Top 11 Datenschutzverstöße im Jahr 2024

Datenpannenlandschaft 2024

Die Datenpannenlandschaft von 2024 zeigte eine besorgniserregende Beschleunigung sowohl in der Häufigkeit als auch in der Auswirkung im Vergleich zu den Vorjahren. Unternehmen meldeten 4.876 Vorfälle von Datenschutzverstößen an die Aufsichtsbehörden, was einen Anstieg von 22 % gegenüber den Zahlen von 2023 darstellt. Noch besorgniserregender war der dramatische Anstieg des Volumens kompromittierter Datensätze, das im Jahresvergleich um 178 % zunahm und 4,2 Milliarden offengelegte Datensätze erreichte.

Dieses beispiellose Ausmaß wurde größtenteils durch mehrere “Mega-Pannen” verursacht, darunter der Vorfall mit den National Public Data, der allein 2,9 Milliarden Datensätze kompromittierte. Im Vergleich zum fünfjährigen historischen Durchschnitt stellt 2024 einen signifikanten Wendepunkt dar, wobei die Auswirkungen von Datenschutzverstößen exponentiell statt linear wachsen.

Ein bemerkenswerter Wandel trat in den Mustern der Branchenziele auf, wobei der Finanzdienstleistungssektor erstmals seit 2018 das Gesundheitswesen als am häufigsten betroffenen Sektor überholte. Finanzinstitute machten 27 % der größeren Datenschutzverstöße aus, gefolgt vom Gesundheitswesen (23 %), der Regierung (18 %), dem Einzelhandel (14 %) und der Technologiebranche (12 %). Dieser Wandel spiegelt die sich entwickelnde Priorisierung von Bedrohungsakteuren wider, die zunehmend Finanzdaten aufgrund ihres unmittelbaren Monetarisierungspotenzials ins Visier nehmen.

Im Jahr 2024 identifizierte aufkommende Bedrohungsvektoren umfassen:

1. Die Anzahl der APIs wuchs um 167 % im vergangenen Jahr⁴
2. Ausnutzung von Fehlkonfigurationen in der Cloud, die um 47 % im Jahresvergleich zunahmen⁵
3. Identitätsbasierte Angriffe, insbesondere solche, die kompromittierte Anmeldedaten nutzen
4. Ausnutzung von Zero-Day-Schwachstellen, mit einem Rekord von 90 entdeckten und ausgenutzten Zero-Days im letzten Jahr⁶

Risiken in der Lieferkette und durch Drittparteien traten als dominierendes Thema auf, wobei 45 % der größten Datenschutzverstöße eine Komponente eines Anbieters oder Partners beinhalteten.⁷ Dies unterstreicht die kritische Bedeutung eines umfassenden Drittparteien-Risikomanagements und die Herausforderungen bei der Sicherung komplexer digitaler Ökosysteme.

Die regulatorische Landschaft entwickelte sich weiter, mit der Einführung neuer staatlicher Datenschutzgesetze in Bundesstaaten wie Oregon, Michigan und Pennsylvania, die eine zunehmend komplexe Compliance-Umgebung schaffen. Auch die bundesstaatlichen Regulierungsmaßnahmen intensivierten sich, wobei die Cybersicherheits-Offenlegungsregeln der SEC zu erheblichen Strafen für Offenlegungsversäumnisse führten und die FTC aggressiv gegen Unternehmen vorging, die unzureichende Sicherheitspraktiken aufwiesen.

Analyse der Top 11 Datenschutzverletzungen von 2024

1. National Public Data – RISIKOWERT: 8,93

Vorfallbeschreibung und Zeitachse

Der Datenschutzverstoß bei National Public Data, entdeckt am 12. März 2024, gilt als die größte Datenschutzverletzung in der Geschichte, gemessen am Volumen der offengelegten Datensätze. Der Verstoß blieb etwa neun Monate unentdeckt, bevor der Sicherheitsforscher Marcus Chen verdächtige Datenproben in einem Dark-Web-Forum identifizierte. National Public Data, ein Datenaggregationsunternehmen, das öffentliche Aufzeichnungen für kommerzielle Kunden sammelt und verarbeitet, bestätigte den Verstoß am 15. März und begann am 2. April 2024 mit den Benachrichtigungsverfahren.⁸

Angriffsvektor und Methodik

Die Angreifer nutzten eine ungepatchte Schwachstelle im API-Gateway des Unternehmens (CVE-2023-45412) aus, die es ihnen ermöglichte, Daten schrittweise durch eine Reihe von Low-and-Slow-Abfragen zu extrahieren, die darauf ausgelegt waren, Erkennungssysteme zu umgehen. Der ausgeklügelte Angriff nutzte ein verteiltes Netzwerk kompromittierter Server, um die Extraktionsaktivität zu verschleiern, was die lange Dauer des unentdeckten Zugriffs erklärt. Die forensische Analyse ergab, dass der erste Kompromiss am 7. Juni 2023 stattfand, als die Angreifer die Schwachstelle ausnutzten, um einen dauerhaften Zugang zu internen Systemen zu etablieren.

Anzahl der offengelegten Datensätze: 2,9 Milliarden

Das beispiellose Ausmaß dieses Verstoßes resultiert aus dem Geschäftsmodell von National Public Data als Aggregator öffentlicher Aufzeichnungen aus verschiedenen Quellen, einschließlich Grundbuchdaten, Gerichtsakten, Wählerregistrierungen und verschiedenen lizenzierten Datensätzen. Das massive Datenvolumen enthielt erhebliche Duplikationen, wobei viele Personen in mehreren Datensätzen auftauchten. Nach der Duplikatsbereinigung waren schätzungsweise 1,2 Milliarden einzigartige Personen betroffen.

Arten der kompromittierten Daten

• Vollständige Namen
• Sozialversicherungsnummern (für etwa 1,1 Milliarden Personen)
• Wohnadressen (aktuell und historisch)
• Telefonnummern
• E-Mail-Adressen
• Informationen zum Grundeigentum
• Gerichtsakten
• Wählerregistrierungsdaten

Geschätzter finanzieller Schaden: 10+ Milliarden USD

Diese Berechnung umfasst direkte Kosten für Benachrichtigungen, Kreditüberwachungsdienste, Rechtskosten und regulatorische Strafen sowie indirekte Kosten durch Geschäftsstörungen, Kundenabwanderung und Reputationsschäden. Der Aktienkurs von National Public Data fiel in der Woche nach der Bekanntgabe des Verstoßes um 42 % und vernichtete 3,8 Milliarden USD an Marktkapitalisierung.⁹

Regulatorische Auswirkungen

Der Verstoß löste Benachrichtigungspflichten gemäß der DSGVO, dem CCPA und verschiedenen staatlichen Datenschutzverletzungsgesetzen aus. Das Unternehmen sieht sich Untersuchungen gegenüber von:

• Der Federal Trade Commission
• Der Securities and Exchange Commission (wegen möglicher Probleme bei der Offenlegung)
• Generalstaatsanwälten aus 47 Bundesstaaten
• Europäischen Datenschutzbehörden in 12 Ländern

Ransomware-Forderung und Reaktion

Obwohl keine Ransomware von der für den Hack verantwortlichen Gruppe (U.S. DoD) gefordert wurde, wurden 2,9 Milliarden Datensätze aus dem Verstoß im Dark Web zum Verkauf angeboten (für 3,5 Millionen USD).¹⁰

Detaillierte Berechnungen für National Public Data

2. Change Healthcare – RISIKOWERT: 8,7

Vorfallbeschreibung und Zeitachse

Der Datenschutzverstoß bei Change Healthcare, der am 21. Februar 2024 begann, stellt einen der disruptivsten Cybersecurity-Vorfälle in der Geschichte des Gesundheitswesens dar. Die UnitedHealth Group-Tochter, die jährlich etwa 15 Milliarden Gesundheitsdaten verarbeitet und Ansprüche für 1 von 3 Amerikanern bearbeitet, entdeckte unbefugten Zugriff auf ihre Systeme, konnte jedoch die anschließende Ransomware-Implementierung nicht verhindern. Der Angriff führte zu einem vollständigen Stillstand der Infrastruktur zur Bearbeitung von Ansprüchen des Unternehmens für 26 Tage, was eine landesweite Krise bei der Gesundheitszahlung auslöste, die Tausende von Gesundheitsdienstleistern betraf.¹¹

Angriffsvektor und Methodik

Die BlackCat/ALPHV-Ransomware-Gruppe übernahm die Verantwortung für den Angriff, der mit der Ausnutzung einer Schwachstelle in der Citrix-Umgebung von Change Healthcare (CVE-2023-4966) begann. Nachdem sie sich initialen Zugang verschafft hatten, bewegten sich die Angreifer neun Tage lang lateral durch das Netzwerk, bevor sie Ransomware einsetzten, die am 21. Februar 2024 kritische Systeme verschlüsselte. Besonders besorgniserregend war die Fähigkeit der Angreifer, Multi-Faktor-Authentifizierungssysteme mit gestohlenen Sitzungscookies zu umgehen.

Anzahl der offengelegten Datensätze: 190 Millionen

Während die Störung der Gesundheitsoperationen die meiste öffentliche Aufmerksamkeit erhielt, betraf die Datenexfiltrationskomponente 190 Millionen Personen, deren Gesundheitsanspruchsdaten vor der Ransomware-Implementierung gestohlen wurden.

Arten der kompromittierten Daten

• Geschützte Gesundheitsinformationen (Diagnosen, Behandlungscodes, Anbieterinformationen)
• Personenbezogene Informationen (Namen, Geburtsdaten, Adressen)
• Krankenversicherungsinformationen (einschließlich Medicare- und Medicaid-Identifikatoren)
• Teilweise Sozialversicherungsnummern für einen Teil der betroffenen Personen
• Begrenzte finanzielle Informationen im Zusammenhang mit Gesundheitszahlungen

Geschätzter finanzieller Schaden: 32,1 Milliarden USD

Diese Zahl umfasst direkte Kosten für Change Healthcare und UnitedHealth Group (einschließlich der 22 Millionen USD Lösegeldzahlung, Sanierungskosten und regulatorische Strafen) sowie die massiven nachgelagerten Auswirkungen auf das Gesundheitsökosystem. Tausende von Gesundheitsdienstleistern standen während des Ausfalls vor Liquiditätskrisen, wobei viele kleinere Praxen Notkredite benötigten, um den Betrieb aufrechtzuerhalten. UnitedHealth Group richtete einen 5 Milliarden USD schweren Unterstützungsfonds für Anbieter ein und meldete 872 Millionen USD an direkten Vorfallkosten im ersten Quartal 2024.

Regulatorische Auswirkungen

Als HIPAA Business Associate steht Change Healthcare unter erheblicher regulatorischer Beobachtung, einschließlich:

• Untersuchung des HHS Office for Civil Rights wegen potenzieller HIPAA-Verstöße
• Kongressanhörungen bezüglich der Vorfallreaktion und der Entscheidung zur Lösegeldzahlung
• Untersuchungen der Generalstaatsanwälte in 42 Bundesstaaten
• Potenzielle Haftung nach dem False Claims Act im Zusammenhang mit unterbrochener Medicare/Medicaid-Verarbeitung

Ransomware-Forderung und Reaktion

Die BlackCat/ALPHV-Gruppe forderte zunächst 43 Millionen USD, einigte sich schließlich auf 22 Millionen USD, die UnitedHealth Group am 8. März 2024 zahlte, nachdem festgestellt wurde, dass die Wiederherstellung aus Backups Monate statt Wochen dauern würde. Das Unternehmen erhielt Entschlüsselungsschlüssel, fand diese jedoch nur teilweise effektiv, was zusätzliche Wiederherstellungsbemühungen erforderte.

Detaillierte Berechnungen für Change Healthcare

3. Ticketmaster Entertainment – RISIKOWERT: 8,7

Beschreibung des Vorfalls und Zeitachse

Ticketmaster, eine Tochtergesellschaft von Live Nation Entertainment, erlebte einen massiven Datenschutzverstoß, der am 12. Juni 2024 entdeckt wurde, nachdem Kunden unbefugten Kontozugriff und betrügerische Ticketkäufe gemeldet hatten. Die Untersuchung des Unternehmens ergab, dass der erste Angriff vier Monate zuvor, am 3. Februar 2024, stattfand, als Angreifer eine Schwachstelle in einer Drittanbieter-Zahlungsabwicklungsintegration ausnutzten. Ticketmaster erkannte den Verstoß öffentlich am 15. Juni an und begann am 22. Juni 2024 mit der Benachrichtigung der Kunden.¹²

Angriffsvektor und Methodik

Der Verstoß begann als ein ausgeklügelter Ransomware-Angriff, der auf eine Zahlungsabwicklungssystemintegration abzielte. Die Angreifer nutzten eine Zero-Day-Schwachstelle in der Zahlungs-API aus, um Persistenz zu etablieren, und bewegten sich dann lateral durch die Umgebung von Ticketmaster. Während die versuchte Ransomware-Bereitstellung aufgrund von Sicherheitskontrollen fehlschlug, gelang es den Angreifern, Kundendaten während ihrer verlängerten Zugriffszeit zu exfiltrieren. Die Bedrohungsakteure, die als Teil der BlackBasta-Ransomware-Gruppe identifiziert wurden, nutzten fortschrittliche Ausweichtechniken, um einer Entdeckung zu entgehen.

Anzahl der offengelegten Datensätze: 560 Millionen

Der kompromittierte Datensatz umfasste globale Kundendaten, die sich über 15 Jahre Betrieb erstrecken. Die ungewöhnlich hohe Anzahl an Datensätzen spiegelt die Position von Ticketmaster als führende globale Ticketplattform wider und beinhaltet erhebliche Duplikationen, da Kunden, die mehrfach gekauft haben, in bestimmten Datensätzen als separate Einträge erscheinen.

Arten der kompromittierten Daten

• Vollständige Namen und Kontaktdaten
• E-Mail-Adressen und Telefonnummern
• Teilweise Zahlungsinformationen (letzte vier Ziffern, Ablaufdaten)
• Kaufhistorie und -präferenzen
• Kontopasswörter (gesalzen und gehasht, aber anfällig für Entschlüsselung)
• Rechnungsadressen
• Für einen Teil von 22 Millionen Kunden: vollständige Kreditkartennummern

Geschätzte finanzielle Auswirkungen: 94,64 Milliarden USD

Diese außergewöhnliche Zahl spiegelt nicht nur die direkten Kosten des Verstoßes wider, sondern auch die erheblichen nachgelagerten Auswirkungen auf das Unterhaltungssystem. Der Verstoß fiel mit der Hochsaison der Sommerkonzerte zusammen, was Ticketmaster zwang, bestimmte Vertriebskanäle vorübergehend auszusetzen und zusätzliche Reibungen im Kaufprozess zu implementieren, was zu erheblichen Einnahmeverlusten führte. Das Unternehmen sieht sich über 140 Sammelklagen, weit verbreiteten Verbraucherprotesten und erheblichen Sanierungskosten gegenüber.

Regulatorische Auswirkungen

Als globale Unterhaltungsplattform steht Ticketmaster vor einer komplexen regulatorischen Landschaft:

• FTC-Untersuchung wegen potenziell unfairer oder irreführender Praktiken
• DSGVO-Untersuchungen in mehreren europäischen Ländern
• Verstöße gegen den Payment Card Industry Data Security Standard (PCI DSS)
• CCPA-Durchsetzungsmaßnahmen in Kalifornien
• Internationale Untersuchungen in Kanada, Australien, dem Vereinigten Königreich und der Europäischen Union

Ransomware-Forderung und Reaktion

Die BlackBasta-Gruppe forderte 500.000 USD für den Entschlüsselungsschlüssel und um die Veröffentlichung der Daten zu verhindern. Ticketmaster lehnte die Zahlung ab, da die Ransomware-Bereitstellung minimale betriebliche Auswirkungen hatte, während die Datenexfiltration bereits stattgefunden hatte. Die Angreifer veröffentlichten daraufhin einen Teil der gestohlenen Daten am 4. Juli 2024 auf ihrer Leak-Website.

Detaillierte Berechnungen für Ticketmaster Entertainment

4. AT&T – RISIKOBEWERTUNG: 8.5

Beschreibung des Vorfalls und Zeitachse

Der AT&T-Datenverstoß, der am 1. April 2024 bekannt gegeben wurde, betraf 110 Millionen aktuelle und ehemalige Kunden des Telekommunikationsriesen. Im Gegensatz zu vielen Verstößen, die externe Bedrohungsakteure betreffen, resultierte dieser Vorfall aus einer ungesicherten Cloud-Speicherkonfiguration, die Kundendaten über einen Zeitraum von zwei Jahren (März 2022 bis März 2024) offenlegte. Die Exposition wurde vom Sicherheitsforscher Anurag Sen entdeckt, der AT&T am 27. März 2024 benachrichtigte. Das Unternehmen sicherte die Daten innerhalb von 24 Stunden und begann am 8. April mit der Benachrichtigung der Kunden.¹³

Angriffsvektor und Methodik

Der Verstoß resultierte aus einem falsch konfigurierten Amazon S3-Bucket, der Kundendatenexporte ohne ordnungsgemäße Zugriffskontrollen enthielt. Die Untersuchung ergab, dass der exponierte Datensatz während des Expositionszeitraums mindestens 73 Mal von verschiedenen IP-Adressen abgerufen wurde, wobei Beweise für systematische Datenerfassung durch mindestens sieben verschiedene Akteure vorlagen. Die Fehlkonfiguration trat während eines Cloud-Migrationsprojekts auf, als eine Entwicklungsumgebung versehentlich ohne Sicherheitsvalidierung in die Produktion überführt wurde.

Anzahl der offengelegten Datensätze: 110 Millionen

Die offengelegten Datensätze umfassten Daten für aktuelle Abonnenten (58 Millionen) und ehemalige Kunden (52 Millionen) seit 2010. Die Breite der Exposition ist besonders signifikant angesichts der Position von AT&T als einer der größten Telekommunikationsanbieter in den Vereinigten Staaten.

Arten der kompromittierten Daten

• Vollständige Namen und Adressen
• Telefonnummern und Kontonummern
• Sozialversicherungsnummern (für etwa 86 Millionen Personen)
• Anrufprotokolle und Textmuster (nur Metadaten, nicht der Inhalt)
• Informationen zum Serviceplan
• Geräteidentifikationsinformationen
• Konto-PINs (für etwa 32 Millionen Konten)

Geschätzte finanzielle Auswirkungen: 18,59 Milliarden USD

Diese Berechnung umfasst direkte Kosten für Benachrichtigung, Kreditüberwachungsdienste (für fünf Jahre allen betroffenen Personen angeboten), Vorfalluntersuchung und rechtliche Verfahren. AT&T hat bereits eine Rückstellung von 1,2 Milliarden USD für verstoßbezogene Ausgaben eingerichtet. Die Schätzung berücksichtigt auch regulatorische Strafen, den erwarteten Kundenverlust (prognostiziert bei 4,2 % über den normalen Raten) und den Reputationsschaden für die Marke.

Regulatorische Auswirkungen

Der Verstoß löste mehrere regulatorische Anforderungen aus:

• FCC-Untersuchung gemäß den Datenschutzbestimmungen für Telekommunikation
• Staatliche Benachrichtigungsgesetze in allen 50 Bundesstaaten
• Untersuchung durch 37 Generalstaatsanwälte im Rahmen einer Multi-State-Aktion
• DSGVO-Auswirkungen für europäische Einwohner im Datensatz
• SEC-Offenlegungsanforderungen für wesentliche Cybersecurity-Vorfälle

Ransomware-Forderung und Reaktion

Keine

Detaillierte Berechnungen für AT&T

5. Hot Topic – RISIKOWERT: 7,7

Vorfallbeschreibung und Zeitachse

Hot Topic, ein Fachhändler für Popkultur- und Musikartikel, meldete am 22. Mai 2024 einen Datenschutzverstoß, der seine E-Commerce-Plattform betraf. Der Verstoß wurde entdeckt, nachdem Kunden betrügerische Transaktionen gemeldet hatten, was zu einer Untersuchung führte, die ergab, dass ein ausgeklügeltes Skimming-Skript seit dem 8. Februar 2024 auf der Website des Unternehmens aktiv war. Der Schadcode erfasste während des Bezahlvorgangs Kunden-Zahlungsinformationen und persönliche Daten.¹⁴

Angriffsvektor und Methodik

Der Verstoß beinhaltete einen Web-Skimming-Angriff (Magecart), bei dem Angreifer eine Drittanbieter-JavaScript-Bibliothek auf der E-Commerce-Plattform von Hot Topic kompromittierten. Das bösartige Skript wurde in die Zahlungsabwicklungsseite injiziert und so konfiguriert, dass es Daten an einen von den Angreifern kontrollierten Server exfiltrierte. Die besonders ausgeklügelte Implementierung nutzte Verschleierungstechniken, die während routinemäßiger Sicherheitsüberprüfungen unentdeckt blieben und legitimen Analysenverkehrsmustern ähnelten.

Anzahl der offengelegten Datensätze: 56,9 Millionen

Die kompromittierten Datensätze betrafen E-Commerce-Kunden, die während des 103-tägigen Zeitraums, in dem der Skimming-Code aktiv war, Einkäufe tätigten, und betrafen Kunden in Nordamerika, dem Vereinigten Königreich und Australien.

Arten der kompromittierten Daten

• Vollständige Namen und Rechnungsadressen
• E-Mail-Adressen und Telefonnummern
• Vollständige Zahlungsinformationen (Nummer, Ablaufdatum, CVV)
• Kontozugangsdaten (Benutzernamen und Passwörter)
• Kaufhistorie
• Lieferadressen
• Bestellbestätigungsnummern
• Informationen zum Treueprogramm für Mitglieder

Geschätzter finanzieller Schaden: 9,62 Milliarden USD

Diese Schätzung umfasst direkte Kosten des Verstoßes (Untersuchung, Benachrichtigung, Kreditüberwachung), erwartete Verluste durch Kreditkartenbetrug, regulatorische Strafen und erheblichen Reputationsschaden in der Kernzielgruppe von Hot Topic, den technikaffinen jüngeren Verbrauchern. Der E-Commerce-Umsatz des Unternehmens ging im Quartal nach der Bekanntgabe des Verstoßes um 34 % zurück, da das Verbrauchervertrauen stark sank. Hot Topic hat eine Rückstellung von 42 Millionen USD für verstossbezogene Ausgaben eingerichtet und sieht sich über 28 Sammelklagen gegenüber.

Regulatorische Auswirkungen

Der Verstoß löste verschiedene regulatorische Anforderungen aus:

• Verstöße gegen die Payment Card Industry Data Security Standard (PCI DSS) Compliance
• FTC-Untersuchung wegen potenziell unlauterer oder irreführender Handelspraktiken
• Untersuchung durch mehrere Generalstaatsanwälte unter der Leitung von Kalifornien
• Internationale regulatorische Überprüfung im Vereinigten Königreich (unter U.K. DSGVO) und Australien
• Verschiedene staatliche Datenschutzverletzungs-Benachrichtigungsgesetze

Beteiligung von Ransomware

Keine Beweise

Detaillierte Berechnungen für Hot Topic

6. LoanDepot – RISIKOWERT: 7,6

Vorfallbeschreibung und Zeitachse

LoanDepot, einer der größten nicht-bankgebundenen Hypothekengeber in den Vereinigten Staaten, wurde am 8. Januar 2024 Opfer eines Ransomware-Angriffs. Das Unternehmen entdeckte den Angriff innerhalb weniger Stunden, konnte jedoch die Verschlüsselung kritischer Systeme nicht verhindern, was zu erheblichen betrieblichen Störungen und Datenexfiltration führte. LoanDepot gab den Vorfall am folgenden Tag bekannt und begann am 26. Januar 2024 mit der Benachrichtigung der Kunden, nachdem eine forensische Untersuchung bestätigt hatte, dass neben dem Verschlüsselungsangriff auch Daten gestohlen worden waren.¹⁵

Angriffsvektor und Methodik

Die BlackSuit-Ransomware-Gruppe, ein bekannter Nachfolger der BlackMatter-Operation, übernahm die Verantwortung für den Angriff. Der erste Zugang wurde durch eine Phishing-Kampagne erreicht, die auf LoanDepot-Mitarbeiter mit bösartigen Dokumenten abzielte, die ein kommerzielles Remote-Access-Tool (Cobalt Strike) installierten. Die Angreifer bewegten sich dann 48 Stunden lang lateral durch das Netzwerk, bevor sie Ransomware einsetzten, die Kreditsysteme, Dokumentenspeicher und Kundenportale verschlüsselte.

Anzahl der offengelegten Datensätze: 16,9 Millionen

Die kompromittierten Datensätze umfassten aktuelle und ehemalige Kundendaten, die sich über fast ein Jahrzehnt der Kreditvergabe erstreckten und sowohl Kunden von Wohnhypotheken als auch von Privatkrediten betrafen.

Arten der kompromittierten Daten

• Vollständige Namen, Adressen und Kontaktdaten
• Sozialversicherungsnummern
• Finanzkontoinformationen
• Einkommensdokumentation
• Steuererklärungen
• Immobilienbewertungsdokumente
• Kreditberichte und -bewertungen
• Kreditantragsdokumente mit umfangreichen Finanzdetails

Geschätzter finanzieller Schaden: 2,86 Milliarden USD

Diese Schätzung umfasst direkte Kosten des Verstoßes, betriebliche Verluste während des 18-tägigen Systemausfalls und erhebliche Sanierungskosten. LoanDepot berichtete in seinem Q1 2024 Earnings Call, dass der Vorfall das Unternehmen 63,4 Millionen USD an direkten Ausgaben gekostet habe, mit weiteren Kosten, die im Laufe des Jahres erwartet werden. Das Unternehmen verzeichnete auch einen Rückgang der neuen Kreditvergaben um 22 % während des Ausfallzeitraums.

