Datenleak

Allgemeines

Unter einem "Datenleak" (z. Dt. Datenleck oder Datenpanne) versteht man, eine oft nicht gewollt, herbeigeführte Situation.
Hierbei erlangen Unberechtigte Zugriff zu einer Datensammlung! (z.B. verschlüsselte Daten, hinterlegte E-Mail-Adressen & Geburtsdaten u. v. m.)

Das Fatale an diesem "Begriff" ist mitunter auch, dass er das unerwünschte Löschen von Daten, bis zum kompletten Datenverlust, mit sich bringen kann.

Die Folgen des Leaks

Die Folgen eines Datenleaks sind oft von negativer Natur geprägt und schaden sowohl den betroffenen Unternehmen als aus auch der betroffenen Nutzerschaft selbst:

  • Imageschäden
  • Diebstahl der Identität
  • Große finanzielle Strafen, z.B. bei einem DSGVO Verstoß (= Datenschutz-Grundverordnung)
  • aber auch persönliche Schäden


In nur wenigen Fällen, bedeutet eine Datenpanne auch etwas positives, zum Beispiel, wenn relevante Informationen nicht publiziert worden sind.

Das Datenleak bei Knuddels 2018

Knuddels.de ist 19 Jahre nach ihrer Gründung erstmals Opfer eines erfolgreichen Hackerangriffs geworden.
In den Morgenstunden, am 07. September 2018, wurde im Hauptquartier festgestellt, dass Accountdaten von Knuddels im Internet veröffentlicht worden sind!

Veröffentlichung von ...

  • Nicknamen und Passwörter
  • e-Mail-Adressen ( in 57% der Fälle )
  • die Angabe der Stadt ( in 30% )
  • und / oder der Name im Profil ( in 41% )

Hinweis: Betroffen war die Nutzerschaft, die am 20. Juli 2018 einen Account bzw. einen Nick bei Knuddels.de hatte.

Maßnahmen & Lösungsansätze der Knuddels GmbH & Co. KG

Die Transparenz stand für Knuddels an erster Stelle und somit worden sofort alle notwenigen Sicherheitsmaßnahmen eingeleitet, als das Knuddelsteam von der Veröffentlichung erfahren hatte.

Schutz der Nutzerdaten, durch ...

  • sofortige Benachrichtigung des Datenschutzbeauftragen von Knuddels.de
  • umgehende Meldung aller relevanten Informationen zum Datenleak an die Behörden
  • eine vorläufige Deaktivierung aller betroffenen Zugangsdaten
  • die technische Überprüfung der Verschlüsselungen
  • Kenntnissetzung & Updates rundum das Datenleck per Facebook, Instagram und im Forum [1]
  • Informationen aller Mitglieder schnellstmöglich per E-Mail
  • die Verpflichtung aller Mitglieder, beim Login ein neues Passwort zu setzen


Zudem hat Knuddels.de die Server auf mögliche Angriffsvektoren überprüft und seine bereits sehr hohen Sicherheitsstandards nochmals verstärkt!

Die Chronologie der Ereignisse zum Datenleak 2018

Wie lief der gesamte Datenpannenprozess eigentlich hinter den Kulissen von Knuddels ab?

Datum Ereignis
5. September, Mi. ein IT-Sicherheitsmitarbeiter (ehemaliges Mitglied von Knuddels) bemerkt die Veröffentlichung
und wendet sich per E-Mail an Knuddels.de
6. September, Do. um 10:40 Uhr > das Supportteam öffnet die Mail und klärt sofort das gesamte Unternehmen auf

bis 13:45 Uhr > Überprüfung der Meldung und Beschluss erster Direktmaßnahmen zum Schutz
ab 13:45 Uhr > bis in die Nacht zum Freitag: Umsetzung der Sicherheitsmaßnahmen

7. September, Fr. um 01:30 Uhr > Fertigstellung der Umsetzung der ersten Maßnahmen zur Sicherheit der Nutzer

um 02:00 Uhr > Update / Vorläufige Aktualisierung der Server von Knuddels.at
um 07:00 Uhr > Aktualisierung von Knuddels.de, mit der alle Maßnahmen auch hier live gingen
um 14:24 Uhr > weitere Maßnahmen beschlossen:
E-Mail-Informationen an User, neue Passwort-Setzung, Identifikation unbekannter Geräte, Verschlüsselung der Logfiles mit Mitgliederdaten ...
um 16:56 Uhr > Information an alle Mitglieder über das Forum sowie über weitere Social Media: Facebook und Instagram
um 22:00 Uhr > die weiteren Maßnahmen ( von 14:24 Uhr ) wurden nun als erstes für Knuddels.at ausgerollt
um 22:45 Uhr > die neuen Maßnahmen worden nun auch auf Knuddels.de ausgerollt und der E-Mail Versand beginnt, mit Hinweisen zum Datenleak an die Userschaft und Aufforderung, ihre Daten auf allen Plattformen zu ändern

Das Ende des Datenleaks



Knuddels hat in vorbildlicher Weise
mit seiner Behörde zusammengearbeitet und die IT-Sicherheit erheblich verbessert!
Wer aus Schaden lernt und transparent an der Verbesserung
des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.


Plex zitiert über die Entwicklungen in Bezug auf das Datenleak:


Wir haben eine turbulente Zeit hinter uns, der Hackerangriff war eine echte Belastungsprobe für uns. Durch schnelles und konsequentes Handeln konnten wir die Sicherheit auf Knuddels wahren und einen Schaden für unsere Nutzer vermeiden. Das Datenleak hat aber auch gezeigt, dass unsere Sicherheitsmaßnahmen noch nicht ausreichend waren und so haben wir alles daran gesetzt Knuddels noch sicherer zu machen.

Unser Team hat seit dem Datenleak an weiteren Verbesserungen unserer IT-Sicherheit gearbeitet. Dafür haben wir das Release von anderen Projekten, wie zum Beispiel dem neuen K3 Messenger, nach hinten verschoben. Diese Fokussierung auf die IT-Sicherheit von Knuddels war wichtig und richtig. Zu diesem Ergebnis ist auch die baden-württembergischen Aufsichtsbehörde für den Datenschutz gekommen, der wir den Vorfall direkt gemeldet hatten. Die Behörde erlegt uns ein Bußgeld auf, würdigt dabei aber insbesondere, dass wir in der gegebenen Situation beispielhaft gehandelt haben, sowohl in Bezug auf umfassende Information und Transparenz als auch in Bezug auf die Umsetzung von technischen Maßnahmen zur Verbesserung der Datensicherheit. Damit ist für uns die Sache aber nicht abgeschlossen, wir werden auch weiterhin einen besonderen Fokus auf die kontinuierliche Verbesserung unserer IT-Sicherheit legen.

Wir danken euch sehr für eure Unterstützung in den trubeligen Zeiten, das hat uns sehr geholfen. Besonders die Unterstützung der Administration und vieler weiterer engagierter Nutzer möchten wir da unterstreichen:

Toll, dass man sich auf euch verlassen kann und dass ihr zu uns gehalten habt."



Verwandte Artikel

Belege