Sicherheitsrichtlinien müssen netzwerkweit, einheitlich und zuverlässig durchgesetzt werden

Von unserem Gastautor Robert Blank, Regional Sales Manager DACH bei AlgoSec

[datensicherheit.de, 15.01.2019] Unternehmen können ihr Network Security Policy Management (NSPM) aufgrund der Größe, Änderungsgeschwindigkeit und Komplexität moderner Netzwerke nicht länger manuell verwalten. Im Zuge der Kombination lokaler Netzwerke mit Cloud-Umgebungen, der Vielfalt der vernetzten Geräte und Firewalls verschiedenster Hersteller sowie der Bandbreite gesetzlicher und unternehmensinterner Compliance-Vorgaben, kommt es immer wieder zu großen Herausforderungen, Sicherheitsrichtlinien netzwerkweit einheitlich und zuverlässig durchzusetzen.

Falsche Konfigurationen schaffen Angriffsflächen – oder Ausfälle

In der Praxis können sowohl Änderungen an den Richtlinien oder an der der Hard- und Software schnell zu Fehlkonfigurationen führen. Diese kritischen Einstellungen können sowohl Zugriffsrechte sein, die nicht benötigt werden und zum Sicherheitsrisiko werden könnten als auch Regeln, die den legitimen Netzwerkverkehr unterbrechen. In beiden Fällen kann es zu schwerwiegenden Folgen, wie finanziellen Schäden, unterbrochenen Geschäftsprozessen und -Ausfällen kommen. Während solche Herausforderungen in anderen Bereichen bereits durch Automatisierung und intelligente Lösungen gemindert werden, hängen Unternehmen beim Einsatz entsprechender NSPM-Lösungen trotz eines beachtlichen Mehrwerts noch hinterher.

Bild: AlgoSec

Robert Blank, Regional Sales Manager DACH bei AlgoSec

Eine NSPM-Lösung stellt ein zentrales Tool bereit, um das Management von Richtlinien in der gesamten Netzwerkumgebung des Unternehmens, einschließlich ihrer Private und Public Clouds, zu bündeln. Dazu können die IT-Teams nach der Implementierung der Lösung das gesamte Netzwerk in ihrem Unternehmen virtuell abbilden, um den notwendigen Überblick darüber zu bekommen, welche Elemente und Schnittstellen es umfasst. Die Einstellungen an den Sicherheitsrichtlinien werden über dieses zentrale Tool vorgenommen und von der Lösung automatisch über das gesamte Netzwerk durchgesetzt, dabei nutzen die IT-Verantwortlichen einen einheitlichen Befehlssatz, den die Lösung automatisch auf die Firewalls unterschiedlicher Anbieter ausrollen kann.

Geschäftsprozesse und -applikationen einbinden

Die modernen Angebote umfassen neben dieser Arbeitserleichterung intelligente Funktionen, die einer Organisation einen geschäftlichen Vorteil bieten und Fehler vermeiden. Dazu werden geschäftskritische Prozesse und Geschäftsapplikationen in der Darstellung der Infrastruktur abgebildet, wodurch sich zwei neue Möglichkeiten ergeben, einen Mehrwert im Sicherheitsrichtlinien-Management zu schaffen.

Erstens können die intelligenten NSPM-Lösungen diese angereicherte Abstraktion des Netzwerks nutzen, um die Auswirkungen einer neuen Richtlinie auf den Netzwerkverkehr und die Geschäftsprozesse zu simulieren, ehe sie in Kraft tritt. Die IT und die IT-Sicherheit erkennen so, ob es unbeabsichtigte Auswirkungen einer neuen oder geänderten Richtlinie geben wird, die die Sicherheit beeinträchtigen oder Geschäftsprozesse unterbrechen.

Zweitens können die Applikationen im Unternehmensnetzwerk mit den darunterliegenden Netzwerk- und Sicherheitsrichtlinien abgebildet und verknüpft werden. Dadurch können für Sicherheitsrichtlinien, die nicht mit der Compliance konform sind, die betroffenen Applikationen sofort bestimmt und die Verantwortlichen benachrichtigt oder automatisierte Maßnahmen eingeleitet werden. Umgekehrt können die verantwortlichen IT-Teams den Sicherheitsspezialisten automatisierte Nachrichten senden, wenn eine Applikation eine Änderung an den Sicherheitsrichtlinien verlangt. Mit den zusätzlichen Informationen und Funktionen des NSPM-Systems können die Teams solche Änderungen der Sicherheitsrichtlinien unternehmenskonform und schnell durchsetzen – sie verlieren dadurch weniger Zeit, während die Einhaltung der Sicherheitsvorgaben gewahrt bleibt.

Unternehmen sollten ihr NSPM zukunftsorientiert aufstellen

Netzwerke in kleinen Unternehmen sind komplexe Ökosysteme, deren Sicherheitsrichtlinien-Management mit zunehmender Größe nicht mehr manuell zu bewältigen ist. Die Vielfalt der Assets in einem Netzwerk von unterschiedlichen Herstellern und verschiedenen Anforderungen an die Richtlinien durch gesetzliche Regulierungen und unternehmenseigenen Policies stellen eine große Herausforderung dar. Jede Organisation sollte deshalb gründlich über eine moderne NSPM-Lösung nachdenken, die Aufgaben automatisiert und das IT- und IT-Sicherheitsteam entlastet. Die Möglichkeit, in intelligenten Lösungen geschäftliche Aspekte abzubilden und Änderungen zu simulieren und mit Risiken zu bewerten – bevor Sie durchgeführt werden -, reduziert die Fehleranfälligkeit bei der Konfiguration der Sicherheitsrichtlinien und bietet einen Mehrwert, der manuell nicht mehr möglich ist.

Weitere Informationen zum Thema:

datensicherheit.de, 18.11.2018
Datenschutzverletzungen vermeiden: IT-Hygiene in vier Schritten

The post Wie man einen Mehrwert im Network Security Policy Management schafft appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus

Von unserem Gastautor Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout

[datensicherheit.de, 15.01.2019] Der Siegeszug des IoT (Internet der Dinge) setzt sich unaufhaltsam fort. Längst hat es auch Einzug ins Geschäftsleben gehalten, wo es den Alltag vieler Mitarbeiter sicherer und angenehmer gestaltet. Allerdings stellt die Etablierung der smarten Welt IT-Abteilungen vieler Unternehmen vor große Herausforderungen. Viele intelligente Geräte höhlen eine Sicherheitsstrategie schnell aus. Besserung versprechen hierbei Lösungen zur Visibilität in Netzwerken.

Im Zuge der Automatisierung setzen immer mehr Organisationen auf IoT. Darunter fallen beispielsweise Temperatursteuerungen oder Sicherheitskameras, aber auch Netzwerkdrucker. Die Vorteile liegen in vielen Fällen auf der Hand. So kann eine smarte Klimasteuerung im Gebäude Kosten sparen, indem sie zentral gesteuert und bei Bedarf abgeschaltet wird. Intelligente Überwachungskameras schicken ihre Aufnahmen in Echtzeit über das Internet an das verantwortliche Sicherheitspersonal. Viele Großunternehmen haben eigene Strategien für IoT – seien es smarte Kleingeräte bis hin zu großen, über das Internet ansteuerbaren Maschinenparks. Trotzdem wird der Sicherung dieser Geräte nicht die Bedeutung beigemessen, die nötig wäre, um das Unternehmen ausreichend zu schützen.

Bild: ForeScout

Stephan von Guendell-Krohne, Sales Director DACH bei ForeScout

„Das S in IoT steht für Sicherheit“

Der Informatikerwitz mag ein wenig überspitzt sein, einen wahren Kern hat er allerdings. Viele IoT-Devices sind nicht ausreichend gegen Bedrohungen von außen gewappnet, da sie von vornherein über mangelhafte Sicherheitsmechanismen verfügen. Im Gegensatz zu Rechnern, Smartphones und Servern haben die Hersteller von smarten Geräten oft noch keine Erfahrung darin, ihre Produkte vor Bedrohungen durch Cyberkriminelle abzusichern. Als Folge davon entsprechen die Sicherheitsmechanismen nicht der aktuellen Bedrohungslage, womit sie ein beliebtes Ziel für Cyber-Kriminelle darstellen.

Hinzu kommt, dass die Installation und Verwaltung von IoT-Geräten oft nicht der IT-Abteilung eines Unternehmens, sondern der Hausverwaltung obliegen. Bei der Inbetriebnahme neuer Geräte werden zudem zuständige IT-Abteilungen nicht informiert, womit ihre Überwachung und Einbettung in sicherheitsrelevante Prozesse komplett umgangen wird. Infolgedessen können viele IT-Verantwortliche nicht genau sagen, wie viele Geräte sich insgesamt in ihrem Netzwerk befinden.

Aus Zeitgründen entfällt zudem erschreckend oft eine sorgfältige Einrichtung: Standardzugangsdaten und -Passwörter werden nicht geändert, wodurch sie durch Dritte von außen angreifbar sind.

Die Folgen können für Unternehmen verheerend sein

Die IoT-Sicherheit stellt einen Painpoint für Unternehmensleitungen dar. Gelingt es einem Cyberkriminellen, auf die Geräte zuzugreifen, sind seine Möglichkeiten, Schaden anzurichten, vielfältig:

1. Installation eines Bot-Netzwerks: Bekannt geworden ist diese Methode durch das sogenannte Mirai-Botnetz vor zwei Jahren. IP-fähige Sicherheitskameras wurden von der Mirai-Malware infiziert und ihre Rechenleistung für DDoS-Angriffe genutzt. Diese Methode kann auch auf anderen IP-fähigen Geräte angewendet werden.
2. Ausspähen von Daten. Hierfür eignen sich Drucker am besten, da sie über weitreichende Berechtigungen im Netzwerk verfügen, wie den Zugriff auf Netzwerkordner. Sollte ein unberechtigter Dritter Zugriff auf einen solchen Drucker erhalten, zum Beispiel durch ein nicht geändertes Standardpasswort, kann er auf diverse Ressourcen zugreifen. Im schlimmsten Fall kann er Firmeninterna bzw. Geschäftsgeheimnisse abgreifen und dem Unternehmen somit großen Schaden zufügen.
3. Produktionsstörungen: Sollten Maschinen an das Firmennetzwerk angeschlossen sein, können sie bei einem erfolgreichen Angriff manipuliert werden. Dies hat Produktionsausfälle oder fehlerhafte Prozesse und ggf. einen Reputationsverlust zur Folge.
4. Diebstahl von Kundendaten: Nicht nur können hier kritische Daten entwendet werden und den Ruf des eigenen Unternehmens beschädigen können, neue Verordnungen zum Datenschutz belegen Datenlecks mit hohen Strafen.

Was Unternehmen tun können

Eine Möglichkeit, das eigene Netzwerk zu schützen, ist eine Sicherheitslösung, die eine Visibilität der gesamten Netzwerkumgebung gewährleistet. Somit kann jedes Gerät, unabhängig davon, ob es Software-Agenten erlaubt oder nicht, erfasst werden.

Firmen, die nach einer solchen Lösung schauen, sollten allerdings darauf achten, dass sie nicht nur den Netzwerkverkehr überwacht, sondern ihn auch regulieren kann. Beispielsweise sollte sie in der Lage sein, den Typ eines Geräts festzustellen sowie den Updatestatus des Betriebssystems und der Sicherheitssoftware zu erkennen. Stellt sich heraus, dass beispielsweise System oder Sicherheitsmechanismen einen veralteten Sicherheitsstatus aufweisen, kann die Lösung danach den Netzwerkzugriff dieser Geräte einschränken oder ihn gänzlich verweigern.

Darüber hinaus muss gewährleistet sein, dass sie mit bereits bestehenden Systemen zur Sicherung von Netzwerken kompatibel ist und diese nicht behindert. Und zuletzt gilt es, die Lösung so zu gestalten, dass sie für IT-Teams die wichtigsten Informationen zentral darstellt und aufzeigt, welche Aktionen gerade notwendig sind, um die Netzwerksicherheit zu gewährleisten.

Dies erfolgt vollständig automatisiert und erleichtert dem zuständigen Personal somit den Arbeitsalltag.

Fazit

Das IoT hat sich etabliert und stellt die IT-Security von Unternehmen vor große Herausforderungen. Deshalb sollten sie sich aber nicht davor verschließen, sondern die Möglichkeiten in Betracht ziehen, die das IoT bietet. Mit der richtigen Lösung zur Visibilität in Netzwerken können Unternehmen von den Vorteilen profitieren, ohne ihr Tagesgeschäft oder ihre Reputation aufs Spiel setzen zu müssen.

Weitere Infomatonen zum Thema:

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 20.11.2018
Studie: Weit verbreiteter Mangel an Bewusstsein für IoT-Sicherheit

datensicherheit.de, 18.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

The post IoT-Sicherheit ist das Thema für die Chefetage appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Im aktuellen Global Threat Index von Check Point tritt SLoad im Dezember 2018 zum ersten Mal in die Top-Malware-Indexliste ein

[datensicherheit.de, 15.01.2019] Check Point® Software Technologies Ltd. hat seinen neuesten Global Threat Index für Dezember 2018 veröffentlicht. Im Index für Deutschland taucht erstmals SLoad auf, ein PowerShell-Downloader, der häufig Ramnit-Banking-Trojaner nachlädt.

Generell führt jedoch die Cryptomining-Malware Emotet weiterhin den Index an und auch Coinhive ist zum 13. Mal in Folge unter den Top 3 Bedrohungen gelistet.

© Check Point

Maya Horowitz, Threat Intelligence und Forschungsgruppenleiterin bei Check Point, sagt dazu: „Der Bericht vom Dezember listet SLoad zum ersten Mal in den Top 10. Der plötzliche Anstieg verstärkt den wachsenden Trend zu schädlicher, vielseitiger Malware im Global Threat Index, wobei sich die Top 10 zu gleichen Teilen auf Cryptominer und Malware verteilen. Die Vielfalt der Malware im Index macht es unerlässlich, dass Unternehmen eine vielschichtige Cybersicherheitsstrategie anwenden, die sowohl vor etablierten Malware-Familien als auch vor neuen Bedrohungen schützt.“

 Die Top 3 ‘Most Wanted’ Malware im Monat Dezember 2018:

* Die Pfeile beziehen sich auf die Rangfolgeänderung gegenüber dem Vormonat.

1. ↑ Emotet – Fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Emails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. ↑ SLoad – SLoad ist ein PowerShell-Downloader, der am häufigsten den Ramnit-Banking-Trojaner nachlädt und viele Spionagefunktionen bietet. Die Malware sammelt Informationen über das infizierte System, einschließlich einer Liste der laufenden Prozesse wie Outlook und Citrix. SLoad kann auch Screenshots erstellen und den DNS-Cache auf bestimmte Domänen (z.B. gezielt Banken) überprüfen sowie externe Binärdateien laden.
3. ↓ Coinhive – Cryptominer, der entwickelt wurde, um Online-Mining der Cryptowährung Monero durchzuführen, während ein Benutzer eine Webseite besucht, ohne dass der Nutzer es merkt, zustimmt oder am Gewinn beteiligt wird. Das implementierte JavaScript nutzt große Anteile der Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten genutzten Cyber-Schwachstellen. Auf dem ersten Platz blieb CVE-2017-7269, dessen globale Auswirkungen ebenfalls leicht auf 49 Prozent stiegen, verglichen mit 47 Prozent im November. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure mit einem Einfluss von 42 Prozent, dicht gefolgt von PHPMyAdmin Misconfiguration Code Injection mit einem Einfluss von 41 Prozent.

Die Top 3 ‘Most Exploited’ Schwachstellen im Dezember 2018:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Durch das Senden einer Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein Angreifer von außen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – In PHPMyAdmin wurde eine Schwachstelle bei der Codeinjektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein Angreifer kann diese Schwachstelle von außen nutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet.

* Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem nach eigenen Angaben  größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

* Die komplette Most Wanted Malware Top 10 im Dezember 2018 finden Sie im Check Point Blog:  http://www.checkpoint.com/threat-prevention-resources/index.html

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an

datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware

The post Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 14.01.2019] foodwatch hat nach eigenen Angaben zusammen mit FragDenStaat eine „Plattform gegen Geheimniskrämerei bei Lebensmittelbehörden“ gestartet: Auf „Topf Secret“ könnten Verbraucher Ergebnisse von Hygienekontrollen in Restaurants, Bäckereien usw. abfragen.

Jeder vierte kontrollierte Betrieb beanstandet

Die Verbraucherorganisation foodwatch und die Transparenz-Initiative FragDenStaat haben am 14. Januar 2019 die Web-Plattform „Topf Secret“ gestartet, auf der Verbraucher die Ergebnisse von Hygienekontrollen in Restaurants, Bäckereien und anderen Lebensmittelbetrieben mit wenigen Klicks abfragen und veröffentlichen können sollen.
Bisher machten die Kontrollbehörden in Deutschland nur in Ausnahmefällen öffentlich, wie es um die Sauberkeit in den Betrieben bestellt ist. Seit Jahren werde jeder vierte kontrollierte Betrieb beanstandet, größtenteils wegen Hygienemängeln.

Mit „Mitmach-Plattform“ Druck aufbauen

foodwatch und FragDenStaat wollen demnach mit dieser „Mitmach-Plattform“ Druck aufbauen, damit Behörden in Zukunft ausnahmslos alle Kontrollergebnisse veröffentlichen müssen. Erst das schaffe den nötigen Anreiz für Lebensmittelbetriebe, sich jeden Tag an alle lebensmittelrechtlichen Vorgaben zu halten.
Bundesernährungsministerin Julia Klöckner müsse die gesetzliche Grundlage für ein Transparenzsystem wie in Dänemark, Wales oder Norwegen schaffen. Dort würden alle Ergebnisse der amtlichen Lebensmittelüberwachung veröffentlicht, im Internet und direkt an der Ladentür.

Schwarze Schafe noch zu oft im Schonraum

„Die allermeisten Lebensmittelbetriebe in Deutschland arbeiten sauber. Doch etwa jeder vierte Betrieb wird bei den Kontrollen beanstandet“, berichtet Oliver Huizinga, Leiter „Recherche und Kampagnen“ bei foodwatch.
Huizinga: „Kakerlaken in der Backstube, Schimmel im Lieblingsrestaurant, ekelerregende Zustände in der Wurstfabrik – die zuständigen Behörden wissen genau, in welchem Unternehmen geschlampt wird. Die Verbraucherinnen und Verbraucher erfahren das in der Regel nicht, nur Ausnahmefälle müssen veröffentlicht werden.“ Mit dieser Geheimniskrämerei schütze die Bundesregierung die „Schmuddelbetriebe“ auf Kosten der Verbraucher und der vielen sauber arbeitenden Unternehmen.

Auf das Verbraucherinformationsgesetz berufen

Unter „www.topf-secret.foodwatch.de“ könnt Verbraucher bei den zuständigen Behörden einen Antrag auf Veröffentlichung der Ergebnisse amtlicher Hygiene-Kontrollen stellen. Die gesetzliche Grundlage sei das Verbraucherinformationsgesetz (VIG).
Nutzer könnten einen beliebigen Betrieb – von Restaurants über Bäckereien bis hin zu Tankstellen – über eine Suchfunktion oder per Klick auf einer Straßenkarte aussuchen. Sie brauchten lediglich Name, E-Mail- und Postadresse eingeben, die gemeinsam mit einem vorbereiteten Text an die zuständige Behörde übermittelt würden. Die Antragstellung sei innerhalb von einer Minute fertig. Die Antragsteller erhielten die Ergebnisse allerdings erst nach mehreren Wochen. Es könne auch passieren, dass sich Behörden quer stellten.

„Topf Secret“ soll nur Zwischenlösung sein

„Bund und Länder haben es jahrelang verschlafen, für Transparenz in der Lebensmittelüberwachung zu sorgen. Das wollen wir mit ‘Topf Secret’ ändern! Je mehr Menschen mitmachen und Anträge stellen, desto mehr Infos kommen ans Licht – und desto größer ist der Druck auf die Bundesregierung, endlich eine gesetzliche Grundlage zu schaffen, die Transparenz zur Regel macht und nicht zur Ausnahme“, sagt Arne Semsrott, Projektleiter von FragDenStaat.
So oder so gelte: „Topf Secret“ könne nur eine Zwischenlösung sein. Semsrott: „Wenn die Bundesregierung in Zukunft die Veröffentlichung aller Kontrollergebnisse vorschreibt, schalten wir unsere Plattform gerne wieder ab.“

Freiwilligkeit der Lebensmittelbetriebe unzureichend

Das Bundesverfassungsgericht habe in einer Entscheidung im Jahr 2018 ausdrücklich die Rechte von Verbrauchern auf Informationen über lebensmittelrechtliche Verstöße, also zum Beispiel Missstände bei der Hygiene, anerkannt. Union und SPD hätten sich zwar in ihrem neuen Koalitionsvertrag auch darauf verständigt, „eine übersichtliche und eindeutige Verbraucherinformation zu Hygiene und Lebensmittelsicherheit“ zu gewährleisten. Allerdings sollten Betriebe ihre Kontrollergebnisse nur „auf freiwilliger Basis“ veröffentlichen.
foodwatch und FragDenStaat kritisieren nach eigenen Angaben, dass ein freiwilliges System erfahrungsgemäß nicht funktioniere – wie das Beispiel Niedersachsen zeige: In zwei Teststädten, Hannover und Braunschweig, hätten Lebensmittelbetriebe freiwillig ihre Kontrollergebnisse in Form eines „Hygiene-Barometers“ an der Ladentür aushängen können – doch nur vier Prozent der Betriebe hätten sich laut dem niedersächsischen Agrarministerium an dem Projekt beteiligt.

Bewährtes Smiley-System in Dänemark

Anders zum Beispiel funktioniere es in Dänemark: Dort erführen die Verbraucher direkt an der Ladentür und im Internet anhand von Smiley-Symbolen, wie es um die Sauberkeit in den Lebensmittelbetrieben bestellt ist. Wenige Jahre nach Einführung des Smiley-Systems im Jahr 2002 habe sich die Quote der beanstandeten Betriebe halbiert – von 30 auf rund 15 Prozent.
„Das Smiley-System in Dänemark funktioniert. Umfragen zeigen, dass praktisch alle Verbraucher das Smiley-System kennen und es bei der Wahl eines Restaurants oder eines Ladens berücksichtigen. Es zeigt auch, dass Lebensmittelunternehmen Maßnahmen ergreifen, um die Standards zu verbessern, mit dem Ziel, einen lächelnden Smiley zu bekommen. Das Smiley-System erhöht die Lebensmittelsicherheit zum Wohle aller“, erklärt das dänische Umwelt- und Ernährungsministerium.

Auch Wales und Norwegen als Vorreiter der Transparenz

In Wales, wo Restaurants, Bäckereien, Schulkantinen und Supermärkte auf einer Skala von 0 bis 5 bewertet würden, sei die Quote der Betriebe mit schlechter Bewertung von rund 13 (2013) auf knapp fünf Prozent (2017) gesunken. Auch Norwegen habe 2016 ein Smiley-System eingeführt – dort sei die Zahl der beanstandeten Betriebe innerhalb eines Jahres ebenfalls gefallen – von 32 auf 21 Prozent.
In Deutschland dagegen veröffentliche das Bundesamt für Verbraucherschutz und Lebensmittelsicherheit (BVL) nur anonymisierte Statistiken und Daten über die Lebensmittelüberwachung. Die Quote der beanstandeten Betriebe liege seit Jahren nahezu unverändert bei rund 25 Prozent. 2017 habe die Quote wegen einer neuen Erfassungsmethode nur bei 13,6 Prozent gelegen – diese Zahl umfasse nicht, wie in den Jahren zuvor, sogenannte informelle Beanstandungen.

Weitere Informationen zum Thema:

foodwatch
So funktioniert „Topf Secret“

foodwatch
Topf Secret: Jetzt Hygienebericht anfragen!

datensicherheit.de, 31.01.2018
Produktwarnungen: foodwatch kritisiert unzureichende Information der Verbraucher

datensicherheit.de, 14.10.2016
foodwatch kritisiert CETA-Zusatzerklärung der EU

datensicherheit.de, 05.05.2013
foodwatch e.V.: EU Pledge nur ein Feigenblatt der Lebensmittelindustrie

The post Topf Secret: Kontrollergebnisse aus Lebensmittelbetrieben online appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 14.01.2019] Der Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) meldet, dass die ehemalige Bundesdatenschutzbeauftragte vor „detaillierter Überwachung“ und „engmaschigen Bewegungsprofilen“ warnt. Die inzwischen abgelöste Andrea Voßhoff (CDU) hält demnach das Gesetz zur verdachtslosen Vorratsspeicherung aller Verbindungs-, Bewegungs- und Internetzugangsdaten für verfassungswidrig. Dies ergebe sich aus ihrer Stellungnahme an das Bundesverfassungsgericht.

Richtervorbehalt für Identifizierung von Internetnutzern gefordert

„Eine effektivere Strafverfolgung und Wahrheitsermittlung im Strafverfahren wird durch die Vorratsdatenspeicherung […] nicht erreicht“, so Voßhoff unter Verweis auf zahlreiche Umgehungsmöglichkeiten für die Organisierte Kriminalität.
Dagegen ermöglichten es die flächendeckend zu speichernden Internetzugangsdaten in Verbindung mit weiteren Informationen, „über mehrere Wochen das Surf-Verhalten der Internetnutzer bei den jeweiligen Telemediendiensten äußerst detailliert [zu] überwachen“. Vosshoff fordere deshalb die Einführung eines Richtervorbehalts für die Identifizierung von Internetnutzern (sog. Bestandsdatenauskünfte zu IP-Adressen).

Sammlung von Aufenthaltsdaten aus Funkzellenabfragen

Bei Vorratsdatenspeicherung des Aufenthaltsorts von Smartphone-Nutzern könne schon die bloße Anwesenheit bei einer Demonstration zu einer Erfassung von Demonstranten als „Prüffall“ führen, warnt Vosshoff. Das Bundeskriminalamt (BKA) sammle bereits heute in großer Zahl Aufenthaltsdaten aus Funkzellenabfragen der Länder in einer zentralen Datenbank und gleiche sie miteinander ab.
Ein Mobilfunkanbieter stelle alle 15 Minuten automatisch eine neue Internetverbindung her, bei der jeweils die aktuelle Funkzelle gespeichert werde. Die Vorratsdatenspeicherung ermögliche auf diese Weise „die Erstellung engmaschiger Bewegungsprofile“ über einen Zeitraum von vier Wochen.

Sicherheit von Vorratsdaten nicht gewährleistet

Die Sicherheit von Vorratsdaten sei zudem nicht gewährleistet. Gerade kleine und mittelständische TK-Anbieter verfügten nach Erfahrung der ehemaligen Bundesdatenschutzbeauftragten „regelmäßig nicht über die personellen, räumlichen und finanziellen Möglichkeiten zur Einhaltung der Anforderungen“ zur Datensicherheit.
Als Telekommunikationsanbieter bei Datenanforderungen auf Einhaltung der Gesetze durch Strafverfolger zu bestehen, ziehe immer wieder das „In-Aussicht-Stellen einer Verfahrenseinleitung wegen Strafvereitlung sowie die Ankündigung, Vorstandsmitglieder zu einer Zeugenvernehmung vorzuladen“, nach sich, berichtet Voßhoff.

Vorratsdatenspeicherung verfassungswidrig

Auch der rheinland-pfälzische Landesdatenschutzbeauftragte, Prof. Dr. Dieter Kugelmann, kritisiere das Gesetz zur Vorratsdatenspeicherung gegenüber dem Verfassungsgericht: „Damit ist die totale und heimliche Erfassbarkeit praktisch aller den täglichen Freiheitsgebrauch betreffenden personenbezogenen Daten durch die Sicherheitsbehörden grundsätzlich in den Bereich des Möglichen gerückt.“
Gesetze wie die Vorratsdatenspeicherung seien verfassungswidrig, weil sie im Zusammenspiel mit weiteren Eingriffen wie der Fluggastdatenspeicherung „die Schwelle zur Option der Totalüberwachung überschreiten“.

Kleinere Funkzellen lassen Genauigkeit weiter steigen

Der bayerische Landesdatenschutzbeauftragte Prof. Dr. Thomas Petri weise die Verfassungsrichter darauf hin, dass die Genauigkeit der auf Vorrat zu speichernden Standortdaten wegen der IPv6-Technik und immer kleinerer Funkzellen weiter steige.
Nach eindeutigen Urteilen des Europäischen Gerichtshofs zur Unzulässigkeit einer flächendeckenden Vorratsdatenspeicherung halte er eine erneute Befassung des Luxemburger Gerichtshofs, wie von der Bundesregierung gefordert, nicht für geboten.

Seit 2016 Verfassungsbeschwerden gegen Gesetz zur Vorratsdatenspeicherung

Dem Bundesverfassungsgericht liegen laut AK Vorrat seit 2016 Verfassungsbeschwerden gegen das „schwarz-rote“ Gesetz zur Vorratsdatenspeicherung vor, unter anderem eine von Digitalcourage und dem AK Vorrat unterstützte Beschwerde.
Kurz vor Inkrafttreten der Speicherpflicht Mitte 2017 hätten Gerichte das Gesetz jedoch bis zur endgültigen Entscheidung wieder ausgesetzt, weil es die Grundrechte der ohne Anlass betroffenen Bürger verletze. Das Bundesverfassungsgericht habe noch keinen Termin zur Verhandlung oder endgültigen Entscheidung über die Verfassungsbeschwerden bekanntgegeben.

Wahllose Vorratsspeicherung zum Schaden der Gesellschaft

Aus Sicht der im AK Vorrat zusammengeschlossenen Datenschützer, Bürgerrechtler und Internetnutzer sei eine verdachtsunabhängige und wahllose Vorratsspeicherung von Telekommunikationsdaten für viele Bereiche der Gesellschaft höchst schädlich:
Sie beeinträchtige vertrauliche Kommunikation in Bereichen, in denen Menschen auf Vertraulichkeit angewiesen seien (z.B. Kontakte zu Psychotherapeuten, Ärzten, Rechtsanwälten, Betriebsräten, Eheberatern, Kinderwunschzentren, Drogenmissbrauchsberatern und sonstigen Beratungsstellen) und gefährdeten damit die körperliche und psychische Gesundheit von Menschen, die Hilfe benötigen, aber auch der Menschen aus ihrem Umfeld. Wenn Journalisten Informationen elektronisch nur noch über rückverfolgbare Kanäle entgegennehmen können, gefährde dies die Pressefreiheit und beeinträchtige damit elementare Funktionsbedingungen einer freiheitlichen demokratischen Gesellschaft.
Die verdachtsunabhängige und wahllose Vorratsdatenspeicherung schaffe Risiken des Missbrauchs und des Verlusts vertraulicher Informationen über unsere persönlichen Kontakte, Bewegungen und Interessen. Telekommunikationsdaten seien außerdem besonders anfällig dafür, von Geheimdiensten ausgespäht zu werden und Unschuldige ungerechtfertigt strafrechtlichen Ermittlungen auszusetzen.

Weitere Informationen zum Thema:

Die Bundesbeauftragte für den Datenschutz und die lnformationsfreiheit, Andrea Voßhoff, 2018
Stellungnahme der Bundesbeauftragten für den Datenschutz und die lnformationsfreiheit zu den Verfassungsbeschwerden gegen das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten

Der Landesbeauftragten für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Stellungnahme des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz zu den Verfassungsbeschwerdeverfahren gegen die Neuregelung der Vorratsdatenspeicherung

Der Bayerische Landesbeauftragte für den Datenschutz, 26.03.2018
Stellungnahme zu den Verfassungsbeschwerden betreffend das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten

Rechtsanwalt Meinhard Starostik, 28.11.2016
Verfassungsbeschwerde

datensicherheit.de, 01.09.2018
Vorratsdatenspeicherung: Bundesverfassungsgericht soll Einfluss auf EuGH nehmen

datensicherheit.de, 22.04.2018
Vorratsdatenspeicherung: Verstoß gegen EU-Recht

datensicherheiit.de, 29.06.2017
Vorratsdatenspeicherung: Nicht nur Aussetzen, sondern aufheben

datensicherheit.de, 22.06.2016
Europäischer Gerichtshof: Urteil gegen anlasslose Vorratsdatenspeicherung

The post Verfassungswidrig: Datenschutzbeauftragte kritisieren Vorratsdatenspeicherung appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 14.01.2019] Die G DATA Software AG geht in einer aktuellen Stellungnahme auf den „orbit“-Fall ein und erläutert wie dieser Hacker enttarnt werden konnte: Die Ermittlungsbehörden hätten den mutmaßlichen Täter im aktuellen „Doxing“-Skandal bereits nach kurzer Zeit ermitteln können – dabei habe ihnen wohl ein schon viele Jahre zurückliegender Fehler des 20-Jährigen geholfen.

Vermeintliche Anonymität im Internet durch kleine Fehler negiert

Wer im Internet wirklich anonym bleiben will, habe „viel Arbeit“ vor sich, denn schon kleine Fehler könnten sich schnell rächen – wie die Festnahme des Verdächtigen im „Doxing“-Skandal rund um Politiker und Prominente zeige. Im aktuellen Fall liege der Fehler des mutmaßlichen Täters wohl schon einige Jahre zurück – und habe den Ermittlungsbehörden einen schnellen Fahndungserfolg ermöglicht.
Für Anonymität im Netz gebe es eine breite Palette an Tipps und Tools: Surfen über „Tor“, Adblocker und Tracking-Blocker oder die Verwendung eines Virtuellen Privaten Netzwerkes (VPN) seien die häufigsten Empfehlungen. Doch keine dieser Maßnahmen garantiere Anonymität! Denn es seien meist kleine, alltägliche Fehler, die die Anonymität zerstörten. Wer z.B. „Tor“ nutzt und sich dann bei facebook einloggt, sei dem Dienst gegenüber natürlich nicht mehr anonym.

In vielen Fällen gute Gründe für Anonymität…

Im Falle des Tatverdächtigen sei es zu begrüßen, dass die Ermittlungsbehörden einen schnellen Erfolg verbuchen konnten. Doch in vielen Fällen gebe es gute Gründe für Anonymität. „Er hat es uns nicht sehr schwer gemacht“, so BKA-Präsident Holger Münch bei einer gemeinsamen Pressekonferenz mit Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm.
Auch wenn Münch keine Details genannt habe, so sei es wohl unter anderem die Verwendung der regulären Mobilfunknummer des Tatverdächtigen beim Messengerdienst „Telegram“, welche den Behörden einen Hinweis auf die Identität gegeben habe. Die Verschlüsselung der Kommunikation – deren Sicherheit bei „Telegram“ von Experten immer wieder angezweifelt werde – habe hier also keinen Sicherheitsvorteil gebracht.

„orbit“-Tatverdächtige für Behörden kein Unbekannter

Doch der Tatverdächtige sei für die Behörden ohnehin kein Unbekannter gewesen. Bereits vor mehreren Jahren habe er versucht, Zugriff auf mehrere E-Mail-Konten zu erlangen. Dabei habe allerdings kurzfristig seine VPN-Software versagt und für einen kleinen Moment seine wahre IP-Adresse preisgegeben.
Diese IP habe sich dann in den Logs der Mail-Anbieter wiedergefunden und als Grundlage für Ermittlungen gedient. Deswegen habe im Jahr 2016 bereits eine Hausdurchsuchung stattgefunden.

IT-Sicherheit und Anonymität zu sichern, ist kompliziert

„IT-Sicherheit und Anonymität herzustellen, erfordert zunächst eine umfassende Analyse der eigenen Bedrohungslage. Es ist außerdem einiges an gedanklicher Arbeit nötig“, betont Tim Berghoff, „Security Evangelist“ bei G DATA.
Allein mit der Installation der richtigen Software sei es nicht getan. Berghoff: „Wer anonym bleiben will, der sollte sich darüber im Klaren sein, dass auch typische Rechtschreibfehler, Schreib- oder Coding-Stil oder Informationen über die verwendete Hardware zur Identifizierung beitragen können.“

Debatte über besseren Schutz privater Daten neu entfacht

In einem anderen Fall sei es einem Kriminellen zum Verhängnis geworden, dass er in einem Fastfood-Restaurant das Gast-WLAN oft für seine Taten benutzt und dort ein Essen mit seiner Kreditkarte bezahlt habe. So werde Tätern häufig ein schon vor längerer Zeit, ggf. auch schon lange vor der Tat, ausgeübtes Verhalten zum Problem.
Die aktuelle Diskussion über das „Doxing“ zahlreicher Politiker und Prominenter habe die Debatte über einen besseren Schutz privater Daten neu entfacht. Eine der wirksamsten Maßnahmen sei die Verwendung der mehrstufigen Authentifizierung bei Online-Diensten wie Mail-Providern. „Mehrstufige Anmeldeverfahren sind keine Seltenheit mehr, aber sie müssen oft separat aktiviert werden“, so Berghoff.

Weitere Informationen zum Thema:

G DATA Security Blog, Hauke Gierow, 08.01.2019,
Doxing: Was Nutzer aus dem „Hackerangriff“ lernen sollten

datensicherheit.de, 09.01.2019
Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen

datensicherheit.de, 08.01.2019
orbit-Angriff deckt mangelndes Risiko-Bewusstsein auf

datensicherheit.de, 08.01.2019
Der Fall orbit: FireEye liefert erste Erkenntnisse

datensicherheit.de, 08.01.2019
Fall Orbit: eco warnt vor gesetzgeberischen Schnellschüssen

datensicherheit.de, 07.01.2019
Nutzung moderner Kommunikationsmittel erfordert Aufmerksamkeit

datensicherheit.de, 04.01.2019
BSI kommentiert unbefugte Veröffentlichung gestohlener Daten und Dokumente

datensicherheit.de, 04.01.2019
Datendiebstahl: Warnung vor eiligen Schuldzuweisungen

The post Datensicherheit: Anonymität im Internet durch kleine Fehler aufgehoben appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 08.01.2019] Laut einer Mitteilung des Bundeskriminalamts (BKA) vom 8. Januar 2019 konnte im Fall des spektakulären „orbit“-Datendiebstahls ein Tatverdächtiger festgenommen werden, gegen den ein Ermittlungsverfahren „wegen des Verdachts des Ausspähens und der unberechtigten Veröffentlichung personenbezogener Daten“ eingeleitet worden ist.

Festnahme eines Tatverdächtigen am 6. Januar 2019

Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA haben demnach in den Abendstunden des 6. Januar 2019 die Wohnung eines Tatverdächtigen in Mittelhessen durchsucht und diesen vorläufig festgenommen.
Die Ermittlungen „wegen des Verdachts des Ausspähens und der unberechtigten Veröffentlichung personenbezogener Daten“ von Politikern, Journalisten und Personen des öffentlichen Lebens seien durch die Generalstaatsanwaltschaft Frankfurt am Main und das BKA mit seiner extra eingerichteten „Besonderen Aufbauorganisation“ (BAO) seit dem 4. Januar 2019 „mit Hochdruck geführt“ worden.

Daten unter Nutzung von twitter-Accounts veröffentlicht

Der 20-jährige deutsche Staatsangehörige stehe im Verdacht, personenbezogene Daten von Politikern, Journalisten und von Personen des öffentlichen Lebens ausgespäht zu haben. Die erlangten personenbezogenen Daten (insbesondere Telefonnummern, Anschriften, Kreditkartendaten, Bildaufnahmen und Kommunikation) soll der Beschuldigte laut BKA im Dezember 2018 unter Nutzung von twitter-Accounts veröffentlicht haben.
Auf diesen twitter-Accounts seien Verlinkungen zu anderen Plattformen oder sogenannten Filehosting-Diensten enthalten, auf denen die ausgespähten personenbezogenen Daten abgelegt worden seien.

Tarnung als „G0d“ und „0rbit“

Neben ausgespähten Daten habe der Beschuldigte auch persönliche Daten von Politikern, Journalisten und von Personen des öffentlichen Lebens aus öffentlich zugänglichen Quellen gesammelt.
Auf twitter soll der Beschuldigte die Bezeichnungen „G0d“ und „0rbit“ verwendet haben, zum Teil aber auch für die Veröffentlichungen der ausgespähten Daten ein gekapertes twitter-Account eines auf der Plattform „YouTube“ aktiven Künstlers. Zur Anonymisierung seines Internetanschlusses bei den unberechtigten Veröffentlichungen habe der Beschuldigte einen sogenannten VPN-Dienst verwendet.

Derzeit Auswertung sichergestellter Beweismittel

Der Beschuldigte sei am 7. Januar 2019 durch den sachleitenden Oberstaatsanwalt und Beamte des Bundeskriminalamts vernommen worden: Er habe die gegen ihn erhobenen Vorwürfe umfassend eingeräumt und über eigene Straftaten hinaus Aufklärungshilfe geleistet. Mangels Haftgründen sei der Beschuldigte in den Abendstunden des 7. Januar 2019 auf freien Fuß gesetzt und die vorläufige Festnahme aufgehoben worden.
Die im Rahmen der Durchsuchungsmaßnahme sichergestellten Beweismittel, insbesondere Computer und Datenträger, würden derzeit umfassend ausgewertet. Aufgrund der Angaben des Beschuldigten hätten ein zwei Tage vor der Durchsuchung beiseite geschaffter Computer und ein Daten-Backup bei einem Sharehosting-Dienst aufgefunden und sichergestellt werden können.

Bislang keine Hinweise auf eine Beteiligung Dritter

Im Rahmen der Vernehmung habe der Beschuldigte angegeben, bei den Datenausspähungen und den unberechtigten Datenveröffentlichungen allein agiert zu haben.
Die Ermittlungen hätten „bislang keine Hinweise auf eine Beteiligung Dritter“ ergeben. Zu seiner Motivation habe der Beschuldigte angegeben, aus Verärgerung über öffentliche Äußerungen der betroffenen Politiker, Journalisten und Personen des öffentlichen Lebens gehandelt zu haben.

The post 20-jähriger Tatverdächtiger im orbit-Fall appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

[datensicherheit.de, 09.01.2019] Der jüngste, medienwirksame und in der Nacht auf den 4. Januar 2019 bekannt gewordene Datendiebstahl war offensichtlich kein Einzelfall – tagtäglich fänden Tausende, teilweise hochprofessionelle Cyber-Angriffe auf Privatpersonen, Unternehmensnetzwerke und Institutionen statt und bedrohten Existenzen bis hin zu politischen Systemen, warnt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats Deutschland e.V. in einer aktuellen Stellungnahme.

Politik zum gezielten, nachhaltigen Handeln aufgerufen

„Tagtäglich werden diese Angriffe gefahren und verursachen jährlich Schäden in Milliardenhöhe oder vernichten Existenzen. Keine Behörde wird leider diese Vielzahl an Cyber-Attacken auf allen gesellschaftlichen Ebenen abstellen können“, so Dünn.
Die Politik müsse dieses Thema deutlich ernster nehmen und eigene Vorgaben auch umsetzen. Dünn: „Das bedeutet aber nicht, jetzt in Aktionismus zu verfallen, sondern nachhaltig vorzugehen. Dazu gehört auch die Entwicklung und Umsetzung praxisnaher Bachelor- und neuer, bedarfsgerechter Master-Studiengänge und Ausbildungsmodule, um dem Fachkräftemangel entgegenwirken zu können.“

Schwachstelle Mensch: Cyber-Hygiene betreiben!

Bei einem Angriff auf Kritische Infrastrukturen (Kritis) wie Stadtwerke oder Krankenhäuser würden lebensbedrohende Situationen die Folge sein. Cyber-Kriminelle richteten sich dabei nicht nach Zuständigkeiten oder Organigrammen von Sicherheitsbehörden, sondern wählten den für sie bestmöglichen Zugang in die IT-Infrastruktur, oftmals über die Schwachstelle Mensch.
„Ein jeder von uns ist also gefordert, sich für die Gefahren zu sensibilisieren und sich ein entsprechend hohes Level an Cyber-Hygiene anzueignen“, betont Dünn. Dazu gehörten etwa sichere Passwörter, die Anwendung der Zwei-Faktor-Authentifizierung oder eine sichere Browser-Konfiguration. „Solange wir uns nicht für ein hohes Schutzniveau einsetzen, werden wir angesichts des asymmetrischen Settings im Cyber-Raum von den Cyber-Kriminellen die Getriebenen bleiben“, folgert der Präsident des Cyber-Sicherheitsrats Deutschland.

Weitere Informationen zum Thema:

Cyber-Sicherheitsrat Deutschland e.V.
Präsident Hans-Wilhelm Dünn bewertet Datenleakvorfall in aktuellem Report München

The post orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Bitkom-Erkenntnisse auf Basis einer repräsentativen Umfrage unter mehr als 1.000 Internetnutzern in Deutschland

[datensicherheit.de, 09.01.2019] Nach Erkenntnissen des Digitalverbands Bitkom wurde bereits jeder Zehnte online angegriffen oder beleidigt. Datendiebstahl, „Identitätsklau“, Beleidigung oder Betrug – Kriminelle fänden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) sei 2018 Opfer von Cyber-Kriminalität geworden. Das sind einige Ergebnisse einer nach Angaben von Bitkom repräsentativen Umfrage unter mehr als 1.000 Internetnutzern in Deutschland.

Internet als attraktiver Jgdgrund für Kriminelle

Am häufigsten klagen „Onliner“ demnach über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) sei davon betroffen.
„Das Internet ist hochattraktiv für Kriminelle. Mit vergleichsweise geringem Aufwand lassen sich andere Nutzer zum eigenen Vorteil schädigen“, warnt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
So seien im vergangenen Jahr zwölf Prozent der Internetnutzer nach eigenen Angaben beim privaten Einkauf oder Verkaufsgeschäften betrogen worden. Jeder Neunte (11 Prozent) gebe an, dass seine Kontodaten missbraucht worden seien. Nur zwei Prozent berichteten jeweils von „Datenklau“ und Identitätsdiebstahl außerhalb des Internets, den Missbrauch von Kontodaten gebe dort ein Prozent an.

Staatliche Stellen technologisch und personell besser ausstatten!

Internetnutzer hätten aber nicht nur mit Diebstahl oder Betrug zu kämpfen. Jeder Zehnte (10 Prozent) sage, dass er im Internet verbal massiv angegriffen oder beleidigt worden sei. Zum Vergleich: Im analogen Leben habe jeder Vierte damit zu tun (24 Prozent).
Über sexuelle Belästigung im digitalen Raum klagten acht Prozent der „Onliner“. In der Offline-Welt seien nach eigenen Angaben 14 Prozent der Internetnutzer 2018 sexuell belästigt worden.
„Wie im analogen Leben gibt es auch im Internet viele Gefahren. Um Cyber-Kriminalität nachhaltig zu bekämpfen, müssen staatliche Stellen noch besser ausgestattet werden – technologisch und personell“, fordert Dr. Rohleder. Gleichwohl könnten Nutzer schon mit einfachen Maßnahmen Datenmissbrauch oder Identitätsdiebstahl erschweren.

Abbildung: Bitkom e.V.
1.010 Internetnutzer ab 16 Jahren telefonisch befragt

The post Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.

Kai Grunwitz fordert Aufklärung des Falls, statt reflexartig „Schuldige“ zu suchen

[datensicherheit.de, 08.01.2019] Kai Grunwitz, „Senior Vice President EMEA“ bei NTT Security, kommentiert den Fall „orbit“: Dieser aktuelle Hacker-Angriff auf Politiker schlage „hohe Wellen“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei heftig kritisiert worden – doch Datendiebstahl bei Unternehmen, Behörden und Privatpersonen „gehöre leider mittlerweile zum Alltag“.

Diebstahl privater Daten

Grunwitz: „Bevor Schuldige benannt werden, sollte der Angriff zuerst einmal untersucht und aufgeklärt werden. Alle wurden angesichts des Umfangs dieses Angriffs überrascht und haben im ersten Schockzustand dem BSI als prominenteste Stelle reflexartig die Schuld angelastet.
Dabei ist festzustellen, dass keine sensiblen Regierungsdaten gestohlen und veröffentlicht wurden, sondern private“ – und das BSI trage nicht die originäre Verantwortung für den Schutz privater Daten.

Gesellschaft hängt am „Datentropf“

Mit zunehmender Digitalisierung speicherten Bürger, Unternehmen und eben auch Politiker immer mehr Daten: „Unsere Gesellschaft hängt mittlerweile am Datentropf“, so Grunwitz.
Hacker machten sich diese Entwicklung zunutze und erzielten mit ihren Angriffen immer größere Erfolge – angesichts der rapide wachsenden Datenflut, aber vor allem, weil viele Bürger ein immer noch „zu wenig ausgeprägtes Bewusstsein für die Risiken der Internet- oder Social-Media-Nutzung“ hätten.

Zu oft noch unzureichender Grundschutz

Nicht wenige von ihnen nutzten immer noch zu schwache Passwörter oder seien empfänglich für Phishing. Der Einsatz von gefälschten Websites oder E-Mails, um an Daten von Internet-Nutzern zu gelangen, sei besonders erfolgreich in Kombination mit sogenanntem Social Engineering.
Dabei seien nicht nur IT-unerfahrene Menschen gefährdet: NTT Security hat nach eigenen Angaben in einem groß angelegten Versuch festgestellt, dass sogar Manager in Unternehmen, die tagtäglich mit IT umgehen, den Zugriff auf unternehmenskritische Daten innerhalb von nur wenigen Minuten gewährt haben, inklusive User-Namen und Passwörtern – und was bei Managern funktioniert habe, sei auch auf Politiker übertragbar.

Personen des öffentlichen Lebens mit Vorbildfunktion

Politiker seien, genau wie die ebenso betroffenen Prominenten, Personen des öffentlichen Lebens. Ihnen gelte daher besonderes Augenmerk seitens der „Awareness“, denn sie seien aufgrund ihrer Position nicht nur ein beliebtes Angriffsziel von Hackern und damit stärker gefährdet, „sie übernehmen auch eine Vorbildfunktion“, betont Grunwitz:
„Sie tragen eine besondere Verantwortung und können durch ihr Verhalten einen positiven Einfluss auf die Gesellschaft nehmen. Das gilt natürlich auch für die Schärfung des Risikobewusstseins im Umgang mit privaten und anderen sensiblen Daten.“ Nicht strengere Gesetze, sondern mehr Bewusstsein bei Usern sei der Schlüssel, um den wachsenden Datenklau in Schach zu halten – und Politiker und Prominente sollten mit gutem Beispiel vorangehen.

Statt Aktionismus Aufklärung zu Cyber-Risiken!

Statt „rechtlichem Aktionismus“ sollte Aufklärung zu Cyber-Risiken im Vordergrund stehen, fordert Grunwitz: Bewusstseinsbildung schon in Schulen, Förderung alternativer, sicherer Plattformen und mehr Budgets für die Cyber-Abwehr – nur so sei die sichere Digitalisierung unserer Gesellschaft möglich.
Festzuhalten bleibt demnach: Hacker-Angriffe und Datendiebstahl werden nie ganz zu vermeiden sein. „Die Gesellschaft muss sich daran gewöhnen, Aktionismus entsagen und die tägliche ,Awareness‘ in den Vordergrund der Betrachtung rücken“, folgert Grunwitz.

Daten schützen wie die eigene Brieftasche!

Als Vergleich eigne sich hier der Schutz vor Taschendieben: „So wie wir unsere Brieftasche an unsicher geltenden Orten, wie Großstädten, Bahnhöfen oder auf Großveranstaltungen, instinktiv zum Schutz vor Kriminellen verstecken, genauso müssen wir auch unsere privaten Daten ganz selbstverständlich und völlig intuitiv vor Diebstahl schützen.“
Ein ausgeprägtes Risikobewusstsein und mehr Eigenverantwortung seien der Schlüssel zu einem wirksamen Cyber-Schutz sowie existenziell und unverzichtbar in unserer digitalen Welt.

The post orbit-Angriff deckt mangelndes Risiko-Bewusstsein auf appeared first on datensicherheit.de Informationen zu Datensicherheit und Datenschutz.