Datendiebstahl

Goldgrube Gesundheitsdaten

Seite: 2/2

Firmen zum Thema

Deutliche Unterschiede gibt es auch bei der Vorgehensweise. Primärer Angriffsweg ist die Nutzung gestohlener oder verlorener portabler Endgeräte (Laptop, Tablet, USB-Stick). An zweiter Stelle folgt menschliches Versagen. Hier genügt schon das Versenden eines Untersuchungsberichts an die falsche Adresse. Die dritte Art von Datenmissbrauch kommt von Mitarbeitern, die widerrechtlich ihre Zugangsrechte für den Zugriff auf solche Informationen nutzen. Zusammen machen diese drei Methoden 86 Prozent aller PHI-Datenverletzungen aus.

Hinzu kommt, dass es bisweilen Monate, manchmal Jahre dauert, bis eine Datenverletzung aufgedeckt wird. In letzterem Fall geht der Angriff mit dreifach höherer Wahrscheinlichkeit von einem Insider aus, der seine LAN-Zugangsprivilegien missbraucht. Mit doppelt hoher Wahrscheinlichkeit war ein Server Ziel des Angriffs und hier speziell eine Datenbank.

Was tun?

Indem detaillierte Gesundheitsdaten es Kriminellen leichter machen, sie sowohl für Identitätsdiebstahl als auch für Abrechnungsbetrug zu nutzen, sind die Medien und Branchenanalysten kontinuierlich bestrebt, die Aufmerksamkeit auf den Verlust streng persönlicher Daten zu lenken, um hier für die dringend notwendige Sensibilisierung zu sorgen.

Im Verizon Data Breach Investigations Report konnte Verizon neun Muster aufzeigen, denen sich die meisten Sicherheitsvorfälle zuordnen lassen und denen Unternehmen in zahlreichen vertikalen Branchen sehr wahrscheinlich ausgesetzt sind. Weiter enthält er spezifische Empfehlungen zu vorbeugenden Maßnahmen, mit denen ein Unternehmen seine sicherheitsstrategischen Ziele einfacher erreicht. Die neun Bedrohungsmuster lassen sich wie folgt unterscheiden: diverse Fehler wie Versenden von E-Mails an den falschen Empfänger, Crimeware (verschiedenartige Malware zur Übernahme der Kontrolle über das System), Missbrauch von Insiderwissen/Privilegien, physischer Diebstahl/Verlust, Angriffe über Web-Apps, DoS-Attacken (Denial of Service), Cyberspionage, Eindringen am Point-of-Sale (PoS) sowie Skimming (Abgreifen von Zahlungskartendaten).

Überraschenderweise entsprechen 96 Prozent der Datenverletzungen im diesjährigen Datensatz diesen Mustern. Wir fanden heraus, dass die Mehrheit dieser Bedrohungen aus lediglich drei Kategorien stammt, die je nach Branche variieren. Da PHI-Daten in den meisten vertikalen Industrien erfasst werden, ist es sinnvoll, sich auf die Muster der Vorfälle zu konzentrieren, die für einzelne vertikale Industrien spezifisch sind, um zusätzliche Sicherheit zu schaffen.

Die Bedrohungen für Daten werden immer komplexer und vielschichtiger, doch mit diesem Ansatz verfügen Unternehmen über die nötigen Informationen, ihre Sicherheitsmaßnahmen wirkungsvoll zu priorisieren und einen stärker fokussierten, effektiveren Ansatz bei deren Bekämpfung zu verfolgen.

Ein näherer Blick auf die grundlegenden Ursachen von Datenverletzungen hat uns gezeigt, dass nahezu 25 Prozent durch Multi-Faktor-Authentifizierung und Patching von über das Internet zugänglichen Web-Services hätten verhindert werden können. Hier muss mehr passieren. Diese sieben einfachen Leitsätze eignen sich gut als Ausgangsbasis für eine umfassende Sicherheitsstrategie:

  • 1. Wachsam sein
  • 2. Menschen als erste Verteidigungslinie
  • 3. Daten nur nach dem Need-to-know-Prinzip bevorraten
  • 4. Patches sofort installieren
  • 5. Sensible Daten verschlüsseln
  • 6. Zweifaktor-Authentifizierung einsetzen
  • 7. Physische Sicherheit nicht vergessen

Eines ist offensichtlich: Viele Firmen und Behörden tun einfach nicht genug, um die hochsensiblen und vertraulichen Daten zu schützen. Es muss mehr geschehen, sonst werden Einzelpersonen und ganze Familien die Konsequenzen zu spüren bekommen. Und die Gesundheitskosten werden steigen – für staatliche Stellen, Organisationen und Einzelpersonen.

* Laurance Dine ist Managing Principal beim Verizon Investigative Response Unit.

(ID:44001426)