Das Recht des Einzelnen auf Datenschutz ist ein fundamentales Gut, aber wenn Hacker in der Lage sind, Daten zu stehlen, auszulesen und zu veröffentlichen, gibt es de facto keinen Datenschutz. Datenschutz muss in der Praxis gelebt werden – oder er existiert nicht.
IT Governance zufolge wurden im letzten Jahr rund 8,2 Milliarden Datensätze geleakt. Auch wenn nicht jeder Datensatz einzigartig ist, ist das doch eine ganze Menge persönlicher Daten in den falschen Händen. Und erst kürzlich wurde der laut Experten bislang vielleicht größte Leak überhaupt bekannt: 26 Milliarden personenbezogene Datensätze sind betroffen. Leider wissen Bedrohungsakteure nur zu gut, wie lukrativ das Geschäft mit sensiblen Daten ist – und wie gering die Wahrscheinlichkeit, gefasst oder bestraft zu werden.
Bedrohungsakteure können die im Rahmen zahlreicher Breaches geleakten Daten in einer einzigen großen Datenbank zusammenfassen und mit Querverweisen versehen, um weitere Angriffe zu lancieren. Beim sogenannten „Credential Stuffing“ etwa wird die Kombination aus Benutzername und Passwort eines Services verwendet, um einen anderen zu kompromittieren. Indem sie sensible Daten aus verschiedenen Quellen kombinieren – zum Beispiel Passwörter, PINs, Sozialversicherungsnummer, Geburtsort et cetera – und ein umfassendes Profil einer Person erstellen, verfügen sie mitunter über genügend Informationen, um Sicherheitsfragen beantworten und sich Zugang zu Bankkonten verschaffen zu können. Je mehr Daten Hackern zur Verfügung stehen, desto größer ist das Risiko.
Wir müssen damit beginnen, Schutzmaßnahmen noch engmaschiger zu spannen, um Datendiebstahl zu verhindern. Wir wissen, dass die Angriffsmethoden der Bedrohungsakteure weniger innovativ oder gar einzigartig als vielmehr opportunistisch sind. Sie sehen viele Wege in und durch IT-Umgebungen. Die flächendeckende Einführung von Cloud Computing bringt neue Schwachstellen und komplexeres Management mit sich – beides machen sich böswillige Akteure zunutze.
In den meisten Fällen sind es bekannte Schwachstellen, die Bedrohungsakteuren Tür und Tor zu Unternehmensinfrastrukturen öffnen. Sobald sie sich Zugang verschafft haben, werden sie versuchen, Fehlkonfigurationen in Active Directory auszunutzen, um Rechte auszuweiten, Daten abzugreifen, Systeme zu verschlüsseln oder das Business anderweitig zu beeinträchtigen. Wenn wir nicht sorgfältiger vorgehen und diese Angriffsvektoren identifizieren und blockieren, stehen wir am nächsten Datenschutztag wieder vor demselben Dilemma.
Bernard Montel
ist EMEA Technical Director and Security Strategist bei Tenable.
Drei Bausteine bilden die Grundlage für eine KI-Governance: Dokumentation von KI-Projekten, Model Evaluation und Monitoring…
Eine Harmonisierung der Vorschriften für RIDP-Prozesse wird dazu beitragen, Angriffe künftig besser abwehren zu können,…
Die Übernahme der Metaal Kennis Groep soll den Zugang zur Metallindustrie verbessern. Im Fokus stehen…
EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.
Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…
Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…