Datenschutz-Glossar

Datenpanne

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist eine Datenpanne?

Der unbefugte Zugriff auf oder die Freigabe sensibler Informationen, häufig aufgrund eines Cyberangriffs oder menschlichen Fehlers. Datenpannen treten auf, wenn Daten, die in einem System (häufig dem eines Unternehmens oder einer Regierung) gespeichert sind, in unbefugte Hände gelangen. Eine Datenpanne kann sowohl für die Eigentümer der Datenbank als auch für die Personen, deren Daten freigegeben wurden, schädlich sein.

Eine Datenpanne kann durch den physischen Diebstahl von Hardware oder durch ausgeklügeltes Hacking (manchmal sogar als “Insider-Job”) verursacht werden. Die kompromittierten Daten sind in der Regel sensibel—beispielsweise unternehmenseigenes geistiges Eigentum, Regierungsgeheimnisse oder Kundendaten wie Kreditkartennummern—und werden zur finanziellen Bereicherung genutzt. Die Daten können aber auch für soziale oder politische Zwecke genutzt werden.

Wie kommt es zu einer Datenpanne?

Eine Datenpanne kann auftreten, wenn ein Hacker eine Schwachstelle in den Cybersicherheitsystemen eines Unternehmens ausnutzt. Es kann so einfach sein wie ein gestohlener Laptop, der ungesicherte sensible Informationen oder Zugangsdaten enthält. Oder ein Mitarbeiter könnte versehentlich Daten an die falsche Person weitergeben oder sogar absichtlich Daten an einen Journalisten oder eine andere Organisation leaken. Phishing und social engineering werden auch häufig verwendet, um Login-Daten zu stehlen, die den Zugriff auf Daten ermöglichen.

Wofür werden die Daten verwendet?

Persönliche Daten—Namen, Sozialversicherungsnummern, Kreditkartennummern, Gesundheits- und Bankinformationen, Zugangsdaten und mehr—können alle benutzt werden, um von den Konten einer Person zu stehlen oder online verkauft zu werden. Unternehmens- und regierungsrelevante Daten könnten zum Zwecke von Whistleblowing oder Erpressung gestohlen werden. Manchmal werden gestohlene Daten nie tatsächlich veröffentlicht, aber die Drohung, dies zu tun, reicht aus, um Lösegeldzahlungen zu erpressen.

Für ein Unternehmen, das eine Datenpanne erlebt, können die Kosten Bußgelder, Vergleiche und Anwaltskosten, Reputationsschäden und Verlust von Kunden umfassen. Laut einer kürzlich durchgeführten Studie belaufen sich die durchschnittlichen Kosten einer Datenpanne für ein Unternehmen auf etwa 1,5 Millionen USD. Ein ransomware-Angriff kann noch teurer sein, da er auch den Lösegeldpreis beinhaltet.

Die finanziellen Kosten einer Datenpanne sind hoch, aber die zeitlichen und emotionalen Belastungen für eine Person, deren persönliche Daten kompromittiert wurden, können sich ebenfalls summieren.

Was tun Organisationen, um ihre Daten zu schützen?

Um Daten zu schützen, übernehmen Organisationen gute cybersecurity-Praktiken, wie die Einschränkung, wer Zugriff auf sensible Daten hat, und die Verwendung von erweiterten Anmeldeprotokollen wie der Multi-Faktor-Authentifizierung. Sie schulen auch Mitarbeiter zu Social-Engineering-Bedrohungen und wie physische Geräte wie Laptops oder Telefone gesichert werden können.

In letzter Zeit gibt es zunehmenden Druck auf Unternehmen, die Menge der gesammelten und gespeicherten Daten zu begrenzen. Dies hat positive Auswirkungen sowohl auf die privacy als auch auf die security. Je weniger Daten bei einer Panne offengelegt werden, desto weniger Schaden entsteht für alle Beteiligten.

Regulierungen zur Adressierung von Datenpannen

Einige Regierungen verlangen eine Benachrichtigung, wenn eine Datenpanne entdeckt wird, mit unterschiedlichen Regeln zur Geschwindigkeit, in der die Benachrichtigung erfolgt, Bußgeldhöhen und Abhilfemaßnahmen für Einzelpersonen. Diese Vorschriften gelten in der Regel nicht für verschlüsselte Daten, da verschlüsselte Daten nicht lesbar und somit kein Risiko sind.

Einige der größeren Vorschriften, die in den letzten Jahren erlassen wurden, umfassen:

  • DSGVO: verlangt die Benachrichtigung eines Verstoßes bei der zuständigen Behörde innerhalb von 72 Stunden und die Benachrichtigung der betroffenen Personen „unverzüglich“. Bußgelder für die Nichteinhaltung können 10 Millionen oder 20 Millionen Euro oder mehr betragen und variieren je nach “Art, Schwere und Dauer” der Panne.
  • CCPA: verlangt die Benachrichtigung der betroffenen Personen innerhalb von 72 Stunden und die Regierung, wenn es eine ausreichend große Bevölkerungsgruppe betrifft. Bußgelder werden direkt an betroffene Einzelpersonen gezahlt und können daher erheblich ansteigen, wenn die Datenpanne groß ist.
  • HIPAA: erfordert die Benachrichtigung des US-Gesundheitsministeriums und der betroffenen Personen innerhalb von 60 Tagen. Bußgelder basieren auf dem Schweregrad und der Anzahl der betroffenen Einzelpersonen und reichen von 100 bis 50.000 USD pro individuellem Verstoß, bis zu 1,5 Millionen USD.
  • CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act): ein US-Gesetz, das bestimmte Unternehmenssektoren verpflichtet, das Heimatschutzministerium innerhalb von 72 Stunden nach einer Panne zu benachrichtigen.

Was tun, wenn du eine Benachrichtigung über eine Datenpanne erhältst

Wenn du einen Brief oder eine E-Mail erhältst, dass deine personenbezogenen Daten von einem Verstoß betroffen sein könnten, ist der erste Schritt sicherzustellen, dass er echt ist und kein Phishing-Betrug. Wenn es echt ist, solltest du die vorgeschlagenen Maßnahmen ergreifen und sich für jegliche kostenlose Kreditüberwachung anmelden, die möglicherweise angeboten wird. Darüber hinaus solltest du Folgendes tun:

  • Ändere sofort dein Passwort auf dieser Webseite sowie auf allen anderen Seiten, auf denen du das gleiche Passwort verwendest. Ändere die PINs auf betroffenen Kredit- oder Debitkarten und auf allen anderen Karten, die die gleiche PIN haben. Und setze starke, einzigartige Passwörter und PINs für die Zukunft.
  • Überprüfe das Datum des Datenschutzverstoßes und überprüfe die Aktivität der betroffenen Konten ab diesem Datum. Achte auf ungewöhnliche Aktivitäten wie eine Adressänderung, Telefonnummer oder Rechnungsdetails.
  • Beachte, dass nicht alle Verstöße schnell entdeckt werden—es kann eine Verzögerung zwischen der Kompromittierung deiner Konten und der Benachrichtigung geben. Daher solltest du diese Überprüfung der Kontenaktivitäten regelmäßig wiederholen und monatliche Abrechnungen genau überprüfen, um ungewöhnliche Aktivitäten zu erkennen.
  • Bewahre das Benachrichtigungsschreiben über den Datenschutzverstoß auf, falls du in Zukunft einen Beweis benötigst, dass deine Daten kompromittiert wurden.
  • Melde Betrugswarnungen bei den großen Kreditauskunfteien, um sich vor jemandem zu schützen, der gestohlene Daten verwendet, um in deinem Namen einen Kredit oder eine Kreditkarte zu erhalten.

Wie kann ich meine persönlichen Informationen schützen?

Es gibt nicht viel, was du als Einzelperson tun kannst, um deine Daten zu schützen, sobald sie in der Datenbank von jemand anderem gespeichert sind—im Allgemeinen musst du dich darauf verlassen, dass der Eigentümer der Daten eine gute Cybersicherheits-Praxis anwendet. Du kannst jedoch vorsichtig sein, wo und wann du deine persönlichen Daten angibst, damit sie erst gar nicht einem Datenschutzverstoß ausgesetzt sind:

  • Verwende unterschiedliche Passwörter für jede Webseite und App. Verwende einen password manager, um all deine Passwörter sicher zu speichern und um zufällige, einzigartige Passwörter für jedes Konto und jede Webseite zu generieren, auf die du zugreifst. Wenn all deine Passwörter unterschiedlich sind, wird ein Verstoß, der ein Passwort offenlegt, nur dieses Konto kompromittieren.
  • Minimiere die Anzahl der Orte, an denen deine Daten gespeichert sind, um die mögliche Exposition gegenüber Datendiebstahl zu reduzieren. Richte beispielsweise automatische Zahlungen über das Zahlungssystem deiner Bank ein, anstatt auf jeder Konto-Website. Dies verringert die Anzahl der Datenbanken, auf denen deine Bankkontoinformationen gespeichert werden.
  • Aktiviere die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung für jedes Konto, das dies unterstützt. (Dies ist üblicherweise ein einzigartiger, einmaliger Zahlencode, der zusätzlich benötigt wird, bevor du Zugriff auf dein Konto auf einer Webseite oder App erhältst.) Selbst wenn ein Datenverstoß dein Passwort offenlegt, werden diejenigen, die dein Passwort erhalten, deinen zweiten Faktor nicht haben und somit dennoch daran gehindert, auf deine Konten zuzugreifen.

Die Verwendung eines Browsers mit starkem Datenschutz und Sicherheitsschutz, wie dem Brave Browser, wird auch das Risiko verringern, dass deine Daten in die falschen Hände geraten:

  • Der Brave Browser umfasst Sicheres Surfen, das helfen kann, Datenverletzungen zu verhindern, indem es vor bösartigen Websites schützt.
  • Brave’s integrierter Werbeblocker—Brave Shields—kann bösartige und irreführende Werbung blockieren, teilweise durch die Verwendung von Filterlisten. Es ist auch sicherer als Erweiterungen, die selbst neue Sicherheitsrisiken einführen können.
  • Brave aktualisiert Verbindungen automatisch auf das sicherere HTTPS. Prüfe, ob die URL mit https:// (nicht “http://”) beginnt. Dies zeigt an, dass Ihre Daten während der Übertragung verschlüsselt sind. Dies ist zwar keine Garantie dafür, dass Ihre Daten verschlüsselt gespeichert sind, könnte aber die Wahrscheinlichkeit verbessern.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.