- Anzeigen -


Sie sind hier: Home » Markt » Studien

Falsch konfigurierte Services


1,5 Mrd. geleakte Unternehmens- und Kundendokumente entdeckt
12.000 Terabyte an Daten sind über falsch konfigurierte Server wie FTP, SMB, rsync und Amazon S3 öffentlich zugänglich - Zu den exponierten Daten zählen Gehaltsabrechnungen, Steuererklärungen, Krankenakten, Kreditkarteninformationen sowie Firmengeheimnisse von Unternehmen


- Anzeigen -





Nur wenige Wochen vor Inkrafttreten von DSGVO skizzierte ein neuer Report von Digital Shadows den Umfang an personenbezogenen Daten, die im Open, Deep und Dark Web weltweit zu öffentlich zugänglich sind. Die Europäische Union ist mit 36,5Prozent und rund 537 Mio. Dokumenten am stärksten betroffen - rund 22Prozent der Dokumente (122.809.545 Mio. Dokumente) stammen aus Deutschland.

Insgesamt konnten die Threat Intelligence Experten von Digital Shadows in den ersten drei Monaten dieses Jahres über 1.550.447.111 vertrauliche Unternehmens- und Kundendateien mit über 12.000 Terabyte an Daten identifizieren. Zum Vergleich: Das sind 4.000-mal mehr Daten als bei den Panama Papers (2,6 Terabyte).

Die Dateien sind über offene Amazon Simple Storage Service (S3), rsync, SMB bzw. FTPserver, falsch konfigurierte Websites und Network Attached Storage (NAS)-Laufwerke öffentlich zugänglich. Die oft in die Negativschlagzeilen geratenen Cloud Online-Speicher von Amazon sind dabei nur in 7Prozent der Fälle betroffen. Stattdessen sind es ältere, aber immer noch weit verbreitete Technologien wie SMB (33Prozent), rsync (28Prozent) und FTP (26Prozent), auf denen die sensiblen Dateien am zu finden sind.

Zu den am häufigsten exponierten Dokumenten zählen Gehaltsabrechnungen (700.000 Dateien) und Steuererklärungen (60.000 Dateien). Aber auch persönliche Kontaktdaten (14.687 Dokumente) und Patientenlisten (4.548 Dokumente) fanden sich unter den Dateien. In einem konkreten Fall entdeckte Digital Shadows eine große Menge an Point-of-Sales(POS)-Terminaldaten, also Kundendaten, die an einer bargeldlosen Verkaufsstelle in einem Supermarkt oder in einer Filiale erfasst werden. Dazu zählen auch Transaktionsdaten, Uhrzeit, Ort und sogar Kredit- und Geldkarteninformationen.

Auf Unternehmensseite stellen öffentlich zugängliche Intellectual Property-Dateien, also geistiges Eigentum ein Risiko dar. Zu den brisanten Fundstücken zählt u. a. die Zusammenfassung eines Patents einer Lösung für erneuerbare Energien – ironischerweise mit dem Vermerk "streng vertraulich". Ein weiteres Beispiel ist proprietärer Quellcode, der im Rahmen einer Copyright-Anmeldung eingereicht wurde und Details zum Design und dem Workflow einer Website für Software Electronic Medical Records (EMR) enthält.

Häufigste Quelle exponierter Daten von Unternehmen sind Vertragspartner und Dritte. So wurden eine erschreckende Menge an Sicherheitsbewertungen und Ereignisse von Penetrationstests aufgedeckt. Darüber hinaus fand Digital Shadows falsch konfigurierte Kunden-Backups, die mit dem Internet verbunden sind und so unbeabsichtigt vertrauliche Informationen der Öffentlichkeit preisgeben.

"Während wir uns verstärkt darauf konzentrieren, unsere IT-Security auszubauen und neue Hackerangriffe abzuwehren, vergessen wir oft die Daten, die über falsch konfigurierte Services bereits im Umlauf sind", erklärt Rick Holland, Chief Information Security Officer bei Digital Shadows. "Gerade im Hinblick auf die bevorstehende Datenschutzgrundverordnung der EU und den damit verbundenen regulatorischen Auflagen sollte die große Menge an exponierter Daten, die online zu finden sind, jedem Unternehmen und jeder Organisation zu denken geben."
(Digital Shadows: ra)

eingetragen: 03.06.18
Newsletterlauf: 13.06.18

Digital Shadows: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Studien

  • 10 Prozent der Nachfrage im Security Servicesmarkt

    Die weltweiten Ausgaben für Informationssicherheits-Produkte und -Services werden vom Research- und Beratungsunternehmen Gartner für 2018 auf rund 114 Milliarden US-Dollar geschätzt. Dies entspricht einem Anstieg von 12,4 Prozent gegenüber dem Vorjahr. Für 2019 prognostiziert Gartner ein Wachstum von 8,7 Prozent. Dies entspricht Ausgaben von rund 124 Milliarden US-Dollar.

  • Cyberkriminelle setzen auf hochvolumige Angriffe

    Fast 90 Prozent der IT-Dienstleister haben Angst vor Distributed-Denial-of-Service (DDoS-)Attacken und versuchen, ihre Systeme dagegen zu wappnen. Tatsächlich sahen sich im letzten Jahr 87 Prozent aller Service Provider DDoS-Attacken ausgesetzt.Die Sorge vor Angriffen scheint also berechtigt. Dies sind Ergebnisse des 13. weltweiten Sicherheitsbericht WISR (Annual Worldwide Infrastructure Security Report) von Netscout Arbor, Sicherheitsspezialistin für DDoS-Abwehrlösungen.

  • Stiefkind: Security & industrielle Kontrollsysteme

    In Zeiten der Digitalisierung stehen Betreiber industrieller Kontrollsysteme (ICS, Industrial Control System) zunehmend vor der Herausforderung, ihre Systeme und Anlagen vor Cyberangriffen zu schützen. Laut der Kaspersky-Studie "State of Industrial Cybersecurity 2018" sehen die befragten Industrieorganisationen branchenübergreifend Personalmangel, fehlende Investitionen durch das Management sowie der Faktor Mensch als die drei größten Hindernisse für eine ultimative Netzwerksicherheit. Da laut Kaspersky-Daten nahezu 40 Prozent der industriellen Kontrollsysteme im Halbjahresturnus angegriffen werden, können Cybersicherheitslücken in kritischen Infrastruktursystemen die Risiken für Unternehmen erheblich erhöhen.

  • Schwachstellen im Internet der Dinge

    Avast gab die Ergebnisse einer aktuellen Forschungsstudie bekannt. Daraus geht hervor, dass 35,5 Prozent der Smart-Home-Netzwerke weltweit ein oder mehrere Geräte enthalten, die anfällig für Cyberattacken sind und damit das gesamte Heimnetzwerk in Gefahr bringen. Hauptursache dafür sind nicht behobene Schwachstellen in der veralteten Firmware. In Deutschland sind 15,5 Prozent der Smart Homes wegen einem verletzlichen Gerät gefährdet sowie 18,8 Prozent in den USA und 14,9 Prozent in Großbritannien. Für die Studie hat Avast mehr als 147 Millionen Smart-Home-Netzwerk-Scans auf Sicherheitsrisiken überprüft.

  • Cyber-Resilienz-Strategien für E-Mails

    Mimecast, Anbieterin für E-Mail-Sicherheit und Experte für Cyber-Resilience, veröffentlichte ihren aktuellen ESRA-Report (Email Security Risk Assessment). ESRA ist ein vierteljährlich erscheinender Gesamtbericht über Tests, die die Wirksamkeit gängiger E-Mail-Sicherheitssysteme messen. Mithilfe des Mimecast-ESRA-Reports können die teilnehmenden Unternehmen besser beurteilen, wie viele und welche E-Mail-basierten Bedrohungen ihre vorhandenen Abwehrsysteme überwinden. Im Rahmen der kumulativen Bewertungen hat Mimecast mehr als 142 Millionen E-Mails geprüft, die die bestehenden E-Mail-Sicherheitslösungen in Unternehmen durchliefen. Wie die neuesten Ergebnisse zeigen, sind von diesen Sicherheitssystemen 203.000 bösartige Links in 10.072.682 E-Mails als sicher eingestuft. Das heißt: auf 50 geprüfte E-Mails kommt ein bösartiger Link, der nicht gestoppt wird.