Gemalto hat die Ergebnisse des Breach Level Index 2016 veröffentlicht. Der Auswertung zufolge führten 1.792 Datenangriffe im Jahr 2016 zur Kompromittierung von fast 1,4 Milliarden Datensätzen weltweit – 86 Prozent mehr als noch 2015.
Identitätsdiebstahl stellte 2016 mit 59 Prozent aller Fälle die häufigste Art von Datenmissbrauch dar. Bei 52 Prozent der Datenpannen, die sich im Jahr 2016 ereigneten, wurde zum Zeitpunkt der Veröffentlichung nicht bekanntgegeben, wie viele Datensätze kompromittiert worden waren.
Der Breach Level Index ist eine länderübergreifende Datenbank für Datenschutzverletzungen. Mit ihr kann der Schweregrad eines Angriffs anhand verschiedener Parameter ermittelt werden: die Zahl der kompromittierten Datensätze, der Datentyp, der Ursprung des Angriffs, die Verwendung der Daten und die Verschlüsselung bzw. Nichtverschlüsselung der Daten. Der Breach Level Index weist jedem Angriff einen Wert zu, der die Schwere des Vorfalls anzeigt.
Somit bietet die Datenbank eine vergleichende Liste von Datenschutzverletzungen und ermöglicht es, kleinere Zwischenfälle von solchen mit massiven Folgen zu unterscheiden (Werte von 1-10). Laut Breach Level Index wurden seit 2013, als das erste Mal öffentlich bekanntgegebene Datenschutz-verletzungen verglichen wurden, mehr als 7 Milliarden Datensätze offengelegt. Dies entspricht mehr als 3 Millionen erbeuteten Datensätzen pro Tag oder rund 44 Datensätzen pro Sekunde.
Bei dem Angriff auf Adult FriendFinder im vergangenen Jahr, bei dem sich Hacker Zugriff auf Benutzerkonten verschafft hatten, wurden 400 Millionen Datensätze offengelegt, denen der Breach Level Index 10 für den Schweregrad zuwies. Weitere spektakuläre Datenpannen im Jahr 2016 waren der Angriff auf Fling (BLI: 9,8), die philippinische Wahlkommission (COMELEC, BLI: 9,8), 17 Media (BLI: 9,7) und Dailymotion (BLI: 9,6).
Bei den zehn schwerwiegendsten Angriffen wurden mehr als die Hälfte aller kompromittierten Datensätze insgesamt erbeutet. Yahoo! meldete 2016 zwei gravierende Datenpannen, die 1,5 Milliarden Benutzerkonten betrafen, da sie sich bereits 2013 bzw. 2014 ereigneten, sind sie in den BLI-Zahlen für 2016 jedoch nicht eingerechnet.
Datenmissbräuche nach Art
Identitätsdiebstahl war 2016 mit 59 Prozent die häufigste Form der Datenschutzverletzung. Das entspricht einem Anstieg von 5 Prozent gegenüber 2015. Am zweithäufigsten ereigneten sich 2016 Datenschutzverletzungen, bei denen auf Konten zugegriffen wurde. Die Zahl der Fälle ging hier zwar um 3 Prozent zurück, jedoch wurden dabei 54 Prozent aller Datensätze erbeutet – 336 Prozent mehr als im Vorjahr.
Das zeigt deutlich, dass Cyberangriffe immer häufiger nicht auf Finanzinformationen abzielen, sondern auf große Datenbanken, in denen zahlreiche personenbezogene Informationen gespeichert sind. Ein weiterer beachtenswerter Aspekt ist die Kategorie „Störungen und Belästigungen“, die einen Anstieg von 102 Prozent verzeichnet. Auf sie entfielen 18 Prozent aller kompromittierten Datensätze – ein Anstieg von 1474 Prozent im Vergleich zum Vorjahr.
