27. Nov. 2017
Erpressung in neuer Dimension
Von Richard Werner, Business Consultant bei Trend Micro
Die Diskussion über Datensicherheit im Zusammenhang mit der Datenschutz-Grundverordnung wird in Deutschland und anderen Teilen der Welt gerade mit viel Verve geführt, da überrascht Bloomberg mit einer Nachricht: Offensichtlich hat die Firma Uber Technologies Hacker dafür bezahlt, die von ihnen gestohlenen Daten personenbezogener Art nicht zu veröffentlichen. Das Unternehmen selbst bestätigt, dass etwa 50 Millionen Uber-Nutzerkonten weltweit vom Diebstahl betroffen und dass es sich bei den „verlorenen“ Daten um solche wie Namen, Adressen und E-Mail-Adressen handelt. Ebenfalls immer noch typische Abwiegelung eines betroffenen Unternehmens: Keine Social-Security-Nummern, Kreditkarteninformationen oder Standortdaten wurden gestohlen. Ist der Vorfall dann also harmlos?
In den USA bricht gerade ein Sturm der Entrüstung über Uber herein, weil die Verantwortlichen lieber 100.000 USD an Kriminelle zahlten, als ihrer gesetzlichen Verpflichtung nachzukommen und die Betroffenen zu informieren.
Trend Micro warnt schon seit Monaten davor, dass die Methode, Unternehmen mit gestohlenen Daten zu erpressen, noch zunehmen werde, denn diese personenbezogenen Daten legen einiges an Wert zu, wenn sie unter die ab Mai 2018 gültigen Bestimmungen der Datenschutz-Grundverordnung fallen. Ab dann geht es nämlich nicht „nur“ um den Imageverlust, sondern auch um eine gewaltige Strafe, im Falle von Uber wohl um die 260.000.000 USD (4 % vom weltweiten Jahresumsatz). Das bietet Hackern andere Ansatzmöglichkeiten der Erpressung, und Unternehmen werden sich der bohrenden Frage stellen müssen, ob die Daten tatsächlich in der von Hackern behaupteten Größenordnung entwendet wurden.
Schutz nach „Stand der Technik“
Als Sicherheitsunternehmen kann Trend Micro nur wiederholt darauf hinweisen, dass es von essenzieller Bedeutung ist, sich nach „Stand der Technik“ zu schützen. Dies sollte für Unternehmen eigentlich keine Herausforderung darstellen, sollte man annehmen. Allerdings wurden bislang vielfach nur gesetzliche oder branchenspezifische Mindestanforderungen umgesetzt, weshalb viele moderne Sicherheitsprobleme nicht gelöst sind. In den meisten Fällen wissen das die IT-Sicherheitsverantwortlichen, haben aber keine Berechnungsgrundlage, um nachzuweisen, wie wahrscheinlich es ist, dass beispielsweise ein Angriff zum Zweck des Datendiebstahls im eigenen Unternehmen von Erfolg gekrönt wird. Häufig mangelt es an den nötigen Werkzeugen oder sogar am Know-how. Dadurch sind die erforderlichen Budgets nicht vorhanden, und bestimmte Bereiche des Managements schauen bewusst weg nach dem Motto „bislang ist ja nichts passiert, also kann es nicht so schlimm sein“. All diesen lässt sich nur raten, sich den Fall Uber genau anzusehen, um zumindest einen Eindruck zu erhalten, wie eine Gefährdung tatsächlich aussehen kann. Nichts ist unangenehmer, als von einem Hacker kontaktiert zu werden und nicht einmal nachvollziehen zu können, ob die Daten tatsächlich „verloren“ sind, geschweige denn das Ausmaß des möglichen Verlusts einzuschätzen.
Am 28. Mai 2018 wird die Datenschutz-Grundverordnung „scharf geschaltet“. Danach werden solche Erpressungsversuche sicherlich zunehmen. Auch die geforderten Summen werden wesentlich über die hier erwähnten 100.000 USD hinausgehen. Der Schutz vor Datendiebstahl ist kein Hexenwerk sondern „Stand der Technik“. Allerdings erwartet der Gesetzgeben von den Unternehmen, dass sie sich zumindest überlegen, wie dieser jeweils aussehen kann, und dass dann auch die entsprechenden Schritte unternommen werden. Wir können nur empfehlen, dies möglichst bald in Angriff zu nehmen!
