Das Recht des Einzelnen auf Datenschutz ist ein fundamentales Gut, aber wenn Hacker in der Lage sind, Daten zu stehlen, auszulesen und zu veröffentlichen, gibt es de facto keinen Datenschutz. Datenschutz muss in der Praxis gelebt werden – oder er existiert nicht.
IT Governance zufolge wurden im letzten Jahr rund 8,2 Milliarden Datensätze geleakt. Auch wenn nicht jeder Datensatz einzigartig ist, ist das doch eine ganze Menge persönlicher Daten in den falschen Händen. Und erst kürzlich wurde der laut Experten bislang vielleicht größte Leak überhaupt bekannt: 26 Milliarden personenbezogene Datensätze sind betroffen. Leider wissen Bedrohungsakteure nur zu gut, wie lukrativ das Geschäft mit sensiblen Daten ist – und wie gering die Wahrscheinlichkeit, gefasst oder bestraft zu werden.
Bedrohungsakteure können die im Rahmen zahlreicher Breaches geleakten Daten in einer einzigen großen Datenbank zusammenfassen und mit Querverweisen versehen, um weitere Angriffe zu lancieren. Beim sogenannten „Credential Stuffing“ etwa wird die Kombination aus Benutzername und Passwort eines Services verwendet, um einen anderen zu kompromittieren. Indem sie sensible Daten aus verschiedenen Quellen kombinieren – zum Beispiel Passwörter, PINs, Sozialversicherungsnummer, Geburtsort et cetera – und ein umfassendes Profil einer Person erstellen, verfügen sie mitunter über genügend Informationen, um Sicherheitsfragen beantworten und sich Zugang zu Bankkonten verschaffen zu können. Je mehr Daten Hackern zur Verfügung stehen, desto größer ist das Risiko.
Wir müssen damit beginnen, Schutzmaßnahmen noch engmaschiger zu spannen, um Datendiebstahl zu verhindern. Wir wissen, dass die Angriffsmethoden der Bedrohungsakteure weniger innovativ oder gar einzigartig als vielmehr opportunistisch sind. Sie sehen viele Wege in und durch IT-Umgebungen. Die flächendeckende Einführung von Cloud Computing bringt neue Schwachstellen und komplexeres Management mit sich – beides machen sich böswillige Akteure zunutze.
In den meisten Fällen sind es bekannte Schwachstellen, die Bedrohungsakteuren Tür und Tor zu Unternehmensinfrastrukturen öffnen. Sobald sie sich Zugang verschafft haben, werden sie versuchen, Fehlkonfigurationen in Active Directory auszunutzen, um Rechte auszuweiten, Daten abzugreifen, Systeme zu verschlüsseln oder das Business anderweitig zu beeinträchtigen. Wenn wir nicht sorgfältiger vorgehen und diese Angriffsvektoren identifizieren und blockieren, stehen wir am nächsten Datenschutztag wieder vor demselben Dilemma.
Bernard Montel
ist EMEA Technical Director and Security Strategist bei Tenable.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.