Daten von 500 Millionen Yahoo-Usern gestohlen

Erst vor kurzem schockte Dropbox seine Nutzer, als das Unternehmen mit vier Jahren Verspätung den Verlust von 60 Millionen Datensätzen bekanntgab. Jetzt stellt ein Vorfall bei Yahoo Dropbox noch einmal in den Schatten.

Die Zahlen lesen sich katastrophal: Persönliche Daten einer halben Milliarde Yahoo-Nutzer wurden von Angreifern gestohlen – und das bereits Ende 2014! Neben Namen und E-Mail-Adressen der Opfer wurden auch Telefonnummern, Geburtstage, Passwortinformation sowie Antworten auf Sicherheitsfragen entwendet.

Wie schon im Fall Dropbox schockiert dabei nicht nur das Ausmaß des Vorfalls, sondern vor allem die langsame Reaktion von Yahoo. Als CISO Bob Lord sich am Donnerstag im offiziellen Yahoo-Tumblr zu dem Thema äußerte, lag der Vorfall schon fast zwei Jahre zurück. Noch schlimmer: Yahoo wurde auf den Diebstahl erst aufmerksam, als Hacker Anfang August dieses Jahres 200 Millionen der Datensätze zum Verkauf anboten.

Für Nutzer bedeutet das: Präzise Phishing-Angriffe auf sie waren möglich, ohne dass sie sich der Gefahr bewusst waren. Name, Geburtsdatum und Telefonnummer ermöglichten den Angreifern gezielten Identitätsdiebstahl. Und wer die gleiche Sicherheitsfrage („Was ist der Mädchenname Ihrer Mutter?“) auf mehreren Plattformen verwendete, dem drohte in dieser Zeit die Kompromittierung weiterer Accounts.

Der Vorfall trifft besonders Privatpersonen, doch Unternehmen sollten daraus ebenfalls lernen: Datensicherheit kann gerade im Cloud-Zeitalter nicht ausgelagert werden. Der einzige Sicherheitsmechanismus, der Unternehmen die Kontrolle über ihre extern verarbeiteten und gespeicherten Daten ermöglicht, ist eine unternehmensseitige Verschlüsselung. Damit liegen in der Cloud nur unlesbare Daten, die im Falle eines Diebstahls nicht verwendet werden können. Yahoo hatte diese Sicherheit nur teilweise – etwa für Passwörter – eingerichtet, nicht jedoch für andere hochsensible Personaldaten. Die Leidtragenden sind nun wieder einmal die Nutzer.

Für Unternehmen steht bei einem Datendiebstahl viel auf dem Spiel: Entwendete Produkt-, Produktions- und Entwicklungsdaten können Marktvorsprünge zerstören und wirtschaftlichen Schaden in Millionenhöhe verursachen – vom Vertrauens- und Reputationsverlust beim Kunden und in der Wirtschaft ganz zu schweigen. Sicherheit für die eigenen Daten ist längst kein Soll mehr – es ist ein Muss! eperi bietet dafür eine einfache, zuverlässige Lösung: Das eperi Gateway, das Daten in Cloud-Applikationen, Datenbanken und Dateien verschlüsselt, bevor sie verarbeitet und gespeichert werden. Datendiebstahl kann nicht verhindert werden – das eperi Gateway ermöglicht, dass Angreifer mit diesen Daten nichts anfangen können. In unserer Ressourcenbibliothek stellen wir weitere Informationen zu diesem Thema und unserer Lösung zur Verfügung.