Was viele kürzlich erfolgte Datenschutzverletzungen gemeinsam haben

Wenn Vorsicht die Mutter der Porzellankiste ist, besteht der beste Weg zur Verhinderung von Datenschutzverletzungen darin, jene Schwachstellen zu kennen und zu vermeiden, die von Hackern ausgenutzt werden. Was also sind die gängigsten Ursachen für Datenschutzverletzungen?

Wie häufig sind Datenschutzverletzungen und warum sind sie ein Problem?

Egal wie man es dreht und wendet: Die Zahl der Datenschutzverletzungen ist enorm. Allein im ersten Quartal 2023 wurden weltweit über 41 Millionen Konten unerwünscht offengelegt, und die durchschnittlichen Kosten einer Sicherheitsverletzung nähern sich der Marke von 4 Millionen USD. Und angesichts der Tatsache, dass zu 43 % kleine Unternehmen betroffen sind, ist niemand immun.

Es sind inzwischen einige Muster deutlich geworden: Wir wissen jetzt, dass bei mindestens 50 % der bestätigten Datenschutzverletzungen Anmeldedaten von Benutzern eine Rolle spielen. Cyberkriminelle nutzen die Schwachstellen aus, die durch schwache und wiederverwendete Anmeldedaten entstehen – mit Taktiken wie:  

• Brute-Force-Angriffe. Diese Taktik nutzt Software, um Anmeldedaten über Tausende von Iterationen hinweg zu erraten, bis auf ein Konto zugegriffen werden kann. Die Folgen eines Brute-Force-Angriffs werden durch wiederverwendete Passwörter verstärkt, da bei einem Erfolg ggf. gleich auf mehrere Konten zugegriffen werden kann. Starke, komplexe Passwörter reduzieren die Folgen dieser Taktik, da sie für Hacker (oder ihre Algorithmen) schwerer zu erraten sind.
• Credential Stuffing. Falls Sie jemals Ihr Passwort vergessen und dann versucht haben, andere Anmeldedaten anzugeben, in der Hoffnung, richtig zu raten, dann kennen Sie das Grundprinzip hinter Credential Stuffing. Als Untergruppe von Brute-Force-Angriffen verbessern Hacker ihre Chancen, indem sie gestohlene Anmeldedaten kaufen und bei verschiedenen Websites eingeben. Wiederverwendete Passwörter verschlimmern die Folgen solcher Taktiken, da bei einer Übereinstimmung ggf. gleich mehrere Konten offengelegt werden.

Neueste Beispiele für Datenschutzverletzungen

Die Nachrichten sind aktuell voll von Datenschutzverletzungen. Darunter waren auch bekannte Unternehmen, die immense Verluste in Bezug auf Daten und Finanzen erlitten haben. Das sind einige der Datenschutzverletzungen, über die in den Nachrichten zuletzt berichtet wurde:      

1. T-Mobile: Im April 2023 musste T-Mobile seine zweite Datenschutzverletzung des Kalenderjahres bekannt geben. Zwar wurde die letzte Verletzung relativ schnell behoben, doch wurden bei dem Vorfall im Januar private Daten von 37 Millionen T-Mobile-Kunden offengelegt.
2. US-Repräsentantenhaus: Als Beweis dafür, dass gegen Datenschutzverletzungen niemand immun ist, meldete die US-Regierung im März 2023 einen Hacking-Vorfall, bei dem private Daten von 17 aktuellen und ehemaligen Kongressmitgliedern betroffen waren. Trotz laufender Ermittlungen des FBI und der Capitol Police wurden die Täter und ihre Methoden noch nicht ermittelt.
3. Pizza Hut: Im Januar 2023 kam es bei Yum Brands, der Muttergesellschaft von Pizza Hut, KFC und Taco Bell, zu einer Datenschutzverletzung, die zur vorübergehenden Schließung von 300 Restaurants führte. Bei einem Ransomware-Angriff wurden Kundendaten, einschließlich Namen und Führerscheinnummern, offengelegt.
4. MailChimp: Im Januar 2023 meldete der E-Mail-Marketing-Gigant MailChimp seine zweite Datenschutzverletzung innerhalb von sechs Monaten. Der Angreifer nutzte Social-Engineering-Taktiken, um Mitarbeiter davon zu überzeugen, ihre Anmeldedaten zu teilen, und konnte sich so Zugriff zu 133 MailChimp-Kundenkonten verschaffen.
5. Norton LifeLock: In den ersten Wochen des Jahres 2023 wurden Konten von über 6.000 LifeLock-Cybersicherheitskunden kompromittiert. Man geht davon aus, dass der unbefugte Zugriff das Ergebnis von Credential-Stuffing-Taktiken war. Nachdem die Cyberkriminellen LifeLock-Konten mit gestohlenen Anmeldedaten infiltriert hatten, konnten sie Kundennamen, Telefonnummern und Postanschriften aufrufen.
6. LastPass: Im Dezember 2022 gab der Passwort-Manager LastPass eine Datenschutzverletzung bekannt, bei der E-Mail-Adressen, Telefonnummern, IP-Adressen, Abrechnungsdaten und Master-Passwörter des Passwort-Managers von etwa 3 % der Geschäftskunden offengelegt worden waren. Den Cyberkriminellen war es gelungen, neben Verschlüsselungsschlüsseln vom externen Cloud-Speicheranbieter des Unternehmens auch verschlüsselte Kundendaten zu stehlen. Wenn Sie von der Lastpass-Verletzung betroffen waren, finden Sie hier die einfachste Methode, um zu einem sichereren Passwort-Manager zu wechseln. 
7. Uber: Im September 2022 verschaffte sich ein 18-jähriger Hacker vollen Zugriff auf die internen Systeme und den Slack-Kommunikationskanal des Ride-Sharing-Giganten Uber. Offenbar verwendete der Hacker Social-Engineering-Taktiken – eine der häufigsten Ursachen für Datenschutzverletzungen –, um einen IT-Mitarbeiter bei Uber dazu zu verleiten, seine Anmeldedaten zu teilen.
8. Twitter: Im Juni 2021 erlaubte es ein Update des Twitter-Codes, den Benutzernamen eines Twitter-Benutzers einfach durch Angabe seiner Telefonnummer oder E-Mail-Adresse zu erhalten. Zwar wurde der Fehler sechs Monate später behoben, doch wurden im Januar 2023 über 200 Millionen Twitter-Benutzernamen und E-Mail-Adressen auf dem Schwarzmarkt zum Verkauf angeboten.

