Die schleswig-holsteinische Behörde hatte 2023 den DSK-Vorsitz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

[datensicherheit.de, 12.01.2021] Das Analystenteam von CybelAngel hat nach eigenen Angaben seinen aktuellen Forschungsbericht „Full Body Exposure“ vorgestellt. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich, so die Warnung.

In Deutschland auf 251 Servern 39.204 frei zugängliche medizinische Aufnahmen

Der Bericht „Full Body Exposure“ basiere auf Untersuchungen von „Network Attached Storage“ (NAS) und „Digital Imaging and Communications in Medicine“ (DICOM), die über sechs Monate hinweg weltweit durchgeführt worden seien. DICOM sei der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwendeten. Die Analysten hätten im Rahmen ihrer Recherche aufgedeckt, daDSGVOss Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich seien – unverschlüsselt und ohne Passwortschutz.
Für den Bericht hätten CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern gescannt. Dabei seien mehr als 45 Millionen medizinische Bilder identifiziert worden, die für jedermann offen zugänglich gewesen seien. Allein in Deutschland hätten die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen gefunden. In Großbritannien seien im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt worden. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglicht hätte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für medizinische Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, stellt David Sygula, „Senior Cybersecurity Analyst“ bei CybelAngel und Autor des Berichts „Full Body Exposure“, klar. Trotzdem sei es ihnen ein Leichtes gewesen, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.
Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssten, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein „gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit“, um Datenpannen in Zukunft zu verhindern.

Medizinische Einrichtungen arbeiten meist mit Netz von Drittanbietern

Die Brisanz des Themas liege unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erläutert Sygula. Die Cloud sei dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Sicherheitslücken stellten in einer solchen Umgebung ein enormes Risiko dar. Dies gelte einerseits für die Personen, deren Daten kompromittiert würden, also die Patienten. Andererseits seien auch Einrichtungen des Gesundheitswesens, welche den Vorschriften zum Schutz der Patientendaten unterlägen, durch die aufgedeckten Sicherheitsmängel gefährdet.

Medizinische Aufnahmen könnten im Darknet zu Höchstpreisen verkauft werden

„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Sygula.
Der Bericht hebe die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug sei ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden könnten.

Wenige Schritte zu mehr medizinischem Datenschutz

Compliance habe im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So seien europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten seien sanktionspflichtig und könnten hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit könnten medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen seien:

• – Lecks bei Dritten identifizieren und stopfen.
• – Cloud-Zugriffe sperren, wo immer es angebracht ist.
• – Daten außerhalb des Netzwerks ausreichend überwachen.

Weitere Informationen zum Thema:

CybelAngel
Full Body Exposure / CybelAngel Analysis of Medical Data Leaks

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

Malwarebytes veröffentlicht aktuellen Cyber-Sicherheitsberichts zu den Auswirkungen von „Covid-19“ auf die Unternehmenssicherheit

[datensicherheit.de, 21.08.2020] Malewarebytes hat nach eigenen Angaben am 21. August 2020 seinen aktuellen Cyber-Sicherheits-Bericht 2020 veröffentlicht. Die Analysen der Sicherheitsforscher zeigten gravierende Sicherheitslücken und Gefahren für Unternehmen durch Mitarbeiter im Home-Office auf: „Ein Anstieg von 20 Prozent bei Sicherheitsverletzungen, gestiegene Kosten für die Behebung entstandener Schäden, 61 Prozent der befragten Organisationen haben kein Sicherheitskonzept für den Einsatz persönlicher Geräte im Home-Office – seit Beginn der ,Pandemie‘.“ Beispielhaft für die Gefahr für Unternehmen stehe die Zunahme der Verbreitung der Malware „AveMaria“ um über 1.200 Prozent im Vergleich zum Vorjahr, 2019.

Abbildung: Malwarebytes

Malwarebytes‘ neuer Cyber-Sicherheitsbericht „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“

Aktueller Cyber-Sicherheitsbericht kombiniert Telemetrie von Malwarebytes mit Umfrageergebnissen

Die Unternehmen seien nun unter Zugzwang, denn der neue Malwarebytes-Bericht offenbare massive Sicherheitslücken durch Mitarbeiter im Home-Office, so ein Ergebnis einer Umfrage unter Entscheidungsträgern im Bereich IT- und Cyber-Sicherheit – diese lasse auf einen Anstieg von 20 Prozent der Cyber-Sicherheitsverletzungen in Folge des verstärkten Einsatzes von Mitarbeitern im sogenannten Home-Office – „bedingt durch Covid-19“ – schließen.
Nach Angaben von Malwarebytes kombiniert der aktuelle Cyber-Sicherheitsberichts „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“ die Telemetrie von Malwarebytes mit den Ergebnissen einer Umfrage unter 200 IT- und Cyber-Sicherheits-Entscheidungsträgern von kleinen Unternehmen bis hin zu Großkonzernen. Ziel sei es, Sicherheitslücken in der für viele Mitarbeiter ungewohnten neuen Arbeitssituation aufzudecken.

Malwarebytes warnt: 61% der Organisationen fordern Mitarbeiter nicht auf, Sicherheitslösungen auf persönlichen Geräten aufzuspielen

Die Daten zeigten, dass das Potenzial für Cyber-Angriffe und Sicherheitsverletzungen zugenommen habe, seit Organisationen auf ein „Work from Home“-Modell (WFH) umgestiegen sind. 20 Prozent der Befragten gäben an, dass sie seit Beginn der „Pandemie“ mit einer Sicherheitsverletzung durch einen Remote-Mitarbeiter konfrontiert gewesen seien. Das bringe Kosten mit sich: 24 Prozent der Befragten sagten, dass sie für unerwartete Kosten für die Behebung einer Cyber-Sicherheitsverletzung oder eines Malware-Angriffs aufkommen müssten.
Darüber hinaus gäben 28 Prozent der Befragten an, auch persönliche Geräte zu nutzen, was neue Möglichkeiten für Cyber-Angriffe eröffne. Diese Zahl werde noch problematischer beim Blick auf einen weiteren Umfragewert, „der zeigt, dass 61 Prozent der befragten Organisationen ihre Mitarbeiter nicht dazu auffordern, Sicherheitslösungen auf ihren persönlichen Geräten zu verwenden“.

Malwarebytes-CEO: Unternehmen noch nie einem größeren Risiko ausgesetzt als jetzt!

„Der grundlegende Wechsel zur Arbeit im Home-Office hat die Notwendigkeit eines umfassenden Sicherheitskonzepts sowie von IT-Anleitungen und Schulungen zur Vermeidung von Sicherheitsverletzungen dramatisch unterstrichen. Viele Organisationen haben die Lücken in ihren Cyber-Sicherheitsplänen nicht behoben, als sie zu einer Remote-Belegschaft übergingen und mit Sicherheitsproblemen als Folge“, berichtet Marcin Kleczynski, „CEO“ und Mitbegründer von Malwarebytes.
Die Verwendung von mehr, oft unautorisierten Geräten offenbare die „dringende Notwendigkeit“ nicht nur eines vollständigen, mehrstufigen Sicherheitsmodells, sondern auch neuer Richtlinien für die Arbeit von zu Hause aus. „Unternehmen waren noch nie einem größeren Risiko ausgesetzt als jetzt und Hacker werden immer aktiver“, warnt Kleczynski.

Malwarebytes-Sicherheitsforscher: Spezialisierung der Cyber-Kriminellen

In Bezug auf die Bedrohungslandschaft beobachten Sicherheitsforscher von Malwarebytes demnach, dass Cyber-Kriminelle sich darauf spezialisiert hätten, unsachgemäß gesicherte Firmen-VPNs, cloudbasierte Dienste und geschäftliche E-Mails auszunutzen. Auch die Zahl von Phishing-E-Mails, die „Covid-19“ als Köder benutzten, sei stark angestiegen. Diese E-Mails enthielten Malware wie „AveMaria“ und „NetWiredRC“, die einen Remote-Desktop-Zugriff, eine Steuerung der Webcam, Passwortdiebstahl und mehr ermöglichten.
Daten von Malwarebytes zeigten, dass „AveMaria“ von Januar bis April 2020 einen „enormen Anstieg von 1.219 Prozent“ verzeichne. Danach ziele „AveMaria“ vor allem auf große Unternehmen ab. „In ähnlicher Weise beobachten die Sicherheitsforscher bei NetWiredRC einen 99-prozentigen Anstieg von Januar bis Juni 2020, wobei hier in erster Linie kleine und mittelständische Unternehmen im Visier waren.“

Direktor der Malwarebytes Labs: Bedrohungsakteure passen sich schnell an

„Die Bedrohungsakteure passen sich schnell an, um neue Wege zu finden, aus der neuen Arbeitssituation Kapital zu schlagen“, führt Adam Kujawa, Direktor der „Malwarebytes Labs“, aus. Man habe einen erheblichen Anstieg von Angriffen auf Cloud- und Kollaborationstools beobachtet. Kujawa: „Dies zeigt uns, dass wir die Cyber-Ssicherheit in Bezug auf diese Tools sowie die Schwachstellen bei der Arbeit in verteilten Umgebungen neu bewerten müssen, um Bedrohungen wirksamer einzudämmen.“
Trotzdem schienen die Unternehmen ein hohes Maß an Vertrauen in den Übergang zur Heimarbeit zu haben, denn rund drei Viertel (73,2 Prozent) der Befragten bescheinigten ihren Organisationen bei der Vorbereitung auf den Übergang zum WFH eine Punktzahl von sieben oder mehr (Skala 1-10; 10 Maximalpunktzahl). Im Zuge der Verlagerung ins Home-Office allerdings führten 45 Prozent der Organisationen nicht die notwendigen Sicherheits- und Online-Datenschutzanalysen von Software-Tools durch. Zwar stellten 61 Prozent der Organisationen ihren Mitarbeitern bei Bedarf Geräte für die Arbeit zur Verfügung, allerdings hätten 65 Prozent keine entsprechende Virenschutzlösung für diese Geräte installiert.

Weitere Informationen zum Thema:

Malwarebytes, 21.08.2020
Enduring from home / COVID-19‘s impact on business security

datensicherheit.de, 19.08.2020
Mittelstand im Home-Office: 5 IT-Sicherheits-Tipps / Yuriy Yuzifovich gibt Hinweise, wie auch ohne eigene IT-Abteilung Sicher im Home-Office gearbeitet werden kann

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

datensicherheit.de, 11.07.2020
Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken / Gerald Beuchelt plädiert für zielgruppenorientierte regelmäßige Vermittlung von Grundlagen der IT-Sicherheit

Prof. Ulrich Kelber begrüßt Evaluierungsbericht der Europäischen Kommission zur DSGVO

[datensicherheit.de 28.06.2020] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt nach eigenen Angaben den Evaluierungsbericht der Europäischen Kommission zur Datenschutz-Grundverordnung (DSGVO): Dieser Bericht sei ein wichtiger Schritt zur weiteren Vereinheitlichung und verbesserten Durchsetzung des Datenschutzes.

Foto: Bundesregierung/Kugler

Professor Ulrich Kelber: DSGVO weltweit als Vorbild für neue gesetzliche Regelungen etabliert

Wichtigste Zielsetzungen der DSGVO erreicht

„Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotenzial. Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert“, bilanziert Professor Kelber.

Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden

Wesentliche Kernaussagen ihrer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz fänden sich auch im Bericht der Kommission. „Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Europäische Kommission äußert sich nicht zu Scoring und Profiling

Der BfDI führt weiter aus: „Es war abzusehen, dass der Gesetzestext der DSGVO nach derzeitigem Stand nicht geändert werden soll. Kritisch sehe ich hingegen, dass die Europäische Kommission sich zu einigen Herausforderungen für den Datenschutz nicht äußert, wie zum Beispiel zum Thema ,Scoring‘ und ,Profiling‘“.

