Ein Datenverstoß bei einem Hersteller von Live-Event-Geräten enthüllt die persönlichen und finanziellen Daten der Mitarbeiter
Letzte Woche TAIT Towers Fertigungs LLC, ein Hersteller von Ausrüstung für Live - Events und Konzerte mit Stars wie Lady Gaga und Taylor Swift, gearbeitet hat, ausgestellt einer dieser Aussagen, wo es hat zu erklären, wie es Daten nimmt Sicherheit sehr ernst. Wie viele von Ihnen wahrscheinlich wissen, tun Unternehmen dies erst, nachdem sie einen Datenverstoß erlitten haben.
Der Angriff fand tatsächlich vor vier Monaten im Februar statt, aber das Unternehmen erfuhr erst am 6. April davon. Nachdem es über den Verstoß informiert worden war, leitete es sofort eine Untersuchung ein, die noch andauert. Trotzdem war TAIT so freundlich, uns (und den Menschen, die direkt von dem Angriff betroffen waren) mitzuteilen, was passiert ist.
Table of Contents
Hacker haben einen TAIT-Server und die E-Mail-Konten der Mitarbeiter kompromittiert
Am 16. Februar hat eine nicht autorisierte Partei einen der TAIT-Server und die E-Mail-Konten einiger Mitarbeiter des Unternehmens kompromittiert. Einmal drinnen, erhielten die Hacker Zugang zu vielen persönlichen Daten des TAIT-Personals, einschließlich Namen, physischen und E-Mail-Adressen, Geburtsdaten, Sozialversicherungsnummern und Finanzkontonummern. TAIT schloss die Lücke, beauftragte ein Cybersicherheitsunternehmen mit der Untersuchung und begann mit der Umsetzung von Maßnahmen, um sicherzustellen, dass ähnliche Vorfälle in Zukunft nicht mehr auftreten.
Das Unternehmen ist fest davon überzeugt, dass es keine Hinweise auf einen Missbrauch der Daten gesehen hat. Um jedoch auf der sicheren Seite zu sein, ist es bereit, betroffenen Mitarbeitern kostenlose Dienste zum Schutz vor Identitätsdiebstahl zur Verfügung zu stellen. Die Erklärung enthält viele Details darüber, was die Leute tun müssen, um TAIT auf dieses Angebot aufmerksam zu machen.
Es fehlen zu viele Puzzleteile
Wie bereits erwähnt, ist die Untersuchung noch nicht abgeschlossen, was darauf hindeutet, dass selbst TAIT noch nicht das vollständige Bild hat. Davon abgesehen fehlen in der Erklärung der letzten Woche so viele Details, dass die Anzahl der aufgeworfenen Fragen die der beantworteten Fragen übersteigt.
Wir wissen beispielsweise nicht, wie viele E-Mail-Konten angegriffen wurden. Es gibt auch keine Informationen über die Anzahl der betroffenen Mitarbeiter, und wir wissen nicht einmal, ob der Angriff auf Personen in einer bestimmten Region abzielte oder ob er die Büros von TAIT auf der ganzen Welt betraf. Die Methode, mit der Hacker die IT-Systeme von TAIT kompromittieren, ist ebenfalls unbekannt. Daher ist es schwierig zu sagen, wie hoch entwickelt die Gegner sind und wie schlimm die Folgen sein könnten. Dies ist nicht das einzige Problem.
Über diese Aussage “Wir nehmen die Sicherheit sehr ernst”
Unternehmen werden häufig dafür kritisiert, dass sie ihre Benachrichtigungen über Datenschutzverletzungen mit einem Satz versehen, der die Menschen nicht sehr gut davon überzeugt, dass die angegriffene Organisation "die Sicherheit sehr ernst nimmt". Die Aussage bringt keinen wirklichen Wert für die Benachrichtigung, und in einigen Fällen scheint sie geradezu hohl zu sein.
Zum Beispiel haben die Verantwortlichen für die Sicherheit von TAIT genau denselben Anspruch geltend gemacht, jedoch nicht sichergestellt, dass die Website des Unternehmens standardmäßig unter HTTPS geladen wird. Sie prahlten auch mit dem von ihnen eingeführten Multi-Faktor-Authentifizierungssystem. Die Multi-Faktor-Authentifizierung gibt es schon seit Jahren und sie hat sich als die einfachste Möglichkeit erwiesen, einen besseren Datenschutz zu gewährleisten. Angesichts der Sensibilität und des Volumens der Daten, die TAIT verarbeitet, hätte das Unternehmen wahrscheinlich darüber nachdenken müssen, sie vor dem Angriff der Cyberkriminellen und nicht nach dem Angriff zu implementieren.
Alles in allem zeigt die Benachrichtigung über Verstöße gegen TAIT, dass es einfacher ist, zu sagen, dass Sie die Sicherheit ernst nehmen, als dies tatsächlich zu tun.