Datenschutzkonforme Aktenvernichtung
Vertrauliche Informationen werden anhand Passwörter und Verschlüsselungstechnik auf dem Firmenserver geschützt, doch sensible Papierdokumente liegen in manchen Unternehmen ungeschützt rum oder landen in den Papierkorb. Laut Medienberichten wurden in dieser Woche personenbezogene Bewerbungsunterlagen in öffentlich zugänglichen Mülltonnen einer Wohnanlage gefunden. Scheinbar hatte ein benachbartes Versicherungsunternehmen die vertraulichen Bewerbungsunterlagen achtlos entsorgt. Das wäre ein klarer Verstoß gegen das Datenschutzgesetzt, denn Bewerbungsunterlagen enthalten personenbezogene Daten und unterliegen einem besonderen Schutz. Nach einer ablehnenden Bewerbung sind Bewerbungsunterlagen an den Bewerber zurückzugeben oder fachgerecht zu vernichten.
Mit dieser Datenpanne wird deutlich, dass in manchen Unternehmen immer noch die Mitarbeiter unzureichend über den datenschutzrechtlichen Umgang mit personenbezogenen Daten informiert sind. Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen die Angestellten für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-

Autoindustrie von Sicherheitslücke betroffen
Eine Funk-Fernbedienung für die Zentralverriegelung und Wegfahrsperre ist heute in fast allen Fahrzeugen zu finden und kaum ein Autofahrer möchte auf diese Vorzüge verzichten, doch in puncto Sicherheit hat diese Technik eine gravierende Schwachstelle.: Das Funksignal eines Schlüssels kann abgefangen und decodiert werden. Technisch ist es möglich, innerhalb weniger Minuten ein Schlüsselduplikat zu erstellen und das Auto zu öffnen. Der Autoindustrie wird Nachlässigkeit vorgeworfen, denn sie haben über Jahre hinweg nicht für jede Fahrzeugidentitätsnummer ein individuelles Schlüsselpasswort hinterlegt. Eine Untersuchung der Bochumer Sicherheitsfirmer Kasper & Oswald ergab, dass sich anhand des kopierten Passwortes 100 Millionen Autos per Knopfdruck öffnen und schließen lassen. Gegenstände können entwenden und dann das Auto wieder verschlossen werden. Das Öffnen hinterlässt keine verräterischen Spuren am Auto, auch nicht in den Protokollen der Steuerelektronik.
Nicht auszudenken, wenn auf einer Geschäftsreise auf diese Weise ein Firmen- Notebook oder Laptop aus dem Auto entwendet und die vertraulichen Firmengeheimnisse und Kundendaten abhandenkommen……
-ck-

Datenschutz: Ein Wichtiger Qualitätsfaktor für Unternehmen
In jüngster Zeit ist die Zahl der Datenpannen und – Diebstähle deutlich angestiegen, wie die fast täglichen Schlagzeilen berichten. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Nicht nur durch die aktuellen Datenschutzmeldungen sensibilisiert fragen sich die Kunden immer häufiger, wie ein Unternehmen mit Ihren Daten umgeht. Sei es mit Ihren Daten aus elektronischer Kommunikation mit dem Unternehmen, ihren Adressdaten, Bestellvorgängen oder auch mit Daten zu Ihrem Kundenverhalten allgemein. Vielen Internetbenutzern wird bewusst, dass die gesammelten Daten über sie, anderweitig genutzt werden können. Im Wettbewerb um Kunden ist es umso wichtiger, konsequent den Datenschutz einzuhalten und dies auch zu kommunizieren. Somit ist der Datenschutz zu einem Wettbewerbsfaktor und die Kommunikation der Datenschutzmaßnahmen zu einem Marketinginstrument geworden. Für Unternehmen heißt dieses – die gesetzlichen Vorgaben erfüllen und zusätzlich durch geschickte Vermarktung des gelebten Datenschutzes Imagegewinne und Wettbewerbsvorteile erzielen. Daher lohnt es sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen dass das eigene Unternehmen vom Bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Social Engineering: Leichtfertiger Umgang mit vertraulichen Daten
Vermehrt hat sich das Ziel der Online-Betrüger auf Unternehmen spezialisiert. Große Konzerne sind in der Regel technisch gut ausgestattet im Kampf gegen Online-Kriminelle, doch die Angriffe sind zielgerichteter und geschickter geworden. Cyber-Kriminelle setzen verstärkt auf Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie die Mitarbeiter geschickt manipulieren, um illegal an sensible Unternehmensdaten zu gelangen. Zielgerichtet werden menschliche Reaktionen wie zum Beispiel: Hilfsbereitschaft, Neugierde, Gutgläubigkeit, Respekt vor Autoritäten oder Konfliktvermeidung von den Angreifern ausgenutzt, um die IT-Sicherheitskette im Unternehmen zu hintergehen.
Vertrauliche Informationen werden auf vielerlei Wege von den gutgläubigen Mitarbeitern entlockt, ob im Sozialen Netzwerk oder mit fingierten Telefonanrufen. Firmenmitarbeiter werden anhand Vertraulichkeit oder falschen Identitäten getäuscht. Betrüger geben sich zum Beispiel als vermeintliche weisungsbefugte Vorgesetzte aus, um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen.
Wie die Medien in dieser Woche berichteten, wurde offenbar ein Nürnberger Automobilzulieferer Opfer dieser sozialen Manipulation. Das Unternehmen wurde scheinbar um einen zweistelligen Millionenbetrag erleichtert. Untersuchungen der Vorfälle wurden eingeleitet, ebenso sei Anzeige erstattet worden.
Im vergangenen Monat hatte das Landeskriminalamt Nordrhein-Westfalen bundesweit schon vor dieser sogenannten Chef-Masche gewarnt. Die Schäden anhand der Social Engineering Betrugsmasche belaufen sich auf mehrere Millionen Euro pro Jahr allein in Nordrhein-Westfalen, so die Einschätzung des Cybercrime-Kompetenz-Zentrums des LKA NRW.
Eine technische Möglichkeit sich vor solchen Methoden des Social Engineerings zu schützen, gibt es nicht. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können.
-ck-

Sorgloser Umgang mit Zugangsdaten hat Folgen
Das Oberlandesgericht Frankfurt am Main hatte vor kurzem über die missbräuchliche Nutzung eines Facebook-Accounts durch einen Dritten zu entscheiden. Nach Ansicht des Oberlandesgerichts sind Postings auf Facebook prinzipiell dem Account-Inhaber zuzurechnen.
Das OLG bezog sich auf einem entsprechenden Urteil (pdf) des Bundesgerichtshofs, in der sogenannten "Halzband – Entscheidung" zur missbräuchlichen Nutzung eines eBay – Kontos. Somit müssen private Inhaber eines Facebook- oder E-Bay Mitgliederkontos ihre Zugangsdaten hinreichend vor fremden Zugriff sichern. Bei missbräuchlicher Nutzung sind die Inhaber des Mitgliederkontos selbst verantwortlich, wenn ein Dritter an die Zugangsdaten dieses Mitgliedskontos gelangt und für Rechtsverletzungen unter fremden Namen nutzt.
-ck-

