Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Datendiebstahl: „Wir reagieren fast gleichgültig!“

Am 22. April 2017 konnten Hacker die Shop-Systeme des britischen Autoversicherers AA kompromittieren und 117.000 Datensätze von Kunden entwenden. Diese enthalten laut dem Magazin Motherboard, dem die Datensätze vorliegen, unter anderem vollständige Namen, physikalische Adressen, IP-Adressen, Details der Einkäufe und Kreditkarteninformationen.

AA entdeckte den Angriff zwar schnell auf und beseitigte nach eigenen Aussagen die Schwachstelle am 25. April, eine Benachrichtigung der betroffenen Kunden unterblieb jedoch. Erst am 26. Juni wurden AA-Kunden per E-Mail über das Zurücksetzen ihrer Passwörter informiert. Dieser Vorgang habe laut AA aber nichts mit einem eventuellen Angriff zu tun. Ross Brewer kritisiert in seinem Kommentar das Vorgehen scharf:

„Dieses Verhalten hat dazu geführt, dass die sensitiven Kundendaten nun über Wochen hinweg in zwielichtigen Kreisen verfügbar waren. Es ist ignorant zu behaupten, alles sei in bester Ordnung, nur weil auf diese digitalen Informationen nur „einige Male“ zugegriffen worden sei. Denn ein versierter Hacker benötigt nur eine einzige Gelegenheit, um einen Schaden zu verursachen, der sich nur schwer wieder beseitigen lässt.

Wir sind mittlerweile an einem Punkt angekommen, an dem wir fast gleichgültig auf Datenschutzverletzungen reagieren. Kleinere Datendiebstähle finden schon fast keine Beachtung mehr. Einige Unternehmen setzen auf dieses scheinbare Desinteresse, beschneiden ihre Kunden um das Recht, informiert zu werden und hoffen, dass schnell Gras über die unangenehme Geschichte wächst.
 
An diesem Punkt sei nochmals darauf hingewiesen, dass im Mai nächsten Jahres die europäische Datenschutzgrundverordnung scharf geschaltet wird, die deutlich umfangreichere Schutzmaßnahmen und Reaktionen verlangt. Unter dieser DSGVO hätte AA nicht über so lange Zeit schweigen können. Die Angst vor den erheblichen Strafzahlungen hätte die Sorge um die Schädigung der eigenen Reputation wohl deutlich in den Hintergrund gedrängt.
 
Gerade kleinere Schwachstellen können durchaus den Zugang zu größeren Organisationen öffnen. Und die sind für engagierte Cyberkriminelle äußerst lukrativ. Professionelle Hacker sind stetig auf der Suche nach neuen Wegen, um Unternehmensnetzwerke zu kompromittieren. Daher müssen Unternehmen sicherstellen, dass sie über die notwendigen Werkzeuge verfügen, um alle Netzwerkaktivitäten konsequent zu überwachen. Denn nur dieses kontinuierliche und lückenlose Monitoring versetzt IT-Teams in die Lage, zeitnah Unregelmäßigkeiten zu erkennen und auf Angriffe zu reagieren.

AA hat den Angriff erkannt, versagt hat man aber bei der Reaktion. Und genau an diesem Punkt werden Organisationen künftig im Rahmen der DSGVO die umfangreichsten Folgen tragen müssen.“

Kommentar von Ross Brewer EMEA