Anmerkung der Redaktion: Dieser Blogbeitrag ist der zweite Teil einer Reihe, die sich mit den Ursachen und Auswirkungen von hochkarätigen Datenverstößen durch Dritte in den letzten zehn Jahren befasst. Verfolgen Sie den Risk Register-Blog, um keine weiteren Teile dieser Reihe zu verpassen!
Im Jahr 2013 nutzten Angreifer den Zugang eines Drittanbieters, um das Netzwerk von Target zu kompromittieren und sensible Kundendaten zu stehlen. Dieser Blogbeitrag befasst sich mit den Hintergründen des Target-Hacks, den von den Angreifern verwendeten Methoden, dem Verbleib der Daten, den Auswirkungen des Hacks auf Target und den Lehren, die heutige Risikomanagement-Experten für Drittanbieter aus diesem Vorfall ziehen können.
Hintergrund der Datenpanne
Während der Weihnachtssaison 2013 drangen Hacker in das Netzwerk von Target ein und kompromittierten die Kontodaten von 70 Millionen Kunden. Die Hacker stahlen Daten wie vollständige Namen, Telefonnummern, E-Mail-Adressen, Zahlungskartennummern und Kreditkartenprüfnummern – den wahren Heiligen Gral der personenbezogenen Daten!
Verwendete Methoden
Die Angreifer nutzten eine Spear-Phishing-Attacke gegen Fazio Mechanical Services, einen externen HVAC-Dienstleister von Target, um Benutzerdaten zu stehlen. Anschließend nutzten die Hacker die gestohlenen Daten, um sich Zugang zum Unternehmensnetzwerk von Target zu verschaffen und Malware auf den POS-Geräten von Target zu installieren. Die installierte Malware sammelte zwischen November und Dezember 2013 sensible Kundendaten.
Was ist mit den Daten passiert?
Die gestohlenen Kreditkartendaten wurden später im Dark Web zum Verkauf angeboten. Es ist jedoch unklar, ob die Verkäufer auch die Täter waren.
Wie sich der Datenverstoß auf Target ausgewirkt hat
Da die Sicherheitsverletzung während der Weihnachtszeit, einer für Einzelhändler entscheidenden Zeit, bekannt wurde, erlitt Target erhebliche finanzielle Verluste. Der Gewinn des Unternehmens sank im vierten Quartal 2013 im Vergleich zum Vorjahr um fast 50 %, und der Aktienkurs fiel in den zwei Monaten nach Bekanntwerden der Sicherheitsverletzung um 9 %. Darüber hinaus einigte sich Target 2015 in einer Sammelklage auf eine Zahlung von 10 Millionen US-Dollar und erklärte sich bereit,Kunden, die durch die Datenpanne Verluste erlitten hatten, bis zu 10.000 US-Dollar zu zahlen. Und 2017 zahlte Target weitere 18,5 Millionen US-Dollar für Vergleichszahlungen.
Darüber hinaus schadete die weit verbreitete negative Publicity dem Ruf von Target und führte zu unerwünschter Aufmerksamkeit. Das Justizministerium leitete 2014 eine Untersuchung ein, und Gesetzgeber setzten sich bei den Bundesaufsichtsbehörden dafür ein, den Verstoß zu untersuchen. Im Jahr 2014 nutzten mehrere Senatsausschüsse den Verstoß als Diskussionsgrundlage für mögliche Vorschriften zur Datensicherheit. Im Rahmen des Vergleichs von Target aus dem Jahr 2017 wurde Target verpflichtet, sich an die vom kalifornischen Justizministerium in den Berichten des kalifornischen Generalstaatsanwalts zu Datenschutzverletzungen veröffentlichten Best Practices für Unternehmen zu halten.
Was Fachleute für das Risikomanagement von Drittanbietern aus dem Datenleck bei Target lernen können
Obwohl Risikomanagement-Experten aus dem Target-Hack viele Lehren ziehen können, ist dieser Fall ein Paradebeispiel für die Durchführung einer gründlichen, auf internen Kontrollen basierenden Bewertung – insbesondere in zwei Bereichen: Identitäts- und Zugriffsmanagement sowie Schulung und Weiterbildung der Benutzer. Und obwohl die Bewertung selbst nicht garantiert hätte, dass der Hack nicht stattgefunden hätte, hätte die Transparenz hinsichtlich der mangelnden internen Kontrolle über diese kritischen Sicherheitsprozesse ein Licht auf die wesentlichen Schwachstellen geworfen.
Prevalent ist insofern einzigartig, als wir diese automatisierten Lieferantenbewertungen mit einer kontinuierlichen Bedrohungsüberwachung auf einer einzigen Plattform kombinieren, um einen 360-Grad-Überblick über Lieferanten zu erhalten. Das Ergebnis ist die Transparenz, die Sie benötigen, um Risiken aufzudecken, zu interpretieren und zu mindern.
Denken Sie daran: Nur weil Sie wichtige Funktionen an einen Dritten auslagern, bedeutet das nicht, dass Sie auch das Risiko auslagern. Sie tragen weiterhin die Verantwortung dafür und müssen es entsprechend managen. Wenn Sie dies nicht tun, müssen Sie sich auf Sammelklagen, Ruf- und Markenschäden sowie finanzielle Verluste einstellen.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihrem Unternehmen dabei helfen kann, ein Risikomanagementprogramm für Drittanbieter aufzubauen oder zu optimieren und Schwachstellen bei Drittanbietern sichtbar zu machen, kontaktieren Sie uns noch heute.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
