Gehackt, verkauft und bloßgestellt

Gehackt, verkauft und bloßgestellt

Datensicherheit im Netz betrifft Unternehmen und zunehmend Privatpersonen

Keyfacts über Cyberangriff

  • Persönliche Daten sind Hackerziel
  • Reputationsrisiken machen verwundbar
  • Cyberangreifer sind nicht allmächtig
Zusammenfassung lesen
28. August 2015

Cyber-Hacker landen einen Sensationsangriff nach dem anderen. Die Vorfälle zeigen: Die Kriminellen haben es nicht mehr allein auf unsere geschäftlichen Daten abgesehen, sondern auch auf unsere persönlichen. Das macht uns verwundbarer als je zuvor.

Das Netz ist privat? Von wegen. Egal, ob es um intime Vorlieben, kompromittierende E-Mails oder Gehälter geht – zwei Angriffe der jüngeren Vergangenheit führen uns die Folgen eines Cyberhacks besonders drastisch vor Augen:

2013 Cyber-Kriminelle das Netzwerk eines Medienunternehmens an

Zunächst versuchten die Hacker es mit Erpressung. Als diese scheiterte, gingen sie einen Schritt weiter und veröffentlichten mehr als ein Jahr später mehrere Datenpakete in einschlägigen Hackerforen. Die Angreifer behaupteten, insgesamt 100 Terabyte an Daten abgegriffen zu haben.

Im Juli 2015 griff eine Hacker-Gruppe erfolgreich die Online-Dating-Plattform Ashley Madison an. Die Angreifer forderten die Einstellung des Betriebs – andernfalls würden sie die abgegriffenen Daten veröffentlichen. Weil die Betreiberfirma nicht auf die Drohung einging, erschien kurz darauf das erste Datenpaket im Netz. Zwei Tage später folgte ein zweites, noch umfangreicheres Paket.

Inzwischen haben die Täter damit begonnen, die Nutzer der Online-Dating-Plattform zu erpressen. Erste öffentliche Bekenntnisse von Betroffenen verursachten bereits Reputationsschäden. Angeblich sollen sogar der Untreue überführte Nutzer Selbstmord begangen haben.

100

Terabyte an Daten behaupteten die Angreifer insgesamt abgegriffen zu haben.

Sicherheitsforscher werteten den Inhalt der veröffentlichten Datenpakete aus

Im Fall des Medienunternehmens analysierte der investigative Reporter Brian Krebs die Datenpakete. Die Informationen über Ashley Madison untersuchte der Sicherheitsexperte Erik Cabetas. Die Ergebnisse geben einen Einblick darin, auf welche Informationen es Angreifer abgesehen haben.

Bei beiden Daten-„Dumps“ waren Finanzinformationen der Unternehmen enthalten. Im Fall der Dating-Plattform beispielsweise Informationen zu Darlehen und Investoren. Die Hacker griffen auch die Namen und Mailadressen der angemeldeten Nutzer ab.

Das Medienunternehmen sah sich mit Informationen zur Gehaltsstruktur und zu Sonderkompensationen konfrontiert. Dazu kam die Offenlegung persönlicher Daten wie Sozialversicherungsnummern oder Adressen der Mitarbeiter. Genauso schwer wiegt die Veröffentlichung des intellektuellen Kapitals, beispielsweise in Form von Drehbüchern der durch das Medienunternehmen produzierten Filme. Auch E-Mails mit peinlichen, geschmacklosen und möglicherweise rassistischen Gesprächen zwischen Mitarbeitern wurden publik.

Bei Ashley Madison flogen einige fragwürdige Geschäftspraktiken auf: So wurden Benutzerdaten trotz Kündigung des Kontos nicht gelöscht. Die nun veröffentlichten internen Mails des Managements der Dating-Plattform legen das gelebte Geschäftsgebaren offen.

Es geht nicht mehr allein um die Kronjuwelen, sondern auch um das Silberbesteck

Die Cyber-Piraten haben es längst nicht mehr nur auf den substantiellen Kern eines Unternehmens abgesehen. Ihnen geht es auch um die persönlichen Informationen der Mitarbeiter. Diese sind nicht unbedingt wertvoll, aber bei einer Veröffentlichung peinlich bis geschäftsschädigend. Im Extremfall sogar strafbar. Das geht an den Kern unserer Persönlichkeit. Wir sollten den Cyberangreifern dieses Feld nicht überlassen.

Zusammengefasst

»Die Cyber-Piraten haben es längst nicht mehr nur auf den substantiellen Kern eines Unternehmens abgesehen.«

Wie sicher sind unsere Daten im Netz? Fälle wie Ashley Madison zeigen die Verwundbarkeit mit der sich Unternehmen und Privatpersonen befassen müssen. Denn zunehmend werden persönliche Daten interessant für Hacker: Gehaltsstruktur, Sozialversicherungsnummern oder Adressen der Mitarbeitern. Aber auch intellektuelles Kapital oder persönliche Emails gehören dazu. Im Falle fragwürdiger Geschäftspraktiken ist so ein Angriff fast schon als Dienst an der Öffentlichkeit zu werten.

Alexander Geschonneck Partner, Forensic
Ganzen Artikel lesen

Kommentare

Wie geschützt sind wir noch vor Angriffen von Cyberkriminellen?

Kommentar von Michael Falk
30. August 2015 | 07:46 Uhr

Die aktuell öffentlich gewordenen Fälle zeigen noch einen weiteren Trend, dem sich Unternehmen stellen müssen. Im häufig als rechtsfrei bezeichneten Raum „Internet“ bilden sich neue Instanzen, die über Recht oder Unrecht urteilen. Dabei könnte die moralische Botschaft hinter dem Ashley Madison Hack durchaus staatlich motiviert sein. Diesmal durch den Vatikan… 😉 Für Unternehmen bildet sich eine neue Kategorie von Cyberrisken heraus, die in frühen Phasen von Produktdesign und Projekten zu bewerten sind. Denn die über clevere Kommunikation zu steuernden Shitstorms sind offenbar nur der Anfang des Gegenwinds aus der Crowd.

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen