Der Ausbruch von über 10 Milliarden Passwörtern, die Ende Juni auf Darknet-Foren öffentlich gemacht wurden, löste weltweit Alarmsignale wegen der Risiken der Cybersicherheit und der dringend notwendigen Anpassung an die Datenschutz-Grundverordnung (DSGVO) aus. Die Datei, benannt "RockYou2024.txt", die von einem Hacker mit dem Namen "ObamaCare" veröffentlicht wurde, enthält Daten von Plattformen wie Apple, Google und Facebook, einschließlich neuer Kombinationen von E-Mail-Adressen und Passwörtern.
Der Vorfall wird hinsichtlich seines Umfangs und seiner Reichweite als einer der größten der Geschichte eingestuft. Das Ereignis erfordert eine sofortige Reaktion von Unternehmen und IT-Fachkräften, insbesondere angesichts der seit 2020 geltenden gesetzlichen Anforderungen. Für Edgard Dolata, Anwalt, Spezialist für DSGVO und Partner der Unternehmen Legal Comply und Dopp Dolata Rechtsanwälte, offenbart der Fall die Verletzlichkeit digitaler Strukturen. „Die Schwäche der digitalen Sicherheitssysteme gefährdet nicht nur den Verbraucher, sondern auch den Ruf und die rechtliche Verantwortung der Unternehmen. Eine Datenschutzrichtlinie auf der Website reicht nicht aus. Es muss nachgewiesen werden, dass eine aktive Governance zum Schutz dieser Daten besteht", erklärt Dolata.
Der Experte betont, dass viele Organisationen das Thema nach wie vor als bürokratisch behandeln und die Entwicklung effizienter interner Prozesse vernachlässigen. Seiner Meinung nach erhöht die weitflächige Ausstellung von Credentials das Risiko von Social Engineering, Phishing-Angriffen, Unternehmenseinbrüchen und Sanktionen der Nationalen Datenschutzbehörde (ANPD). „Der Datenschutz muss aufhören, eine reaktive Maßnahme zu sein. Die LGPD verlangt Registrierung, Nachverfolgbarkeit und ein schnelles Eingreifen bei Vorfällen. Und das gilt sowohl für große Plattformen als auch für kleine Unternehmen, die oft mit verwundbaren Strukturen arbeiten“, sagt er.
Im Juli, einem Zeitraum, der typischerweise einen Anstieg an Remote-Zugriffen aufgrund der Schulferien und des hybriden Arbeitens verzeichnet, steigt auch die Häufigkeit stiller Angriffe. Dolata empfiehlt Unternehmen, Maßnahmen wie die Multifaktor-Authentifizierung, regelmäßige Backups und eine kontinuierliche Überprüfung der Zugriffe zu ergreifen. „Die Winterpause führt neben der verminderten digitalen Wachsamkeit oft zu einer Stilllegung der Incident Response Teams. Dies schafft die idealen Bedingungen für Cyberangriffe. Die Sicherheitsmaßnahmenplanung muss dieses saisonale Verhalten berücksichtigen“, warnt er.
Für den Anwalt nährt der wiederholte massive Datenverlust und das Fehlen exemplischer Strafen weiterhin die digitale Straffreiheit. „Solange Brasilien keine starke Kultur der Verantwortlichkeit und Prävention hat, werden wir weiterhin zu spät reagieren. Die Einhaltung der LGPD ist nicht nur eine rechtliche Schutzmaßnahme, sondern eine operative Notwendigkeit“, schließt er.
Unternehmen, die ihre Exponierung bewerten oder einen Compliance-Plan aufstellen möchten, können auf spezialisierte juristische Diagnosen und Risikoanalysen in Plattformen wie Legal Comply zurückgreifen. Diese Plattform überwacht Schwachstellen und erstellt Handlungspläne, die auf der DSGVO basieren.
