[datensicherheit.de, 20.04.2020] Der Datenschutz hat sich seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.

DSGVO verpflichtet Unternehmenpersönlichen Daten zu schützen

Die DSGVO gibt Verbrauchern das Recht, zu kontrollieren, wie ihre persönlichen Daten von Unternehmen verwendet werden. Das Gesetz verpflichtet Unternehmen, die persönlichen Daten von Interessenten, Kunden und Mitarbeitern zu schützen, und wird durch ein System von Sanktionen für den Fall der Nichteinhaltung dieser Verpflichtung ergänzt. Die Regulierungsbehörden können Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen, wenn ein Unternehmen die persönlichen Daten von Personen in Europa nicht vor Missbrauch, Diebstahl oder Verlust schützt.

Hohe Geldstrafen werden erwartet

Seit der Einführung der DSGVO haben die Aufsichtsbehörden Bußgelder in Höhe von über 114 Millionen Euro gegen Unternehmen wegen mangelnden Datenschutzes verhängt. Weitere hohe Geldstrafen dürften folgen. Ein Unternehmen hat eine Abgabe von mehr als 90 Millionen Euro, drei Prozent seiner Jahreseinnahmen, angefochten. Einem anderen Unternehmen droht eine Geldstrafe von mehreren Hunderte Millionen Euro für eine größere Datenschutzverletzung bei seinen Kundendaten.

Die Verordnung betrifft jedes Unternehmen, das mit Daten von Einzelpersonen in Europa umgeht, so dass auch die meisten globalen Unternehmen davon betroffen sind. Während viele Vorstände und Geschäftsführer den Datenschutz ernst nehmen und strenge Maßnahmen zur Einhaltung der Vorschriften eingeführt haben, überlassen es zu viele noch dem Zufall oder üben keine angemessene Aufsicht aus.

Die Regulierungsbehörden werden eher mit Unternehmen nachsichtig sein, die nachweisen können, dass sie alle Anstrengungen unternommen haben, um die DSGVO einzuhalten, selbst wenn sie einen Verstoß erleiden, vermutet Palo Alto Networks. Allerdings könnten diejenigen, von denen man annimmt, dass sie dem Datenschutz nur wenig Aufmerksamkeit gewidmet haben, schwer bestraft werden.

Von Haus aus integrierter Datenschutz ist der beste Ansatz

Was Vorstände tun können um die persönlichen Daten im Unternehmen zu schützen und sicherzustellen, dass die DSGVO eingehalten wir: Vor allem verlangen die Regeln, dass Unternehmen „Privacy by Design“ umsetzen. Das bedeutet, dass Datenschutz und Datensicherheit von Anfang an in die technologische Infrastruktur der Unternehmen eingebaut werden müssen, anstatt sie später als nachträglichen Aspekt hinzuzufügen.

Folgeabschätzungen für jede Aktivität und jedes Projekt nötig

Für jede Aktivität oder jedes Projekt muss eine Folgenabschätzung durchgeführt werden, um die Auswirkungen auf die persönlichen Daten zu prüfen. Wenn möglich, sollten die Unternehmen eine Pseudonymisierung in Betracht ziehen, die das Risiko für personenbezogene Daten verringert. Unternehmen sollten nur die Daten verarbeiten, die zur Erreichung ihrer legitimen Geschäftsziele notwendig sind, und dürfen Daten nur so lange speichern, wie es für solche legitimen Zwecke erforderlich ist.

Die Datenhygiene sollte ebenso Teil der Unternehmens-DNA sein wie die Lebensmittelhygiene in einem Restaurant. Um den Datenschutz zu erreichen, muss der Vorstand sicherstellen, dass das Unternehmen eine vollständige Transparenz aller Daten, die es besitzt, hat und über klare Richtlinien für den Umgang mit den Daten verfügt.

Ein Unternehmen muss immer wissen, wo persönliche Daten gespeichert sind, welche Mitarbeiter und Dritte Zugang zu ihnen haben und wie sie verwendet werden. Es muss eine klare Unterscheidung zwischen persönlichen und nichtpersönlichen Daten getroffen werden. Das System sollte sicherstellen, dass die Daten nicht unbefugt zugänglich sind und nicht für Zwecke verwendet werden können, die den betroffenen Personen nicht bekannt sind.

Wichtige Fragen müssen geklärt werden

Um sicherzustellen, dass „Privacy by Design“ in die Geschäftsprozesse eingebettet ist, müssen die Vorstände der Unternehmen regelmäßige Aktualisierungen von den Mitarbeitern anfordern, die für die Umsetzung der DSGVO verantwortlich sind. Dies kann der Datenschutzbeauftragte, der Chief Data Officer, der Chief Risk Officer oder der Chief Information Security Officer sein.

Zu den Fragen, die geklärt werden müssen, gehören nach Meinung von Palo Alto Networks:

• Wer ist für den Datenschutz in unserem Unternehmen verantwortlich?
• Wie ist der Stand der Einhaltung des Datenschutzes bei uns?
• Haben wir die richtigen Prozesse eingeführt?
• Wie sieht unsere Politik zur Datenverarbeitung aus? Wie gut ist sie entwickelt?
• Ist bekannt, wo sich alle persönlichen Daten in unseren Systemen befinden?
• Sind die Daten sicher, auch was die Anbieter betrifft?
• Wie stellen wir sicher, dass die Datenverarbeitung mit DSGVO und anderen anwendbaren Gesetzen übereinstimmt?
• Wie hoch ist die Wahrscheinlichkeit einer Datenschutzverletzung?
• Wie schwerwiegend könnte sie sein?
• Sind wir bereit zu reagieren, wenn der Ernstfall eintritt?
• Was sind die konkreten Schritte, die wir unternehmen können, um diese Risiken zu mindern?

Wie bei jeder Risikofrage müssen die Vorstände die Kosten für die Einhaltung der DSGVO gegen die möglichen Verluste durch Bußgelder und den Betriebs- und Reputationsschaden, der durch eine Datenverletzung verursacht wird, abwägen.

Compliance ist nicht billig. Dazu gehört die Bezahlung von Fachpersonal für die Überwachung des Datenschutzes, vielleicht auch die Investition in Technologie, die alle Daten des Unternehmens abbildet und anzeigt. Der Datenschutzbeauftragte kann dann zentral einsehen, wo sich welche Daten befinden, und Risiken und Schutzmaßnahmen für wichtige persönliche Daten identifizieren.

Die Kosten für den Datenschutz

Es stellt isch also die Frage wieviel ein Unternehmen in den Datenschutz investieren sollte Das hängt davon ab, wie das Unternehmen persönliche Daten verwendet und welchen Risiken sie ausgesetzt sind. CISOs sollten in der Lage sein, die Risiken einer Datenschutzverletzung und die voraussichtlichen Kosten zu beurteilen. Sie können dies tun, indem sie eine Risikobeurteilung durchführen und Bewertungen vergeben, zum Beispiel zwischen eins und fünf.

Besteht beispielsweise ein hohes Risiko einer Verletzung, weil die Daten weit verbreitet sind und die Aufmerksamkeit von Hackern auf sich ziehen oder von Mitarbeitern missbraucht werden können, kann die Risikobewertung eine Fünf sein. Dann sollte dem potenziellen Schaden, den eine Verletzung verursachen könnte, eine andere Bewertung zugewiesen werden.

Im Falle eines Unternehmens, das mit den Kreditkartendaten seiner Kunden umgeht, könnte er hoch sein – zum Beispiel eine Vier. Durch Multiplikation dieser beiden Zahlen würde der Risiko-Score 20 betragen. Dies ist ein hohes Risiko, so dass das Unternehmen stark in das Personal, die Instrumente und die Folgenabschätzungen investieren sollte, die zum Schutz dieser persönlichen Daten erforderlich sind.

Investitionen in Datenschutz dienen auch der Cybersicherheit

Ein großer Vorteil einer solchen Investition besteht darin, dass sie sich nahtlos in einen effektiven Ansatz für die Cybersicherheit einfügt. Unternehmen, die die Cybersicherheit ernst nehmen und Strategien für „Security by Design“ entwickeln, werden auch bei der Einhaltung der DSGVO erfolgreich sein.

Die Datenschutzbehörden haben ihre Muskeln spielen lassen und gezeigt, dass sie bereit sind, Unternehmen, die es versäumen, die modernsten Datenschutzrichtlinien umzusetzen, mit Strafen zu belegen. Jedes Unternehmen muss darauf achten und sicherstellen, dass seine Systeme und Prozesse der Aufgabe gewachsen sind.

Die DSGVO ist generell zu begrüßen, weil sie die Unternehmen zwingt, mit Daten sorgsam umzugehen. Die Best Practices zur Einhaltung der DSGVO sind auch die Bausteine einer glaubwürdigen Cybersicherheitsstrategie. Der Schutz der Privatsphäre und „Security by Design“ sind nach Meinung von Palo Alto Networks die Grundvoraussetzungen für die Geschäftstätigkeit im Datenzeitalter.

Weitere Informationen zum Thema:

Palo Alto Networks
General Data Protection Regulation (GDPR)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

Von unserem Gastautor Juan C. Perez, Manager, Digital Marketing (Content) bei Qualys

[datensicherheit.de, 18.09.2018] Vertrauliche Daten von fast 400.000 British-Airways-Kunden werden gestohlen. Der Mac App Store zieht mehrere Apps aus dem Verkehr, nachdem Sicherheitsforscher festgestellt hatten, dass diese heimlich Daten auslesen und versenden. Bei einer chinesischen Hotelkette ereignet sich eine gigantische Datenpanne. Und eine ungepatchte Zero-Day-Lücke in Windows wird in-the-wild ausgenutzt. Das sind einige der Sicherheitsnachrichten, die uns in jüngster Zeit aufgefallen sind.

Könnte British Airways nach der Datenpanne in DSGVO-Turbulenzen geraten?

Vor kurzem drangen Hacker in die Website und die mobile App von British Airways ein und stahlen über einen Zeitraum von zwei Wochen personenbezogene Daten und Finanzinformationen von schätzungsweise 380.000 Kunden, darunter auch Zahlungskartendaten. Die Fluggesellschaft gab den Vorfall letzte Woche bekannt und erklärte, dass die Cyberkriminellen vom 21. August bis 5. September Zugang zu den kompromittierten Systemen hatten.

Die Kreditkartendaten umfassen auch die drei- oder vierstelligen Sicherheitscodes, die auf den Karten aufgedruckt sind. Außerdem fielen den Angreifern Namen, Rechnungsanschriften und E-Mail-Adressen in die Hände. Mit diesen Informationen könnten Kriminelle die betroffenen Kunden auf verschiedenste Weise betrügen, zum Beispiel durch unbefugte Nutzung ihrer Zahlungskarten oder durch Phishing-Angriffe via E-Mail.

Bild: Qualys

Juan C. Perez, Manager, Digital Marketing (Content) bei Qualys

Laut British Airways ist das Leck inzwischen geschlossen. Die Airline gab jedoch keine Einzelheiten zur Art des Angriffs bekannt, sondern bezeichnete diesen lediglich als „bösartig“ und „ausgeklügelt“. Experten spekulieren über die möglichen Angriffsvektoren.

„Es sieht so aus, als ob die Daten am Zugangspunkt abgegriffen wurden – jemand hat es geschafft, ein Skript auf die Website zu bekommen“, sagte Alan Woodward, Professor an der Universität von Surrey, zur BBC.

Der Sicherheitsberater Ben Oguntala, den British Airways dieses Jahr zur Verbesserung ihrer Zahlungssysteme engagiert hatte, erklärte unterdessen gegenüber der Times, dass die Panne eine „Katastrophe mit Ansage“ gewesen sei. Oguntala sagte, er habe den Dienst quittiert, nachdem er festgestellt hatte, dass die von der Fluggesellschaft implementierten Kontrollen schwach waren.

Nun wird bereits vermutet, dass der Vorfall British Airways Ärger aufgrund der EU-Datenschutz-Grundverordnung (DSGVO) einbringen könnte, die im Mai verbindlich geworden ist und potenziell massive Bußgelder vorsieht.

Ein ähnlicher Zwischenfall ereignete sich kürzlich übrigens bei Air Canada: Zwischen dem 22. und 24. August wurden personenbezogene Daten von rund 20.000 Benutzern der mobilen App gestohlen. Zu den betroffenen Kundendaten zählen nach Angaben der Fluggesellschaft Namen, E-Mail-Adressen, Telefonnummern, Reisepassdaten, Known Traveler Numbers und Geburtsdaten. Die Kreditkartennummern sind verschlüsselt.

Apple wirft Apps mit Spyware-Verhalten raus

Apple hat in den letzten Tagen eine Reihe beliebter Anwendungen aus dem Zero-Day-Lücke gelöscht. Damit reagierte das Unternehmen auf die Berichte mehrerer Sicherheitsforscher, wonach diese von Drittanbietern entwickelten Apps Benutzerdaten auslesen und versenden.

Die Löschwelle begann offenbar damit, dass der Sicherheitsforscher Patrick Wardle – auf einen Tipp des Twitter-Nutzers @Privacyis1st hin – die App Adware Doctor bezichtigte, heimlich die Browser-Historien der Nutzer zu sammeln und die Daten an einen Host in China zu schicken.

Wardle, Mitbegründer von Digita Security, beschrieb seine Erkenntnisse im Objective See Blog, einer Website, auf der er selbst entwickelte, kostenlose MacOS-Sicherheitstools bereitstellt. Kurz nach der Veröffentlichung seines Beitrags entfernte Apple die App.

Dann schaltete sich Thomas Reed ein, Director of Mac und Mobile bei Malwarebytes. Reed berichtete, es gäbe Anwendungen im Mac App Store, die er und andere Forscher in den letzten Monaten gemeldet hätten, weil sie Benutzerdaten auslesen und verschicken.

Laut Berichten im SC Magazine, 9to5Mac, PC Magazine, BleepingComputer und anderen Publikationen löschte Apple dann übers Wochenende und am Montag weitere Anwendungen, darunter auch diejenigen, die Reed erwähnt hatte.

Chinesische Hotelkette wird Opfer eines massiven Hackerangriffs

Bei der Huazhu Hotels Group, einer der größten Hotelketten Chinas, hat sich eine Datenpanne ereignet, die sage und schreibe 130 Millionen Kunden betrifft. Man geht davon aus, dass die Hacker personen- und finanzbezogene Informationen von 13 Hotels des Unternehmens gestohlen haben.

Zu den entwendeten Daten zählen Telefonnummern, E-Mail-Adressen, Bankkontonummern und Reservierungsinformationen. Berichten zufolge wurden die Daten im Dark Net entdeckt, wo sie für 8 Bitcoin – ca. 56.000 Dollar – zum Verkauf standen.

Huazhu hat keine Einzelheiten zu dem Angriff bekannt gegeben. Laut einer BBC-Meldung hat jedoch die Cybersicherheitsfirma Zibao einer lokalen Nachrichtenagentur mitgeteilt, dass ihrer Vermutung nach Softwareentwickler des Hotels versehentlich eine Datenbank auf GitHub hochgeladen haben.

Wenn das stimmt, so hätte es laut einer Notiz des SANS-Analysten Lee Neely eine bewährte Vorgehensweise gegeben, die solche Probleme vermeiden hilft. Dafür, so Neely, müsse man „einen Prozess etablieren, um GitHub und andere externe Code-Repositories darauf zu überwachen, ob absichtlich oder unabsichtlich ungeeignete Informationen eingefügt werden, wie etwa Datenbanken und private SSH-Schlüssel. Außerdem ist sicherzustellen, dass angemessene Zugriffskontrollen zum Schutz der Unternehmens-IP bestehen.“

Windows Zero-Day-Lücke wartet auf Patch und wird bereits von Hackern ausgenutzt

Nachdem ein Sicherheitsforscher auf Twitter eine Zero-Day-Schwachstelle in Windows 10 samt Proof-of-Concept-Exploit-Code veröffentlicht hatte, ließen Hacker nicht lange auf sich warten und begannen, die Lücke für reale Angriffe ausnutzen. Der Forscher räumte später ein, dass er vor der Veröffentlichung Microsoft benachrichtigen hätte sollen, um dem Unternehmen die Möglichkeit zu geben, einen Patch zu entwickeln.

Die Schwachstelle erlaubt eine Erweiterung der lokalen Rechte. Sie befindet sich in der ALPC-Schnittstelle (Advanced Local Procedure Call) des Windows Task Schedulers und kann es laut der CERT-Sicherheitsmeldung einem lokalen Benutzer ermöglichen, Systemrechte zu erhalten.

„Wir haben bestätigt, dass der Public Exploit-Code unter Windows 10 64 Bit und auf Windows Server 2016-Systemen funktioniert. Zudem haben wir die Kompatibilität mit Windows 10 32 Bit bei geringfügigen Änderungen am Public Exploit-Code bestätigt. Wenn weitere Modifikationen durchgeführt werden, ist auch eine Kompatibilität mit anderen Windows-Versionen möglich“, heißt es in der CERT-Meldung.

• Die Schwachstelle wurde am 27. August bekannt gegeben, und nur wenige Tage später begannen Angriffe, die sie ausnutzten.
• Microsoft arbeitet an einem Patch, der aber noch nicht veröffentlicht wurde. In einer Erklärung kündigte das Unternehmen an, den Fix am monatlichen Patchday bereitzustellen. Der nächste Patchday ist am 11. September.
• Auch Problemumgehungen und mindestens ein Drittanbieter-Patch sind angeboten worden, wurden aber von Microsoft nicht gebilligt.

Und noch weitere Sicherheitsnachrichten …

• Fiserv, ein großer Technologie-Dienstleister für Banken, hat einen gravierenden Fehler in seiner Web-Plattform behoben, der „persönliche und finanzbezogene Daten zahlloser Kunden auf Hunderten von Bank-Websites in Gefahr brachte“, so KrebsOnSecurity.
• Abbyy, ein russischer Hersteller von optischer Erkennungssoftware, hat eine MongoDB-Datenbank nicht abgesichert und öffentlich im Internet zugänglich gemacht, wodurch mehr als 200.000 Dateien mit sensiblen Kundendaten offengelegt wurden.
• Google hat ein zum internen Gebrauch entwickeltes Tool, mit dem sich schriftenbezogene Schwachstellen aufspüren lassen, als Open-Source-Anwendung freigegeben.
• Bei zwei separaten Sicherheitsvorfällen haben Unternehmen, die Tools zur geheimen Überwachung der Inhalte und Kommunikation mobiler Geräte herstellen – TheTruthSpy und mSpy – Daten von Kunden offengelegt. Viele dieser Kunden sind Eltern, die die Handynutzung ihrer Kinder verfolgen wollen.
• Die Browser-Erweiterung Mega.nz für Chrome ist von Hackern kompromittiert und missbraucht worden, um Informationen von Benutzern zu stehlen, darunter Passwörter und private Schlüssel für Kryptowährungskonten. Der Vorfall macht deutlich, welche Risiken von Browser-Erweiterungen und Add-ons ausgehen.
• Die kürzlich entdeckte Sicherheitslücke in Struts 2 wird bereits real ausgenutzt – ein weiterer Grund für Unternehmen, den Patch einzuspielen, den Apache herausgegeben hat.
• Ein Sicherheitsforscher entdeckte vor kurzem fast 400.000 Webseiten mit offenen .git-Verzeichnissen, die potenziell eine Fülle vertraulicher Informationen preisgeben, wie etwa Passwörter.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de, 13.08.2018
Tracker-Apps mit gefährlichen Sicherheitslücken

datensicherheit.de, 25.07.2018
Sicherheitslücken in Carsharing-Apps entdeckt