Datenschutzverletzungen sind nicht nur ein vorübergehendes Ärgernis, sie können sich zu einem einschneidenden Erlebnis in Ihrem Leben auswachsen. Für Unternehmen, Behörden und Privatpersonen kann die Preisgabe sensibler Daten erhebliche Konsequenzen haben. Ob Sie nun offline oder online sind, können Hacker über das Internet, Bluetooth, Textnachrichten oder die von Ihnen genutzten Online-Dienste zu Ihnen durchdringen.
Bei mangelnder Sorgfalt kann eine kleine Schwachstelle zu einer massiven Datenschutzverletzung führen.
Da vielen Menschen nicht bewusst ist, wie weit verbreitete Sicherheitsbedrohungen heutzutage funktionieren, lassen sie die notwendige Wachsamkeit fehlen.
In diesem Artikel möchten wir darlegen, was Datenschutzverletzungen sind und wie sie sich auf Sie auswirken können.
Aber bevor wir ins Detail gehen, möchten wir die folgenden häufig gestellten Fragen beantworten:
- Was sind Datenschutzverletzungen?
- Wodurch wird eine Datenschutzverletzung verursacht?
- Inwiefern kann mich eine Datenschutzverletzung betreffen?
- Was kann ich tun, um Datenschutzverletzungen zu verhindern?
Beginnen wir mit einer kurzen Definition des Begriffs „Datenschutzverletzung“.
Was ist eine Datenschutzverletzung?
Die Definition lautet: Eine nicht befugte Person erhält Zugang zu vertraulichen, sensiblen oder geschützten Informationen. Für Dateien bedeutet eine Datenschutzverletzung, dass sie unerlaubt eingesehen und/oder weitergegeben werden.
Eine Datenschutzverletzung kann jeden betreffen, von Einzelpersonen bis hin zu Großkonzernen und staatlichen Stellen. Noch wichtiger ist, dass jeder andere in Gefahr bringen kann, wenn er sich selbst nicht ausreichend schützt.
Die meisten Datenschutzverletzungen sind auf zwei Schwachstellen zurückzuführen:
- Technologie
- Benutzerverhalten
Die zunehmende Zahl von Verbindungsfunktionen auf unseren Computern und mobilen Geräten sorgt dafür, dass immer mehr Daten durchrutschen. Neue Technologien werden schneller entwickelt, als wir sie schützen können.
Geräte im IoT-Sektor zeigen, dass wir dem Komfort höhere Priorität einräumen als der Sicherheit.
Viele „Smart Home“-Produkte weisen enorme Sicherheitslücken wie z. B. fehlende Verschlüsselung auf. Und Hacker wissen das auszunutzen.
Da neue digitale Produkte, Dienste und Tools schon nach minimalen Sicherheitstests auf den Markt gebracht werden, wird dieses Problem weiter zunehmen.
Doch selbst wenn eine Backend-Technologie perfekt eingerichtet ist, wird es immer wieder Benutzer geben, die die Sicherheit ihrer digitalen Geräte schleifen lassen. Eine einzige Person genügt, um eine Website oder ein Netzwerk der Kompromittierung auszusetzen.
Ohne umfassende Sicherheit sowohl auf der Benutzer- als auch auf der Unternehmensebene sind Probleme vorprogrammiert.
Bevor man sich und andere schützen kann, muss man zunächst verstehen, wie Datenschutzverletzungen überhaupt entstehen.
Ursachen von Datenschutzverletzungen
Es ist ein weit verbreiteter Irrglaube, dass Datenschutzverletzungen in erster Linie von außen, also einem Hacker verursacht werden.
Natürlich kann eine Datenschutzverletzung auf einen geplanten Angriff zurückzuführen sein. Schuld kann aber ebenso die Unachtsamkeit einer einzelnen Person oder ein Fehler in der Infrastruktur eines Unternehmens sein.
Hier einige der möglichen Gründe für eine Datenschutzverletzung:
- Insider aus Versehen. Dies wäre zum Beispiel der Fall, wenn ein Mitarbeiter den Computer eines Kollegen benutzt und dabei Dateien zu Gesicht bekommt, für die er keine entsprechenden Berechtigungen hat. Der Zugriff erfolgt unbeabsichtigt, und es werden keine Informationen weitergegeben. Trotzdem spricht man auch hier von einer Datenschutzverletzung, weil die Daten von einer nicht autorisierten Person gelesen wurden.
- Vorsätzlicher Insider. Diese Person greift gezielt auf Daten zu und/oder teilt sie mit der Absicht, einer Person oder einem Unternehmen zu schaden. Der Insider verfügt zwar über eine legitime Berechtigung zur Nutzung der Daten, missbraucht diesen Zugang jedoch vorsätzlich.
- Verlorene gegangene oder gestohlene Geräte. Ein unverschlüsselter und ungesicherter Laptop oder eine externe Festplatte – im Grunde genommen alles, was sensible Informationen enthalten kann – geht verloren.
- Eine Straftat von Außenstehenden. Hierbei sind es tatsächlich Hacker, die verschiedene Angriffsvektoren nutzen, um über ein Netzwerk oder eine Person an Informationen zu kommen.
Die Methoden der Hacker
Da vorsätzlichen Datenschutzverletzungen meist ein Cyberangriff vorangeht, sollten Sie vorgewarnt sein und wissen, worauf Sie achten müssen.
Zu den beliebtesten Methoden der Hacker gehören:
- Phishing
- Brute-Force-Angriffe
- Malware
Phishing. Diese Form des Social Engineering-Angriffs hat zum Ziel, Sie an der Nase herumzuführen, damit Sie die Datenverletzung ursächlich herbeiführen. Beim Phishing geben sich die Angreifer als vertraute Personen oder Organisationen aus. Es geht darum dass Sie entweder den Zugang zu sensiblen Daten ermöglichen oder die Daten sogar selbst übermitteln.
Brute-Force-Angriffe. Bei dieser etwas gröberen Vorgehensweise setzen Hacker Software-Tools ein, die so lange Passwörter ausprobieren, bis sie zufällig auf das richtige stoßen.
Der Begriff der rohen Gewalt, denn nichts anderes heißt Brute Force, bezieht sich auf dieses Durchspielen aller möglichen Varianten für ein Passwort. Solche Angriffe erfordern zwar ein wenig Geduld, werden aber angesichts steigender Geschwindigkeiten von Computern immer effektiver. Gelegentlich beschleunigen Hacker diesen Prozess, indem sie eine Malware auf Ihren Computer schleusen und diesen gewissermaßen kapern. Wenn Sie ein schwaches Passwort verwenden, dauert es unter Umständen nur wenige Sekunden, bis es geknackt ist.
Malware. Das Betriebssystem Ihres Geräts, die Software, die Hardware oder das Netzwerk und die Server, mit denen Sie verbunden sind, können Sicherheitslücken aufweisen. Diese Lücken werden von Kriminellen aufgespürt und zum Einschleusen von Malware genutzt. Spyware eignet sich besonders gut, um völlig unbemerkt an Ihre private Daten zu kommen. Entdeckt wird diese Infizierung erst, wenn es schon zu spät ist.
Welches Ziel verfolgen Datenschutzverletzungen?
Wie bereits erwähnt, kann eine Datenschutzverletzung aus reiner Unachtsamkeit resultieren. Aber auch dann ist ein veritabler Schaden möglich, wenn Unbefugte Zugriff auf personenbezogene Daten oder das geistige Eigentum eines Unternehmens erhalten und diese gewinnbringend verkaufen oder anderweitig Schaden damit anrichten.
Kriminelle folgen in vielen Fällen einem immer wiederkehrenden Muster, denn eine gezielte Datenschutzverletzung erfordert Planung. Dazu führen sie umfangreiche Recherchen zum dem ins Visier genommenen Unternehmen durch, um herauszufinden, wo die Schwachstellen liegen, z. B. fehlende oder fehlgeschlagene Updates, Mitarbeiter, die für Phishing-Kampagnen empfänglich sein könnten.
Die Hacker spüren Schwachstellen im Zielsystem auf und versuchen darauf aufbauend interne Mitarbeiter dazu zu verleiten, eine Malware herunterzuladen. Gelegentlich nehmen sie auch das Netzwerk direkt ins Visier.
Sind die Kriminellen erst einmal drin, können sie sich in aller Ruhe nach den gewünschten Daten umschauen – im Durchschnitt dauert es mehr als fünf Monate, bis eine Datenschutzverletzung entdeckt wird.
Zu den häufigsten Schwachstellen, die die Schadakteure ausnutzen, gehören:
- Schwache Anmeldeinformationen. Die überwiegende Mehrheit der Datenschutzverletzungen wird durch gestohlene oder unsichere Anmeldeinformationen verursacht. Wenn Kriminelle an Ihre Kombination aus Benutzernamen und Passwort gelangen, steht ihnen der Zugang zu Ihrem Netzwerk offen. Da die meisten Menschen Passwörter immer wieder verwenden, können sich Cyberkriminelle mithilfe von Brute-Force-Angriffen Zugang zu E-Mails, Websites, Bankkonten und anderen Quellen mit personenbezogenen oder Kontodaten verschaffen.
- Gestohlene Anmeldeinformationen. Durch Phishing verursachte Sicherheitsverletzungen sind ein großes Problem. Cyberkriminelle, die in den Besitz dieser persönlichen Daten gelangen, können damit unbehelligt auf Bereiche wie Ihre Bank- und Online-Konten zugreifen.
- Kompromittierte Assets. Um die regulären sschritte zu umgehen, mit denen ein Computer normalerweise geschützt ist, werden unterschiedliche Formen von Malware-Angriffen eingesetzt.
- Betrug mit Bezahlkarten. Lesegeräte werden an Zapfsäulen oder Geldautomaten angebracht, um die Daten abzugreifen, wenn eine Karte durchgezogen wird.
