Was ist eine Datenpanne?
Eine Datenschutzverletzung ist ein Vorfall, der zur unbefugten Preisgabe vertraulicher, privater, geschützter oder sensibler Informationen führt. Diese Verstöße können versehentlich oder absichtlich erfolgen, entweder durch externe Angreifer oder durch Insider innerhalb einer Organisation. Die gestohlenen Informationen können zur Erzielung von finanziellem Gewinn oder für weitere Angriffe genutzt werden, was Datenschutzverletzungen zu einer erheblichen Bedrohung für Einzelpersonen und Unternehmen macht.
Datenschutzverletzungen im Jahr 2024
- Inkassounternehmen FBCS gibt Daten von 3 Millionen US-Bürgern weiter
- Die Ticketmaster-Verletzung" - was Sie wissen müssen
- Strafregisterdatenbank von Millionen von Amerikanern online veröffentlicht
- Berüchtigte Datenleckseite BreachForums von Strafverfolgungsbehörden beschlagnahmt
- Dell benachrichtigt Kunden über Datenschutzverletzung
- "Erheblicher Anteil" der Amerikaner wurde möglicherweise Opfer des Diebstahls von Gesundheits- und persönlichen Daten bei Change Healthcare
- Wie Sie überprüfen können, ob Ihre Daten bei der AT&T-Verletzung preisgegeben wurden
- AT&T bestätigt, dass 73 Millionen Menschen von der Datenschutzverletzung betroffen sind
Wie kommt es zu Datenschutzverletzungen?
Ein Exploit ist eine Angriffsart, bei der Softwarefehler oder Schwachstellen ausgenutzt werden, um sich unbefugten Zugang zu einem System und dessen Daten zu verschaffen. Diese Schwachstellen sind im Code des Systems versteckt, und es ist ein Wettlauf zwischen den Kriminellen und den Cybersicherheitsforschern, wer sie zuerst findet.
Die Kriminellen auf der einen Seite wollen die Schwachstellen ausnutzen, während die Forscher auf der anderen Seite die Schwachstellen an die Softwarehersteller melden wollen, damit die Fehler behoben werden können. Zu den häufig ausgenutzten Programmen gehören das Betriebssystem selbst, Internet-Browser, Adobe-Anwendungen und Microsoft Office-Anwendungen. Cyberkriminelle Gruppen verpacken manchmal mehrere Exploits in automatisierte Exploit-Kits, die es Kriminellen mit wenig oder gar keinem technischen Wissen erleichtern, die Vorteile der Exploits zu nutzen.
Eine SQL-Injektion (SQLI) ist eine Angriffsart, die Schwachstellen in der SQL-Datenbankverwaltungssoftware unsicherer Websites ausnutzt, um die Website dazu zu bringen, Informationen aus der Datenbank auszuspucken, die sie eigentlich nicht ausspucken sollte. Und so funktioniert es. Ein Cyberkrimineller gibt bösartigen Code in das Suchfeld einer Einzelhandelswebsite ein, wo Kunden normalerweise nach Dingen wie "bestbewertete kabellose Kopfhörer" oder "meistverkaufte Turnschuhe" suchen.
Anstatt mit einer Liste von Kopfhörern oder Turnschuhen zurückzukehren, gibt die Website dem Hacker eine Liste von Kunden und deren Kreditkartennummern. SQLI ist einer der am wenigsten ausgeklügelten Angriffe, der nur minimale technische Kenntnisse erfordert. Malwarebytes Labs hat SQLI auf Platz drei der Top 5 der dümmsten Cyber-Bedrohungen, die trotzdem funktionieren, gesetzt. Angreifer können sogar automatisierte Programme verwenden, um den Angriff für sie auszuführen. Sie müssen lediglich die URL der Zielsite eingeben und sich dann entspannt zurücklehnen, während die Software den Rest erledigt.
Spyware ist eine Art von Malware, die Ihren Computer oder Ihr Netzwerk infiziert und Informationen über Sie, Ihre Internetnutzung und alle anderen wertvollen Daten stiehlt, die sie in die Hände bekommt. Es kann sein, dass Sie Spyware als Teil einer scheinbar harmlosen herunterladen (auch Bundleware genannt) installieren. Alternativ kann Spyware auch als Sekundärinfektion über einen Trojaner wie Emotet auf Ihren Computer gelangen.
Wie im Blog Malwarebytes Labs berichtet wird, haben Emotet, TrickBot und andere Banking-Trojaner ein neues Leben als Übertragungswerkzeuge für Spyware und andere Arten von Malware gefunden. Sobald Ihr System infiziert ist, sendet die Spyware all Ihre persönlichen Daten an die von den Cyberkriminellen betriebenen Command-and-Control-Server (C&C) zurück.
Bei Phishing-Angriffen werden wir dazu gebracht, sensible Informationen wie Benutzernamen und Kennwörter preiszugeben, und zwar oft entgegen der normalen Logik und Vernunft, indem unsere Emotionen, z. B. Gier und Angst, durch Social Engineering manipuliert werden. Ein typischer Phishing-Angriff beginnt mit einer gefälschten E-Mail, die so aussieht, als käme sie von einem Unternehmen, mit dem Sie Geschäfte machen, oder von einem vertrauenswürdigen Mitarbeiter. Diese E-Mail enthält aggressive oder fordernde Formulierungen und verlangt irgendeine Art von Handlung, z. B. die Bestätigung von Zahlungen oder Käufen, die Sie nie getätigt haben.
Wenn Sie auf den angegebenen Link klicken, werden Sie auf eine bösartige Anmeldeseite weitergeleitet, die Ihren Benutzernamen und Ihr Kennwort abfangen soll. Wenn Sie keine Multi-Faktor-Authentifizierung (MFA) aktiviert haben, haben die Cyberkriminellen alles, was sie brauchen, um sich in Ihr Konto zu hacken. E-Mails sind zwar die häufigste Form von Phishing-Angriffen, aber auch SMS-Nachrichten und Social-Media-Nachrichtensysteme sind bei Betrügern beliebt.
Defekte oder falsch konfigurierte Zugriffskontrollen können dazu führen, dass private Teile einer bestimmten Website öffentlich zugänglich sind, obwohl dies nicht der Fall sein sollte. Ein Website-Administrator eines Online-Kleiderhändlers macht beispielsweise bestimmte Backend-Ordner innerhalb der Website privat, d. h. die Ordner mit sensiblen Daten über Kunden und deren Zahlungsinformationen. Der Webadministrator könnte jedoch vergessen, auch die zugehörigen Unterordner als privat zu kennzeichnen.
Während diese Unterordner für den Durchschnittsnutzer nicht ohne Weiteres erkennbar sind, könnte ein Cyberkrimineller mit ein paar gut durchdachten Google-Suchen diese falsch konfigurierten Ordner finden und die darin enthaltenen Daten stehlen. Ähnlich wie ein Einbrecher, der durch ein offenes Fenster in ein Haus klettert, braucht es nicht viel Geschick, um diese Art von Cyberangriff durchzuführen.
Sind meine gestohlenen Daten verschlüsselt?
Nach einem Datenschutzverstoß versuchen die betroffenen Unternehmen, die Angst und Empörung ihrer Kunden zu beschwichtigen, indem sie sagen: "Ja, die Kriminellen haben Ihre Passwörter, aber sie sind verschlüsselt." Das ist nicht sehr beruhigend und hier ist der Grund dafür. Viele Unternehmen verwenden die einfachste Form der Kennwortverschlüsselung, die möglich ist: ungesalzenes SHA1-Hashing.
Haschisch und Salz? Hört sich nach einer köstlichen Art an, den Tag zu beginnen. Für die Verschlüsselung von Passwörtern ist das jedoch nicht so gut. Ein mit SHA1 verschlüsseltes Kennwort wird immer mit der gleichen Zeichenfolge verschlüsselt oder gehasht, wodurch es leicht zu erraten ist. Zum Beispiel wird "password" immer wie folgt gehasht
"5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" und "123456" werden immer als "7c4a8d09ca3762af61e59520943dc26494f8941b" gehasht.
Das sollte kein Problem sein, denn das sind die beiden schlechtesten Passwörter, die es gibt, und niemand sollte sie je benutzen. Aber die Leute tun es. Die jährliche Liste der häufigsten Passwörter von SplashData zeigt, dass die Menschen bei ihren Passwörtern nicht so kreativ sind, wie sie sein sollten. An der Spitze der Liste stehen seit fünf Jahren in Folge: "123456" und "Kennwort". Herzlichen Glückwunsch an alle.
Auf diese Weise können Cyberkriminelle eine Liste gestohlener, gehashter Kennwörter mit einer Liste bekannter gehashter Kennwörter abgleichen. Mit den entschlüsselten Passwörtern und den passenden Benutzernamen oder E-Mail-Adressen haben Cyberkriminelle alles, was sie brauchen, um sich in Ihr Konto einzuhacken.
Was passiert, wenn Ihre Daten bei einer Datenschutzverletzung preisgegeben werden?
Gestohlene Daten landen in der Regel auf dem Dark Web. Wie der Name schon sagt, ist Dark Web der Teil des Internets, den die meisten Menschen nie sehen. Die Dark Web wird von Suchmaschinen nicht indiziert und man braucht einen speziellen Browser namens Tor Browser, um sie zu sehen. Was hat es also mit der Tarnung auf sich?
In den meisten Fällen nutzen Kriminelle die Website Dark Web für den Handel mit verschiedenen illegalen Waren. Diese Dark Web Marktplätze sehen aus und fühlen sich an wie eine typische Online-Einkaufsseite, aber die Vertrautheit der Benutzererfahrung täuscht über die illegale Natur des Angebots hinweg. Cyberkriminelle kaufen und verkaufen illegale Drogen, Waffen, Pornografie und Ihre persönlichen Daten. Marktplätze, die sich auf große Mengen personenbezogener Daten spezialisieren, die aus verschiedenen Datenschutzverletzungen stammen, werden im kriminellen Sprachgebrauch als Dump-Shops bezeichnet.
Die größte bekannte Ansammlung gestohlener Daten, die online gefunden wurde, alle 87 GB, wurde im Januar 2019 von dem Cybersecurity-Forscher Troy Hunt entdeckt, dem Erfinder von Have I Been Pwned (HIBP), einer Website, mit der Sie überprüfen können, ob Ihre E-Mail durch eine Datenpanne kompromittiert wurde. Die Daten, bekannt als Collection 1, umfassten 773 Millionen E-Mails und 21 Millionen Passwörter aus einem Sammelsurium bekannter Datenschutzverletzungen. Etwa 140 Millionen E-Mails und 10 Millionen Passwörter waren jedoch neu für HIBP, da sie nicht in einer zuvor bekannt gewordenen Datenschutzverletzung enthalten waren.
Der Cybersecurity-Autor und Enthüllungsjournalist Brian Krebs hat in einem Gespräch mit dem für Collection 1 verantwortlichen Cyberkriminellen herausgefunden, dass alle in dem Daten-Dump enthaltenen Daten zwei bis drei Jahre alt sind -mindestens.
Haben veraltete Daten aus einer alten Sicherheitsverletzung einen Wert (abgesehen von den 0,000002 Cent pro Kennwort, für die Collection 1 verkauft wurde)? Ja, eine ganze Menge.
Cyberkriminelle können Ihr altes Login verwenden, um Ihnen vorzugaukeln, dass Ihr Konto gehackt wurde. Dieser Betrug kann als Teil eines Phishing-Angriffs oder, wie wir 2018 berichteten, als Sextortion-Betrug funktionieren. Sextortion-Betrüger verschicken jetzt E-Mails, in denen sie behaupten, die Webcam des Opfers gehackt und es beim Pornoschauen aufgenommen zu haben. Um der Bedrohung eine gewisse Legitimität zu verleihen, fügen die Betrüger den E-Mails Anmeldedaten aus einer alten Datenschutzverletzung bei. Profi-Tipp: Wenn die Betrüger tatsächlich ein Video von Ihnen hätten, würden sie es Ihnen zeigen.
