Bereits 2017 erlebte die Wirtschaftsauskunftei Equifax eine schwere Datenschutzverletzung, bei der die persönlichen (in der EU würde man personenbezogene) Daten von etwa 147 Millionen Kunden betroffen waren. Zwei Jahre nach dem Vorfall, welche eine Reihe von Kundenforderungen und Untersuchungen mit sich gebracht hat, hat das Unternehmen zugestimmt, mindestens 700 Millionen Dollar in einer weltweit gültigen Vereinbarung mit der Federal Trade Commission, dem Consumer Financial Protection Bureau (CFPB) und 50 US-Bundesstaaten an Schadenersatz zu zahlen.
Im Falle von Equifax haben die Hacker eine Sicherheitslücke ausgenutzt, wodurch sie ein Tool zum Erstellen von Webanwendungen verwendet haben, um die Kundendaten zu stehlen bzw. zu kopieren. In den USA ist dies bislang der größte Hack, bei dem sensible Informationen wie Namen, Sozialversicherungsnummern, Führerscheinnummern und Adressen aller Betroffenen offengelegt wurden. Der Finanzdienstleister wusste bereits zwei Monate von der Sicherheitslücke, bevor es mit den Informationen über einen erfolgreichen Hackerangriff zum ersten Mal an die Öffentlichkeit ging.
Die Opfer können kostenlose Dienstleistungen zur Überwachung der Kreditwürdigkeit und zum Schutz vor Identitätsdiebstahl in Anspruch nehmen, sowie Barzahlungen von bis zu 20.000 Dollar erhalten, wenn sie einen durch den Sicherheitsvorfall entstandenen Schaden nachweisen können. Sie erhalten außerdem kostenlose Hilfe bei der Wiederherstellung der Kreditwürdigkeit über den Zeitraum von bis zu 7 Jahren. US-Bürger profitieren außerdem von kostenlosen Kreditberichten für alle US-Kunden im Zeitraum von bis zu mindestens 7 Jahren ab dem Jahr 2020.
Der Vorfall und seine Folgen zeigt die Notwendigkeit auf, den Datenschutz von persönlichen Daten ernst zu nehmen und unverzüglich zu handeln, wenn Fehler in den Netzwerk- und Sicherheitssystemen aufgedeckt werden. Unternehmen sollten als beste Schutzmaßnahme vor Datenschutzverletzungen und Sicherheitsverstößen zuvorderst ihre Mitarbeiter ausgiebig mit Hilfe eines New School Security Awareness Training-Programms schulen. Teil dieser Programme sollten regelmäßig durchgeführte simulierte Phishing-Tests mit guten Beispielen von Social Engineering-Angriffen sein. Die Trainings unterstützen die geschulten Mitarbeiter dabei, bösartige E-Mails und Webinhalte zu erkennen. Werden die Lerninhalte kontinuierlich wiederholt und getestet, steigt die Chance, Cyberattacken via Phishing und anderen Angriffsformen zu erkennen und mit Hilfe der IT-Abteilung zu neutralisieren, bevor Gefahr entsteht. In diesem Fall verfügt das Unternehmen über eine Art von „menschlicher Firewall“.
#Netzpalaver #KnowBe4