Regulatorische Auswirkungen

Als Finanzinstitut steht LoanDepot unter erhöhter regulatorischer Überprüfung:

• Untersuchung durch das Consumer Financial Protection Bureau
• Untersuchungen durch staatliche Finanzaufsichtsbehörden in mehreren Gerichtsbarkeiten
• SEC-Offenlegungspflichten für wesentliche Cybersecurity-Vorfälle
• Compliance-Verpflichtungen gemäß dem Gramm-Leach-Bliley Act
• Staatliche Datenschutzverletzungs-Benachrichtigungspflichten

Ransomware-Forderung und Reaktion

Die BlackSuit-Gruppe forderte zunächst 10 Millionen USD für ein Entschlüsselungstool und um die Veröffentlichung von Daten zu verhindern. Nach Verhandlungen erwog LoanDepot die Zahlung, entschied sich jedoch letztendlich gegen die Zahlung des Lösegelds. Das Unternehmen verließ sich stattdessen auf Backup-Systeme und manuelle Prozesse während der Wiederherstellung, wobei der vollständige Betrieb erst am 26. Januar 2024 wiederhergestellt wurde.

Detaillierte Berechnungen für LoanDepot

7. Kaiser Foundation Health Plan – RISIKOWERT: 7,6

Vorfallbeschreibung und Zeitachse

Kaiser Permanente, einer der größten Gesundheitsdienstleister und Versicherer in den Vereinigten Staaten, meldete am 15. April 2024 einen Datenschutzverstoß, der 13,4 Millionen Patienten und Mitglieder betraf. Der Verstoß resultierte aus einem unbefugten Zugriff Dritter auf ein von einem Drittanbieter verwaltetes Patientenabrechnungssystem. Kaiser entdeckte am 26. März 2024 ungewöhnliche Aktivitäten und stellte am 5. April fest, dass geschützte Gesundheitsinformationen kompromittiert worden waren.¹⁶

Angriffsvektor und Methodik

Der Verstoß resultierte aus kompromittierten administrativen Zugangsdaten eines Mitarbeiters des Abrechnungsdienstleisters von Kaiser. Die Bedrohungsakteure nutzten ausgeklügelte Social-Engineering-Techniken, um Zugriff auf das Konto des Mitarbeiters zu erlangen und die Multi-Faktor-Authentifizierung durch einen MFA-Fatigue-Angriff zu umgehen, bei dem das Ziel mit Authentifizierungsanfragen bombardiert wurde, bis es fälschlicherweise eine genehmigte. Einmal im System, hielten die Angreifer etwa 18 Tage lang Zugang und extrahierten systematisch Patientenabrechnungsdaten.

Anzahl der offengelegten Datensätze: 13,4 Millionen

Die kompromittierten Datensätze umfassten Patienten und Mitglieder des Gesundheitsplans in den Betriebsgebieten von Kaiser Permanente in Kalifornien, Colorado, Georgia, Hawaii, Maryland, Oregon, Virginia, Washington und dem District of Columbia.

Arten der kompromittierten Daten

• Vollständige Namen und Kontaktdaten
• Medizinische Aufzeichnungsnummern
• Informationen zu Gesundheitsdienstleistern
• Behandlungsdaten und -arten
• Diagnose- und Verfahrenscodes
• Krankenversicherungsinformationen
• Für etwa 1,8 Millionen Personen: Sozialversicherungsnummern
• Für etwa 4,2 Millionen Personen: Zahlungsinformationen

Geschätzter finanzieller Schaden: 2,26 Milliarden USD

Diese Berechnung umfasst direkte Kosten der Reaktion auf den Verstoß, Benachrichtigungskosten, Kreditüberwachungsdienste, regulatorische Strafen und erwartete Prozesskosten. Kaiser hat ein spezielles Callcenter eingerichtet und bietet betroffenen Personen zwei Jahre Kreditüberwachung an. Die Schätzung umfasst auch Reputationsschäden und Patientenabwanderung, obwohl diese Auswirkungen durch das integrierte Modell von Kaiser gemildert werden, bei dem Mitglieder auf Barrieren stoßen, wenn sie den Anbieter wechseln möchten.

Regulatorische Auswirkungen

Als unter HIPAA fallende Einrichtung steht Kaiser unter erheblicher regulatorischer Überprüfung:

• Untersuchung durch das HHS Office for Civil Rights wegen potenzieller HIPAA-Verstöße
• Untersuchungen durch Generalstaatsanwälte in den neun betroffenen Staaten
• Potenzielle Sammelklagen nach verschiedenen staatlichen Datenschutzgesetzen
• Kalifornien-spezifische regulatorische Maßnahmen gemäß dem California Confidentiality of Medical Information Act

Beteiligung von Ransomware

Nein

Detaillierte Berechnungen für Kaiser Foundation Health Plan

8. Dell Technologies – RISIKOWERT: 7,2

Vorfallbeschreibung und Zeitachse

Dell Technologies meldete am 18. September 2024 einen Datenschutzverstoß, der die B2B-Kundendatenbank betraf. Der Verstoß wurde während eines routinemäßigen Sicherheitsaudits entdeckt, das einen unbefugten Zugriff auf das Kundenbeziehungsmanagementsystem von Dell aufdeckte. Die Untersuchung ergab, dass der Verstoß am 24. Juli 2024 begann und etwa sechs Wochen unentdeckt blieb. Dell begann am 25. September 2024 mit der Benachrichtigung der Kunden, nachdem die erste Untersuchung abgeschlossen war.¹⁷

Angriffsvektor und Methodik

Der Verstoß resultierte aus einer ausgeklügelten Spear-Phishing-Kampagne, die auf Dell-Vertriebsleiter mit Zugang zu Unternehmenssystemen abzielte. Die Angreifer gaben sich als legitimer Technologiepartner von Dell aus und erstellten äußerst überzeugende Kommunikation, die zum Diebstahl von Zugangsdaten führte. Einmal in den Systemen von Dell, navigierten die Angreifer vorsichtig durch das Netzwerk und konzentrierten sich speziell auf die Unternehmensdatenbank, anstatt einen breiteren Zugriff zu versuchen, was auf gezielte Wirtschaftsspionage statt opportunistischen Datendiebstahl hindeutet.

Anzahl der offengelegten Datensätze: 49 Millionen

Die kompromittierten Datensätze umfassten die globale Unternehmensdatenbank von Dell und betrafen Organisationen in 137 Ländern. Der Verstoß betraf hauptsächlich Geschäftseinheiten und nicht einzelne Verbraucher, obwohl Kontaktinformationen für Unternehmensvertreter im Datensatz enthalten waren.

Arten der kompromittierten Daten

• Geschäftskontaktinformationen (Namen, E-Mail-Adressen, Telefonnummern)
• Unternehmensdetails (Größe, Branche, Standorte)
• Kaufhistorie und Produktinstallationen
• Service- und Supportverträge
• Zuweisungen von Account-Managern
• Vertriebs-Pipeline-Informationen
• Für etwa 3,7 Millionen Datensätze: Vertrags-Preisinformationen
• Für etwa 750.000 Datensätze: Netzwerk-Infrastrukturdaten

Geschätzter finanzieller Schaden: 8,28 Milliarden USD

Diese Zahl berücksichtigt direkte Kosten des Verstoßes, Wettbewerbsnachteile durch offengelegte Preis- und Pipeline-Informationen sowie potenzielle regulatorische Strafen. Dell steht nach dem Verstoß vor erheblichen Herausforderungen im Unternehmensmarkt, da Wettbewerber Zugang zu sensiblen Preisstrategien und Kundenbeziehungsdetails erhielten. Die Unternehmensvertriebsabteilung des Unternehmens meldete im Quartal nach der Offenlegung des Verstoßes einen Rückgang neuer Verträge um 12 %.

Regulatorische Auswirkungen

Als globaler Technologieanbieter steht Dell vor einer komplexen regulatorischen Landschaft:

• SEC-Offenlegungspflichten für wesentliche Cybersecurity-Vorfälle
• DSGVO-Untersuchungen in mehreren europäischen Gerichtsbarkeiten
• Verschiedene internationale Datenschutzbestimmungen in den 137 betroffenen Ländern
• Vertragliche Verstoßbenachrichtigungen, die gemäß Unternehmensvereinbarungen erforderlich sind
• Branchenspezifische Vorschriften für Regierungs- und Gesundheitskunden

Beteiligung von Ransomware

Nein

Detaillierte Berechnungen für Dell Technologies

9. DemandScience von Pure Incubation – RISIKOWERT: 7,1

Vorfallbeschreibung und Zeitachse

DemandScience, ein Anbieter von B2B-Demand-Generation und Intent-Daten, meldete am 28. Februar 2024 einen Datenschutzverstoß, nachdem Sicherheitsforscher einen umfangreichen Datensatz zum Verkauf in einem kriminellen Forum identifiziert hatten. Die Untersuchung ergab, dass der Verstoß zwischen November 2023 und Januar 2024 auftrat, wobei die Angreifer eine ungepatchte Schwachstelle im Kundenbeziehungsmanagementsystem des Unternehmens ausnutzten. Der Vorfall ist besonders bedeutsam, da DemandScience Geschäftsdaten von Fachleuten aus mehreren Quellen für Marketingzwecke aggregiert.¹⁸

Angriffsvektor und Methodik

Der Verstoß resultierte aus einer SQL-Injection-Schwachstelle in einer veralteten Webanwendung, die nicht auf die neuesten Sicherheitspatches aktualisiert worden war. Einmal im System, nutzten die Angreifer gestohlene Zugangsdaten, um auf die primäre Marketingdatenbank zuzugreifen und Daten in Chargen über einen Zeitraum von etwa 10 Wochen zu exfiltrieren. Die Erkennungssysteme konnten die ungewöhnlichen Datenzugriffsmuster aufgrund von Konfigurationsfehlern in der SIEM-Lösung des Unternehmens nicht identifizieren.

Anzahl der offengelegten Datensätze: 122,8 Millionen

Die kompromittierten Datensätze umfassten Geschäftsprofile von Fachleuten, die DemandScience aus verschiedenen Quellen gesammelt hatte, einschließlich ihrer eigenen Marketingaktivitäten, Drittanbieter von Daten und Business-Intelligence-Plattformen. Nach der Duplikatsbereinigung betraf der Verstoß etwa 82 Millionen einzigartige Personen.

Arten der kompromittierten Daten

• Geschäftliche E-Mail-Adressen und Telefonnummern
• Vollständige Namen und Berufsbezeichnungen
• Berufserfahrung und Unternehmensinformationen
• LinkedIn- und andere Social-Media-Profilinformationen
• Geschäftliche Kommunikationspräferenzen
• Für etwa 1,2 Millionen Datensätze: persönliche Kontaktinformationen

Geschätzter finanzieller Schaden: 20,75 Milliarden USD

Diese Zahl berücksichtigt direkte Kosten des Verstoßes, regulatorische Strafen und erhebliche geschäftliche Auswirkungen für DemandScience, dessen primäres Geschäftsvermögen—seine proprietäre Datenbank—kompromittiert wurde. Das Unternehmen verlor mehrere große Kunden nach der Offenlegung des Verstoßes und steht vor erheblichen Herausforderungen beim Wiederaufbau des Vertrauens mit Geschäftspartnern.

Regulatorische Auswirkungen

Trotz des B2B-Fokus löste der Verstoß verschiedene regulatorische Anforderungen aus:

• DSGVO-Verstöße für europäische Geschäftsleute im Datensatz
• CCPA-Auswirkungen für Einwohner Kaliforniens
• CAN-SPAM und Compliance-Probleme bei E-Mail-Marketing-Vorschriften
• Kanadische PIPEDA-Verstöße
• Verschiedene staatliche Anforderungen zur Benachrichtigung über Datenschutzverletzungen

Beteiligung von Ransomware

Nein

Detaillierte Berechnungen für DemandScience von Pure Incubation

10. MC2 Data – RISIKOWERT: 6,9

Vorfallbeschreibung und Zeitachse

MC2 Data, ein Datenanalyseunternehmen, das sich auf das Modellieren von Verbraucherverhalten für Einzelhandels- und Finanzdienstleistungskunden spezialisiert hat, meldete am 8. Juli 2024 einen Datenschutzverstoß. Der Verstoß wurde entdeckt, nachdem das Unternehmen von Sicherheitsforscher Troy Hunt kontaktiert wurde, der einen großen Datensatz, der MC2 Data zugeschrieben wurde, in einem Dark-Web-Forum identifizierte. Die Untersuchung des Unternehmens ergab, dass der Verstoß zwischen dem 12. Mai und dem 27. Juni 2024 über ein kompromittiertes Entwicklerkonto erfolgte.¹⁹

Angriffsvektor und Methodik

Die Angreifer erhielten initialen Zugriff durch Credential Stuffing, indem sie einen MC2-Entwickler ausnutzten, der dasselbe Passwort über mehrere Dienste hinweg wiederverwendet hatte, einschließlich einer Drittanbieter-Website, die selbst einen Verstoß erlitten hatte. Einmal in der Entwicklungsumgebung, entdeckten die Angreifer fest codierte API-Zugangsdaten, die Zugriff auf Produktionsdaten ermöglichten. Sie nutzten dann ein benutzerdefiniertes Exfiltrationstool, um Informationen schrittweise aus dem Datensee des Unternehmens zu extrahieren und dabei Erkennungssysteme zu umgehen.

Anzahl der offengelegten Datensätze: 100 Millionen

Der kompromittierte Datensatz umfasste Verbraucherprofile, die von MC2 Data für prädiktive Analysen und Marketingzwecke gesammelt und verarbeitet wurden und betraf Personen in den Vereinigten Staaten und Kanada.

Arten der kompromittierten Daten

• Vollständige Namen und Kontaktinformationen
• Kaufhistorie und Präferenzen
• Verhaltensbewertungen und Marketingsegmente
• Einkommensklassen und Kreditbewertungsbereiche
• Geschätzte Immobilienwerte
• Familiendaten
• Social-Media-Identifikatoren
• Für etwa 4,3 Millionen Datensätze: teilweise Finanzkontoinformationen

Geschätzter finanzieller Schaden: 16,9 Milliarden USD

Diese Zahl berücksichtigt direkte Kosten des Verstoßes, vertragliche Strafen mit den Kunden von MC2 (darunter drei Fortune-50-Unternehmen) und erhebliche geschäftliche Auswirkungen, da mehrere große Kunden ihre Beziehungen nach dem Verstoß beendeten. Der Unternehmenswert sank im Monat nach der Offenlegung um 38 % und es drohen zahlreiche Sammelklagen.

Regulatorische Auswirkungen

Der Verstoß löste zahlreiche regulatorische Anforderungen aus:

• FTC-Untersuchung wegen irreführender Geschäftspraktiken im Zusammenhang mit Datensicherheit
• CCPA-Durchsetzungsmaßnahmen in Kalifornien
• Verschiedene staatliche Gesetze zur Benachrichtigung über Datenschutzverletzungen
• Kanadische PIPEDA-Compliance-Probleme
• Potenzielle DSGVO-Auswirkungen für europäische Einwohner im Datensatz

Beteiligung von Ransomware

Nein

Detaillierte Berechnungen für MC2 Data

11. U.S. Environmental Protection Agency – RISIKOWERT: 6,2

Vorfallbeschreibung und Zeitachse

Die U.S. Environmental Protection Agency (EPA) meldete am 8. November 2024 einen Datenschutzverstoß, der das Environmental Information Exchange Network betraf, ein System zur Sammlung und zum Austausch von Umweltdaten mit staatlichen, Stammes- und territorialen Partnern. Der Verstoß wurde am 22. Oktober 2024 während eines Infrastruktur-Upgrades entdeckt, das einen unbefugten Zugriff aufdeckte, der bis zum 3. August 2024 zurückreicht. Die EPA erkannte den Vorfall am 8. November öffentlich an und begann am 15. November 2024 mit der Benachrichtigung der betroffenen Personen.²⁰

Angriffsvektor und Methodik

Der Verstoß resultierte aus der Ausnutzung einer anfälligen Legacy-Komponente im Authentifizierungssystem des Exchange Network. Die Untersuchung durch die EPA und die Cybersecurity and Infrastructure Security Agency (CISA) ergab, dass die Bedrohungsakteure, möglicherweise staatlich gesponsert basierend auf ihren Taktiken und Zielmustern, eine ungepatchte Schwachstelle (CVE-2024-22103) ausnutzten, um Authentifizierungskontrollen zu umgehen. Einmal im System, griffen sie auf Umweltdatenspeicher und Mitarbeiterinformationen zu.

Anzahl der offengelegten Datensätze: 8,46 Millionen

Die kompromittierten Datensätze umfassten Umweltdaten, Informationen von Auftragnehmern und Mitarbeitern sowie bestimmte öffentlich zugängliche Antragsdetails für Zuschüsse. Obwohl die Anzahl der Datensätze niedriger ist als bei anderen Verstößen in diesem Bericht, erhöht die Sensibilität bestimmter Umweltdaten und die föderale Natur des Verstoßes seine Bedeutung.

Arten der kompromittierten Daten

• Persönliche Informationen von EPA-Mitarbeitern und Auftragnehmern
• Umweltdaten von sensiblen Standorten
• Kritische Infrastrukturdaten für bestimmte Umweltüberwachungsstationen
• Informationen zu Zuschussanträgen, einschließlich Bewerberdetails
• Umwelt-Compliance-Daten von regulierten Einheiten
• Für etwa 650.000 Datensätze: Sozialversicherungsnummern von EPA-Mitarbeitern und Auftragnehmern

Geschätzter finanzieller Schaden: 1,43 Milliarden USD

Diese Schätzung spiegelt hauptsächlich Kosten im Zusammenhang mit der Vorfalluntersuchung, der Behebung, der Benachrichtigung und den Sicherheitsverbesserungen wider, anstatt direkte Marktauswirkungen, angesichts des Regierungsstatus der EPA. Die Zahl umfasst erhebliche Systemaufrüstungskosten, die nach dem Vorfall vorgeschrieben wurden, sowie betriebliche Auswirkungen durch vorübergehend ausgesetzte Umweltberichterstattungsfunktionen während der Untersuchung.

Regulatorische Auswirkungen

Als Bundesbehörde steht die EPA vor spezifischen regulatorischen Anforderungen:

• Überprüfung der Compliance mit dem Federal Information Security Modernization Act (FISMA)
• Kongressaufsicht und Untersuchungen
• Anforderungen zur Vorfallberichterstattung des Office of Management and Budget (OMB)
• Verstöße gegen das Datenschutzgesetz für kompromittierte Personalakten
• Staatliche Benachrichtigungsgesetze für betroffene Personen außerhalb der Bundesbelegschaft

Beteiligung von Ransomware

Nein

Detaillierte Berechnungen für die U.S. Environmental Protection Agency

Wichtige Trends und Einblicke

Die sich entwickelnde Rolle von Ransomware bei Datenschutzverstößen

Ransomware entwickelt sich weiterhin als bedeutender Bedrohungsvektor, wobei drei der 11 größten Verstöße (Change Healthcare, Ticketmaster und LoanDepot) Ransomware-Komponenten beinhalten. Die Natur dieser Angriffe hat sich jedoch im Vergleich zu früheren Jahren erheblich verändert. Datenexfiltration ist nun ein Standardbestandteil von Ransomware-Operationen und schafft ein Modell der doppelten Erpressung, bei dem Opfer sowohl mit betrieblichen Störungen als auch mit der Bedrohung durch Datenexposition konfrontiert sind.

Der Angriff auf Change Healthcare zeigt das katastrophale Potenzial von Ransomware, wenn kritische Infrastrukturen ins Visier genommen werden, was zu Kaskadeneffekten im gesamten Gesundheitsökosystem führt. Die Lösegeldzahlung von 22 Millionen Dollar, obwohl beträchtlich, stellte nur einen Bruchteil der geschätzten Gesamtauswirkungen von 32,1 Milliarden Dollar dar und wirft Fragen über die Wirksamkeit von Zahlungen als Minderungstrategie auf. Trotz des Erhalts von Entschlüsselungsschlüsseln musste UnitedHealth Group monatelange Wiederherstellungsbemühungen unternehmen.

Interessanterweise führte die Weigerung von Ticketmaster, eine Lösegeldforderung von 500.000 Dollar zu zahlen, zur Veröffentlichung von Daten, jedoch mit minimalen betrieblichen Auswirkungen, da ihre Sicherheitskontrollen eine weitreichende Verschlüsselung erfolgreich verhinderten. Dies unterstreicht die wachsende Spaltung in Ransomware-Abwehrstrategien: Organisationen müssen sowohl auf betriebliche Resilienz (um nicht für Entschlüsselung zu zahlen) als auch auf Datenschutz (um Exfiltrationsrisiken zu reduzieren) vorbereitet sein.

Der Fall LoanDepot liefert weitere Beweise dafür, dass Lösegeldforderungen keine schnelle Wiederherstellung garantieren, da das Unternehmen trotz der Bedrohung mit Lösegeld einen 18-tägigen Ausfall erlebte. Unsere Analyse legt nahe, dass Organisationen ihre Investitionen auf Prävention, Segmentierung und Wiederherstellungsfähigkeiten konzentrieren sollten, anstatt Mittel für potenzielle Lösegeldzahlungen zurückzuhalten.

Analyse des Ausmaßes der Datenexposition

Das beispiellose Ausmaß der Datenexposition im Jahr 2024 wirft grundlegende Fragen zu traditionellen Ansätzen der Datensicherheit auf. Der National Public Data-Verstoß (2,9 Milliarden Datensätze) und der Ticketmaster-Verstoß (560 Millionen Datensätze) stellen „Mega-Verstöße“ dar, die erhebliche Teile der Weltbevölkerung betreffen. Allein der National Public Data-Verstoß hat potenziell sensible Informationen für etwa 15 % der Weltbevölkerung offengelegt.

Diese Mega-Verstöße offenbaren die inhärenten Risiken massiver Datenaggregation, insbesondere für Datenbroker und Analyseunternehmen, deren Geschäftsmodelle auf der Sammlung und Verarbeitung umfangreicher Datensätze basieren. Der Verstoß bei National Public Data zeigt, wie Datenaggregation konzentrierte Risikopunkte schafft, bei denen ein einzelnes Sicherheitsversagen globale Konsequenzen haben kann.

Der National Public Data-Verstoß legte Datensätze offen, die 15 % der Weltbevölkerung entsprechen, und beweist, dass massive Datenaggregation konzentrierte Risikopunkte schafft, die potenziell weltweite Konsequenzen haben.

Der wahre Einfluss hinter diesen Zahlen hängt oft mehr von der Sensibilität der Daten als von der reinen Anzahl der Datensätze ab. Der LoanDepot-Verstoß, obwohl kleiner mit 16,9 Millionen Datensätzen, legte hochsensible Finanzdokumentationen offen, einschließlich Steuererklärungen und Einkommensnachweisen, was erhebliche Risiken für die betroffenen Personen schafft. Im Gegensatz dazu legten einige größere Verstöße hauptsächlich weniger sensible Informationen offen, wie Marketingpräferenzen oder grundlegende Kontaktdaten.

Unsere Analyse zeigt eine wachsende Divergenz zwischen der Wahrnehmung der Verbraucher über die Auswirkungen von Verstößen (typischerweise fokussiert auf die Anzahl der Datensätze) und den tatsächlichen Risikofaktoren (stark beeinflusst durch die Sensibilität der Daten und das Potenzial für Missbrauch). Organisationen sollten ihre Sicherheitsressourcen auf ihre sensibelsten Datenbestände konzentrieren, auch wenn sie kleinere Teile ihrer gesamten Datenbestände darstellen.

Analyse der Branchenanfälligkeit

Die Landschaft der Verstöße im Jahr 2024 zeigt eine signifikante Verschiebung in den Mustern der Branchenzielsetzung, wobei der Finanzdienstleistungssektor das Gesundheitswesen als am stärksten betroffenen Sektor unter den großen Verstößen überholt hat. Diese Verschiebung spiegelt die sich entwickelnden Prioritäten der Bedrohungsakteure wider, die zunehmend Finanzdaten wegen ihres unmittelbaren Monetarisierungspotenzials ins Visier nehmen.

Der Finanzdienstleistungssektor machte drei der 11 größten Verstöße aus (National Public Data, LoanDepot und MC2 Data), was sowohl den hohen Wert von Finanzinformationen als auch die anhaltenden Herausforderungen der digitalen Transformation im Sektor widerspiegelt. Die Integration von Altsystemen, Cloud-Migration und Fintech-Partnerschaften haben die Angriffsfläche für Finanzinstitute erweitert.

Der Verstoß bei Change Healthcare zeigte, dass Angriffe auf einen einzelnen Anbieter eine ganze Branche lähmen können, was die kritische Bedeutung der Sicherheit in der Lieferkette unterstreicht

Das Gesundheitswesen bleibt stark im Visier, wobei der Verstoß bei Change Healthcare den disruptivsten Vorfall im Gesundheitswesen seit Jahren darstellt. Der einzigartige Aspekt dieses Verstoßes war seine Auswirkung auf das Gesundheitsökosystem und nicht nur auf eine einzelne Organisation, was die wachsende Bedeutung der Sicherheit in der Lieferkette in diesem Sektor unterstreicht. Der Verstoß bei einem Drittanbieter von Kaiser Permanente verstärkt diese Besorgnis weiter.

Einzelhandelsverstöße, wie der Magecart-Angriff auf Hot Topic, zeigen die anhaltende Bedrohung für E-Commerce-Plattformen, insbesondere durch die Integration von Drittanbieter-Code. Der Einzelhandelssektor steht vor einzigartigen Herausforderungen, die Sicherheit mit dem Kundenerlebnis in schnelllebigen digitalen Handelsumgebungen in Einklang zu bringen.

Regierungsbehörden, vertreten durch den EPA-Verstoß, zeigen, dass selbst Organisationen ohne direkte Gewinnmotive Ziele bleiben, insbesondere für anspruchsvolle Bedrohungsakteure, die an sensiblen Daten oder potenziellem Geheimdienstwert interessiert sind.

Risikoanalyse von Drittanbietern und Lieferketten

Risiken in der Lieferkette und bei Drittanbietern traten als dominantes Thema bei den großen Verstößen im Jahr 2024 auf. Der Verstoß bei Change Healthcare veranschaulicht diese Risikokategorie am besten, da der Angriff nicht nur UnitedHealth Group, sondern Tausende von Gesundheitsdienstleistern im ganzen Land betraf, die auf die Infrastruktur des Unternehmens zur Abwicklung von Ansprüchen angewiesen waren.

Unsere Analyse zeigte erhebliche Unterschiede in den Supply Chain Impact Scores der Verstöße, die von 4,2 (LoanDepot und EPA) bis zu einem „perfekten“ 10,0 (Change Healthcare) reichten. Diese Varianz spiegelt die zunehmend komplexen digitalen Ökosysteme wider, in denen moderne Organisationen operieren, und die unverhältnismäßigen Auswirkungen, wenn kritische Dienstleister kompromittiert werden.

Die Kaskadeneffekte des Verstoßes bei Change Healthcare umfassten:

• Unterbrechung des Cashflows für Gesundheitsdienstleister im ganzen Land
• Verzögerte Patientenversorgung aufgrund von Verifizierungsproblemen
• Unterbrechungen bei der Apothekenabwicklung, die den Zugang zu Medikamenten beeinträchtigen
• Verwaltungsrückstände, die Monate nach der technischen Wiederherstellung anhielten

Das Risikomanagement von Drittanbietern bleibt 2024 der am wenigsten ausgereifte Sicherheitsbereich, was eine systematische Schwachstelle schafft, die Bedrohungsakteure zunehmend ins Visier nehmen.

Dieser Verstoß zeigt, wie Abhängigkeiten in der Lieferkette Multiplikatoreffekte erzeugen können, bei denen die Auswirkungen weit über die direkt kompromittierte Organisation hinausgehen. Die anfängliche Lösegeldzahlung von 22 Millionen Dollar verblasst im Vergleich zu den Milliarden an Gesamtauswirkungen auf das Ökosystem, ein Verhältnis, das den Verstärkungseffekt von Verstößen in der Lieferkette unterstreicht.²¹

Andere Verstöße mit hohen Supply Chain Impact Scores umfassen National Public Data (8,5) und Hot Topic (8,2). Das Aggregationsgeschäftsmodell von National Public Data schuf einen einzigen Ausfallpunkt, der Tausende von nachgelagerten Datenkonsumenten betraf, während der Magecart-Angriff von Hot Topic über eine Drittanbieter-JavaScript-Bibliothek zahlreiche verbundene Einzelhandelspartner und Zahlungsabwickler betraf.

Im Gegensatz dazu betrafen Verstöße mit niedrigeren Supply Chain Impact Scores wie AT&T (5,4) und MC2 Data (5,2) hauptsächlich direkte Kunden, anstatt weitreichende Störungen im Ökosystem zu verursachen. Der EPA-Verstoß (4,2) blieb relativ auf die Systeme der Agentur beschränkt, mit begrenzten Kaskadeneffekten auf verbundene Organisationen.

Unsere Analyse zeigt, dass Programme zum Risikomanagement von Drittanbietern oft nicht die dynamische Natur dieser Beziehungen berücksichtigen. Anstatt punktueller Bewertungen benötigen Organisationen kontinuierliche Überwachungsfähigkeiten und Echtzeit-Transparenz in die Sicherheitslage kritischer Anbieter. Vertragliche Sicherheitsanforderungen fehlen oft an ausreichender Spezifität oder Durchsetzungsmechanismen, während Notfallpläne selten komplexe Mehrparteien-Szenarien berücksichtigen.

Organisationen müssen erkennen, dass ihr Sicherheitsperimeter nun ihre gesamte digitale Lieferkette umfasst. Die Sicherheit jedes Glieds in dieser Kette trägt zur kollektiven Resilienz bei, und die schwächste Verbindung bestimmt oft die gesamte Sicherheitslage. Strenge Anbieterbewertungen, kontinuierliche Überwachung und validierte Sicherheitsanforderungen müssen zu Standardpraktiken werden, anstatt zu Compliance-Checkboxen.

Die Reife von Programmen zum Risikomanagement von Drittanbietern hinkt anderen Sicherheitsbereichen erheblich hinterher und schafft eine systematische Schwachstelle, die Bedrohungsakteure zunehmend ausnutzen. Organisationen müssen diese Programme von compliance-orientierten Rahmenwerken zu risikobasierten Ansätzen weiterentwickeln, die betriebliche Abhängigkeiten und Datenzugriffsmuster berücksichtigen.

Analyse der Angriffsvektoren

Die Analyse der 11 größten Verstöße zeigt mehrere dominante Angriffsvektoren, die Sicherheitsverantwortliche in ihren Abwehrstrategien priorisieren sollten, mit erheblichen Unterschieden in den Angriffsvektor-Sophistikationswerten, die von 5,4 (DemandScience) bis 8,4 (National Public Data) reichen.

Angriffe auf Basis von Zugangsdaten waren der initiale Vektor in 5 von 11 großen Verstößen, was zeigt, dass Angreifer trotz fortschrittlicher Sicherheitskontrollen weiterhin das menschliche Element ausnutzen.

Die raffiniertesten Angriffe zeigen mehrere fortschrittliche Merkmale:

• Fortschrittliche Persistenz- und Ausweichtechniken waren im National Public Data-Verstoß (8,4) offensichtlich, bei dem Angreifer „low-and-slow“-API-Ausnutzungsmethoden implementierten, die speziell entwickelt wurden, um Erkennungssysteme zu umgehen. Durch die Nutzung verteilter Infrastrukturen zur Verschleierung von Extraktionsaktivitäten blieben diese Angreifer neun Monate lang unentdeckt, während sie systematisch Milliarden von Datensätzen extrahierten. Dieser Verstoß veranschaulicht die wachsende Raffinesse von Bedrohungsakteuren, die Stealth gegenüber Geschwindigkeit priorisieren und verstehen, dass erweiterter Zugang wesentlich wertvollere Daten liefert.
• Zero-Day-Ausnutzung spielte eine herausragende Rolle im Ticketmaster-Verstoß (8,2), bei dem Angreifer eine zuvor unbekannte Schwachstelle in einer Zahlungs-API ausnutzten. Der Angriff kombinierte diesen Zero-Day mit fortschrittlichen Ausweichtechniken und hochgradig zielgerichteten Aktionen, die sich auf spezifische hochwerte Systeme konzentrierten, anstatt auf opportunistische Verschlüsselung. Diese präzise Zielsetzung stellt eine Evolution in den Angriffsmethoden dar, bei der Bedrohungsakteure umfangreiche Aufklärung betreiben, um die wertvollsten Vermögenswerte ihrer Ziele zu verstehen.
• Fortschritte im Social Engineering wurden in Verstößen wie Dell Technologies (7,4) demonstriert, die eine ausgeklügelte Spear-Phishing-Kampagne beinhalteten, die einen legitimen Partner imitierte, und Kaiser Foundation Health Plan (6,9), bei dem Angreifer MFA-Müdigkeitstechniken einsetzten, um Authentifizierungskontrollen zu umgehen. Diese sozialen Angriffe haben sich weit über generische Phishing-E-Mails hinaus entwickelt und zeichnen sich nun durch überzeugende Imitation, psychologische Manipulation und technische Umgehungen fortschrittlicher Authentifizierungssysteme aus.

Der Verstoß bei Change Healthcare nutzte eine Schwachstelle nur 16 Tage nach der Veröffentlichung des Patches aus, was das schnell schrumpfende Zeitfenster zeigt, das Organisationen haben, um kritische Updates zu implementieren.

Im Gegensatz dazu verursachten Verstöße mit niedrigeren Sophistikationswerten dennoch erhebliche Auswirkungen durch einfachere Vektoren

• Angriffe auf Basis von Zugangsdaten bleiben der am häufigsten vorkommende initiale Zugangsvektor und traten in 5 der 11 großen Verstöße auf. Diese reichen von ausgeklügelten Phishing-Kampagnen (Dell Technologies) über Credential-Stuffing-Angriffe, die Passwortwiederverwendung ausnutzen (MC2 Data), bis hin zu Social Engineering, das MFA umging (Kaiser Permanente). Trotz jahrelanger Sicherheitsbewusstseinsschulungen und technologischer Lösungen bietet der Diebstahl von Zugangsdaten Angreifern weiterhin einen effektiven Einstiegspunkt.
• Ungepatchte Schwachstellen spielten eine entscheidende Rolle in 4 der 11 Verstöße und unterstreichen die anhaltenden Herausforderungen in Programmen zur Schwachstellenverwaltung. Die Zeit zwischen der Verfügbarkeit von Patches und der Ausnutzung schrumpft weiterhin, wobei der Angriff auf Change Healthcare eine Schwachstelle nur 16 Tage nach der Veröffentlichung des Patches ausnutzte. Organisationen kämpfen mit der Priorisierung von Patches, Testanforderungen und betrieblichen Einschränkungen, die die Implementierung verzögern.
• Fehlkonfigurationen in der Cloud trugen zu 3 der 11 Verstöße bei, einschließlich des freigelegten S3-Buckets von AT&T, der 110 Millionen Kundendatensätze enthielt (Angriffsvektor-Sophistikationswert: 6,5). Dies stellt einen moderaten Sophistikationswert unter den großen Verstößen dar, wobei einige Organisationen wie DemandScience (5,4) und MC2 Data (5,7) niedriger bewertet wurden. Der Verstoß bei AT&T resultierte aus einem grundlegenden Konfigurationsfehler im Cloud-Speicher und nicht aus einem aktiven Angriff. Sein erheblicher Einfluss zeigt jedoch, dass selbst technisch einfache Sicherheitsfehler mit moderaten Sophistikationswerten katastrophale Datenexpositionen verursachen können, wenn sie kritische Datenbestände betreffen.

Die Variation der Sophistikation über diese Angriffe hinweg zeigt einen wichtigen Trend: Bedrohungsakteure setzen die minimale technische Komplexität ein, die erforderlich ist, um ihre Ziele zu erreichen. Der Verstoß bei AT&T erforderte minimale Sophistikation, da die Daten im Wesentlichen durch Fehlkonfiguration offengelegt wurden. Im Gegensatz dazu erforderten die robusten Sicherheitskontrollen von National Public Data fortschrittliche persistente Techniken, um die Abwehr zu umgehen und während der erweiterten Datenexfiltration unentdeckt zu bleiben.

Dieses Muster unterstreicht die Bedeutung der Bekämpfung sowohl fortschrittlicher Angriffsvektoren durch fortschrittliche Bedrohungserkennung als auch der grundlegenden Sicherheitshygiene, um die „niedrig hängenden Früchte“ zu beseitigen, die Angreifer mit minimalem Aufwand ausnutzen können. Selbst gut ausgestattete Organisationen mit ausgereiften Sicherheitsprogrammen fielen diesen fortschrittlichen Taktiken zum Opfer, was darauf hindeutet, dass perfekte Prävention in der heutigen Bedrohungslandschaft ein unrealistisches Ziel sein könnte.

Regulatorische Auswirkungen

Die regulatorische Landschaft für Datenschutzverletzungen wurde 2024 zunehmend komplexer, mit neuen staatlichen Datenschutzgesetzen, die in Kraft traten, und verstärkten Durchsetzungsmaßnahmen in verschiedenen Gerichtsbarkeiten. Unsere Analyse zeigt eine signifikante Korrelation zwischen regulatorischen Rahmenwerken und Metriken zur Schwere von Verstößen.

Organisationen, die mehreren regulatorischen Regimen unterliegen (wie National Public Data, mit Exposition gegenüber DSGVO, CCPA und verschiedenen staatlichen Gesetzen), erlebten 27 % höhere Kosten bei Verstößen als diejenigen, die weniger Vorschriften unterliegen. Dies spiegelt nicht nur potenzielle Strafen wider, sondern auch die Komplexität der Compliance bei der Verwaltung unterschiedlicher Benachrichtigungsanforderungen, Untersuchungstermine und Erwartungen an die Behebung.

Verstöße im Finanzdienstleistungs- und Gesundheitssektor, die durch branchenspezifische Vorschriften wie Gramm-Leach-Bliley und HIPAA geregelt sind, unterliegen besonders strengen Anforderungen. Der Verstoß bei Change Healthcare löste sowohl HIPAA-Verpflichtungen als auch SEC-Offenlegungspflichten aus, was ein komplexes Compliance-Szenario für UnitedHealth Group schuf.

Internationale Verstöße stehen vor besonders herausfordernden regulatorischen Landschaften. Die globale Präsenz von Ticketmaster bedeutete, dass Anforderungen in Dutzenden von Gerichtsbarkeiten navigiert werden mussten, jede mit unterschiedlichen Fristen und Anforderungen. Diese regulatorische Komplexität verlängert oft die Reaktionszeiten bei Verstößen und erhöht die administrativen Belastungen in Krisenzeiten.

Unsere Analyse zeigt jedoch begrenzte Beweise dafür, dass Regulierung Verstöße verhindert. Organisationen in stark regulierten Branchen erlebten ähnliche Verstoßraten wie solche in weniger regulierten Sektoren, was darauf hindeutet, dass Compliance allein keine Sicherheitseffektivität gewährleistet.

Organisationen, die mehreren regulatorischen Regimen unterliegen, erlebten 27 % höhere Kosten bei Verstößen, dennoch zeigten stark regulierte Branchen ähnliche Verstoßraten wie weniger regulierte Sektoren.

Fazit

Dieser Bericht hebt die sich wandelnde Natur von Cyberbedrohungen und deren zunehmende Auswirkungen auf globale Unternehmen hervor. Das schiere Ausmaß der Datenexposition, das über 1,7 Milliarden individuelle Benachrichtigungen übersteigt, unterstreicht die dringende Notwendigkeit verbesserter Sicherheitsmaßnahmen. Der Risk Exposure Index bot einen umfassenden Überblick über die Schwere von Datenschutzverstößen, indem er nicht nur die Anzahl der kompromittierten Datensätze, sondern auch finanzielle, regulatorische und operative Konsequenzen berücksichtigte. Da Ransomware und Schwachstellen von Drittparteien eine zentrale Rolle bei vielen dieser Vorfälle spielen, müssen Unternehmen ihre Programme zum Management von Lieferantenrisiken und ihre Strategien zur Reaktion auf Vorfälle neu bewerten.

Wichtige Erkenntnisse aus diesem Bericht zeigen die zunehmende Raffinesse der Taktiken von Cyberkriminellen, insbesondere bei der Zielsetzung auf Finanzdienstleistungen, die das Gesundheitswesen als am häufigsten betroffene Branche überholt haben. Der Anstieg von API-Sicherheitslücken, Cloud-Fehlkonfigurationen und Zero-Day-Exploits verdeutlicht die sich entwickelnde Angriffslandschaft, die von Unternehmen proaktivere Verteidigungsmaßnahmen erfordert. Auch die regulatorische Überprüfung hat zugenommen, mit erheblichen Strafen und Compliance-Verpflichtungen, die die Kosten von Datenschutzverletzungen weiter erhöhen. Der Angriff auf Change Healthcare zeigte beispielsweise die Kaskadeneffekte eines einzelnen Verstoßes auf eine gesamte Branche und betonte die Notwendigkeit für Unternehmen, ihre Risiken im gesamten Ökosystem zu bewerten.

In Zukunft müssen Unternehmen ein zero-trust Sicherheitsmodell übernehmen, Datenminimierungsstrategien priorisieren und in fortschrittliche Bedrohungserkennungstechnologien investieren, um zukünftige Verstöße zu mindern. Die zunehmende Verbreitung von KI-gestützten Angriffen erfordert einen Wandel von reaktiven Sicherheitsansätzen hin zu prädiktiven und adaptiven Cybersecurity-Frameworks. Da Cyberkriminelle ihre Techniken verfeinern, müssen Unternehmen mit kontinuierlichem Monitoring, robusten Zugriffskontrollen und stärkeren Bemühungen zur Einhaltung gesetzlicher Vorgaben einen Schritt voraus bleiben. Durch die Umsetzung dieser Maßnahmen können Unternehmen ihr Risiko verringern und ihre sensiblen Daten in einer zunehmend feindlichen digitalen Umgebung besser schützen.

Referenzen