Aktuelles, Branche - geschrieben von dp am Mittwoch, Juli 5, 2017 23:18 - noch keine Kommentare
Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen
Einige Unternehmen setzen auf scheinbare Desinteresse der Betroffenen
[datensicherheit.de, 05.07.2017] Am 22. April 2017 hätten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittiert und 117.000 Datensätze von Kunden entwendet. Diese enthielten laut dem Magazin „Motherboard“, dem die Datensätze nach eigenen Angaben vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen. AA habe den Angriff zwar schnell aufgedeckt und nach eigenen Aussagen die Schwachstelle am 25. April 2017 behoben – eine Benachrichtigung der betroffenen Kunden sei jedoch unterblieben. Erst am 26. Juni 2017 seien AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert worden, wobei dieser Vorgang laut AA aber nichts mit einem eventuellen Angriff zu tun habe. „Dieses Verhalten hat dazu geführt, dass die sensitiven Kundendaten nun über Wochen hinweg in zwielichtigen Kreisen verfügbar waren. Es ist ignorant zu behaupten, alles sei in bester Ordnung, nur weil auf diese digitalen Informationen nur ,einige Male‘ zugegriffen worden sei,“ kommentiert Ross Brewer, „Vice President & Managing Director, EMEA“ bei LogRhythm. Denn ein versierter Hacker benötige nur eine einzige Gelegenheit, um einen Schaden zu verursachen, der sich nur schwer wieder beseitigen lasse.
Gleichgültigkeit gegenüber Datenschutzverletzungen
Brewer: „Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren.“ Kleinere Datendiebstähle fänden schon fast keine Beachtung mehr.
Einige Unternehmen setzten auf dieses scheinbare Desinteresse, beschnitten ihre Kunden um das Recht, informiert zu werden, und hofften, dass „schnell Gras über die unangenehme Geschichte wächst“.
Zur Erinnerung: EU-DSGVO tritt in Kraft
An diesem Punkt sei nochmals darauf hingewiesen, dass im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) scharf geschaltet werde, welche deutlich umfangreichere Schutzmaßnahmen und Reaktionen verlange.
Unter dieser DSGVO hätte AA nicht über so lange Zeit schweigen können. „Die Angst vor den erheblichen Strafzahlungen hätte die Sorge um die Schädigung der eigenen Reputation wohl deutlich in den Hintergrund gedrängt“, so Brewer.
Netzwerkaktivitäten konsequent überwachen!
Gerade kleinere Schwachstellen könnten durchaus den Zugang zu größeren Organisationen öffnen. Brewer: „Und die sind für engagierte Cyber-Kriminelle äußerst lukrativ.“ Professionelle Hacker seien ständig auf der Suche nach neuen Wegen, um Unternehmensnetzwerke zu kompromittieren.
Daher müssten Unternehmen sicherstellen, dass sie über die notwendigen Werkzeuge verfügen, um alle Netzwerkaktivitäten konsequent zu überwachen. Denn nur dieses kontinuierliche und lückenlose Monitoring versetze IT-Teams in die Lage, zeitnah Unregelmäßigkeiten zu erkennen und auf Angriffe zu reagieren.
AA habe den Angriff erkannt, versagt habe man aber bei der Reaktion. „Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen“, warnt Brewer.
Weitere Informationen zum Thema:
MOTHERBOARD, 03.07.2017
DATA BREACHES / The AA Exposed Emails, Credit Card Data, and Didn’t Inform Customers
International Business Times, 04.07.2017
AA data leak: Over 100,000 customers‘ emails and personal information exposed after breach
datensicherheit.de, 28.05.2011
KMU: Hohes Maß an IT-Sicherheit und passender Versicherungsschutz zwingend
Aktuelles, Experten, Studien - Jan 26, 2023 20:11 - noch keine Kommentare
Statt häufiger Passwortwechsel: eco empfiehlt starke Passwörter
weitere Beiträge in Experten
- Sanktionsmöglichkeiten: HmbBfDI bekommt erweiterte Kompetenzen
- Annual Human Factor in Cybercrime Conference vom 10. bis 12. September 2023
- Cyberagentur: Fester Sitz in Halle (Saale) und künftig Projektbüro im Großraum Dresden
- Bitkom-VATM-Checkliste: Bestmögliches Surfen im Internet
- Gesundheitswesen: IT-Sicherheit muss verbessert werden
Aktuelles, Branche - Jan 27, 2023 18:37 - noch keine Kommentare
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen
weitere Beiträge in Branche
- Harmony-Hack: FBI hat Lazarus im Verdacht
- PayPal-Vorfall als Warnung für die Cybersecurity-Welt
- OZG: Drei gute Gründe für eine Neuauflage
- Ein Drittel der deutschen Angestellten gefährdet IT-Sicherheit des Unternehmens
- Unternehmen im Visier: Angriffe auf KRITIS nehmen zu
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren