[datensicherheit.de, 24.05.2018] Prof. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist darauf hin, dass die EU-Datenschutzgrundverordnung (EU-DSGVO) ab dem 25. Mai 2018 „geltendes Recht“ ist. Dies sei eine „große Chance für die Wahrung der Privatsphäre in Zeiten des Digitalen Wandels“. Es vollziehe sich ein „Paradigmenwechsel im europäischen Datenschutzrecht“, der sich auf alle Unternehmen, Behörden sowie Bürger in der EU und auch außerhalb auswirken werde. Nachdem der Gesetzgeber seinen Beitrag geleistet habe, sei es nun an den Aufsichtsbehörden, für einen einheitlichen Vollzug der europaweit geltenden Regeln zu sorgen.

Neue Pflichten für Verantwortliche und Auftragsverarbeiter

Die DSGVO bringe neue Pflichten für Verantwortliche und Auftragsverarbeiter sowie neue und weiter fortgeschriebene Rechte von Betroffenen mit sich.
Hierzu gehörten etwa das Führen von Verzeichnissen der Verarbeitungstätigkeiten, die transparente Information bei der Erhebung von personenbezogenen Daten oder das Recht auf Daten-Portabilität.

Den Menschen einen Teil der Kontrolle über ihre Daten zurückgeben!

Mit dem Europäischen Datenschutzausschuss (EDSA) werde ein neues Rechtsorgan geschaffen, das künftig den Schlüssel für einen einheitlichen europaweiten Vollzug der neuen Datenschutzregeln in der Hand halte.
Die DSGVO ziele darauf ab, „den Menschen einen Teil der Kontrolle über ihre Daten zurückzugeben, die sie in den letzten Jahren immer mehr verloren haben“. Gerade die Pflicht zur transparenten Information bei der Datenverarbeitung unterstreiche dies, auch wenn damit für die Verantwortlichen teilweise erhebliche Aufwände verbunden seien.

Besonderes Augenmaß seitens der Aufsichtsbehörden nötig

Die in Zeiten eines Umbruchs des Rechts regelmäßig zu spürenden Unsicherheit und Sorgen von Unternehmen seien verständlich. Gleichwohl müsse berücksichtigt werden, dass die zweijährige Übergangszeit zwischen Inkrafttreten und Geltung der DSGVO den Unternehmen an sich genug Zeit gelassen habe, sich auf den 25. Mai 2018 Tag vorzubereiten.
Dennoch: Gerade viele kleinere und mittlere Unternehmen, aber auch Vereine und andere Organisationen täten sich häufig schwer, ohne fremde Hilfe die speziellen Anforderungen eigenständig umzusetzen. Diese Situation erfordere ein besonderes Augenmaß gerade seitens der Aufsichtsbehörden. Das Instrument der gegenüber dem alten Recht massiv gestiegenen Bußgelder könne daher gerade vor diesem Hintergrund nur die ultima ratio sein.

DSGVO als „rechtspolitischer Export-Schlager“

Bei allen verständlichen Anfangsschwierigkeiten – eine weitergehende Verschiebung der Frist zum Vollzug, wie teilweise in der Öffentlichkeit diskutiert, sei schon aus rechtlichen Gründen nicht möglich. Datenschutz sei nicht Selbstzweck, sondern realisiere den Grundrechtsschutz für die Menschen in Europa.
Bereits jetzt zeichne sich ab, dass die Regelungen zu einem „rechtspolitischen Export-Schlager“ werden könnten. Gerade mit Blick auf die Vorgänge um „Cambridge Analytica“ und Facebook sei auch in den USA ein Umdenken in Richtung stärkeren Datenschutzes zu verspüren. Aber es gebe auch andere Signale: Das gegenwärtige Vorhaben von Facebook und WhatsApp, die WhatsApp-Daten der Nutzer mit Facebook auszutauschen, sei „alarmierend“.

Fairer Wettbewerb auf digitalen Märkten

Während sich Unternehmen in Europa Sorgen machten, wie sie die Vorgaben der DSGVO fristgerecht umsetzen sollen, nähmen Facebook und WhatsApp den Übergang zur DSGVO offenbar zum Anlass, ihre durch die Aufsichtsbehörde in der jüngsten Vergangenheit gestoppten und in Gerichtsverfahren in Deutschland als rechtswidrig bestätigten Vorhaben wiederaufzunehmen.
Um dies zu verhindern, stehe die Zusammenarbeit der Datenschutzaufsichtsbehörden in Europa bereits jetzt auf dem Prüfstand.
„Die DSGVO gibt Europa die weltweit beste Datenschutzgesetzgebung. Diese gilt es nun, mit Leben zu füllen. Das liegt nun in der Verantwortung der Aufsichtsbehörden. Sie müssen die Datenschutzregeln einheitlich auslegen und anwenden. Es darf nicht sein, dass Unternehmen im alten Recht untersagte Maßnahmen unter dem neuen Recht wieder aufnehmen und damit durchkommen. Nur wenn es gelingt, in Europa einheitliche Standards auch beim Vollzug des Rechts zu etablieren, wird die DSGVO zum Erfolgsmodell“, betont Caspar. Darin seien dann nicht nur die Rechte Betroffener gewahrt, sondern auch die Bedingungen der Unternehmen für einen fairen Wettbewerb untereinander in digitalen Märkten verwirklicht.

The post EU-DSGVO: Hamburgs oberster Datenschützer sieht große Chance für Wahrung der Privatsphäre appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 22.05.2018] IT-Sicherheitsexperten der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben nach eigenen Angaben Sicherheitslücken in den beiden gängigen E-Mail-Verschlüsselungs-Verfahren „PGP“ und „S/MIME“ entdeckt: Damit verschlüsselte E-Mails könnten demnach auf zwei verschiedene Arten so manipuliert werden, dass Angreifer den Klartext der verschlüsselten Nachricht erhalten. Der diesbezügliche Bericht mit dem Schlagwort „Efail“ habe schnell ein großes Echo in den Medien gefunden. Dabei sei häufig die falsche Aussage gemacht worden, dass die Verschlüsselung von E-Mails mit diesen beiden Verfahren nicht wirksam sei.

Bekannte Schwachstelle in E-Mail-Clients ausgenutzt

„Die aufgedeckten Sicherheitslücken betreffen nicht die beiden Verschlüsselungstechnologien selbst, sondern nutzen eine schon lange bekannte Schwachstelle in E-Mail-Clients aus“, erläutert hierzu Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH.

Automatisches Nachladen von Links im Mail-Client deaktivieren!

Esch: „Diese Schwachstelle lässt sich einfach ausmerzen bzw. ist in der Regel gar nicht vorhanden. Dazu muss nur das automatische Nachladen von Links im Mail-Client deaktiviert werden – eine Einstellung, die auch bei unverschlüsselter Kommunikation empfehlenswert ist. Denn das automatische Nachladen von Links im Mail-Client ermöglicht Spammern, einfach festzustellen, wann und wo ein Empfänger eine unerwünschte Werbemail angeschaut hat.“

Verschlüsselung korrekt implemetieren und sicher konfigurieren!

In einer kürzlich verbreiteten Medienmitteilung habe auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass die genannten E-Mail-Verschlüsselungsstandards weiterhin sicher eingesetzt werden könnten, sofern sie korrekt implementiert und sicher konfiguriert sind.

Weitere Informationen zum Thema:

SEPPMAIL, 21.05.2018
Statement zu Efail

The post „Efail“-Alarm – E-Mail-Verschlüsselung weiterhin sicher einsetzbar appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 22.05.2018] Der Digitalverband Bitkom rät dazu, E-Mails weiterhin mit den bekannten Verfahren „S/MIME“ oder „OpenPGP“ zu schützen – trotz der jüngsten Veröffentlichungen zu Angriffen auf verschlüsselte E-Mails. „Eine verschlüsselte E-Mail ist in jedem Fall sicherer vor ungewollten Blicken als nicht-geschützte E-Mails“, betont Dr. Nabil Alsabah. Nicht alle Hacker-Szenarien, die unter Laborbedingungen stattfänden, seien auch in der Praxis leicht umsetzbar, so der Bitkom-Experte für IT-Sicherheit.

„S/MIME“- und „OpenPGP“-Standards mittelfristig zu aktualisieren

Europäische Sicherheitsforscher haben laut aktuellen Medienberichten gezeigt, wie Angreifer gängige Sicherheitsmechanismen bei der E-Mail-Verschlüsselung aushebeln können. In den veröffentlichten Szenarien waren demnach E-Mail-Programme betroffen, die Nachrichten mit den standardisierten Verfahren „S/MIME“ oder „OpenPGP“ verschlüsseln.
Eine der Voraussetzungen für einen erfolgreichen Angriff sei dabei, dass ein Angreifer in den Besitz einer verschlüsselten E-Mail kommt. Gelingt ein solcher Datenklau, müsste der Angreifer diese verschlüsselte Nachricht in eine E-Mail mit HTML-Schadcode einbetten und diese wiederum an den Empfänger der zuvor verschlüsselten Nachricht schicken. Unter bestimmten Voraussetzungen werde diese E-Mail dann automatisch entschlüsselt und lesbar an den Angreifer zurück verschickt.
„Es besteht keine akute Gefahr für Nutzer, die ihre E-Mails verschlüsseln“, erläutert Alsabah. Die jüngst veröffentlichten Forschungsergebnisse deuteten jedoch darauf hin, dass die „S/MIME“- und „OpenPGP“-Standards mittelfristig zu aktualisieren seien.

Richtige Verschlüsselung der E-Mails

Moderne E-Mail-Verschlüsselung basiere auf dem Prinzip der asymmetrischen Kryptographie. Dabei nutzten Anwender ein sogenanntes Schlüsselpaar: einen Schlüssel zum Kodieren und einen zum Dekodieren von Nachrichten. Die zugrundeliegenden mathematischen Verfahren garantierten, dass so geschützte Nachrichten nur mit dem privaten Schlüssel zu entziffern seien.
Der öffentliche Schlüssel solle und könne deshalb publik gemacht werden. Mit diesem könnten E-Mail-Sender ihre Nachrichten an den Empfänger verschlüsseln. Der andere Schlüssel müsse jedoch privat und geheim aufbewahrt werden. Denn damit ließen sich alle Nachrichten und Daten entschlüsseln, die an den Empfänger verschickt werden.
„S/MIME“ und „PGP“ seien die am weitesten verbreiteten Standards für die asymmetrische Verschlüsselung. Sie arbeiteten nach ähnlichen Prinzipien. Ein zentraler Unterschied betreffe die Generierung des Schlüsselpaars: Bei „S/MIME“ würden Schlüssel von einer vertrauenswürdigen Zertifikats-Autorität ausgestellt, „PGP“ komme jedoch ohne aus. Für „PGP“ und für „S/MIME“ gebe es kostenlose, quellcodeoffene, aber auch kommerzielle Lösungen – als Softwarepaket oder als Online-Dienst. Damit generierten Nutzer ein Schlüsselpaar und erweiterten E-Mail-Programme um Verschlüsselungsfunktionen, sofern diese nicht nativ unterstützt werden. Nutzer könnten nun ihren öffentlichen Schlüssel an Bekannte verschicken und im Netz veröffentlichen. Ebenso könnten sie öffentliche Schlüssel von weiteren Anwendern herunterladen, um ihnen verschlüsselte E-Mails zu versenden.

Verhinderung des automatischen Ladens aktiver Inhalte

Aktive Inhalte seien vor allem in E-Mails im HTML-Format beliebt. Sie erlaubten dem Verfasser, Texte zu formatieren, Bilder einzufügen und dadurch ein lebendiges Erscheinungsbild zu kreieren. Diese Inhalte würden durch HTML-Code eingebettet.
Der Nachteil: In diesen aktiven Inhalten lasse sich Schadcode verstecken. Wer aktive Inhalte in HTML-basierten E-Mails grundsätzlich laden lässt, laufe Gefahr, dass damit Schadcode empfangen und ausgeführt wird. Vor allem bei unbekannten Absendern sollten aktive Inhalte in E-Mails nicht ausgeführt werden – in der Regel lasse sich über das genutzte E-Mail-Programm einstellen, wann und ob HTML-Inhalte dargestellt werden.

Nutzung einer sicheren Verbindung zum Mailserver

Wer seine E-Mails über eine Weboberfläche abruft, sollte auf eine sichere Verbindung zum Mailserver achten. Diese sei daran zu erkennen, dass die Adresse im Browser mit „https“ anfängt.
Eine https-Verbindung sorge dafür, dass die Kommunikation zwischen dem Rechner des Nutzers und dem E-Mail-Server verschlüsselt wird und biete dadurch zusätzliche Sicherheit.

Konsequente Installation von Sicherheitsupdates

Nutzer sollten die Update-Hinweise ihres Betriebssystems, im Browser, bei Add-Ons und anderen Programmen ernst nehmen.
Gleiches gelte für Virenscanner: Ohne sie könne es sehr gefährlich sein, sich im Internet zu bewegen – gleich ob per Desktop-Computer oder Smartphone. Umso wichtiger sei es, die Virensoftware immer aktuell zu halten.

The post Bitkom empfiehlt Nutzern E-Mails weiterhin zu verschlüsseln appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.05.2018] Laut aktuellen Medienberichten soll es einen IT-Sicherheitsvorfall bei einem Tochterunternehmen eines deutschen Energieversorgers gegeben haben. Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) ist nach eigenen Angaben über diesen Vorfall informiert und hat diesen im Rahmen des Nationalen Cyber-Abwehrzentrums in Zusammenarbeit mit dem betroffenen Unternehmen analysiert und bearbeitet. Es lägen derzeit keine Erkenntnisse vor, die auf eine Beeinträchtigung der kritischen Versorgungsdienstleistung des Unternehmens hindeuteten.

Betreiber Kritischer Infrastrukturen verstärkt im Fokus

Der Generalbundesanwalt habe im Zusammenhang mit dem genannten Vorfall ein Ermittlungsverfahren eröffnet. Details über Art und Auswirkungen des Vorfalls sowie sonstige Informationen könne das BSI daher derzeit nicht zur Verfügung stellen.
„Die Anzahl und Qualität der Cyber-Angriffe nimmt zu, auch Betreiber Kritischer Infrastrukturen sind verstärkt im Fokus. Als nationale Cyber-Sicherheitsbehörde arbeiten wir intensiv mit der KRITIS-Wirtschaft zusammen, um Schutzmaßnahmen zu verbessern und Cyber-Angriffe abzuwehren“, erläutert BSI-Präsident Arne Schönbohm.

Mehr in Informations- und Cyber-Sicherheit investieren!

Angesichts der zunehmenden Bedrohungslage und der zunehmenden Digitalisierung von Staat, Wirtschaft und Gesellschaft könne man sich Stillstand hierbei jedoch nicht leisten:
„Wenn wir auch in Zukunft einen starken und sicheren Standort Deutschland haben wollen, dann müssen wir mehr in Informations- und Cyber-Sicherheit investieren“, fordert Schönbohm. Der im Koalitionsvertrag geplante Ausbau des BSI und des Nationalen Cyber-Abwehrzentrums sowie die Weiterentwicklung des IT-Sicherheitsgesetzes seien „erste wichtige Schritte, die nun konsequent umgesetzt werden müssen.“

The post Cyber-Angriff auf KRITIS-Betreiber in Deutschland derzeit Gegenstand eines Ermittlungsverfahrens appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 16.05.2018] Der Deutschland sicher im Netz e.V. (DsiN) ist bestrebt, „Sicherheitseffekte in Ausbildungsbetrieben wirksam zu verstärken“. Hierzu startet DsiN am 17. Mai 2018 eine Schulungstour zu Deutschlands Ausbildungsbetrieben in Berlin. Der Auftakt-Workshop von „Bottom-Up LIVE!“ findet am 17. Mai 2018 im Ausbildungszentrum OTA in Berlin-Lichtenberg statt.

Erprobungsphase beginnt

In einer Erprobungsphase soll das Angebot im Rahmen des DsiN-Bildungsangebots „Bottom-Up: Berufsschüler für IT-Sicherheit“ zu kleinen und mittleren Unternehmen (KMU) fahren und dort Führungskräfte sowie Mitarbeiter kostenfrei schulen.

Fokus auf strukturschwächeren Regionen

Ein Fokus dieser Schulungsmaßnahme liegt laut DsiN auf Ausbildungsbetrieben in sogenannten strukturschwächeren Regionen. Die Workshops orientierten sich am „IT-Grundschutzkatalog“ des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).

Unterstützung durch das BMWi

Diese aktuelle Schulungsreihe wird nach DsiN-Angaben von der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie (BMWi) im Rahmen des Bildungsangebots „Bottom-Up“ gefördert.

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz
Berufsschüler für IT-Sicherheit – bundesweit!

datensicherheit.de, 31.01.2018
Bottom-Up: Erste Berufsschulen für mehr IT-Sicherheit im Mittelstand

datensicherheit.de, 05.05.2016
Projekt Bottom-Up gestartet: Schon Berufsschüler für IT-Sicherheit sensibilisieren

The post Neue DsiN-Workshop-Reihe für Betriebe: Auftaktveranstaltung am 17. Mai 2018 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Tipps für Unternehmen bei der Wahl einer Verschlüsselungslösung

[datensicherheit.de, 09.05.2018] Christian Heutger, Geschäftsführer der PSW GROUP, weist in seiner aktuellen Stellungnahme darauf hin, dass bereits heute das bisherige Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vorschreibt. Ab dem 25. Mai 2018 verschärfe indes die Datenschutz-Grundverordnung (DSGVO) die Lage: „Die E-Mail-Verschlüsselung wird endgültig zur Pflicht!“

E-Mail-Verschlüsselung unabdingbar

„Wer dann noch auf E-Mail-Verschlüsselung verzichtet, für den kann es richtig teuer werden, weil Sicherheitsvorkehrungen zum Schutz von Daten nach aktuellem Stand der Technik nicht umgesetzt wurden“, warnt Heutger.
Der IT-Sicherheitsexperte rät, jedoch nicht gleich in Panik zu verfallen: „E-Mail-Verschlüsselung ist heutzutage praktikabel und mit geringem Aufwand implementiert. Idealerweise greifen Unternehmen zu einer Lösung, die unbemerkt im Hintergrund, also serverseitig, aufgesetzt wird. So müssen sich Mitarbeiter nicht in ihren Arbeitsabläufen umstellen.“

Unternehmen müssen Meldepflicht beachten

Nicht vernachlässigen sollten Unternehmen zudem, dass sie im Falle einer Datenpanne künftig verpflichtet sind, diese binnen 72 Stunden der zuständigen Aufsichtsbehörde sowie, bei hohem Risiko für persönliche Daten, den betroffenen Personen zu melden.
Waren die kompromittierten Daten jedoch so verschlüsselt, dass Dritte nicht an diese gelangen können, könnten Unternehmen zumindest auf die Bekanntgabe gegenüber betroffenen Personen verzichten. „Das erspart viel Arbeit und schützt den Ruf als datenschutzorientiertes Unternehmen“, unterstreicht Heutger.

Auswahl einer praktikablen, sichere Verschlüsselungslösung

„Bei der Verschlüsselung von E-Mails wird zwischen Transport- und Inhaltsverschlüsselung unterschieden. Während bei der ersten Variante die E-Mail auf ihrem Weg von Server zu Server quasi nur durch einen verschlüsselten Tunnel geschickt wird und auf den Servern selbst im Klartext gespeichert ist, wird bei der Inhaltsverschlüsselung auch die E-Mail selbst verschlüsselt“, erläutert Heutger.
Da dabei Metadaten wie Absender, Betreff der Nachricht und Empfänger unverschlüsselt und damit lesbar bleiben, sollten in der Praxis beide Verfahren kombiniert werden: „Es empfiehlt sich, auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS ist hingegen das Standardprotokoll für die Transportverschlüsselung.“
Laut Heutger sind mit S/MIME und PGP Lösungen auf dem Markt, für deren Einsatz Zertifikate sowie Schlüssel zwingende Voraussetzungen sind. Dies jedoch setze eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. In der Praxis lohne es sich deshalb über Alternativen nachzudenken: „Deshalb bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. Mit ihnen gelingt das Verschlüsseln und Signieren von E-Mails automatisch und zentral auf dem Server.“

Gateway-Lösungen für KMU nicht immer die beste Wahl

Kleinen Unternehmen rät Heutger jedoch von Gateway Lösungen ab: „Im Vergleich zu isolierten Ende-zu-Ende-Lösungen fällt der Konfigurationsaufwand recht hoch aus. Sie sollten deshalb ernsthaft über eine isolierte Lösung nachdenken und sich individuell beraten lassen, welche Lösung für sie richtig ist. Hinzu kommt, dass viele E-Mail-Gateways den unternehmensinternen Mail-Versand nicht schützen und bei Bedarf die innere Sicherheit mit einer weiteren Lösung erreicht werden muss.“

© PSW Group

Christian Heutger: Individuelle Verschlüsselungslösung für KMU empfohlen

Lösung sollte kompatibel mit vielen Betriebssystemen und Plattformen sein

Bei der Wahl der geeigneten Verschlüsselungslösung keinesfalls vernachlässigt werden sollten Schnittstellen zu weiterer Sicherheitssoftware, beispielsweise einem Virenscanner, um eingehende E-Mails auf Schadsoftware zu scannen.
Dasselbe gelte für das E-Mail-Archiv: Um E-Mails zu indizieren, sollte das Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls werde es schwer, eine bestimmte E-Mail später wieder aufzufinden. Die Wahl der geeigneten Verschlüsselungslösung sollte zudem auf ein System fallen, das auch mobile Endgeräte wie Smartphones oder Tablets mit einbindet.
„Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, sollte eine Lösung gewählt werden, die mit vielen Betriebssystemen und Plattformen kompatibel ist“, so Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 25.04.2018
Rechtliches / DSGVO: E-Mail-Verschlüsselung ist Pflicht

The post DSGVO: E-Mail-Verschlüsselung wird endgültig zur Pflicht appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 09.05.2018] Wie sich Unternehmen besser vor der wachsenden Zahl und der Komplexität der Cyber-Attacken schützen und sich zugleich für die Chancen der Automatisierung und Digitalisierung der Wirtschaft rüsten können, soll das neue Whitepaper „Cybersecurity Trends 2018” vom TÜV Rheinland erläutern.

Fokus auf größte Gefahren und Chancen in der zunehmend vernetzten Welt

„Unser Ziel ist, das Bewusstsein für die zunehmenden Cybersecurity-Risiken, die das Business und die Sicherheit unserer Kunden beeinflussen, weiter zu fördern”, betont Björn Haan, Geschäftsführer im Geschäftsfeld „Cybersecurity Deutschland“ bei TÜV Rheinland.
„In diesem Jahr konzentrieren wir uns auf die Bereiche, wo wir die größten Gefahren und Chancen sehen und beleuchten die Auswirkungen auf unsere zunehmend vernetzte Welt. Wir betrachten die weltweiten Bemühungen hinsichtlich Bedarf und Regulierungen sowie das Vertrauen in Cyber-Sicherheit, um diese weiter zu stärken. Des Weiteren werfen wir ein Blick auf Wege, um uns vor ,intelligenten‘ Cyber-Attacken zu schützen und was wir tun sollten, um die Qualifikationslücke zu schließen, in einer Welt, die nach Cyber-Sicherheitstalenten hungert, aber gleichzeitig von riesigen Datenmengen überwältigt wird“, erklärt Haan.
Wie in den Vorjahren basiere der Report 2018 auf einer Umfrage unter führenden Experten für Cybersecurity von TÜV Rheinland und Beiträgen von Kunden in Europa, Nordamerika und Asien. Nachfolgend wird auf acht identifizierte Trends eingegangen.

Preis zum Schutz der Privatspäre steigt***

„TREND 1: Durch die wachsende Anzahl an globalen Regulierungen im Cyber-Umfeld steigt der Preis, um die Privatsphäre zu schützen“
Datenschutz sei ein kritischer Aspekt in einer immer digitaler werdenden Welt. Der 25. Mai 2018 stellt demnach einen entscheidenden Wendepunkt für den Datenschutz in Europa dar – dieses Datum markiert das Ende des Übergangszeitraums für die Datenschutz-Grundverordnung (DSGVO) der EU, da diese ab diesem Tag rechtsverbindlich gilt.
Sie bedeute einen grundlegenden Wandel bei der Daten-Governance und der Art, wie Informationen von Unternehmen geschützt werden, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Verordnung sei der Beginn einer wachsenden weltweiten Regulierung im Bereich Datenschutz. Verstöße gegen diese könnten mit Strafen in Höhe von bis zu vier Prozent des globalen Umsatzes belegt werden – eine enorme Summe, die nicht außer Acht gelassen werden dürfe. Es sei davon auszugehen, dass die EU-Kommission Verstöße gegen die DSGVO durch große globale Unternehmen konsequent verfolgen werde.

Internet der Dinge und Dienste erzwingt Safety und Security

„TREND 2: Das Internet of Things treibt das Zusammenspiel von Sicherheit, Cybersecurity und Datenschutz voran“
Im Jahr 2016 habe die Verwendung der Malware „Mirai“ gezeigt, dass IoT-Geräte ein schlagkräftiges und gefährliches Botnet bilden könnten. Die Time-to-Market-Anforderungen bei der Produktentwicklung und die eingeschränkte technische Performance von IoT-Geräten sorgten heute dafür, dass diese Geräte kritische Schwachstellen aufwiesen, die einfach ausgenutzt werden könnten.
Die Auswirkungen von Datenverletzungen gingen heute weit über eine einfache Datenmonetarisierung hinaus und umfassten auch physische Bedrohungen für Gesundheit und Sicherheit, da Geräte und Systeme direkt mit offenen Netzwerken verbunden seien.
Es ist laut TÜV Rheinland ein offenes Geheimnis, dass es um die IoT-Sicherheit nicht gut bestellt ist. Schätzungen gingen davon aus, dass bis 2022 in privaten Wohnungen und Häusern über 500 solcher Geräte vorhanden sein würden. Damit werde klar, dass sich die Risiken für Sicherheit, Cybersecurity und Datenschutz stark erhöhten.

OT wird verstärkt ins Visier genommen

„TREND 3: Operational Technology als Angriffspunkt für Cyber-Attacken“
Das Industrial Internet sorge bereits für eine Transformation der globalen Industrie und Infrastruktur und verspreche mehr Effizienz, Produktivität und Sicherheit.
Um im Wettbewerb zu bestehen, würden Prozessleittechnikgeräte mit der Online-Welt verbunden werden, wodurch oftmals unbeabsichtigt Komponenten, die Schwachstellen aufweisen, Cyber-Angriffen ausgesetzt seien. Fertigungsanlagen seien ebenfalls ein Angriffsziel, um an Geistiges Eigentum, Geschäftsgeheimnisse und technische Informationen zu gelangen.
Hinter Angriffen auf die öffentliche Infrastruktur stünden dagegen finanzielle Gründe, Hacktivismus und die Unzufriedenheit mit staatlichen Stellen. Die Angst vor einem „Worst-Case-Szenario”, bei dem Angreifer einen Zusammenbruch von Systemen auslösen könnten, die das Fundament der Gesellschaft bilden, sei ein Thema beim diesjährigen Weltwirtschaftsforum gewesen.
Industrielle Systeme seien besonders anfällig gegen Angriffe auf die Lieferkette. Das hätten auch kriminelle Angreifer erkannt und begonnen, diese Systeme ins Visier zu nehmen.

Angriffe werden immer noch zu spät erkannt

„TREND 4: Wenn Abwehrmechanismen für Cyber-Angriffe vorhanden sind, verlagert sich die Fokussierung auf die Erkennung von Bedrohungen und angemessene Reaktionen“
Angriffe der letzten Zeit zeigten, dass im Kampf gegen erfahrene und beharrliche Cyber-Kriminelle Verhinderungsmechanismen allein nicht ausreichten.
Heute dauere es im Schnitt 191 Tage, bis ein Unternehmen ein Datenleck erkennt. Je länger es aber dauert, eine Bedrohung zu erkennen und darauf zu reagieren, desto größer seien der finanzielle Schaden und der Reputationsverlust, den das Unternehmen durch den Vorfall erleidet.
Durch den enormen Anstieg erfasster sicherheitsrelevanter Daten, die Einschränkungen von aktuellen Technologien, die ineffiziente Nutzung von vorhandenen Bedrohungsinformationen (Threat Intelligence), die fehlende Überwachung von IoT-Geräten und den Fachkräftemangel an Cybersecurity-Experten entstünden in den Unternehmen teure Verweildauern.

Unternehmen laufen Gefahr, das Cyber-Wettrüsten zu verlieren

„TREND 5: Zunehmende Nutzung von Künstlicher Intelligenz für Cyber-Attacken und -Abwehr“
Auf ihrem Weg der Digitalen Transformation würden Unternehmen in steigendem Maße zum Ziel für komplexe und hartnäckige Cyber-Attacken – Malware werde immer smarter. Sie könne sich „intelligent” anpassen und traditionelle Erkennungs- und Beseitigungsroutinen umgehen.
Angesichts des globalen Mangels an Cybersecurity-Spezialisten seien die Unternehmen dabei, das Cyber-Wettrüsten zu verlieren. Die Menge an Sicherheitsdaten überschreite bei weitem die Kapazitäten für ihre effiziente Nutzung. Das führe zu einer steigenden Anzahl von KI-fähigen Cybersecurity-Anwendungsfällen: Beschleunigung der Erkennung und Bekämpfung von Sicherheitsvorfällen, bessere Identifizierung und Vermittlung von Risiken gegenüber den Fachabteilungen und die Bereitstellung einer einheitlichen Sicht auf den Sicherheitsstatus innerhalb der gesamten Organisation.

Problem der Einschätzung des Schutzniveaus eines Unternehmens

„TREND 6: Zertifizierungen werden wichtig, um das Vertrauen in Cybersecurity zu stärken“
Es herrsche weitgehend Einigkeit darüber, dass Cybersecurity und Datenschutz integrale Bestandteile einer digitalen und vernetzten Welt seien. Aber es bleibe die Frage zu klären, wie sich das Schutzniveau eines Unternehmens objektiv einschätzen lässt.
Die Bedenken, ob und inwieweit Cybersecurity tatsächlich umgesetzt wird, nähmen zu. Dies führe dazu, dass bestehende und neue Standards, die Cybersecurity-Strategien international vergleichbar machen, immer stärker an Relevanz gewönnen. Für CISOs und Produkthersteller seien Zertifizierungen wichtig, um nachzuweisen, dass sie getan haben, was sie versprochen haben. Die Zertifizierungsverfahren für die Bestätigung der IT-Sicherheit von Produkten konzentrierten sich heute jedoch vor allem auf kritische Infrastrukturen und Öffentliche Hand. Das werfe die Frage auf, wo die Hersteller von Verbraucherprodukten blieben.

Passwortschutz zumeist unpraktisch und unsicher

„TREND 7: Ablösung der Passwörter durch biometrische Authentifizierung“
Das digitale Leben werde durch ein komplexes Netz aus Online-Apps bestimmt, die digitale Identität durch Benutzernamen und Passwörter geschützt. Um den Schutz hinter diesen Apps zu steigern, werde empfohlen, schwer zu erratende und komplexe Kennwörter zu verwenden und diese regelmäßig zu ändern. In der Praxis geschehe das aber nur selten.
Mit der gewaltigen Zunahme der Rechenleistung und dem einfachen Zugang über die Cloud könnten Kennwörter in einer immer kürzeren Zeit geknackt werden. Was im Jahr 2000 noch fast vier Jahre gedauert hätte, sei heute in zwei Monaten erledigt.
Wenn man bedenkt, dass Kennwörter häufig gestohlen, gehackt und gehandelt werden, werde klar, dass sie noch nie offener verfügbar gewesen seien als heute. Aus diesem Grund begegneten wir heute bei Mobiltelefonen, Tablets und Laptops und auch bei physischen sowie Online-Services vermehrt der biometrischen Authentifizierung (Gesicht, Fingerabdruck, Iris und Sprache).

Reger Handel mit Daten im Darknet

„TREND 8: Ausgewählte Branchen im Visier der Angreifer: Gesundheitswesen, Finanzdienstleistungen und Energieversorgung“
Der Großteil der Cyber-Angriffe werde von Kriminellen aus finanziellen Motiven begangen. Der Wert von Daten im Darknet richte sich nach der Nachfrage, ihrer Verfügbarkeit, ihrer Vollständigkeit und den Möglichkeiten für deren Nutzung.
Daher seien persönliche Informationen aus dem Gesundheits- und Finanzsektor besonders gefragt. Krankenakten kosteten, je nachdem, wie vollständig sie sind, zwischen einem und 1.000 US-Dollar. Kreditkartendaten würden für fünf bis 30 US-Dollar verkauft, wenn die benötigten Informationen für ihre Nutzung mitgeliefert werden.
Andere Cyber-Angriffe hätten eher politische oder nationalstaatliche Motive. Im Jahr 2018 bestehe hier ein erhöhtes Risiko für Störungen von kritischen Services durch Angriffe auf den Energiesektor.

Weitere Informationen zum Thema:

TÜV Rheinland
Whitepaper „Cybersecurity Trends 2018“

The post Cybersecurity Trends 2018: TÜV Rheinland veröffentlicht neues Whitepaper appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 08.05.2018] Laut einer aktuellen Stellungnahme von 7Alliance vernachlässigen Betreiber von Rechenzentren „oftmals die physische Sicherheit ihrer Data-Center“. Grund dafür sei die Konzentration auf sichere digitale Services zur Verwaltung der Datenmassen der Blockchain-Technologie.

Architekt Peter Wieczorek beschreibt Gefahrenszenario

„Gerade wenn die Sicherung von wachsendem Datenmaterial erhöhte Aufmerksamkeit fordert, gerät die physische Sicherheit, also der Schutz des Ortes, schnell ins Hintertreffen. Doch was passiert, wenn ein Rechenzentrum dank ungenügender Kühlung mit verformten Festplatten kämpfen muss? Oder es sogar aus der Überhitzung zu Schwelbränden oder zu Feuer in dem IT-System kommt? Oder Unbefugte durch nicht ausreichende physikalische Sicherheit ungehindert Daten manipulieren können?“
Ähnlich wie bei einem Produktionsausfall eines Industrieunternehmens könnten Blockchain-Transaktionen nicht fortgeführt, der Nachweis von Datenverwendungen nicht geführt werden, ganz zu schweigen von den finanziellen Verlusten für den Betreiber, warnt Architekt Peter Wieczorek, Geschäftsführer des Ingenieurbüros Wieczorek, einem Gründungsmitglied der 7Alliance, welche sich für IT-Sicherheit „Made in Germany“ engagiert.

Mehr und mehr Branchen erkennen Vorteile der dezentralen sicheren Automatisierung

Blockchain-Technologie automatisiere und vereinfache Geschäftsprozesse. Dazu würden Informationen in Datenblöcke gebündelt. Anschließend werde die Transaktionskette um den entsprechenden Block erweitert. Mit dem „wachsen“ dieser Kette erhöhe sich automatisch auch die Menge an Informationen.
Die anschwellenden Datenbanken, in denen die kryptographisch geschützten Datentransaktionen verarbeitet werden, würden dezentral verwaltet. Auf diese Art seien Manipulationen so gut wie gar nicht möglich, gleichzeitig seien jegliche Transaktionen unveränderbar in der Blockchain nachzuvollziehen. Eine Software überprüfe die Gültigkeit der Vorgänge.
Bekannt geworden sei das System durch die Verwendung von „Bitcoins“. Doch auch andere Branchen hätten die Vorteile der dezentralen sicheren Automatisierung längst erkannt. Dazu gehörten zum Beispiel Carsharing-Anbieter oder Lieferdienste.

Entwicklung kleinerer und dynamischer Rechenzentren zu erwarten

„Rechenzentren müssen diesem wachsenden Bedarf eine verlässlich sichere Basis geben. Neben der Sicherung der Services gilt diese Verlässlichkeit auch für physikalische Prozesse. Beispielsweise fordern Hundertausende Transaktionen pro Tag schließlich einen immensen Rechen- und damit auch Energieaufwand“, nennt Wieczorek nur einige der Herausforderungen für Rechenzentren in der Blockchain-Zukunft.
Wieczorek geht davon aus, dass Blockchains die Entwicklung kleinerer und dynamischer Rechenzentren begünstigen werden: „Diese sind in der Lage, auf einer funktionierenden wirtschaftlichen Basis eine Kombination aus sicheren Services und einer gesicherten Infrastruktur anzubieten. Physisch sicher müssen diese allerdings auch errichtet werden. Sonst werden keine Blockchains dort einziehen.“

Weitere Informationen zum Thema:

7Alliance
Die Mitglieder der 7 Alliance

The post Unsichere Rechenzentren: Zukunftsmodell Blockchain gerät ins Wanken appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 08.05.2018] Mit dem Ende der Übergangsphase tritt die Europäische Datenschutzgrundverordnung (EU-DSGVO) in der Europäischen Union (EU) endgültig am 25. Mai 2018 in Kraft. Beabsichtigt wird mit deren 99 Artikeln ein weitestgehend einheitliches Niveau des Datenschutzrechts innerhalb der EU. Wesentliche Elemente des bisherigen Bundesdatenschutzgesetzes (BDSG) bleiben zwar erhalten, dennoch wird es zukünftig einige wichtige Änderungen geben, welche die Aufmerksamkeit von Unternehmen und Vereinen, aber ggf. auch Privatpersonen dringend erfordern.

Die DSGVO und ihre Herausforderungen

Welche Herausforderungen auf Sie zukommen, möchte der Veranstalter, die GPB Consulting, am 29. Mai 2018 in ihren Räumlichkeiten in Berlin am Spittelmarkt vortragen lassen und zur Diskussion stellen:

TrendForum „Europäische Datenschutzgrundverordnung“

Dienstag, 29.05.2018, um 17.58 Uhr
GPB Consulting, Beuthstraße 8 in 10117 Berlin
ÖPNV: U2 Spittelmarkt
[P] in den umliegenden Straßen (kostenpflichtig)
Die Teilnahme ist kostenfrei – rechtzeitige Anmeldung per E-Mail wird erbeten an: Michael [dot] Taube [at] gpb-consulting [dot] de

3 Impulsreferate

Als Referenten eingeladen wurden die Datenschutzexperten Diplom-Wirtschaftsjurist Lars Kripko von Cornerstone OnDemand, Diplom-Ingenieur Carsten J. Pinnow als Herausgeber von „datensicherheit.de“ sowie der Datenschutzbeauftragte der KGK Roseneck e.V., Diplom-Kaufmann Michael Taube.

Weitere Informationen zum Thema:

GPB Consulting auf XING
TrendForum: Europäische Datenschutzverordnung

dsgvo-gesetz.de
Datenschutz-Grundverordnung DSGVO

The post TrendForum am 29. Mai 2018 zur Europäischen Datenschutzgrundverordnung appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 07.05.2018] Die neue Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 europaweit anwendbares Recht und bringt daher viele Änderungen für Unternehmen. So auch beim Auskunftsrecht für Kunden, Online-Nutzer und Patienten. Der TÜV SÜD weist darauf hin, dass für diese nun ein erweitertes Auskunftsrecht für ihre Daten gilt: Firmen müssen demnach über alle gespeicherten personenbezogenen Daten Auskünfte erteilen. Wenn gewünscht, sind Unternehmen sogar zur vollständigen Löschung von Daten verpflichtet.

Informationen über personenbezogene Daten

Das Auskunftsrecht untergliedert sich laut TÜV SÜD in zwei Stufen. Zunächst könnten betroffene Personen Informationen darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Wenn dies der Fall ist, bestehe grundsätzlich ein Recht auf Auskunft über diese Daten. Betroffene könnten dann beispielsweise Informationen über den Zweck der Verarbeitung oder die bisherigen und geplanten Empfänger dieser Daten erfragen.
Firmen müssten außerdem mitteilen, wie lange sie die personenbezogenen Daten speichern und welche Kriterien zur Festlegung dieser Zeitspanne führen. Auch die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, könne erfragt werden.

Berichtigung oder Löschung ihrer Daten

Hinzu komme, dass Betroffene die Berichtigung oder Löschung ihrer Daten verlangen dürften. Auch könnten sie verfügen, dass diese Daten nur eingeschränkt verarbeitet werden dürfen.
Über dieses Widerspruchsrecht sowie ihr Beschwerderecht bei einer Aufsichtsbehörde müssten Betroffene ebenfalls informiert werden. Artikel 15 DSGVO erweitere somit die bisher bekannten Regelungen des § 34 BDSG bei den Auskunftsrechten.
Nach Artikel 15 Absatz 3 DSGVO müsse der Verantwortliche der betroffenen Person auch eine Kopie derjenigen personenbezogenen Daten zur Verfügung stellen, die Gegenstand der Verarbeitung sind. Für diese erste Kopie dürften dem Kunden keine Kosten entstehen. Falls der Antrag elektronisch gestellt wird, seien die notwendigen Informationen in einem gängigen elektronischen Format zu übermitteln.

Konkrete Datenlöschprozesse implementieren!

Durch das erweiterte Beschwerderecht für Betroffene sei damit zu rechnen, dass diese häufiger von ihrem Recht Gebrauch machten und beispielsweise auf Löschung ihrer Daten bestünden.
Der TÜV SÜD weist darauf hin, dass Verantwortliche – sofern noch nicht geschehen – konkrete Datenlöschprozesse implementieren müssten. Zudem sollten Verfahren eingebaut werden, die ein zeitnahes Reagieren auf weitergehende Rechte der Betroffenen möglich machen.

Ausnahmeregelungen

Allerdings gebe es auch Ausnahmen für die Erteilung von Auskünften an Betroffene. Kein Auskunftsrecht besteht laut TÜV SÜD, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Beispielsweise müssten Patienten- oder Personalakten in der Regel meist zehn Jahre aufgehoben werden.
Unternehmen könnten außerdem verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung erfolgen muss. Und wenn die Auskunftserteilung einen „unverhältnismäßigen Aufwand“ für die Verantwortlichen darstellen würde, bestehe kein Anrecht darauf.

Weitere Informationen zum Thema:

TÜV SÜD Akademie
White Paper: Die neue EU-DatenschutzGrundverordnung / Aus BDSG wird DSGVO

datensicherheit.de, 03.05.2018
WhatsApp-Nutzung durch Unternehmen im DSGVO-Kontext zumeist rechtswidrig

datensicherheit.de,  17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

The post DSGVO: TÜV SÜD weist Unternehmen auf erweitertes Auskunftsrecht hin appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.