BSI und Ver­bän­de initi­ie­ren Cyber-Sicher­heits-Umfra­ge 2016

Im Rah­men der Alli­anz für Cyber-Sicher­heit initi­iert das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in Koope­ra­ti­on mit dem Bun­des­ver­band Infor­ma­ti­ons­wirt­schaft, Tele­kom­mu­ni­ka­ti­on und neue Medi­en (Bit­kom), der Gesell­schaft für Infor­ma­tik e.V. (GI), dem Bun­des­ver­band der Deut­schen Indu­strie (BDI), dem Ver­band Deut­scher Maschi­nen- und Anla­gen­bau (VDMA), dem Bun­des­ver­band der IT-Anwen­der (VOICE) und dem Zen­tral­ver­band Elek­tro­tech­nik- und Elek­tronik­in­du­strie (ZVEI) die Cyber-Sicher­heits-Umfra­ge 2016. Das BSI und die betei­lig­ten Ver­bän­de rufen die IT-Sicher­heits­ver­ant­wort­li­chen deut­scher Unter­neh­men, Behör­den und ande­rer Insti­tu­tio­nen auf, sich an der anony­men Umfra­ge zu beteiligen.

Ziel der Umfra­ge ist es, Infor­ma­tio­nen zur tat­säch­li­chen Betrof­fen­heit durch Cyber-Angrif­fe, der sub­jek­ti­ven Gefähr­dungs­la­ge und dem Umset­zungs­stand von Schutz­maß­nah­men aus Sicht von Unter­neh­men, Behör­den und ande­ren Insti­tu­tio­nen zu erhal­ten. Aus den Ergeb­nis­sen der Umfra­ge las­sen sich unter ande­rem pra­xis­be­zo­ge­ne Lösungs­an­sät­ze und Emp­feh­lun­gen sowie Bera­tungs­schwer­punk­te ablei­ten, die das BSI im Rah­men der Alli­anz für Cyber-Sicher­heit ein­brin­gen und auch ande­ren Unter­neh­men und Insti­tu­tio­nen zur Ver­fü­gung stel­len kann. Zudem flie­ßen die Ergeb­nis­se der Umfra­ge als wei­te­rer Bau­stein in die Erstel­lung und kon­ti­nu­ier­li­che Pfle­ge eines Lage­bilds der Cyber-Sicher­heit in Deutsch­land ein.
Teil­nah­me bis 7. Okto­ber 2016 mög­lich /​ Ergeb­nis­se im Okto­ber 2016

Die Teil­nah­me an der Umfra­ge ist online ab sofort bis zum 7. Okto­ber 2016 mög­lich. Die Ergeb­nis­se wer­den im Okto­ber 2016 ver­öf­fent­licht. Die Ergeb­nis­se der Umfra­gen aus den Vor­jah­ren sind auf der Web­sei­te der Alli­anz für Cyber-Sicher­heit verfügbar.

Über die Alli­anz für Cyber-Sicherheit

Die Alli­anz für Cyber-Sicher­heit ist eine Initia­ti­ve des BSI, die 2012 in Zusam­men­ar­beit mit dem Bun­des­ver­band Infor­ma­ti­ons­wirt­schaft, Tele­kom­mu­ni­ka­ti­on und neue Medi­en e.V. (BITKOM) gegrün­det wur­de. Die Alli­anz hat das Ziel, die Cyber-Sicher­heit in Deutsch­land zu erhö­hen und die Wider­stands­fä­hig­keit des Stand­or­tes Deutsch­land gegen­über Cyber-Angrif­fen zu stär­ken. Sie rich­tet sich vor­ran­gig an Unter­neh­men und Behör­den, dar­über hin­aus aber auch an son­sti­ge Insti­tu­tio­nen und Orga­ni­sa­tio­nen in Deutsch­land. Inter­es­sen­ten haben die Mög­lich­keit, sich in ver­schie­de­nen Rol­len als Teil­neh­mer, Part­ner oder Mul­ti­pli­ka­tor an der Alli­anz betei­li­gen. Wei­te­re Infor­ma­tio­nen zur Alli­anz für Cyber-Sicher­heit sowie zur Umfra­ge ste­hen unter https://​www​.alli​anz​-fuer​-cyber​si​cher​heit​.de zur Verfügung.

Gesell­schaft für Infor­ma­tik ver­öf­fent­licht Social Media Leitlinie

Der Prä­si­di­ums­ar­beits­kreis (PAK) „Daten­schutz und IT-Sicher­heit“ der Gesell­schaft für Infor­ma­tik e.V. (GI) hat eine Leit­li­nie zum ver­ant­wor­tungs­be­wuss­ten Umgang mit Social Media veröffentlicht.

Sozia­le Medi­en lie­gen im Trend: sie sind gera­de gut 10 Jah­re alt und ver­bin­den bereits welt­weit mehr als 3 Mrd. Pri­vat­per­so­nen, Unter­neh­men und Behör­den. Sie die­nen zur Kom­mu­ni­ka­ti­on und zum Aus­tausch von Infor­ma­tio­nen – ein­zeln oder in selbst­or­ga­ni­sier­ten Grup­pen in weit­ge­hen­der Eigenverantwortung.

Auf­grund der nahe­zu flä­chen­decken­den Nut­zung und deren Bedeu­tung für den All­tag, die Ver­net­zung und die Pri­vat­sphä­re der Bür­ge­rin­nen und Bür­ger hal­ten wir eine Anlei­tung zu Bewer­tung und Umgang mit sozia­len Medi­en für drin­gend gebo­ten“, sag­te PAK-Spre­cher Hart­mut Pohl. In den Leit­li­ni­en zeigt der Arbeits­kreis die Chan­cen einer reflek­tier­ten und ver­ant­wor­tungs­vol­len Nut­zung auf, warnt aber gleich­zei­tig vor einem leicht­sin­ni­gen Umgang mit den eige­nen Daten. Dar­über hin­aus wen­det sie sich an Ent­wick­ler sozia­ler Medi­en und appel­liert an deren Ver­ant­wor­tung bei der Erstel­lung ent­spre­chen­der Dienste.

Die Leit­li­nie ist in vier Kapi­tel gegliedert:

  •     Ver­ständ­nis von Social Media
  •     Bewer­tungs­kri­te­ri­en von Social Media
  •     Nut­zung von Social Media
  •     Ent­wick­lung von Social Media

Link zum Her­un­ter­la­den.

Drop­box: Mil­lio­nen Pass­wör­ter schon 2012 von Nut­zern gestohlen

​Drop­box hat ein­ge­räumt, schon 2012 gehackt wor­den zu sein. Dabei wur­den über 68 Mil­lio­nen Pass­wör­ter von Nut­zern entwendet.

Drop­box hat bestä­tigt, bereits 2012 Opfer eines mas­si­ven Daten­hacks gewor­den zu sein, bei dem über 68 Milio­nen Pass­wör­ter von Kun­den gestoh­len wur­den. Für den Cloud-Spei­cher­dienst stellt das Ein­ge­ständ­niss den PR-Super­gau dar, schließ­lich füh­ren Kri­ti­ker oft man­geln­de Sicher­heit als Argu­ment gegen sol­che Cloud­spei­cher-Dienst­lei­ster ins Feld. Auch aus die­sem Grund bemüht man sich bei Drop­box vor allem um Scha­dens­be­gren­zung und ver­sucht, die eige­nen Kun­den zu beru­hi­gen. Bis­her gebe es kei­ne Anzei­chen für unbe­rech­tig­te Zugrif­fe, ließ das Unter­neh­men in der Nacht zum Don­ners­tag ver­lau­ten. Der Dienst­lei­ster betont, dass die gestoh­le­nen Pass­wör­ter nur ver­schlüs­selt abge­grif­fen wur­den. Bei der Ver­schlüs­se­lung sei­en sowohl Hash- als auch Salt-Ver­fah­ren zum Ein­satz gekommen.

Zudem habe man die Pass­wör­ter von Kun­den, die die­ses seit 2012 nicht mehr geän­dert hat­ten, zurück­ge­setzt. Aller­dings gebrau­chen vie­le Inter­net­nut­zer ähn­li­che oder gar glei­che Pass­wör­ter für unter­schied­li­che Dien­ste. Kri­mi­nel­le könn­ten so von den Drop­box-Pass­wör­tern auf ande­re Log­in-Daten schlie­ßen, wenn die­se das­sel­be Pass­wort wie Drop­box nutzen.

Drop­box: »Anmel­de­da­ten sind dank Ver­schlüs­se­lung unbrauchbar«

In einer aktu­el­len Stel­lung­nah­me betont Patrick Reim, Head of Trust and Secu­ri­ty bei Drop­box, dass die erbeu­te­ten Pass­wör­ter so ver­schlüs­selt sind, dass sie für die Angrei­fer nicht nutz­bar sind.

»Dies ist kein neu­er Sicher­heits­vor­fall und wir haben kei­nen Grund zur Annah­me, dass sich Drit­te unrecht­mä­ßig Zugang zu Drop­box-Accounts ver­schafft haben. Unse­re Ana­ly­se bestä­tigt, dass es sich bei den Anmel­de­da­ten um E‑Mail-Adres­sen von Drop­box-Nut­zern und Pass­wör­ter han­delt, die dank der kom­ple­xen Pass­wort­ver­schlüs­se­lung “hashed and sal­ted” unbrauch­bar sind.

Es sind aus­schließ­lich Nut­zer betrof­fen, die sich vor Mit­te 2012 bei Drop­box ange­mel­det haben und seit­dem ihr Pass­wort nicht geän­dert haben. Drop­box hat in der ver­gan­ge­nen Woche als rei­ne Vor­sichts­maß­nah­me die­se betrof­fe­nen Nut­zer auf­ge­for­dert, ihre Pass­wör­ter zu ändern. Drop­box bestä­tigt, dass das Zurück­set­zen der Pass­wör­ter ver­gan­ge­ne Woche abge­schlos­sen wur­de und die Gesamt­heit aller betrof­fe­nen Nut­zer abdeckt.

Obwohl die Drop­box-Kon­ten geschützt sind, soll­ten betrof­fe­ne Nut­zer, die mög­li­cher­wei­se ein iden­ti­sches Pass­wort auch bei ande­ren Ser­vices nut­zen, Vor­sichts­maß­nah­men ergrei­fen. Idea­ler­wei­se soll­ten die­se Pass­wör­ter aktua­li­siert wer­den und Zwei-Fak­tor-Authen­ti­fi­zie­rung akti­viert wer­den. Zudem soll­ten Nut­zer, die eine Benach­rich­ti­gung von Drop­box erhal­ten haben, wach­sam vor Spam oder Phis­hing sein.«

Sicher und pri­vat kom­mu­ni­zie­ren: BSI infor­miert über E‑Mail-Ver­schlüs­se­lung

Die Elek­tronik­mes­se IFA in Ber­lin steht kurz bevor und auch in die­sem Jahr sind die The­men IT-Sicher­heit und Cyber-Sicher­heit bei vie­len der vor­ge­stell­ten ver­netz­ten Gerä­te rele­vant – denn Schnitt­stel­len wer­den abge­si­chert oder zusätz­li­che Sicher­heits­funk­tio­nen zur Ver­fü­gung gestellt. Dabei kön­nen Nut­zer mit nur weni­gen Klicks not­wen­di­ge Schutz­maß­nah­men selbst tref­fen: So ver­hin­dert bei­spiels­wei­se die Ver­schlüs­se­lung von E‑Mails, dass ver­sen­de­te Infor­ma­tio­nen von Unbe­fug­ten mit­ge­le­sen wer­den kön­nen. Schlimm­sten­falls gewin­nen Hacker bei unver­schlüs­sel­ten E‑Mails Zugriff auf wert­vol­le Infor­ma­tio­nen wie Kon­to- und Benutzerdaten.

E‑Mail-Nut­zer kön­nen eini­ges tun, um sich vor unge­woll­ten Mit­le­sern zu schüt­zen. „Ver­schlüs­se­lung ist ein abso­lu­tes Muss, wenn man sicher­ge­hen möch­te, dass nie­mand ande­res als der vor­ge­se­he­ne Emp­fän­ger die ver­sen­de­ten Daten erhält“, erklärt Arne Schön­bohm, Prä­si­dent des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI). „Kaum jemand wür­de auf die Idee kom­men, ver­trau­li­che Infor­ma­tio­nen auf einer Post­kar­te zu ver­schicken. Tat­säch­lich ist eine unver­schlüs­sel­te E‑Mail aber nichts ande­res – jeder, dem sie in die Hän­de fällt, kann sie lesen. Ver­schie­de­ne Pro­vi­der bie­ten mitt­ler­wei­le kom­for­ta­ble Lösun­gen zur Ver­schlüs­se­lung an, die­se soll­te man nutzen.”

Siche­re Kom­mu­ni­ka­ti­on als Standard

Nut­zer soll­ten, um ihre E‑Mails effek­tiv zu schüt­zen, die­se ver­schlüs­seln. Hier­für kön­nen ent­we­der Ver­schlüs­se­lungs­funk­tio­nen des E‑Mail-Anbie­ters, Add-Ons für E‑Mail-Pro­gram­me oder Ver­schlüs­se­lungs-Soft­ware genutzt wer­den. Die­se müs­sen ledig­lich akti­viert bezie­hungs­wei­se mit weni­gen Klicks instal­liert und ein­ge­rich­tet wer­den. Dabei wird zwi­schen sym­me­tri­schen und asym­me­tri­schen Ver­schlüs­se­lungs­ver­fah­ren unter­schie­den. Bei der sym­me­tri­schen Ver­schlüs­se­lung wird zum Ver- und Ent­schlüs­seln der­sel­be gehei­me Schlüs­sel ver­wen­det, der nicht mit Drit­ten geteilt wer­den soll­te. Sen­der und Emp­fän­ger ken­nen und benut­zen den­sel­ben Schlüs­sel für die Ver- und Ent­schlüs­se­lung von E‑Mails. Das asym­me­tri­sche Ver­fah­ren setzt sich hin­ge­gen aus einem Schlüs­sel­paar zusam­men, wobei ein Schlüs­sel zur Ver- und einer zur Ent­schlüs­se­lung genutzt wird. Der so genann­te öffent­li­che Schlüs­sel wird mit dem Kom­mu­ni­ka­ti­ons­part­ner aus­ge­tauscht, der pri­va­te Schlüs­sel bleibt geheim. Die­ses Ver­fah­ren bie­tet einen beson­ders hohen Schutz, denn nur ein Emp­fän­ger, der im Besitz des zwei­ten, pri­va­ten Schlüs­sels ist, kann die E‑Mail entschlüsseln.

Um den Ein­satz von Ende-zu-Ende-Ver­schlüs­se­lung – vom Post­aus­gang des Sen­ders bis zum Post­ein­gang des Emp­fän­gers – in Deutsch­land zu för­dern, haben sich Ver­tre­ter aus Poli­tik, For­schung und IT-Wirt­schaft zusam­men­ge­schlos­sen und sich zu ein­fa­chen, nut­zer­freund­li­chen und trans­pa­ren­ten Ver­schlüs­se­lungs­lö­sun­gen ver­pflich­tet. Unter Betei­li­gung des Bun­des­mi­ni­ste­ri­ums des Innern und des BSI wur­de die „Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kom­mu­ni­ka­ti­on“ auf dem IT-Gip­fel 2015 unter­zeich­net. Eine Initia­ti­ve, die die­se For­de­run­gen erfüllt, ist die „Volks­ver­schlüs­se­lung“, für die sich Nut­zer auf der IFA regi­strie­ren kön­nen. „Wir begrü­ßen sol­che Initia­ti­ven, die dazu bei­tra­gen, dass E‑Mail-Kom­mu­ni­ka­ti­on siche­rer wird und die Ver­schlüs­se­lung in der Brei­te genutzt wird“, erklärt Arne Schön­bohm, Prä­si­dent des BSI.

Die Behör­de befasst sich mit allen The­men rund um die IT-Sicher­heit in Deutsch­land; hier­zu ent­wickelt sie auch kryp­to­gra­fi­sche Ver­fah­ren und Ver­schlüs­se­lungs­lö­sun­gen. Unter ande­rem ließ das BSI die Soft­ware Gpg4win ent­wickeln, eine ein­fa­che, lizenz­ko­sten­freie Ver­schlüs­se­lungs­lö­sung für Win­dows-Betriebs­sy­ste­me, die E‑Mails, Datei­en und Datei­ord­ner ver­schlüs­selt und in Out­look genutzt wer­den kann. Inter­es­sier­te IFA-Besu­cher kön­nen vom BSI am Stand 101 in Hal­le 21a wei­te­re Infor­ma­tio­nen rund um die The­men Ver­schlüs­se­lung, IT-Sicher­heit und Cyber-Sicher­heit erhalten.

Wei­te­re Infor­ma­tio­nen zum The­ma „Ver­schlüs­se­lung“ erhal­ten Sie unter:

Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kommunikation
BSI für Bür­ger: Verschlüsselung
Gpg4win: Siche­re E‑Mail- und Datei-Verschlüsselung

BSI: 12 Maß­nah­men zur Absi­che­rung gegen Angrif­fe aus dem Internet

​Vie­le Com­pu­ter von Pri­vat­an­wen­dern, die zum Inter­net­sur­fen ver­wen­det wer­den, sind nicht aus­rei­chend gegen die Risi­ken der Online-Welt geschützt. Kri­mi­nel­le nut­zen dies, indem sie sol­che Rech­ner mit Schad­pro­gram­men infi­zie­ren und für ihre Zwecke miss­brau­chen. Dadurch kön­nen Ihnen erheb­li­che Schä­den ent­ste­hen. Zum Bei­spiel kön­nen die Kri­mi­nel­len Ihre Daten löschen oder aus­spio­nie­ren, in Online-Shops Waren in Ihrem Namen und auf Ihre Kosten bestel­len, Trans­ak­tio­nen beim Online-Ban­king mani­pu­lie­ren oder Ihnen den Zugang zu Ihrem Bank­kon­to sper­ren. Die Kri­mi­nel­len kön­nen Ihren Rech­ner außer­dem zum Teil eines Bot­net­zes machen und ihn so für Cyber-Angrif­fe auf Unter­neh­men oder ande­re Insti­tu­tio­nen sowie zum Ver­sand von Spam-E-Mails einsetzen.

Einen hun­dert­pro­zen­ti­gen Schutz gegen die­se Gefähr­dun­gen gibt es lei­der nicht. Um die Risi­ken jedoch weit­ge­hend ein­zu­schrän­ken, kön­nen Sie selbst etwas tun. Wenn Sie die fol­gen­den Maß­nah­men umset­zen, dann erhö­hen Sie die Sicher­heit Ihres Rech­ners und Ihre Sicher­heit im Inter­net bereits erheb­lich. Die ersten fünf Emp­feh­lun­gen (“Kern­maß­nah­men”) soll­ten Sie dabei in jedem Fall umset­zen. Die wei­te­ren Emp­feh­lun­gen sind ergän­zen­de Maß­nah­men, mit deren Umset­zung Sie Cyber-Kri­mi­nel­len weni­ger Angriffs­flä­che bie­ten und prä­ven­tiv dafür sor­gen kön­nen, Ihre Inter­net-Sicher­heit zu ver­bes­sern und mög­li­che nega­ti­ve Fol­gen zu mindern.

Alle Maß­nah­men sind in der Regel auch für Lai­en ein­fach umzu­set­zen. Wenn Sie sich dies den­noch nicht zutrau­en, dann soll­ten Sie einen Inter­net-Pro­fi oder den Her­stel­ler Ihres IT-Systems zur Rate zie­hen, der Sie dabei unter­stüt­zen kann.

Kern­maß­nah­men

  • Instal­lie­ren Sie regel­mä­ßig von den jewei­li­gen Her­stel­lern bereit­ge­stell­te Sicher­heits­up­dates für Ihr Betriebs­sy­stem und die von Ihnen instal­lier­ten Pro­gram­me (zum Bei­spiel Inter­net-Brow­ser, Office, Flash Play­er, Ado­be Rea­der) – idea­ler­wei­se über die Funk­ti­on “Auto­ma­ti­sche Updates”. Die­se Funk­ti­on kön­nen Sie in der Regel im jewei­li­gen Pro­gramm ein­stel­len, meist unter dem Menü­punkt “Optio­nen” oder “Ein­stel­lun­gen”.
  • Set­zen Sie ein Viren­schutz­pro­gramm ein und aktua­li­sie­ren Sie die­ses regel­mä­ßig, idea­ler­wei­se über die Funk­ti­on “Auto­ma­ti­sche Updates”
  • Ver­wen­den Sie eine Per­so­nal Fire­wall. Die­se ist in den mei­sten moder­nen Betriebs­sy­ste­men bereits inte­griert und soll Ihren Rech­ner vor Angrif­fen von außen schüt­zen. Dazu kon­trol­liert sie alle Ver­bin­dun­gen des Rech­ners in ande­re Netz­wer­ke und über­prüft sowohl die Anfra­gen ins Inter­net als auch die Daten, die aus dem Inter­net an Ihren Rech­ner gesen­det werden.
  • Nut­zen Sie für den Zugriff auf das Inter­net aus­schließ­lich ein Benut­zer­kon­to mit ein­ge­schränk­ten Rech­ten, kei­nes­falls ein Admi­ni­stra­tor-Kon­to. Alle gän­gi­gen Betriebs­sy­ste­me bie­ten die Mög­lich­keit, sich als Nut­zer mit ein­ge­schränk­ten Rech­ten anzu­mel­den. Wie Sie ein ein­fa­ches Benut­zer­kon­to ein­rich­ten, ist hier erklärt: Micro­soft Win­dows, Mac OS X, Linux, Linux Ubuntu
  • Sei­en Sie zurück­hal­tend mit der Wei­ter­ga­be per­sön­li­cher Infor­ma­tio­nen. Sei­en Sie miss­trau­isch. Klicken Sie nicht auto­ma­tisch auf jeden Link oder jeden Datei­an­hang, der Ihnen per E‑Mail gesen­det wird. Über­prü­fen Sie gege­be­nen­falls tele­fo­nisch, ob der Absen­der der Mail authen­tisch ist. Wenn Sie Soft­ware her­un­ter­la­den möch­ten, dann soll­ten Sie dies mög­lichst aus­schließ­lich von der Web­sei­te des jewei­li­gen Her­stel­lers tun.

Ergän­zen­de Maßnahmen

  • Ver­wen­den Sie einen moder­nen Inter­net-Brow­ser mit fort­schritt­li­chen Sicher­heits­me­cha­nis­men wie etwa einer Sand­box. Kon­se­quent umge­setzt wird die­ser Schutz gegen­wär­tig zum Bei­spiel von Goog­le Chro­me. Zudem soll­te der Brow­ser über einen Fil­ter­me­cha­nis­mus ver­fü­gen, der Sie vor schäd­li­chen Web­sei­ten warnt, bevor Sie die­se ansur­fen. Bei­spie­le sol­cher Fil­ter­me­cha­nis­men sind der Smart Screen Fil­ter beim Inter­net Explo­rer sowie der Phis­hing- und Mal­wa­re­schutz bei Goog­le Chro­me und Mozil­la Fire­fox. Dar­über hin­aus soll­ten Sie nur sol­che Brow­ser-Zusatz­pro­gram­me “Plugins” ver­wen­den, die Sie unbe­dingt benö­ti­gen. Wei­te­re Emp­feh­lun­gen zur siche­ren Kon­fi­gu­ra­ti­on Ihres Brow­sers hat das BSI hier für Sie zusammengestellt.
  • Nut­zen Sie mög­lichst siche­re Pass­wör­ter. Ver­wen­den Sie für jeden genutz­ten Online-Dienst – zum Bei­spiel E‑Mail, Online Shops, Online Ban­king, Foren, Sozia­le Netz­wer­ke – ein ande­res, siche­res Pass­wort. Ändern Sie die­se Pass­wör­ter regel­mä­ßig. Vom Anbie­ter oder Her­stel­ler vor­ein­ge­stell­te Pass­wör­ter soll­ten Sie sofort ändern. Wie Sie ein siche­res Pass­wort erstel­len kön­nen, haben wir hier für Sie beschrieben.
  • Wenn Sie im Inter­net per­sön­li­che Daten über­tra­gen wol­len, etwa beim Online Ban­king oder beim Online Shop­ping, dann soll­ten Sie dies aus­schließ­lich über eine ver­schlüs­sel­te Ver­bin­dung tun. Jeder seriö­se Online-Dienst bie­tet eine sol­che Mög­lich­keit an, bei­spiels­wei­se durch die Nut­zung des siche­ren Kom­mu­ni­ka­ti­ons­pro­to­kolls “HTTPS”. Sie erken­nen dies an der von Ihnen auf­ge­ru­fe­nen Inter­net­adres­se, die stets mit “https://” beginnt und an dem klei­nen Schloss-Sym­bol in Ihrem Browserfenster.
  • Deinstal­lie­ren Sie nicht benö­tig­te Pro­gram­me. Je weni­ger Anwen­dun­gen Sie nut­zen, desto klei­ner ist die Angriffs­flä­che Ihres gesam­ten Systems.
  • Erstel­len Sie regel­mä­ßig Sicher­heits­ko­pien “Back­ups” Ihrer Daten, um vor Ver­lust geschützt zu sein. Hier­zu kön­nen Sie bei­spiels­wei­se eine exter­ne Fest­plat­te nutzen.
  • Wenn Sie ein WLAN (“Wire­less LAN”, draht­lo­ses Netz­werk) nut­zen, dann soll­te dies stets mit­tels des Ver­schlüs­se­lungs­stan­dards WPA2 ver­schlüs­selt sein. Wie Sie ein siche­res WLAN ein­rich­ten kön­nen, erfah­ren Sie hier.
  • Über­prü­fen Sie in regel­mä­ßi­gen Abstän­den den Sicher­heits­sta­tus Ihres Com­pu­ters. Eine schnel­le Test­mög­lich­keit bie­tet die Initia­ti­ve bot­frei des eco-Verbands.

Die DS-GVO über­sicht­lich dargestellt

​Der genaue Wort­laut der DS-GVO steht nun schon seit gerau­mer Zeit fest. Den­noch ist bis jetzt kei­ne Online-Ver­si­on des Geset­zes­tex­tes zu fin­den, mit der man unkom­pli­ziert arbei­ten kann. In dem offi­zi­el­len PDF ist die Schrift sehr gedrängt und man kann ein­zel­ne Arti­kel z.B. nicht ver­lin­ken. Aus die­sem Grun­de gibt es die Web­site www​.dsgvo​-gesetz​.de.

Durch die fol­gen­den Punk­te wird das Nach­schla­gen, Zitie­ren oder Her­um­blät­tern in der Daten­schutz-Grund­ver­ord­nung angenehmer:Gesetzestext und die dazu­ge­hö­ri­gen Erwägungsgründe

  • ein­fa­che Navigation
  • Schnell­zu­griff
  • über­sicht­li­che Formatierung
  • alle erwähn­ten Nor­men sind verlinkt
  • Such­funk­ti­on

Viel Ver­gnü­gen beim Arbei­ten mit der Datenschutz-Grundverordnung.

Aer­ticket: Mil­lio­nen Daten von Flug­gä­sten unge­schützt im Internet

News vom Vir­tu­el­les Daten­schutz­bü­ro, Ver­öf­fent­licht am 31. Juli 2016

Auf­grund einer Sicher­heits­lücke bei dem Ber­li­ner Flug­ticket-Groß­händ­ler Aer­ticket sol­len seit 2011 Flug­gast­da­ten unge­schützt im Inter­net ein­seh­bar gewe­sen sein. Unter den Daten sei­en Infor­ma­tio­nen wie Name, Adres­se, Flug­ticket, Rech­nun­gen sowie zum Teil auch Bankdaten.

Das Unter­neh­men soll die Sicher­heits­lücke mitt­ler­wei­le geschlos­sen haben. Nach Anga­ben von Aer­ticket sei­en die Daten von nur etwa ein Vier­tel der sechs Mil­lio­nen Tickets zugäng­lich gewe­sen. Laut Sicher­heits­ex­per­ten sei die Schwach­stel­le nicht von Kri­mi­nel­len aus­ge­nutzt wor­den. Zur Zeit lau­fe eine Über­prü­fung des Fal­les durch den Ber­li­ner Datenschutzbeauftragten.

Per­sön­li­che Anmerkung:

Dass eine so schwer­wie­gen­de Sicher­heits­lücke der­art lan­ge unent­deckt blei­ben konn­te, zeigt, welch gerin­ge Rol­le der Schutz von Kun­den­da­ten in vie­len Bran­chen spielt – selbst, wenn vie­le Mil­lio­nen Men­schen betrof­fen sind. Erst vor weni­gen Wochen hat­te der Blog Netz­po­li­tik eine ähn­li­che Lücke beim Ber­li­ner Putz­kraft­ver­mitt­ler Hel­pling auf­ge­deckt. Die­se betraf zwar weit­aus weni­ger Kun­den, der zugrun­de lie­gen­de Feh­ler war tech­nisch aber vergleichbar.

GDD: White­pa­per zu den Dritt­land­trans­fers in der EU-Datenschutz-Grundverordnung

Der GDD-Arbeits­kreis “Daten­schutz Inter­na­tio­nal” hat ein White­pa­per zu den Dritt­land­trans­fers in der EU-Daten­schutz-Grund­ver­ord­nung erstellt.

Die EU-Daten­schutz-Grund­ver­ord­nung (DS-GVO) knüpft, wie bereits die EU-Daten­schutz­richt­li­nie 95/​46/​EG, beson­de­re Bedin­gun­gen an die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein sog. „Dritt­land“ außer­halb des Euro­päi­schen Wirt­schafts­raums und legt die­se Bedin­gun­gen in Kapi­tel V fest. Hier­bei wer­den vor­han­de­ne oder durch die auf­sichts­be­hörd­li­che Pra­xis ent­wickel­te Instru­men­te bestä­tigt und in ihren Vor­ga­ben teil­wei­se erwei­tert bzw. gesetz­lich kon­kre­ti­siert. Das White­pa­per möch­te einen Über­blick dar­über schaf­fen, was sich für Daten­ver­ar­bei­tung nach Anwen­dung der DS-GVO ab dem 25.05.2018 ändert bzw. wo die neu­en Her­aus­for­de­run­gen liegen.

» Das White­pa­per kann hier abge­ru­fen werden.

GDD: EU‑U.S. Pri­va­cy Shield verabschiedet

Die Euro­päi­sche Kom­mis­si­on hat das Pri­va­cy Shield Frame­work als Nach­fol­ge­re­ge­lung zu Safe Har­bor am gest­ri­gen Tag beschlos­sen. Emp­fän­ger per­so­nen­be­zo­ge­ner Daten in den USA kön­nen durch eine Zer­ti­fi­zie­rung nach den Vor­ga­ben des Pri­va­cy Shield beim US-Han­dels­mi­ni­ste­ri­um ein ange­mes­se­nes Daten­schutz­ni­veau im Sin­ne des § 4b BDSG gewährleisten.

Nach den hohen Wel­len, die das Urteil des EuGH zu Safe Har­bor in die trans­at­lan­ti­schen Daten­strö­me geschla­gen hat, kann bald wie­der etwas Ruhe in die Ein­be­zie­hung von US-Daten­emp­fän­gern in die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten euro­päi­scher Bür­ge­rin­nen und Bür­ger ein­keh­ren. Nur Mona­te nach der Ungül­tig­keit des „siche­ren Hafens“ wur­de gestern die Nach­fol­ge­re­ge­lung in Gestalt des EU‑U.S. Pri­va­cy Shield durch die Euro­päi­sche Kom­mis­si­on beschlos­sen, nach­dem das obli­ga­to­ri­sche Aus­schuss­ver­fah­ren nach Art. 31 der EU-Daten­schutz­richt­li­nie erfolg­reich durch­lau­fen wur­de. Der Ver­ab­schie­dung gin­gen ver­gleichs­wei­se kur­ze Verhandlungen[1] zwi­schen Ver­tre­tern der Euro­päi­schen Kom­mis­si­on und dem US-Han­dels­mi­ni­ste­ri­um vor­aus, um das Ver­trau­en von Betrof­fe­nen in den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten in den USA wiederherzustellen.

Durch die Ver­ab­schie­dung des Pri­va­cy Shield, ein­schließ­lich des Ange­mes­sen­heits­be­schlus­ses der EU-Kom­mis­si­on bezüg­lich des Schutz­ni­veaus bei zer­ti­fi­zier­ten Daten­emp­fän­gern in den USA, kann die sog. „2. Prüf­stu­fe“ für den Export per­so­nen­be­zo­ge­ner Daten in die USA an zer­ti­fi­zier­te Emp­fän­ger nach die­sem Frame­work gemei­stert wer­den. Die 1. Prüf­stu­fe hin­sicht­lich der Zuläs­sig­keit der Daten­über­mitt­lung muss wei­ter­hin genom­men wer­den. Die Mit­glied­staa­ten sind an die Ange­mes­sen­heits­ent­schei­dung der Kom­mis­si­on gebun­den. Natio­na­len Auf­sichts­be­hör­den ist es unbe­nom­men, die Ein­ga­be einer Per­son dahin­ge­hend zu prü­fen, ob im Rah­men einer Über­mitt­lung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten aus einem Mit­glied­staat in ein Dritt­land wie die USA, ein ange­mes­se­nes Schutz­ni­veau gewähr­lei­stet ist.[2]

Daten­ver­ar­bei­ter in den USA kön­nen sich ab dem 1. August 2016 durch ver­bind­li­che Erklä­rung gegen­über dem US-Han­dels­mi­ni­ste­ri­um nach dem EU‑U.S. Pri­va­cy Shield zer­ti­fi­zie­ren. Bis zur Zer­ti­fi­zie­rung müs­sen die neu­en Vor­ga­ben des Pri­va­cy Shield umge­setzt wor­den sein. Ver­ant­wort­li­che Stel­len in Euro­pa soll­ten ab dem 1. August prü­fen, ob eine Zer­ti­fi­zie­rung für das neue Frame­work tat­säch­lich vor­liegt. Das beim US-Han­dels­mi­ni­ste­ri­um geführ­te Regi­ster ist der­zeit jedoch noch nicht zugänglich.

Wei­te­re Infor­ma­tio­nen zum Pri­va­cy Shield fin­den Sie auf den Web­sei­ten der Kom­mis­si­on sowie des US-Han­dels­mi­ni­ste­ri­ums.

[1] Zu den Inhal­ten des EU‑U.S. Pri­va­cy Shield und dem Gang der Ver­hand­lun­gen, sie­he White­pa­per des GDD-Arbeits­krei­ses „Daten­schutz Inter­na­tio­nal“ zu Daten­ex­por­ten in die USA.

[2] So EuGH, Urteil vom 6. Okto­ber 2015 – Az. C 362/​14.