| Privatpersonen 22. Dezember 2016


22. Dezember 2016

Datensicherheitsverletzungen 2016: Ein Rückblick auf ein Jahr mit enormen Datenverlusten

By Lookout

Obwohl das Jahr 2016 erst in knapp einem Monat endet, war es in Bezug auf Datensicherheitsverletzungen eines der schwärzesten Jahre schlechthin.
Wir haben uns die Daten des „Breach Report“ einmal näher angeschaut, um Ihnen einen detaillierten Überblick über das Ausmaß der Datensicherheitsverletzungen in diesem Jahr zu vermitteln. Hierbei handelt es sich um eine neue Lookout-Funktion, die Datensicherheitsverletzungen nachverfolgt und Anwender entsprechend warnt. Cyberkriminelle hatten natürlich auch Markennamen wie Yahoo, Twitter, LinkedIn, Tumblr und MySpace ins Fadenkreuz genommen. Wir konnten 2016 darüber hinaus einen neuen Trend beobachten. Angreifer schienen sich auf drei spezielle Inhalte zu konzentrieren: Gesundheitsakten, Wahlunterlagen und Kreditkartendaten.
Nachstehend finden Sie eine Aufschlüsselung der Datensicherheitsvorfälle des Jahres:
Die jüngste und wohl größte Sicherheitsvorfall im Jahr 2016: Yahoo
Das Ausmaß der Datensicherheitsverletzung bei Yahoo setzte 2016 in einem Jahr voller Superlative einen neuen Rekord. In einer aktualisierten Stellungnahmeerklärte Yahoo, dass Hacker drei Jahre zuvor „Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, verschlüsselte und unverschlüsselte Sicherheitsfragen und -antworten von mehr als 1 Milliarde Benutzerkonten gestohlen hatten“. Es war der zweite erfolgreiche Hacker-Angriff auf Yahoo in diesem Jahr. Im September bestätigte das Unternehmen, dass bei einem offenbar separaten Sicherheitsvorfall Daten von mindestens 500 Millionen Benutzern gestohlen worden waren. Berichten zufolge konnten Kriminaltechniker Elemente des Hacking-Angriffs mit staatlich finanzierten Akteuren in Verbindung bringen, machten jedoch keine Angaben dazu, welche ausländische Regierung dafür verantwortlich sein könnte.
In seiner am 14. Dezember veröffentlichten Stellungnahme betonte Bob Lord, CISO von Yahoo, dass die bei dem jüngsten Sicherheitsvorfall gestohlenen Informationen „keine Passwörter im Klartext, Zahlungskarten- oder Bankkontodaten enthielten“, da diese nicht in dem betroffenen System gespeichert gewesen seien.
Weitere große Datenlecks bei Internet- und Social-Media-Firmen
Was das reine Datenvolumen anbelangt, hatten zahlreiche namhafte Social-Media- und Internetfirmen, darunter viele bekannte Marken, den Verlust überraschend großer Datenmengen zu beklagen. In diesem Jahr enthüllten oder entdeckten die meisten dieser Unternehmen Datensicherheitsverletzungen, die sich in vergangenen Jahren zugetragen hatten. Dies belegt, wie lange einige Datenlecks mitunter unentdeckt bleiben:
  • Während keine Angaben zur genauen Anzahl vorliegen, bestätigte Twitter den Diebstahl von mindestens 32 Millionen Login-Daten, die im Dark Web zum Verkauf stehen.
  • Die Daten von167 Millionen LinkedIn-Nutzern, die von einem Vorfall im Jahr 2012 betroffen waren, wurden online zum Verkauf angeboten.
  • Dateien in einer Größenordnung von etwa 5 GB mit detaillierten Angaben zu 68.680.741 Dropbox-Konten, inklusive E-Mail-Adressen sowie gehashter, mit Zufallszeichen versehener Passwörter von Dropbox-Anwendern, wurden im Internet gefunden. Obwohl die Kontendaten bei einer zuvor offengelegten Datensicherheitsverletzung im Jahr 2012 gestohlen worden waren, hatte Dropbox erst in diesem Jahr Einzelheiten zu dem Datenleck veröffentlicht. Die Zahl der betroffenen Nutzer ist nicht bekannt.
  • Von einem Datenleck im Jahr 2013 waren insgesamt mehr als 65,5 Millionen Tumblr-Konten (E-Mail-Adressen und Passwörter) betroffen.
