Globale Studie zu Datenlecks 2006

InfoWatch zieht Bilanz und präsentiert seinen ersten globalen Bericht zu Datenlecks und Verstößen gegen die interne Datensicherheit. Analysiert wurden alle im Jahr 2006 bekannt gewordenen Fälle von Datenlecks, Sabotage oder Fahrlässigkeit von Mitarbeitern sowie aller Verstöße gegen die interne Datensicherheit. Die globalen Züge dieser Studie zeigen sich in der Analyse interner Sicherheitsverstöße unabhängig des Firmensitzes. So sind die zum Vorschein getretenen Gesetzmäßigkeiten und Tendenzen gleichermaßen anwendbar für Unternehmen aller Branchen und Länder.

Wir möchten hervorheben, dass dies das erste globale Projekt ist, das die Untersuchung interner Verstöße gegen die Datensicherheit zum Inhalt hat. Im Jahr 2004 begann InfoWatch mit der Erstellung einer Datenbank über derartige Verstöße. Bis zum heutigen Tage enthält diese Datenbank etwa 500 Einträge, wobei 145 davon im Laufe des Jahres 2006 gesammelt wurden.

Die Ergebnisse ergänzen die Schlussfolgerungen aus der Studie „Interne IT-Bedrohungen in Europa im Jahr 2006“, in deren Rahmen über 400 europäische Unternehmen befragt wurden. Doch im Unterschied dazu enthüllt der vorliegende Bericht objektive Entwicklungstendenzen interner Gefahren und die Umstände dieser Art Verstöße.

Schlussfolgerungen

  • Unternehmen leiden am meisten durch den Verlust vertraulicher Daten. Den Ergebnissen der Studie zufolge fallen 66% der internen Verstöße auf private Unternehmen. Zudem tragen die Unternehmen selbst die Hauptlast des Schadens, der aufgrund von Datenverlust entsteht. Die Konkurrenzfähigkeit eines Unternehmens ist in erster Linie von seiner Reputation abhängig und gerade diese leidet oft stark bei Datenverlust.
  • Im Jahr 2006 wurden auch viele Bürger zu Opfern von Datenverlust. In insgesamt 150 Fällen wurden über 80 Millionen Menschen der Gefahr des Diebstahls persönlicher Daten und Erpressungen ausgesetzt.
  • Jeder Verlust persönlicher Daten kann Millionenschäden zur Folge haben. Außer dem finanziellen Schaden verschlechtert sich das Image des Unternehmens. Im Durchschnitt waren im vergangenen Jahr von jedem Verlust privater Daten 785.000 Menschen betroffen.
  • Unternehmen, deren Mitarbeiter mobile Geräte nutzen, sind einem erhöhten Risiko ausgesetzt. Die Verwendung mobiler Geräte führte bei der Hälfte aller Verstöße zu Datenverlust, zur gleichen Zeit wurde das Internet in nur 12% der Fälle als Kanal für den Datendiebstahl verwendet.
  • Die größte Gefahr für Unternehmen stellt die Fahrlässigkeit von Mitarbeitern dar. Die überwiegende Mehrheit (77%) aller Verluste passierte aufgrund von Fahrlässigkeit.

Wo gehen Daten verloren?

Die Untersuchung der 145 Verstöße gegen die interne Datensicherheit zeigte, dass der Datenverlust globalen Charakter trägt. Man kann weder einen Tätigkeitsbereich noch eine geografische Region bestimmen, wo Unternehmen überhaupt nicht durch Insider zu Schaden kamen beziehungsweise nicht so häufig wie in anderen Bereichen. Die Probleme betrafen kleine und große Unternehmen, Handelsfirmen sowie staatliche Einrichtungen. Sogar gut geschützte Strukturen wie Militärbehörden und andere spezielle Dienste waren der Bedrohung durch Insider ausgesetzt – vor allem durch mobile Geräte und das Internet. Vertrauliche Daten erschienen mehrfach im Internet, landeten bei Journalisten oder Konkurrenz-Unternehmen.

