Intelligente Fahrzeuge auf den Prüfstand
In Zeiten zunehmender Vernetzung von Fahrzeugen steigen auch die Gefahren durch die verwendete Technik. Sicherheitslücken ermöglichen Hacker Zugang zu sicherheitsrelevanten Fahrzeugsystemen oder – Funktionen wie zum Beispiel: Lenkung, Türschlösser, Zündung und Bremsen um Autos zu manipulieren. Das auch Bremsen aus der Ferne per SMS ferngesteuert werden können, hatten IT-Experten der Universität San Diego schon offengelegt. Erschreckend, das durch diese Angriffe Leib und Leben der Fahrzeuginsassen gefährdet werden können.
Laut Medienberichten konnte sich vor kurzem ein australischer Sicherheitsforscher, anhand einer Companion-App, Zugang zu den Fahrzeugfunktionen eines Elektrofahrzeuges verschaffen. Obwohl der Sicherheitsforscher mehrere tausend Kilometer von dem Wagen entfernt war, konnte er dessen Fahrzeugsoftware aus der Ferne kontrollieren und manipulieren. Sensible Informationen wie zum Beispiel Daten über Fahrstrecken der letzten Tage, Fahrverhalten der Fahrer sowie den Standort des Wagens konnte er per App abrufen. Es bedarf noch viel Forschungsarbeit, damit die Sicherheit der Menschen und ihre persönlichen Fahrer-Daten durch die digitale Technik gewährleitet werden. Automobilhersteller, Zulieferer und Dienstleister sollen zu einer sicheren Datenverschlüsselung verpflichtet werden um gefährliche Angriffe auf vernetzte Fahrzeuge durch Cyberkriminelle zu verhindern.
-ck-

Internationales Symposium
Zu einem internationalen Symposium zu Privatheit und Datenschutz in Europa und den USA lädt die Stiftung Datenschutz zusammen mit der Forschungsstelle Datenschutz der Goethe-Universität Frankfurt am Main und dem Forschungskolleg Humanwissenschaft Stiftung ein. Die Veranstaltung mit hochrangigen Referenten findet an der Universität Frankfurt am 09.März 2016 von 10:30 bis 17:30 Uhr statt. Im Zentrum der Veranstaltung werden die internationalen unterschiedlichen Perspektiven auf Privatheit und Datenschutz stehen, sowie Anforderungen an Politik und Wirtschaft diskutiert werden.
-ck-

Schutzmaßnahmen im Unternehmen treffen
Zigtausende Computer scheinen in ganz Deutschland mit dem Trojaner Locky infiziert zu sein und ständig erscheinen neue Varianten (wir berichteten kürzlich). Zurzeit tarnt sich der Virus in einer angeblichen Warnung des Bundeskriminalamts. Die angehängte Datei „BKA Lockey Removal Kit.exe“ ist keineswegs ein Programm zum Entfernen der Schadsoftware, sondern der Verschlüsselungs-Trojaner selbst.
Laut Medienberichten besteht mittlerweile die Möglichkeit, Computer anhand aktueller Anti-Viren-Programme oder Anti-Ransomware Tools zu schützen, jedoch nicht vor neuen Versionen der Schadsoftware.
Dennoch sollten Mitarbeiter niemals Dateianhänge öffnen oder Links folgen, wenn der Urheber zweifelhaft oder beispielsweise eine Mail mit Schreibfehler versehen ist.
Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen die Angestellten für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-

Fahrlässiger Umgang mit vertraulichen Patienten-Daten
Damit die Privatsphäre der Patienten gewahrt bleibt, unterliegen Ärzte und Praxispersonal der Schweigeplicht. Geregelt ist dies durch das Bundesdatenschutzgesetz sowie den Berufsverordnungen.
Die Stiftung Warentest hat bundesweit Arzt-Praxen auf Diskretion der sensiblen Patientendaten überprüft. Das Ergebnis ist erschreckend: In jeder zweiten überprüften Praxis wurde gegen die Datenschutzregeln verstoßen: Ob Indiskretion beim Betreten der Praxis oder vertrauliche Telefongespräche des Personals – die hochsensiblen Daten der Patienten (Anschrift, Kassenart, Grund des Besuchs, Diagnose usw.) konnten von unbefugten Dritten mitgehört werden. Auch gaben Mitarbeiter, ohne die Berechtigung der Anrufer zu hinterfragen, Diagnosen und verordnete Arzneien an Unbefugte weiter.
Ob sorglose Umgang im E-Mail-Verkehr, oder offenliegende Patientenakten die von unbefugten genauso gut eingesehen werden können wie ein ungeschützter Computer mit noch vertraulichen Gesundheitsdaten des vorherigen Patienten auf dem Bildschirm, all dies Fälle zeigen, das dem Datenschutz in manchen Praxen und auch Kliniken immer noch nicht genügend Bedeutung beigemessen wird.
Durch regelmäßige Datenschutz-Schulungen, Sensibilisierung des Personals einschließlich der Ärzte, könnten Datenschutzkonflikte vermieden und der verantwortungsbewusste Umgang zur Sicherheit und Vertraulichkeit der hochsensiblen Patientendaten gewährleistet werden.
-ck-

Rascher Handlungsbedarf für Webseiten-Betreiber
Auf Millionen von Webseiten ist der Facebook-Like-Button mit eingebunden. Das Landgericht Düsseldorf hat jetzt in einem aktuellen Urteil (Urt. v. 09.03.2016 – 12 O 151/15) entschieden, dass, sofern Unternehmen ein Gefällt-mir-Plug-In auf ihrer eigenen Internetseite installiert haben, die dadurch gesammelten Kundendaten nicht ohne die ausdrückliche Zustimmung der Nutzer an Facebook weitergegeben werden dürfen. Die Websites-Besucher müssen von den Unternehmen über die Weitergabe von Daten aufgeklärt werden, erklärte das Gericht in dieser Woche. Denn was viele User nicht wissen, der Facebook-Gefällt-mir Button ist genau genommen ein Plug-in und leitet schon beim einfachen Aufrufen einer Seite das Surfverhalten des Users an Facebook weiter.
Um den Like-Button weiterhin verwenden zu könne, müssen Website-Betreiber die ausdrückliche Zustimmung von ihren Nutzern dafür einholen, das Daten an Dritte weitergeleitet werden. Entweder per Zwei-Klick-Lösung mit einer Datenschutzerklärung die aufklärt was mit den Daten des Users geschieht und im nächsten Schritt die Zustimmung per zur Verwendung seiner Daten, oder den Facebook Like-Button erst gar nicht auf die Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Nutzerdaten an die sozialen Netzwerke statt.
-ck-

Gewährleistung der Datensicherheit im Unternehmen
Unternehmen sorgen noch immer nicht dafür, dass ihre Verfahren für den Datenschutz strikt konzipiert werden und das obwohl fast täglich hochbrisante Fälle von Skandalen und Betrug bekannt werden.
Laut Medienberichten gelang es einem Tester per Telefonanruf bei einer großen Krankenkasse, hochsensible Patientendaten eines Datenopfers einzusehen. Scheinbar reichten der Name, das Geburtsdatum und die Versichertennummer aus, um sich mühelos Zugriff auf sensible Gesundheits-Informationen zu verschaffen. Den Zugang zu den Daten konnte sich der Tester nur deshalb verschaffen, weil der Krankenkassen - Mitarbeiter bei dem Telefonanruf nicht die letzten vier Ziffern der Kontonummer des Versicherten abgefragt hatte. Dieser Datenabgleich wäre zur Authentifizierung des Anrufers nötig gewesen. Um den Missbrauch von sensiblen Gesundheitsdaten Dritter zu verhindern, ist die Bundesdatenschutzbeauftragte Andrea Voßhoff informiert worden.
Datenpannen sind ist nur peinlich für renommierte Unternehmen und Konzerne. Mitarbeiter und Kunden werden dadurch verunsichert und die Frage ob nicht auch mit ihren sensiblen Daten so eine Panne geschehen kann - steht im Raum. Im aktuellen Zeitalter sind schützenswerte Daten Bestandteil vieler betrieblicher Abläufe. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter in Unternehmen - jeglicher Größe - durchgeführt wird.
-ck-

Cyber-Angriffe auf die Unternehmens - IT
Zurzeit werden zielgerichtet kleinere und mittelständische Unternehmen, Krankenhäuser deren IT-Struktur mit dem Internet verbunden ist, mit gefälschten Mail-Mitteilungen überschüttet. Der Trojaner Locky infizierte schon so manche große Unternehmen. In den gefälschten Mitteilungen werden die Empfänger oft namentlich genannt und dies lässt so manchen Mitarbeiter unvorsichtig handeln. Die entsprechende Mail nebst Anhang wird geöffnet und Viren, Trojaner und Spyware verbreiten sich so, ohne Wissen und Zutun des Anwenders, auf den Firmen-PC. Dadurch entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen, sowie für Privatnutzer.
Zurzeit verbreiteten sich Computer - Infektion durch eine neue Version eines Verschlüsselungs- Trojaners, welcher vorrangig im Mail-Anhang mit einem angeblich passwortgeschütztem RAR- oder ZIP Archiv zu finden ist. Dieser Trojaner verschlüsselt nicht nur die eigene Festplatte, sondern befällt auch alle Rechner die über das Netzwerk verbundenen sind.
Nicht nur der Mensch, sondern auch technische und organisatorische Maßnahmen führen zum unfreiwilligen Verlust sensibler Daten. Der Schutz vor Viren und Trojanern, die Absicherung der Zugänge ins Unternehmensnetzwerk sollten unter anderem ein wesentlicher Bestandteil der unternehmensweiten IT - Security Vorkehrung sein. Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Wachsende Bedrohungslage der IT-Sicherheit im Unternehmen
Ransomware ist nach wie vor aktuell. Jüngstes Beispiel: Der Erpresser-Trojaner namens „Locky“, welcher sich bevorzugt in das Computersystem von großen Kliniken, Behörden und andere öffentliche Einrichtungen, Firmen sowie auch von Privatleuten einschleust. 28 Kliniken allein in Nordrhein-Westfahlen haben Anfang 2016 Angriffe beim NRW-Landeskriminalamt gemeldet –wegen digitaler Erpressungsversuche waren es mehr als 150 Anzeigen – Zahl steigend. Die digitale Welt bricht in den betroffenen Kliniken zusammen, eine schlimme Situation für Ärzte und Patienten. Beispiele: Die Versorgung von Notfallpatienten wurde im Aachener Marienhospital für einen Tag gestoppt und auch in Neuss wurden die Notfallpatienten des Lukaskrankenhauses von den Kliniken im Umkreis übernommen. Da viele Patientenakten nur elektronisch gespeichert werden, müssen Therapien länger als geplant unterbrochen werden, Ärzte wissen nicht mehr was sie den Patienten eigentlich verschreiben müssen und Apotheker bestellen keine Medikamente mehr – solch ein digitaler Ausfall hat schwere Auswirkungen für die betroffenen Krankenhäuser. Die entstandenen Kosten durch verschobene Operationen, Überstunden der Ärzte und Mitarbeiter, Kosten für die Säuberung und Neuinstallierung jeder einzelner Computer durch IT-Spezialisten sind immens hoch. Eine Maßnahme, um den entstandenen Schaden zu begrenzen, sind regelmäßige Backups, somit lassen sich die Daten bis zu dem Punkt wiederherstellen an dem die Ransomware ins System gelangt ist. Auch die in die Cloud ausgelagerten Dateien sind nicht gegen eine Infektion immun, denn bei einem automatischen Datei-Upload werden die durch Ransomware infizierten Dateien ebenfalls hochgeladen. Auch die Anmeldedaten sind in Gefahr, da die Malware auch diese verschlüsselt und somit den Benutzer aussperrt. Sicherheitssysteme wie Firewalls, Intrusion-Detection-Software, Spam- und Security-Software, Webfilter sind ein Muss um es den Angreifern so schwer wie möglich zu machen und die Infrastruktur besser zu schützen.
Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Private Internetnutzung während der Arbeitszeit
Das Landesarbeitsgericht Berlin-Brandenburg (Aktenzeichen: 5 Sa 657/15) hat vor kurzem entschieden, das die Auswertung des Browserverlaufs zur Kontrolle vor Missbrauch durch den Arbeitgeber unter Umständen erlaubt sein. Wenn Arbeitgeber keine andere Möglichkeit haben eine unerlaubte Internetnutzung nachzuweisen, sei die Datenauswertung ohne Zustimmung der Mitarbeiter zulässig so das Landesarbeitsgericht. Bei unerlaubter privater Internet-Nutzung durch den Arbeitnehmer, dürfen Arbeitgeber ihren Mitarbeitern den Arbeitsplatz kündigen.
Das Urteil ist noch nicht rechtskräftig, das Landesarbeitsgericht hat die Revision an das Bundesarbeitsgericht zugelassen.
-ck-

Risikofaktor Mensch
Schäden entstehen oft durch unzureichend sensibilisierte oder unaufmerksame Mitarbeiter, wie bei der Datenpanne des Mannheimer Energieversorgers geschehen. Laut Medienberichten hat eine Mitarbeiterin irrtümlicherweise gut 1.000 sensible Kundendaten mit dazugehörigen Bankverbindungen an eine Privatperson versandt. Eigentlich waren die Daten an zwei interne Mails angehängt, aber durch die Auto-Fill-Funktion des Mailprogramms war noch die E-Mail-Anschrift eines Kunden in dem Verteiler gerutscht. Der Empfänger der versehentlich versandten Mail meldete den Fauxpas der Tageszeitung und diese hakte nach.
Das Unternehmen hat den Landesbeauftragten für Datenschutz Jörg Klingbeil unterrichtet und eine Hotline geschaltet, damit sich Kunden darüber informieren können, ob sie von dem Datenleck betroffen sind. Einen verantwortungsvollen Umgang mit sensiblen Daten können Unternehmen nur dann gewährleisten, wenn die Mitarbeiter geschult und sich so der Bedeutung des Datenschutzes bewusst sind.
-ck-

Veröffentliche Studie zum Datenschutz im Personalmanagement
Eine branchenübergreifende Studie (pdf) der Beratungsgesellschaft Kienbaum und der Bitkom Servicegesellschaft zum Datenschutz im Personalmanagement ergab, dass 82 Prozent der Personalmanager große Bedenken in Punkto Datensicherheit bei Auslagerung der digitalen Personaldaten in die Cloud haben. Erschreckend auch das Ergebnis: Jeder Zweite sieht für sich selbst starken Nachholbedarf von Datenschutzkenntnissen und nur jeder vierte Personalmanager ist sich sicher, den datenschutzrechtlichen Anforderungen zu entsprechen. Das Bedrohungsszenario anhand von Versäumnissen im Datenschutz ist stark angestiegen und führt somit zu Verunsicherung der Personaler. Laut Studie ist angesichts des digitalen Wandels ein erhöhter Bedarf auf zugeschnittene Qualifizierungsangebote im Datenschutz vorhanden.
-ck-

Permanente Beobachtung – nicht alles ist erlaubt
Ob im Supermarkt, Bus und Bahn, im Taxi oder am Arbeitsplatz , im öffentlichen Raum zunehmend von staatlichen und privaten Überwachungskameras - täglich werden wir gefilmt und kontrolliert. In Frankfurt hat die Initiative für den Datenschutz illegale Kameraaufnahmen den Kampf angesagt, denn in vielen Fällen werden nicht nur Grundstücke oder Unternehmenseingänge einschließlich der Kunden-Parkplätze, sondern darüber hinaus öffentliche Plätze, Straßen und Gehwege durch die Überwachungskameras unrechtmäßig erfasst. Laut Medienberichten wurden bisher etwa 250 Verstöße gegen das Bundesdatenschutzgesetz durch die Bürgerrechtsinitiative aufgezeichnet und gravierende Verstöße an den Hessischen Datenschutzbeauftragten weiter geleitet.
-ck-

Datenkonzentration zieht Hacker gezielt an
Seit dem 1. Januar 2010 ist bei Neubauten schon der Einbau von modernen Mess- und Abrechnungssystemen für den Energieverbrauch, das sogenannte Smart Metering, vorgeschrieben. Diese intelligenten Stromzähler zeichnen detaillierte Energieverbrauchswerte auf, die mehr über ihre Verbraucher verraten, als diese wohl preisgeben möchten. Da durch Smart Metering zu viele personenbezogene Daten gesammelt werden können, sieht die EU-Datenschutzbehörde (EDSB) Gefahren für den Datenschutz und fordert einen umfassenderen Schutz als bisher geplant. Diesen Herausforderungen sollte sich auch die Stromindustrie stellen um eine datenschutzfreundliche Technik zu verwenden, gleichzeitig ist der Gesetzgeber gefordert die Daten-Hehlerei mit als neuen Strafbestand aufzunehmen.
-ck-

Bestimmungen zum Schutz des Firmennetzwerks
Aus Angst vor Sicherheitslücken und Datenspionage sperren viele Unternehmen ihren Mitarbeitern zum Beispiel den Zugang zu den sozialen Netzwerken oder den privaten Mailverkehr. Auch die Befürchtung der sinkenden Produktivität der Mitarbeiter spielt dabei eine Rolle in diesen Maßnahmen von den Unternehmen. Ist die private Nutzung des Internets im Unternehmen verboten, ist eine Kontrolle durch die Geschäftsleitung stichprobenartig oder bei Verdacht auf unzulässige Verwendung gestattet. Netzwerkdaten, wie An- und Abmeldeinformationen dürfen allerdings nicht zur Leistungskontrolle (An- und Abmelden des PCs) zweckentfremdet werden.
-ck-

Pflicht zur Überwachungstechnologie
Ab Oktober 2018 müssen EU-weit neu zugelassene PKWs sowie leichte Nutzfahrzeuge mit dem einheitlichen Notrufsystem eCall (emergency call) ausgerüstet werden, so vom Europäischen Parlament beschlossen. Diese Technik ruft bei schweren Unfällen automatisch die Notrufnummer 112 und übermittelt die Standortdaten, Fahrtrichtung und den Autotyp des Kraftfahrzeuges an die Notrufzentrale. Dieses Notrufsystem könnte Leben retten und für die Straßenverkehrssicherheit sorgen. Doch bleibt der Schutz persönlicher Daten gewährleistet? Ein Missbrauch der Privatsphäre anhand eines GPS-Empfängers im eCall-Notrufsystem alarmiert nicht nur Rettungsdienste, es kann auch alle Daten zur Fahrweise des Fahrers speichern. Anhand dieser Informationstechnik könnten zum Beispiel auch Bewegungsprofiele von allen Autofahrern erstellt und diese für andere Dienste genutzt werden. Bleibt abzuwarten, ob der Schutz von personenbezogenen Daten im Zusammenhang mit der Bearbeitung von eCalls zuverlässig gewährleistet wird.
-ck-