Thought Leadership
Mit der TÜV Cybersicherheits-Sudie steht unser Doc Storage auf Kriegsfuß: Aus seiner Sicht entsprechen die Ergebnisse nicht der Realität. Die tatsächliche Anzahl an erfolgreichen Cyberangriffe dürfte viel, viel höher liegen. Bis 2025 soll Cybercrime der Weltwirtschaft mehr als zehn Billionen US-Dollar kosten.
Kommentar Doc Storage:
Der TÜV Verband schreibt, »fast jedes zehnte Unternehmen« wäre bisher erfolgreich gehackt worden. Ernsthaft? Unter zehn Prozent? Jahaaa, das sind diejenigen, die es (a) bemerkt und (b) dann auch noch zugegeben haben. Oder zugeben mussten, da Kundendaten abgeflossen, beschädigt oder gelöscht wurden. Eine viel höhere Zahl lässt sich vermuten, wenn man das eigene und damit alle anderen Unternehmen ehrlich betrachtet. Am Ende können wir davon ausgehen, dass annähernd jedes Unternehmen bisher angegriffen wurde, und dass jeder zweite bis dritte Angriff auch erfolgreich war. Also nichts mit zehn Prozent. 33 bis 50 Prozent ist ein eher realistischer Wert.
Die meisten Betreiber wollen allerdings sowohl gegenüber ihren Kunden und Mitarbeitern als auch ihren Versicherern zugeben, dass kriminelle Angriffe erfolgreich waren. Wenn man sich die namhaftesten acht Opfer solcher Angriffe vor Augen führt, und vor allem deren technische und finanzielle Aufwände zum eigenen Schutz, dann sollte allen hier (noch) nicht genannten Angst und Bange werden, denn in nicht allzu kurzer Zeit werden auch sie in diesen Listen auftauchen. Einigen durchaus glaubhaften Voraussagen folgend wird diese Art der Kriminalität die Weltwirtschaft bis 2025 mehr als zehn Billionen US-Dollar kosten.
Die bisher namhaftesten Opfer von Cybercrime 2023
Im Mai wurde bekannt, dass T-Mobile die zweite Datenpanne des Jahres unterlaufen war, nachdem ein Hack die PINs, vollständigen Namen und Telefonnummern von über 800 Kunden preisgegeben hatte. Dies ist die neunte (!) Datenschutzverletzung seit fünf Jahren und bereits die zweite in diesem Jahr. Anfang Januar 2023 entdeckte T-Mobile, dass ein Krimineller im November vorigen Jahres Zugriff auf die Systeme erlangt und persönliche Daten wie Namen, E-Mail-Adressen und Geburtstage von über 37 Millionen Kunden gestohlen hat. Nachdem die Datenschutzverletzung identifiziert wurde, konnte die Ursache ausfindig gemacht und innerhalb eines Tages geschlossen werden. T-Mobile behauptet, dass dem Unternehmen durch diesen Datenverlust »erhebliche Kosten« entstehen könnten. Diese fallen zusätzlich zu den 350 Millionen US-Dollar an, die das Unternehmen im Rahmen eines Vergleiches im Zusammenhang eines vorherigen Datenverstoßes im August 2021 vereinbart hatte, seinen Kunden auszuzahlen. T-Mobile hat aufgrund der mangelnden Sicherheit nicht nur Hunderte Millionen US-Dollar, sondern auch das Vertrauen vieler Kunden verloren.
ChatGPT steht aufgrund seiner angeblich revolutionären KI-Fähigkeiten bereits seit Monaten im Rampenlicht, allerdings gab es Ende März einige schlechte Nachrichten – ein Datenverlust musste bekannt gegeben werden. Führende Mitarbeiter von OpenAI, der Muttergesellschaft von ChatGPT, sagten dass in den Stunden, bevor ChatGPT offline genommen wurde, es für einige Benutzer möglich war, den Vor- und Nachnamen, die E-Mail-Adresse, die Zahlungsadresse und die letzten vier Ziffern der Kreditkartennummer inklusive des Ablaufdatums anderer aktiven Benutzer zu sehen. Die vollständigen Kreditkartennummern sollen allerdings zu keinem Zeitpunkt offengelegt worden sein. OpenAI versucht die Folgen zu bewältigen, indem es betroffene Benutzer benachrichtigt, ihre E-Mails bestätigt und zusätzliche Sicherheitsmaßnahmen einführt. Viele Nutzer stehen ChatGPT und KI im Allgemeinen skeptisch gegenüber, und dieses Datenleck wird das Vertrauen nur noch weiter schwächen, obwohl es gar nichts mit der eigentlichen Technologie zu tun hat.
Der Videospiel-Publisher hinter beispielsweise dem Call of Duty-Franchise, Activision, bestätigte bereits Mitte Februar, dass es im Dezember zu einem Datenleck gekommen sei. Die Kriminellen nutzten einen SMS-Phishing-Angriff auf einen Mitarbeiter der Personalabteilung, um Zugriff auf Mitarbeiterdaten zu erhalten. Hierzu zählen E-Mail-Adressen, Mobiltelefonnummern, Gehälter und Arbeitsorte. Activision behauptet, dass der Angriff schnell behoben wurde und dass nicht genügend Daten gesammelt wurden, um eine Alarmierung der Mitarbeiter direkt nach der Datenpanne zu rechtfertigen. Eine Gruppe von Sicherheitsexperten untersuchte den Angriff jedoch und fand heraus, dass sich die Kriminellen neben den sensiblen Mitarbeiterinformationen auch Zugang zur Roadmap des Spieleunternehmens für 2023 verschafft hatte. Aufgrund kalifornischen Rechts musste Activision in der Folge doch alle Mitarbeiter alarmieren. Wahrscheinlich wird das Zögern beim Alarmieren der Mitarbeiter zusätzlich zu rechtlichen und garantiert auch finanziellen Problemen führen.
Die E-Mail-Marketingplattform MailChimp musste Kunden darauf aufmerksam machen, dass man aufgrund eines Social-Engineering-Angriffs auf ein internes Kundensupport-Tool einen Datenverlust erlitten hatte. Die Kriminellen verschafften sich Zugang zu den Informationen und Anmeldedaten von Mitarbeitern, allerdings habe das Unternehmen diese Konten inzwischen identifiziert und gesperrt. Als Reaktion auf den Datenverlust sagte Mailchimp, Dass die Untersuchung des Vorfalls noch nicht abgeschlossen und auch die Einrichtung von Maßnahmen zum weiteren Schutz der Plattform im Gange sei. Dies ist der erste Angriff auf Mailchimp im Jahr 2023, aber bereits im April und August 2022 gab es ähnliche Datenschutzverletzungen.
Norton Life Lock hat seinen Kunden Mitte Januar mitgeteilt, dass seit Weihnachten des Vorjahres mehr als 6.000 ihrer Kundenkonten aufgrund eines Stuffing-Angriffs ausgespäht wurden. Dabei werden zuvor unrechtmäßig erlangte Passworte verwendet, um in Konten einzudringen, die gemeinsame Passworte verwenden. Dies ist ein weiterer Grund, auf die Wichtigkeit von Mehrfaktor-Authentifizierung hinzuweisen. Gen Digital, die Muttergesellschaft von Norton Life Lock, schickte eine Mitteilung an alle möglicherweise kompromittierten Konten und empfahl, die Passworte zu ändern und die Zweifaktor-Authentifizierung zu aktivieren.
Bei Google Fi handelt es sich um den jüngsten schwerwiegenden Datenverlust, dieser jedoch ist eine direkte Folge des T-Mobile-Datenlecks zu Beginn des Jahres. Da Google über keine eigene Netzwerkinfrastruktur verfügt und auf das Netzwerk von T-Mobile zurückgreifen muss, ist das Unternehmen ebenfalls vom massiven Datenverlust betroffen, der die Telefonnummern von Kunden betraf. Obwohl es sich »lediglich« um Telefonnummern handelt, können Kriminelle mit dieser Art von Kundeninformationen eine Menge anfangen. Hiermit lassen sich beispielsweise Phishing-Angriffe durchführen, welche Benutzer dazu verleiten sollen auf Links zu klicken, die Kriminellen den Zugriff auf weitere Informationen ermöglichen. Als Google Fi-Nutzer sollte man in dieser Zeit besonders vorsichtig bei verdächtigen Nachrichten sein.
Die vor allem in den USA beliebte Fast-Food-Kette Chick-fil-A musste ein Datenleck in seiner mobilen App zugeben, mit dem persönliche Daten von Kunden preisgegeben wurden. Das Unternehmen bemerkte ungewöhnliche Anmeldeaktivitäten, untersuchte die Anomalie und stellte fest, dass der Angriff seit den ersten Monaten des Jahres stattfand. Die Kriminellen nutzten E-Mail-Adressen und Passworte von Dritten, um in das System einzudringen und Informationen wie Mitgliedsnummern und Namen zu erhalten , E-Mail-Adressen, Wohnort-Adressen und mehr. Obwohl laut Betreiber weniger als zwei Prozent der Kundendaten betroffen waren, wurden inzwischen Maßnahmen ergriffen, um zukünftige Angriffe dieser Art zu verhindern. Das Unternehmen kündigte an, die Online-Sicherheit und -Überwachung zu erhöhen und alle Inhaber von Konten zu entschädigen, die unter von dem Angriff betroffen gewesen seien.
Aber nicht nur eine Restaurantkette ist betroffen. Yum Brands, die Muttergesellschaft der Fast-Food-Ketten KFC, Taco Bell und Pizza Hut, musste im April bekanntgeben, dass im Januar ein Angriff stattgefunden hatte. Zunächst ging man davon aus, dass der Angriff nur »direkte Auswirkungen« auf Unternehmensdaten hatte. Man wurde jedoch vorsichtig und benachrichtige Mitarbeiter, dass ihre personenbezogenen Daten möglicherweise abgezogen worden seien. In einer gegenüber öffentlichen Erklärung sagte ein Vertreter von Yum, es sei im Verlauf der forensischen Überprüfung und Untersuchung festgestellt worden, dass einige personenbezogene Daten von Mitarbeitern während des Sicherheitsvorfalls im Januar offengelegt worden seien. Das Unternehmen versendet derzeit individuelle Benachrichtigungen und bietet kostenlose Überwachungs- und Schutzdienste an. Man habe allerdings keine Hinweise darauf, dass Kundeninformationen betroffen waren. Der Angriff führte allerdings dazu, dass das Unternehmen im Januar mehrere hundert Standorte in Großbritannien schließen musste, und kostete darüber hinaus Geld für zusätzliche Sicherheitsmaßnahmen, die Benachrichtigung der Kunden und die Wiederherstellung der Vertrauens in die Marke.
Nicht immer sind nur Nutzerdaten betroffen
All diese Fälle beweisen einmal mehr, dass Datenschutzverletzungen in diesem Jahr eine gefährliche finanzielle Belastung auch und vor allem für große Unternehmen darstellen. Verbrecher in diesem Sektor haben es mit Sicherheit nicht allein auf Kundendaten abgesehen, sondern können auch die Sicherheitsmaßnahmen eines Unternehmens überwinden, um andere, möglicherweise viel wichtigere Informationen zu stehlen. Im August letzten Jahres gab Last Pass, ein Passwort-Management-Anbieter mit über 30 Millionen Nutzern bekannt, dass ein unberechtigter Dritter durch Zugriff auf ein kompromittiertes Entwicklerkonto in sein gesamtes Netzwerk eindringen konnte. Allerdings gab das Unternehmen an, dass, obwohl die Sicherheit des Netzwerkes verletzt worden sei, man nicht annehme, dass auf verschlüsselte Kundendaten zugegriffen wurde. Der Kriminelle habe vielmehr Teile des Quellcodes und einige proprietäre technische Informationen von Lastpass mitgehen lassen. Dies würde bedeuten, dass keine Kundendaten verletzt wurden und dass die Sicherheits- und Verschlüsselungsmaßnahmen von Lastpass für die Kundenpassworte ihre Aufgabe erfüllt hätten. Allerdings hat dieser Verstoß gegen die Netzwerksicherheit Last Pass dazu veranlasst, externe Experten einzustellen und sich so in Zukunft vor weiteren Verstößen zu schützen.
Externe Sicherheitsexperten sind ein Muss
Tagtäglich liest man von den beschriebenen Sicherheitsproblemen größerer und kleinerer DV-Betreiber. Diese kämpfen natürlich einen fast aussichtslosen Kampf, um den besten Schutz bei gleichzeitig optimaler Benutzerfreundlichkeit zu erreichen. Natürlich sind die Kriminellen immer einen Schritt voraus, und natürlich sind immer neue und komplexere Regularien auch nicht gerade eine große Hilfe bei der Bekämpfung ihrer Aktivitäten.
Alle DV-Betreiber mit Anschluss ans Internet, also alle DV-Betreiber, sollten sich über eines im Klaren sein: Die Kriminellen haben Zeit, Geld und Geduld sowie die benötigten Hilfsmittel in Form einschlägiger Linux-Distributionen, welche zum freien Download im Internet bereitstehen. Das beste Mittel gegen diese Einzeltäter oder Banden ist das Hinzuziehen externer Experten, welche das eigene Netz, die eigenen Installationen auf eine möglichst hohe Absicherung hin überprüfen. Eine eigene Sicherheitsabteilung zu haben ist schön, reicht aber bei weitem nicht aus. Und kein externer Experte kann so teuer sein wie das nächste Datenleck. Geld, Reputation, Kunden, all dies steht auf dem Spiel. Im schlimmsten Fall sogar die Existenz des eigenen Unternehmens. Und ganz zum Schluss – zehn Prozent Betroffene, wie der TÜV hier zu veröffentlichen meint, ist – man entschuldige meine Wortwahl – völliger Blödsinn. Entweder man war schon Opfer, und hat es nur nicht bemerkt, oder man wird es innerhalb kürzester Zeit sein. Aber sich wohlig in den Sessel zurückzulehnen und zu meinen, dass die eigenen Sicherheitsmaßnahmen ja klasse sind, weil man noch kein Datenleck hatte, ist DV-Selbstmord.
Gruß
Doc Storage
Weiterführende Links:
