Die Geschichte der Datenschutzverletzungen
Datenschutzverletzungen sind seit Jahrzehnten immer häufiger und schädlich. Einige heben sich jedoch als aufschlussreiche Beispiele dafür hervor, wie sich Datenschutzverletzungen entwickelt haben, wie Angreifer diese Angriffe orchestrieren können, was gestohlen werden kann und was mit Daten passiert, nachdem eine Verletzung aufgetreten ist.
Datenschutzverletzungen begannen lange vor der weit verbreiteten Nutzung des Internets, ähnelten jedoch in vielerlei Hinsicht den Lecks, die wir heute sehen. Ein früher bahnbrechender Vorfall ereignete sich 1984, als die Kreditauskunftei TRW Information Systems (jetzt Experian) feststellte, dass eine ihrer Datenbankdateien verletzt worden war. Der Fund war durch einen numerischen Passcode geschützt, den jemand aus einer Verwaltungsnotiz in einem Sears-Geschäft entnommen und auf einem „elektronischen Schwarzen Brett“ veröffentlicht hatte – einer Art rudimentärem Google-Dokument, auf das die Leute über ihre Festnetztelefonverbindung zugreifen und es ändern konnten. Von dort aus hätte jeder, der wusste, wie man das Schwarze Brett einsieht, das Passwort verwenden können, um auf die in der TRW-Datei gespeicherten Daten zuzugreifen: persönliche Daten und Kreditgeschichten von 90 Millionen Amerikanern. Das Passwort wurde einen Monat lang offengelegt. Damals sagte TRW, dass es das Datenbankpasswort geändert habe, sobald es von der Situation erfahren habe. Obwohl der Vorfall im Vergleich zum letztjährigen Verstoß gegen die Kreditauskunftei Equifax (siehe unten) in den Schatten gestellt wird, war das Versäumnis von TRW eine Warnung an Datenfirmen auf der ganzen Welt – eine, die viele offensichtlich nicht beachteten.
Im Laufe der Jahre und der Reife des Internets kam es sporadisch zu groß angelegten Sicherheitsverletzungen wie dem TRW-Vorfall. In den frühen 2010er Jahren, als mobile Geräte und das Internet der Dinge die Interkonnektivität stark erweiterten, wurde das Problem der Datenschutzverletzungen besonders dringend. Das Stehlen von Benutzernamen/Passwort-Paaren oder Kreditkartennummern – sogar das Brechen einer Datensammlung aus bereits öffentlichen Quellen – könnte Angreifern die Schlüssel zum gesamten Online-Leben einer Person liefern. Und insbesondere bestimmte Verstöße trugen dazu bei, eine wachsende Dark-Web-Ökonomie gestohlener Benutzerdaten anzuheizen.
Einer dieser Vorfälle war ein Verstoß gegen LinkedIn im Jahr 2012, bei dem zunächst 6,5 Millionen Passwörter offengelegt wurden. Die Daten wurden zum Schutz gehasht oder kryptografisch verschlüsselt, um sie unverständlich und damit schwer wiederverwendbar zu machen, aber Hacker begannen schnell, die Hashes zu „knacken“, um die tatsächlichen Passwörter der LinkedIn-Benutzer offenzulegen. Obwohl LinkedIn selbst Vorkehrungen getroffen hat, um die Passwörter betroffener Konten zurückzusetzen, konnten Angreifer dennoch viele Kilometer aus ihnen herausholen, indem sie andere Konten im Internet fanden, bei denen Benutzer dasselbe Passwort wiederverwendet hatten. Diese allzu verbreitete laxe Passworthygiene bedeutet, dass ein einziger Verstoß die Benutzer jahrelang verfolgen kann.
Auch der LinkedIn-Hack stellte sich als noch schlimmer heraus, als es zunächst den Anschein hatte. Im Jahr 2016 begann ein Hacker namens „Peace“ damit, Kontoinformationen, insbesondere E-Mail-Adressen und Passwörter, von 117 Millionen LinkedIn-Nutzern zu verkaufen. Daten, die bei der LinkedIn-Verletzung gestohlen wurden, werden seither von Kriminellen zweckentfremdet und weiterverkauft, und Angreifer haben bis heute noch einige Erfolge bei der Ausnutzung der Daten, da so viele Menschen seit Jahren dieselben Passwörter für zahlreiche Konten wiederverwenden.
Datenschutzverletzungen wurden jedoch erst Ende 2013 und 2014 wirklich zum Tischfutter, als die großen Einzelhändler Target, Neiman Marcus und Home Depot nacheinander massive Datenschutzverletzungen erlitten. Der Target-Hack, der erstmals im Dezember 2013 öffentlich bekannt wurde, hatte Auswirkungen auf die persönlichen Daten (wie Namen, Adressen, Telefonnummern und E-Mail-Adressen) von 70 Millionen Amerikanern und kompromittiert 40 Millionen Kreditkartennummern. Nur wenige Wochen später, im Januar 2014, gab Neiman Marcus zu, dass seine Point-of-Sale-Systeme von derselben Malware betroffen waren, die Target infiziert hatte, wodurch die Informationen von etwa 110 Millionen Kunden von Neiman Marcus sowie 1,1 Millionen Kredit- und Debitkarten preisgegeben wurden Kartennummern. Dann, nach monatelangen Folgen dieser beiden Verstöße, gab Home Depot im September 2014 bekannt, dass Hacker 56 Millionen Kredit- und Debitkartennummern aus seinen Systemen gestohlen hatten, indem sie Malware auf den Zahlungsterminals des Unternehmens installierten.
Gleichzeitig fand jedoch ein noch verheerenderer und finstererer Angriff statt. Das Office of Personnel Management ist die Verwaltungs- und Personalabteilung für US-Regierungsangestellte. Die Abteilung verwaltet Sicherheitsüberprüfungen, führt Hintergrundüberprüfungen durch und führt Aufzeichnungen über jeden ehemaligen und gegenwärtigen Bundesangestellten. Wenn Sie wissen wollen, was in der US-Regierung vor sich geht, sollten Sie diese Abteilung hacken. Also hat China es getan.
Hacker, die mit der chinesischen Regierung in Verbindung stehen, infiltrierten das Netzwerk von OPM zweimal, stahlen zunächst 2013 die technischen Blaupausen für das Netzwerk und initiierten kurz darauf einen zweiten Angriff, bei dem sie die Kontrolle über den Verwaltungsserver erlangten, der die Authentifizierung für alle anderen Serveranmeldungen verwaltete. Mit anderen Worten, als OPM 2015 vollständig erkannte, was passiert war, und die Eindringlinge entfernte, waren die Hacker in der Lage, zig Millionen detaillierter Aufzeichnungen über jeden Aspekt des Lebens von Bundesangestellten zu stehlen, darunter 21,5 Millionen Sozialversicherungsnummern und 5,6 Millionen Fingerabdruckaufzeichnungen. In einigen Fällen waren die Opfer nicht einmal Bundesangestellte, sondern standen einfach in irgendeiner Weise mit Regierungsangestellten in Verbindung, die einer Zuverlässigkeitsüberprüfung unterzogen worden waren. (Diese Überprüfungen umfassen alle Arten von äußerst spezifischen Informationen, wie Karten der Familie, Freunde, Mitarbeiter und Kinder eines Subjekts.)