IT-Notfallplan

Was Uber, Marriott und Co. falsch gemacht haben

26.06.2019 von Thomas Ehrlich
Target, Uber und Marriott sind Beispiele für immense Datenschutzverletzungen. Was lässt sich aus diesen Fällen für den eigenen Notfallplan lernen?
Wer zu langsam oder schlecht vorbereitet auf Hacker-Angriffe reagiert, riskiert große Datenverluste.
Foto: BEST-BACKGROUNDS - shutterstock.com

Prominente Datenschutzverletzungen sind ein guter Ausgangspunkt, um einen eigenen Notfallreaktionsplan zu gestalten. Werfen wir also einen Blick auf die Vorfälle beim Einzelhändler Target, dem Hotelunternehmen Marriott und dem Fahrdienstvermittler Uber und prüfen, was sich hieraus lernen lässt. Wie haben die Unternehmen reagiert und was hätten sie besser tun sollen, um ihre Reaktionszeit und damit letztlich auch den Schaden zu minimieren?

Uber

Ubers größter Fehler in einer ganzen Reihe falscher Entscheidungen war die lange Zeitspanne zwischen der Entdeckung der Datenpanne und der öffentlichen Mitteilung im November 2017. Bereits 2016 entwendeten Hacker Daten von 57 Millionen Fahrgästen und Fahrern.

Es gab offensichtliche gravierende Sicherheitsmängel, die den Datendiebstahl in diesem Ausmaß erst möglich gemacht haben. Zudem bezahlte Uber den Kriminellen 100.000 US-Dollar, damit sie diese Daten vernichten, anstatt Behörden, Betroffene und die Öffentlichkeit zu informieren. Selbstverständlich hatte das Unternehmen keine Gewähr, dass die Daten tatsächlich gelöscht wurden.

Dieses Verhalten führte zu hohen Bußgeldern, strengen Sicherheitsanforderungen und Überwachung durch die US-Handelsbehörde Federal Trade Commission (FTC). Zudem musste Uber einen hohen Vertrauensverlust bei Kunden und Mitarbeitern hinnehmen.

Was hätte Uber besser machen können? Einfach gesagt: So ziemlich alles. Das Unternehmen hat grundlegende Sicherheitshygiene vernachlässigt. In Bezug auf die Reaktionszeit hätte sich das Unternehmen und dessen Vorstand mit Schlüsselpersonen innerhalb des Unternehmens beraten müssen. Mit Mitgliedern der PR-, IT-, Rechts- und Sicherheitsteams hätte so eine ethische Vorgehensweise zur Bewältigung der Datenschutzverletzung formuliert und die Öffentlichkeit informiert werden können. Wenn es einen entsprechenden Plan schon im Vorfeld gegeben hätte, wäre der gesamt Vorfall wesentlich schneller entdeckt und besser gelöst worden.

Vor allem die Rechtsabteilung und die Compliance-Verantwortlichen hätten stärker auf die Einhaltung der entsprechenden Vorgaben drängen müssen. Auch wenn zum Zeitpunkt des Datendiebstahls die DSGVO noch nicht in Kraft getreten war, so verfügten doch schon 48 US-Bundesstaaten über entsprechende Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen zur Offenlegung von Nachrichten über einen Hack verpflichteten.

Erst nach einem Jahr informierte Uber die Betroffenen und die Öffentlichkeit über den Datendiebstahl.
Foto: Varonis

Marriott

Der Datenschutzvorfall bei Marriott ist mit 383 Millionen entwendeten Kundendaten, einschließlich Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdaten und Aufenthaltszeiträumen, einer der größten Datendiebstähle bislang. Gleichzeitig ist er ein Beispiel dafür, wie sich Übernahmen und Fusionen auf die IT- und Datensicherheit auswirken können. Schon zu Beginn der Übernahme der Starwood Hotels und Resorts hätte Marriott seinen CIO und die IT-Teams einbeziehen sollen, um das Unternehmen aus der Sicht der Cybersicherheit zu analysieren.

Starwood meldete 2015 einen kleineren Sicherheitsvorfall bei seinen Point-of-Sale (POS)-Systemen. Marriott streitet eine Verbindung beider Fälle zwar ab, jedoch weisen einige Cybersicherheits-Experten darauf hin, dass eine eingehende Untersuchung durchaus einen Zusammenhang zwischen diesem alten Verstoß und der Kompromittierung des Reservierungssystems hätte aufdecken können. Bei Fusionen und Übernahmen ist es wichtig, alle Risiken zu identifizieren und zu bewerten und dazu zählen mittlerweile in besonderem Maße auch Cyberrisiken.

Darüber hinaus hätte Marriott eine umfassendere und detailliertere Cybersicherheitslösung implementieren sollen, was anscheinend nicht der Fall war. Eine interne Security-Lösung informierte die Verantwortlichen über eine Bedrohung am 8. September 2018 - vier Jahre nach Beginn des Angriffs. Ein stärkeres Instrument in Verbindung mit sorgfältigeren und routinemäßigeren Sicherheitsaudits hätte helfen können, den Verstoß früher zu finden.

Hier spielt auch Priorisierung eine Rolle, gerade im Hinblick auf die enorme Menge an Daten. So sind einige Daten, wie beispielsweise Kundeninformationen, die in einem Reservierungssystem gespeichert sind, sehr sensibel und müssen entsprechend stark geschützt werden. Durch eine Klassifizierung und Priorisierung von Daten ist es Sicherheitsteams möglich, ihre Budgets und Zeit besser einzuteilen und sich auf die wirklich wichtigen Assets zu konzentrieren.

Auch was die Reaktionszeit anbelangt, lief hier einiges schief: Nach dem ersten Alarm im September dauerte es über einen Monat, bis die Daten entschlüsselt und damit das Ausmaß erkannt werden konnte. Wiederum elf Tage später wurde die Öffentlichkeit informiert.

Schon vor der Übernahme von Starwood hätte Marriott das Thema IT-Sicherheit auf die Agenda setzen müssen.
Foto: Varonis

Target

Eine Lektion in Sachen Erkennungszeit ist die Datenschutzverletzung beim US-amerikanischen Einzelhändler Target. Der Angriff wurde nach 16 Tagen erkannt. Obwohl das Unternehmen schnell reagierte, war es nicht schnell genug, um den Schaden deutlich zu begrenzen. Die gut zwei Wochen reichten den Angreifern aus, um Zahlungs- und Kontaktinformationen von 110 Millionen Menschen zu kompromittieren.

Insgesamt kostete der Angriff Target über 200 Millionen US-Dollar, wobei allein 20 Millionen an Schadensersatzforderungen bezahlt wurden. Zudem verzeichnete das Unternehmen deutliche Umsatzeinbußen und Kursverluste, Hunderte Mitarbeiter wurden in der Folge entlassen.

Möglicherweise hätte der Angriff durch eine intelligente Analyse des Nutzerverhaltens (UBA) vermieden werden können. Hierdurch werden abnormale Account-Aktivitäten erkannt und können automatisiert unterbunden werden. Zudem lässt sich durch automatisierte Sicherheitsaufgaben die Effizienz des Sicherheitsteams wesentlich steigern. Damit ist es in der Lage, gezielt nach Bedrohungen und Sicherheitslücken zu suchen und diese zu beheben, bevor Angreifer sie ausnutzen können.

Vor allem aber hätte Target den Datenzugriff von Drittanbietern und Partnern einschränken müssen. Diese hatten weitreichende Zugriffsrechte, sodass die Angreifer nur gestohlene Zugangsdaten von einem einzigen Partner benötigten, um auf zahlreiche vertrauliche Daten zugreifen zu können. Eine Reduzierung der Zugriffsrechte nach dem Need-to-know-Prinzip verringert deutlich das Risiko und den Umfang der potenziell gefährdeten Daten.

Schließlich hätte Target die Finanzdaten verschlüsseln und gesondert speichern sollen. Je mehr Barrieren die Angreifer überwinden müssen, desto länger sind sie in den Systemen. Die Sicherheitsteams haben damit länger Zeit, sie zu entdecken und den Angriff abzuwehren.

Target reagierte zwar relativ schnell, aber eben nicht schnell genug: Daten von 110 Millionen Menschen wurden kompromittiert.
Foto: Varonis

Zeit ist ein Schlüsselfaktor

Wie bei jedem Notfall ist auch bei Cyberangriffen und Datenpannen Zeit ein wesentlicher Faktor. Je schneller Angriffe und Sicherheitslücken erkannt werden, desto früher lassen sich Gegenmaßnahmen einleiten und desto geringer ist der Schaden. Im Ernstfall sollte keine Zeit damit verschwendet werden, sich Maßnahmen zu überlegen, vielmehr sollte man auf einen bereits vorliegenden Incident-Response-Plan zurückgreifen.