Vor zehn Jahren verging kein Monat, in dem nicht über den Verlust oder Diebstahl eines USB-Speichersticks mit personenbezogenen Daten von Kunden berichtet wurde. Seitdem haben ein verbessertes Sicherheitsbewusstsein und eine verbesserte Technologie dazu geführt, dass solche Vorfälle seltener vorkommen. Jüngste Berichte über einen japanischen Auftragnehmer, der USB-Speichersticks mit sensiblen Daten von fast einer halben Million Menschen verloren hat, erinnern uns jedoch daran, dass die Risiken immer noch sehr real sind und möglicherweise häufiger vorkommen, als wir denken.
Im Juni beauftragte die Stadt Amagasaki im Westen Japans das Unternehmen BIPROGY mit der Analyse und Überwachung der COVID-19-Steuererleichterungen für ihre Bürger. Wie die NHK und andere Quellen ursprünglich berichteten, beschloss am 23. Juni ein Mitarbeiter dieses Unternehmens, der vor Ort in den Büros der Stadt arbeitete, unerlaubt Daten zu kopieren und im Büro des Unternehmens in Osaka weiter zu bearbeiten. Zu diesen Daten gehörten sehr sensible Informationen – Namen, Adressen, Geburtsdaten, Einzelheiten zu Wohnsitzsteuerzahlungen und die Bankkontonummern von Leistungsempfängern.
Der BIPROGY-Mitarbeiter kopierte die persönlichen Daten von 465.177 Einwohnern von Amagasaki auf zwei USB-Speichersticks und nahm sie mit. Anstatt jedoch noch am selben Abend direkt nach Osaka zu fahren, ging er mit Kollegen in eine lokale Bar in Amagasaki und ….. Der Rest ist nur noch eine verschwommene Erinnerung. Am nächsten Morgen wachte er ohne die Tasche auf, in der sich die beiden USB-Sticks befanden.
Der Vorfall wurde der Polizei von Amagasaki am nächsten Morgen gemeldet, und einen Tag später wurde die Tasche vor einem Wohnhaus gefunden. Aber erst, nachdem die Stadtverwaltung mit 30 000 wütenden Anrufen von Bürgern überschwemmt wurde.
Die Polizei teilte mit, dass offenbar kein falsches Spiel im Spiel war und auf die beiden Sticks nicht zugegriffen wurde. Es gab auch keine Berichte über Datenverluste. Eine eingehende Untersuchung ist jedoch noch im Gange.
Die Kosten von USB-Datenverlusten
Die schlechte Nachricht ist, dass der Fall Amagasaki einer von vielen Vorfällen dieser Art ist. So wurde beispielsweise im Oktober 2017 in London ein USB-Stick auf der Straße gefunden, der Karten, Videos und Dokumente enthielt, darunter auch Details zu den Maßnahmen zum Schutz der Queen. Die Quelle wurde zum Flughafen Heathrow zurückverfolgt. Weniger glücklicherweise als im Fall von Amagasaki waren diese Daten völlig unverschlüsselt, selbst die als vertraulich deklarierten Dokumente wurden nicht verschlüsselt. Heathrow wurde vom Information Commissioner’s Office wegen dieses Verstoßes zu einer Geldstrafe von 147 000 Dollar verurteilt.
Eine Spezialstudie zum Thema Datenverlust durch fehlende/gestohlene USB-Laufwerke wurde vor einigen Jahren vom Ponemon Institute durchgeführt. Diese Studie ergab, dass Unternehmen durch den Verlust von Speichersticks durchschnittlich 2,5 Millionen Dollar verlieren. Wenn man bedenkt, dass diese Zahl bereits ein Jahrzehnt alt ist, also lange vor dem Risiko gesetzlicher Bußgelder (DSGVO, CCPA usw.), kann man davon ausgehen, dass der Verlust von USB-Sticks und die unbefugte Übertragung sensibler Daten über andere Kanäle die Unternehmen heute weltweit Millionen kostet. Zumal laut einem Bericht von Netwrix aus dem Jahr 2018 mehr als die Hälfte der Datenverluste nicht auf Black-Hat-Hackerangriffe zurückzuführen sind, sondern auf Fehler, die von normalen Mitarbeitern gemacht werden.
Mehr als nur USB-Sticks, und mehr als nur Datenverluste
Die ungeschützte Verwendung von USB-Sticks ist nicht nur ein Grund für Datenverluste, sondern auch für größere Black-Hat-Hacker-Angriffe. So wurde beispielsweise einer der größten Sicherheitsverstöße in der Geschichte des US-Militärs im Jahr 2008 durch ein infiziertes USB-Laufwerk verursacht. Ein starker DLP-Schutz für USB-Laufwerke, der die Datenübertragung sowohl vom lokalen System als auch zum lokalen System verhindert, ist heutzutage sogar noch wichtiger, da Cyberkriminelle häufig USB-Drop-Attacken durchführen, bei denen sie USB-Laufwerke an Unternehmen senden, die beim Anschluss an ein ungeschütztes System Ransomware installieren.
Die Bedeutung einer Lösung zum Schutz vor Datenverlust
Die gute Nachricht in diesem Fall war, dass die auf die USB-Sticks kopierten Dateien verschlüsselt und passwortgeschützt waren. Der ganze Vorfall hätte jedoch mit einer angemessenen Lösung zum Schutz vor Datenverlusten vermieden werden können.
Stellen Sie sich vor, dass der Mitarbeiter so versessen darauf war, PII-Daten zu kopieren, um sie an anderer Stelle zu bearbeiten, dass er alle anderen Optionen ausprobierte, einschließlich des Versendens der Daten per E-Mail oder als Upload auf eine persönliche Cloud-Speicher-App.
Endpoint Protector wäre in der Lage gewesen, nicht nur die Verwendung von USB-Speichergeräten zu kontrollieren (oder zumindest die Verschlüsselung aller Dateien, die auf einem Wechseldatenträger gespeichert werden, durchzusetzen), sondern auch Maßnahmen zu ergreifen, um die Exfiltration von PII einzuschränken, z. B. über E-Mail, Netzwerkfreigaben oder Cloud-Uploads.
Die wachsende Bedeutung von Daten und die ständig zunehmenden Aktivitäten von Cyberkriminellen machen DLP und Gerätekontrolle zu einer Notwendigkeit in der heutigen Welt – insbesondere, wenn Sie mit PII, PHI oder Zahlungskartendaten arbeiten. Der Fall eines Datenverlusts wird vielleicht nicht in den Medien breitgetreten, hat aber dennoch das Potenzial, Ihr Unternehmen ernsthaft zu schädigen – wenn nicht finanziell, dann doch in Bezug auf Ihren Ruf.
