Datenleck verhindern: Was Betroffene gegen Leaks tun können

Von einem Datenleck, einer Datenpanne bzw. einem Leak spricht man, wenn sensible Daten an die Öffentlichkeit oder in die Hände unberechtigter Dritter geraten. Im Unterschied zu einem Data Breach, bei dem Hacker gewaltsam in ein Netzwerk eindringen, deutet der Begriff Leck an, dass der Verlust von Daten auf mangelnde Sorgfalt und Fehler in der Organisation zurückzuführen ist. Im Alltag wird diese Unterscheidung jedoch nicht streng eingehalten: Nachrichtenseiten verwenden Datenleck, Datenpanne und Data Breach als austauschbare Begriffe.

Das mag auch daran liegen, dass sich oft keine klare Grenze zwischen interner Fahrlässigkeit und externen Angriffen ziehen lässt, bzw. eine Kombination mehrerer Faktoren zum Verlust sensibler Daten führt. Zum Beispiel machen sich Angreifer oft Schwachstellen in IT-Systemen zunutze. Ob ein Unternehmen dabei Opfer eines neu entdeckten Zero Day Exploits wurde oder es verabsäumt hat, eine bekannte Schwachstelle zu patchen, lässt sich für Außenstehende oft nicht beurteilen.

Wer erfahren möchte, ob eigene Daten Teil eines Datenlecks waren, kann dies über die Website Have I Been Pwned? erheben. Gegen die Eingabe der eigenen E-Mail erfahren Nutzer hier, in welchen geleakten Datensätzen diese zu finden ist und welche weiteren Informationen Teil des jeweiligen Vorfalls waren. Auch eine automatische Benachrichtigung für künftige Datenpannen lässt sich hier einrichten. Eine deutsche Version, die auf den gleichen Infos aufbaut, bietet der E-Mail Leak Check von Experte.de.

Um zu sehen, ob im Zusammenhang mit der eigenen E-Mail-Adresse auch persönliche Daten wie das Geburtsdatum, die Telefonnummer oder Adresse online zu finden sind, lässt sich der Leak Checker des Hasso Plattner Instituts oder der Universität Bonn verwenden. Achtung: Um sensible Informationen nicht weiterzuverbreiten, geben die Dienste nicht die genauen Daten preis, die im Netz zu finden sind, sondern nur um welche Art von Information es sich handelt.

Betroffene eines Datenlecks können zwar den Leak nicht ungeschehen machen, sich aber vor möglichen Folgen schützen. Die wichtigsten Schritte nach einem Datenleck:

Grundsätzlich gilt: Alle Daten, die Dienstleister, Unternehmen und Behörden über uns speichern, können theoretisch Gegenstand eines Datenlecks werden. Besonders perfide sind Lecks, wenn diese entweder eine hohe Zahl an Usern betreffen – etwa im Fall von Facebook, LinkedIn und Twitter – oder aber sensible Daten wie in der Finanzbranche. Zu Daten, die in Lecks zu finden sind, zählen unter anderem:

Sensible Daten können auf unterschiedliche Wege in die falschen Hände geraten. Die meisten von uns verbinden Datenlecks mit Hackern, wobei Experten in diesem Fall eher von einem Cyberangriff sprechen würden. Ein Leck ist hingegen eher auf interne Probleme wie Fehlkonfigurationen, mangelnde Sicherheitsvorkehrungen oder unvorsichtige Mitarbeiter zurückzuführen. Ob diese Missstände durch eine externe Attacke and Tageslicht geraten, ist dabei meist nur eine Frage der Zeit.

Leider gelangen Daten von Kunden und Geschäftspartnern immer wieder an die Öffentlichkeit, weil Unternehmen es schlicht verabsäumen, den Zugang angemessen abzusichern. Nehmen wir den Leak der Autovermietung Buchbinder als Beispiel: Durch einen offenen Port auf dem Backup-Server der Firma waren die dort abgelegten Informationen (darunter Adressen, Telefonnummern und Unfallberichte) wochenlang frei zugänglich. Für Aufrufe des Servers war keine Authentifizierung und Autorisierung notwendig.

Ähnliche Vorfälle ereignen sich immer wieder, z.B. wenn Firmen private Dokumente ohne Passwortkontrolle auf der eigenen Website ablegen und sich darauf verlassen, dass niemand die entsprechende URL aufruft. Von einem Angriff kann bei Lecks dieser Art kaum gesprochen werden: die betroffenen Daten stehen theoretisch allen offen.

Den Firmenlaptop im Zug vergessen? Das ist zwar peinlich, im Idealfall ist das Gerät aber durch ein starkes Passwort geschützt und sensible Daten auf der Festplatte mit BitLocker verschlüsselt. Bei kleineren Datenträgern wie USB-Sticks oder externen Festplatten achten Unternehmen hingegen eher selten auf die Verschlüsselung von Daten. Bei einem Verlust bzw. Diebstahl sind die sensiblen Informationen so oft problemlos zugänglich.

Wichtige Dokumente per Post oder E-Mail zu versenden ist im Geschäftsalltag nichts ungewöhnliches. Bei hunderten von verschickten Nachrichten sind Fehler vorprogrammiert: Eine vertauschte E-Mail-Adresse hier, ein verwechselter Umschlag da und schon landen die Informationen beim falschen Empfänger. Ungeschehen machen lässt sich der Versand nicht mehr: Jetzt hilft nur, den Empfänger darum zu bitten, das Dokument zu vernichten. Wirklich überprüfen lässt sich dies nur schwer.

Nicht alle Leaks kommen durch Fahrlässigkeit oder Versehen zustande: In manchen Fällen treffen Team-Mitglieder mit Zugang zu sensiblen Informationen die bewusste Entscheidung, diese öffentlich zu machen. Teils geschieht dies wegen ethischer Bedenken, wie im Fall des durch Edward Snowden, Chelsea Manning oder Reality Winner geleakten Geheimmaterial. Allerdings stecken nicht immer noble Motive hinter Leaks, wie zuletzt das Datenleck im US-Militär rund um den Ukraine-Konflikt beweist: Nach jüngsten Informationen wollte der Verdächtige mit den geheimen Dokumenten vor Freunden angeben.

In Sachen Cybersecurity zählt der Mensch zu den größten Sicherheitsrisiken. Einerseits können Angestellte unabsichtlich zum Insider Threat werden, weil sie durch Fehler im Umgang mit sensiblen Daten deren Vertraulichkeit gefährden. Andererseits besteht die Gefahr von Datendiebstahl durch Mitarbeiter: Fälle, in denen Team-Mitglieder ihnen anvertraute Informationen zur eigenen Bereicherung entwenden, etwa vor einem Wechsel zur Konkurrenz. Meist gelangen Informationen dabei nicht an die breite Öffentlichkeit, sondern werden zum Beispiel gezielt zum Verkauf angeboten.

Aus Gründen der Bequemlichkeit nutzt die Belegschaft vieler Firmen private Dienste und Geräte wie z.B. WhatsApp oder den eigenen Google Account für berufliche Zwecke. Experten sprechen hier von Schatten IT: Der Nutzung von IT-Systemen ohne Genehmigung oder Kontrolle durch die IT-Abteilung. Das Problem an der Sache? Erlangt ein Angreifer Zugang zu dem privaten Konto des Kollegen, hat er auch Zugriff auf alle dort gespeicherten Geschäftsdaten. Das ist insbesondere deshalb kritisch, da die meisten von uns unsere privaten Accounts nicht so streng absichern, wie es die Sicherheitsrichtlinien unseres Arbeitsgebers erfordern.

Die Kompromittierung von Geschäftskonten durch Phishing, Brute-Force-Angriffe oder gestohlene Zugangsdaten ist der häufigste Weg, wie Angreifer Zugang zum Netzwerk einer Firma erlangen. Die Grenze zwischen einem Datenleck und einer Cyberattacke verläuft hier fließend: Obwohl Hacker aktiv nach angreifbaren Konten suchen, spielen ihnen unvorsichtige User dabei in die Hände. Zum Beispiel durch unsichere Passwörter, den Besuch auf fragwürdigen Websites oder die Eingabe ihrer Zugangsdaten auf Phishing-Pages.

Mit sensiblen Daten ist es wie mit dem Kind und dem Brunnen: Sind die Informationen einmal im Umlauf, lässt sich das Datenleck nicht mehr rückgängig machen. Wenn Daten von Kunden oder Geschäftspartnern auf einschlägigen Hacker-Foren landen, ist die Verbreitung kaum noch zu stoppen. Das Internet vergisst bekanntlich nie. Umso wichtiger ist es, dass Unternehmen im Vorfeld geeignete Sicherheitsvorkehrungen treffen, um das Risiko für Datenlecks so gering wie möglich zu halten. Was es dabei zu beachten gilt, erfahren Sie hier.

Zum Schutz vor Datenlecks ist es entscheidend, dass Unternehmen das Thema Informationssicherheit nicht auf die leichte Schulter nehmen, sondern die Empfehlungen von Security-Experten in Form von gängigen Best Practices gewissenhaft umsetzen. Beim Aufbau eines eigenen Sicherheitsprogramms können sich Firmen an zahlreichen etablierten Standards wie ISO 27001, dem BSI IT-Grundschutz oder dem NIST Cybersecurity Framework orientieren.

Praktiken wie das Abfotografieren des Bildschirms oder Scannen von Akten mit dem Smartphone lassen sich nur schwer stoppen, ohne die eigene Belegschaft unter Generalverdacht zu stellen. Dennoch können Firmen verhindern, dass Mitarbeiter im großen Stil Daten stehlen, indem sie z.B. die Nutzung privater Geräte im Firmennetzwerk einschränken und externe Speichermedien mittels Gruppenrichtlinien blockieren.

Auf je weniger Systeme ein Mitarbeiter Zugriff hat, desto weniger Daten sind durch sein Konto potentiell gefährdet. Das gilt für Innentäter ebenso wie für den Account-Takeover durch einen Angreifer. Zum Schutz sensibler Informationen sieht das Least Privilege Prinzip daher vor, Benutzern nur Zugriff auf Daten zu geben, die sie für ihre Arbeit zwingend benötigen. Um diese Best Practice in die Tat umzusetzen, müssen zwei wesentliche Anforderungen erfüllt sein:

In vielen Unternehmen kann niemand mit letzter Sicherheit sagen, wer Zugang zu welchen Daten hat. Mangels zentraler Berechtigungsverwaltung vergeben Admins neue Rechte auf Zuruf, die niemals kontrolliert oder entfernt werden. Mit den Standard-Tools von Microsoft ist es ohnehin kaum möglich nachzuvollziehen, wer Zugriff auf welche Bereiche des Fileservers hat, von geteilten Daten in Microsoft 365 ganz zu schweigen.

So kommt es in den meisten Unternehmen nach und nach zu einem sogenannten Privilege Creep, also der Ansammlung nicht benötigter Rechte, die das Risiko für Datenmissbrauch, -diebstahl und -lecks erhöhen. Wer dieses Risiko in den Griff bekommen möchte, braucht eine Software für Identity und Access Management (IAM). Durch ihr User Lifecycle Management weisen IAM-Lösungen jedem Mitarbeiter automatisch die richtigen Rechte zu und entfernen überflüssige Berechtigungen selbstständig.

Um Datenlecks effektiv zu stoppen spielt der Schutz vor unberechtigten Zugriffen eine entscheidende Rolle. Gleichzeitig dürfen Sicherheitslösungen aber weder Geschäftsprozesse behindern noch Unternehmen durch endlose Projektphasen in Unkosten stürzen: Es braucht passende Systeme, die sich schnell und einfach in den Arbeitsalltag integrieren lassen.

Genau dieser Ansatz macht tenfold zur idealen IAM-Lösung für mittelgroße Firmen: Neben der einfachen Benutzbarkeit und Konfiguration über grafische Interfaces, die keinerlei Scripting erfordert, zeichnet sich tenfold auch durch ein besonders schnelles und komfortables Setup aus. Das Geheimnis? Über unsere vorgefertigten Plugins lassen sich Standardsysteme aus Windows, Microsoft 365 und der Business IT in Rekordzeit anbinden. So profitieren Sie in kürzester Zeit von unserer umfangreichen und flexiblen IAM-Platform. Überzeugen Sie sich selbst bei einem kostenlosen Test von den Vorteilen von tenfold.