datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Mon, 18 Mar 2024 11:58:10 +0000 de-DE hourly 1 Schluss mit Datenmissbrauch: IT-Sicherheitsexpertin Patrycja Schrenk begrüßt KI-Verordnung https://www.datensicherheit.de/schluss-datenmissbrauch-it-sicherheitsexpertin-patrycja-schrenk-begruessung-ki-verordnung https://www.datensicherheit.de/schluss-datenmissbrauch-it-sicherheitsexpertin-patrycja-schrenk-begruessung-ki-verordnung#respond Mon, 18 Mar 2024 11:58:10 +0000 https://www.datensicherheit.de/?p=44291 psw-group-patrycja-schrenkDiese Verordnung ist wegweisend, denn sie legt klare Regeln und Anforderungen für Unternehmen fest, die KI-Systeme entwickeln oder nutzen.]]> psw-group-patrycja-schrenk

Die EU hat mit der KI-Verordnung (AI Act) bedeutenden Schritt unternommen, um Missbrauch von Daten zu unterbinden und Privatsphäre der Bürger zu schützen

[datensicherheit.de, 18.03.2024] Nach Ansicht von Patrycja Schrenk, Geschäftsführerin der PSW GROUP, hat die Europäische Union (EU) mit der sogenannten KI-Verordnung („Artificial Intelligence Act“ / AI Act) einen bedeutenden Schritt unternommen, um den Missbrauch von Daten zu unterbinden und die Privatsphäre ihrer Bürger zu schützen: „Diese Verordnung ist wegweisend, denn sie legt klare Regeln und Anforderungen für Unternehmen fest, die KI-Systeme entwickeln oder nutzen.“

psw-group-patrycja-schrenk

Foto: PSW GROUP

Patrycja Schrenk: Die zunehmende KI-Präsenz in unserem Alltag erfordert eine angemessene Regulierung, um die Würde, Privatsphäre und andere Grundrechte zu wahren!

Ziele der KI-Verordnung vielfältig

Die Ziele der KI-Verordnung seien vielfältig: „Sie zielt zum einen darauf ab, dass KI-Systeme die Würde, Privatsphäre und andere Grundrechte von Menschen respektieren, zum anderen aber auch darauf, das Vertrauen in KI-Systeme zu stärken.“ Zudem solle diese Verordnung die europäische Wirtschaft unterstützen – indem sie demnach einen einheitlichen Rechtsrahmen für den Einsatz von KI in der EU schafft. Durch die Einstufung von KI-Systemen in verschiedene Risikoklassen würden Anforderungen und Pflichten festgelegt, um das Risiko für den Missbrauch von Daten zu minimieren.

Eine Schlüsselbestimmung der Verordnung sei die Transparenz und Verantwortlichkeit bei der Datenverarbeitung durch KI-Systeme: „Bei Nutzung von KI-Systemen, wie ,Chatbots’ beispielsweise, sollten Nutzende wissen, dass sie mit einer Maschine interagieren. Zudem müssen KI-generierte Inhalte wie ,Deep Fakes’ als solche kenntlich gemacht werden und Anbieter sind angehalten sicherzustellen, dass synthetische Audio-, Video-, Text- und Bildinhalte als künstlich erzeugt oder manipuliert erkennbar sind“, erläutert Schrenk.

Negative Auswirkungen auf Grundrechte durch KI-Einsatz erkennen, bewerten und verhindern

Neue Regelungen in der Verordnung beträfen unter anderem Pflichten zur Dokumentation, „Governance“ und zum Risikomanagement sowie die Einführung einer verpflichtenden Prüfung zur Wahrung der Grundrechte. Diese Prüfung ähnele der Datenschutz-Folgenabschätzung und diene dazu, negative Auswirkungen auf Grundrechte durch den Einsatz von KI besser zu erkennen, zu bewerten und zu verhindern.

„Darüber hinaus erhalten diejenigen, die von KI-Systemen betroffen sind, ein gesetzliches Recht auf Beschwerde und Auskunft bei Entscheidungen, die von KI-Systemen getroffen werden“, so Schrenk. Bei Verstößen gegen die KI-Verordnung drohten hohe Bußgelder von bis zu 40 Millionen Euro oder bis zu sieben Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres.

KI-Verordnung wird Unternehmen vor neue Herausforderungen stellen

„Die KI-Verordnung wird Unternehmen vor neue Herausforderungen stellen. Sie müssen zunächst ihre KI-Systeme identifizieren und klassifizieren. Zudem gibt es auch bereits andere gesetzliche Vorgaben für den Einsatz von KI, wie Datenschutz, Urheberrecht und Schutz von Geschäftsgeheimnissen, die beachtet werden sollten.“

Gleichzeitig eröffnet diese Verordnung laut Schrenk aber auch Chancen für eine transparente und verantwortungsvolle Nutzung von KI-Systemen – denn sie lege Wert auf Transparenz und Rechenschaftspflicht bei der Datenverarbeitung und stärke so das Vertrauen der Verbraucher in KI-Technologien.

Bis KI-Verordnung in Kraft tritt, wird es noch etwas dauern

Schrenk begrüßt nach eigenen Angaben diese Entwicklung. Die zunehmende KI-Präsenz in unserem Alltag erfordere eine angemessene Regulierung, um die Würde, Privatsphäre und andere Grundrechte zu wahren. Sie erläutert: „Immerhin ist von Empfehlungssystemen bis hin zu Systemen, die über Kreditvergaben oder Jobangebote entscheiden, die Bandbreite der Anwendungen enorm gewachsen.“

Bis die KI-Verordnung in Kraft tritt, dürfte noch einige Zeit vergehen: „Sie wurde am 8. Dezember 2023 politisch vereinbart, derzeit wird der Text des ,AI Acts’ finalisiert und muss anschließend noch vom Europäischen Parlament und vom Rat angenommen werden.“ Zudem werde es einen Übergangszeitraum geben, bevor die Verordnung in Kraft tritt.

Weitere Informationen zum Thema:

datensicherheit.de, 15.03.2024
EU AI Act: Peter Sandkuijl kommentiert KI-Gesetz aus IT-Security-Sicht / KI-Gesetz soll Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen

datensicherheit.de, 14.03.2024
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung / Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

PSW GROUP Consulting Blog, 10.01.2024
Schluss mit Datenmissbrauch: Wie die KI-Verordnung unsere Privatsphäre schützt

]]>
https://www.datensicherheit.de/schluss-datenmissbrauch-it-sicherheitsexpertin-patrycja-schrenk-begruessung-ki-verordnung/feed 0
TikTok: Drohendes Verbot in den USA https://www.datensicherheit.de/tiktok-drohung-verbot-usa https://www.datensicherheit.de/tiktok-drohung-verbot-usa#respond Fri, 15 Mar 2024 14:14:00 +0000 https://www.datensicherheit.de/?p=44282 arctic-wolf-adam-marreDas US-Repräsentantenhaus hat einen Gesetzesentwurf verabschiedet, um den chinesischen TikTok-Eigentümer, ByteDance, zu zwingen, diese Videoplattform zu verkaufen.]]> arctic-wolf-adam-marre

TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

[datensicherheit.de, 15.03.2024] Laut einer Meldung von Arctic Wolf hat das US-Repräsentantenhaus am 13. März 2024 einen Gesetzesentwurf verabschiedet, der den chinesischen Eigentümer von „TikTok“ – ByteDance – per Gesetz dazu zwingen soll, diese Videoplattform zu verkaufen. Jetzt geht der Entwurf demnach an den US-Senat. Adam Marrè, „Chief Information Security Officer“ bei Arctic Wolf und ehemaliger FBI Special Agent sowie „Cyber Investigator“, kommentiert die Entwicklungen rund um „TikTok“ und deren möglichen Konsequenzen für die globale Internetwirtschaft.

arctic-wolf-adam-marre
Foto: Arctic Wolf
Adam Marrè: Effektivere Aufsicht über Apps in ausländischem Besitz könnte Verbot unnötig machen

Auswirkungen von TikTok auf Nationale Sicherheit befürchtet

„Die US-Gesetzgeber sind zu Recht besorgt über die Auswirkungen von ,TikTok’ auf die Nationale Sicherheit und haben die Notwendigkeit eines Eingreifens erkannt“, so Marrè in seinem Kommentar. Indes betont er, dass jedoch das Verbot einer sich in ausländischem Besitz befindlichen App „keine tragfähige langfristige Lösung“ sei, da es das eigentliche Problem nicht angehe – nämlich die die unregulierte Art und Weise, „wie Soziale Medien und Tech-Unternehmen Nutzerdaten sammeln, speichern und nutzen“. Solche Maßnahmen lösten nicht das grundlegende Problem, „mit dem Bürgerinnen und Bürger konfrontiert sind und das der Gesetzgeber nicht rechtzeitig in Angriff genommen hat: das Fehlen strenger Bundesgesetze zum Datenschutz“.

Obwohl „TikTok“ mit seinen ausländischen Verbindungen einzigartige Risiken mit sich bringe, bedeute dies nicht, dass „einheimische“ Tech-Unternehmen weniger invasiv oder sicherer im Umgang mit Daten seien – das Risiko sei hier nur weniger offensichtlich. Marrè erläutert: „Das Fehlen strenger Vorschriften für Datenverkäufe oder Manipulationen von Algorithmen bedeutet, dass jedes Unternehmen, ob im In- oder Ausland, User-Daten ausnutzen oder die öffentliche Meinung auf subtile Weise beeinflussen könnte.“ Zwar sei es richtig, sich mit den spezifischen Bedrohungen durch „TikTok“ zu befassen, aber als nachhaltige, umfassende Strategie seien solche Bemühungen unzureichend, da sie sich nicht mit den allgemeineren Datenschutz- und Sicherheitsbedenken der Tech-Branche befassten.

Statt eines TikTok-Verbots bessere Spielregeln für Internet-Giganten empfohlen

Der „Digital Services Act“ der EU – seit dem 17. Februar 2024 in vollem Umfang durchsetzbar – ziele darauf ab, einen sichereren Digitalen Raum zu schaffen, „in dem die Grundrechte der Nutzer geschützt sind und gleiche Wettbewerbsbedingungen für Unternehmen geschaffen werden“. Illegale Inhalte sollten auch leichter zu entfernen sein. Neben Online-Marktplätzen, Content-Sharing-Plattformen und ähnlichen Online-Auftritten sollten mit der Gesetzgebung auch Apps Sozialer Netzwerke reguliert werden.

„Einheitliche Regelungen, die für Anbieter aus allen Herkunftsländern gelten, könnten langfristig die effektivere Variante sein“, unterstreicht Marrè, warnt aber auch: „Allerdings nur, wenn die Regeln die allgemeine Meinungsfreiheit nicht zu sehr einschränken – wie Verbraucherschützer bereits mehrfach gewarnt haben – und die Einhaltung der Richtlinien kontrolliert und Verstöße geahndet werden können.“

TikTok oder Meta – Bedrohung durch TikTok doch noch stärker

Marrè erläutert: „Es geht nicht um den Kampf Meta gegen ,TikTok’ – bei beiden sind Bedenken angebracht. Ja, Social-Media-Plattformen wie ,facebook’ stellen ein erhebliches Risiko dar, weil sie umfangreiche Nutzerdaten sammeln, um die User auszunutzen und potenziell zu gefährden, aber sie könnten zumindest theoretisch durch US-Gesetze oder die Möglichkeit einer Regulierung eingeschränkt werden.“ „TikTok“ stelle jedoch eine erhöhte Bedrohung dar, da es jenseits solcher gesetzlichen Schutzmaßnahmen operiere. „Das Fehlen einer Aufsicht bedeutet, dass die App-Betreiber alle gesammelten Daten nutzen und ihren Algorithmus manipulieren können, um die öffentliche Meinung, vor allem unter Jugendlichen, auf subtile Weise und völlig ungestraft zu beeinflussen.“

Die Fähigkeit dieser Plattform zur verdeckten Beeinflussung der gesellschaftlichen Wahrnehmung in Verbindung mit der Möglichkeit, die immensen Mengen an detaillierten Daten, die sie sammelt, in einer Weise zu nutzen, die den Interessen der USA schadet, erhöht laut Marrè das Risiko zusätzlich. Sie operiere unter einer ausländischen Gerichtsbarkeit, welche dafür bekannt sei, Informationen zu ihrem Vorteil zu nutzen – und somit die Besorgnis über ihre unkontrollierte Macht noch verstärke.

TikTok-Verbot könnte internationale Beziehungen weiter belasten

Ein Verbot von „TikTok“ in den USA könnte aber weitreichende internationale Auswirkungen haben und insbesondere die Spannungen zwischen den USA und China bzw. dem Westen und Teilen Asiens verschärfen. Außerdem könnte dieses Verbot Vorbild für weitere westliche Nationen werden, es den USA gleichzutun. Ein solch gezieltes Verbot würde die Bereitschaft der USA und des Westens signalisieren, strengere Maßnahmen gegen die chinesische Technologiepräsenz zu ergreifen, „die sich auch auf andere chinesische Plattformen auswirken und die technologische Entkopplung zwischen den beiden Ländern bzw. Regionen verstärken könnten“.

Diese Maßnahme könnte die bereits angespannten Beziehungen weiter verschlechtern und zu einem breiteren geopolitischen Wettbewerb beitragen, bei dem die US-Maßnahmen als aggressive Schritte zur Eindämmung von Chinas technologischem und geopolitischem Einfluss wahrgenommen würden. Darüber hinaus spiegele der Fokus auf „TikTok“ die Besorgnis in den USA und im Westen wider, einen strategischen Vorteil gegenüber China zu verlieren, insbesondere im Technologiesektor.

Ein Verbot von TikTok könnte unheilvollen Präzedenzfall schaffen

Die weiterreichenden Auswirkungen eines Verbots könnten auch den globalen Handel, die Kommunikationsströme und den Zugang zu Informationen in Frage stellen und andere Länder im Gegenzug dazu veranlassen, ähnliche Beschränkungen für US-Unternehmen zu verhängen – „insbesondere angesichts der weltweiten Besorgnis über das unregulierte ,Daten-Ökosystem’ der USA“.

