Im vergangenen Jahr 2008 gab es mehr Fälle von Datenklau als in den vier vorangegangenen Jahren zusammen. Dies geht aus dem Business Data Breach Investigations Report 2009 von Verizon Business Security Solutions hervor. Der Bericht analysiert für 2008 90 Fälle, bei denen Unberechtigte Zugang zu vetraulichen Daten erlangten – dabei waren 285 Millionen Datensätze betroffen. Zum Vergleich: Von 2004 bis 2007 kamen 230 Millionen Datensätze in die falschen Hände.
Laut dem Bericht stammten 93 Prozent der betroffenen Records aus Finanzinstitutionen. Bei 91 Prozent war die organisierte Kriminalität im Spiel. Angriffe mit gezielt programmiertem Schadcode haben sich im letzten Jahr verdoppelt. Am meisten wurden nicht geänderte Standard-Logins und SQL Injections als Einfalltor genutzt.
Erstaunlicherweise erfolgt der Datenklau grossmehrheitlich nicht etwa über Angriffe auf Desktops, Laptops und Smartphones oder durch Diebstahl von Wechseldatenträgern. Bei 99 Prozent der gestohlenen Datensätze erfolgte der Angriff über Server und serverbasierte Anwendungen.
Eine weitere pikante Erkenntnis: Die meisten betroffenen Firmen wären eigentlich zur Einhaltung des Sicherheitsstandards der Kreditkartenindustrie verpflichtet (PCI DSS). Bei 81 Prozent war dies aber nicht der Fall – zumindest vor der Entdeckung des Datenverlusts.
Verizon empfiehlt abschliessend, doch wenigstens die grundlegenden Sicherheitsmassnahmen zu treffen und zählt die wichtigsten Punkte auf: Keine Default-Logins und niemals die gleichen Login-Angaben für verschiedene Personen verwenden, die eingesetzten Anwendungen testen und per Code Review auf Sicherheitsmängel prüfen, intelligentes Patch Management betreiben, klare Prozesse beim Ausscheiden von Mitarbeitenden festlegen sowie den Zugriff auf alle Anwendungen protokollieren und überwachen.
