[datensicherheit.de, 15.09.2025] Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) betont in ihrer aktuellen Stellungnahme, dass seit dem 12. September 2025 nach einer Übergangsphase endgültig die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ gilt, kurz: „Datenverordnung“ („Data Act“). Nutzer sollen fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen. Für den Datenschutz besonders wichtig ist demnach, dass Anbieter den Nutzern auf Anforderung Produktdaten und verbundene Dienstdaten bereitstellen müssen. Das ULD – seit jeher für Beschwerden bei vermuteten Datenschutzverstößen zuständig – werde nun ebenfalls zuständig für solche Beschwerden, die mit der Verarbeitung personenbezogener Daten und den Rechten nach dem „Data Act“ zusammenhängen.

„Data Act“ verschafft Nutzern neue Rechte auf Datenzugang, -nutzung und -weitergabe

„Vernetzte Produkte sind insbesondere Gegenstände, die mit dem Internet verbunden sind und Daten über ihre Nutzung und deren Umgebung verarbeiten. Verbundene Dienste sind digitale Dienste mit deren Hilfe die vernetzten Produkte ihre Funktionen ausführen können.“

• Erfasst seien zum Beispiel elektronische Haushaltsgeräte, Fahrzeuge oder auch Produktionsmaschinen, die Daten speichern. Nutzer, die ein vernetztes Produkt besitzen oder denen zeitweilig vertragliche Rechte für die Nutzung des Produkts übertragen wurden oder die verbundene Dienste in Anspruch nehmen, erhielten mit dem „Data Act“ neue Rechte auf Zugang zu den Produktdaten.

Zusätzlich bestehen laut ULD „Weitergaberechte“, welche einen Dateninhaber verpflichten, verfügbare Produktdaten sowie die für die Auslegung und Nutzung dieser Daten erforderlichen Metadaten einer anderen Stelle zur Verfügung zu stellen.

ULD-Zuständigkeit nach „Data Act“ im Falle der Verarbeitung personenbezogene Daten

„Soweit im Zusammenhang vor allem mit der Wahrnehmung der Nutzungsrechte der Zugang, die Nutzung oder Weitergabe personenbezogener Daten zu prüfen ist, übernimmt das ULD nunmehr für die in Schleswig-Holstein verpflichteten Stellen die Datenschutzaufsicht.“ Die zugrundeliegende Aufgabenzuweisung ergebe sich aus Art. 37 Abs. 3 „Data Act“.

• „Sollten Personen der Ansicht sein, dass Unternehmen in Schleswig-Holstein ihre Rechte nach dem ,Data Act’ in Bezug auf die Verarbeitung personenbezogener Daten verletzen, haben diese die Möglichkeit, beim ULD eine Beschwerde einzureichen.“

Das ULD prüfe dann den vorgetragenen Sachverhalt und wirk im Falle einer Verletzung mit den bestehenden Befugnissen auf die Einhaltung der Vorgaben des „Data Act“ hin. Das Beschwerdeformular des ULD, das auch für Beschwerden nach dem „Data Act“ verwendet werden kann, steht online zur Verfügung.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang / Wir über uns

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Meldungen an das ULD

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI / Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 18.05.2025] Laut einer Meldung des Verbraucherzentrale Bundesverbands (vzbv) vom 16. Mai 2025 hat Google den Zugriff auf Nutzerdaten „unzulässig vereinfacht“. Es liegt demnach ein Verstoß bei der Google-Konto-Registrierung vor: Google habe Verbraucher bei der Registrierung im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten. Zudem hätten weder die Express-Personalisierung noch die manuelle Personalisierung gesetzlichen Vorgaben entsprochen. Das Landgericht (LG) Berlin hat der vzbv-Klage gegen die Google Ireland Ltd. stattgegeben und festgestellt, dass die mangelhafte Einwilligungserklärung gegen die Datenschutzgrundverordnung (DSGVO) verstoßen habe.

Mit einer einzigen Registrierung sollte es Google erlaubt werden, Nutzerdaten auf 70 Diensten zu verarbeiten

Mit einer einzigen Registrierung hätten Verbraucher Google erlauben sollen, ihre Daten auf 70 Diensten zu verarbeiten. Eine vermeintliche Einwilligungserklärung bei der Registrierung für ein Google-Konto habe gegen die Datenschutzgrundverordnung verstoßen und sei unwirksam gewesen – dies hat das LG Berlin nach einer vzbv-Klage entschieden. Diese Einwilligung beruhe nicht auf einer freiwilligen und informierten Entscheidung der Nutzer.

