Datendiebstahl – eine Definition
Unter Datendiebstahl, auch Informationsdiebstahl genannt, versteht man die illegale Übertragung oder Speicherung von persönlichen, personenbezogenen oder vertraulichen Informationen und Finanzdaten. Dazu gehören unter anderem Passwörter, Softwarecode oder -algorithmen sowie firmeninterne Prozesse oder Technologien. Datendiebstahl gilt als schwerwiegender Verstoß gegen die Sicherheit und Privatsphäre und kann für die betroffenen Personen bzw. Organisationen erhebliche Folgen haben.
Was ist Datendiebstahl?
Unter Datendiebstahl versteht man den Diebstahl von digitalen Informationen auf Computern, Servern oder elektronischen Geräten mit dem Ziel, an vertrauliche Informationen zu kommen oder die Privatsphäre zu verletzen. Bei den gestohlenen Daten kann es um alles von Kontodaten, Online-Passwörtern, Personalausweis-, Sozialversicherungs- oder Führerscheinnummern bis hin zu medizinischen Akten, Online-Verschreibungen etc. gehen. Haben sich die Übeltäter erst einmal Zugang zu persönlichen Daten oder Finanzinformationen verschafft, können sie ohne Zustimmung des Besitzers praktisch alles damit tun: löschen, veröffentlichen, manipulieren, sperren.
In der Regel besteht das Ziel eines Datendiebstahls darin, die Informationen weiterzuverkaufen oder Identitätsdiebstahl zu begehen. Mit ausreichend Informationen können sich Datendiebe Zugang zu gesicherten Konten verschaffen, auf fremde Namen Kreditkarten beantragen oder sich anderweitig mit der Identität eines Opfers bereichern. Waren früher vor allem Unternehmen und Organisationen betroffen, so ist der Datendiebstahl mittlerweile auch für Privatpersonen zum Problem geworden.
Auch wenn man ihn als „Diebstahl“ bezeichnet, heißt Datendiebstahl nicht, dass dem Opfer die Daten physisch geraubt bzw. entwendet werden. Dem Angreifer genügt es vielmehr, die Daten zu kopieren oder Duplikate anzufertigen.
Im Zusammenhang mit Datendiebstahl bedeuten die Begriffe „Datenschutzverletzung“ und „Datenleck“ eigentlich dasselbe. Trotzdem gibt es Unterschiede.
- Bei einem Datenleck werden vertrauliche Daten versehentlich zugänglich gemacht, sei es im Internet oder über verloren gegangene Datenträger oder Geräte. In diesen Fällen können Cyberkriminelle widerrechtlich auf sensible Daten zugreifen, ohne sich dafür anstrengen zu müssen.
- Im Gegensatz dazu geht einer Datenschutzverletzung ein gezielter Cyberangriff voraus.
Wie läuft Datendiebstahl ab?
Es gibt eine ganze Reihe von Möglichkeiten, wie Daten oder digitale Informationen gestohlen werden. Hier ein Überblick über die häufigsten Methoden:
Social Engineering:
Die häufigste Form des Social Engineering ist das Phishing. Beim Phishing gibt sich ein Angreifer als vertrauenswürdige Instanz aus, um sein Opfer zum Öffnen einer E-Mail, Text- oder Sofortnachricht zu verleiten. Nutzer, die auf Phishing-Angriffe hereinfallen, sind eine häufige Ursache für Datendiebstahl.
Schwache Passwörter:
Leicht zu erratende Passwörter oder die mehrfache Verwendung desselben Passworts für mehrere Konten sind ein Einfallstor für Datendiebe. Auch das Aufschreiben von Passwörtern oder die Weitergabe an Dritte ist keine gute Idee und kann Datendiebstahl Vorschub leisten.
Schwachstellen im System:
Schlecht konzipierte Softwareprogramme oder Netzwerksysteme bieten Schwachstellen, die Hacker ausnutzen können, um an Daten zu kommen. Auch veraltete Antiviren-Software kann zu einer Gefahr werden.
Bedrohungen von innen:
Viele Mitarbeiter in Unternehmen haben Zugang zu vertraulichen Kundendaten. Mitarbeiter oder Auftragnehmer, die auf Abwege geraten oder sich schlecht behandelt fühlen, könnten Daten kopieren, manipulieren oder stehlen. Aber Bedrohungen von innen beschränken sich nicht nur auf die aktiven Angestellten. Auch ehemalige Mitarbeiter, Vertragspartner oder Auftragnehmer mit Zugang zu den Systemen oder sensiblen Informationen einer Organisation können zur Gefahr werden. Berichten zufolge nehmen die Bedrohungen von innen immer mehr zu.
Der menschliche Faktor
Nicht immer sind Datenschutzverletzungen das Ergebnis von kriminellen Aktivitäten. Auch der menschliche Faktor ist nicht zu vernachlässigen. Zu den häufigen Fehlern gehört beispielsweise die Weitergabe vertraulicher Informationen an die falsche Person, indem die falsche E-Mail eingetragen, das falsche Dokument angehängt oder eine physische Datei an jemanden ausgehändigt wird, der keinen Zugang zu diesen Informationen haben dürfte. Von menschlichem Versagen spricht man auch, wenn ein Mitarbeiter zum Beispiel eine Datenbank mit vertraulichen Informationen ohne jeglichen Passwortschutz online ablegt.
Download von infizierten Dateien
Beim Herunterladen von Programmen oder Daten können Einzelpersonen an Webseiten geraten, die mit Viren wie Würmern oder Malware infiziert sind. Über diese Viren können sich Kriminelle unbefugt Zugang zu den Geräten verschaffen und Daten stehlen.
Physische Übergriffe
Nicht jeder Datendiebstahl ist das Ergebnis von Cyberkriminalität, gelegentlich greifen Kriminelle auch ganz physisch zu. Davon betroffen sind Papiere oder Geräte wie Laptops, Smartphones, Telefone oder Speichergeräte. Da mittlerweile auch immer mehr Menschen im Homeoffice arbeiten, gehen auch vermehrt Geräte verloren oder werden entwendet. Wenn Sie an einem öffentlichen Ort wie einem Café arbeiten, könnte jemand auf Ihrem Bildschirm oder Ihrer Tastatur mitlesen und zum Beispiel Ihre Anmeldedaten ausspionieren. Eine weitere Gefahrenquelle ist das illegale Auslesen von Karten, Skimming genannt, bei dem Kriminelle Geräte in Kartenleser und Geldautomaten einbauen, um die Daten von Zahlungskartendaten abzugreifen.
Datenbank- oder Serverprobleme
Wenn Kriminelle Schwachstellen in der Datenbank oder dem Server eines Unternehmens ausnutzen, bei dem Ihre Daten gespeichert sind, könnten sie darüber an persönliche Kundendaten kommen.
Öffentlich zugängliche Informationen
Viele Informationen im öffentlichen Raum sind jedermann zugänglich, beispielsweise über einfache Internetsuchen oder indem jemand die Nutzerbeiträge in den sozialen Netzwerken durchgeht.
Auf welche Daten haben es Kriminelle vor allem abgesehen?
Jede Art von Information, die von Privatpersonen oder Organisationen gespeichert werden, könnte für Datendiebe interessant sein. Zum Beispiel:
- Kundendatensätze
- Finanzinformationen wie EC- oder Kreditkartendaten
- Quellcodes und Algorithmen
- Firmeninterne Prozessbeschreibungen und Arbeitsabläufe
- Zugangsdaten zu Netzwerken wie Benutzernamen und Passwörter
- Personalakten und Mitarbeiterdaten
- Auf dem Computer gespeicherte private Dokumente
Datendiebstahl und mögliche Folgen
Für Unternehmen, die eine Datenschutzverletzung erleiden, sind die Konsequenzen besonders schwerwiegend:
- Juristisches Nachspiel durch Kunden, deren Daten offengelegt wurden
- Lösegeldforderungen der Angreifer
- Wiederherstellungskosten, z. B. für die Wiederherstellung oder das Patchen von infizierten Systemen
- Rufschädigung und Verlust von Kunden
- Verhängung von Geldbußen oder Strafen durch Aufsichtsbehörden (je nach Branche)
- Nichtverfügbarkeit der Systeme während der Wiederherstellung
Bei Privatpersonen können Datenpannen einen Identitätsdiebstahl mit entsprechenden finanziellen Verlusten und enormer emotionaler Belastung nach sich ziehen.
So schützen Sie Ihre Daten
Wie können Sie sich und Ihre Daten also vor Cyberkriminellen schützen? Mit einer Reihe von Maßnahmen können Sie verhindern, dass Kriminelle Ihre Daten stehlen. Dazu gehören:
Sichere Passwörter verwenden
Passwörter können von Hackern leicht geknackt werden, insbesondere wenn Sie kein sicheres Passwort verwenden. Ein sicheres Passwort ist mindestens 12 Zeichen lang und besteht aus einer Mischung aus Groß- und Kleinbuchstaben plus Sonderzeichen und Zahlen. Je kürzer und weniger komplex Ihr Passwort ist, desto leichter ist es für Cyberkriminelle zu knacken. Vermeiden sollten Sie Offensichtliches, wie einfache Zahlenfolgen („1234“) oder persönliche Angaben, die jemand, der Sie kennt, leicht erraten kann, wie das Geburtsdatum oder den Namen eines Haustiers.
Um Ihre Passwörter komplexer zu gestalten, könnten Sie stattdessen eine „Passphrase“ erstellen. Für eine Passphrase wählt man einen aussagekräftigen Satz, den man sich leicht merken kann, und nimmt dann jeweils den ersten Buchstaben der einzelnen Wörter als Passwort.
Nutzen Sie niemals ein und dasselbe Passwort für mehrere Konten.
Wenn Sie dasselbe Passwort für mehrere Konten verwenden, hat ein Hacker, der Ihr Passwort auf einer Website knackt, auch Zugang zu vielen anderen. Ändern Sie Ihre Passwörter regelmäßig – in etwa alle sechs Monate.
Passwörter möglichst nicht aufschreiben
Notierte Passwörter, sei es auf Papier, in einer Excel-Tabelle oder in der Notizen-App auf Ihrem Handy, sind ein gefundenes Fressen für Hacker. Wenn Sie Schwierigkeiten haben, sich all die Passwörter zu merken, können Sie einen Passwort-Manager in Betracht ziehen.
Multifaktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) – wobei die Zwei-Faktor-Authentifizierung (TFA oder 2FA) die gebräuchlichste ist – ist ein Tool, das Internetnutzern eine zusätzliche Schutzschicht bietet, die über die Standardkombination aus E-Mail-Adresse/Benutzername und Passwort hinausgeht. Für die Zwei-Faktor-Authentifizierung sind zwei separate Formen der Identifizierung erforderlich, um zum Beispiel auf ein Konto zuzugreifen. Der erste Faktor ist das Passwort, der zweite umfasst in der Regel die Zusendung einer Textnachricht mit einem Code auf Ihr Smartphone oder eine biometrische Zugangssperre wie ein Fingerabdruck, die Gesichts- oder Netzhauterkennung. Aktivieren Sie wann immer möglich die Multi-Faktor-Authentifizierung für Ihre Konten.
Zurückhaltung bei persönlichen Angaben
Geben Sie sowohl online als auch offline immer nur so viele Daten an, wie unbedingt notwendig. Wenn Sie zum Beispiel aufgefordert werden, persönliche Daten preiszugeben, sei es Geburtsdatum, beruflicher Werdegang, Kreditstatus, Sozialversicherungs-, Kreditkarten- oder Personalausweisnummer, fragen Sie nach, wozu die Daten benötigt und wie sie verwendet werden. Wie ist sichergestellt, dass Ihre privaten Informationen auch privat bleiben?
