Was sind Sicherheitsverletzungen?

Für viele Menschen werden die grundlegendsten Aktivitäten des Lebens jetzt online durchgeführt. Von Einkäufen, Bankgeschäften und der Reiseplanung bis hin zu Unterhaltung und Dating wenden sich die Menschen zunehmend dem digitalen Bereich zu, um ihr öffentliches und privates Leben einfacher zu gestalten. Sie vertrauen darauf, dass ihre digitalen Tools persönliche Informationen und Daten – und vielleicht auch einige ihrer Geheimnisse – sicher, privat und geschützt aufbewahren.

Da Online-Konten, Anwendungen und Computersysteme inzwischen jedoch große Mengen an personenbezogenen Informationen und Finanzdaten speichern, werden sie zu Hauptzielen für Sicherheitsverletzungen, bei denen Kriminelle versuchen, Systeme zu kompromittieren, um so Zugriff auf Kundenkonten zu erhalten und Daten zu sammeln. Dies öffnet Betrug und anderen kriminellen Aktivitäten Tür und Tor. Für Unternehmen können Verstöße auch zu Bußgeldern, rechtlicher Haftung, Reputationsschäden und dem Verlust des Kundenvertrauens führen. 

Eine Sicherheitsverletzung kann aus einer Vielzahl von sich entwickelnden Bedrohungen und Schwachstellen resultieren, einschließlich schwacher Passwörter, Malware, Phishing, Ransomware und Social Engineering. Die Einführung von Datensicherheitsmaßnahmen ist sowohl für Einzelpersonen als auch für Organisationen unerlässlich, um die Privatsphäre zu wahren und vertrauliche Daten zu schützen, da vertrauliche Informationen für Kriminelle von großem Wert sind. Das Dark Web ist ein Marktplatz, auf dem Benutzernamen, Passwörter, Kreditkartennummern und andere Finanzdaten erworben und verkauft und zum Zwecke des Identitätsdiebstahls oder Betrugs verwendet werden können.

Sicherheitsverletzungen stellen eine reale Bedrohung dar: Laut Enterprise Apps Today tritt alle 39 Sekunden irgendwo auf der Welt eine Sicherheitsverletzung auf, wobei allein im Jahr 2022 geschätzte Schäden in Höhe von 6 Billionen US-Dollar durch Cyberkriminelle verursacht wurden.

Sicherheitsverletzungen entstehen, wenn Sicherheitskontrollen durchbrochen oder auf andere Weise umgangen werden. Die größten und mächtigsten Unternehmen der Welt werden regelmäßig von Cyberkriminellen angegriffen. Tatsächlich gehören Finanzinstitute, E-Commerce-Unternehmen und Regierungsbehörden aufgrund der großen Menge an personenbezogenen Informationen sowie Finanzdaten, die diese Websites speichern, zu den häufigsten Zielen.

Sowohl Einzelpersonen als auch große und kleine Organisationen sind von Sicherheitsverletzungen und Cyberangriffen bedroht. Hacker und Cyberkriminelle, von denen einige von mächtigen nationalen Stellen oder Unternehmen unterstützt werden, beweisen schier endlosen Erfindungsgeist und entwickeln immer neue Wege, um den bestehenden Sicherheitsschutz zu durchdringen. Auf diese Weise können sie vertrauliche Informationen oder personenbezogene Daten stehlen, welche möglicherweise zur Erlangung eines Wettbewerbsvorteils verkauft oder manipuliert oder für Betrug, Identitätsdiebstahl und die Verbreitung von Fehlinformationen verwendet werden.

Laut der Nachrichtenseite secureworld.io gehören zu den bedeutendsten Datenschutzverletzungen aller Zeiten die folgenden:

• Yahoo (2013–2014). Dabei wurden über 3 Milliarden Benutzerkonten kompromittiert, nachdem Angreifer Phishing-Techniken eingesetzt hatten, um in das Netzwerk von Yahoo einzudringen. Die Eindringlinge erhielten Zugriff auf vertrauliche Informationen wie Namen, E-Mail-Adressen, Geburtsdaten, Telefonnummern und verschlüsselte Passwörter. Zusätzlich zu Geldbußen in Höhe von 35 Millionen US-Dollar von der Securities and Exchange Commission und 80 Millionen US-Dollar an Vergleichen aus einer Sammelklage der US-Bundesbehörden war Yahoo gezwungen, seinen Kaufpreis während des Verkaufs an Verizon im Jahr 2016 um 350 Millionen US-Dollar zu senken. Im März 2017 klagte das FBI vier Personen aufgrund des Angriffs an, darunter zwei Beamte des russischen Geheimdienstes (FSB).
• Equifax (2017). Dabei sammelten Angreifer die personenbezogenen Daten von 147 Millionen Verbrauchern in den USA, darunter Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen Führerscheinnummern. Neben diesen personenbezogenen Daten wurden bei dem Verstoß auch Kreditkartennummern von rund 209 000 Kunden offengelegt. Die Angreifer erhielten durch eine Anwendungsschwachstelle auf der Website Zugriff auf das Equifax-Netzwerk. Eine unzureichende Systemsegmentierung ermöglichte den Eindringlingen ein einfaches Lateral Movement innerhalb des Systems. Der Verstoß hatte schwerwiegende Auswirkungen, darunter unter anderem der Vertrauensverlust der Verbraucher, rechtliche Ermittlungen, Klagen, Geldstrafen und Anhörungen im Kongress. Equifax zahlte zudem schätzungsweise 700 Millionen US-Dollar als Hilfe für die von der Datenpanne betroffenen Menschen. Im Jahr 2020 gab das US-Justizministerium im Zusammenhang mit dem Cyberangriff auf Equifax Anklagen gegen vier vom chinesischen Militär unterstützte Hacker bekannt. 
• Marriott International (2014–2018). Dabei wurden rund 500 Millionen Datensätze von Gästen kompromittiert, darunter Namen, Adressen, Telefonnummern, Passnummern, E-Mail-Adressen, Reiseinformationen und in einigen Fällen Zahlungskartennummern. Der Angriff begann, als Marriott Starwood Hotels and Resorts im Jahr 2016 erwarb und das Reservierungssystem von Starwood in das von Marriott integrierte. Das System von Starwood war seit mindestens 2014 kompromittiert worden (wahrscheinlich durch von Starwood-Mitarbeitern gestohlene Anmeldedaten) und bald waren alle Immobilien der Marriott International-Gruppe infiziert. Das britische Information Commissioner's Office (ICO) verhängte eine Geldbuße in Höhe von 23,8 Millionen US-Dollar gegen Marriott. US-Beamte behaupten, dass der Cyberangriff teilweise vom chinesischen Geheimdienst unterstützt wurde, da Marriott der führende Hotelanbieter für das amerikanische Regierungs- und Militärpersonal ist.
• T-Mobile (2022–2023). Dabei manipulierten Angreifer eine API, um 37 Millionen Benutzerkonten zu kompromittieren und so an Kundennamen, Rechnungsadressen, E-Mail-Adressen, Telefonnummern, Kontonummern und Geburtsdaten zu gelangen. Der Angreifer, der über einen Monat lang unberechtigten Zugriff auf die Systeme von T-Mobile hatte, bevor der Verstoß entdeckt wurde, konnte nicht identifiziert werden. 

Es gibt mehrere Arten von Sicherheitsverletzungen, die durch die Methoden gekennzeichnet sind, mit denen der Angreifer Zugriff auf das System erhält. 

