Datenleck: Wir brauchen kein Facebook… Wir verschenken die Daten auch so

Datenleck und Facebook

Ein Riesenwirbel. Rund 90 Millionen Datensätze wurden abgegriffen und an eine Firma weitergegeben. Nach Zustimmung der Benutzer. Und das, obwohl vor solchen Möglichkeiten erst seit Jahren von allen Seiten gewarnt wird. Ein massives Datenleck </Ironie>.

Keine Frage, das ist falsch und mit den Daten kann viel Schaden angerichtet werden. Leider aber benötigt die digitale Welt keine Unternehmen wie Facebook, um Daten zu verlieren, sondern schafft es von sich aus aufgrund von Unwissenheit, Faulheit oder Ignoranz, selbst die wichtigsten Daten absolut ungesichert allen zugänglich zu machen. Hier fehlt offenbar immer noch jegliche Sensibilität.

Datenleck ohne Facebook

Die Firma Digital Shadows hat über einen Zeitraum von 3 Monaten mit einem Scan-Tool nach öffentlich zugänglichen Daten gesucht und diese dann erfasst bzw. statistisch erfassbar gemacht (das Vorgehen an sich will ich jetzt hier gar nicht bewerten – das ist durchaus kontrovers zu sehen). Hierbei ging es um öffentlich zugängliche S3-buckets, Fileshares, rsync, FTP-Server, falsch konfigurierte NAS- oder Webserver. Der Report ist hier zu beziehen: https://info.digitalshadows.com/FileSharingDataExposureResearch-Blog.html

Auf (mit Abstand) Platz 1 der betroffenen Regionen mit einer guten halben Milliarde (!!) Dateien (ein Drittel der erfassten!!!) steht…

die Europäische Union.

Ja, richtig. Die EU mit dem wahrscheinlich höchsten Datenschutz-Niveau (DSGVO lässt grüßen), Gesetze für die Absicherung Kritischer Infrastrukturen (KRITIS) und einem der höchsten technischen Stände weltweit.

Der Digital Shadows Report

Immer davon ausgehend, dass die Analyse korrekt durchgeführt wurde und dieser Report auch stimmt, zeichnet er ein schwarzes Bild vom Zustand der IT-Sicherheit.

Hauptsächlich betroffen waren im Detail die Protokolle FTP, rsync und SMB. Obwohl S3 die “neueste” Technik ist, macht es doch nur ein recht kleiner Teil der Daten aus. Wir sprechen hier von Techniken, die es seit rund 30 Jahren gibt. So etwas sollte nicht passieren – es gibt genügend best practices hierfür.

Ein paar Beispiele gefällig:

  • Mehr als 2,2 Millionen “medical body scan”-files, z. B. MRT- und sonstige medizinische Daten
  • Mehr als 4.500 PatientenLISTEN
  • Mehr als 700.000 Einträge zum Thema Gehalt (payroll)
  • Rund 95.000 Treffer zum Thema Quellcode
  • 900 Patenanmeldungen
  • Mehr als 50 Copyright-Anmeldungen
  • Fast 6.000 Treffer zum Thema Security-Audit, inkl. Bilder und Fotos vom Setup des Unternehmens
  • Über 1.000 Netzwerkdiagramme

Wir sprechen hier also auch von medizinischen Daten (besonders personenbezogenen Daten!), Gehaltsdaten (besonders personenbezogenen Daten!!) und Patentdaten (also das Herz einer Firma!!!).

Wie kommt so etwas?

  1. Unwissenheit
    Die Person, die etwas eingerichtet hat, weiß nicht, was sie tut.
  2. Ignoranz bzw. Setzen von falschen Prioritäten
    Es ist den Verantwortlichen entweder egal oder wird gar nicht wirklich berücksichtigt oder gewichtet.
  3. Fahrlässigkeit bzw. völlige Ignoranz der IT-Sicherheit
    Das typische “Mir sind bisher noch nie Daten abhanden gekommen, warum soll ich da dann Geld (Aufwand/Zeit)
    investieren?”-Syndrom.

Situation in Deutschland

Das Thema ist in Deutschland schon immer lange ein Problem. Vielleicht ist einfach noch zu wenig passiert. Oder die einzelnen Security-Incidents und Datenabflüsse kommen (verständlicherweise aus Sicht der betroffenen Unternehmen) nicht in die Medien. Ich glaube, dass oft noch die Chancen ausgerechnet werden, wie wahrscheinlich es ist, dass ich (als Unternehmen) betroffen bin. Die richtige Rechnung wäre aber eher das WANN werde ich betroffen sein bzw. WIE OFT oder auf welchem Weg. Deutschland ist bezüglich IT-Security im Mittelstand oft noch Entwicklungsland.

Was wäre beispielsweise zu tun?

  1. Die EU-DSGVO sauber umsetzen
  2. Die IT als strategische Ressource sehen
  3. Sich an Standards halten

Fazit

Ich bin mir sicher, alleine mit der Umsetzung von 1) hätte man 50% der Lecks erkennen können (immer unter der Voraussetzung, dass die Umsetzung nicht nur auf dem Papier erfolgt, sondern gelebt wird). Natürlich wird es NIE eine 100%ige Sicherheit geben, dazu ist das Thema zu komplex, hat viel zu viele Abhängigkeiten untereinander und ist zu heterogen. Aber: es geht auch nicht um eine 100%ige Sicherheit, es geht darum die Hürden so hoch zu legen, dass sich ein Angriff nicht mehr lohnt- bzw. das Risiko für den Angreifer höher ist, als der zu erwartende Nutzen. Letzte Worte: Unter diese Statistik fallen natürlich mit Sicherheit auch Unternehmen, die sich um die notwendigen Dinge gekümmert haben, die die DSGVO einhalten, sich an Standards halten, das volle Programm – dann aber den Datenabfluss durch einen dummen Bug in einer Software haben, für den sie nichts können. Software ist nie sicher – aber man kann eben viele Risiken ausschließen oder eindämmen.

Ein paar Quellen:

https://www.heise.de/newsticker/meldung/Milliarden-vertraulicher-Dokumente-frei-im-Netz-auffindbar-4012048.html

https://www.digitalshadows.com/blog-and-research/when-sharing-is-not-caring-over-1-5-billion-files-exposed-through-misconfigured-services/

Gerne freue ich mich auf Ihre Meinung!

Teilen Sie diesen Beitrag - DSGVO-konform mit Shariff

Das könnte Dich auch interessieren...

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.