Abonnieren Sie unseren NEWSLETTER

Aber was bedeutet es eigentlich, wenn von einem Datenleck die Rede ist, und vor allem: Was bedeutet es im schlimmsten Fall für Organisationen? 
Im Allgemeinen lässt sich sagen: Ein Datenleck liegt vor, wenn Daten innerhalb eines Unternehmens an einen nicht autorisierten Benutzer oder Ort weitergeleitet werden.
Die wichtigsten Fragen, die es in diesem Zusammenhang entsprechend zu klären gibt, lauten: Wie kommt es zu einem Datenleck? Welche Beispiele und Hintergründe gibt es für sie und warum sollte man die Unterschiede kennen? Was kann getan werden, um ungewollten Datenfluss zu vermeiden?

Wie kommt es zu einem Datenleck?

Es gibt viele Möglichkeiten, wie Daten aus einem Unternehmen abgezweigt werden können. Manche Gefahren kommen dabei aus dem Unternehmen selbst, andere von außen. Hier sind die vier häufigsten Wege:

Unwissende Insider. Diese Art von Datenleck entsteht in der Regel, wenn jemand, der für das Unternehmen arbeitet, Zugang zu Daten erhält, die er nicht haben sollte, und diese dann mit nach Hause nimmt. Das kann passieren, wenn Mitarbeiter aus dem Homeoffice arbeiten und mit ihrem Arbeitsgerät eine Verbindung zu einem ungesicherten Netzwerk herstellen, wodurch die Daten offengelegt werden. Dabei vergisst man häufig: Datenlecks sind nicht erst seit dem Computer-Zeitalter ein Problem. Trotz der explodierenden Menge digitaler Informationen ist die illegale Weitergabe von Informationen weiterhin auch analog möglich. Wenn Mitarbeiter beispielsweise ein Formular mit sensiblen Informationen ausdrucken und es in ihre Arbeitstasche stecken. Diese Arten von Datenlecks sind deutlich schwieriger zu entdecken, da sie oft harmlos beginnen, aber dennoch für das Unternehmen gefährlich werden können.

Böswillige Insider. Dieses Beispiel für ein Datenleck hat in letzter Zeit für viele Schlagzeilen gesorgt. Dabei kann es sich um Personen handeln, die nicht mehr in einem Unternehmen tätig sind, sei es ein Mitarbeiter, dem gekündigt wurde oder ein Servicepartner, dessen Vertrag beendet wurde. Ebenso denkbar ist, dass ein Unternehmen auch Daten von Wert verkauft, die es nicht verkaufen sollte - dazu später mehr. Böswillige Insider wollen möglicherweise eine Rechnung mit ihrem früheren Arbeitgeber begleichen und durchsuchen Daten, von denen sie wissen, dass sie sie nicht haben sollten, um sich zum Beispiel einen Vorteil zu verschaffen.

Finanziell motivierte Angriffe. Der jüngste Data Breach Investigation Report von Verizon zeigt, dass 76 Prozent aller Datenschutzverletzungen finanziell motiviert waren. Wenn man untersucht, warum oder wie es zu Datenlecks kommt, lässt sich dies meist darauf zurückführen, dass Menschen versuchen, Daten zu erlangen, die sie zum Verkauf nutzen können, wie Patientendaten, Kundendaten, kritische und vertrauliche Unternehmensdaten und mehr.

Politisch motivierte Angriffe. Diese Arten von Datenlecks werden aufgrund ihrer globalen Auswirkungen häufig von den Medien aufgegriffen. Da die Welt immer noch mit den Auswirkungen des Konflikts in der Ukraine zu kämpfen hat, nutzen einige Nationalstaaten die Uneinigkeit aus und dringen in die Netzwerke führender Organisationen, rivalisierender Regierungsbehörden und Zivilisten ein, um Daten zu exfiltrieren, die dann für Spionage und unethische Handlungen genutzt werden können.

Warum ist es wichtig, über die Arten von Datenlecks Bescheid zu wissen?

Die Antwort ist einfach: Wer versucht, wie ein Angreifer zu denken, weiß, was zu tun ist, um Datenlecks zu verhindern. Entlang der obigen Beispiele lässt sich die Methodik besser verstehen und damit auch verhindern:

Nehmen wir das genannte Beispiel, bei dem ein Mitarbeiter das Büro verlässt und eine externe Festplatte mitnimmt, auf der sich Daten befinden, die das Büro nie verlassen sollten – beispielsweise Zahlungsinformationen von Kunden. Natürlich ist es fast unmöglich ist, zu überwachen, was Mitarbeiter physisch mit ins Büro und aus dem Büro nehmen. Dennoch kann ein Unternehmen dadurch lernen, Datenverluste zu verhindern. Dazu sollte man überwachen, welche Daten wo gespeichert sind und Richtlinien zur Verhinderung von Datenverlusten einführen, die verfolgen können, wenn der Datenzugriff außerhalb des Bereichs getätigt wurde.

Es ist leicht nachzuvollziehen, warum böswillige Insider – wie im zweiten Beispiel ausgeführt - versuchen, die Daten ihres aktuellen oder ehemaligen Arbeitgebers zu stehlen. Es kann jedoch schwierig sein, diese Art von Angriffen, die zu Datenverlusten führen, zu verhindern, vor allem wenn dieser Insider noch beschäftigt ist. In diesem Szenario ist die Einrichtung von „Leitplanken“ geboten, die sicherstellen, dass die Mitarbeiter nur den Zugriff erhalten, der für die Erfüllung ihrer Aufgaben erforderlich ist. Dem übergeordnet ist das Prinzip der geringsten Privilegierung (Least Privilige), das Datenlecks ebenfalls effektiv verhindern kann. Wenn eine Person das Unternehmen verlässt, sei es aus eigenem Antrieb oder nicht, kann das Risiko von Datenlecks durch die Einrichtung von Prozessen zum sofortigen und automatischen Entzug des Zugriffs ebenfalls erheblich verringert werden.