Wenn Sie Passwörter auf verschiedenen Websites wiederverwenden, setzen Sie sich einer Gefahr aus. Cyberkriminelle können auch Ihre gestohlenen Anmeldedaten von einer Website verwenden, um sich in Ihr Konto auf einer anderen Website einzuhacken. Dies wird als Credential Stuffing bezeichnet. Kriminelle verwenden eine Liste von E-Mails, Benutzernamen und Kennwörtern, die sie bei einer Datenschutzverletzung erlangt haben, um automatische Anmeldeanfragen an andere beliebte Websites zu senden - ein nicht enden wollender Kreislauf aus Hacken, Stehlen und noch mehr Hacken.
Welches sind die größten Datenschutzverletzungen?
Das ist der Top-Ten-Countdown, bei dem niemand dabei sein möchte. Hier ist unsere Liste der 10 größten Datenschutzverletzungen aller Zeiten. Viele der Unternehmen auf dieser Liste können Sie vielleicht erraten, aber es gibt auch ein paar Überraschungen.
10. LinkedIn | 117 Millionen
Bei diesem Datenbruch im Jahr 2012 erbeuteten Cyberkriminelle die E-Mail-Adressen und verschlüsselten Passwörter von 117 Millionen LinkedIn-Nutzern. Die Passwörter waren verschlüsselt, richtig? Keine große Sache. Leider hat LinkedIn diese verflixte SHA1-Verschlüsselung verwendet, über die wir bereits gesprochen haben. Und wenn Sie Zweifel daran haben, dass Ihre gestohlenen Passwörter entschlüsselt werden, berichtet Malwarebytes Labs über gehackte LinkedIn-Konten, die in einer InMail-Phishing-Kampagne verwendet werden.
Diese InMail-Nachrichten enthielten bösartige URLs, die mit einer gefälschten Website verlinkt waren, die wie eine Google Docs-Anmeldeseite aussah, über die die Cyberkriminellen Google-Nutzernamen und -Passwörter abfingen. Immer noch besser als die Zeitarbeitsjobs, die Ihnen die Personalvermittler immer wieder schicken.
9. eBay | 145 Millionen
Anfang 2014 klickten Cyberkriminelle auf "Steal It Now", als sie in das Netzwerk der beliebten Online-Auktionsseite einbrachen und die Passwörter, E-Mail-Adressen, Geburtsdaten und Anschriften von 145 Millionen Nutzern erbeuteten. Positiv zu vermerken ist, dass die Finanzdaten der Schwester-Website PayPal getrennt von den Nutzerdaten gespeichert wurden, was als Netzwerksegmentierung bezeichnet wird (mehr dazu später). Dadurch wurde der Angriff begrenzt und die Kriminellen konnten nicht an die wirklich sensiblen Zahlungsinformationen gelangen.
8. Equifax | 145,5 Millionen
Die Kreditauskunftei Equifax musste einen schweren Schlag für ihre eigene "Kreditwürdigkeit" einstecken, zumindest in den Augen der amerikanischen Verbraucher, als das Unternehmen im Jahr 2017 eine Datenpanne bekannt gab. All dies hätte vermieden werden können, wenn Equifax einfach seine Software auf dem neuesten Stand gehalten hätte. Stattdessen konnten Hacker einen bekannten Softwarefehler ausnutzen und sich in die zugrunde liegende Software hacken, die die Equifax-Website unterstützt.
Was die Datenpanne bei Equifax so schrecklich macht, ist nicht der Umfang, auch wenn er beträchtlich ist, sondern vielmehr der Wert der gestohlenen Informationen. Die Täter machten sich mit den Namen, Geburtsdaten, Sozialversicherungsnummern Security , Adressen und Führerscheinnummern von 145,5 Millionen Amerikanern davon. Dazu kommen noch etwa 200.000 Kreditkartennummern, und man erhält eine der schlimmsten Datenschutzverletzungen in Bezug auf die Sensibilität der kompromittierten Daten.
7. Under Armour | 150 Millionen
Der Slogan des Sportbekleidungsunternehmens Under Armour lautet "Protect This House". Offensichtlich haben sie ihren eigenen Rat nicht befolgt, als ihre Diät- und Fitness-App MyFitnessPal im Februar 2018 gehackt wurde. Bei dem Angriff gelang es den Cyberkriminellen, die Benutzernamen, E-Mails und verschlüsselten Passwörter von 150 Millionen Nutzern zu stehlen. Under Armour tat gut daran, die Datenpanne innerhalb einer Woche nach ihrer Entdeckung bekannt zu geben. Auf der anderen Seite verwendete das Unternehmen eine schwache SHA1-Verschlüsselung für einige der gestohlenen Passwörter, was bedeutet, dass Kriminelle die Passwörter knacken und auf anderen beliebten Websites wiederverwenden könnten.
6. Exactis | 340 Millionen
Die Datenschutzverletzung bei Exactis ist insofern etwas anders, als es keinen Beweis dafür gibt, dass Cyberkriminelle Daten gestohlen haben. Der Cybersecurity-Forscher, der die "Datenpanne" entdeckt hat, glaubt jedoch, dass Kriminelle dies getan haben. Im Gespräch mit Wired sagte Vinny Troia: "Es würde mich wundern, wenn nicht schon jemand anderes in den Besitz dieser Daten gekommen wäre." Exactis, eine in Florida ansässige Marketingfirma, hatte die Daten von 340 Millionen Amerikanern (das ist jeder einzelne US-Bürger) auf einem unsicheren Server gespeichert.
Jeder Cyberkriminelle hätte die Daten über eine spezielle Suchmaschine namens Shodan finden können, mit der Benutzer internetfähige Geräte finden können. Der Einbruch umfasste zwar keine Daten wie Kreditkarten- und Sozialversicherungsnummern ( Security ), dafür aber detaillierte Informationen über den Lebensstil, wie Religion und Hobbys, die für Phishing-Angriffe verwendet werden könnten.
5. Myspace | 360 Millionen
Erinnern Sie sich an Myspace? Die Social-Networking-Website, die es vor Facebook gab? Wenn Sie ein Myspace-Konto hatten und Ihre Passwörter von Website zu Website wiederverwenden, sind Sie möglicherweise gefährdet. Cyberkriminelle haben Daten von 360 Millionen Myspace-Nutzern aus der Zeit vor 2013 gestohlen. Das scheint keine große Sache zu sein, aber die gestohlenen Passwörter verwendeten die schwache SHA1-Verschlüsselung, über die wir immer wieder sprechen. Wie bereits erwähnt, können Kriminelle versuchen, Ihre alten Passwörter auf anderen beliebten Websites wiederzuverwenden, indem sie Anmeldeinformationen ausfüllen.
4. AdultFriendFinder | 412 Millionen
Man sollte meinen, dass eine Website wie AdultFriendFinder, die als "weltgrößte Sex- und Swinger-Community" angepriesen wird, sich zu schützen weiß. Stattdessen drangen Cyberkriminelle in die Schutzmaßnahmen der Website ein und stahlen Benutzernamen, verschlüsselte Passwörter, E-Mails, das Datum des letzten Besuchs und den Mitgliedsstatus von 412 Millionen Konten. Eine frühere Datenpanne bei AdultFriendFinder, von der 4 Millionen Nutzer betroffen waren, umfasste auch die sexuellen Vorlieben und die Angabe, ob der Nutzer eine außereheliche Affäre suchte oder nicht. Igitt.
3. Yahoo | 500 Millionen
Yahoo? Mit dem Angriff auf den ehemaligen Internet-Tech-Giganten im Jahr 2014 taucht Yahoo zum ersten Mal in unserem Countdown auf. Auf dem Höhepunkt des Dot-Com-Booms war Yahoo eine der meistbesuchten Websites im Internet. Diese riesige Angriffsfläche erregte die Aufmerksamkeit verschiedener bösartiger Akteure.
Bei dem Angriff erbeuteten die Cyberkriminellen die persönlichen Daten von bis zu 500 Millionen Yahoo-Nutzern. 2017 erhob das US-Justizministerium im Zusammenhang mit dem Yahoo-Angriff Anklage gegen vier russische Staatsangehörige, von denen zwei russische Regierungsbeamte waren. Bis heute hat nur einer der Russen eine Gefängniszelle von innen gesehen.
