Die 5 schlimmsten Datenschutzverletzungen 2024 + Was wir daraus lernen können
2024 war erneut ein Rekordjahr für Cyberkriminelle – und das leider nicht zu unserem Vorteil. Von massiven Lecks von Zugangsdaten bis hin zu Angriffen auf die Lieferkette war das Ausmaß und die Kreativität der diesjährigen Datenpannen so groß, dass selbst erfahrene Sicherheitsteams nachts wachlagen.
Bemerkenswert ist nicht nur die Anzahl der Vorfälle, sondern auch, wie sich die Methoden weiterentwickeln: Angreifer nutzen übersehene Schwachstellen aus und machen sich neue Angriffsflächen wie KI-generierte Phishing-Attacken oder Fehlkonfigurationen in der Cloud zunutze. Von staatlichen Behörden bis zu Telekommunikationsriesen – kein Sektor war vor der wachsenden Raffinesse der Cyberkriminellen sicher.
Als technische Führungskräfte kennen Sie die Risiken: Reputationsschäden, aufsichtsrechtliche Konsequenzen und die ständige Gefahr, dass Kunden abwandern. Wenn uns 2024 eines gelehrt hat, dann, dass unsere Sicherheitsmaßnahmen genauso flexibel und findig sein müssen wie die Gruppen, mit denen wir es zu tun haben.
Zu den proaktiven Schritten zur Sicherung von Daten zählen die Einführung starker Passwortregeln, die Nutzung von Multi-Faktor-Authentifizierung, die Verschlüsselung sensibler Daten, regelmäßige Software-Updates und regelmäßige Sicherheitsprüfungen. Ebenso wichtig sind die Schulung und das Training der Mitarbeitenden, da menschliches Versagen häufige Ursache für Datenschutzvorfälle ist.
Vlad Cristescu, Leiter der Cybersecurity bei ZeroBounce, sagt, dass sein Unternehmen Cybersicherheit lebt und atmet. Er teilte, wie sie Herausforderungen meistern und Systeme schützen:
- Zero Trust-Philosophie: Niemand – weder intern noch extern – erhält einen Freifahrtschein. Jeder Nutzer und jedes Gerät muss seine Berechtigung nachweisen.
- Ständige Überwachung: Wir setzen intelligente Tools ein, um rund um die Uhr auf Auffälligkeiten zu achten.
- Mitarbeitende schulen: Cybersicherheit ist nicht nur Aufgabe der IT, sondern von allen. Wir schulen das Team, Phishing-E-Mails und andere Bedrohungen zu erkennen.
- Für den Ernstfall vorbereitet sein: Wir haben nicht nur einen Notfallplan, wir üben ihn auch regelmäßig, damit wir im Ernstfall bereit sind.
- Partner sorgfältig wählen: Wir stellen hohe Ansprüche an unsere Anbieter, da deren Sicherheit auch unsere beeinflusst.
„Jeder Vorfall erinnert uns daran, dass Cybersicherheit nichts ist, das man einmal einstellt und dann vergisst. Sie bleibt eine dauerhafte Priorität, und wir alle sind verantwortlich. Wenn wir aus 2024 dazulernen und wachsam bleiben, sind wir besser auf alles vorbereitet, was noch kommt,“ betont Cristescu.
In diesem Überblick gehe ich auf fünf der größten Datenpannen 2024 ein: National Public Data, Ticketmaster, Dell, AT&T und Change Healthcare. Dabei biete ich Einblicke aus erster Hand von Branchenexpertinnen und -experten.
Jeder dieser Vorfälle macht verschiedene Schwachstellen deutlich und zeigt, wie man Daten in einer zunehmend digitalen Welt besser schützen kann.
Ticketmaster-Datenpanne
Im Juni 2024 gab die Hackergruppe Shiny Hunters an, Kundendaten von Ticketmaster und Live Nation, einem weltweit führenden Unternehmen für Ticketverkauf und Eventmanagement, gestohlen zu haben. Rund 560 Millionen Personen sind betroffen.
„ShinyHunters ist eine Gruppe von Bedrohungsakteuren, die für erfolgreiche Einbrüche in Unternehmen und den Verkauf gestohlener Kundendaten auf dem Schwarzmarkt bekannt ist", erklärt John Paul Cunningham, CISO bei Silverfort.„In diesem Fall erfolgte der Angriff über einen von Ticketmaster genutzten Managed Service Provider.“
Zu den gestohlenen Daten gehörten Namen, Adressen, Kontaktdaten, Kreditkarteninformationen und Ticketbestellungen – mit Risiken wie Finanzbetrug und Identitätsdiebstahl. Der Vorfall offenbarte Schwächen in Ticketmasters Datenmanagement und unterstreicht die Risiken bei der Speicherung großer Mengen persönlicher und finanzieller Daten.
Die Folgen der Ticketmaster-Datenpanne waren weitreichend. Viele Kunden waren erhöhtem Risiko für Finanzbetrug und Identitätsdiebstahl ausgesetzt, weshalb Ticketmaster Warnungen aussprach und betroffenen Personen empfahl, ihre Finanzkonten aufmerksam zu überwachen. Der Vorfall führte auch zu Reputationsschäden für Ticketmaster, da Kunden und Partner die Fähigkeit des Unternehmens anzweifelten, persönliche Daten zu schützen.
Ein ganzheitlicher, menschenzentrierter Sicherheitsansatz, kombiniert mit einer professionellen Security-Abteilung, die grundlegende und praktische Maßnahmen umsetzt, trägt maßgeblich dazu bei, die meisten Cyberangriffe zu verhindern.
Laut Cunningham,„Größere Aufmerksamkeit sollte sowohl menschlichen als auch maschinellen Identitäten gewidmet werden, die für die Ausführung von Diensten und Integrationen mit Drittanbietern und Dienstleistern verwendet werden. Unternehmen versuchen, mit einem Flickenteppich aus Identitätskontrollen und Tools sowie oftmals einer übermäßigen Abhängigkeit von Drittbestätigungen wie SOC2-Berichten, böswillige Akteure aufzuhalten.“
„Diese Insellösungen arbeiten isoliert und sichern lediglich das, was sie kennen. Viele Unternehmen verlassen sich auf eine gemischte Auswahl aus einem oder mehreren Cloud-Identitätsanbietern (IdPs) und anderen Einzellösungen, um die ständig wachsende Anzahl von Identitäten abzusichern. Angreifer wissen das und nutzen die Sicherheitslücke, um von einem Unternehmensteil zum nächsten zu springen und Daten zu stehlen. Identität ist extrem verteilt, aber ihre Absicherung muss es nicht sein. Ohne eine einheitliche Sicherheitsschicht werden Identitäts- und Sicherheitsteams weiter damit kämpfen, die wachsende Anzahl von Identitäten zu schützen und dabei sowohl Sicherheit als auch Produktivität zu opfern.“
Was hat uns der Ticketmaster-Datenschutzvorfall gelehrt? Cristescu ist der Meinung,„Wir sind nur so stark wie unser schwächster Anbieter. Wenn ein Drittanbieter, auf den Sie sich verlassen, nicht sicher ist, ist Ihre Daten gefährdet.“
Was können Unternehmen also tun?„Schauen Sie Ihre Partner genauer an. Überprüfen Sie sie regelmäßig, stellen Sie kritische Fragen zu deren Sicherheitspraktiken und zögern Sie nicht, sich zu trennen, wenn sie Ihre Standards nicht erfüllen können“, fährt Cristescu fort.
AT&T Datenschutzverletzung
AT&T, eines der größten Telekommunikationsunternehmen in den Vereinigten Staaten, erlebte im Juli 2024 eine Datenschutzverletzung, von der rund 70 Millionen Kunden betroffen waren. Die Sicherheitsverletzung wurde durch einen ausgeklügelten Cyberangriff auf die Kundendatenbank von AT&T verursacht, der zur Offenlegung sensibler Informationen wie Kundennamen, Telefonnummern, E-Mail-Adressen und Abrechnungsdaten führte.
Gestohlene Daten haben einen langen Auswirkungsschweif, der nicht nur die Unternehmen betrifft, sondern auch das Vertrauen der Kunden in sie erschüttert. Datenpannen mit zunehmender Tragweite und Größe treten immer häufiger auf – es ist daher entscheidend, dass Unternehmen ihren Ansatz zum Schutz und zur Sicherung von Daten überdenken. Anstatt Daten lediglich durch herkömmliche Sicherheitsmaßnahmen zu schützen, sollten sie Methoden der Daten-Entidentifizierung einführen, um die eigentlichen Daten zu schützen, deren Wert im Unternehmen zu bewahren und sie für Angreifer selbst bei einem Diebstahl unbrauchbar zu machen.
Der Verstoß bei AT&T macht die zunehmenden Bedrohungen deutlich, denen Telekommunikationsunternehmen ausgesetzt sind – sie sind aufgrund der Vielzahl an personenbezogenen Daten, die sie verwalten, ein erstklassiges Ziel für Cyberkriminelle. Die Datenschutzverletzung hat zudem Sorgen um die Sicherheit der Telekommunikationsinfrastruktur und den Bedarf an stärkeren Abwehrmaßnahmen gegen immer ausgeklügeltere Cyberangriffe geweckt.
Clyde Williamson, Senior Product Security Architect bei Protegrity, sagt,„Dass die Aufzeichnungen von Telefonaten und Textnachrichten nahezu aller [AT&T]-Mobilfunkkunden exfiltriert wurden, ist nicht nur ein Vertrauensbruch gegenüber den Kund:innen, sondern zeigt auch, wie veraltet aktuelle Cybersicherheitsstrategien tatsächlich sind. Die Rückschlüsse, die sich aus verschiedenen Datentypen ziehen lassen, sind mindestens ebenso bedeutsam wie der Diebstahl von personenbezogenen Daten.“
AT&T arbeitete nach der Verletzung eng mit Bundesbehörden und Cybersicherheitsunternehmen zusammen, um den Vorfall zu untersuchen und die eigenen Systeme zu sichern. Betroffene Kunden wurden per E-Mail und SMS informiert und erhielten Hinweise, wie sie ihre Konten schützen und auf verdächtige Aktivitäten achten können.
AT&T hat zusätzliche Sicherheitsmaßnahmen ergriffen, darunter verbesserte Verschlüsselung der Kundendaten, Multi-Faktor-Authentifizierung für den Kontozugriff und strengere Zugriffskontrollen bei sensiblen Informationen.
Cristescu zufolge lehrt uns die AT&T-Datenschutzverletzung,„Zugriffsrechte konsequent zu schützen. Sie nicht zu haben, ist wie die Haustür weit offen zu lassen.“
Was können Sie sonst noch tun?„Wenn Sie noch keine Multi-Faktor-Authentifizierung (MFA) verwenden, beginnen Sie heute damit. Kombinieren Sie diese mit rollenbasierten Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Personen sensible Daten einsehen können“, sagt Cristescu.
Need expert help selecting the right tool?
Dell-Datenschutzverletzung
Im März 2024 erlitt Dell eine schwerwiegende Datenschutzverletzung, bei der die persönlichen Daten von über 180 Millionen Kunden offengelegt wurden. Die Sicherheitslücke entstand durch eine Schwachstelle im Kundensupport-System von Dell, die von Hackern ausgenutzt wurde, um sich unbefugten Zugriff auf Kundennamen, Adressen, E-Mail-Adressen und Telefonnummern zu verschaffen.
Die Datenschutzverletzung verdeutlichte die Bedeutung der Absicherung von Kundensupport-Systemen mit Unified-Threat-Management-Software, die häufig von Cyberkriminellen angegriffen werden, die Schwachstellen in der Infrastruktur eines Unternehmens ausnutzen wollen. Der Vorfall bei Dell zeigte auch die Risiken im Zusammenhang mit Drittanbietern auf, da die Schwachstelle auf eine Drittanbieter-Softwarekomponente in ihren Support-Systemen zurückzuführen war.
Als Reaktion auf den Vorfall ergriff Dell sofortige Maßnahmen, um den Vorfall einzudämmen und die betroffenen Systeme zu sichern. Das Unternehmen arbeitete mit Cybersecurity-Experten zusammen, um die Quelle der Schwachstelle zu identifizieren und Patches zu implementieren, um eine weitere Ausnutzung zu verhindern. Dell stärkte interne Cybersecurity-Richtlinien, führte regelmäßige Sicherheitsaudits durch und verbesserte die Mitarbeiterschulungen, um potenzielle Sicherheitsbedrohungen zu erkennen und zu vermeiden.
Die Dell-Datenschutzverletzung hat uns gelehrt, dass „ein Ansatz des Vertrauens, aber Überprüfens bei Drittanbietern heute nicht mehr ausreicht“, so Cristescu. Stattdessen,„Setzen Sie auf Zero Trust. Das bedeutet, den Zugriff für alle und alles zu beschränken – sogar für Systeme und Personen, denen man normalerweise vertraut“, insbesondere wenn Drittanbieter-Softwarekomponenten verwendet werden.
Dell und AT&T verdeutlichen vermutlich Schwachstellen in großen, miteinander verknüpften Systemen. Zu deren Eindämmung bedarf es einer verbesserten Endpunkt-Sicherheit und Sichtbarkeit über weitläufige IT-Landschaften hinweg. Abonnieren Sie globale Bedrohungs-Intelligence-Feeds und beteiligen Sie sich an branchenübergreifenden Austauschplattformen für Bedrohungsinformationen, um neuen Angriffsvektoren stets einen Schritt voraus zu sein. So können beispielsweise Plattformen wie FS-ISAC im Finanzsektor Unternehmen dabei helfen, sich auf bekannte Angriffswege vorzubereiten.
National Public Data Datenschutzverletzung
National Public Data (NPD), eine große staatliche Datenbank, erlebte im vergangenen April eine der größten Datenschutzverletzungen, bei der rund 2,9 Milliarden Sozialversicherungsdaten betroffen waren. Die Sicherheitslücke legte sensible persönliche Informationen offen, darunter Sozialversicherungsnummern, Geburtsdaten und Adressen, und betraf nahezu jeden US-amerikanischen Bürger. Der Vorfall führte zu mehreren Sammelklagen und löste ernsthafte Bedenken hinsichtlich der Datensicherheitspraktiken aus.
Die Angreifer nutzten eine Schwachstelle in den Zugriffskontrollen des Systems aus, verschafften sich unberechtigten Zugang und extrahierten über einen längeren Zeitraum hinweg große Mengen an Daten.
„Obwohl dies nicht bestätigt wurde, ist der allgemeine Konsens, dass der öffentlich zugängliche Quellcode von National Public Data auf der Hauptwebsite einer der NPD-Tochtergesellschaften, RecordCheck, archiviert war,“ sagt Gaëtan Ferry, Sicherheitsforscher bei GitGuardian.„Ein Archiv mit dem Quellcode einer Anwendung auf der Website dieser Anwendung offenzulegen, ist ein lange bekannter Fehler, der älter ist als die Erfindung von Versionskontrollsoftware. Es wird angenommen, dass dieses Archiv ein Standardpasswort enthielt, das noch von mehreren Benutzerkonten verwendet wurde und als erster Angriffsvektor diente.“
Die Folgen der Datenschutzverletzung waren gravierend, mit erheblichen Risiken für Identitätsdiebstahl und Betrug, von denen Millionen von Menschen betroffen waren. Viele Opfer sahen sich dem Risiko unautorisierter Finanzaktivitäten ausgesetzt, und der Vorfall führte zu verstärkten Forderungen nach besserem Datenschutz und einer strengeren Kontrolle staatlicher Datenbanken.
Betroffene Personen wurden über offizielle Kanäle informiert und erhielten kostenlose Kreditüberwachungsdienste, um potenzielle Risiken von Identitätsdiebstahl zu verringern.
„Bemerkenswert ist, dass dieser Vorfall eine Woche lang nicht verkündet wurde; er wurde erst durch eine Klage früher bekannt, weil das Unternehmen ihn nicht selbst öffentlich gemacht hat,“ berichtet Clyde Williamson.„Darüber hinaus ist immer noch unklar, ob sie absichtlich keine Details zu diesem Vorfall teilen wollten oder ihn erst selbst entdeckt haben.“
Williamson ist der Ansicht, dass dies die Unzulänglichkeit der US-Gesetze beim Schutz der persönlichen Daten der Bürger unterstreicht, da sie veraltet und den Herausforderungen des 21. Jahrhunderts nicht gewachsen sind.„Datenhändler wie die NPD unterliegen nicht denselben regulatorischen Standards wie etwa die Payment Card Industry (PCI), die jährliche Prüfungen und strenge Kontrollen für Kreditkartendaten vorschreibt. Wie die Dinge aktuell stehen, gibt es in den USA keine derartigen Verpflichtungen.“
Williamson hält es außerdem für möglich, dass ein erheblicher Teil der gestohlenen Daten zu einer der verletzlichsten Gruppen gehört: Seniorinnen und Senioren sowie deren Familien. „Ein gängiger Betrug besteht darin, dass ein Täter sich als Anwalt ausgibt und der älteren Person schlechte Nachrichten überbringt – ein Familienmitglied sei in Schwierigkeiten und brauche Geld. Und warum sollte ein Großelternteil nicht glauben, wenn der Betrüger korrekte personenbezogene Daten zur Glaubhaftmachung vorlegt? Diese Kriminellen müssen keinen Kredit auf einen Namen aufnehmen, um Leben zu zerstören. Sie müssen nur wissen, wie sie die gestohlenen Informationen nutzen, um das Bankkonto eines fürsorglichen Familienmitglieds zu leeren.“
Williamson schlägt vor, dass das Verlassen auf Sammelklagen bei Fahrlässigkeit nicht ausreicht.„Organisationen müssen Transparenz zur Priorität machen und ihre Bemühungen verstärken, sensible Daten zu anonymisieren, um Verbraucherinformationen zu schützen. Sie müssen über traditionelle Verteidigungsmechanismen hinausgehen und von Aufsichtsbehörden empfohlene Datenschutzstrategien wie Verschlüsselung und Tokenisierung übernehmen. Diese Methoden machen Daten für Angreifer wertlos, sodass sie nicht gestohlen und missbräuchlich verwendet werden können.“
Unternehmen können den Wert gestohlener Daten verringern und die langfristigen Auswirkungen von Ransomware-Angriffen und Betrug erheblich mildern.
Zur weiteren Betonung der Bedeutung von Lieferantenüberwachung sagt Matthew DeChant, CEO von Security Counsel,: „CTOs und Führungsteams müssen eine starke Kontrolle über die Sicherheitspraktiken von Drittanbietern aufrechterhalten, insbesondere beim Umgang mit stark regulierten, privaten Daten. Verträge sollten das Recht enthalten, die Sicherheitsprogramme der Anbieter zu bewerten und zu prüfen. Verlassen Sie sich nicht blind auf Sicherheitsbehauptungen – wenn ein Anbieter eine SOC 2 Type II-Attestierung angibt, fordern Sie den Bericht an und prüfen Sie ihn, ob der Geltungsbereich Ihren Anforderungen entspricht.“
10 Top-Cybersicherheitssoftware!
Here's my pick of the 10 best software from the 10 tools reviewed.
Die National Public Data-Datenschutzverletzung war eine deutliche Erinnerung an die Herausforderungen, mit denen Regierungen beim Schutz der Daten ihrer Bürger im Zeitalter zunehmender Cyberbedrohungen konfrontiert sind. Wie Cristescu es ausdrückt,„Zu viele Daten aufbewahren ist wie Feuerwerkskörper in der Garage zu horten – früher oder später explodiert es.“
Fragen Sie sich in diesem Fall: „Müssen wir diese Daten wirklich behalten?“ Ist die Antwort nein, löschen Sie sie. Verschlüsseln Sie außerdem unbedingt die Daten, die Sie aufbewahren müssen, damit sie nutzlos sind, falls sie gestohlen werden,“ rät Cristescu.
Datenpanne bei Change Healthcare
Im August 2024 erlitt Change Healthcare, ein führendes Unternehmen für Gesundheitstechnologie, eine schwerwiegende Datenpanne, durch die die persönlichen und medizinischen Informationen von über 4 Millionen Patienten kompromittiert wurden. Die Sicherheitsverletzung wurde auf einen raffinierten Phishing-Angriff zurückgeführt, der auf interne Systeme abzielte und unbefugten Zugriff auf sensible Aufzeichnungen ermöglichte, darunter Patientennamen, Adressen, Geburtsdaten und medizinische Vorgeschichte.
Hacker nutzten Schwachstellen in der Sicherheitsinfrastruktur von Change Healthcare aus, insbesondere in Bezug auf das Bewusstsein der Mitarbeitenden und die E-Mail-Sicherheitsprotokolle.
Dieser Vorfall macht deutlich, wie wichtig ein ganzheitlicher und vielschichtiger Ansatz für Cybersicherheit ist. „Sicherheit zu implementieren bedeutet nicht, sich auf eine Einzellösung zu verlassen, sondern mehrere Verteidigungsschichten zu errichten,“ sagt Shrav Mehta, CEO von Secureframe. „Von sicheren Programmierpraktiken über automatisierte Tests bis hin zur kontinuierlichen Überwachung brauchen wir einen ganzheitlichen Ansatz, der potenzielle Bedrohungen antizipiert und abwehrt, bevor sie entstehen.“
Eine wesentliche Folge der Datenschutzverletzung bei Change Healthcare war die Störung von Gesundheitsdienstleistungen. Mehrere Krankenhäuser und medizinische Einrichtungen, die auf die Systeme von Change Healthcare angewiesen waren, erlebten Verzögerungen bei kritischer Patientenversorgung. Dieser Vorfall zeigt die enormen Risiken der Cybersicherheit im Gesundheitssektor auf, bei denen Schwachstellen sowohl die Datenintegrität als auch die Kontinuität der Versorgung gefährden können.
Über den unmittelbaren technischen Ausfall hinaus zeigt das Nachspiel der Change Healthcare-Panne – mit Anbietern im Gesundheitswesen, die keine Zahlungen abwickeln oder das Personal nicht entlohnen konnten – warum CTOs im Gesundheitswesen die Zahlungsinfrastruktur mit der gleichen Kritikalität behandeln müssen wie Systeme zur Patientenversorgung. Für Technologieführer im Gesundheitswesen ist die wichtigste Erkenntnis brutal einfach: Mängel in der grundlegenden IT-Sicherheit, selbst bei einem einzigen Dienst, können ein gesamtes Gesundheitssystem lahmlegen.
Dieser Vorfall betonte außerdem die Notwendigkeit strengerer Vorschriften und erweiterter Verantwortlichkeiten innerhalb der Gesundheitsbranche.
Kiran Chinnagangannagari, Chief Product and Technology Officer bei Securin, hebt die entscheidende Rolle der Hersteller medizinischer Geräte bei der Minderung dieser Schwachstellen hervor:„Ich persönlich wünsche mir, dass neue Regulierungen nicht nur für Leistungserbringer im Gesundheitswesen gelten, sondern auch für Hersteller von Medizinprodukten. Denn das wachsende Risiko von Schwachstellen in diesen Geräten ist ebenfalls ein großes Problem.
Securin Untersuchungen zeigten eine Zunahme der Schwachstellen um 59 % zum Vorjahr in Produkten aus dem Gesundheitsbereich. Bei 43 Schwachstellen war sogar eine Remote-Ausführung möglich – eine massive Gefahr für die Patientensicherheit. Medizinische Geräte, wie Infusionspumpen und Überwachungssysteme, sind essenziell für die Patientenversorgung, und ohne angemessene Cybersicherheitsmaßnahmen könnten diese Schwachstellen zu gefährlichen Unterbrechungen bis hin zu lebensbedrohlichen Situationen führen. Wir müssen sowohl Absicherung dieser medizinischen Anbieter und Geräte priorisieren als auch die finanziellen Mittel dafür bereitstellen.“
Chinnagangannagari betont außerdem die Bedeutung von Risikomanagement für Dritte.„Unternehmen müssen aktiv prüfen, ob alle Akteure in ihrer Lieferkette in der Lage sind, verheerende Sicherheitsvorfälle zu verhindern. Strengere Vorschriften und eine verbesserte Durchsetzung sind jetzt notwendig. Sicherheitsteams und Entwickler müssen CISA's Secure-by-Design-Prinzipien in ihre Systeme und Produkte integrieren. Unternehmen sollten nicht nur für ihre eigenen Sicherheitsmaßnahmen verantwortlich sein, sondern auch für jene aller Organisationen, mit denen sie zusammenarbeiten. Der Einsatz ist zu hoch – wir dürfen uns solche Nachlässigkeit nicht länger leisten.“
Dr. Sean Kelly, MD, Chief Medical Officer und VP Customer Strategy bei Imprivata, fügt hinzu,„Eine umfassende Cybersicherheitsstrategie aufzubauen ist fast so, als würde man ein Haus bauen – und die meisten Gesundheitseinrichtungen haben bislang nur das Fundament gelegt. Ihr Ansatz bleibt oft reaktiv, mit dem Fokus darauf, das Chaos der Angreifer zu beseitigen, anstatt sie gleich von Anfang an draußen zu halten.“
Change Healthcare hat sich verpflichtet, strengere Datenschutzpraktiken einzuführen und eng mit den Aufsichtsbehörden zusammenzuarbeiten, um künftige Vorfälle zu verhindern. Diese Situation lehrt uns:„Altsysteme sind ein Spielplatz für Hacker“, sagt Cristescu.„Veraltete Technik bereitzubehalten ist ein Risiko, das wir uns nicht leisten können.“
Cristescu empfiehlt Organisationen „auf moderne, cloudbasierte Systeme mit fortschrittlicher Bedrohungserkennung umzusteigen“ und „beim Thema Backups nicht zu sparen. Ransomware kann Sie nicht erpressen, wenn Sie sichere, isolierte Backups bereithalten.“
Bei all diesen Sicherheitsverletzungen sehen wir das gemeinsame Muster, dass Angreifer fest kodierte Zugangsdaten entdecken und missbrauchen. Was menschliche Identitäten betrifft, scheint das Fehlen von phishing-resistenter Multifaktor-Authentifizierung ein zentrales Thema zu sein. Bei nicht-menschlichen Identitäten waren die genutzten Klartext-Geheimnisse häufig langlebig – lang genug, um Angreifern zu nutzen. Das sollte Organisationen deutlich machen, wie wichtig das Management und die Transparenz von Zugangsdaten geworden ist: Große Unternehmen müssen ihre Zugangsdaten im Blick haben, sie automatisiert und regelmäßig rotieren, sodass geleakte Geheimnisse nutzlos werden, sobald sie entdeckt werden.
