Aktuelles, Branche - geschrieben von dp am Mittwoch, Juli 5, 2017 23:18 - noch keine Kommentare
Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen
Einige Unternehmen setzen auf scheinbare Desinteresse der Betroffenen
[datensicherheit.de, 05.07.2017] Am 22. April 2017 hätten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittiert und 117.000 Datensätze von Kunden entwendet. Diese enthielten laut dem Magazin „Motherboard“, dem die Datensätze nach eigenen Angaben vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen. AA habe den Angriff zwar schnell aufgedeckt und nach eigenen Aussagen die Schwachstelle am 25. April 2017 behoben – eine Benachrichtigung der betroffenen Kunden sei jedoch unterblieben. Erst am 26. Juni 2017 seien AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert worden, wobei dieser Vorgang laut AA aber nichts mit einem eventuellen Angriff zu tun habe. „Dieses Verhalten hat dazu geführt, dass die sensitiven Kundendaten nun über Wochen hinweg in zwielichtigen Kreisen verfügbar waren. Es ist ignorant zu behaupten, alles sei in bester Ordnung, nur weil auf diese digitalen Informationen nur ,einige Male‘ zugegriffen worden sei,“ kommentiert Ross Brewer, „Vice President & Managing Director, EMEA“ bei LogRhythm. Denn ein versierter Hacker benötige nur eine einzige Gelegenheit, um einen Schaden zu verursachen, der sich nur schwer wieder beseitigen lasse.
Gleichgültigkeit gegenüber Datenschutzverletzungen
Brewer: „Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren.“ Kleinere Datendiebstähle fänden schon fast keine Beachtung mehr.
Einige Unternehmen setzten auf dieses scheinbare Desinteresse, beschnitten ihre Kunden um das Recht, informiert zu werden, und hofften, dass „schnell Gras über die unangenehme Geschichte wächst“.
Zur Erinnerung: EU-DSGVO tritt in Kraft
An diesem Punkt sei nochmals darauf hingewiesen, dass im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) scharf geschaltet werde, welche deutlich umfangreichere Schutzmaßnahmen und Reaktionen verlange.
Unter dieser DSGVO hätte AA nicht über so lange Zeit schweigen können. „Die Angst vor den erheblichen Strafzahlungen hätte die Sorge um die Schädigung der eigenen Reputation wohl deutlich in den Hintergrund gedrängt“, so Brewer.
Netzwerkaktivitäten konsequent überwachen!
Gerade kleinere Schwachstellen könnten durchaus den Zugang zu größeren Organisationen öffnen. Brewer: „Und die sind für engagierte Cyber-Kriminelle äußerst lukrativ.“ Professionelle Hacker seien ständig auf der Suche nach neuen Wegen, um Unternehmensnetzwerke zu kompromittieren.
Daher müssten Unternehmen sicherstellen, dass sie über die notwendigen Werkzeuge verfügen, um alle Netzwerkaktivitäten konsequent zu überwachen. Denn nur dieses kontinuierliche und lückenlose Monitoring versetze IT-Teams in die Lage, zeitnah Unregelmäßigkeiten zu erkennen und auf Angriffe zu reagieren.
AA habe den Angriff erkannt, versagt habe man aber bei der Reaktion. „Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen“, warnt Brewer.
Weitere Informationen zum Thema:
MOTHERBOARD, 03.07.2017
DATA BREACHES / The AA Exposed Emails, Credit Card Data, and Didn’t Inform Customers
International Business Times, 04.07.2017
AA data leak: Over 100,000 customers‘ emails and personal information exposed after breach
datensicherheit.de, 28.05.2011
KMU: Hohes Maß an IT-Sicherheit und passender Versicherungsschutz zwingend
Aktuelles, Experten - Juli 12, 2025 10:57 - noch keine Kommentare
Stärkung der Cybersicherheit in Bund und Ländern: BSI und Baden-Württemberg kooperieren
weitere Beiträge in Experten
- Leibniz-Center for Industrial Security: CISPA fokussiert auf Zukunft der Cybersicherheit
- KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
Aktuelles, Branche, Studien - Juli 13, 2025 0:15 - noch keine Kommentare
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen
weitere Beiträge in Branche
- Check Point deckt neue Phishing-Domains von Scattered Spider auf
- Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe
- Cyberabwehr: 74 Prozent der deutschen Unternehmen setzen bereits KI ein
- Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität
- Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren