Aktuelles, Branche - geschrieben von dp am Mittwoch, Juli 5, 2017 23:18 - noch keine Kommentare
Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen
Einige Unternehmen setzen auf scheinbare Desinteresse der Betroffenen
[datensicherheit.de, 05.07.2017] Am 22. April 2017 hätten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittiert und 117.000 Datensätze von Kunden entwendet. Diese enthielten laut dem Magazin „Motherboard“, dem die Datensätze nach eigenen Angaben vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen. AA habe den Angriff zwar schnell aufgedeckt und nach eigenen Aussagen die Schwachstelle am 25. April 2017 behoben – eine Benachrichtigung der betroffenen Kunden sei jedoch unterblieben. Erst am 26. Juni 2017 seien AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert worden, wobei dieser Vorgang laut AA aber nichts mit einem eventuellen Angriff zu tun habe. „Dieses Verhalten hat dazu geführt, dass die sensitiven Kundendaten nun über Wochen hinweg in zwielichtigen Kreisen verfügbar waren. Es ist ignorant zu behaupten, alles sei in bester Ordnung, nur weil auf diese digitalen Informationen nur ,einige Male‘ zugegriffen worden sei,“ kommentiert Ross Brewer, „Vice President & Managing Director, EMEA“ bei LogRhythm. Denn ein versierter Hacker benötige nur eine einzige Gelegenheit, um einen Schaden zu verursachen, der sich nur schwer wieder beseitigen lasse.
Gleichgültigkeit gegenüber Datenschutzverletzungen
Brewer: „Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren.“ Kleinere Datendiebstähle fänden schon fast keine Beachtung mehr.
Einige Unternehmen setzten auf dieses scheinbare Desinteresse, beschnitten ihre Kunden um das Recht, informiert zu werden, und hofften, dass „schnell Gras über die unangenehme Geschichte wächst“.
Zur Erinnerung: EU-DSGVO tritt in Kraft
An diesem Punkt sei nochmals darauf hingewiesen, dass im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) scharf geschaltet werde, welche deutlich umfangreichere Schutzmaßnahmen und Reaktionen verlange.
Unter dieser DSGVO hätte AA nicht über so lange Zeit schweigen können. „Die Angst vor den erheblichen Strafzahlungen hätte die Sorge um die Schädigung der eigenen Reputation wohl deutlich in den Hintergrund gedrängt“, so Brewer.
Netzwerkaktivitäten konsequent überwachen!
Gerade kleinere Schwachstellen könnten durchaus den Zugang zu größeren Organisationen öffnen. Brewer: „Und die sind für engagierte Cyber-Kriminelle äußerst lukrativ.“ Professionelle Hacker seien ständig auf der Suche nach neuen Wegen, um Unternehmensnetzwerke zu kompromittieren.
Daher müssten Unternehmen sicherstellen, dass sie über die notwendigen Werkzeuge verfügen, um alle Netzwerkaktivitäten konsequent zu überwachen. Denn nur dieses kontinuierliche und lückenlose Monitoring versetze IT-Teams in die Lage, zeitnah Unregelmäßigkeiten zu erkennen und auf Angriffe zu reagieren.
AA habe den Angriff erkannt, versagt habe man aber bei der Reaktion. „Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen“, warnt Brewer.
Weitere Informationen zum Thema:
MOTHERBOARD, 03.07.2017
DATA BREACHES / The AA Exposed Emails, Credit Card Data, and Didn’t Inform Customers
International Business Times, 04.07.2017
AA data leak: Over 100,000 customers‘ emails and personal information exposed after breach
datensicherheit.de, 28.05.2011
KMU: Hohes Maß an IT-Sicherheit und passender Versicherungsschutz zwingend
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren