Diese werden daraufhin weitergegeben, veröffentlicht, zerstört, beschädigt oder geändert. Ein Data Breach kann unter anderem durch folgende Szenarien entstehen:
Ein Hacker verschafft sich unbefugten Zugriff.
Absichtliches Fehlverhalten eines Mitarbeiters, z. B. eines Controllers, oder eines Datenverarbeiters.
Diebstahl und Verlust von Computern oder digitalen Geräten mit vertraulichen Informationen.
Social-Engineering-Angriffe wie Phishing und Smishing können Daten erbeuten, die für einen Data Breach genutzt werden können.
Derartige Angriffe werden immer häufiger und lukrativer, da sie teilweise Milliarden an Personendaten auf einmal erbeuten. So wurde der Internetkonzern Yahoo 2013 Opfer des größten Datendiebstahls zu jenem Zeitpunkt: Drei Milliarden Zugangsdaten wurden gestohlen, inklusive E‑Mail-Adressen, Namen, Telefonnummern und Passwort-Fragen. Ebenso pikant war der Data Breach beim Unternehmen Equifax im Jahr 2017, bei dem unter anderem amerikanische Sozialversicherungsnummern abgegriffen wurden. Mit diesen Nummern können sich Amerikaner bei Vertragsabschlüssen identifizieren.
Unterschied zwischen Data Breach und Datenleck
Vertrauliche Daten können auch durch ein Datenleck in unbefugte Hände gelangen. Der Unterschied zum Data Breach beruht auf der Art, wie beide passieren. Bei einem Datenleck geschieht kein Angriff. Stattdessen werden Daten unfreiwillig preisgegeben: Beispielsweise aufgrund von mangelhaften Sicherheitsstandards einer Firma, eines Unfalls oder weil ein Unbefugter eine bereits bestehende Sicherheitslücke des Unternehmens ausnutzt.
Das Endresultat ist jedoch dasselbe: Die Daten gelangen in fremde Hände und können zu Identitätsdiebstahl oder Kontoübernahmen führen. Beispiele gestohlener persönlicher Daten können persönliche Adressen, Kontoverbindungen, Gehälter oder Gesundheitsdaten sein. Abgesehen von dem großen Schaden, der für die einzelnen Personen entstehen kann, hat ein Data Breach große Auswirkungen auf die Reputation eines Unternehmens.
Wirtschaftliche Schäden in Millionenhöhe
Ein Data Breach kann für das Unternehmen teuer werden. In einem jährlich erscheinenden Bericht von IBM werden die durchschnittlichen Kosten analysiert, die ein Data Breach verursacht. 2021 hatten Firmen mit den höchsten Durchschnittskosten zu kämpfen: Zwischen 3,86 Millionen und 4,24 Millionen USD an Schäden haben Datendiebstähle angerichtet. Pannen, bei denen Fernarbeit eine Rolle spielt, sind mit durchschnittlich weiteren 1,07 Millionen USD, noch kostspieliger.
In heutigen Zeiten, in denen Homeoffice und Fernarbeit immer bedeutsamer werden, ist es daher umso wichtiger, alle Computersysteme, sowohl die in der Firma als auch private, ausreichend zu schützen.
So können Sie sich vor einem Data Breach schützen
Jede Person kann einem Data Breach zum Opfer fallen. Entweder auf dem eigenen Computer, über das Firmennetzwerk oder bei einem Onlinedienst, bei dem Sie angemeldet sind. Sicherheitssysteme helfen dabei, das Risiko zu minimieren. Auch ist es insbesondere als Firma wichtig, einen Plan vorzubereiten, wie ein Data Breach identifiziert werden kann und darauf reagiert werden soll.
Durchdachte Sicherheitsstrategie
Um sich vor einem Data Breach zu schützen, sollten Sie umfassende Sicherheitsprozedere entwickeln. In einem Unternehmen macht es durchaus Sinn, alle IT-Sicherheitsaufgaben zentral steuern zu lassen.
Professionelle Sicherheitssoftware
Sie sollten niemals ohne Virenschutz und Firewalls im Internet unterwegs sein. Mit F‑Secure Total sagen Sie Viren, Trojanern, Ransomware und anderer Malware den Kampf an. Falsche Websites, die versuchen, an Ihr Geld oder Ihre Daten zu gelangen, werden automatisch geblockt. Auch Ihr WLAN kann mithilfe der richtigen Programme abgesichert werden — unzureichend geschützte WLAN-Netzwerke sind ein guter Angriffspunkt für Hacker.
Sichere Passwörter verwenden
Vermeiden Sie es stets, ein einzelnes Passwort für mehrere Dienste zu verwenden. Sollte ein Passwort gehackt werden, sind so nicht alle Dienste und Daten auf einmal betroffen. Mit einem Passwortmanager können Sie starke Passwörter kreieren und diese sicher speichern. Sobald ein von Ihnen genutzter Onlinedienst von einem Datenleck oder Datenklau betroffen ist, werden Sie in Echtzeit darüber informiert und können so schnell reagieren.
Bleiben Sie anonym
Mit einem VPN können Sie Ihre Privatsphäre im Internet schützen und so verhindern, dass Hacker Ihre Internetaktivitäten ausspionieren.
Halten Sie Ihre Systeme aktuell
Jegliche Betriebssysteme, Browser, Programme und Sicherheitssoftwares müssen zu jedem Zeitpunkt aktuell sein, um Hackern keine Sicherheitslücke zu bieten. Achten Sie zudem darauf, dass von Ihnen genutzte Plug-ins stets aktualisiert sind, da diese ein beliebtes Angriffsziel von Hackern sind, um an Passwörter zu gelangen.
Gute Vorbereitung ist alles
Können Sie einen Data Breach erkennen und wenn ja, wie müssen Sie im Falle eines solchen reagieren — sowohl firmenintern als auch extern? Eine gute Vorbereitung auf Krisensituationen ist wichtig und kann Ihnen unter Umständen viel Geld und Nerven sparen sowie Ihre Reputation retten.
Die folgende Checkliste soll Ihnen dabei helfen, einen Krisenplan zu entwickeln:
Können Sie und Ihre Mitarbeiter einen Data Breach identifizieren? Schulen Sie alle Personen des Unternehmens zu Social-Engineering-Techniken.
Verstehen Sie, dass es nicht nur um den Verlust von Personendaten geht, sondern potenziell um viel Geld und Ihre Reputation.
Bereiten Sie einen Reaktionsplan für eine mögliche Datenpanne vor: Wer muss informiert werden, wie schnell und worüber?
Bestimmen Sie ein spezifisches Team oder einen Verantwortlichen für die Handhabung des Data Breach.
Stellen Sie sicher, dass Ihre Mitarbeiter wissen, wie sie einen eventuellen Data Breach an die Verantwortlichen melden können.
Das müssen Sie beachten, falls Sie Opfer eines Data Breach werden
Per Gesetz sind Sie dazu verpflichtet, Datenpannen innerhalb von 72 Stunden an die entsprechende Aufsichtsbehörden zu melden. Diese Meldefrist beginnt jedoch erst, sobald Sie Gewissheit über die Datenschutzverletzungen haben. Lassen Sie sich dafür jedoch nicht zu viel Zeit — sollten Sie einer Drohung eines Hackers zum Beispiel per Telefon nicht (sofort) nachgehen und einen eventuellen Data Breach nicht überprüfen, drohen saftige Sanktionen.
Sind Privatpersonen vom Datenklau betroffen, müssen auch diese unverzüglich informiert werden. Es sei denn, es wurden Maßnahmen ergriffen, die das Risiko eindämmen. Alle Datenpannen müssen im Unternehmen dokumentiert werden.