23andMe regt zum Umdenken beim Schutz von Daten an
Kürzlich machte 23andMe, der beliebte DNA-Testdienst, ein überraschendes Eingeständnis: Hacker hatten sich unbefugten Zugriff auf die persönlichen Daten von 6.9 Millionen Benutzern verschafft, insbesondere auf die Daten ihrer „DNA-Verwandten“.
Diese Art von aufsehenerregendem Verstoß sorgte weltweit für Schlagzeilen und unterstreicht natürlich die Notwendigkeit strenger Sicherheitsmaßnahmen beim Umgang mit Unternehmensdaten – insbesondere bei der Art sensibler genetischer Informationen, für die 23andMe verantwortlich ist. Obwohl der Hacker offenbar eine Taktik namens Credential Stuffing anwenden muss, um auf die Kundenkonten von 23andMe zuzugreifen, wirft dies Organisationen, IT-Managern und Sicherheitsexperten jedoch umfassendere Fragen zu den Sicherheitsmaßnahmen auf, die allgemeiner zur Aufbewahrung von Unternehmens- und Verbraucherdaten eingesetzt werden Sicher vor Bedrohungsakteuren? Für viele Unternehmen stellt sich heute die zentrale Frage, wo und wie sie ihre Daten hosten – insbesondere wenn man bedenkt, dass die Daten von 23andMe Berichten zufolge ausschließlich auf Cloud-Servern gespeichert wurden?
Mark Grindey, CEO von Zeus Cloud, erklärt, dass eine Möglichkeit für Unternehmen, ähnliche Risiken zu mindern, darin besteht, lokale und hybride Cloud-Lösungen zu implementieren. Er erläutert, wie diese Technologien eine entscheidende Rolle beim Schutz von Unternehmensdaten spielen können – wie beispielsweise den wichtigen genetischen Daten von 23andMe – und gibt Einblicke in die wichtigsten Schritte, die Unternehmen unternehmen können, um sicherer zu werden.
Erzielen einer direkten Kontrolle über die Daten
Im Fall von 23andMe sind die kompromittierten „DNA Relatives“-Daten von immensem Wert und äußerst sensibel. Dies liegt daran, dass es Einzelpersonen ermöglicht, auf der Grundlage gemeinsamer genetischer Informationen mit potenziellen Verwandten in Kontakt zu treten. Diese Art wertvoller Daten wird jedoch oft zum Ziel von Cyberkriminellen, die sie für verschiedene Zwecke ausnutzen wollen, darunter Identitätsdiebstahl, Betrug und andere schändliche Aktivitäten. Um diese Art von Informationen zu schützen, müssen Unternehmen daher robuste Sicherheitsmaßnahmen implementieren, die die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleisten.
Mit On-Premises-Lösungen kann ein Teil dieses Schutzes effektiv erfolgen und beinhaltet das Hosten von Daten und Anwendungen innerhalb der eigenen physischen Infrastruktur einer Organisation. Dieser Ansatz gibt Unternehmen die direkte Kontrolle über ihre Daten und ermöglicht ihnen die Implementierung strenger Sicherheitsprotokolle. Durch die Speicherung genetischer Daten vor Ort ist eine Organisation wie 23andMe beispielsweise in der Lage, diese hinter mehreren Schichten von Firewalls und Intrusion-Detection-Systemen zu schützen und so das Risiko externer Sicherheitsverletzungen zu verringern. Darüber hinaus kann der Zugriff auf diese Daten auf autorisiertes Personal beschränkt werden, wodurch das Risiko interner Datenlecks minimiert wird.
Eine weitere Denkrichtung, die für viele Unternehmen eine Überlegung wert ist, ist der Einsatz hybrider Cloud-Lösungen. Dieser Ansatz vereint die Vorteile von On-Premise- und Cloud-basierten Diensten. Organisationen können öffentliche oder private Clouds angemessen nutzen, um nicht sensible Daten zu speichern und gleichzeitig sensible Informationen – wie genetische Informationen im Fall von 23andMe – vor Ort zu behalten. Diese Methode bietet Unternehmen die Flexibilität, Ressourcen zu skalieren und schwankenden Benutzeranforderungen gerecht zu werden und gleichzeitig eine strenge Datenkontrolle aufrechtzuerhalten. Bei richtiger Einrichtung und Konfiguration – unter Verwendung verschlüsselter Verbindungen und robuster Authentifizierungsmechanismen – sorgen Hybrid-Cloud-Lösungen dafür, dass eine sichere Datenübertragung zwischen den On-Premise- und Cloud-Umgebungen erfolgt.
Schritte zur Verhinderung von Datenschutzverletzungen
Während die Implementierung von On-Premises- und Hybrid-Cloud-Lösungen das Risiko von Datenschutzverstößen und unbefugtem Zugriff auf Daten erheblich reduzieren kann, gibt es noch mehrere andere wichtige Schritte und Techniken, die Unternehmen ergreifen und nutzen können, um Daten vor Verstößen zu schützen und zu schützen.
So offensichtlich es für viele in der Branche auch erscheinen mag, ist es heute von entscheidender Bedeutung, Daten während der Speicherung und Übertragung zu verschlüsseln. Dadurch werden kompromittierte Daten für unbefugte Benutzer bedeutungslos, selbst wenn es Bedrohungsakteuren gelingt, Zugriff darauf zu erhalten. Auch die Implementierung einer Multi-Faktor-Authentifizierung ist von entscheidender Bedeutung. Es stärkt die Zugangskontrollen und fügt eine zusätzliche Sicherheitsebene hinzu. Benutzer, die versuchen, auf Daten zuzugreifen, sollten effektiv aufgefordert werden, mehrere Formen der Verifizierung bereitzustellen, wie z. B. Passwörter, biometrische Daten oder Smartcards, um auf ihre genetischen Daten zuzugreifen. Im Fall von 23andMe bieten sie ihren Nutzern diesen Ansatz zwar an, aber angesichts des jüngsten Verstoßes sollte die Verwendung dieses Ansatzes vielleicht zur Pflicht gemacht werden?
Darüber hinaus wird empfohlen, dass Unternehmen regelmäßig Sicherheitsüberprüfungen durchführen, um Schwachstellen zu identifizieren und die Einhaltung von Branchenstandards und Best Practices sicherzustellen. Dabei geht es darum, die Wirksamkeit von Sicherheitsprotokollen zu testen und eventuelle Unstimmigkeiten umgehend zu beheben.
Schließlich ist kein robustes Sicherheitskonzept vollständig, ohne die Mitarbeiter angemessen zu schulen und sich ihrer Verantwortung für die Sicherung und den Schutz von Daten bewusst zu machen. Regelmäßige Sicherheitsbewusstseinsprogramme helfen den Mitarbeitern, ihre Rollen und Verantwortlichkeiten beim Schutz von Daten zu verstehen.
Auch wenn 23andMe behauptet, dass es die Datenschutzstandards der Branche übertrifft und drei verschiedene ISO-Zertifizierungen erhalten hat, um die Stärke seines Sicherheitsprogramms zu demonstrieren, und dass es seine Systeme regelmäßig aktiv überwacht und prüft, ist ein Vorfall wie dieser mit der PR- und Medienaufmerksamkeit verbunden Die gewonnenen Erkenntnisse werden zweifellos dazu geführt haben, dass das Team alle seine Sicherheitsparameter evaluiert hat, einschließlich der weiteren Schulung seines Teams, um sicherzustellen, dass dies in Zukunft nicht mehr geschieht.
Zusammenfassung
Der jüngste Datenverstoß von 23andMe ist ein Weckruf für Organisationen, die mit Daten umgehen, insbesondere mit sensiblen genetischen Informationen, die von Verbrauchern bereitgestellt werden. Ein Vorfall dieser Art wird das Unternehmen natürlich dazu veranlasst haben, seine Sicherheitsrichtlinien und seinen Ansatz zur Sicherung von Unternehmens- und Kundendaten zu überdenken. Wenn andere Organisationen heute ihren Ansatz in Bezug auf Sicherheit und Datenschutz überdenken, werden viele prüfen, wo und wie ihre Daten gespeichert, verwaltet und abgerufen werden.
Dies gilt insbesondere für Banken, Telekommunikationsunternehmen, Versicherungen und viele andere Arten von Unternehmen. Auch hier bieten On-Premises- und Hybrid-Cloud-Lösungen leistungsstarke und effektive Möglichkeiten. Sie ermöglichen es Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken und sich vor potenziellen Datenschutzverletzungen zu schützen.
Die Kombination aus direkter Kontrolle über die bereitgestellten Daten sowie Tools und Taktiken wie Verschlüsselung, Multi-Faktor-Authentifizierung, Sicherheitsüberprüfungen und Mitarbeiterschulungen schafft einen umfassenden Schutz vor unbefugtem Zugriff auf Unternehmensdaten. All dies werden Unternehmen wie 23andMe und viele andere Organisationen berücksichtigen und priorisieren, wenn sie sich um die Einführung robusterer Sicherheitsmaßnahmen bemühen, die den Datenschutz und die Integrität von Unternehmens- und Verbraucherdaten gewährleisten.