Sicherheitsrisiko USB – Geräte
Geschäftsinformationen sind in IT-Systemen oft unzureichend geschützt und die Gefahr des Datenklau über E-Mail, USB - Stick oder Handy wird selten ernst genommen. Viele Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe. Doch diese machen nicht den größten Schaden aus, wie zum Beispiel der Virus - Vorfall im Atomkraftwerk in Gundremmingen zeigt.
Laut Experten können Schadprogramme (Malware) nicht nur über das Internet sondern auch per USB unbemerkt auf dem PC gelangen. Ob über einen elektronischen Bilderrahmen, Webcam, SD-Karten-Adapter, mp3 Player, E-Zigaretten (die per USB-Ladegerät am PC geladen werden), die Möglichkeiten den Rechner zu infizieren sind vielfältig. Um schädliche Codes zu vermeiden rät das Bundesamt für Sicherheit in der Informationstechnik (BSI), diese Geräte sicherheitshalber per USB-Ladegerät aufzuladen.
Die Sicherheit der Unternehmensdaten steht auf dem Spiel, da oft keine wichtigen IT-Sicherheitsregeln wie zum Beispiel eine Einschränkung der Zugriffsrechte für die Nutzung mobiler Geräte im Unternehmen bestehen.
Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten sensibilisiert sind, denn achtsam mitwirken können nur diejenigen, die wissen welche Tricks heute angewandt werden.
-ck-

Biometrische Daten: Verantwortung Datensicherheit
Nie zuvor in der Geschichte wurde unser Verhalten – das ganze Leben eines Menschen technisch so perfekt und vollständig erfasst, wie in der heutigen modernen Informations- und Datengesellschaft. In den letzten Jahren haben immer mehr verschiedene biometrische Verfahren wie Gesichtserkennung, Fingerabdruck, Handgeometrie oder Iriserkennung Einzug in vielen privaten und öffentlichen Lebensbereichen gehalten. Per Zugriffsberechtigungsprüfungen werden zum Beispiel zum PCs oder Handys entsperrt, Eintrittskontrollen und sogar die bargeldlose Zahlungsmöglichkeit sind durch die Anwendung der Biometrie möglich. Doch diese Art der Identifikation kann dank der modernen Technik auch zu einem Bestandteil einer Überwachung werden.
Laut Medienberichten führen Schulen in den USA ein neues Kantinen-Bezahlsystem, welches die Ausgabe eines Schulessens an die Kinder nur unter Abgabe von deren Fingerabdrücken oder eines modernen RFID-Chip zulässt. Ohne Abgabe der bitmetrischen Daten der minderjährigen Kinder gibt’s kein Mittagessen. Sogar Kirchen in den USA nutzen die biometrischen Fingerabdruckscanner, damit sie ihre Schüler in den Einrichtungen kontrollieren können.
Von den Eltern, Lehrern usw. wird den Kindern von klein an der verantwortungsbewusste Umgang mit ihren persönlichen Daten beigebracht, indem sie zum Beispiel nicht fröhlich bei jedem Gewinnspiel ihre persönlichen Daten ober in sozialen Netzwerken sensible Informationen über die eigene Person preisgeben. Es ist nicht nachvollziehbar, warum Kinder überhaupt biometrischen Daten per Fingerabdruckscanner abgeben müssen - welche ansonsten für strafrechtliche Ermittlungen erfasst werden - nur um ein Mittagessen zu erhalten. Wird die Schattenseite einer solchen Handlungsweise erst dann klar, wenn die Daten missbraucht werden?
-ck-

Unternehmen haben Prozesse zum Datentransfer in die USA noch nicht geändert
Im Oktober 2015 wurde, durch ein Urteil des Europäischen Gerichtshofes, das Safe Harbor-Abkommen als Rechtsgrundlage für den personenbezogenen Daten-Transfer in die Vereinigten Staaten (USA) für ungültig erklärt. Die Vereinigten Staaten (USA) sind grundsätzlich ein Drittstaat ohne angemessenes Datenschutzniveau und somit ist jede Weitergabe von Daten in diesen Staat nur unter erschwerten Bedingungen in Betracht zu ziehen. Anfang Februar dieses Jahres einigten sich die EU-Kommission und Vertreter der Vereinigten Staaten auf einen neuen Rahmen, das EU-US Privacy Shield – Abkommen, für die transatlantische Datenübermittlung. Dieses Abkommen soll strengere Datenschutz-Auflagen enthalten, um den Schutz europäischer Daten bei zertifizierten US-amerikanischen Unternehmen sicher zu stellen.
Der Hamburger Datenschutzbeauftragte Johannes Caspar hat nun bei drei Firmen ein Bußgeld verhängst, da diese den Datenverkehr in die USA nicht umgestellt haben. Weitere Verfahren und Prüfungen von Firmen deren Mutterkonzerne in den USA sitzen, laufen noch.
Bei Verstößen gegen die Datenschutz-Rechtslage kann das Bußgeld bis zu 300.000 Euro betragen.
-ck-

Unternehmen und die Bedrohung Cyberwar
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen.
Im Rahmen der Allianz für Cyber-Sicherheit hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Umfrage zur Ransomware in deutschen Unternehmen gestartet um Einsicht zu erhalten, wie hoch die Bedrohungslage durch Erpressertrojaner ist. Ransomware,diese Schadprogramme verschlüsseln die kompletten Daten und geben diese eventuell nach Zahlung eines Lösegeldes wieder frei. Die Zahl der Ransomware – Infektionen steigt rasant und Behörden, Krankenhäuser, Unternehmen oder wie jetzt eine kanadische Universität sind geneigt auf die Forderungen der Kriminellen einzugehen, Sicherheitsexperten raten davon ab.
Anhand der zunehmenden IT-Sicherheitsvorfälle durch Verschlüsselungs-Trojanern hat der BSI ein Themenpapier mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht. Nützliche Hilfestellungen für Unternehmen und Bürger bietet auch die Onlineplattform der Polizei Niedersachsens mit einem Ratgeber zur Internetkriminalität. Das Portal bietet neben aktuellen Warnmeldungen auch die Möglichkeit Fragen online zu relevanten Problemen zu stellen.
-ck-

Massive IT-Pannen verärgert Kunden
Vor kurzem ließ eine Software-Panne bei der Deutschen Bank Konten ins Minus rutschen, andere hatten plötzlich einen höheren Kontostand und etliche Kunden kamen nicht an ihr Geld. Die Bank-Kunden sind verärgert, auch wenn die Panne mittlerweile behoben ist. Laut Medienberichten hatte der Konzernchef schon kurz nach seinem Amtsantritt im Juli 2015 auf die überalterten IT-Systeme aufmerksam gemacht. In dieser Woche berichteten die Medien über eine Panne bei der Sparkasse. Durch einen Softwarefehler konnten fast 60.000 Kunden ihre EC-Karten nicht nutzen. Laut Medienberichten kam es auch erneut bei einer deutschen Bank zu Computerproblemen. Mehrere Tausend Kunden-Konten wurden gesperrt. Die Panne entstand bei einer Softwareumstellung.
Diese Vorfälle zeigen einmal mehr, wie wichtig funktionierende Computersysteme sind, doch IT-Verantwortliche kämpfen oft mit veralteten Betriebs-Systemen und ebensolcher Technik. Kunden leiden unter den Technik- Pannen und Unternehmen unter Image-Verlust.
-ck-

Die Umsetzung der EU-Datenschutzgrundverordnung
Am 14. April 2016 hat das Europäische Parlament die neue Europäische-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Die neue Verordnung wird in knapp zwei Jahren am 25.Mai 2018 in Kraft treten. Auch wenn dieser Stichtermin noch in einiger Entfernung liegt, sollten Unternehmen jetzt schon damit beginnen sich mit dem Thema und den anstehenden Änderungen auseinanderzusetzen.
Um eine unterschiedliche Auslegungspraxis auf die neu geregelten Grundlagen und Anforderungen an den Datenschutz auf europäischer Ebene zu vermeiden, tauschen sich die Aufsichtsbehörden des Bundes und der Länder aus. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) möchte künftig regelmäßig über die Arbeit und Fortschritte der Aufsichtsbehörden in regelmäßigen Abständen informieren.
Der erste ausgewählte Schwerpunkt zum Thema Sicherheit der Verarbeitung bezieht sich auf den Art. 32 DS-GVO.
-ck-

Offline-Behörden: Trennung vom Internet angesichts Gefahren aus dem Cyberspce
Cyberangriffe werden immer raffinierter ausgeführt und die Unternehmensausgaben bei Datenverlust steigen rasant an. Um sensible Regierungsdaten zu schützen, will die singapurische Regierung im nächsten Jahr fast alle Behördenrechner vom Internet trennen. Dieser radikale Schritt zum Schutz vor Cyber-Attacken bedeutet nicht zurück zum Papier, sondern die Computer sollen über ein Intranet vernetz werden. Für den Mailverkehr wird noch nach einer sicheren Lösung gesucht. Über solche drastischen Maßnahmen schütteln Kritiker aus der IT-Branche nur den Kopf. Laut Medienberichten meinte der Cybersicherheits-Chef der Singapurer Telekom, das die Bedrohung für Regierungen, Institutionen und der Wirtschaft tatsächlich so groß sind, dass diese Maßnahmen gerechtfertigt ist.
Singapur wird das erste Land, das den Stecker zieht – werden andere Länder zum Schutz der Daten nachziehen?
-ck-

Computerviren: Unterschätzte Gefahr im Unternehmen
Eine immer größer werdende Gefahr sich eine Viren-Infektion auf dem Computer, Handy usw. einzufangen, geht von den Trojanern aus. Per Spam-Mail gelangen diese auf den Rechner, gut getarnt als Bestellung, Rechnung, Mahnung. Meist befindet sich im Anhang eine Schadsoftware, die sich als PDF-Datei ausweist. Einmal geöffnet, kann dieser anhängende Trojaner den Rechner mit Schädlingen infizieren und die Kontrolle über den PC übernehmen. Die darin verborgenen Schädlinge sind so genannte Downloader, einmal installiert, können diese beliebig weitere Schadsoftware nachladen.
Aktuelle wird vor den Ransomware-Trojanern "Petya" und "Cerber" gewarnt, welche sich zum Beispiel als Anhang in einer E-Mail-Bewerbung verstecken und beim Öffnen alle Daten verschlüsseln. Zigtausende Computer scheinen in ganz Deutschland mit Trojaner infiziert zu sein und ständig erscheinen neue Varianten. Beispiel der Medienbericht in dieser Woche über eine erfolgreiche Verschlüsselung einer Apothekensoftware in Frankfurt.
Laut Medienberichten besteht mittlerweile die Möglichkeit, Computer anhand aktueller Anti-Viren-Programme oder Anti-Ransomware Tools zu schützen, jedoch nicht vor neuen Versionen der Schadsoftware. Dennoch sollten Mitarbeiter niemals Dateianhänge öffnen oder Links folgen, wenn der Urheber zweifelhaft oder beispielsweise eine Mail mit Schreibfehler versehen ist. Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen die Angestellten für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-

Herausforderung Plattform - Absicherung
Unternehmen die einen Web Shop ins Netz stellen, sollte sich auch immer Gedanken um die IT-Sicherheit machen. Web Shops müssen gegen eine Vielzahl von Bedrohungen abgesichert sein, doch oft werden selbst grundlegende Sicherungsmaßnahmen nicht umgesetzt. Shop-Betreiber sollten die Fallstricke kennen und mit entsprechenden Maßnahmen vorzeitig handeln um den Datendiebstahl zu vermeiden. Absicherungen der Schwachstellen durch Implementation strikter gesicherter Passwortregeln, Verschlüsselung des Kommunikationskanals per Zertifikate, aktualisierte Basissoftware, sicheres Bezahlverfahren sind einige von vielen Sicherungsmaßnahmen um das Ausspähen von Kundendaten zu erschweren.
Zudem ist eine regelmäßige Datensicherung Pflicht, denn ein fehlendes Backup kann die Existenz eines Unternehmens gefährden. Selbst ein kurzer Ausfall der eigenen Plattform kann existenzbedrohend sein, wenn sich die Kundeninformationen und Transaktionen nicht in kürzester Zeit wieder herstellen lassen.
-ck-

Informationsfreiheitsgesetz : Plus an Transparenz
In dieser Woche stellte die Bundesdatenschutzbeauftragte Andrea Voßhoff ihren Tätigkeitsbericht zur Informationsfreiheit über die letzten zwei Jahren vor. Nach Einschätzung der Bundesbeauftragte für Datenschutz und Informationsfreiheit, ist das Recht auf Informationsfreiheit, der Zugang zu Behördeninformationen bei den Bürgern im Alltag angekommen. Anhand des seit rund zehn Jahren geltenden Informationsfreiheitsgesetz (IFG) hat jeder Bürger das Recht auf Zugang zu amtlichen Informationen. Die Behörden sind auf Antrag verpflichtet, Akteneinsicht zu gewähren. Eine berechtigte Zugangs-Verweigerung besteht dennoch: Zum Beispiel bei laufenden behördlichen Entscheidungsprozessen oder wenn Nachteile für öffentliche Interessen bestehen, die Dokumente einer besonderen Geheimhaltungsstufe unterliegen.
Das Informationsrecht wird von den Bürgern in Deutschland immer mehr in Anspruch genommen, allein in den Jahren 2014 und 2015 seien rund 18.000 Anträge bei den Bundesbehörden eingegangen.
-ck-

Datensicherheit gebrauchter Speichermedien
Immer wieder gelangen hochsensible Daten in falsche Hände, wie wir fast täglich in einschlägigen Nachrichtendiensten lesen können. Als Beispiel: Fehlerquelle Mensch, welcher nicht mehr benötigte Festplatten, Drucker, Kopierer und auch Handys mit hochsensiblen Daten nicht richtig oder gar nicht löscht – formatiert. Wird die Hardware für den Eigengebrauch weiterverwendet spricht auch nichts dagegen, doch sobald diese verkauft oder vernichtet werden soll, sieht es anders aus. Denn auch auf bereits formatierten Festplatten können mit spezieller Software erstaunliche Funde ans Tageslicht gebracht werden, oder die Speichermedien wurden gar nicht gelöscht, wie die Recherchen eines Redakteurs des Computer-Magazin c`t ergaben.
Als Beispiel der Medienbericht aus dieser Woche: Ein Online-Händler hatte einen gebrauchten Laptop als Ausstellungsmodell verkauft. Das ist ja schon schlimm genug, doch vor dem Verkauf hatte der Händler versäumt, die auf der Festplatte gespeicherten Daten von dem vorherigen Besitzer zu löschen. Der Käufer entdeckte 54 Gigabyte persönliche Daten der Vorbesitzerin des Laptops.
Unternehmen die ihre gebrauchte Hardware entsorgen möchten, können diese nicht einfach wegwerfen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten.
-ck-

Liebe Leser unserer Datenschutznachrichten

Unser Redaktionsteam befindet sich bis einschließlich 22.07.2016 im Urlaub.
Danach gibt es unsere News in gewohnter Regelmäßigkeit und Qualität. Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der 30. Kalenderwoche wieder bei uns begrüßen zu dürfen.
 -ck -

Unser Redaktionsteam befindet sich bis einschließlich 22.07.2016 im Urlaub.
Danach gibt es unsere News in gewohnter Regelmäßigkeit und Qualität. Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der 30.. Kalenderwoche wieder bei uns begrüßen zu dürfen.
-ck -

− − −

Datenschutz auf Reisen
Gerade auf Kurztrips übers Wochenende oder bei Geschäftsreisen: Schutzmaßnahmen für IT-Geräte, die mit auf die Reise gehen, sollten oberste Priorität haben. Mitgenommen sollte nur die Hardware welche dringend benötigt wird, denn Diebe werden von teuren Laptops und Handys magisch angezogen. Nicht nur der materielle Verlust entsteht bei Diebstahl, es gehen meist auch die begehrten sensiblen Daten verloren.
Bei mitgeführten Geräten besteht die Notwendigkeit diese unbedingt vor Fremdzugriff zu schützen. Sei es per Passwort oder PIN - Abfrage. Drahtlose Schnittstellen wie zum Beispiel Infrarot oder Bluetooth sollten nach kurzem Gebrauch sofort wieder deaktiviert werden. Auch sind bei Einreise in vielen Ländern die Kontrollen elektronischer Geräte, insbesondere von Laptops durch den Zoll und andere Einreisebehörden streng geregelt. Die elektronische Geräte werden durchsucht und Kopien der gespeicherten Daten gezogen um diese später zu analysieren. Eine Überwachungsmaßnahme die tief in die Unternehmerdatenbank sowie der Privatsphäre von Reisenden eingreift.
Doch Behörden haben nicht nur das Recht, Handy- oder Laptop und sonstige Datenträger zu untersuchen, sondern können diese auch beschlagnahmen - Gründe müssen sie nicht nennen. Die Möglichkeiten, sich dagegen zu wehren sind sehr gering. Weitere Informationen zur Datensicherheit im Urlaub finden Sie auf unserer Seite im linken Navigationsfeld unter: Blossey beobachtet.
-ck-