- Zugriff Dritter. Auch wenn Sie alles in Ihrer Macht Stehende getan haben, um Ihr Netzwerk und Ihre Daten zu schützen, können Schadakteure versuchen, über die Schwachstellen Dritter in Ihr System einzudringen.
- Mobile Geräte. Wenn Mitarbeiter ihre eigenen Geräte am Arbeitsplatz benutzen dürfen, kann eine schlecht gesicherte Hardware mit einer Malware infiziert sein, die ihrerseits Apps herunterlädt, über die Hacker auf gespeicherte Daten zugreifen können. Davon betroffen sind häufig Firmen-E-Mails und -Dateien, aber auch personenbezogene Daten des Gerätebesitzers.
Mögliche Schäden durch eine Datenschutzverletzung
In vielen Fällen lassen sich Datenschutzverletzungen nicht einfach mit ein paar Passwortänderungen beheben. Ein Datenleck kann Rufschädigung, finanzielle Einbußen und vieles andere mehr zur Folge haben.
Für Unternehmen gilt: Eine Datenschutzverletzung kann verheerende Auswirkungen auf den Ruf und das finanzielle Ergebnis eines Unternehmens haben. Unternehmen wie Equifax, Target und Yahoo sind zum Beispiel Opfer einer Datenschutzverletzung geworden. Und heute verbinden viele Menschen diese Unternehmen nur noch mit dieser Datenpanne und nicht mit der eigentlichen Geschäftstätigkeit.
Für Behörden gilt: Eine Datenpanne kann bedeuten, dass höchst vertrauliche Informationen an Außenstehende weitergegeben werden. Militärische Operationen, politische Vorgänge und Details über wichtige nationale Infrastrukturen können eine erhebliche Bedrohung für einen Staat und seine Bürger darstellen.
Für Einzelpersonen gilt: Identitätsdiebstahl ist eine große Bedrohung für jeden, der von einer Datenschutzverletzung betroffen ist. Über ein Datenleck kann alles nach außen dringen, von der Sozialversicherungsnummer bis hin zu den Anmeldeinformationen für Banken. Und wer über diese Daten verfügt, dann damit in Ihrem Namen noch weitere Arten von Betrug begehen. Der Diebstahl Ihrer Identität kann Ihre Kreditwürdigkeit ruinieren oder Sie strafrechtlichen Ermittlungen aussetzen. Und es ist sehr schwer, sich dagegen zu wehren.
Und dies sind nur einige wenige Beispiele für den Schaden, der durch Datenschutzverletzungen entstehen kann. Sie sollten sich daher informieren, ob Ihre Daten eventuell bereits in die Hände Dritter gelangt sind. Mit diesem Tool können Sie herausfinden, ob Ihre privaten oder Firmenkonten kompromittiert wurden: https://haveibeenpwned.com/ (es überprüft bestehende Datenschutzverletzungen für Ihre E-Mail-Adresse und meldet, was offengelegt wurde).
Vielleicht möchten Sie aber auch eine umfassendere Überwachung, um in Echtzeit informiert zu werden, wenn Ihre Daten in die falschen Hände geraten. Produkte wie Kaspersky Premium enthalten Funktionen zur Erkennung von Datenlecks und helfen Ihnen, die Situation zu meistern.
Der beste Schutz besteht natürlich darin, gar nicht erst Opfer zu werden. Kein Sicherheitssystem ist perfekt, aber es gibt Möglichkeiten, sich zu schützen – sowohl für Privatpersonen als auch Unternehmen.
So verhindern Sie, einer Datenpanne zum Opfer zu fallen
Eine wirkungsvolle Abwehr von Datenschutzverletzungen muss auf allen Ebenen ansetzen – vom Endbenutzer zum IT-Personal und über alle Beteiligten dazwischen.
Bei der Konzeption eines Systems zum Schutz vor Datenpannen müssen Sie immer bedenken, dass jedes Sicherheitssystem immer nur so stark ist wie sein schwächstes Glied. Jeder, der mit einem System interagiert, kann eine potenzielle Schwachstelle sein. Selbst kleine Kinder mit einem Tablet im Heimnetzwerk können zum Risiko werden.
Hier einige Best Practices zur Vermeidung von Datenschutzverletzungen
- Sicherheitspatches und Aktualisierung der Software, sobald die entsprechenden Updates verfügbar sind.
- Hochwertige Verschlüsselung für sensible Daten.
- Geräte-Upgrades, sobald der Hersteller den Software-Support einstellt.
- Sicherheitsrichtlinien für die Nutzung privater Geräte am Arbeitsplatz, z. B. dass kein Gerät ohne einen angemessenen VPN-Dienst und Virenschutz auf Unternehmensniveau verwendet werden darf.
- Starke Anmeldeinformationen und Mehrfaktor-Authentifizierung als Voraussetzung für einen sicheren Umgang mit Online-Diensten. Besonders hilfreich ist in diesem Zusammenhang der Einsatz eines Kennwort-Managers durch die Nutzer.
- Aufklärung der Mitarbeiter über Best Practices der Cybersicherheit und Methoden zum Schutz vor Social Engineering-Angriffen.
Verwandte Artikel:
