[datensicherheit.de, 25.04.2018] Wird jemand nachweislich Opfer eines Identitätsdiebstahls, stecken nicht selten Gruppen der Organisierten Kriminalität (OK) dahinter. Diese operiert länderübergreifend und ist selten dingfest zu machen. Meistens lässt sich zudem nicht mehr eindeutig ermitteln, zu welchem Zeitpunkt genau die Daten kompromittiert wurden.

Opfer eines Identitätsdiebstahls sollten selbst aktiv werden!

Allen von einem Identitätsdiebstahl Betroffenen rät Cylance, selbst aktiv zu werden und nicht auf Dritte zu hoffen.
Dabei müssten sich die Opfer mit einem vermutlich bisher ungekannten Ausmaß an Bürokratie auseinandersetzen und sehr viel Zeit investieren, bis sie annähernd „back to normal“ sind. Eine Identität zu stehlen sei eben sehr viel einfacher als sie zurückzubekommen.
Jon Gross, „Director of Threat Intelligence“, und Sascha Dubbel, „Senior Sales Engineer“, beide Cylance, geben aktuelle Empfehlungen: Diese sollen dazu beitragen, potenziell Betroffene in Zukunft besser zu schützen, und denen, die bereits betroffen sind, einige Maßnahmen an die Hand zu geben, ihre Angelegenheiten nach einem Identitätsdiebstahl wieder in den Griff zu bekommen.

Brisanz wird oft unterschätzt

Eine der jüngst bekannt gewordenen Datenschutzverletzungen größeren Ausmaßes soll beim Finanzdienstleistungsunternehmen Equifax, der größten Wirtschaftsauskunftei der USA, aufgetreten sein. Betroffen gewesen seien über die Hälfte aller US-Amerikaner. Vor Kurzem habe eine Senatsanhörung sogar erbracht, dass diese Datenschutzverletzung noch wesentlich weitreichender sei als von Equifax im September 2017 eingeräumt.
Auch laut der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) weise die polizeiliche Kriminalstatistik für 2015 in Deutschland rund 46.000 Fälle von Cyber-Kriminalität im engeren Sinne aus. Betrachtet man alle Fälle mit „Tatmittel Internet“, steige die Zahl sogar auf fast 250.000. Berücksichtigt seien in diesen Zahlen jedoch nur polizeilich registrierte Fälle.
Opfer von Cyber-Kriminalität erstatteten oft aber keine Anzeige, z.B. weil Reputationsverlust befürchtet oder der Schaden nicht bemerkt oder als zu gering erachtet werde. So habe eine Studie in Niedersachsen bereits 2013 errechnet, dass nur rund jeder zehnte Fall aktenkundig gemacht worden sei.
Nach einer repräsentativen Studie des Deutschen Instituts für Wirtschaftsforschung aus dem Jahr 2015 gingen die jährlichen Schäden durch Internetkriminalität in die Milliarden. In den vier besonders bedeutenden Kategorien Phishing, Identitätsbetrug, Waren- und Dienstleistungsbetrug sowie Angriffe mit Schadsoftware beliefen sie sich auf 3,4 Milliarden Euro.

12 Empfehlungen von Cylance:

1. Frieren Sie Ihre Guthaben ein!
   Selbst, wenn Sie nicht unmittelbar in der Lage sind, die geforderten Buchhaltungsauskünfte bereitzustellen, können Sie ihre Konten online immer sofort sperren.
   Angesichts millionenfacher Identitätsdiebstähle stellt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Informationen und Sicherheitstests zur Verfügung, mit denen besorgte Bürger überprüfen können, ob ihre E-Mail-Adresse tatsächlich betroffen ist. Um nicht von einem Rechtsanwalt oder einem Inkasso-Büro zu erfahren, dass man Opfer eines Identitätsdiebstahls geworden ist, kann man im Verdachtsfall selbst etwas tun. Sie können beispielsweise Internetregistraturen nach ihrem Namen durchsuchen, simple Google-Alerts setzen, um festzustellen wo und wann Ihr Name auftaucht oder auch eine umgekehrte Bildersuche in Google anstoßen. Wenn bei groß angelegten Identitätsdiebstählen Firmen oder Auskunfteien nicht sofort eine eigene Webseite bereitstellen, auf der Sie überprüfen können, ob Sie betroffen sind oder nicht, pflegt auch das Hasso-Plattner-Institut (HPI) eine übergreifende Datenbank.
2. Melden Sie den Fall bei den Strafverfolgungsbehörden und erstatten Sie Anzeige!
   Als nächstes sollten Sie auf jeden Fall bei der lokalen Polizeidienststelle Anzeige erstatten. Das müssen Sie persönlich tun sowie zusätzlich eine eidesstattliche Erklärung unterzeichnen, dass Ihre Angaben der Wahrheit entsprechen.
   Die polizeiliche Fall-ID ist die Voraussetzung, um weitere Informationen zur potenziellen Nutzung der betreffenden Identität zu bekommen. Aber auch, um bei den großen Auskunfteien wie beispielsweise Equifax oder der deutschen Schufa eine Betrugswarnung anbringen zu können.
   Erwarten Sie lieber nicht, dass groß angelegte Identitätsdiebstähle aufgeklärt werden. Das gelingt leider nur selten. Identitätsdiebstahl wird zudem nicht in allen Ländern als Verbrechen eingestuft, was die Aufklärungsquote nicht unbedingt nach oben treibt. Die Anzeige bei der Polizei und das entsprechende Aktenzeichen sind nötig, um den Schaden so weit wie möglich zu begrenzen und so viele Informationen wie möglich zu bekommen.
3. Setzen Sie eine Betrugswarnung!
   Mit dem Aktenzeichen der polizeilichen Strafanzeige sollten Sie dann eine Betrugswarnung bei den Kreditauskunfteien platzieren. Ihre Hausbank hilft Ihnen gegebenenfalls weiter, mit welcher Auskunftei Sie zusammenarbeiten müssen.
   Kreditauskunfteien sind verpflichtet, die jeweils anderen Auskunfteien in Kenntnis zu setzen, sobald sie von einer Betrugswarnung erfahren.
   90-Tage-Alarme sind in aller Regel kostenlos und man kann sie verlängern. Mit einem Aktenzeichen und zusätzlichen Informationen kann man den Zeitraum sogar erheblich ausdehnen.
4. Wie ist der aktuelle Stand bei Kreditanfragen?
   Solche Auskünfte sind entweder kostenfrei zu bekommen (wie in den USA ein Mal im Jahr), oder man erhält nach Zahlung einer vergleichsweise geringen Gebühr von der Kreditauskunftei eine Kopie des aktuellen Kreditstatus (Selbstauskunft). Den können allerdings auch die Identitätsdiebe selbst anfordern, denn sie sind ja im Besitz aller dazu notwendigen Informationen.
   Ein solcher Bericht listet sämtliche der neu eingegangenen Kreditanfragen auf. Man sollte sich die Mühe machen, jeden Anbieter persönlich zu kontaktieren. Zusätzlich können Sie anhand dieser Auskunft feststellen, ob in Ihrem Namen vielleicht noch weitere Konten eröffnet wurden. Leider kommt man nicht umhin, alle in Frage kommenden Kreditauskunfteien anzusprechen. Die Erfahrung lehrt, dass unterschiedliche Auskunfteien unterschiedliche Verläufe zeigen. Es kommt sogar vor, dass sich die Informationen widersprechen, oder ein Bericht verzeichnet eine zusätzliche Kontoeröffnung, ein anderer aber nicht.
   Das Nachvollziehen der Verläufe und Richtigstellungen im Detail kostet Zeit und Nerven – und nicht immer sind Kreditauskunfteien so entgegenkommend, wie sie es sein sollten, vor allem angesichts der Dimensionen, die der Diebstahl von Identitäten inzwischen angenommen hat.
5. Die Post
   Wenn Sie vermuten, Opfer eines Identitätsdiebstahls geworden zu sein, sollten Sie sich unbedingt auch an Ihr örtliches Postamt wenden und sicherstellen, dass Ihre Post nicht ohne zusätzliche Verifizierung oder von Ihnen bestätigte Informationen angenommen, gelagert und befördert wird.
6. Die Telefonnummer
   Es ist wenig überraschend, dass Cyber-Kriminelle Telefonnummern nutzen, um sich zu legitimieren. Etliche Online-Anbieter und Institutionen verwenden Telefonnummern als Mittel zur Verifikation.
   Dabei ist es wohl eher selten, dass diese Unternehmen prüfen, ob es sich bei der Person, die eine bestimmte Telefonnummer verwendet, tatsächlich um die dazu legitimierte handelt. Bei Identitätsdiebstählen wird gerne die Handy-Nummer verwendet. Sie ist inzwischen fast schon zu einem Synonym für die persönliche Identität geworden.
   Das Problem ist, dass Telefonnummern öffentlich zugänglich sind. Jede Art von öffentlichen Aufzeichnungen und Websites wird regelmäßig durchkämmt und die Ergebnisse weiter verkauft. Telefonnummern sollten deshalb unter keinen Umständen zur Authentifizierung und Verifizierung verwendet werden!
   Mit dem oder den Mobilfunkanbietern ist es noch komplizierter, und Kriminelle haben – technisch zwar nicht ganz unkompliziert – weitreichende Möglichkeiten, die verschiedenen Kommunikationskanäle zu infiltrieren, Nachrichten abzufangen oder auch Nummern auf andere Anbieter und Carrier zu portieren (mithilfe der PIN).
   Es kann sogar passieren, dass Kriminelle, neue, mithilfe der Identität des Opfers erstellte Konten, dann ironischerweise selbst mit einer PIN schützen. Das Opfer kann so gut wie nichts dagegen tun, schon gar nicht, wenn der Mobilfunkbetreiber sich nicht kooperativ zeigt.
   Dann hilft nur, sich mit übergeordneten Institutionen in Verbindung zu setzen, die ihrerseits eine Anfrage an den oder die Provider stellen. Anhand der Daten können Sie dann etwa darum bitten, dass keine neuen Konten in Ihrem Namen eröffnet werden, ohne dass die Anfrage zusätzlich geprüft wurde.
7. Online-Identität und kritische Konten sichern!
   Bei einem Identitätsdiebstahl ist potenziell die komplette Online-Identität betroffen. Im schlimmsten Fall erwischt es kritische Konten wie etwa Bank- und Finanzkonten. Auch wenn es wie eine Binsenweisheit klingt: Aktualisieren Sie alle Passwörter in allen Bereichen und verwenden Sie am besten einen Passwort-Manager!
   Falls vorhanden, stellen Sie sicher, dass Sie die Zwei-Faktor-Authentifizierung für jedes Konto aktivieren, das sie nutzen. Vorzugsweise mit einer neuen Telefonnummer, die durch einen Authentifizierungs-PIN geschützt ist.
   Ihr E-Mail-Konto dient zur Verifizierung und Authentifizierung gegenüber fast alle anderen Online-Identitäten. Verwenden Sie Zwei-Faktor-Authentifizierung oder andere Möglichkeiten der erweiterten Verifizierung. Verwenden Sie das betreffende E-Mail-Konto niemals auf öffentlichen Systemen. Konten von Versorgungsunternehmen sind ebenfalls kritische Accounts, und leider hapert es in der Branche noch an umfassenden IT-Sicherheitsmaßnahmen. Sperren Sie solche Konten, mindestens die unten aufgezählten:
   • Finanzkonten (Bank-, Investitions-, Hypotheken- und Rentenkonten)
   • Konten von Versorgungsunternehmen und Service-Providern (Strom, Wasser,Gas, Kabel, Telefon und was immer Sie sonst noch monatlich abrechnen)
   • E-Mail-Accounts
   • Online-Dienste (Netflix, YouTube, Amazon, Spotify, etc.)
   • Social-Media-Konten (facebook, XING, LinkedIn, Instagram und sämtliche andere Konten, die geeignet sind weitere Informationen einzusammeln)
8. Steuerrelevant
   Für Finanzämter hat das Thema Identitätsdiebstahl inzwischen höchste Priorität. Gestohlene Sozialversicherungsnummern dienen beispielsweise dazu, gefälschte Steuererklärungen einzureichen und betrügerische Rückerstattungen zu erwirken.
9. Kontonummern ändern!
   Im Falle eines Identitätsdiebstahls oder eines Verdachts kommen Sie nicht umhin, alle Banken und Finanzinstitute persönlich und unabhängig voneinander zu kontaktieren.
   Sie müssen die Kontonummern ändern und zwar auch die bei allen automatisierten Zahlungssystemen, etwa bei Versorgungsunternehmen, Kreditkartenanbietern und anderen Diensten. Unter Umständen ist es sinnvoll, Kredit- und Debit-Kartennummern zu ändern.
10. Geburtsurkunde
    Wenn jemand ihre Daten gestohlen hat, um sich eine Kopie der Geburtsurkunde zu beschaffen (was vergleichsweise einfach ist), wird in der Folge kaum noch die Echtheit der Angaben überprüft oder eine Authentifizierung durchgeführt – praktisch für Kriminelle.
11. Kostenträger benachrichtigen!
    Ein Identitätsdiebstahl verursacht neben anderen schwerwiegenden Folgen nicht zuletzt finanzielle Schäden. Ist es den Tätern vielleicht sogar gelungen, etwas derart Wertvolles wie einen Ausweis in die Finger zu bekommen, kann das Dokument multipel genutzt werden:
    Für Bestellungen im Internet, die man niemals getätigt hat, für Verträge, die man niemals abgeschlossen hat, etwa für Wohnungen und Handys, und nicht zuletzt um Straftaten zu begehen. Man sollte folglich wenigstens die Kostenträger informieren, mit denen man es regelmäßig zu tun hat. Dazu gehören insbesondere Versicherungen wie Kranken- und KFZ-Versicherungen.
    Speziell in Deutschland ist für den Fernabsatz oder das Abschließen von Finanzverträgen allerdings das PostIdent-Verfahren üblich, eine Ausweiskopie reicht nicht aus.
12. Online-Identität und personenbezogene Daten
    Die meisten Menschen machen sich im Alltag weniger Sorgen um ein einzelnes Dokument. Immer mehr Informationen werden aber in Online-Repositorien vorgehalten und entsprechend häufig kompromittiert. Das kann zu einem sehr viel größeren Problem werden als der Verlust eines einzelnen Dokuments. In jedem Fall handelt es sich um personenbezogene Daten, also die Art von Informationen über die man direkt einen Personenbezug herstellen kann.
    Mit der am 25. Mai 2018 endgültig wirksam werdenden EU-Datenschutz-Grundverordnung (EU-DSGVo) gibt es zudem eine Reihe von neuen Anforderungen – unter anderem die Meldepflicht bei einer Datenschutzverletzung.

Strafrechtliche wie zivilrechtliche Maßnahmen!
Es gebe viele Arten des Identitätsdiebstahls beziehungsweise des Identitätsmissbrauchs. Dabei könnten Vermögensschäden entstehen, aber auch Rufschäden und Cyber-Mobbing seien denkbar.
Ein großes Problem sei auch die Tatsache, dass niemand wisse, ob und wann die gestohlenen Daten tatsächlich benutzt werden. Liegen Anhaltspunkte vor, dass ein Angriff stattgefunden hat, sollte man schnell handeln und auch rechtliche Schritte in Betracht ziehen!
Grundsätzlich seien sowohl strafrechtliche wie zivilrechtliche Maßnahmen möglich, allerdings seien beide in der Praxis naturgemäß schwierig durchzusetzen. Das sollte einen aber trotzdem nicht abschrecken, bestehende Möglichkeiten auszuschöpfen!

The post Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 23.04.2018] Symantec hat am 23. April 2018 einen Forschungsbericht zu einer neuentdeckten Gruppe von Cyber-Kriminellen veröffentlicht, die demnach zielgerichtete Angriffe im Gesundheitswesen sowie in verwandten Branchen in den USA, Europa und Asien durchführt.

Individuelle Hintertür eingerichtet

Die Sicherheitsexperten von Symantec haben nach eigenen Angaben herausgefunden, dass die unter dem Namen „Orangeworm“ bekannte Angreifergruppe bei großen internationalen Organisationen des Gesundheitswesens, darunter medizinischen Dienstleistern, Pharmaunternehmen, Anbietern von branchenspezifischen IT-Lösungen sowie Herstellern von medizinischen Geräten eine „individuelle Hintertür“ eingerichtet hat.

Schadsoftware auf medizinischen Geräten

Besonders alarmierend ist laut Symantec, dass auch Schadsoftware auf medizinischen Geräten wie Röntgengeräten, Kernspintomographen sowie speziellen Geräten gefunden wurde, die Patienten bei der Einverständniserklärungen für notwendige Behandlungen unterstützen.

Weitere Informationen zum Thema:

Symantec.Blogs / Threat Intelligence, 23.04.2018
New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia

datensicherheit.de, 08.04.2018
Rettungswesen: Software-Sicherheitsleck zeigt Brisanz der Datensicherheit

datensicherheit.de, 31.01.2018
Experten fordern neue Cyber-Sicherheitsansätze für bildgebende Medizingeräte

The post Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 22.04.2018] Die sogenannte anlasslose Vorratsdatenspeicherung sei mit EU-Recht nicht vereinbar, hat das Verwaltungsgericht (VG) Köln am 20. April 2018 zugunsten der SpaceNet AG entschieden (Az. 9 K 3859/16) entschieden. Das Gericht stellte demnach fest, dass die SpaceNet AG keine Verbindungsdaten ihrer Kunden speichern muss.

Grundsatzentscheidung zur Vorratsdatenspeicherung herbeigeführt

Wenige Gesetze sind so umstritten wie das zur Einführung der Speicherpflicht für Verkehrsdaten vom Dezember 2015. Die mit Spannung erwartete Entscheidung gelte zunächst nur für SpaceNet, werde aber über den Einzelfall hinaus richtungsweisend für das gesamte Internet sein.
Geklagt hatte die Münchener SpaceNet AG, einer der ersten Internetprovider Deutschlands, gemeinsam mit eco, dem Verband der Internetwirtschaft, und Prof. Dr. Matthias Bäcker von der Universität Mainz mit dem Ziel, eine Grundsatzentscheidung zur Vorratsdatenspeicherung herbeizuführen.
Jetzt wurde es bestätigt: Die SpaceNet AG ist nicht zur Speicherung der Verbindungs- und Standortdaten ihrer Kunden verpflichtet.

Entscheidung des Oberverwaltungsgerichts Münster bestätigt

In ihrem aktuellen Urteil vom 20. April 2018 folgten die Kölner Richter im vollen Umfang der Entscheidung des Oberverwaltungsgerichts (OVG) Münster, das bereits am 22. Juni 2017 die SpaceNet AG von der Verpflichtung zur Vorratsdatenspeicherung befreit hatte. Nur wenige Tage später hatte damals die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung auch für alle anderen Provider ausgesetzt.
Die Kölner Verwaltungsrichter haben entschieden, dass eine nationale gesetzliche Regelung, die eine massenhafte Speicherung von Daten verlangt, ohne diese in konkreten Zusammenhang zur Verbrechensbekämpfung zu setzen, europarechtlich unzulässig sei.
Schon im Dezember 2016 hatte der Europäische Gerichtshof (EuGH) zur schwedischen und englischen Vorratsdatenspeicherung geurteilt, dass die Speicherung personenbezogener Daten eine Ausnahme bleiben und auf das absolut Notwendige beschränkt werden müsse.
Den bisherigen, umstrittenen gesetzlichen Regelungen zufolge hätten Internetprovider, Mobilfunk- und Kommunikationsunternehmen alle Standortdaten vier Wochen sowie alle Verbindungsdaten ihrer Kunden zehn Wochen lang speichern und diese an Polizei, Staatsanwaltschaft und Nachrichtendienste auf Verlangen übergeben müssen.
Dagegen hatte die SpaceNet AG, unterstützt von eco, dem Verband der Internetwirtschaft, bereits im April 2016 vor dem Verwaltungsgericht Köln geklagt.
Gegen das aktuelle Urteil des VG Köln könne Berufung eingelegt werden, die Sprungrevision zum Bundesverwaltungsgericht in Leipzig sei zugelassen.

Vorratsdatenspeicherung könnte zwar Bürger ausspähen, aber sicher keine Terroristen fangen helfen

„Es ist meine feste Überzeugung, dass die Vorratsdatenspeicherung mit rechtsstaatlichen Standards nicht vereinbar ist“, so Prof. Dr. Matthias Bäcker, Universitätsprofessor für Öffentliches Recht und Verfasser der Klageschrift.
„Es ist schön zu sehen, dass wir Erfolg mit unserer Klage haben und zeigt, unsere Hartnäckigkeit ist berechtigt. Das Gesetz zur Vorratsdatenspeicherung verpflichtet uns, alle Verbindungsdaten unserer Kunden zu speichern und gegebenenfalls Polizei, Staatsanwaltschaft oder Nachrichtendiensten darüber Auskunft zu geben. Diesem Vertrauensbruch hätten wir niemals freiwillig zugestimmt. Bei massiven Eingriffen in bürgerliche Grundrechte, vor allem im Digitalen, waren wir schon immer wachsam und haben eindeutig Stellung bezogen. Daher freuen wir uns sehr über das Urteil“, kommentierte Sebastian von Bomhard, Vorstand der SpaceNet AG. Mit der Vorratsdatenspeicherung könne man zwar Bürger ausspähen, aber sicher keine Terroristen fangen.
„Wir freuen uns über den Ausgang des Verfahrens und über das heutige Urteil, das ein so wichtiges Signal an die gesamte Internetbranche sendet. Wir sehen unsere grundsätzlichen Bedenken, hinsichtlich der Wiedereinführung der VDS, damit bestätigt. Die Bundesregierung muss jetzt umgehend reagieren und diese kostspielige Odyssee für die Unternehmen endlich beenden. Wir brauchen endlich Rechts- und Planungssicherheit“, forderte Oliver Süme, eco-Vorstandsvorsitzender.

Weitere Informationen zum Thema:

datensicherheiit.de, 29.06.2017
Vorratsdatenspeicherung: Nicht nur Aussetzen, sondern aufheben

datensicherheit.de, 22.06.2016
Europäischer Gerichtshof: Urteil gegen anlasslose Vorratsdatenspeicherung

The post Vorratsdatenspeicherung: Verstoß gegen EU-Recht appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 21.04.2018] Unter dem Motto „Hinter jedem Preisträger steckt eine Geisteshaltung, mit der wir uns alle kritisch auseinandersetzen müssen, wenn wir in Zukunft frei und selbstbestimmt leben wollen.“ haben am 20. April 2018 Digitalcourage und andere Bürgerrechtsorganisationen die „BigBrotherAwards“ verliehen. Die Eröffnungsrede mit dem Titel „Das Digitale und der Kampf um die Werte“ hielt Prof. Dr. Sarah Spiekermann.

Der BigBrotherAward 2018 ging an:

• die Firma Soma Analytics für die Anwendung „Kelaa Dashboard“ zur Überwachung des Gesundheitszustandes von Arbeitnehmern (Laudator: Prof. Dr. Peter Wedde)
• das Konzept „Smart City“ als Euphemismus für eine mit Sensoren gepflasterte, total überwachte, ferngesteuerte und kommerzialisierte Stadt (Laudatorin: Rena Tangens)
• Microsoft für die kaum deaktivierbare Telemetrie (d.h. Übermittlung von Diagnose-Daten) im Betriebssystem „Windows 10“ (Laudator: Frank Rosengart)
• die Firma Cevisio Software und Systeme GmbH & Co. KG für ihre Software „Cevisio Quartiersmanagement“, welche unter anderem Essensausgaben, medizinische Checks und Verwandschaftsverhältnisse von Bewohnern in Asylbewerberunterkünften aufzeichnet (Laudator: Dr. Thilo Weichert)
• die Firma Amazon für den Cloud-basierten Sprachdienst „Alexa“, welcher abgehörte Gespräche in der Cloud speichert (Laudator: padeluun)
• die Fraktionen von CDU und Bündnis 90/‌Die Grünen im hessischen Landtag für ihr geplantes neues Verfassungsschutzgesetz, welches dem Geheimdienst weitreichende Überwachungsbefugnisse geben soll (Laudator: Rolf Gössner)

Weitere Informationen zum Thema:

Digitalcourage e.V. auf vimeo, 20.04.2018

BigBrotherAwards 2018

BigBrotherAwards.de
BigBrotherAwards 2018 – zum ersten Mal im Stadttheater!

The post BigBrotherAwards 2018 im Stadttheater Bielefeld verliehen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 20.04.2018] Im bundeseinheitlichen Rechtsanwaltsverzeichnis soll vor Kurzem eine große Sicherheitslücke entdeckt worden sein, zurückzuführen auf eine veraltete, für „Oracle“-Angriffe anfällige „Java“-Komponente. Dieses Anwaltsregister ist Teil des Besonderen elektronischen Anwaltspostfachs (beA) – theoretisch hätten Angreifer die Anwaltsdatenbank somit manipulieren können. Bereits im Januar 2018 hatte sich ein ähnlicher Vorfall mit einigen anderen Anwendern dieser Softwarekomponente ereignet. Julian Totzek-Hallhuber, „Principal Solution Architect“ bei CA Veracode, hat den aktuellen Vorfall kommentiert.

Anscheinend nichts gelernt…

Totzek-Hallhuber: „Man sollte meinen, die Sicherheit von Drittanbietern sei für Unternehmen ein wichtiges Thema. Immerhin mussten Ende letzten Jahres knapp 150 Millionen Datensätze in den USA dran glauben, weil Angreifer eine Schwachstelle in der ,struts2‘-Bibliothek ausnutzen konnten.“
Doch wie das aktuelle Beispiel zeige, habe man anscheinend nichts gelernt.

Beinahe grob fahrlässig…

Laut dem „Veracode SoSS-Report“ basierten ca. 80 Prozent der untersuchten Applikationen auf Drittanbieter-Komponenten. Selbst wenn Entwickler in „Secure Coding“ geschult sind, sei es gefährlich, Drittanbieter-Komponenten einfach zu ignorieren.
Diesen Aspekt dann nicht mal in die Applikations-Sicherheitsstrategie zu integrieren, sei „beinahe grob fahrlässig“.

Liste der verwendeten Komponenten und bekannten Schwachstellen erstellen!

„Was also sollte man tun? Zuerst empfiehlt es sich, eine Liste der verwendeten Komponenten und deren bekannten Schwachstellen zu erstellen – um dann seinen Entwicklern auch eine einfache Möglichkeit zu geben, die Verwendung dieser Komponenten zu analysieren“, empfiehlt Totzek-Hallhuber.
„Veracode hat deswegen Source Clear übernommen, den einzigen Anbieter am Markt, der verifiziert, ob die bekannte Schwachstelle überhaupt in der Applikation genutzt wird und von Angreifern ausgenutzt werden kann,“ so Totzek-Hallhuber.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2018
Besonderes elektronisches Anwaltspostfach: beA-Einführung wird zur Affäre / Anwälte kritisieren Fehlinvestition und fordern personellen Neuanfang

datensicherheit.de, 22.01.2018
beA: Deutscher Anwaltverein fordert Vorrang für die Sicherheit / Tagung „beA – Wie geht es weiter“ am 22. Januar 2018 in Berlin widmete sich dem problembeladenen „besonderen elektronischen Anwaltspostfach“

The post beA: Offenbar neue Sicherheitslücke entdeckt appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Ferner Mitarbeitersensibilisierung und Datenschutz unter den diesjährigen Top-Sicherheitsthemen

[datensicherheit.de, 18.04.2018] Laut einer Studie des eco – Verband der Internetwirtschaft e.V. bewerten rund 80 Prozent der Experten aus der IT-Branche das Thema Notfallplanung als „wichtig“ oder „sehr wichtig“. Zugleich gebe es in vielen Unternehmen Verbesserungspotenzial.

Zunahme von Cyber-Kriminalität stärkster Treiber für IT-Sicherheit

32 Prozent der deutschen Unternehmen haben nach eco-Angaben einen Notfallplan, um im Schadensfall infolge von Cyber-Kriminalität richtig reagieren zu können. Demnach ist eine Notfallplanung zur Abwehr von Cyber-Attacken das „wichtigste IT-Sicherheitsthema 2018“. Dies zeigt laut eco die aktuelle eigene „IT-Security-Umfrage“.
Rund 80 Prozent der 955 befragten Experten aus der IT-Branche bewerteten das Thema als „wichtig“ oder „sehr wichtig“. Die Zunahme von Cyber-Kriminalität sei dabei der stärkste Treiber für die sich ändernden Anforderungen an die IT-Sicherheit.
„Die Unternehmen haben erkannt wie wichtig es ist, sich gut auf mögliche Cyber-Attacken vorzubereiten“, erläutert Oliver Dehning, Leiter der Kompetenzgruppe „Security“ beim eco–Verband.

Europäischer Datenschutz und Standort EU von besonderer Bedeutung

Weitere Top-Themen auf dem Gebiet der IT-Security seien für Befragten die Mitarbeitersensibilisierung auf Platz 2 sowie Datensicherheit/Datenschutz auf Platz 3.
Insbesondere der europäische Datenschutz und der Standort EU sei den allermeisten Unternehmen bei der Nutzung von Cloud-Diensten „wichtig“. Nur 15 Prozent gäben an, keinen Wert auf europäischen Datenschutz zu legen.
Obwohl Notfallpläne für die überwiegende Mehrheit „wichtig“ seien, hätten erst rund ein Drittel (32 Prozent) der deutschen Unternehmen interne Prozesse beziehungsweise einen konkreten Notfallplan festgelegt, um im Falle eines „Cybercrime“-Vorfalls richtig reagieren zu können. 26 Prozent hätten einen solchen Notfallplan in Planung.

Schulung, Sensibilisierung und Versicherung noch ausbaufähig

Großes Verbesserungspotenzial hätten Unternehmen auch im Bereich der Schulung und Sensibilisierung ihrer Mitarbeiter: 36 Prozent informierten diese regelmäßig zu „Cybercrime“-Themen, weitere 28 Prozent unregelmäßig.
Die Folgen einer Cyber-Attacke könne eine Cyber-Schutzversicherung abmildern, doch nur rund fünf Prozent der Unternehmen hätten eine solche abgeschlossen. Immerhin 18 Prozent der Befragten plane, in der Zukunft eine solche Versicherung abzuschließen; rund 52 Prozent der Unternehmen hätten dies auch in Zukunft nicht vor.
„Die IT-Sicherheit lässt sich niemals zu 100 Prozent gewährleisten. Eine Cyber-Versicherung kann eine gute Möglichkeit sein, das verbliebene Restrisiko abzudecken“, empfiehlt Dehning.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning: Verbesserungspotenzial auch im Bereich der Schulung und Sensibilisierung

955 Experten für IT-Security befragt

Wichtigster Treiber für die Veränderung der IT-Sicherheit in den nächsten fünf Jahren sei für die Befragten der erwartete Anstieg im Bereich Cyber-Kriminalität. Weiterhin wichtig bleibe der Bereich „Cloud Computing“ und der Schutz personenbezogener Daten.
Im Rahmen der eco-Umfrage „IT-Sicherheit 2018“ hat der Verband nach eigenen Angaben 955 Experten für IT-Security zur aktuellen Sicherheitslage befragt. Rund die Hälfte der befragten Verantwortlichen habe Budget- und/oder Personalverantwortung. Diese Studie steht für eco-Mitglieder zum Download zur Verfügung.
Neue Sicherheitsstrategien für die aktuelle Cyber-Bedrohungslage sollen laut eco auch im Zentrum der kommenden „Internet Security Days“ stehen, in deren Rahmen am 20. und 21. September 2018 im „Phantasialand“ bei Köln rund 600 Besucher aus mehr als 20 Ländern erwartet werden.

The post Notfallplanung laut eco-Studie Top-Security-Thema 2018 appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 10.04.2018] Die neuen gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO) betreffen auch Vereine, denn auch sie gehen mit personenbezogenen Daten um – z.B. im Kontext von Mitgliedsanträgen, Anmeldeformularen für Wettkämpfe etc. „Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten“, so Christian Heutger, der Geschäftsführer der PSW GROUP.

Im Regelfall ausdrückliche Einwilligung des Mitglieds nötig

Vereine seien in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.
„Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden“, erklärt Heutger.
Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf einer Website und in Sozialen Netzwerken. Auch dort dürften personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem müsse der Verein diese Einwilligung entsprechend dokumentieren.

Ausnahmen bei „berechtigtem Interesse“

Heutger: „Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen“. Ohne Einwilligung zulässig seien ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen. Auch dürfe der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen: „Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes ,berechtigtes Interesse‘ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden“, stellt Heutger klar.
Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs hätten laut DSGVO ein Recht auf Vergessenwerden.

Einwilligungserklärungen müssen leicht verständlich und zugänglich sein

Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, werde es kompliziert. Denn hierbei spiele auch das Kunsturhebergesetz eine Rolle – Fotos und Videos dürften erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden.
„Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden“, sagt Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er, die Einwilligung der Eltern einzuholen.
Einwilligungserklärungen könnten Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings müsse diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein; vorangekreuzte Checkboxen seien nicht zulässig.

PSW-Tipps für Vereine:

1. Datensparsamkeit
   Die DSGVO verlange nicht nur, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden – deren Verarbeitung müsse zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
2. Informationspflichten
   Die DSGVO verpflichte Vereine dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten.
3. Technische und organisatorische Maßnahmen
   Datensicherheit müsse mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Das betreffe die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Website-Verschlüsselung), aber auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). „Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen wurden“, betont Heutger und rät: „Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.“
4. Auftragsdatenverarbeitung
   Auch Vereine nutzten Drittanbieter: Entweder lagerten die Daten in der Cloud, lägen auf Servern eines Anbieters oder würden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen.
5. Datenschutz-Folgeabschätzung
   Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssten sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssten sie deshalb „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchführen.
6. Meldepflichten
   Auch Vereine unterlägen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssten unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Heutger: „Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt.“
7. Datenschutzbeauftragter
   Vereine, die mindestens zehn Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssten einen Datenschutzbeauftragten benennen. „Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen“, erläutert Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 22. 03.2018
Die Datenschutz-Grundverordnung für Vereine

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

The post Noch noch kurze Übergangszeit: DSGVO auch für Vereine relevant appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 09.04.2018] G DATA weist in einer aktuellen Stellungnahme warnend darauf hin, dass in Rettungswagen (RTW) heute zunehmend auch Geräte im Gebrauch sind, welche in Realzeit Patienten- oder Einsatzdaten übermitteln oder erhalten können. In diesem Zusammenhang wird auf einen jetzt bekannt gewordenen Vorfall eingegangen, bei dem sich ein Hersteller von Software für die Notfallmedizin einen „schwerwiegenden Programmierfehler“ geleistet hatte – hierdurch seien diese Informationen abgreifbar gewesen. Das Problem sei inzwischen beseitigt worden; es zeige trotzdem, dass neue Verfahren für IT-Sicherheit flächendeckend im Gesundheitssektor etabliert werden müssten, damit die Sicherheit im Sinne von Vertraulichkeit von Daten gewährleistet werden kann.

Digitale Helfer sollen Zeit sparen

Bei Rettungsdiensten kommen zunehmend digitale Helfer im Einsatz. Das kann helfen Zeit einzusparen, denn in vielen Fällen ist die Besatzung eines RTW bereits unterwegs, während der Anrufer noch am Telefon ist.
Die Leitstelle kann mit Hilfe des Internets und entsprechend ausgestatteter Fahrzeuge neue Informationen wie Adressen oder Patientendaten in Realzeit an die RTW-Besatzung übermitteln. Zugleich kann der Rettungsdienst diese Informationen für Auswertungs- und Abrechnungszwecke nutzen.

Schwerwiegenden Patzer behoben

Ein Unternehmen, das Softwarelösungen für die Notfallmedizin anbietet, soll sich hierbei nun einen „schwerwiegenden Patzer“ geleistet haben: Informationen für die Online-Plattform, mit der die Geräte kommunizieren, wurden demnach fest in die App integriert, ohne Möglichkeit diese zu verändern. So soll es möglich gewesen sein, echte Einsatzdaten abzurufen – teilweise sogar inklusive Patientendaten. Der Hersteller habe bereits reagiert und ein Update herausgegeben, um den Missstand zu beheben.

Angreifbarkeit medizinischer Geräte beunruhigend

Dieses Ereignis bildet laut G DATA die „Fortsetzung in einer Reihe beunruhigender Berichte über die Angreifbarkeit medizinischer Geräte“.
Forscher hätten beispielsweise in der Vergangenheit demonstriert, dass Narkosegeräte unter den richtigen Voraussetzungen angreifbar sind. Herzschrittmacher mit Sicherheitslücken seien ebenfalls keine Neuigkeit mehr.

Gegenmaßnahmen benötigen viel Zeit

Die Gesundheitsbranche hat laut G DATA die Warnung verstanden. Es werde aber noch viel Zeit vergehen, bis flächendeckend neue Verfahrenswege bei der IT-Sicherheit etabliert sind. Die Tatsache, dass Ärzte und Psychotherapeuten, die bisher bevorzugt „offline“ gearbeitet haben, nun zwangsweise an ein Telematik-Netzwerk zur Verwaltung von Patientenakten angeschlossen werden sollten, rufe Unbehagen bei Medizinern und Datenschützern hervor, gerade weil diese Gruppen besonders auf die Vertraulichkeit und Integrität der Daten angewiesen seien.
Vertraulichkeit und Integrität gehörten neben der Verfügbarkeit zu den wichtigsten Pfeilern der Datensicherheit. Wenn Patienten ihren Ärzten vertrauen, die Ärzte jedoch nicht den Geräten, die sie nutzen, dann sei viel Ungemach programmiert, warnt G DATA.

Weitere Informationen zum Thema:

G DATA Security Blog, 09.04.2018
Sicherheitsleck im Rettungswagen / IT-Sicherheit macht auch vor dem Rettungsdienst nicht halt

datensicherheit.de, 25.06.2014
Big Data: Herausforderung an Gesellschaft, Technik und Recht

The post Rettungswesen: Software-Sicherheitsleck zeigt Brisanz der Datensicherheit appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 08.04.2018] Der neue Datenrisiko-Report von Varonis weist erneut auf ein „alarmierendes Ausmaß an Exposition interner und sensibler Dateien innerhalb von Unternehmen“ hin. Durchschnittlich seien 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich, in 41 Prozent der Unternehmen hätten sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien – wie personenbezogene Daten, Kreditkartendaten oder auch medizinische Informationen – und bei 58 Prozent unterlägen sogar mehr als 100.000 Ordner keiner Zugriffsbeschränkung.

Gesamtvolumen von 5,5 Petabytes analysiert

Der „Datenrisiko Report 2018“ basiert laut Varonis auf Risikobewertungen für 130 bestehende und potenzielle Kunden aus den unterschiedlichsten Branchen, für die ein Teil ihres Dateisystems analysiert worden sei. Insgesamt seien hierfür 6,2 Milliarden Dateien in 459 Millionen Ordnern mit einem Gesamtvolumen von 5,5 Petabytes (also 5.500 TB) analysiert worden.
Der Bericht deckt demnach unterschiedliche Problemfelder auf, welche die Gefährdung von Unternehmen durch Datenschutzverletzungen, Insider-Bedrohungen und Ransomware-Angriffe deutlich vergrößern:

• Zu weitreichende und globale Zugriffsgruppen, die zu vielen Mitarbeitern den Zugang zu sensiblen Daten ermöglichen,
• mangelhaft verwaltete sensible und ungenutzte Daten (stale data), die Vorschriften wie der DSGVO, SOX oder HIPAA unterliegen,
• inkonsistente und fehlerhafte Berechtigungen, die Sicherheitslücken für Hacker öffnen,
• veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten (ghost users) und
• Benutzerkennwörter, die zeitlich unbegrenzt gültig sind.

Daten als wertvollstes Asset der Unternehmen oft unzureichend geschützt

Nach Angaben von Varonis umfassen die wesentlichen Erkenntnisse des Reports unter anderem:

• In 58 Prozent der Unternehmen sind mehr als 100.000 Ordner für alle Mitarbeiter zugänglich, insgesamt unterlagen durchschnittlich 21 Prozent der Ordner keiner Zugriffsbeschränkung.
• In 41 Prozent der Unternehmen haben sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien.
• Im Durchschnitt wurden 54 Prozent der Daten eines Unternehmens länger nicht genutzt bzw. sind veraltet, was die Speicherkosten erhöht und das Datenmanagement erschwert.
• Bei 34 Prozent der Benutzerkonten handelt es sich um sogenannte „Ghost User“, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten.
• In fast jedem zweiten Unternehmen (46%) verfügen mehr als 1.000 Benutzer über zeitlich unbegrenzt gültige Passwörter.

„Angesichts der jüngsten Datenschutzverletzungen wie bei Uber oder Netflix sowie der nahenden DSGVo sind die Ergebnisse unseres Datenrisiko-Reports umso erschreckender“, betont Thomas Ehrlich, „Country Manager DACH“ von Varonis. Daten seien nicht umsonst das bevorzugte Ziel von Cyber-Kriminellen, da sie letztlich das wertvollste Asset der Unternehmen seien. „Dennoch vernachlässigen zahlreiche Unternehmen nach wie vor das Management und die Kontrolle der Zugriffsrechte, obwohl diese Herausforderungen durchaus lösbar sind, und setzen sich damit Insider-Bedrohungen, Ransomware-Angriffen und dem Risiko von Datendiebstählen aus“, warnt Ehrlich.

Risikobewertungen von 130 Unternehmen aus über 30 Branchen in über 50 Ländern

Der diesjährige Varonis-Report trägt den Titel „Data Under Attack: 2018 Global Data Risk Report from the Varonis Data Lab“ und soll ein konsolidierter Bericht sein, der die Ergebnisse von Risikobewertungen von 130 Unternehmen unterschiedlicher Größe aus über 30 Branchen und über 50 Ländern erfasst.
Dabei handele es sich um eine repräsentative Stichprobe aus den über 1.000 im Jahr 2017 von Varonis durchgeführten Risk Assessments. Für den diesjährigen Bericht habe man mehr als sechs Milliarden Dateien (mehr als doppelt so viele wie im Bericht 2017) mit durchschnittlich 36.242 Benutzerkonten, 3.531.978 Ordnern und 48.051.109 Dateien pro Unternehmen untersucht.
Das nach Angaben von Varonis „kostenlose Risk Assessment“ soll Unternehmen zeigen, wo sich sensible und vertrauliche Daten in ihrer IT-Umgebung befinden, wie viele davon über zu weit gefasste Zugriffsrechte verfügen und gefährdet sind, und konkrete Empfehlungen zur Reduzierung des Risikoprofils geben.
„Unsere größte Überraschung war es, endlich zu erfahren, wie viele sensible Daten tatsächlich auf unseren Servern liegen“, so etwa ein IT-Verantwortlicher einer renommierten US-amerikanischen Universität über die Ergebnisse der Risikobewertung bei einer Kundenbefragung von TechValidate im Auftrag von Varonis.

Weitere Informationen zum Thema:

VARONIS
DATA UNDER ATTACK: 2018 Global Data Risk Report from the Varonis data lab

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 03.02.2013
Varonis-Studie: Hälfte der IT-Mitarbeiter befürchtet unbefugten Zugriff auf virtuelle Server

The post In vielen Unternehmen potenziell gefährliche Zugriffsmöglichkeiten auf Daten appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 07.04.2018] Auch Cyber-Kriminelle wollen nach Erkenntnissen von KASPERSKY lab vom derzeitigen Kryptowährungshype profitieren und setzen demnach verstärkt auf schädliche Software, die auf Kosten der Nutzer heimlich „Bitcoins“, „Monero“ usw. schürft. So seien 2017 im Vergleich zum Vorjahr die weltweite Angriffsrate schädlicher Miner-Programme um 44 Prozent angestiegen. Ähnlich dem Ransomware-Boom würden die Methoden der Krypto-Schürfer immer ausgereifter – auch würden hierfür vermehrt mobile Geräte mittels kreativer Methoden missbraucht. Der neueste Trend sei, dass Cyber-Kriminelle Risk-Tools einsetzten – auch über den „Google Play Store“ –, welche Miningkapazitäten in beliebten Fußball- und VPN-Anwendungen versteckten, um von Hunderttausenden ahnungslosen Opfern und deren Rechner-Ressourcen zu profitieren.

Fußballfreunde in Brasilien im Visier

Die häufigsten Miner befänden sich in Anwendungen zur Übertragung von Fußballvideos, die parallel und heimlich Kryptowährungen schürften. Hierfür verwendeten die Entwickler das Miner-Programm „Coinhive JavaScript“:
Startet ein Nutzer die Fußball-Übertragung, öffne die Anwendung eine HTML-Datei mit dem eingebetteten „JavaScript“-Miner-Programm, welches die CPU-Leistung des Anwenders zum Schürfen der Kryptowährung „Monero“ missbrauche.
Die Anwendungen würden über den „Google Play Store“ verbreitet. Die beliebteste sei rund 100.000-mal heruntergeladen worden. 90 Prozent dieser Downloads stammten aktuell aus Brasilien.

Missbrauch legitimer VPN-Anwendungen

Ein weiteres Ziel für schädliche Miner seien legitime VPN-Anwendungen. Über ein VPN (Virtual Private Network) könnten Nutzer beispielsweise auf Webressourcen zugreifen, die aufgrund lokaler Beschränkungen nicht verfügbar sind. KASPERKY lab hat nach eigenen Angaben den Miner „Vilny.net“ entdeckt, welcher den Batterieladungsstatus sowie die Temperatur des Geräts überwachen könne.
So seien die Akteure in der Lage, kriminelle Aktionen durchzuführen, ohne das angegriffene Gerät einem zu großen Risiko auszusetzen – dazu lade die App eine ausführbare Datei vom Server herunter und starte diese im Hintergrund.
„Vilny.net“ sei über 50.000-mal heruntergeladen worden – hauptsächlich von Nutzern in der Ukraine und Russland.

Anwender doppelt ausgenutzt

„Unsere Ergebnisse zeigen, dass die Autoren bösartiger Miner-Programme ihre Ressourcen ausbauen und ihre Taktiken und Ansätze weiterentwickeln, um das Schürfen von Kryptowährungen effektiver durchzuführen“, berichtet Roman Unuchek, „Security Researcher“ bei KASPERSKY lab.
„Sie verwenden mittlerweile legitime Anwendungen mit thematischem Bezug und Miningkapazitäten, um Profit zu machen. So können sie Anwender doppelt ausnutzen – zum einen über eine Werbeanzeige und zum anderen über diskretes Krypto-Mining“, so Unuchek.
Dass Cyber-Kriminelle beim Kryptowährungsbetrug auf aktuelle Themen setzten, zeigten auch die vermehrt auftretenden Spam- und Phishing-Nachrichten mit Kryptowährungsbezug. Es sei davon auszugehen, dass Nutzer auch in naher Zukunft vermehrt dem Krypto-Phishing ausgesetzt sein würden.

Sicherheitstipps von KASPERSKY lab:

Nutzer sollten die folgenden Maßnahmen ergreifen, um ihre Geräte und privaten Daten vor möglichem Mining und Cyber-Attacken zu schützen:

• Anwendungen nicht aus anderen Quellen als den offiziellen App-Stores installieren.
• Die Betriebssystemversion des Geräts auf dem neuesten Stand halten, um Sicherheitslücken in der Software zu verringern und das Risiko eines Angriffs zu verringern.
• Eine bewährte Sicherheitslösung (wie z.B. „Kaspersky Internet Security“) installieren, um das Gerät vor Cyber-Angriffen zu schützen.

Weitere Informationen zum Thema:

SECURELIST, 04.04.2018
Pocket cryptofarms / Investigating mobile apps for hidden mining

KASPERSKY lab, 05.03.2018
Hacker schürften 2017 Millionenwerte mit Malware zum Krypto-Mining / Kaspersky-Studie zeigt: Miner sind die neue Ransomware

The post Illegales Krypto-Mining: Missbrauch von Fußball- und VPN-Apps als neuer Trend appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.