Es heißt, dass derjenige, der die Daten beherrscht, die Welt beherrscht. Man sagt auch, dass Wissen Macht ist. Man kann es ausdrücken, wie man will, aber eines ist sicher: Informationen sind heutzutage das heißeste Gut.
Haben Sie sich schon einmal gefragt, warum die meisten Dienste heutzutage, vor allem online, technisch gesehen kostenlos sind? Das liegt daran, dass wir nicht die Kunden sind – wir sind das Produkt.
Wir vertrauen Social-Media-Plattformen, Online-Shops und zahllosen anderen Websites eine Fülle von persönlichen Daten an, und sie sind nie zufrieden. Und obwohl sensible Daten nun einmal sensibel sind, gehen sie auch selten so sorgfältig damit um, wie sie es eigentlich sollten. Genau hier kommen kryptografische Fehler ins Spiel.
Ein kryptografisches Versagen ist eine der größten Sicherheitsbedrohungen, mit denen Unternehmen – ob groß oder klein – heute konfrontiert sind. Doch bevor wir herausfinden, wie es dazu kommen kann, sollten wir erst einmal herausfinden, was ein kryptografisches Versagen überhaupt ist, oder?
Fallos Criptográficos: Significado y Ejemplos
Ohne Sie mit High-Tech-Terminologie zu bombardieren, ist ein kryptografischer Fehler ein Sicherheitsfehler, der auftritt, wenn eine Drittpartei (Anwendungen, Webseiten, verschiedene Websites) sensible Daten preisgibt. Genauer gesagt, wenn diese Einrichtung dies ohne besondere Absicht tut. Ob Fahrlässigkeit, Inkompetenz oder Fehleinschätzung – ein kryptografisches Versagen kann katastrophale Folgen haben, sowohl im persönlichen als auch im geschäftlichen Bereich.
Manchmal ist es ein unzureichender Datenbankschutz. Ein anderes Mal liegt es an Fehlkonfigurationen beim Einrichten neuer Datenspeicherinstanzen. Manchmal werden sensible Daten durch die unsachgemäße Nutzung von Datensystemen preisgegeben.
Software-Mängel. Schwache Verschlüsselung. Überhaupt keine Verschlüsselung. Ein versehentlicher Upload in eine falsche Datenbank. Es gibt viele Möglichkeiten, wie sich Unternehmen exponieren und sensible Daten preisgeben können und dies auch von Zeit zu Zeit tun.
Aber lassen Sie uns einen Schritt zurückgehen. Was hat es mit dieser Art von Fehlern auf sich? Und wie kann man sie verhindern? Los geht’s.
Was ist eine kryptografische Störung?
Ein kryptografisches Versagen liegt vor, wenn ein System sensible Daten für potenziell böswillige Schnüffler zugänglich macht. Eine kryptografische Störung liegt auch dann vor, wenn ein Sicherheitsvorfall ein versehentliches/unrechtmäßiges Löschen, Zerstören, Ändern oder eine unberechtigte Offenlegung sensibler Daten ermöglicht.
Im Allgemeinen lassen sich kryptografische Fehler in drei Kategorien einteilen:
- Verletzung der Vertraulichkeit. Dies ist der Fall, wenn ein Dritter auf vertrauliche Daten zugreifen kann oder wenn eine Organisation solche Daten versehentlich weitergibt.
- Verletzung der Integrität.Dieser Begriff beschreibt eine Situation, in der sensible Daten verändert werden, wiederum ohne dass eine Autorisierung und/oder Absicht dahinter steckt.
- Verletzung der Verfügbarkeit. Zu dieser Kategorie gehören Szenarien, in denen sensible Daten zerstört werden oder man den Zugang zu ihnen verliert. Diese Kategorie umfasst sowohl permanente als auch temporäre Datenverluste.
An dieser Stelle fragen Sie sich vielleicht: “Aber sind sensible Daten dasselbe wie personenbezogene Daten? Oder gibt es einen Unterschied zwischen den beiden?”. Eine berechtigte Frage, die wir gleich erörtern werden.
Personenbezogene Daten vs. Sensible Daten
Kurz gesagt, personenbezogene Daten sind alle Informationen, die sich auf identifizierte/identifizierbare natürliche (sprich: bewusste) Personen beziehen. Nicht personenbezogene Daten hingegen sind Informationen, die keinen Bezug zu identifizierbaren Personen haben oder die nicht eindeutig einer einzelnen Person zugeordnet werden können.
Sensible Daten hingegen umfassen alle Informationen, die Rückschlüsse auf Personen zulassen oder zulassen könnten:
- Gesundheit, biometrisches und sonstiges genetisches Material
- Sexuelle Orientierung, Sexualleben oder etwas in dieser Richtung
- Rasse, ethnische und/oder nationale Herkunft
- Politische Ansichten
- Verbindungen zu religiösen, politischen und/oder philosophischen Organisationen
- Religiöse und/oder politische Überzeugungen
- Gewerkschaftsmitgliedschaft(en)
- Und mehr.
“Ein kryptografisches Versagen ist also nur eine andere Bezeichnung für eine Datenpanne”, werden Sie vielleicht fragen. Auch das ist eine berechtigte Frage. Aber die Antwort lautet: Nein, nicht ganz. Obwohl die beiden Begriffe einige Gemeinsamkeiten aufweisen, gibt es auch einen deutlichen Unterschied zwischen ihnen.
Kryptographisches Versagen vs. Datenpanne
Um es auf den Punkt zu bringen: Eine Datenpanne ist ein Sicherheitsvorfall, bei dem Eindringlinge unbefugt auf vertrauliche Informationen zugreifen können.
In diesem Fall zielen die Angreifer darauf ab, persönlich identifizierbare Informationen oder andere Daten zu finden, die finanzielle Vorteile bringen, Identitäten gefährden oder im Dark Web verkauft werden könnten. Mit anderen Worten, sie versuchen, an Daten zu gelangen, die als wertvoll eingestuft werden könnten. Das Ziel kann darin bestehen, diese Daten zu stehlen, zu verändern oder ganz zu zerstören.
Ein kryptografisches Versagen liegt hingegen vor, wenn Daten (auf einem Server oder in einer Datenbank) für jedermann frei zugänglich sind. In den meisten Fällen kommt es zu kryptografischen Fehlern, wenn Sie Konfigurationsdaten ungesichert online lassen. Aber das ist noch nicht alles.
Was führt zu kryptografischen Fehlern?
Kryptografische Fehler entstehen, weil Unternehmen mit bestimmten Informationen nicht so umgehen, wie sie es sollten. Manchmal findet man sensible Daten in reinen Textdokumenten, die unbeaufsichtigt bleiben.
Wenn Websites die HTTPS-Sicherheit nicht aktivieren und die Verbindung nicht über SSL sichern, sind die Webseiten und Anwendungen, auf denen sensible Daten gespeichert sind, natürlich immer anfällig.
Abgesehen davon können sensible Daten, die in einer unsicheren Datenbank gespeichert werden, auch leicht von Eindringlingen eingesehen werden. Eine unsichere Datenbank ist jede Datenbank, die Angriffen wie SQL-Injektionen zum Opfer fallen kann, einen schwachen kryptografischen Algorithmus/Schlüssel verwendet, keine Hash- und Salt-Passwörter verwendet und/oder Daten auf eine Vielzahl anderer unsicherer Arten speichert.
Wie Sie wissen, handelt es sich bei SQL-Injektionsangriffen um Code-Injektionstechniken, die es Hackern ermöglichen, in die Abfragen von Anwendungen an ihre jeweiligen Datenbanken einzugreifen. Sie können diese Technik nutzen, um sich Daten aus der infizierten Datenbank über das Backend “anzueignen”.
Wenn Sie gehashte Kennwörter ohne Salt speichern (d. h., wenn sie nicht vollständig kryptografisch geschützt sind, so dass sie leicht entschlüsselt werden können), können diese Kennwörter ebenfalls offengelegt werden. Gehashte und gesalzene Kennwörter hingegen werden bei der Speicherung in Wortpuzzles umgewandelt, die nur der Server, auf dem sie gespeichert sind, interpretieren kann. Wenn Unternehmen jedoch ein zweitklassiges Hashing verwenden, können Hacker diese Kennwörter bei einem kryptografischen Fehler leicht auslesen.
