Die Erkenntnis ist so simpel wie beängstigend: Nicht die fehlende Technologie ist das Hauptproblem von Datenpannen, sondern fehlende Prozesse und Managemententscheidungen. Das zeigt eine Untersuchung der Datenpannen in Massachusetts aus dem Jahr 2024, die auf dem sechsten jährlichen Municipal Cybersecurity Summit der MassCyberCenter diskutiert wurde. John Petrozzeli, Direktor der MassCyberCenter, fasst es pointiert zusammen: “Prozesse und Kultur waren die zwei großen Hürden bei vielen der untersuchten Fälle.”
Identitäts- und Zugriffsverwaltung sowie Passwort-Policies offenbarten gravierende Mängel. Besonders schockierend: Organisationen nutzten Passwörter wie “123456” zum Schutz sensibler Daten. Multifaktor-Authentifizierung, die längst als Standard gelten sollte, war in vielen Fällen nicht implementiert. Hinzu kommt mangelhafte Patch-Verwaltung – Systemeinbrüche über internetexponierte Schwachstellen waren einer der Haupteinfallsvektoren für Angreifer.
Doch ein zweites Problem liegt noch tiefergreifender: das sogenannte Underreporting. Viele Organisationen melden Datenpannen gar nicht oder verspätet – nicht immer aus Böswilligkeit, sondern oft aus Unwissenheit oder Verzögerung bei der Schadensanalyse. Layla D’Emilia, Undersecretary der Massachusetts Office of Consumer Affairs, betont die Bedeutung von Transparenz: Konsumenten müssen wissen, welche Daten betroffen sind, um Gegenmaßnahmen einzuleiten. Jared Rinehimer, Chief der Privacy and Responsible Technology Division des Massachusetts Attorney General, warnt: “Macht das nicht.” Die Warnung bezieht sich auf die Verweigerung von Meldungen – wie beim Beispiel Uber, wo der Chief Security Officer wegen Verschleierung einer 2016er-Panne mit Anklage und Millionen-Bußgeldern konfrontiert wurde.
Ein besonders kritischer Punkt: Sicherheitsmaßnahmen werden oft erst nach Vorfällen verstärkt. In 20 bis 30 Prozent der Fälle führte ein Angriff dazu, dass komplexere Passwort-Richtlinien eingeführt wurden – “als hätte man das nicht längst tun sollen”, fragt sich Petrozzeli zu Recht.
Für deutsche Organisationen sind diese Erkenntnisse hochrelevant. Das BSI empfiehlt seit Jahren Multifaktor-Authentifizierung und sichere Passwort-Verwaltung. Die DSGVO verpflichtet Unternehmen zusätzlich zur Meldung von Datenpannen an die Aufsichtsbehörden – Verstöße können bis zu 4 Prozent des Jahresumsatzes Bußgeld bedeuten. Die OCABR hat konsequent reagiert: Multifaktor-Authentifizierung für alle Mitarbeiter, obligatorische Passwort-Änderungen alle 90 Tage, und Sperrung von Computern bei ausbleibender jährlicher Sicherheitsschulung.
Doch D’Emilia warnt auch: Fraudsters und Advanced Threat Actors sind einen Schritt voraus. Angreifer nutzten öffentlich verfügbare Informationen, um gezielt Mitarbeiter bestimmter Behördenabteilungen per SMS anzugreifen und diese auszuspionieren. Die Lösung liegt letztlich in der Entscheidung des Managements: Ist Cybersicherheit eine Priorität oder nicht? “Ihr seid nicht zu klein, um getroffen zu werden”, so Petrozzeli. “Ihr seid nur bisher Glück gehabt. Heutzutage wirst du irgendwann getroffen.”