Es werde befürchtet, dass ein solcher Schritt einen Präzedenzfall schaffen und zu einem zunehmend fragmentierten Internet führen könnte, was den internationalen Datenfluss stören und den globalen digitalen Handel und die Kommunikation beeinträchtigen würde. Die Debatte um „TikTok“ berühre daher Themen, die weit über diese App selbst hinausgingen und Fragen nach dem Gleichgewicht zwischen Nationaler Sicherheit und globaler Internetwirtschaft aufwerfen würden.

TikTok-Verkauf an US-Unternehmen als möglicher Ausweg

Angesichts der großen Beliebtheit dieser App und der logistischen Herausforderungen bei der Umsetzung eines vollständigen Verbots wäre es für ByteDance, die Muttergesellschaft von „TikTok“, eine praktikablere Lösung, das im aktuellen Gesetzentwurf vorgesehene Verbot zu umgehen und seine US-Aktivitäten an ein US-amerikanisches Unternehmen zu veräußern. Die Umsetzung eines vollständigen Verbots von „TikTok“ sei mit erheblichen logistischen Herausforderungen verbunden. „Es ist davon auszugehen, dass ein Verbot die Nutzerbasis der App erheblich reduzieren würde. Damit fungiert das drohende Verbot indirekt als Druckmittel, um ByteDance dazu veranlassen, einen Verkauf des TikTok-Geschäfts in den USA zu erwägen.“

Außerdem müsse erwähnt werden, dass das Versagen des US-Kongresses bei der Regulierung inländischer Social-Media-Unternehmen den Weg für ausländische Organisationen geebnet habe, Apps wie „TikTok“ ohne Einschränkungen zu betreiben. Marrès Fazit: „Hätte der Kongress strenge, klare und robuste Vorschriften erlassen, die die Privatsphäre der Nutzer und Nutzerinnen schützen und ihnen die Kontrolle über die Erhebung, Speicherung und Verwendung persönlicher Daten ermöglicht, hätten wir eine effektivere Aufsicht über Apps in ausländischem Besitz und ein Verbot wäre mit höherer Wahrscheinlichkeit unnötig.“

Weitere Informationen zum Thema:

tagesschau, 13.03.2024
Drohendes Verbot in den USA / Repräsentantenhaus will TikTok-Verkauf erzwingen

Die Bundesregierung
Digital Services Act / Das Gesetz über digitale Dienste

]]>
https://www.datensicherheit.de/tiktok-drohung-verbot-usa/feed 0
EU AI Act: Peter Sandkuijl kommentiert KI-Gesetz aus IT-Security-Sicht https://www.datensicherheit.de/eu-ai-act-peter-sandkuijl-kommentar-ki-gesetz-it-security-sicht https://www.datensicherheit.de/eu-ai-act-peter-sandkuijl-kommentar-ki-gesetz-it-security-sicht#respond Fri, 15 Mar 2024 13:48:31 +0000 https://www.datensicherheit.de/?p=44274 check-point-peter-sandkuijlDie rasante Verbreitung von KI, insbesondere von generativer KI, hat große Chancen, aber auch erhebliche Risiken mit sich gebracht.]]> check-point-peter-sandkuijl

KI-Gesetz soll Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen

[datensicherheit.de, 15.03.2024] „Das EU-Parlament hat beschlossen, dem EU AI Act zuzustimmen, daher lohnt sich ein Blick auf die Aspekte der IT-Sicherheit, denn die rasante Verbreitung von KI (Künstliche Intelligenz), insbesondere von generativer KI (GenKI), hat große Chancen, aber auch erhebliche Risiken mit sich gebracht“, kommentiert Peter Sandkuijl, „VP EMEA Engineering und Evangelist“ bei Check Point Software Technologies. Das KI-Gesetz solle nun Kontrollen und Abstufungen für den Einsatz festlegen, um verschiedene Gefahren zu bannen, zum Beispiel: automatisch jedes Gesicht in einem Raum zu erkennen und die Emotionen, den Gesichtsausdruck und die Abstammung zu analysieren. Es gehe somit nicht darum, Innovationen zu ersticken, sondern einen Rechtsrahmen zu schaffen, „der mit demokratischen Werten in Einklang steht und die Rechte der EU-Bürger schützt“, so Sandkuijl.

check-point-peter-sandkuijl

Foto: Check Point

Peter Sandkuijl: KI als eine gute Kraft sollte von ethischen Erwägungen und gesellschaftlichem Konsens getragen werden

Erstes Gesetz seiner Art gegen KI-Anwendungen, welche gegen Menschenrechte verstoßen oder Vorurteile aufrechterhalten

Sandkuijl betont: „Dies ist das erste Gesetz seiner Art, welches die Gefahr von KI-Anwendungen, die gegen die Menschenrechte verstoßen oder Vorurteile aufrechterhalten, verringern soll. Ob es sich um das Scannen von Lebensläufen mit geschlechtsspezifischen Vorurteilen handelt, um die allgegenwärtige Überwachung des Öffentlichen Raums durch KI-gesteuerte Kameras oder um die Analyse medizinischer Daten, die sich auf die Krankenversicherung auswirkt – mit dem nun beschlossenen Gesetz sollen klare Grenzen für den Einsatz von KI gesetzt werden, so dass Anbieter und Entwickler einige Leitlinien und Leitplanken haben.“ Damit würden die Verteidiger in der Lage sein, die Grenzen zu erkennen und diejenigen, die dagegen verstoßen, mit den Instrumenten der Strafverfolgung zu bestrafen. Das Augenmerk werde zunächst auf den ersten höheren Geldstrafen liegen, danach gehe es weiter.

Transparenz schon im KI-Trainingsprozess werde als zentraler Grundsatz angesehen, insbesondere im Hinblick auf generative KI. So sollten potenzielle Verzerrungen und KI-Fehler aufgedeckt werden, „bevor sie als Wahrheit umherschwirren, denn auch eine KI muss nicht immer korrekt sein – im Gegenteil: Sie macht mehr Fehler, als man derzeit jeder Technologie zugestehen würden“. Darum werde Transparenz zu einem entscheidenden Instrument, um ihre Unzulänglichkeiten zu mildern.

EU-KI-Gesetz hat vielfältige Auswirkungen auf IT-Sicherheit

Derzeit prüften Gerichte das Gesetz, um es zu erproben und Präzedenzfälle für künftige Straftäter zu schaffen. Sicherheitsexperten müssten sich darüber im Klaren sein, dass dieser Prozess des Aushandelns einige Zeit in Anspruch nehmen werde, „was vielleicht sogar hilfreich ist, aber nicht das Ziel darstellt“. Vielmehr habe das EU-KI-Gesetz mehrere Auswirkungen auf die IT-Sicherheit:

Strengere Entwicklungs- und Bereitstellungsrichtlinien:
Entwickler und Betreiber von KI-Modellen müssten sich an strenge Richtlinien halten, um zu gewährleisten, „dass die Systeme unter dem Aspekt des Security by Design entwickelt werden“. Dies bedeutet laut Sandkuijl, dass Maßnahmen zur IT-Sicherheit von Anfang an einbezogen werden, der Schwerpunkt auf sicherer Kodierung liegt und feststeht, dass KI-Systeme vor Angriffen geschützt sind.

Erhöhte Transparenz:
Das Gesetz schreibe Transparenz bei KI-Operationen vor, insbesondere bei riskanten KI-Anwendungen. Dies könnte bedeuten, dass detailliertere Angaben zu den Daten gemacht werden müssten, „die für das Training von KI-Systemen verwendet werden, zu den Entscheidungsprozessen der KI und zu den Maßnahmen, die zur Gewährleistung von Datenschutz und Sicherheit ergriffen werden“. Transparenz helfe, um Schwachstellen zu erkennen und Bedrohungen zu schwächen.

Verbesserter Datenschutz:
KI-Systeme griffen häufig auf umfangreiche Datensätze zurück, deshalb erfordere die „Data Governance“ des Gesetzes verstärkte Datenschutzmaßnahmen. Dazu gehöre die Gewährleistung der Integrität und Vertraulichkeit personenbezogener Daten, „ein Kernaspekt der IT-Sicherheit ohnehin“.

Rechenschaftspflicht bei KI-Sicherheitsvorfällen:
Die Bestimmungen des Gesetzes würden sich wahrscheinlich darauf erstrecken, Organisationen für Sicherheitsverletzungen im Zusammenhang mit KI-Systemen zur Rechenschaft zu ziehen. „Dies könnte bedeuten, dass strengere Protokolle für die Reaktion auf Vorfälle erstellt werden und dass KI-Systeme über robuste Mechanismen zur Erkennung von und Reaktion auf Zwischenfälle verfügen müssen.“

Abschwächung von Vorurteilen und Diskriminierung:
„Indem das Gesetz die Risiken von Voreingenommenheit und Diskriminierung in KI-Systemen angeht, trägt es indirekt zur IT-Sicherheit bei, denn Schwachstellen von Systemen, die gerecht und unvoreingenommen sind, werden weniger wahrscheinlich ausgenutzt.“ Sandkuijl führt weiter aus: „Wenn sichergestellt wird, dass KI-Systeme auf repräsentativen Datensätzen trainiert werden, kann das Risiko von Angriffen, die voreingenommene Entscheidungsprozesse ausnutzen, verringert werden.“

Zertifizierung und Compliance-Auditierungen:
KI-Systeme mit hohem Risiko müssten strengen Tests und Zertifizierungen unterzogen werden, „um sicherzustellen, dass sie die EU-Standards für IT-Sicherheit erfüllen“. Durch Compliance-Audits werde außerdem sichergestellt, „dass KI-Systeme diese Standards während ihres gesamten Lebenszykluses kontinuierlich einhalten“.

Verhinderung des böswilligen KI-Einsatzes:
Das Gesetz solle außerdem verhindern, „dass der Einsatz von KI für böswillige Zwecke offen möglich ist, wie zur Erstellung von Deepfakes oder zur Automatisierung von Cyber-Angriffen“. Durch die Regulierung bestimmter Verwendungszwecke von KI trage das Gesetz zu einer umfassenderen IT-Sicherheitsstrategie bei, „die das Risiko verringert, dass KI als Werkzeug für virtuelle Kriegsführung und Kriminalität eingesetzt wird“.

Forschung und Zusammenarbeit:
Das Gesetz könnte die Forschung und Zusammenarbeit auf dem Gebiet der KI und der IT-Sicherheit anregen und die Entwicklung neuer Technologien wie auch Strategien zum Schutz von KI-Systemen vor neuen Bedrohungen fördern.

Einführung von GenKI zeigt, dass Gesetzgebung kaum Schritt halten kann

Die Einführung von GenKI zeige, dass die Gesetzgebung nicht Schritt halten könne. Diese Technologie sei so wirkmächtig, dass sie gravierende Auswirkungen auf Branchen, Volkswirtschaften und Regierungen haben werde. „Die Hoffnung, die in das EU-KI-Gesetz gelegt wird, lautet, dass es als Katalysator für eine breite gesellschaftliche Diskussionen dient und die Beteiligten dazu anregen soll, nicht nur die Möglichkeiten der Technologie, sondern auch ihre Auswirkungen zu bedenken.“

Durch die Festlegung klarer Leitlinien und die Förderung eines kontinuierlichen Dialogs werde der Weg für eine Zukunft geebnet, in der KI als eine „gute Kraft“ dienen könne. Sie sollte von ethischen Erwägungen und gesellschaftlichem Konsens getragen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 14.03.2024
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung / Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

datensicherheit.de, 28.02.2024
KI trifft in Deutschland auf verunsicherte Bürger / KI-Modelle benötigen Vielzahl von Daten zum Training

]]>
https://www.datensicherheit.de/eu-ai-act-peter-sandkuijl-kommentar-ki-gesetz-it-security-sicht/feed 0
EU-KI-Verordnung: BfDI begrüßt Ergänzung zur Datenschutz-Grundverordnung https://www.datensicherheit.de/eu-ki-verordnung-bfdi-begruessung-ergaenzung-datenschutz-grundverordnung https://www.datensicherheit.de/eu-ki-verordnung-bfdi-begruessung-ergaenzung-datenschutz-grundverordnung#respond Thu, 14 Mar 2024 17:06:45 +0000 https://www.datensicherheit.de/?p=44268 Der BfDI, Professor Ulrich Kelber, freut sich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte.]]>

Europäisches Parlament hat Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) verabschiedet

[datensicherheit.de, 14.03.2024] Laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 13. März 2024 hat das Europäische Parlament an diesem Tag die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der BfDI begrüßt demnach die europäische KI-Verordnung „als Ergänzung zur Datenschutz-Grundverordnung (DSGVO)“.

bfdi-professor-ulrich-kelber

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber rät aber auch der Bundesregierung, die Öffnungsklausel für striktere nationale Verbote zu nutzen

Durch die KI-Verordnung wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt

Der BfDI, Professor Ulrich Kelber, kommentiert: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt.“

Insbesondere begrüßt der BfDI nach eigenen Angaben, „dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind“.

Viele Vorgaben für Hochrisiko-KI-Systemeh haben engen Bezug zum Datenschutz

Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung hätten einen „engen Bezug zum Datenschutz“. So werde beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI aber, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme von 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: „Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im Öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.“

Weitere Informationen zum Thema:

edpb European Data Protection Board, 18.06.2021
EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

datensicherheit.de, 24.05.2022
KI-Whitepaper als Beitrag für kommende Umsetzung gesetzlicher Regulierung Künstlicher Intelligenz in der EU / TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

]]>
https://www.datensicherheit.de/eu-ki-verordnung-bfdi-begruessung-ergaenzung-datenschutz-grundverordnung/feed 0
Magnet Goblin Group: Schnelle Ausnutzung von First-Day-Schwachstellen https://www.datensicherheit.de/magnet-goblin-group-schnelligkeit-ausnutzung-first-day-schwachstellen https://www.datensicherheit.de/magnet-goblin-group-schnelligkeit-ausnutzung-first-day-schwachstellen#respond Tue, 12 Mar 2024 17:14:44 +0000 https://www.datensicherheit.de/?p=44261 check-point-past-magnet-goblin-campaignsCheck Point hat nach eigenen Angaben die Aktivitäten der jüngst entdeckten Magnet Goblin Group untersucht.]]> check-point-past-magnet-goblin-campaigns

Hacker-Gruppe Magnet Goblin zielt auf öffentlich zugängliche Server und Edge-Geräte

[datensicherheit.de, 12.03.2024] Check Point hat nach eigenen Angaben die Aktivitäten der jüngst entdeckten „Magnet Goblin Group“ untersucht. Dieser finanziell motivierte Bedrohungsakteur nutzt demnach „1st Day“-Schwachstellen – also bekannte, aber noch immer offene Sicherheitslücken – bereits am ersten Tag nach Bekanntmachung aus, um öffentlich zugängliche Server und Edge-Geräte zu infiltrieren. Diese Hacker-Bande ziele auf „Ivanti Connect Secure VPN“, „Magento“, „Qlik Sense“ und womöglich „Apache ActiveMQ“.

check-point-past-magnet-goblin-campaigns

Abbildung: Check Point

CPR-Erkenntnisse zu bisherigen Kampagnen der Magnet Goblin Group

Magnet Goblin Group bei Nutzung eines breiten Arsenals an Malware beobachtet

„Check Point Research“ (CPR) habe die Aktivitäten der jüngst entdeckten „Magnet Goblin Group“ untersucht. Dieser finanziell motivierte Bedrohungsakteur nutze „1st-Day“-Schwachstellen, d.h. bekannte, indes aber noch offene Sicherheitslücken bereits am ersten Tag nach Bekanntmachung aus, um öffentlich zugängliche Server und Edge-Geräte zu infiltrieren. CPR, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., habe diese Cyber-Kriminellen bei der Nutzung eines breiten Arsenals von Malware beobachtet.

Wie die meisten Hacker-Gruppen verfolge „Magnet Goblin“ opportunistische Ziele; doch in diesem Fall hätten die Nachforschungen von CPR ergeben, „dass die USA am stärksten im Visier der Gruppe stehen“. Bisher hätten die Täter hauptsächlich Ziele aus den Bereichen der Medizin, Fertigung und Energie angegriffen. Sie setzten dabei ein ausgeklügeltes Set von „Tools“ ein – darunter „NerbianRAT“, ein plattformübergreifender RAT (Remote Access Trojaner) gegen „Windows“ und „Linux“, sowie „WARPWIRE“, ein „Stealer“ für „JavaScript“-Anmeldedaten. Diese vielfältige Malware-Suite ermögliche ein breites Spektrum an Cyber-Angriffen – von Datendiebstahl bis hin zu dauerhaftem Zugriff auf geknackte Netzwerke.

Magnet Goblin nutze frisch bekanntgewordene Schwachstellen umgehend aus

„Magnet Goblin“ nutze frisch bekanntgewordene Schwachstellen umgehend aus und ziele dabei insbesondere auf Plattformen wie „Ivanti Connect Secure VPN“, „Magento“, „Qlik Sense“ und „Apache ActiveMQ“. Das schnelle Manövrieren der Gruppe, um Schwachstellen – teils innerhalb eines Tages nach ihrer Bekanntmachung – zu missbrauchen, bedeutet laut CPR „eine tiefgreifende Bedrohung für digitale Infrastrukturen weltweit“.

Im Mittelpunkt der Strategie von „Magnet Goblin“ stünden vor allem Edge-Geräte und öffentlich zugängliche Dienste. Auf diese Weise gelinge es ihnen, den Patches einen Schritt voraus zu sein und unbefugten Zugriff auf sensible Systeme zu erlangen. Die Malware-Suite von „Magnet Goblin“ sei ebenso vielfältig wie gefährlich. „NerbianRAT“, ein plattformübergreifender Remote-Access-Trojaner (RAT), ermögliche eine umfassende Kontrolle über Systeme, während „MiniNerbian“, eine kleinere „Linux“-Hintertür, einen heimlicheren Weg der Infiltration biete. Darüber hinaus setze diese Gruppe Programme zur Fernüberwachung und Fernverwaltung ein, wie „ScreenConnect“ und „AnyDesk“ – „was was die Abwehr erschwert“.

Magnet Goblin als deutliche Erinnerung an ständiges Wettrüsten zwischen Hackern und IT-Sicherheitskräften

Das Auftauchen von Gruppen wie „Magnet Goblin“ sei eine deutliche Erinnerung an das ständige Wettrüsten zwischen Hackern und IT-Sicherheitskräften. Dies unterstreiche zudem den dringenden Bedarf an robusten Abwehrmaßnahmen. Unternehmen müssten der Patch-Verwaltung die Priorität einräumen, um Schwachstellen umgehend zu beheben, außerdem die Überwachung verbessern, um frühe Anzeichen eines Eindringens zu erkennen, und das Bewusstsein für IT-Sicherheit in ihren Teams fördern.

Verteidigungsstrategien, einschließlich des Einsatzes fortschrittlicher Bedrohungserkennungssysteme und regelmäßiger Audits der Sicherheit, seien unerlässlich, um den neuen Taktiken von Bedrohungsakteuren zu begegnen. „Check- Point-Kunden sind gegen die in dieser Meldung beschriebenen Bedrohungen geschützt.“

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, 08.03.2024
Magnet Goblin Targets Publicly Facing Servers Using 1-Day Vulnerabilities

]]>
https://www.datensicherheit.de/magnet-goblin-group-schnelligkeit-ausnutzung-first-day-schwachstellen/feed 0
eco: IT-Sicherheitsumfrage 2024 zeigt höheren Stellenwert der IT-Sicherheit https://www.datensicherheit.de/eco-it-sicherheitsumfrage-2024-aufzeigen-erhoehung-stellenwert-it-sicherheit https://www.datensicherheit.de/eco-it-sicherheitsumfrage-2024-aufzeigen-erhoehung-stellenwert-it-sicherheit#respond Tue, 12 Mar 2024 17:06:20 +0000 https://www.datensicherheit.de/?p=44254 eco-umfrage-it-sicherheit-2024Die Erkenntnisse beruhen aus der eco IT-Sicherheitsumfrage 2024, welche der Verband am 1. März 2024 vorlegte.]]> eco-umfrage-it-sicherheit-2024

Laut eco sehen 96 Prozent der IT-Sicherheitsexperten in Deutschland eine zunehmende Bedrohungslage

[datensicherheit.de, 12.03.2024] Der eco – Verband der Internetwirtschaft e.V. hat ermittelt, dass mit 96 Prozent der IT-Sicherheitsexperten in Deutschland (mehr als in den Vorjahren) eine zunehmende Bedrohungslage sehen – auf diese Bedrohungslage reagierten die Unternehmen und räumten der IT-Sicherheit einen höheren Stellenwert ein als im Vorjahr, 2023; viele seien jedoch immer noch unzureichend aufgestellt.

eco-umfrage-it-sicherheit-2024

Abbildung: eco e.V.

eco IT-Sicherheitsumfrage 2024 – 226 Sicherheitsexperten wurden befragt

eco warnt: Entspannung können die Befragten nicht erkennen

96 Prozent der Sicherheitsexperten in Deutschland sehen laut eco eine zunehmende Bedrohungslage – während vier Prozent von einer gleichbleibenden Bedrohungslage ausgehen; eine Entspannung könnten die Befragten also nicht erkennen. Die Erkenntnisse beruhten aus der „eco IT-Sicherheitsumfrage 2024“, welche der Verband am 1. März 2024 vorlegte – 226 Sicherheitsexperten seien befragt wurden.

Auf diese Bedrohungslage reagierten die Unternehmen und räumten der IT-Sicherheit einen höheren Stellenwert ein als im Vorjahr, beispielsweise mit einem Notfallplan: „Nur noch 3,4 Prozent der Befragten geben an, dass sie keinen Notfallplan für den Fall eines IT-Sicherheitsvorfalls festgelegt haben oder dass zumindest ein solcher in Planung sei.“ Im letzten Jahr seien noch 5,8 Prozent für den Fall der Fälle unvorbereitet gewesen.

eco-Kommentar: Bei allem Engagement der Unternehmen ist deutsche Wirtschaft IT-sicherheitstechnisch immer noch unzureichend aufgestellt

Auch der Stellenwert der Vorsorge steige: Die meisten Unternehmen (53,1%) schulten inzwischen ihre Mitarbeiter regelmäßig. 15,1 Prozent böten unregelmäßig Schulungen an und fünf Prozent hätten entsprechende Weiterbildungen geplant. „Insgesamt gaben die Unternehmen im letzten Jahr für IT-Sicherheit auch mehr Geld aus: 34,6 Prozent haben ihre Ausgaben moderat erhöht, 5,6 Prozent sogar stark.“ Nur rund ein Drittel (32,9%) habe die IT-Sicherheitsausgaben nicht erhöht oder gar gesenkt (1,1%).

Bei all diesem Engagement der Unternehmen sei die deutsche Wirtschaft IT-sicherheitstechnisch immer noch unzureichend aufgestellt. Zu diesem Ergebnis kommen demnach, wie bereits in den Vorjahren, erneut die meisten Experten (76%). Die IT-Sicherheit im eigenen Unternehmen schätzten die Experten hingegen eher optimistisch ein: „54 Prozent der Befragten sagen, das eigene Unternehmen sei ,sehr gut’ oder ,gut’ abgesichert, 31 Prozent bezeichnen sich als ,ausreichend’ abgesichert.“ Dennoch habe jedes fünfte Unternehmen (20%) im letzten Jahr mindestens einen IT-Sicherheitsvorfall mit zum Teil erheblichen Schäden gehabt (4%).

Leiter der eco-Kompetenzgruppe IT-Sicherheit betont Ransomware-Gefahr

„Auch wenn der Stellenwert der IT-Sicherheit insgesamt in Deutschland steigt und viele Unternehmen glauben, dass sie sicher sind, unterschätzen viele Entscheider im Mittelstand noch die Bedrohungslage, unterstreicht Oliver Dehning, Leiter der eco-Kompetenzgruppe „IT-Sicherheit“.

Er führt abschließend aus und warnt: „Ein Ransomware-Angriff kann die Geschäftstätigkeit von Unternehmen bis zu einem Jahr lang behindern und sogar existenzbedrohend sein. Und gerade viele Mittelständler stehen im Fokus international agierender Cybercrime-Netzwerke, ohne sich dessen bewusst zu sein.“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
eco Umfrage IT-Sicherheit 2024 / Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Oliver Dehning

]]>
https://www.datensicherheit.de/eco-it-sicherheitsumfrage-2024-aufzeigen-erhoehung-stellenwert-it-sicherheit/feed 0
Webbrowser: BSI erweitert Mindeststandard auf mobile Plattformen https://www.datensicherheit.de/webbrowser-bsi-erweiterung-mindeststandard-mobil-plattformen https://www.datensicherheit.de/webbrowser-bsi-erweiterung-mindeststandard-mobil-plattformen#respond Thu, 07 Mar 2024 14:56:46 +0000 https://www.datensicherheit.de/?p=44251 Webbrowser verarbeiten auch Daten aus nicht vertrauenswürdigen Quellen mit eventuell schädlichem Code

[datensicherheit.de, 07.03.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Mindeststandard für Webbrowser nun auch auf solche für mobile Plattformen ausgedehnt. „Webbrowser dienen als zentrale Software, um sich im Internet zu bewegen. Dabei verarbeiten sie auch Daten aus nicht vertrauenswürdigen Quellen, die schädlichen Code enthalten. Rechner, Handys und Tablets können sich so unbemerkt infizieren.“ Gleichzeitig nähmen die Funktionen und Schnittstellen von Webbrowsern stetig zu. Damit böten sie auch eine zunehmende Angriffsfläche für Cyber-Kriminelle. Die dynamische Entwicklung von Software-Produkten, die fortschreitende mobile Nutzung und die zentrale Rolle von Webbrowsern mache daher die Berücksichtigung aktueller Sicherheitsanforderungen notwendig.

Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht

Das BSI hat nun dazu den Mindeststandard für Webbrowser in der neuen Version 3.0 veröffentlicht. Für die Cyber-Nation Deutschland sei es wichtig, Cyber-Sicherheit aktiv zu gestalten. „Darum legen wir mit dem Mindeststandard die Anforderungen fest, die Webbrowser erfüllen müssen, um in der Bundesverwaltung eingesetzt zu werden – jetzt auch mobil!“, erläutert BSI-Präsidentin Claudia Plattner. Mit ihren Standards formulierten sie unter Beteiligung Dritter den Stand der Technik übersichtlich, einheitlich, praxisrelevant, unterstützend und zielgruppengerecht. Sie könnten also auch außerhalb der Bundesverwaltung als Maßstab dienen. „Damit erhöhen wir automatisch die Cyber-Resilienz in Deutschland.“

Wesentlich erweitert gegenüber der Vorgängerversion habe sich der Anwendungsbereich: Die neue Version gelte erstmals auch für Webbrowser auf mobilen Plattformen („mobile Browser“) der Bundesverwaltung. Der Mindeststandard enthalte entsprechende Hinweise und Ergänzungen, welche die technischen Besonderheiten mobiler Betriebssysteme berücksichtigten. So seien die Anforderungen sowohl auf Arbeitsplatzrechnern als auch auf mobilen Plattformen anwendbar.

Grundsätzlich kann jeder Webbrowser zum Einsatz kommen, der den Mindeststandard erfüllt

Zusammen mit dem Mindeststandard habe das BSI auch die zugehörige Browser-Abgleichstabelle aktualisiert. Diese diene als Arbeitshilfe für Anwender in der Bundesverwaltung. Diese beschreibe für die dort am häufigsten eingesetzten Webbrowser die Umsetzung der Mindeststandard-Anforderungen. Grundsätzlich könne aber jeder Webbrowser zum Einsatz kommen – „mit dem der Mindeststandard erfüllt werden kann“.

Der erstmals 2017 nach § 8 Abs. 1 BSIG veröffentlichte Mindeststandard für sichere Webbrowser richtet sich laut BSI in erster Linie an IT-Verantwortliche, IT-Betriebspersonal und Informationssicherheitsbeauftragte der Bundesverwaltung. Er könne aber auch Ländern, Kommunen sowie der Wirtschaft und Verbrauchern als Orientierung dienen. Weitere Mindeststandards, etwa für die Nutzung externer „Cloud“-Dienste oder das Mobile-Device-Management, sind auf der BSI-Website veröffentlicht. Das BSI hat nach eigenen Angaben einen Newsletter eingerichtet, „der über alle neuen Entwicklungen im Bereich der Mindeststandards informiert“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandard des BSI für Webbrowser

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

]]>
https://www.datensicherheit.de/webbrowser-bsi-erweiterung-mindeststandard-mobil-plattformen/feed 0
Lars Christiansen zieht Lehren aus jüngstem Abhörskandal bei der Bundeswehr https://www.datensicherheit.de/lars-christiansen-lehren-abhoerskandal-bundeswehr https://www.datensicherheit.de/lars-christiansen-lehren-abhoerskandal-bundeswehr#respond Thu, 07 Mar 2024 14:50:37 +0000 https://www.datensicherheit.de/?p=44245 tanium-lars-christiansenDieser Vorfall ist nach Christiansens Einschätzung weit entfernt von einem Zufallstreffer.]]> tanium-lars-christiansen

Christiansen fordert Bundeswehr auf, fortgeschrittene Sicherheitsmaßnahmen zu ergreifen

[datensicherheit.de, 07.03.2024] Im jüngsten Spionage-Vorfall bei der Bundeswehr sollen vertrauliche Gespräche hochrangiger Bundeswehr-Offiziere über „Webex“ abgefangen worden sein. Dieser Vorfall sei weit entfernt von einem „Zufallstreffer“, auch wenn das Bundesverteidigungsministerium diesen veritablen Schnitzer gerne als solchen herunterspielen würde. Lars Christiansen, „Area Vice President EMEA Central“ bei Tanium, kommentiert: „Er unterstreicht die Notwendigkeit, dass Organisationen wie die Bundeswehr fortgeschrittene Sicherheitsmaßnahmen ergreifen müssen, um der äußerst angespannten weltpolitischen Lage gerecht werden und ihre streng vertraulichen Kommunikationen vor ausländischen Geheimdiensten abschirmen zu können.“

tanium-lars-christiansen

Foto: Tanium

Lars Christiansen rät neben der technischen Absicherung aller Endpunkte auch zu einer kontinuierlichen Sensibilisierung und Schulung der Mitarbeiter

Christiansen sieht anschauliches Beispiel – WebEx vom BSI nicht als sicher eingestuft

„Die Tatsache, dass ,Webex’-Datenverkehr auf der ,Airshow Singapore’ abgehört wurde, weist auf mehrere Angriffsvektoren hin“, erläutert Christiansen. Die Möglichkeiten reichten von fehlender Verschlüsselung bei Einwahl in „WebEx“ über Telefon oder Browser bis hin zu potenziellen Abhörwanzen in Räumen und dem Nichtgebrauch etablierter VPN-Standards.

Dieses Datenleck diene außerdem als anschauliches Beispiel dafür, wieso „WebEx“ vom BSI nicht als sicherer Kommunikationskanal für klassifizierte Informationen eingestuft werde.

Entscheidend ist laut Christiansen eine ganzheitliche Cybersecurity-Strategie

„Auch bei der Bundeswehr beginnt der Datenschutz beim Nutzer“, betont Christiansen. Die Informationen hätten nach Bundeswehr-Standards mindestens als „VS-NfD“ klassifiziert und ausschließlich über eine vom BSI zugelassene „SINA“-Infrastruktur und -Produkte übermittelt werden müssen.

Christiansens Fazit: „Dies verdeutlicht, wie entscheidend eine ganzheitliche Cybersecurity-Strategie ist, die neben der technischen Absicherung aller Endpunkte auch eine kontinuierliche Sensibilisierung und Schulung der Mitarbeiter umfasst.“ Nur so könne gewährleistet werden, dass solche Vorfälle in der Zukunft vermieden würden und Deutschlands Nationale Sicherheit nicht aufs Spiel gesetzt werde.

Weitere Informationen zum Thema:

heise online, Marie-Claire Koch, 05.03.2024
Taurus-Leak: Warum „Shooting the Messenger“ das Problem nicht löst / Warum die Debatte über WebEx im Abhörskandal der Bundeswehr erneut zu nichts führen wird, erklärt Manuel Atug im Interview

]]>
https://www.datensicherheit.de/lars-christiansen-lehren-abhoerskandal-bundeswehr/feed 0
eIDAS-Verordnung: Neue digitale Identität soll 2026 europaweit vorliegen https://www.datensicherheit.de/eidas-verordnung-neuigkeit-digital-identitaet-2026-europaweit-verfuegbarkeit https://www.datensicherheit.de/eidas-verordnung-neuigkeit-digital-identitaet-2026-europaweit-verfuegbarkeit#respond Mon, 04 Mar 2024 15:06:33 +0000 https://www.datensicherheit.de/?p=44241 TeleTrusT begrüßt europäische elektronische Identität (EUid) auf Basis digitaler Brieftaschen

[datensicherheit.de, 04.03.2024] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt nach eigenen Angaben die Verabschiedung der sogenannten eIDAS-Verordnung: Das EU-Parlament hat demnach die intensiv diskutierte Verordnung für eine europäische elektronische Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) beschlossen. „2026 soll neue digitale Identität europaweit vorliegen.“

eIDAS-Verordnung binnen zwei Jahren in allen EU-Staaten umzusetzen

Rechtlich betrachtet soll die eIDAS-Verordnung wenige Wochen nach dem Beschluss in Kraft treten und danach binnen zwei Jahren in allen EU-Staaten umgesetzt sein. Auf technischer Seite seien noch Durchführungsakte der EU-Kommission erforderlich, um z.B. eine einheitliche Umsetzung der geplanten Smartphone-App sicherzustellen.

Der TeleTrusT sieht in diesem Beschluss einen „großen Erfolg für die Schaffung eines europäischen digitalen Vertrauensraums“. Mit dem verbindlichen ID-System im Kontext der „EU Digital Identity Wallet“ als zentraler Komponente könnten elektronische Vertrauensdienste mit qualifizierten Attributen etabliert werden.

Revision der eIDAS-Verordnung ein historischer Meilenstein

Trotz Widerstandes von verschiedenen Seiten seien die Regelungen zur Akzeptanz von „Qualifizierten Webseiten-Zertifikaten“ (QWACs) durch globale Plattformen beibehalten worden. TeleTrusT-Vorstand Dr. Kim Nguyen (Bundesdruckerei) kommentiert: „Die Verabschiedung der Revision der ,eIDAS-Verordnung’ ist ein historischer Meilenstein auf dem Weg zu einem souveränen, interoperablen, vertrauenswürdigen und nutzerfreundlichem europäischem ID-Ökosystems.“

Der TeleTrusT werde sich weiterhin auf nationaler und internationaler Ebene mit der Expertise seiner Mitglieder in den Prozess einbringen. Das „European ID Wallet Ecosystem“ sei zudem auch zentrales Thema der TeleTrusT-Präsentation auf der diesjährigen „RSA Conference“ in San Francisco.

Weitere Informationen zum Thema:

bdr., 22.11.2023
Die eIDAS-Verordnung: Grundlagen und Ziele

bitkom
Neue eIDAS Verordnung schafft praktische Werkzeuge für die Digitalisierung

Bundesamt für Sicherheit in der Informationstechnik
eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste

]]>
https://www.datensicherheit.de/eidas-verordnung-neuigkeit-digital-identitaet-2026-europaweit-verfuegbarkeit/feed 0
Mobile Geräte: Cyber-Angriffe haben 2023 deutlich zugenommen https://www.datensicherheit.de/mobil-geraete-cyber-angriffe-2023-deutlichkeit-zunahme https://www.datensicherheit.de/mobil-geraete-cyber-angriffe-2023-deutlichkeit-zunahme#respond Fri, 01 Mar 2024 20:32:08 +0000 https://www.datensicherheit.de/?p=44237 Kaspersky-Experten haben 2023 weltweit einen deutlichen Anstieg der Angriffe auf rund 33,8 Millionen verzeichnet

[datensicherheit.de, 01.03.2024] Die Annahme, dass mobile Geräte wie Smartphone und Tablet keinen Cyber-Schutz benötigen, sollte laut Kaspersky „gründlich überdacht“ werden, denn hauseigene Experten haben demnach im Jahr 2023 weltweit einen deutlichen Anstieg der Angriffe auf mobile Geräte auf rund 33,8 Millionen verzeichnet, „was einem Plus von fast 52 Prozent gegenüber dem Vorjahr entspricht“. In Deutschland seien 513.441 Angriffe auf Mobilgeräte festgestellt worden – „und damit die meisten innerhalb der verglichenen europäischen Länder“.

Kaspersky-Analyse der mobilen Bedrohungslandschaft 2023 zeigt zunehmende Verbreitung mobiler Sicherheitsrisiken…

Die jährliche Kaspersky-Analyse der mobilen Bedrohungslandschaft zeige eine zunehmende Verbreitung mobiler Sicherheitsrisiken und die Weiterentwicklung schädlicher Tools sowie auf mobile Geräte abzielender Technologien. Es sei ein deutlicher Aufwärtstrend bei Angriffen auf mobile Geräte zu beobachten: „Allein im Jahr 2023 stieg die Zahl solcher Angriffe auf 33.790.599; dies entspricht einem deutlichen Anstieg von knapp 52 Prozent im Vergleich zu 22.255.956 Angriffen im Jahr 2022.“

„Die Bedrohungszunahme im Bereich der ,Android’-Malware- und Riskware-Aktivitäten im Jahr 2023 ist besorgniserregend, insbesondere auch weil zuvor eher weniger passiert ist. Der Anstieg, der bis zum Jahresende ein Niveau erreicht, das an jenes von Anfang 2021 erinnert, unterstreicht die erhebliche Bedrohung, der sich Nutzer derzeit ausgesetzt sehen“, kommentiert Waldemar Bergstreiser, „General Manager Central Europe“ bei Kaspersky. Daher sei es wichtig, wachsam zu bleiben und auch auf mobilen Geräten robuste Sicherheitsmaßnahmen zu implementieren, um sich vor den sich ständig weiterentwickelnden Cyber-Bedrohungen adäquat zu schützen.

Bedrohung für mobile Geräte: Adware 2023 weltweit ganz vorne

Die am weitesten verbreitete Bedrohung für mobile Geräte sei im vergangenen Jahr – 2023 – sogenannte Adware gewesen, eine Art von Software, welche unerwünschte (und manchmal lästige) Popup-Werbung anzeige. Diese habe 40,8 Prozent aller entdeckten Bedrohungen ausgemacht. Bei den Banking-Trojanern hingegen sei die Zahl der Installationen auf 153.682 zurückgegangen, „nachdem sie im Vorjahr stark angestiegen war und sich verdoppelt hatte“; die Zahl der Angriffe mit mobilen Banking-Trojanern sei relativ konstant geblieben.

Cyber-Kriminelle verbreiteten gegen mobile Nutzer gerichtete Malware häufig über offizielle und inoffizielle App-Stores. „Im Jahr 2023 beobachteten die Experten von Kaspersky zahlreiche schädliche Apps, die in ,Google Play’ eingeschleust wurden. Eine der häufigsten Arten im Jahr 2023 waren gefälschte Investment-Apps. Diese nutzen Social-Engineering-Taktiken, um persönliche Daten von Nutzern zu extrahieren, insbesondere Telefonnummern und vollständige Namen.“ Diese Daten würden anschließend Datenbanken hinzugefügt, „die für Telefonbetrug verwendet werden“. Ein weiterer häufig beobachteter Angriffsvektor seien schädliche „WhatsApp“- und „Telegram“-Mods, die darauf abzielten, Nutzerdaten zu stehlen.

Kaspersky-Empfehlungen auf Basis der Erkenntnisse von 2023 zum Schutz vor Bedrohungen auf mobilen Geräten:

  • Apps nur aus offiziellen Stores wie dem „Apple-App-Store“, „Google Play“ oder dem „Amazon Appstore“ herunterladen. Diese garantierten zwar keinen vollständigen Schutz, würden jedoch zumindest von Mitarbeitern der Anbieter geprüft. Zudem sorge ein Filtersystem dafür, dass nicht jede App in die Stores gelangen kann.
  • App-Berechtigungen vor ihrem Einsatz stets überprüfen, insbesondere solche mit höherem Risiko wie Zugangsdienste. Eine Taschenlampe benötige beispielsweise nur Zugriff auf das Blitzlicht, nicht jedoch die Kamera des Geräts.
  • Eine zuverlässige Sicherheitslösung helfe, schädliche Apps und Adware zu erkennen, bevor sie auf einem Gerät Schaden anrichten kann (Schutzlösungen wie z.B. „Kaspersky Premium“ seien direkt bei den Mobilfunkbetreibern erhältlich).
  • Updates für das Betriebssystem und wichtige Anwendungen installieren, sobald sie verfügbar sind. Hierdurch könnten viele Sicherheitsprobleme vermieden werden.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Anton Kivva, 26.02.2024
The mobile malware threat landscape in 2023

]]>
https://www.datensicherheit.de/mobil-geraete-cyber-angriffe-2023-deutlichkeit-zunahme/feed 0