• Malware-Angriffe sind eine gängige Technik, mit der Kriminelle Sicherheitsverletzungen starten. Malware wird oft durch schädliche E-Mail-Anhänge verbreitet, häufig als Teil eines Phishing-Angriffs. Die E-Mail verleitet Empfänger dazu, auf Links zu klicken oder Anhänge herunterzuladen, die Malware enthalten oder zu gefälschten Anmeldeseiten führen. Malware-Angriffe können auch durch Kontakt mit infizierten Websites oder kompromittierten Software-Downloads gestartet werden. Malware kann verschiedene Funktionen ausführen, die zu Datenschutzverletzungen führen, einschließlich der Aufzeichnung von Tastatureingaben oder der Überwachung von Benutzeraktivitäten oder der Schaffung von Zugangspunkten durch die „Hintertür“, über die Angreifer auf Netzwerke zugreifen können. Andere Arten von Malware können gespeicherte Anmeldedaten sammeln oder vertrauliche Authentifizierungsdaten stehlen, mit denen Angreifer unberechtigten Zugriff auf Konten und Systeme erhalten. Malware kann auch zu einer Exfiltration führen und gestohlene Daten an von Angreifern kontrollierte Remote-Server senden, was zu einem Datenleck und potenzieller Gefährdung führt. Ransomware-Angriffe können auch zu Sicherheitsverletzungen führen. Ransomware ist eine Art von Malware, welche die Daten eines Opfers verschlüsselt und damit unzugänglich macht. Während des Verschlüsselungsprozesses erhält der Angreifer Zugriff auf die Daten des Opfers und droht in vielen Fällen damit, die vertraulichen Daten des Opfers zu veröffentlichen oder sie im Dark Web zu verkaufen, wenn kein Lösegeld bezahlt wird. Dadurch wird der Ransomware-Vorfall zu einer Datenschutzverletzung, da nicht autorisierte Personen Zugriff auf die kompromittierten Informationen erhalten.
• Social-Engineering-Angriffe beruhen auf psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, bestimmte Handlungen auszuführen oder Entscheidungen zu treffen, welche die Sicherheit gefährden. In einigen Fällen geben sich Angreifer als vertrauenswürdige Personen aus, z. B. Kollegen, Vorgesetzte oder IT-Mitarbeiter, um die Opfer von der Weitergabe vertraulicher Daten oder der Offenlegung von Benutzernamen, Passwörtern oder anderen Authentifizierungsdaten zu überzeugen. Mit diesen Informationen können sich Angreifer unberechtigten Zugriff auf Systeme, Konten und vertrauliche Daten verschaffen. Social-Engineering-Angriffe nutzen häufig Phishing-Taktiken, um Personen dazu zu bringen, bestimmte Aktionen durchzuführen oder Daten preiszugeben – Dinge, die sie normalerweise nicht tun würden.
• Die Ausnutzung von Software nutzt Schwachstellen in Software-, Firmware- oder Systemkonfigurationen aus, um unberechtigten Zugriff zu erhalten, Daten zu manipulieren oder schädliche Aktionen in einem Computersystem oder Netzwerk durchzuführen. Veraltete oder nicht gepatchte Software ist ein häufiger Eintrittspunkt für die Ausnutzung von Systemen, kann aber auch mit Privilegienerweiterungsangriffen oder Code-Ausführungen aus der Ferne verknüpft werden.

Die Strafe für eine Datenschutzverletzung kann schwerwiegend und weitreichend sein und umfasst Folgendes:

• Finanzielle Verluste aufgrund von Aufwendungen im Zusammenhang mit der Reaktion auf die Vorfälle, Anwaltskosten und Klagen, Bußgelder und Entschädigungen für betroffene Parteien.
• Reputationsschäden, da öffentlich bekannt gewordene Verstöße zu negativer Presse führen und einer Unternehmensmarke langfristigen Schaden zufügen können.
• Vertrauensverlust, da Verstöße das Vertrauen in die Fähigkeit des Unternehmens zum Schutz von Daten untergraben können, was dazu führen kann, dass Kunden (und Partner) zögern, Geschäftsbeziehungen einzugehen. Dies kann wiederum zum Verlust der Loyalität und zur Kundenabwanderung führen.
• Rechtliche und regulatorische Auswirkungen, da Unternehmen aufgrund der Nichteinhaltung von Datenschutzgesetzen und -vorschriften, wie der Datenschutz-Grundverordnung (DSGVO) der EU und des Health Insurance Portability and Accountability Act (HIPAA) in den USA, mit rechtlichen Schritten und Geldbußen rechnen müssen.

Die Anzeichen einer Sicherheitsverletzung frühzeitig zu erkennen, ist entscheidend, um potenzielle Schäden zu minimieren und effektiv zu reagieren. Im Folgenden finden Sie allgemeine Indikatoren, die darauf hinweisen können, dass eine Sicherheitsverletzung im Gange ist. 

• Ungewöhnliche Netzwerkaktivitäten wie ein plötzlicher Anstieg des Netzwerkdatenverkehrs, ungewöhnliche Datenübertragungen oder unerwartete Spitzen bei der Bandbreitennutzung können auf einen unberechtigten Zugriff oder eine Datenexfiltration hinweisen.
• Unerwartetes Systemverhalten wie unerklärliche Systemausfallzeiten, eine langsame Leistung oder häufige Abstürze können auf das Vorhandensein von Malware oder auf nicht autorisierte Aktivitäten hinweisen. 
• Seltsame Kontoaktivitäten wie unbekannte Benutzerkonten, ungewöhnliche Anmeldezeiten oder mehrere fehlgeschlagene Anmeldeversuche können Anzeichen für Kompromittierungen oder unberechtigte Zugriffsversuche darstellen. 
• Datenanomalien und unberechtigter Zugriff wie fehlende oder veränderte Daten und Protokolle, die einen unberechtigten Zugriff auf kritische Datenbanken oder vertrauliche Informationen anzeigen, können auf eine Sicherheitsverletzung hinweisen.

Die Verhinderung von Sicherheitsverletzungen erfordert einen proaktiven und umfassenden Ansatz für die Cybersicherheit, einschließlich der folgenden Best Practices.

• Setzen Sie starke Passwortrichtlinien durch. Beschränken Sie die Nutzung leicht zu erratender Informationen wie Geburtstage, Namen oder gebräuchliche Wörter und erzwingen Sie die Nutzung von Passwörtern, die zufällige Zeichenfolgen aus Groß- und Kleinbuchstaben, Zahlen und Symbolen kombinieren. Erwägen Sie die Verwendung von Passphrasen, die länger und leicht zu merken, aber schwerer zu knacken sind.  
• Implementieren Sie die Multi-Faktor-Authentifizierung (MFA). Bei der MFA muss der Benutzer zwei oder mehr Verifizierungsfaktoren angeben, um Zugriff auf eine Anwendung, eine Ressource, ein Online-Konto oder einen anderen Dienst zu erhalten. In der Praxis beinhaltet dies häufig die Eingabe eines einmaligen Passcodes aus einer E-Mail oder einer Textnachricht in ein Smartphone oder einen Browser oder die Bereitstellung biometrischer Daten wie einen Fingerabdruck oder einen Gesichtsscan.
• Aktualisieren Sie regelmäßig Ihre Software und Systeme. Halten Sie Betriebssysteme, Softwareanwendungen und Sicherheitspatches auf dem neuesten Stand, um bekannte Schwachstellen zu beheben. Entwickeln Sie einen robusten Patch-Verwaltungsprozess, um Sicherheits-Updates und -Fixes umgehend anzuwenden.
• Implementieren Sie die Netzwerksegmentierung. Die Aufteilung eines größeren Netzwerks in kleinere, isolierte Segmente kann dazu beitragen, die Sicherheit zu erhöhen und die potenziellen Auswirkungen von Sicherheitsverletzungen zu reduzieren, indem separate Zonen oder Subnetzwerke mit kontrolliertem Zugriff erstellt werden. Diese Praxis trägt zur Isolierung kritischer Vermögenswerte, Verkleinerung der Angriffsfläche und Begrenzung von Lateral Movement innerhalb des Netzwerks bei, um so Verstöße einzudämmen.
• Setzen Sie Verschlüsselungen und Datenschutzmaßnahmen ein. Verschlüsseln Sie vertrauliche Daten sowohl bei der Übertragung als auch im Ruhezustand, um sie vor unberechtigtem Zugriff zu schützen. Die Durchsetzung von Datenschutzrichtlinien wie strenge Zugriffskontrollen und „Least Privilege“-Prinzipien verringern das Risiko eines unberechtigten Datenzugriffs.
• Behalten Sie den Überblick über Ihre APIs und Skripte von Drittanbietern. Ermitteln Sie API-Endpunkte und Drittanbieter-Integrationen dynamisch, um sicherzustellen, dass diese in Risikomanagementprozessen erfasst und durch geeignete Sicherheitskontrollen geschützt werden. 

• Durchschauen Sie Phishing-Versuche. Stellen Sie sicher, dass Ihre Mitarbeiter lernen, Phishing-E-Mails und schädliche Links zu erkennen. Dadurch sinkt die Wahrscheinlichkeit, dass Ihre Mitarbeiter auf Phishing-Betrug hereinfallen, der zu Datenschutzverletzungen führen kann.
• Bieten Sie Informationen über sichere Passwörter. Bringen Sie Ihren Mitarbeitern die Bedeutung von starken Passwörtern und robusten Passwortprotokollen bei. 
• Melden Sie verdächtige Aktivitäten. Bringen Sie Ihren Mitarbeitern bei, verdächtige Aktivitäten oder potenzielle Sicherheitsvorfälle unverzüglich zu melden, um eine schnellere Reaktion und Abwehr zu ermöglichen. Regelmäßige Schulungen halten die Mitarbeiter über neu auftretende Risiken und deren Erkennung auf dem Laufenden.

• Bewerten Sie regelmäßig die Sicherheitslage Ihres Unternehmens. Nutzen Sie Penetrationstests, Schwachstellen-Scans und Sicherheitsaudits, um Schwachstellen in Ihren Systemen, Anwendungen und Netzwerken zu identifizieren und zu beheben, bevor Angreifer diese ausnutzen können. Schwachstellenbewertungen tragen auch zur Identifizierung von Fehlkonfigurationen bei, welche bei Nichtbehebung zu Sicherheitsverletzungen führen können.

• Entwickeln Sie einen Plan zur Reaktion auf Sicherheitsvorfälle. Dies kann eine bedeutende Rolle bei der Eindämmung von Sicherheitsverletzungen spielen, indem ein strukturierter und proaktiver Ansatz zur Identifizierung potenzieller Cybersicherheitsvorfälle und zur Reaktion darauf bereitgestellt wird.
• Identifizieren Sie Interessengruppen und Rollen. Stellen Sie sicher, dass Sie Interessengruppen identifizieren sowie Rollen und Verantwortlichkeiten festlegen. Legen Sie eine klare Befehlskette für die Meldung und Eskalation von Vorfällen fest. Entwickeln Sie detaillierte Schritt-für-Schritt-Verfahren, um Verstöße einzudämmen und abzuwehren, und testen Sie Ihren Plan regelmäßig, um Schwachstellen zu erkennen und die Reaktion zu verbessern.
• Entwickeln Sie Strategien für die Geschäftskontinuität und Notfallwiederherstellung (BCDR, Business Continuity and Disaster Recovery). BCDR-Pläne tragen dazu bei, die Fortführung kritischer Geschäftsabläufe angesichts von Unterbrechungen wie Sicherheitsverletzungen sicherzustellen. Ein wesentliches Element der BCDR-Pläne stellen regelmäßige Datensicherungen dar, mit denen die Daten im Falle einer Datenpanne oder Beschädigung in einen früheren, unbeschädigten Zustand zurückversetzt werden können. Alle BCDR-Pläne müssen regelmäßig im Rahmen von Übungen getestet werden, um ihre Wirksamkeit zu bestätigen und es den Unternehmen zu ermöglichen, Schwachstellen zu identifizieren und Reaktionsstrategien zu verfeinern.

Künstliche Intelligenz bietet leistungsstarke neue Tools und Funktionen, die zur Erkennung und Abwehr von Sicherheitsverletzungen beitragen können. Insbesondere kann die KI-gestützte Bot-Abwehr die Widerstandsfähigkeit aufrechterhalten, unabhängig davon, wie Angreifer versuchen, die Abwehr durch dauerhafte Telemetrieerfassung, Verhaltensanalysen und wechselnde Abwehrstrategien zu umgehen. KI-Algorithmen erkennen Anomalien, die auf Verstöße hinweisen können, wie z. B. Benutzer, die zu ungewöhnlichen Zeiten oder von unbekannten Standorten auf vertrauliche Daten zugreifen, sowie Versuche, Signale zu fälschen und kompromittierte Daten aus dem Dark Web zu verwenden. 

Diese Systeme können so angepasst werden, dass sie verdächtige Aktivitäten automatisch blockieren oder kennzeichnen. Außerdem können diese Systeme einige Elemente der Pläne zur Reaktion auf Sicherheitsvorfälle automatisieren, z. B. das Einleiten vorher festgelegter Reaktionsmaßnahmen oder das Isolieren kompromittierter Systeme, um die Verbreitung von Verstößen zu minimieren. Da KI-basierte Sicherheitssysteme aus neuen Daten lernen und sich an die sich verändernden Bedrohungen anpassen, verbessert sich ihre Genauigkeit bei der Erkennung von Sicherheitsverletzungen im Laufe der Zeit und entwickelt sich weiter, um auch in dynamischen Bedrohungsumgebungen relevant zu bleiben. 

KI-Technologien können zudem große Datenmengen analysieren und anomale Muster in Echtzeit erkennen, sodass diese Systeme schneller und genauer auf Bedrohungen reagieren können als manuelle oder regelbasierte Programme zur Erkennung von Bedrohungen.

KI-gesteuerte Sicherheitslösungen bieten zwar erhebliche Vorteile für die Erkennung und Abwehr von Bedrohungen, funktionieren jedoch am besten in Verbindung mit menschlichem Fachwissen, um Warnmeldungen zu validieren und komplizierte Daten oder Eingaben zu interpretieren. KI-Sicherheitsmodelle können falsch positive und falsch negative Ergebnisse hervorbringen, welche die Wachsamkeit des menschlichen Urteilsvermögens und die Aufsicht erfordern, insbesondere bei der Reaktion auf komplexe und neuartige Bedrohungen. 

Die Federal Trade Commission (FTC) bietet Leitlinien für Maßnahmen zur Reaktion auf Vorfälle, die Unternehmen bei einer Sicherheitsverletzung in Betracht ziehen sollten. Diese Schritte sollen Unternehmen dabei unterstützen, effektiv auf Sicherheitsvorfälle zu reagieren und diese zu bewältigen. Die FTC-Leitlinien zur Behebung einer Sicherheitsverletzung enthalten unter anderem folgende Maßnahmen:

• Sichern Sie Ihre Abläufe. Reagieren Sie schnell, um Ihre Systeme zu sichern, und mobilisieren Sie umgehend Ihr Team zur Reaktion auf Sicherheitsverletzungen, um zusätzlichen Datenverlust zu verhindern. Dies kann die Isolierung betroffener Systeme, die Deaktivierung kompromittierter Konten und andere Maßnahmen zur Verhinderung eines weiteren unberechtigten Zugriffs umfassen.
• Beheben Sie Schwachstellen. Arbeiten Sie mit Ihren Forensikexperten zusammen, um die Schwachstellen zu identifizieren und zu beheben, die zu dem Verstoß geführt haben. Führen Sie Patches und Aktualisierungen für Software, Systeme und Konfigurationen durch, um zukünftige Vorfälle zu verhindern. Analysieren Sie, wer derzeit Zugriff auf das Netzwerk hat (einschließlich Service-Provider) und bestimmen Sie, ob dieser Zugriff erforderlich ist. Beschränken Sie den Zugriff, wenn dies nicht der Fall ist.
• Benachrichtigen Sie die entsprechenden Parteien. Benachrichtigen Sie die Strafverfolgungsbehörden, um die Situation und das potenzielle Risiko eines Identitätsdiebstahls zu melden. Informieren Sie je nach Art des Verstoßes betroffene Personen, Kunden oder Klienten über den Vorfall. Stellen Sie den betroffenen Personen klare, genaue und transparente Informationen darüber zur Verfügung, was passiert ist, welche Daten offengelegt wurden und welche Schritte sie unternehmen sollten, um sich selbst zu schützen.