Sicher und privat kommunizieren: BSI informiert über E-Mail-Verschlüsselung

/in /von

Die Elektronikmesse IFA in Berlin steht kurz bevor und auch in diesem Jahr sind die Themen IT-Sicherheit und Cyber-Sicherheit bei vielen der vorgestellten vernetzten Geräte relevant – denn Schnittstellen werden abgesichert oder zusätzliche Sicherheitsfunktionen zur Verfügung gestellt. Dabei können Nutzer mit nur wenigen Klicks notwendige Schutzmaßnahmen selbst treffen: So verhindert beispielsweise die Verschlüsselung von E-Mails, dass versendete Informationen von Unbefugten mitgelesen werden können. Schlimmstenfalls gewinnen Hacker bei unverschlüsselten E-Mails Zugriff auf wertvolle Informationen wie Konto- und Benutzerdaten.

E-Mail-Nutzer können einiges tun, um sich vor ungewollten Mitlesern zu schützen. „Verschlüsselung ist ein absolutes Muss, wenn man sichergehen möchte, dass niemand anderes als der vorgesehene Empfänger die versendeten Daten erhält“, erklärt Arne Schönbohm, Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI). „Kaum jemand würde auf die Idee kommen, vertrauliche Informationen auf einer Postkarte zu verschicken. Tatsächlich ist eine unverschlüsselte E-Mail aber nichts anderes – jeder, dem sie in die Hände fällt, kann sie lesen. Verschiedene Provider bieten mittlerweile komfortable Lösungen zur Verschlüsselung an, diese sollte man nutzen.“

Sichere Kommunikation als Standard

Nutzer sollten, um ihre E-Mails effektiv zu schützen, diese verschlüsseln. Hierfür können entweder Verschlüsselungsfunktionen des E-Mail-Anbieters, Add-Ons für E-Mail-Programme oder Verschlüsselungs-Software genutzt werden. Diese müssen lediglich aktiviert beziehungsweise mit wenigen Klicks installiert und eingerichtet werden. Dabei wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren unterschieden. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln derselbe geheime Schlüssel verwendet, der nicht mit Dritten geteilt werden sollte. Sender und Empfänger kennen und benutzen denselben Schlüssel für die Ver- und Entschlüsselung von E-Mails. Das asymmetrische Verfahren setzt sich hingegen aus einem Schlüsselpaar zusammen, wobei ein Schlüssel zur Ver- und einer zur Entschlüsselung genutzt wird. Der so genannte öffentliche Schlüssel wird mit dem Kommunikationspartner ausgetauscht, der private Schlüssel bleibt geheim. Dieses Verfahren bietet einen besonders hohen Schutz, denn nur ein Empfänger, der im Besitz des zweiten, privaten Schlüssels ist, kann die E-Mail entschlüsseln.

Um den Einsatz von Ende-zu-Ende-Verschlüsselung – vom Postausgang des Senders bis zum Posteingang des Empfängers – in Deutschland zu fördern, haben sich Vertreter aus Politik, Forschung und IT-Wirtschaft zusammengeschlossen und sich zu einfachen, nutzerfreundlichen und transparenten Verschlüsselungslösungen verpflichtet. Unter Beteiligung des Bundesministeriums des Innern und des BSI wurde die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ auf dem IT-Gipfel 2015 unterzeichnet. Eine Initiative, die diese Forderungen erfüllt, ist die „Volksverschlüsselung“, für die sich Nutzer auf der IFA registrieren können. „Wir begrüßen solche Initiativen, die dazu beitragen, dass E-Mail-Kommunikation sicherer wird und die Verschlüsselung in der Breite genutzt wird“, erklärt Arne Schönbohm, Präsident des BSI.

Die Behörde befasst sich mit allen Themen rund um die IT-Sicherheit in Deutschland; hierzu entwickelt sie auch kryptografische Verfahren und Verschlüsselungslösungen. Unter anderem ließ das BSI die Software Gpg4win entwickeln, eine einfache, lizenzkostenfreie Verschlüsselungslösung für Windows-Betriebssysteme, die E-Mails, Dateien und Dateiordner verschlüsselt und in Outlook genutzt werden kann. Interessierte IFA-Besucher können vom BSI am Stand 101 in Halle 21a weitere Informationen rund um die Themen Verschlüsselung, IT-Sicherheit und Cyber-Sicherheit erhalten.

Weitere Informationen zum Thema „Verschlüsselung“ erhalten Sie unter:

Charta zur Stärkung der vertrauenswürdigen Kommunikation
BSI für Bürger: Verschlüsselung
Gpg4win: Sichere E-Mail- und Datei-Verschlüsselung

BSI: 12 Maßnahmen zur Absicherung gegen Angriffe aus dem Internet

/in /von

​Viele Computer von Privatanwendern, die zum Internetsurfen verwendet werden, sind nicht ausreichend gegen die Risiken der Online-Welt geschützt. Kriminelle nutzen dies, indem sie solche Rechner mit Schadprogrammen infizieren und für ihre Zwecke missbrauchen. Dadurch können Ihnen erhebliche Schäden entstehen. Zum Beispiel können die Kriminellen Ihre Daten löschen oder ausspionieren, in Online-Shops Waren in Ihrem Namen und auf Ihre Kosten bestellen, Transaktionen beim Online-Banking manipulieren oder Ihnen den Zugang zu Ihrem Bankkonto sperren. Die Kriminellen können Ihren Rechner außerdem zum Teil eines Botnetzes machen und ihn so für Cyber-Angriffe auf Unternehmen oder andere Institutionen sowie zum Versand von Spam-E-Mails einsetzen.

Einen hundertprozentigen Schutz gegen diese Gefährdungen gibt es leider nicht. Um die Risiken jedoch weitgehend einzuschränken, können Sie selbst etwas tun. Wenn Sie die folgenden Maßnahmen umsetzen, dann erhöhen Sie die Sicherheit Ihres Rechners und Ihre Sicherheit im Internet bereits erheblich. Die ersten fünf Empfehlungen („Kernmaßnahmen„) sollten Sie dabei in jedem Fall umsetzen. Die weiteren Empfehlungen sind ergänzende Maßnahmen, mit deren Umsetzung Sie Cyber-Kriminellen weniger Angriffsfläche bieten und präventiv dafür sorgen können, Ihre Internet-Sicherheit zu verbessern und mögliche negative Folgen zu mindern.

Alle Maßnahmen sind in der Regel auch für Laien einfach umzusetzen. Wenn Sie sich dies dennoch nicht zutrauen, dann sollten Sie einen Internet-Profi oder den Hersteller Ihres IT-Systems zur Rate ziehen, der Sie dabei unterstützen kann.

Kernmaßnahmen

  • Installieren Sie regelmäßig von den jeweiligen Herstellern bereitgestellte Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen installierten Programme (zum Beispiel Internet-Browser, Office, Flash Player, Adobe Reader) – idealerweise über die Funktion „Automatische Updates“. Diese Funktion können Sie in der Regel im jeweiligen Programm einstellen, meist unter dem Menüpunkt „Optionen“ oder „Einstellungen“.
  • Setzen Sie ein Virenschutzprogramm ein und aktualisieren Sie dieses regelmäßig, idealerweise über die Funktion „Automatische Updates“
  • Verwenden Sie eine Personal Firewall. Diese ist in den meisten modernen Betriebssystemen bereits integriert und soll Ihren Rechner vor Angriffen von außen schützen. Dazu kontrolliert sie alle Verbindungen des Rechners in andere Netzwerke und überprüft sowohl die Anfragen ins Internet als auch die Daten, die aus dem Internet an Ihren Rechner gesendet werden.
  • Nutzen Sie für den Zugriff auf das Internet ausschließlich ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto. Alle gängigen Betriebssysteme bieten die Möglichkeit, sich als Nutzer mit eingeschränkten Rechten anzumelden. Wie Sie ein einfaches Benutzerkonto einrichten, ist hier erklärt: Microsoft Windows, Mac OS X, Linux, Linux Ubuntu
  • Seien Sie zurückhaltend mit der Weitergabe persönlicher Informationen. Seien Sie misstrauisch. Klicken Sie nicht automatisch auf jeden Link oder jeden Dateianhang, der Ihnen per E-Mail gesendet wird. Überprüfen Sie gegebenenfalls telefonisch, ob der Absender der Mail authentisch ist. Wenn Sie Software herunterladen möchten, dann sollten Sie dies möglichst ausschließlich von der Webseite des jeweiligen Herstellers tun.

Ergänzende Maßnahmen

  • Verwenden Sie einen modernen Internet-Browser mit fortschrittlichen Sicherheitsmechanismen wie etwa einer Sandbox. Konsequent umgesetzt wird dieser Schutz gegenwärtig zum Beispiel von Google Chrome. Zudem sollte der Browser über einen Filtermechanismus verfügen, der Sie vor schädlichen Webseiten warnt, bevor Sie diese ansurfen. Beispiele solcher Filtermechanismen sind der Smart Screen Filter beim Internet Explorer sowie der Phishing- und Malwareschutz bei Google Chrome und Mozilla Firefox. Darüber hinaus sollten Sie nur solche Browser-Zusatzprogramme „Plugins“ verwenden, die Sie unbedingt benötigen. Weitere Empfehlungen zur sicheren Konfiguration Ihres Browsers hat das BSI hier für Sie zusammengestellt.
  • Nutzen Sie möglichst sichere Passwörter. Verwenden Sie für jeden genutzten Online-Dienst – zum Beispiel E-Mail, Online Shops, Online Banking, Foren, Soziale Netzwerke – ein anderes, sicheres Passwort. Ändern Sie diese Passwörter regelmäßig. Vom Anbieter oder Hersteller voreingestellte Passwörter sollten Sie sofort ändern. Wie Sie ein sicheres Passwort erstellen können, haben wir hier für Sie beschrieben.
  • Wenn Sie im Internet persönliche Daten übertragen wollen, etwa beim Online Banking oder beim Online Shopping, dann sollten Sie dies ausschließlich über eine verschlüsselte Verbindung tun. Jeder seriöse Online-Dienst bietet eine solche Möglichkeit an, beispielsweise durch die Nutzung des sicheren Kommunikationsprotokolls „HTTPS“. Sie erkennen dies an der von Ihnen aufgerufenen Internetadresse, die stets mit „https://“ beginnt und an dem kleinen Schloss-Symbol in Ihrem Browserfenster.
  • Deinstallieren Sie nicht benötigte Programme. Je weniger Anwendungen Sie nutzen, desto kleiner ist die Angriffsfläche Ihres gesamten Systems.
  • Erstellen Sie regelmäßig Sicherheitskopien „Backups“ Ihrer Daten, um vor Verlust geschützt zu sein. Hierzu können Sie beispielsweise eine externe Festplatte nutzen.
  • Wenn Sie ein WLAN („Wireless LAN“, drahtloses Netzwerk) nutzen, dann sollte dies stets mittels des Verschlüsselungsstandards WPA2 verschlüsselt sein. Wie Sie ein sicheres WLAN einrichten können, erfahren Sie hier.
  • Überprüfen Sie in regelmäßigen Abständen den Sicherheitsstatus Ihres Computers. Eine schnelle Testmöglichkeit bietet die Initiative botfrei des eco-Verbands.

Die DS-GVO übersichtlich dargestellt

/in /von

​Der genaue Wortlaut der DS-GVO steht nun schon seit geraumer Zeit fest. Dennoch ist bis jetzt keine Online-Version des Gesetzestextes zu finden, mit der man unkompliziert arbeiten kann. In dem offiziellen PDF ist die Schrift sehr gedrängt und man kann einzelne Artikel z.B. nicht verlinken. Aus diesem Grunde gibt es die Website www.dsgvo-gesetz.de.

Durch die folgenden Punkte wird das Nachschlagen, Zitieren oder Herumblättern in der Datenschutz-Grundverordnung angenehmer:Gesetzestext und die dazugehörigen Erwägungsgründe

  • einfache Navigation
  • Schnellzugriff
  • übersichtliche Formatierung
  • alle erwähnten Normen sind verlinkt
  • Suchfunktion

Viel Vergnügen beim Arbeiten mit der Datenschutz-Grundverordnung.

Aerticket: Millionen Daten von Fluggästen ungeschützt im Internet

/in /von

News vom Virtuelles Datenschutzbüro, Veröffentlicht am 31. Juli 2016

Aufgrund einer Sicherheitslücke bei dem Berliner Flugticket-Großhändler Aerticket sollen seit 2011 Fluggastdaten ungeschützt im Internet einsehbar gewesen sein. Unter den Daten seien Informationen wie Name, Adresse, Flugticket, Rechnungen sowie zum Teil auch Bankdaten.

Das Unternehmen soll die Sicherheitslücke mittlerweile geschlossen haben. Nach Angaben von Aerticket seien die Daten von nur etwa ein Viertel der sechs Millionen Tickets zugänglich gewesen. Laut Sicherheitsexperten sei die Schwachstelle nicht von Kriminellen ausgenutzt worden. Zur Zeit laufe eine Überprüfung des Falles durch den Berliner Datenschutzbeauftragten.

Persönliche Anmerkung:

Dass eine so schwerwiegende Sicherheitslücke derart lange unentdeckt bleiben konnte, zeigt, welch geringe Rolle der Schutz von Kundendaten in vielen Branchen spielt – selbst, wenn viele Millionen Menschen betroffen sind. Erst vor wenigen Wochen hatte der Blog Netzpolitik eine ähnliche Lücke beim Berliner Putzkraftvermittler Helpling aufgedeckt. Diese betraf zwar weitaus weniger Kunden, der zugrunde liegende Fehler war technisch aber vergleichbar.

