Nicht eingehaltene Sicherheitsstandards
Für einen mobilen und standortunabhängigen Datenzugriff werden in vielen Unternehmen und auch Behörden Intranets (Rechnernetze) eingesetzt, um Mitarbeiter mit sensiblen betriebsinternen Informationen zu versorgen. Dabei spielt insbesondere die Sicherheit der Daten eine große Rolle. Damit die sensiblen Unternehmensdaten nicht an Dritte gelangen, wird der Zugang zum Intranet durch ein Authentisierungsverfahren per Benutzernamen und dem dazugehörigen Passwort gesichert oder über ein komplexeres Authentisierungsverfahren mit mehreren Faktoren wie zum Beispiel anhand eines zusätzlichem Security-Token. Leider schotten viele Unternehmen und Organisationen ihre Intranets nicht richtig ab und somit gelangen vertrauliche Daten ungeschützt ins Internet.
Laut Medienberichten konnten Angreifer aufgrund einer Schwachstelle im Internet-Auftritt eines bekannten Pizza – Bestelldienstes die Nutzer-Konten der Kunden übernehmen. Der Sicherheitsforscher Robert Kugler entdeckte die Lücke und informierte das Unternehmen. Die Sicherheitslücke auf der Webseite ist laut Medienberichten mittlerweile geschlossen. Die nächst bekannt gewordene Sicherheitspanne in dieser Woche befand sich auch auf der Website eines Unternehmens. Auf der Homepage des Flughafen Köln-Bonn waren scheinbar geheime Notfallpläne des Airports seit Monaten öffentlich zugänglich. Detaillierte Verhaltensregel für den Umgang mit Notsituationen wie zum Beispiel bei Terroranschlägen, Geiselnahmen und Bombendrohungen sowie die Sammelstellen für Passagiere in Not waren seit November 2015 auf der Website des Flughafens einsehbar. Wie die Medien berichteten, wurde der Notfallplan mittlerweile offline gestellt.
Bei diesen Pannen war das Intranet nicht geschützt, somit konnten auch die personenbezogenen Daten von Jedermann im Internet eingesehen und eventuell missbraucht werden.
-ck-
Schwere Sicherheitspannen-tv online - "Panne am Flughafen Köln/Bonn: Geheimer Notfallplan monatelang im Internet"
http://www.n-tv.de/politik/Geheimer-Notfallplan-monatelang-im-Internet-article17520191.html Schwachstelle Webseite Heise online - "Lieferando.de schließt Sicherheitslücke"
http://www.heise.de/newsticker/meldung/Lieferando-de-schliesst-Sicherheitsluecke-3178509.html
Netzwerkdrucker und andere Systeme
Laut Medienberichten sind in ganz Deutschland mehrere Universitäten Opfer eines Hackerangriffs geworden. An den Universitäten in Hamburg, Bonn, Münster, Lüneburg, Tübingen, Bremen, Erlangen-Nürnberg und weiteren deutschen Hochschulen sollen Netzwerk-Drucker und Kopierer von Hacker manipuliert und so hundertfach fremdenfeindliche Dokumente ausgedruckt haben. Manche Drucker wurden scheinbar mehrfach angesteuert, einen vollständigen Überblick gebe es noch nicht. Angeblich wurde dieser Hackerangriff durch fehlerhaft konfigurierte Drucker möglich, welche mit einer öffentlichen IP-Adresse vom Internet aus erreichbar gewesen seien. Die IT-Abteilungen haben die Sicherheitslücke mittlerweile geschlossen. Strafanzeige wurde erstattet und der Staatsschutz ermittelt wegen Volksverhetzung gegen Unbekannt.
Drucker, Kopierer und weitere Hardware haben ihren festen Platz in der IT-Infrastruktur eines Unternehmens und doch werden diese oft weniger abgesichert als andere Systeme, meistens haben sie voreingestellte Sicherheitseinstellungen und sind dadurch auch anfälliger für Hackerangriffe. Diese Hardware sowie die Netzwerkverbindung muss daher in die IT-Sicherheitsstrategie integriert werden, damit kein finanzieller Schaden im Unternehmen durch eine Datenpanne entsteht.
-ck-
Erfolgreiche Hackerangriffe auf Netzwerkdrucker und Kopierer Süddeutsche online - "Antisemitische Pamphlete: Hackerangriff auf Uni-Drucker"
http://www.sueddeutsche.de/news/politik/extremismus-antisemitische-pamphlete-hackerangriff-auf-uni-drucker-dpa.urn-newsml-dpa-com-20090101-160421-99-668212 Schutz vor Angriffen Frauenhofer SIT online – "Tatort Drucker"
http://testlab.sit.fraunhofer.de/content/output/article/0605Tatort_Drucker.php
Maßnahmenempfehlungen zum Systemschutz BSI online – "IT-Grundschutz: B 3.406 Drucker, Kopierer und Multifunktionsgeräte"
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b03/b03406.html Hoher Datenschutzstandard gleich Standortvorteil für Unternehmen Verbände com - "Wettbewerbsvorteil Datenschutz: Politik und Wirtschaft setzen auf nachhaltige Datenverarbeitung / BvD, Datenschutzbeauftragte und BMWi sehen Datenschutz als Wachstumsgarant"
http://www.verbaende.com/news.php/Wettbewerbsvorteil-Datenschutz-Politik-und-Wirtschaft-setzen-auf-nachhaltige-Datenverarbeitung-BvD-Datenschutzbeauftragte-und-BMWi-sehen-Datenschutz-als-Wachstumsgarant?m=109664
Gefährdungspotenzial durch Cyberangriffe
Im Rahmen der Allianz für Cyber-Sicherheit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Umfrage zur Ransomware in deutschen Unternehmen gestartet um Einsicht zu erhalten, wie hoch die Bedrohungslage durch Erpressertrojaner ist. Diese Schadprogramme, wie zum Beispiel der Erpressertrojaner Locky verschlüsseln die kompletten Daten und geben diese eventuell nach Zahlung eines Lösegeldes wieder frei. Anhand der zunehmenden IT-Sicherheitsvorfälle durch Verschlüsselungs-Trojanern hat der BSI ein Themenpapier mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht.
-ck-
Hilfestellung zum Schutz vor Schadprogrammen Bundesamt für Sicherheit in der Informationstechnik online - "Ransomware: Bedrohungslage, Prävention & Reaktion"
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/Ransomware.html?nn=7775786
Neue Angriffswelle durch Banking-Trojaner Heise Security online - "Banking-Trojaner Retefe ist zurück"
http://www.heise.de/security/meldung/Banking-Trojaner-Retefe-ist-zurueck-3176787.html PDF-Format als Schutz vor Trojaner? Radio8 online – "Uehlfeld: Gegen Trojaner gerüstet"
http://www.radio8.de/nachrichten/details/artikel/uehlfeld-gegen-trojaner-geruestet.html
Bewerbungsverfahren ohne personenbezogene Datenansammlung
Wenn es um eine Arbeitsplatzvergabe geht, fallen bereits viele Menschen im Vorfeld aus einer Bewerbung raus, entweder weil es ältere Bewerber, Mütter mit Kleinkinder oder auch Ausländer sind. Vor kurzem waren einzelne Landesinitiativen mit einem besonderen Pilotprojekt an den Start gegangen, das anonyme Bewerbungen in den Focus stellt. Nordrhein-Westfahlen, Rheinland-Pfalz, Baden – Württemberg sowie Kommunen in Niedersachsen nutzen das behördenübergreifenden Stellenportal Interamt, welches die Bewerber sowie die Behörden durch das anonymisierte Bewerberverfahren leitet. Das Pilotprojekt: Chancengleich bewerben – anonymisiertes Bewerbungsverfahren in Rheinland Pfalz, ergab positive entscheidende Hinweise über den Nutzen diskriminierungsfreier Methoden der Personalrekrutierung. Kriterien wie Alter, Herkunft, Geschlecht und Familienstand werden nicht mit angegeben und somit können Personalchefs lediglich anhand der individuellen Qualifikationen eines Bewerbers den passenden Arbeitnehmer aussuchen. Mögliche Diskriminierungen werden somit ausgeschlossen, gleichzeitig erübrigt sich die Ansammlung von umfangreichen personenbezogenen Daten der üblichen Bewerbungsunterlagen. Somit ist auch sichergestellt, dass bei Onlinebewerbungen die personenbezogenen Bewerberdaten nicht im Internet auftauchen. In manchen anderen Ländern gehören anonymisierte Auswahlverfahren längst zur gängigen Praxis – wie etwa in Frankreich, Belgien oder der USA. Es wird sich zeigen, ob das anonymisierte Bewerbungsverfahren in Deutschland von den Arbeitgebern angenommen wird.
-ck-
Pilotprojekt Chancengleich bewerben mit positiver Bilanz Landesregierung Rheinland Pfalz – "Vielfältig. Anders. Gleich! (pdf)"
http://mifkjf.rlp.de/fileadmin/mifkjf/Publikationen/Vielfalt/Bilanzbericht_LADS_21032016.pdf
Neue Verfahren entlasten Unternehmen Spiegel online - "Bewerbungen: Machen Sie sich jetzt mal kein Bild"
http://www.spiegel.de/karriere/berufsstart/so-funktioniert-die-anonyme-bewerbung-a-1085614.html
Herausforderung: Digitales Zeitalter ohne Datenverlust Blick aktuell online - "Frühlingsempfang des Jobcenters Mayen-Koblenz: Unternehmernetzwerke stärken und ausbauen"
http://www.blick-aktuell.de/Andernach/Unternehmernetzwerkestaerken-und-ausbauen-195351.html
Nachrichtenticker: Weitere Nachrichten im Kurzüberblick
1. Carsten Eilers - IT-Sicherheit Carsten Eilers - "Verfahren der Kryptographie, Teil 6: Der Advanced Encryption Standard (AES)"
http://www.ceilers-news.de/serendipity/775-Verfahren-der-Kryptographie,-Teil-6-Der-Advanced-Encryption-Standard-AES.html 2. Technologie-Unternehmen und die weltweite Datensammelwut Der Standard.at - "China könnte Videos von Vielzahl privater Drohnen absaugen"
http://derstandard.at/2000035421800/China-koennte-Videos-von-Vielzahl-privater-Drohnen-absaugen?ref=rss 3. Sicherheitsunternehmen warnt: Software sofort entfernen RTL online - "Sicherheitslücken beim QuickTime-Player: Apple warnt vor eigener Software und gibt Tipps zur Deinstallation"
http://rtlnext.rtl.de/cms/sicherheitsluecken-beim-quicktime-player-apple-warnt-vor-eigener-software-und-gibt-tipps-zur-deinstallation-2846497.html