GlobalSign Blog

13 Sep 2019

Capital One: Lehren aus einem spektakulären Angriff

Die jüngste Hackerattacke gegen Capital One ist möglicherweise eine der größten hinsichtlich der Zahl betroffener Kunden und der geschäftlichen Auswirkungen. Die Attacke am 22. und 23. März 2019 enthüllte die personenbezogenen Daten von fast 106 Millionen Kunden und Antragstellern der Bank.

Der Hacker hatte über den Zeitraum von 2005 bis Anfang 2019 Zugang zu personenbezogenen Daten überwiegend aus Kreditkartenanträgen von Verbrauchern, Antragstellern und Kleinunternehmen. Capital One entdeckte die Datenschutzverletzung am 19. Juli 2019. Unter den offen gelegten personenbezogenen Daten befanden sich Namen, Adressen, Geburtsdaten, Auskünfte zur Kreditwürdigkeit, Transaktionsdaten, Sozialversicherungsnummern und verknüpfte Kontonummern.

Etwa 140.000 Sozialversicherungsnummern und 80.000 verknüpfte Kontonummern wurden offengelegt. Von kanadischen Kreditkartenkunden und -antragstellern waren es zirka 1 Million Sozialversicherungsnummern. Laut Capital One wurden jedoch keine Kreditkartenkontonummern oder Anmeldeinformationen enthüllt.

Ein Vorfall dieser Größenordnung bereitet viel Kopfzerbrechen.

Seit der erstmaligen Meldung des Vorfalls Ende Juli hat ein US-Senator Amazon CEO Jeff Bezos schriftlich um Einzelheiten zur Sicherheit des Amazon-Cloud-Dienstes AWS gebeten. Github, ein beliebtes Code Repository, wurde verklagt und die Generalstaatsanwaltschaft des Staates New York hat eine Untersuchung eingeleitet. Und sicherlich wird es weitere Auswirkungen geben. Schließlich sind seit dem Angriff erst wenige Wochen vergangen.

Verschlüsselungsfehler

Ein Hackerangriff ist an sich schon schlimm genug, aber wenn die Daten von 106 Millionen betroffenen Kunden nicht vollständig verschlüsselt sind, dann können Sicherheitsvorfälle dieser Größenordnung auftreten.

Dazu das Wall Street Journal: „Zum Vorfall bei Capital One vermuten Experten, dass die Bank möglicherweise eine schwache Verschlüsselungsform eingesetzt habe, oder die Schlüssel zur Entschlüsselung nicht korrekt gespeichert wurden, sodass ein Hacker auf die Daten zugreifen konnte.

Capital One verlautbarte in einer Erklärung, dass sie „standardmäßig“ Verschlüsselung einsetzen, dass aber die vom Hacker benutzte Methode "die Entschlüsselung von Daten ermöglichte". Die Bank hat auf weitere Fragen zu ihren eigentlichen Verschlüsselungspraktiken nicht geantwortet.

Hat Capital One DSGVO-Bußgelder zu erwarten?

Derzeit sieht es so aus, dass keines der Opfer der Datenschutzverletzung Einwohner der EU war. Damit drohen Capitol One keine Bußgelder, die sich aus der DSGVO ergeben. Für Capital One sicherlich ein glücklicher Umstand. Vor allem auch angesichts der Tatsache, dass einige der von der Bank erfassten Daten bis ins Jahr 2005 zurückreichen.

Eine derart lange Aufbewahrung von Daten würde von der EU als schwerwiegender Verstoß betrachtet werden. Aus diesem Grund wies ein Beitrag in Databreach Today darauf hin, dass „es heute vorherrschende Meinung ist, dass Unternehmen Daten nicht aufbewahren sollten, wenn diese nicht benötigt werden. Das ist in der europäischen Datenschutz-Grundverordnung (DSGVO) festgelegt, wonach Unternehmen personenbezogene Daten generell löschen müssen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr benötigt werden, beispielsweise wenn jemand sein Konto kündigt.“

Die DSGVO ist inzwischen ausgesprochen real und ihre Auswirkungen sind weltweit zu spüren. Im vergangenen Monat hat die britische Datenschutzbehörde, das Information Commissioner's Office, hohe Geldbußen gegen British Airways und Marriott International verhängt. Am 8. Juli verhängte sie gegen British Airways eine Geldstrafe in Höhe von sage und schreibe 228 Millionen Dollar (205 Millionen Euro) für die Datenschutzverletzung aus dem Jahr 2018, von der mehr als eine halbe Million Kunden betroffen waren. Der Hotelriese Marriott International wurde mit einer Geldstrafe von 124 Millionen Dollar (111 Millionen Euro) belegt, weil die persönlichen Daten von fast 340 Millionen Gästen offengelegt wurden.

Die jüngste massive Datenschutzverletzung bei Capital One ist ein guter Anlass, um einige Richtlinien hinsichtlich der DSGVO noch einmal durchzugehen. Sie hat die Latte höher gelegt, wenn es gilt rechtsicher Daten einzusammeln, aber auch die Standards für die Datenschutzrichtlinien selbst verschärft.

Die DSGVO hält Unternehmen an sich mehr denn je auf Details konzentrieren. Die Verordnung zwingt Geschäftsinhaber und Webmaster, sich mit den wesentlichen Aspekten ihrer Praktiken zur Datenerhebung auseinander zu setzen und diese für Benutzer und Aufsichtsbehörden zu formulieren.

Zum Beispiel:

  • Welche Daten erhebt Ihr Unternehmen?
  • Zu welchen Zwecken verwendet Ihr Unternehmen diese Daten?
  • Aus welchen Gründen verarbeitet Ihr Unternehmen Daten? (Artikel 6 der DSGVO legt sechs mögliche Grundlagen für die Datenverarbeitung fest - Einwilligung, berechtigte Interessen, lebenswichtige Interessen, rechtliche Verpflichtung, Erfüllung eines Vertrags und öffentliche Interessen).
  • Werden die Daten an Dritte weitergegeben?
  • Werden die Daten außerhalb der EU übermittelt? (Wenn Sie ein amerikanisches Unternehmen sind, dessen Zielgruppe EU-Bürger sind, lautet Ihre Antwort bereits "Ja". Sie müssen außerdem vermerken, wo sich Ihre Server befinden und wohin Sie möglicherweise Daten übermitteln).
  • Haben Sie einen Datenschutzbeauftragten?
  • Hat Ihr Unternehmen einen Vertreter für den Europäischen Wirtschaftsraums (EWR)?

Die Auswirkungen der Datenschutzverletzung bei Capital One sind derzeit noch nicht abzusehen. In den kommenden Tagen und Monaten werden weitere Informationen ans Licht kommen, die Hinweise darauf geben, was genau wie passiert ist. Hinweise, die dazu beitragen bestehende Sicherheitspraktiken kritisch unter die Lupe zu nehmen und zu verbessern. Das gilt auch für Praktiken, die über eine Standardverschlüsselung hinausgehen wie PKI-basierte Zertifikate.

Man kann etliche Lehren aus dem Capital One Hack ziehen. Zu verstehen, warum er stattgefunden hat, ist nur der Anfang.

Weitere Informationen finden Sie auf den GlobalSign-Seiten zu PKI und AEG-Automatisierung. Weitere Ressourcen:

https://www.globalsign.com/de-de/blog/pki-sicherheitsherausforderungen/

https://www.globalsign.com/de-de/blog/untergeordnete-cas-wieso-ist-es-sinnvoll-ihre-eigene-zu-haben/

https://www.globalsign.com/en-sg/blog/industries-where-managed-pki-is-a-perfect-fit/

https://www.globalsign.com/de-de/blog/edge-fuer-die-registrierung-von-iot-geraeten/

Artikel teilen

aeg-product-webinar-pic.jpg

Active Directory Integration

Automatisierung & Management von PKI im Unternehmen

Lesen Sie das Datenblatt