Schlagwort: Datensicherheit

Jährliche Schäden von 55 Mrd. Euro durch Datenverlust

27. Juli 2017

Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig „aus den eigenen Reihen“ stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.

Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.

Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der „technischen Sicherheit“ sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.

Smart-TV-Hersteller forscht Nutzerverhalten aus

7. Februar 2017

Smart-TVs sind aus unserem Alltag heutzutage kaum noch wegzudenken. Sie können schon längst nicht mehr nur das Fernsehprogramm senden, sondern haben sich mittlerweile zu einer Internet-Schaltzentrale entwickelt. Mit der Erweiterung der Funktionalität und vor allem der ständigen Verbindung zum Internet geht allerdings auch die gestiegene Gefahr einher, dass das Nutzerverhalten rund um die Uhr beobachtet werden kann und die gewonnenen Informationen anderweitig verwendet werden.

Der Smart-TV-Hersteller Vizio muss nun ein Bußgeld in Höhe von 2,2 Millionen US-Dollar zahlen, nachdem ihm die US-amerikanische Behörde FTC (Federal Trade Commission) vorwarf, das Verhalten seiner Nutzer ohne vorherige Einwilligung ausgeforscht zu haben.

Mit Hilfe von automatischer Inhaltserkennung (Automatic Content Recognition) wurden so die Vorlieben von rund elf Millionen Nutzern analysiert und gespeichert, um die gewonnenen Informationen dann in einem weiteren Schritt mit demografischen Inhalten wie Alter, Geschlecht, Familien- und Bildungsstand sowie Einkommen zu verknüpfen. Die verknüpften Daten soll Vizio dann zu Werbezwecken an Dritte weitergegeben haben.

Die FTC hatte bereits seit Februar 2014 ermittelt und klagte vor dem U.S. District Court for the District of New Jersey. Obwohl sich der Smart-TV-Hersteller in der Sache verteidigte und angab, dass das Nutzerverhalten nie mit persönlichen Daten verknüpft worden sei, muss Vizio die Praxis zukünftig unterlassen und alle Daten löschen, die das Unternehmen bis zum 1. März 2016 gesammelt hat. Darüber hinaus muss das US-amerikanische Unternehmen seine Datenschutzrichtlinien überarbeiten.

Zeit-Stiftung veröffentlicht den Entwurf einer „Charta der digitalen Grundrechte der Europäischen Union”

9. Dezember 2016

In einem am 30.11.2016 veröffentlichten Entwurf der Zeit-Stiftung, welcher durch Unterstützung zahlreicher Prominenter, wie Giovanni di Lorenzo, zustande kam, werden in 23 Artikeln Vorschläge zu „Autonomie und Freiheit des Einzelnen, zum Einsatz und zur Entwicklung Künstlicher Intelligenz, zu Informationeller Selbstbestimmung und Datensicherheit“ unterbreitet. Mit dem Entwurf soll eine Debatte um digitale Grundrechte angestoßen und eine „Befassung im Europäischen Parlament“ erreicht werden. Hierzu wurde die Charta am 05.12.2016 im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments in Brüssel vorgestellt.

Teilweise wurde bereits Kritik am Entwurf geäußert. Neben systematischen Mängeln läge der Charta ein mangelndes Verständnis der Grundrechte zugrunde.

Verwaltungsmitarbeiter verbreitet Stimmung im Fußballstadion – mit Konfetti aus vertraulichem Aktenmaterial

23. September 2016

Angestellten im öffentlichen Dienst eilt nicht unbedingt der Ruf als Stimmungskanone voraus. Dieses Klischee hat ein Mitarbeiter der Kommunalverwaltung im rheinland-pfälzischen Bad Kreuznach eindrucksvoll widerlegt. Auch wenn es wohl kaum die Absicht des Angestellten gewesen sein dürfte, den wohl größten Eindruck ausgerechnet bei Datenschützern zu hinterlassen.

Um sich bei der Fan-Choreografie im Rahmen eines Heimspiels des Fußball-Zweitligisten 1. FC Kaiserslautern zu beteiligen, fertigte der fleißige Fußballfan eine gehörige Menge rosa-weißes Konfetti, welches in der Fankurve in die Luft geschmissen und im Stadion großflächig verteilt wurde. Aufmerksame Besucher der Partie erkannten allerdings in den wohl mehr schlecht als recht zerkleinerten Papierschnipseln vertrauliche Dokumente der Kommunalverwaltung Bad Kreuznachs, so rosafarbene Formulare, mit denen Bedürftige Mietkostenzuschüsse beantragen konnten, aber auch Anwaltspost zu Unterhaltsforderungen.