GDD: Whitepaper zu den Drittlandtransfers in der EU-Datenschutz-Grundverordnung

/in /von

Der GDD-Arbeitskreis „Datenschutz International“ hat ein Whitepaper zu den Drittlandtransfers in der EU-Datenschutz-Grundverordnung erstellt.

Die EU-Datenschutz-Grundverordnung (DS-GVO) knüpft, wie bereits die EU-Datenschutzrichtlinie 95/46/EG, besondere Bedingungen an die Übermittlung personenbezogener Daten in ein sog. „Drittland“ außerhalb des Europäischen Wirtschaftsraums und legt diese Bedingungen in Kapitel V fest. Hierbei werden vorhandene oder durch die aufsichtsbehördliche Praxis entwickelte Instrumente bestätigt und in ihren Vorgaben teilweise erweitert bzw. gesetzlich konkretisiert. Das Whitepaper möchte einen Überblick darüber schaffen, was sich für Datenverarbeitung nach Anwendung der DS-GVO ab dem 25.05.2018 ändert bzw. wo die neuen Herausforderungen liegen.

>> Das Whitepaper kann hier abgerufen werden.

GDD: EU-U.S. Privacy Shield verabschiedet

/in /von

Die Europäische Kommission hat das Privacy Shield Framework als Nachfolgeregelung zu Safe Harbor am gestrigen Tag beschlossen. Empfänger personenbezogener Daten in den USA können durch eine Zertifizierung nach den Vorgaben des Privacy Shield beim US-Handelsministerium ein angemessenes Datenschutzniveau im Sinne des § 4b BDSG gewährleisten.

Nach den hohen Wellen, die das Urteil des EuGH zu Safe Harbor in die transatlantischen Datenströme geschlagen hat, kann bald wieder etwas Ruhe in die Einbeziehung von US-Datenempfängern in die Verarbeitung von personenbezogenen Daten europäischer Bürgerinnen und Bürger einkehren. Nur Monate nach der Ungültigkeit des „sicheren Hafens“ wurde gestern die Nachfolgeregelung in Gestalt des EU-U.S. Privacy Shield durch die Europäische Kommission beschlossen, nachdem das obligatorische Ausschussverfahren nach Art. 31 der EU-Datenschutzrichtlinie erfolgreich durchlaufen wurde. Der Verabschiedung gingen vergleichsweise kurze Verhandlungen[1] zwischen Vertretern der Europäischen Kommission und dem US-Handelsministerium voraus, um das Vertrauen von Betroffenen in den Umgang mit ihren personenbezogenen Daten in den USA wiederherzustellen.

Durch die Verabschiedung des Privacy Shield, einschließlich des Angemessenheitsbeschlusses der EU-Kommission bezüglich des Schutzniveaus bei zertifizierten Datenempfängern in den USA, kann die sog. „2. Prüfstufe“ für den Export personenbezogener Daten in die USA an zertifizierte Empfänger nach diesem Framework gemeistert werden. Die 1. Prüfstufe hinsichtlich der Zulässigkeit der Datenübermittlung muss weiterhin genommen werden. Die Mitgliedstaaten sind an die Angemessenheitsentscheidung der Kommission gebunden. Nationalen Aufsichtsbehörden ist es unbenommen, die Eingabe einer Person dahingehend zu prüfen, ob im Rahmen einer Übermittlung sie betreffender personenbezogener Daten aus einem Mitgliedstaat in ein Drittland wie die USA, ein angemessenes Schutzniveau gewährleistet ist.[2]

Datenverarbeiter in den USA können sich ab dem 1. August 2016 durch verbindliche Erklärung gegenüber dem US-Handelsministerium nach dem EU-U.S. Privacy Shield zertifizieren. Bis zur Zertifizierung müssen die neuen Vorgaben des Privacy Shield umgesetzt worden sein. Verantwortliche Stellen in Europa sollten ab dem 1. August prüfen, ob eine Zertifizierung für das neue Framework tatsächlich vorliegt. Das beim US-Handelsministerium geführte Register ist derzeit jedoch noch nicht zugänglich.

Weitere Informationen zum Privacy Shield finden Sie auf den Webseiten der Kommission sowie des US-Handelsministeriums.

[1] Zu den Inhalten des EU-U.S. Privacy Shield und dem Gang der Verhandlungen, siehe Whitepaper des GDD-Arbeitskreises „Datenschutz International“ zu Datenexporten in die USA.

[2] So EuGH, Urteil vom 6. Oktober 2015 – Az. C 362/14.