Was ist ein “Security Breach”?

Wir klären auf, was eigentlich ein “Security Breach” (zu Deutsch: Sicherheitsvorfall) ist, wie es dazu kommen kann, was die Folgen sind und vor allem: Welche vorbereitenden Maßnahmen man treffen sollte.

Von einem “Sicherheitsvorfall” oder auch “Security Breach” spricht man im IT-Kontext von einem Ereignis, bei dem bewusst oder unbewusst Daten unbefugten Dritten zugänglich gewesen sind, oder sich Zugang (oft unter Umgehung bestehender Sicherheitsmaßnahmen) zu IT-Systemen verschafft worden ist.

Sicherheitsvorfälle, können im unternehmerischen Kontext schwerwiegende Folgen haben, die von der Nichterreichbarkeit des Services bin zu Datenverlust oder Datendiebstahl gehen können. In der EU und Deutschland sind besonders sog. “Data Breaches” in der Regel meldepflichtig.

Statistic: Annual amount of monetary damage caused by reported cybercrime in the United States from 2001 to 2022 (in million U.S. dollars) | Statista
Find more statistics at Statista

Welche Formen von Security Breaches gibt es?

Datenlecks

Als Datenleck bezeichnet man gemeinhin die Offenlegung (sensibler) Daten. In der Regel entstehen solche Lecks durch Fehlkonfigurationen von Systemen, Softwarefehler oder menschliches Versagen.
Ein Klassiker ist z.B. ein falsch konfigurierter Webserver, der ohne Zugriffsschutz Kundendaten beim Aufruf einer URL zur Verfügung stellt. Oder ein Webserver, der sog “Directory Listing” in Verzeichnissen aktiviert hat, bei denen das tunlichst nicht der Fall sein sollte.

Unbefugte Zugriffe

Ein “unbefugter Zugriff” im IT-Kontext bezieht sich auf die nicht autorisierte oder nicht genehmigte Nutzung oder den Zugriff auf Computerressourcen, Daten, Systeme oder Netzwerke. Dies bedeutet, dass eine Person oder eine Entität auf Informationen oder Ressourcen zugegriffen hat, für die sie keine ausdrückliche Erlaubnis oder Berechtigung hatte.

Denial-of-Service (DoS) oder Distributed Denial-of-Service (DDoS) Angriffe

Ein Denial-of-Service (DoS)-Angriff und ein Distributed Denial-of-Service (DDoS)-Angriff sind zwei Arten von Cyberangriffen, bei denen das Ziel darin besteht, die Verfügbarkeit eines Dienstes, einer Website oder eines Netzwerks zu beeinträchtigen oder zu verhindern. Es handelt sich also nicht um ein konkretes Eindringen in Systeme, sondern das Unterbinden der Funktionalität des Services.
In der Praxis wird beispielsweise ein (Web-)Server von einem Angreifer mit derart vielen Anfragen geflutet, dass er diese nicht mehr abarbeiten kann. Da der Server nicht zwischen Angreifer und regulären Anfragen unterscheiden kann, ist er auch für legitime Anfragen nicht mehr erreichbar.
Dieser sog. DoS-Angriff lässt sich von modernen Systemen mittlerweile erkennen, da die Anfragen in der Regel von einer IP-Adresse oder zumindest aus einem IP-Adressblock kommen. So kann der entsprechende Block gesperrt werden und der Dienst ist wieder verfügbar.
Bei einer Distributed-DoS-Attacke (DDoS) fällt diese Option weg, da die Anfragen etliche unterschiedliche Ursprünge haben (=distributed sind).

Phishing

Für das Ausspähen von Daten oder das Einbrechen in Systeme sind in der Regel Zugangsdaten erforderlich (oder das Ausnutzen von Sicherheitslücken). Für das Ausspähen von Zugangsdaten kann man Malware (wie z.B. Keylogger) verwenden, die aber auch ersteinmal auf das System kommen müssen.
Viel einfacher für den Angreifer ist da tatsächlich in der Regel Phishing oder “Social-Engineering”.
Hier gibt sich der Angreifer als ein Firmenkontakt aus, oder fälscht E-Mails von Banken oder Geschäftspartnern und versteckt eigene Links und Anhänge mit Malware in diesen Mails.
Gute Tipps und Tricks, wie man sich vor Phishing schützen kann, finden sich im Ratgeber von GData.

Sonderfall “Data Breach”

Durch die immer weiter zunehmende Digitalisierung und eine in der Gesellschaft zunehmende Sensibilisierung für Datenschutz, sind besonders die sogenannten “Data Breaches” in letzter Zeit immer prominenter in der Berichterstattung vertreten. Nicht zuletzt auch, weil diese Form der Sicherheitsvorfälle a) zunimmt und b) die Anzahl der veröffentlichten Datensätze und betroffenen Personen massiv zunimmt.

Beispiele für Data Breaches:

  1. SolarWinds-Breche (2020): Dies war einer der größten und schwerwiegendsten Cyberangriffe der letzten Jahre. Angreifer haben die Software-Updates von SolarWinds, einem führenden IT-Management-Unternehmen, kompromittiert, um in die Netzwerke von Hunderten von Unternehmen und Regierungsbehörden einzudringen.
  2. Facebook (2019): Daten von mehreren Hundert Millionen Facebook-Nutzern wurden auf einem öffentlich zugänglichen Server ohne Authentifizierung gespeichert. Diese Daten waren für jeden im Internet sichtbar.
  3. Capital One (2019): Bei diesem Vorfall wurden die Daten von rund 100 Millionen Kunden von Capital One gestohlen. Der Täter war eine ehemalige Mitarbeiterin des Unternehmens.
  4. Equifax (2017): Eine der größten Kredit-Auskunfteien der USA, Equifax, erlitt eine massive Datenverletzung, bei der persönliche Daten von 147 Millionen Menschen, einschließlich Sozialversicherungsnummern und Kreditkarteninformationen, gestohlen wurden.
  5. Marriott International (2018): Bei diesem Vorfall wurden Daten von etwa 500 Millionen Gästen des Marriott-Hotelnetzwerks kompromittiert, darunter Namen, Adressen, Kreditkartendaten und Passnummern.
  6. Yahoo (2013 und 2014): In zwei großen Verstößen wurden Daten von insgesamt 3 Milliarden Yahoo-Nutzern gestohlen. Dazu gehörten E-Mail-Adressen, Passwörter und persönliche Informationen.
  7. eBay (2014): Die Daten von rund 145 Millionen eBay-Nutzern wurden bei einem Einbruch gestohlen, einschließlich Namen, E-Mail-Adressen und verschlüsselten Passwörtern.

Diese Datenverletzungen haben zu erheblichen finanziellen Verlusten, rechtlichen Konsequenzen und Datenschutzbedenken geführt. Sie verdeutlichen die Notwendigkeit eines robusten Sicherheitsmanagements und die Wichtigkeit, persönliche und sensible Daten angemessen zu schützen.

Wie kann man Data Breaches vorbeugen?

Als Betreiber gilt es, die eigenen Systeme bestmöglich zu schützen. Als Nutzer sollte man nach dem Prinzip der “Datensparsamkeit” nur die Daten angeben und mitteilen, die wirklich notwendig sind.

Welche Maßnahmen sollten zur Vermeidung von Security Breaches im Allgemeinen ergriffen werden?

  • Software und Systeme aktualisieren und auf dem aktuellen Stand halten. Dass es Fehler und Sicherheitslücken in Software und Systemen gibt, ist leider ein Faktum. Oftmals werden Fehler aber erst mit der Zeit entdeckt – und dann von Entwicklern behoben. Diese Fehlerbehebungen werden in neuen Versionen und Updates ausgespielt. Wenn es zu Sicherheitsvorfällen durch nicht gepatchte Sicherheitslücken kommt, kann man schon beinahe von Fahrlässigkeit sprechen.
  • Konfiguration gewissenhaft vornehmen und regelmäßig überprüfen. Software und Systeme müssen nach der Installation eingerichtet und konfiguriert werden. Oftmals ist die Standardkonfiguration nicht an die eigenen Sicherheitsbedürfnisse angepasst, oder sogar bewusst unsicher.
  • Rechtemanagement berücksichtigen. Etablieren Sie ein Zugriffs- und Rechtemanagement, das möglichst granular Nutzern nur die Rechte und Zugriffe gewährt, die vorher definiert worden sind.
  • Für Phishing und Social Engineering sensibilisieren. Einer der größten Angriffsvektoren – und vor allem einer der unberechenbarsten – ist der Mensch. Es sollten also im besten Fall alle Personen, die Kontakt zu möglichen Angriffsvektoren für Phishing (also z.B. alle Personen mit Mailzugriff) dafür sensibilisiert werden, dass Links und Anhänge in E-Mails zunächst – Ebenso wie der Sender – überprüft werden müssen.
    Viele Mailserver und Mailclients können hier bereits technische Unterstützung, wie das Überprüfen der Echtheit des Absenders, bieten.
  • Insbesondere bei Netzwerken: Zugriffsschutz und Konfiguration mittels Firewall. Eine Firewall, die zentral die Zugriffspunkte auf das System und das Netzwerk regelt ist unbedingt zu empfehlen.
  • Grundsätzlich zu empfehlen: Deny-All-Strategie. Es sollte immer und grundlegend – vor allem bei der Etablierung eines Rechtesystems sowie der Konfiguration einer Firewall nach dem “Deny-All-Prinzip” verfahren werden. Das bedeutet, dass alles, was nicht ausdrücklich per Regel erlaubt worden ist, verboten ist.
    Bei einer Firewall werden so beispielsweise zunächst alle Verbindungen und Zugriffe geblockt, und dann nur diese freigegeben, die benötigt werden.
    Dieser Ansatz bietet neben z.B. Zero-Trust den großen Vorteil, dass der Administrator nicht irgendeinen Zugriffsweg vergessen kann, sondern nur die Zugriffe erlaubt sind, die er zuvor aktiv eingerichtet hat.

Fazit: Bei der Daten- und Systemsicherheit am Ball bleiben

Ein hundertprozentige Sicherheit gibt es nicht. Aber mit der Berücksichtigung einiger Grundregeln wie aktuellen und gepatchten Systemen, Sensibilisierung für Phishing und Social Engineering und Zugriffsschutzregimen lässt sich die Sicherheit sensibler Daten und Systeme massiv erhöhen.
Machen Sie es potentiellen Angreifern so schwierig wie möglich.


Bildnachweis: DATEI NR.:  443702089 – Adobe Stock – von ZETHA_WORK

Ähnliche Beiträge

Rückmeldungen