LinkedIn passierte es 2012, eBay 2014 und der Hotelkette Marriott 2018: Hunderte Millionen von Datensätzen mit persönlichen Daten – wie Namen, Adressen und Passwörter – wurden von Unbefugten durch einen gezielten Cyberangriff erbeutet. Obwohl die betroffenen Unternehmen im Voraus zahlreiche Sicherheitsmaßnahmen ergriffen hatten, konnten sie die Datendiebstähle nicht verhindern. Doch diese in den Medien bekanntgewordenen Datendiebstähle sind nur die Spitze des Eisbergs.
Sicherheitsforscher schätzen, dass jedes Jahr etwa 2,3 Milliarden Datensätze von einem Datendiebstahl betroffen sind. 2018 schätzte das Ponemon Institute, eine amerikanische Forschungseinrichtung, die Kosten eines Datendiebstahls in Deutschland im Durchschnitt auf 156 Euro pro abhandengekommenem persönlichen Datensatz. Bei einer Datenbank mit 10.000 Datensätzen über Personen entstehen also Kosten von mehr als 1,5 Millionen Euro. Neben diesen direkten Kosten fallen auch indirekte Kosten, zum Beispiel durch Imageschäden nach einem veröffentlichten Angriff an. Gleichzeitig stellte das Ponemon Institute fest, dass eine rasche Reaktion auf einen Datendiebstahl die Kosten senkt – doch im Durchschnitt dauerte es 138 Tage, bis der Datendiebstahl überhaupt bemerkt werden konnte.
Die syret GmbH, ein 2018 gegründetes Unternehmen aus Halle, ist im Bereich der IT-Sicherheit aktiv. Zum Tagesgeschäft gehören Dienstleistungen wie Penetrationstests (simulierte Angriffe auf IT-Systeme, um Schwachstellen aufzudecken) und die anschließende Behebung der gefundenen Sicherheitslücken sowie digitale Forensik, also die Aufklärung von Sicherheitsvorfällen im Nachhinein mit dem Ziel, gleichartige Ereignisse in Zukunft verhindern zu können. Das Ziel ist dabei, das Sicherheitsniveau der IT-Landschaft von Unternehmen zu erhöhen, damit es nicht (mehr) zu Datendiebstählen oder anderen Angriffen kommt.
Im Rahmen dieser Tätigkeit stellt sich häufig die Frage: Wie erkennt ein Unternehmen, wenn persönliche Daten abhanden gekommen sind? Nur, wenn ein Datendiebstahl rasch bemerkt wird, können rechtzeitig Gegenmaßnahmen ergriffen werden, um den Angriff zu stoppen und den Schaden zu begrenzen. Außerdem sieht die DSGVO bei unbefugtem Zugriff auf persönliche Daten eine Information der Aufsichtsbehörde und unter bestimmten Umständen auch der Betroffenen selbst vor – innerhalb kurzer Fristen.
Um Datendiebstähle zu erkennen, hat die syret GmbH das Produkt datakana entwickelt. Das Prinzip ist einfach: Für jede zu überwachende Datenbank wird ein eigener Test-Datensatz generiert, der wie ein echter personenbezogener Datensatz aussieht – mit Namen, Adresse, Telefonnummer, E-Mail-Adresse, Kontonummer und weiteren Daten. Der Betreiber der Datenbank – beispielsweise einer Kundendatenbank in einem Webshop oder einer Patientendatenbank in einer medizinischen Einrichtung – baut anschließend diesen Datensatz neben den echten Datensätzen in die Datenbank ein. Die Daten sind plausibel: Die Adresse gibt es wirklich, die Postleitzahl stimmt, die IBAN enthält die korrekte Bankleitzahl und die Vorwahl der Telefonnummer passt zur Adresse, doch real sind sie nicht, denn niemand dieses Namens wohnt an der Adresse und die Telefonnummer ist nicht vergeben. Dadurch wird es für einen Angreifer schwer, den Test-Datensatz aus einer Datenbank mit zahlreichen echten Datensätzen herauszufiltern.
Anschließend setzt datakana darauf, dass ein Datendieb einen Nutzen aus seiner Tat ziehen möchte, und zwar Ruhm oder Geld. Möchte er Ruhm, wird er die Datenbank veröffentlichen – mit dem Test-Datensatz. Möchte er Geld, wird er die Datenbank verkaufen oder selbst nutzen – und damit auch den Test-Datensatz. datakana überwacht nun mit einer eigenentwickelten Suchmaschine Teile des Darknets und dunkle Ecken des Internets wie einschlägige Foren und Marktplätze und versucht, den Test-Datensatz zu finden. Taucht der Test-Datensatz irgendwo auf, ist klar: Die Datenbank, in der er eingebaut war, ist von einem Datendiebstahl betroffen. datakana informiert anschließend automatisch und unmittelbar den Betreiber der Datenbank, der anschließend – auch mit Expertenhilfe der syret GmbH – sofort reagieren kann.
Diese Technologie wird bereits jetzt von Unternehmen in Sachsen-Anhalt und darüber hinaus benutzt, um Datendiebstähle zu erkennen. Für das dritte Quartal 2019 ist der Markteintritt in den amerikanischen Markt geplant – denn beispielsweise Kalifornien kennt ein „data breach notification law“, das Unternehmen bei Datendiebstählen persönlicher Daten zur unmittelbaren Meldung verpflichtet. Hier kann datakana helfen, hohe Strafen und in den USA bekanntlich häufig kostspielige Gerichtsverfahren zu verhindern.