GlobalSign Blog

18 Okt 2017

Der neue Gemalto Breach Level Index: fast 2 Mrd. Datensätze zwischen Januar und Juni verloren oder gestohlen

Weniger als ein Prozent der betroffenen Daten waren verschlüsselt.

Fast 2 Mrd Datensätze wurden gestohlen

Die Sicherheitsfirma Gemalto veröffentlichte vor Kurzem ihren neuesten Breach Level Index (BLI), der öffentliche Datenschutzverletzungen auf der ganzen Welt erfasst. Der neueste Index erfasste Datenschutzverletzungen von Januar bis Juni 2017. Seit Gemalto 2013 mit der Erfassung von Datenschutzverletzungen begann, gingen mehr als neun Milliarden Datensätze verloren, wurden gestohlen oder kompromittiert.

Einer der überraschendsten Statistiken im neuen Bericht: Fast zwei Milliarden Datensätze gingen in den ersten sechs Monaten dieses Jahres verloren oder wurden gestohlen. Das sind 122 Datensätze, die jede Sekunde rund um den Globus von Datenschutzverletzungen betroffen sind.

Im ersten Halbjahr verzeichnete der Gemalto Breach Level Index (BLI) 918 Vorfälle, verglichen mit 815 in den letzten sechs Monaten 2016, was einer Zunahme um 13% entspricht. Die 918 Vorfälle ergeben 1,9 Milliarden kompromittierte Datensätze. Von diesen wurden bei 22 Datenschutzverletzungen mehr als eine Million Datensätze kompromittiert.

Von den 918 Datenschutzverletzungen ereigneten sich 801 in den USA. Großbritannien wurde mit Abstand Zweiter mit 40 Vorfällen und Kanada kam mit 26 Vorfällen auf Platz drei.

Einer der Top-Trends, die im Bericht enthüllt wurden, war die Rolle schlechter Praktiken für interne Sicherheit, wie unsachgemäß entsorgte Datensätze, unsichere Datenbanken oder Benutzerfehler, die einen "unbeabsichtigten Verlust" verursachten. Obwohl außenstehende Angreifer hinter der Mehrzahl der Datenschutzverletzungen standen (74%), verursachten unbeabsichtigte Verluste einen schockierend hohen Anteil (86%) der tatsächlichen Anzahl verlorener Datensätze.  Die Studie unterstreicht auch das anhaltende Problem des Identitätsdiebstahls. Die Folgen für die Opfer können natürlich schwerwiegend sein. Gemäß dem BLI machten Datenschutzverletzungen in Form von Identitätsdiebstahl ca. 74% aller Vorfälle aus, was einer Steigerung von 49% gegenüber dem letzten Halbjahr 2016 entspricht.

Bildungs- & Gesundheitswesen am stärksten von Datenschutzverletzungen betroffen

Der BLI erfasst weltweite Datenschutzverletzungen und misst deren Schweregrad anhand verschiedener Parameter, wie z.B. Datentyp, Ursprung des Angriffs, Verwendung der Daten und Verschlüsselung bzw. Nichtverschlüsselung der Daten. Er weist jeder Datenschutzverletzung einen Schweregrad zu und unterscheidet die weniger schwerwiegenden Datenschutzverletzungen von den wirkungsvolleren.

Die Mehrzahl der Branchen, die der Gemalto-Index erfasste, verzeichneten eine mehr als 100-prozentige Zunahme der Zahl der kompromittierten, gestohlenen oder verloren gegangenen Datensätze. Der Bildungssektor verzeichnete mit 103% einen der größten Anstiege der Datenschutzverletzungen, mit einem Zuwachs von über 4.000% bei der Anzahl der Datensätze. Im Vergleich zu den letzten sechs Monaten des Jahres 2016 verzeichnete der Gesundheitssektor eine ähnliche Anzahl von Datenschutzverletzungen. Jedoch stieg der Schaden pro Datenschutzverletzung - gestohlene, verloren gegangene oder kompromittierte Datensätze stiegen um 423%. Die Finanzdienstleistungs-, Regierungs- und Unterhaltungssektoren waren ebenfalls von einem sprunghaften Anstieg der verletzten Datensätze betroffen, insbesondere von Vorfällen mit Datenschutzverletzungen im Unterhaltungsbereich, die im ersten Halbjahr um 220% zunahmen.

