Security

6 Datenpannen – und wie ihr euch dagegen schützen könnt

Fast täglich erreichen uns Nachrichten über Datenlecks – mit teils drastischen Folgen. Die Dunkelziffer ist groß. Der Grund: Unternehmen fürchten massiven Image- und Vertrauensverlust, wenn Datenpannen bekannt werden.

28.09.2017 Quelle: t3n Stefan Rojacher
Quelle: Kaspersky
6 Fakten über 6 peinliche Datenpannen (Grafik: Kaspersky)

Wikipedia listet seit dem Jahr 2004 mehr als 235 Datenpannen weltweit . Die Pannen haben Konsequenzen für die attackierten Organisationen, aber auch für deren Kunden und Mitglieder. Einige Fälle sorgen sofort für Alarm, andere haben erst mittelfristig spürbare Folgen, auch weil viele Hacks erst Jahre später ans Licht kommen – man denke nur an den E-Mail-Skandal rund um Hillary Clinton.

t3n zeigt sechs folgenschwere Ereignisse aus der jüngeren Datenleck-Vergangenheit – von denen auch deutsche Nutzer betroffen waren.

Ashley Madison – eine verhängnisvolle Affäre

Beim Hack des kanadischen Seitensprungportals Ashley Madison wurden im Sommer 2015 Millionen von Privatpersonen bloßgestellt. Den Hackern war es ein Dorn im Auge, dass die von Avid Life Media betriebene Flirtplattform gezielt Verheiratete zum Seitensprung motiviert hatte. Mehr als 30 Millionen Nutzerdaten wurden gestohlen.

Die Datensätze umfassten sensible Informationen wie Namen, Adressen, Telefonnummern und sexuelle Vorlieben der Kunden. Mit drastischen Folgen: Die Opfer wurden öffentlich und massiv an den Pranger gestellt. In der Folge ermittelte die Polizei wegen Gewaltverbrechen, suizidaler Handlungen und Erpressungsversuchen an Kunden, verursacht auch durch Trittbrettfahrer.

Comdirect – direkter Zugang auf fremde Konten

Nicht nur Hacker gefährden unsere Daten. So sorgte ein IT-Problem im Juli 2016 für ein riesiges Datenschutzproblem bei der Direktbank Comdirect. Die Süddeutsche Zeitung schrieb dazu: "Sicherheitsexperten sprechen von der größten Panne, die es beim Onlinebanking in Deutschland jemals gegeben hat."

Das große Problem in diesem Fall: Für Stunden war das Bankgeheimnis bei Comdirect praktisch aufgehoben, denn eingeloggte Kunden landeten für ein bestimmtes Zeitfenster beim Konto eines anderen Nutzers. Sie konnten dort Daten wie den Kontostand oder Aktienpositionen einsehen. Zur Illustration: Ein Redakteur des Handelsblatts hat den Fehler rekonstruiert und Einsicht auf ein Konto mit mehr als 50.000 Euro Guthaben auf Giro- und Tagesgeldkonto bekommen.

Dropbox – geheimer Download

Das Besondere des Datenverlusts beim Cloud-Speicherdienst Dropbox war die Verzögerung, mit der er bekannt wurde. Erst im August 2016 erfuhr die Öffentlichkeit, dass bereits 2012 an die 68 Millionen Passwörter abhanden kamen. Diese waren zwar als Hash-Werte gespeichert, jedoch etwa zur Hälfte nur mit dem SHA1-Verfahren verschlüsselt, das im Jahr 2016 nicht mehr als sicher gelten konnte. Viele Kunden bekamen zudem die Warnungen von Dropbox nicht mit.

Die Post – beinahe kostenfreie Adresszustellung für Cyberkriminelle

Der Service ist praktisch: Über das von der Deutschen Post betriebene Portal umziehen.de können Nutzer ihre neue Adresse eingeben; im Anschluss informiert die Post dann automatisch diverse Dienstleister wie Banken oder Versicherungen über die aktualisierte Anschrift. Allerdings bergen praktische Dinge – wie so oft in der Cyberwelt – auch Sicherheitsprobleme.

So waren in diesem Jahr aufgrund eines einfachen Fehlers die Adressdaten von etwa 200.000 Kunden im Internet abrufbar. Weltweit waren weitere Firmen betroffen, unter anderem Online Pharmacy Australia mit 600.000 Kundenadressen inklusive Bestellhistorie.

Kreditkartenaustausch wegen Hacker-Attacke

Es war als reine Vorsichtsmaßnahme vorgesehen, dennoch wurden deutsche Bankkunden extrem verunsichert. Was war passiert? Wegen eines Datenlecks bei einem Dienstleister mussten einige Banken Anfang des Jahres 2016 die Kreditkarten ihrer Kunden austauschen. Warum? Es gab Hinweise, dass Kriminelle möglicherweise unberechtigt in den Besitz von Kreditkartendaten gelangt sein könnten. Vor allem die Commerzbank war betroffen.

Auch wenn die 15.000 Karten nur einen kleinen Teil aller Karten, die die Commerzbank an ihre knapp zwölf Millionen Privatkunden ausgegeben hat, ausmachten, ist eines klar: Kreditkartendaten gehören zu den sensibelsten Informationen. Onlinebanking und -shopping sollten daher immer in sehr gut gesicherten Umgebungen mit allen vom Dienstleister angebotenen Sicherheitsvorkehrungen erledigt werden.

Der Rekord-Milliarden-Hack bei Yahoo

Die Anzahl der betroffenen Nutzer macht den Fall von Yahoo zu einer der größten Attacken überhaupt. Fragt sich nur, wie lange noch. Im Sommer 2016 musste Yahoo zugeben, dass bereits im Jahr 2014 eine halbe Milliarde Accounts von Nutzern gestohlen wurde. Und legte zwei Monate später noch einmal die doppelte Menge drauf: Insgesamt wurden demnach in den Jahren 2013 und 2014 Daten von 1,5 Milliarden Kunden gestohlen, darunter Namen, Telefonnummern sowie Sicherheitsfragen und -antworten.

Diesmal hatten nicht nur Kunden das Nachsehen. Yahoo befand sich gerade in der Schlussphase der Übernahmeverhandlungen mit Verizon. Da der Konzern seine Nutzerdaten offenbar nicht sicher verwahrt hatte und bei der Aufklärung der Angelegenheit mauerte, konnte Verizon den Kaufpreis für die Übernahme am Ende deutlich nach unten drücken.

Was User tun können

Nutzer sollten immer genau überlegen, wem sie welche persönlichen Daten überlassen. Weniger ist hier eindeutig mehr. Zudem sollten sie dringend die vom Anbieter angebotenen Sicherheitsmaßnahmen für Onlinekonten – zum Beispiel Zwei-Faktor-Authentifizierung – annehmen.

Eine versteckte Falle, die es zu beachten gibt: Teilt ein Kunde sensible Daten wie Kontodaten in sicherheitskritischen Umgebungen wie im öffentlichen WLAN über das Internet mit, sollte er auf zusätzlichen Schutz achten. Das kann etwa über VPN oder spezifische Angebote von Unternehmen passieren.

Daneben sollten User ein einfaches Passwort-Management etablieren. Wichtig ist, dass Passwörter lang sind, Sonderzeichen beinhalten und vor allem einzigartig sind. Das können Nutzer selbst mit ein paar Tricks organisieren oder mit Passwort-Managern.

Security Big Data & Business IntelligenceDigitale Transformation RSS Feed abonnieren