Datenmissbräuche nach Verursachern
Externe waren 2016 die führenden Verursacher von Datenschutzverletzungen: Sie waren für 68 Prozent aller Fälle verantwortlich, was einem Anstieg von 13 Prozent gegenüber 2015 entspricht. Die Zahl der Datensätze, die bei Angriffen durch böswillige Außenstehende entwendet wurden, stieg gegenüber 2015 um 286 Prozent. Die Zahl der Datenschutzverletzungen durch Hacktivisten erhöhte sich 2016 um 31 Prozent; sie machten allerdings nur 3 Prozent aller Datenmissbräuche aus, die sich im vergangenen Jahr ereigneten.
Datenmissbräuche nach Branche
Von allen Branchen verzeichnete 2016 der Technologiesektor den größten Anstieg an Datenmiss-bräuchen. Sie nahmen um 55 Prozent zu, machten dabei aber nur 11 Prozent aller Datenschutz-verletzungen im vergangenen Jahr aus. Fast 80 Prozent der Vorfälle in diesem Sektor standen mit Kontozugriffen und Identitätsdiebstahl in Verbindung. Auf den Technologiebereich entfielen auch 28 Prozent der kompromittierten Datensätze im Jahr 2016, was einem Anstieg von 278 Prozent im Vergleich zu 2015 entspricht.
28 Prozent der Datenangriffe hatten den Gesundheitssektor zum Ziel – 11 Prozent mehr als im Jahr 2015. Gleichzeitig jedoch ging hier die Zahl der erbeuteten Datensätze gegenüber 2015 um 75 Prozent zurück. Im Bildungssektor sank die Zahl der Datenschutzverletzungen 2016 um 5 Prozent gegenüber dem Vorjahr und die Zahl der entwendeten Datensätze um 78 Prozent. 15 Prozent aller Datenangriffe richteten sich 2016 gegen staatliche Einrichtungen. Die Zahl der kompromittierten Datensätze stieg in diesem Bereich um 27 Prozent gegenüber 2015. Und 12 Prozent aller Datenmissbräuche betrafen Finanzdienstleister – 23 Prozent weniger als im Jahr zuvor.
Den Branchen in der Kategorie „Sonstige“ waren 13 Prozent der Datenmissbräuche und 36 Prozent der kompromittierten Datensätze zuzurechnen. Die Gesamtzahl der Datenmissbräuche in dieser Kategorie nahm um 29 Prozent ab; dagegen schoss die Zahl der kompromittierten Datensätze verglichen mit 2015 um 300 Prozent in die Höhe. Die meisten Datenschutzverletzungen in diesem Sektor richteten sich gegen soziale Medien und Unternehmen der Unterhaltungsindustrie.
4,2 Prozent aller Fälle von Datenmissbrauch im letzten Jahr betrafen Daten, die teilweise oder ganz verschlüsselt waren; 2015 galt dies für 4 Prozent der Daten. In einigen dieser Fälle war nur das Passwort verschlüsselt, während sonstige Informationen nicht verschlüsselt worden waren. Von den fast 1,4 Milliarden Datensätzen, die 2016 kompromittiert wurden, verloren gingen oder gestohlen wurden, waren nur 6 Prozent ganz oder teilweise verschlüsselt (2015: 2 %).
„Wenn Unternehmen genau wissen, wo ihre Daten gespeichert sind und wer Zugriff auf sie hat, können sie leichter Sicherheitsstrategien auf Basis von Datenkategorien entwerfen, die für sie am meisten Sinn machen. Verschlüsselung und Authentifizierung sind heute keine ‚Best Practices’ mehr, sondern eine Notwendigkeit.”
„Dies gilt insbesondere vor dem Hintergrund neuer und aktualisierter staatlicher Vorschriften wie der kommenden Datenschutzgrundverordnung (DSGVO) in Europa und den Gesetzen zur Bekannt-machung von Sicherheitsverletzungen in US-Bundesstaaten und den APAC-Ländern”, schließt Jason Hart, Vice President und Chief Technology Officer für Datenschutz bei Gemalto.