Archiv für die Kategorie: Ereignisse

Bonn, 23.06.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung. Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben. Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: „Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf. Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes.“

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

• Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.
• Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.
• Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.
• Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.
• Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen „https://“ und erstem Schrägstrich?
• Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.
• Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.
• Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.

• Erst jedes dritte IT- und Digitalunternehmen hat erste Maßnahmen zur Umsetzung der DSGVO begonnen
• Ab 25. Mai 2018 drohen bei Datenschutz-Verstößen empfindliche Bußgelder

Berlin, 16. Juni 2017 – In weniger als einem Jahr drohen IT-Unternehmen in Deutschland Millionen-Bußgelder, wenn sie die europäische Datenschutz-Grundverordnung (DSGVO) nicht umgesetzt haben. Doch immer noch gibt jedes fünfte IT- und Digitalunternehmen (19 Prozent) an, sich noch gar nicht mit dem Thema beschäftigt zu haben. Und nur jedes Dritte (34 Prozent) hat zumindest bereits erste Maßnahmen angefangen oder sogar schon umgesetzt. Vier von zehn Unternehmen (42 Prozent) beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen begonnen, und 5 Prozent wollten oder konnten keine Angaben machen. Das ist das Ergebnis einer aktuellen Umfrage unter mehr als 200 IT- und Digitalunternehmen im Auftrag des Bitkom. Im vergangenen Herbst hatten in einer Bitkom-Umfrage 32 Prozent der Unternehmen mit mehr als 20 Mitarbeitern aus allen Branchen angegeben, sich noch nicht mit der DSGVO beschäftigt zu haben, 12 Prozent war das Thema überhaupt nicht bekannt.

Mit der Verordnung werden zahlreiche neue Informations- und Dokumentationspflichten eingeführt, die von den IT-Unternehmen umgesetzt werden müssen. Völlig neu sind gesetzliche Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) oder die Durchführung einer Datenschutz-Folgenabschätzung. Von den IT- und Digitalunternehmen, die aktuell bereits erste Maßnahmen begonnen haben, hat jedes Dritte (31 Prozent) nach eigener Einschätzung gerade einmal höchstens 20 Prozent der notwendigen Arbeiten erledigt. „Allmählich wird die Zeit knapp, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Die Übergangsfrist bis Mai 2018 war dafür gedacht, dass die IT-Unternehmen bis dahin die teilweise aufwändigen Vorarbeiten leisten können – dies setzt aber eine aktive Beschäftigung mit dem Thema voraus“, sagt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit beim Digitalverband Bitkom. „IT-Unternehmen, die bis jetzt die Vorgaben der DSGVO ignoriert haben, sollten sich dringend überlegen, wie sie das Thema schnellstmöglich aufarbeiten können.“

Für den Einstieg hat Bitkom „Fragen und Antworten“ (FAQs) zur Datenschutz-Grundverordnung veröffentlicht, die einen ersten Überblick über die Veränderungen zur heutigen Rechtslage geben. Wie verschiedene Verpflichtungen aus der Verordnung praktisch umgesetzt werden können ergibt sich aus den Praxisleitfäden „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie der „Mustervertragsanlage zur Auftragsverarbeitung“. Alle Leitfäden stehen auf der Bitkom Webseite zum kostenlosen Download bereit: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz/Inhaltsseite-2.html

Die Datenschutz-Grundverordnung ist bereits am 25. Mai 2016 offiziell in Kraft getreten. Die Frist bis zur tatsächlichen Anwendung der Verordnung wurde mit zwei Jahren festgelegt, Stichtag ist somit der 25. Mai 2018. Die IT-Unternehmen müssen bis dahin die Umsetzung in die Praxis abgeschlossen haben. Nach dem Stichtag können die Datenschutzbehörden Bußgelder in Höhe von bis zu 4 Prozent des weltweiten Umsatzes verhängen.

Um die EU-Datenschutzgrundverordnung geht es auch am 19. September 2017 auf der internationalen Privacy Conference in Berlin. Mehr als 200 Datenschutzexperten aus Unternehmen, Politik und Forschung kommen zusammen, um praktische Lösungen für die Umsetzung von Datenschutzregelungen zu diskutieren. Alle Informationen zu Programm und Anmeldung unter https://www.privacy-conference.com/

Hinweis zur Methodik: Grundlage der Angaben ist eine von Bitkom Research durchgeführte Umfrage unter 228 IT- und Digitalunternehmen.

Barcelona ist in Europa Vorreiter beim Thema Smart City. Allerdings plant die Stadtverwaltung ohne große IT- und Internet-Anbieter. Francesca Bria, die verantwortliche Leiterin, will so die Privatisierung der Daten verhindern und sie vielmehr als gesellschaftliches Vermögen behalten und auswerten.

“Es gibt keine digitale Revolution ohne Demokratie”, sagte Francesca Bria, Chief Technology and Digital Innovation Officer der Stadt Barcelona, auf einer Podiumsdiskussion während der Konferenz Re:publica 17 diese Woche in Berlin. “Deshalb denken wir die Digitalisierung Barcelonas zunächst aus der Sicht der Bürger – und starten bei unseren Überlegungen ben nicht mit der Technologie und dem was theoretisch möglich wäre.”

Der spanische Staat hat die Digitalisierung der Städte beschlossen und die Richtlinien dafür vorgegeben. Doch die Verantwortung für die Umsetzung liegt bei den einzelnen Stadtverwaltungen. Gemeinsam mit ihrem Team überdenkt Bria seit ihrer Ernennung vor fast genau einem Jahr, die bisherige Smart-City-Agenda. “Wir überlegen uns, was die Bürger wirklich brauchen. Von da aus starten wir.”

Das Ziel sei es, die Infrastruktur eigenständig aufzubauen und sie selber zu betreiben. “Wenn die Plattform steht, geben wir Unternehmen aus Barcelona und der Umgebung die Möglichkeit, ihre Software und ihre Apps hier anzubieten.”

Damit sieht sie sich im Widerspruch zu den Angeboten der großen IT-Hersteller. “Smart City ist ein im Grunde ein Konzept, dass sich die Anbieter auf Grund ihrer Technologien ausgedacht haben”, erklärt Bria. Indirekt haben das die Analysten von Gartner schon vor rund zwei Jahren bestätigt.

Fazit ihrer umfasenden Smart-City-Studie war schon damals: “Die größte Erkenntnis ist, dass die meisten Investitionen in das Internet der Dinge in Städten von der Industrie und Wirtschaft kommen und nicht vom öffentlichen Sektor getätigt werden.” Dies bedeute allerdings auch, dass sich die Wirtschaftlichkeitsberechnungen an betriebswirtschaftlichen ausgerichtet werden und daher Dienstleister mit Netzwerkbetreibern zusammenarbeiten, “um die richtigen Daten, und nicht nur Massendaten, aus dem IoT zu erhalten und zügig sowie marktorientiert intelligente Dienste anzubieten.”

Hier grätscht Bria dazwischen: “Aber so denken wir nicht. Die Technologie ist ganz sicher ein Teil einer smarten Stadt. Aber wir denken, dass die Demokratie die Technologie führen soll – und nicht umgekehrt.” Damit geht sie noch über die von Gartner vor zwei Jahren aufgestellte Forderung hinaus, dass Kommunen und Stadtverwaltungen die “große Aufgabe der Governance” zufallen müsse.

Um die zu erfüllen, müüssten die Kommunen “Grundsatzentscheidungen über Datenbesitz, Identitätsmanagement von Daten, Persönlichkeitsrechten, dem Stand von Urheberrechten und Lizenzkriterien, sowie der Förderung von wissensbasierten Innovationen durch gleichberechtigten Zugriff und Verständnis von Kerndaten und Informationen” treffen.

Diese Grundsatzentscheidungen hat Barcelona offenbar bereits getroffen: Die Provider seien als Partner der Stadt herzlich willkommen, erklärt Bria. “Aber wir werden uns nicht von den Providern abhängig machen. Oder uns von ihnen die Regeln diktieren lassen.”

Die Entscheidung in Barcelona sei, dass sich die Politik gegen die Disruption der Stadt und für eine “technische Souveränität” ausgesprochen habe. “Wir wollen Nachhaltigkeit, soziales Wohnen, schlaue Verkehrsteuerung”, betont Bria. “Deshalb werden wir nicht mit Plattformen wie Uber oder AirBnB arbeiten und damit die Daten der Stadt an Unternehmen herausgeben.” Denn sie sei der Überzeugung, dass die Daten der Stadt den Menschen gehören: “Daten dürfen nicht privatisiert werden!”

Der Bundesrat hat seine Zustimmung für ein Gesetz zum Datenschutz gegeben, mit dem das nationale Recht an die europäische Datenschutzgrundverordnung (DSGVO) angepasst werden soll („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“).

Hierzu Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv):

„Der vzbv begrüßt, dass im Laufe des parlamentarischen Prozesses die Entwürfe des Bundesministeriums des Innern sowie der Bundesregierung in wesentlichen Punkten nachgebessert wurden. Anders als im Referentenentwurf vorgesehen, können Unternehmen den Nutzungszweck von erhobenen Daten nicht über die Vorgaben der Datenschutzgrundverordnung hinaus ändern. Außerdem wurden die bisherigen verbraucherschützenden Regelungen zum Kreditscoring in das neue Gesetz überführt.

Aber dass Unternehmen Verbraucherrechte einschränken können, ist aus Sicht des vzbv inakzeptabel. Dazu gehört, dass sie unter bestimmten Bedingungen Daten von Verbrauchern verarbeiten können, ohne sie darüber informieren zu müssen. In manchen Fällen dürfen sie gar davon absehen, Daten zu löschen. Es ist mehr als fraglich, ob solche Einschränkungen überhaupt mit Europarecht vereinbar sind. Leider gelingt es dem Gesetzgeber somit nicht, Rechtssicherheit für alle Beteiligten zu schaffen.“

 

Der Bundestag hat Änderungen am Bundesdatenschutzgesetz verabschiedet, mit denen die hiesigen Regelungen an EU-Vorgaben angepasst werden sollen. Kritik kommt von Opposition und Datenschützern.

Lange hatte die Bundesregierung an ihrem umstrittenen Entwurf für ein neues Bundesdatenschutzgesetz gefeilt, mit dem die Vorgaben der EU-Datenschutzgrundverordnung und der Richtlinie zur Datenverarbeitung bei Polizei und Justiz mit nationalem Recht in Einklang gebracht werden sollen. Am 27. April wurde der Entwurf dann mit den Stimmen der Koalitionsparteien im Bundestag verabschiedet. »Frühzeitig und als erstes Land in Europa schafft Deutschland damit Rechtsklarheit«, hieß es anschließend zufrieden bei der Bundesregierung.

Die Änderungen sind allerdings umstritten, auch wenn einige kritisierte Punkte wie die deutliche Einschränkung der Informationsansprüche von Bürgern kurzfristig noch etwas entschärft wurden. Ursprünglich war geplant, dass Unternehmen die Lösch- und Auskunftsanfragen ablehnen können, wenn der Aufwand, diesen nachzukommen, für sie unverhältnismäßig hoch ist. Jetzt gibt es Ausnahmen nur noch für Unternehmen, die mit den betroffenen Bürgern ausschließlich oder überwiegend analog kommunizieren, also vor allem sehr kleine Firmen und lokale Geschäfte. Das Problem: Laut der EU-Datenschutzgrundverordnung, die zumindest an einigen Stellen kleine Spielräume lässt, sind in diesem Punkt keine nationalen Anpassungen erlaubt.

Andere stark kritisierte Punkte wurden nicht mehr verändert. So dürfen Krankenkassen und Versicherungen ihre Leistungsentscheidungen künftig automatisiert – also mit Computern und Algorithmen – treffen und müssen nicht mehr jeden Einzelfall von Mitarbeitern prüfen lassen. Auch werden die bisherigen Regelungen im Bundesdatenschutzgesetz zu besonders schützenswerten Informationen wie biometrischen Daten, Gesundheitsdaten oder Daten zur ethnischen Herkunft oder sexuellen Orientierung aufgeweicht – hier gibt es mehr Ausnahmen als bisher. Und die Kontrollmöglichkeiten für Aufsichtsbehörden bei Berufsgeheimnisträgern werden eingeschränkt. Dazu zählen nicht nur Ärzte und Anwälte, sondern auch Steuerberater, Apotheker und private Versicherungen.

Einschreiten der EU droht

Ebenfalls eingeschränkt wird die Kontrolle des Bundesdatenschutzbeauftragten über den Bundesnachrichtendienst und andere Behörden, obwohl die EU-Vorgaben hier effektive Durchsetzungsbefugnisse vorsehen. Ebenso könnte die Absenkung der Hürden für eine private Videoüberwachung öffentlich zugänglicher Bereiche noch Probleme mit der EU mit sich bringen. Hier schlägt ein Sicherheitsinteresse künftig den Datenschutz. Der Gesetzgeber nehme es sehenden Auges hin, dass der Europäische Gerichtshof die deutschen Regelungen korrigiert, warnt etwa Frank Spaeing, Vorsitzender der Deutschen Vereinigung für Datenschutz, und attestiert der Bundesregierung eine »Missachtung digitaler Grundrechte«.

Beim Bitkom heißt es, das neue Bundesdatenschutzgesetz sei inhaltlich kein großer Wurf, aber auch nicht besonders bedenklich. »Die wirklich wichtigen Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der EU-Verordnung geregelt, wie zum Beispiel das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen«, so Bitkom-Geschäftsleiterin Susanne Dehmel. Ärgerlich sei lediglich, dass die Regelung zur Datenverarbeitung im Beschäftigtenverhältnis über die formalen Anforderungen der EU-Verordnung hinausgeht und »damit eher noch bürokratische Hürden aufbaut«.