternehmen.

Sie ist groß, und das ist wahrscheinlich der Grund, warum sie ins Visier genommen wurde - ein Hack liefert viele Daten.

Equifax wurde Opfer einer bekannten Schwachstelle in Apache Struts, einem Open-Source-Framework, das Unternehmen zur Erstellung von Java-Webanwendungen verwenden.

Die Ereignisse entwickelten sich wie folgt:

• 7. März 2017: Schwachstelle gemeldet und gepatcht.
• Juli 2017: Equifax wird gehackt.
• 29. Juli 2017: Datenschutzverletzung entdeckt.
• 7. September 2017: Datenschutzverletzung aufgedeckt.

Es lag aber nicht nur an der menschlichen Untätigkeit. Sie hatten einen Schwachstellenscanner, der das Problem jedoch nicht meldete.

Lektionen

• Verzögern Sie das Patchen nicht.
• Scanner können unbekannte Schwachstellen nicht aufspüren.

2. Marriott (2018)

• Die persönlichen Daten von 327/383/500 Millionen Menschen wurden gestohlen (Schätzungen variieren).

Das US-amerikanische Gastgewerbeunternehmen mit Hauptsitz in Maryland ist sowohl im S&P 500 als auch im NASDAQ-100 gelistet.

Das Unternehmen beschäftigt rund 177.000 Mitarbeiter und ist vor allem für seine Hotelkette bekannt, eine von über 30 Marken, die an über 7.000 Standorten in 130 Ländern vertreten sind. (Wenn Sie den Namen nicht kennen, müssen Sie sich mehr bewegen.)

Es wurde festgestellt, dass auf das Reservierungssystem der Starwood-Hotelgruppe (ein zuvor erworbenes Unternehmen) bis zu vier Jahre lang illegal zugegriffen wurde, bevor es entdeckt wurde. Ein internes Sicherheitstool wies auf eine verdächtige Datenbankabfrage hin. Bei der Untersuchung stellte sich heraus, dass die extrahierten Daten vor der Exfiltration verschlüsselt worden waren. Die Mitarbeiter von Marriott brauchten zwei Monate, um die Informationen zu entschlüsseln. Der Datencache enthielt unter anderem Pass- und Kreditkartennummern sowie andere personenbezogene Daten.

• 8. September 2018: Datenschutzverletzung entdeckt.
• 19. November 2018: Datenschutzverletzung untersucht.
• 30. November 2018: Datenschutzverletzung aufgedeckt.

Lektionen

• Wenn Sie ein Unternehmen kaufen, erwerben Sie auch dessen Daten und übernehmen die Verantwortung dafür.

3. Yahoo (2013-2014)

• Die persönlichen Daten von 3 Milliarden Menschen wurden gestohlen.

Yahoo wurde 2013 und 2014 gehackt, aber das wahre Ausmaß der Datenschutzverletzungen wurde erst 2017 bekannt, als bekannt wurde, dass die Daten jedes einzelnen Yahoo-Kontoinhabers gestohlen worden waren. (Die Verzögerung bei der Veröffentlichung hatte viel damit zu tun, dass Yahoo zu diesem Zeitpunkt von Verizon gekauft werden sollte, das schließlich mit einem Preisnachlass von 350 Mio. USD einstieg).

Zu den gestohlenen Daten gehörten die Namen der Kontoinhaber, ihre Geburtsdaten, Telefonnummern und schwach verschlüsselte Passwörter. Letzteres bedeutete, dass viele andere Konten von Nutzern gehackt wurden, da viele Menschen dasselbe Passwort auf mehreren Websites verwenden.

Lektionen

• Je größer Sie sind, desto attraktiver sind Ihre Daten.

Persönliche Daten sind das neue Öl, und es läuft überall aus. Unternehmen bauen damit Imperien auf und Regierungen sammeln Informationen. Hacker wühlen in den Überresten, um durch Erpressung und Diebstahl weitere Einnahmen zu erzielen.

Automatisches Patchen behebt eine der vermeidbarsten Ursachen für Datenverletzungen: veraltete Software. Die Live-Patching-Lösung von KernelCare sichert Linux-Kernel. Lesen Sie mehr darüber, wie ein schnelleres Patch-Management Compliance ermöglicht, in unserem Artikel , der auf der RSA Conference Rede von Igor Seletskiy, CEO von KernelCare, basiert.