Verbraucher müssten wissen, wofür Google ihre Daten verarbeitet, und über die Verarbeitung ihrer Daten frei entscheiden können – Heiko Dünkel, Leiter „Team Rechtsdurchsetzung“ im vzbv, betont: „Datenschutz ist auch Verbraucherschutz. Umso wichtiger ist, dass wir Verstöße gegen die DSGVO gerichtlich stoppen lassen können!“

Google bietet mehr als 70 Dienste an – unter anderem die Suchmaschine und „YouTube“

Google bietet mehr als 70 Dienste an – unter anderem die „Google“-Suche und „YouTube“. Im Rahmen der Konto-Registrierung habe sich Google für alle Dienste die Einwilligung einholen wollen, unter anderem sogenannte „Web- & App-Aktivitäten“ zu speichern. Dies habe alle Nutzeraktivitäten umfasst:

• auf Google-Websites,
• in Google-Apps,
• in Google-Diensten,
• bei den Suchanfragen,
• bei der Interaktion mit Google-Partnern,
• zum eigenen Standort,
• bei der Sprache.

Zudem sollte auch die Speicherung der auf „YouTube“ angesehenen Videos sowie das Einverständnis zur personalisierten Werbung von der Einwilligung umfasst sein.

Von Google 2022 eingeholte Einwilligung zur Datenverarbeitung genügte nicht der DSGVO

Diese von Google im Jahr 2022 eingeholte Einwilligung zur Datenverarbeitung entsprach nach Ansicht des vzbv jedoch nicht der DSGVO. „Das betraf die Express-Personalisierung genauso wie die manuelle Personalisierung.“ Bei der Express-Personalisierung hätten Nutzer entweder sämtlichen Datennutzungen zustimmen oder den Vorgang abbrechen müssen. „Bei der manuellen Personalisierung waren einzelne Datennutzungen ablehnbar. Dies galt jedoch nicht für die Nutzung des Standorts in Deutschland.“

Das LG Berlin schloss sich der Auffassung des vzbv an, dass diese Einwilligungserklärung unwirksam war und gegen die DSGVO verstieß. Danach müsse die Einwilligung in die Nutzung personenbezogener Daten freiwillig sein. An der Freiwilligkeit fehle es jedenfalls, weil die Datenverarbeitung personenbezogener Daten nicht komplett abgelehnt werden könne.

Reichweite der Einwilligung für Google den Betroffenen völlig unbekannt

Das LG Berlin beanstandete außerdem die mangelhaften Informationen zur vorgesehenen Datenverarbeitung. Es fehle schon deshalb an Transparenz, weil Google weder über die einzelnen Google-Dienste noch Google Apps, Google-Websites oder Google-Partner aufkläre, für welche die Daten verwendet werden sollen.

Die Reichweite der Einwilligung sei den Betroffenen daher völlig unbekannt. Dass die Angabe der einzelnen Dienste aufgrund ihrer Fülle zu einer unübersichtlichen Darstellung führen würde, deute „eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat“.

Google hat gegen das Urteil Berufung eingelegt

Das LG Berlin verurteilte Google außerdem dazu, es zu unterlassen, Nutzer in den Voreinstellungen nicht auch eine Speicherfrist der Daten von drei Monaten anzubieten. Ein Löschen der Daten nach drei Monaten habe von den Nutzern nur nachträglich eingestellt werden können.

Das Gericht sah darin einen Verstoß gegen Artikel 25 Absatz 2 Satz 1 DSGVO (sog. „privacy by default“). Diese Vorschrift verlange, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssten, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Das vorliegende Urteil des LG Berlin II vom 25. März 2025 (Az. 15 O 472/22) ist bisher nicht rechtskräftig – Google hat gegen dieses Urteil Berufung eingelegt (Kammergericht Berlin, Aktenzeichen: 5 U 45/24).

Vorgehen gegen Google als Teil einer europäischen Verbraucherschutz-Aktion

Im Sommer 2022 nahm der vzbv an einer gemeinsamen Aktion von zehn europäischen Verbraucherverbänden teil, welche unter dem Dach der europäischen Verbraucherorganisation BEUC mit verschiedenen Mitteln gegen Google vorgingen. Die vzbv-Klage gegen Google ist Teil dieser Aktion.

Das nun erstrittene Urteil zeige einmal mehr die Bedeutung der DSGVO und dass sich auch marktmächtige Unternehmen an die in der EU geltenden Datenschutzvorschriften halten müssten.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 25.03.2025
Landgericht Berlin II / Az.: 150 472/22

BEUC, The European Consumer Organisation, 30.06.2022
Letter to Wojciech Wiewiórowski, EDPS: coordinated GDPR enforcement action against Google

WIKIPEDIA
Europäischer Verbraucherverband

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt

[datensicherheit.de, 04.06.2024] Laut aktuellen Medien-Berichten sollen zahlreiche Nutzerdaten in „Telegram“-Kanälen geleakt worden sein – darunter hochsensible Angaben wie Nutzernamen bzw. E-Mail-Adressen und Passwörter zu verschiedenen Online-Accounts. ESET kommentiert in einer Stellungnahme diesen Vorfall und gibt evtl. betroffenen Nutzern Tipps.

