In der heutigen Zeit bist du aufgrund der Vielzahl an Daten, die du täglich hinterlässt, zunehmend durch Cyberbedrohungen gefährdet. Eine dieser Bedrohungen, die immer wieder für Schlagzeilen sorgt, ist ein Datenleck.
Ein Datenleck entsteht, wenn sensible oder vertrauliche Informationen an die Öffentlichkeit gelangen. Die Gründe dafür sind meist unabsichtlich; es gibt aber auch Fälle, wo es absichtlich geschieht, wie du noch erfahren wirst.
Lies im Folgenden alles über die Hintergründe eines Datenlecks, wie es sich von einer Datenschutzverletzung unterscheidet und wie du dich dagegen schützen kannst.
Was sind Datenlecks?
Ein Datenleck tritt auf, wenn Daten, die eigentlich geschützt und vertraulich gehalten werden sollen, an die Öffentlichkeit gelangen und in die Hände von Unbekannten, die nicht zum Zugriff oder zum Besitz der Daten berechtigt sind.
Datenlecks können aus verschiedenen Gründen entstehen, zum Beispiel durch Cyberangriffe, menschliches Versagen oder technische Schwachstellen. Auch kann es passieren, dass Mitarbeiter die Daten bewusst weitergeben.
Du hast sicherlich schon häufiger von Datenlecks gelesen, denn in den Nachrichten tauchen regelmäßig Berichte über Datenlecks in Unternehmen auf. Vor kurzem kam es beispielsweise bei der Krankenkasse Barmer zu einem Datenleck. Der geleakte Datenbestand betraf Barmer-Kunden, die am Bonusprogramm der Krankenkasse teilnahmen; die Schwachstelle stellte sich als der IT-Dienstleister heraus, der für dieses Programm mit der Barmer zusammenarbeitete.
Was ist der Unterschied zwischen einem Datenleck und einer Datenschutzverletzung?
Vielleicht hast du auch schon einmal von einer Datenschutzverletzung gehört und fragst dich, was eigentlich der Unterschied zu einem Datenleck ist. Im Folgenden daher ein Vergleich:
Datenleck:
- Die unbeabsichtigte Preisgabe von sensiblen oder vertraulichen Informationen;
- Kann aus verschiedenen Gründen auftreten, unter anderem durch menschliches Versagen oder unzureichende Sicherheitsmaßnahmen.
Datenschutzverletzung
- Ein vorsätzlicher Angriff auf ein System; im Gegensatz zum Datenleck werden Daten nicht versehentlich preisgegeben, sondern gezielt erbeutet.
- Kriminelle nutzen dafür Cyberattacken wie Hacking, Malware oder Phishing.
Folgen von Datenleck und Datenschutzverletzung:
- Sensible Informationen wie persönliche und sensible Daten oder geistiges Eigentum gelangen in fremde Hände;
- Finanzielle Verluste, rechtliche Konsequenzen und/oder Rufschädigung von einem Unternehmen sind die Folge.
Zusammenfassend lässt sich sagen: Sowohl bei Datenlecks als auch bei Datenschutzverletzungen werden sensible Informationen preisgegeben; der entscheidende Unterschied liegt jedoch in der Absicht, die hinter dem Vorfall steht. Bei einem Datenleck handelt es sich in der Regel um eine unbeabsichtigte oder versehentliche Enthüllung, während eine Datenschutzverletzung einen vorsätzlichen und gezielten Angriff durch Hacker darstellt.
Welche Auswirkungen haben Datenschutzverletzungen auf Unternehmen?
Datenschutzverletzungen können erhebliche und weitreichende Auswirkungen auf Unternehmen haben. Im Folgenden sind einige der Möglichkeiten aufgeführt, wie sich Datenschutzverletzungen auf Unternehmen auswirken können:
Finanzielle Verluste
Datenschutzverletzungen können zu finanziellen Verlusten für die Unternehmen führen. Der Vorfall muss untersucht und Gegenmaßnahmen getroffen werden; es kann zu Rechtskosten und/oder Bußgeldzahlungen kommen. Darüber hinaus kann der Verlust des Kundenvertrauens durch die Datenschutzverletzung zu Umsatzeinbußen führen. Bestehende Kunden kaufen weniger, und potentielle neue Kunden zögern mit Käufen.
Rufschädigung
Eine Datenschutzverletzung kann den Ruf eines Unternehmens schwer schädigen. Denn ein solcher Vorfall bleibt vor der Presse selten geheim. Wenn Kundendaten offengelegt werden, wirkt sich das auf das Vertrauen der Kunden aus. Diese können sich von dem Produkt und Unternehmen distanzieren. Außerdem fällt es schwerer, neue Kunden zu gewinnen.
Rechtliche Konsequenzen
Datenschutzverletzungen können rechtliche Konsequenzen für Unternehmen haben und behördliche Untersuchungen, Geldstrafen und mögliche Klagen von betroffenen Personen oder Aufsichtsbehörden nach sich ziehen. In der EU greift in diesen Fällen die Datenschutz-Grundverordnung (DSGVO). Bußgelder können bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes betragen.
Betriebliche Unterbrechung
Die Bewältigung der Folgen einer Datenschutzverletzung kann zu einer Störung des Betriebsablaufs in einem Unternehmen führen. Je nach Größe muss der allgemeine Betrieb unterbrochen oder sogar komplett eingestellt werden, um den Vorfall zu untersuchen.
Erhöhte Kosten für die Cybersicherheit
Nach einer Datenschutzverletzung müssen Unternehmen oft in verbesserte Sicherheitsmaßnahmen investieren, um zukünftige Vorfälle zu verhindern.
Wie kommt es zu einem Datenleck?
Datenlecks können aus verschiedenen Gründen auftreten; hier sind einige häufige Ursachen:
Cyberattacken
Eine der Ursachen für Datenlecks sind Cyberattacken. Cyberkriminelle nutzen Cyberangriffe wie Malware, Phishing oder Social Engineering, um sich unbefugten Zugang zu verschaffen.
Bedrohungen von Innen
Datenlecks können auch durch Bedrohungen von Innen entstehen, entweder absichtlich oder versehentlich. Mitarbeiter oder Personen mit Zugang zu vertraulichen Informationen können aus Versehen Daten preisgeben. Oder aber sie entscheiden sich bewusst dazu, zum Beispiel, um sich an dem Unternehmen zu rächen oder es zu erpressen. Das trifft häufig auf ehemalige Mitarbeiter zu.
Menschliches Versagen
Menschliches Versagen ist eine weitere Hauptursache für Datenlecks. Menschen machen Fehler, das lässt sich nicht vermeiden, und Mitarbeiter können versehentlich Daten preisgeben. Das zeigt, wie wichtig regelmäßige Schulungen der Mitarbeiter sind, um ihnen zu zeigen, wie sie verantwortungsvoll und aufmerksam mit sensiblen Informationen umgehen müssen.
Technische Schwachstellen
Schwachstellen in Software, Anwendungen oder Systemen können Angreifer ausnutzen, um sich unbefugt Zugang zu verschaffen. Diese Schwachstellen können sein: Veraltete Software, fehlende Updates, ein schwaches Passwort oder falsch konfigurierte Sicherheitseinstellungen.
Drittanbieter
Unternehmen verlassen sich oft auf Drittanbieter, unter anderem für Cloud-Speicher, Zahlungsabwicklung oder Kundensupport. Das bedeutet, die Unternehmen haben nur beschränkt Einfluss auf die Speicherung und Verwaltung der Daten. Doch bei diesen Dienstanbietern kann es aus den zuvor genannten Gründen zu Datenlecks kommen.
Welche Daten sammeln Kriminelle bei einem Datenleck/einer Datenschutzverletzung?
Bei einem Datenleck oder einer Datenschutzverletzung können Cyberkriminelle je nach ihren Motiven und dem Wert der Daten verschiedene Arten von sensiblen Informationen ins Visier nehmen. Im Folgenden eine Auswahl der häufigsten Daten:
Persönliche Identifikationsdaten
Der vollständige Name, die Sozialversicherungsnummer, das Geburtsdatum, die Adresse, die Telefonnummer und/oder die E-Mail-Adresse sind für Kriminelle wertvoll.
Finanzielle Daten
Cyberkriminelle können es auf Finanzdaten abgesehen haben, einschließlich Kreditkartennummern oder Bankkontodaten. Diese Daten können die Täter für Einkäufe in deinem Namen verwenden oder für Überweisungen von deinem auf andere Konten.
Anmeldedaten
Benutzername und Passwort sind wertvoll für Kriminelle, die unbefugten Zugang zu verschiedenen Online-Konten suchen. Sie können gestohlene Anmeldedaten verwenden, um die Kontrolle über E-Mail-Konten, Social-Media-Profile, Online-Banking oder andere Konten zu erlangen.
Geistiges Eigentum
Gestohlenes geistiges Eigentum kann verkauft, für einen Wettbewerbsvorteil genutzt oder gegen Lösegeld erpresst werden. Ein bekanntes Beispiel für den Diebstahl von geistigem Eigentum war der Hackerangriff auf das Spielstudio CD Project RED im Jahr 2021, bei dem Quellcodes von Spielen erbeutet wurden und die Hacker Lösegeld forderten.
Vertrauliche Unternehmensinformationen
Kriminelle können es auf sensible Unternehmensdaten abgesehen haben, darunter Finanzberichte, Mitarbeiterdaten oder Kundenlisten. Diese Informationen können sie für Spionage, Insiderhandel, Erpressung oder den Verkauf an Konkurrenten verwenden.
Biometrische Daten
Biometrische Daten wie Fingerabdrücke oder Gesichtserkennungsdaten können für Identitätsdiebstahl oder unbefugten Zugang zu gesicherten Systemen missbraucht werden.
Bitte beachte
Je nach Unternehmensbranche können es Kriminelle auf nur eine Art von Daten oder eine Auswahl davon abgesehen haben. Bei Privatpersonen spielt zum Beispiel kaum das geistige Eigentum eine Rolle (selbst wenn du einwenden könntest, dass Fotos in den sozialen Medien geistiges Eigentum darstellen).
Wie können deine Datenlecks gegen dich verwendet werden?
Was bedeutet ein Datenleck für dich? Datenlecks können auf verschiedene Weise gegen dich eingesetzt werden. Hier sind einige Beispiele dafür, wie Cyberkriminelle gestohlene Daten aus Datenlecks ausnutzen können:
- Betrug mit deinen Bank-/Kreditkarten: Gestohlene finanzielle Daten wie Kreditkartennummern oder Bankkontodaten, können Kriminelle nutzen, um ohne deine Zustimmung Einkäufe zu tätigen, Geld abzuheben oder Geld zu überweisen;
- Zugriff auf deine Online-Konten: Kriminelle können Anmeldedaten nutzen, um unbefugten Zugriff auf deine Online-Konten zu erhalten. Sobald sie die Kontrolle über deine Konten erlangt haben, können sie Spam an deine Kontakte versenden (über die sozialen Medien oder dein E-Mail-Konto) oder Phishing-Angriffe auf sie anwenden.
- Erpressung: Persönliche oder sensible Inhalte wie private Fotos, Nachrichten oder Videos, die Kriminelle durch Datenlecks erbeuten, können Unbekannte für Erpressungsversuche nutzen. Die Täter drohen dann damit, die gestohlenen Inhalte zu veröffentlichen oder zu verbreiten, wenn du kein Lösegeld zahlst oder bestimmte Forderungen erfüllst;
- Credential Stuffing – Nutzt du deine Anmeldedaten noch für weitere Konten?: Gestohlene Anmeldedaten aus Datenlecks werden häufig für sogenannte Credential Stuffing-Angriffe verwendet. Das bedeutet, Kriminelle probieren erbeutete Anmeldedaten auf verschiedenen Webseiten und Diensten aus, in der Hoffnung, dass Personen ihre Passwörter für mehrere Konten wiederverwenden, was leider zu oft der Fall ist;
Wie lassen sich Datenlecks verhindern?
- Sichere Passwörter: Achte darauf, dass deine Passwörter mindestens 12 Zeichen lang sind und Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen enthalten. Ein Passwort-Manager kann helfen, die Vielzahl an Passwörtern zu verwalten, die du wahrscheinlich besitzt;
- Individuelle Passwörter: So bequem es auch sein mag, verwende unter keinen Umständen für alle Konten dasselbe Passwort. Ansonsten droht das bereits angesprochene Credential Stuffing;
- Lade die neuesten Updates herunter: Schiebe Aktualisierungen nicht auf. Die neuesten Updates enthalten nicht nur neue Funktionen sondern schließen auch bekannte Sicherheitslücken;
- Richte eine Zwei-Faktor-Authentifizierung (2FA) für Konten ein: das bedeutet, du musst zusätzlich zu deinen Anmeldedaten einen Code eingeben, den du per App oder SMS erhältst. Selbst wenn Kriminelle deine Passwort kennen, können sie sich nicht anmelden;
- Vorsicht vor Phishing: Betrügerische E-Mails oder Textnachrichten enthalten oft Links zu böswilligen Webseiten oder Anhängen mit Schadsoftware. Öffne solche Nachrichten von unbekannten Absendern erst gar nicht; und auch bei vermeintlich bekannten Absendern solltest du bei Links und Anhängen immer Vorsicht walten lassen.
Welche Tools können helfen, Datenlecks zu verhindern?
VPN (Virtuelles Privates Netzwerk): Ein VPN wie Surfshark kann als App oder Erweiterung im Browser installiert werden und verbirgt deine IP-Adresse und verschlüsselt deine Daten. Ein VPN verhindert auch, dass Dritte wie dein Internetanbieter oder Hacker Zugriff auf deine Daten erhalten. Zudem gibt es bei Surfshark nützliche Zusatzfunktionen wie Surfshark Alert, das wiederum in Surfshark One enthalten ist.
Antivirenprogramm: Prüft dein Gerät in Echtzeit auf Viren und andere Malware und entfernt sie von deinem Gerät.
Passwortmanager: Mit einem Passwortmanager kannst du deine Zugangsdaten in einem virtuellen Tresor speichern und verwalten. Außerdem kann dir das Tool helfen, sichere und individuelle Passwörter zu erstellen.
Wie kannst du dich schützen, wenn du bereits von einem Datenleck betroffen bist?
- Ändere die Passwörter für deine betroffenen Konten. Nutze dafür bei Bedarf einen Passwortmanager (siehe oben).
- Überprüfe regelmäßig deine Bankkonten, Kreditkartenabrechnungen und andere finanzielle Transaktionen auf verdächtige Aktivitäten. Wenn du unzulässige Transaktionen bemerkst, melde dies Problem sofort deiner Bank.
- Sperre Karten/Konten. Wenn du glaubst, dass finanzielle Daten von dir in fremde Hände geraten sind, kontaktiere deine Bank und lasse deine Karten sperren. Dafür gibt es den allgemeinen Sperr-Notruf 116 116 (im Ausland +49 116 116).
- Prüfe dein Gerät mit einem Tool für Cybersicherheit auf Malware und lasse diese sofort entfernen, falls das Programm Schadsoftware entdeckt.
Was ist das größte Datenleck in Deutschland?
Wie viele Menschen waren vom Datenleck betroffen: 30.000 Mieter und Mieterinnen.
Wie konnte es passieren: Anscheinend rechtswidrige Speicherung von Daten.
Welche Daten wurden gestohlen: Namen, Adressen, Bankkontonummern und Mietverträge.
Eines der größten Datenlecks in Deutschland war 2019 der Fall des Unternehmens Deutsche Wohnen. Das in Berlin ansässige Immobilienunternehmen hatte eine große Datenpanne, in deren Folge die persönlichen Daten von rund 30.000 seiner Mieterinnen und Mieter veröffentlicht wurden. Zu den durchgesickerten Daten gehörten sensible Details wie Namen, Adressen, Bankkontonummern und Mietverträge. Die Berliner Landesdatenschutzbeauftragte verhängte ein Bußgeld in Höhe von 14,5 Millionen Euro.
FAQs
Warum stehlen Kriminelle Daten?
Kriminelle stehlen Daten aus finanziellen Gründen, für Identitätsdiebstahl, Erpressung oder für weitere kriminelle Aktivitäten wie Phishing.
Können Kriminelle mit geleakten Daten einen Kredit aufnehmen?
Ja, Kriminelle können möglicherweise solche Informationen nutzen, um Kredite aufzunehmen. Wenn sie Zugang zu persönlichen Informationen wie Sozialversicherungsnummern, Geburtsdaten und anderen relevanten Details haben, können sie sich als Personen ausgeben oder falsche Identitäten erstellen, um Kredite oder Kreditkarten zu beantragen.
Welche Informationen sind für die Hacker am wertvollsten?
Am wertvollsten sind für Cyberkriminelle Informationen wie Passwörter, E-Mail-Adressen, Sozialversicherungsnummern, geistiges Eigentum, Kreditkarteninformationen oder andere finanzielle Informationen.
Fazit
Unternehmen, die von einem Datenleck betroffen sind, haben meist mit weitreichenden Folgen zu kämpfen. Die Ursachen für ein Datenleck sind vielseitig, und es ist für Unternehmen kaum möglich, es 100% zu verhindern. Vor allem der Faktor Mensch ist kaum gänzlich zu kontrollieren.
Es gibt für dich jedoch einige Maßnahmen und Tools, um dich vor den Folgen von einem Datenleck zu schützen, denn sobald du deine Informationen wie Passwort, E-Mail-Adresse oder Bankinformationen in die Hände eines Unternehmens gibst, hast du selbst nur wenig Einfluss auf die Speicherung und Verwaltung.
Wichtig ist die Tatsache, dass ein Datenleck und eine Datenschutzverletzung nicht dieselben Ursachen haben, aber ähnliche Konsequenzen für dich und die Unternehmen nach sich ziehen, die vom Datenleck betroffen sind.