2. Marriott International | 500 Millionen
Genau wie das Housekeeping haben Hacker das "Bitte nicht stören"-Schild ignoriert und das weltgrößte Hotelunternehmen Marriott International in eine kompromittierende Situation gebracht. Der Starwood-Marriott-Angriff von 2014 wurde erst im September 2018 entdeckt. In den dazwischen liegenden Jahren hatten Cyberkriminelle uneingeschränkten Zugang zu den persönlichen Daten von 500 Millionen Starwood-Marriott-Kunden - allen, die jemals eine Reservierung in einem Starwood-Hotel gebucht haben - einschließlich Namen, Postanschriften, Telefonnummern, E-Mail-Adressen, Reisepassnummern und Geburtsdaten.
1. Yahoo - wieder | 3 Milliarden
Yahoo hat die peinliche Ehre, das einzige Unternehmen zu sein, das es zweimal auf unsere Liste der größten Datenschutzverletzungen geschafft hat. Und um die Sache noch schlimmer zu machen, steht Yahoo auch noch an der Spitze. Im August 2013 stahlen Cyberkriminelle die Daten aller Yahoo-Nutzer auf der ganzen Welt - alle drei Milliarden Nutzer. Das schiere Ausmaß der Datenpanne ist nur schwer zu ermessen.
Mehr als ein Drittel der Weltbevölkerung war betroffen. Als der Angriff 2016 zum ersten Mal bekannt wurde, behauptete Yahoo, dass nur eine Milliarde seiner Nutzer von der Datenpanne betroffen war, und änderte diese Zahl weniger als ein Jahr später in "alle Yahoo-Nutzerkonten". Das Timing hätte nicht schlechter sein können. Zu dem Zeitpunkt, als Yahoo die aktualisierten Zahlen zur Datenpanne bekannt gab, befand sich das Unternehmen in Verhandlungen über eine Übernahme durch Verizon. Die Nachricht von der Datenpanne ermöglichte es Verizon, Yahoo zu einem Spottpreis zu übernehmen. Yahoo wurde 2017 von Verizon übernommen.
Gesetze zu Datenschutzverletzungen
Es scheint, als ob wir in jedem Nachrichtenzyklus von einer weiteren Datenschutzverletzung lesen. Werden Datenschutzverletzungen immer häufiger, oder steckt etwas anderes dahinter? Ein möglicher Grund für die Zunahme von Datenschutzverletzungen (zumindest der Anschein einer Zunahme) ist die zunehmende Regulierung der Art und Weise, wie wir Datenschutzverletzungen kommunizieren.
Seit der Jahrtausendwende haben Regierungen auf der ganzen Welt Gesetze erlassen, die Unternehmen und Organisationen dazu verpflichten, nach einem Datenschutzverstoß eine Art von Offenlegung vorzunehmen. In den vergangenen Jahren konnten die Betroffenen das Wissen um eine Datenschutzverletzung so lange aussitzen, wie sie wollten.
In den Vereinigten Staaten gibt es kein nationales Gesetz zur Überwachung der Offenlegung von Datenschutzverletzungen. Im Jahr 2018 haben jedoch alle 50 US-Bundesstaaten Gesetze zu Datenschutzverletzungen erlassen. Diese Gesetze sind von Staat zu Staat unterschiedlich, aber es gibt einige Gemeinsamkeiten. So muss jede Organisation, die von einer Datenschutzverletzung betroffen ist, die folgenden Schritte unternehmen:
- Informieren Sie die von der Datenschutzverletzung betroffenen Personen so schnell wie möglich über den Vorfall.
- Informieren Sie die Regierung so schnell wie möglich, in der Regel bedeutet das, dass Sie den Generalstaatsanwalt des Staates benachrichtigen.
- Zahlen Sie eine Art von Geldstrafe.
Kalifornien war beispielsweise der erste Staat, der 2003 die Offenlegung von Datenschutzverletzungen regelte. Personen oder Unternehmen, die von einer Datenschutzverletzung betroffen sind, müssen die Betroffenen "ohne angemessene Verzögerung" und "unmittelbar nach der Entdeckung" benachrichtigen. Die Opfer können bis zu 750 Dollar einklagen, während der Generalstaatsanwalt des Bundesstaates Geldstrafen von bis zu 7.500 Dollar pro Opfer verhängen kann.
Ähnliche Gesetze wurden in der Europäischen Union und im gesamten asiatisch-pazifischen Raum erlassen. Facebook ist das erste große Technologieunternehmen, das angeblich gegen die EU-Datenschutzgrundverordnung (GDPR ) Protection verstoßen hat, nachdem es bekannt gab, dass ein Softwarefehler App-Entwicklern unerlaubten Zugriff auf die Fotos von 6,8 Millionen Nutzern ermöglichte. Facebook meldete den Verstoß erst nach zwei Monaten - etwa 57 Tage zu spät, was die GDPR betrifft. Infolgedessen muss das Unternehmen möglicherweise bis zu 1,6 Milliarden Dollar an Geldstrafen zahlen.
Was ist zu tun, wenn Ihre Daten bei einer Datenschutzverletzung preisgegeben wurden?
Selbst wenn Sie keine der Websites und Dienste genutzt haben, die auf unserer Liste der größten Datenschutzverletzungen aufgeführt sind, gibt es Hunderte von kleineren Datenschutzverletzungen, die wir nicht erwähnt haben. Bevor wir auf unsere Schritte zur Reaktion auf eine Datenschutzverletzung eingehen, sollten Sie Have I Been Pwned besuchen und sich selbst davon überzeugen. Geben Sie einfach Ihre E-Mail-Adresse in das Suchfeld "pwned?" ein und sehen Sie entsetzt zu, wie die Website Ihnen alle Datenschutzverletzungen auflistet, bei denen Sie "pwned" wurden.
Es ist auch erwähnenswert, dass Ihre Daten Teil einer Sicherheitsverletzung sein können, von der die breite Öffentlichkeit noch nichts weiß. Oftmals wird eine Datenschutzverletzung erst Jahre später entdeckt.
So oder so ist die Wahrscheinlichkeit groß, dass Ihre Daten kompromittiert wurden und es besteht eine sehr gute Chance, dass sie erneut kompromittiert werden.
Jetzt, da Sie wissen, dass Ihre Daten irgendwo auf Dark Web herumschwirren, haben wir diese Schritt-für-Schritt-Liste erstellt, was zu tun ist, wenn Ihre Daten gestohlen werden.
- Führen Sie einen kostenlosen Digital Footprint Scan nur mit Ihrer E-Mail-Adresse durch.
- Setzen Sie Ihr Passwort für das kompromittierte Konto und alle anderen Konten mit demselben Passwort zurück. Sie sollten aber wirklich keine Passwörter für verschiedene Websites wiederverwenden. Verwenden Sie unseren kostenlosen Passwort-Generator, um sichere und einzigartige Passwörter zu erstellen. Passwort-Manager haben den zusätzlichen Vorteil, dass sie Sie warnen, wenn Sie auf einer gefälschten Website landen. Die Anmeldeseite für Google oder Facebook sieht zwar echt aus, aber Ihr Passwort-Manager erkennt die URL nicht und gibt Ihren Benutzernamen und Ihr Passwort nicht für Sie ein.
- Überwachen Sie Ihre Kreditkonten. Achten Sie auf verdächtige Aktivitäten. Denken Sie daran, dass Sie jedes Jahr unter annualcreditreport.com einen kostenlosen Kreditbericht erhalten, und zwar von jeder der drei großen Kreditauskunfteien. Dies ist die einzige von der US Federal Trade Commission zugelassene Website für den Erhalt kostenloser Kreditberichte.
- Ziehen Sie eine Kreditsperre in Betracht. Eine Kreditsperre erschwert die Eröffnung einer Kreditlinie unter Ihrem Namen, indem sie den Zugriff auf Ihre Kreditauskunft einschränkt. Sie können die Sperrung jederzeit aufheben oder beenden. Der einzige Nachteil ist, dass Sie jeden Kredit büro einzeln kontaktieren müssen, um eine Kreditsperre zu verhängen oder aufzuheben.
- Achten Sie sorgfältig auf Ihren Posteingang. Gelegenheits-Cyberkriminelle wissen, dass Millionen von Opfern einer Datenpanne irgendeine Art von Mitteilung über die gehackten Konten erwarten. Diese Betrüger nutzen die Gelegenheit, um Phishing-E-Mails zu versenden, die so gefälscht sind, dass sie aussehen, als kämen sie von den gehackten Konten, um Sie zur Herausgabe persönlicher Daten zu bewegen. Lesen Sie unsere Tipps, wie Sie eine Phishing-E-Mail erkennen können.
- Erwägen Sie Kreditüberwachungsdienste. Sollten Sie sich anmelden? Nach einer Datenschutzverletzung bieten die betroffenen Unternehmen und Organisationen den Opfern häufig kostenlose Überwachungsdienste für Identitätsdiebstahl an. Es sei darauf hingewiesen, dass Dienste wie LifeLock u. a. Sie benachrichtigen, wenn jemand eine Kreditlinie in Ihrem Namen eröffnet, aber sie können nicht verhindern, dass Ihre Daten überhaupt gestohlen werden. Fazit: Wenn der Dienst kostenlos ist, sollten Sie sich anmelden. Andernfalls sollten Sie es sich zweimal überlegen.
- Verwenden Sie die Multi-Faktor-Authentifizierung (MFA). Die Zwei-Faktor-Authentifizierung ist die einfachste Form der MFA, d. h. Sie benötigen Ihr Passwort und eine weitere Form der Authentifizierung, um zu beweisen, dass Sie derjenige sind, der Sie vorgeben zu sein, und nicht ein Cyberkrimineller, der versucht, Ihr Konto zu hacken. Eine Website könnte Sie zum Beispiel auffordern, Ihre Anmeldedaten und einen separaten Authentifizierungscode einzugeben, der per SMS an Ihr Telefon gesendet wird.
Wie kann ich Datenschutzverletzungen verhindern?
Die Geldstrafen, Aufräumkosten, Anwaltskosten, Klagen und sogar Ransomware-Auszahlungen im Zusammenhang mit einer Datenpanne summieren sich zu einer Menge Geld. Die Ponemon-Studie "Cost of Data Breach" von 2018 ergab, dass sich die durchschnittlichen Kosten einer Datenpanne auf rund 3,9 Millionen US-Dollar belaufen, was einem Anstieg von 6,4 Prozent gegenüber dem Vorjahr entspricht. Die Kosten für jeden gestohlenen Datensatz beliefen sich auf 148 US-Dollar, was einem Anstieg von 4,8 Prozent gegenüber dem Vorjahr entspricht. Der gleichen Studie zufolge liegt die Wahrscheinlichkeit, dass Sie von einer Datenschutzverletzung betroffen sind, bei eins zu vier.
Ist es nicht sinnvoll, proaktiv für die Datensicherheit zu sorgen und einen Verstoß von vornherein zu vermeiden? Wenn Sie diese Frage mit "Ja" beantwortet haben - und wir hoffen, dass Sie das getan haben -, finden Sie hier einige bewährte Verfahren, die Ihnen helfen, Ihr Unternehmen und Ihre Daten zu schützen.
Praktizieren Sie Datensegmentierung. In einem flachen Datennetz können sich Cyberkriminelle frei in Ihrem Netzwerk bewegen und jedes Byte wertvoller Daten stehlen. Durch eine Datensegmentierung verlangsamen Sie die Kriminellen, gewinnen zusätzliche Zeit während eines Angriffs und begrenzen die Zahl der gefährdeten Daten. Die Datensegmentierung hilft auch bei unserem nächsten Tipp.
Durchsetzung des Prinzips der geringsten Privilegien (PolP). PolP bedeutet, dass jedes Benutzerkonto nur so viel Zugriff hat, dass es seine Aufgabe erfüllen kann, und nicht mehr. Wenn ein Benutzerkonto kompromittiert wird, haben Cyberkriminelle keinen Zugriff auf Ihr gesamtes Netzwerk.
Investieren Sie in eine Software zum Schutz vor Identitätsdiebstahl. Wir überwachen Ihre Identität und warnen Sie vor möglichen Risiken.
Installieren Sie einen seriösen Cybersicherheitsschutz, z. B. Malwarebytes Premium. Wenn Sie das Pech haben, auf einen bösartigen Link zu klicken oder einen schädlichen Anhang zu öffnen, kann ein gutes Cybersicherheitsprogramm die Bedrohung erkennen, die herunterladen stoppen und verhindern, dass Malware in Ihr Netzwerk gelangt.
Verwandt: Was ist RCS-Messaging?