Die wahren Kosten einer Datenschutzverletzung
Ekaterina Khrustaleva, COO von ImmuniWeb, zeigt die Risiken und Konsequenzen auf, die Unternehmen in Bezug auf Datenschutzverletzungen und gestohlene Zugangsdaten beachten müssen.
Daten sind ein sehr wichtiger Vermögenswert für jede Organisation und jedes Unternehmen. Jeden Tag sammeln Tausende von Unternehmen auf der ganzen Welt viele Daten (einschließlich sensibler Informationen) über ihre Kunden, Transaktionen und den täglichen Betrieb, und viele Unternehmen geben zu, dass Daten eines ihrer wertvollsten Vermögenswerte sind. Allerdings setzen selbst hochkarätige Unternehmen nicht immer Datensicherheit erstens, wodurch das Risiko eines Datenverlusts entsteht.
Bei einem der jüngsten Vorfälle ein anonymer Benutzer zum Verkauf anbieten eine Datenbank, die angeblich personenbezogene Daten (PII) von einer Milliarde chinesischer Bürger in einem Hackerforum zum Preis von 10 Bitcoins enthält, was es zur bisher größten bekannten Datenpanne in China macht.
Die Ermittlungen zur Sache enthüllt dass die Datenbank der Polizei von Shanghai gehörte und auf Alibaba gehostet wurde Cloud Plattform. Darüber hinaus wurden die Daten mit einer veralteten Technologie gespeichert, der grundlegende Sicherheitsfunktionen fehlten (nämlich ein Dashboard hatte keine Option zum Festlegen eines Passworts), wodurch sie für jeden verfügbar waren, der wusste, wo er suchen musste.
Nachdem die Nachricht brach, China Behörden betont die Notwendigkeit, die Informationssicherheit zu stärken, „um die Sicherheitsmanagementbestimmungen zu verbessern, die Schutzfähigkeiten zu erhöhen, persönliche Informationen, Privatsphäre und Geschäftsgeheimnisse in Übereinstimmung mit dem Gesetz zu schützen“.
Die Datenpanne von T-Mobile im Jahr 2021 ist ein weiteres Beispiel für ein riesiges Durchsickern personenbezogener Daten. Hacker Zugang erlangt in die Systeme des US-Telekommunikationsriesen eindrang und Daten von über 100 Millionen Kunden von den Servern von T-Mobile stahl. Die gestohlene Datenbank, die persönliche Daten wie Sozialversicherungsnummern, Telefonnummern, Namen, physische Adressen, eindeutige IMEI-Nummern und Führerscheininformationen enthielt, wurde dann auf einer dunklen Website zum Verkauf angeboten.
Vor kurzem hat das Unternehmen angekündigt Es wird 350 Millionen US-Dollar an Kunden zahlen, die von der Verletzung betroffen sind, plus 150 Millionen US-Dollar „für Datensicherheit und zugehörige Technologie in den Jahren 2022 und 2023“. Der Vergleich wäre eine der größten Strafen für Datenschutzverletzungen, die in den Vereinigten Staaten verhängt werden, nachdem die US-Kreditauskunftei Equifax (mindestens) 575 Millionen US-Dollar verhängt hat. Siedlung übrig die Datenpanne 2017.
In den letzten Jahren hat die Zahl der Datenschutzverletzungen erheblich zugenommen. Für Unternehmen können die Auswirkungen einer Datenschutzverletzung äußerst schwerwiegend sein, einschließlich finanzieller Verluste im Zusammenhang mit einem Sicherheitsvorfall, Schädigung des Rufs und des Kundenstamms eines Unternehmens sowie der Gefahr von Vorschriften und Strafen für Datenschutzverletzungen, wie z. B. denen in den allgemeinen Daten Datenschutzverordnung (DSGVO).
Einem aktuellen berichtenhaben Datenschutzaufsichtsbehörden in ganz Europa seit Januar 2021 insgesamt fast 1.1 Mrd. Das ist fast eine Versiebenfachung gegenüber 2020 insgesamt.
Die bisher höchste DSGVO-Strafe wurde von der luxemburgischen Nationalen Datenschutzkommission (CNDP) in Höhe von 746 Millionen Euro gegen einen US-Online-Händler verhängt, die bisher größte Geldbuße wegen Nichteinhaltung der DSGVO. Dies ist mehr als 14 Mal höher als die bisher größte DSGVO-Strafe (50 Millionen Euro), die von der französischen CNIL gegen Google verhängt wurde.
Die fortschrittlichsten Angriffe werden selten entdeckt, und viele große Unternehmen sind sich nicht einmal bewusst, dass sie verletzt wurden. Professionelle Black Hats haben absolut kein Interesse daran, dass ihr Opfer von der Verletzung erfährt, und tun ihr Bestes, um unsichtbar zu bleiben, indem sie jede Operation gründlich planen und verschiedene Nebelwände einsetzen, um die Aufmerksamkeit der Sicherheitsteams abzulenken.
Besonders große Unternehmen haben eine große Herausforderung bei der Erkennung von Eindringlingen, da Cyberkriminelle es meist auf ihre Niederlassungen, Partner, Lieferanten oder sogar Anteilseigner abgesehen haben, die nicht über ein so hohes Maß an Abwehr verfügen, aber Zugriff auf dieselben Daten haben.
Es ist kein Geheimnis, dass Datenschutzverletzungen für Unternehmen verheerend sein und sie Millionen von Dollar an Schäden kosten können. Laut dem Schätzungen, belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4.24 Millionen US-Dollar und liegen damit nur geringfügig unter den durchschnittlichen Kosten eines Ransomware-Vorfalls (4.62 Millionen US-Dollar).
Was die eigentlichen Ursachen von Datenschutzverletzungen betrifft, so haben Forscher gefunden zur Verbesserung der Gesundheitsgerechtigkeit Web Applikationen sind die Quelle von fast 50 % der Datenschutzverletzungen, entweder durch eine SQL-Injection (SQLi) oder eine andere Schwachstelle wie Remote Code Execution (RCE) oder einfache Offenlegung von Informationen.
Eine andere Studie ergab, dass fast die Hälfte (46 %) aller On-Premises-Datenbanken weltweit dies sind mit Sicherheitslücken, wobei Frankreich (84 %), Australien (65 %) und Singapur (64 %) häufiger unsichere Datenbanken aufweisen. Eine fünfjährige Längsschnittstudie mit fast 27,000 gescannten Datenbanken hat ergeben, dass die durchschnittliche Datenbank 26 vorhandene Schwachstellen enthält, wobei 56 % der Probleme als „Hoch“ und „Kritisch“ eingestuft werden.
Die Quintessenz? Die beste Verteidigung ist die Prävention. Indem sie sich über bewährte Sicherheitspraktiken und Compliance-Vorschriften auf dem Laufenden halten, können Unternehmen das Risiko von Datenschutzverletzungen minimieren.
Es gibt auch eine Reihe von Cybersicherheitsmaßnahmen, die Unternehmen ergreifen sollten, um ihre Daten vor potenziellen Angriffen zu schützen, wie z. B. die Trennung ihrer Datenbankserver von allem anderen, die Verwendung von Firewalls, Antiviren-, Intrusion Prevention- und Anti-Spyware-Software, die Implementierung von Mitarbeiterschulungen zur Cybersicherheit Best Practices sowie ein datenzentrierter Ansatz, der eine strenge Kontrolle darüber beinhaltet, wer bestimmte Dateien und Datensätze lesen kann, sowie Lösungen zur Verhinderung von Datenverlust (DLP).