Warum verwenden nicht mehr Unternehmen Verschlüsselung?

Obwohl der BLI E-Mail-Verschlüsselung nicht anspricht - die GlobalSign lieb und teuer ist - ist es erwähnenswert, dass er jedoch enthüllte, dass weniger als ein Prozent der betroffenen Daten verschlüsselt waren. Ich weiß nicht, wie es Ihnen geht, aber ich finde diese Statistik ziemlich erschreckend. Fehlende Verschlüsselung in Verbindung mit zunehmenden Datenschutzverletzungen und Angriffsvektoren kann zu einer Menge Problemen führen.

Eines der besten Beispiele ist der Megahack von Sony Pictures von 2014. Cyber-Diebe veröffentlichten Details zu unveröffentlichten Filmen, hochsensible interne E-Mails und persönliche Daten - einschließlich der Sozialversicherungsnummern von 47.000 Prominenten und Mitarbeitern. Der Angriff kostete Sony Pictures Millionen. Der massive Umfang veranlasste uns, die Frage zu stellen: "Ist es an der Zeit, dass alle mit der Verschlüsselung interner Kommunikation beginnen?" Ich hatte gehofft, dass dieser Vorfall und die unzähligen anderen Datenschutzverletzungen, die seitdem stattgefunden haben, als Weckruf für ALLE Branchen dienen würden, E-Mail-Verschlüsselung nicht weiter zu übersehen. Aber wie der Bericht von Gemalto hervorhebt, scheint dies leider nicht der Fall zu sein.

Ich stehe zu diesem ursprünglichen Argument - E-Mail-Verschlüsselung ist nicht nur für regulierte Branchen wie Gesundheits- und Finanzwesen. Alle Unternehmen haben etwas zu verlieren, wenn ein Hacker Zugang zu ihrer internen Kommunikation erhalten würde. Es ist wichtig, nicht nur an die stereotypen Ziele für Datenschutzverletzungen wie personenbezogene Daten (PII), Finanzdaten usw. zu denken. Es gibt unzählige Inhalte, die ein Unternehmen wahrscheinlich nicht veröffentlicht sehen möchte - Produkteinführungen und -spezifikationen, Kunden- und Interessentenprojekte, Preisaktualisierungen, potenzielle oder laufende Fusionen oder Übernahmen - die Liste ließe sich beliebig fortsetzen.

Wie bereits erwähnt, bin ich evtl. voreingenommen, aber S/MIME kann eine gute Option zum Schutz Ihrer internen Kommunikation sein. Es ist ziemlich benutzerfreundlich (es wird von den meisten Unternehmens-Mail-Clients unterstützt und kann so eingerichtet werden, dass alle ausgehenden E-Mails verschlüsselt werden). Sie können es in Active Directory und Mobile Device Management (MDM) -Plattformen integrieren, um Breitstellungen und fortlaufende Verwaltung zu automatisieren. Es funktioniert sowohl für Desktop- als auch für mobile Endpunkte. Noch wichtiger ist allerdings, dass Ihre E-Mails bei der Übertragung und im gespeicherten Zustand geschützt sind. Dank der zugrunde liegenden Kryptografie, kann nur der beabsichtigte Empfänger auf die E-Mail-Inhalte zugreifen, egal wo sich die E-Mail befindet.

Warten Sie nicht, bis Ihre sensible Kommunikation, egal wie Sie sensibel definieren, gehackt und veröffentlicht wird. Es ist an der Zeit, alle Ihre internen E-Mails zu verschlüsseln.

Haben Sie Fragen zur E-Mail-Verschlüsselung oder S/MIME? Lesen Sie unser Whitepaper oder kontaktieren Sie uns online. Wir helfen Ihnen gerne!

von Lea Toms

Artikel teilen