Wirtschaftsspionage per USB – Geräte
Viele Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe, das menschliche Fehlverhalten wird nicht mit einkalkuliert. Doch diese Menschlichkeit löst oft die größten Datenpannen aus. Die Gefahr eines Viren-Angriffs per E-Mail, USB - Stick oder Handy usw. wird oft unterschätzt, somit sind die IT-Systeme und Geschäftsinformationen in Gefahr. Ob über einen elektronischen Bilderrahmen, Webcam, SD-Karten-Adapter, mp3 Player, E-Zigaretten (die per USB-Ladegerät am PC geladen werden), die Möglichkeiten den Rechner oder mobile Endgeräte zu infizieren sind vielfältig.
Sogar unbekannte Ladekabel oder öffentlich zugängliche Ladestationen ermöglichen den Angreifern das Auslesen von Sicherheitscodes und Texteingaben, auch die Übertragung des Bildschirminhaltes ist möglich. Beispiel: Unterwegs auf einen Kongress und das mobile Gerät ist leer, unglücklicherweise kein Ladekabel zur Hand. Geliehen ist schnell Eines, doch Vorsicht – das Sicherheitsrisiko kann zu hoch sein.
Die Sicherheit der Unternehmensdaten steht auf dem Spiel, da in vielen Unternehmen die Mitarbeiter nicht ausreichend im Umgang mit sensiblen Daten und den von ihnen verwendeten Geräten geschult sind. Ihnen fehlen die technischen Kenntnisse um nicht nur Anwenderfehler bei den eingesetzten IT-Systemen des Unternehmens zu vermeiden, sondern auch umzusetzen. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten sensibilisiert sind, denn achtsam mitwirken können nur diejenigen, die wissen welche Tricks heute angewandt werden.
-ck-

Konsumforschung und der Datenschutz
Immer mehr Unternehmen analysieren den Konsum ihrer Kunden, ob durch Payback Karten, sozialen Netzwerken, Online-Bestellungen wie auch E-Books oder Musik-Alben und in vielen Apps, um die Werbung genauer an den Vorlieben der Nutzer anzupassen. Viele Menschen regen sich auf, weil sie dieser verhaltensbasierte Verbraucheranalyse kaum entgehen können, andere holen sich freiwillig oder unwissend Überwachung in ihre Wohnzimmer.
Zurzeit sorgt der bekannte WhatsApp Messenger, der zu Facebook seit 2014 gehört, für Unmut der Nutzer und der Datenschutzaufsichtsbehörden. Anhand einer Änderung der Nutzungsbedingungen des Kurznachrichtendienstes, der nun den Austausch von Daten mit dem Mutterkonzern Facebook erlaubt, können die Nutzer zukünftig auch Werbung erhalten die auf ihrer Nutzung ihres WhatsApp Kontos basiert und bekommen Freundschafts-Vorschläge von Personen oder Firmen deren Handynummer sie unter Kontakte gespeichert haben. Diese Änderungen des Kurznachrichtendienstes kritisierte jetzt der Landesdatenschutzbeauftragte von Hamburg, Johannes Casper. Aller Voraussicht nach, werde sich Facebook auf eine Überprüfung einstellen müssen.
-ck-

Kritische Sicherheitslücken durch nicht aktualisierte Sicherheitsupdates
Sicherheitsupdates werden fast täglich von den gängigsten Programmen angeboten, um Schwachstellen der jeweiligen Vorversion zu schließen. Sicherheitslücken werden durch die so genannten Patches gestoppt um Angreifer zu stoppen, welche unbemerkt beliebige Schadprogramme auf ungeschützte PCs schleusen. Lücken im Internet – Explorer, Media Player, Word Pad und Office sind die beliebtesten Angriffsziele der Kriminellen und neuerdings auch Router.
Laut Medienberichten warnt die Verbraucherzentrale Schleswig-Holstein zurzeit vor einer scheinbar alten Fritzbox Sicherheitslücke, welche nicht per Firmware-Update geschlossen wurde und bei machen Nutzern zu sehr hohen Telefonrechnungen geführt hat. Solange Sicherheitslecks in WLAN-Routern verbleiben, können durch geübte Cyberkriminelle alle internetfähigen Geräte ausspioniert werden, die über den Router mit dem Internet verbunden sind - ein Desaster für jede IT – Security.
-ck-

Liebe Leser unserer Datenschutznachrichten

Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten. Entsprechende datenschutzrelevante Aspekte werden in den Datenschutznachrichten der 37. KW einbezogen.
Wir bedanken uns für Ihre Leser-Treue und Ihr Verständnis.
-ck-

-----------------------