search

Dieses Passwort wurde bei einem Datenleck gefunden was tun

2 Jahrs vor
Kommentare: 0
Ansichten: 141

Dieses Passwort wurde bei einem Datenleck gefunden was tun

Datenleck bei Facebook, Datenpanne bei LinkedIn, Data Breach bei Buchbinder – und laufend neue Schreckensmeldungen! Aber was genau ist ein Datenleck eigentlich? Und was kann ich tun, wenn ich glaube, betroffen zu sein? Wir schauen uns an, wie Unternehmen Datenpannen vermeiden und Betroffene den Schaden begrenzen können, wenn sensible Daten durch ein Leak in falsche Hände geraten sind.

Am 12.01.2022 berichtet die ARD-Sendung Plusminus über ein massives Datenleck bei Online-Händlern wie Otto, Kaufland, Mediamarkt, Check24 und Idealo. Betroffene erfahren hier mehr über die Hintergründe des Leaks und wie man am besten auf eine solche Meldung reagiert.

Im Juni 2021 hatten Hacker in einem Forum die Daten von fast allen Linkedin-Nutzern zum Kauf angeboten. Im darauffolgenden Monat wurden 3,8 Milliarden Telefonnummer im Darknet verkauft. Außerdem tauchen immer wieder Listen mit Passwörtern im Internet auf, die von Kriminellen z.B. für Credential Stuffing verwendet werden können.

Fast wöchentlich berichtet Golem.de, das IT-News-Portal, über neue Datenpannen. Manche davon sind brisant und schlagen hohe mediale Wellen, andere sind den News-Portalen nur eine Randnotiz wert. Tatsache ist aber: Das “Leaken” von Daten ist ein Problem, das durch Inkrafttreten der DSGVO 2018 nicht gelöst wurde.

Ganz gleich, ob das Datenleck Folge eines Hacker-Angriffs ist oder, wie im Falle Buchbinder, durch einen nicht gesicherten Server verursacht wurde: Die Folgen können in beiden Fällen katastrophal sein. Neben Bußgeldern wegen DSGVO-Verstoßes können sie auch Schadensersatzklagen Betroffener nach sich ziehen.

In der Vergangenheit waren häufig sensible Kundendaten betroffen, die beispielsweise über ungesicherte Datenbanken oder Clouddienste abgerufen wurden.

Per Definition sprechen wir dann von einem Datenleck, einer Datenpanne oder einem Leak, wenn unberechtigte Dritte Zugriff auf Daten einer Behörde oder eines Unternehmens erhalten.


Wie ARD und die Tagesschau berichten, gab es in den vergangenen Jahren ein massives Datenleck bei großen Onlinehändlern wie Otto, Kaufland und Idealo. Die Daten von rund 700.000 Kunden aus einem Zeitraum seit 2018 waren dadurch online offen zugänglich, darunter E-Mail- und Post-Adressen, Telefonnummern, Informationen zu Bestellungen, teils sogar zu Bankverbindungen.

Hintergrund des Leaks war eine Sicherheitslücke in einer Schnittstelle der Händler. Über eine solche Anbindung bieten Online-Marktplätze neben eigenen Produkten auch die Waren externer Händler an. Das Problem? Ein Dienstleister, der diese Anbindung für verschiedene Firmen betrieb, speicherte die Daten aller Unternehmen und Kunden gemeinsam und unverschlüsselt in einer einzigen Datenbank.

Bekannt wurde das Problem im Sommer 2021: Als ein externer Programmierer die Sicherheitslücke entdeckt, macht er zunächst den Betreiber auf das Problem aufmerksam. Da der Fehler trotzdem nicht behoben wurde, wendet er sich anschließend an die Öffentlichkeit. Die aktuelle Reportage des deutschen Fernsehens zeigt, welche Spätfolgen ein solches Datenleck haben kann: Die meisten Daten sind nach wie vor online auffindbar und viele Betroffene wurden nie über den Leak informiert.

Experten sehen hier auch fehlende Verantwortung auf Seiten der Marktplätze: Die Online-Händler verpflichten Anbieter auf ihrer Plattform per Vertrag zum Schutz von Kundendaten, überwachen aber die Einhaltung des Datenschutzes bzw. die Umsetzung der Schnittstellen nicht genau. Die entsprechenden IT-Dienstleister und der Online-Marktplatz selbst stehen meist in keiner Geschäftsbeziehung.

Welche Leaks sind besonders gefährlich?

Datenpannen sind immer ein massives Problem. Neben dem Reputationsschaden für das betroffene Unternehmen können geleakte Daten auch ernsthaften materiellen und/oder immateriellen Schaden für die betroffenen Kunden bedeuten. Kriminelle, die nach Data Leaks Ausschau halten, haben es insbesondere auf folgende Daten abgesehen:

  • E-Mail-Adressen können für Spam- und/oder Erpressermails verwendet werden.

  • Persönliche Daten wie z.B. Geburtstag und Adresse können Kriminellen dabei helfen, Identitätsdiebstahl zu begehen. Es wäre nicht das erste Mal, dass unter falschem Namen Geschäfte im Internet abgeschlossen werden und dem nichtsahnenden Opfer des Betruges wenig später eine saftige Rechnung ins Haus flattert.

  • Geleakte Gesundheitsdaten wie im Fall der Datenpanne von zwei PCR-Testzentren Mitte Juni 2021 liefern häufig die Grundlage für Erpressungsversuche.

  • Benutzernamen und Passwörter nutzen Cyberkriminelle, um Credential Stuffing zu betreiben. Sie verwenden die Daten also, um Zugriff zu anderen Webdiensten mit denselben oder ähnlichen Login-Daten zu erzwingen.

Die meisten von uns assoziieren Datenlecks mit Hackern, die im schwarzen Kapuzenpulli vor ihrem PC sitzen und sich hämisch grinsend durch die Firewall coden. Die überraschende Wahrheit ist aber, dass Data Breaches eher selten die Folge von gezielten Angriffen sind.

Die meisten Datenpannen entstehen durch menschliche Fehler, wie sie infolge von Arbeitsdruck, Unachtsamkeit und/oder mangelndem Bewusstsein für Cybersecurity in jedem Unternehmen vorkommen können. Besonders häufig sind folgende drei Fehler für das Durchsickern sensibler Daten verantwortlich:

1. Falscher E-Mail-Empfänger

Ein kleines Datenleck kann schon entstehen, wenn Sie eine E-Mail, die personenbezogene Daten enthält, an die falsche Person versenden. Und wer mehrere Annas, Michaels oder Christophs im Telefonbuch hat, der weiß, wie schnell der falsche Name im Adressfeld landet.

Ist das Unglück erst passiert, müssen Sie den Schaden begrenzen: Anrufen und darum bitten, dass der falsche Empfänger die E-Mail löscht. Verpflichtet ist er dazu aber nicht – und die Verantwortung für die Folgen liegt bei Ihnen.

Dieses Passwort wurde bei einem Datenleck gefunden was tun

Das Verschicken von Dokumenten per Post ist vielerorts noch vollkommen normal. Und manchmal erscheint es einem sogar sicherer, digitale Dateien postalisch zu versenden. Nicht auszudenken, was passiert, wenn die Dateien auf dem Weg durchs Internet verloren gehen! Aber was passiert, wenn jemand den physischen Umschlag falsch beschriftet? Oder die Umschläge vertauscht werden und Inhalt A in Umschlag B und vice versa wandert?

Auch hier sprechen wir von einer Datenpanne. Und auch hier liegt das Schicksal des “Leakers” in den Händen des Empfängers: Hoffentlich meldet er sich und hoffentlich flunkert er nicht, wenn er behauptet, die vertraulichen Unterlagen postwendend zu vernichten!

3. Verlust eines nicht verschlüsselten Mobiltelefons

Wenn Privatmenschen ihr Handy verlieren, dann ist das ärgerlich. Wenn ein Business-Mobiltelefon mit komplettem Adressbuch, E-Mails, Anlagen und anderen Personendaten verloren geht, dann ist das ein Datenleck.

Der Schutz des Mobiltelefons mittels Passwort ist nicht ausreichend, um Informationen vor unbefugten Zugriffen zu schützen. Die schlimmsten Folgen durch verlorene Mobiltelefone lassen sich vermeiden, indem Sie auf moderne Modelle setzen, in denen sämtliche Informationen automatisch verschlüsselt und erst dann gespeichert werden.

Bin ich von einem Datenleck betroffen?

“Datenleck bei Facebook! Linkedin-Nutzerdaten geleakt!” Schlagzeilen wie diese sorgen für Unruhe in der Bevölkerung, weil es heute kaum noch jemanden gibt, der nicht bei mindestens einer Social-Media-Plattform angemeldet ist. Wird ein größeres Datenleck bekannt, sollten Sie zunächst einmal überprüfen, ob Sie bzw. Ihre Daten davon betroffen sind.

Es gibt eine Reihe von Anbietern, die Ihnen dabei helfen, indem sie die geleakten Datensätze aus diversen Internetforen sammeln und in eine zentrale Datenbank integrieren. Diese Datenbank können besorgte Nutzer abfragen, um herauszufinden, ob sie von der Datenpanne betroffen sind:

Wurde meine E-Mail-Adresse geleakt?

Auf Have I Been Pwned geben Sie Ihre E-Mail-Adresse ein und der Dienst zeigt Ihnen an, ob (und wie oft) der Anbieter, bei dem Ihre E-Mail-Daten hinterlegt sind, von Data Breaches betroffen war, und ob Ihre E-Mail-Adresse in entsprechenden Foren, aus denen sich Hacker bedienen, aufgetaucht ist. Der Dienst ist allerdings nur auf Englisch verfügbar. Einen deutschen Dienst mit gleichem Funktionsumfang finden Sie ihm E-Mail Leak Check von EXPERTE.de.

Dieses Passwort wurde bei einem Datenleck gefunden was tun

Viel besorgniserregender als eine im Netz aufgetauchte E-Mail-Adresse ist für Viele ein Leak von persönlichen Daten wie Adresse, Geburtsdatum oder Telefonnummer. Der HPI Identity Leak Checker und der Leak Checker der Universität Bonn überprüfen durch einen Datenabgleich, ob eine Ihrer E-Mail-Adressen in Verbindung mit Ihren Personendaten im Netz offengelegt wurde. Sie bekommen von den Tools eine Tabelle angezeigt, in der aufgelistet ist, welche Informationen bei welchen Diensten von Datenpannen betroffen waren.

Wenn einer der oben genannten Dienste Ihnen eine Warnung ausspielt, sollten Sie sofort reagieren und das Passwort beim betroffenen Anbieter ändern. Falls Sie das gleiche Passwort noch bei anderen Diensten verwenden, sollten Sie es vorsichtshalber auch dort ändern (Stichwort Credential Stuffing). Grundsätzlich können Sie das Risiko, Opfer eines Datenpannen-bedingten Hacker-Angriffs zu werden, senken, indem Sie

  • für jeden Ihrer Online-Dienste ein anderes Passwort verwenden.

  • ihre Passwörter niemals lokal, sondern z.B. in einem Passwort-Manager speichern.

  • Zwei-Faktor-Authentifizierung einsetzen.

Mit Datenlecks ist es wie mit dem Kind und dem Brunnen: Ist das Kind erst hineingefallen, geht es nur noch um Schadensbegrenzung. Unternehmen und Behörden können in vielen Fällen zwar die Ursache der Datenpanne herausfinden und diese beheben (wie im Falle Buchbinder der ungesicherte Port im Backup-Server), aber das Datenleck selbst können sie nicht “beheben”. Zirkulieren die Daten erst einmal im Word Wide Web, ist es bereits zu spät.

Aus diesem Grund ist es wichtig, in vorbeugende Sicherheitsmaßnahmen zu investieren, BEVOR das Kind in den Brunnen fällt bzw. die Daten ins Netz leaken.

Unternehmen, die die volle Kontrolle darüber haben, wer in ihrem Unternehmen zu welchem Zeitpunkt auf welche Informationen zugreifen kann, sind seltener von Datenlecks betroffen als Organisationen, die ihre Zugriffsberechtigungen “auf Zuruf” vergeben.

Um sicherzustellen, dass ausschließlich befugte Mitarbeiter Zugang zu sensiblen Daten haben, sollten Unternehmen ihre Berechtigungsstruktur nach dem Least Privilege Prinzip aufbauen. Das bedeutet, dass Mitarbeiter zu keinem Zeitpunkt über mehr Zugriffsberechtigungen verfügen dürfen, als sie für ihre Arbeit tatsächlich benötigenInsider Threats, die durchaus zur Quelle eines Datenlecks werden können, entstehen nämlich häufig durch Gelegenheit.

Ein vergessener VPN-Zugang, ein Fileshare aus einer ehemaligen Projektmitarbeit oder ein beim Browsen zufällig entdeckter Ordner, der nicht durch ACE verborgen ist: Alles Gelegenheiten zum Datenmissbrauch, die noch nicht einmal eine böse Absicht voraussetzen, aber trotzdem ernsthafte Folgen haben können. Noch mehr Sicherheit bietet Zero-Trust-Architektur, bei der alle Datenzugriffe laufend überprüft werden.

Dieses Passwort wurde bei einem Datenleck gefunden was tun

In vielen Unternehmen kann niemand mit letzter Sicherheit sagen, wer auf welche Daten zugreifen darf, weil die IT-Abteilung das Berechtigungsmanagement händisch durchführt. Manuelles Access Management führt jedoch zwangsläufig zu Fehlern, weil es keine fix definierten Workflows und keine Instanz gibt, die z.B. regelmäßig kontrolliert, ob die aktuell eingestellten Zugriffsrechte noch dem tatsächlichen Bedarf entsprechen.

So kommt es in den meisten Unternehmen nach und nach zu einem sogenannten Privilege Creep, wodurch das Risiko für Datenmissbrauch, -Datendiebstahl und letzten Endes auch für eine Datenpanne steigt.

Die Software teilt alle benötigten Standardrechte automatisch zu und entfernt sie auch automatisch wieder, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern. Auf diese Weise können sich keine überflüssigen Rechte “ansammeln”. Wir sprechen in diesem Zusammenhang auch von User Lifeycycle Management.

Daten schützen mit tenfold

tenfold ist eine unkomplizierte IAM-Lösung, die darauf ausgelegt ist, auf Basis von Best Practices innerhalb kurzer Zeit in Betrieb genommen zu werden. Die Software ist hervorragend an die Bedürfnisse von mittelständischen Organisationen angepasst und schützt den Zugang zu sensiblen Daten sowohl on-Premise als auch in der Cloud und in hybriden Umgebungen.

Q&a Was

zusammenhängende Posts

Wie lange hält sich frischer Lachs im Kühlschrank
Wie lange hält sich frischer Lachs im Kühlschrank

What was the impact of the columbian exchange
What was the impact of the columbian exchange

Wo bekomme ich eine bahncard
Wo bekomme ich eine bahncard

Euro6 w pi/ci m n1 i bedeutung
Euro6 w pi/ci m n1 i bedeutung

Behandle andere so, wie du von ihnen behandelt werden willst zitat
Behandle andere so, wie du von ihnen behandelt werden willst zitat

Warum der unterschied im baulohn zwischen ost und west
Warum der unterschied im baulohn zwischen ost und west

Wie stellt man den zeilenabstand bei word ein
Wie stellt man den zeilenabstand bei word ein

Was ist der unterschied zwischen moslem und muslim
Was ist der unterschied zwischen moslem und muslim

Was ist so schlimm an einer Wurzelbehandlung?
Was ist so schlimm an einer Wurzelbehandlung?

Welche smartwatch für iphone 7
Welche smartwatch für iphone 7

Which of the following provides the most protection against malware encryption keyloggers updates
Which of the following provides the most protection against malware encryption keyloggers updates

Which of the following is a legitimate responsibility of an Organisation regarding user private data?
Which of the following is a legitimate responsibility of an Organisation regarding user private data?

Die aktion kann nicht abgeschlossen werden da
Die aktion kann nicht abgeschlossen werden da

Zucchini rezepte mit hackfleisch und kartoffeln
Zucchini rezepte mit hackfleisch und kartoffeln

In which type of social engineering attack does an attacker lie about having authority or use their high status in a company to force victims to provide information?
In which type of social engineering attack does an attacker lie about having authority or use their high status in a company to force victims to provide information?

Which type of attack does the attacker infect a website that is often visited by the target users quizlet?
Which type of attack does the attacker infect a website that is often visited by the target users quizlet?

Die sparkasse bremen - filiale bremen bremen
Die sparkasse bremen - filiale bremen bremen

Which Encryption is a chip on the motherboard of a computer that provides cryptographic services quizlet?
Which Encryption is a chip on the motherboard of a computer that provides cryptographic services quizlet?

Welche berufe gibt es bei der polizei außer polizist
Welche berufe gibt es bei der polizei außer polizist

Which concept of cryptography is used to make the ciphertext look significantly different than the plaintext after encryption?
Which concept of cryptography is used to make the ciphertext look significantly different than the plaintext after encryption?

Werbung

NEUESTEN NACHRICHTEN

Số dư tối thiểu OCB OMNI
1 Jahrs vor . durch InterveningInstruction
How long does professional hair dye last
1 Jahrs vor . durch UnidentifiedGirlfriend
東京応化 格付け
1 Jahrs vor . durch DeadlyCheerleader
When the price of a product is increased 10 percent the quantity demanded decreases 5 percent in this range of prices demand for this product is?
1 Jahrs vor . durch Hit-and-runWithholding
Organizing involves classifying and dividing work into manageable units with a logical structure.
1 Jahrs vor . durch GratingTuesday
A community health nurse is working to meet the health care needs of residents
1 Jahrs vor . durch MomentaryImmunity
A test that has a high correlation with some well-accepted outcome measure provides evidence for
1 Jahrs vor . durch WashedCalamity
Convert wrapper class to map apex
1 Jahrs vor . durch DeservingNourishment
What is the difference between the compound interests on Rs 5000 for 2 years at 4% per annum compounded yearly and half yearly?
1 Jahrs vor . durch Full-fledgedTransmission
Which stage of the product life cycle requires marketers to pay particular attention to the distribution of their product?
1 Jahrs vor . durch PsychoanalyticImmunity

Toplisten

#1
Top 8 leichter wohnwagen mit separater dusche 2022
1 Jahrs vor
#2
Top 8 ab wann können welpen ihre blase kontrollieren 2022
2 Jahrs vor
#3
Top 8 zeichnen lernen für kinder online 2022
2 Jahrs vor
#4
Top 8 schluss machen trotz liebe text 2022
1 Jahrs vor
#5
Top 7 ich kann es kaum erwarten, dich wieder zu sehen 2022
2 Jahrs vor
#6
Top 8 wie fallen calvin klein sneaker aus 2022
1 Jahrs vor
#7
Top 5 mi band 3 schrittzähler einstellen 2022
1 Jahrs vor
#8
Top 4 verbreitung von samen und früchten durch tiere 2022
2 Jahrs vor
#9
Top 9 sich gegenseitig gut tun englisch 2022
2 Jahrs vor
#10
Top 7 in welcher staffel wird elena zum vampir 2022
2 Jahrs vor

Werbung

Populer

Token Data

Werbung

Um

Legal

Hilfe

Sozial

homeendefrjakoptzhhiit
Urheberrechte © © 2024 wiewird Inc.