Steigende Zahlen von Sicherheitsverletzungen und wechselnde Angriffsmuster signalisieren, dass schwierige Zeiten bevorstehen
Inhaltsverzeichnis:
Wenn Sie Datenschutzverstöße für schlimm hielten, schnallen Sie sich an. sie werden immer schlimmer. Im Januar veröffentlichte das US Identity Theft Resource Center (ITRC) seine Bericht über Datenschutzverletzungen 2023. Die Ergebnisse sind düster. Der Bericht, der mittlerweile zum 18. Mal erscheint, dokumentiert einen enormen Anstieg der Zahl von Datenschutzverletzungen. Im Jahr 3,205 wurden insgesamt 2023 Kompromittierungen erfasst, ein Anstieg von 72 % gegenüber einem Allzeithoch von 1,860 im Jahr 2021.
Experten befürchten, dass exponierte Lieferketten und das Fehlen eines nationalen Datenschutzgesetzes den Gegnern einen Vorteil verschaffen.
Eine Mutter aller Verstöße
Im selben Monat erlebten wir eines der größten einzelnen Datenlecks in der Geschichte. Unter dem Spitznamen „Mutter aller Verstöße“ (MOAB) wurden über 26 Milliarden Datensätze von Leak-Lookup gestohlen, einer Suchmaschine für verletzte persönliche Daten, die aus über 4,000 Verstößen in der Vergangenheit gesammelt wurden.
Bob Diachenko, Gründer von Security Discovery, fand die gestohlenen Datensätze in einer falsch konfigurierten Instanz im Internet, was bedeutet, dass jeder darauf hätte zugreifen können.
Cybersicherheitsunternehmen SpyCloud gefunden dass die meisten Datensätze zwar alt waren und zuvor offengelegt wurden, die Daten jedoch immer noch schätzungsweise 1.6 Milliarden Datensätze aus 274 Verstößen enthielten, die nicht in der eigenen Datenbank mit kompromittierten Datensätzen enthalten waren. Rund 30 der zuvor nicht offengelegten Verstöße enthielten Duplikate oder gefälschte Daten, die Aufzeichnungen enthielten jedoch auch einige Verstoßdaten, die zuvor online zum privaten Verkauf angeboten worden waren.
Eine doppelte Bedrohung
Datenschutzverletzungen, die zur Veröffentlichung personenbezogener Daten im Internet führen, bergen mehrere Gefahren. Erstens können sie für Credential-Stuffing-Angriffe verwendet werden, bei denen Angreifer mithilfe der offengelegten Anmeldeinformationen eines Angriffs Brute-Force-Angriffe auf mehrere Konten automatisieren.
„Das Schlimmste für ein Sicherheitsteam ist, dass jemand Zugang zu Anmeldeinformationen erhält und innerhalb einer Organisation bestehen bleiben kann“, sagt Will Lin, CEO des Stealth-Security-Startups AKA Identity, gegenüber ISMS.online.
Auch online durchgesickerte, gehackte Datensätze sind ein nützliches Instrument für gezielte Angriffe, sagt Venky Raju, Field CTO von ColorTokens. Raju stellt in letzter Zeit einen Rückgang der durchschnittlichen Zahl der Opfer pro Sicherheitsverstoß fest. Während die Zahl der Sicherheitsverletzungen im Jahr 2023 stark anstieg, sank die Zahl der Gesamtopfer um 16 % von 425.2 Millionen im Jahr 2022 auf knapp über 353 Millionen im letzten Jahr. Nach Angaben des ITRC wurden vor sechs Jahren bei 2.2 Verstößen 1,175 Millionen Datensätze aufgedeckt.
„Der Grund, warum die Zahl der Opfer sinkt, liegt darin, dass [Angriffe] jetzt sehr zielgerichtet sind“, sagt Raju gegenüber ISMS.online. „Man kann mehr Geld verdienen, wenn man eine kleine Anzahl von Menschen angreift, über die man mehr weiß, als nur Spray-and-Pray-Angriffe durchzuführen.“
Die verletzten Datensätze können alles enthalten, von einfachen Zugangsdaten bis hin zu detaillierten Gesundheitsinformationen oder Finanzdaten. Im Januar, Versicherungsgruppe sagte Chaucer dass im vergangenen Jahr die Finanzdaten von 53 Millionen Privatpersonen kompromittiert wurden.
