Sicheres WLAN im Unternehmen
Nachdem im Frühjahr dieses Jahres die große Koalition die Störerhaftung in weiten Teilen abgeschafft hat, hat auch der Europäische Gerichtshof (EuGH) in dieser Woche ein richtungsweisendes Urteil zur Störerhaftung gefällt (pdf - Urteil Rechtssache C-484/14) Gewerbetreibende, die ein offenes WLAN-Netz anbieten, haften nicht grundsätzlich für Urheberrechtsverletzungen durch Nutzer. Der geplante Zwang zur Verschlüsselung der Router wurde in dem neuen Gesetz nicht mit aufgenommen. Allerdings kann gegebenenfalls vom Hotspot-Betreiber verlangt werden, dass er sein WLAN vor Missbrauch mit einem Passwort schützt oder dass sich die Nutzer registrieren müssen um Zugang zu erhalten.
Doch Nutzer von freiem WLAN sollten bedenken: Ein Hotspot ist immer unsicher, er kann leicht abgefangen werden, da Funkwellen - anders als bei Kabel - nicht auf einen bestimmten Benutzer begrenzbar sind. Andere User haben dadurch grundsätzlich die Möglichkeit, den Datenverkehr mitzulesen oder diesen zu manipulieren. Daher ist es wichtig, das automatische Einwählen an mobilen Endgeräten zu deaktivieren und nur WLAN-Zugänge mit einer möglichst hohen Verschlüsselung (derzeit WPA2) zu nutzen. Gerade kostenfreie Zugänge in Hotels oder Geschäften sowie Bahnhöfen/Flughäfen sind oft unverschlüsselt und daher völlig unsicher. Hier sollte man nur dann geschäftsrelevante oder sensible Daten nutzen, wenn man eine gesicherte Leitung, etwa per Virtual Private Network (VPN), zur Verfügung hat. In der Öffentlichkeit ist außerdem auf ausreichenden Sichtschutz bei Laptops, Smartphone und Tablets zu achten, da neugierige Blicke von allen Seiten Unbefugten Informationen offenlegen könnten.
Oft wird im Geschäftsleben vergessen, dass auch sensible Unternehmensinformationen mit mobilen Endgeräten transportiert und verarbeitet werden, sich somit der Kontrolle der eigenen IT-Sicherheitsstrukturen des Unternehmens entziehen. Gerade deshalb sollten die Sicherheitsrichtlinien in jedem Unternehmen die Nutzung mobiler Endgeräte für Firmenzwecke von Anfang an in das unternehmensweite Sicherheitskonzept integrieren.
-ck-

Datensicherheit: Ausschlaggebender Qualitätsfaktor im Unternehmen
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Nicht nur durch die aktuellen Datenschutzmeldungen sensibilisiert fragen sich die Kunden immer häufiger, wie ein Unternehmen mit Ihren Daten umgeht. Ob Daten aus elektronischer Kommunikation mit dem Unternehmen, ihren Adressdaten, Bestellvorgängen oder auch mit Daten vom Kundenverhalten allgemein.
Vielen Konsumenten wird bewusst, dass die gesammelten Daten über sie anderweitig genutzt werden können. Im Wettbewerb um Kunden ist es umso wichtiger, konsequent den Datenschutz einzuhalten und dies auch zu kommunizieren. Für Unternehmen heißt dieses – die gesetzlichen Vorgaben erfüllen und zusätzlich durch geschickte Vermarktung des gelebten Datenschutzes Imagegewinne und Wettbewerbsvorteile erzielen. Daher lohnt es sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen dass das eigene Unternehmen vom Bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Datenleck bei firmeninterner Untersuchung festgestellt?
Laut Medienberichten wurden persönliche Daten von 500 Millionen Yahoo-Kunden abgegriffen. Der US-Konzern gab an, dass der Datendiebstahl bereits im Jahr 2014 stattgefunden habe. Mittlerweile wurde das FBI eingeschaltet um den Hergang und den Urheber des Cyberangriffs zu ermitteln.
Das Unternehmen rät seinen Nutzern, ihr Passwort und ihre Sicherheitsfragen zu ändern. Sollten User dieselben oder ähnliche Zugangsdaten und Sicherheitshinweise für weitere Mail-Accounts verwenden, sind auch diese schnellst möglichst zu ändern. Auch im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung von sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutz und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
-ck-

IT-Sicherheit online - "Schwache Administrator-Passwörter für über 7 Prozent aller kritischen Sicherheitslücken verantwortlich"

Viele Unternehmen sind sich nicht bewusst, ob und welche Sicherheitslücken in ihren IT-Systemen existieren und genauso wenig haben diese Unternehmen ein funktionierendes Sicherheitskonzept. Die Aufsichtsbehörden für den Datenschutz zählen in ihren jährlichen Tätigkeitsberichten regelmäßig Mängel über den Datenschutz in Unternehmen auf. Endlos lang ist die Liste der in letzter Zeit bekannt gewordenen Datenschutz - Skandale und täglich kommen neue hinzu.
Ob gezielte Wirtschaftsspionage, Konkurrenzausspähung oder allgemeine Cyber-Angriffe - es entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen und Behörden durch diese digitalen Attacken. Auch wird das Vertrauen der Bevölkerung durch diese herausragenden Missbrauchsfälle, im Umgang mit persönlichen Daten, zerstört. Möglich sind solche Manipulationen nur, wenn Sicherheitslücken nicht geschlossen werden.
Nicht nur Hackerangriffe, auch interne Datenpannen in Unternehmen und Behörden zeigen, dass viel zu leichtfertig mit dem Medium Internet und den höchst sensiblen personenbezogenen Daten umgehen. Am 25. Mai 2016 trat die neue europäische Datenschutz-Grundverordnung (EU DS-GVO) offiziell in Kraft. Nach einer zweijährigen Übergangsphase gelten EU-weit die gleichen Datenschutzregeln für alle Unternehmen und öffentlichen Stellen, die persönliche Daten verarbeiten. Eine Umfrage im Auftrag des Digitalverbands Bitkom zur neuen europäischen Grundverordnung ergab, dass viele Unternehmen in Deutschland nur unzureichend und fast die Hälfte aller Firmen in der Bundesrepublik sich noch nicht mit der Reform beschäftigt haben. Unglaublich, das von den befragten Unternehmen 12 Prozent von der Datenschutzreform noch nicht einmal etwas gehört haben, denn der Countdown läuft: Stichtag zur Umsetzung ist der 25. Mai 2018. Nach dem Ende dieser Übergangsfrist für die EU-Mitgliedstaaten drohen Unternehmen die sich nicht an die EU DS-GVO halten, schon bei Bagatellverstößen hohe Strafen. Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens, je nachdem welcher Wert der höhere ist, verhängen. Organisations-Verstöße wie auch schwere materielle Datenschutzverstöße können mit den gleichen Bußgeldbeträgen belegt werden.
-ck-

n-tv online - "Unbemerkt den Rucksack scannen: So einfach kommen Kriminelle an Kreditkarten-Daten"

Vom Schutzbedarf zur Sicherheit: Behörden Kommunikation im Internet veröffentlicht
Laut Medienberichten übermittelt die Rettungsleitstelle der Hamburger Feuerwehr sensiblen Personendaten unverschlüsselt an die Einsatzfahrzeuge der Rettungskräfte. Sensible Gesundheitsdaten, Verdachts-Diagnose samt Adresse der erkrankten Person werden bei Einsatzmeldung unverschlüsselt an die digitalen Meldeempfänger von Notarzt und Rettungswagen gesandt. Ohne Verschlüsselungstechnik lässt sich diese unverschlüsselte Datenübertragung anhand passender handelsüblicher Hard- und Software leicht abfangen und auslesen. Scheinbar hat ein Cyberkrimineller dies auch durchgeführt und über Monate hinaus ca. 280.000 Einsatzmeldungen abgegriffen und diese hochsensiblen Informationen wie Gesundheitszustand, Alter und Adresse der kranken Bürger ins Internet gestellt.
Der Hamburger Beauftragte für Datenschutz, Johannes Caspar, sieht die Feuerwehr in der Pflicht, entsprechende technische und organisatorische Maßnahmen zum Schutz der hochsensiblen personenbezogenen Daten zu ergreifen. Die Staatsanwaltschaft ist eingeschaltet und ermittelt wegen Verstoßes gegen das Telekommunikationsgesetzt. Dieser Vorfall zeigt auf erschreckende Weise, wie Daten von Behörden-Kommunikationen missbraucht werden können – ein Albtraum für die Bürger und den Datenschutz.
-ck-

Digitale Agenda: Strafbarkeit Internet-Kriminalität
Der Bundesrat hat vor kurzem (23.09.2016) einen Gesetzentwurf zum "Digitalen Hausfriedensbruch" den deutschen Bundestag vorgelegt. Anhand der stetig wachsenden Bedrohung durch Cyber-Kriminalität soll das Strafgesetzbuch durch den § 202e StGB-E für den persönlichen digitalen Schutzbereich angepasst werden. Zunehmende Cyber-Kriminalität wie zum Beispiel DDoS-Attacken und andere Botnetz-Aktivitäten die mit einer Störung der Datenverarbeitung einhergehen, werden anhand von Lücken im Strafgesetz bisher nicht erfasst. Das soll sich durch den neuen Paragraf 202e ändern. Je nach Schwere des Strafmaßes sind Geld- oder Freiheitsstrafen von bis zu 10 Jahren Haft geplant. Schon ein Versuch eines Angriffs auf kritische Infrastrukturen soll strafbar werden. Jetzt bleibt es abzuwarten, ob der Gesetzesantrag der Bundesratsinitiative abgesegnet wird.
-ck-

Unternehmen sollten Datenschutz-Maßnahmen treffen
Laut Medienberichten besteht mittlerweile die Möglichkeit, Computer anhand aktueller Anti-Viren-Programme oder Anti-Ransomware Tools zu schützen, jedoch nicht vor neuen Versionen der Schadsoftware. Dennoch sollten Mitarbeiter niemals Dateianhänge öffnen oder Links folgen, wenn der Urheber zweifelhaft oder beispielsweise eine Mail mit Schreibfehler versehen ist. Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen die Angestellten für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-