Kategorie: Allgemein
22. Juli 2015
Den white-hat Hackern Charlie Miller und Chris Valasek, die bereits im letzten Jahr mit PKW-Hacks auf sich aufmerksam gemacht haben, ist es gelungen, einen Jeep Cherokee kabellos und ohne Kontakt zum Auto, aus großer Ferne zu hacken. Zunutze machten sich die beiden dabei das sogennante Uconnect System von Jeep, durch welches das Infotainment gesteuert wird. Da über dieses auch ein WLAN-Hotspot eingerichtet werden kann, verfügt das System über eine IP-Adresse, durch welche eine Online-Zugriffsmöglichkeit vorhanden ist. Den beiden “guten” Hackern gelang es durch eine Sicherheitslücke im System auch auf die Fahrzeugsteuerung zuzugreifen. Damit konnten sie aus beinahe 1000 km Entfernung die Scheibenwischer ihres Cherokee aktivieren. Auch ein Zugriff auf Sitzheizung und andere elektronische Systeme war möglich – bis hin zum Ausschalten des Motors bei voller Fahrt.
Im Selbstversuch schlug dem Journalisten Andy Greenberg während der Fahrt plötzlich laute Heavy-Metal Musik entgegen und andere elektronische Systeme aktivierten sich wie von Geisterhand. Dann wurde sein Wagen komplett lahmgelegt, das Gaspedal funktionierte nicht mehr. Er beschreibt seine Machtlosigkeit, als ihm die Kontrolle über den Wagen entrissen wurde. Während er auf der Interstate fuhr, saßen die Hacker in 15 km Entfernung in Keller von Charlie Miller, einem ehemaligen Apple-Programmierer, und hatten ihren Spaß mit dem eingeweihten Opfer.
Charlie Miller und Chris Valasek haben es sich zur Aufgabe gemacht, Sicherheitslücken in modernen PKWs ausfindig zu machen und die Industrie zu warnen. Die genaue Schwachstelle im System wollen sie erst noch bekannt geben. Klar scheint allerdings zu sein, dass sie Zugriff auf den CAN-Bus hatten, durch den auch mechanische Komponenten des Autos gesteuert werden.
Neben grundsätzlichen Fragen zur Sicherheit stellt sich in diesem Zusammenhang auch die Frage, ob Automobilhersteller bei einem “echten” Hack unter Umständen schadensersatzpflichtig werden, wenn aufgrund laxer Sicherheitsvorkehrungen ein Hack ermöglicht wird, der zu einem Unfall führt.
Auch der ADAC hat kürzlich enthüllt, dass es mit relativ einfachen Mitteln möglich ist, das ConnectedDrive System von BMW zu hacken.
20. Juli 2015
Wie das Bundesarbeitsgericht (BAG) mit Urteil vom 16.07.2015 (AZ: 2 AZR 85/15) entschied, kann das unbefugte Kopieren von privat beschafften Daten unter Verwendung des dienstlich zur Verfügung gestellten PCs zu einer außerordentlichen Kündigung führen.
Der Kläger war IT-Verantwortlicher bei einem Oberlandesgericht in Sachsen-Anhalt. Auf seinen Festplatten wurden mehr als 6.400 E-Book-, Bild-, Audio- und Videodateien vorgefunden, über einen 2 1/2-jährigen Prüfungszeitraum hinweg wurden über 1.100 DVDs bearbeitet. Zudem war ein Programm installiert, das geeignet war, den Kopierschutz der Hersteller von Videodateien zu umgehen.
Die Tatsache, dass die private Nutzung des dienstlichen Rechners für bestimmte andere Zwecke durch den Arbeitgeber gestattet war, führte nach Überzeugung der Richter nicht zu einer anderen Bewertung der Sach- und Rechtslage.
Durch das Urteil wird deutlich, dass der Arbeitnehmer auch dann, wenn der private Gebrauch sowohl der dienstlich zur Vefügung gestellten Hardware sowie des Internets erlaubt ist, die Grenzen der Rechtmäßigkeit und vor allem auch der Verhältnismäßigkeit einhalten muss:
Grundsätzlich verboten sind Verletzungen des Urheberrechts, wie beispielsweise durch das Herunterladen illegaler Filme. Ebenso verhält es sich, wenn Schadsoftware durch den Arbeitnehmer eingeschleust wird, wie etwa Viren oder Spam. Schließlich ist auch die (im Verhältnis zur Arbeitszeit) exzessive Nutzung des Internets zum privaten Surfen verboten und kann arbeitsrechtliche Konsequenzen nach sich führen. Als “exzessiv” betrachtet die Rechtsprechung in der Regel das Surfen für eine Dauer von über 60-90 Minuten.
Cloud-Computing wird immer populärer und ist mittlerweile fester Bestandteil des Business-Alltags. Trotz alledem haben 87 Prozent der IT-Verantwortlichen Bedenken, wenn es um Datenschutz und Datensicherheit in Zusammenhang mit Geschäftsinformationen und Cloud-Anwendungen geht, wie nun Ergebnisse einer Praxisstudie (“Preparing for next-generation cloud: Lessons learned and insights shared”), für die Anfang dieses Jahres weltweit 232 IT-Führungskräfte bezüglich ihrer Erfahrungen mit Cloud-Anwendungen befragt wurden, verdeutlichen.
So gaben 67 Prozent der Befragten an, dass ihre Unternehmen bereits unter Zwischenfällen oder Problemen in Verbindung mit Cloud-Anwendungen zu leiden hatten. Wiederum 9 Prozent der Befragten, die bereits Zwischenfälle erlebt haben, sprachen dabei von „hohen Schäden”, 55 Prozent von „begrenzten” und 34 Prozent von „geringen” Auswirkungen.
Von knapp der Hälfte der Befragten wurde der „Verlust von Kundendaten” infolge einer fehlerhaften Cloud-Anwendung als größtes Risiko für ihr Unternehmen angesehen, danach folgen Umsatzverluste (40 Prozent) und Verletzungen des Kundendatenschutzes (36 Prozent).
Bei Public-Cloud-Anwendungen sollen Ausfälle und Störungen doppelt so häufig vorkommen wie bei Private Clouds.
Die Studie empfiehlt fünf Best Practices, die Unternehmen bei der optimalen und kosteneffizienten Nutzung von Cloud-Ressourcen helfen sollen:
- Sicherstellen, dass die Cloud-Anbieter die Anforderungen der gesamten unternehmerischen Tätigkeit und der IT-Organisation erfüllen können.
- Einen geeigneten Cloud-Service auswählen, um Sicherheit und Datenschutz besser überwachen zu können.
- Cloud-Architekturen nutzen, die Verbindungen zwischen dem Cloud-Service und der vorhandenen IT-Infrastruktur ermöglichen.
- Über die Kosten hinaus weitere Faktoren berücksichtigen, etwa das Potenzial der Cloud zur Optimierung von Geschäftsprozessen, zur Stärkung der Innovationskraft und der Mitarbeitereffizienz.
- Geschäftsanforderungen an die IT festlegen, um Cloud-Services anzubieten und als Cloud-Vermittler tätig zu werden.
6. Juli 2015
Ende der vergangenen Woche hat der Menschenrechtsrat der Vereinten Nationen den maltesischen Juraprofessor Joseph Cannataci zum ersten unabhängigen Sonderberichterstatter für das Recht auf Privatheit (“Special Rapporteur on the Right to Privacy”) ernannt. Er wird fortan über Verstöße gegen das Recht auf Privatheit berichten und die internationale Debatte zu Fragen des Rechts auf Privatsphäre begleiten. Cannataci konnte sich gegen insgesamt 29 Mitbewerber durchsetzen, darunter auch der ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Schaar.
3. Juli 2015
Am Mittwoch dieser Woche tagten in Riga Vertreter der EU und USA aus Justiz- und Innenpolitik zu Verhandlungen über die transatlantische Zusammenarbeit in den Bereichen Freiheit, Sicherheit und Justiz, wie heise berichtet. Gegenstand der Verhandlungen war auch die Gewährleistung eines effektiven Datenschutzes bei der Kooperation und dem Informationsaustausch von europäischen und amerikanischen Sicherheitsbehörden.
Nach dem in Riga verhandelten Abkommen sollen EU-Bürger das Recht haben, den Rechtsweg bei möglichen Datenverstößen in den USA beschreiten zu dürfen.
Die nach US-Recht erforderliche gesetzliche Grundlage hierfür stellt der sogenannte „Judicial Redress Act“ dar. Über einen entsprechenden Gesetzesentwurf des Judicial Redress Act berät der US-Kongress seit Anfang dieses Jahres. Sobald dieser erfolgreich das amerikanische Gesetzgebungsverfahren durchlaufen habe, könne das Datenschutzabkommen auf den Weg gebracht werden.
Nach wie vor als schwierig gestalten sich hingegen die Bemühungen das Safe-Habor-Abkommen zu reformieren. Das zwischen den USA und der EU geschlossene Safe-Habor-Abkommen ist eine Vereinbarung, die gewährleistet, dass personenbezogene Daten von EU-Bürgern legal in die USA übermittelt werden können. Das Safe-Habor-Abkommen wird von Datenschützern als reformbedürftig kritisiert, da es die Rechte der Betroffenen nicht ausreichend schütze.
Auch wenn die Verhandlungen am Mittwoch in Riga einen Schritt in die richtige Richtung genommen haben, kann hingegen nur von einem Teilerfolg die Rede sein. Es bleibt daher abzuwarten wann die Verhandlungsergebnisse umgesetzt werden.
2. Juli 2015
Viele deutsche Unternehmen mit weniger als 100 Mitarbeitern haben in Sachen Datenschutz deutlichen Nachholbedarf, wie eine Umfrage des Aktenvernichtungsunternehmens Shred-it jüngst ergab.
Fast drei Viertel der Unternehmen sollen beispielsweise keine Regelungen aufgestellt haben, die die datenschutzkonforme Aufbewahrung und insbesondere auch Vernichtung von vertraulichen Daten thematisieren. Unsicherheit bestehe bereits im Vorfeld bei der Frage, welche Daten tatsächlich als vertraulich einzustufen und damit sicher aufzubewahren und zu vernichten sind. So gaben 35 Prozent der Befragten an, dass ihre Unternehmen über keine Dokumente verfügen, deren Verlust sich geschäftsschädigend auswirken würde. Bei dieser Angabe wird außer Acht gelassen, dass fast ausnahmslos jedes Unternehmen personenbezogene Daten – etwa von Mitarbeitern, Kunden, externen Dienstleistern – erhebt und verarbeitet. Personenbezogene Daten fallen unter das Bundesdatenschutzgesetz und sind insoweit auch stets vertrauliche Informationen. Der Verlust von personenbezogenen Daten kann zum einen zu Imageschäden führen, zum anderen auch als Ordnungswidrigkeit oder Strafbarkeit einzustufen sein. Auch besteht u.U. eine Verpflichtung zur Information, wenn besondere Datenkategorien betroffen sind und der Verlust der Daten zu einer unrechtmäßigen Kenntniserlangung durch Dritte geführt hat.
Ein interner oder auch externer Datenschutzbeauftragter gibt die erforderliche Hilfestellung bei Fragen der Klassifizierung, der Aufbewahrung und der rechtskonformen Löschung von Daten und natürlich auch der Einhaltung des Datenschutzes insgesamt. Allerdings haben lediglich ein Fünftel der befragten kleinen und mittelständischen Unternehmen einen solchen bestellt – anders als bei Unternehmen mit mehr als 250 Mitarbeitern, wo immerhin 92 Prozent einen Datenschutzbeauftragten bestellt haben.
25. Juni 2015
Zum Sweep-Day, einer internationalen Prüfaktion des Global Privacy Enforcement Networks (GPEN), wurden Apps für Kinder und Jugendliche von weltweit 28 Datenschutzbehörden auf ihre Datenschutzkonformität geprüft. Das Ergebnis ist teilweise erschreckend. Wie heise online über den groß angelegten Test berichtet, verfügten gerade einmal drei Viertel der untersuchten Apps über eine Datenschutzerklärung, von denen nur rund die Hälfte der Erklärungen formal richtig waren. Lediglich 30 Prozent der deutschsprachigen Versionen waren auch mit einer deutschen Datenschutzerklärung versehen.
Ein weiteres großes Manko brachte die Prüfaktion ans Licht: Eltern haben viel zu geringe Überwachungs- und Eingriffsmöglichkeiten. Dies betreffe insbesondere mangelhafte oder nicht vorhandene Zugangsbeschränkungen bei Bilddaten, wie zum Beispiel das Hochladen von eigenen Fotos. Mehr als ein Drittel der untersuchten Apps verwendet Werbung und bindet In-App-Käufe ein, die von den meist minderjährigen Nutzern ohne Einverständnis der Eltern getätigt werden können.
Von deutscher Seite hatten an der Prüfaktion im Rahmen des „Sweep-Day“ Datenschutzbehörden aus Berlin, Bayern und Hessen teilgenommen.
22. Juni 2015
Spätestens seit dem Hackerangriff auf das Netz des Deutschen Bundestages und der Verabschiedung des Entwurfs eines IT-Sicherheitsgesetzes (wir berichteten darüber) ist das Thema Cybersicherheit in Deutschland in aller Munde. Da erscheinen die beiden Sicherheitsstudien von IBM zum passenden Zeitpunkt und erweitern die Diskussion um die Absicherung von IT-Systemen und Netzwerkern um neue Informationen: Etwa die Hälfte (55%) der Attacken stammt aus den Reihen von ehemaligen Angestellten, Dienstleistern mit Systemzugriff oder Mitarbeitern als Opfer von Kriminellen, so der Cyber Security Intelligence Index. Teilweise handeln diese Personen jedoch arglos oder die Schadsoftware gelangt etwa beim Klicken auf präparierte Links in Spam-E-Mails in das System. Um die Angriffsfläche durch derartige Insider zu verringern, kann ein durchgängiges Identitätsmanagement, also die Verwaltung von Benutzerdaten und damit die Zuordnung Zugriffsberechtigungen, bereits sicher helfen.
Der X-Force Threat Intelligence Report stellt heraus, dass daneben mit Schadsoftware infizierte Spam-Mails inzwischen eine echte Sicherheitsbedrohung darstellen. Der Bericht gibt Empfehlungen, wie solche Angriffe zu verhindern, oder zumindest zu verringern sind.
IBM identifizierte im Jahr 2014 in den beobachteten Unternehmen 81 Sicherheitsvorfälle (das sind rund 11% weniger als im Vorjahr), darunter rund 12.000 Cyberattacken (also Vorfälle, bei denen schadhafte Aktivitäten identifiziert werden konnten, bei denen ein Angriff auf das Netzwerk oder bestimmte Informationen versucht wurden). Die am meisten betroffenen Branchen sind Finanz- und Versicherungsdienstleister (über 25%), Informations- und Kommunikationsunternehmen (über 19%) und die herstellende Industrie (knapp 18%).
Hamburgs Datenschutzbeauftragter Johannes Caspar bleibt weitere sechs Jahre im Amt. Die Hamburgische Bürgerschaft hat Caspar Medienberichten zufolge mit einer Zustimmung von 89,5 Prozent gewählt. “Das ist ein gutes Wahlergebnis, das gibt Rückenwind für die nächsten sechs Jahre, die ja nicht leicht werden angesichts der vielen, vielen Baustellen”, so Caspar zu dem Wahlergebnis.
Caspar ist seit 2009 im Amt. Bundesweit ist er vor allem wegen seines Engagements für mehr Datenschutz rund um die Aktivitäten der Internetkonzerne Google und Facebook, die beide in Hamburg ihren deutschen Sitz haben, aufgefallen. Dabei ging es z.B. um das Abfotografieren ganzer Straßenzüge durch Google Streetview oder Gesichtserkennungsprogramme im sozialen Netzwerk Facebook.
3. Juni 2015
Mit der Eröffnung seines so genannten “Transparency Centers” in Brüssel erlaubt Microsoft nach der Eröffnug einer solchen Einrichtung in Redmond, USA auch in Europa Einblick in sein Allerheiligste, den Quellcode von Windows. Wie heise.de berichtet, sollen -unter strenger Bewachung- Experten der Regierungen mittels “statischer und dynamischer Tools” Analysen durchführen können.
Aus (deutscher) datenschutzrechtlicher Sicht ist dieser Vorgang vor allem deshalb interessant, weil im Rahmen von Auftragsdatenverarbeitungen die ergriffenen technischen und organisatorischen Maßnahmen (Anlage zu § 11 BDSG) vertraglich dokumentiert werden müssen. Da Microsoft-Produkte wohl in so gut wie allen Unternehmen zu finden sein dürften, könnten sich durch die Ergebnisse der Experten insoweit auch Anpassungsbedarf bei diesen Dokumentationen ergeben. Die früher üblichen Zertifizierungen nach Common Criteria EAL4+ sind nach Ansicht des BSI wegen gestiegener Komplexität jedenfalls nicht mehr einsetzbar.
Ob und inwieweit sich der nicht immer für seine Transparenz bekannte Microsoft-Konzern durch das “Transparency Centers” tatsächlich in Karte schauen lässt, bleibt abzuwarten.
Pages: 1 2 ... 129 130 131 132 133 ... 205 206 
