PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen

[datensicherheit.de, 12.07.2019] Die PSW GROUP meldet, dass die Verwendung von Keyservern deutliche Schwächen zeige – eine E-Mail-Verschlüsselung mittels „S/MIME“ sei als Alternative besser geeignet. In letzter Zeit seien „gehäuft Probleme bei der Verwendung von PGP und Keyservern“ aufgetreten: Bereits Angriffe mit einfachsten Methoden auf SKS-Keyserver hätten zu Überlastungen geführt und dazu, „dass Schlüssel unbrauchbar wurden“.

© PSW Group

Christian Heutger rät zu E-Mail-Verschlüsselung mittels „S/MIME“

Vermeintliches Gefühl von Sicherheit beeinträchtigt

Die E-Mail-Verschlüsselung per PGP sei durchaus attraktiv: Kostenfrei und mit wenig Aufwand könnten Anwender ihren elektronischen Nachrichten-Verkehr verschlüsseln. Dieses Verfahren habe jedoch deutliche Schwächen, die dazu führten, dass das vermeintliche Gefühl von Sicherheit tatsächlich beeinträchtigt werde.
„Mittels eines ,PGP Key Servers‘ kann jeder Nutzer auf einfache Art ein Schlüsselpaar erstellen. Das allerdings ist das erste Problem: Jeder kann für jeden x-beliebigen anderen Menschen eine Nutzerkennung anlegen, die aus Vor- und Zunamen sowie der E-Mail-Adresse besteht. Eine Identitätsprüfung findet dabei nicht statt“, warnt Christian Heutger, „CTO“ der PSW GROUP.

Keine unabhängige Instanz, sondern andere User prüfen Schlüssel und Identität

Stattdessen verifizierten und bestätigten andere Nutzer die Identität nach dem Ansatz des „Web of Trust“: Durch eine PGP-Signatur bekundeten PGP-Nutzer ihr Vertrauen am öffentlichen Schlüssel. So solle versichert werden, dass dieser Schlüssel zum darin benannten Besitzer gehört. Dabei sei es möglich, in der Signatur den Umfang der Prüfung einfließen zu lassen. Die drei möglichen Grade („gar nicht“, „nur einfach“ oder „sehr genau“) zeigten sich jedoch sehr unpräzise.
Heutger kritisiert: „Richtige Definitionen existieren nicht für diese Prüfungen. Versteht ein User unter ,nur einfach‘ womöglich das telefonische Vorlesen des Fingerabdrucks, verlangt ein anderer Nutzer für dieselbe Stufe eine Ausweiskopie.“ Eine weitere Schwäche dieses Systems: Keine unabhängige Instanz, sondern andere User prüften den Schlüssel und damit die Identität. Die komplette Sicherheit des Verschlüsselungsverfahrens beruhe auf Vertrauens- oder Misstrauensbekundungen der Nutzer untereinander.

Datenschutzrechtliche Fragen der Zulässigkeit von Schlüsselservern

„Es existieren weder inhaltliche noch kryptographische Prüfungen der Daten, die auf den Schlüsselservern landen. Würde etwa ein Schlüssel für ,beispiel [at] psw-group [dot] de‘ ausgestellt werden, muss das nicht bedeuten, dass der Inhaber der E-Mail-Adresse den Schlüssel auch erstellt hat. Jeder könnte diesen Schlüssel erstellen und auf dem Schlüsselserver hochladen“, erläutert Heutger anhand eines Beispiels und macht auf weitere Probleme dieses Konzepts aufmerksam:
„Daten wieder zu löschen, ist in der Praxis nicht vorgesehen. So stellen sich bereits datenschutzrechtliche Fragen der Zulässigkeit von Schlüsselservern. Zudem führt das fast ungeprüfte Hochladen neuer Daten zu möglichen Angriffsszenarien. Und die fehlende Validierung der Daten wiederum eröffnet den Weg für Angriffe – etwa durch absichtlich hervorgerufene Daten-Überlastung.“

Auf Alternative zu PGP umsteigen: z.B. E-Mail-Verschlüsselung mittels S/MIME

Es sei möglich, an einen bestehenden Schlüssel zusätzlich eine Nutzerkennung anzuhängen. Diese könne so groß sein, dass das Kryptographiesystem „GnuPG“ überfordert werde. Der Schlüssel lasse sich dann nicht mehr vom Keyserver herunterladen und mit „GnuPG“ importieren. „Macht man dies im größeren Stil, hängt also mehrere große Nutzerkennungen an einen Schlüssel an, überlastet der Keyserver und ist in der Folge für User nicht mehr erreichbar. Das vergiftet einen Schlüssel und sorgt dafür, dass dieser von niemandem abgerufen werden kann. Als logische Konsequenz lassen sich E-Mails nicht mehr verschlüsseln“, warnt Heutger.
Da bislang keine Lösung für diese Probleme in Sicht sei, rät er auf eine Alternative zu PGP umzusteigen, etwa die E-Mail-Verschlüsselung mittels „S/MIME“. „Zwar sind E-Mail-Zertifikate nicht kostenfrei, dafür bieten sie durch ein Validierungsverfahren höhere Sicherheit. Die Zertifikate lassen sich nicht von jedem bearbeiten. Die Identität des E-Mail-Adressen-Inhabers wird von einem unabhängigen Dritten überprüft, so dass man sichergehen kann, dass signierte E-Mails tatsächlich von dem genannten Empfänger stammen“, so Heutgers Empfehlung.

Weitere Informationen zum Thema:

PSW GROUP, 26.06.2019
Verschlüsselung / Herausforderungen bei der Verwendung von Keyservern

datensicherheit.de, 30.05.2019
Jeder kann sich gegen Überwachung wehren

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 25.04.2014
IT-Sicherheitsrisiken im Mittelstand: PSW GROUP unterstützt neuen Security Performance Index

PSW GROUP Consulting mahnt vor Ausforschung im Alltag und gibt Abwehr-Hinweise

[datensicherheit.de, 30.05.2019] PSW GROUP Consulting mahnt in einer aktuellen Stellungnahme, dass Überwachung uns alle betrifft. Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden sei klar: Jeder könne in einem schier unglaublichen Umfang überwacht und ausspioniert werden, und das nicht nur von der NSA. Auch Unternehmen wie Facebook, Google und Amazon überwachten, „wo es nur geht“.

Überwachung nicht allein im Cyberspace

Die Überwachung fange zwar im Internet an, sei aber nicht auf dieses beschränkt. „Der Datenskandal der Deutschen Post zeigt, dass die Überwacher längst in den eigenen Reihen sitzen. Da wäre die Meldebehörde, die unsere Daten für Parteiwerbung weitergibt, wenn wir nicht widersprechen“, zählz IT-Sicherheitsexperte Christian Heutger von der PSW GROUP Consulting auf.
Heutger führt noch weiter aus: „Oder Reise-Anbieter, die aufgrund bisher gebuchter Reisen neue passende Angebote machen. Oder auch Auskunfteien wie die Schufa, die überlegt hatte, Facebook-Daten für die Schufa-Auskunft mit auszuwerten.“

Überwachung – meist unter dem Deckmantel der „Sicherheit“

„Drohnen, ,Staatstrojaner‘ und Gesichtserkennung in Echtzeit: Regierungen, aber auch Tech-Firmen haben wirklich viele Ideen zur Überwachung – meist unter dem Deckmantel der Sicherheit“, so Heutger. Tatsächlich gebe es zahlreiche Möglichkeiten, Menschen abzuhören und zu überwachen: „Zum Beispiel über die Mikrofone und Kameras auf Rechnern, Smartphones und Tablets, über intelligente Lautsprecher, smarte Autos, Verkehrs- und Überwachungskameras“, warnt Heutger und nennt nur einige von den zahlreichen Beispielen:
„Mobilfunkanbieter übertragen und speichern Daten, die zum Teil in Polizeiakten übertragen werden. Sind Daten bei Unternehmen gespeichert, müssen wir außerdem davon ausgehen, dass auch der Staat darauf zugreifen kann, beispielsweise bei Finanztransaktionen, aber auch auf Kommunikationsinhalte von ungesicherten Messengern, auf die Aufenthaltsorte des Mobiltelefons oder Tablets, auf Fluggastdaten, Suchmaschinenprotokolle, auf Dokumente in ,Google Drive‘, auf Fotos bei ,Flickr‘ und so weiter.“ Auch Verkehrskameras überwachten zum Teil nicht nur den üblichen Verkehrsfluss, sondern könnten ebenfalls zum Bespitzeln herangezogen werden.

