So stehlen Spione und Diebe Ihr geistiges Eigentum
Um solide Defensivmaßnahmen aufstellen zu können, sollten Sie wissen, wie die Cyberspione und Datendiebe vorgehen, die es auf Ihr geistiges Eigentum abgesehen haben.
Öffentlich verfügbare Informationen: Laut dem Competitive- Intelligence-Experten Leonard Fuld, fügen laxe Security-Richtlinien Unternehmen in der Regel mehr Schaden zu als Datendiebe und Cyberspione. Hier einige Beispiele, wie Mitarbeiter unbeabsichtigt Unternehmens-Details verraten können, die - in der richtigen Kombination - dafür sorgen können, dass Wettbewerbsvorteile sich in Luft auflösen und die Konkurrenz wie durch Zauberhand Marktanteile gutmacht:
Sales-Mitarbeiter, die kommende Produkte auf Messen präsentieren
Technische Abteilungen, die ihre F&E-Standorte in Stellenausschreibungen detailliert beschreiben
Zulieferer oder Partner, die sich öffentlich mit Verkaufszahlen auf der eigenen Webseite brüsten
PR-Abteilungen, die Pressemitteilungen über die Einreichung von Patenten herausgeben
Unternehmen, die in streng regulierten Branchen tätig sind und bei ihren Reports (die teilweise veröffentlicht werden) versehentlich zuviel Informationen preisgeben
Mitarbeiter die Kommentare in Internetforen oder auf sozialen Kanälen posten
Telefonarbeit: John Nolan ist Gründer der Phoenix Consulting Group und hat einige tolle Geschichten darüber auf Lager, was Leute ihm regelmäßig am Telefon erzählen. Leute wie er sind der Grund dafür, dass auch scheinbar gut gemeinte Listen mit Namen, Titeln und Durchwahlen aller Mitarbeiter oder interne Newsletter, die Abgänge oder Beförderungen verkünden, unter Verschluss gehalten werden sollten. Denn je mehr Nolan über die Person, die er anruft, weiß, desto besser kann er aus ihr Informationen herauskitzeln. "Ich stelle mich erst einmal vor und sage dann zum Beispiel: ‚Ich arbeite gerade an einem Projekt und mir wurde gesagt, Sie sind der beste Ansprechpartner, wenn es um gelbe Marker geht. Haben Sie gerade ein paar Minuten?‘", beschreibt er seine Methoden. "Von 100 Leuten sind 50 bereit mit uns zu sprechen, nur auf Grundlage der eben genannten Informationen."
Die anderen 50 fragen zunächst, was die Phoenix Consulting Group eigentlich ist, beziehungsweise tut. Darauf bekommen sie von Nolan zur Antwort, dass es sich um ein Research-Unternehmen handelt, dass im Kundenauftrag handelt. Den Namen des Kunden könne er jedoch aus rechtlichen Gründen nicht nennen (was auch der Wahrheit entspricht). Daraufhin legen im Schnitt 15 Leute auf - die anderen 35 lassen sich auf ein Gespräch ein. Keine schlechte Quote. Beim Gespräch macht sich Nolan dann Notizen, die in zweierlei Datenbanken abgelegt wird: Eine für seinen Kunden und eine für sich selbst. In letztgenannter Datenbank befinden sich die Informationen von circa 120.000 Quellen - inklusive Daten über deren Qualifikation, Freundlichkeit und persönlicher Informationen.
Cyberspione und Datendiebe nutzen ganz ähnliche Taktiken und versuchen Informationen zu erlangen, indem sie diese indirekt erfragen oder sich mit fremden Identitäten schmücken. Diese Vorgehensweise bezeichnet man auch als Social Engineering. Solche digitalen Betrugsmaschen beginnen ebenfalls meist mit einem - auf den ersten Blick - harmlosen Anruf eines Studenten, der gerade an seiner Bachelor-Arbeit schreibt oder einer vermeintlichen E-Mail des Kollegen der gerade ganz dringend ein Dokument braucht. Auch im Namen der Assistenz der Geschäftsleitung verschicken kriminelle Hacker gerne E-Mails und erschleichen sich so beispielsweise Kontakt- und Adresslisten oder gleich millionenschwere Geldbeträge, die für vermeintliche Großaufträge dringend überwiesen werden müssen.
- Augen auf im Web
Social Engineering stellt auch IT-Profis vor Herausforderungen. Die Methoden der Angreifer sind hinlänglich bekannt - um sich zu schützen gilt aber vor allem: Augen offen halten. Wir sagen Ihnen, welche Anzeichen dafür sprechen, dass Sie bereits von Social Engineering betroffen sind. - .ru ist doch sicher, oder?
Eventuell. Allerdings impliziert eine URL die mit .ru endet, bereits eine gewisse Fragwürdigkeit. Deshalb sollten Sie eingehende Links, die nicht auf den ersten Blick als unbedenklich verifizierbar sind, in jedem Fall überprüfen. Dazu empfehlen sich zahlreiche, kostenlose Online-Tools - zum Beispiel URLVoid. Misstrauisch sollten Sie auch bei Shortlinks sein, hinter denen sich eventuell schädliche Webseiten verstecken könnten. - Wenn Ortographie zum Albtraum wird
Zeichnet sich eine E-Mail bereits im Betreff durch hanebüchene Rechtschreib-Verbrechen aus, sollten die Social-Engineering-Alarmglocken schrillen. - Eine vertrauenswürdige Quelle
Erhalten Sie Nachrichten oder E-Mails von einer auf den ersten Blick vertrauenwürdigen Quelle - zum Beispiel von Kollegen mit einer firmeninternen Adresse -, dann schauen Sie lieber noch einmal ganz genau hin. Um auf Nummer sicher zu gehen, verzichten Sie auf den Antwort-Button und antworten Sie dem Absender einfach mit einer neuen E-Mail. - Quellensuche Teil 2
Ein weiterer Hinweis auf Social-Engineering-"Befall": Ihr Name taucht weder in der Empfänger-Zeile noch im CC-Verzeichnis auf. Auch wenn viele - oder alle - Kollegen im Empfänger-Verzeichnis stehen, sollten Sie ganz genau hinsehen. - Persönliche Daten ...
... per E-Mail anzufragen, ist eine Masche von Cyberkriminellen und Hackern. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, Ihre Bankverbindung, Kreditkarten- oder Adressdaten mitzuteilen. Wer auf eine solche Nachricht antwortet, kann sich darauf einstellen, zum nächsten Social-Engineering-Opfer zu werden. - Passwortwechsel leicht gemacht
Einige Hacker sind dazu übergegangen, E-Mails mit gefälschten Password-Request-Links zu versenden. Diese Mails zeichnen sich in erster Linie dadurch aus, dass sie auf den ersten Blick täuschend echt aussehen. Wenn Sie zu einem Passwort-Wechsel per Link aufgefordert werden und sich nicht sicher sind, ob es sich um eine Fälschung handelt, besuchen Sie einfach die Seite des betreffenden Portals, loggen sich ein und ändern das Passwort direkt in Ihrem Account. - Das große Geld
Sie wurden zufällig ausgewählt, einen Millionengewinn zu erhalten und alles was zum monetären Glück noch fehlt, ist ein Klick auf den Link in der E-Mail? Dann ist die Wahrscheinlichkeit, dass Sie gerade im Visier von Social-Engineering-Profis sind, extrem hoch. Auch Aufforderungen zu Geldspenden, "Hilferufe" vermeintlicher Bekannter und ähnliche Sachverhalte die Ihnen per E-Mail zugetragen werden, sind in aller Regel das Werk von Cyberkriminellen.
Dabei sind viele dieser Anrufe noch nicht einmal illegal. Denn während es in bestimmten Fällen illegal sein kann, eine fremde Identität anzunehmen, ist es in der Regel nicht strafbar, unehrlich zu sein.
Öffentlichkeitsarbeit: Im Zuge des Technologie-Booms wurde ein bestimmter US-Linienflug, der jeden Morgen von Austin, Texas nach San Jose, Kalifornien ging, als "The Nerd Bird" bekannt. Schließlich karrte der Flieger regelmäßig IT-Geschäftsleute von einem US-High-Tech-Zentrum zum anderen. Nebenbei wurden Flüge wie dieser für Spione und Diebe zur willkommenen Gelegenheit, Informationen abzugreifen. Die Möglichkeiten sind vielfältig: Mitgehörte Unterhaltungen, ein verstohlener Blick auf die Powerpoint-Präsentation oder die Excel-Tabelle des Sitznachbarn.
Jeder öffentliche Platz, an dem sich Ihre Mitarbeiter auf einer Dienstreise aufhalten können, ist auch den Cyberkriminellen zugänglich: Flughäfen, Cafes und Restaurants, Bars und insbesondere Messen und Events. Dabei kommen auch andere Szenarien in Betracht: Mitarbeiter von Konkurrenten könnten sich zu solchen Gelegenheiten als potenzielle Kunden ausgeben, um an wertvolle Informationen zu kommen. Ihre Mitarbeiter sollten sich deshalb immer darüber bewusst sein, welche Informationen sie - insbesondere bei öffentlichen Auftritten - herausgeben können und welche nicht. Dazu sollten Sie unbedingt die Zusammenarbeit mit dem Marketing Team fördern.
Eine weitere potenzielle Schwachstelle: Bewerbungsgespräche. Besonders verzweifelte Wettbewerber könnten das Risiko eingehen und eigene Mitarbeiter als Bewerber einschleusen oder externe Auftraggeber anheuern, um das zu tun. Möglich ist auch, dass Konkurrenz-Unternehmen Ihre Mitarbeiter zum Job Interview einladen - alleine mit dem Hintergedanken, interne Informationen zu "erbeuten".
Vollendung: Einige Aspekte zum Schutz von geistigem Eigentum sind relativ einfach zu bewerkstelligen. In Deutschland wird Wirtschaftsspionage auf Bundesebene vom Verfassungsschutz (VS) verfolgt, auf Landesebene sind die jeweiligen VS-Landesämter zuständig. Auch das Bundesamt für Sicherheit in der Informationstechnik beschäftigt ein Spionageabwehrteam. Zusätzlich können Geheimhaltungsverträge das Schutzniveau Ihrer Intellectual Properties erhöhen. So richtig kompliziert wird es aber erst, wenn es darum geht Ihren Mitarbeiter zu verdeutlichen, wie vermeintlich nutzlose Informationen miteinander kombiniert werden können, um ein nützliches Informations-Portfolio zu erstellen. Und wie eine simple Telefonliste in den Händen von Leuten wie John Nolan zur Waffe werden kann.
Folgende Situation: Nolan hatte einmal einen Kunden, der ihn damit beauftragt hatte, Informationen darüber zu beschaffen, ob ein bestimmter Konkurrent an einer bestimmten Technologie arbeitet. Bei seinen Recherchen fand Nolan heraus, dass neun oder zehn Menschen, zu diesem Spezialgebiet regelmäßig publiziert hatten, seit sie zusammen studiert hatten. Plötzlich hatten allesamt damit aufgehört. Einige Recherchen später wusste Nolan, dass sie alle in eine bestimmte Gegend gezogen waren und für dasselbe Unternehmen tätig sind.
Zwar wurde so kein Geschäftsgeheimnis oder strategisch wichtige Informationen offengelegt, aber Nolan konnte die Puzzleteile einfach zusammensetzen. Er telefonierte mit den betreffenden Personen, besuchte Konferenzen, auf denen sie sprachen und fragte sie nach den Events ganz gezielt danach, warum sie nicht länger über dieses eine Spezialgebiet schrieben und sprachen. Letztendlich konnte Nolan - und sein Auftraggeber - aus den gewonnenen Informationen ziemlich gut extrahieren, wann der Konkurrent mit seiner Technologie auf den Markt kommen würde. Nach Nolans Aussage habe das seinem Kunden gut zwei Jahre Vorsprung gegenüber den Plänen der Konkurrenz verschafft.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Grauzonen: Andere Länder, andere Sitten. In manchen Gegenden der Welt sind Abhör-Equipment, Bestechungen, Diebstahl und Erpressung an der Tagesordnung. Bill Boni, Security-VP bei T-Mobile USA, hat bei einem Finanzinstitut in Südamerika Dinge erlebt, die in unseren Breitengraden unvorstellbar wären. Nachdem die Entscheider der Bank den Verdacht hatten, dass sie bespitzelt werden, engagierten sie kurzerhand Security-Berater, die die Geschäftsräume von Wanzen befreien sollten. Als das Datenleck so nicht geschlossen werden konnte, wurde ein neues Team beauftragt. "Dabei wurden 27 verschiedene Abhörgeräte entdeckt", so Boni. "Die gesamte Vorstandsebene wurde abgehört und heimlich gefilmt. Das erste Team, dass die Wanzen finden sollte, hat diese wahrscheinlich erst installiert."
Manchmal wird Industriespionage auch von Regierungen oder Regierungsinstitutionen gefördert oder gar in Auftrag gegeben. Dahinter kann beispielsweise die Motivation stecken, lokalen Unternehmen gegenüber der Konkurrenz aus anderen Ländern einen Vorteil verschaffen zu wollen. Deswegen gibt es auch kein einheitliches Set von Guidelines zum Schutz von Intellectual Property, das überall auf der Welt funktioniert. Es ist der Job des CSOs, die Risiken für die Länder, in denen sein Unternehmen Geschäfte macht, abzuschätzen und entsprechend zu handeln. Dazu gehören auch die immer gleichen Prozesse wie der Hinweis auf ausreichend geschützte Endgeräte. Dabei ist es wichtig zu wissen, dass einige Länder weitergehende Vorsichtsmaßnahmen erfordern, als andere. Vorstände, die nach Pakistan reisen, sollten beispielsweise ein Pseudonym für Buchungen nutzen, ihr Hotelzimmer auf Wanzen untersuchen lassen oder sogar eigene Security-Leute zum Schutz wichtiger Dokumente oder Informationen anheuern.
Internet of Things: Eine der verwundbarsten Umgebungen überhaupt stellt die Healthcare-Industrie dar. In vielen Krankenhäusern können an einem einzelnen Bett inzwischen durchschnittlich bis zu 15 Internet of Things (IoT)-fähige, medizinische Geräte hängen - wovon etwa die Hälfte über das Internet kommuniziert. Und kriminelle Hacker haben längst begriffen, dass geschützte Patienteninformationen sehr viel wertvoller sind, als "gewöhnliche", persönliche Daten.
Diese IoT-Geräte schaffen ein neues Einfallstor für Hacker im Netzwerk der Kliniken. Sollten Cyberkriminelle sich Zugriff auf medizinische Geräte verschaffen, die lebenswichtige Funktionen überwachen, könnte das Leben von Patienten auf dem Spiel stehen.
Die meisten Experten sind sich inzwischen einig, dass die Hersteller der IoT-Devices diese viel zu schnell auf den Markt geworfen haben - ohne darüber nachzudenken, wie man diese gegen Angriffe von außen absichert. Nur einige der Probleme: Die Prozessoren in den Geräten sind in der Regel zu schwach für Intrusion-Detection-Systeme und nur wenige Geräte sind überhaupt updatefähig. Inzwischen arbeiten viele Hersteller auch an automatischen Update-Prozessen, da die meisten Verbraucher eben so wenig Wert auf Updates legen.
In der Praxis würden solche lebensbedrohlichen Hacks meist daran scheitern, dass die Angreifer (geografisch) nicht nah genug am Geschehen sind, um das schwächste Glied in der Kette - den Endpunkt - anzugreifen. Dennoch sollten Unternehmen und Institutionen alles daran setzen, eine ganzheitliche IT Sicherheitsstrategie zu entwickeln, um alle potenziellen Angriffspunkte abzusichern.
Netzwerk-Nomadentum: R.P. Eddy, CEO beim Beratungsunternehmen Ergo, empfiehlt seinen Kunden grundsätzlich, eine Auditierung ihres geistigen Eigentums vornehmen zu lassen: "Nur so können Sie sehen, wie gut geschützt Ihr geistiges Eigentum wirklich ist. Wenn ein Leak die Daten nach China, Russland oder zu einem Konkurrenten hat fließen lassen, kann das erhebliche Auswirkungen haben - etwa bei Übernahmen und Fusionen." Bis zum Deal zwischen Verizon und Yahoo nahm kaum ein Kunde dieses Angebot in Anspruch. Nachdem die Kompromittierung von 500 Millionen User Accounts der Reputation von Yahoo nachhaltigen Schaden zugefügt hatte, musste der Übernahme-Preis "restrukturiert" werden. Die Angreifer hatten sich über Monate unbemerkt im Netzwerk von Yahoo ausgetobt.
- Die Top 15 Hacker-Angriffe auf Unternehmen
Unternehmen weltweit rücken seit Jahren in den Fokus von Hackern und Cyberkriminellen. Identitäts- und Datendiebstahl stehen bei den Anhängern der Computerkriminalität besonders hoch im Kurs - kein Wunder, dass Cyber-Risk-Versicherungen immer mehr in Mode kommen. Wir zeigen Ihnen 15 der größten Hacking-Attacken auf Unternehmen der letzten Jahre. - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Cicis
Auch die US-Pizzakette Cicis musste Mitte 2016 einen Hackerangriff eingestehen. Wie das Unternehmen mitteilte, wurden die Kassensysteme von 130 Filialen kompromittiert. Der Diebstahl von Kreditkartendaten ist sehr wahrscheinlich. Wie im Fall von Wendy's und Target gelang es Hackern auch bei Cicis Malware in das Point-of-Sale-Kassensystem einzuschleusen. Erste Angriffe traten bereits im Jahr 2015 auf, im März 2016 verstärkten sich die Einzelattacken zu einer groß angelegten Offensive. Nach eigenen Angaben hat Cicis die Malware inzwischen beseitigt. - Wendy's
Anfang Juli 2016 wurde ein Hacker-Angriff auf die US-Fastfood-Kette Wendy’s bekannt. Auf den Kassensystemen wurde Malware gefunden – zunächst war von weniger als 300 betroffenen Filialen die Rede. Wie sich dann herausstellte, waren die Malware-Attacken schon seit Herbst 2015 im Gange. Zudem ließ die Burger-Kette verlauten, dass wohl doch bis zu 1000 Filialen betroffen seien. Die Kreditkarten-Daten der Kunden wurden bei den Malware-Angriffen offenbar ebenfalls gestohlen. Wie im Fall von The Home Depot hatten sich die Hacker per Remote Access Zugang zum Kassensystem der Fast-Food-Kette verschafft. - Heartland Payment Systems
Noch heute gilt der 2008 erfolgte Cyberangriff auf das US-Unternehmen Heartland Payment Systems als einer der größten Hacks aller Zeiten wenn es um Kreditkartenbetrug geht. Heartland ist einer der weltweit größten Anbieter für elektronische Zahlungsabwicklung. Im Zuge des Hacks wurden rund 130.000.000 Kreditkarten-Informationen gestohlen. Der Schaden für Heartland belief sich auf mehr als 110 Millionen Dollar, die zum größten Teil für außergerichtliche Vergleiche mit Kreditkartenunternehmen aufgewendet werden mussten. Verantwortlich für den Hack war eine Gruppe von Cyberkriminellen. Deren Kopf, ein gewisser Albert Gonzalez, wurde im März 2010 wegen seiner maßgeblichen Rolle im Heartland-Hack zu einer Haftstrafe von 20 Jahren verurteilt. Heartland bietet seinen Kunden seit 2014 ein besonderes Security-Paket - inklusive "breach warranty". - Sony Playstation Network
Im April 2011 ging bei vielen Playstation-Besitzern rund um den Globus nichts mehr. Der Grund: ein Cyberangriff auf das digitale Serviceportal Playstation Network (PSN). Neben einer Ausfallzeit des PSN von knapp vier Wochen (!) wurden bei der Cyberattacke jedoch auch die Daten (Kreditkarteninformationen und persönliche Daten) von rund 77 Millionen PSN-Abonennten gestohlen. Sony informierte seine Nutzer erst rund sechs Tage über den Hack - und musste sich dafür harsche Kritik gefallen lassen. Die Kosten des PSN-Hacks beliefen sich auf circa 170 Millionen Dollar. Die Verantwortlichen wurden bislang nicht identifiziert. - Livingsocial.com
Die Online-Plattform Livinggsocial.com (inhaltlich vergleichbar mit Groupon) wurde im April 2013 Opfer eines Hacker-Angriffs. Dabei wurden die Passwörter, E-Mail-Adressen und persönlichen Informationen von circa 50 Millionen Nutzern der E-Commerce-Website gestohlen. Glücklicherweise waren die Finanzdaten von Kunden und Partnern in einer separaten Datenbank gespeichert. Die Verursacher des Security-Vorfalls wurden nicht identifiziert. - Adobe Systems
Mitte September 2013 wurde Adobe das Ziel von Hackern. Circa 38 Millionen Datensätze von Adobe-Kunden wurden im Zuge des Cyberangriffs gestohlen - darunter die Kreditkarteninformationen von knapp drei Millionen registrierter Kunden. Die Hacker die hinter dem Angriff standen, wurden nicht gefasst. - Target Corporation
Die Target Corporation gehört zu den größten Einzelhandels-Unternehmen der USA. Ende des Jahres 2013 musste Target einen Cyberangriff eingestehen, bei dem rund 70 Millionen Datensätze mit persönlichen Informationen der Kundschaft gestohlen wurden. Weitaus schwerer wog jedoch, dass unter diesen auch 40 Millionen Datensätze waren, die Kreditkarteninformationen und sogar die zugehörigen PIN-Codes enthielten. Für außergerichtliche Einigungen mit betroffenen Kunden musste Target rund zehn Millionen Dollar investieren, der damalige CEO Gregg Steinhafel musste ein halbes Jahr nach dem Hack seinen Hut nehmen. - Snapchat
Ein kleiner Fehler führte Ende Dezember 2013 dazu, dass Hacker die Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern veröffentlicht haben. Snapchat selbst geriet darauf ins Kritikfeuer von Nutzern und Sicherheitsforschern, denn wie so oft war die Ursache für die Veröffentlichung der Daten ein Mangel an Sicherheitsvorkehrungen. Die von Hackern verursachten Probleme sind jedoch meist weniger schlimm als der Schaden, der nach der Veröffentlichung folgt. Auch wenn man seinen Nutzernamen oder seine Telefonnummer nicht als großes Geheimnis ansieht – ein motivierter Angreifer wie ein Stalker oder ein Identitäts-Dieb könnten mit diesen Daten Übles anrichten. Dieser Hack zeigt wiederum, dass alle Daten wichtig sind - vor allem wenn sie den Nutzern gehören. Man kann mit Sicherheit davon ausgehen, dass die Entwickler von Snapchat diesen Sicherheitsfehler gerne vor den Hackern gefunden hätten. - Ebay Inc.
Im Mai 2014 wurde Ebay das Ziel von Cyberkriminellen. Zwar wurden bei der Attacke keine Zahlungsinformationen entwendet - dafür aber E-Mail-Adressen, Usernamen und Passwörter von knapp 145 Millionen registrierten Kunden. Die Hacker erlangten scheinbar über von Ebay-Mitarbeitern gestohlene Logins Zugriff auf die Datenbanken des Unternehmens. Die Verantwortlichen wurden nicht identifiziert. - J.P. Morgan Chase
Mit J.P. Morgan rückte im Juli 2014 eine der größten US-Banken ins Visier von Cyberkriminellen. Rund 83 Millionen Datensätze mit Namen, Adressen und Telefonnummern von Kunden fielen den Hackern in die Hände. Zugang erlangten die Kriminellen offensichtlich über gestohlene Login-Daten eines Mitarbeiters. Allerdings musste sich J.P. Morgan den Vorwurf gefallen lassen, seine Systeme nicht ausreichend zu schützen. Inzwischen wurden in den USA und Israel vier Personen festgenommen, die mutmaßlich an diesem Hack beteiligt waren. - The Home Depot
Die US-Baumarktkette The Home Depot wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot-Geschäften entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Millionen Dollar beziffert. - Anthem Inc.
Anthem gehört zu den größten Krankenversicherern der USA. Im Februar 2015 gelang es Cyberkriminellen, persönliche Daten von circa 80 Millionen Kunden zu stehlen. Die Datensätze enthielten Sozialversicherungsnummern, E-Mail-Adressen und Anschriften. Darüber hinaus wurden auch Gehaltsinformationen von Kunden und Angestellten entwendet. Immerhin: Medizinische Daten sollen nicht betroffen gewesen sein. Verschiedenen Security-Experten zufolge führt die Spur des Hacks nach China. - Ashleymadison.com
Anschriften, Kreditkartennummern und sexuelle Vorlieben von circa 40 Millionen Usern hat eine Hackergruppe namens Impact Team im August 2015 nach einem Cyberangriff auf das Seitensprung-Portal Ashley Madison öffentlich gemacht. Der Angriff bewies, dass Ashley Madison nicht – wie eigentlich versprochen – persönliche Informationen der Nutzer gegen eine Gebühr löschte. Das erbeutete 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen Datensätze, darunter 15.000 Regierungs- und Militäradressen von Nutzern. Auch Teile des Seitenquellcodes und interne E-Mails der Betreiber lagen dadurch offen. Aufgrund der intimen Nutzerdaten und der geheimnisvollen Natur von Ashley Madison ist dieser Hackerangriff besonders heikel. Dass die Betreiber persönliche Daten auch auf Wunsch nicht vernichtet haben, zeigt ein Problem von Unternehmen, die personenbezogene Daten auf verschiedenen Systemen verarbeiten. Aber auch solche Unternehmen müssen Nutzerinformationen gegen Gefahren schützen – ganz gleich, ob die Gefahr von externen Hackern, böswilligen Insidern oder zufälligen Datenverlusten ausgeht. Ein Ashleymadison-User hat inzwischen vor einem Gericht in Los Angeles Klage gegen Avid Life Media eingereicht. Der Vorwurf: fahrlässiger Umgang mit hochsensiblen Daten. Ein Antrag auf Sammelklage ist ebenfalls bereits eingegangen. Sollte das Gericht diesem folgen, könnten ALM Schadenersatzforderungen in Milliardenhöhe ins Haus stehen.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.