Aktuelles, Branche - geschrieben von dp am Freitag, September 25, 2020 21:57 - noch keine Kommentare
Datenleck bei Shopify: Konsequenzen für Unternehmen aus diesem Vorfall
Jürgen Venhorst rät zur Datenleck-Früherkennung durch Monitoring
[datensicherheit.de, 25.09.2020] Jürgen Venhorst, „Country Manager DACH“ bei Netwrix, geht in seiner aktuellen Stellungnahme auf ein Datenleck bei Shopify ein. Laut Medienberichten soll Shopify, ein kanadischer Anbieter von E-Commerce-Software, Opfer eines Datenlecks geworden sein. „Im Zuge dessen wurden Kundendaten von gut 200 Shops abgeführt, die die Software nutzen.“ Vorfälle wie der aktuelle würden auch in Zukunft mit Sicherheit nicht weniger, doch mit der richtigen Monitoring-Lösung sei das Risiko eines Datenlecks mit allen verbundenen Folgen stark verringert, betont Venhorst.
Jürgen Venhorst: Zugang zu Kundendaten für Verdächtige zu spät gesperrt
Datenleck diesmal ohne Kompromittierung von außerhalb…
Anders als bei vielen ähnlichen Vorfällen, habe dem Datenleck diesmal keine Kompromittierung von außerhalb durch eine Software-Schwachstelle oder einen Phishing-Angriff zu Grunde gelegen.
Laut Stellungnahme von Shopify seien es zwei „abtrünnige“ Mitarbeiter gewesen, welche die Daten abgegriffen hätten, darunter Namen, postalische und E-Mail-Adressen. Zu welchem Zweck sei derzeit unbekannt. „Auch der Zeitraum, in dem die Daten abgeflossen sind, ist nicht gewiss.“
Datenleck-Folgen für Unternehmen gravierend bis geschäftsgefährdend
Vorfälle wie diese passierten immer wieder und würden mit Sicherheit auch in Zukunft geschehen, so Venhorst. „Sei es ein Mitarbeiter, der sich mit dem Verkauf gestohlener Daten selbst bereichern will oder einer, der sich ungerecht behandelt fühlt und seiner Firma größtmöglichen Schaden zufügen möchte.“
Die Folgen für das Unternehmen könnten gravierend bis geschäftsgefährdend sein und reichten von Schadensersatzforderungen von Kunden über Reputationsverlust und damit zurückgehenden Umsätzen bis hin zu Bußgeldverfahren aufgrund der Missachtung von Datenschutzbestimmungen. Nicht zuletzt die DSGVO sei der Grund dafür, dass Verstöße gegen den Datenschutz hart bestraft würden. Die Vergangenheit habe gezeigt: Vergehen würden zur Anklage gebracht und geahndet.
Datenleck: Prävention durch Monitoring verdächtiger Aktivitäten
Bei Shopify sei den beiden Mitarbeitern der Zugang zu Kundendaten gesperrt worden – allerdings erst im Nachhinein, als sie schon viele Daten abgezweigt hätten. Um Vorfällen wie dem bei Shopify vorzubeugen und solche Datenlecks zu vermeiden, reiche es oftmals schon aus, abnormales Nutzerverhalten im Netzwerk zu überwachen und dann gegebenenfalls einzugreifen.
„Unternehmen sollten sich in diesem Kontext mit Lösungen auseinandersetzen, die Nutzerverhalten auf verdächtige Aktivitäten hin monitoren“, rät Venhorst. Darunter falle etwa die Reaktivierung eines vormals stillgelegten Accounts, was auf eine Kompromittierung von außen hinweise. Häufige Login-Versuche deuteten genauso auf einen potenziellen Hack hin wie häufige Passwort-Resets. „Auch ein Nutzer, der versucht auf vertrauliche Daten zuzugreifen oder – wie im aktuellen Fall – im großen Stil Daten herunterlädt, verschiebt oder löscht, wird mit Hilfe einer solchen Lösung als potenzielle Gefahr für die Datenintegrität markiert und dem IT-Verantwortlichen per Alert gemeldet.“ Dieser könne den Vorfall dann genauer evaluieren und im Falle einer Kompromittierung die Berechtigungen des Nutzers entziehen oder das Account komplett deaktivieren.
Weitere Informationen zum Thema:
datensicherheit.de, 13.06.2020
Netwrix: Fünf Cyber-Sicherheitstrends, die es auch nach 2020 zu beobachten gilt
Aktuelles, Experten - Sep. 18, 2025 16:23 - noch keine Kommentare
Automatisierte Datenanalysen durch Polizeibehörden: DSK-Forderung nach Verfassungskonformität
weitere Beiträge in Experten
- Zehn Jahre Datenschutz im Wandel: Prof. Dr. Dieter Kugelmann lädt zu Wissenschaftlichem Symposium am 10. Oktober 2025 ein
- Open Source: Drei von vier Unternehmen in Deutschland bereits Nutzer
- Warnung zum Semesterstart: Verbraucherzentrale Hamburg kritisiert überteuerte Nachsendedienste
- Data Act: Geltung verschafft Nutzern von IoT-Systemen mehr Rechte
- Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen
Aktuelles, Branche, Studien - Sep. 18, 2025 16:05 - noch keine Kommentare
Lieferantenmanagement im Mittelstand: Web-Seminar zur gesetzlich geforderten IT-Sicherheit nach NIS-2 & Co.
weitere Beiträge in Branche
- Datenstrategie: Deutsche Führungskräfte sehen Mangel als Gefahr für KI-Erfolg
- Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer
- GhostRedirector missbraucht Google: ESET entdeckte Manipulation von Suchergebnissen
- CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing
- Human Risk Management: KnowBe4-Whitepaper verfolgt ganzheitlichen Ansatz
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren