Aktuelles, Branche, Gastbeiträge - geschrieben von am Dienstag, September 11, 2018 15:24 - noch keine Kommentare

Datensicherheit hat Auswirkung auf das Vertrauen in Online-Dienste

Was ist eigentlich ein „Hack“? Gibt es einen Unterschied zwischen einem Hacking-Angriff und einer Datenschutzverletzung?

Von unserem Gastautor Emmanuel Schalit, CEO von Dashlane

[datensicherheit.de, 11.09.2018] Angesichts der Häufigkeit, mit der Hacks und Datenschutzverletzungen auftreten, verlieren Internet-Nutzer nicht nur den Überblick, sondern auch das Vertrauen in die Online-Dienste. Viele Mainstream-Medien verwenden die beiden Begriffe synonym und tragen damit nicht zur Aufklärung bei. Sicherlich haben beide auch Gemeinsamkeiten, dennoch gibt es einige wichtige Unterschiede, die jeder Internet-Nutzer kennen sollten.
Wenn es um die Sicherheit und den Schutz der eigenen Daten geht, ist es zwingend notwendig, wachsam und informiert zu sein.

Ein Hack ist ein vorsätzlicher Angriff auf ein geschütztes System

Ein Hack ist ein vorsätzlicher Angriff von einem böswilligen Akteur, der sich unautorisierten Zugriff auf ein geschütztes System (z. B. einen Computer oder Server) verschafft, um private Daten zu stehlen oder Lösegeld zu erpressen, damit das System wieder freigegeben wird.
Ein Hack wird von einem einzelnen Hacker oder einer organisierten Hacker-Gruppe durchgeführt. Die Art und Weise, wie solch ein Hacking-Angriff auf ein System erfolgt, kann variieren. Einige verwenden ausgeklügelte Hacking-Techniken, für die tiefgreifende Kenntnisse notwendig sind, um in ein System einzudringen und Abwehrmechanismen auszuschalten, während andere Hacker (auch als Script-Kiddies bezeichnete) ihre Angriffe über Softwareprogramme durchführen. Es ist wichtig zu beachten, dass nicht alle Hacker Verbrecher sind.
Im Gegenteil: Jedes Top-Sicherheits- und Technologie-Unternehmen (auch Dashlane!) beschäftigt sogenannte White Hat Hacker (das Gegenteil von den illegalen Black Hat Hackern), die kontinuierlich die implementierten Systeme des Unternehmens testen und Schwachstellen aufdecken. Die Unternehmen können solche ermittelten Sicherheitslücken dann schließen und ihre Sicherheitsmaßnahmen optimieren.
Wird in den Medien von einem Hack eines Unternehmens berichtet, handelt es sich allerdings immer um schlechte Neuigkeiten. Es bedeutet jedoch nicht, dass es für jeden Internet-Nutzer persönlich negative Konsequenzen hat. Denn ein Hack hat nicht automatisch zur Folge, dass private Daten gefährdet sind.

Beispiele für Hacking-Angriffe

Bereits die Übernahme eines Social-Media-Kontos kann als ein Hacking-Angriff eingestuft werden. So wurde zum Beispiel vor Kurzem das YouTube-Konto von Vevo gehackt und die Hacker haben dabei das am häufigsten angeklickte YouTube-Video aller Zeiten gelöscht: „Despacito“ von Luis Fonsi, das über fünf Milliarden Aufrufe auf dem Kanal von Vevo hatte (es wurde inzwischen erneut hochgeladen. Bei diesem Hacking-Angriff waren keine Kundendaten bei YouTube oder Vevo gefährdet, dafür erlitt allerdings Vevo einen Imageverlust.
Andererseits gibt es aber auch Hacks, die außerordentlich viel Schaden anrichten, wie z. B. der Hack von Equifax. Infolgedessen wurde nicht nur der Ruf des Finanzdienstleisters irreparabel geschädigt, sondern es waren auch streng vertrauliche Informationen von mehr als 143 Millionen Amerikanern gefährdet.
Hinter vielen Hacks stecken finanzielle Motive, so wie bei dem Hack auf die Exchange Mt Gox, bei dem sich während des Angriffs 740.000 Bitcoins in Luft aufgelöst haben. Das Unternehmen, das zum damaligen Zeitpunkt mehr als 70 Prozent aller Bitcoin-Transaktionen weltweit abwickelte, ging noch im selben Jahr Pleite.

