Datendiebstähle in den vergangenen Jahren

Ein Datendiebstahl, auch bekannt als Datenklau, beinhaltet einen Tatbestand, bei dem sich jemand geschützte Daten unautorisiert aneignet oder sie kopiert. Gestohlene oder eben unautorisiert beschaffte Daten können auf verschiedene Art und Weise missbraucht werden: Bei den meisten bis heute bekannten Fällen ging es um eine direkte persönliche Bereicherung des Datendiebs. Es sind aber auch Erpressungen an die Adresse des gehackten Unternehmens oder an die Kunden dieses Unternehmens denkbar, was neben möglichen finanziellen Schäden auch zu Reputationsschäden führen kann.

Nicht zu unterschätzen ist die auch die Gefahr der Cyber-Spionage. Hier sind insbesondere Firmen mit besonders schützenswerten Betriebsgeheimnissen das Ziel. Im Jahr 2016 wurde bekannt, dass die Rüstungsfirma Ruag über mehrere Jahre von einem angeblich aus Russland stammenden Hackerteam ausspioniert wurde. Neben Unternehmen könnten in diesem Kontext auch Regierungen und Verwaltungen ein Ziel darstellen.

Bei einem Datendiebstahl denken wir in erster Linie an einen erfolgreichen Cyber-Angriff, also an einen von extern durchgeführten Betrug. Dieser externen Gefahr, die in den letzten fünf Jahren zugenommen hat, steht der interne Betrug gegenüber. Ganz klassisch – der System-administrator, der mit seinem Arbeitgeber in einen Streit gerät, durch seine hochprivilegierten Rechte die Möglichkeit für einen Datenklau hat und dies gegenüber sich selber auch rechtfertigen kann (Fraud Triangle: Motiv, Möglichkeit, Rechtfertigung).

SRF fasste letzthin die weltweit grössten Datendiebstähle aller Zeiten wie folgt zusammen:

• Yahoo: Erste Berichte über einen Datendiebstahl bei Yahoo sind Anfang August 2016 veröffentlicht worden. Hacker behaupteten, Zugang zu 200 Millionen Profilen zu haben. Yahoo prüfte den Sachverhalt und bestätigte, dass sogar mindestens 500 Millionen Nutzer und Nutzerinnen betroffen sind. Vermutlich haben sich die Hacker bereits 2014 Zugang zu den Daten verschafft. Kritiker werfen Yahoo vor, dass der Angriff zu lange unbemerkt geblieben sei.
• Ebay: Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugriff zu Daten von rund 145 Millionen Kundinnen und Kunden, darunter E-Mail- und Wohnungsadressen sowie Login-Informationen. Die Handelsplattform leitete einen grossangelegten Passwortwechsel ein.
• LinkedIn: Hacker haben im Jahr 2012 insgesamt 117 Millionen Datensätze von dem virtuellen Netzwerk LinkedIn gestohlen. Ursprünglich war von viel weniger Daten die Rede, erst die vertieften Untersuchungen zeigten das ganze Ausmass. LinkedIn forderte seine Nutzer und Nutzerinnen auf, die Passwörter zu wechseln. Insgesamt sind mehr als 400 Millionen Menschen weltweit dem Netz angeschlossen.
• Sony: Eine Hackergruppe unter dem Namen «Guardians of Peace» verschaffte sich im Jahr 2014 Zugang zum Computernetz von Sony und entwendete 100 Terabyte Daten. Dies war einer der gravierendsten Hackerangriffe, betroffen waren sensible Daten wie zum Beispiel 47’000 Sozialversicherungsnummern der Angestellten. Gestohlen wurden auch Drehbücher und private Angaben von berühmten Schauspielern.
• Target: Bei diesem Angriff wurde das Kassensystem des amerikanischen Supermarkt-betreibers Target gehackt. Dabei wurden Kreditkartendaten von 110 Millionen Kunden und Kundinnen erbeutet. Die Hacker konnten sich einige Zeit unbemerkt im Netz bewegen, die Verkäufe von Target sackten nach Bekanntgabe im Dezember 2013 ab, weil Kundinnen und Kunden die Läden mieden.
• Anthem: Der grosse Angriff auf die Gesundheitsdaten: Im Februar 2015 kam es bei der zweitgrössten Krankenkasse der USA zu einem Datenleck. Dabei wurden persönliche Daten von 80 Millionen Versicherten entwendet: Namen, Geburtstage, Adressen und Sozialversicherungsnummern, allerdings keine medizinischen Informationen. Einen Monat später wurden auch bei der amerikanischen Krankenkasse Premera Millionen von medizinischen Daten gestohlen.
• J.P.Morgan: Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die amerikanische Grossbank die E-Mail- und Postadressen von 76 Millionen Haushalten und 7 Millionen Unternehmen. Monate später wurde ein 31-jähriger Mann in Israel verhaftet und für den Diebstahl verantwortlich gemacht. Neben J.P. Morgan haben die Hacker noch weitere amerikanische Banken angegriffen, so zum Beispiel die Citigroup.

Diese Vorfälle zeigen auf, dass verschiedenste Industrien betroffen sind und dass auch bei vermeintlich „gut geschützten“ Unternehmen ein Datendiebstahl mit seinen unerwünschten Folgen eintreten kann.

Was kann man dagegen tun? Fachleute sind sich hier ziemlich einig. Ein effektiver und nachhaltiger Schutz gegen Datendiebstähle ist mit präventiven und detektiven Kontrollen entlang des IT-Grundschutzes des Bundesamts für Informatik (BSI) erreichbar. Dabei werden in einem ersten Schritt die sogenannten schützenswerten „Kronjuwelen“ identifiziert und in der Folge risikobasiert die richtigen Schutzmassnahmen ganzheitlich eingeführt.

---

Autor:
René Schmid

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.