Die schädlichsten Datenlecks sind vermeidbar: So geht's

Von Phil Muncaster • 17 Juli 2025

Wir alle wissen, dass viele Organisationen den Datenschutz verbessern könnten. Die britische Regierung Umfrage zu Cyber-Sicherheitsverletzungen 2025 weist auf eine ganze Reihe von Mängeln hin – von der Sensibilisierung bis zur Reaktion auf Vorfälle –, die sie indirekt Cyberrisiken aussetzen. Selbst die Existenz eines strengen Datenschutzrahmens (DSGVO/Data Protection Act 2018) in den letzten sieben Jahren hat nicht dazu beigetragen, die Flut einzudämmen. Die Ansprüche der Regierung Über zwei Fünftel (43 %) der britischen Unternehmen waren in den letzten 12 Monaten Opfer eines Angriffs oder einer Sicherheitsverletzung.

Es gibt jedoch zahlreiche Möglichkeiten für schnelle Erfolge, wie ein neuer Bericht von JägersicherheitDer Bericht stellt fest, dass 30 % der im vergangenen Jahr den britischen und australischen Datenschutzbehörden gemeldeten Vorfälle für 90 % der Opfer von Datenschutzverletzungen verantwortlich waren. Daher könnten die Ergebnisse des Berichts für finanzschwache Organisationen eine wertvolle Grundlage für ihre sofortigen Maßnahmen sein.

Wie sich Großbritannien und Australien unterscheiden

Huntsman Security reichte sowohl beim britischen Information Commissioner's Office (ICO) als auch beim australischen Information Commissioner's Office (OAIC) einen Antrag auf Informationsfreiheit (FOI) ein. Die Ergebnisse zeichnen ein leicht unterschiedliches Bild der regulatorischen und unternehmensbezogenen Sicherheitslandschaft in den beiden Ländern.

GB: Von den 9,654 Datensicherheitsvorfällen, die britische Unternehmen dem ICO im vergangenen Jahr meldeten, standen 2,817 (29 %) im Zusammenhang mit Brute-Force-Angriffen, Malware, Phishing, Ransomware und Systemfehlkonfigurationen. Dennoch machten diese Vorfälle fast 80 % der Opfer von Datenschutzverletzungen aus: 13.9 Millionen von 17.6 Millionen.

Huntsman Security gab an, dass diese Vorfälle auch 90 % aller Cyber-bezogenen Datensicherheitsvorfälle ausmachten. Daher könnten konzentrierte Sicherheitskontrollen ein wirksames Mittel zur Eindämmung dieser Vorfälle sein. Viele dieser Vorfälle waren offenbar gezielt und zielten auf den Diebstahl wertvoller Daten wie Gesundheitsakten, Finanzinformationen und Ausweisdokumente ab.

Australien: Insgesamt 1,188 Vorfälle (32 % der Gesamtzahl der zwischen 2022 und 24 gemeldeten Vorfälle) betrafen Brute-Force-Angriffe, Malware, Phishing, Ransomware, Hacking und unbefugten Zugriff. Diese waren für 77 % aller kompromittierten Datensätze verantwortlich. Der Bericht zeigt auch, dass kriminelle Angriffe (im Gegensatz zu versehentlichen Datendiebstählen) für 62 % aller Datendiebstähle, aber 98 % aller Opfer verantwortlich waren.

Der Bericht hebt auch hervor, dass Organisationen in Australien 48 Tage brauchten, um diese Verstöße zu erkennen, und 86 Tage, bevor sie sie dem OAIC meldeten. Dies ist nach der DSGVO schlichtweg nicht zulässig, da die Meldung in den meisten Fällen innerhalb von 72 Stunden erfolgen muss.

Wo Großbritannien versagt

Diese Ergebnisse stimmen in gewisser Weise mit dem Bericht der britischen Regierung über Datenschutzverletzungen überein. Wie bereits berichtet von ISMS.online, Es zeigt eine ganze Reihe von Problemen auf, die zu einem Anstieg vermeidbarer Datenschutzverletzungen beitragen, darunter ein allgemeiner Mangel an:

Schulungsprogramme für Mitarbeiter, wo sich die Inanspruchnahme gegenüber dem Vorjahresbericht nicht verändert hat
Risikoprüfungen von Drittanbietern, die nur von 32 % der mittleren und 45 % der großen Unternehmen durchgeführt wurden
Reaktionspläne für Vorfälle, die nur von der Hälfte (53 %) der mittelständischen Unternehmen und von drei Vierteln (75 %) der Großunternehmen genutzt wurden
Cybersicherheitsstrategie: nur 57 % der mittelgroßen Unternehmen und 70 % der größeren Firmen hatten überhaupt eine
Vertretung im Vorstand für Cybersicherheit: Nur die Hälfte (951 %) der mittleren und zwei Drittel (66 %) der großen Unternehmen hatten jemanden an der Spitze, der für die Cyber-Strategie verantwortlich war – eine Zahl, die sich seit drei Jahren praktisch nicht verändert hat.
Monatliche Cyber-Updates für Unternehmensleiter, was nur 39 % der mittleren und 55 % der großen Unternehmen tun

Best Practices mit Standards in Einklang bringen

Die Zahlen von Huntsman Security weisen einen Vorbehalt auf. Sie zählen nur Vorfälle, bei denen für jeden Verstoß eine Ursache identifiziert werden konnte. Bei vielen weiteren Vorfällen kann aufgrund mangelhafter Forensik oder unzureichender Reaktion auf Vorfälle möglicherweise keine Ursache identifiziert werden. Dennoch vermitteln sie eine wichtige Botschaft: Indem sie sich auf die oben genannten Vorfallsarten und Bedrohungen sowie bewährte Cybersicherheitsprozesse konzentrieren, die diese Risiken nachweislich mindern, können Sicherheitsteams schnell nützliche Erfolge erzielen.

Morten Mjels, CEO der Beratung Grüner Rabeargumentiert, dass die Kultur der Schlüssel zur Gewährleistung der Einhaltung bewährter Verfahren ist.

„Der Wandel muss von oben nach unten erfolgen, und Sie können die Kultur verändern, indem Sie einfach mehrere Praktiken gleichzeitig implementieren“, erklärt er gegenüber ISMS.online. „Wenn Sie keine Ahnung von Ihrem potenziellen Risiko haben, lassen Sie eine professionelle Risikobewertung durchführen. Sie finden die Schwachstellen und helfen Ihnen, diese zu beheben. Verlassen Sie sich nicht darauf, dass Ihre IT-Mitarbeiter alles reparieren; sie sind keine allwissenden Wunderheiler.“

Piers Wilson, Leiter des Produktmanagements bei Huntsman, erklärt gegenüber ISMS.online, dass Standards und Rahmenwerke wie ISO 27001 und ISO 27701 „einen wichtigen Beitrag zur Minderung von Cyberrisiken leisten können, indem sie sicherstellen, dass Unternehmen ihre Risiken verstehen, bewährte Verfahren befolgen und entsprechende Kontrollen definieren.“

Er fügt hinzu: „Wichtig ist die Wahl des anzuwendenden Rahmens: ISO, NIST oder kleinere, fokussiertere Standards und Systeme wie Cyber Essentials oder Australiens Essential Eight.“

Das Ziel müsse stets darin bestehen, eine Reihe von Kontrollen zu etablieren, die allgemein verstanden und anerkannt seien und dann universell angewendet würden, fügt er hinzu.

„In den meisten Fällen ist nicht die Absicht oder die Richtlinie das Problem, sondern die Umsetzung. Die Einhaltung von Standards läuft Gefahr, zu einer bloßen Abhakübung zu werden, und die Häufigkeit von Audits und Berichten ist angesichts moderner, sich verändernder Cyberbedrohungen möglicherweise nicht ausreichend“, argumentiert Wilson.

„Ein jährliches Audit oder ein Quartalsbericht bieten nicht die Echtzeit-Sichtbarkeit und das Verständnis von Schwachstellen, die die moderne Bedrohungslandschaft erfordert. Zwischen diesen Audits kann die Position des Unternehmens schwanken und weitgehend unsicher sein.“

Aus diesem Grund verlangt ISO 27001 von Unternehmen, regelmäßige interne Audits und laufende Überwachungen durchzuführen, um kontinuierliche Verbesserungen voranzutreiben.

Wilson weist darauf hin, dass eine wirksame Kommunikation für die Einhaltung der Vorschriften von entscheidender Bedeutung ist.

„Jeder Beteiligte in einer Organisation, vom Sicherheitsanalysten bis hin zu den Risikomanagementteams und Führungskräften, muss auf einen Blick erkennen können, ob gute, vereinbarte Praktiken befolgt werden, welche staatlichen Kontrollen tatsächlich vorhanden sind und wer für die Behebung von Problemen verantwortlich ist“, so sein Fazit.

„Die Gewährleistung dieser kontinuierlichen Sichtbarkeit und Kommunikation ist von entscheidender Bedeutung, damit diese Standards die gewünschte Wirkung erzielen.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster