Privates Surfen am Arbeitsplatz: Risiko Infizierung des Firmennetzwerk mit Schadsoftware und Viren
Auch wenn die private Nutzung des Internets am Arbeitsplatz für den Arbeitnehmer erlaubt ist, kann exzessive private Internetnutzung während der Arbeitszeit ein hinreichender Kündigungsgrund sein. Das Landesarbeitsgericht Schleswig-Holstein hat kürzlich entschieden (Az. 1 Sa 421/13), das auch eine Kündigung trotz einer langen Betriebszugehörigkeit von 21 Jahren rechtmäßig ist. Laut Medienberichten war einer der schwerwiegenden Gründe für dieses Urteil, das durch die Downloads des Arbeitnehmers das gesamte Firmennetzwerk einem erheblichen Sicherheitsrisiko ausgesetzt wurde um sich mit Schadsoftware und Viren zu infizieren.
-ck-

Mitarbeitersensibilisierung ist wichtig!
Oftmals sind die Sicherheitslücken im eigenen Unternehmen zu suchen. Der Mensch im Unternehmen stellt mit die größte Schwachstelle dar. Gefahren drohen ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen auf ihre Laptops kopieren oder unverschlüsselte mobile Endgeräte wie Festplatten, Notebooks und Speicherstifte verloren gehen.

Auch Unachtsamkeit bei zu schnell und unüberlegte Datenfreigabe, wie in dieser Woche laut Medienberichteten in einer Bank geschehen, können das Image eines Unternehmens sehr schaden. Ein Mitarbeiter einer Bank hatte sensible Kundendaten versehentlich an eine falsche E-Mail Adresse verschickt, anstatt an die interne Bank-Adresse. Glück im Unglück: Google löschte diesen E-Mail - Irrläufer. Diese peinliche Datenpanne ist behoben, doch das Ansehen des Unternehmens?

Nicht nur der Mensch, sondern auch technische und organisatorische Maßnahmen führen zum unfreiwilligen Verlust sensibler Daten. Der Schutz vor Viren und Trojanern, die Absicherung der Zugänge ins Unternehmensnetzwerk sollten unter anderem ein wesentlicher Bestandteil der unternehmensweiten IT - Security Vorkehrung sein.
Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Verdachtsunabhängiger Datenzugriff
Anonymisierungs-Netzwerke, wie das Verschlüsselungsnetzwerk Tor, sind für Anwälte, Journalisten usw. in totalitären Staaten ein wichtiger Schutz um sich anonym im Netz bewegen zu können. Doch scheinbar sind gerade diese Internetnutzer, die Verschlüsselungstechnologien einsetzen um sich im Netz unerkannt zu bewegen, für die NSA besonders interessant, denn wer anonym im Netz unterwegs ist hat wohl was zu verbergen.
Eine Recherche des WDR und NDR hat jetzt ergeben, das der in Deutschland betriebe Tor-Server mit Standort Nürnberg durch den US-Geheimdienst NSA angezapft und unzählige Nutzerdaten gezielt ausspioniert wurden. Wie jetzt bekannt wurde liegen den Fernsehsendern offenbar Teile des Quellcodes der Überwachungssoftware XKeyscore (XKS) vor, aus denen hervorgeht, das der US-Geheimdienst NSA die IP-Adresse des Tor-Servers eines Erlanger Studenten und die deutsche Adresse des Chaos Computer Clubs überwacht und die Verbindungen gespeichert.
Anhand der Abhörskandale durch den Geheimdienst der USA haben mehrere Internet-Anbieter mittlerweile Klage gegen den britischen Geheimdienst eingereicht – die Massenüberwachung muss beendet werden.
-ck-

Fehlende Sensibilität im Umgang mit der Schweigepflicht
Durch medienwirksame Enthüllungen von Datenskandalen hat sich das Bewusstsein in Unternehmen und der Bevölkerung für den Datenschutz gestärkt, doch nach wie vor fehlt in vielen Firmen eine effektive Datenschutzkultur. Oft weist die IT-Infrastruktur Mängel auf oder die Arbeitnehmer sind im Umgang mit personenbezogenen Daten nicht sensibilisiert.
In dieser Woche hat laut Medienberichten eine Krankenschwester Brasiliens Superstar Neymar bei seiner Ankunft in der Krankenhaus-Notaufnahme gefilmt und am Ende Ihres Clips in die Handy-Kamera gelacht. Dabei hatte Neymar sich ein Tuch zum Schutz vor den wartenden Fans vor über sein Gesicht gelegt. Die filmende Krankenschwester wurde entlassen, weil sie die Intimsphäre des Patienten verletzte.
Wie die Medien berichteten geschah in einer anderen Klinik ein ähnlicher Fall von Verletzung der Schweigepflicht und der Persönlichkeitsrechte eines Patienten. Eine Krankenschwester hatte von einem ihr anvertrautem Kind Fotografien auf ihrem Facebook-Profil veröffentlicht. Eine Einwilligung zur Veröffentlichung des Bildmaterials hatte sie sich von der Mutter nicht geben lassen.
Große und auch kleine Unternehmen werden immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente nicht an die Öffentlichkeit gelangen. Um jegliche Art von Datenschutzvorfällen vorzubeugen, erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen, eine Sensibilisierung des Personals, um nicht nur die sensiblen Unternehmensdaten zu schützen, sondern auch die ihnen anvertrauten sensiblen Benutzerdaten.
-ck-

Vernetzte Fahrzeuge: Klare Regeln zur Datennutzung gefordert
Laut der EU-Kommission sollen alle Neuwagen und leichte Nutzfahrzeuge ab 2015 mit dem lebensrettenden Notrufsystem eCall ausgerüstet werden. Diese Technik ruft bei schweren Unfällen automatisch die Notrufnummer 112 und übermittelt die Standortdaten, Fahrtrichtung und Autotyp des Kraftfahrzeuges an die Notrufzentrale. Dieses Notrufsystem kann Leben retten, doch dieser Minicomputer alarmiert nicht nur Rettungsdienste, er kann auch alle Daten zur Fahrweise des Fahrers speichern. Mittlerweile ist die Computertechnik im Auto so fortgeschritten, das auch über GPS und Internet Fahrzeugdaten übertragen und ausgewertet werden können. Die Erstellung eines Bewegungsprofils ist somit möglich. Versicherungsunternehmen bieten mittlerweile maßgeschneiderte Tarife anhand der digital erfassten Fahrzeugdaten wie Tempo, Beschleunigung oder Risikobereitschaft. In den USA wird zurzeit das Kennzeichen der Zukunft getestet. Digitale Nummernschilder werden per Funk mit den Behörden verbunden und zeigen für alle sichtbar an, ob das Auto gestohlen, die Versicherung nicht bezahlt oder der Führerschein eingezogen ist. Durch diese Computertechnik im Fahrzeug wird der Autofahrer immer und überall überwacht somit steigt das Gefahrenpotenzial des Datenmissbrauchs anhand dieser Bordcomputer.
Jetzt hat sich der Bundesjustiz- und Verbraucherschutzminister Heiko Maas (SPD) für den Datenschutz beim vernetzten Auto eingesetzt. Autofahrer müssen vor Bewegungsprofilen geschützt werden. Ob Fahrverhalten oder Aufenthaltsort, es darf kein gläserner Autofahrer entstehen, das Auto keine Datenkrake werden. Gesetzesänderungen zum Schutz der Bewegungsdaten und der Datensicherheit sollen auf dem Prüfstand.
-ck-

http://www.ceilers-news.de/serendipity/523-SCADA-Systeme-und-Industriesteuerungen
-auf-den-Sicherheitskonferenzen-ab-2012.html

Analoge Kommunikation als wirksame Spionageabwehr
Die seit Monaten anhaltenden Enthüllungen über Informations-Zugriffe des US-Geheimdienstes lässt als Spionageabwehr die mechanische Technik aus vergangener Zeit aufleben: Die gute alte und nicht elektronische Schreibmaschine, als Mittel gegen Datenspionage in der digitalen Welt – absolut abhörsicher.
Mittlerweile denkt der NSA-Untersuchungsausschuss über den Einsatz von Schreibmaschinen nach, um seine sensiblen Daten zu schützen. Denn die Nutzung von bislang abhörsicheren Krypton-Telefonen sowie Kommunikation per verschlüsselte Mail ist spätestens seit den Enthüllungen von Edward Snowden kein hundertprozentiger Schutz für sensible Dokumente. Auch Konzerne und Behörden rüsten teilweise wieder auf die alte Technik um.
Um sensiblen Daten zu schützen wurden in Russland von Ministerien und Geheimdiensten schon im vergangenen Jahr (2013) die Schreibmaschinen wieder eingeführt. Sensible Informationen – festgehalten per Schreibmaschine oder als handschriftliche Aufzeichnung - sind so vor digitaler Spionage geschützt. Ob Behörden und Unternehmen auch bald nachziehen und in Zukunft auf die gute alte Schreibmaschine setzen?
-ck-

Datenschutz im Urlaub
Schutzmaßnahmen für IT-Geräte, die mit in die Ferien gehen, sollten gerade in der Urlaubszeit oberste Priorität haben, damit die schönste Zeit des Jahres auch so bleibt und kein böses Erwachen erfolgt.
Mitgenommen werden sollten nur IT-Geräte die dringend benötigt werden, denn Diebe werden von teuren Laptops und Handys magisch angezogen. Nicht nur der materielle Verlust entsteht bei Diebstahl, es gehen meist auch private Daten verloren.
Mitgenommene Geräte sollten unbedingt vor Fremdzugriff geschützt werden. Sei es per Passwort oder PIN - Abfrage. Drahtlose Schnittstellen wie zum Beispiel Infrarot oder Bluetooth sollten nach kurzem Gebrauch sofort wieder deaktiviert werden.
Weitere Informationen zur Datensicherheit im Urlaub finden Sie auf unserer Seite im linken Navigationsfeld unter: Blossey beobachtet - Datenschutz im Urlaub.
-ck-

Sorgfaltspflicht im Unternehmen
Um eine Haftung zu vermeiden sind Unternehmer dazu verpflichtet den Junk-Ordner ihres E-Mail-Postfachs täglich zu kontrollieren, dies entschied (Urteil: 15 O 189/13) jetzt das Landgericht Bonn.
-ck-

Leichtfertiger Umgang mit persönlichen Daten im Gesundheitswesen
Wie die Medien berichten wird momentan in Schleswig-Holstein gegen einen Mediziner ermittelt, welcher schützenswerte Patientenunterlagen wie Berichte mit persönlichen Daten über Untersuchungen, Krankheitsgeschichten, Laborergebnisse, Rezeptkopien, Diagnosen usw. ungeschreddert in den Hausmüll entsorgt haben soll. Diese hochsensiblen Gesundheitsdaten waren scheinbar mindestens zwei Tage für jeden frei zugänglich. Laut Medienberichten wären die Unterlagen noch keinen Monat alt, obwohl die Aufbewahrungspflicht von den Akten zehn Jahre beträgt. Wie weit ein Verstoß gegen das Bundesdatenschutzgesetz und der ärztlichen Schweigepflicht vorliegt, wird nun geprüft.
Zur Zeit berichteten die Medien auch über einen ehemaligen Klinik-Komplex mit offen zugänglichen Räumen. Ein Bürger aus dem hessischen Neukirchen hat in dem leerstehenden Anwesen Patientenakten und Röntgenbilder, die immer noch ungesichert gelagert sind, entdeckt und im ehemaligen Chefzimmer unter anderem Bewerbung-Anschreiben vorgefunden.
Mittlerweile hat die hessische Datenschutzbehörde die Unterlagen in einen abgesicherten Raum innerhalb der Liegenschaft unterbringen lassen.
Solche Datenschutzpannen untergraben das Vertrauen zwischen Arzt und Patient.
-ck-

SEPA-Umstellung für Unternehmen und Vereine
Ab 1. August 2014 dürfen Unternehmen oder Vereine den Zahlungsverkehr per Überweisungen, Lastschriften nicht mehr im bisherigen Format mit Kontonummer und Bankleitzahl tätigen, sondern nur noch das europaweit einheitlichen Euro- Zahlungssystem SEPA (Single Euro Payments Area) verwenden. Die bisher verwendeten nationalen Kontonummern und Bankleitzahlen wurden durch einheitliche Formate ersetzt. Die IBAN wurde als neue europäische Kontonummer eingeführt und anstelle der bisherigen Bankleitzahlen die BIC (Bank Identifier Code = internationale Bankleitzahl). Ziel der Umstellung des Zahlungsverkehrs auf das SEPA-Verfahren ist, Bankgeschäfte ins Ausland günstiger und binnen eines Arbeitstages abzuwickeln, sowie Lastschriften auch grenzüberschreitend zu standardisieren und somit zu beschleunigen.
Für Unternehmen bleibt nicht mehr viel Zeit, um sich auf dieses neue Zahlungsverfahren einzustellen. Firmen sollten Ihre IT-Systeme prüfen, damit die neuen SEPA-Formate auch zur elektronischen Rechnungsabwicklung angewendet werden können.
Notfallpläne zur Vermeidung einer technischen Zahlungsunfähigkeit sind in den meisten Unternehmen nicht vorhanden, somit könnten Aussetzer im europaweiten Zahlungsverkehr entstehen.
Während Unternehmen die Umstellung auf den neuen Zahlungsverkehr vornehmen, versuchen Internetbetrüger durch Phishing-Mails oder über gefälschte Seiten mit Trojaner und Viren ihren Nutzen aus dieser Umstellung zu ziehen. Der Bundesverband deutscher Banken (BdB) warnt vor dieser neuen Betrugsmasche und rät zu besonderer Vorsicht im Umgang mit Kontodaten.
-ck-

USB-Schnittstelle: Schweres Sicherheitsrisiko aufgedeckt
Anhand der Sicherheitsproblemen durch die Nutzung und Datenübertragung mittels USB-Massenspeichern ist der Einsatz von mobilen Datenträgern in vielen Unternehmen auf spezielle Anwendungsgebiete beschränkt oder ganz verboten worden.
Wechseldatenträger wie externe Festplatten, Speicher-Sticks oder Universal Bus (USB)-Geräte wie Drucker, Tastatur, Digitalkameras, MP3-Player, usw. – alle diese Technik läuft über die USB-Schnittstelle.
Berliner Sicherheitsforscher haben nun schwere Schwachstellen bei Benutzung der USB-Schnittstellen aufgedeckt, die Gefahr ist viel größer als bislang bekannt. Alles was einen USB-Stecker hat, kann zur Cyber-Waffe werden, deren Abwehr praktisch unmöglich ist, so die Warnung des Berliner Sicherheitsforscher Karsten Nohl. Virenscanner könnten dieses umfassende Angriffskonzept nicht auffinden und selbst eine Neuinstallation aller Software auf den betroffenen Systemen würde nicht helfen, da der Schadcode nicht im Speicher sondern in der Firmware des jeweiligen USB-Gerätes abgelegt wird.
Ob Drucker im Büro oder USB-Tastaturen - jedes USB-Gerät könnte somit betroffen sein – eine Horrorvorstellung für jeden IT-Sicherheits-Experten, weil es keine Möglichkeit zur Prüfung gibt, ob sich die Original-Firmware auf dem USB-Gerät befindet oder nicht.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind solche Manipulationen schwer in den Griff zu bekommen. Behörden, Unternehmen, Krankenhäuser- einfach alle Anwender, die mit hochsensiblen Daten arbeiten, können externen Geräten die über USB angeschlossen werden nicht mehr vertrauen.
Eine Möglichkeit zum Tausch von sensiblen Dateien wäre die Benutzung von SD-Karten, aber nur dann, wenn die Computer über integrierte Kartenleser verfügen und nicht über USB angeschlossen werden, so der Rat von den Sicherheitsforschern.
-ck-

Unternehmen: Keine Schüler-Zeugnisse einscannen oder kopieren
Zum Start der Sommerferien startet zurzeit so manches Unternehmen Zeugnis- Aktionen mit tollen Rabatten für Schüler, die Einser und Zweier im Zeugnis vorweisen können. Aus Sicht des Datenschutzes ist Vorsicht geboten: "Da es sich bei den Zeugnissen um höchstsensible personenbezogene Daten handelt, dürfen Unternehmen die Zeugnisse zum Nachweis der Noten weder einscannen oder kopieren", warnte der Landesbeauftragte Jörg Klingbeil diese Woche in Stuttgart.
-ck-