[datensicherheit.de, 11.11.2019] Die Digitalisierung des Alltags schreitet offensichtlich mit großer Dynamik voran und erfasst alle Lebens- und Arbeitsbereiche. Doch dieser Fortschritt hat nach Einschätzung des Bundeskriminalamts (BKA) auch seine Schattenseiten: Die steigende Anzahl digitaler Geräte biete Cyber-Kriminellen immer neue potenzielle Ziele. Dementsprechend sei die Anzahl der Cyber-Angriffe in Deutschland auch im Jahr 2018 weiter angestiegen. Rund 87.000 Fälle von „Cybercrime“ seien von der Polizei erfasst worden – ein Prozent mehr als im Jahr zuvor. Ein Anstieg von rund fünf Prozent (271.864 Fälle) sei auch bei der Zahl der Straftaten zu

verzeichnen gewesen, bei denen 2018 das Internet als Tatmittel genutzt worden sei.

Gesamtaufkommen festgestellter Schadsoftware steigt immer weiter

Das aktuellen Erkenntnisse des BKA beruhen nach eigenen Angaben auf dem am 11. November 2019 veröffentlichten Lagebild „Cybercrime“. Die Vielfalt der digitalen Angriffsziele sorge dafür, dass auch das Gesamtaufkommen der festgestellten Schadsoftware immer weiter steige.
Cyber-Kriminelle müssen ihre Schadsoftware nicht zwangsläufig selbst erstellen. Auf Marktplätzen im „Clearnet“ (frei zugängliche Bereiche im Internet), „Deepweb“ (gesicherte exklusive Bereiche im Internet) und „Darknet“ (geheime Bereiche im Internet) würden gegen Bezahlung eine Vielzahl illegaler Angebote gemacht, um beispielsweise Angriffe auf Firmennetzwerke und Webseiten durchzuführen oder Viren programmieren zu lassen.
„Crime-as-a-Service“ nenne sich dieses Geschäftsmodell, bei dem neben Schadsoftware auch gestohlene Daten oder Anonymisierungsdienste verkauft würden.

„Webstresser“ vom Netz genommen

Einer dieser Marktplätze sei „Webstresser“ gewesen – eine Plattform, die darauf spezialisiert gewesen sei, im Auftrag ihrer Kunden sogenannte DDoS-Attacken (Distributed Denial of Service) auf Webseiten durchzuführen. DDoS-Attacken zielten darauf ab, Webpräsenzen, Server und Netzwerke so zu überlasten, das sie nicht mehr erreichbar sind.
Mithilfe von „Webstresser“ hätten auch Laien diese Angriffe ausführen können. Im April 2018 sei diese unter anderem in Frankfurt am Main gehostete Website im Rahmen einer international koordinierten Maßnahme mehrerer Strafverfolgungsbehörde unter BKA-Beteiligung vom Netz genommen worden.
Bis zu diesem Zeitpunkt sei „Webstresser“ für über vier Millionen DDoS-Attacken weltweit eingesetzt worden. Der Administrator dieser Website sei festgenommen und Ermittlungen gegen 250 Nutzer der Plattform seien aufgenommen worden.

Hohe Dunkelziffer im Phänomenbereich „Cybercrime“

„Cybercrime“ habe 2018 einen Schaden in Höhe von über 60 Millionen Euro verursacht – ein Rückgang um rund 18 Prozent im Vergleich zum Vorjahr (2017: 71,4 Millionen Euro). Diese Zahl bilde jedoch nur ab, was der Polizei bekannt geworden ist.
Tatsächlich dürfte sich der Schaden für Unternehmen auf über 100 Milliarden Euro belaufen, wie Schätzungen aus der Wirtschaft im Betrachtungszeitraum 2018/2019 zeigten. Diese enorme Differenz erkläre sich auch durch das hohe Dunkelfeld in diesem Phänomenbereich. Insbesondere Unternehmen zeigten Fälle von „Cybercrime“ und damit verbundene materielle Schäden nach wie vor vergleichsweise selten an.
Die Furcht vor einem Vertrauensverlust bei Partnern und Kunden stehe dabei dem Interesse, die Tat strafrechtlich verfolgen zu lassen, entgegen. Dabei seien Firmen ein bevorzugtes Angriffsziel für Hacker, wobei Kriminelle nicht nur daran interessiert seien, an das Geld der Unternehmen zu gelangen. Auch das Ausspähen technologischen Wissens sei für sie von Bedeutung.

Banken haben TAN-Verfahren weiterentwickelt und Sicherheitslücken geschlossen

Das BKA rät sowohl Firmen als auch Privatpersonen, jeden Fall von „Cybercrime“ zur Anzeige zu bringen. Zudem sollten präventive Sicherheitsmaßnahmen für Geräte und Prozesse ergriffen werden. Dass dies einen positiven Effekt hat, zeige sich am Beispiel des Phishings im Online-Banking:
2018 seien 723 Fälle zum Phänomen Phishing gemeldet worden, was einem Rückgang von nahezu 50 Prozent gegenüber dem Vorjahr entspreche. Die rückläufigen Zahlen seien darauf zurückzuführen, dass die Banken ihre TAN-Verfahren weiterentwickelt und Sicherheitslücken geschlossen hätten.
Insgesamt geht das BKA jedoch auch für die kommenden Jahre von weiter steigenden Fallzahlen im Bereich „Cybercrime“ aus. Um dieser Herausforderung adäquat zu begegnen, arbeitet das BKA derzeit am Aufbau einer Abteilung „Cybercrime“. Damit sollen komplexe Ermittlungen und die Bearbeitung herausragender Cyber-Vorfälle gestärkt werden.

Bundeskriminalamt bekommt neue Stellen

„,Cybercrime‘ ist ein Massenphänomen, das nicht nur Privatpersonen, sondern auch die Wirtschaft immer stärker trifft. Cyber-Angriffe sind für Kriminelle ein lohnendes Geschäftsfeld, bei dem sie auch nicht davor zurückschrecken, im Sinne der Profitmaximierung Kritische Infrastrukturen, wie beispielsweise Krankenhäuser, zu attackieren“, berichtet BKA-Vizepräsident Peter Henzler.
Dem stelle sich das BKA „mit Entschlossenheit“ entgegen. Ihre Erfolge gegen Plattformen wie „Webstresser“ oder „Wall Street Market“ belegten das.
Henzler: „Darauf ruhen wir uns aber nicht aus. Künftig wollen wir IT-Spezialisten noch stärker in die kriminalpolizeiliche Arbeit einbinden. Dafür werden im Bundeskriminalamt neue Stellen geschaffen, die wir im Zuge des Aufbaus der Abteilung ,Cybercrime‘ zeitnah besetzen werden. Unser Ziel ist klar: Wir wollen mit den Tätern nicht nur auf Augenhöhe sein. Wir müssen ihnen voraus sein, um sie für ihre Taten zur Rechenschaft zu ziehen.“

Weitere Informationen zum Thema:

Bundeskriminalamt, 11.11.2019
Bundeslagebild Cybercrime 2018

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

The post BKA stellt Bundeslagebild für 2018 vor appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 09.11.2019] Christian Patrascu, „Senior Director, Sales Central Eastern Europe“ von Forcepoint, geht in seiner aktuellen Stellungnahme auf eine Umfrage des Digitalverbands Bitkom unter mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche in Deutschland ein – demnach waren 75 Prozent der befragten Unternehmen in den vergangen zwei Jahren Ziel von Cyber-Attacken. Auffällig sei dabei die größte Tätergruppe – wenn es um Datendiebstahl geht, vor allem die eigenen Mitarbeiter, die zum Beispiel einen USB-Stick mit Kundendaten mitnehmen, wenn sie das Unternehmen verlassen.

Wachsende Gefahr: Die Bedrohung von innen

„Während Unternehmen und Security-Anbieter weltweit Unsummen in den Schutz vor externen Cyber-Attacken investieren, geht die Branche sehenden Auges einer wachsenden Gefahr entgegen: Der Bedrohung von innen. Sogenannte ,Insider Threats‘ werden nach wie vor zu wenig thematisiert, obwohl sie, wie die Bitkom-Umfrage zeigt, beim Datendiebstahl die größte Gefahrenquelle sind“, so Patrascu.
Zum einen fürchteten Unternehmen Reputationsverlust und zum anderen fehlten oft die nötigen Tools zur Abwehr und zur Aufklärung solcher Vorfälle. Zusätzlich bestehe Unsicherheit darüber, „wo die Grenze zwischen dem Schutz von Geistigem Eigentum und der Überwachung von Mitarbeitern verläuft“.

Schaden meist erst entdeckt, wenn es zu spät ist

Dabei gehe es aber nicht um Überwachung, sondern insbesondere auch um den Schutz der eigenen Mitarbeiter. Patrascu: „Denn Insider-Issues geschehen größtenteils unbeabsichtigt, also aus Unwissen oder Versehen. Moderne Systeme, die den Kontext dafür liefern, wie Menschen mit sensiblen Daten umgehen, sind der Schlüssel zu einem erfolgreichen Schutz.“ Mit ihnen könnten Unternehmen zwischen verschiedenen Typen von „Insider Threats“ unterscheiden:

• Absichtlicher Datendiebstahl, also die Veruntreuung von Daten durch Mitarbeiter mit einem kriminellen Motiv;
• kompromittierte User, das heißt, Angriffe über die Zugangsdaten oder Rechner von Mitarbeitern;
• oder unwissentliche bzw. unbeabsichtigte Handlungen von Mitarbeitern, die durch Fehlverhalten oder Fahrlässigkeit eine Datenabwanderung begünstigen.

Für alle drei gilt laut Patrascu: „Der Schaden wird meist erst entdeckt, wenn es zu spät ist. Zudem lässt sich der genaue Sachverhalt im Nachhinein nur sehr schwer aufklären.“

Fokus sollte stets der vertrauliche, sichere Umgang mit Daten im Unternehmen stehen

„Wir sehen, dass sich IT-Verantwortliche in Deutschland zunehmend einem solchen, Mitarbeiter-zentrierten, verhaltensbasierten Security-Ansatz öffnen. Durch die Analyse von Verhaltensdaten werden Anomalien im Umgang mit kritischen Daten sichtbar und das Bewusstsein für den sicheren und sensiblen Umgang mit Geistigem Eigentum gesteigert.“
Klassische Sicherheitslösungen, die sich rein mit dem Schutz von Infrastruktur beschäftigten, griffen auch in einer zunehmend mobilen und verteilten Arbeitswelt zu kurz. „Sensible Daten liegen immer mehr in der Cloud, ob von der IT bereit gestellt oder durch Mitarbeiter und Abteilungen selbst angeschafft.“ Im Fokus sollte also stets der vertrauliche, sichere Umgang mit Daten im Unternehmen stehen. Die wichtigsten Fragen, die sich Sicherheitsexperten dabei stellen müssten, sind: „Wo befinden sich meine Daten? Um welche Art von Daten handelt es sich und wie interagieren Menschen und Maschinen mit diesen?“

Weitere Informationen zum Thema:

bitkom research, 06.11.2019
Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 20.03.2014
Cyberbedrohungen – Faktor Mensch

The post Datendiebstahl: Größte Tätergruppe die eigenen Mitarbeiter appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Ist eine Vernetzung des urbanen Lebens überhaupt sicher umsetzbar?

Ein Beitrag von unserem Gastautorin Nisha Amthul, Senior Product Marketing Managerin bei Thales

[datensicherheit.de, 07.11.2019] Arbeitsalltag im Jahr 2030: Genau wie heute kommt es kurz vor Feierabend zu einem wichtigen Meeting – ohne Ankündigung. Anstatt den Kaffee auszutrinken und den Laptop einzupacken, heißt es länger bleiben. Die wartende Tochter kann man aber anhand einer App mit einem selbstfahrenden Taxi abholen lassen. Per Smartphone geht ein Code an die Nachmittagsbetreuung der Schule, der den Zugang zum Abholservice erlaubt.

Während man sich also noch einen weiteren Espresso schnappt, wird der Nachwuchs sicher in die fahrerlose Mitfahrzentrale begleitet. Dort wartet der ausgewählte rote SUV. Neben Wagentyp und Farbe lassen sich auch Temperatur und die gespielte Musik aus der Ferne vom Handy aus einsehen und steuern. Als letztes Update vor dem Last-Minute-Meeting zeigt das Display des Handys noch die Information, dass das Auto samt Tochter umgeleitet wurde, um die Staus auf der Autobahn zu umfahren. Sie sollte aber rechtzeitig für ihren Klavierunterricht zu Hause sein – der Termin wurde automatisch nach dem Abgleich mit dem Kalendereintrag erkannt.

Bild: Thales

Nisha Amthul, Senior Product Marketing Managerin bei Thales

Realistische Zukunftsvorstellung

Diese Zukunftsvorstellung ist realistisch, aber ist sie auch sicher? Das nahtlose Zusammenspiel neuester IoT-Technologien definiert „Smart Cities“ und verändert die Lebens- und Arbeitsweise. Es gibt nur ein Problem: Verbundene Technologiesysteme werfen auch ernsthafte Bedenken hinsichtlich Privatsphäre und Sicherheit auf. So werden beispielsweise durch die Abfrage des Weges von der Schule nach Hause dem Automobilunternehmen personenbezogene Daten über den Zeitplan, die Präferenzen und den Aufenthaltsort der Tochter mitgeteilt. Offensichtlich ist es beunruhigend zu wissen, dass jemand Wissen darüber erlangen könnte, wann und wohin die eigenen Kinder gehen und wie man ihnen nach Hause folgen kann. Smart Cities werden bald den Sprung vom Konzept zur Realität vollendet haben, daher hat ihre Absicherung oberste Priorität, um Vertrauen und Privatsphäre zu gewährleisten.

Die Kosten eines Datenschutzvorfalls

Das potenzielle Sicherheitsproblem einer Smart City-Initiative könnte schwerwiegende Folgen haben. Ein im vergangenen Mai veröffentlichter Bericht des US- Cybersicherheitsunternehmens Recorded Future zeigte einen Anstieg der Ransomware-Angriffe auf Städte in den USA auf. Im Juni 2019 zahlte Riviera Beach 600.000 Dollar an Hacker, um ihr E-Mail-System und ihre öffentlichen Aufzeichnungen wiederherzustellen. Der Anstieg der Angriffe macht deutlich, dass viele Städte nicht auf Cybersicherheitsbedrohungen vorbereitet sind. Und laut eMazzanti Technologies „machen die Ausgaben für Informationstechnologie (IT) oft weniger als 0,1 Prozent des gesamten Budgets einer Kommune aus”.

Die Hyper-Konnektivität und Digitalisierung von Städten erhöht auch die Gefahr durch Cyber-Bedrohungen. Um die Herausforderung anzugehen, sollten Regierungsvertreter, Stadtplaner und andere wichtige Interessengruppen Best Practices für die IT-Sicherheit zu einem integralen Bestandteil ihrer Planung machen. Eine nachträgliche Implementierung ist immer schwierig.

Im Zentrum geht es dabei um Vertraulichkeit, Integrität, Verfügbarkeit, Sicherheit und Ausfallsicherheit. Das müssen die Ziele einer Sicherheitsstrategie sein. Ansätze sollten dabei traditionelle Informationstechnologie (IT) zur Datensicherung, als auch Betriebstechnik (OT) zur Gewährleistung der IT Security und Ausfallsicherheit Systemen und Prozessen umfassen.

Eine passende Strategie hilft modernen Städten, eine sicherere und widerstandsfähigere Betriebsumgebung zu erhalten. In der Vergangenheit waren IT- und OT-Netzwerke völlig getrennt, mit geteilten Schutzfunktionen sowie separaten Gruppen für deren Verwaltung und Kontrolle. Jetzt bewegen sich OT-Systeme immer stärker in Standard-Protokoll-/Internet-Protokoll-(IP)-Netzwerken.

Diese neue Umgebung erfordert einen anderen Ansatz für die Datensicherheit, einschließlich:

• Zugangskontrolle, um es Cyberkriminellen schwerzumachen, in Systeme einzudringen;
• Zugriffsprotokollierung, die eine Verbindung zu SIEM-Systemen herstellt, so dass Systemadministratoren ungewöhnliche Zugriffe erkennen können, die auf einen potenziellen Angriff hinweisen;
• Durchgehend starke Verschlüsselung, die sicherstellt, dass verletzte Daten unlesbar und nutzlos für diejenigen sind, die sie stehlen könnten.
• Zentrales Management des kryptografischen Schlüsselmaterials, um die fortlaufende Sicherheit des Systems zu gewährleisten

Alle diese Maßnahmen gelten als Best Practices für den Datenschutz. Das Ausbalancieren zwischen dem Potenzial von Smart Cities versus dem erhöhten Risiko durch umfangreiche Cyberangriffe ist die Schlüsselherausforderung der Stunde. Stadtverwaltungen sollten zunächst alle Interessengruppen und Einrichtungen des breiteren Ökosystems einbeziehen. Es ist klar, dass Smart Cities anfällig für Sicherheitsangriffe sind. Ebenso liegt es auf der Hand, dass es Instrumente zur Absicherung der Innovation gibt. Es braucht jetzt vor allem den Willen, die Herausforderung richtig anzugehen.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2019
Digitalisierung – die ersten gefährdeten Schritte im Cyberspace / Beobachtungen von der „9. Handelsblatt Jahrestagung Cybersecurity“ in Berlin

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 19.04.2016
Sicherheitslücke bei Verkehrssensoren aufgedeckt

The post Smart Cities: Potentiale und Risiken managen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Tour d‘Horizon der Bundesverteidigungsministerin zur Rolle der Bundeswehr in einer digitalisierten und vernetzten Welt

[datensicherheit.de, 06.11.2019] Von der Keynote der Bundesministerin der Verteidigung, Annegret Kramp-Karrenbauer, am ersten Kongresstag berichtet Dirk Pinnow als Repräsentant des Medienpartners „datensicherheit.de“ auf der „Cybersecurity 2019“ in Berlin. Auch im Kontext der Digitalisierung gelte es, die bürgerliche Freiheit und den Datenschutz zu erhalten.

Foto: Dirk Pinnow

Annegret Kramp-Karrenbauer über die Erschließung des Cyberspace‘ als Gestaltungsraum der Sicherheitspolitik

Cyberspace – ein von Menschen gemachter Raum

Die Bundesministerin griff eingangs zwei Themen des ersten Kongresstages auf: Das angesprochene BSI-Jahrbuch „Die Lage der IT-Sicherheit in Deutschland“ und der live von Sebastian Schreiber, Geschäftsführer der Syss GmbH, vorgeführte Hacking-Angriff auf Verkehrsampeln seien exemplarisch für die Angreifbarkeit unserer Gesellschaft.
Es dürfe nicht vergessen werden, dass auch der sogenannte Cyberspace ein von Menschen gemachter Raum sei, in dem konkurrierende Interessen ausgetragen würden. Dieser sei indes keineswegs nur virtuell, denn irgendwo in der materiellen Welt befänden sich die notwendigen Server, verliefen die verbindenden Kabel.

