Datenschutzverletzungen erreichten 2021 ein weiteres Allzeithoch

Zu diesem Zeitpunkt besteht kein Zweifel daran, dass 2021 in Bezug auf Datenschutzverletzungen ein rekordverdächtiges Jahr gewesen sein wird. Das Identity Theft Resource Center (ITRC) berichtete, dass die Gesamtzahl der Datenschutzverletzungen bis zum 30. September 2021 bereits die Gesamtzahl der Ereignisse im Jahr 2020 um 17 % überschritten hatte . Von da können die Zahlen nur noch steigen, was zum Teil auf die jüngsten Zero-Day-Schwachstellen wie Log4j zurückzuführen ist.

Ganz oben auf der Liste der Datenschutzverletzungen im Jahr 2021 steht die Entdeckung der von Cognyte gesammelten Daten, einem Unternehmen für Cybersecurity-Analysen, die in der Offenlegung von fünf Milliarden Datensätzen resultierte und die Entdeckung der personenbezogenen Daten von rund 700 Millionen LinkedIn-Benutzern, die im Dark Web zum Verkauf angeboten wurden. Beide Verstöße gehören zu den Top 10 aller Zeiten, was die Anzahl der aufgedeckten Datensätze angeht.

Auch ohne die Gunst der Vorsehung kann man annehmen, dass heutzutage fast jedes Unternehmen mit den Auswirkungen einer erheblichen Datenschutzverletzung konfrontiert werden könnte. Eine Umfrage unter 200 IT- und Security-Experten in Unternehmen, die vom Marktforschungsunternehmen Pulse im Auftrag von Vulcan Cyber, einem Anbieter einer Plattform für das Management von Cyberrisiken, durchgeführt wurde, ergab, dass die größten Bedenken hinsichtlich der Gefährdung sensibler Daten, die Organisationen zurzeit haben, Schwachstellen in Anwendungen sind (54 %), gefolgt von defekter Authentifizierung (44 %), Security-Fehlkonfigurationen (39 %), ungenügender Protokollierung und Überwachung (35 %) und Einschleusung (32 %). Die Umfrageteilnehmer identifizierten außerdem die Schwachstelle der Benutzerkonten ohne Berechtigung von Microsoft Kerberus, bekannt als MS14-068, als die besorgniserregendste für ihr Unternehmen.
Aus der Umfrage geht jedoch auch deutlich hervor, dass die Priorisierung von Schwachstellen keine genaue Wissenschaft ist. Mehr als drei Viertel der Befragten (78 %) sagten, dass die von Drittanbietern identifizierten Schwachstellen mit hoher Priorität tatsächlich niedriger eingestuft werden sollten, basierend auf den Auswirkungen, die sie wahrscheinlich auf ihr Unternehmen haben. Demgegenüber gaben mehr als zwei Drittel der Befragten (69 %) auch an, dass niedriger eingestufte Schwachstellen höher eingestuft werden sollten. Mehr als 80 % der Befragten sagten, sie würden von mehr Flexibilität profitieren, einschließlich des Bauchgefühls, um Schwachstellen basierend auf ihrem jeweiligen Risikoumfeld zu priorisieren.

Ungeachtet der Bußgelder und Strafen, die von Regierungen in aller Welt verhängt werden könnten, scheinen Unternehmen ihre Art der Datenverwaltung nicht zu ändern, trotz einer Masse von Security-Bedenken. Das Intelligenteste, was ein Unternehmen tun kann, um die Anzahl der Verstöße zu verringern, auf die es eventuell reagieren muss, ist die Einschränkung der Menge an sensiblen Daten, die es speichert. Organisationen neigen dazu, viel mehr Daten zu speichern, als sie benötigen, insbesondere in Spreadsheets, die Endbenutzer mit allen möglichen personenbezogenen Daten (PII) befüllen. Das Einzige, was in der Regel zwischen einem Cyberkriminellen und diesen Daten steht, ist ein Passwort, das leicht zu kompromittieren ist. Unternehmen, die dazu neigen, Daten zu horten, sind in vielen Fällen ihr eigener schlimmster Cybersecurity-Feind.

Es ist schwierig, mit Gewissheit zu sagen, was 2022 bringen wird – abgesehen von der Tatsache, dass Cybersecurity-Angriffe sowohl an Umfang als auch an Raffinesse ansteigen werden.  Wenn Unternehmen jedoch immer wieder dasselbe tun wie 2021 und ein anderes Ergebnis erwarten, dann haben wir, nach Albert Einstein, 2021 eines definitiv erreicht: eine neue Ebene des Cybersecurity-Wahnsinns.