Diese Dokumente wurden schon von der Behörde nicht geschreddert, sondern unversehrt als Altpapier entsorgt. Einen gehörigen Anteil an der bunten Choreografie darf sich also auch die Stadt Bad Kreuznach als verantwortliche Stelle zuschreiben.

Dass Kaiserslautern sein Heimspiel gegen den Gast aus Dresden auch noch verlor, dürfte den gebrauchten Tag für den Konfettiproduzenten komplettiert haben.

Risiko BYOD: über 90% der Organisationen im Gesundheitssektor von Datendiebstahl betroffen

23. Juni 2016

Laut einer Studie  des US-Konzerns Forcepoint wurden in den vergangen zwei Jahren 91 Prozent der Organisationen im Gesundheitssektor Opfer von Datendiebstahl.

Als größtes Risiko hat der Anbieter von Software-Lösungen zur IT-Sicherheit vor allem den Einsatz privater Endgeräte wie Smartphones in der betrieblichen IT-Umgebung ausgemacht.

So wäre es heute Praxis, dass zum Beispiel Ärzte sowohl im Rahmen der Forschung als auch der Patientenuntersuchung ungehinderten und räumlich unabhängigen Zugang zu elektronischen Patientenakten benötigen und dabei regelmäßig über ihre Privatgeräte auf Datenbanken zugreifen, Patientendaten versenden und empfangen.

In Deutschland herrscht nach Aussage der Studie noch weitgehende Unklarheit, welche Sicherheitsmaßnahmen in Bezug auf Patientendaten das sogenannte E-Health-Gesetz  künftig verlange. Den meisten Krankenhäusern attestiert das Unternehmen deutliche Missstände hinsichtlich Präventivmaßnahmen zu einer frühzeitigen Angriffserkennung und fehlenden Überblick über die im Betrieb eingesetzte „Schatten-IT“ durch den Einsatz privater Endgeräte.

Hosting-Provider will Ordner löschen – und ruiniert sein Unternehmen

15. April 2016

Wie gleich mehrere Online-Medien mit Verweis auf die Online-Community „Server Fault“ berichten, hat ein Kleinunternehmer durch die Eingabe eines Löschbefehls nicht nur den anvisierten Zielordner gelöscht, sondern gleich seinen kompletten Datenbestand – inklusive Back-Ups. Umso dümmer, dass das Unternehmen vor allem das Hosting geschäftlicher Websites betreibt, oder ja: betrieben hatte.

Um den Zielordner zu löschen, erteilte er den Befehl „rm -rf {foo}/{bar}“. Dabei beinhaltet das Kürzel „rf“ (recursive force) das Kommando einer Löschung unter Ignorieren aller Systemwarnungen. Dieser Löschbefehl bedarf allerdings der weiteren Information, welches Ziel denn überhaupt zu löschen sei. Offenbar war es die unterlassene Spezifizierung des Befehls, die zur Löschung sämtlicher Verzeichnisse, Ordner und Unterordner auf dem Server führte.

Der Unternehmer wandte sich ratsuchend an die Online-Community. Helfen könne ihm jetzt aber nur noch ein Anwalt, so der Tenor.

Die Tipps eines Users kann man aus Datensicherheitsaspekten allerdings nur unterschreiben:

  • BackUps sichern.
  • Tools, die nicht bekannt sind, nicht nutzen.
  • Einen Befehl nie überall auf einmal nutzen.
  • Befehle vor der Eingabe doppelt und dreifach checken.

Für den Unternehmer dürften diese Tipps wohl zu spät kommen.

Hackerangriff: Massiver Datendiebstahl in den USA betrifft persönliche Daten von über 20 Millionen Regierungsangestellten

10. Juli 2015

Die US-Regierungsbehörde United States Office of Personnel Management (OPM) ist jüngst wiederholt Opfer von Cyberattacken geworden. Die Behörde ist für die Verwaltung des Öffentlichen Dienstes in den Vereinigten Staaten verantwortlich.

Bei den Attacken dürfte es sich nach offiziellen Angaben um die bisher größte Cyberattacke auf eine amerikanische Regierungseinrichtung handeln. Betroffen sind personenbezogene Daten von ca. 21,5 Millionen Angestellten des Öffentlichen Dienstes; darunter neben aktuellen auch ehemalige Angestellte sowie eventuell Bewerber und Anwärter für Regierungsorganisationen. Auch solchen nahestehende Verwandte und Freunde, welche im Rahmen sogenannter Background-Analysen durchleuchtet wurden, zählen wohl zu den Opfern. Von den Betroffenen wurden neben Adressen, Sozialversicherungsnummern und Finanzangaben auch besonders sensible Gesundheitsdaten erbeutet – besonders brisant darunter wohl die über eine Million Fingerabdrücke. Die OPM verwaltet auch Zugangsberechtigungen und Sicherheitsscreenings.

Die Angriffe erfolgten wohl bereits im letzten Jahr in zwei Fällen, wurden seitens der OPM aber erst im April dieses Jahres erstmals entdeckt. Im Juni bestätigte sich dann die nun veröffentlichte Zahl der Betroffenen.

Darüber, inwieweit diese Daten vor Angriffen von außen gesichert waren, schweigt die Behörde. Sie hat inzwischen eine Informationsseite für Betroffene eingerichtet. Darauf findet sich kein Hinweis auf den Urheber der Attacken – bereits nach den ersten Meldungen über die Cyberattacke berief sich die Washington Post auf Regierungsvertreter, die hinter den Hackern die chinesische Regierung vermuten. Das chinesiche Dementi folgte wenig überraschend.

Harvard-Student experimentiert – und stalkt seine Freunde via Facebook Messenger

29. Mai 2015

„When I came to college Facebook Messenger became an integral part of my digital life. I quickly found that it was the easiest way to keep in touch with old high school friends, contact people I had just met, organize impromptu poker games with people I hardly knew, and everything in between“. Diese Aussage eines Havard-Studenten spiegelt wohl die allgemeine Verwendungsweise der App Facebook Messenger – vor allem unter jüngeren Anwendern – wider. Was der Informatikstudent dann aber auch herausgefunden hat, schildert er in seinem Blog auf der Plattform Medium.com.

Wie auch die FAZ-Online berichtet, gelang es ihm im Rahmen eines Experiments, umfangreiche Profile seiner Kommilitonen allein durch die Auswertung der Standortangeben der Chat-Teilnehmer zu erstellen. Diese regelmäßig voreingestellte Funktion teilt anderen Gesprächspartnern permanent den jeweiligen Aufenthaltsort mit. Anhand dieser Daten gelang es dem angehenden Informatiker u.a. herauszufinden, in welchem Zimmer auf dem Campus der Universität diese wohnten und welche Kurse sie besuchten. Dazu konnten weitreichende Bewegungsprofile kartenartig erstellt werden.

Ob man diese Funktion aktiviert lassen sollte, kann man da schon mal überdenken. Eine Anleitung zur Deaktivierung findet sich hier.

Der Student hat übrigens gerade eine Praktikumszusage bekommen. Von Facebook.

LDI NRW: Landes- und Kommunalbehörden müssen Datensicherheit überprüfen!

9. September 2013

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) empfiehlt allen Behörden des Landes und den Kommunen in NRW, zu überprüfen, ob die Konzepte für die Datensicherheit den Gefährdungsszenarien standhalten, die aktuell vorstellbar sind. Die aktuellen Berichte über die Tätigkeit ausländischer Geheimdienste – insb. der USA und Großbritanniens – würden Anlass zur Sorge geben. Besonders wenn öffentliche Stellen private Unternehmen (z.B. Cloud-Dienstleister) beauftragen, die im Fokus ausländischer Geheimdienste stehen, sollten sie dringend prüfen, ob dies noch den rechtlichen Anforderungen entspricht.

„Spätestens jetzt sollten alle Warnsignale leuchten: Datenschutz und Datensicherheit müssen dringend überprüft werden. Dies gilt ebenso für Unternehmen“, so Ulrich Lepper.

Kategorien: Allgemein
Schlagwörter: , , ,

Ministerpräsident Bouffier verliert sein Smartphone im Flugzeug

28. September 2012

Nach Medienangaben hat der hessische Ministerpräsident Volker Bouffier (CDU) auf der Rückreise von Berlin nach Frankfurt sein iPhone 4S in einem Flugzeug der Lufthansa verloren. Das Smartphone sei zwar zunächst von der Bodencrew unter einem Sitz entdeckt worden, nach der Übergabe an einen Flugbegleiter der Airline habe sich jedoch jede Spur verloren. Das Brisante an diesem Vorfall ist nicht der Verlust des Gerätes an sich, sondern der Verlust und die potentielle Zugriffsmöglichkeit Unbefugter auf die auf dem Smartphone abgelegten Daten. Die Daten umfassen neben Kurzmitteilungen und E-Mails insbesondere auch zahlreiche persönliche Kontaktdaten. Regierungssprecher Michael Bußer bestätigte, dass auf dem Smartphone Daten gespeichert waren, die “[…] ein Ministerpräsident so auf seinem Handy hat“. Die Daten seien jedoch bereits gesperrt worden.

Kategorien: Allgemein
Schlagwörter: , ,
1 2