[datensicherheit.de, 19.05.2020] Die britische Fluglinie EasyJet ist Opfer eines Cyberangriffs geworden. Betroffen sind angeblich E-Mail-Adressen und Reisedaten von rund neun Millionen Kunden. Außerdem fielen den Angreifern mehr als 2.000 Kreditkartendaten in die Hände.

Andreas Müller, Director DACH bei Vectra AI, Foto: Vectra

Andreas Müller, Director DACH bei Vectra AI kommentiert den jüngsten Cyberangriff auf ein wichtiges europäisches Unternehmen:

„Der Transportbereich als Teil einer kritischen nationalen Infrastruktur ist ein verlockendes Ziel für nationalstaatliche Hacker und Cyberkriminelle. Während EasyJet diesen Angriff als „aus einer hoch entwickelten Quelle“ stammend charakterisiert, müssen wir noch Details abwarten, um die Raffinesse oder die Identifikation von Angreifern zu bestätigen.

Es kann durchaus vorkommen, dass hier wie beim vergangenen Angriff auf British Airways, eine Webanwendung kompromittiert wurde, mit der unbefugter Zugriff erlangt wurde.

Da auf 9 Millionen Kundendaten zugegriffen wurde, handelt es sich um einen erheblichen Verstoß. Selbst wenn EasyJet vom ICO als maßgeblich rechenschaftspflichtig eingestuft würde, bezweifle ich, dass es großen Appetit auf eine hohe Geldstrafe im Rahmen der DSGVO geben würde, da die Branche bereits auf den Knien liegt und einige Fluggesellschaften kurz vor dem Zusammenbruch stehen.“

Weitere Informationen zum Thema:

cnn.com
EasyJet hackers stole data on 9 million customers and thousands of credit card numbers

datensicherheit.de, 17.05.2020
Untersuchung der ISACA – Unsichere Sicherheitsexperten

datensicherheit.de, 15.05.2020
Internationaler Cyberangriff auf Supercomputer

Ein Kommentar von Matthias Canisius, Director CEE, SentinelOne

[datensicherheit.de, 23.01.2020] „Unsere digitalen Daten sind unser wertvollstes und gleichzeitig das am stärksten bedrohte Gut. Egal ob personenbezogene Kunden- und Mitarbeiterdaten, geistiges Eigentum, Entwicklungsinformationen oder Umsatzzahlen – eine unerwünschte Offenlegung sensibler Daten kann sehr schnell sehr teuer werden. Das dürfte auch Buchbinder zu spüren bekommen. Denn aus juristischer Sicht ist ein derart offener Server ein katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollte die Aufsichtsbehörde tatsächlich Nachlässigkeiten auf Seiten des Unternehmens feststellen, dürfte ein empfindlich hohes Bußgeld fällig sein.

Foto: SentinelOne

Matthias Canisius, Director CEE, SentinelOne

Ich gebe zu: Wirksamer und nachhaltiger Datenschutz ist im Zeitalter von Digitalisierung und Big Data längst kein Kinderspiel mehr. Gerade die sichere Verwaltung von sensiblen personenbezogenen Informationen ist allein ob der schieren Menge der Daten eine enorme Herausforderung. Hinzu kommen hochentwickelte Cyber-Angriffsmethoden und aggressive Malware, die immer schwerer aufzuspüren und abzuwehren ist.

Beim Buchbinder-Datenleak war dies jedoch nicht das Problem. Ursache des Lecks war vielmehr ein schlichter Konfigurationsfehler bei einem Backup-Server, der es jedem Internetnutzer ermöglicht hat, die auf dem Server abgelegten Dateien herunterzuladen – und zwar ohne die Eingabe eines Passwortes. Das ist ärgerlich, denn das Aufspüren solcher Schwachstellen im System ist an sich keine große Herausforderung. Schon heute gibt es verschiedene Open-Source-Tools, die sämtliche IPv4-Adressen auf offene Dienste hin untersuchen. Hinzu kommt, dass das Unternehmen wohl schon vor ein paar Wochen über die offenen Ports informiert wurde, darauf aber – warum auch immer – nicht reagiert hat.

Der Vorfall macht eines deutlich: Auch knapp zwei Jahre nach Einführung der DSGVO sind Unternehmen bei der Umsetzung eines konsequenten Datenschutzes nach wie vor ziemlich überfordert und zum Teil nicht in der Lage, grundlegende Sicherheitsmaßnahmen zu ergreifen. Ich hoffe, dass der Buchbinder-Fall ein Weckruf ist und die Verantwortlichen in Unternehmen zum Handeln auffordert. Wenn nicht die negativen Schlagzeilen allein Bauchschmerzen verursachen, dann vielleicht die extremen Bußgelder der DSGVO, die folgen könnten.“

Weitere Informationen zum Thema:

heise.de, 22.01.2020
Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz

heise.de, 23.01.2020
Datenleck bei Buchbinder: Was Betroffene jetzt tun können

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen

[datensicherheit.de, 14.10.2019] Seit April 2019 gilt das neue Geschäftsgeheimnisgesetz (GeschGehG). Trotz des akuten Handlungsbedarfs haben viele Unternehmen noch nicht reagiert. Entscheidend ist das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen.

Ein ehemaliger Vertriebsmitarbeiter bedient sich wichtiger Kundendaten. Teure Rezepturen und Konstruktionszeichnungen werden gestohlen. Verständlich, dass Unternehmen ihre Geheimnisse schützen möchten. Nach dem seit April 2019 geltenden Gesetz genügt der bloße Geheimhaltungswille nicht mehr, um erfolgreich gegen einen Verletzter vorgehen zu können. Zusätzlich bedarf es dokumentierter, angemessener Geheimhaltungsmaßnahmen. Nur dann liegt laut Gesetzgeber überhaupt ein Geschäftsgeheimnis vor und damit die Grundlage für eine Klage auf Auskunft, Herausgabe, Schadensersatz oder Unterlassung.

Derartige Ansprüche können aber immer nur das Mittel einer möglichen Schadensbegrenzung sein. Denn: Ist das Know-how erst einmal in falsche Händen geraten, ist es eigentlich schon zu spät. In der Sache kommt es somit – aus der Sicht von Datenschützern – auf etwas ganz anderes an: Und zwar auf den faktischen Schutz aufgrund angemessener Geheimhaltungsmaßnahmen. Dieser stellt einen immensen Mehrwert für ein Unternehmen dar. Durch Berechtigungsstrukturen, technische und organisatorische Datensicherungsmaßnahmen oder durch Sensibilisierung kann die Wahrscheinlichkeit gesenkt werden, dass Know-how in die falschen Hände, zum Beispiel zum Wettbewerber, gelangt.

Das größte Risiko geht von Mitarbeitern aus

Eine wichtige Frage ist, an welcher Stelle eines Unternehmens Geschäftsgeheimnisse gefährdet sind, in die falschen Hände zu gelangen. Eine berechtigte Sorge ist die Industriespionage, da beispielsweise schlecht gesicherte Drucker ein beliebtes Einfallstor bieten. Eine besonders große Bedrohung stellen allerdings die sogenannten „internen Angreifer“ dar. In Zeiten häufiger Wechsel des Arbeitgebers geht nicht selten mit jedem Jobwechsel auch das Know-how gleich mit zum neuen Arbeitgeber über. Dies ist hinsichtlich der Erfahrungswerte und des Wissens im Kopf – abgesehen von ganz spezifischen Einzelfällen – auch nach dem neuen Gesetz letztlich nicht verhinderbar. Eine andere Dimension ist aber erreicht, wenn Konstruktionspläne kopiert oder Kundenlisten mit Konditionen auf einem privaten USB-Stick gespeichert werden.

Handlungsbedarf: Schutzkonzept erstellen

Nur bei dokumentierten angemessenen Geheimhaltungsmaßnahmen besteht ein Schutz für Unternehmen. Konkret bedeutet das, dass ein Management-System zum Schutz der Geschäftsgeheimnisse aufgebaut und dokumentiert werden muss. Für Unternehmen, die bereits eine passende Datenschutz-Organisation im Sinne der DSGVO aufgebaut haben, ist dies relativ zügig erledigt. Denn die Systematik ist identisch, anstatt um personenbezogene Daten geht es hier um die jeweiligen Geschäftsgeheimnisse.

Praktisch wird anhand des sog. PDCA-Zyklus (Plan – Do – Check – Act) zunächst mit Hilfe von Checklisten dokumentiert, welche Informationen das Unternehmen schützen, sprich zu Geschäftsgeheimnissen machen will. Nach der Erfassung werden die Informationen klassifiziert. Bei der anschließenden Bestimmung der Schutzmaßnahmen je nach Kritikalität können die bereits bestehenden Datensicherungsmaßnahmen (TOMs, sogenannte technische und organisatorische Maßnahmen) mitverwendet, überprüft und ergänzt werden. Wichtig ist schließlich, dass die Datensicherungsmaßnahmen regelmäßig angepasst und auf Wirksamkeit geprüft werden. In diesem Kontext sollte ein Unternehmen auch überprüfen, ob der Anstoß genutzt wird und direkt ein Informationssicherheits-Managementsystem (ISMS), z.B. entsprechend ISO/IEC 27001, aufgebaut wird. Der Vorteil hieran ist unter anderem, dass die Möglichkeit der Zertifizierung besteht.

Besondere Bedeutung bei den Datensicherungsmaßnahmen haben:

• Rollen- und Rechte- bzw. Berechtigungskonzept,
• passende, möglichst konkrete Vertraulichkeitserklärungen,
• technische Maßnahmen (Firewall, Virenschutz, etc.).

Daneben kommt es besonders auf die passenden Prozesse an. So muss zum Beispiel organisatorisch gewährleistet sein, dass der gekündigte Mitarbeiter keine Gelegenheit mehr zum Datendiebstahl hat und alle Schlüssel, Datenträger, Unterlagen etc. herausgibt.

Fazit

Das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen wie beispielhaft im Text beschrieben qualifiziert und schützt Geschäftsgeheimnisse nach dem neuen Geschäftsgeheimnisgesetz. Der bloße Geheimhaltungswille des Inhabers nach alter Rechtslage reicht nicht mehr aus. Unternehmen sind gut beraten, angemessene Schutzmaßnahmen zu entwickeln und zu dokumentieren.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 12.04.2019
GeschGehG: Digitaler Safe für Geschäftsgeheimnisse gefordert

Ein Kommentar von Klaus Nemelka, Technical Evangelist bei Varonis Systems

[datensicherheit.de, 01.08.2019] Dass eine Konfigurationsschwachstelle bei einem Cloud-Provider zu einem Datenschutzverstoß geführt hat, überrascht heute kaum mehr. Unternehmen sehen in der Auslagerung ihrer Datenbestände (inklusive sensibler Kundendaten) in die Cloud sowohl Kosten- aber auch Komfortvorteile, unterschätzen jedoch oftmals die damit verbundenen Risiken – vor allem, wenn hier keine umfassende Überwachung stattfindet.

Bild: Varonis Systems

Klaus Nemelka, Technical Evangelist bei Varonis Systems

Erkennung des Datenschutzverstoßes überraschend

Überraschend ist jedoch, dass es einen Chat-Raum und aufmerksame Teilnehmer brauchte, um den Verstoß zu erkennen. Capital One hatte keine Ahnung, dass jemand Unbefugtes auf riesige Mengen an sensiblen Daten zugegriffen hatte, bis die mutmaßliche Angreiferin in Slack damit prahlte.

Überwachung nicht ausreichend

Kompromittierungen passieren immer wieder, sei es durch Konfigurationsfehler, einen bösartigen Angriff oder beides. So weit, so schlecht. Wirklich beunruhigend ist jedoch, dass Capital One die sensiblen Daten nicht so überwacht hat, dass der unbefugte Zugriff erkannt wurde. Das Kopieren von Millionen von Kundendaten muss als ungewöhnliches Verhalten auffallen. Hätte es entsprechende Vorkehrungen wie eine intelligente Überwachung des Nutzerverhaltens gegeben, wäre genau dies bemerkt worden und Capital One wäre in der Lage gewesen, rasch Gegenmaßnahmen zu ergreifen und den Schaden deutlich zu minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 31.07.2019
Cyberangriff auf Großbank Capital One

[datensicherheit.de, 05.07.2019] Die Daten eines Unternehmens sind ein wertvolles Gut, das es heute mehr denn je zu schützen gilt. Ob es sich um Kundendaten handelt oder wichtiges internes Wissen, wie Baupläne; Verträge etc., ständig werden neue zum Teil riesige Datenlecks und Missbrauch von Kundendaten bekannt. Ein sehr sensibler Bereich stellt dabei die Kommunikation dar. Während des Versands von elektronischen Nachrichten sind Daten ungeschützt und so können Informationen sehr leicht abgefangen werden.

Mögliche Gegenmaßnahmen

Grundsätzlich gibtes nur zwei Möglichkeit dem entgegen zu wirken:

• Nicht mehr zu senden. Eine zwar sehr effektive Methode für den Schutz der Daten, aber mitunter auch sehr ineffektiv für Unternehmenserfolg.
• Die zweite Methode ist die Nachrichten geeignet zu verschlüsseln.

Die Kryptografie ist ein Feld, um das eigentlich kein IT-Administrator mehr herumkommt. Der Datenschutz und Datensicherheit enden für Unternehmen heute nicht mehr an der Firewall.

Buch: „Kryptografie für Dummies“

Das Buch „Kryptografie für Dummies“ richtet sich an Menschen, die mit IT-Sicherheit befasst sind, genauso, wie an Studenten, an Universitäten oder Hochschulen.

Wiley-VCH

Buch „Kryptografie für Dummies“, Verlag Wiley-VCH

Hans Werner Lang, Professor für Informatik, bietet eine Auswahl von Ideen und Verfahren der Kryptografie und deren mathematische Hintergründe, ohne dass es die Leser überfordert.Der Leser lernt unter anderem den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung zu verstehen, krypotografische Verfahren zu beurteilen und Berechnungsverfahren in Python zu programmieren.

Weitere Informationen zum Thema:

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings

[datensicherheit.de, 21.11.2018] Längst sind Daten als das wichtigste digitale Gut von Unternehmen gesetzt. Doch bei der Mehrheit der deutschen Firmen lässt sich das tägliche Datenmanagement noch deutlich verbessern, so eine neue Studie von Veritas Technologies, Anbieter für Datensicherungslösungen in Unternehmen.

Firmen, die mit Kundendaten umgehen, stehen heute unter besonderer Beobachtung: Die globalen Schlagzeilen über Verletzungen des Datenschutzes reißen nicht ab und weltweit werden strengere Vorschriften zur Daten-Compliance eingeführt. Für Unternehmen ist es daher wichtiger denn je, über ein strukturiertes Risikomanagement zu verfügen, um Daten zu sichern und notwendige Erkenntnisse zu gewinnen, die das Geschäft vorantreiben.