7 gängige Ursachen für Datenschutzverletzungen

Eine Untersuchung der jüngsten Vorfälle wirft Licht auf die häufigsten Ursachen für Datenschutzverletzungen. Eine Diagnose ihrer Herkunft ist jedoch oft schwieriger. Viele Datenschutzverletzungen resultieren aus einer Kombination aus zwei oder mehr Hacking-Taktiken, wobei die Ursachen anderer Datenschutzverletzungen im Dunkeln bleiben. Die folgenden Ursachen werden bei aktuellen Datenschutzverletzungen am häufigsten dokumentiert:  

1. Wiederverwendete Passwörter: Das wiederholte Verwenden alter Anmeldedaten ist nicht unüblich, da wir uns alle leichter an unsere Passwörter erinnern wollen. Leider verringert das Wiederverwenden von Passwörtern auch die Passwortsicherheit, da gleich mehrere Konten kompromittiert werden können, wenn auch nur ein wiederverwendetes Passwort kompromittiert wird. Mehrfach genutzte Passwörter sind also die führende Ursache für Datenschutzverletzungen. Das Wiederverwenden von Passwörtern verringert unsere Passwortintegrität und macht uns deutlich anfälliger für Credential Stuffing oder Brute-Force-Angriffe, da sich die Folgen eines Treffers multiplizieren.
2. Schwache Passwörter: Auch Passwörter, die zu kurz, unterkomplex oder zu vorhersehbar sind, stellen eine häufige Ursache für Datenschutzverletzungen dar, da sie von Hackern, die für Angriffe automatisierte Software verwenden, leicht erraten werden können. Wenn man statt 8 12 Passwortzeichen nutzt, erhöht sich die Anzahl der möglichen Kombinationen von 200 Milliarden auf 95 Billiarden, was es für Hacker deutlich schwieriger macht, Passwörter zu entschlüsseln. Außerdem sollte ein starkes Passwort keine Phrasen wie Familiennamen oder Adressen enthalten, die mit Ihrer Identität verknüpft sind.  
   Der beste Weg, um konsistent starke, unvorhersehbare Passwörter zu erstellen, besteht in der Verwendung der Passwortgeneratorfunktion eines Passwort-Managers.
3. Nicht gepatchte Anwendungen: Updates für Anwendungen und Betriebssysteme umfassen auch Patches, die der Behebung bekannter Sicherheitsprobleme dienen. Hacker nutzen die Schwachstellen von nicht gepatchter Software und veralteten Betriebssystemen aus, um sich unbefugten Zugriff zu verschaffen. Manche durchsuchen sogar das Internet, um nicht gepatchte Systeme zu finden. Eine Anwendung empfohlener Patches und rechtzeitige Durchführung von Systemwartungen tragen dazu bei, Ihren allgemeinen Sicherheitsstatus zu verbessern und Datenschutzverletzungen zu verhindern.
4. Malware: Als Abkürzung für „Malicious Software“ (schädliche Software) umfasst Malware viele Arten von Software, die die Funktionsweise eines Computers beeinträchtigen können. Zu Malware-Varianten gehören Adware, Würmer und Viren. Ein Malware-Angriff wird gefährlicher, wenn die Absicht des Hackers darin besteht, Daten zu stehlen oder ein Gerät unbrauchbar zu machen, bis ein Lösegeld gezahlt wird.
   —Spyware: Diese Form von Malware, die allgemein als Spyware bezeichnet wird, installiert sich selbst auf einem Gerät und sammelt Daten wie Kreditkartennummern und Passwörter, um sie an den Hacker zurückzusenden. Da das Gerät normal zu funktionieren scheint, sind Spyware-Angriffe oft schwer zu erkennen.
   —Ransomware: Die Malware-Variante, die als Ransomware bezeichnet wird, dient dazu, einer Person oder einem Unternehmen bis zur Zahlung eines Lösegelds den Zugriff auf die eigenen Dateien zu verwehren. Dabei wird meist eine Zahlung in Kryptowährung gefordert, da sie anonym, schnell und ggf. schwer zu verfolgen ist. Das regelmäßige Sichern und Verschlüsseln wichtiger Dateien verringert Risiken durch Ransomware-Angriffe.

