Die US-amerikanische Hotelkette MGM Resorts ist von einem riesigen Datenschutzverstoß betroffen, bei dem die Daten von rund 10,6 Millionen Hotelgästen im Internet veröffentlicht und von Hackern abgegriffen wurden. Berichten zufolge gehören zu den geleakten Daten unter anderem Telefon- und Passnummern, E-Mail-Adressen und Geburtstage. Die genauen Hintergründe sind noch unklar, jedoch sollen die Cyberkriminellen die Daten über einen Cloud-Dienst abgezogen haben.

Kommentar von Thorsten Geissel, Director Sales Engineering EMEA, Tufin Technologies:

„Dass erneut Millionen von sensiblen Kundendaten im Netz veröffentlicht wurden, ist erschreckend und unterstreicht einmal mehr, dass Daten, die in der Cloud gehostet werden, dasselbe Sicherheitsniveau benötigen, das auch on-premises gespeicherte Daten erfahren. Nur so kann das Risiko für derartige Datenleaks nachhaltig verringert werden. Der Übergang zu hybriden Umgebungen und komplexeren, fragmentierten Netzwerken stellt heutzutage fast alle Unternehmen vor große Herausforderungen und erschwert es, die Kontrolle über die Daten zu behalten. Ohne konsistente Richtlinien entwickeln sich schnell verschiedene Sicherheitslücken und es drohen Compliance-Verstöße.“

Bild: Thycotic

Kommentar von Markus Kahmen, Regional Director DACH, Thycotic:

„Der Diebstahl ihrer personenbezogenen Daten bedeutet für die MGM-Gäste das Risiko für jahrelangen Identitätsdiebstahl und Cyberangriffe. Viele der gestohlenen Identitätsinformationen haben in der Regel eine Laufzeit zwischen 5 und 10 Jahren – man denke etwa an Reisepässe. Der Vorfall ist für die Opfer also keine Eintagsfliege, sondern könnte sie auch noch in vielen Jahren beschäftigen, solange sie kompromittierte Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist. Sie müssen nun genau prüfen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können.

Und auch die Verantwortlichen bei MGM müssen nun analysieren, wie es zur Offenlegung solch privilegierter Informationen kommen konnte. Die Cloud wird als Speicherort für sensible Daten – auch in Europa – immer beliebter. Die Sicherheit ist hier jedoch noch nicht ganz hinterhergekommen. Vorfälle wie dieser erklären auch, warum Deutschland bei der Cloud-Nutzung im weltweiten Vergleich noch zurückhaltend ist.“

Bild: Thycotic

Markus Kahmen, Thycotic

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 25.10.2018
Kritik am Umgang mit Datenleck bei Cathay Pacific

Von unserem Gastautor Jason Hart, Cybersecurity Evangelist bei Thales

[datensicherheit.de, 26.06.2019] Die wichtigste Änderung der Datenschutzvorschriften in den letzten zehn Jahren feiert einjähriges Jubiläum: Die DSGVO bildet den Rahmen für den Umang mit personenbezogenen Daten sektor- und branchenübergreifend. Nach einem Jahr stellt sich die Frage, wie die neue Verordnung angenommen wurde. Wie managen Unternehmen die Umsetzung der strengeren Datenschutzverordnung? Wissen Firmen, was von ihnen verlangt wird, um Compliance zu erreichen? Sind sich die EU-Bürger ihrer neuen Rechte bewusst? Wie gehen die Datenschutzbehörden (Data Protection Authorities, DPAs) gegen Verstößen vor und wie hat sich die DSGVO auf andere globale Datenschutzbestimmungen ausgewirkt?

DSGVO – Ein Rückblick

Im Mai dieses Jahres veröffentlichte die Europäische Kommission eine Infografik zur Einhaltung und Durchsetzung der DSGVO für den Zeitraum Mai 2018 bis Mai 2019. Darunter waren einige interessante Erkenntnisse:

• 67 Prozent der Europäer haben von der GDPR gehört, 57 Prozent wissen, dass es in ihrem Land eine Einrichtung gibt, die für den Schutz ihrer Rechte an personenbezogenen Daten zuständig ist.
• Aber nur 20 Prozent wissen, welche Behörde das dann tatsächlich ist. Insgesamt wurden 144.376 Anfragen und Beschwerden bei den DPAs gemeldet, die sich vor allem auf Telemarketing, Werbe-E-Mails und Videoüberwachung belaufen.
• 89.271 Benachrichtigungen gab es zu Datenschutzverletzungen, 446 Fälle davon sind grenzüberschreitend.
• Bis auf Griechenland, Slowenien und Portugal haben alle EU-Mitgliedsstaaten die erforderlichen nationalen Rechtsvorschriften erlassen.

Andrus Ansip, Vizepräsident für den digitalen Binnenmarkt, und Věra Jourová, Kommissar für Justiz, Verbraucher und Gleichstellung der Geschlechter, erklärten in einer Pressemeldung der Europäischen Kommission: „Diese wegweisenden Regeln haben Europa nicht nur fit für das digitale Zeitalter gemacht, sie sind auch zu einem globalen Bezugspunkt geworden.“ Und: „Neue Zahlen zeigen, dass fast sechs von zehn Personen wissen, dass es in ihrem Land eine Datenschutzbehörde gibt.“

Bild: Thales

Jason Hart, Cybersecurity Evangelist bei Thales

Die Meldung erläutert zudem die Arbeit der EU in Bezug auf die Regulierung von Zukunftstechnologien: „Das neue Gesetz ist zum regulatorischen Boden Europas geworden, der unsere Reaktion in vielen Bereichen prägt. Von der künstlichen Intelligenz über die Entwicklung von 5G-Netzwerken bis hin zur Integrität unserer Wahlen tragen strenge Datenschutzbestimmungen dazu bei, unsere Richtlinien und Technologien auf der Grundlage des Vertrauens der Menschen zu entwickeln.“

Die Zukunft des Datenschutzes

Die Verabschiedung und das Inkrafttreten der DSGVO brachten viel Unsicherheit in der gesamten Geschäftswelt hervor – vor allem in Bezug auf die damit verbundenen Anforderungen und Verpflichtungen. Einige Vorbehalte sind verschwunden, da mittlerweile ein besseres Verständnis für den Datenschutz herrscht. Es wurde ein größeres Bewusstsein geschaffen und bisherige, etablierte Verfahren überdacht und angepasst.

Die Schonfrist für Organisationen ist bald vorbei und es ist ziemlich sicher, dass DPAs künftig weit höhere Geldbußen und Strafen verhängen werden. Unternehmen müssen deshalb darüber aufgeklärt werden, welche Art der personenbezogenen Daten in welcher Form verarbeitet werden dürfen und was zu tun ist, damit alle Vorschriften eingehalten werden können.

Im ersten DSGVO-Jahr waren die DPAs in allen EU-Mitgliedstaaten eher tolerant, wenn es um Verstöße gegen die Vorschriften ging, und sie leisteten vielen Unternehmen Hilfestellung bei der Einhaltung dieser. In manchen Fällen wurden aber dennoch hohe Geldbußen verhängt und alle Beteiligten sollten sich darüber bewusst sein, dass es auch andere Strafen gibt, die bis zur Aussetzung der Datenverarbeitung führen können.

DSGVO beeinflusst die Datenschutzgespräche weltweit

Viele Länder in Europa, die nicht der EU-Gesetzgebung unterliegen, haben ebenfalls Compliance-Vorschriften erlassen, die der DSGVO sehr ähneln: darunter Norwegen, die Schweiz, Island, Liechtenstein und Großbritannien (bei der Vorbereitung auf einen No Deal Brexit). Ebenso überarbeiten einige Regionen mit engen Beziehungen zu Europa, wie Asien und Afrika, ihre Datenschutzbestimmungen. Andere Datenschutzgesetze scheinen von der DSGVO stark beeinflusst zu werden, vor allem dann, wenn es um die Rechte der betroffenen Personen, die Erkennung beziehungsweise Verhinderung von Datenschutzverletzungen und die Rechenschaftspflicht geht. Beispiele hierfür sind unter anderem der California Consumer Privacy Act (CCPA) und das kommende LGPD (General Law of Data Protection) in Brasilien.

Fazit

Die DSGVO verändert den Datenschutz weltweit und zwingt Organisationen bei der Verarbeitung von personenbezogenen Daten umzudenken. Auch Länder, die nicht von der europäischen Datenschutzgrundverordnung betroffen sind, setzen sich nun mehr mit diesen Themen auseinander und nehmen entsprechende Gespräche auf – Beispiel: USA. Gerade Firmen, die multinational oder multiregional tätig sind, werden mit den unterschiedlichen rechtlichen Rahmenbedingungen konfrontiert, die gegebenenfalls zu Konflikten mit der eigenen Gesetzgebung führen können.

Weitere Informationen zum Thema:

datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 12.10.2018
Gemalto Breach Level Index: 4,5 Milliarden Datensätze im ersten Halbjahr 2018 kompromittiert

[datensicherheit.de, 09.06.2019] Die Forscher und das Emergency Response Team (ERT) von Radware berichten von einem wachsenden Trend zu Cyberangriffen auf Managed Service Provider (MSPs). Während diese Branche typischerweise mit Hilfe von Advanced Persistent Threats (APTs) attackiert wird, deuten mehrere Ereignisse in den letzten Monaten darauf hin, dass auch technisch weniger versierte Gruppen versuchen, MSPs anzugreifen, um die Beziehung zwischen MSPs und ihren Kunden zu nutzen.

Managed Service Provider bieten Fernverwaltungsdienste für die Infrastruktur ihrer Kunden

MSPs bieten Fernverwaltungsdienste für die Infrastruktur ihrer Kunden, einschließlich der Möglichkeit, Updates oder Anwendungen zu installieren. Auf diese Fähigkeiten globaler MSPs haben es die Hacker laut Radware abgesehen mit dem Ziel, ihre Wirkung durch eine Trickle-Down-Strategie zu maximieren.

Foto: Radware

Michael Tullius, Regional Director DACH, Radware

Erste Anzeichen eines Trends seit zwei Jahren sichtbar

Erste Anzeichen des Trends zu Angriffen auf MSPs wurden vor zwei Jahren sichtbar. Im April 2017, inmitten der wachsenden Spannungen zwischen den Vereinigten Staaten und China, veröffentlichte das US-CERT eine Warnung, in der eine neu auftretende Bedrohung beschrieben wurde, die sich auf Dienstleister in verschiedenen Sektoren auswirkt. Ende 2018 wurde eine spezifischere Warnung über Advanced Persistent Threats veröffentlicht, die sich aktiv gegen MSPs richten. Die erste Warnung wurde zwei Monate später aktualisiert, nachdem zwei chinesische Hacker angeklagt wurden, die mit dem chinesischen Staatsministerium verbunden waren.

Hacker zielen zunehmend auf die Supply Chain ab

Während Hacker zunehmend auf die Supply Chain abzielen, bringen sie jeweils ein anderes Set von Taktiken, Techniken und Verfahren ein und verfolgen unterschiedliche Ziele. APTs und nationalstaatliche Hacker verfolgen in der Regel Spionagezwecke, während organisierte Cyberkriminelle nach Daten oder personenbezogenen Daten (PII) suchen, die sie verkaufen oder mit denen sie Betrug begehen können. Sogar Ransomware-Kampagnen gegen MSPs wurden zuletzt beobachtet.

Die Implementierung der richtigen defensiven Barrieren erschwert es Cyberkriminellen und APTs, Zugang zu erhalten und die Persistenz im Zielnetzwerk zu erhalten. Zum Schutz vor diesen Arten fortschrittlicher Bedrohungen sollten Unternehmen eine umfassende Verteidigungslösung in Betracht ziehen, die Transparenz, Widerstandsfähigkeit, Skalierbarkeit, Sicherheit und Kontrolle bietet, um die Zahl der Bedrohungen zu verringern.

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2019
Managed Service Provider: Fokus auf Rolle als strategische Berater

datensicherheit.de, 08.05.2019
Public-Cloud-Ressourcen: Drei Tipps zur Absicherung

datensicherheit.de, 24.11.2014
Cybersecurity: Fünf Dinge die jeder Anbieter von Managed Services wissen sollte