Um finanziell motivierte Angriffe abzuwehren, sollte das Ziel darin bestehen, Kontrollen und Richtlinien einzurichten, um den Zugriff auf die sensibelsten Daten zu beschränken. Dazu gehört, dass nur die Personen Zugang zu den kritischsten Daten eines Unternehmens erhalten, die ihn unbedingt benötigen, und dass regelmäßig überprüft wird, ob der Zugang noch erforderlich ist. Schließlich können Kontrollen, die in der Lage sind, anormale Aktivitäten in Echtzeit zu erkennen und den Zugriff im Notfall einzuschränken, den Unterschied zwischen Datenverlust und Datenhoheit ausmachen.

Bei politisch motivierten Angriffen sind die Kontrollen und Anleitungen meist die gleichen. Angreifer suchen in der Regel den Weg des geringsten Widerstands, um in ein Netzwerk einzudringen und agieren im Verborgenen, bis sie die gesuchten Daten erreichen. Entscheidend im Kampf gegen staatlich finanzierte Angreifer ist es, Kontrollen und Richtlinien zu aktivieren, um diese Bewegungen einzuschränken, den Zugriff auf die Daten zu beschränken, die nur bei Bedarf zugänglich sind, und eine Festung um die wichtigsten Daten zu errichten. Auch wenn sie raffiniert und finanziell gut ausgestattet sind, können sie ihre Ziele ändern, wenn sie auf Widerstand stoßen.

Welche Beispiele und Hintergründe gibt es für Datenlecks?

Der CyberEdge Group 2022 Cyberthreat Defense Report (CDR) gibt Aufschluss über Cyberangriffe auf der ganzen Welt. Aus den Antworten von IT-Fachleuten in Deutschland geht hervor, dass 72,6 Prozent der Unternehmen in Deutschland im Jahr vor der Studie (2021) mit einem erfolgreichen Cyberangriff konfrontiert waren.

Hierbei spielen Datenlecks eine große Rolle, weil sie sich um die vier häufigsten Arten von Angriffen ranken, die bereits erwähnt wurden. Ein aktuelles Beispiel aus den USA ist die Oklahoma Student Loan Authority und EdFinancial, die bekannt gaben, dass die persönlichen Daten von 2,5 Millionen Personen, die bei ihnen ein Studentendarlehen aufgenommen haben, im Rahmen eines Verstoßes gegen die Bestimmungen eines Drittanbieters, der Zugang zu den Datenbanken der beiden Organisationen hatte, offengelegt wurden. Die Kreditnehmer wurden gewarnt, dass ihre vollständigen Namen, Adressen, E-Mail-Adressen, Telefonnummern und - was besonders wichtig ist - ihre Sozialversicherungsnummern, bekannt geworden sein könnten.

Während die Details über die Schwere und die Realität des Verstoßes noch geklärt werden, ist es eine Erinnerung daran, dass eine Organisation, selbst wenn sie herausfindet, wie sie alle ihre internen Ressourcen, Personen und Systeme schützen kann, auch die Identitäten und Zugriffsrechte von Dritten verwalten muss. Dies kann eine sehr wichtige Komponente bei der Verhinderung von Datenlecks sein. Diese Drittparteien sind immer noch vertrauenswürdige Insider und sollten deshalb wie Mitarbeiter behandelt werden. Hier müssen weitere Vorkehrungen getroffen werden, um sicherzustellen, dass der Zugriff auf die Daten von Dritten nach deren Auslaufen schnellstmöglich entfernt wird.

Ein letztes Beispiel im Zusammenhang mit Datenlecks war die Nachricht, dass der Kosmetikriese Sephora sich mit dem Staat Kalifornien geeinigt hat, 1,2 Millionen Dollar für den Verkauf von Kundendaten zu zahlen, ohne die Kunden darüber zu informieren. Die Lektion, die hier jedoch gelernt wurde, ist die Bedeutsamkeit der Reputation eines Unternehmens und wie sie sich darauf auswirkt, wem Verbraucher ihre Geschäfte anvertrauen, sowie die Tatsache, dass die Einhaltung von Vorschriften für Unternehmen immer wichtiger wird.

Was kann man tun, um Datenlecks zu verhindern?

Die Verhinderung von Datenlecks ist keine Kleinigkeit, aber mit vernünftigen Cybersicherheitspraktiken und genug Engagement dafür, Angreifer in Schach zu halten, kann der Schaden begrenzt werden. Im Kern geht es darum, eine starke Identitätssicherheit zu ermöglichen und sicherzustellen, dass nur die richtigen Personen Zugriff auf die wichtigsten Daten Ihres Unternehmens haben. Durch die Durchsetzung eines unternehmensweit-konsistenten Governance-Konzeptes limitiert man nicht nur die mögliche Angriffsfläche für Cyber-Kriminelle und digitale Betrüger, sondern schränkt zudem im Ernstfall eines virtuellen Einbruchs in das Unternehmensnetzwerk die lateralen Bewegungsmöglichkeiten der Eindringlinge ein – was wiederum auch den möglicherweise angerichteten Schaden reduziert. Kombiniert man das mit der gründlichen Pflege von Identitäten über deren Lebenszyklus hinweg (Identity Lifecycle Management) und entsprechenden Richtlinien für die physische Mitnahme von Informationen, so ist man auf dem besten Weg, die Schlagzeilen rund um das Thema Datenlecks zu vermeiden.