Durchsetzung der DSGVO - Eine neue Ära der Rechenschaftspflicht und Geldbußen
Im September 2018 gab British Airways bekannt, dass eine Datenpanne auf ihrer Website und App aufgetreten war. Ursprünglich wurde geschätzt, dass die Daten von rund 380.000 Kartenzahlungen betroffen waren. Jüngste Schätzungen deuten jedoch darauf hin, dass rund 500 000 Nutzer von der Sicherheitsverletzung betroffen waren. Der Angriff wurde von Hackern mit Hilfe eines Skimming-Angriffs durchgeführt, bei dem der Datenverkehr auf eine betrügerische Website umgeleitet wurde, um die Nutzer zur Preisgabe ihrer Daten zu verleiten, während sie über die British Airways-Website oder -App einkauften. Die gestohlenen Daten beschränkten sich jedoch nicht nur auf Kreditkartentransaktionen, sondern umfassten auch Details wie Namen, Straßen- und E-Mail-Adressen, Telefonnummern und mehr.
Warum drohen British Airways dafür Geldstrafen von bis zu 229 Millionen Dollar?
Im Juli 2019 kündigte die britische Datenschutzbehörde ICO (Information Commissioner's Office) an, dass sie British Airways mit einer Geldstrafe in Höhe von 183 Millionen Pfund(ca. 229 Millionen Dollar) belegen wird.
Der Grund, warum British Airways mit so hohen Geldbußen bestraft wird, ist, dass das Unternehmen gegen die Allgemeine Datenschutzverordnung der Europäischen Union (EU) verstoßen hat. Dies ist bei weitem die höchste Geldstrafe, die bisher gegen ein Unternehmen im Rahmen der Datenschutz-Grundverordnung verhängt wurde.
GDPR - Definition und Durchsetzung des Datenschutzes
Die DSGVO gilt als die wichtigste und größte Änderung der Datenschutzbestimmungen in den letzten zwei Jahrzehnten. Die Verordnung wurde im Mai 2018 mit dem Ziel erlassen, EU-Bürgerinnen und -Bürger und ihre privaten Daten im Falle einer Datenschutzverletzung zu schützen.
Einer der wichtigsten Punkte der Datenschutz-Grundverordnung ist die Verhängung hoher Geldstrafen gegen Unternehmen, die aufgrund der Nichteinhaltung der Vorschriften Datenschutzverletzungen begehen. Dadurch werden Datenschutzverletzungen, die leider immer häufiger vorkommen, für die betroffenen Unternehmen zu mehr als nur einer peinlichen Sicherheitslücke. Es zwingt die Unternehmen dazu, ihre Sicherheitsmaßnahmen zu überdenken und neu zu gestalten. Organisationen, die die Vorschriften nicht einhalten, müssen mit saftigen Strafen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist. Lesen Sie mehr über GDPR in unserem Blog.
Datenschutzverletzungen sind weit verbreitet
Datenschutzverletzungen sind in der heutigen datenzentrierten Welt sehr häufig. Nach Angaben des Privacy Rights Clearinghouse wurden seit 2005 weltweit über 11,5 Milliarden Datensätze bei mehr als 9.000 Datenschutzverletzungen gestohlen. Dies sind jedoch nur die Datenverstöße, die an die Öffentlichkeit gelangt sind.
Laut Digital Guardian ist eine so große Menge an gestohlenen Daten auf die Tatsache zurückzuführen, "dass das weltweite Datenvolumen Jahr für Jahr exponentiell wächst, was Cyber-Kriminellen eine größere Chance gibt, riesige Datenmengen bei einem einzigen Einbruch preiszugeben."
Diese Statistiken werden noch besorgniserregender, wenn man sich die zahlreichen Möglichkeiten ansieht, mit denen Datenschutzverletzungen durchgeführt werden können. Einer der gängigsten und einfachsten Mechanismen für den Datendiebstahl ist die Verwendung gefälschter Websites, wie es bei British Airways der Fall war. Angreifer nutzen auch häufig Phishing- und Spear-Phishing-Angriffe, bei denen sie mit Hilfe von Social-Engineering-Taktiken versuchen, Nutzer zur Herausgabe ihrer Daten zu bewegen.
In letzter Zeit gab es einen enormen Anstieg von Ransomware- und anderen Malware-Angriffen, die als eine Art von Datenschutzverletzung angesehen werden können, da die Angreifer Lösegeld für die Daten der Nutzer verlangen. Die jüngste Welle von Ransomware-Angriffen in Maryland und Florida erinnert daran, dass Hacker immer auf der Suche nach Daten sind, die sie stehlen und nach Schwachstellen, die sie ausnutzen können.
Was ist mit Verschlüsselung?
Datenschutzverletzungen sind eine Realität, die nicht ignoriert werden kann, und die Einhaltung von Standards wie der DSGVO, die sicherstellen, dass Nutzerdaten vor Hackern geschützt bleiben, ist unerlässlich, um sie zu verhindern.
Mit der steigenden Zahl von Internetnutzern hat der Trend zur Verschlüsselung von Daten zugenommen, damit die Privatsphäre der Nutzer und der Daten geschützt werden kann. Dieser Trend hat dazu geführt, dass über 94 Prozent des Internets verschlüsselt sind.
Die zunehmende Verwendung von Verschlüsselung kann zwar als Triumph für den Datenschutz gefeiert werden, führt aber auch zu einem "blinden Fleck" in der Sicherheit, den herkömmliche Netzverteidigungssysteme nicht durchdringen können. Hacker und andere böswillige Akteure haben zunehmend begonnen, diesen blinden Fleck auszunutzen und ihn für die Verbreitung ihrer Malware und anderer böswilliger Inhalte sowie für das Ausschleusen von Daten aus dem Netz zu nutzen. Es ist auch wichtig zu wissen, dass Datenschutzverletzungen auch von einem böswilligen oder unzufriedenen Insider "von innen" initiiert werden können. Wenn Sie mehr darüber erfahren möchten, wie Verschlüsselung für böswillige Aktivitäten und Datendiebstahl genutzt werden kann, lesen Sie unseren Blog.
Vermeidung von Datenverstößen und hohen GDPR-Strafen
Um sich vor Datenschutzverletzungen und den damit verbundenen hohen Geldstrafen zu schützen, müssen Sie in spezielle Sicherheitslösungen investieren.
Da die Art und Weise, wie Cyberangriffe ausgeführt werden, sehr unterschiedlich sein kann, benötigen Sie ein vielfältiges, lösungsübergreifendes Sicherheitssystem, das vor allen Arten und Phasen eines Angriffs schützen kann. Diese Lösungen können Firewalls der nächsten Generation (NGFW), Intrusion Detection (IDS)- und Prevention (IPS)-Systeme, Sandboxing und Malware-Schutz sowie Advanced Threat Protection (ATP)-Lösungen umfassen, um Hacker daran zu hindern, Ihr Netzwerk zu infiltrieren. Lösungen zur Verhinderung von Datenverlusten (DLP) sind ebenfalls eine Notwendigkeit geworden, um Angreifer und Insider daran zu hindern, Daten aus dem Netzwerk zu schmuggeln. Ebenso wichtig sind Geräte zur Daten- und Netzwerkforensik, die einen Einblick in die Netzwerkaktivitäten ermöglichen.
Keines dieser Geräte wird jedoch funktionieren, wenn sie keinen Zugang zum Netzwerkverkehr in entschlüsselter Form, d. h. im Klartext, haben. Die Entschlüsselung des Datenverkehrs auf diesen Geräten selbst ist eine Möglichkeit, aber wie wir hier im Detail erörtern, ist dies möglicherweise nicht die effektivste Art der Datenverkehrsprüfung und kann daher zu anderen Problemen wie teuren Upgrades, Leistungseinbußen und Engpässen, schlechter Benutzererfahrung und Netzausfällen führen.
Unternehmen müssen in eine dedizierte SSL-Entschlüsselungslösung investieren, die ihnen nicht nur die beste Leistung bietet, sondern auch sicherstellt, dass alle Arten von Sicherheitsgeräten im Sicherheitsstapel Zugriff auf den entschlüsselten Datenverkehr zur Überprüfung haben. Wird der verschlüsselte Datenverkehr nicht überprüft, kann dies dazu führen, dass verschlüsselte Angriffe unentdeckt bleiben, was zu Datenverlusten führt, die Ihr Unternehmen für GDPR-Strafen anfällig machen. Und wie wir im Fall von British Airways gesehen haben, werden diese Bußgelder im Laufe der Zeit immer höher.