Datenschutz

Ich sag es jetzt mal so: Meine Eltern sind langsam in einem Alter, in dem sie sich schon Gedanken darüber machen, was mal passiert, wenn sie nicht mehr da sind. Deswegen fand ich mich vor Kurzem in einem recht unangenehmen (wenn auch unbedingt notwendigen) Gespräch mit meinem Vater wieder, in dem er mir erklärt hat, wo wir im Fall der Fälle sein Testament, seine Patientenvollmacht und die wichtigsten Passwörter finden. Moment – Passwörter? Den Amazon-Account wird man schon irgendwie kündigen können, oder nicht?

Ganz so einfach ist es aber gar nicht, auch wenn mein Vater im Netz weit weniger involviert ist als beispielsweise meine Wenigkeit oder andere Mitglieder der Generation Y. Außerdem umfasst unser digitales Leben natürlich viel mehr als nur unseren Amazon- oder E-Mail-Account. Grund genug, sich einmal ausführlich damit auseinanderzusetzen, was eigentlich mit unseren Daten passiert, sollten wir einmal nicht mehr sein.

Eine Veranstaltung, die sich mit ebendieser Thematik beschäftigt, ist die digina 2017 in München. Die Konferenz stellt das digitale Leben in den Fokus und gibt Antworten auf neue, bisher unbeantwortete Fragen:  

Wie lässt sich dieses Leben verwalten und schützen? Wie bewahrt man das Wichtigste dauerhaft? Wie gibt man es an die nächste Generation weiter? Wie verwaltet man dieses digitale Erbe? Den digitalen Nachlass? Wer hilft dabei? Welche Fallstricke warten? (Quelle: https://digina-conference.com)

Auf der diesjährigen digina sind zahlreiche interessante Speaker aus Wirtschaft, Politik und der Medienwelt vertreten – und wenn es um Datenschutz geht, darf unser Kunde Brabbler natürlich nicht fehlen. Karsten Schramm, Aufsichtsratsvorsitzender der Brabbler AG und leidenschaftlicher Privatsphäre-Blogger, spricht über das Thema „Vorsorgefunktion digitaler Nachlass als unternehmerische Verantwortung“.

Auch wenn man dieses Thema gerne von sich wegschiebt und ich beim Schreiben dieses Blogs mehrfach auf Holz klopfen musste, zum Abschluss noch ein kleiner Call to action: Testament oder Patientenverfügung sind nicht spießig, sondern #schlau, also kümmert euch. Ob digital oder analog.

menuseperator

Wahrscheinlich liegt es daran, dass ich in einer Agentur für IT arbeite, denn um ehrlich zu sein, habe ich mir vorher um die Themen Datenschutz und Privatsphäre nur wenig Gedanken gemacht. Sicher, ich habe nicht jedes Bild auf meiner Facebook-Chronik zugelassen und niemandem durch ein Status-Update meinen aktuellen Beziehungsstatus verraten. Aber meine Schritte wurden von einem Fitness-Tracker gezählt, privat kommuniziere ich selten über einen anderen Kanal als WhatsApp und ich bin in so gut wie jedem sozialen Netzwerk vertreten – abgesehen von Snapchat, dafür bin ich einfach zu alt.

Durch meine Kunden und den täglichen Umgang mit den Themen Datensicherheit und Privatsphäre stellt sich mir nun aber immer häufiger die Frage: Warum gebe ich meine Daten eigentlich freiwillig her? Was passiert mit diesen Daten? Und vor allem: Ist es durch die fortschreitende Digitalisierung überhaupt noch möglich, meine Daten zu schützen?

Diese Fragestellung spaltet nicht nur meinen Freundeskreis, sondern auch die Gesellschaft. Ein großer Teil der Bevölkerung (und zu diesem Teil habe ich lange Zeit selbst gezählt) hat sich mit dem Kontrollverlust abgefunden. Experten sprechen hier von einer Post-Privacy-Gesellschaft, also einer Gesellschaft, in der – wenigstens in der digitalen Welt – keine Privatsphäre mehr existiert. Auch Experten teilen bereits diese Sichtweise, wie beispielsweise Eugene Kaspersky in einem Interview mit Heise online:

Datenschutz ist wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich, auf der es keinen Mobilfunk, kein Internet und keine Sicherheitskameras gibt.

Ganz so weit wie Herr Kaspersky würde ich allerdings nicht gehen. Denn einige Wenige haben den Kampf gegen die Datenkraken aufgenommen und versuchen weiterhin, die Auflösung der Privatsphäre aufzuhalten. Zahlreiche Apps bieten inzwischen sichere Alternativen zu WhatsApp, Passwort-Manager helfen bei der Verwaltung von Passwörtern, die komplizierter sind als das standardisierte Hallo1234, und auch ein verschlüsselter E-Mail-Verkehr wird zunehmend wichtiger.

Im professionellen Kontext wird der Sicherheit vertraulicher Daten zwar mehr Bedeutung beigemessen, der Tragweite sind sich aber dennoch nicht alle bewusst. Ein Bekannter von mir hat kürzlich berichtet, dass er sich mit seinen Kollegen meist via WhatsApp über aktuelle Angebote oder Quartalszahlen austauscht. Zitat: „Das ist jetzt vielleicht nicht der sicherste Kanal, aber hey!“

Das Schlimmste ist: Ich weiß genau, was er meint. Wir sind es einfach gewohnt, schnell und unkompliziert zu kommunizieren, und das am besten noch ohne einen Cent dafür zu bezahlen. Dennoch sollten wir manchmal innehalten und uns kurz wundern, warum die neueste App jetzt eigentlich Zugriff zu meinen Kontakten möchte, oder uns fragen, was genau denn nun tatsächlich in den AGBs steht, und so unsere Privatsphäre in der digitalen Welt ein bisschen länger bewahren.

menuseperator

Kürzlich hat die Erpressersoftware WannaCry weltweit Schaden angerichtet. Unter anderem waren die Deutsche Bahn, zahlreiche Krankenhäuser in England und mehrere Renault-Werke betroffen. Laut Spiegel online war dies der größte Angriff mit einer Erpressersoftware.

Doch wie konnte es sein, dass so viele Unternehmens-Rechner betroffen waren? Viele scheinen die Bedrohung durch Cyber-Angriffe immer noch nicht ernst zu nehmen. Wer alte Windows-Versionen nutzt, unregelmäßig Updates installiert oder verdächtige E-Mail-Anhänge öffnet, geht immer ein Risiko ein.

WannaCry ist nur ein Beispiel von zahlreichen Cyber-Angriffen. Wie der aktuelle State of the Internet Security Report des ersten Quartals 2017 von Akamai zeigt, gibt es immer wieder neue Varianten von Angriffen. So sorgte seit letztem Herbst etwa das Mirai-Botnetz immer wieder für Schlagzeilen: Akamai selbst beobachtete im letzten Quartal verstärkt Mirai-Water-Torture-DNS-Angriffe. Dabei handelt es sich um in Mirai-Malware integrierte DNS Query Floods, die Akamai-Kunden – insbesondere im Finanzdienstleistungsbereich – ins Visier nahmen. Solche Attacken überlasten die Ressourcen der Zieldomäne, indem in großer Zahl zufällig generierte Domänennamen abgefragt werden, was letztendlich zu Denial-of-Service-Ausfällen führt.

