Public Manager
16.12.2009 | Sicherheit

Sophos Jahresrückblick: "2009 schwarzes Jahr für den Datenschutz"

Monat für Monat schwere Datenschutzpannen - Unternehmen nutzen technische Möglichkeiten immer noch unzureichend - Anwender müssen mit vertraulichen Datensensibler umgehen

Um die IT- und Datensicherheit in Unternehmen war es im Jahr 2009 schlecht bestellt - so das ernüchternde Fazit des Computersicherheitsspezialisten Sophos: Die Kette gravierender Fälle von Datenmissbrauch riss im ablaufenden Jahr nicht ab. In skandalöser Weise wurden Millionen sensibler Daten bewusst oder unbewusst gefährdet oder unzulässig verwendet. Zwar gibt es inzwischen gesetzliche Vorschriften, wie die Meldepflicht bei Datenverlusten, die Unternehmen zu einem verantwortungsvolleren Umgang mit vertraulichen Daten verpflichtet. Noch immeraber sind sich viele Firmen der vielfältigen IT- und Datensicherheitsrisiken nicht bewusst: Vorhandene Lösungen zur Sicherung der Daten werden bislang nur unzureichend genutzt und Mitarbeiter nur selten im richtigen Umgang mit sensiblen Daten geschult. Die Folge: Vertrauliche Geschäftsinformationen, viel Geld und der gute Ruf von Unternehmen stehen auf dem Spiel.

Die Fälle der letzten zwölf Monate machen deutlich, dass nicht nur private Nutzer gefährdet sind, vertrauliche Daten, wie Online-Zugangsdaten, PIN und TAN, an Cyberkriminelle zu verlieren. Auch Unternehmen und Organisationen können Opfer gezielter Spionage-Attacken und damit um vertrauliche Daten gebracht werden.
Sascha Pfeiffer, Principal Security Consultant bei Sophos, kommentiert: "Das Jahr 2009 war ein schwarzes Jahr für den Datenschutz und die Datensicherheit. Selbst weltweit tätige Großkonzerne haben offenbar den Umgang mit sensiblen und vertraulichen Kundendaten nicht im Griff. Sie müssen sich fragen lassen, warum sie nicht geeignete Vorkehrungen dagegen treffen, dass Mitarbeiter, Partner und sogar Unberechtigte vollen Zugang zu allen Informationen in Kundendatenbanken erhalten. Erschwerend kommt hinzu, dass etliche Datenpannen des letzten Jahres auch dadurch verursacht wurden, dass Inhalte vollständiger Datenbanken auf mobile Speichermedien kopiert oder per E-Mail weitergeleitet werden konnten. Missbrauch, wie dem illegalen Weiterverkauf von Kundendaten, wird damit Tür und Tor geöffnet."

Einige spektakuläre Datenpannen des Jahres 2009 im Überblick

- Persönliche Daten von 18.000 DSDS-Bewerbern im Web einsehbar:

Im Februar 2009 waren Informationen zu Hobbys, Freizeit und Talenten aus der Bewerberdatenbank der sechsten Folge von 'Deutschland sucht den Superstar' ungeschützt im Internet zugänglich. Es handelte sich um Daten von rund 18.000 Bewerbern.

- Kabel Deutschland verbreitet Kundendaten ungesichert:

Kabel Deutschland hat im März Hunderttausende vollständige Kundendatensätze per Excel-Dateien an Subunternehmer weitergegeben. Es war nicht mehr möglich, den Weg der Daten nachzuvollziehen. Kabel Deutschland Kunden sahen sich anschließend einer Vielzahl an Anrufen von Telefonverkäufern von Kabel Deutschland ausgesetzt.

- Einwohnermeldedaten über Jahre hinweg frei zugänglich:

Im Juni wurde bekannt, dass über mehrere Jahre personenbezogene Daten, wie Familienstand, Geburtsdatum oder Religionszugehörigkeit, ahnungsloser Bürger offen im Netz verfügbar waren. Ein Software-Dienstleister veröffentlichte versehentlich Zugangsdaten auf seiner Website, über die die Melderegister zahlreicher deutscher Kommunen einsehbar waren.

- Datendiebstahl bei SchülerVZ:

Im Oktober legte offenbar ein einzelner Täter Kopien der Profile einzelner SchülerVZ-User an, die allerdings keine Angaben über Post- und E-Mail-Adressen, Zugangsdaten, Fotoalben und Telefonnummern enthielten, und gab die kopierten Datensätze an Dritte weiter. Er bediente sich dabei eines Crawlers und hackte sich mit den normalen Log-in-Daten in das Netzwerk ein, um die Datensätze zukopieren.

- Dienstleister verursacht größte Kreditkartenumtauschaktion:

Im November mussten über 100.000 Kreditkarten deutscher Kunden aus dem Verkehr gezogen werden, um Datenmissbrauch vorsorglich zu verhindern. Vorausgegangen war der größten Kreditkarten-Umtauschaktion in Deutschland ein Datenklau in Spanien: Einem spanischen Dienstleister wurden unbestätigten Berichten zufolge die Daten tausender deutscher Kunden geklaut - davon betroffen könnten alle Banken und Bankkunden, auch solche, die nicht in Spanien waren, sein. Schadensfälle sind noch keine bekannt.

Zum Schutz der IT-Systeme und Daten sollten Unternehmen ihre Mitarbeiter regelmäßig schulen. Darüber hinaus sollten Unternehmen klare Regeln zum Umgang mit Daten, E-Mail und Internet definieren und durchsetzen. Die Voraussetzung für ganzheitliche IT- und Datensicherheit schaffen sie durch den Einsatz integrierter Lösungen. Diese schützen IT-Systeme vor externen Bedrohungen, wie Malware- und Hacker-Attacken, und ermöglichen die Verschlüsselung der auf mobilen Endgeräten, Festplatten und Speichermedien abgelegten oder per E-Mail übertragenen Daten.

Weitere Praxistipps zum Schutz vor den neuesten IT- und Datensicherheitsbedrohungen stehen bereit unter http://www.sophos.de/security/best-practice/