Schlagwort: Online-Datenschutz

Ranking: Die zehn größten Bedrohungen für die IT-Sicherheit

30. März 2015

Informationssicherheit bedeutet die Gewährleistung sowohl des Datenschutzes hinsichtlich personenbezogener Daten als auch des Schutzes von Geschäfts- und Unternehmensgeheimissen. Nahezu jegliche sensible Daten – seien sie privater oder geschäftlicher Natur – werden heutzutage digital erhoben, verarbeitet und genutzt. Entscheidend für den Schutz von Informationen sind daher mehr denn je Maßnahmen und Eigenschaften der IT-Sicherheit. Doch wovon gehen die größten Gefahren für die IT-Sicherheit aus?
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat unter Bezugnahme auf einen entsprechenden Report der European Network and Information Security Agency gerade ein Ranking der zehn größten Gefahren für die IT-Sicherheit erstellt:

1. Demnach sind es Trojaner und Würmer, die der IT-Sicherheit am gefährlichsten werden. Malware also, die sich in Computersystemen bewegt, indem sie sich entweder selbst verbreitet oder an eine scheinbar nützliche Datei versteckt anhängt, um von dort aus sensible Daten zu übertragen oder infizierte E-Mails zu verschicken. 350.000 solcher IT-Schädlinge tauchen im Internet auf – pro Tag! Der BITKOM empfiehlt als Schutz nicht nur aktuelle Versionen von Anti-Viren-Programmen, sondern gibt den Expertenratschlag (insbesondere für Unternehmen und Organisationen) weiter, Abwehrmaßnahmen über Endgeräte hinaus auch in der Netzwerkarchitektur zu implementieren.
2. Platz zwei der Liste macht webbasierte Schadsoftware aus, die sich beim Aufrufen manipulierter Websites über veraltete Versionen von Plug-Ins wie Java, Flash oder den Acrobate Reader herunterlädt (sog. Drive-by-Downloads), um dann im infiltrierten System Viren und Co. alle Pforten zu öffnen. Allein im Jahr 2014 ließen sich 145 Millionen solcher Websites identifizieren. Schützen kann man sich laut BITKOM, indem man von solchen Plug-Ins stets nur die aktuellste Version verwendet.
3. Bronze geht an infizierte Websites und mobile Apps für Smartphones oder Tablets. Solchen werden Codes eingefügt, die u.a. sensible Login-Daten ausspähen können (sog. SQL-Injection). Man kann dem vorbeugen, indem im Browser Plug-Ins wie Java oder Flash deaktiviert werden, und man nur Schadsoftware-geprüfte Apps aus offiziellen App-Stores bezieht.
4. Platz 4: Botnetze – aus mehreren Computern bestehende Netzwerke, die der sog. Botmaster kontrolliert. Dieser kann Passwörter oder persönliche Daten ausspähen, über das Netzwerk Spam- oder Phishing-Mails versenden u.a. BITKOM rät Nutzern, aktuelle Software und die neueste Virenscanner inklusive Firewall zu verwenden. Informationen dazu unter http://www.botfrei.de.
5. Es folgen Denial-of-Service-Attacken (Angriffe zur Blockierung eines Dienstes). Dabei werden Webserver oder Internetdienste mit Datenpaketen überflutet, bis diese schließlich nicht mehr erreichbar sind. Ausgeführt werden solche Angriffe von einzelnen Computern oder auch Botnetzen (s. 4.).
6. Zwar insgesamt rückläufig, aber immer noch gefährlich: Spam. Diese unerwünschten E-Mails machen immerhin Dreiviertel des gesamten E-Mail-Verkehrs aus. E-Mails mit gefälschten Absendern werden dabei häufig infizierte Dateien oder ein Download-Link für Schadsoftware angehängt. Trotz Spam-Filtern der jeweiligen Provider, die potenziell gefährliche E-Mails aussortieren, ist Vorsicht geboten. Mails unbekannter Herkunft sollten nie geöffnet werden.
7. Ebenfalls um gefälschte E-Mails dreht sich auch das Phishing. Solche enthalten Links zu bekannten Websites, mit der Aufforderung, sich dort einzuloggen. U.a. mittels unbekannten Trojanern können Kriminelle dann die Identität der Opfer samt zugehörigen Zugangsdaten beispielsweise zum Online-Banking ermitteln. BITKOM hält die Nutzer an, E-Mails stets kritisch zu hinterfragen. So bitten Banken und andere Unternehmen ihre Kunden niemals per E-Mail, vertrauliche Daten im Netz einzugeben. Diese E-Mails oder solche mit unbekanntem Dateianhang sollten umgehend gelöscht werden.
8. Auch für technische Laien zu benutzen, und nicht zuletzt daher gefährlich sind Viren-Baukästen (sog. Exploit-Kits), mit denen sich verschiedenste Schadsoftware individuell entwickeln lässt.
9. Ausnahmsweise keine Gefahr aus dem Internet, sondern so analog wie vermeidbar ist der physische Verlust von Daten. Immer mehr mobile Endgeräte wie Notebooks, Tablets und Smartphones werden gestohlen oder gehen verloren. Vor allem sensible Daten sollten unbedingt so gesichert werden, dass in einem solchen Falle Dritte auf diese keinen Zugriff bekommen. Passwortgesicherter Zugang zu den Geräten und Datenverschlüsselung sind dabei unersetzbar. Geräte im Online-Modus können zudem auch per Remote-Zugriff bedient oder gesperrt werden, was vor allem für dienstlich genutzte Geräte vorab eingerichtet werden sollte.
10. Noch in die Top-Ten sortiert der BITKOM den Datenverlust als solchen ein. Beschreibt dieser wohl eher die Folge einer Cyber-Attacke oder des physichen Abhandenkommens von Daten, dürfte jedem Nutzer dennoch klar sein, was Datenverlust bedeuten kann: Verlust vertraulicher persönlich oder geschäftlich sensibler Informationen, Missbrauch von Kreditkartendaten, Konto-Abbuchungen im Online-Banking, Schädigung der individuellen oder Unternehmensreputation usw. usf.

Natürlich ist diese Liste nicht abschließend. Aber Anlass zur Frage bietet sie allemal: Wie sicher ist die IT-gestützte Verarbeitung von Daten in Ihrem Unternehmen vor Gefahren von außen?

Data Dealer: Spielerische Aufklärung zum Thema Onlinedatenschutz

30. Mai 2012

Ein kleines, nicht kommerziell arbeitendes Team aus Österreich möchte auf ungewöhnliche Weise Verständnis für die wirtschaftliche Bedeutung von (privatem) Onlinedatenschutz wecken. Dazu entwickeln sie das Browserspiel Data Dealer, in welchem der Spieler sich zum mächtigten Datenhändler aufschwingen soll. Getreut dem Untertitel “Legal, illegal, scheißegal” stehen dabei nicht ausschließlich gesetzeskonforme Methoden, die man sich als Datenschützer wünschen würde, zur Verfügung. Auch wenn die bereits erhätliche Demo durchaus auch als humoriges Spiel zu verstehen ist, verdeutlicht sie dennoch, wie aus personenbezogenen Daten Profit geschlagen wird. Das Spiel schafft es, ein grundlegendes Verständnis für den Wert der eigenen Daten zu vermitteln, ohne dabei allzu mahnend oder kulturpessimistisch zu wirken und könnte so auch eine Zielgruppe erreichen, für die Datenschutz bisher wenig relevant erscheint. Insofern ist das große mediale Echo, welches diesem kleinen Projekt zuteil wird, verständlich.

Apple und Facebook mit dem BigBrotherAward 2011 “ausgezeichnet”

6. Mai 2011

Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem “Oscar für Datenkraken” in der Kategorie “Kommunikation” ausgezeichnet.

Apple “verdiente” sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr “die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen”. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.

Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die “gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots” kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, “Handy-App” oder dem “Gefällt-mir”-Button eine “„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden” und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.

Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, “dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.”

Auf Grund dieser Kritik hat Google mittlerweile die Funktion “_anonymizeIp()” hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die “_anonymizeIp()” Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion “_anonymizeIp()” zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)

Pages:  1 2
1 2