GE meldet Datenverstoß durch Drittanbieter

General Electric (GE) hat einen Datenverstoß bekannt gegeben, der bei einem seiner Drittanbieter, Canon Business Process Services, seinen Ursprung hat.

Dekoratives Bild

Da sich die Nachrichten derzeit ausschließlich um COVID-19 drehen, haben Sie vielleicht übersehen, dass GE – das multinationale Unternehmen mit Sitz in den USA – kürzlich bekannt gegeben hat, dass es Opfer eines Datenlecks geworden ist, das seinen Ursprung bei einem seiner Drittanbieter, Canon Business Process Services, hatte. Damit reiht sich GE in eine Reihe globaler Marken und bekannter Namen wie Marriott, Quest Diagnostics, LabCorp, Sprint und Target ein, die ebenfalls Opfer solcher Datenlecks geworden sind. Tatsächlich ist dieser Vorfall ein Paradebeispiel dafür, dass eine strengere Kontrolle von Drittanbietern erforderlich ist.

Hier finden Sie einen kurzen Überblick über das, was wir über den Verstoß wissen, und wie Risikomanagementlösungen von Drittanbietern wie Prevalent helfen können.

Übersicht über die Sicherheitsverletzung bei GE

Laut GE hat sich zwischen dem 3. und 14. Februar 2020 eine unbefugte Person Zugang zu einem E-Mail-Konto von Canon verschafft, das sensible Informationen über aktuelle und ehemalige GE-Mitarbeiter und deren Begünstigte enthielt. GE arbeitete mit Canon bei der Dokumentenverarbeitung zusammen. Die vom Eigentümer des gehackten E-Mail-Kontos verwalteten Dokumente enthielten personenbezogene Daten wie Formulare für Direktüberweisungen, Führerscheine, Reisepässe, Geburtsurkunden und mehr – und wahrscheinlich auch Namen, Adressen, Sozialversicherungsnummern, Führerscheinnummern, Bankkontonummern, Passnummern und/oder Geburtsdaten.

Obwohl wir den Angriffsvektor nicht mit Sicherheit kennen – er könnte beispielsweise über Spear-Phishing oder Social-Engineering-Angriffe erfolgt sein –, wissen wir, dass die kontinuierliche Bewertung und Überwachung der Kontrollen von Drittanbietern dazu beiträgt, die Wahrscheinlichkeit und die Auswirkungen von Sicherheitsverletzungen wie dieser zu verringern.

Wie das Risikomanagement durch Dritte helfen kann

In dieser Zeit der Unsicherheit werden Hacker versuchen, von abgelenkten Teams und erschöpften Ressourcen zu profitieren. In einer Zeit, in der die Sicherheit der Lieferkette wichtiger denn je ist, können wir es uns nicht mehr leisten, sie als bloße Compliance-Anforderung zu betrachten.

Ein ausgereiftes Risikomanagementprogramm für Dritte ist agil und auf Datenverstöße vorbereitet, indem es:

  • Bewertung von Anbietern anhand einer Vielzahl von Best-Practice-Rahmenwerken für Sicherheit mit klarer Bewertung der Schwachstellen, die behoben werden müssen
  • Überwachung von Hacker-Chatforen im Dark Web auf Erwähnungen des Unternehmens oder gestohlene Zugangsdaten
  • Nutzung von Echtzeit-Benachrichtigungen über Sicherheitsverletzungen und Informationen aus verschiedenen Quellen, um Out-of-Band-Bewertungen zu kritischen Cybersicherheitspraktiken (z. B. Zwei-Faktor-Authentifizierung, Richtlinien zur Passwortrotation sowie Schulungs- und Sensibilisierungsprogramme für Mitarbeiter) durchzuführen.
  • Nutzung bereits durchgeführter Bewertungen, um Erkenntnisse darüber zu gewinnen, ob Anbieter in der Vergangenheit ähnliche Schwachstellen hatten und wie ihre Pläne zur Behebung dieser Schwachstellen aussahen.
  • Einsatz programmatischer Prozesse zur Erkennung von Verstößen, Benachrichtigung und Eskalation an den betreffenden Dritten

GE hat erklärt, dass angemessene Maßnahmen zur Gewährleistung der Sicherheit ergriffen werden, dass der Vorfall keine direkten Auswirkungen auf die GE-Systeme hatte und dass man gemeinsam mit Canon daran arbeite, die Ursache des Vorfalls zu ermitteln. Dies ist jedoch nur ein schwacher Trost für die Tausenden von GE-Mitarbeitern, die möglicherweise von dieser Sicherheitsverletzung betroffen sind. Eine zweijährige kostenlose Kreditüberwachung durch Experian ist nur ein Tropfen auf den heißen Stein.

Sind Sie besorgt über Ihre eigenen Praktiken im Umgang mit Risiken durch Dritte? Nehmen Sie an der Online-Risikobewertung von Prevalent teil und erhalten Sie schnell eine Bewertung sowie Empfehlungen, was Sie sofort angehen sollten.


Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.