Durch die mit hohen Strafen drohende DSGVO sollen Unternehmen gezwungen werden, den Datenschutz ernst zu nehmen. Die COMPUTERWELT beschreibt die Entwicklung des Datenschutzes seit Einführung der DSGVO und zehn die größten Datenpannen. [...]
Seit gut zwei Jahren ist die DSGVO in Kraft. Das Gesetz ist in seiner jetzigen Form für viele KMU eine große Herausforderung, aber das Bewusstsein für den Datenschutz wurde jedenfalls gehoben. Mit Blick auf die größten bisherigen Datenpannen ist das ein wichtiger Zwischenschritt. Doch die DSGVO hat nicht nur in Europa für großes Aufsehen gesorgt, sondern, da sie auch den Handel europäischer Unternehmen mit Unternehmen von Drittstaaten regelt, sogar auf der ganzen Welt. Selbst Kalifornien hat sich beim CCPA (California Consumer Privacy Act), der am 1.1. 2020 in Kraft trat, ziemlich sicher von der DSGVO inspirieren lassen.
Datenschutzbericht 2019
In Österreich wurde jüngst der Datenschutzbericht für das Jahr 2019 vorgelegt. Demnach gab es letztes Jahr 164 Verfahren vor dem Bundesverwaltungsgericht (2018 waren es noch 50), 215 amtswegige Prüfverfahren (2018: 129) und 124 Verwaltungsstrafverfahren (2018: 134). Es wurden insgesamt 38 Geldbußen und 11 Verwarnungen ausgesprochen. Die Geldbußen machten insgesamt einen Betrag von 18.106.700 Euro aus, wobei der größte Teil von 18 Millionen Euro die Österreichische Post AG betreffen und deren angeblichen Handel mit Adressen beziehungsweise die Vermarktung von Daten. Die Post hat dagegen berufen und die Verurteilung ist nicht rechtskräftig. Die gesamte Eingangszahl an Individualbeschwerden belief sich 2019 auf 2.102 Fälle (2018: 1.036) und hat sich somit mehr als verdoppelt. Zudem gab es 698 grenzüberschreitende Fälle aus dem Ausland (2018: 430), die die Datenschutzbehörde seit Inkrafttreten der DSGVO-Regelungen ebenfalls zu behandeln hat. Übrigens: Auch die Zahl der Rechtsauskünfte, die die Datenschutzbehörde erteilt hat, ist von 4.052 im Jahr 2018 auf 4.384 im Jahr 2019 weiter gewachsen.
Datenschutzverletzungen in Europa 2019
In der Europäischen Union wurden 2019 142 Datenschutzverletzungem bestraft. Spanien hat mit 31 am meisten Strafen ausgesprochen, allerdings mit lediglich 1,1 Mio. Gesamthöhe. Danach folgen Rumänien mit 17, Bulgarien mit 15, Deutschland und Ungarn mit jeweils 13, und Tschechien mit 7. Österreich liegt mit bisher 4 verhängten Strafen im Mittelfeld. In Deutschland wurde an die Deutsche Wohnen SE wegen des nachlässigen Umgangs mit Mieterdaten ein saftiges Bußgeld von 14,5 Mio. Euro verhängt – die höchste Strafe, die je in Deutschland wegen Datenschutzverstößen verhängt wurde.
Die Top 3 der höchsten Strafen, die bisher in Europa verhängt wurden sind:
• 204 Mio. Euro für British Airways wegen ungenügender Sicherheitsstandards ihrer Datenbanken auf Grund derer Hacker Namen, Passwörter, Adressen, und Kreditkartendaten inklusive CCV-Sicherheitsnummern abgreifen konnten.
• 110 Mio. Euro für die Hotelkette Marriott, bei der Hacker in die IT-Systeme eindrangen und rund 300 Mio. Kundendaten entwendeten. Die Strafen gegen British Airways und Marriott wurden von der britischen Datenschutzbehörde verhängt.
• 50 Mio. Euro für Google von der französischen Datenschutzbehörde wegen fehlender Rechtsgrundlage und Nachweis zur Verarbeitung der Daten für Werbezwecke.
Übrigens: Estland, Finnland, Irland, Slowakei, Luxemburg und Slowenien haben bisher (2019) noch keine Strafen ausgesprochen.
Nachfolgend die zehn größten Datenleaks der Welt geordnet nach Anzahl der betroffenen Kunden.
Die Top 10 der Datenpannen
1. Yahoo: 3 Mrd. Benutzerkonten (2013/14)
Yahoo gab im September 2016 bekannt, dass Hacker Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern von 500 Mio. Nutzern entwendeten. Im Dezember 2016 gab Yahoo eine weitere Sicherheitsverletzung aus dem Jahr 2013 bekannt, die die Namen, Geburtsdaten, E-Mail-Adressen und Passwörter sowie Sicherheitsfragen und -antworten von 1 Mrd. Benutzerkonten betraf. Schließlich teilte Yahoo mit, dass die Angriffe die gesamten 3 Milliarden Benutzerkonten betrafen.
2. Sina Weibo: 538 Mio. Konten (März 2020)
Mit über 500 Mio. Nutzern ist Sina Weibo Chinas Antwort auf Twitter. Im März 2020 wurden die Klarnamen, Website-Benutzernamen, das Geschlecht, der Standort und – bei 172 Mio. Nutzern – die Telefonnummern auf Darkweb-Märkten zum Verkauf angeboten – jedoch keine Passwörter.
3. Marriott International: 500 Mio. Kunden (von 2014 bis 2018)
Marriott International gab im November 2018 bekannt, dass Hacker Daten von etwa 500 Mio. Kunden gestohlen hätten. Der Einbruch erfolgte ab 2014 auf Systemen von Starwood-Hotels. Die Angreifer blieben auch nach der Übernahme von Starwood durch Marriott im Jahr 2016 im System und wurden erst im September 2018 entdeckt. Die Cyberkriminellen ergatterten eine Kombination aus Kontaktinformationen, Reisepassnummer, Nummern von Starwood-Präferenzgästen, Reiseinformationen und anderen persönlichen Daten. Kreditkartennummern und Ablaufdaten von mehr als 100 Mio. Kunden wurden zwar gestohlen, doch angeblich konnten die Kreditkartennummern nicht entschlüsselt werden.
4. Adult Friend Finder: 412,2 Mio. Accounts (Oktober 2016)
Dieser Verstoß war für Kontoinhaber aufgrund der von der Website angebotenen Dienste besonders heikel. Mitte Oktober 2016 wurde das FriendFinder-Netzwerks kompromittiert, zu dem auch Websites mit nicht jugendfreien Inhalten, u.a. Adult Friend Finder, zählten. Gestohlen wurden Daten von Namen, E-Mail-Adressen und Passwörter.
5. MySpace: 360 Mio Benutzerkonten (2013)
2016 tauchten 360 Mio. Benutzerkonten von der Social-Media-Website MySpace sowohl auf LeakedSource (eine durchsuchbare Datenbank mit gestohlenen Konten) als auch im Darkweb auf und wurden um 6 Bitcoin (damals rund 3.000 US-Dollar) zum Verkauf angeboten. Zu den gestohlenen Daten gehörten nach Angaben von MySpace E-Mail-Adressen, Passwörter und Benutzernamen.
6. NetEase: 235 Mio. Benutzerkonten (Oktober 2015)
NetEase ist ein Anbieter von Mailboxdiensten wie 163.com und 126.com. Angeblich wurden E-Mail-Adressen und Klartext-Passwörter von etwa 235 Mio. Konten von NetEase-Kunden im Darkweb verkauft. NetEase hat jeden Verstoß bestritten. »HaveIBeenPwned« führt diesen Bruch als »nicht verifiziert« auf.
7. Zynga: 218 Mio. Benutzerkonten (September 2019)
Der Farmville-Erfinder Zynga ist nach wie vor einer der wichtigsten Akteure im Bereich Mobilegames. Im September 2019 hackte sich vermutlich ein pakistanischer Hacker in Zyngas Spielerdatenbank und verschaffte sich Zugang zu den 218 Mio. dort registrierten Konten. Zynga bestätigte den Diebstahl von E-Mail-Adressen, SHA-1-Hashing-Passwörter, Telefonnummern und Benutzer-IDs für Facebook- und Zynga-Konten.
8. LinkedIn: 165 Mio. Benutzerkonten ( 2012 und 2016)
Im Jahr 2012 gab LinkedIn bekannt, dass 6,5 Mio. nicht verknüpfte Passwörter (Salt SHA-1-Hashes) von Angreifern gestohlen wurden. Das volle Ausmaß des Vorfalls wurde jedoch erst 2016 bekannt. Derselbe Hacker, der die Daten von MySpace verkaufte, bot die E-Mail-Adressen und Passwörter von 165 Mio. LinkedIn-Benutzern für nur 5 Bitcoins (damals rund 2.000 Dollar) zum Kauf an.
9. Dubsmash: 162 Mio. Benutzerkonten (Dezember 2018)
Im Dezember 2018 wurden bei dem New Yorker Videomessaging-Dienst Dubsmash 162 Mio. E-Mail-Adressen, Benutzernamen, PBKDF2-Passwort-Hashes, Geburtsdaten etc. gestohlen. Die Informationen wurden als Teil einer Sammelstelle verkauft, zu der auch solche wie MyFitnessPal, MyHeritage (92 Millionen), ShareThis, Armor Games und die Datierungsapp CoffeeMeetsBagel gehörten.
10. Adobe: 153 Mio. Benutzerdatensätze (Oktober 2013)
Anfang Oktober 2013 meldete Adobe den Diebstahl von fast 3 Mio. verschlüsselte Kunden-Kreditkartendaten sowie von Anmeldedaten für Benutzerkonten. Im selben Monat erhöhte Adobe diese Angaben auf IDs und verschlüsselte Passwörter von 38 Mio. »aktiven Nutzern«. Zudem bekamen Security-Experten Wind von einer nur wenige Tage zuvor veröffentlichte Datei mit letztlich mehr als 150 Millionen Benutzernamen- und Hash-Passwort-Paare, Kundennamen, IDs, Passwörter sowie Debit- und Kreditkarteninformationen, die mutmaßlich von Adobe stammten. Die Sache kostete Adobe letztlich 1,1 Mio. US-Dollar an Anwaltskosten und im Rahmen einer Vereinbarung einen nicht genannten Betrag an die betroffenen Kunden, dn das Unternehmen im November 2016 zahlte.
Be the first to comment