Ausweitung der Videoüberwachung im Öffentlichen Raum

Zudem habe Anfang 2017 der Bundestag der Ausweitung der Videoüberwachung im Öffentlichen Raum zugestimmt. So solle es beispielsweise Betreibern von Einkaufszentren oder Sportanlagen einfacher gemacht werden, Überwachungskameras anzubringen. Schon heute dürfe die Polizei dank entsprechender Kameratechnik Kfz-Kennzeichen automatisch auslesen.
Am Bahnhof Südkreuz in Berlin existiere die Videoüberwachung mit Gesichtserkennung bereits. Die Aufnahmen würden direkt mit einer Datenbank abgeglichen. „Wenn die Software eine Person aus der Datenbank mit der am Bahnhof abgleichen kann, schlägt sie Alarm und Beamte dürfen am Bahnhof anrücken.“

Auch in der Wohnung und am Arbeitsplatz…

Heutger fährt fort: „Und damit ist noch längst nicht Schluss. Wir alle können am Arbeitsplatz oder in unserer Wohnung überwacht werden. Wer will, bekommt auch unseren aktuellen Aufenthaltsort heraus. So gibt es zahlreiche Möglichkeiten, Mitarbeiter im Job zu überwachen: Software, die die Eingaben auf der Tastatur aufzeichnet, Überwachung für die E-Mails oder Kameras am Monitor.“
Eine Firma habe grundsätzlich das Recht, zu prüfen, ob die Arbeit nach den Vorgaben und fehlerfrei erledigt wird. Es gebe jedoch Grenzen, „und die sind erreicht, wenn die Persönlichkeitsrechte missachtet werden“. So sei es dem Arbeitgeber untersagt, private E-Mails zu lesen, das private Surfverhalten nachzuverfolgen oder aber Kurznachrichten auf dem Diensthandy einzusehen, informiert Heutger.

IoT-Trend kann sich schnell zur Rundumüberwachung entwickeln

Das Internet der Dinge (auf Englisch: Internet of Things / IoT) bringe zwar manche Erleichterung ins Wohnzimmer – gleichzeitig aber auch rücksichtslose Überwacher. Erst jüngst habe die Sprachassistentin „Alexa“ ein Gespräch eines Ehepaares ohne dessen Wissen aufgezeichnet und dieses an einen Mitarbeiter versendet. Heutger: „Es ist nur ein Beispiel, aber es zeigt, dass der IoT-Trend sich schnell zur Rundumüberwachung entwickeln kann.“
Wer aber darauf achtet, mit welchen Technologien er sein „Smart Home“ steuert, könne IoT indes auch sicher einsetzen. Wichtig dabei sei aber, die Sicherheit des Smartphones nicht zu vergessen. Denn in aller Regel würden IoT-Geräte darüber gesteuert. Die sicherste IoT-Technologie nütze nämlich nichts, „wenn Eindringlinge via Smartphone-Hack ins Eigenheim eindringen“.

GPS-Funktion nur temporär nutzen!

„Via GPS-Funktion im Handy lässt sich sehr sicher der Aufenthaltsort des Besitzers bestimmen“. Deshalb, so Heutger, sollte die GPS-Funktion nur temporär genutzt werden, wenn sie wirklich benötigt wird. Ein noch recht junger Trend seien Drohnen, die mit Kameras ausgestattet sein könnten. Auch Wärmebildkameras seien inzwischen denkbar, die dann sogar einen Blick durch die Wände des eigentlich geschützten Hauses freigeben könnten. „Zwar ist das Befliegen von Privatgrundstücken bzw. das Filmen verboten, aber nicht jeder hält sich dran.“
Es sei inzwischen also immer möglich, irgendwo von irgendjemandem überwacht zu werden. Bürger könnten sich jedoch dagegen wehren – mit verschiedenen Möglichkeiten.

Christian Heutgers Tipps zur Abwehr von Überwachung:

1. Anbieter sorgfältig auswählen!
   Es sei längst kein Geheimnis mehr, dass einschlägige Online-Services mit Daten handelten, überwachten oder mit Geheimdiensten zusammenarbeiteten. Auf der Website „prism-break.org“ ließen sich datenschutzfreundliche und quelloffene Alternativen zu konventionellen Anbietern finden. „Ich rate außerdem, auf europäische Anbieter auszuweichen, da sie der Datenschutz-Grundverordnung unterliegen. Und wer meint, bei ,facebook‘ wäre das nicht möglich, irrt. Die Alternativen heißen ,Diaspora‘, ,MeWe‘ oder ,minds‘“, erläutert Heutger.
2. Verschlüsselung von E-Mails und Datenübertragungen!
   Verschlüsselung funktioniere gegen das Ausspähen. Daher sei es sinnvoll, bei E-Mails immer auf einen Mix aus Transport- und Ende-zu-Ende-Verschlüsselung zu setzen. So seien die Inhalte geschützt und der Transportweg sei gegen Manipulation und Überwachung abgesichert.
3. IP-Adresse verschleiern!
   Um sich im World Wide Web möglichst spurlos zu bewegen, gebe es die Möglichkeit, die IP-Adresse zu verschleiern.
4. Verzicht auf bestimmte Techniken und Dienste!
   Es lohne sich, situativ nachzudenken, welche Technik eingesetzt wird oder eben nicht. Wer kein Krypto-Telefon besitzt, um verschlüsselt zu telefonieren, sollte wichtige Nachrichten oder Geschäftsgeheimnisse nicht am Telefon besprechen. Das gelte auch für E-Mails: Wer diese nicht verschlüsseln kann, sollte andere Kanäle zum Überbringen sensibler Nachrichten und damit zur Vermeidung von Überwachung nutzen. „Notfalls werden brisante Themen nur persönlich besprochen.“
5. Regelmäßige Software-Updates, um Sicherheitslücken zu schließen!
   Starke Passwörter würden helfen, den Zugriff auf Benutzerkonten deutlich zu erschweren. „Jeder muss sich aber auch ein wenig mit der von ihm eingesetzten Technik befassen. Dazu gehört zu wissen, welche Berechtigungen Apps haben, wann zuletzt ein Passwort erneuert wurde, in welchen Netzwerken man aktiv ist und welche Informationen dort geteilt werden“, rät Heutger.

© PSW Group

Christian Heutger: Abwehr von Überwachungsmaßnahmen ist möglich

Weitere Informationen zum Thema:

PRISM BREAK
Hilf mit, die Massenüberwachung ganzer Bevölkerungen unwirtschaftlich zu machen! Wir alle haben ein Recht auf Privatsphäre!
„Hinweis: Die Verwendung der hier empfohlenen Software allein kann keinen 100%igen Schutz vor Überwachung Deiner Kommunikation gewährleisten. Bitte forsche selbst nach, bevor Du dieser Software sensible Informationen anvertraust.“

PSW GROUP CONSULTING – BLOG, 17.04.2019
Big Brother is watching you – wie viel Überwachung können wir ertragen?

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 25.04.2014
IT-Sicherheitsrisiken im Mittelstand: PSW GROUP unterstützt neuen Security Performance Index

Umfangreiche Regelungen für neue, versetzte und ausscheidende Mitarbeiter zu berücksichtigen

[datensicherheit.de, 21.05.2019] Fast jeder kennt diese vordergründig banale Aussage: „Jedes IT-Sicherheitssystem ist nur so gut wie das schwächste Glied der gesamten Kette.“ In den meisten Fällen ist das allerdings der einzelne Mitarbeiter. Das gilt insbesondere bei der Einstellung neuer Belegschaftsmitglieder, aber auch bei deren Austritt. Zum Thema Datensicherheit bei Einstellung und Austritt von Mitarbeitern hat die PSW GROUP Consulting eine übersichtliche Checkliste zusammengestellt – sie steht im PDF-Format zum Download bereit.

Über Strategie zur Informationssicherheit und einzuhaltende Sicherheitsmaßnahmen informieren!

„Neu eingestellte Mitarbeiterinnen und Mitarbeiter müssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch in die unternehmensinternen Gepflogenheiten und Verfahrensweisen. Dazu gehört auch, über die Strategie zur Informationssicherheit und die einzuhaltenden Sicherheitsmaßnahmen zu informieren“, unterstreicht Christian Heutger, „CTO“ der PSW GROUP Consulting.
Neue Mitarbeiter müssten in die wichtigsten IT-Systeme eingewiesen werden, die IT-Verantwortlichen bzw. IT-Ansprechpartner kennenlernen und die Sicherheitsziele des Unternehmens kennen. Zu Beginn eines Arbeitsverhältnisses müsse geklärt werden, worauf ein Mitarbeiter Zugriff erhält.

Rechtezuteilung und -entzug kontrollieren und regeln!

Bei der Rechtezuteilung gelte: „So wenig wie möglich, so viel wie nötig.“ Zu regeln sei auch, welche Daten auf welchen Geräten gespeichert werden dürfen. Heutger: „Hier bieten sich Sicherheitsrichtlinien an, die fürs gesamte Unternehmen verbindlich gelten. Einfacher wird das Ganze, wenn die Informationen in Datenschutzklassen und Verantwortlichkeiten unterteilt werden – beispielsweise in die Klassen Null bis Drei, wobei Daten der Klasse Null keiner Vertraulichkeit unterliegen und die der Klasse Drei höchster Vertraulichkeit“.

© PSW Group

Christian Heutger: Zutrittsregelung auch bei Funktionsänderung von Mitarbeitern anpassen!

Ebenfalls vor dem Eintritt ins Unternehmen sei zu klären, wie mit Daten jedweder Art umgegangen wird. Beispiele seien hier etwa die vertrauliche Vernichtung von sensiblen Daten, die Datensicherung oder das Weiterleiten von Informationen intern sowie extern. Daneben müsse festgehalten werden, „was nach dem Austritt eines Mitarbeiters mit den Daten auf seinem Rechner passiert, wer darauf in welchem Umfang zugreifen darf“.

Sämtliche betrieblichen Dokumente und Informationen unterliegen dem Datenschutz

Im Verlauf eines Arbeitsverhältnisses sammeln sich sehr viele Daten an, die auf Rechnern oder auf externen Tools wie Smartphone, USB-Stick und Tablet gespeichert werden. „Es muss geklärt sein, dass bei Weggang eines Mitarbeiters geschäftliche Daten keinesfalls mitgenommen werden dürfen. Das bedeutet, dass sichergestellt werden muss, dass weder eine Datensicherung, zum Beispiel auf einem USB-Stick, erfolgen darf, noch die Daten auf andere Art in das neue Unternehmen umziehen. Sämtliche Dokumente und Informationen unterliegen dem Datenschutz und sind somit im Unternehmen zu belassen“, verdeutlicht Heutger die Herausforderung.
Der ausscheidende Mitarbeiter sollte zudem verpflichtet werden, alle ihm zur Verfügung gestellten Arbeitsmittel, inklusive externer Speichermedien, bis zum Ende des Arbeitsverhältnisses herauszugeben. „In vielen Unternehmen ist es Mitarbeitern gestattet, private E-Mails auf dem Firmenrechner zu verwalten. Auch hier muss eine klare Regelung darüber her, was mit diesen E-Mails und den gespeicherten Informationen des E-Mail-Accounts nach Ausscheiden des Mitarbeiters geschieht“, gibt Heutger in Hinblick auf das Fernmeldegeheimnis zu bedenken. Denn greift ein Unternehmer ohne Erlaubnis auf das E-Mail-Account eines Ex-Mitarbeiters zu, könne er sich strafbar machen. „Bezüglich der Löschung privater Daten in E-Mail-Accounts, IT-Systemen, Telefonen und so weiter verfassen Unternehmen deshalb idealerweise eine Pflichtenliste“, so der IT-Sicherheitsexperte.

Verschwiegenheit: Auch nach dem Ausscheiden bleiben Erklärungen in Kraft

Ein weiterer wichtiger Punkt sei das Thema Verschwiegenheit: Auch nach dem Ausscheiden eines Mitarbeiters blieben sämtliche Verschwiegenheitserklärungen in Kraft. Keine während der Arbeit erhaltenen Informationen dürften weitergegeben werden. Zudem sollte ausgeschiedenen Mitarbeitern der Zugang zum Firmengelände, vor allem zu den Räumlichkeiten der IT-Sicherheit, untersagt werden.
Heutger führt aus: „Dies gilt übrigens auch bei Funktionsänderung von Mitarbeitern. Dann ist zu prüfen, inwieweit Zutrittsberechtigungen zu bestimmten Räumlichkeiten anzupassen sind.“

Weitere Informationen zum Thema:

PSW CONSULTING
Nutzen Sie unsere Checkliste zur IT-Sicherheit bei Mitarbeitereinstellung und –austritt und seien Sie auf der sicheren Seite.

datensicherheit.de, 17.05.2019
Phishing-Attacken bei WordPress und eBay

datensicherheit.de, 23.04.2019
Sicherheitsforschern gelang Hacker-Angriff auf Klärwerk

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

PSW GROUP fordert besseren Schutz Kritischer Infrastrukturen

[datensicherheit.de, 23.04.2019] Aus aktuellem Anlass weist die PSW GROUP darauf hin, dass eine verschlüsselte Datenübertragung per SSL/TLS „ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens“ ist. Die Einbindung von SSL-Zertifikaten auf Webseiten diene dazu, die zwischen zwei Computern übertragenen Daten zu verschlüsseln und somit vor dem Zugriff Unbefugter zu schützen. „Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen“, warnt Christian Heutger, Geschäftsführer der PSW GROUP. Benutzername und Passwort dürften ausschließlich berechtigen Personen bekannt sein.

