Das Beispiel Yahoo zeigt wie tief derartige Angriffe in das Netzwerk eines Unternehmens eingreifen und wie wenig Firmen selbst darüber wissen. [...]
Yahoo sah sich gestern genötigt einen weiteren Datenschutzvorfall einzugestehen. Den zweiten mit erheblicher Tragweite innerhalb von nur drei Monaten. 2013 erbeuteten Hacker geschätzt mehr als eine Milliarde Nutzerdaten räumte das Unternehmen ein. 2016 ist für Yahoo also offensichtlich ein ziemlich fatales Jahr. Und das Beispiel zeigt wie tief derartige Angriffe in das Netzwerk eines Unternehmens eingreifen und wie wenig Firmen selbst darüber wissen.
Bob Lord, CISO bei Yahoo, bestätigte, dass man dabei sei geeignete Schritte zu unternehmen um die betreffenden Konten zu schützen. Eine natürliche Skepsis bei solchen Aussagen ist aber durchaus angebracht. Woher nimmt ein Unternehmen dieses Wissen? Und wie kann es so sicher sein, welche Konten betroffen sind? Man kann getrost davon ausgehen, dass Yahoo nicht das einzige Unternehmen ist, das solch schwerwiegenden Angriffen ausgesetzt ist und war. Nur: die meisten Firmen wissen nichts davon, weil sie nicht aktiv danach suchen. Der Yahoo-Vorfall hat aber noch eine spezielle „unerwünschte Nebenwirkung“. Nach Aussagen eines ehemaligen Security Engineer, hatte Yahoo Hintertüren installiert, die es der NSA erlaubt haben sämtliche E-Mails mitzulesen. Und zwar hinter dem Rücken der eigenen Yahoo-IT-Sicherheits-Teams. Und natürlich sind Hacker genauso in der Lage solche Backdoors zu finden und auszunutzen.
Und wieder Passwörter
Wer übrigens heute Nacht versucht hat sein Passwort via 1Password auf eine zufällige Folge von 32 Zeichen zu ändern, der erhielt eine vage Fehlermeldung. „Thisismypassword“ ließ sich allerdings verwenden. Und wer sein Passwort nach dem letzten bekannt gewordenen Hack geändert hat, der sollte einigermaßen auf der sicheren Seite sein. Theoretisch.
Zwar hat Yahoo die Passwörter nicht klarschriftlich gespeichert. Aber bei dem verwendeten Hash-MD5 handelt es sich um einen sehr schwachen Algorithmus, der bereits seit einer knappen Dekade unter dem Verdacht steht nicht gerade die sicherste Alternative zu sein.
Mehr zum Thema Passwort-Sicherheit gibt es übrigens aktuell in einem neuen Online-Kurs des Sicherheitsesxperten Troy Hunt.
Was können Unternehmen tun, um das Risiko solcher Vorfälle zu senken und den potenziellen Schaden zu begrenzen?
Der erste Präventionsschritt innerhalb des Sicherheitsstrategie eines Unternehmens sollte es sein, zu wissen, wer wann wie und wo auf welche Daten zugreift. Danach sollte man Profile mit einem als normal definierten Benutzerverhalten erstellen. Sollten Abweichungen davon auftreten, müssen die Verantwortlichen unmittelbar benachrichtigt werden. Der zweite Schritt sollte sein, vertrauliche Daten zu identifizieren und gleichzeitig sicherzustellen, dass nur die richtigen Personen auf diese Daten zugreifen. Das Prinzip der minimalen Rechtevergabe ist eine gute Richtschnur. Drittens und letztens sollte man dafür sorgen, dass diese Prozesse weitestgehend automatisiert ablaufen. Entsprechend autorisierte Mitarbeiter sollten in regelmässigen Abständen überprüfen, ob der Sicherheitslevel tatsächlich noch dem gewünschten Stand entspricht.
