Die wahren Kosten einer Datenschutzverletzung

Ekaterina Khrustaleva, COO von ImmuniWeb, zeigt die Risiken und Konsequenzen auf, die Unternehmen in Bezug auf Datenschutzverletzungen und gestohlene Zugangsdaten beachten müssen.

Daten sind ein sehr wichtiger Vermögenswert für jede Organisation und jedes Unternehmen. Jeden Tag sammeln Tausende von Unternehmen auf der ganzen Welt viele Daten (einschließlich sensibler Informationen) über ihre Kunden, Transaktionen und den täglichen Betrieb, und viele Unternehmen geben zu, dass Daten eines ihrer wertvollsten Vermögenswerte sind. Allerdings setzen selbst hochkarätige Unternehmen nicht immer Datensicherheit erstens, wodurch das Risiko eines Datenverlusts entsteht.

Bei einem der jüngsten Vorfälle ein anonymer Benutzer zum Verkauf anbieten eine Datenbank, die angeblich personenbezogene Daten (PII) von einer Milliarde chinesischer Bürger in einem Hackerforum zum Preis von 10 Bitcoins enthält, was es zur bisher größten bekannten Datenpanne in China macht.

Die Ermittlungen zur Sache enthüllt dass die Datenbank der Polizei von Shanghai gehörte und auf Alibaba gehostet wurde Cloud Plattform. Darüber hinaus wurden die Daten mit einer veralteten Technologie gespeichert, der grundlegende Sicherheitsfunktionen fehlten (nämlich ein Dashboard hatte keine Option zum Festlegen eines Passworts), wodurch sie für jeden verfügbar waren, der wusste, wo er suchen musste.

Nachdem die Nachricht brach, China Behörden betont die Notwendigkeit, die Informationssicherheit zu stärken, „um die Sicherheitsmanagementbestimmungen zu verbessern, die Schutzfähigkeiten zu erhöhen, persönliche Informationen, Privatsphäre und Geschäftsgeheimnisse in Übereinstimmung mit dem Gesetz zu schützen“.

Die Datenpanne von T-Mobile im Jahr 2021 ist ein weiteres Beispiel für ein riesiges Durchsickern personenbezogener Daten. Hacker Zugang erlangt in die Systeme des US-Telekommunikationsriesen eindrang und Daten von über 100 Millionen Kunden von den Servern von T-Mobile stahl. Die gestohlene Datenbank, die persönliche Daten wie Sozialversicherungsnummern, Telefonnummern, Namen, physische Adressen, eindeutige IMEI-Nummern und Führerscheininformationen enthielt, wurde dann auf einer dunklen Website zum Verkauf angeboten.

Vor kurzem hat das Unternehmen angekündigt Es wird 350 Millionen US-Dollar an Kunden zahlen, die von der Verletzung betroffen sind, plus 150 Millionen US-Dollar „für Datensicherheit und zugehörige Technologie in den Jahren 2022 und 2023“. Der Vergleich wäre eine der größten Strafen für Datenschutzverletzungen, die in den Vereinigten Staaten verhängt werden, nachdem die US-Kreditauskunftei Equifax (mindestens) 575 Millionen US-Dollar verhängt hat. Siedlung übrig die Datenpanne 2017.

In den letzten Jahren hat die Zahl der Datenschutzverletzungen erheblich zugenommen. Für Unternehmen können die Auswirkungen einer Datenschutzverletzung äußerst schwerwiegend sein, einschließlich finanzieller Verluste im Zusammenhang mit einem Sicherheitsvorfall, Schädigung des Rufs und des Kundenstamms eines Unternehmens sowie der Gefahr von Vorschriften und Strafen für Datenschutzverletzungen, wie z. B. denen in den allgemeinen Daten Datenschutzverordnung (DSGVO).

Einem aktuellen berichtenhaben Datenschutzaufsichtsbehörden in ganz Europa seit Januar 2021 insgesamt fast 1.1 Mrd. Das ist fast eine Versiebenfachung gegenüber 2020 insgesamt.

Die bisher höchste DSGVO-Strafe wurde von der luxemburgischen Nationalen Datenschutzkommission (CNDP) in Höhe von 746 Millionen Euro gegen einen US-Online-Händler verhängt, die bisher größte Geldbuße wegen Nichteinhaltung der DSGVO. Dies ist mehr als 14 Mal höher als die bisher größte DSGVO-Strafe (50 Millionen Euro), die von der französischen CNIL gegen Google verhängt wurde.

Die fortschrittlichsten Angriffe werden selten entdeckt, und viele große Unternehmen sind sich nicht einmal bewusst, dass sie verletzt wurden. Professionelle Black Hats haben absolut kein Interesse daran, dass ihr Opfer von der Verletzung erfährt, und tun ihr Bestes, um unsichtbar zu bleiben, indem sie jede Operation gründlich planen und verschiedene Nebelwände einsetzen, um die Aufmerksamkeit der Sicherheitsteams abzulenken.

Besonders große Unternehmen haben eine große Herausforderung bei der Erkennung von Eindringlingen, da Cyberkriminelle es meist auf ihre Niederlassungen, Partner, Lieferanten oder sogar Anteilseigner abgesehen haben, die nicht über ein so hohes Maß an Abwehr verfügen, aber Zugriff auf dieselben Daten haben.

Es ist kein Geheimnis, dass Datenschutzverletzungen für Unternehmen verheerend sein und sie Millionen von Dollar an Schäden kosten können. Laut dem Schätzungen, belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4.24 Millionen US-Dollar und liegen damit nur geringfügig unter den durchschnittlichen Kosten eines Ransomware-Vorfalls (4.62 Millionen US-Dollar).

Was die eigentlichen Ursachen von Datenschutzverletzungen betrifft, so haben Forscher gefunden zur Verbesserung der Gesundheitsgerechtigkeit Web Applikationen sind die Quelle von fast 50 % der Datenschutzverletzungen, entweder durch eine SQL-Injection (SQLi) oder eine andere Schwachstelle wie Remote Code Execution (RCE) oder einfache Offenlegung von Informationen.

Eine andere Studie ergab, dass fast die Hälfte (46 %) aller On-Premises-Datenbanken weltweit dies sind mit Sicherheitslücken, wobei Frankreich (84 %), Australien (65 %) und Singapur (64 %) häufiger unsichere Datenbanken aufweisen. Eine fünfjährige Längsschnittstudie mit fast 27,000 gescannten Datenbanken hat ergeben, dass die durchschnittliche Datenbank 26 vorhandene Schwachstellen enthält, wobei 56 % der Probleme als „Hoch“ und „Kritisch“ eingestuft werden.

Die Quintessenz? Die beste Verteidigung ist die Prävention. Indem sie sich über bewährte Sicherheitspraktiken und Compliance-Vorschriften auf dem Laufenden halten, können Unternehmen das Risiko von Datenschutzverletzungen minimieren.

Es gibt auch eine Reihe von Cybersicherheitsmaßnahmen, die Unternehmen ergreifen sollten, um ihre Daten vor potenziellen Angriffen zu schützen, wie z. B. die Trennung ihrer Datenbankserver von allem anderen, die Verwendung von Firewalls, Antiviren-, Intrusion Prevention- und Anti-Spyware-Software, die Implementierung von Mitarbeiterschulungen zur Cybersicherheit Best Practices sowie ein datenzentrierter Ansatz, der eine strenge Kontrolle darüber beinhaltet, wer bestimmte Dateien und Datensätze lesen kann, sowie Lösungen zur Verhinderung von Datenverlust (DLP).

Ekaterina Chrustaleva

Ekaterina Khrustaleva, Chief Operating Officer, ImmuniWeb

Ekaterina Khrustaleva hat einen Bachelor-Abschluss in Rechnungswesen und Finanzen . Sie absolvierte Executive-Programme in Cybersicherheit an der Harvard University, Blockchain an der Oxford University und Organisationsführung am IMD in Lausanne und begann ihre Karriere im Private Banking, wo sie vom aufstrebenden Markt für Cybersicherheit inspiriert wurde.

Ekaterina begann ihre Karriere im Bereich Cybersicherheit im Jahr 2010 als Vertriebsleiterin. Nach mehreren Beförderungen für Leistung und äußerst kreative Verkaufstaktiken wurde Ekaterina 2013 Chief Operating Officer eines führenden Penetrationstestunternehmens, High-Tech Bridge in Genf.

Heute leitet Ekaterina die weltweiten Vertriebsaktivitäten von ImmuniWeb. Sie spricht fünf Sprachen und ist außerdem für globale Partnerschaften und strategische Allianzen bei ImmuniWeb verantwortlich. Ekaterina ist Mitglied mehrerer privater Clubs, die die erfolgreichsten Wirtschaftsführer, Führungskräfte und Unternehmer zusammenbringen. Sie ist außerdem Mitglied von ISACA und Certified Data Privacy Solutions Engineer (CDPSE).

Ab Initio arbeitet mit der BT Group zusammen, um Big Data bereitzustellen

Lukas Konrad • 24. Oktober 2022

KI wird zu einem immer wichtigeren Element der digitalen Transformation vieler Unternehmen. Neben der Einführung neuer Möglichkeiten stellt dies auch eine Reihe von Herausforderungen für IT-Teams und die sie unterstützenden Datenteams dar. Ab Initio hat eine Partnerschaft mit der BT Group angekündigt, um seine Big-Data-Management-Lösungen auf BTs internem...

Die Metaverse verändert den Arbeitsplatz

Lukas Konrad • 28. Februar 2022

Wir betrachten die verschiedenen Möglichkeiten, wie das Metaverse den Arbeitsplatz und die Arbeitsweise von Unternehmen verändern wird, mit Kommentaren von Phil Perry, Head of UK & Ireland bei Zoom, und James Morris-Manuel, EMEA MD bei Matterport.  

Metaverse: Die Zukunft ist da!

Erin Laurenson • 24. Februar 2022

Wir haben einige Meinungen von Experten der Technologiebranche zum Metaverse eingeholt, darunter Lenovo, Alcatel-Lucent Enterprise, Plumm und Investment Mastery.