Cyber-Kriminelle missbrauchen Telegram-Kanäle zur Verbreitung gestohlener Daten

Einer aktuellen Meldung des Blogs „Troy Hunt“ zufolge haben Unbekannte über 122 Gigabyte an Daten in Kanälen der Messenger-App „Telegram“ veröffentlicht. Der Blog-Herausgeber ist zudem Betreiber von „‘;–have i been pwned?“, einer Web-Datenbank für geleakte Zugangsdaten. Darin enthalten: „361 Millionen E-Mail-Adressen, von denen knapp die Hälfte bis dato anscheinend noch nie in einem solchen Datenleck aufgetaucht ist.“

Auch Benutzernamen und Passwörter zu Online-Konten seien Teil dieses Leaks. Cybersecurity-Experten haben demnach diese Anmeldedaten von mehreren „Telegram“-Kanälen gesammelt: „In diesen von Cyber-Kriminellen genutzten Kanälen werden gestohlene Daten verbreitet, um den Ruf des Kanals zu verbessern und Abonnenten zu gewinnen.“ Die dort geposteten Informationen seien höchstwahrscheinlich zum großen Teil echt.

Starker und aktueller Malware-Schutz für Datensicherheit unabdingbar

„Telegram wird häufig als offenes, app-basiertes ,Dark Forum’ genutzt, in dem Benutzerdaten und illegales Material ausgetauscht werden. Es teilt viele Eigenschaften mit dem ,DarkWeb’ hinsichtlich Anonymisierung und zieht auch Cyber-Kriminelle für bösartige Aktivitäten an“, erläutert der ESET-IT-Sicherheitsexperte Jake Moore.

„Benutzernamen und Kennwörter werden häufig mithilfe von Infostealer-Malware gestohlen, mit der Cyber-Kriminelle Computer infizieren. Ein starker und aktueller Malware-Schutz ist deshalb unabdingbar“, so Moores dringender Rat.

Weitere konkrete ESET-Tipps zur Stärkung der Datensicherheit für Nutzer:

Eigene Daten überprüfen!
Auf der Website „‘;–have i been pwned?“ könnten Nutzer feststellen, ob ihre E-Mail-Adressen und Passwörter bereits vom aktuellen oder einem vorangegangenen Leak betroffen waren.

Auf Spam-Nachrichten achten!
Sind die eigenen Daten bereits im Umlauf, sollten Nutzer in nächster Zeit besonders vorsichtig sein: „Die gesammelten E-Mail-Adressen werden häufig für Spam-Kampagnen genutzt.“

Bestehende Passwörter ändern!
„Hacker werden die erbeuteten Zugangsdaten für den Zugriff auf verschiedene Accounts nutzen.“ Experten sprächen hier von „Credential Stuffing“. Vor allem sollten Nutzer für jedes Konto ein einzigartiges, sicheres Passwort verwenden.

Eine Zweifaktor-Authentifizierung (ZFA) einrichten!
Sobald neben Nutzernamen und Passwort ein weiterer Faktor – wie z.B. eine Smartphone-App – in Benutzung ist, könnten Cyber-Kriminelle nicht mehr ohne weiteres auf Online-Konten zugreifen, sollten sie in den Besitz von Login-Daten gelangen.

Weitere Informationen zum Thema:

Troy Hunt, 04.06.2024
Telegram Combolists and 361M Email Addresses

‚;–have i been pwned?
Check if your email address is in a data breach

[datensicherheit.de, 08.05.2019] Immer häufiger erhalten Hacker Zugriff auf die Public-Cloud-Ressourcen von Unternehmen und Organisationen. Die Ursache ist oft ein nachlässiger Umgang mit den Zugangsschlüsseln berechtigter Nutzer. Eine wesentliche Quelle solcher Schlüssel stellen Entwickler-Plattformen wie GitHub dar, auf denen Mitglieder der DevOps-Teams oft auch vertrauliche Informationen ablegen, die sich in Skripten oder Konfigurationsdateien befinden.

Hoher Schaden möglich

Hacker sind sich dessen bewusst und führen automatisierte Scans auf solchen Repositories durch, um ungeschützte Schlüssel zu finden. Sobald sie solche Schlüssel gefunden haben, erhalten Hacker direkten Zugriff auf die exponierte Cloud-Umgebung, die sie für Datendiebstahl, Account-Übernahme und Ressourcenausbeutung nutzen. Ein sehr häufiger Anwendungsfall ist der Zugriff von Hackern auf ein Cloud-Konto, in dem sie dann multiple Instanzen starten, um Kryptowährungen zu schürfen. Die Kryptowährung bleibt beim Hacker, während der Besitzer des Cloud-Kontos die Rechnung für die Nutzung von Computerressourcen bezahlen kann. Solche Fälle von Erschleichung sind häufiger als man denken sollte – auch namhafte Auto- und Software-Hersteller oder Internet-Unternehmen finden sich unter den Opfern. Der Schaden kann dabei durchaus 4- bis 5-stellige Beträge pro Tag erreichen. Das Problem ist so weit verbreitet, dass Amazon sogar eine spezielle Supportseite eingerichtet hat, auf der den Entwicklern mitgeteilt wird, was sie tun sollen, wenn sie versehentlich ihre Zugangsschlüssel preisgeben.

Kompromitierung von Drittanbietern als Zugang zu Zugangsschlüssel

Neben dem Hochladen auf GitHub & Co. gibt es jedoch auch andere Möglichkeiten, Zugangsschlüssel zu exponieren. Hierzu zählen etwa Fehlkonfiguration von Cloud-Ressourcen, die solche Schlüssel enthalten, Kompromittierung von Drittanbietern, die über solche Zugangsdaten verfügen, Exposition durch Client-seitigen Code, der Schlüssel enthält, gezielte Spear-Phishing-Angriffe gegen DevOps-Mitarbeiter und mehr.

Bild: Radware

Infografik Cloud-Angriffe

Radware hat drei grundlegende Tipps für Public-Cloud-Nutzer, mit denen sie sich vor Missbrauch ihrer Ressourcen schützen können:

1. Vom Worst Case ausgehen
   Natürlich ist die Sicherung der Vertraulichkeit von Anmeldeinformationen von größter Bedeutung. Da solche Informationen jedoch auf verschiedene Weise und aus einer Vielzahl von Quellen weitergegeben werden können, sollte man davon ausgehen, dass Anmeldeinformationen bereits veröffentlicht sind oder in Zukunft veröffentlicht werden können. Die Annahme dieser Denkweise wird dabei helfen, den Schaden, der durch diese Gefährdung entstehen kann, zu begrenzen.
2. Berechtigungen einschränken
   Die Hauptvorteile der Migration in die Cloud sind die Agilität und Flexibilität, die Cloud-Umgebungen bieten, wenn es um die Bereitstellung von Computerressourcen geht. Agilität und Flexibilität gehen jedoch oft auf Kosten der Sicherheit. Ein gutes Beispiel ist die Gewährung von Berechtigungen für Benutzer, die sie nicht haben sollten. Im Namen der Zweckmäßigkeit erteilen Administratoren den Benutzern häufig pauschale Berechtigungen, um einen uneingeschränkten Betrieb zu gewährleisten. Das Problem ist jedoch, dass die Mehrzahl der Benutzer die meisten der ihnen gewährten Berechtigungen nie verwenden und sie wahrscheinlich gar nicht erst benötigen. Dies führt zu einer klaffenden Sicherheitslücke, denn wenn einer dieser Benutzer (oder deren Zugriffsschlüssel) gefährdet wird, können Angreifer diese Berechtigungen ausnutzen, um erheblichen Schaden anzurichten. Daher wird die Begrenzung dieser Berechtigungen nach dem Prinzip der geringsten Privilegien erheblich dazu beitragen, potenzielle Schäden zu begrenzen, wenn Zugriffsschlüssel in falsche Hände geraten
3. Die Früherkennung ist entscheidend
   Der letzte Schritt ist die Implementierung von Maßnahmen, die die Benutzeraktivität auf potenziell schädliches Verhalten überwachen. Ein solches bösartiges Verhalten kann die erstmalige Verwendung von APIs, der Zugriff von ungewöhnlichen Orten aus, der Zugriff zu ungewöhnlichen Zeiten, verdächtige Kommunikationsmuster, die Exposition von Daten oder Ressourcen und vieles mehr sein. Die Implementierung von Erkennungsmaßnahmen, die nach solchen Indikatoren für bösartiges Verhalten suchen, diese korrelieren und vor potenziell bösartigen Aktivitäten warnen, wird dazu beitragen, dass Hacker frühzeitig entdeckt werden, bevor sie größeren Schaden anrichten können.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2019
Thycotic-Umfrage: PAM wandert in die Cloud

datensicherheit.de, 29.04.2019
Studie: Trend zur Cloud – IT-Security spielt entscheidende Rolle

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

datensicherheit.de, 28.04.2019
Herausforderungen bei Cloud-First-Strategie meistern

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

[datensicherheit.de, 15.10.2018] Händewaschen ist ein Stück Zivilisation. Kindern bringt man es am besten frühzeitig bei; und wenn man von draußen kommt und vor dem Essen heißt es: Händewaschen nicht vergessen. Es schützt vor Infektionen, denn Dreck macht zwar Speck, aber bei weitem nicht jeder Schmutz ist gesund. Immerhin sind die Hände die häufigsten Überträger von Keimen. Übers Händewaschen muss man nicht diskutieren, eine Selbstverständlichkeit, die man vielleicht das eine oder andere Mal vergisst, die aber niemand ernsthaft in Frage stellt.

Soweit ist die IT-Hygiene noch lange nicht. Datenschutz ist wie Händewaschen, und auch Datenschutz wird nicht generell in Frage gestellt. Klar, Datenschutz muss sein – aber … So heißt es in der Praxis oft: Datenschutz darf nicht zu Lasten von Innovationen, von Fortschritt, von Usererfahrung, von Einkaufserlebnis oder ganz allgemein von Business gehen. Kurz: Selbstverständlichkeiten sehen anders aus.

Dabei ist es so ähnlich wie bei den Kinderhänden: von draußen wird eine Menge Schmutz mitgebracht. Gerade auch bei den immer beliebter werdenden mobilen Systemen. Da werden willkürlich Apps heruntergeladen, ohne dass sich die Nutzer groß Gedanken über die Folgen machen: Auf welche Ressourcen kann so eine App zugreifen? Welche Kommunikationskanäle nutzt sie? Was verbirgt sich in den Tiefen der nie gelesenen Nutzungsbedingungen? Kann die betreffende App zum Beispiel Kontaktdaten auslesen? Kann sie nach Hause telefonieren? Und was teilt sie dabei alles mit?

Die Nutzer orientieren sich vor allem an der Funktionalität ihrer Apps. Die geringen Kosten, meist gibt es sowieso alles umsonst, und die Leichtigkeit der Installation aus dem App-Universum verleiten zu großer Sorglosigkeit. Die eigentlich selbstverständliche IT-Hygiene unterbleibt allzu oft – hier setzt man sich ungewaschen an den Tisch. Für private Systeme mag das als nicht so schlimm erachtet werden, man hat ja nichts zu verbergen und wen interessiert schon, was es gestern zum Essen gab – übrigens eine Haltung, die sich spätestens dann rächt, wenn jemand Opfer eines Identitätsdiebstahls wird. Im geschäftlichen Umfeld ist diese Einstellung erst recht fatal: Hier können die Schmutz-Apps unmittelbar geschäftsschädigende Auswirkungen haben, wenn die abgegriffenen Kalender- und Kontaktdaten beispielsweise verraten, wer sich mit wem wo wie lange trifft. Solche Metadaten sind ein Eldorado für versierte Big-Data-Analysten.

IT-Hygiene ist daher gerade bei mobilen Systemen dringend angebracht: Händewaschen vor dem Installieren von Apps nicht vergessen. Schmutz draußen lassen, zum Beispiel indem man sich Gedanken macht, warum man was auf sein Gerät lässt. Und indem man private und berufliche Daten auf dem Smartphone oder Tablet konsequent trennt und die beruflichen Daten in einen gesicherten Container packt. Man muss ja nicht gleich mit Desinfizieren anfangen. Einfach regelmäßig waschen, das ist schon mal ein guter Anfang.

Weitere Informationen zum Thema:

datensicherheit.de, 15.10.2018
Datenschutz: Jede fünfte Behörde rechnet mit noch mehr Anfragen im vierten Quartal

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de, 20.08.2018
Datenhoheit versus Datenschutz in der digitalen Kommunikation

datensicherheit.de, 29.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

Von unserem Gastautor Till Jäger, Security Engineer bei Exabeam

[datensicherheit.de, 18.09.2018] Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

Maschinelles Lernen steigert die Effizienz der Überwachung durch Automatisierung

Um die Gefahr ausgehend von Nutzern zu minimieren, können Algorithmen für Maschinelles Lernen die Verhaltenstrends der Nutzer im Netzwerk analysieren und individuelle Richtlinien für jeden einzelnen Benutzer erstellen. Diese kontinuierliche Analyse des normalen Verhaltens von Mitarbeitern kann so den Kontext liefern, um nicht normale Aktivitäten schnell zu erkennen und gegebenenfalls Alarm zu geben. Bei vielen herkömmlichen Tools zur Netzwerküberwachung fehlt dieser Kontext, wodurch sich die Wahrscheinlichkeit erhöht, dass verdächtiges Verhalten übersehen oder normales Verhalten als verdächtig eingestuft wird – und zu einem Fehlalarm führt. So kann das Verhalten eines Mitarbeiters aus der Personalabteilung, der auf Finanzinformationen im Netzwerk zugreift, auf den ersten Blick ungewöhnlich erscheinen. Doch hat er das auch in der Vergangenheit getan, weil er beispielsweise mit der Buchhaltungsabteilung für die Personalabrechnung zusammengearbeitet hat, können Lösungen aufbauend auf Maschinellem Lernen den Vorgang nachvollziehen und mit etabliertem Verhalten in Zusammenhang bringen. Ein Fehlalarm wird dadurch vermieden.

Das Konzept, das Nutzerverhalten zu kategorisieren, ist nicht neu, erfordert bei traditionellen manuellen Ansätzen jedoch einen erheblichen Zeit- und Ressourcenaufwand, der die IT-Sicherheitsteams in der Regel schnell überfordert. Durch KI-basierte Systeme wird dieser Prozess wesentlich effizienter, und das Sicherheitspersonal kann sich auf anspruchsvollere Aufgaben konzentrieren. Darüber hinaus können sich KI-basierte Systeme dynamisch an neue Verhaltensmuster des Nutzers anpassen und dadurch im Laufe der Zeit ihre Parameter immer weiter verfeinern, sodass reale Bedrohungen schnell erkannt und Fehlalarme minimiert werden.

Künstliche Intelligenz: Unterstützung, aber kein Ersatz für IT-Sicherheitsteams

Obwohl KI-basierte Verhaltensüberwachung viele Vorteile bietet, ist sie kein Allheilmittel für Probleme mit der Sicherheit von Netzwerken. Das teils irreführende Marketing mancher Anbieter hat dazu geführt, dass einige Unternehmen der riskanten Fehleinschätzung erliegen, sie könnten ihre IT-Teams reduzieren und ihre Netzwerksicherheit stattdessen neuen KI-Security-Lösungen anvertrauen. Zwar optimieren KI-basierte Lösungen das Verständnis des Nutzerverhaltens im gesamten Netzwerk erheblich, eine sorgfältige Verwaltung durch erfahrene Sicherheitsexperten ist jedoch nach wie vor unerlässlich.

Die KI-basierte Verhaltensüberwachung ist also kein Ersatz, sondern eine maßgebliche Verstärkung für bestehende Sicherheitspraktiken. Sie reduziert zeitaufwendige Prozesse und unterstützt IT-Teams dadurch enorm. Eine effektive KI-basierte Verhaltensüberwachung kann signifikante Datenmengen verarbeiten, Benutzeraktivitäten in Zeitleisten zusammenfassen und diese innerhalb weniger Minuten durch den Abgleich mit dem Standardverhalten analysieren. Dieselbe Aufgabe würde selbst einen erfahrenen Sicherheitsanalysten Tage, Wochen oder sogar Monate kosten. Von dieser manuellen Aufgabe befreit, kann das Fachpersonal die gewonnene Zeit effektiv nutzen, um die erstellten Benutzerprofile auf verdächtige Verhaltensabweichungen und die vom KI-System ausgelösten Warnmeldungen zu überprüfen.

Fazit

Die Herausforderungen, denen Netzwerk-Sicherheitsteams heute gegenüberstehen, sind zahlreich und schwierig. Der Einsatz von Technologien wie KI-basierter Verhaltensüberwachung kann die Last der IT-Teams erheblich reduzieren, da viele der zeitaufwändigeren manuellen Aufgaben entfallen, die eine effektive Netzwerksicherheit erfordert. KI sollten jedoch nicht als Ersatz für geschultes IT-Sicherheitspersonal gesehen werden, sondern als Verstärkung, die die operative Effizienz eines jeden Teams erheblich verbessert.

Bild: Exabeam

Till Jäger ist Security Engineer für Central & Eastern Europe bei Exabeam. Jäger hat über 20 Jahre Expertise im IT-Security-Umfeld und ist als Certified Ethical Hacker (CEH) und Certified Information Systems Security Professional (CISSP) zertifiziert. Vor Exabeam war er unter anderem bei ArcSight/HP sowie bei CA und verfügt über umfangreiche Erfahrung in den Bereichen SIEM und Identity and Access Management.

Weitere Informationen zum Thema:

datensicherheit.de, 30.08.2018
Maschinelles Lernen für effektive Netzwerksicherheit

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

[datensicherheit.de, 29.04.2016] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Meldung auf eine Datenschutzverletzung von globalem Ausmaß hin. Unbekannte sollen eine Liste mit mehreren hundert Spotify-Nutzerdaten, bestehend aus Nutzername, E-Mail-Adresse, Passwort und Zugangstyp auf der Internet-Plattform „Pastebin“ veröffentlicht haben. Nutzer des Musik-Streaming-Dienstes sollten umgehend überprüfen, ob ihr Konto betroffen ist, in jedem Fall aber umgehend ihre Zugangsdaten ändern, um weiteren Missbrauch zu verhindern.

Spotify dementiert Hackerangriff

Spotify habe gegenüber „Techcrunch“ bisher ein Hackerangriff bestritten. Ihre Datenbanken seien sicher, habe ein Spotify-Sprecher erklärt. Laut „Techcrunch“ müssten die Daten indes nicht aus einer aktuelle Kompromittierung bzw. Ausnutzung einer Sicherheitslücke des Musik-Streaming-Diensts stammen. Spotify sei in der Vergangenheit bereits Opfer von Hackern geworden, die Daten könnten also durchaus aus einem älteren Datendiebstahl stammen.

Bedrohung real und aktuell

„Techcrunch“ habe nach eigenen Angaben diverse in der Liste veröffentlichte Accounts überprüft und festgestellt, dass einige der Zugangsdaten funktionierten und zu real existierenden Konten gehörten. Betroffene hätten berichtet, dass Änderungen in ihrem Spotify-Account vorgenommen worden seien – so zum Beispiel durch Hinzufügen von neuen Liedern oder Playlists und sogar Änderungen der E-Mail-Adresse. In diesem Fall gerate der Nutzer in die unangenehme Lage, gegenüber Spotify beweisen zu müssen, dass er der rechtmäßige Inhaber des Kontos sei.

Unbedingt Passwörter ändern!

Auch wenn Nutzer bisher noch keine ungewöhnlichen Aktivitäten auf ihrem Konto hätten feststellen können, sei in jedem Fall zu empfehlen, das Passwort eigenständig oder mit Hilfe des Spotify-Supports zurückzusetzen. Um größeren Schaden zu vermeiden, sollten Nutzer in keinem Fall dasselbe Passwort für mehrere Dienste nutzen, um aus einem kompromittierten Passwort nicht einen „Flächenbrand“ entstehen zu lassen, der sich auf die Konten in Sozialen Netzwerken oder das Bankkonto ausbreitet.

Weitere Informationen zum Thema:

botfrei Blog, 28.04.2016
Hunderte Spotify-Zugänge im Netz aufgetaucht

[datensicherheit.de, 07.12.2011] Die europäische Agentur enisa gab am 7. Dezember 2011 einen Bericht heraus, der 16 Mängel bei der Erkennung von Vorfällen in Bezug auf die Netzsicherheit aufdeckt:
Demnach würden nicht alle verfügbaren Werkzeuge von der „digitalen Feuerwehr“, den „Computer Emergency Response Teams“ (CERTs), in ausreichendem Maß genutzt, um Cyber-Bedrohungen wirksam zu bekämpfen. Die enisa stellt daher auf europäischem und nationalem Niveau 35 Empfehlungen an Anbieter und Nutzer von Daten zusammen, um die Defizite abzumildern.
Laut der Studie nutzten die CERTs derzeit nicht alle verfügbaren externen Quellen voll aus. Gleichermaßen sammelten viele CERTs weder Daten über entsprechende Vorfälle, noch teilten sie diese mit anderen CERTs. Dies sei besorgniserregend, denn der Informationsaustausch sei der Schlüssel für eine effektive Bekämpfung von Schadsoftware und schädlichen Aktivitäten – besonders wichtig beim länderübergreifenden Kampf gegen Cyber-Bedrohungen. Die 16 Mängel bei der Aufdeckung von Vorfällen werden im Bericht gründlich analysiert. Zu den größten technischen Lücken gehörten ungenügende Datensicherheit (Falschmeldungen bei den gelieferten Daten, mangelnde Lieferpünktlichkeit) sowie fehlende Standardformate, -werkzeuge, -ressourcen und -fähigkeiten. Das bedeutendste rechtliche Problem beinhalte Datenschutzgesetze, die den Informationsaustausch erschweren.
CERT-Manager der jeweiligen Regierungen sollten den Bericht dazu nutzen, die aufgedeckten Mängel zu beseitigen, indem sie mehr externe Quellen zur Information über Vorfälle und zusätzliche Werkzeuge zur Informationssammlung nutzten, um die Lücken zu schließen, so Professor Udo Helmbrecht, Geschäftsführender enisa-Direktor. Für Datenanbieter konzentrierten sich die wichtigsten Empfehlungen darauf, wie man die CERTs besser erreichen könne, sowie auf bessere Datenformate, auf besseren Datenversand und auf eine Verbesserung der Datenqualität. Für Datenverbraucher würden zusätzliche Aktivitäten von CERTs empfohlen, um die Qualität der Dateneingabe zu verifizieren, sowie die spezifische Anwendung neuer Technologien. Auf europäischer oder nationaler Ebene seien schließlich eine Balance zwischen Datenschutz und Datensicherheit sowie die Bereitstellung von gemeinsamen Formaten, Möglichkeiten zur Integration statistischer Vorfallsmeldungen und eine Erforschung von Datenverlusten erforderlich.
Die proaktive Erkennung von Vorfällen diene der Aufdeckung von schädlicher oder böswilliger Aktivität – noch ehe Beschwerden oder Schadensberichte eingehen. Als solches sei sie der Eckpfeiler für das Portfolio effizienter CERT-Dienste. Sie könne die Effizienz der Aktivitäten von CERTs enorm verbessern und so ihre Fähigkeiten im Umgang mit Vorfällen stärken – einen der Basisdienste von nationalen und staatlichen CERTs.

Weitere Informationen zum Thema:

enisa, 07.12.2011
Proactive detection of network security incidents, report

[datensicherheit.de, 28.10.2010] Ob man mit seinem Notebook im Café sitzt und gerade nach einem geeigneten Film für den Kinoabend sucht oder mit seinem Handy die aktuellen Schlagzeilen des Tages betrachtet, das Internet ist längst nicht mehr an Desktop-Computer gebunden, es ist nahezu überall verfügbar. Die neuen Möglichkeiten bringen auch neue Gefahren mit sich. Auch oder gerade besonders in Bezug auf mobiles Internet muss auf Datensicherheit geachtet werden:
UMTS gilt als Mobilfunktechnik der dritten Generation und verfügt als solches über deutlich bessere Sicherheitsfunktionen als die Vorgänger der zweiten Generation, wie beispielsweise GPRS (General Packet Radio Service). Da Datensicherheit immer mehr in den Blickwinkel der Öffentlichkeit gerät, werden die Sicherheitsmerkmale der UMTS-Technologie weiterhin verbessert. Mobiles Internet profitiert davon, dass die Anbieter dieser Technologie sich bewusst sind, dass sie auch am Grad der von ihnen gebotenen Datensicherheit gemessen werden. Dadurch werden auf diesem Gebiet immer bessere Entwicklungen finanziert.
WLAN ist nicht generell unsicher. Hier wird ebenfalls stetig der Standard verbessert. Da es sich bei der WLAN-Übertragung jedoch um keinen Standard mit vorgeschriebener Verschlüsselung handelt, muss jeder Nutzer selbst für seine Sicherheit oder besser die Sicherheit seiner Daten sorgen. Es gibt noch immer viele Fälle von ungesicherten Verbindungen ins Internet, die fremden Personen den Zugang zu den eigenen Daten oder die Nutzung der Verbindung zu illegalen Zwecken ermöglichen. Zweitere fallen dann gegebenenfalls auch auf denjenigen zurück, der offizieller Inhaber und Betreiber dieser Verbindung ist. Öffentliche WLAN-Hotspots sind hingegen meist sicher, da der Netzanbieter dort nicht selten durch seine aufgesetzten Protokolle die Daten der Nutzer vor unberechtigtem Zugriff schützt.
Wenn man mobiles Internet nutzt, sollte man einige grundlegende Maßnahmen ergreifen, die auch ohne große Softwarekenntnisse zu meistern sind. Das Note- oder Netbook und auch das Mobiltelefon sollten durch Passwörter oder PINs geschützt sein. Diese Funktionen auszuschalten, mag den Nutzer zwar vor anstrengenden Gedächtnisleistungen bewahren, serviert interessierten Fremden die enthaltenden Daten aber auf dem sprichwörtlichen „Silbertablett“. Ebenso sollte man die Internetverbindung nach Möglichkeit noch einmal extra sichern, indem man sich nach einer guten Verschlüsselung erkundigt und diese dann auch nutzt. Außerdem sollte man nicht alle seine Daten für immer auf dem mobilen Gerät gespeichert lassen. Sicherungskopien auf anderen Datenträgern, die sicher im eigenen Heim bleiben, sind ebenfalls ein guter Schutz für ihre Daten. Wenn man bestimmte vertrauliche Informationen unterwegs nicht ständig benötigt, sollte man sie daheim sichern und von dem mobilen Datenträger entfernen, besonders wenn dieser für mobiles Internet gebraucht wird.

Über facebook könne jeder erfahren, mit wem jemand Umgang pflegt. Voraussetzung sei, dass die betreffende Person selbst nicht bei facebook angemeldet und deren E-Mail-Adresse bekannt sei. facebook speichere nämlich auch Daten von Nutzern, die sich nie auf der Plattform angemeldet hätten, berichtete Stephan Dörner für die RP.ONLINE am 17.10.2010:
An die Daten der E-Mail-Adressen komme facebook, wenn Nutzer den Zugriff auf ihr E-Mail-Postfach wie „Google Mail“, „Yahoo Mail“ oder „Hotmail“ erlaubten. Diese Verknüpfung von facebook und dem E-Mail-Account solle eigentlich dem Einladen von Freunde und Bekannten per E-Mail dienen.

Quelle: RP.ONLINE, 17.10.2010
Originalartikel unter: Kenntnis der E-Mail-Adresse reicht / Spionage für jedermann bei Facebook möglich