Schützen Sie sich und Ihre Kunden vor Identitäts- und Datendiebstahl

Veröffentlicht: 2016-06-17

Pssst … 25 Millionen E-Mail-Adressen und Passwörter kaufen wollen? Wie wäre es mit streng vertraulichen Finanzdaten Ihres größten Konkurrenten?

Vermarkter arbeiten heute hart daran, detaillierte Informationen über ihre Kunden zu sammeln, damit wir die richtigen Personen in den richtigen Konten finden und ihre Interessen mit personalisierten Inhalten ansprechen können. Zunehmend speichern wir mehr persönliche, geschützte Informationen.

Aber – es scheint kein Tag zu vergehen, an dem nicht ein neuer Fall von Datendiebstahl bei einem Unternehmen auftaucht. Wenn Ihr Unternehmen viele Daten speichert, sind Sie ein attraktives Ziel für Online-Identitäts- und Datendiebe. Daten und Informationen sind heute die Währung des Internets, und die Bösewichte wollen so viel wie möglich davon bekommen. Mehr denn je müssen Sie darauf achten, wie Sie Verbraucher- und Geschäftsdaten beschaffen, speichern – und schließlich vernichten.

Die Größe der Bedrohung durch Identitäts- und Datendiebstahl

Das Identity Theft Resource Center (ITRC) sammelt und listet Datenschutzverletzungen auf, die von verschiedenen Medienquellen und/oder Benachrichtigungslisten staatlicher Behörden bestätigt wurden. Diese Liste wird täglich aktualisiert und jeden Dienstag veröffentlicht.

Laut ITRC gab es im Jahr 2015 781 Verstöße.

  • Mit fast 40 Prozent der öffentlich gemeldeten Verstöße im Jahr 2015 führte der Unternehmenssektor erneut die Liste der Sicherheitsverletzungen an, was einer Steigerung von 8,1 Prozent gegenüber den Zahlen von 2014 entspricht.
  • Der Gesundheits-/Medizinsektor verzeichnete 35,5 Prozent aller Verstöße insgesamt, ein Rückgang von 8,6 Prozent gegenüber einem Rekordhoch von 44,1 Prozent im Jahr 2014.
  • Der Banken-/Kredit-/Finanzsektor lag mit 9,1 Prozent der Verstöße an dritter Stelle, mit fast doppelt so vielen Verstößen wie 2014. Es war das erste Mal, dass diese Branche unter den ersten drei rangierte.

„Sicherheitsverletzungen sind zur dritten Gewissheit im Leben geworden“, sagte Adam Levin, Vorsitzender und Gründer von IDT911, einem Anbieter von Identitäts- und Datenschutzverletzungsdiensten. „Man kann davon ausgehen, dass die tatsächliche Zahl der Verstöße viel höher ist als die gemeldeten.“

Zu den aufsehenerregenden Verstößen im Jahr 2016 gehören bisher das US-Justizministerium (10.000 Mitarbeiter des Heimatschutzministeriums, 20.000 FBI-Mitarbeiter), Snapchat (700 aktuelle und ehemalige Mitarbeiter), Verizon Enterprise Solutions (etwa 1,5 Millionen Kunden) und die philippinische Kommission on Elections (die persönlichen Daten jedes einzelnen Wählers auf den Philippinen – etwa 55 Millionen Menschen) und vieles mehr.

Art des Datendiebstahls

Unabhängig von Ihrer Branche wirkt sich die Verletzung Ihrer eigenen Daten oder der Ihrer Klienten oder Kunden auf Ihr Endergebnis aus. Markenschutz und Data Stewardship sind die Bausteine ​​für den digitalen Markt. Ohne diese Grundsätze können (und werden) Ihre Kunden beginnen, Ihr Engagement für ihre Datensicherheit in Frage zu stellen.

Also, was sind die bösen Jungs hinterher?

Diebe zielen auf persönliche, finanzielle und andere persönlich identifizierbare Informationen (PII) ab, einschließlich:

  • Namen und Adressen
  • Telefonnummer
  • E-mailadressen
  • Sozialversicherungsnummern
  • Bankkontonummern
  • Kredit- und Debitkartennummern
  • Kontokennwörter
  • Sicherheitsfragen und Antworten

Wie funktionieren Datenschutzverletzungen?

Angriffe können viele Formen annehmen und können speziell kombiniert werden, um unter bestimmten Umständen einen mehrgleisigen Ansatz für den Vorfall bereitzustellen. Dazu gehören, sind aber nicht beschränkt auf.

Phishing

Phishing-Betrug sind in der Regel betrügerische E-Mail-Nachrichten, die scheinbar von seriösen Unternehmen (z. B. Ihrer Universität, Ihrem Internetdienstanbieter, Ihrer Bank) stammen. Klicken Sie auf einen Link in der Nachricht – dann bricht die Hölle los und Sie könnten ausgeräumt werden. Die Verletzung von SnapChat war ein Phishing-Vorfall.

Hacken

Hacking und Hacker werden am häufigsten mit böswilligen Programmierangriffen auf das Internet und andere Netzwerke in Verbindung gebracht. Dies führt zu vielen Problemen, die sich auf Infrastruktur und Software auswirken können.

Malware

„Malware“ ist ein abgekürzter Begriff, der „bösartige Software“ bedeutet. Hierbei handelt es sich um Software, die speziell darauf ausgelegt ist, sich ohne Wissen des Besitzers Zugang zu einem Computer zu verschaffen oder diesen zu beschädigen. Die jüngste Twitter-Datenpanne (Juni 2016) – 32 Millionen Twitter-Anmeldeinformationen werden jetzt im Dark Web verkauft – scheint das Ergebnis von Hackern zu sein, die Browser wie Firefox und Chrome mit Malware infizieren.

Malvertising

Ist die Verwendung von Online-Werbung zur Verbreitung von Malware. Beim Malvertising wird bösartiger Code eingeschleust, der sich unentdeckt verstecken kann. Der Benutzer hat keine Ahnung von möglichen Schäden, die verursacht werden können. Sie können dies von einer bösartigen Anzeige auf einer vertrauenswürdigen Website abholen.

Ransomware

Hierbei handelt es sich um eine Art bösartiger Software, die darauf ausgelegt ist, den Zugriff auf ein Computersystem zu blockieren, bis ein Geldbetrag bezahlt und die Blockierung aufgehoben wird. Forscher von Trend Micro haben kürzlich eine aktualisierte Version von FLocker entdeckt, einer Android-Ransomware für die Bildschirmsperre, die auch Smart-TVs sperren kann. „FLocker wird versuchen, Sie davon zu überzeugen, dass Sie etwas Illegales mit Ihrem Fernseher gemacht haben, und Ihnen anbieten, sich durch die Zahlung des Lösegelds davon zu befreien. Nicht in Bitcoin wie die meisten Ransomware: Diese fordert iTunes-Geschenkkarten im Wert von 200 $.“

Hardware-Diebstahl

Gestohlene Laptops, Festplatten etc. können eine Fundgrube für ungesicherte Daten und Informationen sein.

Ausnutzung der unbeabsichtigten Freisetzung

Diese Risikokategorie umfasst Datenverlust, unsachgemäße Entsorgung digitaler Assets und andere Unfälle oder Mitarbeiterdiebstahl.

Sobald sie Zugriff auf die Daten haben, verwenden Diebe die gestohlenen Daten, um:

  • Missbrauchen Sie die Identitäten von Personen
  • Finanzbetrug begehen – alle Formen und Arten
  • Verwenden Sie gestohlene Informationen, um weitere Verbrechen zu begehen
  • Geld waschen
  • Sich zum Zwecke des Stalkings und der Belästigung als Personen ausgeben
  • Führen Sie terroristische Aktivitäten durch
  • Unternehmens- und andere Arten der Manipulation

Sobald es zu Datenschutzverletzungen kommt, betreffen sie jeden Aspekt Ihres Unternehmens und wirken sich direkt auf viele Funktionsbereiche aus, darunter Recht, Finanzen, IT, Marketing, Vertrieb und Dienstleistungen.

Was können Sie tun, um Datendiebstahl zu verhindern?

Es gibt nichts, was dich kugelsicher macht. Allerdings gibt es ein paar einfache Schritte, mit denen Sie große Fortschritte beim Schutz Ihrer Marke, Ihrer Kunden und letztendlich Ihres Rufs machen können.

Hier ist eine praktische To-Do-Liste für Ihre Überprüfung:

  • Ihr entscheidender erster Schritt: Technische Sicherheit. Überprüfen Sie alle Ihre potenziellen internen Schlupflöcher
  • Führen Sie eine umfassende Risikobewertung durch, um Bedrohungen zu identifizieren, potenzielle Schäden zu analysieren und zu ermitteln, welche angemessenen Maßnahmen zur Minderung Sie im Falle eines Verstoßes ergreifen würden
    • Verstehen Sie die Rechtslandschaft
    • Implementieren Sie Richtlinien und Verfahren im Einklang mit den rechtlichen Aspekten
  • Aktualisieren Sie Ihre Antiviren-Technologie und halten Sie sie auf dem neuesten Stand
  • Schulen Sie Ihre Mitarbeiter, um sicherere Gewohnheiten und Bewusstsein im Umgang mit Daten aufzubauen
  • Entwickeln Sie ein schriftliches Informationssicherheitsprogramm und eine Reaktion auf Vorfälle
    • Überprüfen Sie das Programm regelmäßig, um sich vor neuen und sich entwickelnden Bedrohungen zu schützen
    • Machen Sie sich klar, was Ihr Plan ist, um eine oder mehrere Bedrohungen zu isolieren und abzuschwächen.
  • Fordern Sie Ihre Anbieter auf, die besten Sicherheitspraktiken anzuwenden
    • Machen Sie diese Anforderungen zu einem Bestandteil Ihrer Vertragssprache und schließen Sie Strafen für die Nichteinhaltung ein
  • Machen Sie den Datenschutz zu einem Unternehmensmandat für die Einführung – erstellen Sie ein Team für Datenschutzverletzungen und geben Sie ihm die Befugnis, Änderungen vorzunehmen, wenn dies aus Sicherheitsgründen erforderlich ist

Es gibt viele Unternehmen und Organisationen, die Dienste und Informationen zu Datenschutzverletzungen anbieten. Die Online Trust Alliance hat einige großartige Informationen darüber, wie Sie sich online schützen können, und bietet auch einige großartige Einblicke in die Planung des Bewusstseins für Datenschutzverletzungen.

Denken Sie daran, dass es in unserer digitalen Wirtschaft nicht um das „Ob“ geht, sondern um das „Wann“ ein Verstoß eintritt. Wie John Chambers, seit 20 Jahren CEO von Cisco, einst sagte: „Es gibt zwei Arten von Unternehmen: solche, die gehackt wurden, und solche, die nicht wissen, dass sie gehackt wurden.“

Beifall,

David