DE
DE EN FR
Startseite | Die Gefahren von PII-Lecks: 7 wichtige Einblicke

Die Gefahren von PII-Lecks: 7 wichtige Erkenntnisse

Orlaith Traynor

7 min lesen - 2. April 2024
pii leak_cybelangel_which of the following is responsible for most of the recent pii data breaches

Persönlich identifizierbare Informationen (Personally Identifiable Information, PII) oder personenbezogene Daten sind zu einem wichtigen Thema für jeden geworden - unabhängig davon, ob es sich um eine Einzelperson oder eine Organisation handelt. Und da täglich mehr personenbezogene Daten generiert und gespeichert werden, steigt das Risiko, dass sensible Informationen preisgegeben werden, weiter an.

Die Menschen neigen jedoch dazu, die Gefahren der Datensicherheit zu unterschätzen. Sie denken vielleicht, dass niemand sie ins Visier nehmen würde oder dass Identitätsdiebstahl ein seltenes Ereignis ist. Die Realität ist jedoch, dass eine Beeinträchtigung der Informationssicherheit eine ganze Reihe rechtlicher, ethischer und wirtschaftlicher Konsequenzen nach sich ziehen kann.

In diesem Leitfaden wird erläutert, was personenbezogene Daten sind, und es werden einige Beispiele für reale Sicherheitsvorfälle mit personenbezogenen Daten aus der Vergangenheit vorgestellt. Außerdem lernen Sie die besten Cybersicherheitspraktiken für den Schutz von PII-Daten kennen.

1. Was ist PII? Wofür steht PII?

PII steht für "Personally Identifiable Information" (persönlich identifizierbare Informationen) und bezieht sich auf die persönlichen Daten von Personen.

Es handelt sich um Informationen, die zur Identifizierung, zur Kontaktaufnahme oder zum Auffinden einer Person verwendet werden können, entweder allein (z. B. Name oder Sozialversicherungsnummer) oder in Kombination mit anderen Daten (z. B. Unternehmen und Position).

Einige Beispiele für PII könnten sein...

  • Identität (Name, Geburtsdatum, Unterschrift, Geschlecht, Ethnie, familiäre Situation)
  • Kontaktinformationen (Anschrift, Telefonnummer, E-Mail-Adresse)
  • Fachliche Informationen (Stelle, Unternehmen, Position, Datum der Einstellung, HR-Beurteilung, Gehalt)
  • Administrative Dokumente (Personalausweis, Reisepassnummer, Führerschein, Sozialversicherungsnummer)
  • Gesundheitswesen (biometrische Daten, medizinische Unterlagen)
  • IT-bezogen (Passwort(e), Cookies, Protokolle)

Was ist ein PII-Leck?

Ein PII-Leck liegt vor, wenn sensible Informationen ohne das Wissen oder die Zustimmung einer Person weitergegeben werden. Dies kann durch Hackerangriffe, Insider-Bedrohungen, Datenschutzverletzungen oder versehentliche Offenlegung - z. B. durch einen falsch konfigurierten Server - geschehen.

Wer kann auf personenbezogene Daten zugreifen?

Viele Informationen über personenbezogene Daten sind bereits öffentlich zugänglich. Wenn Sie z. B. LinkedIn besuchen, können Sie bereits den vollständigen Namen und die Unternehmensdaten einer Person erfahren. Und eine Telefonnummer lässt sich leicht über ein elektronisches Telefonbuch herausfinden.

Natürlich werden in öffentlichen Quellen keine sensibleren Informationen wie Reisepassnummern und Kreditkartennummern aufgeführt. Aber wenn weitere Informationen gesammelt werden, wird das Profil der Person für Hacker immer wertvoller.

Hier ist der Grund dafür.

2. Warum sind personenbezogene Daten für Cyberkriminelle attraktiv?

Personenbezogene Daten sind für Cyberkriminelle wertvoll, da sie dazu verwendet werden können, ein Profil einer Person zu erstellen, um sie auszunutzen.

Wenn Sie den Namen, die Position, den Reisepass und die Kreditkartennummer einer Person kennen, haben Sie alles, was Sie brauchen, um sich als diese Person auszugeben und ihr Vermögen auszunutzen.

Dies geschieht in der Regel zur finanziellen Bereicherung und um andere Personen ins Visier zu nehmen. Cyberkriminelle könnten PII zum Beispiel für Folgendes verwenden:

  1. Identitätsdiebstahl: Um sich Zugang zu den Finanzen einer anderen Person zu verschaffen, um einen betrügerischen Kauf zu tätigen, eine Kreditkarte oder ein Darlehen zu beantragen oder andere Arten von Betrug zu begehen.
  2. Social Engineering: Mit den richtigen persönlichen Daten können Cyberkriminelle überzeugende E-Mails, Nachrichten und Telefonanrufe verfassen, um Menschen dazu zu bringen, mehr personenbezogene Daten preiszugeben.
  3. Finanzieller Gewinn: Persönliche Daten können im Dark Web an andere Cyberkriminelle verkauft werden. Je vollständiger das Profil ist, desto höher ist der Preis, für den es verkauft werden kann.
  4. Übernahme des Kontos: Cyberkriminelle können personenbezogene Daten nutzen, um Online-Konten zu übernehmen, z. B. E-Mail, soziale Medien und Bankkonten. Von hier aus können sie Betrug begehen und auch andere Personen ins Visier nehmen.
  5. Erpressung: Sensible Informationen können als Anreiz für die Opfer dienen, ein Lösegeld zu zahlen, insbesondere wenn diese Daten in irgendeiner Weise peinlich oder kompromittierend sind.

Und mit der zunehmenden Digitalisierung der Welt ist das Potenzial für den Verlust personenbezogener Daten, den Diebstahl von Finanzinformationen und Cyberkriminalität größer denn je.

Sehen wir uns einige Beispiele dafür an, wie dies geschehen kann.

3. Wie stehlen Cyberkriminelle personenbezogene Daten?

Es gibt eine Vielzahl von Möglichkeiten, wie Cyberkriminelle unbefugten Zugriff auf personenbezogene Daten erlangen können, darunter:

  1. Über falsch konfigurierte Server: Wenn Unternehmen ungesicherte Datenbankanbieter verwenden, wie z. B. ElasticSearchdann ist es für Cyber-Kriminelle ein Leichtes, einen Weg hindurch zu finden. Sie können dann die Daten ausnutzen durch Ransomware, Nachahmung, Wirtschaftsspionage, Phishing oder einfach durch Weiterverkauf.
  2. Durch Social Engineering: Wenn Cyberkriminelle mit authentisch aussehenden E-Mails oder Anrufen Vertrauen gewinnen, können sie die Schwachstellen der Menschen ausnutzen, um an weitere personenbezogene Daten zu gelangen.
  3. Bei ungesicherten angeschlossenen Speichergeräten: Dazu gehören Dateiserver, NAS oder andere Synchronisierungsprotokolle, die detaillierte organisatorische Datensätze offenlegen. Dies ist oft das Ergebnis von Nachlässigkeit, Fehlkonfiguration, Standardeinstellungen oder automatischen Schattensicherungen.

So entdeckte CybelAngel im Jahr 2020 vertrauliche Dokumente, die durch offen angeschlossene Speichergeräte offengelegt wurden. Die Dokumente enthielten die Personalbeurteilungen von Hunderten von Mitarbeitern sowie interne Berichte über 16.000 Arbeitsunfälle in einem Industrieunternehmen.

4. Welcher der folgenden Fälle ist ein Beispiel für den Verlust von personenbezogenen Daten?

Jede Information, die zu einer Person zurückführen kann, muss geschützt werden - auch wenn sie unbedeutend erscheint.

Hier sind 8 kurze Fallstudien von kompromittierten Zugangsdatenlecks, die dies beweisen:

  • Yahoo: Über 3 Milliarden Yahoo-Nutzerkonten wurden von einem russischen Hackerteam ausspioniert und halten damit den Rekord für die meisten Menschen, die jemals von einer Cyberattacke betroffen waren.
  • LinkedIn: Im Jahr 2021 gaben Hacker die Nutzerprofile von 700 Millionen Menschen preis, was einem Großteil der Gesamtnutzerschaft von LinkedIn entspricht
  • Cathay Pacific: Im Jahr 2018 erlitt die Fluggesellschaft eine massive Datenschutzverletzung, bei der die persönlichen Daten von 94 Millionen Reisenden offengelegt wurden
  • Equifax: Im Jahr 2017 erlitt Equifax eine Datenschutzverletzung, die die persönlichen Daten von 147 Millionen Menschen gefährdete, und musste rund $425 Millionen zahlen, um den Betroffenen zu helfen
  • Microsoft: Aufgrund einer Fehlkonfiguration wurden die Datenbanken von 47 Unternehmen öffentlich zugänglich und enthielten im Jahr 2021 mindestens 38 Millionen Datensätze
  • Real Estate Wealth Network: Bei einem der größten Lecks in der Geschichte der USA wurden auf dieser Bildungsplattform aufgrund eines fehlenden Passwortschutzes 1,5 Milliarden Datensätze veröffentlicht.
  • First American Financial Corp: Im Jahr 2019 wurden 885 Millionen Datensätze veröffentlicht - nicht durch Hacker, sondern durch eine schlecht gestaltete Website und unzureichende Datenschutzmaßnahmen
  • Facebook: Im Jahr 2021 kam es bei Facebook zu einer großen Datenpanne, bei der die Namen, Telefonnummern und Passwörter von mehr als 530 Millionen Menschen weitergegeben wurden.

Aus diesen Berichten geht hervor, dass nicht alle Verstöße gegen den Schutz personenbezogener Daten zwangsläufig von Cyberkriminellen verübt werden. Manchmal sind sie einfach die Folge von menschlichem Versagen oder schlecht konfigurierten Systemen.

Unabhängig von der Ursache zeigen diese Beispiele jedoch, dass selbst die größten Marken nicht vor Verletzungen von personenbezogenen Daten gefeit sind - was bedeutet, dass die Sicherheit von personenbezogenen Daten für jeden eine Priorität sein sollte.

5. Was ist der Unterschied zwischen einer typischen und einer untypischen Verletzung des Schutzes personenbezogener Daten?

Bei der Cyberkriminalität gibt es zwei Haupttypen von Verstößen gegen personenbezogene Daten.

  • A typische PII-Datenverletzung wenn gängige Arten personenbezogener Daten (wie Finanzdaten) für herkömmliche Zwecke der Cyberkriminalität gestohlen werden, z. B. für Identitätsdiebstahl
  • A nicht-typische Verletzung von PII-Daten wenn weniger konventionelle Datentypen (wie biometrische oder Verhaltensdaten) aus den unterschiedlichsten Motiven gestohlen werden, z. B. zu Sabotagezwecken oder für politische Manöver

Unabhängig von der Art der Verletzung des Schutzes personenbezogener Daten oder den Motiven, die dahinter stehen, stellen sie immer ein ernsthaftes Sicherheitsrisiko für Unternehmen und Einzelpersonen gleichermaßen dar.

6. Wie meldet man ein PII-Leck?

Niemand möchte, dass ein PII-Leck entsteht.

Wenn dies jedoch der Fall ist, sind die Unternehmen gesetzlich dazu verpflichtet einen Bericht über eine Datenschutzverletzung erstellen innerhalb von 72 Stunden in Übereinstimmung mit den Richtlinien der Datenschutzgrundverordnung (GDPR).

Für Organisationen mit Sitz in den USA bietet die Federal Trade Commission (FTC) Leitlinien für Reaktionen auf Datenschutzverletzungenund empfiehlt Folgendes:

  • Sichern Sie Ihre Infrastruktur: Sichern Sie Ihre physischen und digitalen Vorgänge, prüfen Sie, ob Informationen unrechtmäßig ins Internet gestellt wurden, lassen Sie sich rechtlich beraten und vernichten Sie keine Beweise.
  • Beheben Sie alle Schwachstellen: Überprüfen Sie die Berechtigungen Dritter, überprüfen Sie Ihren Netzwerkserver, arbeiten Sie mit Experten für Cybersicherheit zusammen und legen Sie eine klare Kommunikationspolitik fest.
  • Benachrichtigen Sie die richtigen Personen: Prüfen Sie Ihre gesetzlichen Bestimmungen, informieren Sie die Strafverfolgungsbehörden über den Vorfall und - falls es sich um elektronische persönliche Gesundheitsdaten handelt - sollten Sie auch die FTC informieren.

Und was passiert, wenn Sie ein Datenschutzleck nicht melden?

Wenn Sie ein Datenschutzleck oder eine Datenschutzverletzung nicht melden, kann dies schwerwiegende Folgen haben, sowohl rechtlich als auch für Ihren Ruf.

  • Sie könnten behördliche Strafen zahlendie bis zu 20 Millionen Euro gemäß den GDPR-Richtlinien in Europa
  • Sie könnten mit Klagen rechnen von Personen, die von der Datenschutzverletzung betroffen sind
  • Ihr der Ruf wird geschädigtaufgrund des Vertrauensverlusts und der negativen Publicity, die mit Ihrer Marke verbunden ist

Darüber hinaus könnte Ihr Betrieb beeinträchtigt werden, wenn die Datenschutzverletzung nicht gemeldet wurde, da die Behebung des Problems mehr Zeit in Anspruch nehmen wird.

Darüber hinaus kann das Fehlen von Meldungen die Auswirkungen auf Personen, deren personenbezogene Daten kompromittiert wurden, noch verschlimmern, da sie keine Benachrichtigung erhalten haben, um beispielsweise ihre Passwörter zu ändern, ihre Finanzdaten zu überprüfen oder ihre Kreditkarten zu sperren.

Ein bekannter Fall ist Yahoo, das eine Geldstrafe in Höhe von $35 Millionen gezahlt im Jahr 2018, nachdem sich herausstellte, dass das Unternehmen fast zwei Jahre lang eine Datenschutzverletzung nicht gemeldet hatte (in Verbindung mit der Fallstudie, die wir zuvor besprochen haben).

7. Wie können Organisationen Datenlecks bei personenbezogenen Daten verhindern?

Es gibt 10 wichtige bewährte Verfahren, die jedes Unternehmen anwenden kann, um die Risiken für die Sicherheit von personenbezogenen Daten zu verringern.

  1. Verschlüsseln Sie Ihre Daten: Sensible personenbezogene Daten sollten immer verschlüsselt werden, sowohl bei der Übertragung als auch im Ruhezustand, wobei starke Algorithmen verwendet werden sollten, um die Daten zu schützen.
  2. Umsetzung der Zugangskontrolle: Verwenden Sie Maßnahmen wie rollenbasierte Zugriffskontrollen (RBAC) und Multi-Faktor-Authentifizierung (MFA), um das Risiko eines unbefugten Zugriffs auf sensible Daten zu verringern.
  3. Erfassen und speichern Sie nur die Daten, die Sie benötigen: "Datenminimierung" bedeutet, dass nur solche personenbezogenen Daten erfasst und aufbewahrt werden, die für Ihre Geschäftszwecke wirklich erforderlich sind, und dass alle anderen unnötigen Daten regelmäßig entfernt werden.
  4. Bleiben Sie anonym: Wenn Sie Daten zu Analyse- oder Testzwecken an Dritte weitergeben, können Sie alle personenbezogenen Daten anonymisieren oder ausblenden, um nicht mehr Informationen als nötig weiterzugeben.
  5. Schulen Sie Ihre Mitarbeiter: Cybersicherheitsmaßnahmen funktionieren nur, wenn das gesamte Team mitzieht. Klären Sie Ihr Team darüber auf, wie wichtig es ist, personenbezogene Daten zu schützen, und wie man potenzielle Cyberangriffe erkennt.
  6. Investieren Sie in eine Lösung zur Verhinderung von Datenverlusten (DLP): DLP-Software kann unbefugte Datenübertragungen, Downloads und Uploads erkennen und stoppen.
  7. Behalten Sie Ihr digitales Ökosystem im Auge: Halten Sie Ihre Software, Anwendungen und Systeme auf dem neuesten Stand und beheben Sie eventuelle Schwachstellen sofort.
  8. Einen Plan für die Reaktion auf Zwischenfälle haben: Schaffen Sie ein erprobtes System, um auf mögliche Verletzungen von personenbezogenen Daten sofort zu reagieren.
  9. Beziehen Sie auch Ihre Drittanbieter mit ein: Richten Sie Sicherheitsbewertungen, Überwachungen und vertragliche Vereinbarungen für alle Drittanbieter ein, die in Ihrem Auftrag Zugang zu personenbezogenen Daten haben könnten.
  10. Prüfen Sie Ihre Cybersicherheit regelmäßig: Führen Sie Audits und Bewertungen durch, um Schwachstellen in Ihrem System zu erkennen, bevor sie zu einem Problem werden.

Diese bewährten Praktiken werden Ihnen helfen, Ihre personenbezogenen Daten gegen Lecks oder Cyberangriffe zu schützen. Diese Tipps sind jedoch nur dann wirksam, wenn Ihr gesamtes Unternehmen an Bord ist. Cybersicherheitsmaßnahmen sollten ein selbstverständlicher Teil der täglichen Arbeitsabläufe und Prozesse sein.

Bonus: Wie können Einzelpersonen beraten werden, um Datenlecks bei personenbezogenen Daten zu verhindern?

Es ist immer am besten, wenn die Menschen proaktiv Maßnahmen ergreifen, um ihre persönlichen Daten zu schützen. Als Unternehmen können Sie Empfehlungen an Ihre Nutzer weitergeben, damit auch sie an Ihren Cybersicherheitsinitiativen teilhaben können.

Hier sind 4 schnelle und einfache Vorschläge, die Sie mit Ihren Kunden teilen können:

  • Verwenden Sie starke und eindeutige Passwörterund wechseln Sie sie regelmäßig
  • Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) wann immer möglich
  • Überwachen Sie Banking-Apps auf alle verdächtige Aktivität
  • Achten Sie auf Phishing oder Social Engineering Betrügereien

Einige Unternehmen erinnern ihre Kunden beispielsweise daran, ihre Passwörter nach einem bestimmten Zeitraum zu ändern, oder geben Informationen darüber weiter, wie man einen möglichen Betrug erkennt.

Schlussfolgerung

Persönliche Daten sind ein verwundbares Gut, das Cyberkriminelle ausnutzen können, oder sie können einfach durch menschliches Versagen oder falsch konfigurierte Systeme preisgegeben werden. Doch mit den richtigen Maßnahmen können sowohl Unternehmen als auch Privatpersonen ihre sensiblen Daten schützen.

Hier ist Ihre Checkliste für die Cybersicherheit von personenbezogenen Daten:

  • Melden Sie Datenschutzverletzungen immer innerhalb von 72 Stunden nach ihrem Auftretenund befolgen Sie die Empfehlungen der FTC, um die Probleme zu lösen.
  • Investieren Sie in Verschlüsselung, Zugangskontrolle und Mitarbeiterschulung, und andere Maßnahmen zum Schutz Ihrer Organisation vor PII-Bedrohungen

Und wenn Sie noch einen Schritt weiter gehen wollen, haben wir für Sie Eine kostenlose Checkliste zur Vermeidung von PII-Lecks- überprüfen Sie es.

CybelAngel dient dem Schutz der Daten von Unternehmen, einschließlich aller Arten von personenbezogenen Daten. Mit seinen umfassenden Überwachungsfunktionen können Sie in Echtzeit über jede Datenfreigabe informiert werden - ob online, im Dark Web oder in Ihren ungesicherten Datenbanken, bevor jemand anderes sie gesehen hat.

Um mehr zu erfahren, können Sie eine Demo anfordern und entdecken Sie, wie CybelAngel den Schutz Ihrer personenbezogenen Daten ergänzen kann.