  • Die am 11. Juni 2013 gehackten Anmeldedaten von 360.213.024 MySpace-Anwendern tauchen erst jetzt im Dark Web auf.
Das sind insgesamt fast 700 Millionen gehackte Konten – eine Sicherheitsverletzung, die für den Durchschnittsbürger in unserem digitalen Zeitalter ernsthafte Folgen haben kann.
Daten aus dem Gesundheitssektor
Angreifer scheinen es in diesem Jahr besonders auf Gesundheitsdaten abgesehen zu haben. Knapp 15 % aller im Bericht über Datensicherheitsverletzungen im Jahr 2016 von Lookout erfassten Datenlecks standen mit Institutionen oder Daten des Gesundheitswesens in Zusammenhang. Nachfolgend eine kurze Auflistung der größten Vorfälle in diesem Bereich:
  • Banner Health, eine gemeinnützige Gesundheitsorganisation mit Sitz im US-Bundesstaat Arizona, hatte unter einer Cybersicherheitsverletzung zu leiden, die 3,7 Millionen Patienten betraf. Die Angreifer hatten sich vermutlich Zugang zu Namen, Adressen, Sozialversicherungsnummern und weitere Gesundheitsdaten der Patienten verschafft.
  • Blue Cross and Blue Shield of Kansas (BlueKC) informierte mehr als 790.000 Mitglieder darüber, dass es Opfer einer Datensicherheitsverletzung geworden war.
  • Angreifer stahlen personenbezogene Daten von rund 21.000 Kunden von Blue Shield of California..
  • Kaiser Permanente hatte ein Datenleck bei Ultraschallgeräten zu beklagen, von dem 1.100 Patienten betroffen waren..
  • 21st Century Oncology musste seine Kunden darüber benachrichtigen, dass Angreifer die Gesundheitsakten von 2,2 Millionen derzeitigen und ehemaligen Patienten gehackt hatten.
  • Cyberkriminelle eigneten sich widerrechtlich Daten von knapp 13.000 Medicaid-Kunden an, die Mitglieder der Louisiana Healthcare Connection sind.
  • Das Keck Hospital und das Norris Comprehensive Cancer Center of USC in Los Angeles wurden Opfer einer Ransomware-Attacke – ein weiterer Trend, der sich bei Angriffen auf medizinische Institutionen abzeichnete und 2015 deutlich nach oben ging.
  • Angreifer sind für den Sicherheitsvorfall bei einem Drittanbieter des Massachusetts General Hospital verantwortlich,bei dem Daten von über 4.300 Patienten gehackt wurden.
Daten von Regierungsbehörden
Von Regierungsbehörden gespeicherte Daten haben einen besonders hohen Vertraulichkeitsgrad. Sie enthalten oft personenbezogene Daten, wie Sozialversicherungsnummern, Führerscheindaten, Geburtsdaten, Namen und Adressen. Wählerdaten waren 2016 ebenfalls ein beliebtes Angriffsziel. Regierungsbehörden waren von folgenden Datensicherheitsverletzungen betroffen:
  • Angreifer hackten L2 Political, eine CouchDB-Datenbank, in der 154 Millionen Wählerdatensätze verwaltet werden. Die L2-Datenbank enthielt die vollständigen Namen, Adressen, Altersangaben, Telefonnummern, Angaben zu Einkommen, Geschlecht, ethnischer und politischer Zugehörigkeit und Wahlhäufigkeit von 154 Millionen amerikanischen Staatsbürgern.
  • Die komplette Wählerdatenbank mexikanischer Staatsbürger mit über 93,4 Millionen Datensätzen.
  • Den US-Bundesstaat Louisiana hatte es besonders hart getroffen. Gestohlen wurden fast drei Millionen Wählerdatensätze, 50.000 Datensätze der städtischen Polizei in Baton Rouge und eine Viertelmillion Datensätze der Kraftfahrzeugbehörde des Bundesstaats.
  • Die komplette Datenbank der philippinischen Wahlkommission (COMELEC), sodass die Daten von 55 Millionen Menschen gefährdet sind.
  • Die persönlichen Datensätze von über zwei Millionen in der Wählerdatenbank des US-Bundesstaats Iowa registrierten Republikanern..
  • Nach einem Hacker-Angriff auf die Datenbank mit Daten türkischer Staatsbürger wurden kürzlich mehr als 43 Millionen Datensätze online zum Verkauf angeboten.
