Was sind Sicherheitsverletzungen?

Für viele Menschen werden die grundlegendsten Aktivitäten des Lebens mittlerweile online durchgeführt. Ob beim Einkaufen, bei Bankgeschäften, bei der Reiseplanung, bei Unterhaltungsangeboten oder beim Dating: Die Menschen nutzen in ihrem öffentlichen und privaten Leben zunehmend die digitale Welt, um ihre Leben zu vereinfachen. Sie vertrauen darauf, dass ihre digitalen Tools persönliche Informationen und Daten – und möglicherweise auch einige ihrer Geheimnisse – sicher, privat und geschützt aufbewahren. 

Da jedoch auf Online-Konten, -Anwendungen und -Computersystemen heutzutage große Mengen persönlicher und finanzieller Informationen gespeichert werden, werden sie zum bevorzugten Ziel von Sicherheitsverletzungen, bei denen Kriminelle versuchen, Systeme zu manipulieren, um Zugriff auf Kundenkonten zu erhalten und Daten abzugreifen, wodurch sie Tür und Tor für Betrug und andere Cyberkriminalität öffnen. Für Unternehmen können Verstöße auch zu Geldbußen, rechtlichen Verpflichtungen, Reputationsschäden und einem Verlust des Kundenvertrauens führen. 

Eine Sicherheitsverletzung kann durch eine Vielzahl sich entwickelnder Bedrohungen und Schwachstellen verursacht werden, darunter schwache Passwörter, Malware, Phishing, Ransomware und Social Engineering. Die Einführung von Datensicherheitsmaßnahmen ist sowohl für Einzelpersonen als auch für Organisationen zwingend erforderlich, um die Privatsphäre zu schützen und sensible Daten zu sichern, denn vertrauliche Informationen sind für Kriminelle von großem Wert. Das Dark Web ist ein Marktplatz, auf dem Benutzernamen, Passwörter, Kreditkartennummern und andere Finanzdaten gekauft und verkauft und für Identitätsdiebstahl oder Betrug verwendet werden können.

Die Gefahr von Sicherheitsverletzungen ist real: Laut Enterprise Apps Today kommt es alle 39 Sekunden irgendwo auf der Welt zu einem Sicherheitsverstoß, wobei der Schaden durch Cyberkriminelle allein im Jahr 2022 auf schätzungsweise 6 Billionen US-Dollar geschätzt wird.

Sicherheitsverletzungen entstehen, wenn Sicherheitskontrollen durchbrochen oder auf andere Weise umgangen werden; die größten und mächtigsten Unternehmen der Welt werden regelmäßig zum Ziel von Cyberkriminellen. Tatsächlich gehören Finanzinstitute, E-Commerce-Unternehmen und Regierungsbehörden zu den am häufigsten angegriffenen Einrichtungen, da auf diesen Websites Unmengen persönlicher und finanzieller Daten gespeichert werden.

Einzelpersonen und Organisationen aller Größenordnungen sind dem Risiko von Sicherheitsverletzungen und Cyberangriffen ausgesetzt. Hacker und Cyberkriminelle – manche von ihnen mit der Unterstützung mächtiger nationaler oder Unternehmensinteressen – sind unendlich erfinderisch und denken sich immer neue Wege aus, um bestehende Sicherheitsvorkehrungen zu durchbrechen. Dadurch haben sie die Möglichkeit, vertrauliche Informationen oder personenbezogene Daten zu stehlen, die sie möglicherweise zu Wettbewerbsvorteilen verkaufen oder manipulieren oder für Betrug, Identitätsdiebstahl oder die Verbreitung von Fehlinformationen verwenden können. 