Die neue Studie von Vanson Bourne im Auftrag von Veritas zeigt, dass IT-Entscheider und Datenmanager dabei an einigen Stellen noch Verbersserungspotenzial sehen, etwa bei der Sicherstellung der Daten-Compliance (80 Prozent) sowie in Sachen Datensicherheit und -risiken (84 Prozent). Darüber hinaus gaben 75 Prozent der Interviewten an, dass auch hinsichtlich Transparenz und Kontrolle der Daten noch Luft nach oben ist, weitere 75 Prozent beanstanden die Prozesse zur Wiederherstellung von Daten nach Verlust oder einem Ransomware-Angriff. Lediglich 17 Prozent glauben, dass ihr Unternehmen Daten effektiv nutzt, um das Unternehmen voranzubringen.

Die Umfrage zeigt auch, dass in Deutschland fast die Hälfte (46 Prozent) der IT-Fachkräfte der Meinung ist, dass Mitarbeiter unterschiedlicher Funktionen bereits jetzt nahtlosen Zugriff auf Unternehmensdaten haben und sie über verschiedene Abteilungen hinweg übertragen werden können. Trotzdem finden vier von fünf (80 Prozent) der Befragten, dass ihre Firma den Datenaustausch über die Unternehmensbereiche hinweg noch verbessern könnte.

Herausforderung Datenflut

Folgende Faktoren erschweren nach Meinung der Interviewten das Datenmanagement in ihrem Unternehmen besonders:

• Es werden zu viele verschiedene Tools und Systeme genutzt, um effektiv zu arbeiten (38 Prozent).
• Es sind zu viele Datenquellen, über die man sich einen Überblick verschaffen muss (36 Prozent).
• Es gibt keine zentrale Strategie oder keinen zentralen Ansatz für das Datenmanagement (36 Prozent).
• Die Kosten für das Datenmanagement steigen (33 Prozent).
• Die Fähigkeiten und/oder die Technologie, um den Wert der Daten voll auszuschöpfen, fehlen (32 Prozent).
• Daten können nicht zuverlässig gesichert und wiederhergestellt werden (25 Prozent).
• Dagegen gab nur weniger als jeder Zehnte (7 Prozent) der IT-Fachkräfte an, dass sein Unternehmen keine Herausforderungen im Datenmanagement zu bewältigen hat.

Bild: Veritas Technologies

Mathias Wenig, Senior Manager Technology Sales und Digital Transformation Specialists, DACH, bei Veritas Technologies

„Das exponentielle Wachstum unstrukturierter Daten hat dazu geführt, dass Unternehmen Informationen in vielen verschiedenen Umgebungen speichern. Im Durchschnitt befindet sich davon fast die Hälfte (46 Prozent) in der Cloud. Zum Vergleich: 40 Prozent der Daten sind On-Premises  gespeichert“, sagt Mathias Wenig, Senior Manager Technology Sales und Digital Transformation Specialists, DACH, bei Veritas Technologies. „Je isolierter und umfangreicher die Daten werden, desto schwieriger ist es auch, sie zu finden, zu verwalten, darauf zuzugreifen und sie zu sichern. Dann stehen Unternehmen vor einer großen Herausforderung.“

„Wir leben in einer Zeit, in der ein effektives Datenmanagement die Digitalisierung in Unternehmen vorantreiben, neue Geschäftsmodelle eröffnen und Kosten durch Automatisierung reduzieren kann. Genauso kann es Firmen aber auch in die Knie zwingen, wenn es fehlt. Deshalb sollten sie in die Vereinfachung des Datenmanagements investieren, komplexe Prozesse entfernen und so eine solide Grundlage schaffen – nicht nur, um sich vor Cyberkriminellen zu schützen oder Datenvorschriften einzuhalten, sondern auch, um den Weg für Innovation und Erfolg in der heutigen digitalen Wirtschaft zu ebnen.“

Vanson Bourne ist ein unabhängiger Spezialist für Marktforschung für den Technologiesektor. Weitere Informationen finden Sie unter www.vansonbourne.com. Die Studie befragte rund 1.000 IT-Entscheider und Datenmanager in 15 Ländern, darunter 100 in Deutschland, im Zeitraum Oktober bis November 2018.

Weitere Informationen zum Thema:

datensicherheit.de, 13.11.2018
Studie: Backup und Datenwiederherstellung zunehmend komplexer

datensicherheit.de, 26.07.2018
Fünf Schlüsselstrategien für Sicherung und Wiederherstellung von Daten

datensicherheit.de, 22.02.2016
Krypto-Trojaner-Attacken: Datenverlusten durch regelmäßige Backups vorbeugen

[datensicherheit.de, 30.05.2017] In knapp einem Jahr – Stichtag ist der 25. Mai 2018 – tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft und löst das bisherige Bundesdatenschutzgesetz (BDSG) ab. Die Einführung soll einheitliche Datenschutzregeln in Europa schaffen und generiert neue Anforderungen, insbesondere für Unternehmen, welche Kundendaten elektronisch verarbeiten. Der DEKRA e.V. rät Unternehmen, jetzt schon damit zu beginnen, das Datenschutzniveau den neuen EU-Anforderungen anzupassen.

„Marktortprinzip“ berührt auch US-Unternehmen

Die EU-DSGVO (EU-Verordnung Nr. 2016/679) soll europaweit einheitliche Anforderungen für die Erhebung, Verarbeitung, Nutzung und Speicherung von personenbezogenen Daten schaffen.
Dazu wurden neue Grundsätze, wie z.B. das „Marktortprinzip“, verankert. Diese sollen dazu führen, dass beispielsweise auch US-amerikanische Unternehmen den neuen Regeln unterliegen. Außerdem soll zukünftig die Datenschutzbehörde am Sitz der Unternehmenszentrale federführend für alle Niederlassungen in der EU sein.

Datenschutzfreundliche Voreinstellungen

Darüber hinaus gibt es laut DEKRA zahlreiche neue Anforderungen an den Datenschutz: Beispielsweise werde dieser durch datenschutzfreundliche Voreinstellungen gestärkt.
Auch für die Auftragsdatenverarbeitung gälten strengere Vorgaben. Dass ein Auftragnehmer die Vorschriften einhält, müsse künftig über einen Code-of-Conduct oder eine Zertifizierung nachgewiesen werden. Die neue Verordnung enthalte auch höhere Bußgelder, die Spanne reiche zukünftig bis 20 Millionen Euro.

Notwendige Änderungen noch vor Inkrafttreten der Verordnung umsetzen!

Die Datenschutzexperten von DEKRA empfehlen daher, jetzt schon zu prüfen, ob die Datenverarbeitungsprozesse des Unternehmens den neuen Anforderungen genügen. Dies sollte so rechtzeitig erfolgen, damit notwendige Änderungen noch vor Inkrafttreten der Verordnung umgesetzt werden können.

Weitere Informationen zum Thema:

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor

[datensicherheit.de, 23.10.2016] Wie in den letzten Tagen bekannt wurde, soll das Erotik-Webportal „Adult Friend Finder“ nach 2015 erneut gehackt worden sein. Diesmal hätten Hacker Zugriff auf 73 Millionen Kundendaten weltweit erlangt – gerade bei einem solchen Webportal eine immens hohe Zahl äußerst sensibler Daten. Zwar scheine die Sicherheitslücke mittlerweile wieder geschlossen worden zu sein, aber das Grundproblem unsicherer Passwörter bestehe weiter, denn aus Bequemlichkeit nutzten viele Anwender zu einfache Passwörter – und diese dann auch noch bei mehreren Diensten, warnt Dr. Amir Alsbih, COO von KeyIdentity.

Sicherheit von Passwörtern nimmt mit Komplexität zu

Die Sicherheit von Passwörtern nehme mit ihrer Komplexität zu. OWASP (Open Web Application Security Project) als De-facto-Standard für die Sicherheit von Web-Anwendungen schreibe beispielsweise vor, dass Passwörter drei von vier Komplexitätsregeln (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen) entsprechen müssten, dabei mindestens zehn Zeichen lang sein sollten sowie nicht mehr als zwei identische Zeichen aufeinanderfolgend haben dürften, erläutert Alsbih.
„Die Komplexität eines Passworts reduziert dabei die Wahrscheinlichkeit, dass ein Dritter meine digitale Identität durch einen Brute-Force Angriff übernimmt. Brute-Force Angriffe probieren dazu in der Regel die am häufig benutzten Passwörter aus und können mit zehn Versuchen pro Account ein Prozent aller Kunden-Accounts eines Anbieters übernehmen.“
In der Realität entsprächen aber nur etwa ein Prozent aller Passwörter den genannten Komplexitätsanforderungen. Alsbih: „Aber selbst wenn sie es tun, so ist und bleibt der Mensch doch ein Gewohnheitstier, der dazu neigt die gleichen Muster zu wählen und ein Passwort überwiegend nach dem Schema: ein Großbuchstabe – diverse Kleinbuchstaben – zwei bis vier Ziffern aufzubauen und am Ende dann noch mit einem Ausrufezeichen zu versehen – und das für die meisten der genutzten Accounts.“

Höhere Sicherheit durch Multi-Faktor-Authentifizierung

Doch selbst, wenn ein Passwort stark ist und der Anbieter das Passwort in einem sicheren Format speichert, so könne jeder sein Passwort auch durch einen Phishing-Angriff oder durch Malware verlieren, die das Passwort direkt auf dem eigenen Rechner mitschneidet. Gegen beide „Angriffe“ helfe das beste Passwort nichts.
Die einzige Chance, sein Account ausreichend zu sichern, seien sogenannte „One-Time-Push-Tokens“, sagt Dr. Alsbih. So könne einem Nutzer nach einer erfolgreichen Authentifizierung eine Meldung auf das Handy gesendet werden, die er mit einem Klick bestätigen müsse, um Zugriff auf sein Account zu erhalten –„klickt er nicht, wird der Zugang verwehrt, selbst wenn er die Zugangsdaten kennt“, so Dr. Alsbih. So werde die Sicherheit durch einen weiteren Faktor erhöht, also eine Multi-Faktor-Authentifizierung.
Ob man eine Zwei-Faktor-Authentifizierung für jedes seiner Accounts nutzt, sei eine persönliche Risikoentscheidung. „Aber wir sollten endlich beginnen zu akzeptieren, dass Passwörter alleine nicht funktionieren“, unterstreicht Dr.
Alsbih.

Foto: KeyIdentity

Dr. Amir Alsbih empfiehlt „One-Time-Push-Tokens“

Peter Schaar. - Foto: BfDI

Umsetzung der Ergebnisse des Datenschutzgipfels 2008 angemahnt

[datensicherheit.de, 15. Juni 2009] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, appelliert an die Abgeordneten des Deutschen Bundestags, die immer wieder zugesagten Verbesserungen des Datenschutzrechts umzusetzen:
Der Bundestag habe es in der Hand, „endlich die notwendigen Konsequenzen aus den Datenschutzskandalen“ zu ziehen. Die Versprechen für eine Stärkung des Datenschutzes müssten endlich umgesetzt werden; anderenfalls blieben die „Bürgerinnen und Bürger weiterhin unzureichend gegen Datenmissbrauch und immer umfassendere Überwachung geschützt“.
In der anstehenden Novelle des Bundesdatenschutzgesetzes sollen die Ergebnisse des „Datenschutzgipfels“ vom 4. September 2008 umgesetzt werden.

Weitere Informationen zum Thema:

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 15.06.2009
Schaar: Bundestag darf Datenschutznovelle nicht scheitern lassen!

heise online, 15.06.2009
Schaar: Datenschutznovelle darf nicht scheitern

heise online, 04.09.2008
Datenschutzgipfel einigt sich auf striktere Regelungen für Kundendaten