  • Auch die US-amerikanische Steuerbehörde IRS wurde Opfer eines automatisierten Angriffs, der etwa 464.000 Sozialversicherungsnummern umfasste. Von einem Viertel der betroffenen Personen wurde zusätzlich die PIN für die elektronische Anmeldung geknackt. Hinzu kommen die Daten von weiteren 390.000 Steuerpflichtigen. Sie waren bei einem zuvor gemeldeten Angriff auf das Get-Transcript-System der US-Steuerbehörde IRS im Mai 2015 gestohlen worden, womit sich die Gesamtzahl der betroffenen Personen laut der jüngsten aktualisierten Berichte auf nahezu 790.000 beläuft.
Point-of-Sale-Angriffe
2016 nutzten Cyberkriminelle Angriffe auf Point-of-Sale-Geräte (POS), um sich Zugang zu Kreditkarteninformationen zu verschaffen. Bei diesen Angriffen wurde Malware auf Kreditkartenlesegeräten installiert, die an nahezu allen Kassen genutzt werden. Obwohl der Angriff auf die US-Einzelhandelskette Target im Jahr 2014 die wohl bekannteste Datensicherheitsverletzung dieser Art war, konnte 2016 keinesfalls ein Rückgang verzeichnet werden:
  • Wendy’s gab bekannt, dass Kreditkartendaten an 1.025 Standorten der US-Fastfood-Kette von einem Malware-Angriff betroffen waren.
  • Die Restaurantkette CiCi’s Pizza bestätigte, dass sich Angreifer Zugang zu den Point-of-Sale-Systemen von 138 Restaurants verschafft hatten.
  • Auch Omni-Hotels wurden Opfer einer Datensicherheitsverletzung bei POS-Systemen. Böswillige Akteure hatten Zugriff auf die Namen und Kreditkartendaten der Gäste der Hotelkette erlangt.
  • Das Hard Rock Hotel & Casino veröffentlichte ebenfalls eine Stellungnahme zu „Kartenklau“-Malware in seinen POS-Systemen, mit der die Namen der Karteninhaber, Kreditkartennummern, das Kartenverfallsdatum und interne Verifizierungscodes gehackt wurden.
  • Eddie Bauer bestätigte eine Datensicherheitsverletzung seiner POS-Systeme in mehr als 350 nordamerikanischen Filialen.
  • HEI Hotels meldeten ein Datenleck, von dem 20 Standorte betroffen waren, darunter die Starwood-, Marriott-, Hyatt- und Intercontinental-Hotels.
Reaktion der betroffenen Unternehmen und Ausblick in die Zukunft
Unabhängig von der Anzahl oder der Art der Datensicherheitsverletzungen reagieren Unternehmen relativ schwerfällig, was die Benachrichtigung der Betroffenen über den Diebstahl ihrer personenbezogenen Daten anbelangt. Laut einer Lookout-Umfrage zum Identitätsdiebstahl werden 65 % aller Opfer von den betroffenen Unternehmen innerhalb des ersten Monats benachrichtigt. Das bedeutet, 35 % werden nicht frühzeitig genug informiert, um sich zu schützen.
Unglücklicherweise weiß nur ein Viertel aller Befragten was genau zu tun ist, wenn sie Opfer einer Datensicherheitsverletzung werden.
Daher sind Lösungen wie die Lookout Personal -App für iOS und Android so wichtig. Lookout bietet Premium-Kunden Zugriff auf seinen Bericht über Datensicherheitsverletzungen. Damit werden sie rechtzeitig darüber informiert, sobald eine App, ein Unternehmen oder ein Dienstleister Opfer einer Datensicherheitsverletzung wird. Das Premium Plus-Paket schützt vor Identitätsdiebstahl und umfasst Identitäts-Monitoring, Unterstützung bei der Wiederherstellung der Identität rund um die Uhr an sieben Tagen der Woche und einen Versicherungsschutz in Höhe von 1 Million Dollar*.
Kunden können sich benachrichtigen lassen, falls ihre personenbezogenen Daten unrechtmäßig online veröffentlicht werden und werden über Datensicherheitsverletzungen informiert, sofern von ihnen genutzte Dienste hiervon betroffen sind.
HOLEN SIE SICH DIE APP

Autor

Lookout

Kommentar hinterlassen

Absenden


0 kommentare