3 Milliarden Datensätze wurden gestohlen. Welche Lehren können wir aus diesem spektakulären Hack ziehen?

National Public Data (NPD) ist ein Unternehmen, das Hintergrundüberprüfungen anbietet. Das bedeutet, dass sie eine riesige Datenbank mit Informationen über Hunderte von Millionen von lebenden und toten Menschen führt, einschließlich Namen, Adressen, E-Mail-Adressen, Telefonnummern und Sozialversicherungsnummern. 

Im August hat ein Hacker namens Fenice fast 3 Milliarden Datensätze (einschließlich doppelter Daten) veröffentlicht, die bei einem Einbruch bei NPD gestohlen wurden, der möglicherweise schon im Dezember 2023 stattfand.

Während einige Details der Geschichte noch immer umstritten sind und in den potentiellen Klagen und rechtlichen Schritten gegen NPD und seine Muttergesellschaft Jerico Pictures Inc. noch vieles zu entscheiden ist, ist ziemlich klar, was geschehen ist – und aus dem Vorfall lassen sich einige wichtige Lehren ziehen.

Das Wichtigste zuerst

Als Privatperson möchten Sie bestimmt herausfinden, ob Ihre persönlichen Daten von dem Datendiebstahl betroffen sind, und Maßnahmen ergreifen, um sich vor Identitätsdiebstahl zu schützen. Es gibt mehrere Dienste, mit denen Sie nach Ihren Daten hinsichtlich dieses Datendiebstahls suchen können. Mir gefällt der von pentester.com zur Verfügung gestellte Dienst. (Er fand 16 Versionen meiner Daten, die alle meine Sozialversicherungsnummer enthalten).

Wenn Ihre Daten gestohlen wurden, können Sie sich an jede der drei großen Kreditauskunfteien – Equifax, Experian und TransUnion – wenden und Ihre Kreditauskunft einfrieren lassen. Dies ist kostenlos und verhindert, dass Identitätsdiebe versuchen, neue Kreditkonten in Ihrem Namen zu eröffnen. Sie können die Sperrung jederzeit dauerhaft oder vorübergehend aufheben, so dass Sie weiterhin problemlos einen Kredit beantragen können. Dieser Artikel von Krebs on Security enthält viele nützliche Details zum Einfrieren von Krediten.

Übrigens: Selbst wenn Ihre Daten nicht von diesem speziellen Datendiebstahl betroffen sind, ist die Wahrscheinlichkeit groß, dass Ihre Daten irgendwo da draußen sind. Die Kreditauskünfte meiner gesamten Familie sind seit Jahren eingefroren. Es macht den Kauf eines Autos oder die Beantragung eines Kredits ein wenig schwieriger, aber nicht so sehr, dass es wirklich einen Unterschied macht. Und es gibt die Gewissheit, dass die schlimmsten Arten von Identitätsdiebstahl sehr viel unwahrscheinlicher sind.

Also, was ist passiert? Und kann man das verhindern?

Wie war es möglich, dass jemand die (vermutlich) strengen Sicherheitsvorkehrungen von NPD überwinden konnte, um an all diese Daten zu gelangen? Es stellte sich heraus, dass es sich hierbei nicht um einen komplexen oder ausgeklügelten Angriff handelte. NPD hatte eine .zip- Datei auf der Website veröffentlicht, die Passwörter für die Backend-Datenbank enthielt. Jemand fand diese Datei, fand heraus, was sie enthielt, und nutzte sie, um 3 Milliarden Datensätze zu stehlen.

Für eine detailliertere technische Beschreibung dessen, was genau wo war und wer darauf zugegriffen hat, bietet Krebs hier eine gute Zusammenfassung. Es läuft tatsächlich darauf hinaus, dass jemand einen dummen Fehler gemacht hat und niemand es bemerkt hat, bis es zu spät war.

Nun, der erste Teil davon – jemand macht einen Fehler – ist nicht zu verhindern. Fehler passieren, zumindest solange Menschen beteiligt sind. 

Aber der zweite Teil – dass zu lange niemand den Fehler bemerkt – ist absolut vermeidbar. Routinemäßige, häufige Sicherheitsaudits, die eine gründliche Buchführung zu allen Daten umfassen, die über Websites und Anwendungen öffentlich zugänglich sind, sollten Teil der Sicherheitspraxis eines jeden Unternehmens sein.

Und soweit möglich sollten solche Prüfungen durch eine automatisierte Überwachung der in ungesicherten Umgebungen veröffentlichten oder gespeicherten Daten und Dateien ergänzt werden. Ein solcher automatisierter Dienst, von dem viele Barracuda-Kunden profitieren, heißt Data Inspector und scannt Ihre gesamte Microsoft 365-Umgebung und findet eine Vielzahl vertraulicher Daten, die unsachgemäß an Orten gespeichert sind, die nicht sicher genug sind.

Das verringert das Risiko von Datenverlusten, unterstützt die Einhaltung gesetzlicher Vorschriften und deckt auch Malware auf, die möglicherweise unbemerkt in Ihren SharePoint- und OneDrive-Installationen lauert. Wenn Sie möchten, können Sie jetzt gleich einen kostenlosen Data Inspector-Scan in Ihrer Microsoft 365-Umgebung ausführen.

Was tun nach dem Datendiebstahl?

Nun gut, eine Lehre aus dieser erstaunlichen Sicherheitsverletzung ist, dass Menschen Fehler machen, und Sie müssen das akzeptieren und die Fehlersuche in Ihre Sicherheitspraxis einbauen.

Doch meiner Meinung nach lässt sich daraus noch eine weitere, umfassendere Lehre ziehen. Es ist also so, dass riesige Datenmengen bereits gestohlen wurden und Cyber-Kriminellen zur Verfügung stehen, die sie nach Belieben ausnutzen können. Schon vor dem NPD-Verstoß gab es zahlreiche Datendiebstähle, bei denen Hunderte von Millionen von Datensätzen veröffentlicht wurden.

Und es geht nicht nur um Namen, Telefonnummern und Sozialversicherungsnummern. Es handelt sich auch um Benutzernamen und Passwörter. Die Wahrheit ist, wenn Sie wirklich etwas schützen und kontrollieren wollen, wer darauf zugreifen kann, müssen Sie davon ausgehen, dass Passwörter nicht ausreichen – wenn sie nicht bereits gestohlen wurden, werden sie es bald sein. Auch die Multi-Faktor-Authentifizierung kann für moderne Angriffe sehr anfällig sein. 

Stattdessen ist ein Zero-Trust-Zugang der Goldstandard für Zugriffskontrolle in der Zeit nach einem Datendiebstahl. Viele Ihrer Fachkollegen übernehmen gerade das Zero-Trust-Modell, und wenn Sie sich noch nicht damit befasst haben, sollten Sie es tun. 

Die Grundidee von Zero Trust besteht darin, dass viele verschiedene Parameter ständig überwacht werden, um die Identität aller Personen sicherzustellen, die auf digitale Ressourcen zugreifen. Jede Anomalie wird markiert. Wenn ich mich also mit meinen Anmeldedaten in mein Arbeitsnetzwerk einlogge, aber mit einem unbekannten Gerät, von einem unerwarteten Ort aus oder zu einer unpassenden Zeit, wird dies aufgezeichnet und kann als Hinweis darauf gewertet werden, dass etwas nicht stimmt. 

Zero Trust Access ist in eine wachsende Zahl von Barracuda-Lösungen integriert und ein grundlegendes Element unseres neuen SASE-Plattformangebots, SecureEdge.