Cyberkriminelle
Jährlich werden Millionen Menschen zu Opfern von Datenlecks. Für die meisten davon endet das traurig: Die Hacker verkaufen Bankdaten auf Underground-Foren und Firmen müssen große Summen zahlen, um den Schaden der Kunden zu ersetzen.
Wir möchten nochmals auf die größten Datendiebstähle des vergangenen Jahres zurückblicken und sprechen über die Kosten der Daten- und Firmen-Reputation.
Gefährdete Händler
Große Warenhändler sind für Hacker ein echter Leckerbissen, denn sie speichern Millionen von Kundendaten. Im Jahr 2014 gab es da keine Ausnahme – hier die bekanntesten Fälle.
Angeblich hackte eine einzige Gruppe Cyberkrimineller gleich drei große Händlernetzwerke: die amerikanische Supermarktkette Target (70 Millionen Kundenakten inklusive Bankinformationen, Telefonnummern, E-Mail-Adressen und weiteren Daten gestohlen), den Kosmetikhändler Sally Beauty (25.000 Kundenakten gestohlen) und die Baumarktkette Home Depot (Bankdaten zu 56 Millionen Kreditkarten und 53 Millionen E-Mail-Adressen gestohlen).
56MM payment cards at risk in Home Depot data breach https://t.co/4sLyGWnLCU pic.twitter.com/pBNoIJwa3J
— Eugene Kaspersky (@e_kaspersky) September 19, 2014
Der Diebstahl bei Sally Beauty entwickelte sich recht komisch weiter, da die Hacker selbst gehackt wurden. Die gestohlenen Daten wurden in mehreren Underground-Webseiten angeboten. Kurz darauf hackte und verunstaltete jemand diese Seiten. Die „guten Hacker“ hinterließen eine Botschaft und ein Video aus dem Film „Men In Black“:
Es gab noch eine weitere, große Datenlücke im Händlerbereich: Den Diebstahl von Login-Daten und Passwörtern bei eBay, der bis zu 145 Millionen Kunden betraf. Das Unternehmen muss sich daher nun gegen eine Sammelklage verteidigen. Laut PC World übersteigen die Forderungen der Sammelkläger den Betrag von fünf Millionen Dollar, ohne Zinsen und Kosten.
eBay has confirmed a massive leak of personal data, denied any financial data accessed. http://t.co/4qcwvrUvwF
— Kaspersky Lab (@kaspersky) May 22, 2014
Niemand ist sicher
Banken, Online-Firmen, berühmte Hersteller, Telekommunikationskonzerne, Behörden – jeder ist gefährdet. Sie haben sicher schon viel über den Datendiebstahl bei Sony Pictures und den Diebstahl freizügiger Fotos von Prominenten gehört, die zu den bekanntesten Vorfällen des vergangenen Jahres zählen. Deshalb wollen wir einige speziellere Fälle betrachten.
Banken in aller Welt wurden von Hackern kompromittiert. Schon im ersten Monat wurden Bankdaten von 20 Millionen Kunden des Korea Credit Bureau gestohlen – mit der Hilfe eines Bankangestellten.
Im Februar wurde die britische Barclays Bank angegriffen: 27.000 Akten wurden gestohlen und an skrupellose Händler verkauft. Das Image der Bank litt dadurch enorm, zudem musste sie Tausende Kunden entschädigen, deren Daten auf dem Schwarzmarkt verkauft worden waren.
Im Juni wurden private Daten von 80 Millionen Kunden der amerikanischen JP-Morgan-Bank gestohlen. Die Bank war daraufhin mehrere Monate lang sprachlos und berichtete über den Vorfall erst im Oktober 2014.
In der Folge eines Hacks, der die Daten von 27 Million Kunden (80 Prozent der Bevölkerung des Landes) publik machte, untersuchten Südkoreanische Behörden die Möglichkeit, das nationale Identitätsnummern-Computersystem komplett neu zu entwickeln.
Auch Telekommunikationsfirmen hatten kein leichtes Jahr. Die Französische Orange-Gruppe wurde in den ersten drei Monaten des Jahres zweimal gehackt, was zum Diebstahl von 1,3 Millionen Nutzerdaten führte. Noch schlimmer ist, dass die Hacker eine Software-Plattform kompromittierten, die von dem Unternehmen für das Aussenden von Werbe-E-Mails und SMS-Nachrichten verwendet wird. Nach diesem Vorfall werden sich wahrscheinlich viele zweimal überlegen, sich für solche Newsletter anzumelden.
Im Oktober musste AT&T einem zu neugierigen Mitarbeiter kündigen, der Informationen über die Konten von 1.600 Kunden gesammelt hat und damit auch deren Sozialversicherungs- und Führerscheinnummern einsehen konnte.
Little has changed from the @Gawker #breach to this year's list of bad #passwords https://t.co/RrsCXCy7H8 pic.twitter.com/KQeai3snkS
— Eugene Kaspersky (@e_kaspersky) January 23, 2015
Ebenfalls im Oktober hatte der Cloud-Service Dropbox mit Angreifern zu kämpfen. Sieben Millionen Nutzerdaten wurden im Internet veröffentlicht. Das Unternehmen sagte dazu, dass die Login-Daten von Drittseiten oder -Apps gestohlen worden seien. Das zeigt, dass unabhängig davon, wie gut eine Firma ihre Daten schützt, sie angesichts der Faulheit und dem Unwissen der Anwender machtlos ist. Und solange Kombinationen wie „123456“ zu den meistgenutzten Passwörtern zählen, wird es auch immer Datenlecks geben.
Wie viel kosten die Daten?
Auch wenn jeder Informationen kauft und verkauft, der Preis eines einzigen Dateneintrags ist relativ gering. So wurden zum Beispiel die Daten der Kunden des Flughafen-Parkdienstes Park ‚N Fly für etwa sechs bis neun Dollar pro Kreditkarte verkauft – inklusive Kartennummer, Ablaufdatum, Verifizierungscode sowie Name, Adresse und Telefonnummer des Karteninhabers. Die Daten der Kunden von Barclays Bank waren dagegen teurer – bis zu 76 Dollar pro Datei.
Die Kosten der Firmenreputation sind dagegen etwas höher, vor allem, wenn so ein Fall vor Gericht geht. Barclays Bank bot den Geschädigten 770 Dollar Entschädigung, was viele davon aber als „lächerlich“ bezeichneten. Die Bank musste das Angebot für die Kunden, die sich darüber beschwerten, verdoppeln.
Von den Entschädigungen abgesehen, kommen nach einem Datendiebstahl aber noch weitere Kosten auf die gehackten Unternehmen zu: So gab Home Depot in einem Vierteljahr ganze 43 Millionen Dollar aus, um die Konsequenzen eines Datendiebstahls zu beheben. Das Geld wurde für Untersuchungen, den Schutz von Opfern eines Identitätsdiebstahls, zusätzliche Mitarbeiter im Call Center sowie rechtliche und geschäftliche Unterstützung ausgegeben.
Data Privacy Day was first celebrated in Europe on Jan 28, 2007. Learn more http://t.co/SxCL2DLjhn #DPD15 pic.twitter.com/GETSHdCJex
— Kaspersky Lab (@kaspersky) January 26, 2015
Der heutige Data Privacy Day wird in den USA, Kanada und in 27 europäischen Ländern begangen. Wenn Sie an diesem Tag mitmachen möchten, denken Sie einfach über die Sicherheit Ihrer eigenen privaten Daten nach – vielleicht beginnen Sie damit, ganz einfach starke Passwörter zu verwenden.
Tipps