Sechs peinliche Datenpannen – mit bitteren Konsequenzen

Fast täglich erreichen uns Nachrichten über Datenlecks– mit teils drastischen Folgen. Die Dunkelziffer ist groß. Der Grund: Unternehmen fürchten massiven Image- und Vertrauensverlust, wenn Datenpannen bekannt werden. Wikipedia listet seit

Fast täglich erreichen uns Nachrichten über Datenlecks– mit teils drastischen Folgen. Die Dunkelziffer ist groß. Der Grund: Unternehmen fürchten massiven Image- und Vertrauensverlust, wenn Datenpannen bekannt werden.

Wikipedia listet seit dem Jahr 2004 mehr als 235 Datenpannen weltweit. Die Pannen haben Konsequenzen für die attackierten Organisationen, aber auch für deren Kunden und Mitglieder; zumal einige Fälle erst mittelfristig spürbare Folgen haben, auch weil viele Hacks erst Jahre später ans Licht kommen.

Kaspersky Lab zeigt sechs folgenschwere Ereignisse aus der jüngeren Datenleck-Vergangenheit – von denen auch deutsche Nutzer betroffen waren.

Ashley Madison – eine verhängnisvolle Affäre

Beim Hack des kanadischen Seitensprung-Portals Ashley Madison wurden im Sommer 2015 Millionen von Privatpersonen bloßgestellt. Den Hackern war es ein Dorn im Auge, dass die von Avid Life Media betriebene Flirt-Plattform gezielt Verheiratete zum Seitensprung motiviert hatte. Über 30 Millionen Nutzerdaten wurden gestohlen. Die Datensätze umfassten sensible Informationen wie Namen, Adressen, Telefonnummern und sexuelle Vorlieben der Kunden. Mit drastischen Folgen: Die Opfer wurden öffentlich und massiv an den Pranger gestellt. In der Folge ermittelte die Polizei wegen Gewaltverbrechen, suizidaler Handlungen und Erpressungsversuchen an Kunden, verursacht auch durch Trittbrettfahrer.

Das Internet vergisst nichts! Einmal preisgegebene Daten können für Nutzer zur tickenden Zeitbombe werden.

Comdirect – direkter Zugang auf fremde Konten

Nicht nur Hacker gefährden unsere Daten. So sorgte ein IT-Problem im Juli 2016 für ein riesiges Datenschutzproblem bei der Direktbank Comdirect. Die Süddeutsche Zeitung schrieb dazu „Sicherheitsexperten sprechen von der größten Panne, die es beim Onlinebanking in Deutschland jemals gegeben hat. Das große Problem in diesem Fall: Für Stunden war das Bankgeheimnis bei Comdirect praktisch aufgehoben, denn eingeloggte Kunden landeten für ein bestimmtes Zeitfenster beim Konto eines anderen Nutzers. Sie konnten dort Daten wie den Kontostand oder Aktienpositionen einsehen. Zur Illustration: Ein Redakteur der Zeitung Handelsblatt hat übrigens den Fehler rekonstruiert und Einsicht auf ein Konto mit mehr als 50.000 Euro Guthaben auf Giro- und Tagesgeldkonto bekommen.

Auch wenn der Comdirect-Fall wohl für viele glimpflich verlief. Eines sollte man sich immer vor Augen halten: Hochsensible Informationen wie Online-Banking-Account-Infos samt Inhalt sind auch hochsensibel zu behandeln – von der Bank wie vom Nutzer.

Dropbox – geheimer Download

Das Besondere des Datenverlusts beim Cloud-Speicherdienst Dropbox war die Verzögerung, mit der er bekannt wurde. Erst im August 2016 erfuhr die Öffentlichkeit, dass bereits 2012 an die 68 Millionen Passwörter abhanden kamen. Diese waren zwar als Hash-Werte gespeichert, jedoch etwa zur Hälfte nur mit dem SHA1-Verfahren verschlüsselt, das im Jahr 2016 nicht mehr als sicher gelten konnte. Viele Kunden bekamen zudem die Warnungen von Dropbox nicht mit.

Wichtige Sicherheitsregel: Für jede Anwendung im Internet muss ein eigenes, sicheres Passwort vergeben werden. Sonst kann auch Jahre nach einem Hack, ein altes Passwort für eine unangenehme Überraschung sorgen.

Die Post – beinahe kostenfreie Adresszustellung für Cyberkriminelle

Der Service ist praktisch: über das von der Deutschen Post betriebene Portal ,umziehen.de‘ können Nutzer ihre neue Adresse eingeben; im Anschluss informiert die Post dann automatisch diverse Dienstleister wie Banken oder Versicherungen über die neue Adresse. Allerdings bergen praktische Dinge – wie so oft in der Cyberwelt – auch Sicherheitsprobleme. So waren in diesem Jahr aufgrund eines einfachen Fehlers die Adressdaten von etwa 200.000 Kunden im Internet abrufbar. Weltweit waren weitere Firmen betroffen, unter anderem Online Pharmacy Australia mit 600.000 Kundenadressen inklusive Bestellhistorie.

Kundendaten sind immer auch abhängig davon, wie gut die Daten von den Organisationen und Unternehmen, die diese aufbewahren, abgesichert werden. Nutzer sollten sich immer im Klaren darüber sein, wem sie welche Informationen über sich anvertrauen.

Kreditkartenaustausch wegen Hacker-Attacke

Es war als reine Vorsichtsmaßnahme vorgesehen, dennoch wurden deutsche Bankkunden extrem verunsichert. Was war passiert? Wegen eines Datenlecks bei einem Dienstleister mussten einige Banken Anfang des Jahres 2016 die Kreditkarten ihrer Kunden austauschen. Warum? Es gab Hinweise, dass Kriminelle möglicherweise unberechtigt in den Besitz von Kreditkartendaten gelangt sein könnten. Vor allem die Commerzbank war betroffen.

Auch wenn die betroffenen 15.000 Karten nur einen kleinen Teil aller Karten, die die Commerzbank an ihre knapp 12 Millionen Privatkunden ausgegeben hat, ausmachten, ist eines klar: Kreditkartendaten gehören zu den sensibelsten Informationen. Online-Banking und -Shopping sollten daher immer in sehr gut gesicherten Umgebungen mit allen vom Dienstleister angebotenen Sicherheitsvorkehrungen erledigt werden.

Der Rekord-Milliarden-Hack bei Yahoo

In Sachen betroffener Nutzer ist dieser Fall der Höhepunkt. Fragt sich nur, wie lange noch. Im Sommer 2016 musste Yahoo zugeben, dass bereits im Jahr 2014 eine halbe Milliarde Accounts von Nutzern gestohlen wurde. Und legte zwei Monate später noch einmal die doppelte Menge drauf. Im September 2017 wurde dann die Zahl erneut nach oben korrigiert: Insgesamt wurden demnach in den Jahren 2013 und 2014 Daten von 3 Milliarden Kunden gestohlen, darunter Namen, Telefonnummern sowie Sicherheitsfragen und -antworten.

Diesmal hatten nicht nur Kunden das Nachsehen. Yahoo befand sich gerade in der Schlussphase der Übernahmeverhandlungen mit Verizon. Da der Konzern seine Nutzerdaten offenbar nicht sicher verwahrt hatte und bei der Aufklärung der Angelegenheit mauerte, konnte Verizon den Kaufpreis für die Übernahme am Ende deutlich nach unten drücken.

Was User tun können

Nutzer sollten immer genau überlegen, wem sie welche persönlichen Daten überlassen. Weniger ist hier eindeutig mehr. Zudem sollte man dringend die vom Anbieter angebotenen Sicherheitsmaßnahmen für Online-Konten (zum Beispiel Zwei-Faktor-Authentifizierung) annehmen.

Eine versteckte Falle, die es zu beachten gibt: Werden sensible Daten (beispielsweise Kontodaten) in sicherheitskritischen Umgebungen (zum Beispiel öffentliches W-LAN) über das Internet mitgeteilt, sollte man auf zusätzlichen Schutz achten. So verhindert die Funktion ,Sichere Verbindung‘ innerhalb des neuen Sicherheit-Services Kaspersky Security Cloud, dass Daten heimlich abgegriffen werden.

Daneben sollte man für sich selbst ein einfaches Passwort-Management etablieren. Wichtig ist, dass Passwörter lang sind, Sonderzeichen beinhalten und vor allem einzigartig sind. Das kann man selbst mit ein paar Tricks organisieren. Technische Unterstützung bieten auch moderne Lösungen wie Kaspersky Security Cloud, die einen Passwort-Manager für die Generierung und Speicherung sicherer Passwörter integrieren und die Nutzer über einen digitalen Begleiter rechtzeitig vor potenziellen Gefahren durch Datenlecks warnen!

Einen Podcast zum Thema „Datenpannen“ können Sie sich hier anhören.

 

Kaspersky Security Cloud

 

Tipps