Aug
7

Die wichtigsten 4 menschlichen Ursachen von Datenschutzverletzungen

Die wichtigsten 4 menschlichen Ursachen von Datenschutzverletzungen

August 7
By

Übersetzung eines auf Englisch verfassten Artikels für die Recovery Zone. Den Originalartikel finden Sie hier.

Die Hacker von heute sind mutig, anspruchsvoll und suchen nach dem nächsten großen Erfolg. Laut einer aktuellen Studie des Ponemon Institute steigt die Wahrscheinlichkeit, dass ein Unternehmen Datenschutzverletzungen erleidet, von Jahr zu Jahr, und die durchschnittlichen Kosten einer Datenschutzverletzung betragen satte 3,86 Millionen USD. Interessanterweise werden sensible Daten nicht immer durch komplexe Cyber-Angriffe preisgegeben. Großangriffe mögen die umfangreichste Berichterstattung erhalten, aber viele Datenschutzverletzungen treten aufgrund einfacher menschlicher Fehler auf. Wenn Sie also darüber nachdenken, wie Sie Ihre Sicherheit erhöhen können, vergessen Sie nicht, diese vier menschlichen Ursachen für Datenschutzverletzungen zu berücksichtigen.

Fehler bei E-Mail-Nachrichten

Da viele E-Mail-Clients die Empfängeradresse bei der Eingabe automatisch ergänzen, können Benutzer ein Dokument versehentlich an die falsche Person senden. Aber das ist nur eine Möglichkeit, wie es passieren kann. Vor einem Jahr wurde die Gloucestershire Police mit einer Geldstrafe von 80.000 GBP (etwa 87.000 Euro) belegt, weil sie versehentlich die identitäten von Missbrauchsopfern in einer Massen-E-Mail offengelegt hat. Laut ICO (einer unabhängigen britischen Organisation, die sich auf Informationsrechte konzentriert) schickte ein Polizist ein Update über einen Missbrauchsfall an Empfänger, die von den Opfern selbst bis hin zu Anwälten und Journalisten reichten. Anstatt die Funktion der Blind Carbon Copy (BCC) zu verwenden, schickte er die Nachricht direkt an alle Empfänger und enthüllte so die Namen und E-Mail-Adressen von 56 Personen. IT-Profis können Anwendern helfen, solche Probleme zu vermeiden, indem sie klare Richtlinien für den Zugriff und die gemeinsame Nutzung von Daten festlegen und sicherstellen, dass die Anwender verstehen, wie sie ihre Systeme nutzen.

Diese lästigen Cyber-Fälscher

Cyberkriminelle können auf Unmengen vertraulicher Informationen zugreifen, wenn sie einen Mitarbeiter davon überzeugen können, ihnen Anmeldedaten zu verraten:

Social Engineering – Im Jahr 2015, teilte die Krankenkasse Anthem mit, dass Angreifer geschützte Gesundheitsinformationen erhalten haben einschließlich Sozialversicherungsnummern, Namen, Adressen und mehr. Die Angreifer verwendeten Social Engineering-Techniken, um Administrator-Anmeldedaten zu stehlen. Fast 80 Millionen Kundendaten wurden offengelegt und die Kosten wurden auf über 31 Milliarden USD geschätzt.

Phishing – Wir alle erinnern uns an die Datenschutzverletzung von Sony Pictures Entertainment im Jahr 2014, der alles von E-Mails bis hin zu ganzen unveröffentlichten Filmen offenlegte. Diese Hacker haben wahrscheinlich Zugriff auf die Systeme von Sony mithilfe eines Phishing-Angriffs erlangt, der aus gefälschten Apple ID-Verifizierungs-E-Mails bestand. Nachdem die Hacker Apple IDs von Top-Managern erhalten hatten, verwiesen sie auf LinkedIn-Profile, um Netzwerkbenutzernamen zu erraten, und gingen dann korrekt davon aus, dass einige Führungskräfte das gleiche Passwort für ihre Apple ID und ihre Netzwerkanmeldung verwenden würden. Sony soll 35 Millionen USD für die Reparatur der Datenschutzverletzung ausgegeben haben.

Es gibt zwei wichtige Erkenntnisse aus diesen Geschichten. Eine davon ist, dass Social Engineering eine leistungsfähige Möglichkeit für Angreifer sein kann, Daten zu extrahieren. IT-Profis müssen den Anwendern helfen, solche Angriffe zu erkennen und entsprechende Richtlinien umzusetzen. Zweitens sollten Benutzer immer unterschiedliche Kennwörter für ihre Konten erstellen. Dies sollte zwar inzwischen eine offensichtliche Vorsichtsmaßnahme sein, aber eine im Mai durchgeführte Umfrage ergab, dass 59 Prozent der Menschen überall das gleiche Kennwort verwenden. Stellen Sie sicher, dass die Benutzer das Risiko kennen, das sie eingehen, wenn sie ihre Kennwörter nicht diversifizieren.

Schlechte Lieferantenauswahl

Datenschutzverletzungen treten nicht immer aufgrund der Schwachstellen in Ihrem Unternehmen auf. Manchmal geschieht es über einen Ihrer Lieferanten. Die Datenschutzverletzung bei Target im Jahr 2013 erfolgte aufgrund eines Fehlers in den Systemen eines Klimaanlagenanbieters, die mit den internen Systemen von Target vernetzt waren. Es ist wichtig, jeden Anbieter zu überprüfen, mit dem Sie Geschäfte machen, aber es ist geradezu entscheidend, ob er Ihre sensiblen Daten oder Systeme speichert oder mit ihnen interagiert. Reduzieren Sie Ihr Risiko, indem Sie die Anbieter auffordern, ihre Sicherheitsverfahren zu überprüfen und Klauseln in ihren Vertrag aufzunehmen, die sie verpflichten, die Haftung zu übernehmen, wenn es zu einer Datenschutzverletzung im Zusammenhang mit ihren Systemen kommt.

Bedrohung von innen

Hacker scheinen die Bösewichte zu sein, aber Mitarbeiter haben unmittelbaren Zugriff auf Ihre sensiblen Informationen. Unzuverlässige Kollegen, verärgerte aktuelle Mitarbeiter oder solche, denen kürzlich gekündigt wurde, könnten Geräte und Daten stehlen, in der Hoffnung, sie gewinnbringend verkaufen zu können. Konzentrieren Sie sich darauf, dieses Verhalten durch die Schaffung einer Kultur der Verantwortlichkeit am Arbeitsplatz zu vermeiden, um Ihr Risiko zu reduzieren. Stellen Sie außerdem sicher, dass die Mitarbeiter nur dann auf kritische Informationen zugreifen können, wenn sie diese benötigen. Schließlich sollten Sie Geräte und den Netzwerkzugang unmittelbar nach (oder sogar während) der Kündigung des Mitarbeiters widerrufen, wenn Sie Personalwechsel vorgenommen haben.

Fazit

Man könnte argumentieren, dass der Mensch jede Datenschutzverletzung verursacht. Abgesehen von böswilligen Datenschutzverletzungen oder Hardwareausfällen sind die Menschen für die Entscheidungen, die sie treffen, und für die Arbeit verantwortlich, die sie ausführen, um die Datensicherheit zu gewährleisten. IT-Administratoren sollten alles in ihrer Macht Stehende tun, um die Sicherheit erfolgsentscheidender Informationen zu gewährleisten, damit sie nicht am Ende die hohen Kosten zahlen müssen, die mit Datenschutzverletzungen verbunden sind.