Nicht immer nur die Amis: über 100'000 Datenschutzverletzungen in der Schweiz

Die Ergebnisse des Breach Level Index 2016 zeigen, dass die Datenschutzverletzungen zwar insgesamt abnehmen, aber dafür immer grösser werden. Allein in der Schweiz kam es zu 110'257 Datenschutzverletzungen.

von Jason Hart 18.04.2017

* Jason Hart ist Vice President und Chief Technology Officer für Datenschutz bei Gemalto

Kompromittierte Datensätze 2016 Kompromittierte Datensätze 2016 © Gemalto

Der Breach Level Index ist eine länder- und branchenübergreifende Datenbank für Datenschutzverletzungen. Mit ihr können die Auswirkungen eines Angriffs anhand verschiedener Parameter ermittelt werden: zum Beispiel die Zahl der kompromittierten Datensätze, der Datentyp, der Ursprung des Angriffs, die Verwendung der Daten und deren Verschlüsselung beziehungsweise Nichtverschlüsselung. Der Breach Level Index weist jedem Angriff einen Wert zu, der die «Schwere» des Vorfalls anzeigt. Somit bietet die Datenbank eine vergleichende Liste von Datenschutzverletzungen und ermöglicht es, kleinere Zwischenfälle von solchen mit massiven Folgen zu unterscheiden (Werte von 1 bis 10). Betrachtet man die globalen Zahlen, sollten Entscheider hellhörig werden. Denn laut Breach Level Index wurden seit 2013 mehr als 7 Milliarden Datensätze offengelegt. Dies entspricht mehr als 3 Millionen erbeuteten Datensätzen pro Tag oder rund 44 Datensätzen pro Sekunde.

Anzahl Angriffe 2016 Anzahl Angriffe 2016 © Gemalto

Datenschutzverletzungen in der Schweiz

Laut dem aktuellen Breach Level Index kam es in der Schweiz von 2013 bis 2016 zu insgesamt 110'257 Datenschutzverletzungen, die gemeldet wurden. Verglichen mit den grösseren europäischen Nachbarstaaten liegt die Schweiz damit eher im unteren Bereich. Demgegenüber kam es in Deutschland seit 2013 allein zu 44'886'054 gemeldeten oder veröffentlichten Datenschutzverletzungen und in Frankreich waren es sogar 100'099'535 Fälle von Datenkompromittierungen.

Nach Einführung der Datenschutz-Grundverordnung der EU (General Data Protection Regulation; GDPR) könnten sich die Statistiken aber ändern: Denn dann müssen sowohl Behörden als auch betroffene Personen benachrichtigt werden, wenn eine Datenschutzverletzung vorliegt. Alle Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste in der EU müssen dann beispielswiese die nationalen Regulierungsbehörden innerhalb von 24 Stunden nach Erkennung einer personenbezogenen Datenschutzverletzung in Kenntnis setzen. Gleichzeitig müssen Kunden darüber informiert werden, ob das Vergehen die personenbezogenen Daten oder die Privatsphäre beeinträchtigt. Derzeit gilt diese Regelung nur für Telekommunikationsanbieter und Internet Service Provider. GDPR wird diese Datenschutzbestimmung aber auf alle Organisationen ausweitern, die personenbezogene Daten verarbeiten. So werden beispielsweise auch Dienstleister wie Cloud Provider in die Verantwortung genommen.

Dennoch hat der diesjährige Breach Level Index (BLI) von Gemalto einen grösseren Angriff in der Schweiz verzeichnet und in der Kategorie «Top Breaches» erfasst. So wurde der Angriff auf die Schweizerische Volkspartei (SVP) am 19. März 2016 mit einem Score von 6,6 bewertet. Damit gehört der Angriff auf der BLI-Skala von 1 bis 10 schon zu den mittelschweren Datenschutzverletzungen. Die Zahlen sprechen dennoch für sich: Allein bei der SVP wurden 50'000 Datensätze kompromittiert. Dafür hatten sich Externe mutwillig über einen Account Zugang zu den Daten der Partei verschafft.

Nächste Seite: Technologie und öffentlicher Sektor am gefährdetsten

Technologie und öffentlicher Sektor am gefährdetsten

Das SVP-Beispiel belegt: Der öffentliche Sektor und Parteien sind nach wie vor ein beliebtes Ziel für Cyberkriminelle. Das zeigt auch der weltweite Vergleich: Global betrachtet wurden laut Breach Level Index 2016 allein 391,7 Millionen Datensätze im öffentlichen Sektor kompromittiert. Das sind mit 28,6 Prozent mehr als ein Viertel der gesamten im Breach Level Index erfassten Datenschutzverletzungen.

Ganz anders sieht es im Bereich Technologie aus: Von allen Branchen verzeichnete 2016 der Technologiesektor den grössten Anstieg an Datenmissbräuchen. Sie nahmen um 55 Prozent zu, machten dabei aber nur 11 Prozent aller Datenschutzverletzungen im vergangenen Jahr aus. Fast 80 Prozent der Vorfälle in diesem Sektor standen mit Kontozugriffen und Identitätsdiebstahl in Verbindung. Auf den Technologiebereich entfielen auch 28 Prozent der kompromittierten Datensätze im Jahr 2016, was einem Anstieg von 278 Prozent im Vergleich zu 2015 entspricht.

Datenschutzvorfälle nach Region Datenschutzvorfälle nach Region © Gemalto

Verschlüsselung als Schutz gegen externe Eindringlinge

Wie im Fall der SVP waren global betrachtet Externe die führenden Verursacher von Datenschutzverletzungen: Sie waren für 68 Prozent aller Fälle verantwortlich, was einem Anstieg von 13 Prozent gegenüber 2015 entspricht. Die Zahl der Datensätze, die bei Angriffen durch böswillige Aussenstehende entwendet wurden, stieg gegenüber 2015 um 286 Prozent. Leider haben Entscheider in den meisten Fällen die entsprechenden Vorsichtsmassnahmen wie Datenverschlüsselung vernachlässigt. Denn nur 4,2 Prozent aller Fälle von Datenmissbrauch im letzten Jahr betrafen Daten, die teilweise oder ganz verschlüsselt waren. In einigen dieser Fälle war nur das Passwort verschlüsselt, während sonstige Informationen nicht verschlüsselt worden waren. Von den fast 1,4 Milliarden Datensätzen, die 2016 kompromittiert wurden, verloren gingen oder gestohlen wurden, waren nur 6 Prozent ganz oder teilweise verschlüsselt (2015: 2 Prozent).

Nächste Seite: Fazit

Fazit

Der Breach Level Index zeigt für 2016 vier grosse Trends im Bereich Cyberkriminalität auf. Hacker werfen ihre Netze weiter aus und nutzen leicht zugängliche Konto- und Identitätsdaten als Ausgangspunkt, um an wertvolle Informationen zu gelangen. Zudem konzentrieren sich Betrüger anstelle von Angriffen auf Finanzinstitute ganz offensichtlich vermehrt darauf, grosse Datenbanken zu infiltrieren, wie beispielsweise Entertainment- und Social-Media-Sites. Und schliesslich setzen Angreifer Verschlüsselungstechniken ein, um kompromittierte Daten unlesbar zu machen, verlangen dann Lösegeld und entschlüsseln die Daten erst, wenn es bezahlt wurde.

Datenschutzvorfälle nach Sektor Datenschutzvorfälle nach Sektor © Gemalto

Entscheider sollten das Thema IT-Sicherheit nicht vernachlässigen: Wenn Unternehmen genau wissen, wo ihre Daten gespeichert sind und wer Zugriff auf sie hat, können sie leichter Sicherheitsstrategien auf Basis von Datenkategorien entwerfen, die für sie am meisten Sinn machen.

Verschlüsselung und Authentifizierung sind heute keine ‚Best Practices’ mehr, sondern eine Notwendigkeit. Dies gilt insbesondere vor dem Hintergrund neuer und aktualisierter staatlicher Vorschriften wie der kommenden GDPR-Regelung in Europa und den Gesetzen zur Bekanntmachung von Sicherheitsverletzungen in US-Bundesstaaten und den APAC-Ländern.

Auch wenn die neuen GDPR-Richtlinien erst einmal in der EU ausgerollt werden, so ist davon auszugehen, dass sich auch Schweizer Unternehmen damit auseinandersetzen müssen. Schliesslich ist die Schweiz ein internationaler Markt, dessen Unternehmen ebenfalls im wirtschaftlichen Austausch mit den EU-Nachbarn stehen. Ein Beispiel dafür ist beispielsweise die Speicherung der Personaldaten von EU-Angestellten bei Schweizer Unternehmen.

Letztendlich kann man also sagen, es geht für Unternehmen darum, die richtigen Entscheidungen zu treffen, um die Integrität ihrer Geschäftsdaten zu gewährleisten und so ihren Ruf und ihre Gewinne zu wahren.