Hohe Anforderungen an die IT-Sicherheit
Das seit dem 25. Juli 2015 in Kraft getretene IT –Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist nicht nur für Betreiber von Kritischen Infrastrukturen (KRITIS) die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören von hoher Bedeutung, sondern auch für Betreiber von Webseiten. Mit Inkrafttreten des IT-Sicherheitsgesetzes bewirkt eine Änderung des Telemediengesetzes § 13 Abs. 7 TMG, das alle Dienstanbieter die Telemedien geschäftsmäßig anbieten, in den Anwendungsbereich dieses Gesetzes fallen. Betreiber von Webangeboten wie Online-Shops und mitunter auch Blogs mit geschäftsmäßiger Werbung, müssen eine Verschärfung der technischen und organisatorischen Schutzmaßnahmen vornehmen, um die von ihnen genutzten IT-Systeme und Kundendaten besser zu schützen.
-ck-

Cyberkriminalität und Datensicherheit
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per Internet. Ein Grund für die rasante Verbreitung ist immer noch die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht und somit haben Angreifer freie Bahn.
Ein Beispiel aus dieser Woche ist der Medienbericht über einen erfolgreichen Cyberangriff mit Zugang zu Dutzenden Firefox-Lecks, welcher durch ein erbeutetes Passwort möglich war. Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutz und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
Größere Schäden entstehen oft auch durch unzureichend ausgebildete oder unaufmerksame Mitarbeiter, wie bei der Datenpanne in einer Londoner Klinik geschehen. Scheinbar hat ein Mitarbeiter einer HIV-Klinik irrtümlicherweise bei Versand eines Mail-Newsletter 780 Namen inklusive aller Empfänger-Adressen von HIV-Patienten veröffentlicht. Wegen diesen schweren Datenschutz-Vorfalls wurde eine interne Untersuchung durch die Klinikleitung eingeleitet, gleichzeitig ermittelt die nationale Datenschutzbehörde.
Bei einem anderen Unternehmen benutzte ein Mitarbeiter eine echte Mailadresse offenbar als Dummy-Adresse dadurch gelangen viele sensible Kundendaten an eine Privatadresse. Auch die Behörden bleiben nicht verschont, wie die peinliche Datenpanne einer Kantonspolizei zeigte. En internes Papier über einen Kontrolleinsatz landete ins Internet und wurde natürlich per Facebook fleißig weiterverbreitet. Somit waren viele Lastwagenfahrer vor der Schwerverkehrskontrolle gewarnt.
All diese Fälle sorgten für Schlagzeilen und allgemeiner Entrüstung mit gleichzeitiger Besorgnis um die persönlichen Daten der Bevölkerung. Doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können. Nicht nur große, auch kleine und mittelständische Unternehmen unterschätzen in der Regel die realen Gefahren im Umgang mit ihren Daten. Dabei lässt sich das Risiko einer Datenpanne oft mit einfachen Mitteln auf ein Minimum senken.
-ck-

EU-Bürger erhalten mehr Datenschutzrechte
Endlich, nach vier Jahre andauernden Verhandlungen können auch EU-Bürger auf mehr Rechte zum Schutz ihrer Daten hoffen. Die USA und die Europäische Union haben sich in dieser Woche auf ein Datenschutzabkommen geeinigt. Durch dieses Abkommen sollen EU-Bürger ein Klagerecht in den USA erhalten, wenn ihre persönlichen Daten missbraucht werden. Strafverfolgungsbehörden müssen sich an strengere Auflagen halten, eine Weitergaben von persönlichen Daten an Drittstatten wird verboten und eine unnötig lange Speicherung ist dann auch nicht mehr erlaubt. Bevor das Datenschutzabkommen greift, muss noch das Recht auf Rechtsbehelf für EU-Bürger durch ein US-Gesetz beschlossen werden. Die formelle Zustimmung des Parlaments und der Mitgliedstaaten gelten in der Europäischen Union als sicher.
-ck-

Haftung von öffentlichen WLAN-Diensten
In dieser Woche hat die Bundesregierung einen Gesetzentwurf zum Betrieb öffentlicher WLAN-Hotspots verabschiedet. Hinsichtlich der Rechtsverletzung beschloss das Bundeskabinett, dass WLAN-Anbieter nicht mehr für rechtswidrige Aktivitäten verantwortlich gemacht werden können, wenn sie sich die Zusicherung des Kunden einholen, dass von diesem keine Rechtsverletzungen ausgehen werden. Ferner muss das angebotene WLAN angemessen gegen unberechtigte Zugriffe absichert sein. Durch diese Gesetzesänderung würden Dienste-Anbieter sich nicht mehr durch Rechtsverletzung anderer strafbar oder schadensersatzpflichtig machen.
Anbieter die Inhalte für ihre Nutzer speichern, können sich auf dieses vereinfachte Haftungsprivileg nicht berufen. Online-Plattformen (Hostprovider) welche Cloud-Dienste anbieten sowie auch soziale Netzwerke mussten bisher nicht für illegale Inhalte, die ihre Nutzer eventuell einstellen, haften. Durch die Neufassung des Telemediengesetzes mit dem neuen § 10 TMG eingeführten Begriff der “ Gefahrgeneigten Tätigkeit“ besteht für legale Hostprovider dann ein großer Aufwand bei der Nachweispflicht, nicht illegal zu handeln, so die Branchenverbände BitKom und eco (Verband der deutschen Internetwirtschaft e.V.).
Kritisiert wird auch die datenschutzrechtliche Seite dieser Neuregelung, denn ein anonymes Nutzen des Internets ist über WLAN-Hotspots quasi nicht mehr möglich, da die Nutzer vor dem einloggen so etwas wie ein Anmelde- oder Bestätigungsformular ausmüssen müssten. Jetzt bleibt abzuwarten, ob die zuständigen Bundestagsausschüsse diese Rechtsunsicherheit korrigieren.
-ck-

Mehr Datenschutz für vernetzte Kraftfahrzeuge
Anhand der wachsenden Digitalisierung in den Kraftfahrzeugen, haben sich europäische Hersteller zu mehr Datenschutz bei vernetzten Fahrzeugen verpflichtet. Der europäische Herstellerverband (ACEA) hat Regeln zum Schutz der sensiblen Fahrzeugdaten aufgestellt, an die sich alle Mitglieder künftig halt sollen. Die Erhebung und Verwendung der Fahrzeugdaten soll für die Kunden transparenter werden, die Privatsphäre sowie die Datensicherheit gewährleistet sein.
Zwecks Datensicherheit bei vernetzten Fahrzeugen forderte vor kurzem schon der Bundesverkehrsminister Alexander Dobrindt eine Verschlüsselungspflicht von Fahrzeugdaten. Automobilhersteller, Zulieferer und Dienstleister sollen zu einer sicheren Datenverschlüsselung verpflichtet werden um gefährliche Angriffe auf vernetzte Fahrzeuge durch Cyberkriminelle zu verhindern.
-ck-

Gravierende Sicherheitslücken in Systemen
Laut einer Studie von den Sicherheitsforschern Scott Erven und Mark Collao sind Zehntausende medizinische Geräte in Krankenhäusern für Hackerangriffe anfällig. Fast 70.000 ungeschützte Medizinsysteme wie zum Beispiel Geräte aus der Nuklearmedizin, Herzschrittmacher, Infusionsgeräte, Magnetresonanztomographen oder das Anästhesie-Equipment wurden bei einer großen US-Gesundheitsorganisation entdeckt. Bei ihren Recherchen viel den Sicherheitsforscher auf, dass auf vielen medizinischen Geräten immer noch das veraltete Microsofts Betriebssystem Windows-XP installiert ist sowie viele Systeme total vernachlässigt werden. Die beiden Forscher warnen davor, dass viele medizinische Geräte aus dem Internet angreifbar seien.
Vor gravierende Sicherheitsmängel in medizinischen Geräten warnte das ISC-CERT bereits schon im Jahre 2013 und auch die Prüfung der medizinischen Geräte im Jahre 2014 ergab, das mit erschreckend simplen Verfahren, die Medizintechnik zum Beispiel in US-Krankenhäusern angreifbar ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat schon vor langer Zeit auf die Gefahren von veralteten Betriebssystemen hingewiesen und vor allem Unternehmen geraten, auf ein neues Betriebssystem zu wechseln. Die Risiken weiter überalterte Software in Betrieb zu nehmen sind immens. Hacker können die komplette Kontrolle über die Hardware übernehmen und sämtliche Inhalte auslesen oder schlimmstenfalls den Zugang zum ganzen Netzwerk ausspionieren. Wirtschaftsspionage, Fernsteuerung der medizinischen Systeme wären möglich - ein beunruhigender Gedanke.
-ck-

Wie sicher sind die Daten von vernetzten Fahrzeuge?
Versicherungsunternehmen bieten mittlerweile maßgeschneiderte Tarife anhand der digital erfassten Fahrzeugdaten wie Tempo, Beschleunigung oder Risikobereitschaft an. Doch mit der Ermittlung des Fahrverhaltens können auch Risikoprofile erstellt werden, zudem sind oft auch Positionsdaten der Fahrer darunter – alles sensible Daten, die sich auch zum Nachteil auswirken könnten.
So verlockend diese günstigeren Tarife für jeden Autofahrer auch sind, der Preis den man dafür bezahlt ist, sind nun mal persönliche Daten und dass man nicht weiß wo diese Daten landen und wie diese in der Zukunft verwendet werden. Datenschutzbeauftragte warnen vor dem wachsenden Interesse an Gesundheits- und Verhaltensdaten und raten zu einer überlegten Datenoffenbarung.
-ck-

Unternehmen zunehmend anfälliger für Cyber-Attacken
Das Risiko für Unternehmen durch Cyber-Attacken aus dem Netz bedroht zu werden steigt zunehmend. Firmen müssen sich auf neue Gefahrenquellen von Internet- oder Cyberattacken vorbereiten, die Infrastruktur und Industrieanlagen besser abschirmen. Allein in den vergangenen zwei Jahr hatte jedes dritte Unternehmen erfolgreiche IT-Sicherheitsvorfälle zu verzeichnen – Tendenz steigend.
Gerade in dieser Woche berichteten die Medien von einem Datenleck einer Auskunftei der US-amerikanische Telekom-Tochter T-Mobile US. Cyberkriminelle scheint es gelungen zu sein, Datensätze von ca. 15 Millionen Kunden zu entwenden.
Auch die Crowdfunding-Plattform Patreon wurde laut Medienberichten gehackt und die Nutzerdaten entwendet.
Unternehmen sollten die Gefahren von Cyber-Attacken nicht unterschätzen, denn der durch den Datenverlust verursachte Imageschaden und die daraus resultierenden Mehrkosten für die Rückgewinnung des Kundenvertrauens, ist der höchst anfallende Schaden.
-ck-