Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten. Entsprechende datenschutzrelevante Aspekte werden in den Datenschutznachrichten nächste Woche (28. KW) einbezogen.
Wir bedanken uns für Ihre Leser-Treue und freuen uns darauf, Sie nächste Woche wieder bei uns begrüßen zu dürfen.
-ck-

Unterschätztes Datenleck: Eigene Mitarbeiter
Eine vor kurzem veröffentlichte Studie von Kaspersky Lab und B2B International http://b2binternational.com ergab, dass für fast die Hälfte aller IT-Security Sicherheitsverletzungen im Unternehmen, die eigenen Mitarbeiter verantwortlich sind.
Gefahren drohen ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen auf ihre Laptops kopieren oder unverschlüsselte mobile Endgeräte wie Festplatten, Notebooks und Speicherstifte verloren gehen. Unachtsamkeit bei zu schnell und unüberlegter Datenfreigabe, Dokumente die einfach im Papierkorb entsorgt werden oder Datenpannen die von den Mitarbeitern verheimlicht werden, können nicht nur das Image eines Unternehmens sehr schaden, sondern hohe Kosten verursachen. Im aktuellen Zeitalter sind schützenswerte Daten Bestandteil vieler betrieblicher Abläufe. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Datenschutz-Sensibilisierung aller Mitarbeiter in Unternehmen - jeglicher Größe - durchgeführt werden.
-ck-

Akute Gefährdung durch CEO Fraud
Große Konzerne sind in der Regel technisch gut ausgestattet im Kampf gegen Online-Kriminelle, doch die Angriffe sind zielgerichteter und geschickter geworden. Cyber-Kriminelle setzen verstärkt auf Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie die Mitarbeiter geschickt manipulieren, um illegal an sensible Unternehmensdaten zu gelangen. Zielgerichtet werden menschliche Reaktionen wie zum Beispiel: Hilfsbereitschaft, Neugierde, Gutgläubigkeit, Respekt vor Autoritäten oder Konfliktvermeidung von den Angreifern ausgenutzt, um die IT-Sicherheitskette im Unternehmen zu hintergehen. Vertrauliche Informationen werden auf vielerlei Wege von den gutgläubigen Mitarbeitern entlockt, ob im Sozialen Netzwerk oder mit fingierten Telefonanrufen. Firmenmitarbeiter werden anhand Vertraulichkeit oder falschen Identitäten getäuscht. Betrüger geben sich zum Beispiel als vermeintliche weisungsbefugte Vorgesetzte aus, um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen.
Wie die Medien in dieser Woche berichteten, ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Besitz einer Liste mit rund 5000 potentiellen Zielpersonen für gezielte Angriffe gelangt. Die Betroffenen Unternehmen wurden über die akute Gefahr durch das BSI informiert. Eine technische Möglichkeit sich vor solchen Methoden des Social Engineerings zu schützen, gibt es nicht. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können.
-ck-

Albtraum Identitätsdiebstahl
Laut Medienberichten wurde ausgerechnet die Identität eines Vorstandschefs von einem weltweit agierenden Sicherheitsunternehmens gehackt. Persönliche Informationen über ihm wurden gestohlen und anhand dieser sensiblen Daten in seinem Namen einen Kreditantrag gestellt. Dieser gravierende Identitätsmissbrauch ging so weit, dass der Täter im Namen des Vorstandschefs ein Gesuch um Konkurs einreichte.
Ermittlungen in solchen Fällen sind langwierig und ein Identitätsdiebstahl extrem schwierig aufzuklären, in diesem Fall wurde der Gerichtsentscheid zwei Tage nach der Urteilsverkündigung aufgehoben – doch es geht nicht immer so gut aus.
-ck-

Neue Cyber-Sicherheitsbehörde im Freistaat Bayern
Ende dieses Jahres wird im Freistaat Bayern ein eigenes Landesamt für IT-Sicherheit (LSI) in Nürnberg seine Arbeit aufnehmen. IT-Spezialisten sollen die Netze und IT-Verfahren der bayerischen Staatsverwaltung sicherer machen und werden nicht nur bestehende Sicherheitsmaßnahmen laufend weiterentwickeln, sondern neue Cyber-Bedrohungen analysieren und Gegenmaßnahmen konzipieren. Auch soll das Landesamt für Sicherheit in der Informationstechnik Kommunen und Bürger in Sicherheitsfragen rund um das Internet beratend zur Seite stehen, sowie Opfer von Computer-Kriminalität beraten und betreuen. Der Finanz- und Heimatminister Dr. Markus Söder, der auch Chief Information Officer (CIO) des Freistaats Bayern ist, erklärte: "Bayern schafft als erstes Bundesland eine eigenständige IT-Sicherheitsbehörde, die Gefahren für die staatliche IT-Infrastruktur abwehrt". 200 IT-Sicherheits-Spezialisten sollen bis zum Jahre 2020 für diesen Bereich tätig werden.
-ck-

IT-Angriffe: Unternehmen verdrängen die Gefahr
Cyberkriminalität wird auch in diesem Jahr so manche Herausforderung für IT-Abteilungen in den Unternehmen werden. Laut Sicherheitsexperten müssen Unternehmen sich auf einer Zunahme von immer mehr professionell werdenden Angriffen einstellen. IT-Sicherheit muss für alle Systeme greifen, mit denen Informationen verarbeitet, genutzt und gespeichert werden. Zudem können Unternehmen nur dann den Kampf gegen Cybercrime gewinnen, wenn durch kontinuierliche Datenschutz - Schulungen die Angestellten einschließlich der Geschäftsleitung für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf relevante Gefahrenquellen wie zum Beispiel Social Engineering hingewiesen werden.
-ck-

Arbeitnehmer - Datenschutz gestärkt
Verdeckte Überwachung der Arbeitnehmer am Firmenrechner durch sorgenannte Keylogger, welche alle Tastatureingaben heimlich protokollieren und auch Pausenzeiten aufzeichnen können, sind unzulässig, so die jüngste Entscheidung durch das Bundesarbeitsgericht (BAG) in Erfurt. Die Bundesarbeitsrichter werteten den Einsatz der Spähsoftwäre als massiven Eingriff in die Persönlichkeitsrechte der Arbeitnehmer.
Im konkreten Fall ging es um die Kündigung eines Programmierers aus Nordrhein-Westfalen. Sein Chef hatte ihm anhand spezieller Spähsoftware, die jeden seiner Tastenschläge und Bildschirmfotos seiner E-Mail-Dateien speicherte, vorgeworfen Teile seiner Arbeitszeit am Dienst-PC für private Zwecke genutzt zu haben. Die digitalen Daten seien rechtswidrig gewonnen und dürften vor Gericht nicht als Beweismittel verwendet werden, so die Bundesarbeitsrichter. Sie erklärten deshalb, genau wie den Vorinstanzen, die Kündigung des Mitarbeiters für unwirksam.
Lediglich wenn ein konkreter Verdacht auf Straftaten oder anderen gravierenden Pflichtverletzungen des Arbeitnehmers bestehen, darf eine entsprechende Software angewandt werden, urteilte das höchste Arbeitsgericht in Erfurt. Dieses Urteil (Aktenzeichen 2 AZR 681/16) gilt als Grundsatzentscheidung zur digitalen Überwachung.
-ck-

Datenhunger der Industrie
Das Internet der Dinge (Internet of Things, oder kurz IoT) ist auf dem Vormarsch, IoT-Geräte sind mittlerweile überall, ob Smart Car, Smart Ecerything oder das komplett vernetzte Haus. Vernetzte Geräte die untereinander kommunizieren und eigenständig mitdenken sind praktisch, doch wie sieht der Sicherheitsstandard für das IoT in der Zukunft aus? Die meisten Geräte sammeln zu viele sensible Daten, individuelle Nutzungsverhalten lassen sich erfassen und auswerten, der Datenhunger der Industrien aber auch der Cyberkriminellen wächst.
Smart Home Beispiel: Ein Staubsaugerroboter sammelt in der Wohnung die Umgebungsdaten um perfekt zu reinigen und nirgends anzustoßen. Der Hersteller des smarten Staubsaugers hat nun die Idee, in Zukunft diese detaillierten Wohnungskarten an Hersteller von Smart-Home-Geräte wie zum Beispiel Apple, Amazon oder Google zu verkaufen. Es bleibt abzuwarten, ob die Kunden ihre sensiblen privaten Daten dem Unternehmen anvertrauen, oder sich und ihre Privatsphäre lieber schützen.
-ck-