Passwortsicherheit: Weit verbreitetes Defizit bei der IT-Sicherheit
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per Internet. Ein Grund für die rasante Verbreitung, ist die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht und somit haben Angreifer freie Bahn.
Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
-ck-

Sicherheitslücken im eigenen Unternehmen suchen
Der Mensch im Unternehmen stellt mit die größte Schwachstelle dar. Gefahren drohen ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen auf ihre Laptops kopieren oder unverschlüsselte mobile Endgeräte wie Festplatten, Notebooks und Speicherstifte verloren gehen. Unachtsamkeit bei zu schnell und unüberlegte Datenfreigabe oder Dokumente die einfach im Papierkorb entsorgt werden, können das Image eines Unternehmens sehr schaden. Mitarbeiter sollten so sensibilisiert werden, damit sie wissen welche Informationen in welcher Form rausgegeben werden dürfen.
Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –Verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist. Im Klartext: Weder durch Mitarbeiter, per Mail oder mobilen Endgerät dürfen sensiblen Daten das Unternehmen verlassen.
-ck-

Handlungsbedarf: IT-Sicherheit
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren auf deutsche Unternehmen drastisch zugenommen. Im Focus stehen mittlerweile nicht nur deutsche Großkonzerne – viele Cyber-Angriffe richten sich auch gegen kleine und mittlere Unternehmen. In dieser Woche stellte Bundesinnenminister Dr. Thomas des Maizière und BSI-Präsident Arne Schönbohm den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellten neuen Lagebericht "IT-Sicherheit in Deutschland 2017" vor.
Dem BSI-Bericht zufolge, nutzen immer mehr Cyber-Kriminelle die Schwachstellen in Soft- und Heardware aus, auch die Anzahl der bekannten Schadprogrammvarianten – oft versendet per Mails - sowie Erpresserprogramme (Ransomware) sei dramatisch gestiegen. Zur wachsenden Gefahrenquelle wird vor allem das seit langem bekannte Angriffsziel: Das Internet der Dinge, da die IT-Sicherheit bei der Herstellung und von den Kunden bei den vernetzten Geräten zu wenig beachtet wird.
Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Laut dem von Mitte 2016 bis Mitte 2017 reichenden IT- Lagebericht 2017 sind bisher acht Meldungen aus dem Sektor Informationstechnik und Telekommunikation, elf aus dem Sektor Energie, drei aus dem Sektor Wasser und zwei aus dem Sektor Ernährung beim BSI eingegangen.
Digitale Angriffe werden immer aggressiver, doch Unternehmen unterschätzen immer noch die Gefahren im digitalen Raum.
-ck-

Herausforderung: Internet of Things
Das Internet der Dinge (Internet of Things, oder kurz IoT) ist auf dem Vormarsch, IoT-Geräte sind mittlerweile überall, ob Smart Car, Smart Ecerything oder das komplett vernetzte Haus. Vernetzte Geräte die untereinander kommunizieren und eigenständig mitdenken sind praktisch, doch wie sieht der Sicherheitsstandard für das IoT in der Zukunft aus? Die meisten Geräte sammeln zu viele sensible Daten, individuelle Nutzungsverhalten lassen sich erfassen und auswerten, der Datenhunger der Industrien aber auch der Cyberkriminellen wächst. IT-Spezialisten warnen schon lange und weisen darauf hin, dass sich anhand im Internet frei verfügbarer Werkzeuge sowie zum Beispiel die Suchmaschine Shodan, die im Internet verbundene Geräte identifiziert, Smart Home-Anlagen ohne großen Aufwand manipulieren lassen. Über das Netz per Virtual Network Computing wird es Cyberkriminellen zu leicht gemacht, Kontrolle über vernetzte Geräte zu erhalten. Deshalb müssen IoT-Unternehmen Sicherheitsprobleme von Beginn des Entwicklungsprozesses an bedenken um die Daten der Bürger gegen Datenmissbrauch oder andere Sicherheitsvorfällen zu schützen.
-ck-

Unternehmen haben zunehmend Probleme mit der IT-Sicherheit
Wie die Medien in dieser Woche berichteten, wurden von einem der großen Schweizer Online-Händler erneut sensible Kundendaten gestohlen. Bereits Ende August scheinen 21.000 Login-Daten Cyberkriminellen in die Hände gefallen zu sein. Anhand einer IT-Schwachstelle wären sensible Daten wie Name, Geschlecht, Telefonnummer, Postanschrift und E-Mail-Adresse entwendet worden, doch ein Zugriff auf die Kreditkarteninformationen soll nicht erfolgt sein, so die Meldung des Unternehmens. Auch seien nur die Kunden die sich zwischen 2001 und 2014 bei dem Online-Versandhändler registriert haben von dem massiven Datendiebstahl betroffen. Betroffene Kunden wurden über das Abgreifen ihrer sensiblen Kontaktdaten informiert.
Das Schadensausmaß für Unternehmen durch Cyber-Attacken ist riesig. Oft benötigen Firmen nach einem heftigen Angriff wesentlich länger als einen ganzen Arbeitstag um die IT-Systeme wieder herzustellen. Zudem können deftige Umsatzeinbußen, sowie der Verlust des Kundenvertrauens Unternehmen in eine Krise stürzen. Der beste Schutz vor einem Angriff besteht darin, bei den Mitarbeitern ein entsprechendes Sicherheits-Bewusstsein zu wecken und mit qualifizierten IT-Fachkräften und Datenschutzberatern zusammenzuarbeiten.
-ck-

Eine Pharmaunternehmen aus den USA hat eine Pille mit Chip entwickelt, welche per Sender über Bluetooth an Smartphones Informationen weiterleitet. Somit können Ärzte oder Betreuer überprüfen, ob Patienten ihre Medikamente wie vorgeschrieben einnehmen.
Die U. S. Food and Drug Administration (FDA, dt. Behörde für Lebens- und Arzneimittel) hat jetzt die erste Pille mit einem Sender zugelassen.
Anhand der digitalen Überprüfung der Einnahme könnte dieses Medikament Probleme in der Kranken-Therapie beseitigen und somit die Versorgung von den Patienten verbessern. Angewendet soll sie zum Beispiel bei Patienten mit psychischen Leiden, Kindern oder Alzheimer-Patienten mit Psychosen.
Doch was ist, wenn diese hochsensiblen Daten entwendet oder zweckwidrig genutzt werden? Der Patient wird anhand der digitalen Pille total überwacht, der Preis den man dafür bezahlt ist, dass man nicht weiß wo diese Daten landen können. Denn mit diesen hochsensiblen Daten werden Gesundheits- und Risikoprofile erstellt, die sich auch zum Nachteil auswirken können. Nicht nur die Versicherungen interessieren sich für diese hochsensiblen Informationen.
-ck-

Immer noch mangelhafter Datenschutz im Unternehmen
Laut Medienberichten hat in dieser Woche der US-Fahrdienstvermittler Uber einen massiven Datendiebstahl, der schon im Herbst 2016 stattfand, eingeräumt. Personenbezogene Daten von Millionen Nutzern und Uber-Fahren sollen die Angreifer erbeutet haben. Statt Behörden oder betroffene Kunden und Fahrer zu benachrichtigen, bezahlte das Unternehmen 100.000 Dollar den Cyberkriminellen, damit Diese die gestohlenen Daten vernichten. Mittlerweile laufen Ermittlungsverfahren gegen das Unternehmen, zumal der US-Konzern in der Vergangenheit durch die US-Regierung auf 20 Jahre regelmäßige Datenschutz-Check-Ups von externen Prüfern verpflichtet wurde.
Wäre der Daten-Diebstahl des US- Fahrdienstvermittler Uber nach dem 25. Mai 2018 bekannt geworden, wären der immense Image-Schaden und der Vertrauensverlust der Kunden zwar gigantisch, doch der US-Konzern hätte millionenschwere Strafzahlungen leisten müssen. Denn Ende Mai 2018 tritt, für alle EU-Mitgliedsstaaten wirksam, die EU-Datenschutz-Grundverordnung (DSGVO) mit einheitlichen Regelungen für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten endgültig in Kraft.
Die europäische Datenschutz-Grundverordnung soll die Datenschutz-Regelung zur Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der Europäischen Union vereinheitlichen. Eine Zielsetzung ist auch, dass innerhalb der Europäischen Union der Schutz von personenbezogenen Daten sowie der freie Datenverkehr innerhalb des Europäischen Binnenmarktes sichergestellt werden kann.
Für Unternehmen ist unter anderem eine verschärfte Meldepflicht bei Datenpannen, so wie eine Verschärfung der Bußgeldvorschriften bei Datenschutzverstößen vorgesehen. Der Höchstbetrag der neuen Bußgeldsummen in der EU-DS-GVO wird auf 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens, je nachdem, welcher Wert der höhere ist, festgesetzt. Organisations-Verstöße wie auch schwere materielle Datenschutzverstöße können mit den gleichen Bußgeldbeträgen belegt werden.
Zukünftig erfordert die Datenschutz-Grundverordnung zudem eine Benennung eines betrieblichen Datenschutzbeauftragten sowie die Mitteilung an die Aufsichtsbehörden, sofern eine "Benennungspflicht" (Art. 35 Abs. 1 DSGVO) besteht. Darüber hinaus kann jedes Unternehmen für die umfangreichen Aufgaben der neuen EU-Datenschutzrichtlinien einen externen Datenschutzbeauftragten freiwillig bestellen.
Damit es im kommenden Jahr kein böses Erwachen gibt, sollten Unternehmen sich rechtzeitig auf die komplexen Richtlinien vorbereiten.
-ck-

Wirtschaftskriminalität durch eigene Mitarbeiter
Große Firmen und vor allem der Mittelstand haben immer wieder damit zu kämpfen, dass vertrauliche interne Dokumente an die Öffentlichkeit gelangen und angesichts dieser kriminellen Machenschaften ein riesiger wirtschaftlicher Schaden verursacht wird. Geschäftsinformationen sind in IT-Systemen oft unzureichend durch Zugriffs- und Berechtigungsmanagement geschützt und die Gefahr von Datenklau zum Beispiel über E-Mail, USB-Stick oder Handy wird selten ernst genommen, was ein erhebliches Sicherheitsrisiko darstellt. Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe.
Doch diese machen nicht unbedingt den größten Schaden aus, wie die One Identity Global State of IAM Study jetzt belegt. Demnach werde in jedem zweiten Unternehmen herumgeschnüffelt und auf vertrauliche und sensible Informationen zugegriffen. Die Studie ergab, dass selbst IT-Sicherheitsexperten anhand der privilegierten Zugriffsberechtigungen selbst auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, das verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden. Mitarbeiter sollten ausschließlich nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
-ck-