Restriktive Social Media-Einstellungen
Informieren Sie sich bei den einzelnen Social Media-Plattformen über deren Sicherheitseinstellungen und vergewissern Sie sich, dass Ihnen das Sicherheitsniveau behagt. Geben Sie in Ihren Social Media-Lebensläufen möglichst keine persönlichen Daten wie Adresse oder Geburtsdatum preis. Kriminelle könnten sich anhand dieser Angaben ein Bild von Ihnen machen.
Nicht genutzte Konten schließen
Die meisten von uns haben sich für Online-Dienste angemeldet, die wir nicht mehr nutzen. Derartige Konten können aber immer noch einen Mix aus persönlichen Angaben, Ausweisdaten und Kreditkartennummern enthalten – alles wertvolle Informationen für Cyberkriminelle. Oder noch schlimmer: Wenn Sie für mehrere Konten dasselbe Passwort verwenden (was grundsätzlich nicht zu empfehlen ist), könnte ein Passwortleck auf einer Webseite bedeuten, dass die Angreifer auch auf andere Seiten zugreifen können. Um die eigene Privatsphäre zu schützen, ist es ratsam, private Daten von nicht mehr genutzten Serviceseiten zu entfernen. Diese Konten komplett zu schließen ist jedenfalls sicherer als sie ungenutzt bestehen zu lassen.
Papierkram physisch vernichten
Briefe an Sie mit persönlicher Anschrift oder Angaben wie Geburtsdatum oder die Sozialversicherungsnummer sollten Sie so entsorgen, dass sie nicht mehr lesbar sind. Achten Sie darauf, was Sie an Post bekommen, da dies erste Hinweise auf eine Datenschutzverletzung liefern kann. Wenn Sie beispielsweise Unterlagen zu einem Arztbesuch erhalten, der nie stattgefunden hat, ist es an der Zeit zu handeln.
Systeme und Programme regelmäßig aktualisieren
Halten Sie alle Betriebssysteme und Softwareprogramme auf dem neuesten Stand, indem Sie regelmäßig und zeitnah Sicherheitsupdates und neue Versionen für Webbrowser, Betriebssysteme und Softwareprogramme installieren.
Konten im Auge behalten
Gehen Sie regelmäßig Ihre Kontoauszüge oder Kreditkartenabrechnungen auf unberechtigte Abbuchungen oder andere Unregelmäßigkeiten durch. Unter Umständen werden Sie nicht benachrichtigt, wenn es in einem Unternehmen, mit dem Sie Geschäfte machen, zu einer Datenschutzverletzung gekommen ist, daher müssen Sie sich selbst darum kümmern.
Kostenlose WLAN-Netze mit Vorsicht genießen
Viele Menschen nutzen kostenlose öffentliche WLAN-Netze, ohne sich darüber viel Gedanken zu machen. Aber nicht jede dieser Verbindungen ist sicher und zuverlässig. In öffentlichen WLAN-Hotspots haben Hacker und Cyberkriminelle oft leichtes Spiel. Um sich selbst und Ihre Daten zu schützen, sollten Sie daher in öffentlichen WLANs möglichst keine sensiblen Daten öffnen oder senden, Bluetooth und Datenfreigaben ausgeschaltet lassen und nur per VPN und Firewall online gehen. Ein gutes Antivirenprogramm ist ebenfalls unerlässlich. Lesen Sie hier unsere Tipps zur sicheren Nutzung von öffentlichem WLAN-Netzen.
Auf dem Laufenden bleiben
Informieren Sie sich in den allgemeinen Nachrichten oder über spezielle Webseiten, damit Sie mitbekommen, wenn es in einem Unternehmen, mit dem Sie zu tun haben, zu einem Datenleck oder einer Datenschutzverletzung kommt.
Grundsätzlich ist der Königsweg zu mehr Sicherheit im Internet eine hochwertige Antiviren-Software. Kaspersky Total Security schützt Ihre Geräte und Daten rund um die Uhr. Die Lösung erkennt Schwachstellen und Bedrohungen in Geräten und kann Cyberbedrohungen im Keim ersticken, indem Sie sie isoliert und unschädlich macht.
Verwandte Artikel: