Kein Einzelfall: US-Börsenaufsicht gibt Informationsdiebstahl durch Hacker zu

Vertrauliche Informationen, die für den Insiderhandel genutzt werden können, gingen verloren

Von unserem Gastautor Armin Simon, Regional Director DACH bei Gemalto

[datensicherheit.de, 02.10.2017] Vor wenigen Tagen musste die US-Börsenaufsicht SEC [1] eingestehen, dass sie 2016 Opfer einer Cyberattacke wurde. Dabei gingen vertrauliche Informationen, die für den Insiderhandel genutzt werden können, verloren. Angeblich hatte die Behörde das volle Ausmaß erst im letzten August erkannt.

Spätestens seit dem Angriff auf den Bundestag im Jahr 2015 wissen IT-Verantwortliche, dass sich die Gefahrenlage geändert hat. Durch Zero-Day-Schwachstellen und ausgeklügelte Malware ist es nur eine Frage der Zeit, bis Sicherheitsmechanismen umgangen und Netzwerke kompromittiert werden können. Cybercrime hat sich zu einem organisierten Geschäftsfeld entwickelt und mit Malware-as-a-Service-Angeboten braucht es kein technisches Know-how mehr, um Attacken zu starten.

In der Praxis geschieht zu wenig

Trotzdem geschieht in der Praxis zu wenig und SEC ist nur eines der Beispiele für Fahrlässigkeit und mangelnde Vorbereitung. Als wichtigste Aufsichtsbehörde steht man natürlich im Fadenkreuz, trotzdem war man nicht in der Lage die Daten richtig zu schützen oder den Sicherheitseinbruch umgehend zu erkennen. Zudem kann die SEC keine Angaben über die betroffenen Datensätze machen. Leider wird schnell klar, dass es in den meisten Unternehmen ähnlich aussieht und interne Prozesse nicht an die Bedrohungslage angepasst worden sind.

Eigentlich sollte man aus Fehlern lernen

Die schlechte Informationslage und die verspätete Erkenntnis sind exemplarisch für die mangelhafte Sicherung von Informationen. Eine Analyse aller bekannten Datenverluste weltweit im Breach Level Index [2] verdeutlicht, dass die Anzahl der Sicherheitseinbrüche immer weiterwächst und Unternehmen sich nicht richtig auf die Situation eingestellt haben. In den ersten sechs Monaten dieses Jahres wurden 918 Breaches gemeldet, dies sind 13 Prozent mehr als im zweiten Halbjahr 2016. Erschreckend ist dabei die Explosion der gestohlenen Datensätze: Insgesamt wurden bei den Vorfällen 1.9 Milliarden Datensätze illegal kopiert, dies entspricht einer Steigerung um 164 Prozent in sechs Monaten.

Bild: Gemalto

Armin Simon, Regional Director DACH bei Gemalto

Da in der Untersuchung nur öffentlich bekannte Datenlecks untersucht werden, dürfte die Dunkelziffer nochmals höher liegen. Viele Organisationen besitzen keine ausreichenden Mechanismen zum Schutz ihrer Informationen. In 59 Prozent aller gemeldeten Incidents ist die Anzahl der betroffenen Datensätze nicht bekannt. Dies deutet darauf hin, dass die Angreifer nach der Überwindung des Netzwerks- und Perimeterschutzes ungesehen auf Informationen zugreifen konnten. Die SEC ist also keine Ausnahme, IT-Abteilungen stehen nach Datenverlusten vor einem Scherbenhaufen: Obwohl Angriffe fast schon zum Alltag gehören, sind sie nicht in der Lage Datenschutz zu gewährleisten.

Überraschend ist die große Anzahl an versehentlichen Verlusten, denn 86 Prozent aller entwendeten Datensätze wurden infolge von Fahrlässigkeit verloren. Zwar sind Außentäter immer noch die Hauptursache für Sicherheitseinbrüche, allerdings kommen immer wieder große Mengen an Daten durch mangelnde Sorgfalt abhanden.

IT-Verantwortliche sollten nicht in Panik verfallen, trotzdem müssen Sicherheitsstrategien umgehend angepasst werden. Deshalb ist der Einsatz von starker Verschlüsselung wichtig, trotzdem wird nicht ausreichend auf entsprechende Mechanismen zurückgegriffen. Nur fünf Prozent aller gehackten Datensätze in Deutschland waren entsprechend geschützt, obwohl unter IT-Entscheidern ein breiter Konsens über die Wirksamkeit von Kryptografie herrscht.

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das BSI sprechen sich für ihren Einsatz aus. Verschlüsselte Daten sind ohne den Schlüssel erst mal nutzlos und geschützt, auch wenn sie sich außerhalb der Reichweite der Administratoren befinden oder umliegende Systeme Opfer einer Cyberattacke wurden.

Die Zahlen sind erdrückend und dies geht zulasten der Wirtschaft und der Bürger, deren persönliche Daten entwendet wurden – ohne das sie darüber informiert wurden. Ab März 2018 wird die DSGVO anwendbar und wird dies grundlegend ändern. Beispielsweise gibt es eine Meldepflicht für Sicherheitseinbrüche, falls persönliche Daten entwendet wurden. Ansonsten drohen hohe Bußgelder.

Der Breach Level Index befasst sich seit 2013 mit Incidents und erscheint mittlerweile halbjährlich. Es ist wahrscheinlich, dass sich aufgrund der neuen Verpflichtungen die Datengrundlage für die Analyse ab 2018 deutlich erweitern. Unternehmen sollten bis dahin den Empfehlungen folgen und persönliche Informationen durch starke Verschlüsselung schützen.

Fazit

Vorfälle wie beim SEC sind leider alltäglich geworden und genau deshalb sollte ein Ruck durch IT-Abteilungen von Unternehmen gehen. Natürlich werden Daten immer wieder durch Cyberkriminelle gestohlen, aber genau deshalb sollte man sich sorgfältig auf den Fall der Fälle vorbereiten. Leider zeigen aktuelle Analysen, dass genau das Gegenteil der Fall ist.

Trotz der nahenden Anwendbarkeit der DSGVO steigt die Anzahl der Incidents. Vor allem versehentliche Datenverluste nehmen stark zu und immer häufiger können die betroffenen Unternehmen keine genauen Opferzahlen nennen, obwohl persönliche Informationen entwendet wurden.

Starke Verschlüsselung durch Key-Management und der Einsatz von HSMs sind eine gute Möglichkeit, wichtige Grundlagen für mehr Datenschutz zu schaffen. Sie erlauben eine praktische Umsetzung von Behörden- und die EU-Empfehlungen. Zudem eignet sich eine durchgängige Verschlüsselung als nachhaltige Sicherheitsstrategie.

[1] Spiegel online 2017: „Hacker klauen Daten von SEC“

[2] Gemalto 2017: „Breach Level Index H1 2017“

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt