datensicherheit.de Informationen zu Datensicherheit und Datenschutz
Datensicherheit und Datenschutz im Überblick
http://https://www.datensicherheit.de
Black-Hat-Umfrage: Wahlhacks als möglicher Auftakt für einen Cyberkrieg
78 Prozent der Sicherheitsexperten halten ein entsprechendes Szenario für denkbar / 88 Prozent sagen, dass die Regierung nicht genug unternimmt, um Hacker vor Eingriffen in zukünftige Wahlen abzuschrecken [datensicherheit.de, 21.09.2017] Venafi® veröffentlicht die Ergebnisse einer Umfrage unter 296 IT-Sicherheitsfachkräften zu Cyberangriffen auf elektronische Wahlprozesse. Die Untersuchung wurde unter Besuchern der Black Hat-Konferenz durchgeführt, die vom 22. – 27. Juli 2017 in Las Vegas stattfand. Laut ihren Antworten glauben IT-Sicherheitsfachkräfte, dass die Auswirkungen von Cyberangriffen auf Wahlen darüber hinaus das Vertrauen in demokratische Prozesse schwächen. 78 Prozent der Befragten gaben an, dass sie es als einen Cyberkriegsakt betrachten würden, wenn ein Staat die Wahl eines anderen Staats hackt oder versuchen würde, diese zu hacken. Nachrichtendienste haben herausgefunden, dass Nationalstaaten bereits weltweit Wahlprozesse im Visier haben, unter anderem in den USA. Ein Bericht der National Security Agency (NSA) zeigte kürzlich, dass Russland bereits vor den Präsidentschaftswahlen 2016 VR Systems angegriffen hat, einem Anbieter für Wahlmaschinen in der USA. © Venafi Jeff Hudson, CEO von Venaf „Eine Kriegshandlung ist als eine Handlung eines Landes gegen ein anderes Land definiert, die den Frieden unmittelbar gefährdet“, sagt Jeff Hudson, CEO von Venafi. „Der Versuch, eine Wahl zu hacken, kann daher leicht als Cyber-Kriegshandlung verstanden werden. Die Absicht dahinter ist es, die Grundlage der Regierung zu destabilisieren, die für den Schutz des Landes verantwortlich ist. Wahlen sind bereits das Ziel von Cyberangriffen und die potentiellen Auswirkungen eines Wahlhacks dürfen nicht unterschätzt werden. Böswillige Akteure haben die notwendigen Fähigkeiten, um Wahldatenbanken zu verändern, Stimmauszählungen zu verzögern und das Vertrauen in den Wahlprozess zu untergraben.“ Weitere Ergebnisse der Umfrage von Venafi sind: 88 Prozent sagen, dass die Regierung nicht genug unternimmt, um Hacker vor Eingriffen in zukünftige Wahlen abzuschrecken. 60 Prozent sind besorgt, dass Cyberangriffe die Wahlergebnisse verändern können. Über ein Viertel (27 %) glaubt, dass über solche Angriffe bereits Wahlergebnisse manipuliert wurden. Wahlmaschinen sind lukrative Ziele für Cyberkriminelle und staatliche Angreifer. Unglücklicherweise haben viele von ihnen Schwachstellen, die leicht ausgenutzt werden können. So konnten zum Beispiel die Teilnehmer der DEF CON 2017 innerhalb von 24 Stunden Schwachstellen in fünf unterschiedlichen Wahlmaschinen-Typen finden und ausnutzen. Weitere Informationen zum Thema: Venafi Blog, 08.08.2017 Voting Machine Hacks: Attacks on SSL and Certificate Trust May Break Elections The post Black-Hat-Umfrage: Wahlhacks als möglicher Auftakt für einen Cyberkrieg appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Informationsmanagement braucht Führung
Erfolgreich den digitalen Wandel gestalten von unserem Gastautor Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH [datensicherheit.de, 21.09.2017] Mehr noch als im privaten Bereich hat die digitale Transformation in der Wirtschaft hohe Erwartungen bei der Wertschöpfung geweckt, wie die gewinnbringende Nutzung von Informationen. Firmendokumente wie Verträge, Personalakten oder Kundendaten enthalten jedoch sensible Daten, die gesetzlichen Vorgaben wie Datenschutz-Regelungen oder Aufbewahrungsfristen unterliegen. Den wachsenden digitalen Dokumentenbergen, die verwaltet, sicher verwahrt und vernichtet werden müssen, steht in deutschen Unternehmen oft noch ein zu wenig ausgereiftes Informationsmanagement gegenüber, wie eine Studie von Iron Mountain [1] gezeigt hat. Angesichts der Herausforderungen aufgrund der gesetzlichen Neuregelungen durch die EU-Datenschutz-Grundverordnung (EU-DS-GVO), die ab Mai 2018 anwendbar wird, ist daher sofortiges Handeln angezeigt. Mangelhafte Informationsmanagement-Prozesse bergen für Unternehmen erhebliche Risiken, wie etwa rechtliche Konsequenzen, die mit deutlichen Strafzahlungen verbunden sind, oder ein drohender Vertrauensverlust gegenüber den Kunden. Was aber können und müssen Unternehmen unabhängig von ihrer Größe tun, um mehr Kontrolle über ihre Informationsmanagement-Prozesse zu erlangen? Wie lassen sich Informationen im Unternehmen besser verwalten? Eine strategische Herangehensweise bildet die Voraussetzung, um erfolgreich Wert aus Information schöpfen zu können und den hohen Erwartungen an die Digitalisierung ein Stück näher zu kommen. Informationsmanagement: Wunsch und Wirklichkeit Tatsächlich sind die Herausforderungen, denen deutsche Unternehmen derzeit beim Informationsmanagement gegenüber stehen, groß. In 44 Prozent der befragten Unternehmen wird laut der Studie die diesbezügliche Praxis den geschäftlichen Anforderungen und denen der Kunden nicht oder nur teilweise gerecht. Drastisch gesagt: In nahezu jedem zweiten Unternehmen besteht in Sachen Informationsmanagement noch erheblicher Nachholbedarf. Das gilt umso mehr, weil jeder zweite leitende Angestellte (49 Prozent) beklagt, dass die sichere Verwaltung digitaler Informationen, also Speicherung, Analyse und Zugriff, in den vergangenen fünf Jahren schwieriger und komplexer geworden sei. Das Interessante ist: jeder Dritte (36 Prozent) vertritt diesbezüglich genau die gegenteilige Meinung. Bild: Iron Mountain Deutschland GmbH Studie: Informationsmanagement, Iron Mountain Deutschland Diese Zahlen verdeutlichen die Schwierigkeiten, denen sich Unternehmen gegenübersehen, wenn es um die Implementierung oder Optimierung der Prozesse geht. Zudem versäumen es viele dabei, Richtlinien leicht umsetzbar und verständlich zu gestalten sowie ihre Mitarbeiter in puncto Informationsmanagement auf sinnvolle Weise einzubinden und vorzubereiten. Nicht jede Branche ist sich dieser Defizite gleich stark bewusst. So gab etwa die Hälfte der Befragten aus Pharmazeutik (50 Prozent), verarbeitendem Gewerbe (48 Prozent) und Versorgungsbetrieben (45 Prozent) an, dass die aktuellen Informationsrichtlinien den geschäftlichen Anforderungen nur teilweise gerecht würden. Dagegen waren zwei von drei befragten Führungskräften, ganze 64 Prozent, aus den Bereichen Technik/Ingenieurswesen der Meinung, die Richtlinien erfüllten die Anforderungen bereits voll und ganz. Mit Blick auf die digitale Informationsmanagement-Praxis ergab die Umfrage, dass in fast jedem dritten Unternehmen (29 Prozent) bislang noch gar keine digitalen Workflows definiert wurden. Fraglich bleibt hier, wie eventuell bestehende Mängel angegangen werden sollen, da ein Drittel der Unternehmen (33 Prozent) keine diesbezüglichen Veränderungen plant. Auch wenn die Studie ergab, dass Papierdokumente insgesamt besser verwaltet werden, so zeigen sich doch auch hierbei Defizite: Denn in drei von zehn Unternehmen (29 Prozent) werden die Papierakten im Keller aufbewahrt, wo unter Umständen geschäftskritische Dokumente einem erhöhten Risiko bei Feuer und Feuchtigkeit ausgesetzt sind. Bei jedem dritten Unternehmen (32 Prozent) werden Papierakten nicht zentral gelagert, sondern sind auf verschiedene Orte im Geschäftsgebäude verteilt. Das bedeutet nicht nur ein höheres Verlustrisiko. Der erschwerte Zugriff verhindert damit im schlimmsten Falle auch die Einhaltung von rechtlichen Vorgaben zur fristgerechten und vollständigen Löschung sensibler Daten, wie sie die neue EU-Datenschutz-Grundverordnung vorsieht. Compliance-gerechte Aufbewahrung: oft noch Fehlanzeige Betrachtet man die Prozesse im Detail, ergibt sich also ein durchwachsenes Bild beim Informationsmanagement in deutschen Unternehmen. Tendenziell scheinen die Mängel bei der Verwaltung digitaler Dokumente etwas größer zu sein: Die Studie zeigte, dass neun von zehn Unternehmen (90 Prozent) einen festgelegten Zeitplan für die Aufbewahrung von Papierdokumenten haben; dagegen ist das bei digitalen Dokumenten nur in acht von zehn Unternehmen der Fall (82 Prozent). 7 Prozent aller Unternehmen haben gar keine Vorgaben für die Aufbewahrung von Papierdokumenten, und sogar doppelt so viele (14 Prozent) besitzen keine für die Aufbewahrung von digitalen Akten. Mit der Anwendbarkeit der EU-Datenschutz-Grundverordnung (EU-DS-GVO) im Mai 2018 dürfte sich dieses Problem noch einmal zuspitzen. Die Studie ergab, dass fast jedes zweite Unternehmen (45 Prozent) aus diesem Anlass eine generelle Verschärfung der Bestimmungen erwartet. Dabei besteht vor allem bei der Einhaltung der Aufbewahrungsfristen von Dokumenten noch Luft nach oben. Derzeit sind sich 23 Prozent nicht sicher, ob die Beseitigung von Papierdokumenten den Unternehmensvorgaben entspricht, bei digitalen Dokumenten sind es sogar 29 Prozent. 11 Prozent der befragten Unternehmen haben sich noch keine Gedanken zu dem Thema EU-DS-GVO gemacht. Weitere 11 Prozent sehen sich schlicht nicht in der Lage, die Folgen für die Informationsmanagement-Strategie zu beurteilen. Dies legt nahe, dass sich die Mitarbeiter der Auswirkungen bei einer Nichteinhaltung der Vorgaben gar nicht bewusst sind. Dabei sollten allein die drohenden Sanktionen Motivationshilfe genug sein, hier rasch Abhilfe zu schaffen: Bis zu vier Prozent des Gesamtumsatzes eines Unternehmen kann die Verletzung der EU-Datenschutz-Grundverordnung zukünftig kosten. Bild: Iron Mountain Deutschland GmbH Die Studie zeichnet ein klares Bild: Die Zielsetzung dank digitaler Transformation mehr Wert aus den im Unternehmen vorhandenen Daten schöpfen zu können, wird derzeit bei einem viel zu großen Teil der deutschen Unternehmen aufgrund ihres mangelhaften Informationsmanagement noch verfehlt. So sehr dieser potenzielle Mehrwert in den Köpfen der Führungskräfte verankert sein mag, so sehr mangelt es noch an strategischen Prozessen, die in der Unternehmenskultur festgeschrieben sind. Der Weg zum Ziel – Anforderungen und Prozesse definieren, zudem: Bewusstsein fördern Eine aktive Beschäftigung mit dem Thema Informationsmanagement ist spätestens jetzt für jedes Unternehmen überlebensnotwendig. Am Beginn steht dabei die Kenntnis der jeweils aktuellen rechtlichen Grundlagen. Der Datenschutzbeauftragte scheint für diese Funktion die ideale Position in der Unternehmensorganisation zu sein. Doch bei 13 Prozent der deutschen Unternehmen gibt es hier statt eines kompetenten Ansprechpartners leider noch eine klaffende Lücke in den Organigrammen, die es zu füllen gilt. Um ein rechtskonformes und konsistentes Informationsmanagement zu etablieren, das sich an den jeweiligen Geschäftsanforderungen ausrichtet, können Unternehmen, denen es an entsprechenden Ressourcen mangelt, auf externe Dienstleister zurückgreifen. Die Formulierung rechtskonformer, leicht verständlicher und einhaltbarer Richtlinien ist die Voraussetzung dafür, dass sich Informationsmanagement-Prozesse einfach in die Unternehmensroutinen integrieren lassen. Falls noch nicht geschehen, sollten alle Mitarbeiter eine entsprechende Schulung zum Informationsmanagement im Unternehmen erhalten: Angefangen beim grundlegenden Verständnis der rechtlich Vorgaben, z.B. Löschfristen, bis hin zur praktischen Umsetzung wie dem Sperren des Computerbildschirms in Abwesenheit und der regelmäßigen Änderung von Passwörtern. Der Umgang mit Informationen sollte regelmäßig Thema im Unternehmen sein, damit sich alle Mitarbeiter über die für sie relevanten Änderungen auf dem Laufenden halten können und den Mitarbeitern der Wert von Informationen bewusst bleibt. Insbesondere Führungskräfte sind bei diesem Thema gefordert, mit gutem Beispiel voran zu gehen und ein verbindliches, Compliance-gerechtes Verhalten vorzuleben. Unternehmen sollten die Digitalisierung als Chance begreifen und rechtzeitig eine Best-Practice-Kultur beim Informationsmanagement etablieren: Schlüsselqualifikationen für ein erfolgreiches Informationsmanagement bilden dabei die Erfüllung der Anforderungen, die Vereinfachung von Prozessen, die Erhöhung von Mitarbeiter-Kenntnissen diesbezüglich und die Förderung der entsprechenden Unternehmenskultur. So können Informationen rechtssicher verwaltet und angesichts der Digitalisierung Wert aus Ihnen geschöpft werden. Weitere Informationen zum Thema: [1] Die Umfrage wurde im Auftrag von Iron Mountain von Arlington Research durchgeführt. Dabei wurden insgesamt 512 leitende Angestellte in Unternehmen mit einer Mitarbeiterzahl von 250 bis mehr als 2000 Angestellten in Deutschland befragt. Die Teilnehmer stammten aus den Bereichen Rechtswesen, Finanzwesen, Versicherung, Pharmazeutik, verarbeitendes Gewerbe, Versorgungsbetriebe und Technik/Ingenieurwesen mit führenden Positionen in IT, Einkauf, Verkauf, HR, Finanzen sowie Datenschutzbeauftragten. Die Umfrage basiert auf Online-Interviews, die im Oktober 2016 durchgeführt wurden. Eine umfassende Zusammenfassung der Forschungsergebnisse findet sich unter: http://www.ironmountain.de/informationsmanagement-studie   The post Informationsmanagement braucht Führung appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt
Identitätsdiebstahl und schlechte interne Sicherheitsmaßnahmen haben Konsequenzen [datensicherheit.de, 20.09.2017] Gemalto gibt heute die neusten Erkenntnisse des Breach Level Index bekannt. Insgesamt wurden im ersten Halbjahr 2017 918 Datenschutzverletzungen und entwendete 1,9 Milliarden Datensätzen weltweit registriert. Im Vergleich zur zweiten Jahreshälfte 2016 nahm die Anzahl verlorener, gestohlener oder gefährdeter Informationen um 164 Prozent zu. Ein großer Anteil davon entstand durch die 22 größten Datenschutzverletzungen, die jeweils mehr als eine Million gefährdete Datensätze umfassen. Bei mehr als 500 der 918 Datenschutzverletzungen (59 Prozent) sind die Anzahl der gefährdeten Datensätze unbekannt oder ungeklärt. Der Breach Level Index ist eine weltweite Datenbank, die Datenschutzverletzungen verfolgt und den Schweregrad basierend auf mehreren Angaben berechnet. Hierzu werden unter anderem die Anzahl der gefährdeten Datensätze, die Art der Information, die Quelle der Datenschutzverletzung, der Einsatzzweck und der Einsatz von Verschlüsselung als Bewertungsfaktoren herangezogen. Indem jedem Incident ein Schweregrad zugeteilt wird, erstellt der Breach Level Index eine vergleichende Liste von Datenschutzverletzungen und Sicherheitsvorfällen mit Datenabluss, die nicht so schwerwiegend waren gegenüber denen die große Auswirkungen hatten. Laut des Breach Level Index wurden, seitdem der Index im Jahr 2013 mit dem Benchmarking öffentlich bekannter Datenschutzverletzungen begonnen wurde, mehr als 9 Milliarden Datensätze gefährdet. Während der ersten Jahreshälfte 2017 wurden täglich mehr als zehn Millionen Datensätze gefährdet oder preisgegeben, das sind 122 Datensätze pro Sekunde, darunter auch medizinische Daten, Kreditkartendaten und/oder Finanzdaten sowie personenbezogene Informationen. Dies ist besonders besorgniserregend, da weniger als 1 Prozent der gestohlenen oder gefährdeten Daten verschlüsselt waren, um die Informationen nutzlos zu machen; das stellt einen Rückgang von vier Prozent im Vergleich zur zweiten Jahreshälfte 2016 dar. Bild: Gemalto Jason Hart, Vice President und Chief Technology Officer for Data Protection bei Gemalto „Die IT-Beratung CGI und die Fachzeitschrift Oxford Economics zeigten in einer Studie, dass der Aktienkurs von zwei Drittel der Firmen, die eine Datenschutzverletzung erlitten, gesunken ist. Die Anteilsinhaber der 65 ausgewerteten Unternehmen verloren durch die Datenschutzverletzung 52,40 Milliarden US-Dollar“, sagt Jason Hart, Vice President und Chief Technology Officer for Data Protection bei Gemalto. „Wir können davon ausgehen, dass diese Zahl deutlich ansteigt, besonders, da Regierungsbestimmungen in den USA, Europa und anderen Gebieten Gesetze erlassen, um die Privatsphäre und die Daten ihrer Staatsbürger zu schützen, indem dem unsachgemäßen Schutz von Daten ein finanzieller Wert beigemessen wird. Sicherheit ist keine reaktive Maßnahme mehr, sondern eine Erwartung der Unternehmen und Verbraucher.“ Primäre Quellen für Datenschutzverletzungen Außenstehende mit böswilligen Absichten machten den größten prozentualen Anteil der Datenschutzverletzungen aus (74 Prozent), ein Anstieg von 23 Prozent. Diese Quelle war jedoch nur für 13 Prozent aller gestohlenen, gefährdeten oder verlorenen Datensätze verantwortlich. Während Außentäter für 8 Prozent aller Datenschutzverletzungen verantwortlich sind, geht eine großere Bedrohung durch Fahrlässigleit und Innentäter aus. Insgesamt gibt es 20 Millionen gefährdete Datensätze; dies stellt einen Anstieg von 4.114 Prozent im Vergleich zu den vorherigen sechs Monaten (500.000) dar. Hauptarten der Datenschutzverletzungen Während der ersten sechs Monate des Jahres 2017 war der Identitätsdiebstahl die häufigste Art der Datenschutzverletzung nach Vorfall: 74 Prozent aller Datenschutzverletzungen sind Identitätsdiebstähle, während es im vorherigen Halbjahr nur 49 Prozent waren. Eine Steigerung um 255 Prozent. Die bedeutendste Umschichtung fand im Bereich der Störangriffe statt, welche 81 Prozent aller durch Datenschutzverletzungen verlorene, gestohlene oder gefährdete Daten ausmachten. Die Anzahl der Störungen lag allerdings nur knapp über 1 Prozent der Gesamtanzahl aller Datenschutzverletzungen. Die Anzahl gefährdeter Datensätze als Folge von unbefugtem Zugriff ging um 46 Prozent zurück, nachdem im BLI-Bericht für das ganze Jahr 2016 eine deutliche Spitze zu erkennen war. Die größten von Datenschutzverletzungen betroffene Branchen Die meisten Branchen im Breach Level Index verzeichnen einen Anstieg von mehr als 100 Prozent bei der Anzahl gefährdeter, gestohlener oder verlorener Datensätze. Im Bereich Ausbildung und Erziehung verzeichnete man den größten Zuwachs an Datenschutzverletzungen (103 Prozent) und mehr als 4.000 Prozent bei der Anzahl der Datensätze. Dies ist die Folge eines böswilligen Angriffs eines Insiders, der Millionen von Datensätzen aus einer der größten Schulungsunternehmen für umfassende private Bildung in China gefährdet hat. Im Gesundheitssektor gibt es eine ähnliche Anzahl an Datenschutzverletzungen wie im letzten Halbjahr 2016, aber die Anzahl der gestohlenen, verlorenen oder gefährdeten Datensätze stieg um 423 Prozent. Der britische National Health Service verzeichnete mit mehr als 26 Millionen gefährdeten Datensätzen eine der fünf größten Datenschutzverletzungen des ersten Halbjahres. Die Sektoren Finanzdienstleistungen, Regierung und Unterhaltung verzeichneten ebenfalls einen deutlichen Anstieg der Anzahl von Datenschutzverletzungen: die Unterhaltungsbranche verzeichnete einen Zuwachs von 220 Prozent im ersten Halbjahr 2017. Geografische Verteilung der Datenschutzverletzungen Die meisten aller Datenschutzverletzungen und Gefährdungen von Daten finden noch immer in Nordamerika statt (jeweils über 86 Prozent). Die Anzahl der Datenschutzverletzungen in Nordamerika stieg um 23 Prozent und die Anzahl der gefährdeten Informationen schoss um 201 Prozent in die Höhe. Nordamerika hatte seither mit der höchsten Anzahl öffentlich bekannter Sicherheitsvorfälle und damit verbundenen Zahlen zu kämpfen; dies wird sich vermutlich 2018 ändern, wenn weltweite datenschutzrechtliche Bestimmungen wie die Datenschutz-Grundverordnung (DSGVO) und der australische Privacy Amendment (Notifiable Data Breaches) Act in Kraft treten. Europa meldet derzeit nur 49 Datenschutzverletzungen (5 Prozent der Gesamtanzahl), was einen Rückgang um 35 Prozent im Vergleich zu den vorherigen sechs Monaten darstellt. The post Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Malware im Google Play Store entdeckt
Millionen Infektionen durch ExpensiveWall und DU Antivirus Security [datensicherheit.de, 20.09.2017] Check Point® Software Technologies Ltd. hat zwei verschiedene Arten von Malware im Google Play Store entdeckt. Expensive Wall infizierte 50 Apps im Google Play Store, DU tarnte sich als Antivirus Software, um Nutzerdaten unbemerkt zu sammeln und zu teilen. ExpensiveWall ist eine Android Malware, die betrügerische SMS-Nachrichten verschickt und Nutzerkonten mit fälschlich gebuchten Services belastet. Diese Schadsoftware wurde inzwischen zwischen 1 und 4,2 Millionen Mal heruntergeladen und wurde auf über 50 Apps gefunden. Die Programme wurden inzwischen entfernt, die Infektionen auf den Geräten bleiben jedoch aktiv. Der Name „ExpensiveWall“ geht auf eine der versuchten Apps namens „Lovely Wallpaper“ zurück. Diese Malware basiert auf einem Update von Schadcode, der bereits zu Beginn des Jahres im Google Play Store gefunden wurde. Alle Varianten der Malware-Familie wurden bereits zwischen 5,9 und 21,1 Millionen Mal heruntergeladen. Check Point hat Google am 7. August über die Schadsoftware informiert und die Apps wurden sofort vom Play Store verbannt. Die DU Antivirus Security App sammelt unbemerkt Nutzerinformationen und sendet diese ohne die Zustimmung des Nutzers einzuholen weiter. Laut Informationen von Google Play Data wurde der Schädling bereits zwischen 10 und 50 Mal heruntergeladen. Sobald die kostenlose App auf den Smartphones installiert wurde, beginnt sie beispielsweise damit Kontaktliste, Anrufliste und den Standort des Geräts auszulesen. Diese Informationen werden dann verschlüsselt und zu einem Server außerhalb des Netzwerks automatisch verschickt. Check Point hat dieses Verhalten analysiert und Google am 21. August darüber informiert. Die App wurde umgehend aus dem Play Store entfernt und am 24. August durch eine neue Version ersetzt. © Check Point Maya Horowitz, Threat Intelligence Group Manager bei Check Point „Unternehmen müssen auf der Hut sein: Unbekannte Bedrohungen und etablierte Malware-Familien sind eine ernste Gefahr. Gerade Zero-Day-Angriffe werden immer alltäglicher“, sagt Maya Horowitz, Threat Intelligence Group Manager bei Check Point. „Daher sollten Organisationen auf mehrschichtige Sicherheitskonzepte setzen, die für unterschiedliche Angriffsszenarien gerüstet sind.“ Weitere Informationen zum Thema: blog.checkpoint.com, 18.09.2017 Does your mobile anti-virus app protect or infect you? The truth behind DU Antivirus Security blog.checkpoint.com, 14.09.2017 ExpensiveWall: A dangerous ‘packed’ malware on Google Play that will hit your wallet   The post Malware im Google Play Store entdeckt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Innentäter bedrohen Unternehmenssicherheit
Kommentar von Sergej Schlotthauer, CEO von EgoSecure [datensicherheit.de, 20.09.2017] Sergej Schlotthauer, CEO von Egosecure kommentiert die Bedrohung der Unternehmenssicherheit durch sogenannte Innentäter: „Während Unternehmen ihren Fokus beim Thema IT-Sicherheit vor allem auf Angriffe von außen legen, unterschätzen viele Verantwortliche die Gefahr, die von den eigenen Reihen ausgeht. Zu selten finden sogenannte Innentäter den Weg in die Medien, während über folgenschwere Malware- und Ransomware-Attacken nahezu täglich berichtet wird. Organisationen jeder Größe sollten bei ihrer Sicherheitsstrategie stets das Gefährdungspotenzial, das von den eigenen Mitarbeitern ausgeht, im Blick haben. Dabei muss es sich gar nicht um böswillige Angriffe handeln, auch völlig unbeabsichtigt oder aus Bequemlichkeit können Sicherheitsvorgaben missachtet werden, was Datenverluste und immense Schäden für das Unternehmen zur Folge haben kann. Auch die Manipulation einzelner Teammitglieder durch sogenannte Social-Engineering-Techniken kann den Verlust von wichtigen Passwörtern und Zugriffsrechten bedeuten. Somit ist der unerlaubte Zutritt ins Firmennetzwerk, geschützt von der digitalen Identität des Innentäters, ein Leichtes für Kriminelle. Bild: EgoSecure Sergej Schlotthauer, CEO von EgoSecure Wie eine aktuelle Studie des SANS Instituts deutlich macht, ist das Bewusstsein für Insider-Angriffe bei einigen Entscheidern bereits vorhanden, 40 Prozent der Befragten stufen eine Insider-Attacke als gefährlich ein, dennoch sind zu wenige Firmen vor Innentätern gewappnet. Lediglich 18 Prozent haben im Falle einer Insider-Bedrohung einen Incident-Response-Plan zur Hand. Den Umfrageergebnissen zufolge haben 62 Prozent der Studienteilnehmer noch keinen internen Angriff erlebt. Dies lässt sich jedoch auch auf eine geringe Sichtbarkeit zurückführen und könnte offenbaren, dass ein Insider-Angriff gar nicht identifiziert werden kann. Mit umfassenden Data Protection Lösungen sind Unternehmensdaten effektiv geschützt, auch bei Angriffen, die von eigenen Mitarbeitern verübt werden. Hierbei punkten Anwendungen, die die Analyse des Datenflusses mit geeigneten Schutzmaßnahmen kombinieren, denn nur wer die datenschutzrelevanten Vorgänge im Firmennetzwerk kennt, kann den individuellen Schutzbedarf ermitteln und Maßnahmen effizient einsetzen. Mit Hilfe von Schutzfunktionen wie Access Control, Application Control und Device Management lässt sich klar definieren, wer welche Anwendungen, Devices und Schnittstellen in welchem Umfang nutzen darf. Dadurch lässt sich das Missbrauchsrisiko einschränken. Ein Unternehmen sollte zudem in der Lage sein, die Datenflüsse mit Hilfe einer Audit-Funktion detailliert sichtbar zu machen – natürlich ohne dabei das Recht der Arbeitnehmer auf Datenschutz einzuschränken. Idealerweise wird das Audit-Modul durch eine intelligente Komponente ergänzt. Bei auftretenden Anomalien, wie dem Abzug ungewöhnlich großer Datenmengen, lässt sich die Schwachstelle identifizieren und eine Reaktion kann sofort erfolgen. Auf Grundlage eines vorher festgelegten Regelwerks werden Schutzreaktionen dann automatisch ausgelöst.“ Weitere Informationen zum Thema SANS Institute Insider Threat Survey The post Innentäter bedrohen Unternehmenssicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht
Forscher der Ben-Gurion-Universität warnen vor Missbrauch [datensicherheit.de, 19.09.2017] Forscher der Ben-Gurion-Universität des Negev (BGU) konnten nach eigenen Angaben zeigen, dass mit Malware infizierte Überwachungskameras verdeckte Signale empfangen können, um dann vertrauliche Informationen von den eigentlich dem Schutz von Einrichtungen dienenden Überwachungsgeräten preizugeben. „AIR-Jumper“-Technologie ermöglicht Netzwerk-In- und Exfiltration Mit dieser Methode können nach Ansicht der Forscher sowohl professionelle als auch „Home Security“-Kameras und sogar LED-Türklingeln, welche für das menschliche Auge nicht sichtbares Infrarot-Licht (IR) erkennen können, angegriffen werden. Gemäß einer neuen Untersuchung ermöglicht die von den Forschern „AIR-Jumper“ genannte Technik sogar die Schaffung einer bidirektionalen, verdeckten optischen Kommunikation zwischen durch einen „Air Gap“ getrennten internen Netzwerken, die aus isolierten und vom Internet getrennten Computer bestehen, welche der jeweiligen Institution keinen Fernzugriff ermöglichen. Angriff kann über Kilometer hinweg erfolgen Das „Cyber-Team“ unter der Leitung von Dr. Mordechai Guri, Leiter „Forschung und Entwicklung“ des „BGU Cyber Security Research Center“ (CSRC), kann demnach zeigen, wie IR verwendet werden kann, um einen verdeckten Kommunikationskanal zwischen der auf einem internen Computernetzwerk installierten Malware und einem externen Angreifer in einer Entfernung von mehreren hundert Metern oder sogar Kilometern aufzubauen – vorausgesetzt, dieser hält sich in einer ungestörten Sichtachse auf. Der Angreifer könne dann diesen Kanal verwenden, um Befehle zu senden und Antwortnachrichten zu empfangen. Malware kann Intensität des Infrarotlichts gezielt steuern Um sensible Informationen zu übermitteln, verwendet der Angreifer die IR-emittierenden LEDs der Kamera, die normalerweise für die Nachtsicht verwendet werden. Die Forscher hätten zeigen können, wie Malware die Intensität des IR kontrollieren kann, um mit einem entfernten Angreifer zu kommunizieren, der Signale mit einer einfachen Kamera empfangen könne – ohne dabei erkannt zu werden. Dann sei es dem Angreifer möglich, diese Signale aufzeichnen und zu decodieren, um empfindliche Informationen auszulesen. Optischer Zugang aus verschiedenen Richtungen und Winkeln der Umgebung Die Forscher haben zwei Videos aufgezeichnet, um diese Technik zu präsentieren: Das erste zeigt einen Angreifer Hunderte von Metern entfernt, welcher Infrarot-Signale an eine Kamera sendet. Das zweite Video zeigt die mit Malware infizierte Kamera, welche auf verdeckte Signale durch Exfiltrationsdaten reagiert – einschließlich Passwörter und ausgewählte Passagen des Buches „The Adventures of Tom Sawyer“. „Security“-Kameras seien einzigartig, weil sie „ein Bein“ innerhalb der Einrichtung hätten, verbunden mit den internen Netzwerken für Sicherheitszwecke, und „das andere Bein“ außerhalb der Einrichtung, speziell ausgerichtet auf den Öffentlichen Raum in der Umgebung, so Dr. Guri. Daher böten diese einen sehr bequemen optischen Zugang aus verschiedenen Richtungen und Winkeln. „Sesam öffne dich!“ – Befehl per Infrarot aus der Ferne Angreifer könnten diesen neuartigen, verdeckten Kanal auch verwenden, um mit Malware innerhalb der Einrichtung zu kommunizieren: Daten könnten infiltiert und verborgene Signale über die IR-LEDs der Kamera übertragen werden. Binärdaten wie Befehls- und Steuer-Meldungen könnten in dem von den Überwachungskameras aufgezeichneten Videostream ausgeblendet und von der im Netzwerk befindlichen Malware abgefangen und dekodiert werden. „Theoretisch können Sie einen Infrarot-Befehl senden, um einem Hochsicherheits-System zu befehlen, ganz einfach das Tor oder die Haustür zu Ihrem Haus zu entsperren“, sagt Guri. Weitere Informationen zum Thema: Cornell University Library, 18.09.2017 aIR-Jumper: Covert Air-Gap Exfiltration/Infiltration via Security Cameras & Infrared (IR) / Mordechai Guri, Dima Bykhovsky, Yuval Elovici Cyber Security Labs @ Ben Gurion University auf YouTube, 19.09.2017 hidden communication via security cameras Cyber Security Labs @ Ben Gurion University auf YouTube, 19.09.2017 leaking data via security cameras The post Infiltration per Überwachungskamera: Bösartige Angriffe mit Infrarotlicht appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Achtung Fans: Promis im Web gesucht – und Malware gefunden
Missbrauch bekannter Künstlernamen zum Anlocken von Opfern [datensicherheit.de, 19.09.2017] Justin Bieber gilt aktuell als Deutschlands gefährlichster VIP des Jahres 2017. Wenn nämlich deutsche Internetnutzer nach diesem bekannten Sänger suchen, landeten sie mit über zwölfprozentiger Wahrscheinlichkeit auf einer mit Malware verseuchten Website. Gefährlichste Deutsche auf der Liste sei in diesem Sinne die Schauspielerin Diane Kruger. Diese Erkenntnisse beruhen nach eigenen Angaben auf der inzwischen bereits zum elften Mal von McAfee untersuchten Gefahr, dass sich Geräte bei der Suche nach Prominenten im Internet mit Malware infizieren. Justin Bieber: Deutschlands „Most Dangerous Celebrity 2017“ Eine Internetsuche nach dem international bekannten Sänger ende oft auf einer mit Malware verseuchte Webseite. Als „gefährlichste Deutsche“ in diesem Zusammenhang stehe Schauspielerin Diane Kruger auf der Liste – der Star der deutschen Oscar-Hoffnung „Aus dem Nichts“ von Regisseur Fatih Akin. Über neun Prozent der Internetsuchen landeten hierbei auf gefährlichen Seiten. Aktuelle Ergebnisse der jährlichen McAfee-Studie Laut McAfee sind dies die „Top 9 der gefährlichsten Promis“ im Jahr 2017: „Justin Bieber“ „Katy Perry“ „Diane Kruger“ „Adele“ „Jennifer Lawrence“ „Caro Daur“ „Adel Tawil“ „Bushido“ Diese Ergebnisse zeigten besonders die Gefahr, im Internet nach Songs und Filmen zu suchen und diese illegal herunterzuladen. Cyber-Kriminelle wüssten, dass die Lieder von Stars wie Justin Bieber und Adel Tawil oder die Filme von US-Superstar Jennifer Lawrence gerne gesucht würden und nutzten diesen Umstand aus, um Verbraucher auf präparierte Seiten zu locken. Teure Folgen der Suche nach kostenlosen Dateien „Die Welt wird immer digitaler – da überrascht es nicht, dass viele immer sofort die neuesten Alben und Filme auf den eigenen Geräten haben wollen“, kommentiert Alexander Salvador, IT-Sicherheitsexperte bei McAfee. „Viele vergessen dabei aber schnell die Sicherheit und klicken ohne Vorsicht auf verdächtige Links. Internetnutzer sollten immer aufpassen, welche Seiten sie öffnen und welche Inhalte sie herunterladen“, rät Salvador. Wichtig sei auch, eine Sicherheitssoftware zu verwenden, um eigene Geräte zu schützen. Sicherheitstipps von McAfee: Die Fans sollten laut McAfee misstrauisch sein: Hacker wollen Nutzer dazu verführen, getarnte Schadprogramme auf den Rechner zu laden. Downloads sollten Nutzer deshalb nur von ihnen bekannten, vertrauenswürdigen Seiten zulassen. Viele Suchen nach Promis finden in Verbindung mit Wörtern wie „Musik“ oder „Film“ statt – so kommt besonders schnell Malware auf das eigene Gerät. bei MP3-Dateien vorsichtig sein: Die Suche nach kostenlosen MP3-Dateien endet verhältnismäßig am häufigsten auf infizierten Seiten. Nutzer müssen deswegen gerade hier besonders vorsichtig sein. angebliche VIP-Mails hinterfragen: Promis werden von Hackern auch gerne für Phishing-Angriffe verwendet. E-Mails mit Hinweisen auf exklusive Storys, Bilder, Videos – die oft auch einen Login oder persönliche Daten abfragen – sind fast alle gefälscht. einen Gefahren-Scout nutzen: „McAfee WebAdvisor“ z.B. als kostenlose Software untersucht Webseiten auf Spyware, Spam sowie Online-Betrug und warnt auch Fans von Promis vor dem Klick auf verseuchte Seite, Bilder oder Videos. Software-Schutz für alle Geräte installieren: Immer mehr Geräte begleiten unseren Alltag – die alle geschützt werden müssen. Umfassende Sicherheitslösungen wie z.B. „McAfee Total Protection“ können dabei helfen, die eigenen Geräte bei Malware- und Phishing-Attacken abzusichern und auch im Falle von Verlust und Diebstahl geschützt zu bleiben. The post Achtung Fans: Promis im Web gesucht – und Malware gefunden appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
SMS: Mobilfunkanbieter speichern sieben Tage lang auf Vorrat
Heftige Kritik an der „kleinen Vorratsdatenspeicherung“ [datensicherheit.de, 19.09.2017] Die im Arbeitskreis Vorratsdatenspeicherung zusammengeschlossenen Datenschützer, Bürgerrechtler und Internetnutzer kritisieren in einer aktuellen Stellungnahme, dass Mobilfunkanbieter wie z.B. Telekom, Vodafone und Telefonica neben Informationen über jegliche Verbindung auch jede verschickte SMS-Nachricht sieben Tage lang auf Vorrat speichern. Missbrauchen eines juristischen Schlupflochs Obwohl die SMS-Speicherung der „industrienahen“ Bundesnetzagentur seit Jahren bekannt sei, habe nur ein Netzbetreiber nach Mitteilung der Bundesregierung die Speicherung von SMS-Inhalten abgestellt. „Die Telekommunikationsunternehmen missbrauchen das Schlupfloch, mit dem die Politik eine siebentägige Vorratsdatenspeicherung zur ,Störungserkennung‘ zugelassen hat“, warnt Jens Kubieziel vom Arbeitskreis Vorratsdatenspeicherung. Eine Maskierung von SMS-Inhalten am Bildschirm von Kundendienstmitarbeitern als Schutzmaßnahme für private Nachrichten verkaufen zu wollen, sei „Augenwischerei“. „Die Bundesregierung belügt das Parlament, wenn sie behauptet, Ermittler und Geheimdienste hätten keinen Zugriff auf Daten aus der ,kleinen Vorratsdatenspeicherung‘. Bei der umstrittenen Funkzellenabfrage in Dresden beispielsweise wurden diese Daten ausdrücklich abgefragt“, sagt Kubieziel. Gegen anlasslose Speicherung von Verbindungsdaten und SMS protestieren! „Wir rufen alle Verbraucher auf, bei ihren Anbietern gegen die anlasslose Speicherung von Verbindungsdaten und SMS unter dem Deckmantel der ,Störungserkennung‘ zu protestieren“, so Kubieziel. Anstelle von SMS sollte man aus Sicherheitsgründen Apps wie „Signal“ nutzen – diese verschlüsselten die übertragenen Nachrichten. Laut Arbeitskreis Vorratsdatenspeicherung klagt Vodafone zurzeit vor dem Verwaltungsgericht, um die Details seiner Speicherpraxis geheim zu halten. Dieser Arbeitskreis ist nach eigenen Angaben ein Zusammenschluss von Bürgerrechtlern, Datenschützern und Internetnutzern, die sich in Zusammenarbeit mit weiteren zivilgesellschaftlichen Initiativen „gegen die ausufernde Überwachung im Allgemeinen und gegen die Vollprotokollierung der Telekommunikation und anderer Verhaltensdaten im Besonderen einsetzen“. Weitere Informationen zum Thema: AK Vorratsdatenspeicherung Stoppt die Vorratsdatenspeicherung! The post SMS: Mobilfunkanbieter speichern sieben Tage lang auf Vorrat appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
IT-Sicherheit: NIFIS veröffentlicht Wahlprüfsteine
Bündnis 90/die Grünen, CDU/CSU, Die LINKE, FDP und SPD haben zu Fragen der IT-Sicherheit, Strafverfolgung und zu künftigen Entwicklungen beantwortet [datensicherheit.de, 18.09.2017] Anlässlich der bevorstehenden Bundestagswahl am 24. September 2017 hat die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) Inhalte verschiedener Wahlprogramme zum Thema „IT-Sicherheit“ veröffentlicht. Befragt worden seien Parteien, die die fünf Prozent-Hürde auf Bundestagsebene in der Vergangenheit mindestens schon einmal überwinden konnten. Bündnis 90/die Grünen, CDU/CSU, Die LINKE, FDP und SPD haben sich demnach den verschiedenen Fragen zu IT-Sicherheit, Strafverfolgung und künftigen Entwicklungen gestellt. Einhelliger Tenor: Die Bedeutung der IT-Sicherheit ist „grundlegend“ (SPD), ihr werde eine „außerordentlich hohe Bedeutung“ (Bündnis 90/die Grünen) beigemessen. Die Parteien zur Verantwortung für Datenschutz Verantwortlich für den verlässlichen Schutz von Daten sind laut der Partei Bündnis 90/die Grünen Politik, Wirtschaft und Bürger, „in enger Kooperation und aufgrund klarer gesetzlicher Regelungen“. Auch Die LINKE und SPD stimmen dieser Aussage zu. Alle sollten sich „nach ihren Möglichkeiten beteiligen, Bedrohungen einzudämmen“ (Die LINKE), Politik und Wirtschaft müssen gemeinsam IT-Sicherheit sicherstellen“ (SPD). Lediglich die FDP sieht den „effektiven Schutz digitaler Netze und Systeme als staatliche Aufgabe ersten Ranges“. Für eine umfassende IT-Sicherheit wurde laut CDU/CSU das IT-Sicherheitsgesetz als „einheitlicher Mindeststandard für Betreiber kritischer Infrastrukturen (…)“ bereits geschaffen: „Ziel ist die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der (…) Bürger im Internet“ (CDU/CSU). Der Staat als Gefährder… Dennoch, so die FDP, würden „staatliche Stellen selbst die (…) Sicherheit gefährden“. Grund dafür sei ein oft gängiges Prozedere, Sicherheitslücken selbst zu nutzen, anstatt deren Beseitigung zu veranlassen. Die Frage, ob eine staatlich legitimierte Datensammlung sinnvoll wäre, spaltet die gesamte Parteienlandschaft. So ist Die LINKE überzeugt, dass „nur höchstmögliche Datensparsamkeit (…) eine Gewähr gegen Missbrauch von Daten“ biete. Auch Bündnis 90/die Grünen äußern sich gegenüber der Datenspeicherung kritisch, möchten „gezielt mit verhältnismäßigen Mitteln einige hundert Personen (…) überwachen“. Die SPD spricht sich dafür aus, „bei jeder Gesetzgebung technisch und rechtlich genau zu prüfen (…) ob und inwieweit eine Datenerhebung notwendig (und) verhältnismäßig (…)“ ist. Eine gegensätzliche Meinung vertritt die CDU/CSU: Daten als „Rohstoff der Zukunft“ möchte auch sie über die EU-Datenschutzgrundverordnung oder Verschlüsselung schützen. Dennoch, so die CDU/CSU: „Datensparsamkeit kann heute nicht mehr die generelle Verhaltens-Leitlinie sein“. Dieser Fokus würde die Chancen auf neue „Produkte, Dienstleistungen und Fortschrittsmöglichkeiten“ reduzieren. Strafverfolgung der Cyber-Kriminalität: Positionen der Parteien Im Zusammenhang mit erfolgreicher Cyber-Kriminalität gestaltet sich vor allem eine Strafverfolgung von Tätern im Ausland oft schwierig, nicht selten gar als unmöglich. Die LINKE geht davon aus, dass sich „Straftäter über die Nutzung von Infrastrukturen in nicht kooperationswilligen (…) Staaten (auch künftig) einer effizienten Verfolgung entziehen.“ Dass Strafverfolgung notwendig sei, bestätigen auch Bündnis 90/die Grünen, sehen diese aber nicht als „die vordringlichste und (…) effektivste Form des Umgangs mit Cyber-Kriminalität. Resilienz steht für uns im Vordergrund.“ Eine „abgestimmte Strategie zum Schutz von privaten Unternehmen und öffentlichen Einrichtungen“ fordert die FDP. „Europäische Fähigkeiten“ sollten dazu gebündelt werden. Die SPD plant nach eigenen Angaben, künftig „Strafverfolgungsbehörden besser aufzustellen“. Dazu sollten, so die SPD, auch Datenschutzbehörden „so ausgestattet werden, dass sie ihre Aufsichts- und Kontrollpflichten wirksam ausüben können“. Schon vor dem Schadensfall möchte die CDU/CSU eingreifen. Es bräuchte eine „stärkere Verantwortung der Hersteller, einwandfreie Software zu programmieren und kritische Sicherheitslücken schnell zu stopfen.“ Weitere Informationen zum Thema: NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V., 15.09.2017 NIFIS veröffentlicht Wahlprüfsteine: Parteien zum Thema „IT-Sicherheit“ The post IT-Sicherheit: NIFIS veröffentlicht Wahlprüfsteine appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **
Für alle Anwendungen nötig: Datenschutz als verlässliche Basis
Anwender wie Entwickler sollten gleichermaßen „Security by Design“ und eingebauten Datenschutz befördern [datensicherheit.de, 18.09.2017] Im Rahmen der „Sommerakademie 2017“ des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH) am 18. September 2017 in Kiel haben Experten mit den mehr als 400 Teilnehmern die heutige Technik-Nutzung, Effekte der Digitalisierung und die neue Welt des „Internet of Things“, wenn alle Geräte miteinander vernetzt sein können und sich austauschen, ohne einzelne Entscheidungen ihrer Nutzer abzuwarten, diskutiert. Erörtert wurde demnach, wie viel Datenschutz im „Smart Car“ oder in der „Smart City“ vorkonfiguriert sein muss, ob die Hersteller über die Datenschutz-Voreinstellungen bestimmen und ob sich der Staat einmischen muss… 1983 Begründung des Rechte auf informationelle Selbstbestimmung In seinem Grußwort führte Dr. Ulf Kämpfer, Oberbürgermeister der Landeshauptstadt Kiel, aus, wie wichtig das Zusammenspiel von Digitalisierung und Datenschutz sei. Die Wichtigkeit des für den Datenschutz zentralen Bundesverfassungsgerichtsurteils von 1983, in dem das Recht auf informationelle Selbstbestimmung begründet wurde, sei ihm schon als Kind deutlich geworden; später im Berufsleben habe Datenschutz natürlich auch dazugehört. Als Begründer der „Digitalen Woche Kiel“ sei er begeistert von dem Engagement so vieler Akteure: Das ULD mit 15 eigenen Veranstaltungen – neben der Sommerakademie – gehöre auch dazu. Viele Gründe für faktisch „informationelle Nichtbestimmung“ Marit Hansen, Leiterin des ULD und Landesbeauftragte für Datenschutz Schleswig-Holstein erläuterte, dass viele Gründe zu einer faktischen „informationellen Nichtbestimmung“ führen könnten: Überlastung, Bequemlichkeit, zu hoher Aufwand, Hilflosigkeit oder Resignation. Sie stellte die heutige Situation des „eingebauten Datenschutzes“ dar: Dieser sei leider keineswegs eine Selbstverständlichkeit, stattdessen seien Verkettbarkeit und Identifizierbarkeit in der Technik implementiert, gegen die sich Nutzende kaum wehren könnten. Als Beispiele nannte sie die „yellow dots“ (gelbe Punkte), die von den meisten Farbkopierern ohne Wissen der Nutzer in die gedruckten Seiten eingefügt werden und Informationen über Datum, Zeit und Seriennummer des Geräts enthalten. Obwohl dies schon im Jahr 2005 von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) bekannt gemacht worden sei, habe bisher niemand etwas dagegen unternommen. Im Sommer 2017 sei bekannt geworden, dass diese gelben Punkte dazu beigetragen haben sollen, eine Whistleblowerin zu enttarnen. Eine Rechtsgrundlage für das Eincodieren dieser Informationen sei nicht bekannt – die Hersteller seien vermutlich einem Wunsch der US-amerikanischen Sicherheitsbehörden nachgekommen. Ein Beispiel, in dem Nutzende gar nicht bestimmen könnten – und die meisten von diesen kennzeichnenden Punkten wohl noch nicht einmal wüssten. Ähnliches gelte für Metadaten in Office-Dateien und in Fotos, bei denen unwissentlich sensible Informationen weitergegeben werden könnten. Hansen kritisierte außerdem die Zumutung des Prinzips „Take it or leave it“ („Nimm es, wie es ist, oder lass es bleiben“), mit dem datenhungrige Apps auf dem Smartphone alle möglichen Zugriffsberechtigungen begehrten. Sich gegen zu weitgehende Zugriffe der Apps zu wehren, funktioniere allenfalls eingeschränkt – oft könne man die App dann nicht nutzen. Dies muss sich nach Auffassung der Landesdatenschutzbeauftragten dringend ändern – im Sinne einer fairen Digitalisierung und spätestens ab dem 25. Mai 2018 auch wegen der Anforderungen der Europäischen Datenschutz-Grundverordnung, die eingebauten Datenschutz und datenminimierende Voreinstellungen verlangt. Zivilisatorische Werte bleiben in eigener Verantwortung Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz und Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a. D., hat sich seit Jahrzehnten mit der Entwicklung des Datenschutzes beschäftigt. Er knüpfte an Erwartungen aus der Vergangenheit an den Datenschutz an: „Datenschutz soll sexy sein!“, kam aber zu dem Schluss, dass der Sex-Appeal des Datenschutzes immer noch begrenzt sei. Viele Nutzer machten sich mit der Installation von mit Mikrofonen ausgestatteten Lautsprecherboxen freiwillig zu Opfern großer Lauschangriffe – dies sei eine bereitwillige Selbst-Verwanzung der Privaträume. Ähnlich wie beim Umweltschutz gehe es auch beim Datenschutz um Nachhaltigkeit: Zivilisatorische Werte und Prinzipien, Demokratie, Freiheit des Individuums, verbriefte Grund- und Menschenrechte ließen sich in der Informationsgesellschaft nur bewahren, wenn wir ihre Durchsetzung als persönliche, technologische und gesellschaftliche Aufgabe begreifen, die sich nicht auf eine Behörde oder einen Datenschutzbeauftragten delegieren lassen. Datenschutz als Individualrechtsschutz bei Algorithmen unwirksam Die Forscherin Lorena Jaume-Pasalí von AlgorithmWatch wies darauf hin, dass Datenschutz als Individualrechtsschutz bei Algorithmen nicht wirke, um Diskriminierungen und andere unerwünschte Effekte zu verhindern. Vielmehr wäre ein kollektiver Ansatz erforderlich, der jedoch rechtlich und gesellschaftlich heutzutage unterentwickelt sei. Auch seien die Datenschutzbehörden nicht die richtigen Akteure, um Fairness der technischen Systeme zu gewährleisten. Selbst wenn kein Personenbezug vorläge, könnten Algorithmen gesellschaftlich wesentliche Auswirkungen haben. Best-Practice-Beispiele für Datenschutz durch Technik gefordert Susanne Dehmel vom Bitkom e.V. stellte aus Sicht der Wirtschaft drei Thesen auf: Datenschutz könne durch Voreinstellung die Selbstbestimmung des Nutzers nicht ersetzen. Niemand kaufe ein Produkt, nur weil der Datenschutz so gut sei – allerdings könnten Konsumenten durchaus auf ein Produkt verzichten, wenn IT-Sicherheits- und Datenschutzmängel bestünden. Das Prinzip „Viel hilft viel“ gelte nicht für Datenschutzerklärungen. Sie wünsche sich Best-Practice-Beispiele für Datenschutz durch Technik. „Privacy by Design“ muss schon am Anfang einer Entwicklung stehen! Frank Wagner, Deutsche Telekom AG, gab einen Einblick in die Datenschutz-Entwicklungen bei dem Telekommunikationsunternehmen. Datenschutz gehöre einfach dazu – wie bei einem Neuwagen, bei dem auch ein bestandener TÜV eine Selbstverständlichkeit sei. „Privacy by Design“ müsse schon am Anfang einer Entwicklung stehen. Wichtig seien nicht nur die Voreinstellungen – „Privacy by Default“ käme zu spät, wenn nicht schon die richtigen Design-Entscheidungen getroffen seien. Dazu solle man auch „out of the box“ denken: Statt z.B. einen Dienstleister einzuschalten, der bei verlorenen Handys eine Lokalisierung oder eine Löschung ermöglichen würde und dafür jederzeit auch bei der berechtigten Nutzung den Aufenthaltsort sehen und speichern könne, wäre dies auch möglich ohne Einbindung eines Dienstleisters – so hätten sie eine Lösung entwickelt, bei der im Fall des Verlusts des Handys eine Fernsteuer-SMS mit einem Kennwort von einem anderen Gerät abgesandt werden könne, um die Lokalisierung vorzunehmen. Datenschützer als „Agenten der Demokratie und der Freiheit“ Paul Nemitz, Leitender Beamter in der Generaldirektion für Justiz und Verbraucher der Europäischen Kommission, richtete seinen Appell zunächst an die Wirtschaft, weil seiner Ansicht nach mit Datenschutz viel Geld zu verdienen sei. Zudem gebe es aber auch viel Potenzial bei Anwendungen, die ohne personenbezogene Daten auskommen würden. Für die Umsetzung der Datenschutz-Grundverordnung könnten mit unternehmerischer Offenheit insbesondere zwei Arten von IT-Lösungen entwickelt werden: Zum einen Lösungen für Anwender, beispielsweise Dashboards für Unternehmen, um festzustellen und zu visualisieren, wo welche personenbezogenen Daten verarbeitet werden, zum anderen Prüftechniken für Behörden und die Zivilgesellschaft, um die Einhaltung der Datenschutzregeln überprüfen zu können. Alle, die sich mit Datenschutz beschäftigen, seien „Agenten der Demokratie und der Freiheit“. Neue Spielregeln auf Basis der EU-DSGVO gelten für alle In der sich anschließenden, von Barbara Körffer, der stellvertretenden Landesbeauftragten für Datenschutz Schleswig-Holstein, moderierten Podiumsdiskussion ging es um die Erwartungen an die Wirtschaft und an Datenschutzbehörden: Alle müssten nun die neuen Spielregeln, die sich mit der Datenschutz-Grundverordnung ändern würden, verwenden. Es böte sich an, dass Anwender ebenso wie Entwickler gleichzeitig „Security by Design“ und eingebauten Datenschutz voranbrächten. Transparenz sei auch bei Algorithmen vonnöten; die Datenschutz-Grundverordnung sehe aussagekräftige Informationen über die Logik vor. Weitere Informationen zum Thema: ULD Schleswig-Holstein Sommerakademie 2017: Herausforderung „Informationelle Nichtbestimmung“ datensicherheit.de, 31.07.2017 Datenschutz-Sommerakademie 2017 am 18. September in Kiel The post Für alle Anwendungen nötig: Datenschutz als verlässliche Basis appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.
** LINK **

Diese Texte sind Eigentum der oben genannten Autoren und Webseiten. Dieses Script ist lediglich ein Tool zum Anzeigen von RSS-Feeds, wobei die Daten in Echtzeit von der entsprechenden XML/RSS-Seite ausgelesen und angezeigt wird. Rss-Suche.eu Übernimmt weder Garantie für die Richtigkeit der Texte und Informationen, noch stehen diese Texte in irgendeinem Bezug zu RSS-Suche. Sie unterliegen den Rechten der jeweiligen Autoren.