Frage nach digitaler Gestaltungsmacht stellen

Es gelte in diesem Zusammenhang die Frage nach der digitalen Gestaltungsmacht zu stellen. Sie warnte beispielhaft vor dem sogenannten Social Scoring, einem in der Volksrepublik China bereits betriebenen Sozialkredit-System: Systemkonformes Verhalten werde belohnt, abweichendes Verhalten durch Abwertung bestraft – die Folge für die Betroffenen könnte ein stark verminderter Handlungsspielraum hinsichtlich Geschäftsfähigkeit und Mobilität sein. Kramp-Karrenbauer betonte die Notwendigkeit, auch im Kontext der Digitalisierung die bürgerliche Freiheit und den Datenschutz zu erhalten.
Bei der Entwicklung digitaler Technologie bleibe Deutschland derzeit unter seinen Möglichkeiten. Sie rief zu einem Zusammenwirken von Politik, Wirtschaft, Wissenschaft und Gesellschaft auf. Die Entwicklung digitaler Systeme sei ein Teil der sicherheitspolitischen Verantwortung – denn es gehe letztendlich um die Digitale Souveränität. Die Bürger müssten Vertrauen in die digitale Infrastruktur haben können.

Gemeinsames Cyber-Lagebild als politische Entscheidungsgrundlage

Im Zuge der Digitalisierung tue sich eine Grauzone auf – Innere und Äußere Sicherheit seien immer schwerer scharf voneinander abzugrenzen. So könnten Cyber-Angriffe auf primär zivile Ziele sehr wohl auch mittelbar die Bundeswehr betreffen.
Aber es komme auch täglich zu direkten Cyber-Angriffen auf die Bundeswehr. Kampfflugzeuge seien heute mit Dutzenden Computern ausgestattet und von vielen Kilometern Kabeln durchzogen. Schiffe der Marine glichen im Prinzip schwimmenden Rechenzentren… Die Cyber-Sicherheitsvorsorge sei eine gesamtstaatliche Aufgabe – als politische Entscheidungsgrundlage müsse es ein gemeinsames, bewertetes Cyber-Lagebild geben.

Einsatz im Cyberspace mit denselben rechtlichen Grundlagen wie in der materiellen Welt

Die Erschließung des Cyberspace‘ als sicherheitspolitischer Gestaltungsraum sei so bedeutend wie seinerzeit der Vorstoß in den Luftraum. Künstliche Intelligenz (KI) könne dabei helfen, eine Krisenfrüherkennung zu etablieren.
Kramp-Karrenbauer brachte Beispiele für die Notwendigkeit der Bundeswehr, im Cyberspace zu wirken: Das Aufspüren von Sprengfallen in Einsatzgebieten, welche oft per Mobilfunk gezündet werden, oder das Vorgehen gegen ehrabschneidende Falsch-Meldungen u.a. Sie stellte aber klar, dass der Einsatz im Cyberspace denselben rechtlichen Grundlagen genügen müsse wie in der materiellen Welt.

Bundeswehr übernimmt Mitverantwortung für mehr Sicherheit im Cyberspace

Auch die Bundeswehr sei heute vom IT-Fachkräftemangel betroffen und müsse sich dem Wettbewerb stellen – in diesem Zusammenhang benannte sie beispielhaft die Universität der Bundeswehr München.
Sie kündigte an, dass eine neue Agentur für Innovation in der Cybersicherheit im Bereich der Inneren und Äußeren Sicherheit in Leipzig errichtet werden soll. Die Bundesverteidigungsministerin bekannte sich zur Bundeswehr als Teamplayerin im Kontext der gemeinschaftlichen Aufgabe für mehr Sicherheit auch im Cyberspace.

Weitere Informationen zum Thema:

Die Bundesregierung, 09.10.2019
Agentur für Innovation in der Cybersicherheit / Errichtung einer Agentur für Innovation in der Cybersicherheit im Bereich der Inneren und Äußeren Sicherheit

bitkom, 03.07.2019
Bitkom zur geplanten Agentur für Innovationen in der Cybersicherheit

datensicherheit.de, 06.11.2019
Digitalisierung – die ersten gefährdeten Schritte im Cyberspace / Beobachtungen von der „9. Handelsblatt Jahrestagung Cybersecurity“ in Berlin

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

The post Sicherheit im Cyberspace als Gemeinschaftsaufgabe appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Beobachtungen von der „9. Handelsblatt Jahrestagung Cybersecurity“ in Berlin

[datensicherheit.de, 06.11.2019] ds-Herausgeber Dirk Pinnow hat als Repräsentant des Medienpartners „datensicherheit.de“ an der „Cybersecurity 2019“ im Hotel Bristol Berlin teilgenommen und berichtet nachfolgend über den Vortrag von Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), am ersten Kongresstag. Für mehr Sicherheit im Zuge der Digitalisierung, welche als deren Erfolgsgrundlage gilt, könnte ein regulatorischer Eingriff des Staates zu einem erwünschten Kulturwandel führen.

Foto: Dirk Pinnow

Dr. Gerhard Schabhüser (Bildmitte): Im Prinzip kann jeder IT-Anwender irgendwann Opfer werden

Cyber-Sicherheit grundlegend für Gelingen der Digitalisierung

Über den Beitrag des BSI zur Cyber-Sicherheit in Deutschland sprach dessen Vizepräsident, Dr. Gerhard Schabhüser. Er betonte eingangs, dass wir mit der Digitalisierung erst auf dem Weg seien – indes sei Cyber-Sicherheit grundlegend für deren Gelingen. Die mit der Digitalisierung einhergehende Vernetzung erfolge horizontal und vertikal.
In den damit entstehenden Meta-Netzwerken suchten Angreifer nach den einfachsten Wegen für maliziöse Zugänge. In diesem Zusammenhang verwies er auf die aktuelle BSI-Publikation „Die Lage der IT-Sicherheit in Deutschland 2019“. Er stellte klar und warnte zugleich: Die Methoden für sogenannte Phishing-Attacken würden immer mehr verfeinert, so dass im Prinzip jeder IT-Anwender irgendwann Opfer werden könnte.

Bisher noch Marktversagen statt Security-by-Design

In Hinblick auf die Sicherheit müssten heute IT-Systeme überwiegend noch mit „mangelhaft“ bewertet werden – Dr. Schabhüser sprach von einem „Marktversagen“. Informations- und Kommunikationsausrüstung sei noch lange nicht auf dem Sicherheitsniveau wie etwa materielle Maschinen. Er forderte, dass Sicherheit bereits vor dem Markteintritt geboten werden müsste („Security-by-Design“). Zertifizierung sollte integraler Teil des Innovations- und Entwicklungsprozesses sein.
So sehe der am 27. Juni 2019 in Kraft getretene „EU Cybersecurity Act“ eine Zertifizierung nach den drei Sicherheitsniveaus „niedrig“, „mittel“ und „hoch“ vor – diese werde dann in allen EU-Staaten anerkannt. Der BSI- Vizepräsident nahm aber nicht nur die Anbieter in die Pflicht – auch auf Seiten der Anwender erwartet er eine notwendige Verhaltensänderung. Schabhüser forderte zur Verbesserung der Sicherheitslage einen „Kulturwandel“ – auf Seiten der Hersteller und Dienstleister einerseits und der Anwender andererseits. Er wies als Hilfestellung für Unternehmen auf die Publikation „Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte“ der Allianz für Cyber-Sicherheit hin.

Mit Bußgeld bewehrter regulatorischer Eingriff als Wegbereiter für mehr Sicherheit

In der sich seinem Impuls unmittelbar anschließenden kurzen Diskussion zog er die zum 1. Januar 1976 in der damaligen Bundesrepublik verfügten allgemeinen Anschnallpflicht auf Pkw-Vordersitzen heran, der damals viele Westdeutsche ablehnend gegenüberstanden. Ausschlaggebend war damals die hohe Anzahl an Verkehrstoten (über 21.000 im Jahr 1971 – im Prinzip eine deutsche Kleinstadt).
Sicherheit habe sich damals zunächst schlecht verkauft – heute seien Sicherheits-Features in den PKW sehr wohl gute Verkaufsargumente. Es habe also eines mit Bußgeld bewehrten regulatorischen Eingriffs des Staates bedurft, um die Sicherheitslage auf den Straßen zu verbessern. Schabhüser gab seiner Hoffnung Ausdruck, dass es im Cyberspace ähnlich verlaufen könnte.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Die Lage der IT-Sicherheit in Deutschland

Allianz für Cyber-Sicherheit
Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

The post Digitalisierung – die ersten gefährdeten Schritte im Cyberspace appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

[datensicherheit.de, 05.11.2019] Als Vertreter des Medienpartners „datensicherheit.de“ hat Herausgeber Dirk Pinnow am ersten Kongresstag der „Cybersecurity 2019“ im Hotel Bristol Berlin teilgenommen. Unter dem Titel „Virtueller Raum, reale Gefahr“ stellte Michael Niemeier, Vizepräsident des Bundesamts für Verfassungsschutz, die nachrichtendienstliche Dimension der Digitalisierung am ersten Kongresstag vor.

Foto: Dirk Pinnow

Michael Niemeier (Bildmitte): IT-Systeme haben „dual-use“-Charakter

Entgrenzung birgt Chancen und Risiken

Niemeier betonte, das Cyber-Sicherheit eine tragende Säule unsere heutigen Welt sei, denn unsere Souveränität hänge davon ab. Ähnlich wie etwa Chemikalien bestehe bei IT-Systemen die Möglichkeiten eines „dual-use“ – diese könnten sowohl als konstruktive wie destruktive Instrumente eingesetzt werden. Ambivalenz aber und Komplexität seien der Feind der IT-Sicherheit.
Die heutige Bedrohungslage der IT-Landschaft sei durch asymmetrische Konflikte geprägt – zur Durchführung von Angriffen seien nur geringe Investitionen erforderlich. Zudem seien wir von vielfacher Entgrenzung betroffen: Im Cyberspace könne jeder Nachbar jedes anderen Akteurs werden – als Partner oder auch Feind. Die Digitalisierung erweitere den Informationsraum, so dass Forensik schwieriger werde.

Köder im Cyberspace: Mit Malware behaftete E-Mail-Fälschungen

Zu verzeichnen seien täglich unzählige Angriffe unterhalb der militärische Schwelle. Cyber-Angriffe entwickelten sich zunehmend zu einer der wichtigsten Quelle nachrichtendienstlicher Aktivitäten. Dabei sei Deutschland als Wirtschaftsstandort ein natürliches Ziel ausländischer Geheimdienste, insbesondere auf dem Gebiet der Wirtschaftsspionage.
Hierzu komme bevorzugt sogenanntes Spear-Phishing zum Einsatz – im Sinne einer ausgeklügelten, gezielten Attacke: So würden z.B. an Zielpersonen mit Links zu Malware-Webseiten versehene, gefälschte Job-Angebote versendet. Darüber könnten dann „Advanced Persistent Threats“ (APT) platziert werden, um einer unautorisierten Person Zugriff auf ein Netzwerk zu verschaffen. Niemeier rief dazu auf, die Kosten für die Angreifer zu erhöhen.

Wehrhafte Demokratie auch im Cyberspace!

Er warnte: Der Übergang von der Cyber-Spionage zur -Sabotage etwa von Kritischer Infrastruktur (Kritis) sei fließend. Ähnlich wie bei Uran in der materiellen Welt, könne man heute von „waffenfähigem IT-Wissen“ sprechen.
Terror-Anschläge von Einzelgängern erfolgten heute vor globalem Publikum – der „einsame Wolf“ habe indes sehr wohl ein „Rudel“ hinter sich, welches ihm Anleitung und Bestätigung verschaffen könnte. Auch im Cyberspace müsse es eine wehrhafte Demokratie geben.

Sicherheitslücken im Cyberspace müssen geschlossen werden

Es gelte insbesondere, die Resilienz deutscher Unternehmen zu erhöhen. Von Wirtschaftsspionage bzw. Cyber-Sabotage betroffene könnten den Verfassungsschutz „niederschwellig“ ansprechen – anders als bei der Polizei habe eine Meldung dort nicht automatisch den Charakter einer Anzeige.
Der Kampf um die Digitale Souveränität habe erst begonnen – momentan herrsche leider noch „Waffenungleichkeit“. Niemeier warnte vor „Blindheit im Cyberspace“ – Sicherheitslücken müssten geschlossen werden.

Absage an „informationstechnische Inseln“ und Passivität im Cyberspace

In Bezug auf Kooperation auf dem Gebiet der Cyber-Sicherheit machte er deutlich, dass „informationstechnische Inseln“ der Globalisierung zuwiderliefen.
Zum Abschluss riet er, die Instrumente der erforderlichen Wehrhaftigkeit anzupassen, nicht aber die seit 70 Jahren bewährte Grundordnung. Risiken sollten nicht länger passiv erduldet werden.

Weitere Informationen zum Thema:

Handelsblatt
9. Handelsblatt Jahrestagung Cybersecurity / 5. und 6. November 2019, Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

The post Cyberspace: Virtueller Raum mit realer Gefahr appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 04.11.2019] Der Freie Ärzteschaft e.V. (FÄ) übt heftige Kritik an dem Plan, das sogenannte Digitale-Versorgungs-Gesetz (DVG) am 7. November 2019 im Bundestag verabschieden zu lassen – denn damit „attackiert Bundesgesundheitsminister Jens Spahn massiv den Datenschutz und die Privatsphäre der Bürger“.

Patientendaten bedürfen eines besonderen Schutzes!

„Was Spahn gerade im Schweinsgalopp und von der Öffentlichkeit nahezu unbemerkt durch den Bundestag bringen will, ist ein Frontalangriff auf bundesdeutsches Grundrecht“, warnt Dr. Silke Lüder, FÄ-Vizevorsitzende.
Die FÄ fordert demnach die Bundestagsabgeordneten daher auf, ihrer Verantwortung gerecht zu werden und im Sinne der Bürger dem Gesetz nicht zuzustimmen. Dr. Lüder: „Patientendaten bedürfen eines besonderen Schutzes.“

Digitales-Versorgungs-Gesetz verletzt informationelles Selbstbestimmungsrecht

Am kommenden Donnerstag stehe das DVG zur Abstimmung im Bundestag. Mit diesem Gesetz wolle Spahn den Weg frei machen für die größte Sammlung von Patientendaten in Deutschland. Das Einverständnis der Bürger habe er dafür nicht vorgesehen. „Das Gesetz bricht damit das informationelle Selbstbestimmungsrecht, also ein Grundrecht. Das heißt: Jeder Bürger darf laut unserer Verfassung selbst entscheiden, was mit seinen Daten passiert“, betont Dr. Lüder.
Dem DVG zufolge sollten aber die Daten – etwa Diagnosen, Behandlungen, Krankschreibungen, Alter, Geschlecht und Wohnort – von 73 Millionen gesetzlich Versicherten ungefragt, ohne Widerspruchsmöglichkeit und Löschfristen für die Forschung verwendet werden können. Das verstoße auch gegen die Datenschutzgrundverordnung (DSGVO).

Überwachung und Missbrauch können „Tür und Tor geöffnet“ werden

Zwar würden die Patientendaten mit einem Pseudonym versehen, was aber prinzipiell eine Rückverfolgung zu der Person ermögliche. „Hier entsteht erstmals eine zentrale Sammelstelle für Gesundheitsdaten in staatlicher Hand und mit einer langen Liste von Nutzungsberechtigten“, erläutert die FÄ-Vizevorsitzende.
Der Überwachung und dem Missbrauch würden damit „Tür und Tor geöffnet“ – und weder Patienten noch Ärzte sollten sich dagegen wehren können. „Das darf in unserer Demokratie nicht sein“, stellt Lüder klar. Bereits jetzt würden Ärzte gezwungen, sich an die sogenannte Telematik-Infrastruktur anzuschließen und Patientendaten dort einzuspeisen. Mit dem DVG wolle Spahn Strafen gegen Ärzte verschärfen, die sich nicht anschließen.

Medizinische Qualität und Grundrechte der Bürger gefährdet

Spahn wolle mit diesem Gesetz noch mehr erzwingen: Ärzte sollen laut FÄ den Patienten Gesundheits-Apps verschreiben, wenn diese das wünschen. „Dafür werden der ohnehin unterfinanzierten realen Behandlung von Patienten Millionen Euro Versichertengelder entzogen – für etwas, dessen Nutzen noch nicht einmal nachgewiesen sein muss“, kritisiert Lüder.
Ein Jahr lang hätten die Hersteller Zeit, positive Effekte ihrer App nachträglich nachzuweisen. So lange werde eine App im Zweifelsfall ungeprüft auf die Bevölkerung losgelassen. „Aus ärztlicher Sicht ist das grob fahrlässig. Spahns Digitalpolitik zerstört die medizinische Qualität in Deutschland und die Grundrechte der Bürger.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung / Anja Hirschel warnt vor „gläsernem Patienten“ und Ausverkauf an zentrales Forschungszentrum

Freie Ärzteschaft
Verein / Das sind wir

The post Auch Freie Ärzteschaft kritisiert Digitales-Versorgungs-Gesetz appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Unternehmen sollten sich bereits heute mit dem Thema auseinandersetzen und quantensichere Datenverschlüsselung einleiten

[datensicherheit.de, 03.11.2019] Kevin Bocek, „Vice President Security Strategy & Threat Intelligence“ bei Venafi, geht in seinem aktuellen Kommentar auf das offensichtliche „Wettrüsten“ im Sinne des Schutzes vor sogenannten Quantencomputern ein.

Foto: Venafi

Kevin Bocek: „Umsetzung von Quantenbereitschaft stellt langfristigen Prozess dar…“

Offensichtlich Teilerfolg auf dem Weg zum richtigen Quantencomputer

Quantencomputer sind laut Bocek „bereits seit einigen Jahren immer wieder Thema verschiedenster wissenschaftlicher Literatur“ – immer wieder habe es geheißen, dass ein Durchbruch kurz bevorstünde, nun scheine ein Teilerfolg erreicht worden zu sein. Das sogenannte „AI Quantum Team“ habe vor ein paar Wochen bekanntgegeben, einen Computer erfolgreich getestet zu haben, der Aufgaben innerhalb von 200 Sekunden in einem Experiment gelöst habe, für welche der derzeit leistungsfähigste Rechner der Welt 10.000 Jahre benötigt hätte.
Bocek stellt allerdings klar: „Richtige Quantencomputer sind allerdings ein paar Jahre entfernt. Der auf der Homepage der NASA veröffentlichte Fachartikel von Google zeigt jedoch, wie intensiv an dem Thema gearbeitet wird. Die ,Süddeutsche Zeitung‘ schrieb bereits, dass es einem Team von 76 Forschern gelungen sein könnte, ,das nächste Zeitalter der Computertechnologie einzuläuten‘.“

Quantencomputer: Enormes Potenzial

Was genau Quantencomputer anders als herkömmliche Rechner machen, zeige der Blick auf die Datenverarbeitung. Bocek: „Derzeit arbeiten Rechner mit Binärcode und bearbeiten die ,Bits‘ nacheinander. Ein Quantencomputer soll die Prozesse parallel abbilden, also eine Rechenoperation aus ,1‘ und ,0‘ gleichzeitig lösen. Dazu verwendet er sogenannte ,Qubits‘.“ Die Menge an Daten, welche verarbeitet werden können, nehme rapide zu.
Diese Technologie scheine sehr fehleranfällig zu sein und müsse daher in einem geschlossenen System unter optimalen Bedingungen stattfinden. Eine Störung auf molekularer Ebene könnte bereits das Endergebnis verfälschen. Googles neuartiger Prozessor namens „Sycamore“ bestehe aus 54 Qubits und arbeite mit einer sehr geringen Fehlerquote. Als Grund hierfür gälten „Korrektur-Qubits“. Das Potenzial eines solchen Computers sei enorm.

Auch Quantencomputer könnten missbräuchlich benutzt werden

Bocek: „Leider auch das Potenzial für Missbräuche.“ Deshalb sollten Unternehmen bereits heute in entsprechende Sicherheitsmaßnahmen investieren. Bisher als sicher eingestufte Verschlüsselungen könnten in Zukunft in kürzester Zeit geknackt werden. Besonders Cloud-Services seien angesichts ihres Kosten-Nutzen-Verhältnisses sehr beliebt.
Für die abgelegten Daten trage das Unternehmen die Verantwortung gegenüber der Gesellschaft und müsse sicherstellen, „dass die durch den Anbieter zur Verfügung gestellte Verschlüsselung den neuartigen Anforderungen genügt“.

Maschinen auf den Tag vorbereiten, an dem Quantencomputer heutige Rechentechnik ersetzen

Bocek, nach eigenen Angaben Experte für Bedrohungserkennung, Verschlüsselung, digitale Signaturen sowie Schlüsselmanagement, blickt zurück: „Als wir im Dezember 2018 die Ausfälle bei O2 in Großbritannien und bei Softbank in Japan sahen – von denen insgesamt 60 Millionen Kunden in beiden Ländern betroffen waren – wurde der Ablauf eines digitalen Zertifikats verantwortlich gemacht. Etwas, das niemand bemerkt hatte“.
Maschinenidentitäten seien der Schlüssel der Kommunikation zwischen Maschine und Maschine. Wenn diese Identitäten nicht als sicher angesehen würden, dann wären die Folgen dramatisch. Die Lösung liege in der Quantenbereitschaft. „Einem Prozess, der nicht lediglich bedeutet, dass Maschinen auf den Tag vorbereitet werden, an dem Quantencomputer die heutigen Computer ersetzen. Im ,Vor-Quanten-Zeitalter‘, in dem die Anfälligkeit von Maschinenidentitäten als Risiko erkannt wurde, bietet Quantenbereitschaft eine sichere Lösung.“

Präventive Maßnahmen ergreifen, bevor Maschinenidentitäten auslaufen!

Venafi zählt laut Bocek „über 50.000 unbekannte Maschinenidentitäten bei ihren Kunden“. Die Lösung liege im Automatisierungsprozess von Änderung und Aktualisierung der Maschinenidentitäten. Dies habe mehrere Vorteile: „Nicht nur ist es einfacher, präventive Maßnahmen zu ergreifen, bevor die Maschinenidentitäten auslaufen. Die Fehlerwahrscheinlichkeit beim Ändern der Maschinenidentitäten verringert sich.“
Das Ergebnis zeige sich bereits heute, denn durch die gewonnene Transparenz, Intelligenz und Automatisierung träten Ausfälle durch abgelaufene Zertifikate nicht weiter auf. Zusätzlich profitierten Anwender von zwei relevanten Aspekten: „Das Risiko von Identitätsdiebstahl sinkt und Quantenbereitschaft kann dazu beitragen, das Sicherheitsquantum vorzubereiten.“

Quantencomputer könnten zur Gefahr für verschlüsselte Daten werden

Quantencomputer, die in der Lage sind, Maschinenidentitäten zu brechen, werden nach Boceks Einschätzung „zunächst in den Händen von Großkonzernen wie Google sowie Nationalstaaten liegen“. Es werde noch einige Zeit dauern, bis Cyber-Kriminelle die Quantentechnologie in die Finger bekämen. „Je früher wir uns vorbereiten, desto besser. In der Annahme, dass Quantencomputer in fünf bis zehn Jahren zur Gefahr für verschlüsselte Daten werden könnten, sollten Unternehmen dennoch bereits jetzt in quantensichere Verschlüsselung investieren.“
Der Grund hierfür sei, „dass der genaue Zeitpunkt der Entwicklung nicht sicher bestimmbar ist“. Es sei davon auszugehen, dass die Forschung rapide Fortschritte machen werde. Es könne in zwei oder zehn Jahren zum Risiko werden. Die Umsetzung von Quantenbereitschaft stelle einen langfristigen Prozess dar, Unternehmen sollten sich bereits heute mit dem Thema auseinandersetzen und die quantensichere Datenverschlüsselung einleiten.

Weitere Informationen zum Thema:

datensicherheit.de, 28.10.2019
Quantencomputer bedrohen Absicherung vernetzter Systeme / Google hat Start für neues Computerzeitalter gesetzt

datensicherheit.de, 22.10.2019
Cyberangriff auf NordVPN

The post Schutz gegen Quantencomputer: Wettrüsten gestartet appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 03.11.2019] Laut einer Stellungnahme der Piratenpartei Deutschland soll bereits am 7. November 2019 das „Digitale-Versorgungs-Gesetz“ im Bundestag beschlossen werden. Es verspricht demnach, die Digitalisierung in der Medizin einen großen Schritt voranzubringen – so sollen u.a. Verwaltungsprozesse vereinfacht und die Telemedizin gestärkt werden. Als „besonders brisant“ bezeichnet indes die Piratenpartei, dass dieses Gesetz zusätzlich vorsehe, „die persönlichen Daten aller gesetzlich Versicherten an den Spitzenverband der Krankenkassen weiterzuleiten“.

Pseudo-Pseudonymisierung der Patientendaten befürchtet

Unter § 303b „Datenzusammenführung und -übermittlung“ im Antrag zur Änderung des Fünften Buches Sozialgesetzbuch werde konkret gefordert,

1. Angaben zu Alter, Geschlecht und Wohnort,
2. Angaben zum Versicherungsverhältnis,
3. die Kosten- und Leistungsdaten nach den §§ 295, 295a, 300, 301, 301a und 302,
4. Angaben zum Vitalstatus und zum Sterbedatum und
5. Angaben zu den abrechnenden Leistungserbringern

an den Spitzenverband Bund der Krankenkassen als Datensammelstelle weiterzuleiten.
Dieser wiederum übermittele die Daten (ohne das Versichertenkennzeichen) an ein Forschungsdatenzentrum. Die einzelnen Datensätze sollten mit einer Arbeitsnummer gekennzeichnet werden, was als Pseudonymisierung angesehen werden könnte. „Allerdings soll eine Liste beigefügt werden, welche diese Arbeitsnummern wiederum den eindeutigen Versichertenkennzeichen zuordnet“, warnt die Piratenpartei.

Ausverkauf der Patientendaten in diesem Ausmaß nicht widerspruchslos hinzunehmen

Das Forschungsdatenzentrum selbst (geregelt in § 303d) werde zudem ermächtigt, Anträge auf Datennutzung zu prüfen, die Daten zugänglich zu machen und „das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren“.
Anja Hirschel, Stadträtin in Ulm und Bundesthemenbeauftragte für Digitalisierung der Piratenpartei, kommentiert: „Es ist zu befürchten, dass die höchst persönlichen und sensiblen Gesundheitsdaten, welche nun zentral gesammelt werden sollen, komplett schutzlos sind: vor gezielten Angriffen, vor Datenpannen, vor kommerziellen Interessen. Es ist leicht, eine Datensammelwut mit Digitalisierung zu begründen, es ändert aber nichts an der Tatsache, dass wir den Ausverkauf unserer Daten in diesem Ausmaß nicht widerspruchslos hinnehmen dürfen.“

Widerspruchsrecht bei Weiterleitung der Patientendaten offenbar nicht vorgesehen

Auf technische Details wie Verschlüsselung usw. werde nicht eingegangen. Deren Klärung obliege dem Spitzenverband selbst. „Das Nähere zur technischen Ausgestaltung der Datenübermittlung nach Satz 1 vereinbart der Spitzenverband Bund der Krankenkassen mit den nach § 303a Absatz 1 Satz 2 bestimmten Stellen spätestens bis zum 31. Dezember 2021.“ Ein Widerspruchsrecht werde ebenso nicht erwähnt – dies wäre aber dringend erforderlich.
Beim Vergleich dieses Gesetzesentwurfs mit dem Krebsfrüherkennungs- und -registergesetz (KFRG), beschlossen 2013, fällt laut Piratenpartei auf: „Das Krebsregister hält die Daten in von Internet getrennten Netzen und nutzt sie ausschließlich dazu, die medizinische Versorgung voran zu bringen um u.a. Therapien zu verbessern. Es dient der Optimierung der individuellen Betreuung der Patienten. In manchen Landesgesetzen ist zudem ein Widerspruchsrecht und/oder ein Widerspruch gegen die Kontaktaufnahme möglich.“

Weitere Informationen zum Thema:

bundesgesundheitsministerium.de
Gesetzentwurf der Bundesregierung / Entwurf eines Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG)

datensicherheit.de, 26.09.2019
Leistungsschutzrecht: Piratenpartei fordert Experiment zu stoppen

datensicherheit.de, 03.12.2012
Datenschutzexperte Christian Volkmer warnt vor Datensammelwut der Krankenkassen

The post Patientendaten: Bundesregierung plant Weiterleitung appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 31.10.2019] Die G DATA CyberDefense AG geht in ihrem Kommentar des Urteils des Oberlandesgerichts (OLG) in Köln kritisch auf das Ergebnis ein, dass damit eine Klage von Verbraucherschützern zurückgewiesen wurde. Elektronikmärkte verkauften bewusst veraltete und unsichere „Android“-Smartphones, ohne Kunden auf die Risiken hinzuweisen. Dem aktuellen Urteil nach dürften sie das nun auch weiter tun.

Schon lange vor Sicherheitslücken in vielen Android-Smartphones gewarnt

Die Klage vom Juli 2017 habe Hoffnungen bei vielen Sicherheitsexperten geweckt, die schon lange vor Sicherheitslücken in vielen „Android“-Smartphones gewarnt hätten. „Diese werden nämlich nicht mehr behoben und stellen deshalb ein Risiko für die persönlichen Daten von Nutzern dar.“
Verbraucherschützer hätten mit dem Gerichtsurteil erwirken wollen, dass Geräte mit einer veralteten „Android“-Version nur noch mit einem entsprechenden Hinweis verkauft werden dürften, da sie „gut dokumentierte und nicht behebbare Mängel bei der Sicherheit“ aufwiesen.

Händler nicht verpflichtet, Käufer auf Sicherheitslücken hinzuweisen

Tim Berghoff, „G DATA Security Evangelist“, kritisiert: „Mit dem heutigen Urteil hat das OLG Köln die Verantwortung also wieder einmal beim Verbraucher abgeladen und erteilt damit Händlern faktisch einen Freibrief, weiterhin Geräte zu verkaufen, denen selbst das BSI ‘eklatante Sicherheitsrisiken für die Nutzer’ bescheinigt hat.“ Diese Geräte seien also nach allen geltenden Maßstäben als „unsicher“ zu betrachten.
Zudem seien Händler auch weiterhin nicht verpflichtet, die Käufer dieser Geräte auf die bestehenden Sicherheitslücken und die fehlenden Möglichkeiten zu einem Update hinzuweisen. In der Urteilsbegründung habe es geheißen, dass es der Beklagten (gemeint sei jene, die fraglichen Elektronikmärkte betreibende Unternehmensgruppe) nicht zuzumuten sei, sich Informationen über sämtliche Sicherheitslücken zu verschaffen und entsprechende Tests für die betroffenen Modelle durchzuführen.

Großer Rückschritt für die Sicherheit persönlicher Daten

Dass gerade „Android“-Smartphones ohnehin oft nur mit großer Verzögerung – wenn überhaupt – aktuelle Updates und Sicherheits-Patches erhielten, sei nichts Neues. Google unternehme zwar Schritte in die richtige Richtung, aber dennoch seien noch immer Millionen unsicherer Geräte ohne Aussicht auf Updates unterwegs – und das werde auch noch eine Weile lang so bleiben.
„Das Urteil bedeutet einen großen Rückschritt für die Sicherheit persönlicher Daten, den wir bei G DATA mit Kopfschütteln zur Kenntnis nehmen“ , so Berghoff. Letztlich nehme das Urteil genau die Partei – den Verbraucher – in die Verantwortung, die insgesamt am wenigsten einschätzen könne, „ob und inwiefern ein Gerät über ein ausreichend hohes Sicherheitsniveau verfügt“. Gerade hierbei wären jedoch die Händler und auch die Hersteller gefragt, die zumindest auf die Risiken hinweisen könnten – „so hätte ein potenzieller Käufer wenigstens die Möglichkeit einer Entscheidung“.

Weitere Informationen zum Thema:

Oberlandesgericht Köln, 31.10.2019
Sicherheitslücken bei Smartphones / Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems Android hinweisen

datensicherheit.de, 30.07.2019
G DATA: Keine Entspannung bei Android-Malware

The post OLG Köln: Neue Smartphones müssen nicht sicher sein appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.