Kritische Sicherheitslücken im Unternehmen
Jeder IT-Verantwortliche weiß: Sensible Daten müssen nicht nur jederzeit und überall verfügbar, sondern auch gleichzeitig gut geschützt sein und doch kommen immer noch veraltete Software oder Betriebssysteme zum Einsatz. Bereits seit April 2014 wurde die Unterstützung des offiziellen Supports für das Computerbetriebssystems Windows XP und Office 2003 eingestellt. Ab diesem Zeitpunkt erschienen keine Sicherheits-Updates mehr und die Risiken die überalterte Software weiter in Betrieb zu nehmen sind immens. Cyberkriminelle können die komplette Kontrolle über die Computer übernehmen und sämtliche Inhalte auslesen oder schlimmstenfalls den Zugang zum ganzen Netzwerk ausspionieren. Wirtschaftsspionage auch über Mikrofon oder der Webcam wären möglich - ein beunruhigender Gedanke.
Laut einer Analyse des russischen Anti-Viren –Spezialisten Kaspersky Lab bestehen bei fast alle Geldautomaten haarsträubenden Sicherheitsrisiken. Auf fast 95 % aller Geldautomaten befindet sich immer noch das veraltete Betriebssystem Windows XP. Kundendaten werden im Klartext übertragen und Cyberkriminelle können anhand der so genannten Man-in-the-Middle-Attacke Daten, die auf dem Eingabefeld getätigt werden, unverschlüsselt abfangen.
Die wichtigsten Einfallstore für Cyberkriminelle sind unter Anderem unverschlüsselte Datenverbindungen zwischen Geldautomaten und Bank-Servern, schwache und auch gestohlene Passwörter. Beispiel ein Polizeibericht in dieser Woche: Nach entwendeten Kartendaten im Urlaub waren 3. 500 € weg.
Zum Schutz von Kreditkartendaten wurde in der vergangenen Woche eine neue Version des Datensicherheitsstandard Payment Card Industry Data Security Standard (PCI DSS) veröffentlicht. Das PCI DSS 3.2 umfasst eine Reihe von Aktualisierungen damit Unternehmen die Zahlungsdaten vor, während und nach einem Kauf weltweit besser schützen. Der Einsatz von Multifaktor-Authentifizierung ist eine der wichtigsten Neuerungen des Sicherheitsstandards, (PCI DSS 3.2) der ab sofort anzuwenden ist. Unternehmen, die mit Kartendaten in Berührung kommen, finden in der verabschiedeten Version 3.2 vom 28.04.2016 viele Hilfestellungen in den neuen Anforderungskatalog.
-ck-

Modernisierung des Datenschutzes
Am 14. April 2016 hat das Europäische Parlament die neue Europäische-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. In Kraft treten soll die neue Verordnung voraussichtlich 2018 und dann die zurzeit geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, hat hierzu eine neue Informationsbroschüre mit einführenden Erklärungen zur Neuerungen der künftigen Europäischen Datenschutz-Grundverordnung herausgegeben.
-ck-

Gesetz-Entwurf zur Störerhaftung
In dieser Woche verständigten sich Wirtschafts-, Netz und Rechtspolitiker auf eine Abschaffung der sogenannten Störerhaftung in Deutschland. Wer für Andere sein privates WLAN-Netz zur Verfügung stellt, soll künftig nicht mehr für dessen Surfverhalten haften müssen. Das Gesetz soll schon in der nächsten Sitzungswoche beschlossen werden und schnellstens in Kraft treten, um den Weg für einen schnelleren Ausbau von WLAN-Hotspots zu ermöglichen.
Nutzer von freiem WLAN sollten bedenken: WLAN kann leicht abgefangen werden, da Funkwellen - anders als Kabel - nicht auf einen bestimmten Benutzer begrenzbar sind. Daher ist es wichtig, nur WLAN-Zugänge mit einer möglichst hohen Verschlüsselung (derzeit WPA2) zu nutzen. Gerade kostenfreie Zugänge in Hotels oder Geschäften sowie Bahnhöfen/Flughäfen sind oft unverschlüsselt und daher völlig unsicher. Hier sollte man nur dann geschäftsrelevante oder sensible Daten nutzen, wenn man eine gesicherte Leitung, etwa per VPN, zur Verfügung hat. In der Öffentlichkeit ist außerdem auf ausreichenden Sichtschutz bei Laptops, Smartphone und Tablets zu achten, da neugierige Blicke von allen Seiten Unbefugten Informationen offenlegen könnten. Oft wird im Geschäftsleben vergessen, dass auch sensible Unternehmensinformationen mit mobilen Endgeräten transportiert und verarbeitet werden. Gerade deshalb sollten die Sicherheitsrichtlinien jedes Unternehmens die Nutzung mobiler Endgeräte für Firmenzwecke von Anfang an in das unternehmensweite Sicherheitskonzept integrieren.
-ck-

Kostenfaktor Datenverlust
Die von IBM gesponserte Studie "2015 Cost of Data Breach Study" des Ponemon-Institut ergab, dass die Gesamtkosten bei Datenverlust im Unternehmen von 3,5 Millionen Dollar auf 3,8 Millionen gestiegen sind. Die an der Untersuchung teilnehmenden 350 Unternehmen, waren selbst Opfer von Datenpannen geworden und stammten aus verschiedenen Ländern.
-ck-

Schutzmaßnahmen im Unternehmen
Zigtausende Computer scheinen in ganz Deutschland mit Trojaner infiziert zu sein und ständig erscheinen neue Varianten, wie momentan die weiterentwickelte Version der Ransomware CryptXXX. Laut Medienberichten besteht mittlerweile die Möglichkeit Computer anhand aktueller Anti-Viren-Programme oder Anti-Ransomware Tools zu schützen, jedoch nicht vor der weiterentwickelten neuen Versionen der Schadsoftware die den Benutzer komplett vom PC aussperrt.
Mittlerweile ist die nicht zu unterschätzende Gefahr, die von Ransomware ausgeht, auch der US-Regierung bekannt. Die Bevölkerung wurde informiert und zur Achtsamkeit aufgerufen. Größte Vorsicht sollte vor allem bei E-Mails geboten sein, wenn an diesen zip-Dateien anhängig sind.
Das Cyberkriminelle auch vor Angriffen auf Krankenhäuser keinen Halt machen, haben die fast bundesweiten Medienberichten in Deutschland in den letzten Wochen bewiesen. Ob Unternehmen, Behörden oder Krankenhäuser, ca. 99 % aller Viren, Würmer oder Trojaner werden als Mail-Anhang versandt.
User sollten niemals Dateianhänge öffnen oder Links folgen, wenn der Urheber zweifelhaft oder beispielsweise eine Mail mit Schreibfehler versehen ist. Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen sämtliche Nutzer für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-

Datenverlust und die Konsequenzen für Unternehmen
Laut einer Studie des Sicherheitsanbieters für Cybersicherheit Fire Eye, haben Hackerangriffe große Auswirkungen auf das Vertrauen der Verbraucher. Die Mehrheit der Befragten zeigt wenig Toleranz bei Entwendung ihrer persönlichen Daten bei unzureichenden Sicherheitsstrategien der Unternehmen. Sie würden eine Klage gegen das betroffene Unternehmen anstreben und 59 Prozent würden sich von dem betroffenen Unternehmen abwenden und nicht mehr Kunde sein wollen.
Im Wettbewerb um Kunden ist es umso wichtiger, konsequent den Datenschutz einzuhalten und dies auch zu kommunizieren. Somit ist der Datenschutz zu einem Wettbewerbsfaktor und die Kommunikation der Datenschutzmaßnahmen zu einem Marketinginstrument geworden. Für Unternehmen heißt dieses – die gesetzlichen Vorgaben erfüllen und zusätzlich durch geschickte Vermarktung des gelebten Datenschutzes Imagegewinne und Wettbewerbsvorteile erzielen. Daher lohnt es sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen dass das eigene Unternehmen vom Bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
In dem neu veröffentlichte Hewlett Packard Enterprise (HPE) "Report The Business of Hacking" werden detaillierte Hintergründe zur Cyber-Kriminalität aufgeführt. Angriffs Trends, aktuelle Motive der Angreifer sowie besonders bedrohte Branchen Aus diesem Report lassen sich Schutz-Strategien gegen organisierte Cyber-Angreifer ableiten, mit denen Unternehmen ihre Sicherheits-Risiken senken können.
-ck-

Datensicherheit im Unternehmen:  Manipulation der Mitarbeiter
Eine der effizientesten Methoden von Cyberattacken auf Unternehmen ist die Täuschung und Manipulation von Mitarbeitern (Social Engineering), um illegal an sensible Unternehmensdaten zu gelangen. Zielgerichtet werden menschliche Reaktionen wie zum Beispiel Hilfsbereitschaft, Neugierde, Gutgläubigkeit, Respekt vor Autoritäten oder Konfliktvermeidung von den Angreifern ausgenutzt um die IT-Sicherheitskette im Unternehmen zu öffnen. Vertrauliche Informationen werden auf vielerlei Wege von den gutgläubigen Mitarbeitern entlockt, ob im Sozialen Netzwerk oder mit fingierten Telefonanrufen.
Die Problemstellung dieser Angriffsmethoden auf die Datensicherheit kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten sensibilisiert sind, denn achtsam mitwirken können nur diejenigen, die wissen welche Tricks heute angewandt werden.
-ck-

Obwohl private Nutzung des Internets im Unternehmen komplett verboten war, hatte ein Arbeitnehmer, der in einem Sachverständigen-Büro beschäftigt war, für private Zwecke eine Software zum Verkleinern und Konvertieren von Audiodateien auf seinem Arbeitsplatz-rechner installiert. Dieses Programm enthielt eine Schadsoftware, welche durch die Installation noch weitere Schadprogramme nachgeladen hatte. Der auf dem Rechner installierte Virenscanner gab bei der Installation der Software noch eine Warnung aus, welcher der Arbeitnehmer laut Medienberichten aber weggeklickt hat.
Demnach handelte er besonders verantwortungslos, so das Landesarbeitsgericht Mainz. Das Gericht kam zu dem Ergebnis, das die außerordentliche Kündigung durch den Arbeitgeber wirksam ist und die Kosten für die Beseitigung der Schadsoftware vom Arbeitnehmer zu tragen sind.
-ck-

Kritik an Videoüberwachung nimmt zu - Meldepflicht gefordert
Die Videoüberwachung nimmt immer mehr zu. Sind Einsatzbereiche wie Restaurants, Wohnanlagen, Supermärkte, Wildkameras in Wäldern oder auch Videokameras in Autos wirklich sinnvoll? Wo bleibt die Privatsphäre - ob am Arbeitsplatz oder im Privatleben? Videoüberwachung kommt auch immer mehr in den privaten Bereichen zum Einsatz. Selbst in der Nachbarschaft wird diese angewandt. Die Kameratechnik ist bereits so weit fortgeschritten, dass man eine Kamera nicht mehr unbedingt an ihrem Äußeren erkennen kann oder ob es sich um eine Attrappe handelt.
Laut des Thüringer Datenschutzbeauftragten Lutz Hasse unterliegen Videokameras, egal ob von Privaten oder von Unternehmen, einer Meldepflicht. Denn sobald im öffentlichen Raum oder privat auf Nachbargrundstücken Personen aufgezeichnet werden, sind die Videokameras meldepflichtig. Ausgangspunkt ist das im Mai gefällte Urteil des Verwaltungsgerichts des Saarlandes, welches eine Meldepflicht für Wildtierbeobachtungskameras bestätigt hatte.
Viele Unternehmen und Bürger vergessen bei der Anbringung ihrer Videoüberwachungsanlagen die deutsche Rechtslage des allgemeinen Persönlichkeitsrechts. Dort wo nicht deutlich auf Videoüberwachung hingewiesen wird, wo unzulässige Videoüberwachungsanlagen Verwendung finden und Videoaufnahmen mit personenbezogenen Daten - Gesichter von Personen zu sehen sind - und der Videoüberwachung keine schlüssigen Konzepte zugrunde liegen, muss mit einem entsprechend hohen Bußgeldern gerechnet werden.
-ck-

Permanente Überwachung
Die deutsche Bundesbeauftragte für den Datenschutz, Andrea Voßhoff, sieht nicht nur intelligente Sprachassistenten, die permanent ihre Umgebung belauschen, als kritisch auch warnt sie vor intelligenten Haushaltshilfen von Apple, Amazon oder Google. Es sei nicht hinreichend transparent, wie die dabei erfassten Informationen der Zuruf-Assistenten verarbeitet oder gespeichert werden.
Dass nicht nur von intelligenten Hilfen im Haushalt eine Gefahr des Spionierens ausgeht, zeigte in dieser Woche ein Medienbericht über eines Smart-TVs aus Großbritannien. Ein Parr wurde heimlich über die Webcam gefilmt und später landeten die Videoaufnahmen im Internet. Sicherheitsforscher der Berliner TU hatten vor längeren demonstriert, wie Cyberkriminelle die Kontrolle über die Fernseher übernehmen und auf Kameras und Mikrofone der Smart-TVs zugreifen können. Um mögliche Risiken zu kennen und diesen vorzubeugen, hat das Bundesamt für Sicherheit in der Informationstechnik einen Leitfaden veröffentlicht.
-ck-

Vermehrte Cyber-Attacken  – G7 will Maßnahmen ergreifen
Das Risiko für Unternehmen durch Cyber-Attacken aus dem Netz bedroht zu werden steigt zunehmend. Firmen müssen sich auf neue Gefahrenquellen von Internet- oder Cyberattacken vorbereiten, die Infrastruktur und Industrieanlagen besser abschirmen. Allein in den vergangenen zwei Jahr hatte jedes dritte Unternehmen erfolgreiche IT-Sicherheitsvorfälle zu verzeichnen – Tendenz steigend.
Die Gefahren sind nicht zu unterschätzen. Geübte Hacker durchbrechen sämtliche Sicherheitsmechanismen und sind in der Lage durch diese Sabotagemöglichkeit betriebsinterne Informationen abzufischen - Hardware zu manipulieren. Meist bleibt der Schaden durch den Verlust der vertraulichen Daten lange unbemerkt.
Die Staats- und Regierungschefs der sieben großen Industrienationen (G7) treffen sich zurzeit im japanischen Ise-Shima. Bei dem Gipfeltreffen der G7-Staaten bekräftigten die Staats- und Regierungschefs die Anwendung des Völkerrechts auch im Internet. Gravierende Schutzmaßnahmen gegen Cyber-Angriffe welche durch Staaten, Terroristen oder unabhängige Hacker über das Internet verübt werden, wollen die sieben großen Industrienationen auf den Weg bringen.
-ck-