Datenleck bei Shopify: Konsequenzen für Unternehmen aus diesem Vorfall

Jürgen Venhorst rät zur Datenleck-Früherkennung durch Monitoring

[datensicherheit.de, 25.09.2020] Jürgen Venhorst, „Country Manager DACH“ bei Netwrix, geht in seiner aktuellen Stellungnahme auf ein Datenleck bei Shopify ein. Laut Medienberichten soll Shopify, ein kanadischer Anbieter von E-Commerce-Software, Opfer eines Datenlecks geworden sein. „Im Zuge dessen wurden Kundendaten von gut 200 Shops abgeführt, die die Software nutzen.“ Vorfälle wie der aktuelle würden auch in Zukunft mit Sicherheit nicht weniger, doch mit der richtigen Monitoring-Lösung sei das Risiko eines Datenlecks mit allen verbundenen Folgen stark verringert, betont Venhorst.

Foto: Netwrix

Jürgen Venhorst: Zugang zu Kundendaten für Verdächtige zu spät gesperrt

Datenleck diesmal ohne Kompromittierung von außerhalb…

Anders als bei vielen ähnlichen Vorfällen, habe dem Datenleck diesmal keine Kompromittierung von außerhalb durch eine Software-Schwachstelle oder einen Phishing-Angriff zu Grunde gelegen.
Laut Stellungnahme von Shopify seien es zwei „abtrünnige“ Mitarbeiter gewesen, welche die Daten abgegriffen hätten, darunter Namen, postalische und E-Mail-Adressen. Zu welchem Zweck sei derzeit unbekannt. „Auch der Zeitraum, in dem die Daten abgeflossen sind, ist nicht gewiss.“

Datenleck-Folgen für Unternehmen gravierend bis geschäftsgefährdend

Vorfälle wie diese passierten immer wieder und würden mit Sicherheit auch in Zukunft geschehen, so Venhorst. „Sei es ein Mitarbeiter, der sich mit dem Verkauf gestohlener Daten selbst bereichern will oder einer, der sich ungerecht behandelt fühlt und seiner Firma größtmöglichen Schaden zufügen möchte.“
Die Folgen für das Unternehmen könnten gravierend bis geschäftsgefährdend sein und reichten von Schadensersatzforderungen von Kunden über Reputationsverlust und damit zurückgehenden Umsätzen bis hin zu Bußgeldverfahren aufgrund der Missachtung von Datenschutzbestimmungen. Nicht zuletzt die DSGVO sei der Grund dafür, dass Verstöße gegen den Datenschutz hart bestraft würden. Die Vergangenheit habe gezeigt: Vergehen würden zur Anklage gebracht und geahndet.

Datenleck: Prävention durch Monitoring verdächtiger Aktivitäten

Bei Shopify sei den beiden Mitarbeitern der Zugang zu Kundendaten gesperrt worden – allerdings erst im Nachhinein, als sie schon viele Daten abgezweigt hätten. Um Vorfällen wie dem bei Shopify vorzubeugen und solche Datenlecks zu vermeiden, reiche es oftmals schon aus, abnormales Nutzerverhalten im Netzwerk zu überwachen und dann gegebenenfalls einzugreifen.
„Unternehmen sollten sich in diesem Kontext mit Lösungen auseinandersetzen, die Nutzerverhalten auf verdächtige Aktivitäten hin monitoren“, rät Venhorst. Darunter falle etwa die Reaktivierung eines vormals stillgelegten Accounts, was auf eine Kompromittierung von außen hinweise. Häufige Login-Versuche deuteten genauso auf einen potenziellen Hack hin wie häufige Passwort-Resets. „Auch ein Nutzer, der versucht auf vertrauliche Daten zuzugreifen oder – wie im aktuellen Fall – im großen Stil Daten herunterlädt, verschiebt oder löscht, wird mit Hilfe einer solchen Lösung als potenzielle Gefahr für die Datenintegrität markiert und dem IT-Verantwortlichen per Alert gemeldet.“ Dieser könne den Vorfall dann genauer evaluieren und im Falle einer Kompromittierung die Berechtigungen des Nutzers entziehen oder das Account komplett deaktivieren.

Weitere Informationen zum Thema:

datensicherheit.de, 13.06.2020
Netwrix: Fünf Cyber-Sicherheitstrends, die es auch nach 2020 zu beobachten gilt