2018-12-06 6 Minuten

Was tun, wenn deine Kundendaten gehackt wurden?

Marriot International: 500 Millionen Datensätze. Quora: 100 Millionen Datensätze Under Armour: 150 Millionen Datensätze. Das sind nur drei Beispiele aus einer sehr langen Liste an Hacks.

Marriot International: 500 Millionen Datensätze.

Quora: 100 Millionen Datensätze

Under Armour: 150 Millionen Datensätze.

Das sind nur drei Beispiele aus einer sehr langen Liste an Hacks, bei denen Kundendaten erbeutet wurden. Machen wir uns den Spaß und ersetzen “Datensätze” mit “betroffene Personen”. Dann wird einem klar, was eigentlich gerade passiert.

Die Wahrscheinlichkeit ist sehr hoch, dass du bereits von einem sogenannten Data Breach betroffen bist. Also dass deine Kundendaten irgendwo in Umlauf sind.

Auch mich hat es erwischt. Ich habe von Quora eine E-Mail erhalten, dass meine Accountdaten abgegriffen worden sind.

Aber was tun, wenn man so eine E-Mail erhält?

Froh sein, dass man überhaupt informiert wird

Sagen wir es so: Unternehmen sind nicht gerade erpicht darauf, ihre Kunden von einem Hack zu informieren. Uber hat 2016 einfach nichts gesagt. Und ist dann mit 148 Millionen Dollar bestraft worden.

Durch die DSGVO sieht die Situation aber inzwischen anders aus. Es müssen die Kunden zeitnah informiert werden.

Solltest du also eine E-Mail von einem Dienst erhalten, dass deine Kundendaten gehackt wurden: sei erstmal dankbar, dass du überhaupt informiert wirst.

Die Chance ist sehr hoch, dass du bereits in vielen Data Breaches dabei warst, es jedoch noch nicht weisst!

Auf der Seite Have I Been Pwned des Security-Bloggers Troy Hunt (Wahnsinns Name!) kannst du deine E-Mail eingeben und sehen, wo deine Kundendaten schon gehackt wurden. Troy pflegt alle Datenbanken, die er online findet, in dieses Tool ein.Knackpunkt: Die er online findet. Wenn also zum Beispiel die Kundendaten von Quora nie ins Darknet gelangen, sind sie in dieser Plattform nicht enthalten! Aber du kannst auf haveibeenpwned zumindest abschätzen, wie es um deine Daten steht.Die unterste E-Mail in meiner E-Mail-Hierarchie (ja, ich habe sowas) war beispielsweise in 5 Hacks enthalten.

Welche Daten sind betroffen?

Die Information sollte laut DSGVO enthalten, welche Daten denn betroffen sind. Bei Quora waren es zum Beispiel Profilname, IP, E-Mail, verschlüsseltes Passwort und alles, was ich auf der Plattform gemacht habe.

Liest du dir das durch, kriegst du schnell ein Gefühl, wie kritisch dieser Breach denn ist. Quora in diesem Fall ist “harmlos”, weil nur der jeweilige Account betroffen ist. Keine Kreditkartendaten, keine Pass-Daten wie beispielsweise bei Marriot.

Kreditkarten-Daten

Wenn deine Kreditkartendaten in einem Hack enthalten sind, ist das ein Problem. Nicht nur für dich selbst, sondern für das Unternehmen.

Kein Unternehmen sollte heute Kreditkartendaten selbst speichern (müssen).

Es gibt Zahlungsanbieter, die einen ungleich höheren Sicherheitsstandard haben als ein Online-Shop. Über die kann man Zahlungen abwickeln, und auch die Kreditkartendaten speichern lassen.

Ich verstehe nicht, warum Unternehmen das Risiko der Speicherung eingehen wollen. Nicht nur technisch, auch gesetzlich ist das eine ganz andere Liga als ein paar Quora-User.

Bei gestohlenen Kreditkarten-Daten gilt: beobachten, ob etwas damit passiert – oder gleich eine neue bestellen.

Sensible Daten

Es gibt einen Grund, warum sensible Daten so heißen. Mit Religion, Sexualität, Krankenhistorie oder biometrischen Daten kann um einiges mehr Schabernack angerichtet werden, als das mit meinem Quora-Account möglich wäre.

Sind sensible Daten von dir betroffen, würde ich mir rechtliche Schritte überlegen. Um es mit den Worten von Matthias Strolz zu sagen: Das ist nicht okay!

Vor Allem muss man sich fragen, warum denn diese Daten überhaupt gespeichert wurden?

Metadaten

Der Hack von Marriot International ist deswegen so brisant, weil die Reservierungsdaten von 500 Millionen Personen geleakt wurden. Uns Privatpersonen mag das noch egal sein, aber in diesem Datensatz finden sich mit Sicherheit Personen, die zu Business- oder politischen Zwecken unterwegs waren.

Wäre ich ein Geheimdienst, ich würde mir die Marriot-Daten ganz genau ansehen.

Daten sind meistens nicht nur Daten.

Account-Daten

So traurig das klingt, deine E-Mail und Nutzernamen sind wahrscheinlich schon irgendwo in Umlauf. Die E-Mail von Quora hat mich deswegen nicht wirklich beunruhigt. Einzig das Passwort ist kritisch in diesem Fall.

Was macht ein Angreifer mit diesen Daten?

Je nachdem was erbeutet wurde, gibt es verschiedene Möglichkeiten:

Verkaufen

Kreditkartendaten gehen um ca. 5 Dollar über den Tisch, je nachdem wie groß der Rahmen und wie qualitativ die Daten sind.

Den Login auf anderen Seiten probieren

So bei LinkedIn passiert. Es werden die E-Mails der Accounts durchsucht (beispielsweise auf @gmail.com-Adressen) und versucht, sich auf Gmail mit dem selben Passwort einzuloggen. Das ist der Grund, warum man das selbe Passwort nie mehrmals verwenden soll.

Spionage / Intelligence

Datenleaks durch Spionage oder Nation States sind auch nicht auszuschließen. Das ist natürlich eine Verschwörungstheorie, aber wen könnten die Reisedaten von High-Profile Individuen denn interessieren?

Spam

Auch ist es sehr wahrscheinlich, dass deine E-Mail (sollte sie nicht sowieso schon öffentlich sein), durch Spamnetzwerke aufgegriffen wird und du vermehrt Spam erhältst. Kein Grund zur Sorge, so lange du nicht auf die Links klickst.

Wie soll ich darauf reagieren?

Wenn du bereits eine gute operational security, also guten Umgang mit Security-Praktiken hast, brauchst du dir nicht einmal Sorgen machen:

Du hast ein Passwort verwendet, das du nirgends sonst verwendet hast. Das heißt: selbst wenn es im Klartext (also unverschlüsselt) herumschwirren würde, man könnte nur deinen Quora-Account verwenden.

Falls nicht – oder du dich nicht einmal mehr erinnern kannst – wird es ein wenig schwieriger. Hier liegt nämlich mein größtes Problem mit den betroffenen Unternehmen begraben:

“Verschlüsselt”

…kann alles bedeuten.

“Verschlüsselt” kann ein MD5-Hash sein, der via eine Google Suche oft schon das Passwort ergibt.

Los, gib mal 5f4dcc3b5aa765d61d8327deb882cf99 auf Google ein.

“Verschlüsselt” kann aber auch bedeuten, dass ein Rechner viele Jahre brauchen würde, bis er das Passwort herausfindet.

Und das stört mich am Umgang von Unternehmen mit Data Breaches:

Wie soll ich wissen, ob die Angreifer mein Passwort schon im Klartext haben, oder ob sie Jahre brauchen, bis es tatsächlich kritisch wird? Ich hätte hier gerne eine technische Einschätzung auf einer Skala von “wir haben fahrlässig agiert” bis “schau halt in 400 Jahren, ob irgendetwas passiert ist”. Dadurch könnte man auch sagen, wie gut das Unternehmen Security-technisch aufgestellt ist. Und ggf. nie wieder dort kaufen / einloggen.

Aber gut – egal wie das Passwort gespeichert war:

  • Ändere alle Passwörter auf Plattformen, wo du das selbe Passwort verwendet hast
  • Lege dir einen Passwortmanager wie LastPass oder 1Password zu

Aber das war’s eigentlich schon. Du könntest noch deinen Account löschen (das Recht hast du natürlich durch das Datenschutzgesetz), aber das wird deine Kundendaten nicht aus dem Hack entfernen.

Die Katze ist aus dem Sack.

Pandoras Büchse geöffnet.

Das Leben danach

Je nachdem, ob dir ein künftiger Identitätsdiebstahl (wie beim Equifax-Hack) bevorsteht, oder der dritte Account links außen erwischt wurde, solltest du mehr oder weniger Angst haben.

Aber sei dir gleichzeitig bewusst:

Es wird jeden treffen, das gehört inzwischen zu einem Online-Leben dazu. Erst wenn du wirklich gehackt wurdest, ist Feuer am Dach.

Nicht alles ist negativ

Auch wenn es in meinen Artikeln so klingt, es gibt auch Positivbeispiele im Umgang mit Kundendaten:

Github erlaubt zum Beispiel keine Passwörter mehr, die bereits in einem Data Breach zu finden waren. Das macht die Plattform selbst nicht sicherer, reduziert aber die Angriffsfläche für den einzelnen User, sollte doch einmal etwas passieren.

❓ Jetzt interessiert mich aber noch: warst du bereits in einem Data Breach? Sind deine Kundendaten irgendwo im Umlauf? Hast du schon negative Folgen dadurch erfahren?

Feedback oder Fragen?

Schreib mir auf Social Media oder E-Mail:

Keine Posts verpassen!

Jetzt eintragen und wöchentlich die Hacks der Woche, sowie neue Blogposts erhalten!

...oder direkt zum Erstgespräch:

Im Erstgespräch lernen Sie mich und meine Philosophie kennen, und wir diskutieren kurz, wie ich Ihnen helfen kann. Damit Sie und Ihr Unternehmen:

  • Sicherer werden
  • Im Extremfall schnell wieder einsatzfähig sind
  • Nicht bei jedem Artikel über Hacking froh sein müssen, dass es diesmal wieder nicht Sie erwischt hat
Jetzt gratis Erstgespräch buchen!

Hacking-
Vorfall?