Sicherheitsmängel in Industrieanlagen oft gravierend

Zwei Sicherheitsforschern ist es nach Angaben der PSW GROUP gelungen, via Web die komplette Steuerung eines Klärwerks zu übernehmen. Das eingesetzte Prozessleitsystem zur Steuerung der Anlagen war demnach über das Internet erreichbar.
Über ein Web-Interface seien die technischen Details der Industrieanlagen nicht nur abgebildet worden, sondern hätten sich auch noch kontrollieren und steuern lassen. „Solche Systeme sollten aus dem Internet nicht zu erreichen sein. Denn so können Unbefugte Zugriff auf die Administrationsoberfläche erlangen“, warnt Heutger.
Zudem seien die Steuerungsrechner der Anlagen nicht sonderlich leistungsstark. Das mache sie empfindlich für DDoS-Angriffe, bei denen die Rechner übers Internet mit Anfragen überhäuft würden. Heutger: „Sie könnten schnell unter dieser Last zusammenbrechen.“

Einladung an Hacker: Applikation mit vorausgefülltem Nutzernamen

Das viel schwerwiegendere Problem im aktuellen Falle aber war laut der PSW GROUP, dass die Applikation mit vorausgefülltem Nutzernamen arbeitete – „WW“ z.B. habe da für „Wasserwerk“ gestanden. Es sei für die beiden Forscher ein Leichtes gewesen, das Passwort zu erraten und vollen Zugriff auf das Web-Interface zu erlangen:
Spaßeshalber hätten sie „WW“ auch als Passwort eingegeben – und dann nicht schlecht gestaunt, „als sie Zugriff auf alle Details von den Pumpen bis hin zu den Nutzern erhielten“.
Durch Zugriff auf die Nutzerverwaltung wäre es ihnen zudem ein Leichtes gewesen, die Passwörter der User zu ändern und sie so auszusperren, so Heutger. Auch die Bereitschafts-Optionen der Mitarbeiter könnten mit dem Admin-Zugriff geändert werden.

Bundesamt für Sicherheit in der Informationstechnik benachrichtigt

„Durch derartige Zugriffe auf Versorgungsunternehmen, egal ob nun Wasser, Strom oder Telekommunikation, lassen sich umfangreich Daten aus Sensoren auslesen, im Einzelfall könnten Soll-Werte verändert werden, was direkte Auswirkungen auf den eigentlichen Produktions- bzw. Steuerungsprozess hat. Und im schlimmsten Falle könnten Kriminelle die Versorgung einer Stadt oder einer Region unterbrechen“, erläutert Heutger die Dimension solcher Sicherheitslücken.
Glücklicherweise habe es sich nur um einen Test durch Sicherheitsforscher gehandelt. Diese hätten ihren Fund dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, welches den Anlagenbetreiber informierte habe.
Binnen 48 Stunden seien sämtliche Zugänge geschlossen worden. Der Software-Hersteller habe ein Software-Update herausgegeben, welches einige der Kritikpunkte habe beseitigen können. Nun existiere unter anderem eine Passwortrichtlinie, um ein Mindestmaß an Passwortsicherheit garantieren zu können.

© PSW Group

Christian Heutger: Sicherheit von Prozessleitsystemen noch zu oft stiefmütterlich behandelt

Schwachstelle oftmals der Mensch

„Es ist jedoch nicht nur der Software-Hersteller selbst, der umdenken muss. Mit Zwei-Faktor-Authentifizierung und anderen sicherheitsrelevanten Einstellungen sind die meisten Hersteller inzwischen technisch gut aufgestellt. Die Schwachstelle ist oftmals der Mensch selbst“, unterstreicht Heutger.
Denn leider setzten die meisten Betreiber von Klär- und Wasserwerken auf Einfachheit und Komfort. Das seien zwei Attribute, die die Systeme nicht gerade sicher machten. Oftmals zähle für die Anwender solcher Software Bequemlichkeit mehr als Sicherheit.
Von Wasser- und Klärwerken seien indes Millionen von Menschen abhängig. Kostendruck, aber auch Bequemlichkeit und leider häufig auch Ahnungslosigkeit sorgten dafür, „dass vielfach auf ein hohes Maß an Sicherheit verzichtet wird“.

Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS empfohlen

Natürlich müssten Software-Anbieter für ein gewisses Maß an Sicherheit sorgen. Die Angebote dieser Software-Anbieter müssten jedoch auch durch die Betreiber Kritischer Infrastrukturen (KRITIS) angenommen werden.
„Das Thema Sicherheit von Prozessleitsystemen wird zu oft noch stiefmütterlich behandelt. Das verwundert allerdings kaum, denn zahlreiche Wasserversorgungsunternehmen stehen unter personellem und finanziellem Druck“, so Heutgers Einschätzung der Lage.
Immerhin finde nach und nach ein Umdenken statt. Durch die wertvolle Arbeit von Sicherheitsforschern, aber auch durch die Aufgeklärtheit und ein gesteigertes Sicherheitsbewusstsein von Kunden. Mit entsprechenden Awareness-Maßnahmen für Mitarbeiter und Betreiber der KRITIS werde dieses Umdenken anhalten und die Sicherheitsstandards verbessern.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 26.03.2019
Verschlüsselung / Schutz kritischer Infrastrukturen: Klärwerk vollständig gehackt

datensicherheit.de, 27.02.2019
GreyEnergy bedroht Kritische Infrastrukturen

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

Höchste Vorsicht beim Öffnen von E-Mails geboten

[datensicherheit.de, 18.03.2019] Die Gefahr, die von dem Trojaner „Emotet“ ausgeht, ist nach aktuellen Erkenntnissen der PSW GROUP „noch nicht vorüber“. Ganz im Gegenteil: „Die Risiken, die durch den Trojaner entstehen können, werden immer größer, und ,Emotet‘ gilt schon jetzt als eines der gefährlichsten Schadprogramme der Welt“, warnt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP nachdrücklich.

Virenscanner erkennen „Emotet“ oft noch nicht

Erstmal sei „Emotet“ im Dezember 2018 auf den Plan getreten. „Nachdem der Trojaner eine kleine Weihnachtspause eingelegt hat, finden sich jetzt wieder massenhaft Spam-E-Mails mit dem Schädling anbei in zahlreichen Postfächern. Hinzu kommt: Virenscanner erkennen den Trojaner oft noch nicht“, berichtet Heutger.
Auch das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warne erneut vor Spear-Phishing-Attacken mit diesem Trojaner.

„Emotet“ lädt unterschiedliche Schadsoftware nach

„,Emotet‘ ist so gefährlich, weil er unterschiedliche Schadsoftware nachlädt. Bisher handelte es sich ,nur‘ um Banking-Trojaner wie ,Trickbot‘. Der habe es auf Online-Banking-Zugangsdaten abgesehen. Jetzt lädt ,Emotet‘ immer häufiger auch den Verschlüsselungstrojaner ,Ryuk‘ auf befallene Rechner“, so Heutger.
„Ryuk“ verschlüssele Dateien des Rechners. „Findet der Trojaner Backups, fallen auch die ihm zum Opfer“, warnt Heutger: „Ryuk“ lösche diese Dateien dann einfach. Das sei ganz besonders perfide, denn diese Methode diene dazu, die Zahlungsbereitschaft der erpressten Opfer deutlich zu erhöhen.

Opfer erhalten gefälschte Nachrichten von ihnen vertrauten Absendern

„Emotet“ komme gut getarnt in täuschend echt aussehenden Spam-Mails. Die Angreifer achteten dabei sehr genau darauf, E-Mails zu senden, die auf die Zielperson zugeschnitten seien: „Die Opfer erhalten Nachrichten von Absendern, mit denen sie wirklich zuletzt in Kontakt standen. So nutzten die Angreifer bekannte Absender wie die der DHL-Sendungsverfolgung, der Telekom oder Microsoft, um ihre täuschend echt aussehenden Mails zu versenden“, führt Heutger aus.
Die ahnungslosen Nutzer erhielten gefälschte E-Mails, die dem Original zum Verwechseln ähnlich sähen. Meist seien Links und Anhänge enthalten, die dafür sorgten, dass „Emotet“ auf dem Rechner landet. Manchmal, wie bei den falschen Microsoft-Mails, nutzten die Angreifer sogar das Microsoft-Logo. Heutger: „Wer die in den Mails enthaltenen Anhänge öffnet oder auf Links klickt, lädt den Trojaner ,Emotet‘ samt ,Trickbot‘ oder ,Ryuk‘ erfolgreich auf seinen Rechner.“

Schutzmaßnahmen auf organisatorischer und technischer Ebene

Mit einigen Schutzmaßnahmen auf organisatorischer und technischer Ebene reduzierten sowohl Privat- als auch Geschäftsanwender das Infektionsrisiko deutlich: „Sehr wichtig ist, vor allem auf das Nachladen externer Inhalte zu verzichten und stets, auch bei vermeintlich bekannten Absendern, skeptisch gegenüber Anhängen zu sein. Dies gilt insbesondere für ,Office‘-Dokumente. Wird bei diesen das Zulassen von Makros gefordert, sollte keinesfalls eingewilligt werden, denn diese enthalten dann den Trojaner und das Unglück nimmt seinen Lauf“, rät Heutger.
Ebenso sollten die in der E-Mail enthaltenen Links vor deren Anklicken geprüft werden. Wem eine E-Mail verdächtig vorkommt, sollte sich nicht scheuen, den Absender anzurufen und sich nach der Echtheit der E-Mail zu erkundigen.