Sehen wir uns in diesem Zusammenhang einige Beispiele für kryptografisches Versagen an.
Beispiele für kryptografische Ausfälle
Kryptografische Fehler haben zahllose Websites und Anwendungen zum Absturz gebracht. Die Opfer sind zu zahlreich, um sie zu zählen, aber dies sind die bekanntesten unter ihnen:
Das Exactis-Debakel
Vor weniger als 4 Jahren gab ein sehr kleines (<10 Mitarbeiter) Marketing- und Datenaggregationsunternehmen namens Exactis versehentlich seine Datenbank mit rund 340 Millionen Datensätzen preis. Ob aus Erfahrung, Nachlässigkeit oder Unwissenheit, die Verantwortlichen hatten die Datenbank auf einen öffentlich zugänglichen Server gestellt. Das bedeutet, dass jeder (d. h. jeder, der weiß, wo er suchen muss) auf diese Daten zugreifen konnte.
Die offengelegten Datensätze enthielten Namen, Telefonnummern, E-Mails und andere sensible Daten von Millionen von US-Bürgern. Und da diese Informationen für sehr gezielte Marketingzwecke bestimmt waren, waren sie viel detaillierter und persönlicher als das, was Menschen normalerweise bei einer alltäglichen Datenverletzung preisgeben.
Der Facebook-Vorfall
Ja, wir sprechen hier über Facebook. Vor der COVID 2019 wurde bekannt, dass über 540 Millionen Datensätze von Facebook-Nutzern versehentlich von zwei Drittentwicklern von Facebook-Apps veröffentlicht wurden.
Diese Apps haben die Datensätze ohne böswillige Absicht ganz offen auf dem Cloud-Dienst von Amazon veröffentlicht. Zu den veröffentlichten Datensätzen gehörten die Kontonamen, IDs, Freunde, Fotos, Standort-Check-Ins und Passwörter der Facebook-Nutzer.
Leider war dies weder das erste noch das letzte Mal, dass Facebook sensible Informationen preisgegeben hat. Einen Monat zuvor stellte Facebook fest, dass die Passwörter von etwa 600 Millionen Nutzern monatelang intern im Klartext gespeichert waren. Wenige Monate zuvor enthüllte das gleiche Buch der Gesichter, dass die Daten von Millionen von Nutzern von dem Datenforschungsunternehmen Cambridge Analytica abgegriffen worden waren.
Wie man einen kryptografischen Fehler verhindert
Daten katalogisieren. Um die Daten der Kunden zu schützen, sollten, ja müssen Organisationen sicherstellen, dass sie alle Daten, die sie in den Systemen speichern, genau im Auge behalten. Darüber hinaus sollten sie auch regelmäßige Audits durchführen. Auf diese Weise können sie stets den Überblick über die Eigentümer, Standorte, Sicherheits- und Governance-Maßnahmen für die gespeicherten Daten behalten.
Risiken bewerten. Um sicherzustellen, dass sie ihre Daten schützen können, müssen Unternehmen wissen, welchen Risiken die gespeicherten Daten ausgesetzt sein könnten, und ihre Budgets und Ressourcen entsprechend zuordnen, um diese Risiken zu mindern. Je wertvoller die Daten sind, desto größer ist die Wahrscheinlichkeit, dass sie Schaden nehmen. Selbst kleinste Mengen sensibler Daten können enorme Folgen für die betroffenen Personen haben.
Sorgen Sie für angemessene Sicherheit. Um sicherzustellen, dass sie in der Lage sind, einen kryptografischen Fehler zu vermeiden und die Auswirkungen eines kryptografischen Fehlers auf die betroffenen Personen zu begrenzen, müssen Unternehmen ausreichende Sicherheitskontrollen installieren.
Sofortige Maßnahmen ergreifen. Um eine sofortige Reaktion auf einen kryptografischen Fehler zu gewährleisten, müssen Unternehmen wirksame Mechanismen zur Reaktion auf eine Sicherheitsverletzung einrichten.
Obwohl größere Organisationen eher Opfer einer Offenlegung sensibler Daten werden, können auch Einzelpersonen gefährdet sein. Die gute Nachricht ist, dass es mehrere Sicherheitsmaßnahmen gibt, die Sie ergreifen können, um dies zu verhindern:
- Stellen Sie sicher, dass jedes von Ihnen verwaltete Online-Konto ein eindeutiges und ausreichend komplexes Passwort enthält.Natürlich kann es schwierig sein, den Überblick über eine scheinbar unendliche Anzahl von Passwörtern zu behalten, daher empfehlen wir die Verwendung eines Kontomanagers.
- Behalten Sie Ihre Finanzkonten (einschließlich Budget- und Banking-Apps) genau im Auge. Überprüfen Sie diese Konten so häufig wie möglich, um ungewöhnliche/ungewöhnliche Aktivitäten so schnell wie möglich zu erkennen. Einige Unternehmen bieten Aktivitätswarnungen an (meist per SMS und/oder E-Mail). Damit können Sie nichts falsch machen.
- Behalten Sie auch Ihre Kreditauskunft genau im Auge.Solange Sie dies regelmäßig tun, können Sie herausfinden, ob jemand versucht, eine neue Kredit- oder Debitkarte oder ein anderes Konto in Ihrem Namen zu eröffnen. Sie haben sogar Anspruch auf eine kostenlose Kreditauskunft pro Jahr von jeder großen Kreditauskunftei. Weitere Informationen finden Sie unter annualcreditreport.com.
- Ergreifen Sie sofortige Maßnahmen. Im Gegensatz zu großen Unternehmen können auch Privatpersonen davon profitieren, wenn sie im Falle eines Angriffs auf sensible Daten sofort handeln. Wenn Sie verdächtige Aktivitäten feststellen, setzen Sie sich sofort mit der betroffenen Partei (in der Regel ein Finanzinstitut) in Verbindung. Das Gleiche gilt für den Fall, dass jemand Ihre Daten im Rahmen einer Datenschutzverletzung stiehlt.
- Verwenden Sie nur sichere URLs. Die Wahrscheinlichkeit, dass Sie sensible Daten preisgeben, ist weitaus geringer, wenn Sie bekannte Websites besuchen, denen Sie vertrauen können. In der Regel beginnen diese Websites mit https://, wobei der “s”-Teil die Schlüsselzahl ist. Dies ist doppelt so wichtig, wenn Sie finanzielle Informationen eingeben (Kreditkartennummer, Validierungscode usw.).
- Verwenden Sie eine hochgradige Sicherheitssoftware. Mit einer robusten Software-Suite, die Malware und Viren abdeckt, sollten Sie in der Lage sein, sich gegen die meisten Bedrohungen zu wehren, einschließlich der Offenlegung von Daten.
- Informieren Sie sich über Identitätsdiebstahl- und Kreditüberwachungsdienste. Der Schaden, den gestohlene Identitäten anrichten können, kann Monate dauern, bis er behoben ist. Aus diesem Grund empfehlen wir Ihnen, einen Identitätsdiebstahlschutz und Kreditüberwachungsdienste in Anspruch zu nehmen. Damit sind Sie weniger anfällig für Datenschutzverletzungen und Verschlüsselungsfehler.
Alle Dinge in Betracht gezogen
Kryptografische Fehler stehen auf Platz 2 der 10 größten Sicherheitsrisiken für Webanwendungen von OWASP und sind somit kein Witz. Große und kleine Unternehmen sind Opfer der Offenlegung sensibler Daten geworden. Und die Tatsache, dass der Schuldige hinter diesen Fehlern die eigene Nachlässigkeit der Unternehmen ist, macht es nicht weniger schmerzhaft. Wenn Sie jedoch aus den Fehlern anderer lernen und Vorsicht walten lassen, stehen die Chancen gut, dass Sie diesen Fallstrick vermeiden können.