Schlagwort-Archive: DSGVO

Fehlkonfigurierter AWS Cloud-Speicher: Daten von britischen Pendlern exponiert

Originalartikel von Trend Micro

Daten von britischen Pendlern, die das kostenlose WLAN in von Network Rail gemanagten Bahnhöfen (darunter London Bridge, Chelmsford, Colchester, Harlow Mill, Wickford, und Waltham Cross) nutzen, wurden aufgrund eines ungesicherten Cloud-Speichers von Amazon Web Services (AWS) unbeabsichtigt öffentlich einsehbar. Dies berichtet der Sicherheitsforscher Jeremy Fowler. Zu den exponierten Daten gehören solche zu Reisegewohnheiten der Pendler und Kontaktinformationen wie Email-Adressen oder Geburtsdaten. Ungefähr 10.000 Benutzer waren betroffen. Der Forscher entdeckte die Datenbank im Internet und stellte fest, dass sie nicht passwortgeschützt war. Die ungesicherte Datenbank könnte einen sekundären Einstiegspunkt für eine Malware-Infektion darstellen, so der Sicherheitsexperte.

Die undichte Stelle wurde dem WLAN-Provider C3UK gemeldet. Dieser erklärte, er sei der Meinung gewesen, der Speicher sei nur für ihn und das Sicherheitsteam zugänglich, und er wusste nicht, dass die Informationen öffentlich einsehbar wurden.

Die Firma hat inzwischen die exponierte Datenbank gesichert und behauptet, es handele sich dabei um eine Sicherungskopie der eigentlichen Datenbank. Der Anbieter gab auch bekannt, das Büro des britischen Datenschutzbeauftragten (Information Commissioner’s Office, ICO) nicht über den Vorfall zu informieren, da die exponierten Daten weder gestohlen wurden, noch hätten Dritte darauf zugegriffen.

Sicherheit für Cloud-Speicher

Die Risiken, die von ungesicherten Daten ausgehen, machen deutlich, wie wichtig es ist, die Compliance zu den Vorschriften zum Schutz der Daten und der Privatsphäre zu gewährleisten, so wie es die Datenschutz-Grundverordnung (DSGVO), der Datensicherheitsstandard der Zahlungskartenindustrie (PCI-DSS) und der Health Insurance Portability and Accountability Act (HIPAA) vorgeben. Diese Vorschriften fordern von den Unternehmen eine adäquate Sicherung von persönlich identifizierbaren Informationen, wobei jede Verletzung von Compliance-Anforderungen zu einer Geldstrafe führen kann.

Um Cloud-Speicherplattformen bestmöglichst zu schützen, sollten Unternehmen Best Practices für die stärkere Kontrolle der Authentifizierung und des Identitäts- und Zugriffsmanagements umsetzen. Zudem ist eine sorgfältige Konfiguration der Sicherheitseinstellungen von zentraler Bedeutung.

Zusätzlich unterstützen Sicherheitslösungen, die speziell für Cloud-Umgebungen konzipiert sind, Unternehmen beim Schutz ihrer Daten. Trend Micro Cloud One™ Cloud Conformity Security ist darauf ausgerichtet, Sicherheit für die Cloud-Infrastruktur in Echtzeit zu gewährleisten. Zudem unterstützt sie durch die Automatisierung von Sicherheits- und Konformitätsprüfungen Unternehmen bei der Einhaltung von Vorschriften wie DSGVO, PCI-DSS, HIPAA und bei der Umsetzung der branchenüblichen Best Practices für Cloud-Plattformen und -Dienste. Auch bietet die Lösung vollständige Transparenz, ein vereinfachtes Reporting und nahtlose Workflow-Integration.

Der Einsatz weiterer Lösungen für die Cloud fügt eine zusätzliche Schutzschicht hinzu. Trend Micro™ Cloud One™ File Storage Security sichert Cloud-Datei- und Objekt-Storage. Trend Micro™ Hybrid Cloud Security sichert hybride Umgebungen für physische, virtuelle und Cloud-Workloads. Trend Micro™ Deep Security™ for Cloud dient der proaktiven Erkennung auch von unbekannten Bedrohungen, während Trend Micro™ Deep Security as a Service speziell auf den Schutz von AWS, Azure und VMware-Systemen ausgerichtet ist.

Erpressung in einer neuen Dimension

Kommentar von Richard Werner, Business Consultant, via blog.trendmicro.de

Die Diskussion über Datensicherheit im Zusammenhang mit der Datenschutz Grundverordnung wird in Deutschland, Österreich und anderen Teilen der Welt gerade mit viel Verve geführt, da überrascht Bloomberg mit einer Nachricht: Offensichtlich hat die Firma Uber Technologies Hacker dafür bezahlt, die von ihnen gestohlenen Daten personenbezogener Art nicht zu veröffentlichen. Das Unternehmen selbst bestätigt, dass etwa 50 Millionen Uber-Nutzerkonten weltweit vom Diebstahl betroffen und dass es sich bei den „verlorenen“ Daten um solche wie Namen, Adressen und E-Mailadressen handelt. Ebenfalls immer noch typische Abwiegelung eines betroffenen Unternehmens: Keine Social Security-Nummern, Kreditkarteninformationen oder Standortdaten wurden gestohlen. Ist der Vorfall dann also harmlos?

In den USA bricht gerade ein Sturm der Entrüstung über Uber herein, weil die Verantwortlichen lieber 100’000 $ an Kriminelle zahlten, als ihrer gesetzlichen Verpflichtung nachzukommen und die Betroffenen zu informieren.

Weiterlesen