Updates, Antiviren-Software, Backup und gesondertes Nutzerkonto…

Wer zudem Sicherheitsupdates regelmäßig und zeitnah einspielt, eine gute und stets aktuelle Antiviren-Software nutzt, seine Daten regelmäßig und idealerweise auf externen Speichermedien sichert, hat laut Heutger „gute Chancen, einem Angriff zu entgehen“.
Er empfiehlt abschließend außerdem, ein gesondertes Nutzerkonto auf dem Rechner einzurichten, mit dem online gesurft oder E-Mails abgefragt und geschrieben werden.

© PSW Group

Christian Heutger: Auch bei vermeintlich bekannten Absendern, skeptisch gegenüber Anhängen sein!

Weitere Informationen zum Thema:

PSW GROUP, 05.03.2019
Verschlüsselung / Update zu Emotet: Trojaner in Spam-E-Mails gefährlicher denn je

datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails

datensicherheit.de, 15.0^.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv

PSW GROUP warnt vor Betrügern, die angeblich für Web-Domain-Registrierung zehnjährige Vorauszahlung fordern

[datensicherheit.de, 28.12.2018] Laut einer aktuellen Warnung der PSW GROUP sehen sich Inhaber von Web-Domains momentan einem neuen Betrugsversuch per E-Mail ausgesetzt. „Per E-Mail erhalten sie offiziell anmutende Warnmeldungen von Absendern wie Deutsche Domain-Namen oder auch European Trademarks & Domains. Im Schreiben geht es inhaltlich um die Website des Domain-Inhabers und um die Namensrechte für verschiedene Domain-Endungen“, erläutert deren Geschäftsführer Christian Heutger. Die Masche mit betrügerischen E-Mails sei nicht neu – es gebe bereits zahlreiche, als „Abzocker“ bekannte Absender. Diese hat die PSW GROUP zum Online-Abruf zusammengestellt.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG

Angebliches Vorkaufsrecht

Wer in den vergangenen Wochen eine E-Mail von den Absendern Deutsche Domain-Namen, European Trademarks & Domains, DNS Germany, German Domain and Trademark Office oder Internet Domain Service Austria erhalten hat, sollte höchste Vorsicht walten lassen, so Heutger. Es handelt sich demnach hierbei um eine neue Betrugsmasche: Domain-Inhaber werden darauf angesprochen, einen „Antrag auf Registrierung der Website xy erhalten“ zu haben. Man sei „gesetzlich dazu verpflichtet, […] [die Domain-Inhaber] zu kontaktieren, um Ihnen das erste Registrierungsrecht anzubieten“.
Diese E-Mail solle den Anschein erwecken, als habe ein Dritter nach einer alternativen Domain-Endung angefragt. Derjenige, der das Schreiben erhält, solle eine Art „Vorkaufsrecht“ erhalten. Für eine zehnjährige Registrierung der angeblich angefragten Domain kämen dann Kosten von knapp 200 Euro auf das Opfer zu. Binnen 24 Stunden sei die Bearbeitung abgeschlossen. Heutger warnt: „Ob eine solche Registrierung der Domain-Endung tatsächlich stattfindet, ist fragwürdig. Ich rate dazu, diese E-Mail zu ignorieren, denn sie ist in keinster Weise seriös und kommt einem Betrugsversuch gleich.“

Hinweise zum Erkennen von Betrugs-E-Mails

Die Macher der E-Mail hätten sich Mühe dabei gegeben, den Eindruck zu erwecken, dass das Schreiben von einer Behörde stammt. Im Logo der Betrugs-Mail fänden sich die typischen Farben Schwarz, Rot und Gelb – das mache den Eindruck, es handele sich um eine Bundesbehörde. Jedoch sei der Adler im Logo etwas verändert worden. Außerdem lauteten die Domainendungen auf „.com“ – keine deutsche Behörde verwende diese Endung. Auf den Websites der Versender fehlten sowohl Impressum als auch die Angabe einer Telefonnummer. „Ein klares Zeichen für E-Mail-Betrug“, so Heutger.
„Eine Domain-Endung kann übrigens jeder registrieren. Dafür fällt jedoch keine Zehn-Jahresgebühr, sondern ein jährlicher Preis an. Der Domain-Check über ,www.inwx.de‘ zeigt, ob eine Wunsch-Domain verfügbar ist und was sie jährlich kosten würde.“ Soll es für eine Haupt-Domain unterschiedliche Domain-Endungen geben, könnten auch diese registriert und mittels 301-Weiterleitung auf die Haupt-Domain umgeleitet werden. Da sich lediglich die URL in der Adresszeile des Browsers ändert, bleibe die 301-Weiterleitung für Website-Besucher nahezu unbemerkt. „Eine solche Weiterleitung wird mittels PHP oder ,.htaccess‘-Datei erstellt. Beim Apache-Webserver ist das ,mod_rewrite‘-Modul zu verwenden. Wer es sich zutraut, kann die Umleitung selbst einrichten, ansonsten lässt man sie über eine Partneragentur einrichten“, empfiehlt Heutger.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 20.11.2018
Rechtliches / E-Mail Betrug: Dubiose Rechnungen an Domain-Inhaber

datensicherheit.de, 05.12.2018
Weihnachten: Ein Fest für Datendiebe

datensicherheit.de, 09.01.2017
EU-Datenschutz-Grundverordnung ante portas: PSW GROUP empfiehlt Informations-Sicherheits-Analyse

Tipps für Unternehmen bei der Wahl einer Verschlüsselungslösung

[datensicherheit.de, 09.05.2018] Christian Heutger, Geschäftsführer der PSW GROUP, weist in seiner aktuellen Stellungnahme darauf hin, dass bereits heute das bisherige Bundesdatenschutzgesetz (BDSG) die Verschlüsselung von E-Mails mit personenbezogenen Daten vorschreibt. Ab dem 25. Mai 2018 verschärfe indes die Datenschutz-Grundverordnung (DSGVO) die Lage: „Die E-Mail-Verschlüsselung wird endgültig zur Pflicht!“

E-Mail-Verschlüsselung unabdingbar

„Wer dann noch auf E-Mail-Verschlüsselung verzichtet, für den kann es richtig teuer werden, weil Sicherheitsvorkehrungen zum Schutz von Daten nach aktuellem Stand der Technik nicht umgesetzt wurden“, warnt Heutger.
Der IT-Sicherheitsexperte rät, jedoch nicht gleich in Panik zu verfallen: „E-Mail-Verschlüsselung ist heutzutage praktikabel und mit geringem Aufwand implementiert. Idealerweise greifen Unternehmen zu einer Lösung, die unbemerkt im Hintergrund, also serverseitig, aufgesetzt wird. So müssen sich Mitarbeiter nicht in ihren Arbeitsabläufen umstellen.“

Unternehmen müssen Meldepflicht beachten

Nicht vernachlässigen sollten Unternehmen zudem, dass sie im Falle einer Datenpanne künftig verpflichtet sind, diese binnen 72 Stunden der zuständigen Aufsichtsbehörde sowie, bei hohem Risiko für persönliche Daten, den betroffenen Personen zu melden.
Waren die kompromittierten Daten jedoch so verschlüsselt, dass Dritte nicht an diese gelangen können, könnten Unternehmen zumindest auf die Bekanntgabe gegenüber betroffenen Personen verzichten. „Das erspart viel Arbeit und schützt den Ruf als datenschutzorientiertes Unternehmen“, unterstreicht Heutger.

