Datenleck bei Hotelkette MGM
Februar 23, 2020 4:44 pmDaten von über 10 Millionen Hotelbesuchern veröffentlicht
Nach einem Datenleck bei MGM landeten persönliche Informationen mehrerer Millionen Gäste und Besuchern der Hotel- und Casinokette öffentlich im Netz.
Wir zeigen Ihnen, wie Sie solche Vorfälle in Ihrem Unternehmen vermeiden können.
Was war geleakt?
Die betroffenen Informationen, die in einem Hackerforum veröffentlicht worden sind, stammen von einem Cloudserver, auf welchem persönliche Daten wie Namen, Adressen, Telefonnummern und Geburtsdaten von Hotelgästen gespeichert waren.
Zu den 10,683,188 Betroffenen zählen neben regulären Hotelgästen auch prominentere Besucher, wie bekannte Musiker oder Regierungsbeamte, Geschäftsführer großer Tech-Firmen und Mitarbeiter des Geheimdienstes.
Zahlungsinformationen sollen laut MGM nicht unter den geleakten Daten gewesen sein.
MGMs Reaktion auf den Vorfall
Auf Nachfrage von ZDNet bestätigten Sprecher von MGM das Datenleck und konnten die veröffentlichten Daten auf einen Vorfall im vergangenen Jahr zurückführen: Im Sommer 2019 kam es zu einem nicht autorisierten Zugriff auf einen Cloudserver.
MGM äußerte gegenüber ZDNet, dass die vom Datenleck betroffenen Personen, nach Bekanntwerden des Vorfalls, umgehend informiert worden seien. Dabei versicherte das Unternehmen, dass es die Sicherheitsmaßnahmen verstärkt hätte, um die Daten seiner Gäste in Zukunft besser zu schützen und solche Vorfälle vermeiden zu können.
Datenlecks als häufiges Problem
Datenlecks machen immer wieder Schlagzeilen. Wie gravierend die Ausmaße solcher Vorfälle sein können, hängt dabei natürlich immer von der Art der geleakten Daten ab.
Rückzuführen sind Datenlecks allerdings häufig auf unzureichende Schutzmaßnahmen oder nicht eingehaltene Sicherheitsrichtlinien. Ebenfalls wird beim Sichern von Daten oftmals nicht darauf geachtet, wo sie abgespeichert werden. Teilweise landen so sensible Daten auf öffentlich zugänglichen Servern oder in Datenbanken, die über ganz normale Suchanfragen gefunden werden können.
So vermeiden Sie Datenlecks
Um in Ihrem Unternehmen das Risiko von Datenlecks zu minimieren, können Sie einige technische sowie menschliche Vorkehrungen treffen:
Risikoanalyse: Lassen Sie Ihr Netzwerk auf Schwachstellen untersuchen und verschaffen Sie sich Übersicht über Ihre IT und alle ihre Komponenten. Wo bestehen Risiken? Wo finden sich kritische Schwachstellen? Wo gibt es Optimierungsmöglichkeiten? Ist ein Server nicht ausreichend geschützt oder ein Cloudspeicher öffentlich zugänglich?
Anhand der Risikoanalyse können Sie dann die entsprechenden technischen Schutzmaßnahmen umsetzen lassen.
Virenschutz, Firewall und Spamfilter: Schützen Sie sich vor ungewollten Zugriffen und Infektionen mit Malware. Verhindern Sie, dass Daten eingesehen oder gestohlen werden. Wenn Sie sich um einen angemessenen Schutz bemühen, können Sie außerdem im Falle eines erfolgreichen Angriffs nachweisen, dass Sie gesetzliche Vorgaben beachtet und eingehalten haben.
Passwortschutz: Setzen Sie sichere Passwörter ein. Wie angemessene Passwörter und der richtige Umgang mit diesen aussehen kann, finden Sie auf der Seite des BSI.
Hier finden Sie außerdem einen ausführlichen und anschaulich erklärten Guide zur Erstellung von sicheren Passwörtern.
IT-Organisation: Legen Sie IT-Sicherheitsrichtlinien fest, in denen nicht nur Schutzvorkehrungen definiert sind, sondern auch klare Verantwortlichkeiten und zuständige Personen genannt werden. So kann im Falle eines Angriffs oder beim Fehlverhalten die Meldekette zeitnah eingehalten werden. Außerdem lassen sich Angriffe so leichter ausmachen, nachverfolgen, eindämmen oder gar abwenden.
Richtige Vorbereitung: Trainieren Sie Ihre Mitarbeiter regelmäßig. Lassen Sie sie durch Schulungen oder Workshops für Gefahren sensibilisieren und über Datenschutzmaßnahmen aufklären. Auch das Verhalten in Ernstfällen kann trainiert werden.
Fehler sind menschlich: Es kann immer mal passieren, dass in einem Moment der Unachtsamkeit Fehler passieren. Es wird auf einen schädlichen Link geklickt, ein infizierter Email-Anhang geöffnet oder jemand wird von einem Social-Engineering-Versuch getäuscht.
Ermutigen Sie Ihre Mitarbeiter, Fehler einzugestehen und umgehend zu melden. So lässt sich meistens Schlimmeres verhindern und gesetzlich festgelegte Fristen besser einhalten. Wenn sich Ihre Mitarbeiter davor fürchten, einen Fehler zu melden, verhindert das keine Fehler sondern verschlimmert nur die möglichen Folgen.
Wir helfen Ihnen
Wenn Sie Fragen oder Beratungswünsche zum Thema IT-Sicherheit und IT-Organisation haben, dann zögern Sie nicht, sich an uns zu wenden.
Telefonisch erreichen Sie uns unter der 0221 / 630 6151 60 oder via Kontaktformular.
Wir von Kastl & Rieter helfen Ihnen bei der Absicherung Ihrer Unternehmens-IT und stehen Ihnen mit Beratung und Support zur Seite.
- Gerne führen wir für Sie auch eine Sicherheitsanalyse Ihres Netzwerks durch, um Schwachstellen aufzudecken und diese zu beseitigen.
- Mit Schulungen und Workshops geben wir Ihnen auch die Möglichkeit, Ihre Mitarbeiter zu sensibilisieren und zu trainieren.
- Wenn Sie mehr erfahren möchten, dann schauen Sie doch mal auf unserer Webseite vorbei.
Dort finden Sie auch, was unsere Kunden und Partner über uns sagen.
Wir freuen uns, Ihnen helfen zu dürfen!
Ihr Kastl & Rieter IT-Service