Mit der steigenden Menge an sensiblen Daten, die online gespeichert und verarbeitet werden, wächst auch das Risiko von Datendiebstahl in Unternehmen. Die Implementierung des NIS-2-Umsetzungsgesetzes zielt darauf ab, das Sicherheitsniveau für Netz- und Informationssysteme zu verbessern. Es beschreibt, wie Unternehmen ihre Systeme gegen Datenklau schützen müssen, sowohl um gesetzliche Vorgaben zu erfüllen, als auch, um finanzielle Verluste zu vermeiden.
Kern der NIS-2-Richtlinie der EU sind strengere Sicherheitsanforderungen und Meldepflichten für die Diensteanbieter. Sie erweitert den Geltungsbereich, erhöht Bußgelder für Nichteinhaltung und zielt darauf ab, die Widerstandsfähigkeit gegen Cyberangriffe zu verbessern, um kritische Infrastrukturen besser zu schützen. Anschließend werden einige Fälle betrachtet, in denen optimierte Zugangslösungen oder vergleichbare Sicherheitsmaßnahmen den Datendiebstahl hätten verhindern können.
10 der spektakulärsten Beispiele für Datendiebstahl in den letzten 5 Jahren
1) Hamburger Arztpraxen, Oktober 2024
In Hamburg ereignete sich ein gravierender Sicherheitsvorfall, bei dem aus zwei Arztpraxen, die zu demselben Unternehmen gehörten, über 100.000 Patientendaten gestohlen wurden. Der Täter hatte offenbar Zugangsschlüssel und kannte sich gut in den Räumlichkeiten aus. Gezielt wurden IT-Komponenten entwendet, auf denen sensible Patienteninformationen gespeichert waren. Trotz Aufzeichnung des Vorfalls auf Video und laufenden Ermittlungen des Landeskriminalamts bleibt das Motiv unklar, wobei ein Erpressungsversuch ausgeschlossen wird.
2) Condor Versicherung, Mai 2023
Die Condor Versicherung in Hamburg wurde Ziel eines ungewöhnlichen Datendiebstahls, als Einbrecher in die Geschäftsräume eindrangen und zwei Festplatten stahlen. Diese enthielten E-Mail-Korrespondenzen zwischen Kunden und Maklern. Der Umfang der betroffenen Kundendaten und der genaue Inhalt der gestohlenen Daten wurden laut offiziellen Angaben nicht vollständig erfasst, doch wurden die Kunden vorsorglich informiert. Es gibt keine Hinweise auf eine missbräuchliche Verwendung der Daten.
3) Z-Library, Juli 2024
Eine gefälschte Version der Z-Library führte zum Diebstahl der Daten von etwa 10 Millionen Nutzern. Der Fall war insbesondere deshalb prekär, weil es sich bei Z-Library selbst um ein Projekt mit fragwürdiger Legalität handelte. Dort konnten wissenschaftliche Papers und andere akademische Texte kostenlos abgerufen werden. Gestohlen wurden persönliche Informationen, Passwörter und Kryptowährungsadressen.
4) IdentifyMobile, Juli 2024
Ein schwerwiegendes Datenleck beim Zwei-Faktor-SMS-Dienst IdentifyMobile ermöglichte es dem Chaos Computer Club, Zugang zu rund 200 Millionen SMS-Nachrichten zu erlangen. Dass Nutzer über Zwei-Faktor-Authentisierung (2FA) abgesicherte Kommunikationskanäle als besonders sicher einstufen, war in diesem Zusammenhang besonders bedenklich. Glücklicherweise handelt es sich beim CCC gemäß seiner Satzung um eine gemeinnützige Organisation, die in der Vergangenheit schon viele Sicherheitsmängel offenlegen konnte.
5) Wakanim, August 2022
Bei Wakanim wurden Namen, Telefonnummern und Adressen von 6,7 Millionen Nutzern geleakt und später verkauft. Der Dienst spezialisierte sich auf Online-Streaming japanischer Animes. Der Vorfall wurde erst mit großer Verzögerung vom Unternehmen bestätigt. Das führte zu massiver Kritik und einem veränderten Bewusstsein vieler User bezüglich der Reaktionsgeschwindigkeit und Transparenz bei Datenlecks. Nach mehreren Richtungswechseln in der Verwaltung der Plattform und ihrer Inhalte wurde die Seite im Jahr 2023 eingestellt. Die Anime-Serien wurden daraufhin von Crunchyroll übernommen.
6) Credit Suisse, Februar 2022
Ein Whistleblower führte zur Offenlegung sensibler Daten von Konten bei der Credit Suisse. Im Rahmen der „Suisse Secrets“ wurden Daten aus den Treuhandkonten von über 30.000 Kunden der Credit Suisse enthüllt. Die Gesamtsumme der betroffenen Transaktionen belief sich auf über 100 Milliarden Schweizer Franken. Dieses Ereignis markierte das umfangreichste Datenleck in der Geschichte einer großen Schweizer Bank. Diese Enthüllung war einmal mehr ein Beispiel für unzureichende digitale Sicherheitsmaßnahmen im Finanzsektor.
7) Tokopedia, April 2020
Der größte indonesische Online-Händler Tokopedia wurde 2020 das Ziel eines Datendiebstahls. Insgesamt umfassten die Daten neben den Namen auch über 71 Millionen E-Mail-Adressen. Die wachsenden Cyber-Risiken sind also auch im E-Commerce ein echtes Problem.
8) Aptoide, April 2020
Bei Aptoide, einer Alternative zum Google Play Store, wurden 22 Millionen Nutzerdatensätze gestohlen. In der Datenbank wurden außer den E-Mail-Adressen und den verschlüsselten Passwörtern keine weiteren personenbezogenen Daten der Aptoide-Nutzer gespeichert. Dass Aptoide nie die Adressen, Kreditkarteninformationen, Telefonnummern oder andere persönliche Daten der Nutzer aufzeichnet, ist ein positives Beispiel für den Umgang mit personenbezogenen Daten. Trotzdem zeigte der Vorfall auch die geringere Sicherheit in den App-Stores von Drittanbietern.
9) Covve, Februar 2020
Einen erheblichen Datendiebstahl im virtuellen Adressbuch Covve gab es ebenfalls im Jahr 2020. Im Rahmen des “db8151dd”-Data-Breach wurden rund 22 Millionen Account-Daten von Covve gestohlen, was auf die Notwendigkeit hinweist, personenbezogene Daten besser zu schützen.
10) Clearview AI, 2020
Bei einem massiven Datenleck bei Clearview AI wurden Zugangsdaten von Organisationen wie Strafverfolgungsbehörden, Einzelhandelsunternehmen und der US-Einwanderungs- und Zollbehörde offengelegt. Die Protokolldateien enthielten Details zu etwa 2.900 Institutionen, darunter Regierungsstellen und Unternehmen aus dem Einzelhandel und Gastgewerbe. Besonders heikel an diesem Datenklau war der Zusammenhang zwischen mangelndem Datenschutz und der massenhaften Speicherung biometrischer Daten, einer Praxis, die von Experten für Cybersicherheit immer wieder kritisiert wird.
Datenklau – was tun?
Bei einem Datenklau sollten umgehend die notwendigen Schritte unternommen werden:
- Alle Passwörter der betroffenen Konten ändern und zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung aktivieren.
- Informieren Sie umgehend die zuständigen Behörden und Ihre IT-Abteilung, um den Vorfall zu melden und Unterstützung bei der Schadensbegrenzung zu erhalten.
- Überprüfen Sie alle Systeme auf weitere Anzeichen von Sicherheitsverletzungen.
- Benachrichtigen Sie alle betroffenen Personen und beraten Sie sie über mögliche Risiken und Schutzmaßnahmen.
- Ziehen Sie rechtliche Schritte in Betracht und arbeiten Sie eng mit den Behörden zusammen, um den Täter zu ermitteln und rechtlich zu verfolgen.
- Überarbeiten und verbessern Sie Ihre Sicherheitsprotokolle und Zugriffskontrolle, um zukünftige Vorfälle zu verhindern.
Umfassende Sicherheitsmaßnahmen verhindern Datendiebstähle
Fälle wie der Datendiebstahl bei der Condor Versicherung unterstreichen die Bedeutung physischer Sicherheitsmaßnahmen auch im Kontext der Cybersicherheit. Der Vorfall zeigt, dass traditionelle Sicherheitsrisiken weiterhin eine große Bedrohung darstellen. Es ist entscheidend, dass Unternehmen sowohl ihre digitalen als auch ihre physischen Sicherheitsstrategien verstärken, um sich vor Datendiebstählen zu schützen.
Vertrauen Sie auf die Sicherheit digitaler Zutrittskontrollsysteme von SimonsVoss, dem einzigen Anbieter am Markt mit BSI-Zertifizierung für elektronische Schließzylinder.