Es hat sich also mal wieder gezeigt, dass nach wie vor eine große Gefahr von Cyber-Angriffen ausgeht. Die Zahl ist weiterhin steigend und die Angriffe werden raffinierter. Reines Reagieren reicht nicht mehr aus. Unternehmen benötigen daher Lösungen, die möglichst schnell auf aktuelle Gefahren und neue Angriffsvektoren reagieren können. Um einen optimalen Schutz zu erzielen, empfiehlt sich neben Hardware-basierten Security-Lösungen eine Cloud-basierte, skalierbare Lösung einzusetzen. Diese stellt eine umfassende mehrstufige Lösung bereit, um den Schutz der IT-Infrastrukturen sowie die Verfügbarkeit geschäftskritischer Applikationen und Daten sicherzustellen.

menuseperator

Derzeit schießen sie wieder aus allen Rohren, die Peter Piskiis und Stephan Zubarevs, die einem herrenlose Festgeldkonten, unschlagbare Kredite oder die Zusammenarbeit mit großen Firmen andienen möchten. 

Nun bestechen die Angebote, die niemand braucht oder will, ja allerdings eher durch ihren Unterhaltungswert als ihre Ernsthaftigkeit – darauf reinfallen dürfte auf die in gebrochener, teils völlig unverständlicher Sprache verfassten Anschreiben hingegen kaum jemand mehr. 

Perfider sind da die E-Mails und Websites, die den echten Anschreiben und Seiten von Amazon, Paypal & Co. täuschend ähnlich sehen und mittels derer versucht wird, an sensible Daten wie Passwörter oder PINs zu gelangen. 

Da falle ich doch nicht drauf rein, werden sich die meisten jetzt denken. Wirklich nicht? 

Einen kleinen Selbsttest bietet der Phishing-Test von SonicWall. Und wie hoch ist Ihr Phishing-IQ so?

menuseperator

Bemerkenswertes wird aus Südostasien gemeldet:

Aufgrund von zahlreichen Cyberattacken will die singapurische Regierung fast alle Behördenrechner vom Internet trennen – rund 100.000 Computer. […] Laut Premierminister Lee Hsien Loong sei es 'absolut notwendig' die Behördenrechner auf diese Weise zu schützen […]. Dass es durch die Trennung vom Internet zu Verzögerungen in den Behördenabläufen kommen könne, sei der Regierung bewusst. Dies nehme man aber für den Zugewinn an Sicherheit in Kauf. […] Weil Cyberangriffe aber immer ausgeklügelter ausgeführt würden, müsse man reagieren. Heise online vom 14. Juni 2016

Nun kann man davon ausgehen, dass sich die Behörden von Singapur einigermaßen mit IT auskennen, dass sie mit dem Internet nicht erst seit gestern rummachen und dass dort auch diverse Sicherheitsexperten arbeiten. Und dass man sich diesen (möglichen) Schritt, der nicht so recht ins digitale Zeitalter passt, gut überlegt hat, kann man auch annehmen.

Als jemand, der zwar ans Internet angeschlossen ist, aber über deutlich weniger IT- und Security-Ressourcen verfügt als die Behörden von Singapur, kann man da schon nachdenklich werden. Wenn die es nicht mal schaffen, ihre Systeme zu sichern …

Und noch etwas: Vor diesem Hintergrund erscheinen die ständigen Appelle an die Verantwortung der User (Hast du dein Passwort gewechselt? Hast du einen Virenscanner installiert? Hast du auch und tust du auch …? Wenn nicht: SELBER SCHULD!) erst recht … sagen wir mal: sachfremd.

menuseperator

Cyber-Angriffe – laut Wikipedia Attacken von außen, die auf größere, für eine spezifische Infrastruktur wichtige Computernetzwerke gerichtet sind – sind mittlerweile im Alltag angekommen. Egal, ob die Finanzbranche, wie beispielsweise das internationale Zahlungssystem Swift, öffentliche Einrichtungen und Organisationen wie der Deutsche Bundestag oder diverse Global Player wie Adobe Systems, das Sony Playstation Network oder Ebay, um nur einige prominente Fälle zu nennen: Sie alle waren bereits von Angriffen betroffen (die Dunkelziffer liegt sicherlich viel höher). Die Gründe dafür können vielfältig sein: Meistens geht es um Wirtschaftsspionage, Erpressung, Image- oder Geschäftsschädigung.

Aktuell hat Akamai seinen vierteljährlichen State of the Internet Security Report für das erste Quartal 2016 veröffentlicht. Die wichtigsten Ergebnisse sind wenig überraschend: DDoS-Attacken und Angriffe auf Webanwendungen haben weiter zugenommen. Im Vergleich zum ersten Quartal 2015 gab es bei den DDoS-Angriffen einen Anstieg um 125%, bei den Attacken auf Webanwendungen war es ein Anstieg um etwas mehr als 25% im Vergleich zum vierten Quartal 2015. Die DDoS-Angriffe werden dabei immer komplexer: Fast 60% der in Q1 2016 abgewehrten Angriffe verwendeten mindestens zwei Angriffsvektoren gleichzeitig. Eine Abwehr wird damit schwerer. Diese Art der Angriffe scheinen damit zum Standard zu werden. Für Unternehmen bedeutet das, dass sie entweder rasch das nötige Know-how aufbauen müssen oder externe Partner an Bord nehmen, die die entsprechende Infrastruktur und Expertise mitbringen. Den vollständigen Bericht gibt es hier: https://www.akamai.com/de/de/our-thinking/state-of-the-internet-report/global-state-of-the-internet-security-ddos-attack-reports.jsp

Der State of the Internet Security Report ist ein Quartalsbericht, der Analysen und Einblicke in cyberkriminelle Aktivitäten bietet, die auf der Akamai Intelligent Platform beobachtet wurden.

menuseperator

Haben Sie schon mal darüber nachgedacht, was bei Ihnen daheim los ist, wenn Sie nicht da sind? Dabei denke ich nicht an Ihre Katze oder den Kanarienvogel. Vielmehr sollte man wohl für die Zukunft vielleicht besser ein Auge darauf haben, was die Hausgeräte so alles anstellen, wenn wir mal nicht hinsehen.

Neben ihrer Bestimmung als Kühlgerät, Waschmaschine, Heizung, Fernseher & Co. hat so manches technische Gerät das Potenzial ein Eigenleben zu entwickeln, das uns schnell die Sorgenfalten auf die Stirn treiben könnte. Vernetzung ist das Stichwort, als Buzzword gerne auch Internet of Things (IoT) genannt, das viele Geräte schon heute miteinander verbindet und ganze neue Einsatzfelder eröffnet. So zum Beispiel wenn der Kühlschrank mit dem Smartphone oder die Heizung mit dem WLAN-Router kommuniziert. Dabei ist der Haushalt nur das Versuchsterrain im Kleinen. Ganze Industrien sind schon oder noch dabei, auf den Zug aufzuspringen, der mit uns ab in die vernetzte Zukunft rauscht.

Gerade komplexe Industrieanwendungen oder Logistik-Prozesse profitieren schon vielfach von IoT-Anwendungen. Smart Cities, Smart Homes oder Smart Cars – alles scheint möglich. Und wo IoT noch nicht im Einsatz ist, wird eilends überlegt, wie sich der neue Hype am besten nutzen lässt.

Ganz klar, das Konzept ist so einfach wie verlockend: Mit Hilfe von Sensoren sammeln die Geräte Daten, die vernetzte Prozesse über das Internet steuern und somit unser aller Leben wahlweise bequemer, einfacher, sicherer oder kostengünstiger gestalten sollen. Beispiele sind etwa die Steuerung von Licht und Heizung in Gebäuden, die Analyse von Wetter und Verkehrslage für die nächste Autofahrt oder die Aufzeichnung von Fitness- und Gesundheitsdaten in Wearables, mit denen wir aufbrechen ins neue Fitness-Glück.

Der Markt ist riesig und wächst beständig. Laut Gartner werden Unternehmen im Jahr 2020 mit dem Internet of Things über 300 Milliarden Euro erwirtschaften. Die Analysten rechnen bis dahin mit 25 Milliarden vernetzter Dinge, von Maschinen über Geräte bis zu Fahrzeugen. Smartphones, Tablets und Computer sind dabei noch nicht mit eingerechnet.

Gleichzeitig steigt aber die Gefahr für Cyber-Angriffe und Hacker-Attacken in gleichem Maße. Unternehmen sind daher gut beraten, bei der Entwicklung von IoT-Anwendungen Datenschutz und Datensicherheit fest im Auge zu behalten, im eigenen Interesse, aber auch in dem ihrer Kunden, die mit dem Thema zunächst überfordert sein dürften. Beispiele für arglosen Umgang finden sich zahlreich und reichen bis hin zum spionierenden Plüschbären. Mit solchen Vorfällen ist das Vertrauen schnell dahin. Die Gefahr des Ausspähens droht übrigens nicht nur aus der kriminellen Ecke, wie man meinen könnte. Auch Geheimdiensten passen die über das Internet verbundenen Geräte perfekt in den Plan.

Erste Schritte hin zu einem durchgängigen Authentifizierungs- und Autorisierungskonzept und damit mehr Sicherheit und Standardisierung sind erkennbar, doch wird die Regelung und Vereinheitlichung so vieler komplexer Verbindungen noch eine Weile brauchen. Bis dahin heißt es, Augen auf und immer ein prüfender Blick auf den Kühlschrank.

menuseperator

Vor nicht allzu langer Zeit gab es einen Aufschrei in der Bevölkerung – der Überwachungsskandal, den Edward Snowden damals aufdeckte, rief in der Bevölkerung breite Empörung hervor. Die Angst, ein gläserner Mensch zu werden, der auf Schritt und Tritt überwachbar sein soll, lässt regelrecht Gänsehaut entstehen. Der Kampf zum Schutz der persönlichen Daten hatte eingesetzt und in den vergangenen Jahren auch die Politik bestimmt: Das Recht auf mehr Privatsphäre war das Schlagwort für so manche politische Kampagne.

Doch wieder einmal ändert die Politik ihre Kursrichtung. Die letzten Ereignisse in Paris und Brüssel wie auch in Hannover haben die EU-Politik hin zu einer geplanten Totalüberwachung aller Flugreisenden vorangetrieben. Die Daten aller Passagiere sollen minutiös überwacht und registriert werden, so dass alle verdächtigen Reisewege sofort erkannt und potentielle Terroristen unmittelbar aus dem Verkehr gezogen werden können. Natürlich reicht die Überwachung des Flugverkehrs hier noch nicht aus. Das Schengen-Abkommen wird mehr und mehr in Frage gestellt, denn innerhalb der zugehörigen Staaten fanden höchstens stichprobenartige Grenzkontrollen statt, Reisende konnten sich mehr oder weniger unbehelligt über Grenzen hinweg bewegen – zumindest war dies der Status Quo vor der Flüchtlingskrise.

Die aktuelle politische Situation macht vielleicht eine vermehrte Kontrolle notwendig, allein schon aus bürokratischer Sicht, aber es bleibt dennoch fraglich, wie man die Überwachung und anschließende Speicherung dieser ganzen Massen an Daten rechtfertigen will. Es lag nicht an der fehlenden Registrierung von Reisedaten, dass die Anschläge in Paris nicht verhindert werden konnten, den Behörden lagen sämtliche Namen wie Akten der Terroristen vor. Vielleicht sollte man nicht anstreben, noch größere Massen an Daten zu speichern, sondern versuchen, die Informationen, die man besitzt, besser auszuwerten und zu verstehen. Bei dem angestrebten Gesetzesvorschlag zum Austausch der Daten von Fluggästen werden unter anderem Essenswünsche der Passagiere gespeichert.

Inwiefern meine persönlichen Daten über meine Vorliebe für Süßes oder Herzhaftes bei der Terrorbekämpfung helfen sollen, ist mir schleierhaft. Was wohl weniger verdächtig wirkt: Käsebrötchen oder Schokocroissant?

menuseperator

Kürzlich bin ich über einen Bericht der Computerwoche gestolpert, der sich mit dem „EICAR Minimum Standard für Anti-Malware-Produkte“ beschäftigt: Demnach dürfen sich entsprechende Lösungen der Firmen F-Secure, G Data, Trend Micro und Kaspersky bald mit dem EICAR-Prüfsiegel schmücken. Die Produkte dieser Anbieter erfüllen somit folgende Sicherheits-Standards:

  • Einhaltung von Datenschutzbestimmungen
     
  • Nachvollziehbare Datenkommunikation
     
  • Garantieren, dass die Software nicht manipuliert ist.

Zugegebenermaßen war ich überrascht, über die Notwendigkeit einer „Plakette“ zu lesen, die die Achtung – so sollte man meinen – fundamentaler Rechte und Pflichten Anwendern gegenüber bestätigt. Jedoch fällt auf, dass keine amerikanischen Unternehmen beteiligt sind und voraussichtlich auch nicht sein werden. Genau, da war doch was: Stichwort NSA-Affäre; zudem ist bekannt, dass die amerikanische Gesetzgebung unter bestimmten Bedingungen den eigenen Geheimdiensten die Möglichkeit des Zugangs zu Unternehmensdaten einräumt. Aber auch in Deutschland hat sich der BND in Sachen Wirtschaftsspionage ja bekanntlich nicht mit Ruhm bekleckert ...

Vor diesem Hintergrund macht ein Siegel als vertrauensbildende Maßnahme in einem verunsicherten Markt durchaus Sinn und kann für bestimmte Anbieter von Enterprise-Security-Software ein richtiger Schritt sein. Die Botschaft ist simpel: „Wir sind sauber!“

Das Siegel erhalten zunächst Unternehmen, die sich per Unterschrift dazu verpflichten, diese Kriterien einzuhalten. In einem späteren Schritt sollen dann unabhängige Prüflabore kontrollieren. EICAR, die European Expert Group for IT-Security, ist eine unabhängige und unparteiische Organisation von IT-Security-Experten aus den Bereichen Wissenschaft, Forschung und Entwicklung sowie der Industrie.

menuseperator

Es gibt kaum einen Bereich in dem das Internet of Things (IoT) nicht Einzug gehalten hätte. Somit ist es auch nicht verwunderlich, dass Entwickler weltweit davon ausgehen, dass ihre IoT-Apps im produktiven Einsatz echte Umsätze generieren. Laut einer Umfrage, die von Progress in Auftrag gegeben wurde, sehen die Befragten weltweit derzeit folgende Gebiete als die wichtigsten bei der Entwicklung von IoT-Apps an: Smart Homes (19%), Wearables (13%), die Automotive-Branche (11%) und den Bereich Sport/Fitness (11%). Für die deutschen Entwickler stehen die Apps für den Einzelhandel an erster Stelle. Die höchsten Umsätze werden ihrer Meinung nach in den Bereichen Wearables und Logistik erzielt.

So viele Vereinfachungen das IoT mit sich bringt, stellt auch hier das Thema Schutz der Daten und der Privatsphäre eine große Herausforderung dar. Welchen Stellenwert dieses Thema in Deutschland einnimmt, zeigt der internationale Vergleich. Für 34 Prozent der deutschen Entwickler ist das die größte Herausforderung, während die anderen Länder hier bei 20 Prozent liegen.

Weitere Informationen zur Studie gibt es hier: https://d117h1jjiq768j.cloudfront.net/docs/default-source/default-document-library/progress/documents/rollbase/iot_survey_infographic_2015.pdf?sfvrsn=2

menuseperator

Seiten

Datenschutz abonnieren