Interview

Datenverlust in Zeiten von DSGVO

Vom Gehaltszettel über das Röntgenbild bis zum Steuerbescheid – nur wenige Wochen vor Inkrafttreten von DSGVO deckte ein Report von Digital Shadows den Umfang an Daten auf, die im Netz frei zugänglich sind. Insgesamt fanden sie 1,5 Mrd. Dokumente. Deutschland nimmt dabei einen unrühmlichen Spitzenplatz ein. Ein Interview mit Stefan Bange, Country Manager Deutschland von Digital Shadows.

Herr Bange, wie kann es sein, dass so viele vertrauliche und persönliche Daten ins Netz gelangen?

Anzeige

Stefan Bange: Die Ursache des Datenverlusts war in diesem Fall nicht etwa ein Hackerangriff oder Malware, sondern falsch konfigurierte Server, Webseiten und Cloud-Dienste sowie ungesicherte, mit dem Internet verbundene Netzwerke. Auf diesen wurden die Daten gespeichert und so regelmäßig, wenn auch unbeabsichtigt, der Öffentlichkeit preisgegeben. Interessant ist, dass wir in der oft kritisierten Cloud vergleichsweise wenige Daten gefunden haben. Viel stärker betroffen sind ältere Technologien wie SMB, rsync und FTP, die nach wie vor genutzt werden, aber nicht immer ausreichend gesichert sind.

Insgesamt haben wir 12 Terabyte an sensiblen Daten entdeckt. Uns hat jedoch nicht allein die Menge an Daten schockiert, sondern auch, wie einfach man auf die Informationen zugreifen konnte. Spezielles technisches Know-how, ausgefeilte Hackertools oder eine Authentifizierung waren meist nicht nötig.

Was bedeutet das für Unternehmen und Organisationen?

Stefan Bange: Unternehmen sind in mehrfacher Hinsicht betroffen. Datenleaks stellen immer ein Sicherheitsrisiko dar. Für Hacker und Cyberkriminelle sind solche Funde eine echte Goldgrube. Die Daten können beispielsweise für den nächsten Malware-Angriff genutzt werden, und dienen dazu, das Unternehmen und die dortigen Personen und Prozesse auszuspionieren. Oder sie werden auf einem der Marktplätze im Dark Web weiterverkauft. 

Und natürlich heißt Datenverlust auch Verlust von Intellectual Property. Fotos von neuen Produktdesigns und technische Zeichnungen tauchen immer öfter ungewollt auf Social Media-Kanälen auf. Auch laden Mitarbeiter immer wieder versehentlich Entwürfe oder Dokumente in die Cloud, die nicht zur Veröffentlichung bestimmt sind. Bei unseren Untersuchungen fanden wir beispielsweise proprietären Quellcode von Anwendungen, Teile eines Produkt-Copyrights oder Details zum Design einer Website. In Branchen, in denen Forschung und Entwicklung über langfristige Wettbewerbsfähigkeit entscheidend ist, kann das verheerende Folgen haben.

Bei der Analyse wurden zudem viele sogenannte „personenbezogene Daten“ gefunden. Was ist damit gemeint? Und welche Rolle spielt hier in Zukunft die DSGVO?

Stefan Bange: Mit der DSGVO sollen personenbezogene Daten noch stärker geschützt werden. Wer dies nicht ausreichend tut, muss mit weit höheren Strafen als bislang rechnen. Unter personenbezogene Daten fallen dabei alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Das fängt bei Namen, Alter, Konto- und Kreditkartennummer an, schließt aber auch Kfz-Kennzeichen, Glaubenszugehörigkeit oder das für die Bewerbung mitgeschickte Hochschulzeugnis oder Motivationsschreiben mit ein. 

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Zu den am häufigsten exponierten Dokumenten, die wir gefunden haben, zählen Gehaltsabrechnungen und Steuererklärungen. Sucht man nach den Quellen dieser Daten stößt man häufig auf externe Auftragnehmer wie Buchhaltungsfirmen.

Die technische Form der Angaben ist nicht von Bedeutung. Auch Fotos, Video- und Tonbandaufnahmen oder Röntgenbilder können personenbezogene Daten enthalten. So fanden unsere Analysten auf einem offenen SMB Port in Italien öffentlich zugängliche Patientenlisten mit über zwei Millionen .dcm Dateien. In diesem DICOM-Format werden weltweit digitale Bilder der Radiologie, medizinische Testergebnisse von MRIs sowie Patientendaten, Aufnahmebedingungen, Aufnahmedatum und weitere Meta-Daten gespeichert. Viel persönlicher geht es kaum noch.

Die Ergebnisse des Reports decken gerade einmal die ersten drei Monate dieses Jahres ab. Glauben Sie, dass angesichts von DSGVO in ein paar Monaten bei einer ähnlichen Untersuchung weniger Daten zu finden wären?

Stefan Bange: Das ist natürlich schwer zu sagen. Aktuelle Umfragen zur DSGVO legen zumindest den Eindruck nahe, dass ein Großteil der deutschen Unternehmen momentan nicht ausreichend vorbereitet ist. Jedem ist klar, dass die Verordnung kommt. Es ist jedoch eine Mammutaufgabe, sich zunächst einen Überblick aller personenbezogenen Daten im Unternehmen zu verschaffen und dann entsprechende Prozesse zu etablieren und Systeme zu integrieren. Hier stecken viele erst noch in der Anfangsphase. Manche warten auch noch ab, wie sich die Situation entwickeln wird. 

Dass die Zahl an sensiblen Daten kurzfristig sinkt, ist daher eher unwahrscheinlich. Es geht ja nicht nur darum, einen Schutzwall um die Unternehmens-IT aufzuziehen und zu verhindern, dass zukünftig Daten gehackt werden oder verloren gehen. Unternehmen müssen auch wissen, welche Informationen über sie im digitalen Raum bereits zu finden sind. Hier kommt es dann auf eine umfassende Threat Intelligence, ein kontinuierliches Monitoring des Open, Deep und Dark Webs sowie eine effektive Strategie für das digitale Risikomanagement an. Nur die Gefahren, die man kennt, kann man auch abwehren. Der Report zeigt: Viele hochsensible Daten sind längst im Umlauf. Und sind die Daten erst einmal im Netz, gilt es Schadensbegrenzung zu betreiben.

Welche Lektion sollten Unternehmen aus dem Datenfund ziehen? Und was können sie tun, um ähnliches in ihrem Unternehmen zu verhindern?

Stefan Bange: Ich denke, wir brauchen grundsätzlich einen besseren Weg, um Arbeitsdateien im Unternehmen zu sichern und müssen einen verantwortungsvolleren Umgang mit Daten sicherstellen. Damit sind nicht nur die Unternehmen in der Verantwortung. Unsere Untersuchungen haben ergeben, dass ehemalige Mitarbeiter, Auftragnehmer und Dritte eine der Hauptursachen für Datenschutzverletzungen sind. In vielen Fällen wurden die Server und Web-Anwendungen genutzt, um Informationen zu sichern, zu teilen oder anderweitig zu nutzen. Dass die Verantwortlichen dabei die Daten allen zugänglich machten, geschah meist unbeabsichtigt. Organisationen können hier ihren Teil beitragen, indem sie Anwendern Backup-Lösungen anbieten und Mitarbeiter, Kunden sowie Auftragnehmer und Partner über die Risiken des Kopierens und Archivierens von Arbeitsdateien aufklären. Schulung und Sensibilisierung im Umgang mit Daten kann langfristig das Problem zumindest entschärfen. 

Darüber hinaus gibt es auch ganz praktische Möglichkeiten, um sich vor einem ungewollten Datenverlust zu schützen. Diese reichen von „einfachem“ Passwortmanagement über IP-Whitelisting bis hin zu einer sicheren Mehrfaktor-Zugangskontrolle, um die betroffenen Server und Web-Dienste sicher nutzen zu können.  

Herr Bange, vielen Dank für das Interview!

digitalshadows.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.