Eine Datenschutzverletzung ist ein Sicherheitsvorfall, bei dem sich böswillige Insider oder externe Angreifer unbefugt Zugang zu vertraulichen Daten oder sensiblen Informationen wie medizinischen Aufzeichnungen, Finanzinformationen oder personenbezogenen Daten verschaffen. Datenschutzverletzungen zählen zu den häufigsten und teuersten Arten von Cyber-Sicherheitsvorfällen. Betroffen sind Unternehmen aller Größen, Branchen und Regionen – und das mit erschreckender Regelmäßigkeit.
Einem Bericht des Ponemon Institute aus dem Jahr 2019 zufolge liegt die Wahrscheinlichkeit eines Datenschutzvorfalls innerhalb der nächsten zwei Jahre bei eins zu vier. Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung betragen heute über 3,9 Millionen US-Dollar (ca. 150 US-Dollar pro Datensatz) und können noch deutlich höher ausfallen, wenn man auch Kosten im Zusammenhang mit zusätzlichen Maßnahmen zur Bedrohungserkennung und -reaktion, der Benachrichtigung von Kunden, Rufschädigung sowie entgangenen Geschäftsmöglichkeiten berücksichtigt.
Datenschutzverletzungen können zu Geschäftsverlust, hohen Geldstrafen und teuren Rechtsfolgen führen
Besonders kostspielig sind Datenschutzverletzungen in stark regulierten Branchen wie dem Gesundheitswesen und dem Finanzsektor, wo eine Offenlegung personenbezogener Daten Geldstrafen und Entschädigungszahlungen nach sich ziehen kann. (Laut Ponemon belaufen sich die durchschnittlichen Gesamtkosten einer Datenschutzverletzung für Unternehmen im Gesundheitswesen auf 6,45 Millionen US-Dollar und für Finanzdienstleister auf 5,86 Millionen US-Dollar.)
Einige bemerkenswerte Datenschutzverletzungen aus den letzten Jahren:
- Bei einer Datenschutzverletzung im Jahr 2019 wurden die personenbezogenen Daten von über 17 Millionen Ecuadorianern offengelegt. Auffällig ist dieser Vorfall ist nicht nur wegen seines enormen Umfangs, sondern auch aufgrund der Tiefe der offengelegten Informationen. Diese umfassten unter anderem offizielle Ausweisnummern, Telefonnummern, Familiendaten, Heiratsdaten, Bildungsdaten und Aufzeichnungen das Arbeitsleben betreffend.
- Im Jahr 2018 kam es zu einem regelrechten Skandal, als bekannt wurde, dass das britische Politikberatungsunternehmen Cambridge Analytica die personenbezogenen Daten von Millionen Menschen ohne deren Zustimmung aus ihren Facebook-Profilen sammelte und sie für politische Anzeigen nutzte. Der Vorfall kostete Facebook 663.000 US-Dollar, das damals höchstmögliche Strafmaß, weil das Unternehmen die personenbezogenen Daten seiner Benutzer nicht ausreichend geschützt hatte.
- Im Jahr 2017 wurden im Zuge einer Datenschutzverletzung bei Equifax die personenbezogenen Daten von 147 Millionen Menschen offengelegt. Die Folge war ein Vergleich in Höhe von 700 Millionen US-Dollar mit der Kreditauskunftei, die den betroffenen Verbrauchern jeweils bis zu 20.000 US-Dollar Entschädigung zahlte.
Datenschutzverletzungen können die verschiedensten Formen annehmen
Böswillige Akteure können sich auf unterschiedliche Weise Zugang zu vertraulichen Daten verschaffen. Das Identity Theft Resource Center, eine gemeinnützige Organisation, die Opfer von Identitätsdiebstahl unterstützt, nennt sieben verschiedene Arten von Datenschutzverletzungen:
- Versehentliche Offenlegung im Internet: Sensible Informationen oder Anmeldedaten werden versehentlich an einem Ort gespeichert, der über das Internet oder ein öffentliches Repository wie GitHub zugänglich ist.
- Unbefugter Zugriff: Böswillige Akteure nutzen Schwachstellen in Authentifizierungs- und Autorisierungskontrollsystemen aus, um Zugang zu IT-Systemen und vertraulichen Daten zu erhalten.
- Datenübertragung: Täter greifen sensible Daten ab, die im Klartext über HTTP oder andere unsichere Protokolle übertragen werden.
- Menschliche Fehler, Nachlässigkeit, unsachgemäße Entsorgung, Verlust: Böswillige Akteure nutzen schwache oder nicht angewandte Sicherheitssysteme und -praktiken aus oder verschaffen sich Zugang zu verlegten oder unsachgemäß außer Betrieb genommenen Geräten.
- Hacking, Einbruch: Externe Angreifer stehlen vertrauliche Daten mittels Phishing, Malware, Ransomware, Skimming oder anderer Methoden.
- Insider-Diebstahl: Bestehende oder ehemalige Mitarbeiter oder Auftragnehmer verschaffen sich in böswilliger Absicht Zugang zu vertraulichen Daten.
- Physischer Diebstahl: Daten werden von gestohlenen Notebooks, Smartphones oder Tablets extrahiert.
Verhindern und Eindämmen von Datenschutzverletzungen
Sicherheitsexperten empfehlen Unternehmen eine umfassende Abwehrstrategie mit mehreren Verteidigungsschichten, um eine Vielzahl von Datenverstößen verhindern und eindämmen zu können.
Eine mehrschichtige Sicherheitsstrategie umfasst:
- Privileged-Access-Security-Lösungen zur Überwachung und Steuerung der Zugriffe auf privilegierte Systemkonten, die häufig das Ziel böswilliger Insider und externer Angreifer sind.
- Multi-Faktor-Authentifizierungslösungen zur Stärkung des Identitätsmanagements, Verhinderung von Identitätsbetrug und Verringerung der mit verloren gegangenen oder gestohlenen Geräten oder schwachen Passwörtern verbundenen Risiken.
- Endpoint Threat Detection and Response Tools zur automatischen Identifizierung und Eindämmung von Malware, Phishing, Ransomware und anderen böswilligen Aktivitäten, die Datenschutzverletzungen nach sich ziehen können.
- Least Privilege Management zur engen Abstimmung von Zugriffsrechten mit Rollen und Verantwortlichkeiten, damit niemand mehr Zugriffsrechte hat, als für die jeweilige Arbeit erforderlich sind. Dadurch können Angriffsflächen reduziert und die Verbreitung bestimmter Arten von Malware, die erhöhte Berechtigungen ausnutzen, eingedämmt werden.