Wo kommt es am häufigsten zu Datenlecks?
Betrüger interessieren sich vor allem für Geld. Ihr Hauptziel sind daher Banken und Finanzinstitute, auf die 25 Prozent aller Datenlecks in Russland entfallen. Zu diesem Ergebnis kommt eine Studie von InfoWatch aus dem Jahr 2018, einem russischen Unternehmen, das sich auf Informationssicherheit im Unternehmenssektor spezialisiert hat. 18 Prozent aller Datenlecks treten bei Regierungs- und Strafverfolgungsbehörden auf.
Hacker interessieren sich auch für Technologieunternehmen (17,1 Prozent) und kommunale Einrichtungen: Stadtverwaltungen, Kulturzentren, Erholungseinrichtungen, Dokumentationsbehörden usw. (12,5 Prozent). Auch Geschäfte und Hotels sind nicht immun gegen Hackerangriffe (4,7 Prozent). Weitere Meldungen über Datenlecks kommen von Medizin- (4,7 Prozent) und Bildungseinrichtungen (3,1 Prozent). Der am wenigsten undichte Sektor ist der Verkehr und die Industrie (1,6 Prozent).
Wer ist schuld?
Wladimir Trefilow/Sputnik
In den allermeisten Fällen (71,8 Prozent) verursachen einfache Angestellte in Unternehmen und Behörden Datenlecks. Außerhalb Russlands liegt dieser Wert bei „nur” 55,7 Prozent. Führungspersonen in Unternehmen verursachen 15,6 Prozent aller Datenschutzverletzungen. Die Gefahr durch externe Angriffe liegt bei 7,9 Prozent. Ehemalige Mitarbeiter sind hingegen mit 4,7 Prozent eher selten verantwortlich für undichte Stellen.
Wie kommt es zu solchen Datenlecks?
In Russland bleibt das Speichermedium der Wahl trotz des digitalen Fortschritts für viele weiterhin das gute alte Papier. Schließlich könnte der Computer ja mal ausfallen… Daher sind fast 50 Prozent aller Vorfälle auf eine Nachlässigkeit im Umgang mit Dokumenten auf Papier zurückzuführen. Der Rest erfolgt über Browser, E-Mail, Cloud-Dienste, Flash-Laufwerke, Smartphones und Instant Messenger.
Im August 2018 entdeckte eine Frau in Moskau im Abfall zahlreiche Dokumente mit sensiblen Daten: Pässe, polizeiliche Dokumente, Informationen von Migrationsbehörden, Strafakten usw.
Der Pressestelle der Moskauer Abteilung des Innenministeriums erklärte (rus) später, dass es eine Untersuchung geben werde und die Verantwortlichen die Konsequenzen tragen müssten.
Eines der größten Datenlecks trat im Jahr 2018 beim russischen Internetunternehmen Yandex auf. Kurzzeitig war es möglich, nach in der Google Cloud gespeicherten Dokumenten zu suchen, einschließlich bankinterner und behördlicher Dokumente. Innerhalb von 24 Stunden war die Sicherheitslücke geschlossen. Yandex erklärte (rus) den Fehler damit, dass in den Suchergebnissen nur Dateien angezeigt würden, deren Urheber über einen Hyperlink Zugriff gewährt hätten, ohne Anmeldeinformationen eingeben zu müssen.
Ramil Sitdikow/Sputnik
>>> Fail oder Leak? Sensible GoogleDocs in einfacher Yandex-Suche aufgetaucht
Sind Datenlecks immer eine Folge externer Zugriffe?
Manchmal sind für Datenlecks auch Mitarbeiter verantwortlich, die auf diese Weise ihr Gehalt aufzubessern versuchen.
Sergei Golubew. ein Mitarbeiter beim russischen Mobilfunkbetreiber Vimpelcom, war sich bewusst, dass das russische Recht die Weitergabe von Telefondaten verbietet. Er bekam jedoch anonym den Vorschlag, einen bestimmten Kunden auszuspionieren. Er sollte alle persönlichen Informationen, die in den Anrufen und SMS des Ziels enthalten waren, melden und bekam dafür Geld. Wie viel, weiß man nicht. Golubew ließ sich darauf ein, doch die Geschichte nahm für ihn kein gutes Ende. Er wurde erwischt, verlor seinen Job und musste eine Geldstrafe von 100 000 Rubel (etwa 1 400 Euro) zahlen, meldete der Pressedienst der Sankt Petersburger Gerichte.
Bruce Mars/Pexels
Die 31-jährige Ljubow Aganina aus Wolgograd, Mitarbeiterin eines örtlichen Sozialhilfezentrums, stahl im Zeitraum von Oktober 2016 bis Mai 2017 4,1 Millionen Rubel (etwa 57 000 Euro).
Das System funktionierte wie folgt: Sie gewährte Sozialleistungen an Personen, deren Daten ihr von einem Bekannten zur Verfügung gestellt wurden, die aber gar keinen Anspruch auf Leistungen hatten. Das Geld wurde auf deren Konten überwiesen, von wo es die Betrüger abhoben und behielten. Aganina erhielt eine Gefängnisstrafe von vier Jahren, die sie nach russischem Recht allerdings erst in sieben Jahren antreten muss, wenn ihr Sohn 14 Jahre alt wird. Ihr Komplize wurde zu dreieinhalb Jahren Gefängnis verurteilt.
Gab es auch bei Banken Sicherheitslücken?
Wetten, dass…? Im Herbst 2018 haben Cyberkriminelle eine Datenbank der Sberbank bei phreaker.pro hochgeladen (rus). Es war eine 47-MB-Textdatei, die mehr als 421 000 Datensätze mit Namen, Nachnamen und Anmeldedaten von Mitarbeitern der Sberbank enthielt.
Getty Images
Anfang Juni dieses Jahres wurden die Kundendaten von drei russischen Banken (OTP, Alfa Bank, Home Credit Bank) veröffentlicht. Unter den Informationen befanden sich die Namen, Telefonnummern, Passwörter und Informationen zur Arbeitsstelle von 900 000 Personen. Diese Lücke wurde von DeviceLock, einem russischen Unternehmer, der Anti-Leak-Software, entwickelt, aufgedeckt.
Wie kann das passieren?
InfoWatch weist auf mehrere Gründe hin. Zum einen ist die Einführung von Tools für die Informationssicherheit in Russland im Allgemeinen langsamer als die Digitalisierung. Hinzu kommt, dass die russische Gesellschaft insgesamt noch keine verantwortungsvolle Haltung gegenüber den Daten anderer Menschen entwickelt hat, heißt es in dem Bericht von InfoWatch.
Igor Zarembo/Sputnik
Mobilfunkbetreiber, Banken, die Polizei und Unternehmen betrachten die Daten als ihr Eigentum und glauben, damit nach Gutdünken verfahren zu können. Und selbst, wenn das nicht erlaubt ist, wen interessiert das schon?
Was kann man dagegen tun?
Die Autoren der Studie sind der Ansicht, dass große Unternehmen und Behörden ihre Daten im Allgemeinen recht gut vor Angriffen von außen schützen können.
Daher liegt der Schwerpunkt derzeit darauf, den Mitarbeitern den verantwortungsvollen Umgang mit Daten beizubringen. Beispielsweise haben die russischen Banken UniCredit, VTB und Otkrytjie ihren Mitarbeitern verboten (rus), Fotos mit dem Smartphone zu machen, auf dem die Monitore der Bank zu sehen sind.
Otkrytije hat auch Aufnahmen von offiziellen Dokumenten, Präsentationen und Kundendaten sowie die Aufzeichnung offizieller Gespräche verboten. Ob auch Banken, bei denen es schon Sicherheitslücken gegeben hat, ähnliche Schritte unternommen haben, ist unbekannt.
Getty Images