Data Breaches in IT Systems
Total Page:16
File Type:pdf, Size:1020Kb
Data Breaches in IT Systems Magdalena Neumann Betreuer: Heiko Niedermayer Seminar: Innovative Internettechnologien und Mobilkommunikation SS2016 Lehrstuhl Netzarchitekturen und Netzdienste Fakultät für Informatik, Technische Universität München Email: [email protected] KURZFASSUNG denen Kosten fur¨ Unternehmen, aber auch fur¨ die direkt Datenpannen haben sich im letzten Jahrzehnt zunehmend Betroffenen diskutiert. Abschließend werden die Ergebnisse zu einem schwerwiegenden Problem entwickelt. Obwohl der zusammengefasst und Erkenntnisse abgeleitet. Diebstahl von Daten nicht immer nur aus finanziellen Grun-¨ den erfolgt, entstehen meist hohe Kosten fur¨ die Gesch¨adig- 2. GRUNDLAGEN ten. Diese Arbeit ordnet den Begriff Datenpanne ein, stellt Mit der steigenden Zahl an Datenpannen ist es aus analyti- aktuelle Zahlen vor und besch¨aftigt sich mit der Frage, wie scher Sicht von großer Bedeutung, s¨amtliche gemeldete F¨alle sich der Trend in den letzten Jahren entwickelt hat. Dabei sinnvoll zu erfassen und einzuordnen. Dabei gilt es in erster werden zwei verschiedene Datensammlungen genauer unter- Linie zu uberpr¨ ufen,¨ ob es sich definitionsgem¨aß uberhaupt¨ sucht und Gemeinsamkeiten sowie vor allem Unterschiede um eine Datenpanne handelt und welcher Kategorie diese vorgestellt. Insgesamt wird die Problematik der Vergleich- zuzuweisen ist. Hierfur¨ werden in diesem Kapitel zun¨achst barkeit thematisiert. Zus¨atzlich wird der Umgang mit Da- verschiedene Definitionen vorgestellt. Anschließend werden tenpannen in der Realit¨at anhand zweier bekannter Vorf¨alle unterschiedliche M¨oglichkeiten zur Klassifizierung betrach- gezeigt und daraus resultierende Herausforderungen, sowie tet. In einer kurzen Ubersicht¨ werden konkrete Zahlen und die rechtliche Situation in verschiedenen L¨andern und ent- ein m¨oglicherweise erkennbarer Trend veranschaulicht. stehende Kosten fur¨ Beteiligte analysiert. 2.1 Definitionen Schlüsselworte In der Literatur finden sich viele verschiedene Formulierun- Datenpannen, LinkedIn Hack, Sony Pictures Entertainment gen, die den Begriff Data Breach“ beschreiben. In [28] wird ” Hack, Privacy Rights Clearinghouse, World’s Biggest Data z.B. folgende Definition festgelegt: Breaches The term “data breach“ means the loss, theft, or ” 1. EINLEITUNG other unauthorized access, other than those inci- Seit 2005 werden Datenpannen von der Privacy Rights Clea- dental to the scope of employment, to data con- ringhouse Organisation in einer der gr¨oßten Sammlungen an taining sensitive personal information, in electro- Datenlecks erfasst und analysiert. Bei der Betrachtung der nic or printed form, that results in the potential Entwicklung der Datenmenge, die gehackt wurde bzw. an- compromise of the confidentiality or integrity of derweitig ungewollt abhanden kam, f¨allt auf, dass bis 2012 the data.“ die Anzahl der Datenpannen gestiegen ist [8]. Allein im Jahr 2008 wurden so viele Datens¨atze gestohlen, wie in den vier vorhergehenden Jahren zusammen [30]. Dabei ist nicht jeder Diese Beschreibung bezieht einen (nicht unbedingt absicht- Verlust an Daten auf einen Hack zuruckzuf¨ uhren.¨ Tats¨ach- lichen) Verlust explizit mit ein. Damit z¨ahlen beispielsweise lich geht aus dem Datensatz der in [1] erfassten Datenpannen auch verloren gegangene Datentr¨ager als Datenpanne. Im hervor, dass jeder zehnte Eintrag durch versehentliche Ver- Gegensatz hierzu wird in [9] folgende Definition verwendet: ¨offentlichung entstand. Aus diesem Grund ist besonders fur¨ Unternehmen, die große Mengen an sensiblen Daten verwal- A data breach is an incident where informati- ” ten, interessant, welche Arten von Datenpannen auftreten on is stolen or taken from a system without the k¨onnen, welche Kosten entstehen, ob Trends in diesem Be- knowledge or authorization of the system’s ow- reich feststellbar und welche Vorhersagen daraus ableitbar ner.“ sind. Hat ein Unternehmen ein Datenleck entdeckt, so sind abh¨angig vom Standort außerdem gesetzliche Richtlinien be- zuglich¨ der Inkenntnissetzung der Betroffenen einzuhalten. Dabei beschr¨ankt sich die Formulierung auf den aktiven In dieser Ausarbeitung soll deshalb zun¨achst ein Uberblick¨ Eingriff durch Stehlen oder anderweitiges Entwenden, so- rund um die Grundlagen von Datenpannen gegeben, sowie dass z.B. versehentlich abhanden gekommene Laptops nicht aktuelle Zahlen, Fakten und Trends veranschaulicht werden. den Forderungen der Definition genugen.¨ Fur¨ weitere De- Anschließend werden zwei konkrete Fallbeispiele im Detail finitionen sei auf die Internationale Organisation fur¨ Nor- betrachtet. In Kapitel 4 werden die verschiedenen Heraus- mung (ISO)[16] und im weiteren Sinne auch auf das deut- forderungen und Probleme insbesondere durch die entstan- sche Bundesdatenschutzgesetz (BDSG)[6] verwiesen. Da in Seminars FI / IITM SS 16, 63 doi: 10.2313/NET-2016-09-1_09 Network Architectures and Services, September 2016 den meisten Sammlungen an Datenpannen durchaus zwi- Anzahl an Brute Force Angriffen gewunscht¨ sind oder m¨og- schen absichtlichem Entwenden und versehentlichem Verlust lichst genaue Prognosen fur¨ die Zukunft abgeleitet werden unterschieden wird, wird in dieser Ausarbeitung die in [28] sollen. formulierte Begriffserkl¨arung als Grundlage fur¨ die kommen- den Kapitel verwendet. 2.3 Datentypen Um entscheiden zu k¨onnen, wie schwerwiegend eine Daten- 2.2 Kategorien panne ist, muss bei der Erfassung der Daten anhand ihres Im Jahr 2013 wurde bekannt, dass Mitglieder der Social Me- Datentyps unterschieden werden. In der von [1] erstellten dia Plattform Facebook aufgrund eines Fehlers im System Sammlung wird hierbei jeder Datensatz mit Hilfe eines Sen- mit Hilfe eines Buttons ihre pers¨onlichen Profilinformatio- sibilit¨atswertes gekennzeichnet. E-Mail Adressen und On- nen herunterladen konnten, die f¨alschlicherweise auch pri- line Informationen wie beispielsweise Benutzernamen (ohne vate Daten wie Telefonnummern und E-Mail Adressen von Passwort) werden als eher harmlos eingestuft (Wert 1), w¨ah- Freunden enthielten. Insgesamt waren rund 6 Millionen Da- rend Kreditkartennummern (Wert 3000) und E-Mail Pass- tens¨atze betroffen[11]. Im selben Jahr wurden bis zu 2 Millio- w¨orter (Wert 4000) als besonders sensible Daten gesehen nen Datens¨atze durch einen internen Mitarbeiter bei Voda- werden. Laut dem California Data Breach Record 2016 sind fone entwendet[23]. Beide F¨alle haben gemein, dass sie unter Sozialnummern mit einer Gesamtheit von 24 Millionen Da- den Begriff Datenpanne“ fallen. Sie unterscheiden sich je- ” tens¨atzen die am h¨aufigsten durch Datenpannen betroffene doch in Art und zu Grunde liegendem Ablauf. Wie bereits in pers¨onliche Information [27]. 