Aktuelles, Branche - geschrieben von dp am Mittwoch, Juli 5, 2017 23:18 - noch keine Kommentare
Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen
Einige Unternehmen setzen auf scheinbare Desinteresse der Betroffenen
[datensicherheit.de, 05.07.2017] Am 22. April 2017 hätten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittiert und 117.000 Datensätze von Kunden entwendet. Diese enthielten laut dem Magazin „Motherboard“, dem die Datensätze nach eigenen Angaben vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen. AA habe den Angriff zwar schnell aufgedeckt und nach eigenen Aussagen die Schwachstelle am 25. April 2017 behoben – eine Benachrichtigung der betroffenen Kunden sei jedoch unterblieben. Erst am 26. Juni 2017 seien AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert worden, wobei dieser Vorgang laut AA aber nichts mit einem eventuellen Angriff zu tun habe. „Dieses Verhalten hat dazu geführt, dass die sensitiven Kundendaten nun über Wochen hinweg in zwielichtigen Kreisen verfügbar waren. Es ist ignorant zu behaupten, alles sei in bester Ordnung, nur weil auf diese digitalen Informationen nur ,einige Male‘ zugegriffen worden sei,“ kommentiert Ross Brewer, „Vice President & Managing Director, EMEA“ bei LogRhythm. Denn ein versierter Hacker benötige nur eine einzige Gelegenheit, um einen Schaden zu verursachen, der sich nur schwer wieder beseitigen lasse.
Gleichgültigkeit gegenüber Datenschutzverletzungen
Brewer: „Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren.“ Kleinere Datendiebstähle fänden schon fast keine Beachtung mehr.
Einige Unternehmen setzten auf dieses scheinbare Desinteresse, beschnitten ihre Kunden um das Recht, informiert zu werden, und hofften, dass „schnell Gras über die unangenehme Geschichte wächst“.
Zur Erinnerung: EU-DSGVO tritt in Kraft
An diesem Punkt sei nochmals darauf hingewiesen, dass im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) scharf geschaltet werde, welche deutlich umfangreichere Schutzmaßnahmen und Reaktionen verlange.
Unter dieser DSGVO hätte AA nicht über so lange Zeit schweigen können. „Die Angst vor den erheblichen Strafzahlungen hätte die Sorge um die Schädigung der eigenen Reputation wohl deutlich in den Hintergrund gedrängt“, so Brewer.
Netzwerkaktivitäten konsequent überwachen!
Gerade kleinere Schwachstellen könnten durchaus den Zugang zu größeren Organisationen öffnen. Brewer: „Und die sind für engagierte Cyber-Kriminelle äußerst lukrativ.“ Professionelle Hacker seien ständig auf der Suche nach neuen Wegen, um Unternehmensnetzwerke zu kompromittieren.
Daher müssten Unternehmen sicherstellen, dass sie über die notwendigen Werkzeuge verfügen, um alle Netzwerkaktivitäten konsequent zu überwachen. Denn nur dieses kontinuierliche und lückenlose Monitoring versetze IT-Teams in die Lage, zeitnah Unregelmäßigkeiten zu erkennen und auf Angriffe zu reagieren.
AA habe den Angriff erkannt, versagt habe man aber bei der Reaktion. „Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen“, warnt Brewer.
Weitere Informationen zum Thema:
MOTHERBOARD, 03.07.2017
DATA BREACHES / The AA Exposed Emails, Credit Card Data, and Didn’t Inform Customers
International Business Times, 04.07.2017
AA data leak: Over 100,000 customers‘ emails and personal information exposed after breach
datensicherheit.de, 28.05.2011
KMU: Hohes Maß an IT-Sicherheit und passender Versicherungsschutz zwingend
Theiners Talk
Das europäsiche Cybersecurity-CenterKooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Malware macht mobil: Zunehmend Schadsoftware auf Smartphones
- Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
- Warum eine umfassende IT-Sicherheitsarchitektur wichtig wird
- Schrems II als Dilemma für KMU
- Clubhouse: Audio-Chat-App mit Datenschutzmängeln
- TikTok: Erneut Schwachstelle entdeckt
- Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz
- Rheinland-Pfalz: Web-FAQ zum Datenschutz in der Schule
- Auch Digitalcourage warnt vor Kfz-Kennzeichenerfassung
- Digitaler Unterricht: Maja Smoltczyk fordert Behebung von Missständen
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020
- SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht
Branche, Gastbeiträge - Jan 26, 2021 21:25 - noch keine Kommentare
Warum eine umfassende IT-Sicherheitsarchitektur wichtig wird
weitere Beiträge in Experten
- Schrems II als Dilemma für KMU
- Clubhouse: Audio-Chat-App mit Datenschutzmängeln
- Perso-Fingerabdruck-Pflicht: Bürgerrechtler kritisieren mangelhafte Transparenz
- Rheinland-Pfalz: Web-FAQ zum Datenschutz in der Schule
- Auch Digitalcourage warnt vor Kfz-Kennzeichenerfassung
Branche, Gastbeiträge - Jan 26, 2021 21:25 - noch keine Kommentare
Warum eine umfassende IT-Sicherheitsarchitektur wichtig wird
weitere Beiträge in Branche
- TikTok: Erneut Schwachstelle entdeckt
- Lessons learned – Lehren aus dem Solarwinds-Hack
- Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020
- SAP Solution Manager: Schwere Sicherheitsschwachstelle aufgetaucht
- Dridex: Warnung vor aktueller Malware-Welle
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren