Folge den Daten: Datenpannen analysieren und Mythen entlarven

Originalbeitrag von Numaan Huq (Senior Threat Researcher)

Von Datenpannen ist praktisch täglich zu hören und zu lesen. Entsprechende Berichte zu betroffenen Regierungen, Krankenhäusern, Universitäten, Finanzinstituten, Händlern und jüngst zu einem Seitensprungportal dominieren immer häufiger die Nachrichten. Doch dabei handelt es sich bloß um die Spitze des Datenpannen-Eisbergs. Denn die überwiegende Mehrzahl der Vorfälle wird weder dokumentiert noch bekanntgegeben.

Um Datenpannen besser zu verstehen, ist es wichtig, erst einmal den Begriff zu definieren. Die Publikation International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 27040 bestimmt eine Datenpanne [PDF] als:

„Kompromittierung der Sicherheit, die zu versehentlicher und ungesetzlicher Zerstörung, Verlust, Änderung, unerlaubter Bekanntgabe von oder Zugriff auf geschützte Daten bei der Übermittlung, am Speicherort oder bei sonstiger Verarbeitung führt.“

Eine große Bandbreite an sensiblen Daten wird branchenübergreifend in großen wie kleinen Unternehmen kompromittiert. Zu diesen Daten gehören personenbezogene Daten, Finanz-, Gesundheits-, Ausbildungs- und Kreditkartendaten, aber auch Zugangsdaten, intellektuelles Eigentum etc. In den Nachrichten werden fast immer Hacking- oder Malware-Angriffe aus Ursache von Datenpannen genannt. Auch wenn diese eine große Rolle bei Datendiebstählen spielen, sind sie jedoch nicht für alle Vorfälle verantwortlich. Zu den anderen Methoden, die sich häufiger beobachten lassen, gehören Insider-Angriffe, Diebstahl oder Verlust sowie unabsichtliche Veröffentlichungen.

Die Gruppe der Übeltäter, die sensible Daten kompromittieren, ist heterogen. Unter ihnen finden sich Innentäter ebenso wie kriminelle Einzeltäter, aber auch organisierte oder staatlich unterstützte Banden. Die gestohlenen Daten werden in der Regel dazu benutzt, um Verbrechen wie Finanzbetrug, Identitätsdiebstahl oder Diebstahl des geistigen Eigentums, Spionage, Rache und Erpressung zu verüben.

Da Datenpannen ein alltägliches Ereignis geworden sind, besteht die Gefahr, dass die Menschen gegenüber dem Risiko, dass ihre persönlichen, finanziellen, Gesundheits- und Ausbildungsinformationen usw. kompromittiert und schließlich auf kriminellen Untergrundmärkten verkauft werden, gleichgültig werden. Diese gleichgültige Haltung könnte das Resultat mehrerer Faktoren sein:

  • Abstumpfung durch tägliche Berichte über Datenpannen
  • Der Diebstahl sensibler Daten ist im Gegensatz zum Diebstahl eines Smartphones nicht fühlbar
  • Der Diebstahl sensibler Daten zeitigt keine unmittelbaren negativen Konsequenzen
  • Mangelndes Verständnis für die Folgen des Diebstahls persönlicher Daten

Der Schaden, den der Diebstahl von sensiblen Daten hervorruft, ist letztlich hoch und einige Opfer (von Identitätsdiebstahl oder Betrug zum Beispiel) haben jahrelang unter den Folgen zu leiden, ohne jemals irgendetwas falsch gemacht zu haben. Zwar existieren in den USA Gesetze gegen die illegale Preisgabe von Daten. Es stellt sich jedoch die Frage, ob diese Gesetze Durchschnittsbürger effektiv vor dieser Gefahr schützen. Halten sich die Unternehmen an diese Gesetze und geben Datenpannen bekannt, wenn sie vorkommen?

Risiken und Auswirkungen von Datenpannen haben uns dazu veranlasst, das Forschungspapier Follow the Data: Dissecting Data Breaches and Debunking the Myths zu veröffentlichen, in dem wir veröffentliche Berichte über Datenpannen mit statistischen Mitteln analysieren. All diese Berichte stammen aus der Datenbank zu Datenpannen von Privacy Rights Clearinghouse. Wir untersuchen die verschiedenen Verbrechen, die üblicherweise mit gestohlenen Daten begangen werden. Auf Basis unserer Analyse erstellten wir ein Bayes’sches Netz, um typische Datenpannenszenarien zu modellieren. Wir geben einen Überblick über kriminelle Untergrundmärkte, die im Deep Web gehostet werden, und bestimmen die verschiedenen Arten von sensiblen Daten, die zum Verkauf angeboten werden, einschließlich ihres Verkaufspreises. Zu guter Letzt skizzieren wir die Verteidigungsmöglichkeiten, mit denen sich Unternehmen und Individuen davor schützen können, Opfer von Verbrechen rund um Datenpannen zu werden.

Hier einige Highlights aus dem Forschungsbericht:

  • Kalifornien ist der am meisten betroffene US-Bundesstaat, was die Berichte zu Datenpannen angeht
  • Den größten Anteil unter den verschiedenen Arten an gestohlenen Daten halten personenbezogene Daten
  • Das Gesundheitswesen ist die hinsichtlich Datenpannen am meisten betroffene Branche
  • Das am meisten verübte Verbrechen im Zusammenhang mit Datenpannen im Gesundheitswesen war Identitätsdiebstahl
  • Datenpannen rund um Kreditkarteninformationen haben seit 2010 stark zugenommen

Weitere Details zu unseren Untersuchungsergebnissen erfahren Sie auf der Seite Follow the Data: Dissecting Data Breaches and Debunking the Myths. Von dort können Sie auch den vollständigen Bericht sowie unsere Branchenanalyse herunterladen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*