Frau mit Smartphone

Die meisten Teilnehmer einer kürzlich durchgeführten Studie hatten keine Ahnung, dass ihre E-Mail-Adressen und andere persönliche Daten bei durchschnittlich jeweils fünf Datenschutzverletzungen kompromittiert wurden.

Es ist neun Jahre her seit der LinkedIn-Datenpanne, acht Jahre, seit Adobe-Kunden Opfer von Cyber-Angreifern wurden, und vier Jahre, seit Equifax Schlagzeilen wegen der Offenlegung privater Informationen von Millionen von Menschen machte.

Forscher der University of Michigan School of Information zeigten 413 Personen Fakten von bis zu drei Verstöße die ihre eigenen personenbezogenen Daten beinhalteten. Die Forscher fanden heraus, dass 74 % der Verstöße den Menschen nicht bewusst waren.

„Das ist besorgniserregend. Wenn die Leute nicht wissen, dass ihre Informationen bei einem Sicherheitsverstoß preisgegeben wurden, können sie sich nicht angemessen gegen die Folgen einer Sicherheitsverletzung schützen, zB ein erhöhtes Risiko von Identitätsdiebstahl“, sagt Doktorandin Yixin Zou.

Wie in a Konferenzpapier, fanden die Forscher auch heraus, dass die meisten der Angreifer ihr eigenes persönliches Verhalten für die Ereignisse verantwortlich machten – indem sie dasselbe Passwort für mehrere Konten verwendeten; die gleiche E-Mail für lange Zeit behalten; und die Anmeldung für „skizzenhafte“ Konten – wobei nur 14% das Problem auf externe Faktoren zurückführen.

Innerself-Abonnieren-Grafik

„Obwohl die Verbraucher in gewisser Weise dafür verantwortlich sind, achten darüber, mit wem sie ihre personenbezogenen Daten teilen, liegt die Schuld für Sicherheitsverletzungen fast immer an unzureichenden Sicherheitspraktiken des betroffenen Unternehmens und nicht der Opfer der Sicherheitsverletzung“, sagt Adam Aviv, außerordentlicher Professor für Informatik an der George Washington University.

Das Habe ich bedrängt Die in dieser Studie verwendete Datenbank listet in den letzten zehn Jahren fast 500 Online-Verstöße und 10 Millionen kompromittierte Konten auf. Nach Angaben des Identity Theft Resource Center ist die Gesamtzahl der Datenschutzverletzungen, von denen Amerikaner betroffen sind, sogar noch höher und meldete allein in den USA im Jahr 1,108 mehr als 2020 Sicherheitsverletzungen.

Frühere Untersuchungen fragten nach Bedenken und Reaktionen auf Datenschutzverletzungen im Allgemeinen oder stützten sich auf selbst gemeldete Daten, um festzustellen, wie sich ein bestimmter Vorfall auf Menschen auswirkte. Diese Studie verwendete öffentliche Aufzeichnungen im Datensatz Have I Been Pwned darüber, wer von Sicherheitsverletzungen betroffen war. Das Forschungsteam sammelte 792 Antworten mit 189 einzelnen Verstößen und 66 verschiedenen offengelegten Datentypen. Von den 431 abgefragten E-Mail-Adressen der Teilnehmer wurden 73 % der Teilnehmer bei einer oder mehreren Sicherheitsverletzungen aufgedeckt, wobei die höchste Zahl 20 betrug.

Von allen verletzten Informationen wurden E-Mail-Adressen am häufigsten kompromittiert, gefolgt von Passwörtern, Benutzernamen, IP-Adressen und Geburtsdaten.

Die meisten Teilnehmer äußerten mäßige Besorgnis und waren am meisten besorgt über das Durchsickern von physischen Adressen, Passwörtern und Telefonnummern. Als Reaktion auf ihre kompromittierten Konten berichteten sie, dass sie bei 50 % der Sicherheitsverletzungen Maßnahmen ergriffen oder die Absicht hatten, Passwörter zu ändern.

„Es könnte sein, dass einige der gehackten Dienste als ‚unwichtig' angesehen wurden, weil das gehackte Konto keine sensiblen Informationen enthielt. Die geringe Besorgnis über eine Sicherheitsverletzung kann jedoch auch dadurch erklärt werden, dass Personen nicht vollständig berücksichtigen oder wissen, wie durchgesickerte personenbezogene Daten möglicherweise missbraucht werden und ihnen schaden könnten“, sagt Peter Mayer, Postdoktorand am Karlsruher Institut für Technologie.

Die Risiken reichen von Credential Stuffing – oder der Verwendung einer durchgesickerten E-Mail-Adresse und einem Passwort, um Zugang zu anderen Konten des Opfers zu erhalten – bis hin zu Identitätsdiebstahl und Betrug.

Die meisten Verstöße machten nie Schlagzeilen, und oft wurden die betroffenen Personen kaum oder gar nicht benachrichtigt.

„Die heutigen Meldepflichten bei Datenschutzverletzungen reichen nicht aus“, sagt Zou. „Entweder werden die Leute nicht von Unternehmen mit Sicherheitsverletzungen benachrichtigt, oder die Benachrichtigungen sind so schlecht gestaltet, dass die Leute möglicherweise eine E-Mail-Benachrichtigung oder einen Brief erhalten, diese jedoch ignorieren. In früheren Arbeiten, analysierten wir die an Verbraucher gesendeten Benachrichtigungsschreiben zu Datenschutzverletzungen und stellten fest, dass diese häufig fortgeschrittene Lesefähigkeiten erfordern und Risiken unklar sind.“

Am Ende der Studie zeigten die Forscher den Teilnehmern die vollständige Liste der sie betreffenden Datenschutzverletzungen und stellten Informationen zur Verfügung, um Schutzmaßnahmen gegen potenzielle Risiken durch Datenschutzverletzungen zu ergreifen.

So vermeiden Sie Datenschutzverletzungen

Wenn Ihre Daten gestohlen wurden: 

  • Überprüfen Sie, ob Konten Teil einer Sicherheitsverletzung waren, indem Sie kostenlose Dienste wie https://haveibeenpwned.com/ or https://monitor.firefox.com/.
  • Lesen Sie die Benachrichtigungen zu Sicherheitsverletzungen sorgfältig durch.
  • Websites wie die FTCs https://identitytheft.gov/ kann helfen, einen Wiederherstellungsplan nach Identitätsdiebstahl zu erstellen.
  • Stellen Sie sicher, dass Sie das Passwort des verletzten Kontos und aller anderen Konten ändern, für die dasselbe Passwort verwendet wurde. Es sollte ausreichen, dies einmal zu tun, es sei denn, es gibt einen neuen Verstoß.
  • Melden Sie sich für Identitätsüberwachungsdienste an, die Ihnen angeboten werden. Obwohl sie nicht perfekt sind, sind sie besser als nichts.
  • Wenn Sie durch eine Verletzung tatsächlich Schaden erleiden, haben Sie möglicherweise auch Anspruch auf weitere Unterstützung.

Um zukünftige Datenschutzverletzungen zu verhindern: 

  • Verwenden Sie für jedes Online-Konto ein eindeutiges Passwort. Niemand kann sich an Dutzende davon erinnern, daher ist es am besten, einen Passwort-Manager zu verwenden, um sichere Passwörter zu speichern und zu erstellen.
  • Verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung, die neben Benutzername und Passwort einen telefonischen Code erfordert, um auf ein Konto zuzugreifen.
  • Sperren Sie Kreditauskünfte bei den drei großen Büros (Equifax, Experian und TransUnion), um es Identitätsdieben zu erschweren, finanziellen Schaden anzurichten. Sehen hier.
  • Erwägen Sie die Nutzung von Diensten wie Melden Sie sich bei Apple an  um eine E-Mail-Adresse beim Erstellen neuer Konten privat zu halten (der Dienstanbieter sieht nur eine eindeutig für dieses Konto erstellte E-Mail-Adresse).

„Die Ergebnisse dieser Studie unterstreichen das Versagen und die Mängel der aktuellen Gesetze zur Meldung von Daten- und Sicherheitsverletzungen“, sagt Florian Schaub, Assistant Professor of Information an der University of Michigan.

„Was wir in unserer Arbeit immer wieder feststellen, ist, dass wichtige Gesetze und Verordnungen, die dem Verbraucherschutz dienen sollen, in der Praxis durch mangelnde Kommunikationsbemühungen der betroffenen Unternehmen, die für die Sicherung der Kundendaten stärker in die Verantwortung genommen werden müssen, wirkungslos gemacht werden.“

Die Forscher verweisen auf die europäische Datenschutz-Grundverordnung, die hohe Geldstrafen für Unternehmen vorsieht, die den Verbraucher nicht schützen, um das Problem zu lösen. Das Gesetz veranlasste Unternehmen weltweit, ihre Datenschutzprogramme und -vorkehrungen zu überarbeiten.

Quelle: University of Michigan

 

Über den Autor

Lorbeer Thomas-Michigan

Dieser Artikel erschien ursprünglich auf Futurity