Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen

Einige Unternehmen setzen auf scheinbare Desinteresse der Betroffenen

[datensicherheit.de, 05.07.2017] Am 22. April 2017 hätten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittiert und 117.000 Datensätze von Kunden entwendet. Diese enthielten laut dem Magazin „Motherboard“, dem die Datensätze nach eigenen Angaben vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen. AA habe den Angriff zwar schnell aufgedeckt und nach eigenen Aussagen die Schwachstelle am 25. April 2017 behoben – eine Benachrichtigung der betroffenen Kunden sei jedoch unterblieben. Erst am 26. Juni 2017 seien AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert worden, wobei dieser Vorgang laut AA aber nichts mit einem eventuellen Angriff zu tun habe. „Dieses Verhalten hat dazu geführt, dass die sensitiven Kundendaten nun über Wochen hinweg in zwielichtigen Kreisen verfügbar waren. Es ist ignorant zu behaupten, alles sei in bester Ordnung, nur weil auf diese digitalen Informationen nur ,einige Male‘ zugegriffen worden sei,“ kommentiert Ross Brewer, „Vice President & Managing Director, EMEA“ bei LogRhythm. Denn ein versierter Hacker benötige nur eine einzige Gelegenheit, um einen Schaden zu verursachen, der sich nur schwer wieder beseitigen lasse.

Gleichgültigkeit gegenüber Datenschutzverletzungen

Brewer: „Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren.“ Kleinere Datendiebstähle fänden schon fast keine Beachtung mehr.
Einige Unternehmen setzten auf dieses scheinbare Desinteresse, beschnitten ihre Kunden um das Recht, informiert zu werden, und hofften, dass „schnell Gras über die unangenehme Geschichte wächst“.

Zur Erinnerung: EU-DSGVO tritt in Kraft

An diesem Punkt sei nochmals darauf hingewiesen, dass im Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) scharf geschaltet werde, welche deutlich umfangreichere Schutzmaßnahmen und Reaktionen verlange.
Unter dieser DSGVO hätte AA nicht über so lange Zeit schweigen können. „Die Angst vor den erheblichen Strafzahlungen hätte die Sorge um die Schädigung der eigenen Reputation wohl deutlich in den Hintergrund gedrängt“, so Brewer.

Netzwerkaktivitäten konsequent überwachen!

Gerade kleinere Schwachstellen könnten durchaus den Zugang zu größeren Organisationen öffnen. Brewer: „Und die sind für engagierte Cyber-Kriminelle äußerst lukrativ.“ Professionelle Hacker seien ständig auf der Suche nach neuen Wegen, um Unternehmensnetzwerke zu kompromittieren.
Daher müssten Unternehmen sicherstellen, dass sie über die notwendigen Werkzeuge verfügen, um alle Netzwerkaktivitäten konsequent zu überwachen. Denn nur dieses kontinuierliche und lückenlose Monitoring versetze IT-Teams in die Lage, zeitnah Unregelmäßigkeiten zu erkennen und auf Angriffe zu reagieren.
AA habe den Angriff erkannt, versagt habe man aber bei der Reaktion. „Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen“, warnt Brewer.

Weitere Informationen zum Thema:

MOTHERBOARD, 03.07.2017
DATA BREACHES / The AA Exposed Emails, Credit Card Data, and Didn’t Inform Customers

International Business Times, 04.07.2017
AA data leak: Over 100,000 customers‘ emails and personal information exposed after breach

datensicherheit.de, 28.05.2011
KMU: Hohes Maß an IT-Sicherheit und passender Versicherungsschutz zwingend