Es ist nicht ganz unwichtig, dass Yahoo in der eigenen Umgebung solche Prozesse offensichtlich nicht eingezogen hatte. So dass die beiden spektakulären Datenschutzvorfälle unter Umständen niemals „offiziell“ ans Licht der Öffentlichkeit gelangt wären. Der Schaden auf allen Ebenen ist allerdings immens, nicht nur für den Ruf des ohnehin angeschlagenen Konzerns. Die Vorfälle hätten ohne weiteres die geplante Übernahme durch Verizon in Frage stellen können. Betrachtet man das Ganze aus der Perspektive der in Kürze in Kraft tretenden EU-Datenschutzgrundverordnung stellt sich die Frage inwieweit Yahoo hätte belangt werden können. Wäre die DSGVO bereits anwendbar – was erst ab dem 25. Mai 2018 der Fall sein wird – und Yahoo hätte den Diebstahl persönlicher Daten nicht innerhalb von 72 Stunden an eine Datenschutzbehörde gemeldet, würden dem Unternehmen massive Strafen drohen. Das haben wir bei Bekanntwerden des ersten Datenschutzvorfalls schon ein mal durchgerechnet .
Die Vorfälle werfen erneut ein Schlaglicht darauf, dass Firmen für die sensiblen Daten ihrer Partner, Kunden und Angestellten verantwortlich sind, dass sie diese Daten schützen und eventuelle Datenschutzvorfälle so schnell wie möglich melden sollten. Viel zu oft erfahren die betroffenen Organisationen nämlich nicht vom eigenen IT-Sicherheits-Team von einem Hackerangriff, sondern erlangen erst dann Kenntnis von einer erfolgreichen Attacke, wenn die betroffenen Daten schon im Darkweb zum Verkauf angeboten werden. *) David Lin ist Enterprise Sales Manager bei Varonis
Strengere und weitreichende Compliance-Anforderungen werden die europäische Landschaft dominieren, da Unternehmen daran arbeiten, die NIS2-Richtlinie einzuhalten. Diese Richtlinie erweitert den Umfang kritischer Infrastruktursektoren und erhöht die Strafen, wodurch Cybersicherheit für mehr Unternehmen zu einer rechtlichen Notwendigkeit wird. […]
Extrem in allem: Samsungs brandneuer OLED-TV S95D ist ultradünn, ultraschmall gebaut und löst ultrascharf auf. Wir haben das neue OLED-Spitzenmodell mit mattem Bildschirm (!) und 65-Zoll-Bilddiagonale getestet. […]
Die Einführung von 5G beeinflusst das cloudbasierte Fuhrparkmanagement erheblich. Echtzeitdatenübertragung zwischen Fahrzeugen und der Cloud ermöglicht eine präzise Betriebsoptimierung, die für Unternehmen unverzichtbar ist. […]
Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]
Das Punkt. MC02 verspricht eine neue Ära der Smartphone-Nutzung: volle Kontrolle über persönliche Daten, transparente Energieverwaltung und ein minimalistisches Design – ohne Kompromisse. […]
Der österreichische Online-Handel verzeichnet einen bemerkenswerten Aufschwung: Die digitalen Ausgaben stiegen 2023 auf über 14 Milliarden Euro. Flexible Zahlungsmethoden und innovative Technologien wie „Tap to Pay“ prägen die Einkaufswelt. […]
Über 150 Teilnehmer und Teilnehmernnen aus Wirtschaft, IT und Bildung kamen zum CorporateMeetsStudents Event am Campus 42 Vienna zusammen. Im Mittelpunkt der Diskussionen stand die zentrale Rolle von Software-Kompetenz nicht nur für das Wirtschaftswachstum, sondern auch für die gesamtgesellschaftliche Entwicklung Österreichs. […]
Nutzen Sie die die ruhigen Tage rund um den Jahreswechsel, um Ihre Daten zu ordnen, Platz für Neues zu schaffen und Ihren Arbeitsplatz klarer und nachhaltiger zu gestalten. Iphos IT hat folgende Tipps zusammengestellt, wie das digitale Ausfegen mit den richtigen Tools, Techniken und speziellen Enterprise-Search-Lösungen auf Knopfdruck gelingt. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment