Die Elek­tro­nik­mes­se IFA in Ber­lin steht kurz bevor und auch in die­sem Jahr sind die The­men IT-Sicher­heit und Cyber-Sicher­heit bei vie­len der vor­ge­stell­ten ver­netz­ten Gerä­te rele­vant – denn Schnitt­stel­len wer­den abge­si­chert oder zusätz­li­che Sicher­heits­funk­tio­nen zur Ver­fü­gung gestellt. Dabei kön­nen Nut­zer mit nur weni­gen Klicks not­wen­di­ge Schutz­maß­nah­men selbst tref­fen: So ver­hin­dert bei­spiels­wei­se die Ver­schlüs­se­lung von E‑Mails, dass ver­sen­de­te Infor­ma­tio­nen von Unbe­fug­ten mit­ge­le­sen wer­den kön­nen. Schlimm­sten­falls gewin­nen Hacker bei unver­schlüs­sel­ten E‑Mails Zugriff auf wert­vol­le Infor­ma­tio­nen wie Kon­to- und Benut­zer­da­ten.

E‑Mail-Nut­zer kön­nen eini­ges tun, um sich vor unge­woll­ten Mit­le­sern zu schüt­zen. „Ver­schlüs­se­lung ist ein abso­lu­tes Muss, wenn man sicher­ge­hen möch­te, dass nie­mand ande­res als der vor­ge­se­he­ne Emp­fän­ger die ver­sen­de­ten Daten erhält“, erklärt Arne Schön­bohm, Prä­si­dent des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI). „Kaum jemand wür­de auf die Idee kom­men, ver­trau­li­che Infor­ma­tio­nen auf einer Post­kar­te zu ver­schicken. Tat­säch­lich ist eine unver­schlüs­sel­te E‑Mail aber nichts ande­res – jeder, dem sie in die Hän­de fällt, kann sie lesen. Ver­schie­de­ne Pro­vi­der bie­ten mitt­ler­wei­le kom­for­ta­ble Lösun­gen zur Ver­schlüs­se­lung an, die­se soll­te man nut­zen.”

Siche­re Kom­mu­ni­ka­ti­on als Stan­dard

Nut­zer soll­ten, um ihre E‑Mails effek­tiv zu schüt­zen, die­se ver­schlüs­seln. Hier­für kön­nen ent­we­der Ver­schlüs­se­lungs­funk­tio­nen des E‑Mail-Anbie­ters, Add-Ons für E‑Mail-Pro­gram­me oder Ver­schlüs­se­lungs-Soft­ware genutzt wer­den. Die­se müs­sen ledig­lich akti­viert bezie­hungs­wei­se mit weni­gen Klicks instal­liert und ein­ge­rich­tet wer­den. Dabei wird zwi­schen sym­me­tri­schen und asym­me­tri­schen Ver­schlüs­se­lungs­ver­fah­ren unter­schie­den. Bei der sym­me­tri­schen Ver­schlüs­se­lung wird zum Ver- und Ent­schlüs­seln der­sel­be gehei­me Schlüs­sel ver­wen­det, der nicht mit Drit­ten geteilt wer­den soll­te. Sen­der und Emp­fän­ger ken­nen und benut­zen den­sel­ben Schlüs­sel für die Ver- und Ent­schlüs­se­lung von E‑Mails. Das asym­me­tri­sche Ver­fah­ren setzt sich hin­ge­gen aus einem Schlüs­sel­paar zusam­men, wobei ein Schlüs­sel zur Ver- und einer zur Ent­schlüs­se­lung genutzt wird. Der so genann­te öffent­li­che Schlüs­sel wird mit dem Kom­mu­ni­ka­ti­ons­part­ner aus­ge­tauscht, der pri­va­te Schlüs­sel bleibt geheim. Die­ses Ver­fah­ren bie­tet einen beson­ders hohen Schutz, denn nur ein Emp­fän­ger, der im Besitz des zwei­ten, pri­va­ten Schlüs­sels ist, kann die E‑Mail ent­schlüs­seln.

Um den Ein­satz von Ende-zu-Ende-Ver­schlüs­se­lung – vom Post­aus­gang des Sen­ders bis zum Post­ein­gang des Emp­fän­gers – in Deutsch­land zu för­dern, haben sich Ver­tre­ter aus Poli­tik, For­schung und IT-Wirt­schaft zusam­men­ge­schlos­sen und sich zu ein­fa­chen, nut­zer­freund­li­chen und trans­pa­ren­ten Ver­schlüs­se­lungs­lö­sun­gen ver­pflich­tet. Unter Betei­li­gung des Bun­des­mi­ni­ste­ri­ums des Innern und des BSI wur­de die „Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kom­mu­ni­ka­ti­on“ auf dem IT-Gip­fel 2015 unter­zeich­net. Eine Initia­ti­ve, die die­se For­de­run­gen erfüllt, ist die „Volks­ver­schlüs­se­lung“, für die sich Nut­zer auf der IFA regi­strie­ren kön­nen. „Wir begrü­ßen sol­che Initia­ti­ven, die dazu bei­tra­gen, dass E‑Mail-Kom­mu­ni­ka­ti­on siche­rer wird und die Ver­schlüs­se­lung in der Brei­te genutzt wird“, erklärt Arne Schön­bohm, Prä­si­dent des BSI.

Die Behör­de befasst sich mit allen The­men rund um die IT-Sicher­heit in Deutsch­land; hier­zu ent­wickelt sie auch kryp­to­gra­fi­sche Ver­fah­ren und Ver­schlüs­se­lungs­lö­sun­gen. Unter ande­rem ließ das BSI die Soft­ware Gpg4win ent­wickeln, eine ein­fa­che, lizenz­ko­sten­freie Ver­schlüs­se­lungs­lö­sung für Win­dows-Betriebs­sy­ste­me, die E‑Mails, Datei­en und Datei­ord­ner ver­schlüs­selt und in Out­look genutzt wer­den kann. Inter­es­sier­te IFA-Besu­cher kön­nen vom BSI am Stand 101 in Hal­le 21a wei­te­re Infor­ma­tio­nen rund um die The­men Ver­schlüs­se­lung, IT-Sicher­heit und Cyber-Sicher­heit erhal­ten.

Wei­te­re Infor­ma­tio­nen zum The­ma „Ver­schlüs­se­lung“ erhal­ten Sie unter:

Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kom­mu­ni­ka­ti­on
BSI für Bür­ger: Ver­schlüs­se­lung
Gpg4win: Siche­re E‑Mail- und Datei-Ver­schlüs­se­lung

​Vie­le Com­pu­ter von Pri­vat­an­wen­dern, die zum Inter­net­sur­fen ver­wen­det wer­den, sind nicht aus­rei­chend gegen die Risi­ken der Online-Welt geschützt. Kri­mi­nel­le nut­zen dies, indem sie sol­che Rech­ner mit Schad­pro­gram­men infi­zie­ren und für ihre Zwecke miss­brau­chen. Dadurch kön­nen Ihnen erheb­li­che Schä­den ent­ste­hen. Zum Bei­spiel kön­nen die Kri­mi­nel­len Ihre Daten löschen oder aus­spio­nie­ren, in Online-Shops Waren in Ihrem Namen und auf Ihre Kosten bestel­len, Trans­ak­tio­nen beim Online-Ban­king mani­pu­lie­ren oder Ihnen den Zugang zu Ihrem Bank­kon­to sper­ren. Die Kri­mi­nel­len kön­nen Ihren Rech­ner außer­dem zum Teil eines Bot­net­zes machen und ihn so für Cyber-Angrif­fe auf Unter­neh­men oder ande­re Insti­tu­tio­nen sowie zum Ver­sand von Spam-E-Mails ein­set­zen.

Einen hun­dert­pro­zen­ti­gen Schutz gegen die­se Gefähr­dun­gen gibt es lei­der nicht. Um die Risi­ken jedoch weit­ge­hend ein­zu­schrän­ken, kön­nen Sie selbst etwas tun. Wenn Sie die fol­gen­den Maß­nah­men umset­zen, dann erhö­hen Sie die Sicher­heit Ihres Rech­ners und Ihre Sicher­heit im Inter­net bereits erheb­lich. Die ersten fünf Emp­feh­lun­gen (“Kern­maß­nah­men”) soll­ten Sie dabei in jedem Fall umset­zen. Die wei­te­ren Emp­feh­lun­gen sind ergän­zen­de Maß­nah­men, mit deren Umset­zung Sie Cyber-Kri­mi­nel­len weni­ger Angriffs­flä­che bie­ten und prä­ven­tiv dafür sor­gen kön­nen, Ihre Inter­net-Sicher­heit zu ver­bes­sern und mög­li­che nega­ti­ve Fol­gen zu min­dern.

Alle Maß­nah­men sind in der Regel auch für Lai­en ein­fach umzu­set­zen. Wenn Sie sich dies den­noch nicht zutrau­en, dann soll­ten Sie einen Inter­net-Pro­fi oder den Her­stel­ler Ihres IT-Systems zur Rate zie­hen, der Sie dabei unter­stüt­zen kann.

Kern­maß­nah­men

  • Instal­lie­ren Sie regel­mä­ßig von den jewei­li­gen Her­stel­lern bereit­ge­stell­te Sicher­heits­up­dates für Ihr Betriebs­sy­stem und die von Ihnen instal­lier­ten Pro­gram­me (zum Bei­spiel Inter­net-Brow­ser, Office, Flash Play­er, Ado­be Reader) – idea­ler­wei­se über die Funk­ti­on “Auto­ma­ti­sche Updates”. Die­se Funk­ti­on kön­nen Sie in der Regel im jewei­li­gen Pro­gramm ein­stel­len, meist unter dem Menü­punkt “Optio­nen” oder “Ein­stel­lun­gen”.
  • Set­zen Sie ein Viren­schutz­pro­gramm ein und aktua­li­sie­ren Sie die­ses regel­mä­ßig, idea­ler­wei­se über die Funk­ti­on “Auto­ma­ti­sche Updates”
  • Ver­wen­den Sie eine Per­so­nal Fire­wall. Die­se ist in den mei­sten moder­nen Betriebs­sy­ste­men bereits inte­griert und soll Ihren Rech­ner vor Angrif­fen von außen schüt­zen. Dazu kon­trol­liert sie alle Ver­bin­dun­gen des Rech­ners in ande­re Netz­wer­ke und über­prüft sowohl die Anfra­gen ins Inter­net als auch die Daten, die aus dem Inter­net an Ihren Rech­ner gesen­det wer­den.
  • Nut­zen Sie für den Zugriff auf das Inter­net aus­schließ­lich ein Benut­zer­kon­to mit ein­ge­schränk­ten Rech­ten, kei­nes­falls ein Admi­ni­stra­tor-Kon­to. Alle gän­gi­gen Betriebs­sy­ste­me bie­ten die Mög­lich­keit, sich als Nut­zer mit ein­ge­schränk­ten Rech­ten anzu­mel­den. Wie Sie ein ein­fa­ches Benut­zer­kon­to ein­rich­ten, ist hier erklärt: Micro­soft Win­dows, Mac OS X, Linux, Linux Ubun­tu
  • Sei­en Sie zurück­hal­tend mit der Wei­ter­ga­be per­sön­li­cher Infor­ma­tio­nen. Sei­en Sie miss­trau­isch. Klicken Sie nicht auto­ma­tisch auf jeden Link oder jeden Datei­an­hang, der Ihnen per E‑Mail gesen­det wird. Über­prü­fen Sie gege­be­nen­falls tele­fo­nisch, ob der Absen­der der Mail authen­tisch ist. Wenn Sie Soft­ware her­un­ter­la­den möch­ten, dann soll­ten Sie dies mög­lichst aus­schließ­lich von der Web­sei­te des jewei­li­gen Her­stel­lers tun.

Ergän­zen­de Maß­nah­men

  • Ver­wen­den Sie einen moder­nen Inter­net-Brow­ser mit fort­schritt­li­chen Sicher­heits­me­cha­nis­men wie etwa einer Sand­box. Kon­se­quent umge­setzt wird die­ser Schutz gegen­wär­tig zum Bei­spiel von Goog­le Chro­me. Zudem soll­te der Brow­ser über einen Fil­ter­me­cha­nis­mus ver­fü­gen, der Sie vor schäd­li­chen Web­sei­ten warnt, bevor Sie die­se ansur­fen. Bei­spie­le sol­cher Fil­ter­me­cha­nis­men sind der Smart Screen Fil­ter beim Inter­net Explo­rer sowie der Phis­hing- und Mal­wa­re­schutz bei Goog­le Chro­me und Mozil­la Fire­fox. Dar­über hin­aus soll­ten Sie nur sol­che Brow­ser-Zusatz­pro­gram­me “Plugins” ver­wen­den, die Sie unbe­dingt benö­ti­gen. Wei­te­re Emp­feh­lun­gen zur siche­ren Kon­fi­gu­ra­ti­on Ihres Brow­sers hat das BSI hier für Sie zusam­men­ge­stellt.
  • Nut­zen Sie mög­lichst siche­re Pass­wör­ter. Ver­wen­den Sie für jeden genutz­ten Online-Dienst – zum Bei­spiel E‑Mail, Online Shops, Online Ban­king, Foren, Sozia­le Netz­wer­ke – ein ande­res, siche­res Pass­wort. Ändern Sie die­se Pass­wör­ter regel­mä­ßig. Vom Anbie­ter oder Her­stel­ler vor­ein­ge­stell­te Pass­wör­ter soll­ten Sie sofort ändern. Wie Sie ein siche­res Pass­wort erstel­len kön­nen, haben wir hier für Sie beschrie­ben.
  • Wenn Sie im Inter­net per­sön­li­che Daten über­tra­gen wol­len, etwa beim Online Ban­king oder beim Online Shop­ping, dann soll­ten Sie dies aus­schließ­lich über eine ver­schlüs­sel­te Ver­bin­dung tun. Jeder seriö­se Online-Dienst bie­tet eine sol­che Mög­lich­keit an, bei­spiels­wei­se durch die Nut­zung des siche­ren Kom­mu­ni­ka­ti­ons­pro­to­kolls “HTTPS”. Sie erken­nen dies an der von Ihnen auf­ge­ru­fe­nen Inter­net­adres­se, die stets mit “https://” beginnt und an dem klei­nen Schloss-Sym­bol in Ihrem Brow­ser­fen­ster.
  • Deinstal­lie­ren Sie nicht benö­tig­te Pro­gram­me. Je weni­ger Anwen­dun­gen Sie nut­zen, desto klei­ner ist die Angriffs­flä­che Ihres gesam­ten Systems.
  • Erstel­len Sie regel­mä­ßig Sicher­heits­ko­pi­en “Back­ups” Ihrer Daten, um vor Ver­lust geschützt zu sein. Hier­zu kön­nen Sie bei­spiels­wei­se eine exter­ne Fest­plat­te nut­zen.
  • Wenn Sie ein WLAN (“Wire­less LAN”, draht­lo­ses Netz­werk) nut­zen, dann soll­te dies stets mit­tels des Ver­schlüs­se­lungs­stan­dards WPA2 ver­schlüs­selt sein. Wie Sie ein siche­res WLAN ein­rich­ten kön­nen, erfah­ren Sie hier.
  • Über­prü­fen Sie in regel­mä­ßi­gen Abstän­den den Sicher­heits­sta­tus Ihres Com­pu­ters. Eine schnel­le Test­mög­lich­keit bie­tet die Initia­ti­ve bot­frei des eco-Ver­bands.

​Der genaue Wort­laut der DS-GVO steht nun schon seit gerau­mer Zeit fest. Den­noch ist bis jetzt kei­ne Online-Ver­si­on des Geset­zes­tex­tes zu fin­den, mit der man unkom­pli­ziert arbei­ten kann. In dem offi­zi­el­len PDF ist die Schrift sehr gedrängt und man kann ein­zel­ne Arti­kel z.B. nicht ver­lin­ken. Aus die­sem Grun­de gibt es die Web­site www​.dsgvo​-gesetz​.de.

Durch die fol­gen­den Punk­te wird das Nach­schla­gen, Zitie­ren oder Her­um­blät­tern in der Daten­schutz-Grund­ver­ord­nung angenehmer:Gesetzestext und die dazu­ge­hö­ri­gen Erwä­gungs­grün­de

  • ein­fa­che Navi­ga­ti­on
  • Schnell­zu­griff
  • über­sicht­li­che For­ma­tie­rung
  • alle erwähn­ten Nor­men sind ver­linkt
  • Such­funk­ti­on

Viel Ver­gnü­gen beim Arbei­ten mit der Daten­schutz-Grund­ver­ord­nung.

News vom Vir­tu­el­les Daten­schutz­bü­ro, Ver­öf­fent­licht am 31. Juli 2016

Auf­grund einer Sicher­heits­lücke bei dem Ber­li­ner Flug­ticket-Groß­händ­ler Aer­ticket sol­len seit 2011 Flug­gast­da­ten unge­schützt im Inter­net ein­seh­bar gewe­sen sein. Unter den Daten sei­en Infor­ma­tio­nen wie Name, Adres­se, Flug­ticket, Rech­nun­gen sowie zum Teil auch Bank­da­ten.

Das Unter­neh­men soll die Sicher­heits­lücke mitt­ler­wei­le geschlos­sen haben. Nach Anga­ben von Aer­ticket sei­en die Daten von nur etwa ein Vier­tel der sechs Mil­lio­nen Tickets zugäng­lich gewe­sen. Laut Sicher­heits­ex­per­ten sei die Schwach­stel­le nicht von Kri­mi­nel­len aus­ge­nutzt wor­den. Zur Zeit lau­fe eine Über­prü­fung des Fal­les durch den Ber­li­ner Daten­schutz­be­auf­trag­ten.

Per­sön­li­che Anmer­kung:

Dass eine so schwer­wie­gen­de Sicher­heits­lücke der­art lan­ge unent­deckt blei­ben konn­te, zeigt, welch gerin­ge Rol­le der Schutz von Kun­den­da­ten in vie­len Bran­chen spielt – selbst, wenn vie­le Mil­lio­nen Men­schen betrof­fen sind. Erst vor weni­gen Wochen hat­te der Blog Netz­po­li­tik eine ähn­li­che Lücke beim Ber­li­ner Putz­kraft­ver­mitt­ler Hel­pling auf­ge­deckt. Die­se betraf zwar weit­aus weni­ger Kun­den, der zugrun­de lie­gen­de Feh­ler war tech­nisch aber ver­gleich­bar.

Der GDD-Arbeits­kreis “Daten­schutz Inter­na­tio­nal” hat ein White­pa­per zu den Dritt­land­trans­fers in der EU-Daten­schutz-Grund­ver­ord­nung erstellt.

Die EU-Daten­schutz-Grund­ver­ord­nung (DS-GVO) knüpft, wie bereits die EU-Daten­schutz­richt­li­nie 95/​46/​EG, beson­de­re Bedin­gun­gen an die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein sog. „Dritt­land“ außer­halb des Euro­päi­schen Wirt­schafts­raums und legt die­se Bedin­gun­gen in Kapi­tel V fest. Hier­bei wer­den vor­han­de­ne oder durch die auf­sichts­be­hörd­li­che Pra­xis ent­wickel­te Instru­men­te bestä­tigt und in ihren Vor­ga­ben teil­wei­se erwei­tert bzw. gesetz­lich kon­kre­ti­siert. Das White­pa­per möch­te einen Über­blick dar­über schaf­fen, was sich für Daten­ver­ar­bei­tung nach Anwen­dung der DS-GVO ab dem 25.05.2018 ändert bzw. wo die neu­en Her­aus­for­de­run­gen lie­gen.

» Das White­pa­per kann hier abge­ru­fen wer­den.

Die Euro­päi­sche Kom­mis­si­on hat das Pri­va­cy Shield Frame­work als Nach­fol­ge­re­ge­lung zu Safe Har­bor am gest­ri­gen Tag beschlos­sen. Emp­fän­ger per­so­nen­be­zo­ge­ner Daten in den USA kön­nen durch eine Zer­ti­fi­zie­rung nach den Vor­ga­ben des Pri­va­cy Shield beim US-Han­dels­mi­ni­ste­ri­um ein ange­mes­se­nes Daten­schutz­ni­veau im Sin­ne des § 4b BDSG gewähr­lei­sten.

Nach den hohen Wel­len, die das Urteil des EuGH zu Safe Har­bor in die trans­at­lan­ti­schen Daten­strö­me geschla­gen hat, kann bald wie­der etwas Ruhe in die Ein­be­zie­hung von US-Daten­emp­fän­gern in die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten euro­päi­scher Bür­ge­rin­nen und Bür­ger ein­keh­ren. Nur Mona­te nach der Ungül­tig­keit des „siche­ren Hafens“ wur­de gestern die Nach­fol­ge­re­ge­lung in Gestalt des EU‑U.S. Pri­va­cy Shield durch die Euro­päi­sche Kom­mis­si­on beschlos­sen, nach­dem das obli­ga­to­ri­sche Aus­schuss­ver­fah­ren nach Art. 31 der EU-Daten­schutz­richt­li­nie erfolg­reich durch­lau­fen wur­de. Der Ver­ab­schie­dung gin­gen ver­gleichs­wei­se kur­ze Verhandlungen[1] zwi­schen Ver­tre­tern der Euro­päi­schen Kom­mis­si­on und dem US-Han­dels­mi­ni­ste­ri­um vor­aus, um das Ver­trau­en von Betrof­fe­nen in den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten in den USA wie­der­her­zu­stel­len.

Durch die Ver­ab­schie­dung des Pri­va­cy Shield, ein­schließ­lich des Ange­mes­sen­heits­be­schlus­ses der EU-Kom­mis­si­on bezüg­lich des Schutz­ni­veaus bei zer­ti­fi­zier­ten Daten­emp­fän­gern in den USA, kann die sog. „2. Prüf­stu­fe“ für den Export per­so­nen­be­zo­ge­ner Daten in die USA an zer­ti­fi­zier­te Emp­fän­ger nach die­sem Frame­work gemei­stert wer­den. Die 1. Prüf­stu­fe hin­sicht­lich der Zuläs­sig­keit der Daten­über­mitt­lung muss wei­ter­hin genom­men wer­den. Die Mit­glied­staa­ten sind an die Ange­mes­sen­heits­ent­schei­dung der Kom­mis­si­on gebun­den. Natio­na­len Auf­sichts­be­hör­den ist es unbe­nom­men, die Ein­ga­be einer Per­son dahin­ge­hend zu prü­fen, ob im Rah­men einer Über­mitt­lung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten aus einem Mit­glied­staat in ein Dritt­land wie die USA, ein ange­mes­se­nes Schutz­ni­veau gewähr­lei­stet ist.[2]

Daten­ver­ar­bei­ter in den USA kön­nen sich ab dem 1. August 2016 durch ver­bind­li­che Erklä­rung gegen­über dem US-Han­dels­mi­ni­ste­ri­um nach dem EU‑U.S. Pri­va­cy Shield zer­ti­fi­zie­ren. Bis zur Zer­ti­fi­zie­rung müs­sen die neu­en Vor­ga­ben des Pri­va­cy Shield umge­setzt wor­den sein. Ver­ant­wort­li­che Stel­len in Euro­pa soll­ten ab dem 1. August prü­fen, ob eine Zer­ti­fi­zie­rung für das neue Frame­work tat­säch­lich vor­liegt. Das beim US-Han­dels­mi­ni­ste­ri­um geführ­te Regi­ster ist der­zeit jedoch noch nicht zugäng­lich.

Wei­te­re Infor­ma­tio­nen zum Pri­va­cy Shield fin­den Sie auf den Web­sei­ten der Kom­mis­si­on sowie des US-Han­dels­mi­ni­ste­ri­ums.

[1] Zu den Inhal­ten des EU‑U.S. Pri­va­cy Shield und dem Gang der Ver­hand­lun­gen, sie­he White­pa­per des GDD-Arbeits­krei­ses „Daten­schutz Inter­na­tio­nal“ zu Daten­ex­por­ten in die USA.

[2] So EuGH, Urteil vom 6. Okto­ber 2015 – Az. C 362/​14.