39% der betrachteten F¨alle ent- 2.1 angedeutet und auch in [26] zu finden, lassen sich diese in halten Kreditkarteninformationen, 19% medizinische Daten zwei große Kategorien einordnen: b¨osartig (malicious) und [27]. fahrl¨assig (negligent). Diese grobe Einteilung l¨asst sich wie- derum, wie in Tabelle 1 aufgelistet, angelehnt an die in [1] verwendete Untergliederung weiter verfeinern. W¨ahrend die- 2.4 Allgemeiner Ablauf Je nach Art der Datenpanne l¨asst sich ein Muster bezug-¨ lich des Ablaufs erkennen. Bei Betrachtung der Angriffe der Tabelle 1: Verfeinerung der Kategorien Kategorie B¨osartig aus Tabelle 1 lassen sich diese mit drei B¨osartig aufeinanderfolgenden Schritten beschreiben [9]. Generell un- terscheidet sich die L¨ange der einzelnen Schritte stark [30]. Hacks Insider Diebstahl Schritt 1: Recherche Der Angreifer sucht nach M¨oglichkeiten in das Ziel- Fahrl¨assig system einzudringen. Die dafur¨ eingesetzte Vorberei- Versehentlich ver¨offentlicht tungszeit bewegt sich haupts¨achlich zwischen mehre- Konfigurationsfehler ren Stunden bis hin zu Monaten [30]. Verlust Schwache Sicherheit Schritt 2: Angriff Fur¨ gefundene Schwachstellen im Bereich der Infra- se Unterteilung den Fokus auf die Intention der am Daten- struktur werden gezielt Angriffe in Form von beispiels- leck Beteiligten legt, wird in [30] nach Art der Herkunft ka- weise SQL Injection oder Session Hijacking eingesetzt. Weitere Varianten sind Tauschungsversuche mit Hilfe tegorisiert. Dabei z¨ahlen Angriffe von Hackern, kriminellen ¨ von Phishing oder Spam. Fur detaillierte Erklarungen Organisationen und auch h¨ohere Gewalt wie das Wetter zur ¨ ¨ Kategorie Extern, Datenpannen von Mitarbeitern innerhalb dieser Angriffe sei auf [25] verwiesen. In 77% der F¨alle eines Unternehmens wie z.B. Administratoren mit hohen Zu- erfolgt der Zugriff dabei innerhalb von wenigen Tagen, griffsrechten zu Intern und von Partnerunternehmen ausge- knapp ein drittel erfordert nicht einmal eine Stunde [30]. hende Attacken zu Partner. Eine weitere M¨oglichkeit besteht darin in Softwarebasiert (Hacks und Malware), Hardwareba- Schritt 3: Datentransfer siert (Diebstahl und Verlust) und menschliche Unachtsam- Sobald der Zugriff in Schritt zwei erlangt wurde, erfolgt keit (Fehler und versehentliche Weiterleitung)[27] zu unter- der eigentliche Diebstahl der Daten, indem der Angrei- teilen. Generell kann eine Datenpanne auch eine Verkettung fer die Daten aus dem Zielsystem heraus transferiert. mehrerer Punkte aus verschiedenen Kategorien umfassen. Die Zeitspanne hierfur¨ erstreckt sich oft bis zu dem Dies wird beim Betrachten des auf das LinkedIn Profil des Zeitpunkt, an dem der Angegriffene die Attacke be- Facebookinhabers Mark Zuckerberg ausgefuhrten¨ Hacks in merkt und unterbindet. Bei knapp 50% der Datenpan- Abschnitt 3.2 deutlich. nen l¨auft diese Phase sogar uber¨ mehre Monate, wobei zwischen dem Entdecken des Problems und Schließen