Mercedes-Benz Cloud-Daten-Enthüllung wirft ein Schlaglicht auf das Risiko Dritter

  • Ein Mitarbeiter überprüft ein Fahrzeug in einem Mercedes-Benz-Autohaus. (Foto von Dmitry RogulinTASS via Getty Images)

    Mercedes-Benz hat Ende letzter Woche bekannt gegeben, dass sensible persönliche Daten von weniger als 1.000 Mercedes-Benz Kunden und Kaufinteressenten auf einer Cloud-Speicherplattform zugänglich gemacht wurden – ein Problem, das Sicherheitsteams nach Meinung von Experten verhindern können, indem sie enger mit Drittanbietern zusammenarbeiten, um Cloud-Datenbanken abzusichern.

    Das Leck bei Mercedes-Benz wirft ein Schlaglicht auf ein Problem, das Sicherheitsteams immer wieder beobachten: Private Daten, die versehentlich von einem Anbieter auf einer Cloud-Speicherplattform öffentlich zugänglich gemacht werden.

    Cyberkriminelle können solche Informationen für Identitätsdiebstahl und Erpressung ausnutzen, sagte Demi Ben-Ari, Mitbegründer und Chief Technology Officer von Panorays. Während es sich um eine vermeidbare Situation handelt, sagte Ben-Ari, dass es Unternehmen erfordert, zu überwachen, wie ihre Drittanbieter ihre Daten mit Cloud-Diensten verwalten.

    “Unternehmen sollten sicherstellen, dass sie überprüfen, ob die Cloud-Dienste ihrer Drittanbieter die Sicherheit für Cloud-Storage-Buckets aktiviert haben”, sagte Ben-Ari. “Da Unternehmen mit Hunderten oder sogar Tausenden von Drittanbietern arbeiten können, ist es notwendig, eine automatisierte Lösung zu verwenden, die dies schnell und effizient erledigen kann.”

    John Morgan, CEO von Confluera, sagte, dass es schwierig ist, Sicherheitsfunktionen von Cloud-Infrastrukturanbietern über mehrere Cloud-Umgebungen hinweg mit einem gewissen Grad an Konsistenz zu implementieren. Morgan sagte, dass Unternehmen nach Sicherheitslösungen von Drittanbietern suchen sollten, die speziell für die Cloud entwickelt wurden und einige der einzigartigen Herausforderungen adressieren, einschließlich der Abdeckung von Containern, Kubernetes und Multi-Cloud-Umgebungen.

    “Es ist auch wichtig, einen starken präventiven und Zero-Trust-Ansatz zu haben und eine ebenso starke Erkennung und Reaktion, die auf der Annahme basiert, dass Sie bereits angegriffen wurden und die Angreifer Ihre Umgebung zu jeder Zeit auseinandernehmen”, sagte Morgan.

    In einer Mitteilung hieß es, dass der Anbieter, der Mercedes-Benz am 11. Juni über das Datenproblem informierte, sagte, dass die persönlichen Informationen der Betroffenen hauptsächlich aus selbst gemeldeten Kredit-Scores sowie einer sehr geringen Anzahl von Führerscheinnummern, Sozialversicherungsnummern, Kreditkarteninformationen und Geburtsdaten bestanden.

    Das Automobilunternehmen sagte, dass die Informationen von Kunden und Kaufinteressenten auf Händler- und Mercedes-Benz-Websites zwischen dem 1. Januar 2014 und dem 19. Juni 2017 eingegeben wurden. Kein Mercedes-Benz System wurde als Folge dieses Vorfalls kompromittiert, und es gibt keine Hinweise darauf, dass irgendwelche Mercedes-Benz Dateien böswillig missbraucht wurden.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com