Darf 23andMe seine Nutzer für den DNA-Hack verantwortlich machen?

Transparenz
DAS WICHTIGSTE IM ÜBERBLICK

23andMe gibt Nutzern die Schuld für einen Hackerangriff, bei dem Daten von 6,9 Millionen Personen betroffen waren. Als Reaktion auf Klagen geht das Unternehmen aggressiv gegen seine eigenen Kunden vor, was in der Cybersicherheits-Community und den Medien für Aufsehen sorgt.

Das jüngste Kapitel eines 23andMe-Hacks nahm eine neue Wendung zur dunklen Seite.

Das Unternehmen gibt anscheinend den Usern die Schuld für einen Verstoß, bei dem Berichten zufolge die Gen- und persönlichen Daten von insgesamt 6,9 Millionen Kunden gestohlen wurden.

Was leider immer mehr zur Normalität für von Cybersicherheitsvorfällen betroffene Unternehmen wird, sieht so aus, als hätte 23andMe den Rechtsweg beschritten, um einen Kampf zu führen und zwar einen gegen seine Nutzer.

Am 3. Januar veröffentlichte TechCrunch ein juristisches Schreiben von 23andMe, das die Firma an die Opfer der Sicherheitsverletzung geschickt haben soll. 23andMe hat über 30 Klagen von betroffenen Nutzern erhalten.

Der Hack von 23andMe begann im Oktober, nachdem Cyberkriminelle mit einer als Credential Stuffing bekannten Technik in das System eingedrungen waren. Dabei handelt es sich um die Verwendung von Passwörtern aus früheren Angriffen.

Kurz darauf gelangten exfiltrierte DNA-Daten an die Öffentlichkeit und wurden im Internet verbreitet.

Zunächst versicherte 23andMe den Kunden, dass es keine Anzeichen für einen Vorfall im Bereich der Datensicherheit in ihren Systemen gebe, wobei angeblich nur etwa 14.000 Konten von dem Verstoß betroffen waren.

Doch schon bald eskalierte die Situation: Insgesamt 6,9 Millionen Nutzer waren davon betroffen, zum Teil über die Funktion DNA-Verwandte, mit der 23andMe-User Informationen mit anderen Nutzern austauschen können.

Als sich dann die Lage beruhigt hatte, waren die Hacker mit digitalen DNA-Daten, Namen, Verwandtschaftsbezeichnungen, Familienstammbäumen, Geburtsdaten, Standorten, Abstammungsberichten, Gesundheitsdaten und vielem mehr von der digitalen Szene verschwunden.

Daraufhin wurden mehr als 30 Klagen gegen das Unternehmen eingereicht, woraufhin eine interessante Reaktion auf diese Prozesse erfolgte.

Passwörter und mangelnde Zugangssicherheit

Schon in der ersten Mitteilung gab 23andMe den Opfern des Hacks die Schuld.

In der Beschreibung, wie sich die Angreifer Zugang verschafften, hieß es:

Nachdem wir von verdächtigen Aktivitäten erfahren haben, wurden von uns sofort Ermittlungen eingeleitet. Während wir diese Angelegenheit weiter untersuchen, glauben wir, dass es den Bedrohungsakteuren möglich war, auf bestimmte Konten zuzugreifen, in denen Benutzer ihre Anmeldedaten wiederverwendet haben das heißt, die auf 23andMe.com genutzten Benutzernamen und Passwörter stimmten mit denen überein, die für andere Websites gewählt wurden, die zuvor gehackt wurden.

In dem neuen Schreiben, das von den Anwälten des Unternehmens an die Opfer geschickt und von TechCrunch veröffentlicht wurde, wird die Verantwortung weiter von sich geschoben.

… Die Nutzer haben auf 23andMe.com dieselben Benutzernamen und Passwörter verwendet wie auf anderen Websites, die Gegenstand früherer Sicherheitsverletzungen waren, und die User haben ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig wiederverwendet und nicht aktualisiert.

Daher war das Problem nicht das Ergebnis des angeblichen Versäumnisses von 23andMe, angemessene Sicherheitsmaßnahmen gemäß dem CPRA aufrechtzuerhalten.

Der CPRA (California Privacy Rights Act) ist das Gesetz zum Schutz der Privatsphäre in Kalifornien.

In dem Schreiben bestreitet 23andMe außerdem, gegen das kalifornische Gesetz zur Vertraulichkeit medizinischer Informationen (California Confidentiality of Medical Information Act, CMIA), das Gesetz zum Schutz der Privatsphäre von genetischen Informationen in Illinois (Illinois Genetic Information Privacy Act, GIPA) sowie andere allgemeine Rechtsvorschriften verstoßen zu haben.

Techopedia sprach mit Jeff Reich, Executive Director bei der Identity Defined Security Alliance (IDSA), um einen fachkundigen Einblick in das Thema zu erhalten und Licht in einen ohnehin schon düsteren und beunruhigenden Cyberangriff zu bringen, von dem die Nutzer weiterhin betroffen sind.

Reich hat den juristischen Fachjargon aufgeschlüsselt und das Problem erörtert.

Diese Woche schlug 23andMe auf seine Kunden zurück, die Klagen einreichten, und beschuldigte sie, nicht die richtigen Schritte zum Schutz ihrer Identitätsdaten zu unternehmen.

Das ist immer eine schlechte Situation für alle, vor allem für die betroffenen Personen.

User sind nicht immer fit im Umgang mit Passwörtern

Jeder Cybersicherheitsexperte weiß (und erwartet), dass Benutzer, die Passwörter wiederverwenden, keine MFA aktivieren oder keine starken und eindeutigen Passwörter für ihre Konten wählen.

Daher sind sich die Unternehmen sehr wohl bewusst, dass es ihre Aufgabe und Verantwortung ist, zusätzliche Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.

Dies ist eine der grundlegendsten Regeln der Authentifizierungssicherheit und der Zero-Trust-Modelle, bei denen niemandem vertraut wird nicht einmal den eigenen Benutzern.

Bei Zero Trust müssen die User ständig überprüft und validiert werden, und es muss ihnen so wenig Zugang wie möglich gewährt werden.

Darüber hinaus müssen Organisationen eine robuste mehrschichtige Sicherheitslösung einsetzen, die Integrität der digitalen Angriffsfläche sicherstellen, einen soliden Plan für die Reaktion auf Zwischenfälle haben und vor allem dafür sorgen, dass ihre Zugangs- und Authentifizierungstechnologien der Aufgabe gewachsen sind.

Reich erklärte gegenüber Techopedia diese Verantwortung.

Jeder Verwalter von Identitätsdaten hat die ethische Verpflichtung, angemessene Maßnahmen zum Schutz dieser Daten zu ergreifen und den Eigentümer der Daten über ihren Status zu informieren.

Große Cybersecurity-Fragen – einfache Antworten

Letztendlich läuft der Cyberangriff auf 23andMe und andere auf mehrere Fragen hinaus, auf die es eindeutige Antworten gibt: Sollten Unternehmen ihren Nutzern die Schuld für Passwortprobleme geben?

Sind die User für ihre Sicherheit verantwortlich, insbesondere auf Websites, die sensible Gesundheitsdaten wie DNA und andere persönliche Informationen enthalten? Sollten Unternehmen von ihren Kunden erwarten, dass sie sichere und starke Passwörter verwenden?

Die Antwort auf all diese Fragen lautet Nein.

Reich brachte es mit einfachen Worten auf den Punkt.

Ja, der Großteil der Nutzer weiß inzwischen, dass die Verwendung der Multi-Faktor-Authentifizierung (MFA) Angreifer aufhalten kann. Wir alle sollten dieses Instrument nutzen.

Unabhängig davon ist das Opfer hier nicht die Ursache des Problems. Man könnte dies mit einer Situation vergleichen, in der ein Laden Löcher im Boden hat, über die die Kunden laufen, und der Ladenbesitzer ein kleines Schild an der Eingangstür anbringt, auf dem Vorsicht Löcher steht.

 Wenn ein Kunde stolpert und sich verletzt, sollte der Ladenbesitzer nicht sagen, dass er ihn vor den Löchern gewarnt hat. Die Löcher hätten von vornherein behoben werden müssen.

Unterm Strich 

Was die Sicherheitsbranche im Jahr 2023 und vielleicht auch schon vorher gelernt hat, ist die Tatsache, dass dateilose Angriffe wie Phishing, Passwort-Auktionen im Dark Web und Credential Stuffing zu den am häufigsten genutzten Techniken zum Einbruch in Systeme gehören.

Cyberkriminelle wissen, dass es viel einfacher ist, Angriffe erfolgreich zu starten und auszuführen, wenn sie über die Passwörter der Benutzer verfügen ganz gleich, wo und wie sie diese erhalten haben.

Verglichen mit der Entwicklung ausgeklügelter Malware, die sich mit roher Gewalt einen Weg in ein bereits mit der neuesten Sicherheitssoftware ausgestattetes digitales System bahnt, ist die Kenntnis der Passwörter der Benutzer ein goldenes Ticket.

Außerdem sind diese Arten von Attacken sehr schwer zu erkennen. Natürlich ist sich jedes Unternehmen mit Millionen von Nutzern dieser Trends bewusst und sollte den Angreifern nicht direkt in die Hände spielen.

Zwar werden dateilose Angriffe weiterhin existieren und funktionieren, doch eines ist sicher: Es wird andere Vorfälle geben. Wir erwarten nicht, dass Unternehmen in der Lage sein werden, jeden einzelnen Cyberangriff abzuwehren. Das ist ein unmögliches Unterfangen.

Der Unterschied besteht darin, dass einige Firmen die Verantwortung für ihre Sicherheit übernehmen, den Benutzern gegenüber transparent sind und sich bemühen, Sicherheitsvorfälle zu beheben, während andere dies nicht tun.

Eins ist klar: Den Nutzern die Schuld für die verwendeten Passwörter zu geben, ist zweifellos ein absolutes Tabu, vor allem, wenn es um DNA geht.

Wie Reich gegenüber Techopedia erklärte:

Die Identität ist die neue Sicherheitsgrenze, und mit der DNA könnte sie die letzte Grenze für den Schutz von Personen sein.

 Wir dürfen dies nicht auf die leichte Schulter nehmen und müssen alle Maßnahmen ergreifen, um unsere eigene Identität zu schützen und sicherzustellen, dass die Verwalter unserer Daten diese Verantwortung ernst nehmen.

Verwandte Begriffe

Ray Fernandez
Senior Tech Journalist
Ray Fernandez
Senior Tech Journalist

Ray ist ein Journalist mit über 15 Jahren Erfahrung, der derzeit als Tech-Reporter für Techopedia und TechRepublic arbeitet. Seine Arbeiten wurden u. a. von Microsoft, Moonlock, Venture Beat, Forbes, Solutions Review, The Sunday Mail, The FinTech Times, Bloomberg, Horasis und der Nature Conservancy veröffentlicht.