[datensicherheit.de, 21.10.2020] Die Otto-Friedrich-Universität Bamberg berichtet in ihrer aktuellen Meldung über „Informatiker im Undercover-Einsatz“: Demnach haben drei Forscher bei mehr als 200 Apps getestet, ob die Anbieter persönliche Nutzerdaten auf Anfrage herausgeben. Viele Anbieter hätten gar nicht geantwortet, manche seien nicht einmal erreichbar gewesen. Antworten seien ungenügend gewesen, etwa weil sie unverständlich strukturiert gewesen seien oder die Links zu den angeforderten Daten nicht funktioniert hätten.

Foto: Jürgen Schabel / Universität Bamberg

Prof. Dr. Dominik Herrmann: Informatiker legten fiktive Nutzerprofile an, so dass 225 App-Anbieter Zugang zu deren persönlichen Daten bekamen

Studie zeigt, dass viele App-Anbieter gesetzlicher Auskunftspflicht nicht nachkommen

Auch in der Wissenschaft gebe es verdeckte Ermittler: Mit sogenannter Undercover-Feldforschung hätten drei Informatiker der Universitäten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt – sie wollten herausfinden, ob diese wie vorgeschrieben die persönlichen Nutzerdaten auf Anfrage herausgeben.
„Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, berichtet Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. Insgesamt hätten sie 225 „iOS“- und „Android“-Apps untersucht. „Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie sei im August 2020 auf der internationalen IT-Sicherheits-Konferenz „ARES 2020“ vorgestellt und als beste Einreichung mit dem „Best-Paper-Award“ ausgezeichnet worden.

App-Anbieter schweigen lieber – ein Fünftel antwortete nicht

Professor Herrmann, Jens Lindemann von der Universität Hamburg und Jacob Leon Kröger von der TU Berlin hätten die Verlaufsstudie mit dem Titel „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“ zwischen 2015 und 2019 durchgeführt. Für ihre „Undercover-Untersuchung“ hätten die Informatiker fiktive Nutzerprofile angelegt, so dass insgesamt 225 App-Anbieter Zugang zu diesen persönlichen Daten bekommen konnten.
Rund ein Drittel der Apps habe aus Deutschland gestammt, die anderen aus Ländern weltweit. In den Jahren 2015, 2018 und 2019 hätten die Wissenschaftler die Anbieter darum gebeten, ihnen die persönlichen gespeicherten Daten zu nennen. „Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erläutert Herrmann. Häufig seien die Antworten ungenügend gewesen, etwa weil sie unverständlich strukturiert gewesen seien oder die Links zu den angeforderten Daten nicht funktioniert hätten. „Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“

Drei Viertel der App-Anbieter prüften nicht Identität des Antragstellers

Besonderes Augenmerk legten die Wissenschaftler nach eigenen Angaben auf die Unterschiede zwischen 2018 und 2019, da im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) eingeführt wurde, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. „Nach der Einführung erwarteten wir einen positiven Trend“, so Professork Herrmann. Stattdessen sei die Zahl der akzeptablen Antworten tendenziell eher noch zurückgegangen: „Von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“
Eine Antwort sei für die Wissenschaftler akzeptabel gewesen, „wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren“. Bedenklich findet das Forscherteam, „dass rund drei Viertel der Anbieter nicht die Identität der antragstellenden Person überprüften“. Positive Entwicklungen hätten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen festgestellt, „beispielsweise wurden den Anfragenden häufiger verständliche Daten zur Verfügung gestellt“.

Apps grundsätzlich mit Bedacht auswählen und möglichst wenig Persönliches preisgeben!

