Ist Europcar Opfer eines Hacks geworden? Meinen Informationen nach bietet jemand 48.606.700 Kundendatensätze im Darknet in einem Untergrundforum zum Verkauf an. Das sollen die Daten des international operierenden Autoverleihers sein, wobei sich Informationen wie Namen oder Adressen etc. abfragen lassen. Sofern das zuträfe, wäre dies der Datenschutz-GAU schlechthin, da viele Menschen irgendwann mal ein Fahrzeug bei Europcar gemietet haben. Andererseits deutet es sich an, dass die Datenbank selbst ein Fake ist – und es gibt Vermutungen, dass die Datensätze von ChatGPT generiert worden sein könnten.
Anzeige
Hintergrundinformationen zu Europecar
Europecar ist eine 1949 gegründete Autovermietung, die ihren Sitz in Paris hat. Das Unternehmen ist einer der führenden Autovermieter in Europa und mit Filialen ist in über 140 Ländern der Welt vertreten. Das Unternehmen betreibt die Marken Europcar, Brunel, Buchbinder, GO Car, Goldcar, Interrent, Scooty sowie Ubeeqo.
Wir reden über ein Unternehmen mit 10.000 Mitarbeitern weltweit, die 2021 einen Umsatz von 2,27 Milliarden Euro erwirtschaftet haben. Alles in allem also ein richtiges Dickschiff.
Angeblich Kundendaten im Darknet angeboten
Ein Cyberkrimineller bietet aktuell fast 50 Millionen Kundendatensätze von Europcar im Darknet zum Verkauf. Ich bin vor wenigen Stunden auf nachfolgenden Tweet mit dieser Information gestoßen.
Anzeige
Die in einem Hackerforum zum Verkauf angebotene Datenbank von Europcar soll 48.606.700 Kundendatensätze umfassen. Laut obigem Tweet behauptet der Hacker, dass die von ihm exfiltrierten Daten vollständige Subdomains, Administrator-Panels sowie Benutzerinformationen umfassen. Zu den persönlichen Benutzerinformationen (wohl Kunden von Europcar) heißt es, dass in den Datensätzen die üblicherweise bei einer Vermietung erfassten Daten wie Benutzername, Passwörter, vollständiger Name, Adresse enthalten sind. Hinzu kommen die Städte und Postleitzahlen der Vermieter bzw. Mieter, der Geburtsort des Mieters, der Ort der Ausstellung des Führerscheins, Reisepassnummern, Ablaufdaten von Dokumenten, Führerscheinnummern, DNi-E-Mails, sowie weitere Nummern (vermutlich Kennzeichen) und Bankdaten, die in den Datensätze enthalten sein sollen.
Ergänzungen: Der Nutzer mit diesem Alias ist wohl erst zum 11. Januar 2024 in diesem Untergrundforum aufgeschlagen und kommt laut dieser Quelle auf lediglich 11 Posts. Die Glaubwürdigkeit bzw. das Renommee in diesem Forum dürfte nicht allzu hoch sein. Inzwischen hat auch der Twitter-Account HackManac einen Hinweis "We have marked this claim as false and removed it from our repository while we continue to investigate." veröffentlicht (den gab es noch nicht, als ich den obigen Tweet gesehen habe.
Alles nur ein Fake?
Das Ganze kann ein riesiger Fake sein, auf realen Daten (aus anderen Quellen) basieren, die nur neu zusammengestellt wurden, oder ein Datenschutzvorfall von größeren Ausmaßen sein. Mir ist natürlich sofort das Datenleck beim Autovermieter Buchbinder aus dem Jahr 2020 durch den Kopf gegangen. Buchbinder gehört auch zu Europcar und ich hatte seinerzeit im Beitrag Datenleck beim Autovermieter Buchbinder über diesen Vorfall berichtet.
Ansonsten habe ich nichts im Blog gefunden – ich wollte noch eine Anfrage an Europcar stellen, die steht aber noch aus (aus privaten Gründen musste ich nach dem Posten der ersten Fassung des Beitrags zu einem Termin).
Europcar streitet ein Datenleck ab
Inzwischen habe ich noch etwas recherchiert. Gemäß obigem Tweet der Kollegen von Bleeping Computer teilte Europcar auf Nachfrage mit, dass die Datenbank wohl ein Fake sei. Fest gemacht wird es an verschiedenen Punkten, die Zweifel an der Echtheit aufkommen lassen.
- Die Zahl der Datensätze in der angebotenen Datenbank passt nicht mit internen Angaben zusammen.
- Die angeblich angegebenen Postleitzahlen gibt es nicht.
- Keine der angegebenen E-Mails findet sich in der Europcar Datenbank.
An dieser Stelle kann man (sofern es nicht noch eine große Überraschung gibt – es gab ja schon häufiger Fälle von Dementis, und später kam dann doch ans Licht, dass die Daten aus einem Datenleck stammten) von einer Fälschung ausgehen. Aktuell gibt es wohl keine Möglichkeit, die Stichhaltigkeit der Statements zu belegen oder zu widerlegen.
Wurden Daten per ChatGPT generiert
Im Tweet von Bleeping Computer kommt noch eine neue Nuance zum Vorschein, denn es gibt den Verdacht, dass die Datenbank mittels der AI-Lösung ChatGPT generiert worden sein könnte. Jemand kam auf die Idee, ChatGPT anzuweisen, Kundendaten von Autovermietern zu generieren. Mit einem entsprechenden Prompt fängt ChatGPT dann mit konfabulieren an und liefert solche Daten. Auch die Seite Cybernews schlägt mit einem vor wenigen Minuten publizierten Artikel in diese Kerbe
Das wäre dann das erste Fake-ChatGPT konfabulierte Datenschutzleck, was mir so bekannt ist. Mir geht natürlich mein Bauhaus-Fall (siehe Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen) durch den Kopf. Dort kannte ich die Daten, die durch ein Leak in die Bing-Datenbank gewandert waren. Beim Versuch, diese Daten von Microsofts ChatGPT aus Bing zu entlocken, musste ich aber feststellen, dass dort ziemliche Restriktionen eingezogen worden waren. Es gelang mir nur mit Kniffen Daten zu erhalten, die mir aber bereits sowieso vorlagen. Fast immer verweigerte ChatGPT die Antwort und verwies mich an die Bauhaus-Kundenbetreuung.
Wenn der Fall für eines gut ist: Er zeigt mir erneut auf, mit was wir zukünftig rechnen dürfen, wenn Microsoft mit seinem Copilot-Lösungen oder der Mitbewerb mit weiteren Lösungen auf dem Markt antritt.
Anzeige
Einfach nur noch traurig, dass solche Nachrichten mittlerweile zum Alltag gehören. Irgendwann weiß jeder alles über jeden, inklusive (eventuell mehrfachgenutzte) Passwörter. Und dieses "irgendwann" kann sehr viel näher sein, als man denken mag.
Es ist absolut traurig wie schlecht persönliche Daten geschütz sind. Hier ist ganz dringend eine Strafverschärfung notwendig und der ungenügende Schutz von personenbezogenen Daten als Verbrechen einzustufen inklusive Freiheitsstrafen für Verantwortliche.
Strafe gegen wen?
Wem nützt es, Europcar mit unsinnig hohen Schadensersatzforderungen vom Markt zu fegen? Irgendwann erwischt es alle Mitbewerber und Du mußt Dir Deine Autos bei Bekannten leihen.
Die eigentlichen Akteure sitzen in Ländern, an die man damit nicht herankommt.
Das Konzept funktioniert ja auch beim Umwelt- oder Klimaschutz nicht richtig.
wtf – und das soll denen dann einen Freifahrtschein geben die Umgebungen schlecht abzusichern?
Die Wahrscheinlich ist hoch das irgendwann mal jeder gehackt wird ja, aber das zum Anlass zu nehmen auf Sicherheit nicht zu achten, weil keine Strafen drohen ist schon arg lächerlich.
Die Frage ist wie man ungenügend definiert und was heute "genügend" ist es morgen vermutlich nicht mehr. Das betrifft grundsätzlich alle Firmen.
Ob sich dann noch jemand findet der unter diesen Androhungen die Verantwortung für noch ungefundene Sicherheitslücken übernehmen will?
Frei nach Effi Briest: Das ist ein sehr weites Feld.
Als Elektroingenieur kann ich Dir sagen, daß auch die hochgelobte VDE nicht immer Maß aller Dinge ist.
Fängt schon damit an, daß sie keine Gesetzeskraft hat (dort wird nur "Stand der Technik" gefordert, was man aber meistens mit "gemäß aktueller DIN/VDE" übersetzt).
Geht weiter damit, daß manche aktuell hinzugefügte Regelungen (wie etwa die, nach einem FI/RCD nur maximal drei Sicherungen anzuschließen) auch unter Fachleuten umstritten sind.
Und hört noch längst nicht damit auf, daß bis zu "wesentlichen Änderungen" der Stand zum Zeitpunkt der Errichtung (und sei er auch Jahrzehnte her) maßgeblich ist.
So kommt es dazu, daß auch heute noch bei vielen ostdeutschen Großvermietern Wohnungen existieren, in denen die Steckdosen mit "klassischer Nullung" ohne getrennten Schutzleiter angeschlossen sind – eine Nachrüstpflicht abseits von Küche und Bad gibt es nämlich auf Druck eben dieser Großvermieter bis heute nicht.
Das ist eine Sache, bei der es im Ernstfall wirklich um Leib und Leben geht, wie soll man da Sicherheit und Haftung bei Software definieren?
Da gibt es zwar auch jede Menge verkopfter Normen und Richtlinien zur Softwareentwicklung und deren Methodik, die aber oft so praxisfern sind, daß es solche Auswüchse trägt wie im parallelen Windows 3.11-Thread.
Die Strafen interessieren niemanden, die verhindern solche oder ähnliche Taten auch nicht!
Fachkräftemangel… immer komplizierter gewordene Systeme… staatlich geschützte Akteure .. schlecht für die Security
Freiheitsstrafe… wird es nicht geben..
Man sollte Opfer nicht immer gleich zu Tätern machen und bestrafen.
Lässt sich gesetzlich wohl leichter umsetzen, als die Softarehersteller endlich mal in die Haftung zu nehmen.
Das ist Unsinn!
Keine Software ist fehlerfrei.
Und Sicherheitslücken werden oft erst lange nach Fertigstellung der Software gefunden. Und oft gibt es Angriffswege, die erst einmal völlig abwegig und unmöglich erscheinen.
Da könntest du auch einen Autohersteller in die Haftung nehmen, wenn dir ein Reifen platzt.
Und Sicherheitslücken existieren nicht nur in Software, sondern werden auch sehr oft schlicht durch Fehlverhalten der Admins verursacht.
Sei es durch Falschkonfiguration oder durch mangelndes Patchmanagement und andere Nachlässigkeiten.
Siehe den Fall bei der SIT.
Da war die Hauptursache für den Hack eine inkompenente IT-Abteilung und nicht die Software.
Ob das Inkompetenz war weiß ich nicht.
Ich habe bei MS Schulungen immer überproportinal viele Teilnehmer aus der Verwaltung gesehen. Und die waren durchaus fit.
Aber das Problem ist die Trägheit, die sich entwickelt wenn man glaubt unkündbar zu sein, niemals jemand kontrolliert was man denn so den ganzen Tag zu tut. Es ist keine Frage der Kompetenz, wenn 10 Jahre lang das Passwort des Domainadmind gewechselt wird und Updates nicht eingespielt werden. Das ist einfach unverzeihliche Faulheit.
Wir können dem ehemaligen Geschäftsführer dankbar sein, dass dieser den Forensik Bericht durchgestochen hat.
Ich fürchte, was ich so gehört habe, das es in anderen solchen öffentlichen Rechen und Dienstleistungszentern nicht besser aussieht. Da hat der Gesetzgeber ja selbst vorgesorgt, in dem die DSGVO dort nicht mit Strafen bewehrt ist..
Moin,
das ist ein ziemlich grober Kamm, über den Du den Sachverhalt da scherst. Inkompetenz, Trägheit, Faulheit, schöne Schlagworte, aber treffen die die Realität?
Du kommst nicht aus der Verwaltung und kannst Dir den Ablauf mit seinen Über-und Unterodnungs-Modalitäten nicht vorstellen, oder?
Schau Dir mal einen Geschäftsverteilungsplan oder einen Aufgabenverteilungsplan einer Kommune an. Da gibt es neben dem BM keine weiteren Ansprechpartner auf gleicher Ebene, der ist der Alleinherrscher. Darunter sind Fachbereiche angesiedelt mit jeweils einem Leiter und je nach Größe der Kommune gibt es mehrere FBe. Unterhalb der FBe liegen dann die Abteilungen, denen auch wieder ein Leiter vorsteht. Und ganz am unteren Ende dieser Hierarchie steht dann der Sachbearbeiter und der ITler.
So, und wer soll dem ITler jetzt bitteschön "auf die Finger gucken"? Von den Vorgesetzten hat keiner die notwendige Kenne, sonst gäbe es ja den ITler nicht. Also steht der zunächst mal ziemlich alleine da, denn Vertreter für den Job gibt es nicht. Die würden ja Geld kosten und das hat die Kommune nicht.
Und nun kommst Du als ITler mit der Anforderung, den VPN-Zugang für die Kommune nur während der regulären Dienststunden zu gewähren. Mit dem Vorschlag muß Du zunächst mal zu Deinem Abteilungsleiter. Wenn der auch nur ein wenig in EDV bewandert ist, hat der vielleicht ein Ohr für Dich und bringt Dein Vorhaben eine Etage höher an. Wenn nicht, ist da für den Vorschlag Ende, auch wenn Du es sicherheitstechnisch für notwendig erachtest.
Nun kommt der nächste Vorgesetzte ins Spiel, der natürlich zwischen all seinen Abteilungen das Miteinander regeln muß. Sofern der auch EDV-technisch ein wenig bewandert ist, erkennt der Dein Anliegen und leitet es weiter. Wenn nicht, ist ab hier Schluß für Deine Sicherheitsvorkehrungen.
Nun schlägt der Fachbereichsleiter in der FB-Leiter Konferenz beim BM mit Deinem Vorschlag auf. Ob da alle abnicken, ist mal dahingestellt. Jedenfalls wird der BM das nicht absegnen, da er ja einen Dienst-Laptop hat, mit dem er auch außerhalb der Dienstzeiten auf die Daten der Kommune zugreifen kann. Damit ist Dein Vorschlag gestorben. Deckel zu und Ende.
Du kannst natürlich versuchen, den BM in einem persönlichen Gespräch davon zu überzeugen, daß Dein Vorschlag unbedingt umzusetzen ist, wenn der allerdinsg entscheidet "das wird jetz so und so gemacht", dann machst Du das. Ansonsten wird das als Arbeitsverweigerung aufgefaßt und es folgt ein Eintrag in die Personalakte. Das Spielchen kannst Du insgesamt dreimal machen, danach schaust Du Dir Deinen ehemaligen Arbeitsplatz von außerhalb des Gebäudes an.
Über den Hick-Hack, wie Du die Kiste vom BM über MDM und Co. soweit zuzimmerst, daß da keine unberechtigten Zugriffe stattfinden, wenn der BM seinen Lappi mit nach Hause nimmt, wollen wir erst gar nicht reden.
"Unkündbar" ist auch so ein Begriff, der immer dann durch den Blätterwald rauscht, wenn es dem öD an den Kragen geht. MA im Beamtenstatus kann die Kommune nicht so einfach entlassen, da müssen schon scherwiegende Gründe vorliegen (das berühmte "goldene Löffel Klauen"). MA im Angestelltenverhältnis lassen sich auch nicht so leicht kündigen, wenn sie schon lange Zeit in der Kommune und die goldenen Löffel kein Thema sind. Da laufen Kündigungsfristen schonmal in den zweistelligen Jahresbereich.
Und all diese "Unwägbarkeiten" kannst Du auf eine "Körperschaft des öffentlichen Rechts" auch anwenden, die hat nämlich auch den Kommunal-Status.
So, und damit wären wir beim all-mächtigen Administrator, der das Paßwort vom Domain-Admin nicht wechselt und notwendige Updates nicht einspielt. Seit wann war diese Sicherheitslücke bekannt und wann hat die letzte Paßwortänderung stattgefunden? 2013 bzw. 2014. Und wie oft hat in der Zwischenzeit das Personal bei der SIT gewechselt, auch in dem Bereich? Ich weiß es nicht und ich denke, bis auf die GF zu der Zeit weiß das auch keiner. Vermutung Anfang: Derjenige, der den Eintrag in die GPP damals eingefügt hat (als das noch "Stand der Technik" war), ist schon längst nicht mehr bei der SIT und die Nachfolger (ab 2014) sind davon ausgegangen, daß die Änderung in den Sicherheitseinstellungen vom vorherigen Admin sicherlich berücksichtigt worden ist. Vielleicht blauäugig, aber sehr wahrscheinlich so passiert. Vermutung Ende.
Updates nicht eingespielt, hmm. Da kommt wieder die Frage auf, welche Updates und wo. Solange es sich um die Domäne unter Windows handelt, sicherlich der Domänen-Admin. Wenn es sich allerdings um Teile der Netzwerk-Infrastruktur handelt (Cisco-Produkte für VPN-Zugriff, etc.) ist ganz jemand anders am Zuge, nämlich die Abteilung, die die Netzwerke unter sich hat. Wer wars? Ich kann es nicht bestimmen, und in Vermutungen möchte ich mich hier nicht begeben.
Forensik-Bericht durchgestochen, steile These. Ich denke eher, daß der Verbandsvorsteher der SIT aus dem Umfeld der betroffenen Kommunen soviel Druck erhalten hat, daß ihm nichts anderes übrig blieb, als die Vorgänge offen zu legen, die zu dem Ereignis geführt haben. Daß dies unter dem Mantel "damit andere aus unseren Fehlern lernen können" geschah, nun gut.
Gemerkt? Der Verbandsvorsteher hat sich zum Vorfall geäußert und ist mit dem Bericht in die Öffentlichkeit gegangen, nicht der ehemalige GF. Kleiner aber feiner Unterschied in der kommunalen Welt. Und welchen der ehemaligen GF meinst Du? Seit 2020 hat der GF wohl dreimal gewechselt, wobei der letzte nach sehr kurzer Zeit auf eigenen Wusch von der Aufgabe entbunden wurde.
DSGVO, auch wieder son Buzzword. Der IT-Dienstleister hat dafür zu sorgen, daß die Anwendungen, die er anbietet, den Regeln der DSGVO entsprechen. Joo, kann man aber nur, wenn man entweder die Anwendungen selbst herstellt oder zugekaufte Anwendungen durch den Anbieter zertifizieren läßt. In dem Bereich ist definitiv noch reichlich Luft nach oben.
Der erste grobe Fehler des jeweils neuen Admins war, den ausgeschiedenen Admin nicht als Sicherheitsrisiko zu verstehen.
Natürlich versucht man mit Ausgeschiedenen kollegial umzugehen, aber wenn MA ausscheiden wird _immer_ deren Zugang gesperrt und ihnen bekannte Passworte gewechselt* (wenige Ausnahmen wie hardcodierte Passworte (z.B. DB-sa in "Spezialsoftware") bestätigen die Regel).
Schon dadurch hätte es also mehrere Passwortwechsel geben müssen (Länge/Komplexität des neuen Pw dann jeweils nach aktuellem Stand der Sicherheitsanforderungen).
Ansonsten ist es nicht nur in Behörden so, auch in der freien Wirtschaft sind die Entscheidungshirarchien zu überzeugen und der GF entscheidet letztlich.
Wichtig ist primär, den Vorschlag einzubringen (damit hat man seiner (Treue-)Pflicht Genüge getan) und für den MA persönlich, ihn dokumentiert zu haben (ich z.B. habe solche Vorschläge inkl. Begründung ausschliesslich per Mail eingereicht).
* das gebietet übrigens auch die Fairness gegenüber dem Ausgeschiedenen (so kann er bei Problemen nicht in Verdacht geraten)
Da fehlt ja nur noch die Schuhgröße der Kunden. Ganz bitter.
Ob das dazu passt?
In der Ostsee, Schweden, Polen gibt es gerade seltsame Ausfälle der GPS-Navigation.
Es tuckern da 2 russische Schiffe 4um und Kaliningrad ist auch nicht weit.
Man rüstet zur Zeit wieder die Bodenfunkmarken auf und trainiert wieder mit Sextanten.
Bitte weitergehen, hier gibt es nichts zu sehen.
Scheint ein Fake zu sein:
https://twitter.com/H4ckManac/status/1752601838430409163
Danke, hab es inzwischen nachgetragen – der Artikel war Work in Progress.
Gegen solche Fakes – wenn es denn stimmt- kann man sich natürlich nicht schützen.
Und diese Fakes eignen sich natürlich prima für Trash&Cash, also Short Seller.
Hi…
Auch wenn' Fake sein mag, so zeigt's doch in hervorragender Weise beispielhaft ein schier unerschöpfliches Mißbrauchspotential!
Und wer willig auf das "Gute im Menschen" vertraut ist einfach nur mit naiv-realitätsferner Blindheit ausgestattet. 🤨
Es gibt genügend historische Beispiele, wo "gute" dem Fortschritt und Nutzen der Menschheit intendierte Erfindungen/Entwicklungen korrumpiert und für den Zwecke andere zu übervorteilen mißbraucht wurden – AUSNAHMSLOS – IMMER!!! 🤷♂️
Und der dumme, gierige Homo Sapiens lernt einfach NICHT… 🤦♂️
Der Vorteil von Fakedaten und deren Verbreitung wäre, das wirklich abgezogene Daten im Darknet weniger wert wären. Weil irgendwann kaum noch einer sagen kann, was sind echte Daten und was nicht. Somit geben auch weniger Leute Geld aus.
Vielleicht sollte ich ein weiteres Unternehmen gründen, was für andere Unternehmen Honeypot Strukturen mit Hilfe von KI aufbaut und damit echte Hacker ablenkt :D
psst. läudt schon. Parallel dazu verkaufe ich Schlangenöl, das mit KI die Angriffe abfängt…
Meine ganze Tätigkeit besteht nur noch darin, all das Geld zu erteilen, das mir die Opfer ständig überweisen.
Jeden Morgen steht ein Dummer auf, KI findet ihn.
Dieser Fall erinnert mich an den Fall aus den USA vom letzten Jahr, bei dem ein Anwalt über ChatGPT (oder wars eine andere "KI"?) Präzedenzfälle zu seinem eigenen Fall gesucht hat.
Die "KI" hat ihm da eine Reihe von Fällen inkl. Aktenzeichen geliefert.
Aber:
Das Gericht hat ihm die Sachen um die Ohren gehauen, weil weder die Aktenzeichen existierten noch es Fälle gab, die dem Inhalt der angeblichen Präzedenzfälle entsprachen.
Alles war von der "KI" zusammenfabuliert!
Das zeigt gut, das man diesen "KI"-Systemen im Grunde nicht trauen kann.
Wie für alles im Leben, gibt es auch für 'KI' mehrfache Bedeutungen:
Künstliche Intelligenz, Kommerzielles Interesse, Kokolores Infernalis, Keine Inhalte, …
Vom 'kreativen' User werden dann am Ende alle Bedeutungen einfach zusammengeführt. Ich bevorzuge bei ChatGPT das LMAA Model. ;-)
Ist im Blog-Beitrag Anwalt nutzt ChatGPT für Klage und bekommt richtig Ärger wegen "erfundener" Rechtsfälle thematisiert – ging mir übrigens, wie andere Themen durch den Kopf. Der Fall zeigt, das das Missbrauchspotential für LLMs enorm hoch ist und die Nutzer kontrollieren müssten – das imho aber vernachlässigen werden. Das wird ungeahnte Folgen haben – ich denke sofort an den Justizskandal in Großbritannien. Dort beschuldigte die britische Post Hunderte Filialleiter der Unterschlagung, weil Fehlbeträge durch eine Software gemeldet wurden. Die Leute wurden entlassen, einige begingen Suizid. Kürzlich stellte sich durch Recherchen eines TV-Senders heraus, dass die "Fehlbeträge" durch die fehlerhafte Software Horizon ausgewiesen worden waren. Ist zwar keine KI gewesen, zeigt aber das Problem – Details sind z.B. auf Wikipedia unter tagesschau.de im Artikel Royal-Mail-Horizon-Skandal nachzulesen.
Aber die Idee die Datenbank mit Fake-Daten voll zu pumpen hätte was.
Zum einen muß einer riesigen Datenmenge abziehen um ein paar echte Daten zu gewinnen. Aber er weiß so einfach nicht, was Fake ist und was nicht.
Hat man dann 2 DBs (echte und Fakedaten) oder wie trennt man das beim Backup? Denn sonst wird's auf Dauer teuer, ein Mehrfaches der produktiven Daten voll mit backupen zu müssen.
Hat irgendwer gesagt das "Sicherheit" billig ist?
Das muss natürlich eine Datenbank sein.
Da die Datenbank ja irgendwie für die Zukunft geplant sein muss, sollte es kein Problem sein, sie jetzt schon mal zu füllen und bei neuen Datensätzen alte zu ersetzen.
Warum waren früher die Daten rel. sicher?
Worst case lag mal bei einem Amt ein ganzer Container ungeschreddert auf der Halde.
Das zu kopieren hätte Monate gedauert.
Heute schiebt der chinesische Werkstudent einen 250GB USB Stick in seinem PC und kann, worst case innerhalb eines Tages die kompletten CAD Unterlagen eines KMU "sichern".
Worst case bekommt das Opfer das noch nicht einmal, auch wenn er eigentlich nach BSI arbeitet..
Mit der vergifteten Datenbank zu überspringen muss sich aus der Art der Daten ergeben.
Das das trivial zu lösen ist oder die beste Lösung sagt keiner. Z.B. gibt es RAID Systeme, die die Daten auf mehreren verteilte Speicher verteilen.
Der Zugriff auf einzelnen Speicher dump hilft dem Angreifer nicht. Praktisch werden die Daten natürlich irgendwie zusammen geführt. Klar.
Aber man sollte sich langsam davon gelöst haben, das man speziell angegriffen wurde. Für die Angreifer ist jedes verletzte System hilfreich. Und sei nur dazu geeignet, mittels seriösen Absender und korrekter Referenz-ID die Filter des nächsten Unternehmens zu umgehen. Dank KI ist es wahrscheinlich leicht möglich einen logisch und sprachlich passendes Anschreiben für den Wurm im Anhang zu finden.
Oh bitte, bitte, bitte… lass es ein Fake sein!! Wenn sich die Hacker im Darknet untereinander selber verarschen kann das uns nur Recht und billig sein!