Auswahl einer praktikablen, sichere Verschlüsselungslösung

„Bei der Verschlüsselung von E-Mails wird zwischen Transport- und Inhaltsverschlüsselung unterschieden. Während bei der ersten Variante die E-Mail auf ihrem Weg von Server zu Server quasi nur durch einen verschlüsselten Tunnel geschickt wird und auf den Servern selbst im Klartext gespeichert ist, wird bei der Inhaltsverschlüsselung auch die E-Mail selbst verschlüsselt“, erläutert Heutger.
Da dabei Metadaten wie Absender, Betreff der Nachricht und Empfänger unverschlüsselt und damit lesbar bleiben, sollten in der Praxis beide Verfahren kombiniert werden: „Es empfiehlt sich, auf Standardprotokolle zu setzen. So bietet sich S/MIME für die Inhaltsverschlüsselung an; eine Alternative wäre OpenPGP. TLS ist hingegen das Standardprotokoll für die Transportverschlüsselung.“
Laut Heutger sind mit S/MIME und PGP Lösungen auf dem Markt, für deren Einsatz Zertifikate sowie Schlüssel zwingende Voraussetzungen sind. Dies jedoch setze eine entsprechende Infrastruktur und zumindest ein wenig technisches Wissen voraus. In der Praxis lohne es sich deshalb über Alternativen nachzudenken: „Deshalb bieten sich Gateway-Lösungen zur E-Mail-Verschlüsselung an. Mit ihnen gelingt das Verschlüsseln und Signieren von E-Mails automatisch und zentral auf dem Server.“

Gateway-Lösungen für KMU nicht immer die beste Wahl

Kleinen Unternehmen rät Heutger jedoch von Gateway Lösungen ab: „Im Vergleich zu isolierten Ende-zu-Ende-Lösungen fällt der Konfigurationsaufwand recht hoch aus. Sie sollten deshalb ernsthaft über eine isolierte Lösung nachdenken und sich individuell beraten lassen, welche Lösung für sie richtig ist. Hinzu kommt, dass viele E-Mail-Gateways den unternehmensinternen Mail-Versand nicht schützen und bei Bedarf die innere Sicherheit mit einer weiteren Lösung erreicht werden muss.“

© PSW Group

Christian Heutger: Individuelle Verschlüsselungslösung für KMU empfohlen

Lösung sollte kompatibel mit vielen Betriebssystemen und Plattformen sein

Bei der Wahl der geeigneten Verschlüsselungslösung keinesfalls vernachlässigt werden sollten Schnittstellen zu weiterer Sicherheitssoftware, beispielsweise einem Virenscanner, um eingehende E-Mails auf Schadsoftware zu scannen.
Dasselbe gelte für das E-Mail-Archiv: Um E-Mails zu indizieren, sollte das Archivsystem auf E-Mail-Inhalte im Klartext zugreifen können. Andernfalls werde es schwer, eine bestimmte E-Mail später wieder aufzufinden. Die Wahl der geeigneten Verschlüsselungslösung sollte zudem auf ein System fallen, das auch mobile Endgeräte wie Smartphones oder Tablets mit einbindet.
„Um flexibel zu bleiben und für die Zukunft gerüstet zu sein, sollte eine Lösung gewählt werden, die mit vielen Betriebssystemen und Plattformen kompatibel ist“, so Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 25.04.2018
Rechtliches / DSGVO: E-Mail-Verschlüsselung ist Pflicht

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 10.04.2018] Die neuen gesetzlichen Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO) betreffen auch Vereine, denn auch sie gehen mit personenbezogenen Daten um – z.B. im Kontext von Mitgliedsanträgen, Anmeldeformularen für Wettkämpfe etc. „Verstöße werden mit erheblichen Bußgeldern belegt, die Vereine für gewöhnlich nicht decken können. Im Fall einer Datenschutzverletzung können Vereinsmitglieder und andere eventuell geschädigte Personen Schadenersatz geltend machen. Deshalb sollten sich Vereine intensiv mit der Datenschutz-Grundverordnung auseinandersetzen und besonders auf vollständige und datenschutzrechtlich wirksame Einwilligungen achten“, so Christian Heutger, der Geschäftsführer der PSW GROUP.

Im Regelfall ausdrückliche Einwilligung des Mitglieds nötig

Vereine seien in der Pflicht, nur solche personenbezogenen Daten zu erheben und zu verarbeiten, die zur Mitgliederbetreuung sowie -verwaltung und zum Verfolgen des Vereinsziels notwendig sind.
„Gemäß DSGVO bedarf es für die Erhebung, Speicherung und Verarbeitung solcher Daten eine eindeutige Einwilligungserklärung des Mitglieds. Das gilt übrigens auch für die Zusendung von Newslettern oder Spendenwerbung. Vereine dürfen ihren Mitgliedern, Sponsoren und Förderern nur nach einer entsprechenden Einwilligung Informationen zum Verein zusenden“, erklärt Heutger.
Viele Vereine präsentieren sich und ihr Vereinsleben im Internet – zum Beispiel auf einer Website und in Sozialen Netzwerken. Auch dort dürften personenbezogene Daten nur nach ausdrücklicher Einwilligung des jeweiligen Mitglieds veröffentlicht werden. Zudem müsse der Verein diese Einwilligung entsprechend dokumentieren.

Ausnahmen bei „berechtigtem Interesse“

Heutger: „Es gibt jedoch auch Ausnahmen: Möchte der Verein funktionsbezogene Daten veröffentlichen, etwa den Namen oder eine vereinsbezogene E-Mail-Adresse eines Funktionärs, kann das ohne Einwilligung geschehen“. Ohne Einwilligung zulässig seien ebenfalls die Veröffentlichung von Ergebnissen aus Vorstandswahlen oder Jahreshauptversammlungen. Auch dürfe der Sportverein ohne Einwilligungen Ergebnisse aus Wettkämpfen oder Ranglisten mit Spielernamen veröffentlichen: „Die Wettkämpfe werden öffentlich ausgetragen und der Verein hat ein sogenanntes ,berechtigtes Interesse‘ daran, relevante Ergebnisse des Vereinslebens der Außenwelt zugänglich zu machen. Jedoch dürfen ausschließlich Name, Geburtsjahr, Geschlecht, das Wettkampfergebnis, der Verein und die Mannschaft veröffentlicht werden“, stellt Heutger klar.
Vereine sollten beachten, dass die veröffentlichten Daten nach einem angemessenem Zeitraum wieder gelöscht werden. Denn auch Teilnehmer eines Wettkampfs hätten laut DSGVO ein Recht auf Vergessenwerden.

Einwilligungserklärungen müssen leicht verständlich und zugänglich sein

Wenn es um die Veröffentlichung von Fotos und Videos aus dem Vereinsleben im Internet geht, werde es kompliziert. Denn hierbei spiele auch das Kunsturhebergesetz eine Rolle – Fotos und Videos dürften erst nach Einwilligung der oder des Abgebildeten veröffentlicht werden.
„Eine Ausnahme gibt es für Medien, die bei öffentlichen Vorgängen wie dem Karnevals- oder Schützenumzug entstanden sind. Sofern auf den Fotos oder Videos Menschenansammlungen und keine Einzelpersonen gezeigt werden, dürfen diese auch ohne Einwilligung veröffentlicht werden“, sagt Heutger. Vor der Veröffentlichung von Abbildungen Minderjähriger rät er, die Einwilligung der Eltern einzuholen.
Einwilligungserklärungen könnten Vereine zum Beispiel im Mitgliedsantrag integrieren oder auf jedem weiteren Formular zur Verfügung stellen – allerdings müsse diese in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein; vorangekreuzte Checkboxen seien nicht zulässig.

PSW-Tipps für Vereine:

1. Datensparsamkeit
   Die DSGVO verlange nicht nur, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben werden – deren Verarbeitung müsse zudem „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
2. Informationspflichten
   Die DSGVO verpflichte Vereine dazu, Personen, deren Daten verarbeitet werden, umfangreich darüber zu informieren – allerdings nicht erst im Nachhinein, sondern schon vor Verarbeitung ihrer Daten.
3. Technische und organisatorische Maßnahmen
   Datensicherheit müsse mittels technischer und organisatorischer Maßnahmen gewährleistet werden. Das betreffe die Kommunikation mit Vereinsmitgliedern und Sponsoren (E-Mail- und Website-Verschlüsselung), aber auch die Datenspeicherung (Datenverschlüsselung, Daten-Backup). „Bei sämtlichen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen wurden“, betont Heutger und rät: „Dafür lohnt sich das Anlegen eines Verfahrensverzeichnisses, denn es zeigt alle Prozesse der Datenverarbeitung auf und ist ohnehin eine Pflichtaufgabe für alle, die Daten nicht nur gelegentlich erheben.“
4. Auftragsdatenverarbeitung
   Auch Vereine nutzten Drittanbieter: Entweder lagerten die Daten in der Cloud, lägen auf Servern eines Anbieters oder würden über eine gehostete Website erfasst oder versendet. Vereine sollten ihre Verträge mit Auftragsdatenverarbeitern dahingehend prüfen, dass diese sich vertraglich zur Ergreifung geeigneter technischer Maßnahmen verpflichtet haben, um die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO durchzuführen.
5. Datenschutz-Folgeabschätzung
   Vereine, die personenbezogene Daten ihrer Mitglieder in der Cloud speichern, müssten sich bewusst sein, dass es sich dabei um einen risikobehafteten Datenverarbeitungsvorgang handelt. Laut DSGVO müssten sie deshalb „vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ durchführen.
6. Meldepflichten
   Auch Vereine unterlägen im Falle einer Datenschutzpanne behördlichen Meldepflichten. Solche Meldungen müssten unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Heutger: „Mein Tipp ist, bereits im Vorfeld ein Muster für eine solche Datenschutz-Meldung anzufertigen und eine Person zu bestimmen, die im Fall einer Datenschutzverletzung die Meldung vornimmt.“
7. Datenschutzbeauftragter
   Vereine, die mindestens zehn Personen ständig mit dem Verarbeiten von Daten beschäftigen, müssten einen Datenschutzbeauftragten benennen. „Das ist nicht neu. Allerdings wächst jetzt dessen Aufgabenbereich. So muss er unter anderem die Verantwortlichen beraten, mit der Aufsichtsbehörde zusammenarbeiten, die an den Verarbeitungsvorgängen beteiligten Mitarbeiter sensibilisieren und schulen sowie die Einhaltung der Datenschutzgrundverordnung überwachen“, erläutert Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 22. 03.2018
Die Datenschutz-Grundverordnung für Vereine

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

Gestärkte Betroffenenrechte und neue Datenschutzerklärung zwingen Unternehmen zum unverzüglichen Handeln

[datensicherheit.de, 24.10.2017] Am 25. Mai 2018 soll mit dem endgültigen Wirksamwerden der EU-Datenschutzgrundverordnung (EU-DSGVO) eine neue Datenschutz-Ära anbrechen. Deren erklärtes Ziel soll die Stärkung der Rechte der von der Datenverarbeitung betroffenen Personen sein, weshalb gegen den Datenschutz verstoßende Unternehmen mit empfindlich Bußen zu rechnen haben.

Neuen Rechte der Betroffenen bedeuten Mehraufwand für Unternehmen

Die neuen bzw. gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind durchaus „riesige Bausteine der DSGVO“ und somit für viele Unternehmen eine echte Herausforderung.
„Spätestens jetzt sollten Unternehmen mit den Vorbereitungen zur Datenschutzgrundverordnung beginnen und Maßnahmen ergreifen, wie sie Datenspeicherung und etwaige Datenweitergaben künftig behandeln. Denn mit den neuen Rechten kommen auf Unternehmen etliche Mehraufwände zu, die es zu bewältigen gilt“, stellt Christian Heutger, Geschäftsführer der PSW GROUP, klar.

Auskunftsfunktionen in Unternehmenssoftware integrieren!

Künftig könnten Betroffene jederzeit Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen.
Die Trennung von Informationen über Betroffene von denen über Dritte sowie von den eigenen Geschäftsgeheimnissen werde damit zur Herausforderung. Unternehmen, die hier im Voraus planen, welche Daten überhaupt herausgegeben werden können, müssten dann im Nachhinein weder aussieben noch in Hektik verfallen.
Heutger: „Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind.“
Doch er warnt zugleich: Um dabei nicht gleich grobe Datenschutzfehler zu begehen, müsse die Identität desjenigen geprüft werden, der Auskunft verlangt. „Bei der Identitätsprüfung jedoch ist Zurückhaltung gefragt. Das Gesetz erlaubt nämlich lediglich die Prüfung des Antragsstellers bei berechtigten Zweifeln – und auch dann dürfen nur sehr sparsam Informationen angefordert werden.“

Bei Widerspruchsrecht Datenverarbeitung nur noch in extremen Fällen

Ab Mai 2018 könnten betroffene Personen Widerspruch gegen das Verarbeiten personenbezogener Daten einlegen. Dies komme eher selten vor und richte sich für gewöhnlich gegen Direktmarketingmaßnahmen. Wird ein solcher Widerspruch vorgelegt, müsse er aber unbedingt umgesetzt werden.
Unternehmen könnten die Daten nur dann weiterverarbeiten, wenn sie geltend machen können, dass ohne die Datenverarbeitung schwerwiegende Nachteile entstünden. Dies wäre etwa der Fall, wenn ein Kunde zahlungssäumig ist und seiner Datenverarbeitung widerspricht. „Das gleiche gilt, wenn ein Kunde das Löschen seiner Daten beantragt“, informiert Heutger.

Recht auf Vergessenwerden eine Frage der Abwägung

Dieses ganz neue Recht diene dem Reputationsschutz Betroffener – und mache es Unternehmen nicht gerade einfacher zu entscheiden, unter welchen Umständen welche Informationen gelöscht werden dürfen.
„Das Recht auf Vergessenwerden muss mit öffentlichen Interessen, mit Meinungsfreiheit sowie mit den Kosten zum Durchführen der Löschung abgewogen werden. Es ist allerdings bislang sehr diffus und erst die Praxis wird ab Mai 2018 weitere Details zutage fördern. Denn Daten werden sicherlich in der Praxis eher gelöscht, als sich auf lange Diskussionen über eventuelle Meinungsfreiheit und womöglich folgende Strafen einzulassen“, schätzt Heutger.

Recht auf Datenübertragung – auch an Konkurrenzunternehmen

Beim Recht auf Datenübertragbarkeit gehe es weniger um den Datenschutz als eher um das Eigentum an Daten. Es erlaube Nutzern, sich den Transfer der eigenen Daten an Dritte zu wünschen. Dies könnten auch Konkurrenzunternehmen sein.
Ganz gleich also, ob künftig der Steuerberater oder das Soziale Netzwerk gewechselt werden: Alle eigenen Daten müssten auf Wunsch maschinenlesbar an den neuen Steuerberater oder eben das neue „Social Network“ lückenlos übertragen werden. Immerhin seien ausschließlich jene Daten betroffen, die beim Schließen eines Vertrags bereitgestellt wurden, nicht aber die für Werbezwecke gespeicherten Daten.
„Auch hier lohnt es sich, auf etwaige Datenübertragungen schon jetzt vorbereitet zu sein. Keinesfalls darf erst in letzter Minute damit begonnen werden, einen Mechanismus zu integrieren, der kundenbezogene Vertragsdaten von eigenen, geschäftsrelevanten Daten trennt. Andernfalls kann der Aufwand für die Datenübertragungen immens hoch werden“, warnt Heutger.

© PSW Group

Christian Heutger: Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind durchaus „riesige Bausteine der DSGVO“!

Datenschutzerklärung gegenüber Betroffenen

Betroffene müssten über die Verarbeitung der eigenen Daten informiert werden – und zwar vollständig und verständlich. Die folgenden Inhalte müssen deshalb in der Datenschutzerklärung enthalten sein:

• Name/Firma und Adresse
• Kontaktangaben, beispielsweise E-Mail-Adresse
• E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden
• welche Daten für welche Zwecke verarbeitet werden (d.h. Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davonbetroffen sind – so müsse beispielsweise auch die Weiterleitung der Adresse an das Logistikunternehmen benannt werden, wenn Waren versendet werden)
• werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese Interessen benannt werden (im Falle von Marketingmaßnahmen wären dies etwa „wirtschaftliche Interessen“)
• es müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden
• der Zeitpunkt der Löschung personenbezogener Daten muss angegeben werden
• teilt der Nutzer die Daten nicht selbst mit, muss die Datenquelle benannt werden
• sämtliche Rechte des Nutzers müssen benannt werden (besondere Aufmerksamkeit erhalte das Widerspruchsrecht – dieses müsse gesondert aufgeführt werden und erhalte idealerweise einen eigenen Unterpunkt).

Weitere Informationen zum Thema:

PSW GROUP, 10.10.2017
Rechtliches / Betroffenenrechte & Datenschutzerklärung nach DSGVO

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor

datensicherheit.de, 13.06.2017
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe

Online-Händler für die Sicherheit der Kundendaten in der Pflicht

[datensicherheit.de, 17.11.2016] Webshops haben vielfach längst in den „Weihnachtsmodus“ umgeschaltet – Ideen für SEO, Content-Marketing etc. wurden umgesetzt, ein eigenes Thema für die Weihnachtszeit gewählt, die Produkte für Weihnachtsaktionen ausgewählt, eventuell sogar Adventskalender mit täglich wechselnden Gewinnen integriert, und auch die technische Infrastruktur möglichst „festtagssicher“ aufgesetzt, um für den zu erwartenden Besucheransturm gewappnet zu sein. Online-Händler müssten sich jedoch bewusst machen, dass ihr Webshop für Verbraucher, insbesondere für Neukunden, erst einmal ein anonymer Dienst sei. Niemand kaufe in einem Webshop, bei dem er nicht weiß, wo seine Daten landen und was mit ihnen passiert. „Vertrauen in die Sicherheit beim Datentransfer hat neben guter Performance höchsten Stellenwert für Verbraucher“, betont Christian Heutger, Geschäftsführer der PSW GROUP.

Online-Händler in der Pflicht

„Insbesondere in einer Welt, in der die Konkurrenz nur einen Klick entfernt ist und die gesetzlichen Anforderungen an Datenschutz steigen, kommen Online-Händler deshalb nicht um SSL-Verschlüsselung ihres Shops herum“, so Heutger.
Das Protokoll SSL bzw. TLS verschlüsselt die Netzverbindung zwischen Server und Client (Browser). Neben der vertraulichen Datenübertragung wird außerdem auch die Identität des Servers geprüft. Mit der Feststellung der Authentizität des Servers sichert Verschlüsselung somit die Identität einer Website. Der Einsatz von Verschlüsselung stellt darüber hinaus sicher, dass Daten durch unbefugte Dritte weder verändert noch gelesen oder gar manipuliert werden können. Ob eine Website verschlüsselt ist, erkennen Webshop-Kunden ganz leicht am „https“ in der Adresszeile. Das „s“ hinter „http“ steht dabei für „secure“, also für eine sichere Verbindung.
Heutger: „Spätestens, wenn Besucher persönliche Daten wie E-Mail-Adresse, Name, Kreditkarten- oder andere Zahlungsinformationen eingeben, sollten deshalb SSL/TLS-Zertifikate Pflicht sein. Denn ab diesem Moment tragen Online-Händler für die Sicherheit der Kundendaten Sorge.“

Verschlüsselung als wichtiger Rankingfaktor

Ein TLS-/SSL-Zertifikat bestätige aber nicht nur die Identität des Online-Händlers. Auch der Gesetzgeber mache es immer schwieriger, ohne SSL/TLS-Verschlüsselung rechtssicher zu agieren. Behörden wie z.B. das Bayerische Landesamt für Datenschutzaufsicht prüften dies intensiv.
„Obendrein ist Verschlüsselung ein wichtiger Rankingfaktor bei Google. Und auch wenn es andere Suchmaschinen gibt, so kommt für ein effizientes Webmarketing keiner an dem Internetriesen vorbei. Die Ranking-Faktoren der weltweit erfolgreichsten Suchmaschine geben nun einmal den Ton an bei der Suchmaschinenoptimierung“, so der Geschäftsführer der PSW GROUP.

Für gewerbliche Websites mindestens ein organisationsvalidiertes Zertifikat

Nun sei der Markt groß und unübersichtlich:

• Es gebe sowohl kostenlose als auch teure SSL/TLS-Zertifikate,
• welche, die eine grün gefärbte Adressleiste generierten,
• welche von namhaften Anbietern
• und jene von unbekannten Anbietern.

Diese Unterschiede erklärten sich unter anderem mit der Validierung, also wie umfassend der Besteller eines TLS-Zertifikats von der Zertifizierungsstelle geprüft wird.
Auch die Kosten hingen stark vom gewählten SSL/TLS-Zertifikat ab. Bei der Wahl des geeigneten Zertifikats komme es wiederum auf den Einsatzzweck an: Während für ein privates Blog ein domainvalidiertes Zertifikat (DV) ausreichend sein könne, sei für gewerbliche Websites mindestens ein organisationsvalidiertes (OV), idealerweise jedoch ein „Extended Validation“-Zertifikat die bessere Wahl. „Sehr reizvoll ist in diesem Zusammenhang die grüne Adressleiste, die dem Websitebesucher schon auf den ersten Blick vermittelt, dass der Seitenbetreiber den Datenschutz ernst nimmt. Allerdings schaffen ausschließlich Extended-Validation-Zertifikate diese grüne Adressleiste“, erläutert Heutger. Um ein solches EV-Zertifikat zu erhalten, müsse das Unternehmen im Handelsregister und auf „upik.de“ eingetragen sein.

© PSW Group

Christian Heutger: Neben Performance kommt es auch auf die Datensicherheit an!

Weitere Informationen zum Thema:

datensicherheit.de, 18.08.2016
HEIST: Angriff auf Verschlüsselungsprotokoll TLS ohne Man-in-the-Middle-Attacke