Auf die Frage, was Nutzer tun könnten, die nicht die gewünschte Auskunft erhalten, antwortet Herrmann: „Betroffene sollten sich an Datenschutzbehörden wenden, die derartige Verstöße verfolgen.“ Er empfehle außerdem, Apps grundsätzlich mit Bedacht auszuwählen und möglichst wenig Persönliches preiszugeben – oder gar falsche Angaben zu machen, sofern möglich.
Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: „Die zuständigen Aufsichtsbehörden benötigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie könnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch könnten sie auf die fehleranfällige manuelle Bearbeitung verzichten.“

Weitere Informationen zum Thema:

Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann, 2020
How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES ’20: Proceedings of the 15th International Conference on Availability, Reliability and Security.

vimeo
ARES 2020 – How do App Vendors Respond to Subject Access Requests? A Longitudinal Privacy Study on iOS and Android Apps

Universität Bamberg
Digitale Geistes-, Sozial- und Humanwissenschaften

datensicherheit.de, 28.08.2020
Kontaktdaten: Risiken auch bei Erfassung mit Apps und Webservern

[datensicherheit.de, 02.08.2018] Cyberkriminelle konnten zwischen dem 14. und 18. Juni 2018 in die Systeme des Social-News-Aggregators Reddit eindringen und dabei Nutzerdaten entwenden. Der Vorfall war dem Unternehmen bereits am 19. Juni bekannt, die Datenpanne wurde jedoch erst jetzt gemeldet. Betroffene Nutzer sollen prüfen, ob sie das Passwort ihres Accounts auch für andere Seiten verwendet haben und ihre Daten von den Hackern missbraucht wurden.

Foto: LogRhythm

Ross Brewer, Vice President und Managing Director EMEA bei LogRhythm, kommentiert die Datenpanne folgendermaßen:

„Zwar geht die Offenlegung einer Datenverletzung oft einher mit der Aufdeckung des Ausmaßes sowie der Aufklärung von Betroffenen, jedoch hat sich Reddit gegen das alles entschieden. Stattdessen rät er seinen Nutzern, das ganze selbst in die Hand zu nehmen und die eigenen Posteingänge nach ungewöhnlichen Aktivitäten zwischen dem 3. und 17. Juni zu überprüfen – also dem Zeitraum, in dem der Cyberangriff stattfand. Diese Reaktion ist unpässlich. Denn das Unternehmen hat seine Kunden durch offensichtlich fehlende Sicherheitsmaßnahmen verletzlich gemacht und lässt sie nun mit diesem Problem alleine. Damit verstößt es gegen die Datenschutz-Grundverordnung (DSGVO), sollten europäische Bürger betroffen sein.

Cyberkriminelle konnten Zugang zu Datenbanken erhalten, indem sie Textnachrichten abfingen, die im Rahmen von Reddits Zwei-Faktor-Authentifizierungsmaßnahmen gesendet wurden. So erhielten sie die Zugangsdaten der Mitarbeiter, die dann wiederum für den Zugriff auf Datenbanken mit Benutzerdaten verwendet wurden. Dabei konnten die Angreifer auch Benutzernamen und E-Mail-Adressen identifizieren, die für die E-Mail-Funktion des Unternehmens verwendet wurden.

Der Verstoß bekräftigt, dass Firmen mehr unternehmen müssen, um ihre sensiblen Daten zu schützen. Dabei kann die Zwei-Faktor-Authentifizierung nicht die einzige Maßnahme sein, sondern muss lediglich Bestandteil eines größeren Sicherheits-Setups sein. Dies bedeutet eine automatische Erkennung durch Tools wie NextGen SIEM und User and Entity Behaviour Analytics (UEBA), mit denen anomale Aktivitäten schnell erkannt werden können, sodass potenzielle Bedrohungen von vornherein ausgeschaltet werden.“

 Weitere Informationen zum Thema:

datensicherheit.de, 24.06.2018
Überlebensfrage: Abwehr von Cyber-Attacken auf kritische Infrastruktur

datensicherheit.de, 05.07.2017
Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen

[datensicherheit.de, 27.04.2018] 50 von 280 untersuchten virtuellen privaten Netzwerken (VPN) übermittelten laut einer kürzlich durchgeführten Studie von vpnMentor über das für die meisten Nutzer unbekannte „Facebook Pixel“ Nutzerdaten an facebook.

Wiedervermarktungs-Plugin lautet Daten weiter

„Facebook Pixel“ ist demnach ein Wiedervermarktungs-Plugin, welches einer Website helfen soll, ihre Werbung auf Sozialen Netzwerken zu optimieren.
Durch das Nutzen dieses Plugins leitet der VPN laut vpnMentor jedoch unverzüglich Nutzerdaten an facebook weiter.

Auswirkungen auf die Privatsphäre

Die Auswirkungen auf die Privatsphäre der Nutzer seien „gravierend“.
So könne beispielsweise facebook sehr wahrscheinlich bestimmen, welche Nutzer ein VPN gekauft haben – dies sei für die Kunden, welche für ein VPN bezahlen, ein „wichtiges Datenschutzproblem“.

Anbieter auf Datenschutzproblem aufmerksam machen!

Einige VPN-Anbieter hätten bereits auf diese Ergebnisse der vpnMentor-Studie reagiert: Bei neun Anbietern sei seit der Publikation der Funde „Facebook Pixel“ von der Website entfernt worden.
vpnMentor hält nach eigenen Angaben alle Nutzer von VPN, die als „Facebook Pixel“-Nutzer identifiziert wurden, dazu an, ihre Anbieter auf das Datenschutzproblem aufmerksam zu machen.

Weitere Informationen zum Thema:

vpnMentor
Report: 50 VPNs share data on their users with Facebook

datensicherheit.de, 07.04.2018
Illegales Krypto-Mining: Missbrauch von Fußball- und VPN-Apps als neuer Trend

[datensicherheit.de, 21.05.2017] Über ein von einem eigenen Mitarbeiter verursachtes Datenleck sollen rund 17 Millionen E-Mail-Adressen und Passwörter des Online-Suchdienstes Zomato gestohlen worden sein. Monatlich nutzten rund 120 Millionen Menschen diese Suchmaschine für Restaurants, Cafés und Fast-Food-Ketten. Für Vectra Networks belegt dieser „massive Datendiebstahl“ nach eigenen Angaben einmal mehr, „dass viele Unternehmen gegen Cyber-Angriffe durch Insider relativ schlecht geschützt sind“.

Arglose „Foodies“ im Visier Cyber-Krimineller

Vectra Networks rät Unternehmen daher dringend, ihre Netzwerke nicht nur gegen Eindringlinge von außen zu schützen, sondern auch die Vorgänge innerhalb des Netzwerks effektiver zu überwachen. Hierfür eigneten sich vor allem Konzepte, „die Künstliche Intelligenz und Maschinelles Lernen integrieren“.
Nach Meinung von Gérard Bauer, „Vice President EMEA“ bei Vectra Networks, sollte diese jüngste erfolgreiche Cyber-Attacke Unternehmen aufrütteln, die sich zu sehr auf den Schutz am Perimeter, dem Übergang zwischen Firmennetzwerk und Internet, verlassen: Die Gruppe der „Foodies“ (Menschen, die sich in ihrer Freizeit intensiv mit Themen rund um Ernährung und Kochen beschäftigen) sei groß und wachse immer schneller. Dies mache sie zu einer attraktiven – und oft auch arglosen Zielgruppe für Cyber-Kriminelle.

Mangel an Sichtbarkeit der Vorgänge innerhalb des Netzwerks machten Attacke möglich

Hinter Bewertungswebsites und Diskussionsforen steckten meist eine große Menge an persönlichen Daten. Dies sei nicht ungewöhnlich, denn oft seien auch Bankdaten hinterlegt, um beispielsweise verbindlich Plätze in Restaurants zu buchen oder Tickets für Events zu bestellen.
Zomato bestehe zwar auf der Aussage, dass keine Bankdaten gestohlen worden seien, so seien aber die Folgen des Diebstahls von E-Mail-Adressen und Passwörtern nicht zu unterschätzen. Bauer: „Je nachdem, welche Art von Verschlüsselungsstandard Zomato im Einsatz hatte, wird es den Hackern mehr oder weniger leicht fallen die Passwörter durch Brute-Force-Techniken zu knacken.“
Es sei noch nicht bekannt, wann genau die Daten von den Angreifern entwendet wurden. Da es sich aber den Angaben nach um eine Insider-Attacke gehandelt habe, sei fast auszuschließen, dass konventionelle Schutzmechanismen am Perimeter in der Lage gewesen wären, diese Attacke zu entdecken oder zu stoppen.
Es sei offensichtlich, dass ein Mangel an Sichtbarkeit der Vorgänge innerhalb des Netzwerks die Attacke möglich gemacht hätten. Deshalb sei es auch schwer zu sagen, wann genau der Angriff stattfand. Somit werde es auch für die Nutzer schwierig einzuschätzen, ab wann ihre Passwörter, die sie möglicherweise auch für andere Online-Angebote genutzt hätten, nicht mehr sicher waren. Sie müssten nun also alle Accounts mit dem gleichen Passwort bei anderen Diensten prüfen.

Vorgänge im Netzwerk automatisch überwachen und verdächtige Aktivitäten entdecken!

„Dies war nicht das erste – und sicher nicht das letzte Mal, dass wir bei Unternehmen mangelnde Transparenz von Vorgängen im Netzwerk sehen“, so Bauer.
Außerdem werde einmal mehr deutlich, dass laufende Attacken nicht identifiziert würden und es somit Kriminellen möglich sei, lange Zeit unentdeckt zu bleiben. Aus diesen Gründen sollten Unternehmen mehr tun – sie müssten in der Lage sein, Vorgänge im Netzwerk automatisch zu überwachen, verdächtige Aktivitäten zu entdecken und somit auf Eindringlinge so schnell wie nur möglich zu reagieren. „Nur so kann man Sicherheitsvorfälle unterbinden, bevor Schaden entsteht“, betont Bauer.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2016
Sicherheitslücke in Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker

[datensicherheit.de, 29.03.2016] Die Deutsche Nationalbibliothek (DNB) sammelt lückenlos alle deutschen und deutschsprachigen Publikationen ab 1913 und stellt sie der Öffentlichkeit zur Verfügung. Dabei muss sie auch für die lückenlose Sicherheit der Nutzerdaten Sorge tragen.

Redundanz auch für digitalisierte Bestände gefordert

Die DNB hat über eine bundesweite Ausschreibung nach einer zuverlässigen IT-Sicherheitslösung gesucht. Laut einem aktuellen Anwendungsbericht sei sie bei Rohde & Schwarz Cybersecurity und dem Telekommunikationsanbieter HL fündig geworden.
Sie hat zwei Standorte in Leipzig und Frankfurt am Main. Beide Häuser verfügen größtenteils über denselben Präsenzbestand an deutschen Publikationen, um beispielsweise im Falle eines Brandes ein Backup des kulturellen Erbes Deutschlands zu haben. Diese gegenseitige Absicherung soll auch für die zunehmend digitalisierten Bestände gelten. Um diese schneller verfügbar zu haben, sollte die Vernetzung beider Standorte bezüglich ihrer Geschwindigkeit und Redundanz nun verbessert werden.

Schutz der Nutzerdaten

Die DNB muss aber nicht nur ihre Bestände sichern, sondern auch die sensiblen Daten ihrer Nutzer, denn viele Dienstleistungen der Bibliothek könnten bereits über das Internet genutzt werden, zum Beispiel um Bücher und Zeitschriften in den Lesesaal zu bestellen. Manche dieser Dienste, beispielsweise die WLAN-Anmeldung im Lesesaal oder Buchbestellungen und -vormerkungen, seien dabei personenbezogen und erforderten vom Nutzer die Eingabe persönlicher Daten. Zudem gebe es digitale Objekte, wie elektronische Publikationen, die einem Copyright unterlägen und nur in den Lesesälen öffentlich zugänglich sein dürften.
Man sei nicht nur in der Pflicht, deutsche Publikationen zu sichern, betont Peter Ratuschni, DNB-Sachgebietsleiter „Netzwerk und Rechenzentrum“. „Wir sind auch unseren Nutzern und Mitarbeitern gegenüber in der Pflicht, für den besten Schutz ihrer Daten Sorge zu tragen“, so Ratuschni.

30.000 registrierte Nutzer zu verwalten

Insgesamt habe die DNB aktuell ca. 30.000 registrierte Nutzer. Gleichzeitig verfüge sie derzeit über einen Bestand von rund 27,9 Millionen Medienwerken, die sie archiviert und Interessierten zugänglich macht. Zudem erhöhten aktuelle Projekte, beispielsweise die Überführung von CD-Inhalten des Deutschen Musikarchivs in Leipzig in das Archivsystem am Frankfurter Standort, das zu transferierende Datenvolumen.
Da sich inzwischen fast alle Arbeitsabläufe auf IT abstützten, müsse ein reibungsloser Datenverkehr innerhalb der DNB gewährleistet werden, erläutert Ratuschni. Deshalb hätten bei der Wahl des Anbieters auch eine redundante Datenverbindung, hohe Verfügbarkeit, Ausfallsicherheit und Service eine entscheidende Rolle gespielt.

[datensicherheit.de, 17.11.2014] Deutschen Internetnutzer bevorzugen eindeutig kostenlose Online-Angebote. 76 Prozent greifen ausschließlich oder vor allem auf Angebote zurück, für die nicht bezahlt werden muss und nur gut jeder Fünfte nutzt sowohl kostenlose als auch kostenpflichtige Online-Angebote. 75 Prozent der Befragten sind sich allerdings auch der Tatsache bewusst, dass sie für diese kostenlosen Online-Angebote in der Regel mit ihren persönlichen Daten bezahlen müssen.

Dies sind die wesentlichen Erkenntnisse aus der neuen DIVSI Studie „Daten – Ware und Währung“, für die das Meinungsforschungsinstitut dimap in der zweiten Oktoberhälfte 2014 insgesamt 1002 Internetnutzer in Deutschland ab 14 Jahren telefonisch befragt hat.

Foto: Stefan Zeitz

DIVSI-Direktor Matthias Kammer und dimap-Geschäftsführer Reinhard Schlinkert (v.l.n.r)

„Online-Konsum steht hoch im Kurs. 82 Prozent der Befragten nutzen das Internet zum Einkaufen. Nur 17 Prozent shoppen ausschließlich offline. Angesichts dieses Trends rücken Fragen in den Vordergrund, die sich mit der kommerziellen Weiterverwendung persönlicher Daten und damit zusammenhängenden Sicherheitsproblemen beschäftigen“, erklärte DIVSI-Direktor Matthias Kammer bei der Vorstellung der Studie in Berlin.

Internetnutzer lehnen Geschäft mit den eigenen Daten ab

Mehrheitlich gehen die deutschen Internetnutzer davon aus, dass die meisten Anbieter von Online-Angeboten mit den persönlichen Daten ihrer Nutzer Geld verdienen, aber gleichzeitig lehnen 80 Prozent der Befragten diese Praxis entschieden ab.
Angst vor Datenmissbrauch und die Unklarheit darüber, was mit den eigenen Daten geschieht, sind hierfür die wichtigsten Gründe. Jeder dritte Befragte mit ablehnender Haltung sagt, dass persönliche Daten nur einem selbst gehören.
Lediglich 16 Prozent haben ein gewisses Verständnis für das Geschäftsmodell. Sie begründen dies vor allem damit, dass die Online-Anbieter schließlich auch Geld verdienen müssten.
Knapp jeder dritte Konsument zeigt sich hingegen resigniert und gibt an, daran lasse sich so oder so nichts ändern.

Jeder Dritte würde für Datenschutz zahlen

Immerhin jeder dritte Internetnutzer wäre nach den Ergebnissen der DIVSI Studie bereit, für den Schutz der eigenen Daten zu bezahlen (41 Euro pro Jahr im Durchschnitt) – unabhängig davon, ob er das Vorgehen, Nutzerdaten zu Geld zu machen, ablehnt oder dafür Verständnis hat. Für eine solche Zahlung wären Personen mit Hochschulabschluss eher bereit (41 Prozent) als Personen mit einem Hauptschulabschluss (27 Prozent). Hier ergeben sich für Online-Anbieter möglichweise Ansatzpunkte für neue Geschäftsmodelle.
Die Ablehnung jährlicher Zahlungen wird am häufigsten mit Misstrauen begründet: 59 Prozent bezweifeln, dass dies tatsächlich zu höherer Datensicherheit führt. 40 Prozent von ihnen meinen, dass alles im Internet kostenlos sein sollte, auch die Sicherheit der Nutzerdaten.

Bei der Frage, ob die Nutzer an den Umsätzen, die mit ihren Daten erzielt werden, beteiligt werden sollten, ist die Haltung fast unentschieden. 48 Prozent sind dafür und 46 Prozent sind dagegen. Allerdings glauben auch nur 19 Prozent, dass eine Umsatzbeteiligung überhaupt umsetzbar wäre.

Nutzer nehmen Politik und Wirtschaft in die Pflicht

„Angesichts der Problematik, dass persönliche Daten häufig als Ware gehandelt werden, sehen die Nutzer vor allem die Politik und die Unternehmen in der Pflicht. Fast alle (97 Prozent) fordern, dass der Missbrauch persönlicher Daten stärker verfolgt und bestraft wird“, so der Geschäftsführer des Markt- und Politikforschungsinstituts dimap, Reinhard Schlinkert.

95 Prozent verlangen zudem, dass sich ausländische Internetfirmen an deutsche Datenschutzregeln halten müssen. Und 86 Prozent der Befragten fordern, dass Datengeschäfte gesetzlich verboten werden sollen. DIVSI-Direktor Kammer ergänzte, dass „die Politik noch stärker ihrer Verantwortung gerecht werden sollte, im Sinne der Verbraucher einen einheitlichen Datenschutz für in- und ausländische Unternehmen in Deutschland zu gewährleisten“.

Allgemein sei festzustellen, so Kammer, dass einer großen Zahl der deutschen Internetnutzer Bequemlichkeit wichtiger als Sicherheit sei. Man delegiere gerne die Verantwortung für den Datenschutz an Politik und Wirtschaft und nutze Online.Angebote trotz Bedenken bezüglich der Verwendung der eigene Daten.

Als Mittel zum Schutz der persönlichen Nutzerdaten sehen die Deutschen jedoch nicht nur Sanktionen: 72 Prozent sind der Meinung, dass Internetangebote, die sich an strenge Datenschutzregeln halten, von der Politik besonders gefördert werden sollten.
96 Prozent der Befragten fordern, dass Unternehmen transparenter über den Verbleib der persönlichen Daten informieren sollten. Fast genauso viele sind der Meinung, Unternehmen sollten sich selbst zur Einhaltung strenger Datenschutzregeln verpflichten.

AGB sind ein Problemfeld

Die Allgemeinen Geschäftsbedingungen (AGB) stellen ein Problemfeld dar. So sind sie den Nutzern (knapp 75 Prozent) oft zu lang und zu kompliziert, um überhaupt nachvollzogen werden zu können. Sie werden meist gar nicht erst gelesen oder bestenfalls nur flüchtig überflogen. Fast zwei Drittel der Befragten geben kann, dass die Einhaltung der AGB nicht überprüfbar ist.

Nutzer glauben nicht an Einflussmöglichkeiten

Schließlich sehen sich die Internetnutzer auch selbst in der Verantwortung – wenn auch in deutlich geringerem Maße als Politik und Unternehmen. 59 Prozent der Befragten sagen, jeder Internetnutzer ist selbst dafür verantwortlich, was mit seinen Daten passiert. Unabhängig von Alter, Geschlecht, Bildung oder Nutzungshäufigkeit kritisieren sie, dass der User dieser Verantwortung nicht nachgehen kann.
Die Deutschen sehen ihren Einfluss auf die Sicherheit ihrer Daten im Netz sehr nüchtern. Nur 8 Prozent sagen, jeder einzelne habe viel Einfluss darauf, weitere 13 Prozent glauben, man habe etwas Einfluss. Eine deutliche Mehrheit von knapp 80 Prozent geht jedoch davon aus, dass der einzelne wenig (38 Prozent) oder sogar gar nichts beeinflussen kann (40 Prozent).

Weitere Informationen zum Thema:

DIVSI
Studie Daten – Ware und Währung

datensicherheit.de, 15.05.2014
DIVSI: Deutschland braucht einen Digitalen Kodex

[datensicherheit.de, 06.08.2014] Der Hightech-Verband BITKOM fordert angesichts von Berichten über den Diebstahl von 1,2 Milliarden Kennwörtern und Nutzerdaten durch russische Hacker sofortige Aufklärung. „Jeder Internetnutzer muss umgehend erfahren können, ob seine Daten von dem Diebstahl betroffen sind“, sagt BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder. Hier seien sowohl das US-Sicherheitsunternehmen, das den Datendiebstahl aufgedeckt hat, als auch die US-Behörden in der Pflicht. „Dieser Fall zeigt: Die Politik muss den Kampf gegen die Organisierte Kriminalität im Internet deutlich verstärken“, so Rohleder. „Das bedeutet auch, dass die dafür notwendigen Mittel bereitgestellt werden müssen. Datenschutz und Sicherheit gibt es nicht zum Nulltarif.“ BITKOM rät zudem jedem Internetnutzer, einige grundsätzliche Regeln für seine Passwörter zu beherzigen. „Internetnutzer sollten bei Online-Diensten mit besonders schützenswerten Daten wie E-Mail, Sozialen Netzwerken oder Online-Banking nie dasselbe Passwort verwenden“, so Rohleder.

BITKOM-Tipps zum richtigen Umgang mit Passwörtern:

1. Benutzen Sie bei wichtigen Online-Diensten nicht das gleiche Passwort!
   Für Dienste mit besonders sensiblen Daten wie E-Mail, Sozialen Netzwerken oder Online-Banking sollten nie Passwörter genutzt werden, die auch anderswo eingesetzt werden. Das ist zwar bequem, aber wenn dieses eine Passwort aufgedeckt wird, sind sämtliche dadurch abgesicherten Zugänge ohne Schutz.
2. Ändern Sie Ihre Passwörter regelmäßig!
   Wenn Sie Ihr Passwort nicht selbst wählen können, sondern zugewiesen bekommen, ändern Sie es umgehend. Generell sollten Sie Ihre wichtigsten Passwörter spätestens alle drei Monate ändern. Stellen Sie am besten Ihren Computer so ein, dass er Sie an den Wechsel erinnert.
3. Wählen Sie starke Passwörter!
   Ein Passwort wird nach heutiger Bewertung dann als stark eingestuft, wenn es mindestens 8 Zeichen lang ist und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Grundsätzlich gilt: Je länger das Passwort ist, desto schwerer ist es zu knacken.
4. Verwenden Sie keine Passwörter mit persönlichem Bezug!
   Namen von Ehegatte, Kindern und Haustieren, Geburtstage, KFZ-Kennzeichen usw. lassen sich leicht erraten.
5. Schreiben Sie keine Passwörter auf!
   Der beste Schutz eines Passworts besteht darin, es sich nur zu merken.
6. Vermeiden Sie im Regelfall eine automatische Speicherung von Passwörtern!
   In den meisten Internet-Browser-Programmen besteht die Möglichkeit, Passwörter für bestimmte Webseiten speichern zu lassen. Diese Passwörter werden jedoch im Regelfall unverschlüsselt im Computer gespeichert. Daher sollten Sie diese Möglichkeit niemals auf Computern nutzen, die für Dritte frei zugänglich sind!
7. Sollte die Anzahl der zu merkenden Passwörter zu groß werden, benutzen Sie sichere Hilfsmittel!
   Ohne technische Hilfen lassen sich die obigen Hinweise für die sichere Passwort-Generierung und -Verwaltung kaum umsetzen. Doch so genannte „Passwortsafes“ können Sie unterstützen. Die Programme werden entweder auf einem verschlüsselten Bereich der Festplatte gespeichert oder mit externen Speichermedien wie USB-Sticks mit Ihrem Rechner verbunden. Sie erstellen erstens starke Passwörter nach den oben genannten Kriterien. Zweitens weisen sie bei Bedarf ein neues Passwort einer speziellen Web-Seite zu und nutzen beim Abruf dieser Web-Seite auch automatisch das richtige Passwort. Der Nutzer muss dabei das Passwort selbst gar nicht im Klartext kennen. Drittens werden alle Passwörter verschlüsselt gespeichert. Der Nutzer muss sich auf diese Weise nur noch ein möglichst sicheres Master-Passwort merken. Sollte er allerdings dieses vergessen oder offenbaren, können die anderen nicht mehr genutzt werden.
8. Benutzen Sie Zwei-Faktor-Authentifizierung
   Wo möglich, sollten Sie eine Zwei-Faktor-Authentifizierung nutzen. Dabei wird nach der Eingabe des Passworts ein Sicherheitscode auf das Handy des Nutzers geschickt, der zusätzlich eingegeben werden muss. Ähnliche Verfahren werden seit langem beim Online-Banking eingesetzt. Wenn Dritte in den Besitz von Benutzernamen und Passwort kommen, können sie diese ohne das entsprechende Handy, auf das die Sicherheitscodes gesendet werden, nicht verwenden.

Weitere Informationen zum Thema:

heise.de, 06.08.2014
Sicherheitsforscher: Russische Hacker erbeuten 1,2 Milliarden Profildaten

[datensicherheit.de, 17.02.2014] Kickstarter ist eine US-amerikanische Internetplattform zur Projektfinanzierung über Crowdfunding. Nach dem bekannt geworden Hack der beliebten Gruppenfinanzierungsseite und dem damit verbundenen Diebstahl von E-Mail-Adressen und Daten einer unbekannten Anzahl von Nutzern sagte Dietmar Schnabel, Regional Director Central Europe von Check Point:

„Kickstarter hat nach dem Verstoß das Richtige getan und die Nutzer informiert und angewiesen, Passwörter über ihre Webseite zurückzusetzen. Es ist sinnvoll, dies zu tun, auch wenn Kickstarter seine Passwörter in verschlüsselter Form gespeichert hat.“

„Nutzer sollten aber beim Anklicken von Links in Follow-Up-E-Mails, die sie bekommen und die scheinbar von Kickstarter oder dazugehörigen Organisationen stammen, sehr vorsichtig sein. Unternehmen sollten sich wiederum mit technischen Vorrichtungen gegen Phishing-Attacken schützen. Es besteht die Gefahr, dass die im Hack gestohlenen Informationen für Phishing-Angriffe verwendet werden, um damit noch mehr persönliche Daten zu sammeln.“

Weitere Informationen zum Thema:

heise.de, 16.02.2014
Crowdfunding-Plattform Kickstarter gehackt