Ein Datenleck könnte schlimme Folge für Ihr Markenimage haben – und für Ihren Umsatz. Werfen wir einen Blick auf die häufigsten Arten von Datenlecks, und welche Auswirkungen sie auf den Geschäftsbetrieb haben.
In den vergangenen Jahren haben wir Hunderte von Angriffen gesehen, bei denen die Privatsphäre von Millionen von Benutzern verletzt wurde. Manche betrafen Universitäten und die Daten ihrer Studenten, andere die Informationen in Krankenhäusern. Die Liste der Beispiele könnte endlos fortgesetzt werden.
Arten von Datenlecks
Gestohlene Informationen
Ransomware
Geknackte Passwörter
Aufgezeichnete Tastenanschläge
Phishing
Malware oder Viren
Distributed Denial of Service (DDoS)
Die meisten Unternehmen sind nicht vor Datenlecks gefeit, selbst wenn ihre Software so abgesichert ist wie Fort Knox. Selbst die größten Namen in der Branche, von Verizon über den NHS (der britische nationale Gesundheitsdienst) bis hin zu Yahoo, waren von der Offenlegung von Benutzerdaten betroffen. Durch Einhaltung gesetzlicher Vorschriften versucht man, die Privatsphäre und Daten der Benutzer zu schützen, aber Regierungen können Schwierigkeiten haben, mit den schnellen Veränderungen in der Technologie und der Cyberkriminalität Schritt zu halten.
Vor welchen Arten von Datenlecks sollten Sie also auf der Hut sein? Lesen Sie weiter, um die sieben häufigsten Arten kennenzulernen und welche Folgen sie für Ihr Unternehmen haben können.
Es mag lächerlich klingen, doch Menschen können Fehler machen, und häufig tun sie das auch. Und zwar Fehler, die ihr Unternehmen Hunderttausende, wenn nicht Millionen von Dollar kosten können.
Sogar bei Apple ist es zu Datenlecks gekommen, unter anderem als ein unvorsichtiger Mitarbeiter den Prototyp eines neuen iPhones herumliegen ließ. Innerhalb weniger Stunden waren die technischen Daten und die Hardware des noch unveröffentlichten Geräts im ganzen Internet zu finden.
Es passiert unglaublich oft, dass Mitarbeitern ein Laptop, ein Handy oder eine Akte gestohlen wird, weil sie zu sorglos damit umgehen. Und dadurch könnten nicht nur neue Prototypen ans Licht gelangen, von denen niemand erfahren soll, sondern auch Kunden- oder Patienteninformationen.
Ransomware ist technisch gesehen eine Unterart von Malware, aber es lohnt sich, sie gesondert zu erwähnen.
Bei einem Ransomware-Angriff erhalten Sie plötzlich eine Meldung, dass alle Daten auf Ihrem Telefon oder Computer ab sofort verschlüsselt sind und Sie keinen Zugriff mehr darauf haben. Außerdem teilen Ihnen die Täter mit, dass sie die Daten zurückgeben und nicht veröffentlichen werden, wenn Sie ein Lösegeld zahlen. Dessen Höhe kann von einem geringen Betrag bis zu Hunderttausenden von Dollar reichen. Das Problem dabei ist, dass Sie es mit einem offensichtlichen Kriminellen zu tun haben und die Zahlung des Lösegelds keine Garantie ist, dass Sie Ihre Daten tatsächlich zurückbekommen oder sie später nicht doch noch veröffentlicht werden.
Viele Unternehmen beauftragen Anbieter von Risikomanagementlösungen, um die Offenlegung oder Löschung wichtiger oder kompromittierender Materialien zu vermeiden.
Ein weiteres sehr simples Problem mit verheerenden Auswirkungen ist der Diebstahl von Passwörtern. Es passiert öfter als man denkt. Einige Unternehmen hinterlassen Computerpasswörter auf Haftnotizen, sodass sie für jeden sichtbar sind und unbefugte Mitarbeiter auf die Dateien zugreifen könnten.
Viele Hacks geschehen auch, weil ein Passwort zu einfach oder leicht zu erraten ist. Dies wird Brute-Force-Angriff genannt und ist eine sehr verbreitete Methode unter Hackern. Menschen verwenden oft Passwörter wie den Straßennamen ihrer Anschrift, den Namen ihres Haustiers oder ihren Geburtstag, was das Hacken ihrer Konten zu einem leichten Spiel macht.
Es versteht sich von selbst, dass jemand, der Ihr Passwort kennt, Ihre Dateien abrufen und alle Arten von vertraulichen Informationen über Ihr Unternehmen finden kann, nach denen er sucht.
Cyberkriminelle können Malware namens Keylogger installieren oder per E-Mail an Sie senden, die alles aufzeichnet, was Sie auf Ihrem Computer eingeben. Die Informationen werden an die Hacker gesendet und für den Zugriff auf sensible Daten verwendet. Dies kann sowohl an Ihrem Arbeitsplatz als auch auf Ihrem privaten PC geschehen.
Keylogger-Software zeichnet alles auf, was Sie tippen – unabhängig davon, ob die Zeichen auf dem Bildschirm zu sehen sind oder nicht. Auf diese Weise gelangen Täter leicht an Passwörter, Kreditkartennummern und sensible Informationen, die Sie vielleicht in eine Datenbank eingeben, wie Namen, Gesundheitsdaten oder alles mögliche andere.
Dies kann schnell Schaden für Ihr Unternehmen bedeuten, da Ihre Passwörter sowie geschäftliche Kreditkarteninformationen in den Händen der Kriminellen sind. Sie werden nicht lange warten, um anhand dieser Daten weitere sensible Informationen zu suchen und möglicherweise offenzulegen.
Phishing-Angriffe werden von Hackern ausgeführt, die Fake-Websites erstellen, welche unglaublich echt aussehen. Ein Beispiel ist eine Website, die PayPal nachahmt, und wo Sie aufgefordert werden, sich für eine notwendige Änderung an Ihrem Konto anzumelden. Wenn Sie dies tun und den Betrug nicht merken, wird der Hacker vermutlich Ihr Passwort stehlen.
Diese Masche ist weit verbreitet an Universitäten. Studenten erhalten oft E-Mails von Absendern, die sich als Hochschule ausgeben und sie auffordern, ihre Anmeldedaten zu bestätigen. Auf diese Weise gelangt der Hacker an die Anmeldedaten und kann damit alles tun, was er will. Es wurden auch Phishing-Angriffe beobachtet, die speziell auf Microsoft 365-Anwendungen abzielen, insbesondere auf Exchange Online.
Auch hier kann Phishing die Sicherheit sensibler Informationen, die Sie oder Ihr Unternehmen besitzen, gefährden.
Kriminelle senden Malware oder Viren mit dem Ziel, alle Daten auf dem Computer ihrer Opfer zu löschen. Dies richtet in jedem Unternehmen Schaden an, insbesondere in denjenigen, die Daten für ihre tägliche Arbeit dringend brauchen. Wenn beispielsweise ein Malware-Virus in das System eines Krankenhauses gelangt, kann er die Daten von Tausenden von Patienten löschen. Die Konsequenzen können sehr ernst sein und beispielsweise eine Behandlung verzögern oder sogar den Tod einiger Patienten bedeuten.
Um diese Art von Viren zu vermeiden, sollten Sie nie auf etwas klicken, von dem Sie nicht wissen, woher es stammt. Einige Unternehmen, die E-Mails von ihren Kunden oder potenziellen Kunden erhalten, bitten diese, keine Anhänge zu senden, sondern alles Wichtige im E-Mail-Text einzufügen. Dadurch können die Mitarbeiter gar nicht erst versehentlich auf etwas klicken, das eventuell einen ganzen Server löschen könnte.
Dieser Angriff richtet sich in der Regel nur an größere Unternehmen und ist oft eine Form des Protests. Wenn zum Beispiel Selbstjustizaktivisten wie Anonymous entscheiden, dass ihnen die Arbeitsweise eines Pharmaunternehmens nicht gefällt, und sie das Gefühl haben, dass es Patienten ausnutzt, könnten sie einen Denial-of-Service-Angriff starten.
Ein verteilter Denial-of-Service-Angriff liegt vor, wenn der Angriff von mehreren Quellen gleichzeitig gestartet wird. Dadurch wird es den Mitarbeitern unmöglich, sich beim System anzumelden. Wenn Websites aufgrund des gewaltigen Datenverkehrs durch den Angriff nicht mehr erreichbar sind, können Kunden nicht auf die Dienste des Unternehmens zugreifen. Obwohl nicht unbedingt Daten verloren gehen, muss sich das Unternehmen um den Vorfall kümmern und kann in der Zwischenzeit keine Geschäfte tätigen.
Diese Art von Angriff passiert Einzelpersonen nicht oft, da er eine große Menge an Ressourcen und ein sehr koordiniertes Vorgehen erfordert.
Es gibt keine absolut sichere Methode, um Ihr Unternehmen vor den oben beschriebenen Arten von Datenlecks zu schützen. Sie können sich selbst und Ihre Mitarbeiter über die Folgen von Kompromittierungen informieren und über die Wahrscheinlichkeit, dass jemand in Ihr System eindringt.
Sie können auch durchsetzen, dass die Mitarbeiter ihre Passwörter regelmäßig ändern, indem Sie Timeouts und Timer für Passwörter festlegen. Erinnern Sie sie außerdem daran, sensible Informationen, die sie aus dem Büro mitnehmen, so sicher wie möglich aufzubewahren.
Wenn Sie mehr über den Schutz von SaaS-Anwendungsdaten erfahren möchten und dazu, wie Veritas vor Schäden durch diese Art von Angriffen schützen kann, werfen Sie einen Blick auf unsere Datenschutzlösungen.
Kontaktieren Sie uns, wenn Sie mehr über unsere Ransomware-Lösungen erfahren möchten und wie wir Ihr Unternehmen vor solchen Angriffen schützen können.