5. Social Engineering. Bei jüngsten Datenschutzverletzungen wie bei Uber und MailChimp kamen Social-Engineering-Taktiken zum Einsatz, die grundlegende Psychologie mit leicht verfügbaren Unternehmens- und Personendaten kombinieren. Opfer werden dazu gebracht, vertrauliche Daten wie Benutzernamen, Passwörter und Kontonummern preiszugeben. Phishing-E-Mails, die als Nachrichten von seriösen Quellen getarnt werden, sind ein berüchtigtes Beispiel dafür. Social-Engineering-Methoden umfassen aber auch Anrufe, SMS-Nachrichten oder sogar persönliche Kontakte.  
6. Insider-Bedrohungen: Diese Bedrohungen stammen aus dem Unternehmen selbst. Dazu gehören:
   —Menschliche Fehler treten auf, wenn Mitarbeiter Dateien, Daten oder Unternehmensgeräte verlieren oder verlegen bzw. auf bösartige Phishing-Angriffe hereinfallen, die außerhalb des Unternehmens gestartet wurden.
   —Ehemalige Mitarbeiter, die ihre Anmeldedaten behalten und verwenden, um dem Unternehmen zu schaden. Ein unsicheres Teilen von Passwörtern am Arbeitsplatz kann zu mangelnder Passworttransparenz führen, wenn Mitarbeiter das Unternehmen verlassen.
   —Verärgerte Mitarbeiter, die Unternehmensdaten manipulieren, zerstören oder stehlen.
   —Bring-Your-Own-Device (BYOD)-Programme, die es möglich machen, dass Mitarbeiter Malware und andere Cybersicherheitsbedrohungen von privaten Geräten in das Unternehmensnetzwerk einschleppen.
7. Physische Angriffe: Wie der Name schon andeutet, beinhalten physische Sicherheitsverletzungen direkten, unbefugten Kontakt mit Servern, Geräten oder anderen Personen. Mehrschichtige Schutzsysteme, einschließlich Zäunen, Sicherheitskameras und Ausweisen, dienen dazu, Rechenzentren vor physischen Angriffen zu schützen. Social-Engineering- und physische Angriffe fallen zusammen, wenn Cyberkriminelle Methoden wie Tailgating (um sich unentdeckt hinter autorisierten Benutzern zu verbergen) oder Schulter-Surfen (um über die Schulter des Opfers hinweg Daten zu stehlen) nutzen.

Wie kann ich mein Unternehmen schützen?

Wenn Sie auf gängige Ursachen für Datenschutzverletzungen prüfen und reagieren, können Sie dazu beitragen, Ihr Unternehmen zu schützen. Präventive Sicherheitsmaßnahmen wie Antivirensoftware, Firewalls und Inrusion-Prevention-Systeme leisten zwar wertvolle Dienste, doch weisen jüngere Ereignisse darauf hin, dass der menschliche Aspekt eine führende Ursache für Datenschutzverletzungen ist. Ihr Plan für Cybersicherheit sollte sich darauf konzentrieren, schlechte Angewohnheiten wie das Wiederverwenden von Passwörtern zu eliminieren sowie Mitarbeiter, Verwandte und Freunde über Social-Engineering-Taktiken zu informieren, die auf unsere Neigung setzen, anderen zu vertrauen, wenn sie glaubwürdig erscheinen.

So schützt Dashlane Sie vor Datenschutzverletzungen

Dashlane ist ein Passwort-Manager, der hilft, Passwörter und andere private Daten vor Datenschutzverletzungen zu schützen. Standardfunktionen umfassen 2-Faktor-Authentifizierung (2FA), eine Passwortintegritätsbewertung und 256-Bit-AES-Verschlüsselung. Außerdem scannt Dark-Web-Überwachung kontinuierlich die dunklen Ecken im Internet um zu ermitteln, ob Ihre Anmeldedaten kompromittiert wurden. Unsere patentierte Zero-Knowledge-Architektur sorgt dafür, dass niemand (nicht einmal Dashlane) auf Ihre privaten Daten zugreifen kann. Würde es bei Dashlane zu einer Sicherheitsverletzung kommen, würden Cyberkriminelle nicht Ihre unverschlüsselten Daten sehen.

---

Referenzen

1. DataProt, „Data Breach Statistics That Will Make You Think Twice Before Filling Out an Online Form“, März 2023.
2. Surfshark, „Data break Statistics 2023’Q1 vs. 2022’Q4“, Mai 2023.
3. Dashlane, „Eine der häufigsten Datenschutzverletzungen, die Ihr Unternehmen mit einem Schritt verhindern kann“, November 2021.
4. Dashlane, „Was ist Credential Stuffing?“, September 2020.
5. Dashlane, „Was ist eine Brute Force Attack” Februar 2020.
6. Security, „T-Mobile confirms second data breach in 2023“, September 2022.
7. CBS News, „At least 17 members of Congress had sensitive information exposed in data breach“, März 2023.
8. TechCrunch, „Norton LifeLock says thousands of customer accounts breached“, Januar 2023.
9. Security Week, „Yum Brands Discloses Data Breach Follow Ransomware Attack“, April 2023.
10.  TechCrunch, „Mailchimp says it was hacked — again“, Januar 2023.
11. Dashlane, „Die nennenswertesten Sicherheitsverletzungen zu Beginn des neuen Jahres“, Februar 2023.
12. Dashlane, „Alles, was Sie über den Social-Engineering-Angriff bei Uber wissen sollten“, September 2022.
13. Dashlane, „E-Mail-Leck mit 200 Millionen betroffenen Nutzern bei Twitter: Was Sie wissen müssen und wie Sie Ihre Daten schützen können“, Januar 2023.
14. Dashlane, „Wie durch das Wiederverwenden von Passwörtern Lücken bei der Cybersicherheit entstehen“, Mai 2023.
15. Dashlane, „6 Tipps, um starke, sichere Passwörter in der digitalen Welt zu erstellen“, März 2023.
16. Dashlane, „Halten Sie mit dem Passwortgenerator von Dashlane Hacks stand“, 2023.
17. Dashlane, „Warum es wichtig ist, Ihre Anwendungen stets auf dem neuesten Stand zu halten“, März 2022.
18. Dashlane, „What the Hack Is Malware?“ (Was zum Teufel ist Malware?), Februar 2020.
19. Dashlane, „How to Prevent Ransomware Attacks on Your Devices“, März 2023.
20. Dashlane, „5 Gründe, warum Sie Ihren Computer oft sichern sollten“, Mai 2023.
21. Dashlane, „Interview With a Hacker: Rachel Tobac Tells You How to Defend Yourself From…Well, Her!“ (Interview mit einer Hackerin: Rachel Tobac erklärt, wie Sie sich vor ihr schützen können!), März 2021.
22. Information Week, „75% of Insider Cyber Attacks are the Work of Disgruntled Ex-Employees: Report“, Juli 2022.
23. Dashlane, „Don’t Take the Bait—Password Managers Can Help Shield You From Phishing Attacks“ (Lassen Sie sich nicht ködern – wie Passwort-Manager vor Phishing-Angriffen schützen können), November 2020.
24. Dashlane, „9 BYOD Security Best Practices for Small and Medium-sized Businesses“ (9 Best Practices für BYOD-Sicherheit in kleinen und mittelgroßen Unternehmen), Mai 2023.
25. Maryville University, „Types of Security Breaches: Physical and Digital“, 2023.
26. Dashlane, „How To Create a Small Business Cybersecurity Plan That Works“ (So entwickeln Sie einen Cybersicherheitsplan für kleine Unternehmen, der funktioniert), Februar 2023.
27. Dashlane, „Zuverlässiger Passwort-Manager für den privaten Gebrauch“, 2023.
28. Dashlane, „Putting Security First: How Dashlane Protects Your Data“, Januar 2023.
29. Dashlane, „2-factor authentication (2FA) in Dashlane“, 2023.
30. Simplilearn, „What Is AES Encryption and How Does It Work?“, Februar 2023.
31. Dashlane, „A Deep Dive into Dashlane’s Zero-Knowledge Security“, (Details zum Zero-Knowledge-Sicherheitsansatz von Dashlane), 2023.
32. Dashlane, „Ein Blick auf Passwortintegritätsbewertungen in der ganzen Welt im Jahr 2022“, 2022.