In Abbildung 1 ist die Verteilung der Verstöße gegen die interne IT-Datensicherheit im staatlichen und privaten Sektor dargestellt. Es ist leicht zu erkennen, dass auf private Unternehmen zweimal mehr Verluste und Sabotage-Fälle kommen, als auf staatliche Organisationen. Dies ist durch mehrere Umstände zu erklären: Erstens übersteigt die Zahl von Unternehmen wesentlich die Zahl der staatlichen Einrichtungen, zweitens können staatliche Organisationen derartige Verluste besser verbergen. Häufig übersehen staatliche Kontrollorgane Verstöße gegen die interne Datensicherheit. So entsteht das Problem der fehlenden Kontrolle der Kontrollorgane. Doch immer wieder werden auch Datendiebstähle bei staatlichen Organisationen bekannt. Sei es, weil der Fall nicht geheim gehalten werden konnte oder weil ein Präzedenzfall geschaffen werden soll. So verschwieg die US-Regierung mehrere Jahre lang Verstöße gegen die interne Datensicherheit, jetzt jedoch häufen sich die Berichte über Datenverluste und Lücken in den Sicherheits-Systemen. Zuletzt unter anderem im November 2006, als bekannt wurde, dass die Steuerverwaltung der USA auf die letzten vier Jahre gerechnet fast 500 Notebooks vermisst.

Die Lage von Unternehmen ist noch beängstigender – nicht nur aufgrund der hohen Anzahl von Datenverlusten, sondern auch aufgrund des hohen Schadens durch jeden einzelnen Datendiebstahl. Betrachtet man die Verluste durch Datendiebstahl, so erleiden die Firmen den größten Schaden durch Imageverlust und/oder Umsatzeinbrüche.

Die Natur von Datenverlusten

Insider können für den Abfluss jeglicher Art von vertraulichen Informationen verantwortlich sein. Obwohl intellektuelles Eigentum, kommerzielle und Industriegeheimnisse einen unschätzbaren Wert darstellen, zeigt die aktuelle Studie, dass persönliche Daten interessanter für die Diebe sind (siehe Abb. 2).

Dabei ist sowohl der Diebstahl persönlicher Daten als auch der Diebstahl von Firmengeheimnissen für Unternehmen sehr gefährlich. Die Studie zeigt eindeutig, dass durch den Diebstahl privater Daten eine unvergleichbar höhere Zahl Menschen zu Opfer wird. In Abbildung 3 werden die Opfer durch Verluste im gesamten Jahr 2006 sowie die durchschnittliche Anzahl der Opfer bei jedem Verlust persönlicher Daten dargestellt.

Abbildung 4 zeigt den prozentualen Anteil an Datenverlusten nach Zahl der Opfer. Die Mehrheit der Vorfälle betraf laut der Studie verhältnismäßig kleine Gruppen. So schadeten 33% der Fälle bis zu 5.000 Bürgern, 28% schadeten 5.000 bis 50.000 Personen. Die durchschnittliche Zahl der Opfer betrug 785.000, weitaus mehr als die oben genannte Ziffer. Das liegt daran, dass die übermäßig hohen Verluste persönlicher Daten im letzten Jahr einen gewaltigen Einfluss auf diesen Mittelwert hatten, etwa als im Mai das US-Ministerium für Veteranen-Angelegenheiten Datenverluste registrierte.

Wege des Datenverlusts

Die wichtigste Frage ist: Wie gehen die Daten am häufigsten verloren? Um Datenverlust zu vermeiden, ist es erforderlich, die Kanäle für den Diebstahl zu identifizieren. Ein effektives Schutzsystem sollte alle möglichen Lecks abdecken. Die Studie brachte hier folgende Ergebnisse:

Die meisten Daten (50%) gingen über mobile Geräte verloren (Notebooks, Pocket-PCs, USB-Sticks, CDs, DVDs). Kompakte mobile Geräte haben neben allen offensichtlichen Vorzügen einen wesentlichen Mangel hinsichtlich des Datenschutzes. Sei es ein Notebook, ein Pocket-PC oder ein USB-Stick – man kann das mobile Gerät leicht verlieren – oder verstecken. Infolge des Verlusts eines Datenträgers können Dritte Daten auslesen und enormen Schaden anrichten. Genauso können interne Übeltäter Datenträger leicht verstecken und Daten weitergeben.

Der zweite, weit verbreitete Kanal für Datenverlust ist das Internet (12%): Das Internet ist als Kanal nicht ganz so populär, da man nicht schnell genug große Datenmengen übertragen kann, wie etwa via mobile Datenträger. Zudem kann ein Insider – bei Nutzung eines Netzfilters – schnell gefasst und seine Schuld nachgewiesen werden. 5% der Vorfälle passierten durch falsch genutzte oder verlorene Sicherheitskopien, 3% durch elektronischen Versand sowie Fax-Sendungen und sogar über die normale Briefpost. 17% der Verstöße gegen die interne Datensicherheit passierten über andere Kanäle, etwa durch Outsourcing an einen unzuverlässigen Partner. In 10% der Fälle konnte nicht festgestellt werden, über welche Wege die Daten abgeflossen sind.

Die Studie zeigt, dass wesentlich mehr Verstöße aufgrund von Fahrlässigkeit der Mitarbeiter geschahen (77%, siehe Abb. 6). Die Hauptursache für Verstöße gegen die interne Datensicherheit ist die Nichterfüllung von Dienstvorschriften aber auch Voreingenommenheit gegenüber einfachsten Regeln des Datenschutzes. Beispielsweise gehen häufig Notebooks mit unverschlüsselten Daten verloren, obwohl laut Vorschriften des Unternehmens keine ungeschützten mobilen Computer genutzt werden dürfen. Dazu kommt, dass die Mitarbeiter mitunter selbst nicht wissen, dass sie Insider sind und vertrauliche Informationen unerlaubterweise weitergeben. Diese Ergebnisse zeigen erneut, dass es überall Insider geben kann.

Die wichtigsten Fälle von Datendiebstahl im Jahr 2006

Die nachstehenden Top Fünf der wichtigsten Datenverluste des vergangenen Jahres bestätigen die bisher genannten Thesen. Allein die Anzahl der Opfer dieser fünf Fälle betrug 50 Millionen Menschen.

Fall Datum des Falls Anzahl der Opfer Weitere Informationen
1. Die Firma Gratis Internet sammelte über das Internet persönliche Daten von sieben Millionen Amerikanern, anschließend verkaufte sie die Information an Drittfirmen. März 2006 7 Millionen Menschen ausführlicher unter Infowatch.com
2. Verlust persönlicher Daten von Veteranen und Militärangehörigen der US-Streitkräfte

Mai 2006 28.7 Millionen Menschen ausführlicher unter Infowatch.com
3. Eines der Sub-Unternehmen von Texas Guaranteed verlor einen Laptop mit persönlichen Kundendaten. Mai 2006 1.3 Millionen Menschen ausführlicher unter Infowatch.com
4. Das Notebook eines Mitarbeiters der Nationwide Building Society wurde gestohlen. Auf dem PC befanden sich die privaten Daten von 11 Millionen Mitgliedern der Gesellschaft. August 2006 11 Millionen Menschen ausführlicher unter en.wikipedia.org
5. Aus dem Büro von Affiliated Computer Services (ACS) wurde ein Notebook mit den persönlichen Daten von Kunden des Unternehmens gestohlen. Oktober 2006 1.4 Millionen Menschen ausführlicher unter Infowatch.com

Tabelle 1. Top Fünf der größten Datenverluste 2006

Der größte Fall: In den USA entwendeten Übeltäter am 3. Mai 2006 aus dem Haus eines Mitarbeiters des Ministeriums für Veteranen-Angelegenheiten eine Festplatte. Damit befanden sich die persönlichen Daten von 26,5 Millionen Veteranen und von 2,2 Millionen derzeit Wehrdienstleistenden in den Händen der Einbrecher.

Der zweite große Fall verlief ähnlich: Unbekannte drangen in das Haus eines Mitarbeiters der Nationwide Building Society ein und entwendeten ein Notebook mit unverschlüsselten Daten zu Kunden des Unternehmens. Das Unternehmen setzte sofort die Polizei in Kenntnis, jedoch wurden die Diebe nicht gefunden. Nach drei Monaten benachrichtigte das Unternehmen die Opfer.

In vier der fünf Fälle gingen die Informationen über mobile Computer verloren. Die Ursache: Fahrlässigkeit der Mitarbeiter beim Arbeiten mit sensiblen Daten.

Schlusswort

Das Jahr 2006 übertraf alle vorherigen Jahre hinsichtlich der Anzahl der Verstöße gegen die interne Datensicherheit sowie des Ausmaßes des angerichteten Schadens. Alleine die Zahlen der Opfer und die mehreren Milliarden Dollar Wirtschaftsschäden sind erschreckend und sollten unbekümmerte Unternehmen warnen.

Trotz all der schlechten Nachrichten gibt es Fortschritte: Geschäftsführer von Unternehmen beginnen, die Ernsthaftigkeit des Problems zu erkennen. In großem Maß wird dies vom Bekanntheitsgrad und der breiten Einführung verschiedener Standards und Gesetze beeinflusst.

Zu hoffen bleibt, dass das Jahr 2007 eine Wende im Bereich der internen Bedrohungen bringt. Gegenwärtig wird bereits in vielen Unternehmen die Aufmerksamkeit stärker auf das Sicherheitssystem gelegt – und hier auch verstärkt auf die interne Sicherheit.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.