Der Whistleblower übergab der Zeitung einen USB-Stick mit Informationen über 2.000 Bankkunden und gab an, dass der Schwarzmarktpreis bei 50 Pfund je Datensatz liegt. Bis jetzt sind noch keine Details darüber bekannt, wie sich der Diebstahl der Daten abgespielt hat, Barclay gab jedoch an, dass man mit Hochdruck versuche, die Sache aufzuklären.
Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm, kommentiert den Vorfall:
„Der Fall wirft zwei sehr wichtige und ernste Fragen für die Bank auf: Wie konnte es überhaupt zu dem Diebstahl kommen? Und warum kam der Vorfall erst durch einen Whistleblower ans Licht? Die technische Raffinesse, mit der Cyberkriminelle heute vorgehen, ist bei weitem kein Geheimnis mehr und es ist erschreckend, dass ein derart großes Finanzinstitut Opfer eines solchen Angriffs werden kann. Nach diesem Fall sollte es jedem klar sein, dass die Frage nicht lautet, ob einem Unternehmen Daten geklaut werden, sondern wann.
Bisher gibt es noch keine Details darüber, wie die Kriminellen vorgegangen sind. Aber – egal, ob wir es hier mit einem ‚Inside-Job‘ oder einem Angriff von außen zu tun haben – die Schlussfolgerung muss für jeden bereits jetzt klar sein: Wenn ich nicht weiß, was in meinem Netzwerk passiert und wenn ich mir nicht darüber im Klaren bin, was ich als außergewöhnliche Vorgänge im Netzwerk ansehe, können Daten jederzeit unentdeckt entwendet werden. Dieses aktuelle Datenleck zeigt, dass jedes Unternehmen eine robuste und in Echtzeit arbeitende Verteidigung gegen Cyberangriffe aufbauen muss, damit sie Gefahren erkennen und sofort dagegen vorgehen können – nicht erst, wenn es schon zu spät ist oder wenn irgendwann noch später jemand den Vorfall an die Öffentlichkeit bringt.
Der Vorfall wird zweifelsohne weitreichende Konsequenzen für Barclays haben und das sollte für alle Unternehmen, egal ob aus der Finanzbranche oder einem anderen Industriezweig, eine Warnung sein. Der Schlüssel für effektiven Datenschutz ist pro-aktives Monitoring. Nicht nur können Angriffe damit tatsächlich abgewehrt werden, bevor sie Schaden anrichten, sondern es wird auch leichter zu erkennen, ob etwas passiert ist und wo Fehler behoben werden müssen. Zudem sollte der Gesetzgeber endlich die Meldepflicht bei Datenverlust gesetzlich festschreiben, um auf lange Sicht die Kunden vor dem Missbrauch ihrer Daten nach einem Diebstahl zu schützen. Es sollte heutzutage nicht nötig sein, dass ein Informant von außerhalb auf den Datendiebstahl aufmerksam macht – die Unternehmen sollten in der Lage sein, dies selbst zu erkennen und die Öffentlichkeit sofort darüber zu informieren.“
