:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datendiebstahl Goldgrube Gesundheitsdaten
Der Diebstahl medizinischer Informationen kann gravierende Folgen für Sicherheit und Wohlergehen der betroffenen Personen haben. Außerdem motivieren solche Daten zunehmend ambitionierte Finanzbetrüger
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Vom Diebstahl medizinischer Daten sind 18 von 20 Branchen betroffen. Zu diesem Ergebnis kommt der Verizon 2015 Protected Health Information Data Breach Report (pdf). Der in diesem Jahr erstmalig erschienene Bericht liefert eine detaillierte Analyse bestätigter Datenverletzungen bei geschützten Gesundheitsdaten (Protected Health Information, PHI) in der insgesamt mehr als 392 Millionen Datensätze aus 1.931 Vorfällen in 25 Ländern berücksichtigt werden, darunter auch europäische Märkte wie Deutschland.
Besonders beunruhigend ist, dass beispielsweise allein die Hälfte der US-amerikanischen Bevölkerung seit 2009 von PHI-Datenverletzungen betroffen ist. Darüber hinaus gab das FBI Anfang 2015 eine Warnung an Gesundheitsdienstleister heraus, wonach die Gesundheitsbranche im Vergleich zur Finanzbranche oder dem Einzelhandel keineswegs abwehrbereit aufgestellt ist und daher verstärkte Cybercrime-Aktivitäten wahrscheinlich sind.
Gesundheitsbezogene Daten finden sich nicht nur bei Medizinern
Wir haben PHI-Daten als individuell zuordenbare Gesundheitsinformationen einer Person klassifiziert, die unter mindestens eines der bundesstaatlichen, nationalen oder internationalen Gesetze zur Veröffentlichung von Datenverletzungen fallen. Dies schließt medizinische Datensätze, Zahlungskarteninformationen sowie auf eine Person rückführbare Informationen (z. B. Sozial-/Rentenversicherungsnummer, Name, Geburtsdatum) ein, die von Gesundheitsdienstleistern, Krankenversicherungen, Arbeitgebern, Abrechnungsstellen oder anderen Institutionen erfasst oder generiert werden.
Vor diesem Hintergrund wird klar, dass viele Unternehmen im Rahmen ihrer Geschäftstätigkeit PHI-Daten sammeln, nicht nur von Mitarbeitern, sondern auch von Kunden. Herausragendes Beispiel ist die Versicherungsbranche, wo wir in jüngster Zeit Datendiebstähle im großen Stil beobachten konnten. Die Tatsache, dass eine Organisation nicht in der Gesundheitsindustrie tätig ist, senkt nicht notwendigerweise das Risiko einer Datenverletzung.
Cybercrime schert sich nicht um Standorte
Ein weiterer wichtiger Punkt betrifft das vorherrschende Missverständnis, dass cyberkriminelle Aktivitäten standortbezogen sind. Daten des Verizon Forensik-Teams lassen übereinstimmend erkennen, dass Angreifer sich von den Daten, die sie interessieren, sowie von den Plattformen leiten lassen, auf denen solche Daten verarbeitet und gespeichert werden – und nicht von dem Land, in dem sich die Daten befinden.
Die Angriffsmethoden haben nichts mit dem geografischen Standort zu tun – menschliches Versagen, eine der Hauptursachen für Datenverletzungen, ist ein weltweites Phänomen. Wir haben zudem herausgefunden, dass Cybertrends und Empfehlungen zu ihrer Bekämpfung rund um den Globus universell gleich – also standortunabhängig – sind.
PHI-Datenverletzungen sind anders
Datenverletzungen bei geschützten Gesundheitsdaten unterscheiden sich gleich in mehrfacher Hinsicht. Zum einen sind es die Angreifer. Bei PHI-Datenverletzungen weichen die Zahlen der externen und der internen Täter nur um 5 Prozentpunkte voneinander ab. Das bedeutet: Missbrauch durch Insider kommt oft vor.
Medizinische Daten werden häufig mit böswilliger Absicht entwendet. Die Angreifer sind nur an personenbezogenen Angaben (Personable Identifiable information, PII) wie Kreditkarten- und Sozialversicherungsnummer interessiert, um es bei Finanz- und Steuerbetrug leichter zu haben.
Deutliche Unterschiede gibt es auch bei der Vorgehensweise. Primärer Angriffsweg ist die Nutzung gestohlener oder verlorener portabler Endgeräte (Laptop, Tablet, USB-Stick). An zweiter Stelle folgt menschliches Versagen. Hier genügt schon das Versenden eines Untersuchungsberichts an die falsche Adresse. Die dritte Art von Datenmissbrauch kommt von Mitarbeitern, die widerrechtlich ihre Zugangsrechte für den Zugriff auf solche Informationen nutzen. Zusammen machen diese drei Methoden 86 Prozent aller PHI-Datenverletzungen aus.
Hinzu kommt, dass es bisweilen Monate, manchmal Jahre dauert, bis eine Datenverletzung aufgedeckt wird. In letzterem Fall geht der Angriff mit dreifach höherer Wahrscheinlichkeit von einem Insider aus, der seine LAN-Zugangsprivilegien missbraucht. Mit doppelt hoher Wahrscheinlichkeit war ein Server Ziel des Angriffs und hier speziell eine Datenbank.
Was tun?
Indem detaillierte Gesundheitsdaten es Kriminellen leichter machen, sie sowohl für Identitätsdiebstahl als auch für Abrechnungsbetrug zu nutzen, sind die Medien und Branchenanalysten kontinuierlich bestrebt, die Aufmerksamkeit auf den Verlust streng persönlicher Daten zu lenken, um hier für die dringend notwendige Sensibilisierung zu sorgen.
Im Verizon Data Breach Investigations Report konnte Verizon neun Muster aufzeigen, denen sich die meisten Sicherheitsvorfälle zuordnen lassen und denen Unternehmen in zahlreichen vertikalen Branchen sehr wahrscheinlich ausgesetzt sind. Weiter enthält er spezifische Empfehlungen zu vorbeugenden Maßnahmen, mit denen ein Unternehmen seine sicherheitsstrategischen Ziele einfacher erreicht. Die neun Bedrohungsmuster lassen sich wie folgt unterscheiden: diverse Fehler wie Versenden von E-Mails an den falschen Empfänger, Crimeware (verschiedenartige Malware zur Übernahme der Kontrolle über das System), Missbrauch von Insiderwissen/Privilegien, physischer Diebstahl/Verlust, Angriffe über Web-Apps, DoS-Attacken (Denial of Service), Cyberspionage, Eindringen am Point-of-Sale (PoS) sowie Skimming (Abgreifen von Zahlungskartendaten).
Überraschenderweise entsprechen 96 Prozent der Datenverletzungen im diesjährigen Datensatz diesen Mustern. Wir fanden heraus, dass die Mehrheit dieser Bedrohungen aus lediglich drei Kategorien stammt, die je nach Branche variieren. Da PHI-Daten in den meisten vertikalen Industrien erfasst werden, ist es sinnvoll, sich auf die Muster der Vorfälle zu konzentrieren, die für einzelne vertikale Industrien spezifisch sind, um zusätzliche Sicherheit zu schaffen.
Die Bedrohungen für Daten werden immer komplexer und vielschichtiger, doch mit diesem Ansatz verfügen Unternehmen über die nötigen Informationen, ihre Sicherheitsmaßnahmen wirkungsvoll zu priorisieren und einen stärker fokussierten, effektiveren Ansatz bei deren Bekämpfung zu verfolgen.
Ein näherer Blick auf die grundlegenden Ursachen von Datenverletzungen hat uns gezeigt, dass nahezu 25 Prozent durch Multi-Faktor-Authentifizierung und Patching von über das Internet zugänglichen Web-Services hätten verhindert werden können. Hier muss mehr passieren. Diese sieben einfachen Leitsätze eignen sich gut als Ausgangsbasis für eine umfassende Sicherheitsstrategie:
- 1. Wachsam sein
- 2. Menschen als erste Verteidigungslinie
- 3. Daten nur nach dem Need-to-know-Prinzip bevorraten
- 4. Patches sofort installieren
- 5. Sensible Daten verschlüsseln
- 6. Zweifaktor-Authentifizierung einsetzen
- 7. Physische Sicherheit nicht vergessen
Eines ist offensichtlich: Viele Firmen und Behörden tun einfach nicht genug, um die hochsensiblen und vertraulichen Daten zu schützen. Es muss mehr geschehen, sonst werden Einzelpersonen und ganze Familien die Konsequenzen zu spüren bekommen. Und die Gesundheitskosten werden steigen – für staatliche Stellen, Organisationen und Einzelpersonen.
* Laurance Dine ist Managing Principal beim Verizon Investigative Response Unit.
(ID:43974218)
:quality(80)/p7i.vogel.de/wcms/46/93/4693179c743a76e5621f61ebe234c176/0112115071.jpeg "HIPAA ist ein US-amerikanisches Gesetz zum Schutz von Daten des Gesundheitswesens. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dd/3f/dd3f90bd41aef70fbd2aebd05fe30cb8/0109428252.jpeg "Ransomware gefährdet die verfügbarkeit und die Vertraulichkeit von sensiblen Unternehmensdaten und zeigt damit exemplarisch, dass IT-Sicherheit beim Datenschutz immer wichtiger wird. (Bild: Andrey Popov - stock.adobe.com)")