Cyber-Kriminalität
Erkennen Sie Ihre Daten?
Nachdem Europcar mit (angeblich) gestohlenen Daten erpresst werden sollte, stellt sich die entscheidende neue Frage: Kann Ihr Unternehmen in einer solchen Lage (zeitnah) prüfen, ob die fraglichen Daten echt sind? Ein paar Empfehlungen.
Save to Folio
Ende Januar wurden in einem Untergrundforum angeblich gestohlene Daten von rund 50 Millionen Europcar-Kunden angeboten. Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handle. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt. Während Europcar die Vermutung äußerte, dass diese Daten mittels generativer KI (z.B. ChatGPT) erzeugt wurden, sind andere Sicherheitsforscher der Meinung, dass hier keine KI am Werk war. Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden. Auch im Forum kam schnell der Verdacht auf, dass die zum Kauf angebotenen Daten nicht authentisch seien, was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde.
Ein Krimineller hatte offenbar versucht, andere Kriminelle zu betrügen. Man kann nur hoffen, dass es noch keine Käufer gab. Auch zeigt der Fall, dass der Begriff der „Ehre“ unter Kriminellen lediglich eine Mär ist. Und nicht zu vergessen, bei einem Ransomware-Angriff hat auch die Herausgabe des Schlüssels gegen Lösegeld nichts mit Ehre zu tun, sondern gehört schlicht und einfach zum Geschäftstrieb von Kriminellen: Würde es sich nämlich herumsprechen, dass trotz Zahlung kein Schlüssel ausgehändigt wurde, wäre das geschäftsschädigend.
Im aktuellen Fall ist die Reaktion von Europcar für die Verteidiger interessant. Das Unternehmen machte schnell und sehr deutlich klar, dass die Daten nicht echt waren. Der Vorfall zeigt aber auch, dass Kriminelle sehr wohl gefälschte Daten produzieren - sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potenzielle Opfer damit zu erpressen.
Und genau hier wird es spannend. Die entscheidende Frage ist: Kann Ihr Unternehmen in einer solchen Lage (zeitnah) prüfen, ob die Daten, mit denen Sie erpresst werden, echt sind? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden. Und diese Nervosität erhöht unter Umständen die Wahrscheinlichkeit, dass gezahlt wird - nur so als Failsafe-Lösung.
Zwei wichtige Schlussfolgerungen:
Dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, muss in die Risikobetrachtung einbezogen werden. Zudem sollten entsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden. Passiert dies nicht, kann es schnell sein, dass z.B. das beauftragte Incident Response Team die Daten nicht schnell genug verifizieren kann, weil z.B. die Datenbanken technisch nicht zugänglich sind.
Ein weiterer Aspekt gerade bei personenbezogenen Daten ist sicherlich die DSGVO. Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?
Tipps zum Weitergeben:
- Ziehen Sie die Möglichkeit in Betracht, mit (angeblich) gestohlenen, nicht echten Daten erpresst zu werden.
- Definieren Sie vorab Prozesse, mit denen Incident Responder im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.