Wie geht es weiter?
Mit Blick auf 2025 wird die Cybersicherheitslandschaft vermutlich durch die zunehmende Raffinesse sowohl von Bedrohungen als auch von Verteidigungsmaßnahmen geprägt sein. Cyberkriminelle werden voraussichtlich verstärkt KI-gesteuerte Angriffe einsetzen, maschinelles Lernen nutzen, um traditionelle Sicherheitssysteme zu umgehen und überzeugendere Phishing-Versuche zu initiieren.
Larry Zorio, CISO bei Mark43, meint: „Organisationen sollten sich auf eine Welle von KI-gestützten Angriffen vorbereiten – ausgeklügelte Bedrohungen, die ihre Signaturen anpassen, um einer Erkennung zu entgehen. Diese von Kriminellen auf der Suche nach schnellen Gewinnen ausgenutzten Angriffe zielen auf Sektoren mit schwachen Abwehrmechanismen und unzureichenden Ressourcen ab. Hacker nutzen Werkzeuge wie ChatGPT, um Malware zu erstellen und Phishing-E-Mails zu verfassen, die von legitimer Kommunikation kaum zu unterscheiden sind.
Sind diese Befürchtungen gerechtfertigt? Absolut. Wir können jedoch Maßnahmen ergreifen, um uns und unsere Unternehmen zu schützen, darunter Mitarbeiterschulungen zur Phishing-Prävention, fortlaufende Überwachung mit verhaltensbasierter Analyse zur Erkennung von Anomalien und die Zusammenarbeit mit vertrauenswürdigen Anbietern, um Sicherheitslücken zu schließen. Proaktive Investitionen jetzt werden die Abwehr stärken und langfristig Kosten sparen.“
Dieser Anstieg bei offensiver KI wird dazu führen, dass Unternehmen ebenso fortschrittliche Verteidigungsmittel einsetzen müssen, etwa KI-basierte Systeme zur Bedrohungserkennung und -abwehr, die in der Lage sind, riesige Datenmengen in Echtzeit zu analysieren, um Unregelmäßigkeiten zu identifizieren und Risiken zu minimieren. Zusätzlich werden Angriffe auf die Lieferkette weiterhin ein zentrales Problem bleiben, da Angreifer Schwächen bei Drittanbietern ausnutzen, um Zugang zu sensiblen Systemen zu erhalten.
Auf der Verteidigungsseite ist mit einer noch flächendeckenderen Einführung von Zero Trust-Architekturen zu rechnen, bei denen kein Benutzer oder Gerät standardmäßig vertraut wird und Zugriffe kontinuierlich überprüft werden.
Cloud-Sicherheit rückt verstärkt in den Fokus, da Unternehmen sich mit der Komplexität der Absicherung von Multi-Cloud-Umgebungen auseinandersetzen müssen – dies betont die Notwendigkeit von Echtzeit-Transparenz und Bedrohungsmanagement über diese Infrastrukturen hinweg.
Um die Anzahl cloudbasierter Angriffe zu reduzieren, sollten Unternehmen ihren Security Operations Centers (SOCs) eine Echtzeit-Cloud-Perspektive bieten, um eine konsistente Bedrohungserkennung und -reaktion über die gesamte Infrastruktur hinweg zu gewährleisten. Das senkt Kosten, den Mean-Time-to-Respond (MTTR) und verringert das Risiko ernster Sicherheitsverletzungen erheblich.
Regulatorische Veränderungen, insbesondere im Bereich Datenschutz und Sicherheitsstandards, werden sich voraussichtlich weltweit verschärfen, was Unternehmen dazu zwingt, ihre Praktiken an strengere Compliance-Anforderungen anzupassen.
Rechnen Sie mit einem regulatorischen Tsunami. In der EU haben sich auf den E-Commerce fokussierte Vorschriften wellenartig auf soziale Medien und Online-Marktplätze ausgedehnt. In den USA werden fragmentierte Ansätze erwartet: Verbraucherschutzgesetze auf Bundesstaatenebene erschweren Unternehmen, die grenzüberschreitend tätig sind, die Einhaltung.
Morey Haber, Chief Security Advisor bei BeyondTrust, sagt: „Was wir aus diesen Angriffen gelernt haben, ist, dass niemandes persönliche Daten sicher sind – ganz gleich, um welches Unternehmen es sich handelt und wie groß es ist.“ Wenn Firmen sich schützen möchten, empfiehlt Haber Folgendes:
- Verwenden Sie keine Handynummern für Konten oder persönliche Informationen. Eine Telefonnummer dient oft als eindeutiger Identifikator und lässt sich leicht einer Person über mehrere Plattformen hinweg zuordnen. Im Falle eines Datenlecks können Angreifer sie mit weiteren erbeuteten Informationen verknüpfen und so ein umfassendes Profil erstellen – das ist genauso riskant wie eine Sozialversicherungsnummer. Verzichten Sie, wenn möglich, auf Handynummern für Logins oder Authentifizierung, um die Angriffsfläche zu verringern und Ihre Identität zu schützen.
- Verwenden Sie nicht dieselbe E-Mail-Adresse für alle Konten. Erstellen Sie stattdessen unterschiedliche Adressen für die Kommunikation, das Online-Banking und andere sensible Aktivitäten. Sollte eine E-Mail kompromittiert werden, ist nicht gleich Ihre gesamte digitale Identität in Gefahr.
- Für Unternehmen gilt: Für Angreifer ist es häufig einfacher, sich einzuloggen, als einzubrechen. Setzen Sie daher auf Identitätssicherheit und Privileged Access Management, indem Sie regelmäßig Berechtigungen und Zugriffsrechte überprüfen, um laterale Bewegungen und unbefugten Zugriff zu verhindern.
Auch 2025 wird die branchen- und länderübergreifende Zusammenarbeit weiter an Bedeutung gewinnen: Das Teilen von Bedrohungsinformationen wird zu einem entscheidenden Faktor, um Angreifern stets einen Schritt voraus zu sein.
Letztendlich liegt der Schlüssel zur Bewältigung dieser Herausforderungen darin, modernste Technologien mit einer Kultur der Wachsamkeit und Verantwortung auf allen Ebenen der Organisation zu verbinden.
Abschließende Gedanken
Die Datenschutzverletzungen des Jahres 2024 sind eine ernüchternde Erinnerung daran, dass selbst die besten Abwehrmechanismen nicht undurchdringlich sind. Sie sind jedoch auch ein Aufruf zum Handeln – eine Gelegenheit, Strategien zu verfeinern, innovative Werkzeuge wie BAS-Software zu priorisieren und stärkere, anpassungsfähigere Sicherheitsstrukturen aufzubauen. Transparenz und Zusammenarbeit spielen in diesem Prozess eine entscheidende Rolle.
„Wir müssen radikale Transparenz annehmen, indem wir Erkenntnisse zu Schwachstellen, Verbreitungsraten von Versionen und gewonnene Erkenntnisse offen teilen“, sagt Shrav Mehta.„Dieses kooperative Vorgehen trägt dazu bei, dass das gesamte Tech-Ökosystem widerstandsfähiger wird.“
Wenn wir die Kreativität und Innovation von Angreifern übertreffen wollen, müssen wir Wissen teilen, unsere Schwachstellen kritisch hinterfragen und uns unserer Verantwortung als Hüter der von uns geschützten Systeme und Daten bewusst bleiben.
Wenn wir in das Jahr 2025 gehen, sollten wir uns die hart erarbeiteten Lehren dieses Jahres zu Herzen nehmen. Ob bei der Einführung von Zero-Trust-Prinzipien, Investitionen in bessere Bedrohungsanalysen oder der Förderung einer Kultur, in der Sicherheit zur Aufgabe aller wird: Das Ziel ist klar – Unternehmen müssen ihre Strategien anpassen, in neue Sicherheitstechnologien investieren und eine Kultur des Bewusstseins und der Wachsamkeit fördern.
Abonnieren Sie den Newsletter des CTO Club für weitere Tipps, Tools und Best Practices rund um Cybersecurity.