Laut der Nachrichtenseite secureworld.io zählen die folgenden zu den schwerwiegendsten Datenschutzverletzungen aller Zeiten :

• Yahoo (2013–2014): Über 3 Milliarden Benutzerkonten wurden kompromittiert, nachdem Angreifer mithilfe von Phishing-Techniken in das Netzwerk von Yahoo eingedrungen waren. Eindringlinge verschafften sich Zugriff auf vertrauliche Informationen wie Namen, E-Mail-Adressen, Geburtsdaten, Telefonnummern und verschlüsselte Passwörter. Zusätzlich zu Geldstrafen in Höhe von 35 Millionen US-Dollar durch die US-Börsenaufsichtsbehörde Securities and Exchange Commission und 80 Millionen US-Dollar an Vergleichen in einer Sammelklage vor einem Bundesgericht war Yahoo beim Verkauf an Verizon im Jahr 2016 gezwungen, seinen Kaufpreis um 350 Millionen US-Dollar zu reduzieren. Im März 2017 erhob das FBI Anklage gegen vier Personen wegen des Anschlags , darunter zwei Beamte des russischen Inlandsgeheimdienstes (FSB).
• Equifax (2017): Angreifer erbeuteten persönliche Daten von 147 Millionen Verbrauchern in den USA, darunter Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen Führerscheinnummern. Neben diesen persönlichen Daten wurden durch den Datendiebstahl auch die Kreditkartennummern von rund 209.000 Kunden offengelegt. Die Angreifer verschafften sich über eine Sicherheitslücke in einer Website-Anwendung Zugriff auf das Equifax-Netzwerk. Eine unzureichende Systemsegmentierung ermöglichte den Eindringlingen eine einfache seitliche Bewegung innerhalb des Systems. Der Verstoß hatte schwerwiegende Folgen und führte zu einem Vertrauensverlust der Verbraucher, rechtlichen Untersuchungen, Gerichtsverfahren, Geldbußen und Anhörungen im Kongress. Equifax zahlte außerdem schätzungsweise 700 Millionen US-Dollar, um den von der Datenpanne betroffenen Menschen zu helfen. Im Jahr 2020 werden die USA Das Justizministerium hat im Zusammenhang mit dem Cyberangriff auf Equifax Anklage gegen vier vom chinesischen Militär unterstützte Hacker erhoben. 
• Marriott International (2014–2018), bei dem etwa 500 Millionen Gästedatensätze kompromittiert wurden , darunter Namen, Adressen, Telefonnummern, Passnummern, E-Mail-Adressen, Reiseinformationen und in einigen Fällen Zahlungskartennummern. Der Angriff begann, als Marriott 2016 Starwood Hotels and Resorts übernahm und das Reservierungssystem von Starwood in das von Marriott integrierte. Das System von Starwood war spätestens seit 2014 kompromittiert (wahrscheinlich durch gestohlene Zugangsdaten von Starwood-Mitarbeitern) und bald waren alle Hotels der Marriott International-Gruppe infiziert. Das britische Information Commissioner’s Office (ICO) verhängte gegen Marriott eine Geldstrafe von 23,8 Millionen US-Dollar. US-Behörden behaupten, der Cyberangriff sei Teil einer chinesischen Geheimdienstaktion gewesen; Marriott ist der größte Hotelanbieter für amerikanisches Regierungs- und Militärpersonal.
• T-Mobile (2022–2023): Angreifer manipulierten eine API , um in 37 Millionen Benutzerkonten einzudringen und an Kundennamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern, Kontonummern und Geburtsdaten zu gelangen. Der Angreifer, der über einen Monat lang unbefugten Zugriff auf die Systeme von T-Mobile hatte, bevor der Verstoß entdeckt wurde, wurde nicht identifiziert. 

Es gibt verschiedene Arten von Sicherheitsverletzungen, die durch die Methoden gekennzeichnet sind, die der Angreifer verwendet, um Zugriff auf das System zu erhalten. 

• Malware-Angriffe sind eine gängige Technik, mit der Kriminelle Sicherheitsverletzungen verursachen. Malware wird häufig über bösartige E-Mail-Anhänge verbreitet, oft als Teil eines Phishing-Angriffs , der Empfänger dazu verleitet, auf Links zu klicken oder Anhänge herunterzuladen, die Malware enthalten oder zu gefälschten Anmeldeseiten führen. Auch durch den Kontakt mit infizierten Websites oder den Download kompromittierter Software kann Schadsoftware in die Welt gesetzt werden. Malware kann so konzipiert sein, dass sie verschiedene Funktionen ausführt, die zu Datenlecks führen, z. B. das Aufzeichnen von Tastatureingaben oder Überwachen von Benutzeraktivitäten oder das Erstellen von „Hintertür“-Zugriffspunkten, die Angreifern den Zugriff auf Netzwerke ermöglichen. Andere Arten von Schadsoftware können gespeicherte Anmeldeinformationen abgreifen oder vertrauliche Authentifizierungsdaten stehlen , die Angreifer verwenden können, um unbefugten Zugriff auf Konten und Systeme zu erhalten. Darüber hinaus kann Malware eine Exfiltration durchführen und gestohlene Daten an von Angreifern kontrollierte Remote-Server senden, was zu einem unbefugten Datenverlust und einer potenziellen Offenlegung führen kann. Ransomware-Angriffe kann auch zu Sicherheitsverletzungen führen, da Ransomware eine Art von Schadsoftware ist, die die Daten eines Opfers verschlüsselt und damit unzugänglich macht. Während des Verschlüsselungsprozesses erhält der Angreifer Zugriff auf die Daten des Opfers und droht in vielen Fällen damit, die vertraulichen Daten des Opfers öffentlich zugänglich zu machen oder im Darknet zu verkaufen, wenn das Lösegeld nicht gezahlt wird. Dadurch wird aus dem Ransomware-Vorfall eine Datenpanne, bei der die kompromittierten Informationen unbefugten Personen zugänglich gemacht werden.
• Bei Social-Engineering-Angriffen wird psychologische Manipulation eingesetzt, um Menschen zu täuschen und sie dazu zu bringen, vertrauliche Informationen preiszugeben, Aktionen auszuführen oder Entscheidungen zu treffen, die die Sicherheit gefährden. In manchen Fällen geben sich Angreifer als vertrauenswürdige Personen aus , etwa als Kollegen, Vorgesetzte oder IT-Mitarbeiter, um die Opfer dazu zu bringen, vertrauliche Daten weiterzugeben oder Benutzernamen, Passwörter oder andere Authentifizierungsdaten preiszugeben. Mithilfe dieser Informationen können Angreifer unbefugten Zugriff auf Systeme, Konten und vertrauliche Daten erhalten. Bei Social-Engineering-Angriffen werden häufig Phishing-Taktiken eingesetzt, um einzelne Personen dazu zu bringen, Aktionen auszuführen oder Daten preiszugeben, die sie normalerweise nicht ausführen würden.
• Software-Exploits nutzen Sicherheitslücken oder Schwächen in Software, Firmware oder Systemkonfigurationen aus, um sich unbefugten Zugriff zu verschaffen, Daten zu manipulieren oder böswillige Aktionen innerhalb eines Computersystems oder Netzwerks durchzuführen. Veraltete oder nicht gepatchte Software ist ein häufiger Einstiegspunkt für System-Exploits, sie kann aber auch mit Angriffen zur Rechteausweitung oder Remotecodeausführung in Verbindung stehen.

Die Strafe für einen Datenschutzverstoß kann schwerwiegend und weitreichend sein und Folgendes umfassen:

• Finanzielle Verluste aufgrund von Kosten für die Reaktion auf Vorfälle, Anwalts- und Gerichtskosten , Bußgeldern und Entschädigungen betroffener Parteien.
• Reputationsschaden, da öffentlich bekannt gewordene Verstöße zu negativer Publizität führen und einer Marke langfristigen Schaden zufügen können.
• Vertrauensverlust: Verstöße können das Vertrauen in die Fähigkeit des Unternehmens, Daten zu schützen, untergraben und dazu führen, dass Kunden (und Partner) zögern, Geschäftsbeziehungen einzugehen. Dies kann zu Loyalitätsverlust und Kundenabwanderung führen.
• Rechtliche und regulatorische Auswirkungen, da Unternehmen mit rechtlichen Schritten und Bußgeldern aufgrund der Nichteinhaltung von Datenschutzgesetzen und -vorschriften wie der Datenschutz-Grundverordnung (DSGVO) der EU und dem Health Insurance Portability and Accountability Act (HIPAA) in den USA rechnen müssen.

Das frühzeitige Erkennen der Anzeichen einer Sicherheitsverletzung ist entscheidend, um potenzielle Schäden zu minimieren und wirksam zu reagieren. Im Folgenden finden Sie allgemeine Indikatoren, die auf eine bevorstehende Sicherheitsverletzung hinweisen können. 

• Ungewöhnliche Netzwerkaktivität, wie beispielsweise ein plötzlicher Anstieg des Netzwerkverkehrs, ungewöhnliche Datenübertragungen oder unerwartete Spitzen bei der Bandbreitennutzung, können auf einen unbefugten Zugriff oder einen Datenexfiltrationsvorgang hinweisen.
• Unerwartetes Systemverhalten, beispielsweise unerklärliche Systemausfallzeiten, langsame Leistung oder häufige Abstürze, können auf das Vorhandensein von Malware oder nicht autorisierten Aktivitäten hinweisen. 
• Seltsame Kontoaktivitäten, wie unbekannte Benutzerkonten, ungewöhnliche Anmeldezeiten oder mehrere fehlgeschlagene Anmeldungen, können Anzeichen für eine Kompromittierung oder unbefugte Zugriffsversuche sein. 
• Datenanomalien und unbefugter Zugriff, wie etwa fehlende oder veränderte Daten und Protokolle, die einen unbefugten Zugriff auf wichtige Datenbanken oder vertrauliche Informationen zeigen, können auf eine Sicherheitsverletzung hinweisen.

Um Sicherheitsverletzungen vorzubeugen, ist ein proaktiver und umfassender Ansatz zur Cybersicherheit erforderlich, der die folgenden bewährten Methoden umfasst.

• Setzen Sie Richtlinien für sichere Passwörter durch. Beschränken Sie die Verwendung leicht zu erratender Informationen wie Geburtstage, Namen oder gebräuchlicher Wörter und erzwingen Sie die Verwendung von Passwörtern, die eine zufällige Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen darstellen. Erwägen Sie die Verwendung von Passphrasen, die länger und leicht zu merken, aber schwerer zu knacken sind.  
• Implementieren Sie eine Multi-Faktor-Authentifizierung (MFA). Bei der MFA muss der Benutzer zwei oder mehr Verifizierungsfaktoren vorlegen, um Zugriff auf eine Anwendung, Ressource, ein Online-Konto oder einen anderen Dienst zu erhalten. In der Praxis ist hierfür häufig die Eingabe eines Einmalpassworts aus einer E-Mail oder Textnachricht in ein Smartphone oder einen Browser oder die Angabe biometrischer Daten wie eines Fingerabdrucks oder Gesichtsscans erforderlich.
• Aktualisieren Sie Software und Systeme regelmäßig. Halten Sie Betriebssysteme, Softwareanwendungen und Sicherheitspatches auf dem neuesten Stand, um bekannte Schwachstellen zu beheben. Entwickeln Sie einen robusten Patch-Management-Prozess, um Sicherheitsupdates und Fixes umgehend anzuwenden.
• Implementieren Sie eine Netzwerksegmentierung. Die Aufteilung eines größeren Netzwerks in kleinere, isolierte Segmente kann durch die Erstellung separater Zonen oder Subnetze mit kontrolliertem Zugriff die Sicherheit verbessern und die potenziellen Auswirkungen von Sicherheitsverletzungen verringern. Dieses Verfahren trägt dazu bei, kritische Ressourcen zu isolieren, die Angriffsfläche zu verringern und die seitliche Bewegung innerhalb des Netzwerks einzuschränken, um so zur Eindämmung von Sicherheitsverletzungen beizutragen.
• Setzen Sie Verschlüsselung und Datenschutz ein. Verschlüsseln Sie vertrauliche Daten sowohl während der Übertragung als auch im Ruhezustand, um sie vor unbefugtem Zugriff zu schützen. Durch die Durchsetzung von Datenschutzrichtlinien wie strengen Zugriffskontrollen und dem Prinzip der geringsten Berechtigungen wird das Risiko eines unbefugten Datenzugriffs verringert.
• Inventar-APIs und Skripte von Drittanbietern. Entdecken Sie dynamisch API-Endpunkte und Drittanbieterintegrationen, um sicherzustellen, dass sie in Risikomanagementprozessen erfasst und durch entsprechende Sicherheitskontrollen geschützt werden. 

• Phishing-Versuche erkennen. Sorgen Sie dafür, dass Ihre Mitarbeiter lernen, Phishing-E-Mails und bösartige Links zu erkennen. So verringern Sie die Wahrscheinlichkeit, auf Phishing-Betrug hereinzufallen, der zu Datendiebstählen führen kann.
• Informieren Sie sich über sichere Passwörter. Bringen Sie Ihren Mitarbeitern bei, wie wichtig sichere Passwörter und eine gründliche Passworthygiene sind. 
• Melden Sie verdächtige Aktivitäten. Bringen Sie Ihren Mitarbeitern bei, verdächtige Aktivitäten oder potenzielle Sicherheitsvorfälle umgehend zu melden, damit schneller reagiert und Schadensbegrenzung betrieben werden kann. Durch regelmäßige Schulungen werden die Mitarbeiter über neu auftretende Risiken und deren Erkennung informiert.

• Bewerten Sie regelmäßig die Sicherheitslage Ihres Unternehmens. Verwenden Sie Penetrationstests, Schwachstellenscans und Sicherheitsüberprüfungen, um Schwachstellen in Ihren Systemen, Anwendungen und Netzwerken zu identifizieren und zu beheben, bevor Angreifer sie ausnutzen können. Schwachstellenanalysen helfen auch bei der Erkennung von Fehlkonfigurationen, die, wenn sie nicht behoben werden, zu Sicherheitsverletzungen führen können.

• Entwickeln Sie einen Vorfallreaktionsplan. Dies kann eine wichtige Rolle bei der Eindämmung von Sicherheitsverletzungen spielen, indem es einen strukturierten und proaktiven Ansatz zur Identifizierung und Reaktion auf potenzielle Cybersicherheitsvorfälle bietet.
• Identifizieren Sie Stakeholder und Rollen. Stellen Sie sicher, dass Sie die Beteiligten identifizieren, die Rollen und Verantwortlichkeiten festlegen und eine klare Befehlskette für die Meldung und Eskalation von Vorfällen entwickeln. Entwickeln Sie detaillierte Schritt-für-Schritt-Verfahren zur Eindämmung und Abschwächung von Verstößen und testen Sie den Plan regelmäßig, um Schwachstellen zu identifizieren und die Reaktionen zu verbessern.
• Entwickeln Sie Strategien für Geschäftskontinuität und Notfallwiederherstellung (BCDR). BCDR-Pläne tragen dazu bei, die Kontinuität kritischer Geschäftsabläufe bei Störungen, beispielsweise aufgrund von Sicherheitsverletzungen, sicherzustellen. Ein wesentlicher Bestandteil von BCDR-Plänen sind regelmäßige Datensicherungen, um sicherzustellen, dass die Daten im Falle einer Datenpanne oder Datenbeschädigung in einen früheren, sauberen Zustand wiederhergestellt werden können. Alle BCDR-Pläne müssen regelmäßig durch Übungen und Trainings getestet werden, um ihre Wirksamkeit zu bestätigen und es Unternehmen zu ermöglichen, Schwachstellen zu erkennen und Reaktionsstrategien zu verfeinern.

Künstliche Intelligenz bietet leistungsstarke neue Tools und Funktionen , die zum Erkennen und Verhindern von Sicherheitsverletzungen genutzt werden können. Insbesondere kann die KI-gestützte Bot-Abwehr durch dauerhafte Telemetrieerfassung, Verhaltensanalyse und wechselnde Schadensbegrenzungsstrategien die Widerstandsfähigkeit aufrechterhalten, egal wie sehr Angreifer versuchen, die Abwehrmaßnahmen zu umgehen. KI-Algorithmen erkennen Anomalien, die auf Verstöße hinweisen können, z. B. wenn Benutzer zu ungewöhnlichen Zeiten oder von unbekannten Standorten aus auf vertrauliche Daten zugreifen, sowie Versuche, Signale zu fälschen und kompromittierte Daten aus dem Dark Web zu verwenden. 

Diese Systeme können so gesteuert werden, dass sie verdächtige Aktivitäten automatisch blockieren oder kennzeichnen. Zudem können sie bestimmte Elemente von Vorfallreaktionsplänen automatisieren, wie etwa die Einleitung vordefinierter Reaktionsmaßnahmen oder die Isolierung kompromittierter Systeme, um die Ausbreitung von Sicherheitsverletzungen zu minimieren. Da KI-basierte Sicherheitssysteme aus neuen Daten lernen und sich an veränderte Bedrohungslandschaften anpassen, verbessert sich ihre Genauigkeit beim Erkennen von Sicherheitsverletzungen mit der Zeit und sie entwickeln sich weiter, um in dynamischen Bedrohungsumgebungen relevant zu bleiben. 

KI-Technologien können zudem große Datenmengen analysieren und in Echtzeit anomale Muster erkennen. Dadurch sind diese Systeme in der Lage, schneller und mit präziserer Bedrohungsidentifizierung zu reagieren als manuelle oder regelbasierte Bedrohungserkennungsprogramme.

Zwar bieten KI-gesteuerte Sicherheitslösungen erhebliche Vorteile bei der Erkennung und Prävention von Bedrohungen, doch funktionieren sie am besten in Verbindung mit menschlicher Expertise, um Warnmeldungen zu validieren und komplizierte Daten oder Eingaben zu interpretieren. KI-Sicherheitsmodelle können falsch-positive und falsch-negative Ergebnisse produzieren, die insbesondere bei der Reaktion auf komplexe und neuartige Bedrohungen wachsames menschliches Urteilsvermögen und Aufsicht erfordern. 

Die Federal Trade Commission (FTC) bietet Leitlinien zu Maßnahmen zur Reaktion auf Vorfälle, die Organisationen in Betracht ziehen sollten, wenn sie mit einer Sicherheitsverletzung konfrontiert sind. Diese Schritte sollen Organisationen dabei helfen, effektiv auf Sicherheitsvorfälle zu reagieren und diese zu bewältigen. Eine Übersicht über die Richtlinien der FTC zum Beheben von Sicherheitsverletzungen umfasst die folgenden Maßnahmen:

• Sichern Sie Ihren Betrieb. Sichern Sie Ihre Systeme rasch und mobilisieren Sie sofort Ihr Breach-Response-Team, um weiteren Datenverlust zu verhindern. Hierzu können beispielsweise die Isolierung betroffener Systeme, die Deaktivierung kompromittierter Konten und andere Maßnahmen gehören, um weitere unbefugte Zugriffe zu verhindern.
• Beheben Sie Schwachstellen. Arbeiten Sie mit Ihren Forensikexperten zusammen, um die Schwachstellen zu identifizieren und zu beheben, die zum Verstoß geführt haben. Patchen und aktualisieren Sie Software, Systeme und Konfigurationen, um zukünftige Vorfälle zu verhindern. Analysieren Sie, wer aktuell Zugriff auf das Netzwerk hat (einschließlich Dienstanbieter), ermitteln Sie, ob dieser Zugriff benötigt wird, und schränken Sie den Zugriff ein, wenn dies nicht der Fall ist.
• Benachrichtigen Sie die entsprechenden Parteien. Benachrichtigen Sie die Polizei, um die Situation und das potenzielle Risiko eines Identitätsdiebstahls zu melden. Informieren Sie, je nach Art des Verstoßes, betroffene Personen, Kunden oder Klienten über den Vorfall. Informieren Sie betroffene Personen klar, genau und transparent darüber, was passiert ist, welche Daten offengelegt wurden und welche Schritte sie zu ihrem Schutz unternehmen sollten.