Persönliche Daten aus Sicherheitsverletzungen ermöglichen es Angreifern, mehr über ihre Opfer zu erfahren, sagt Raju, was bedeutet, dass sie Einzelpersonen effektiver angreifen können. Er warnt davor, dass Angreifer diese Daten mit noch mehr Informationen anreichern, die sie von Datenbrokern erhalten. Diese können für Betrügereien wie das Schlachten von Schweinen genutzt werden, bei denen Angreifer Menschen in Beziehungen locken und sie dann dazu überreden, in Scheinunternehmen zu investieren. Diese Angriffe basieren stark auf Social Engineering.
Lieferketten in Gefahr
Der Chief Operating Officer des ITRC, James Lee, argumentiert, dass MOAB mit seinem großen Anteil an bereits offengelegten Aufzeichnungen keine großen Auswirkungen haben wird. Er ist besorgt über einen weiteren Trend, der im Bericht hervorgehoben wird.
„Ich mache mir viel mehr Sorgen über die Zunahme von Angriffen auf die Lieferkette und die wachsende Fähigkeit von Bedrohungsakteuren, in den Quellcode von Software einzudringen, um Zero-Day-Schwachstellen zu finden und diese auszunutzen“, sagt er gegenüber ISMS.online. Die Statistiken des ITRC zeigen einen Anstieg der Organisationen, die seit 2,600 Opfer von Lieferkettenangriffen sind, um 2018 % und einen Anstieg der Zahl der Opfer um 1,400 %.
Wie können wir also verhindern, dass die Zahl der Verstöße noch weiter steigt?
„Das Fehlen einheitlicher Standards für die Cybersicherheit gepaart mit dem Fehlen einheitlicher Standards für die Benachrichtigung und Behebung von Datenschutzverletzungen [in den USA] tragen wesentlich dazu bei, dass wir bei der Bekämpfung von Datenschutzverletzungen keine Fortschritte gemacht haben“, sagt Lee. Er fordert stärker standardisierte Meldemechanismen sowie Initiativen zur Compliance.
Die Notwendigkeit standardisierter Berichtsregeln
Die Delegation von Datenschutzgesetzen an einzelne US-Bundesstaaten führt zu einem verwirrenden Flickenteppich. Da es kein nationales Datenschutzgesetz gibt, müssen wir die nächstbeste Option wählen, sagt er.
„Die einzige Möglichkeit, den Status quo zu verbessern, besteht darin, jeden Staat dazu zu bringen, seine Gesetze und Vorschriften zu aktualisieren, um bestimmte Mindeststandards zu erfüllen“, erklärt Lee. „Es ist nicht unmöglich, aber es ist nicht schnell oder ideal.“
Die kürzlich von der SEC eingeführten Berichtsregeln werden dazu beitragen, börsennotierte Unternehmen stärker zur Rechenschaft zu ziehen. Allerdings seien im vergangenen Jahr weniger als 10 % der Verstöße von diesen Unternehmen gemeldet worden, fügt er hinzu. Vielleicht wird dieser Anteil in diesem Jahr durch die Verordnung erhöht. Lee weist darauf hin, dass Unternehmen bereits Berichte melden, ohne abzuwarten, ob ein Verstoß wesentliche Auswirkungen hat oder nicht. Dennoch werden die meisten Verstöße weiterhin außerhalb des Zuständigkeitsbereichs der SEC liegen, warnt er.
Was Sie jetzt tun können
Während die bundesstaatliche Regulierung durch die SEC zweifellos helfen wird, bleibt die Herausforderung enorm, da Angreifer weiterhin auf die schwache Unterseite der Wirtschaft abzielen. Es kommt immer wieder zu Verstößen, wie es im Januar der Fall war Attacke zu Global Affairs Canada, dessen vollständiger Umfang jedoch nicht bekannt gegeben wurde. Im Februar, ein Ransomware-Angriff Bei der UnitedHealth-Tochtergesellschaft Change Healthcare störten Verschreibungen und bedrohten Leben. BlackCat nahestehende Cyberkriminelle, die die Verantwortung für den Angriff übernahmen, behauptet dass UnitedHealth 22 Millionen US-Dollar gezahlt hat, um die Veröffentlichung der verletzten Daten zu verhindern.
Unternehmen können Maßnahmen ergreifen, indem sie robuste Sicherheitskontrollen aufbauen, die auf Standards wie ISO 27001 und anderen branchenweit anerkannten Zertifizierungen basieren, die für ihre eigene Region, Branche und Größe geeignet sind. Wir sind vielleicht nicht in der Lage, eine steigende Flut immer gezielterer Angriffe einzudämmen, aber wir können zumindest aufmerksam sein und uns auf höhere Ebenen begeben.
