Data Breaches im 1. Halbjahr 2019

Im ersten Halbjahr 2019 hat es 3800 Data-Breach Vorfälle gegeben, bei denen eine  Anzahl von 4,1 Milliarden Datensätze unfreiwillig an die Öffentlichkeit gelangt sind. Diese Zahl muss man sich erst einmal auf der Zunge zergehen lassen.

Die üblichen Verdächtigen

Das was vielleicht noch weitaus überraschender ist, ist die Tatsache, dass allen 3,2 Milliarden Datensätze allein durch 8 Data-Breach Vorfälle an die Öffentlichkeit gelangt sind. Sieht man sich die Breaches im Detail an, so muss man feststellen, dass die Haupteintrittspunkte der Breeches von eMails und unsicheren Passwörtern angeführt wird.

Diese Anzahl allein wäre ja schon schlimm genug, doch ist leider festzustellen, dass die überwiegende Mehrzahl der Data-Breaches nur einen mittleren bis geringen Schweregrad erreicht. Das bedeutet im Klartext, dass in der Mehrzahl der Fälle weniger als 10.000 Datensätze an die Öffentlichkeit gelangten.

Das ist insoweit von Bedeutung als noch immer viele Betriebe der Meinung sind, dass sie für einen Data-Breach zu klein bzw. zu unbedeutend sind. Es ist aber auch festzustellen, dass es bei kleinen Betrieben die Datensicherheit noch wesentlich schlechter bestellt ist, als bei großen Betrieben.

Der Durchschnittliche Cyber-Kriminelle geht meistens den Weg des geringsten Widerstandes. Bei Datensicherheit bedeutet das, dass die kriminellen Online Scripts laufen lassen um ungesicherte Datenbank ausfindig zu machen.

Fast 2/3 der Data-Breaches finden im Geschäftsbereich statt

Betriebe aller Größen müssen hier wirklich dringend handeln, ganz besonders wenn man bedenkt, dass der Geschäftsbereich für 67% aller Data-Breaches im ersten Halbjahr 20149 verantwortlich ist. Man braucht kein Genie zu sein, um zu sehen, dass jetzt der Zeitpunkt zum Handeln ist.

Wenn es um Datensicherheit geht, darf man die Dinge nicht zu sehr verkomplizieren. Komplizierte System bzw. Abläufe führen im Regelfall dazu dass sie nicht so angewandt werden, wie sie es sollten. Daher könnte ein Schritt in die Richtige Richtung sein, sich wieder auf die Grundlagen der Datensicherheit zu besinnen.

Wir wissen dass von den 3800 Data-Breaches alleine 150 darauf zurückzuführen sind, dass die Datenbanken nicht nach dem Stand der Technik konfiguriert waren. Während man diese Arbeit durchwegs den Fachleuten überlassen sollte, liegt z.B. bei vielen Mitarbeitern das Bewusstsein bezüglich der Datensicherheit nach wie vor im Argen.

Back to the Basics

Schätzungen zufolge sind ca. 60% der Data-Breaches, bei denen personenbezogene Daten an die Öffentlichkeit gelangten auf den Faktor Mensch zurückzuführen. Die größten Brocken dabei sind, dass personenbezogene Daten schlichtweg an den falschen Empfänger gingen. Ein weiterer nicht unerheblicher Brocken ist darauf zurückzuführen, das die „BCC-Funktion“ von eMail-Programmen von Mitarbeitern nicht verwendet wird bzw. die eMail-Verteiler nicht kritisch überprüft werden. Lediglich 5% der Vorfälle sind auf Phishing-Attacken zurückzuführen.

Was wir aus diesen Zahlen lernen können, ist dass viele Unternehmen ihren Fokus stark auf äußere Angreifer gerichtet haben, während auf den Faktor Mensch vergessen wird. Eine weitere Schlussfolgerung die wir aus den Zahlen ziehen können, ist die dass einen ausgewogenen Maßnahme-Mix zwischen Technologie auf der einen Seite und dem Training der Mitarbeiter auf der anderen Seite geben muss. Dieses Training darf nicht eine einmalige Angelegenheit sein, sondern muss regelmäßig erfolgen und der Erfolg der Maßnahmen aus kritisch überprüft werden.