Datenschutzverletzung – Unbefugter Einblick in Daten

Eine Datenschutzverletzung tritt auf, wenn unbefugte Personen Einblick in Daten erhalten, die unbeabsichtigt in einer nicht geschützten Umgebung aufbewahrt werden. Während Hacks das Ergebnis proaktiven, illegalen Verhaltens sind, geschehen Datenschutzverletzungen häufig durch Fahrlässigkeit, menschliche Fehler oder anderes unabsichtliches Fehlverhalten, dessen Resultat eine Sicherheitslücke darstellt.
Das Wort „Verletzung“ wird häufig für eine Reihe verschiedener Gefährdungen im Bereich der Cybersicherheit verwendet, darunter auch für Hacks.

Unterschiede und Gemeinsamkeiten

Im oben aufgeführten Beispiel des YouTube-Kontos von Vevo hatte der Hack keine Datenschutzverletzung zur Folge. Die Hacker sind einfach böswillig in ein System eingedrungen und haben Onlineinhalte gelöscht. Sie haben keine Unternehmens- oder Kundendaten offengelegt. Deshalb handelt es sich hierbei nicht um eine Datenschutzverletzung.
Im Fall von Equifax hingegen hatte der Hack eine Datenschutzverletzung zur Folge. Die Hacker hatten Zugriff auf die personenbezogenen Daten von mehr als 143 Millionen Menschen, die ihnen niemals hätten zur Verfügung stehen dürfen. Die Daten waren aufgrund einer Fahrlässigkeit unabsichtlich gefährdet – Equifax versäumte es, eine Sicherheitslücke in seiner Software zu beseitigen. Salz in die Wunde streute der Sicherheitsforscher Brian Krebs, der aufdeckte, dass das Unternehmen für einige seiner Online-Portale die Kombination „admin/admin“ für Benutzername und Passwort verwendete. Die Ursache(n) für diese Datenverletzungen sind zwar weiterhin ungeklärt, doch es liegt auf der Hand, dass der fahrlässige Umgang mit Passwörtern seitens von
Equifax die personenbezogenen Informationen von Millionen Menschen weltweit in Gefahr gebracht hat.
Ein weniger gravierendes Beispiel eines Hacking-Angriffs, der zu einer Datenschutzverletzung führte, ist die Datenschutzverletzung von Under Armour und MyFitnessPal. In diesem Fall wurden die Benutzernamen, E-Mail-Adressen und verschlüsselten Passwörter von über 150 Millionen Nutzern ausgespäht.
Es gibt auch Fälle, in denen Daten einer Datenschutzverletzung ausgesetzt sein können, weil sie online offengelegt werden, ohne dass dies die Folge eines Hacking-Angriffs ist. Ein relevantes Beispiel dafür ist die Datenschutzverletzung von Facebook und Cambridge Analytica. Obwohl die Daten von 87 Millionen Benutzern über Facebook an Cambridge Analytica weitergegeben wurden, erfolgte der Zugriff auf diese Daten durch Cambridge Analytica nicht in Form eines bösartigen Angriffs. Das Unternehmen konnte diese Daten vielmehr über eine Lücke in der Facebook-API erfassen (nicht über einen Hack).

Nicht alle Hacks resultieren in Datenschutzverletzungen – und nicht alle Datenschutzverletzungen sind das Ergebnis eines Hacking-Angriffs. Es gibt wichtige Unterschiede zwischen den beiden Begriffen.
Unternehmen setzen Kundendaten aufs Spiel. Passwort-Wiederverwendung und Passwort- Sharing sind zwei große Probleme. Wenn ein Unternehmen ein Passwort für mehrere Online-Konten verwendet, wird das Eindringen in die Systeme dem Hacker sehr leicht gemacht. Um das Problem besser zu verstehen, kann man an die physische Sicherheit denken. Für Auto, Büro und die eigene Wohnung verwendet niemand den gleichen Schlüssel, sonst könnte der Täter auf alles zugreifen. Alle Objekte werden durch einen individuellen Schlüssel geschützt. Das gleiche gilt für Passwörter. Unternehmen und jeder Internet-Nutzer privat benötigt einzigartige und starke Passwörter für alle Konten sowie eine Identitäts-Management-Software, die Nutzung zu überwachen und alle Anomalien zu erkennen, die sowohl interne als auch externe Sicherheitsbedrohungen sein können.
Je besser Internet-Nutzer diese Unterschiede kennen und letztendlich wissen, wie solche Cybersicherheitslücken auftreten, desto höher ist die Chance, in solchen Situationen angemessen zu reagieren und sich selbst sowie die sensiblen personenbezogenen oder finanziellen Daten vor bösartigen Angreifern – oder einfacher Fahrlässigkeit – zu schützen!

Weitere Informationen zum Thema:

Dashlane
Bessere Passwortverwaltung

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

datensicherheit.de, 07.09.2018
Hackerattacke auf British Airways: Schnelles Handeln essentiell

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung