[datensicherheit.de, 22.08.2017] Der renommierte Datenschutzexperte Peter Schaar hat den Trend, dass die Angst vor Terror und Kriminalität Regierungen zur Aufrüstung des Sicherheitsapparats und zur Ausweitung der Überwachung treibt, in seinem neuen Buch „Trügerische Sicherheit“ kritisch hinterfragt. Allein im Jahr 2017 habe die Bundesregierung bislang zwölf Gesetze verabschiedet, die aller Erfahrung nach kaum geeignet seien, die Sicherheit faktisch zu steigern, diese aber grundlegende Freiheitsrechte einschränkten.

Kritik an der schleichenden Erosion des liberalen Rechtstaats

In seinem Werk, das am 11. September 2017 in der Edition Körber erscheinen soll, kritisiert Schaar die schleichende Erosion des liberalen Rechtsstaats im Namen des „Anti-Terror-Kampfes“.
Zudem mahnt er zu mehr Wachsamkeit und Widerstand – längst hätten wir uns an biometrische Passbilder, die Vorratsdatenspeicherung oder an die Ausdehnung der Videoüberwachung gewöhnt, ohne jeweils den Nutzen und die Risiken solcher Maßnahmen neu auszuloten.

Angriffe auf Grundwerte selbstbewusst entgegentreten!

Schaars Beispiele aus dem In- und Ausland unterstreichen einmal mehr, dass das staatliche Gewaltmonopol demokratisch kontrolliert werden muss.
Sein Buch sollte als Plädoyer verstanden werden, der durch Terrorangst und -gefahr bewirkten Angriffe auf die Grundwerte der offenen und freiheitlichen Gesellschaft selbstbewusst entgegenzutreten.

Weitere Informationen zum Thema:

Körber Stiftung, Peter Schaar
Trügerische Sicherheit / Wie die Terrorangst uns in den Ausnahmezustand treibt

The post Trügerische Sicherheit: Peter Schaars Buch erscheint am 11. September 2017 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 18.08.2017] Das Deutsche Institut für Vertrauen und Sicherheit im Internet (DIVSI) meldet „auffallende Paradoxien“ in seinen Ergebnissen der jüngsten, von dimap im Auftrag vorgenommenen Umfrage.
Nach der Verantwortung für Sicherheit im Internet gefragt, haben demnach 83 Prozent der Internetnutzer der Aussage „voll“ oder „eher“ zugestimmt, dass jeder selbst für seine Sicherheit im Internet verantwortlich ist. Gleichzeitig bezweifele die Mehrheit (57 %), dass der Einzelne dieser Verantwortung überhaupt gerecht werden kann – dies meinten selbst 53 Prozent der Internetnutzer, die ihre eigenen Kompetenzen als „sehr gut“ oder „gut“ einschätzen. 84 Prozent der Internetnutzer in Deutschland erwarten laut DIVSI auch von Unternehmen die Übernahme von Verantwortung. Allerdings hätten zwei Drittel der Befragten nur „geringes“ bis „gar kein“ Vertrauen darauf, dass die Firmen sich ausreichend um die Sicherheit ihrer Kunden kümmern.

Sicherheit im Internet: Forderungen an den Staat, aber wenig Erwartungen

Über alle Altersspannen hinweg verlangten 85 Prozent der Befragten, dass sich der Staat stärker um das Thema Sicherheit im Internet kümmern sollte. Gleichzeitig trauten jedoch 84 Prozent dem Staat nicht zu, dass er dieser Aufgabe gerecht werden und seine Bürger schützen kann.
80 Prozent der Befragten befürworteten ein offizielles Sicherheitssiegel, an dem sich vertrauenswürdige Angebote und Dienstleistungen problemlos erkennen lassen sollen. Genauso viele Nutzer wünschten sich eine staatliche Stelle, bei der die Verantwortung für alle sicherheitsrelevanten Fragen im Internet gebündelt wird.
„Als nationale Cyber-Sicherheitsbehörde übernehmen wir gerne diese Verantwortung. Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung, die Staat, Wirtschaft und Gesellschaft gleichermaßen erfasst und neue Chancen bietet“, erklärt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). „Damit wir alle von diesen Chancen profitieren können, unterstützt das BSI IT-Anwender durch konkrete, praxisorientierte Angebote, etwa in Form von Informationen und Handlungsempfehlungen, die wir unter ,www.bsi-fuer-buerger.de‘ zur Verfügung stellen“, so Schönbohm.

Digitalisierung überwiegend positiv bewertet

Insgesamt, so ein weiteres DIVSI-Ergebnis, stehen die Deutschen der Digitalisierung aber unverändert positiv gegenüber: Aktuell seien 70 Prozent der Befragten überzeugt, dass die Digitalisierung viele Vorteile für sie biete. Selbst von denjenigen, die das Internet nicht nutzen, sei sich mehr als ein Drittel dennoch bewusst, dass diese Entwicklung auch auf sie Auswirkungen habe.
„Das Internet ist in der Mitte der Gesellschaft angekommen. Um die Vorteile der Digitalisierung für sich zu nutzen, müssen sich die Menschen sicher und souverän in der digitalen Welt bewegen können. Hier sind Staat und Unternehmen gefordert, die vielen digitalen Angebote, die den Alltag erleichtern, mit höherer Sicherheit in Einklang zu bringen und damit Vertrauen zu stärken“, betont DIVSI-Direktor Matthias Kammer.

Weitere Informationen zum Thema:

DIVSI, 18.08.2017
Digitalisierung – Deutsche fordern mehr Sicherheit: Was bedeutet das für Vertrauen und für Kommunikation?

The post Digitalisierung: Deutsche fordern staatliches Engagement für mehr Sicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 18.08.2017] Corero Network nimmt Stellung zu DDoS-Attacken, die bereits seit mehreren Monaten das Onlinespiele-Unternehmen Final Fantasy betreffen sollen. Es gebe andauernde Angriffe auf das nordamerikanische Rechenzentrum des Unternehmens. Square Enix, der Entwickler des Spiels „Final Fantasy 14“, habe bestätigt, dass es keinerlei Anzeichen für ein Nachlassen der Angriffe gebe. Zudem seien diese zunehmend schwieriger zu isolieren. Die Angriffe auf Final Fantasy bestätigten ein Mal mehr, wie empfindlich die Spieleindustrie von dieser Art von Cyber-Bedrohungen getroffen werde.

DDoS-Tools weit verbreitet und leicht zugänglich

Die Angriffe seien nach wie vor äußerst erfolgreich und richteten sehr schnell größere Schäden an. Die hinter solchen Attacken liegenden Motive seien vielfältig:
Auf die Hacker-Gruppierung „Lizard Squad“ beispielsweise gingen regelmäßig Angriffe gegen die Spieleindustrie zurück. Eines der Ziele dieser Gruppe sei es, die eigenen Fähigkeiten öffentlich unter Beweis zu stellen und das ganze Potenzial von DDoS-Angriffen zu demonstrieren.
Aber es gebe noch andere Varianten: Spieler lancierten genauso regelmäßig DDoS-Attacken als Wettbewerbstool, etwa um innerhalb eines laufenden Spiels einen taktischen Vorteil zu erreichen oder laufende Sessions anderer Spieler komplett zu unterbrechen.
DDoS-Tools seien weit verbreitet und vor allem leicht zugänglich. Das sei einer der Gründe, warum kaum damit zu rechnen sei, dass DDoS-Angriffe einfach so verschwinden. Für Spieleentwickler stelle sich also die drängende Frage, wie sie sich am besten und vor allem vorausschauend gegen DDoS-Attacken schützen.

Schon kurze Ausfallzeiten mit hohem Schadenspotenzial

Die Spieleindustrie bekomme es mit unterschiedlichen und vielfältigen Attacken zu tun, manchmal mit mehreren Dutzend Angriffen pro Tag, welche sich in Häufigkeit und benötigter Bandbreite unterschieden. Die Folgen seien Ausfallzeiten, längere Ladezeiten und Verfügbarkeitsprobleme – unabhängig davon, wie die Angriffe motiviert sind und welche Techniken im Einzelnen benutzt werden.
Schwerwiegende Angriffe führten dann unter Umständen dazu, dass das notwendige Rendering nicht mehr ausgeführt werden könne. Passiert das über einen ausgedehnteren Zeitraum oder häufiger, seien wirtschaftliche Schäden unabwendbar. Schon geringe Ausfallzeiten führten nachweislich dazu, dass Webseiten-Besucher die Seite verließen oder nicht wieder besuchten. Damit seien unmittelbare Umsatzverluste verbunden.
Neben den unmittelbaren Umsatzverlusten verschlechtere sich zusätzlich die Kundenbindung. Unzufriedene oder ungeduldige Kunden tendierten dazu, den Videospielanbieter zu wechseln, wenn die gewünschte Spieleseite nicht antwortet oder das Spiel gänzlich unerreichbar ist.

Datenstrom an der Netzwerkgrenze überwachten und DDoS-Angriffe automatisiert abwehren!

Spieleanbieter sollten Gegenmaßnahmen entsprechend frühzeitig einziehen, um potenzielle Schäden einer DDoS-Attacke in Grenzen zu halten. Dies seien etwa leistungsfähige Technologien, die an der Netzwerkgrenze den Datenstrom überwachten und DDoS-Angriffe in Echtzeit und vor allem automatisiert abwehrten.
Solche Lösungen verzichteten darauf, den Datenstrom umzuleiten und aufwändig weiter ins Netzwerk zu transportieren, bis er schließlich in einem der sogenannten Scrubbing-Center bereinigt werde. Das würde nämlich nicht nur Zeit kosten – diese Methode verlasse sich zudem auf fehleranfällige manuelle Interventionen. Traditionelle Vorgehensweisen wie diese seien oftmals nur wenig geeignet mit modernen DDoS-Attacken Schritt zu halten. Dennoch verließen sich nicht wenige IT-Abteilungen auf genau solche Technologien und Methoden.
Moderne Ansätze hätten es aber geschafft, das Zeitfenster zwischen dem Erkennen der Attacke und den Abwehrmaßnahmen deutlich zu verringern. Der Nebeneffekt einer automatisierten DDoS-Abwehr sei es, dass der legitime Datenstrom davon nicht beeinflusst und ganz normal an den Empfänger weitergeleitet werde.

The post DDoS-Attacken plagen Onlinespiele-Anbieter appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 15.08.2017] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angeben „in den letzten Monaten zahlreiche Eingaben von Bürgerinnen und Bürgern erhalten, die sich über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine beschwert haben“. Der HmbBfDI habe demnach nunmehr durchsetzen können, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.

Nutzung der Aufmerksamkeit bei Insolvenzen für eigene kommerzielle Zwecke

Personenbezogene Daten in Insolvenzverfahren, u.a. Name, Adresse, Verfahrensstand sowie Aktenzeichen, sind nach Maßgabe der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV) durch eine zentrale, länderübergreifende Veröffentlichung im Internet bekannt zu machen. Die InsoBekV enthält für das amtliche Portal auch Vorschriften zur Beschränkung der Auffindbarkeit und zur Löschung von Bekanntmachungen. Insbesondere werden Suchmaschinen durch eine sog. „robots.txt“-Datei erfolgreich ausgeschlossen, so der HmbBfDI. Allerdings würden die dort abrufbaren Daten regelmäßig und systematisch von Drittanbietern ausgelesen und auf eigenen Internetangeboten erneut in der Weise veröffentlicht, dass Suchmaschinen sie auch namensbezogen indexierten. Diese Angebote nutzten gezielt die hohe Aufmerksamkeit bei Insolvenzdaten für eigene kommerzielle Zwecke und lenkten die Nutzer auf fragwürdige und sicherheitsgefährdende Werbeangebote. Die Betreiber dieser Angebote hätten bisher nicht ermittelt werden können, so dass Betroffene nicht bei diesen direkt gegen die Veröffentlichungen vorgehen könnten.

Erheblicher Eingriff in das Recht auf informationelle Selbstbestimmung

Die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche stelle einen „erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung“ dar. Das persönliche und berufliche Ansehen sowie die künftigen Entfaltungsmöglichkeiten seien negativ betroffen. Die Informationen könnten erhebliche Auswirkungen auf die Teilnahme am geschäftlichen Verkehr haben, da sie abschreckende Wirkung auf potenzielle Vertragspartner hätten. Davon könnten auch existenzielle Bereiche wie Miet- oder Arbeitsverhältnisse betroffen sein.
Zudem erfolge durch die Auffindbarkeit über Suchmaschinen bei bloßer Namenssuche eine Übermittlung der Informationen aus Insolvenzverfahren auch an Nutzer ohne ein diesbezügliches Informationsinteresse. Nutzer, die im Einzelfall ein Informationsinteresse haben, könnten sich über das Portal der Amtsgerichte, Auskunfteien oder durch direkte Nachfrage informieren. Die Auffindbarkeit der Insolvenzinformationen über allgemeine Suchmaschinen sei dafür nicht erforderlich.

Für das Recht auf Vergessenwerden!

Vor dem Hintergrund der Abrufproblematik habe auch die Bund-Länder-Kommission für Informationstechnik in der Justiz die Justizverwaltungen der Länder gebeten, Vorschläge zur Anpassung der bundesweiten Regelungslage der öffentlichen Bekanntmachungen in Insolvenzverfahren zu entwickeln. Zu berücksichtigen seien dabei die im nächsten Jahr geltende Europäische Datenschutzgrundverordnung und die Anbindung an das europäische Justizportal. Hierbei wirkt der HmbBfDI mit, um die datenschutzrechtliche Situation der Betroffenen zu verbessern:
„Es ist zu begrüßen, dass Google verschiedene Internetangebote, die unzulässig Insolvenzdaten veröffentlichen, nicht mehr verlinkt. Für die Betroffenen hat die dauerhafte Auffindbarkeit ihrer Insolvenzdaten durch einfache Namenssuche, insbesondere im Zusammenhang mit Verbraucherinsolvenzen, eine erhebliche Prangerwirkung. In Fällen wie diesem, in denen die Seitenbetreiber nicht ermittelbar sind, hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen“, erläutert der HmbBfDI Johannes Caspar.

The post Google verlinkt nicht mehr zu Insolvenzdaten auf unzulässigen Websites appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 15.08.2017] Die nach eigenen Angaben weltweit größte gemeinnützige Vereinigung von zertifizierten Cyber-Sicherheitsexperten, (ISC)², hat gemeldet, dass seine Mitgliederanzahl auf weltweit über 125.000 zertifizierte Cyber-Sicherheitsprofis gestiegen ist. Vor dem Hintergrund des exponentiellen Wachstums der Nachfrage nach qualifizierten Sicherheitsexperten ermöglichten die (ISC)²-Zertifizierungs- und Weiterbildungsprogramme Cyber- und IT-Sicherheitsanwendern, ihre Kompetenz zu beweisen, ihre Karriere voranzutreiben und zu einer sichereren Gesellschaft beizutragen.

Innerhalb der IT-Sicherheitsbranche fehlen 1,8 Millionen Fachkräfte

„Wir sind extrem stolz darauf, den Meilenstein von 125.000 Mitgliedern erreicht zu haben. Allerdings wissen wir auch, dass uns noch viel Arbeit bevorsteht“, erklärt (ISC)²-Geschäftsführer und CISSP David Shearer.
„Technologie allein wird unsere Sicherheitsherausforderungen nicht bewältigen können. Zusätzlich werden wir bis 2022 einen weltweiten Arbeitskräftemangel erleben“, so seine Prognose. Innerhalb der IT-Sicherheitsbranche würden 1,8 Millionen Fachkräfte fehlen.
Shearer: „In Zusammenarbeit mit unseren Mitgliedern, Regierungsbehörden, akademischen Einrichtungen und anderen Organisationen auf der ganzen Welt liegt die Aufgabe der (ISC)² darin, die Informationssicherheitsfachkräfte- und IT-Anwender anzulocken, auszubilden und zu trainieren, die wir benötigen, um den größten Sicherheitsherausforderungen Herr zu werden.“

(ISC)²-Zertifizierungen weltweit Nachweis für IT-Sicherheitskompetenz

„125.000 Mitglieder ist eine sehr große Zahl für eine Community aus engagierten Menschen, die die Messlatte stetig durch Lernen, Forschen, Unterrichten und Austauschen ihrer Kenntnisse und Fähigkeiten erhöhen, um unsere Cyber-Welt sicherer zu machen“, unterstreicht Emmanuel Nicaise, CISSP und Präsident des (ISC)²-Benelux-Chapters.
Ein (ISC)²-Mitglied zu werden, bedeutet demnach mehr als eine Prüfung abzulegen – es sei ein Bekenntnis zu einer bestimmten Ethik und einer kontinuierlichen Weiterentwicklung der Fähigkeiten und des Wissens im eigenen Bereich.
(ISC)²-Zertifizierungen seien weltweit als Nachweis für die Kompetenz von IT-Sicherheitsexperten anerkannt, die außerdem zu einem Karriere-Sprung und Möglichkeiten zur Weiterentwicklung verhelfen würden. Jeden Tag setzten Verbandsmitglieder auf der ganzen Welt Kenntnisse ein, die sie aus ihren (ISC)²-Zertifizierungen gewonnen hätten, um zu allen Aspekten der Cyber-, Informations-, Software-, IT- und Infrastruktursicherheit beizutragen.

Regionale und globale Kooperation

„Ich schloss mich (ISC)² im Jahr 2010 während meiner CISSP-Zertifizierung an und kann nun rückblickend sagen, dass dies einen der wichtigsten Meilensteine meiner Karriere darstellt“, berichtet Dr. Martin Simka, CISSP, CEE bei Showmax und Sekretär des polnischen (ISC)²-Chapters.
„Die Einrichtung hilft mir, zu verfolgen, was innerhalb der weltweiten Sicherheitsgemeinschaft vor sich geht. Andererseits besitze ich dank der lokalen monatlichen Chapter-Treffen Möglichkeiten, anderen Kollegen aus der Industrie zu begegnen und Präsentationen wie Live-Diskussionen zu sicherheitsverwandten Themen beizuwohnen“, so Simka. Als lokale und globale Gemeinschaft habe (ISC)² einen erheblichen Einfluss auf die kontinuierliche persönliche Entwicklung von zertifizierten IT-Security-Profis.
Mehr denn je müsse die Cyber-Sicherheitsgemeinschaft zusammenkommen und neue Lösungen und Strategien entwickeln, um Organisationen auf der ganzen Welt zu helfen, Daten in einer zunehmend gefährlichen Online-Welt zu schützen, fügt Shearer hinzu: „Genau das wird nächsten Monat im Rahmen unseres jährlichen ,North America Security Congress’ geschehen. Wir werden die besten und hellsten Köpfe der Cyber-Sicherheit zusammenbringen, um die Fragen, Bedrohungen und andere Herausforderungen, denen die Cyber-Sicherheitsbranche gegenübersteht, zu erforschen. Zusätzlich werden sie gemeinsam nach kreativen, handlungsfähigen Lösungen suchen, die unsere Mitglieder anschließend im Arbeitsalltag zur besseren Absicherung ihrer Daten einsetzen können.“

Weitere Informationen zum Thema:

(ISC)²
Join Us in Inspiring a Safe and Secure Cyber World

(ISC)²
SECURITY CONGRESS 2017

The post (ISC)² meldet Rekord: 125.000 Mitglieder-Marke geknackt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 14.08.2017] Zum Schuljahresbeginn 2017/2018 gibt es nach Angaben des Landesbeauftragen für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz (LfDI) ein kleines Jubiläum zu feiern: Mit 3.500 Schülerworkshops seien in den letzten sieben Jahren über 100.000 Schüler „in Sachen Datenschutz und digitaler Selbstverteidigung fitgemacht“ worden, berichtet der LfDI, Prof. Dr. Dieter Kugelmann: „Darauf und auf die Tatsache, dass wir mit dieser Initiative bundesweit Vorreiter waren, sind wir stolz.“

Verhalten in Sozialen Netzwerken sowie sicherer Umgang mit Smartphones

Seit 2010 wurden demnach in jeweils vierstündigen Workshops richtiges Verhalten in Sozialen Netzwerken sowie der sichere Umgang mit Smartphones und Apps vermittelt. Für die Organisation der Workshops sei auf 25 geschulte externe Referenten des LfDI in allen Regionen des Landes zurückgegriffen worden.

Schüler ab der vierten Klasse bis zur Oberstufe unterwiesen

Zielgruppe sind laut LfDI Schüler ab der vierten Klasse bis zur Oberstufe. In Kooperation mit „medien+bildung.com“, der Fachstelle der Landesmedienanstalt, seien die für die jeweiligen Altersgruppen notwendigen pädagogischen Konzepte eigens von Medienpädagogen erarbeitet und ständig fortentwickelt worden.
Ziel sei es, die Inhalte für die Schüler durch aktivierende Lernmethoden praxisnah, verständlich und spannend zu vermitteln, damit sich so ein besseres Verständnis für den Wert und den Schutz ihrer persönlichen Daten einstellen kann.

Verbindliche Einführung des „Medienkomp@sses

„Mit den Beschlüssen der Kultusministerkonferenz zur Digitalen Bildung und der verbindlichen Einführung des ,Medienkomp@sses‘ in allen rheinland-pfälzischen Grundschulen sind wichtige Rahmenbedingungen hinzugekommen“, führt Kugelmann aus. „Unser Schülerworkshop-Programm ist daher als ein wesentlicher Baustein dieser Bildungsstrategie in Rheinland-Pfalz zu sehen und wird von den Schulen nach wie vor dankbar angenommen.“
Die Workshops werden nach LfDI-Angaben vom Ministerium für Familie, Frauen, Jugend, Integration und Verbraucherschutz bezuschusst und können auch im neuen Schuljahr für die Schulen kostenlos angeboten werden.
Die nächsten Schritte, wie die Bereitstellung von ergänzenden Online-Lehrmaterialien für Lehrkräfte sowie die Erweiterung des Angebots für Familieneinrichtungen, seien bereits auf den Weg gebracht.

Weitere Informationen zum Thema:

Der Landesbeauftragen für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Schülerworkshopformular

Rheinland-Pfalz, 10.07.2017
Für Verbraucher- und Datenschutzrisiken in der digitalen Welt sensibilisieren – Vortragsangebot für Familien startet in Rheinland-Pfalz

The post Digitale Selbstverteidigung: Über 100.000 Schüler in Rheinland-Pfalz fit gemacht appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 13.08.2017] In Folge des Anschlusses immer weiterer Teile der Welt an das Internet und den neuesten Entwicklungen im Bereich des Internets der Dinge erreicht die globale Vernetzung von Mensch und Maschine noch nie gekannte Ausmaße.

Das Hasso-Plattner-Institut (HPI) warnt daher, dass mit der Zunahme des Informationsaustausches neben dem Wohlstand aber auch die Gefahr der Cyber-Kriminalität zunehme.

Daher veranstaltet das HPI auch wieder – dann bereits in ihrer sechsten Auflage – die „Potsdamer Konferenz für Nationale CyberSicherheit“: Hochrangige Vertreter deutscher und internationaler Sicherheitsbehörden, der Politik sowie aus Wirtschaft und Gesellschaft sollen neueste Erkenntnisse und Trends aus dem Bereich der Cyber-Sicherheit vorstellen.

„6. Potsdamer Konferenz für Nationale CyberSicherheit“
21. und 22. Juni 2018
HPI, Potsdamer Campus Griebnitzsee

Weitere Informationen zum Thema:

HPI Hasso Plattner Institut
Potsdamer Konferenz für Nationale CyberSicherheit / 21. bis 22. Juni 2018 Hass0-Plattner-Institut

The post Ausblick auf die 6. Potsdamer Konferenz für Nationale CyberSicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 13.08.2017] Das endgültige Wirksamwerden der EU-Datenschutz-Grundverordnung (EU-DSGVO) rückt mit großen Schritten näher. Diese wird erhebliche Auswirkungen auf den Betriebsalltag haben und auch sicherheitstechnische Herausforderungen vor allem für Unternehmen mit sich bringen. Tenable Network Security meldet sich mit einer Serie von Stellungnahmen zu Wort – nachfolgend werde im ersten Teil 1 drei essentielle Schritte vorgestellt, um die Herausforderungen erfolgreich zu meistern:

1. Informationssicherheits-Framework verwenden!
   Artikel 32 der Verordnung schreibt vor, dass Verantwortliche und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Informationssicherheits-Frameworks beinhalten eine Sammlung bewährter Verfahren, die im Laufe der Zeit von Fachleuten verschiedener Industrien zusammengetragen wurden. Sie stellen als solche die ideale Grundlage für die Entwicklung geeigneter Maßnahmen dar. Frameworks wie das NIST Cybersecurity Framework (2014)6 und ISO/IEC 27017/27018 bieten akzeptierte Industriestandards für den Datenschutz. Zwar schreibt die EU kein Framework vor, doch lässt sich mit den Standards einfacher nachweisen, dass die Anforderungen des Artikels 32 erfüllt wurden.
2. Personenbezogene Daten, einschließlich „besonderer“ Daten erkennen!
   Neben den personenbezogenen Daten müssen auch die sogenannten „besonderen“ Daten geschützt werden. Deren Definition umfasst in der Verordnung genetische, biometrische und klinische Daten. Biometrische Daten gelten beispielsweise als „besondere“ Daten, da sie auch für logische und physische Zugangskontrollen genutzt werden. Überraschender ist vielleicht die Tatsache, dass auch folgende Daten zu dieser Kategorie gehören:* Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
   * Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

   Um diese Anforderungen umzusetzen, empfehlen sich Discovery-Technologien. Am besten eignet sich zur Suche nach unverschlüsselten sensiblen Daten im Informationsökosystem eines Unternehmens eine Kombination aus aktiven System-Scans und passiver Netzwerküberwachung. Anschließend können die Mitarbeiter des Discovery-Teams bestimmen, ob diese Daten entfernt oder Kontrollen dafür eingerichtet werden sollen.

3. Unbekannte Bestände und Schatten-IT in die Suche einbeziehen!
   Zwei Phänomene – unbekannte Bestände und Schatten-IT – können die Aufsichtsbehörden unter Umständen zu einer besonders genauen Untersuchung veranlassen, falls personenbezogene Daten verletzt oder missbraucht werden. Mitarbeiter oder Auftragnehmer, die ohne Genehmigung personenbezogene Daten anderer Personen auf mobilen Geräten oder auf den Servern von Cloud-Diensten speichern, bieten eine enorme Angriffsfläche für Eindringlinge. Diese mobilen Geräte oder Dienste sind häufig nicht geschützt, können Sicherheitslücken aufweisen oder sind nicht geeignet, um solche Daten zu speichern. Darum ist ein kompletter Überblick zu allen Geräten im Netzwerk entscheidend. Nur dann können sie auf Sicherheitslücken überprüft und gesichert werden.

Auswirkungen für jedes Unternehmen

Die EU-DSGVO ziele darauf ab, den Datenschutz innerhalb der EU zu stärken und auch den Transfer von Daten über die EU hinaus zu regeln. Wenn sie am 18. Mai 2018 in Kraft tritt und von den Behörden durchgesetzt werden kann, habe sie Auswirkungen für jedes Unternehmen, das Daten in irgendeiner Weise in der EU verarbeitet.

The post EU-Datenschutz-Grundverordnung: Tenable Network Security stellt drei essentielle Schritte vor appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 13.08.2017] Der Digitalcourage e.V. veranstaltet am 9. September 2017 auf dem Gendarmenmarkt in Berlin ein „Fest für Grundrechte und Demokratie“ – dieses soll den Parteien vor der Bundestagswahl 2017 ein Zeichen setzen: „Wir wählen Freiheit, nicht Überwachung!“

„Freiheit 4.0 – Rettet die Grundrechte“
Samstag, 9. September 2017, ab 12 Uhr
Gendarmenmarkt, Berlin

Geplant sind laut Digitalcourage Musikdarbietungen, Appelle an die Politik, ein Demonstrations-Zug und „viele Aktionen“.

Es geht demnach um eine Mobilisierung der Wähler, „damit die Politik unsere Forderungen nicht überhört“:

• Staatliche Überwachung abbauen!
• Keine Vorratsdatenspeicherungen!
• Privatheit schützen: On- und Offline-Verfolgung eindämmen!
• Pressefreiheit – Keine Zensur!
• Grundrechte und Rechtsstaat sichern!

Weitere Informationen zum Thema:

Freiheit 4.0 – Rettet die Grundrechte!
Demo gegen Überwachung am 9. September 2017 in Berlin / Demo und Fest zur Rettung der Grundrechte

The post Freiheit 4.0 – Veranstaltung am 9. September 2017 zur Rettung der Grundrechte appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 08.08.2017] Der Deutsche Bundestag hat per Gesetz Strafermittlern neue technische Möglichkeiten eingeräumt, um verschlüsselte Kommunikation von Verdächtigen in ihren Notebooks und Smartphones mitzulesen und diese unbemerkt durchsuchen zu können („Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“). Der Gesetzgeber hat damit die Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die Online-Durchsuchungerweitert und Grundrechte in Bezug auf das Fernmeldegeheimnis eingeschränkt.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kündigt Verfassungsbeschwerde gegen diese legalisierte Schwächung von modernen IT-Systemen an: Denn anstatt die Bürgerinnen und Bürger aktiv vor IT-Schwachstellen zu schützen, toleriere sie der Staat und halte sie für den potentiellen Einsatz seines „Trojaners“ sogar aufrecht.

Mit der gesetzlichen Einsatzerlaubnis für Spionagesoftware („Bundestrojaner“) soll aus staatlicher Sicht der Tatsache Rechnung getragen werden, dass Straftäter über verschlüsselte Messenger-Dienste miteinander kommunizierten. Bei der Quellen-TKÜ werden Nachrichten schon in modernen IT-Systemen, wie Smartphones des Absenders abgefangen, bevor sie verschlüsselt werden. Die Online-Durchsuchung erlaube es, unbemerkt aus der Ferne das Endgerät eines Verdächtigen nach Hinweisen auf Straftaten zu untersuchen. Für die Zulassung gelten nach dem neuen Gesetz vergleichbar strenge Voraussetzungen wie für die schon jetzt unter Richtervorbehalt erlaubte akustische Wohnraumüberwachung. Im Gesetz ist in allgemeiner Form davon die Rede, dass „mit technischen Mitteln in informationstechnische Systeme eingegriffen wird“.

Prof. Norbert Pohlmann, TeleTrusT-Vorsitzender: „Der Staat hat die Pflicht, Bürgerinnen und Bürger zu schützen. Durch die gezielte Offenhaltung und Nutzung von Sicherheitslücken wird diese Schutzpflicht missachtet und das Vertrauen in moderne IT-Systeme staatlich untergraben. Dadurch wird die notwendige Digitalisierung nachhaltig verhindert.“

Die vom Gesetzgeber legalisierten Maßnahmen führten dazu, das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern. Sie seien damit industriepolitisch kontraproduktiv und schädigend für den weiteren notwendigen Digitalisierungsprozess. Die geschaffenen Möglichkeiten stünden im Widerspruch zur politischen Zielsetzung, „Deutschland zum Verschlüsselungsstandort Nr. 1“ zu entwickeln. Die Eignung zur Verbrechensaufklärung sei indes fragwürdig, weil Straftäter beispielsweise auf andere Kommunikationsmöglichkeiten ausweichen würden. Die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre stehe in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen.

Die beschlossene Gesetzgebung betreffe das verbandspolitische Selbstverständnis von TeleTrusT im Kern. Der Verband stehe konsequent für Vertrauenswürdigkeit der IT-Systeme und kann nicht tatenlos zusehen, wenn der Gesetzgeber konterkarierende Maßnahmen beschließt, die die digitale Zukunft Deutschlands schwächten.

Der Bundesverband IT-Sicherheit e.V. werde nach Konsultation seiner Mitglieder Verfassungsbeschwerde erheben.

The post „Bundestrojaner“: TeleTrusT kündigt Verfassungsbeschwerde an appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.