Besondere Schutzmaßnahmen bei Datenübermittlung in Drittstaaten gefordert

Die Europäische Kommission fordere in ihrem Evaluationsbericht außerdem den Europäischen Datenschutzausschuss (EDSA) auf, die Arbeiten zu bestimmten Themen zu intensivieren. Dazu zählten beispielsweise die Leitlinien für besondere Schutzmaßnahmen bei der Datenübermittlung in Drittstaaten oder die inhaltlichen Abstimmung bei der Genehmigung sogenannter Binding Corporate Rules. Der EDSA habe bereits vor Veröffentlichung des Berichts und trotz der „Corona-Pandemie“ seine Arbeiten mit Nachdruck vorangetrieben.

Datenschutzaufsichtsbehörden müssen angemessen ausgestattet sein

Das Dokument enthält demnach auch eine der Kernforderungen des BfDI: „Die Datenschutzaufsichtsbehörden müssen finanziell, personell und technisch angemessen ausgestattet werden. Es ist Zeit, dass die verschiedenen Regierungen endlich handeln“, betont Professor Kelber.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt / Prof. Dr. Johannes Caspar kritisiert „verpasste Chance zum Nachsteuern“

Zeit und Geld in erster Linie in die Verbesserung der technischen Sicherheit investieren und erst dann Angestellte schulen

[datensicherheit.de, 12.06.2020] Bekanntermaßen sind gefälschte E-Mails noch immer das Medium der Wahl für Cyber-Kriminelle, um sich vertrauliche Daten zu erschleichen oder Schadprogramme einzuschleusen. Einige Unternehmen versuchen daher, die Resistenz ihrer Mitarbeiter gegen solche Angriffe mit Hilfe von Phishing-Kampagnen zu prüfen und vermeintlich zu verbessern – hierzu werden den Angestellten bewusst simulierte Phishing-Mails geschickt. Ein aktueller Bericht von Wissenschaftlerinnen des Karlsruher Instituts für Technologie (KIT) und der Ruhr Universität Bochum beleuchtet Phishing-Kampagnen unter den Aspekten „Security, Recht und Faktor Mensch“.

Foto: Amadeus Bramsiepe, KIT

Öffnen oder nicht? Absender von Phishing-Mails geben sich oft als bekannte Dienstleister oder Kollegen aus!

Phishing: E-Mails haben Anschein hoher Glaubwürdigkeit

Solche gefälschten E-Mails haben den Anschein hoher Glaubwürdigkeit, denn deren Absender geben sich als bekannte Dienstleister, Kollegen oder Vorgesetzte aus. Das Ziel der cyber-kriminellen Absender ist klar: Arglose Empfänger sollen dazu verleitet werden, auf einen Link zu klicken, um in der Folge Kontodaten und Passwörter abzufischen oder Schadprogramme aufzuspielen.
Das KIT warnt: Es genüge, dass ein einzelner Angestellter einem Phishing-Angriff Glauben schenkt, um großen Schaden zu verursachen. Um zu testen, wie ihre Mitarbeiter auf Phishing-Mails reagieren, nutzten manche Firmen und Institutionen Phishing-Kampagnen externer Dienstleister. Mit Wissen der Unternehmensleitung würden fingierte Phishing-Mails an die Angestellten geschickt.

Phishing: Abwehr-Kampagnen müssen rechtlich, sicherheitstechnisch und ethisch vertretbar sein

„Die Kampagnen haben das Ziel, Mitarbeiterinnen und Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen, aber es herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist“, so die Professorinnen Melanie Volkamer, Leiterin der Forschungsgruppe „SECUSO – Security, Usability and Society“ am KIT, und Franziska Boehm vom Zentrum für Angewandte Rechtswissenschaft des KIT gemeinsam mit der Bochumer Professorin für „Human-Centred Security“ am Horst-Görtz-Institut für IT Sicherheit, M. Angela Sasse.
Ihr online frei zugänglicher Forschungsbericht beschreibt demnach verschiedene Gestaltungsformen und -ziele von Phishing-Kampagnen und damit verbundene Fragen im Kontext von IT- und Informationssicherheit, Fragen zum Arbeitnehmer- und Datenschutz sowie Fragen der Vertrauenskultur und der Selbstwirksamkeit von Angestellten. Er nehme die Aussagekraft und Fallstricke der Kampagnen in den Blick und biete Information unter anderem für IT- und Informationssicherheitsbeauftragte.

Phishing-Kampagnen bringen auch Sicherheitsprobleme mit sich

„Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen“, erläutert Professorin Boehm, die neben ihrer Professur am KIT auch Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) am FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur ist.
„Eine Kampagne zu starten ohne die Angestellten vorher darüber aufzuklären, ist schlicht unfair und trägt nicht zum Vertrauen in die Leitung bei“, betont Professorin Sasse, die am Exzellenzcluster „Cyber-Sicherheit im Zeitalter großskaliger Angreifer“, kurz CASA, forscht und Abschlüsse in Arbeitspsychologie und Informatik hat. Zu erfahren, dass man auf Phishing-Nachrichten hereingefallen ist, wirke sich schlecht auf die Selbstwirksamkeit aus: „Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation, sie bemühen sich nicht einmal mehr, Phishing-Nachrichten zu erkennen“, warnen die Autorinnen.

Phishing: Meldepflicht für IT-Sicherheitsvorfälle vor Abwehr-Kampagne etablieren

„Wenn die Mitarbeiter aber wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt“, weiß Professorin Volkamer zu berichten, die am Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) Karlsruhe forscht, einem von deutschlandweit drei Kompetenzzentren für Cyber-Sicherheit.
Verstärkt werde das Problem, wenn ein Mitarbeiter merkt, dass er doch einen gefährlichen Link angeklickt hat und sich nicht traut, dies zu melden. Im Unternehmen sollte deshalb vor Start einer Phishing-Kampagne bereits eine Meldepflicht für IT-Sicherheitsvorfälle etabliert sein, betont die Informatikerin.

Phishing: Abwehr-Kampagnen könnten IT-Sicherheit negativ konnotieren

Bei einer angekündigten Kampagne sei zu erwarten, dass die Mitarbeiter weitaus mehr Nachrichten kritisch hinterfragen und übervorsichtig sein würden, dadurch könne sich der Zeit- und Leistungsdruck erhöhen, was sich ebenfalls negativ auf das Vertrauen in die Geschäftsleitung auswirke. „Security wird meist ohnehin als lästig und störend empfunden, aus unserer Sicht ist es ein großes Problem von Phishing-Kampagnen, dass sie das Thema noch negativer belegen, denn letztlich greift dabei die Leitung ihre Angestellten an“, führt Professorin Sasse aus.
Die Autorinnen raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren und erst dann die Angestellten zu schulen, welche Phishing-Nachrichten sie trotz der aktuellen Sicherheitssoftware und des neuesten Betriebssystems dann noch erreichen können – und wie sie diese erkennen.

Weitere Informationen zum Thema:

KIT, 12.05.2020
Phishing-Kampagnen zur Mitarbeiter-Awareness : Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch / Volkamer, Melanie; Sasse, Martina Angela; Boehm, Franziska

Ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills bei CISOs gefragt

[datensicherheit.de, 13.05.2020] Das Unternehmen Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft „Building the Future of Security Leadership“ (Aufbau künftiger Sicherheitsexperten). Dieser Bericht enthält exklusive Erkenntnisse und umsetzbare Empfehlungen für Unternehmen, damit diese ihre größte Herausforderung meistern können – die Einstellung, Bindung und Weiterentwicklung der nächsten Generation von Sicherheitsexperten. Entwickelt wurde der Bericht in Zusammenarbeit mit dem Client Advisory Council von Kudelski Security, einer Expertenkommission für Cybersicherheit bestehend aus Informationssicherheitsexperten von internationalen Unternehmen.

Gefragte Eigenschaften von CISOs

Im Bericht werden verschiedene Trends aufgezeigt, welche die Suche und Bindung qualifizierter Chief Information Security Officer (CISOs) und deren Mitarbeiter zu einer Herausforderung machen – eine Herausforderung, die durch die neuen standortunabhängigen Arbeitsumgebungen noch verschärft wird. Erfolgreiche CISOs sollten zum Beispiel über ein ausgeglichenes Verhältnis an technischen Kompetenzen und Soft Skills wie Kommunikationsfähigkeit, Aufbau von Beziehungen sowie die sogenannte Executive Presence verfügen. Der Bericht zeigt jedoch, dass eine solche Mischung nur extrem selten anzutreffen ist. CISOs benötigen diese Soft Skills, um neue Geschäftsmodelle effektiv umsetzen zu können, die wahrscheinlich auch nach Abklingen der aktuellen Krise auf standortunabhängiges Arbeiten setzen werden.

„Internationale Unternehmen müssen die neue Rolle des CISO jetzt mehr denn je verstehen, um Bedrohungen einen Schritt voraus zu sein und wettbewerbsfähig zu bleiben“, so Andrew Howard, CEO von Kudelski Security. „Wir sind fest davon überzeugt, dass die Cybersicherheitsbranche vom Austausch zwischen erfahrenen Experten profitieren kann. Die Mitglieder unseres Kundenbeirats haben unseren Kunden wertvolle Erkenntnisse geliefert und wir freuen uns, dass wir diese der breiten Sicherheits-Community zur Verfügung stellen können.“

Führungskräfte in der IT-Sicherheit gefragt, © Kudelski Security

Der Bericht enthält praktische Hinweise und Erkenntnisse für drei Hauptakteure: CISOs, angehende Sicherheitsexperten und Recruiter für Führungskräfte. Für die einzelnen Gruppen ergeben sich die folgenden wichtigen Erkenntnisse:

• CISOs: Angesichts der wachsenden Verantwortlichkeiten in ihrem Zuständigkeitsbereich sollten CISOs die Cybersicherheit in Rollen einbetten, die sie normalerweise nicht einschließen, sodass die Aufrechterhaltung und der Ausbau der Cyber-Resilienz zu einer organisationsweiten Verantwortung werden. Auf die Frage nach wichtigen Fähigkeiten von CISOs sahen 82 Prozent der Befragten die Kommunikationsfähigkeiten als kritisch an, während nur 52 Prozent der Meinung sind, dass praktische Erfahrungen in Technologien entscheidend sind.
• Angehende Sicherheitsexperten: Alle Experten, die die Position eines CISOs anstreben, sollten sich in der Branche einen Namen machen. Zudem sollten sie sich dauerhaft und bewusst um den Aufbau einer Reputation sowie mehr Präsenz in sozialen Medien bemühen. Auch wenn die meisten Befragten (29 Prozent) angaben, dass Positionen im Bereich Governance, Risk und Compliance die besten Vorstufen auf dem Weg zur Rolle des CISO sind, gibt es verschiedenste Rollen, die ebenfalls zu diesem Karriereziel führen. Im Bericht werden diese Rollen ausführlich untersucht.
• Recruiter für Führungskräfte: Durchweg alle befragten CISOs rieten Personaler, sich bei ihrer Suche nicht nur auf ihre eigene Branche zu beschränken. Das gilt besonders, wenn diese beim Thema Cybersicherheit im Rückstand ist. Fast die Hälfte der Befragten in den USA und 92 Prozent der Befragten in Europa gab an, dass die Einstellung eines CISO durchschnittlich sechs bis zwölf Monate dauert. Angesichts dieser beträchtlichen Zeitspanne sollten Recruiter für Führungskräfte in der Zwischenzeit einen Virtual CISO (vCISO) anstellen. Um die Risiken im Zusammenhang mit hoher CISO-Fluktuation und Entschädigungszahlungen zu minimieren, sollten sie bei Einstellungen weiterdenken und einen Talentpool fördern, der an Orten wie Universitäten, Technikschulen und dem Militär ansetzt.

Zusätzlich zu den Beiträgen der Mitglieder des Kundenbeirats von Kudelski Security stützt sich der Bericht auf Interviews und Umfragen, die im vorigen Jahr in den USA und Europa mit mehr als 110 CISOs von weltweit führenden Unternehmen geführt wurden. Der Kundenbeirat liefert Erkenntnisse und Anleitungen zu Lösungen, die Kudelski Security seinen Kunden bereitstellt. Zu den Mitgliedern des Beirats zählen Sicherheitsexperten der obersten Management- und VP-Ebene aus Unternehmen wie Aaron‘s, Inc., AES Corporation, BKW, Blue Cross Blue Shield, BNP Paribas, Capital One, Technicolor, Urenco und Zebra Technologies.

In zwei Webinaren von Kudelski Security am 14. Mai und 28. Mai sprechen die Advisory CISOs von Kudelski Security Joe Bennett (früher CISO bei Hertz) und Jason Hicks (früher CISO bei Ares Management) sowie der Digital Security CISO-as-a-Service Youssef Mahraoui über die wichtigsten Erkenntnisse im Bericht und beantworten Fragen zu den verschiedenen Karrieremöglichkeiten, mit denen die Position des CISO erreicht werden kann.

Weitere Informationen zum Thema:

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (14. Mai 2020)

Kudelski Security
Webinar: The Path to Becoming a CISO: 5 Things to Consider; 5 Mistakes to Avoid (28. Mai 2020)

Kudelski Security
Addressing the Security Leadership Talent Gap (Vollständiger Bericht)

Datendiebstahl, Cyber-Spionage sowie disruptive und destruktive Bedrohungen

[datensicherheit.de, 21.08.2019] Der Gesundheitssektor sieht sich laut FireEye „mit einer Reihe von Cyber-Angriffen und Bedrohungen mit bösartiger Malware konfrontiert“. Angesichts der sensiblen Daten in der Gesundheitsbranche und der wichtigen Rolle der Gesundheitsbranche für die Gesellschaft sei das Risiko für bösartige Bedrohungen in diesem Sektor besonders groß. FireEye hat am 21. August 2019 einen Bericht veröffentlicht, der nach eigenen Angaben zeigt, „dass chinesische Hacker-Gruppen – darunter auch die gerade erst neu angekündigte Gruppe ,APT41‘ – Angriffe im Gesundheitswesen vornehmen“. Zudem gebe er einen Überblick über die drei am häufigsten verwendeten Arten von Bedrohungen, die gegen Gesundheitsorganisationen eingesetzt werden: Datendiebstahl, Cyber-Spionage sowie disruptive und destruktive Bedrohungen.

Abbildung: Screenshot

FIREEYE veröffentlicht Bericht „Beyond Compliance: Cyber Threats and Healthcare“

Medizinische Forschungseinrichtungen im Visier

Medizinische Forschungseinrichtungen – insbesondere solche, die sich auf die Krebsforschung konzentrieren – sind demnach eines der Hauptziele von mehreren Cyber-Spionagegruppen (darunter „APT41“ und „APT22“). Ziel sei es wohl, „Wettbewerbsvorteile zu erlangen, um Medikamente schneller herstellen zu können“.

Gesundheitsbezogenen Datenbanken auf dem Schwarzmarkt

Es gebe eine große Anzahl von gesundheitsbezogenen Datenbanken, die online verkauft würden – die meisten für unter 2.000 US-Dollar (basierend auf einer Stichprobe der letzten sechs Monate). Das Gesundheitswesen insgesamt sei „eine der Branchen, die am häufigsten erneut Ziele von Bedrohungen werden“.

Weitere Informationen zum Thema:

FIREEYE, 2019
Beyond Compliance: Cyber Threats and Healthcare

datensicherheit.de, 03.07.2019
Gesundheitswesen: Datenschutz und Verschlüsselung mangelhaft

datensicherheit.de, 30.06.2019
Digitalpolitik: Kurswechsel im Gesundheitswesen gefordert

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

Malwarebytes veröffentlicht Bericht „Cybercrime tactics and techniques: Q2 2019“

[datensicherheit.de, 11.08.2019] Sicherheitsforscher von Malwarebytes haben am 8. August 2019 ihren Quartalsbericht zu den zwischen April und Juni 2019 verzeichneten Cybercrime-Taktiken und -Techniken veröffentlicht. Der komplette englischsprachige Bericht „Cybercrime tactics and techniques: Q2 2019“ steht zum Download bereit. Diese Sonderausgabe des vierteljährlichen Berichts zeigt laut Malwarebytes die Entwicklung der Ransomware-Angriffe auf: Demnach sind deutsche Unternehmen mit einer 85 prozentigem Zunahme konfrontiert – der Fokus liege auf Software und Technologiefirmen.

Abbildung: Malwarebytes

Quartalsbericht zu den zwischen April und Juni 2019 verzeichneten Cybercrime-Taktiken und -Techniken

Verschiebung der Ransomware-Angriffe von Endverbrauchern auf Organisationen, Unternehmen und Gemeinden

Malwarebytes hat die Ergebnisse seines Sonderberichts zu Cybercrime-Taktiken und -Techniken des zweiten Quartals 2019 mit einer speziellen Ransomware-Retrospektive präsentiert. „Der detaillierte Bericht untersucht die komplette Verschiebung von Ransomware-Angriffen von Endverbrauchern auf Organisationen, Unternehmen und Gemeinden und analysiert Angriffsmethoden sowie Trends in verschiedenen Regionen, um einen beispiellosen Einblick in den Ansatz von Ransomware zu erhalten.“

Ransomware macht mehr Schlagzeilen als je zuvor

„Wir konnten in diesem Jahr feststellen, dass Ransomware mehr Schlagzeilen macht als je zuvor. Ransomware feiert ein Wiederaufleben und zielt speziell auf große, schlecht vorbereitete öffentliche und private Organisationen sowie leicht anzugreifende Schwachstellen von Städten, gemeinnützige Organisationen oder Bildungseinrichtungen“, berichtet Adam Kujawa, Direktor der Malwarebytes Labs.

Insbesondere KRITIS muss sich gegen Ransomware-Bedrohung wappnen

Kujawa betont: „Besonders kritische Infrastrukturen müssen sich anpassen und gegen diese Bedrohungen wappnen, da sie zunehmend Ziel von Cyber-Kriminellen werden, was allen Menschen, die von öffentlichen Diensten abhängig sind und diesen Einrichtungen im Umgang mit ihren Daten vertrauen, große Sorgen bereitet.“

Auswahl einiger Haupterkenntnisse des aktuellen Malwarebytes-Reports:

• Die Gesamtzahl an Ransomware-Erkennungen, „die auf Unternehmen zwischen dem zweiten Quartal 2018 und dem zweiten Quartal 2019 abzielten“, seien um 363 Prozent gestiegen.
• Von 2018 bis 2019 sei die Gesamtzahl an Bedrohungen, „die sich an große bis hin zu kleinen Unternehmen richteten“, um 235 Prozent gestiegen, wobei Ransomware einen wesentlichen Beitrag daran ausmache.
• Kommunen, Bildungseinrichtungen und Gesundheitsorganisationen seien zu Hauptzielen geworden, „wahrscheinlich aufgrund der bestehenden Infrastruktur, veralteter Hard- und Softwareanwendungen und fehlender Sicherheitsfinanzierung in diesen Sektoren“.
• Zu den wichtigsten Ransomware-Familien hätten im Q2/2019 gehört: „GandCrab“, „Ryuk“, „Troldesh“, „Rapid“ und „Locky“. Bei den Ransomware-Erkennungen bei Unternehmen habe es einen stetigen Anstieg von Ransomware-Familien gegeben, insbesondere bei „Ryuk“ und „Phobos“. „Die ,Ryuk‘-Erkennungen stiegen im Vergleich zum letzten Quartal um 88 Prozent, während ,Phobos‘ im Vergleich zum ersten Quartal 2019 um 940 Prozent explodierte.“
• Der Aufstieg und kolportierte Rückzug von „GandCrab“ habe zur Entstehung von „Sodinokibi“-Ransomware geführt, „einem weiteren Typ von ,Ransomware-as-a-Service‘ (RaaS) mit ähnlichen technischen Komponenten“.
• Aufteilung der Ransomware nach Ländern: Die USA seien mit 53 Prozent der Erkennungen führend, gefolgt von Kanada mit zehn Prozent und Großbritannien mit neun Prozent. „Kurz dahinter folgen auf den Plätzen die Länder Italien, Frankreich, Russland, Deutschland, Südafrika und Spanien.“
• Im Quartalsvergleich sei in Deutschland die Zahl der erkannten Ransomware-Angriffe im Quartalsvergleich (Q1 gegenüber Q2 2019) um 85 Prozent gestiegen. „Dabei war es vor allem Ransomware vom Typ ,Ryuk‘, der den ,GandGrab‘ in Bezug auf Anstiegszahlen ablöste.“
• Speziell in Deutschland seien die Ransomwaretypen „GandCrab“, „Rapid“ und „Locky“ am weitesten verbreitet gewesen. Mit Blick auf die fünf größten Länder Deutschlands hätten im Q2/2019 vor allem Unternehmen mit Sitz in Nordrhein-Westfalen, Bayern, Hessen und Baden-Württemberg mit Ransomware zu kämpfen gehabt.
• „Beim Blick auf die individuellen Unternehmensbranchen fällt auf, dass in Deutschland vor allem Organisationen aus dem Bereich Technologie und Software, Business Services sowie der Bildungssektor am stärksten von Ransomware im zweiten Quartal 2019 betroffen waren.“

Graphik: Malwarebytes

Top-5-Ransomware-Familien in den fünf größten Bundesländern Deutschlands

Weitere Informationen zum Thema:

Malwarebytes LABS, 08.08.2019
Labs quarterly report finds ransomware’s gone rampant against businesses

Malwarebytes, August 2019
CTNT REPORT / CYBERCRIME TACTICS AND TECHNIQUES: Ransomware Retrospective

datensicherheit.de, 08.08.2019
Ransomware: Das Netzwerk als effektivste Waffe Cyber-Krimineller

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

datensicherheit.de, 24.07.2019
Ransomware: Tipps zur Vermeidung des Digitalen Supergaus

datensicherheit.de, 21.04.2017
Warnung von Malwarebytes vor einer Serie an Malvertising-Angriffen

[datensicherheit.de, 10.06.2019] Mit Hilfe Künstlicher Intelligenz (KI) können sich mobile Roboter in unbekannten Situationen zurechtfinden und so Menschen künftig bei Tätigkeiten in gefährlichen Umgebungen wirksam unterstützen – ob bei Rettungseinsätzen, Löscharbeiten oder Inspektionen in der Tiefsee. Die Potenziale sowie den konkreten Nutzen von KI in diesem Einsatzfeld soll ein aktueller Bericht der „Plattform Lernende Systeme“ anhand von zwei Anwendungsszenarien aufzeigen. Dieser wurde am 6. Juni 2019 vom Karlsruher Institut für Technologie (KIT) vorgestellt. Die Autoren benennen laut KIT zudem technische und gesellschaftliche Herausforderungen sowie Voraussetzungen, die für einen verlässlichen und wirtschaftlichen Einsatz von KI in lebensfeindlichen Umgebungen zu schaffen sind.

Autonomes Lernen in unbekannten Umgebungen bleibt Herausforderung

Mobile selbstlernende Roboter könnten Menschen in Zukunft von gefährlichen oder gesundheitsschädigenden Tätigkeiten entlasten. Zugleich machten sie Einsätze in schwer zugänglichem Gelände wirtschaftlicher oder überhaupt erst möglich.
Für den Einsatz derartiger Lernender Systeme in lebensfeindlichen Umgebungen seien jedoch aus technischer Sicht noch einige Herausforderungen zu bewältigen. Dazu zählt laut KIT das sogenannte autonome Lernen in unbekannten Umgebungen. Zudem gelte es, die Zusammenarbeit der selbstständigen Roboter mit dem Menschen zu gestalten.

Autonome Systemen für den Krisenfall: IT-Sicherheit enorm wichtig

„Der Einsatz von Künstlicher Intelligenz ist mit enormen Chancen für unsere Gesellschaft verbunden. Gerade im Katastrophenschutz, beim Rückbau von Atomkraftwerken oder in maritimen Bereichen sind die Möglichkeiten groß, Fachkräfte mit Hilfe von Künstlicher Intelligenz wirksam zu unterstützen. Deshalb hat die ,Plattform Lernende Systeme‘ eine interdisziplinäre Arbeitsgruppe eingesetzt, die erörtert, wie Lernende Systeme für lebensfeindliche Umgebungen zum Wohle der Menschen entwickelt und eingesetzt werden können“, so Professor Holger Hanselka, KIT-Präsident und Mitglied des Lenkungskreises der „Plattform Lernende Systeme“.
„Gerade bei autonomen Systemen, die wir im Krisenfall einsetzen, wird die IT-Sicherheit enorm wichtig sein. Daher setzt das KIT in seiner Forschung darauf, nicht nur die Außengrenzen eines komplexen IT-Systems zu schützen, sondern auch jedes einzelne Teil, und bringt insbesondere auch seine Expertise in der IT-Sicherheit in die Plattform Lernende Systeme ein.“

2 Anwendungsszenarien: KI im Katastrophenschutz sowie bei Erkundungs- bzw. Wartungsmissionen

Die Arbeitsgruppe „Lebensfeindliche Umgebungen“ zeigt demnach in ihrem Bericht anhand von zwei Anwendungsszenarien auf, wie KI in rund fünf Jahren im Katastrophenschutz sowie bei Erkundungs- und Wartungsmissionen unterstützen kann.
Das Anwendungsszenario „Schnelle Hilfe beim Rettungseinsatz“ illustriere, wie KI-gestützte robotische Systeme die Feuerwehr am Boden und aus der Luft beim Brand einer Chemiefabrik unterstützen könnten. Mit Hilfe von Multi-Sensorik seien die Systeme in der Lage, schnell ein detailliertes Lagebild zu erstellen, eine Kommunikations- und Logistikinfrastruktur für Rettungsarbeiten aufzustellen, Verletzte zu suchen sowie Gefahrenquellen zu identifizieren und einzudämmen.
Im Anwendungsszenario „Unter Wasser autonom unterwegs“ warteten robotische Unterwassersysteme die Fundamente einer Offshore-Windkraftanlage. Sie navigierten selbständig in der Tiefsee, übernähmen die vorgesehenen Planungsschritte und forderten bei Bedarf Unterstützung durch Taucher oder ferngesteuerte Systeme an.

Anforderungen an Lernende Systeme in lebensfeindlichen Umgebungen besonders hoch

„Die Anforderungen an Lernende Systeme sind in lebensfeindlichen Umgebungen besonders hoch: Sie müssen intelligent und zugleich robust sein gegen Extrembedingungen und sich unter unvorhersehbaren Bedingungen selbständig zurechtfinden“, erläutert Jürgen Beyerer, Leiter der Arbeitsgruppe „Lebensfeindliche Umgebungen“ der „Plattform Lernende Systeme“ sowie Leiter des Fraunhofer-Instituts für Optronik, Systemtechnik und Bildauswertung (IOSB) und Professor für Interaktive Echtzeitsysteme am KIT.
„Bis es soweit ist, können KI-basierte Systeme durch Einsatzkräfte ferngesteuert betrieben werden und die gesammelten Daten in die Entwicklung intelligenter Funktionen einfließen. Nach und nach erreichen die Systeme einen immer höheren Autonomiegrad und können sich schließlich durch maschinelles Lernen selbst weiter verbessern“, so Professor Beyerer.

Deutschland bei Entwicklung dieser KI-Systeme gut aufgestellt

Noch seien Lernende Systeme für den Einsatz in lebensfeindlichen Umgebungen ein Nischenmarkt. Deutschland sei bei der Entwicklung dieser KI-Systeme gut aufgestellt. Die Arbeitsgruppe „Lebensfeindliche Umgebungen“ unter der gemeinsamen Leitung von Professor Beyerer und Frank Kirchner (Robotics Innovation Center, Deutsches Forschungszentrum für Künstliche Intelligenz und Universität Bremen) benenne in ihrem Bericht konkrete Gestaltungsoptionen, um die Chancen von Lernenden Systemen in lebensfeindlichen Umgebungen zu nutzen und mit den selbstlernenden Robotern weltweite Märkte zu bedienen:
Diese reichten vom Aufbau geeigneter Infrastrukturen wie zum Beispiel umfassende Datenpools und Referenzplattformen über die Förderung von Innovationen etwa durch Wettbewerbe oder Technologiedemonstratoren bis hin zum Schaffen von Standards für Wirtschaft und Forschung sowie die Flexibilisierung des Beschaffungsmarktes.

Abbildung: KIT

KIT-Anwendungsszenario: „Unter Wasser autonom unterwegs“

Weitere Informationen zum Thema:

Lernende Systeme
KI-Anwendungszenario / SCHNELLE HILFE BEIM RETTUNGSEINSATZ

datensicherheit.de, 21.05.2019
Kryptowährungen und künstliche Intelligenz: Zweite Ausgabe des Deutsch-Französischen IT-Sicherheitslagebilds

datensicherheit.de, 26.09.2018
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien

datensicherheit.de, 24.09.2018
Umfrage: KI schafft über 11 Prozent Wachstum in der Industrie bis 2030

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk

Palo Alto Networks und GoDaddy deaktivierten 15.000 gekaperte Subdomains

[datensicherheit.de, 25.04.2019] Palo Alto Networks hat nach eigenen Angaben am 25. April 2019 „detaillierte Erkenntnisse einer umfassenden Spam-Kampagne“ der Öffentlichkeit vorgestellt. Als Folge dieses Berichts wurden demnach von GoDaddy bereits „mehr als 15.000 nicht legitime Subdomains vom Netz genommen, von denen aus bis zuletzt Spam an Millionen von Menschen versendet wurde“. Um zu verhindern, dass Benutzerkonten kompromittiert werden, empfiehlt das Unternehmen, „alle Konten mit eindeutigen, sicheren Passwörtern zu sichern und eine Zwei-Faktor-Authentifizierung zu implementieren, wann immer sie angeboten wird“.

Gefälschte Empfehlungen von Prominenten

Laut Palo Alto Networks wurden „in gemeinschaftlicher Arbeit“ mit GoDaddy etwa 15.000 Subdomains für den Verkauf zweifelhafter Produkte zur Gewichtsreduzierung und sonstigen „Wunderheilmitteln“ entfernt.
Die Akteure hinter den betrügerischen Websites versuchten, Millionen von Verbrauchern davon zu überzeugen, dubiose Produkte zu kaufen, unterstützt durch gefälschte Empfehlungen von Prominenten wie Stephen Hawking, Jennifer Lopez und Gwen Stefani.

Opfer meldeten sich unwissentlich für teure Warenabonnements an

Die kompromittierten Websites seien in einer Untersuchung durch den Malware-Forscher Jeff White bei der „Unit 42“, dem Anti-Malware-Team von Palo Alto Networks, aufgedeckt worden. White habe eine massive Kampagne untersucht, in der Affiliate-Vermarkter Spam nutzten, um Opfer auf Websites zu schleusen, „wo sie dazu verleitet wurden, sich unwissentlich für teure Warenabonnements anzumelden“.
Er habe das Netzwerk entdeckt, „nachdem er auffallende visuelle Ähnlichkeiten in Templates fand, die zum Aufbau einschlägiger Websites verwendet wurden“. Diese bieten demnach „ein buntes Warenportfolio feil – von Diätpillen über Gehirndopingmittel bis hin zu Cannabidiol-Öl“.

Gestohlene Zugangsdaten für eine Website oft auch für andere passend

GoDaddy habe Ergebnisse von Palo Alto Networks überprüft und festgestellt, dass die Websites auf Subdomains von mehreren hundert Kunden verwiesen hätten, deren Konten durch die Verwendung legitimer Zugangsdaten kompromittiert worden seien.
Die Angreifer hätten sich diese Zugangsdaten höchstwahrscheinlich durch Phishing-Betrug beschafft, wobei Kunden dazu verleitet worden seien, ihre Passwörter anzugeben. Ebenso könnte „Credential Stuffing“ eingesetzt worden sein – Hacker nutzten es hierbei aus, dass Benutzer oftmals dieselben Passwörter verwendeten, um mehrere Konten zu schützen. „Die Hacker nehmen dann die gestohlenen Zugangsdaten für eine Website, um sich auf anderen Websites Zugang zu verschaffen.“

2 Jahre tiefgründige Erforschung der Welt des Affiliate-Marketings

GoDaddy habe die kompromittierten Subdomains nun heruntergefahren, und die betroffenen Kunden dazu veranlasst, ihre Passwörter zurückzusetzen, und sie darüber informiert, dass eine Sicherheitsmaßnahme ergriffen worden sei.
Palo Alto Networks hat „einen detaillierten Bericht über die Untersuchung veröffentlicht“. Darin beschreibe White, wie er im Rahmen einer zwei Jahre dauernden tiefgründigen Erforschung der Welt des Affiliate-Marketings dieses Netzwerk aufgedeckt habe. White beschreibe darin auch, wie er die Infrastruktur des Netzwerks abgebildet und die betrügerischen Subdomains aufgedeckt habe, welche er dann GoDaddy gemeldet habe.

Vorsicht beim Kauf von Waren, die per E-Mail beworben werden

Der Bericht zeige ebenso auf, „wie Opfer mit Spam mit verkürzten Links angesprochen werden, die sie zu Websites mit kompromittierten Accounts leiten“. So gelangten sie wiederum zu den Websites mit zweifelhaften Produkten, die „wundersame Ergebnisse versprechen“.
Palo Alto Networks empfiehlt, „dass Verbraucher bei ähnlichen Online-Betrügereien auf der Hut sein sollten, insbesondere, wenn sie den Kauf von Waren in Betracht ziehen, die per E-Mail beworben werden“. Benutzer sollten alle Produkte, die per E-Mail oder Online-Anzeigen vermarktet werden, auf ihre Legitimität hin untersuchen. Zu den im Forschungsbericht von White hervorgehobenen Produkten habe es bereits mehrere Beschwerden gegeben, die online leicht zu finden seien. Eine gute Faustregel sei das alte Sprichwort: „Wenn es zu gut klingt, um wahr zu sein, dann ist es wahrscheinlich nicht wahr.“

Abbildung: Palo Alto Networks

Dubioser Heilmittel-Vertrieb mit gefälschten Empfehlungen von Prominenten

Weitere Informationen zum Thema:

paloalto NETWORKS, Unit 42, 25.04.2019
GoDaddy Shutter Subdomains Selling Miracles

paloalto NETWORKS, Unit 42, Jeff White, 25.04.2019
Takedowns and Adventures in Deceptive Affiliate Marketing

datensicherheit.de, 21.04.2019
Cybersecurity Business Value Calculator: Wie sich Cybersicherheit für Unternehmen auszahlt

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

datensicherheit.de, 18.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen