Archiv der Kategorie: Allgemein

Es ist Zeit für Security Awareness

Viele Cyber-Bedrohungen sind heute gezielt auf Mitarbeiter ausgerichtet.Als schwächstes Glied in der Sicherheitskette machen sie es Cyber-Kriminellen oft recht leicht, ins Unternehmensnetzwerk vorzudringen. Die Gründe dafür sind vielfältig: Viele Arbeitskollegen kennen beispielsweise gängige Angriffstechniken und Betrugsmethoden schlicht und einfach nicht. Wenn dann auch noch der Zeitdruck im heutigen Arbeitsalltag hinzukommt, wird manchmal zu schnell und unüberlegt auf schädliche Links geklickt – oder vergessen, sicherheitsrelevante Software-Updates durchzuführen.

Nach wie vor ist der Einsatz von Sicherheitstechnologien eine
wichtige Basis beim IT-Schutz.
Doch Softwarelösungen allein sind nicht mehr ausreichend, um
Unternehmen vor den zahlreichen Gefahren aus dem Internet zu
schützen.
Mehr als 80 Prozent aller Cybersicherheitsvorfälle sind auf menschliche
Fehler zurückzuführen. Mitarbeiterschulungen sind deshalb eine wichtige
Komponente im Security-Konzept.

Rückblick: Wandel der Bedrohungslandschaft

Noch vor rund 30 Jahren tauchte Malware nur vereinzelt auf. Heute sieht
die Welt der Cyberkriminalität schon ganz anders aus. Ein Blick zurück in
die Geschichte der Cyberbedrohungen zeigt: Malware war Mitte der 80er
Jahre meist noch das Produkt von „Hobby-Hackern“, die sich einen Spaß
daraus machten, einzelne Rechner zu infizieren, um ihr Können unter
Beweis zu stellen.

Mit der Verbreitung des Internets wuchs die Gefahr

Einer der ersten größeren Angriffe fand 1988 statt. Der Informatiker
Robert Tappan Morris programmierte den ersten Computerwurm. Der
sogenannte Morris-Wurm verbreitete sich sehr schnell und legte ca. 6.000
Rechner lahm – das entsprach zur damaligen Zeit mehr als zehn Prozent
der weltweit an das Internet angebundenen Computer. Bis Mitte der
90er Jahre schritt die Malware-Entwicklung nur langsam voran. Doch
dann hielt das Internet immer mehr Einzug in den Geschäftsalltag und
veränderte die Lage radikal.
Die Intervalle, in denen neue Schadprogramme auf den Markt kamen,
wurden über die Jahrzehnte immer kürzer. Und nicht nur die Anzahl
schädlicher Software stieg kontinuierlich an. Auch wurden die Bedrohungen
immer aggressiver und die Folgen eines Angriffs schwerwiegender.

Der menschliche Faktor in der Cybersicherheit

Heute sind viele Cyberbedrohungen gezielt auf Mitarbeiter ausgerichtet.
Als schwächstes Glied in der Sicherheitskette machen sie es Cyberkriminellen
oft recht leicht, ins Unternehmensnetzwerk vorzudringen.
Denn viele Mitarbeiter kennen gängige Angriffstechniken und Betrugsmethoden
schlicht und einfach nicht. Wenn dann auch noch der Zeitdruck
im heutigen Arbeitsalltag hinzukommt, wird manchmal zu schnell
und unüberlegt auf schädliche Links geklickt oder vergessen, sicherheitsrelevante
Software-Updates durchzuführen. Auch der Einsatz von
USB-Sticks und die unabsichtliche Weitergabe von sensiblen Daten an
Unbefugte sind typische Sicherheitslücken im Unternehmen.

Sichere Datenübertragung mit Onionshare

OnionShare ist ein freies Programm, um Dateien sicher und anonym über Onion-Dienste des Tor-Netzwerks zu senden und zu empfangen. Es wird seit 2014 von Micah Lee entwickelt und unter der GPLv3 der Allgemeinheit zur Verfügung gestellt.

Mittlerweile ist jetzt Version 2.0 erschienen.

Die neue Version enthält zahlreiche Neuerungen, von denen anonyme Dropboxen eine der bedeutendsten sind. In diesem Modus wird die Tor-Adresse des Programms publiziert, so dass alle Nutzer anonym Dateien auf dem empfangenden Rechner ablegen können. Eine Neuerung unter macOS ist, dass eine Sandbox genutzt wird. Ferner nutzt die neue Ausgabe von OnionShare standardmäßig die neuen Tor-Adressen (V3), das heißt Adressen für die neue Generation der Tor-Onion-Dienste. Sie sind wesentlich sicherer als V2-Adressen, man kann man aber zu den älteren Adressen zurückkehren, wenn nötig.

Darüber hinaus erfuhr die Software zahlreiche weitere Verbesserungen und Korrekturen. Wenn nur eine einzelne Datei heruntergeladen wird, wird sie nicht mehr in ein ZIP-Archiv gepackt. Sie wird aber trotzdem noch via HTTP-Option komprimiert, um die Übertragungszeit zu minimieren. Die Zahl der Übersetzungen wurde stark erhöht und es ist nun möglich, die Sprache über eine Auswahlbox zu wählen.

Zudem wurde das Programm intern umfassend umgebaut und automatische Tests wurden hinzugefügt.

https://www.pro-linux.de/images/NB3/imgdb/onionshare-20-im-empfangsmodus.jpg

https://www.pro-linux.de/images/NB3/imgdb/onionshare-20-im-share-modus.jpg

https://www.pro-linux.de/images/NB3/imgdb/zugriff-auf-onionshare-20-%C3%BCber-den-tor-browser.jpg

OnionShare startet einen Webserver und macht ihn über eine Tor-Adresse zugänglich, die nicht erraten werden kann. Man kann diese Adresse den Personen mitteilen, die Zugriff haben sollen. Diese können dann über den Tor-Browser Dateien austauschen. Es gibt keine Benutzerverwaltung und keine Logins. Der wesentliche Punkt von OnionShare ist, dass die Dateien auf den Rechnern der Benutzer liegen und nicht an Unternehmen oder andere Dienstleister herausgegeben werden.

Man kann natürlich mit Onionshare nicht nur Dateien bereitstellen sondern auch empfangen.

Somit ist die Installation des Tor-Browsern nicht zwingend notwendig

OnionShare 2.0 steht zum freien Download auf onionshare.org zur Verfügung. Neben dem Quellcode gibt es Binärpakete für Ubuntu, Fedora, macOS und Windows.

Das Programm erhält durchgehend posititive Bewertungen wie man auf der Webseite lesen kann

Wie datenschutzfreundlich ist deine Webseite ?

Anhand eines Tools mit dem Namen Webbkoll lassen sich Webseiten auf Privatsphäre-Verletzungen analysieren.

Die transparente Aufschlüsselung der eingebundenen Cookies, Verbindungen zu Dritt-Seiten und Versäumnisse bei der Sicherheit dürften so manch einen Webseiten-Betreiber in Erklärungsnot bringen. Das Schöne an diesem Tool: Es ist kinderleicht zu bedienen, denn die Eingabe einer URL genügt, um anschließend ein aussagekräftiges Ergebnis zu erhalten. Damit ist nun endlich wirklich jeder in der Lage den Webseitenbetreibern auf den Zahn zu fühlen – und das ist insbesondere dann wichtig, wenn jemand öffentlichkeitswirksam mit Datenschutz bzw. ominösen Datenschutz-Siegeln wirbt, selbst aber gar nicht so recht weiß, wie man das eigentlich umsetzt bzw. lebt.

Webbkoll ist ein von Internetfonden und IIS finanziertes Projekt aus Schweden. Entwickelt wurde es von dataskydd.net. Der Quellcode ist Open-Source und auf Github einsehbar. Vereinfacht ausgedrückt, simuliert Webbkoll was im Hintergrund passiert, wenn ein Nutzer eine Seite in seinem Browser aufruft. Dabei sammelt das Tool nach der Eingabe einer URL verschiedene Informationen wie zum Beispiel Anfragen an Dritt-Seiten, Cookies, Response-Header usw. und stellt die Ergebnisse auf einer Webseite zusammen mit Erläuterungen und Hinweisen bereit. Wer die technischen Voraussetzungen (PhearJS) erfüllt, der kann Webbkoll auf seinem eigenen Server hosten. Einfacher ist die Verwendung einer bereits bestehenden Webbkoll-Instanz, wie sie unter https://webbkoll.dataskydd.net/en angeboten wird.

Ein paar einfache Schritte zum Schutz vor Hackerangriffen

Im Zusammenhang mit den jüngsten Hackerangriffen auf deutsche Politiker drängt sich die Frage auf wie der „normale“ Anwender sich vor so etwas schützen kann.

1. E-Mail-Konten schützen

Ob bei gezielten Angriffen auf Firmen oder nach einer Trojaner-Infektion aus massenweise versandten Spam-Mails, meist haben es Hacker erst einmal auf das E-Mail-Konto des Opfers abgesehen. Denn das Mail-Konto ist der neuralgische Punkt des digitalen Lebens: Hat ein Hacker hier Zugang, kann er leicht herausfinden, welche Webdienste und sozialen Netze das Opfer nutzt und mit wem es darüber hinaus im Alltag kommuniziert. Dabei muss der Hacker nicht einmal die Passwörter für diese Dienste kennen, denn die E-Mail-Adresse fungiert in den meisten Fällen als Login und damit kann er sich auch gleich das Passwort zurücksetzen lassen. Von einem Mail-Konto lassen sich also fast alle Aspekte der digitalen Online-Identität des Opfers kontrollieren.

Verwenden Sie deswegen unbedingt ein robustes Passwort für Ihre Mailkonten. Wenn Sie sich auch nur die Mühe machen, sich ein wirklich gutes Passwort auszudenken, dann ist das Mail-Konto der richtige Ort dafür. Was uns auch gleich zum nächsten Punkt bringt.

2. Etwas Passwort-Disziplin ist unabdingbar

Machen Sie Ihre Passwörter sicherer! Dabei ist es gar nicht nötig, alle Logins bei allen Webseiten und Programmen zu ändern. Aber identifizieren Sie die wichtigsten Angriffspunkte – etwa das Mail-Konto – und sorgen Sie dafür, dass sie für diese für Hacker besonders begehrten Ziele gute Passwörter verwenden. Und vor allem, dass diese wichtige Seite und Dienste alle ihr eigenes Passwort haben. ,

Sichere Passwörter sind oft schwer zu merken, deswegen sollten Sie auf jeden Fall einen Passwort-Manager benutzen. Das kann eine App sein, die Sie auf ihrem Desktop und dem Smartphone nutzen, oder Sie halten es Old-School und verwalten ihr digitales Heiligtum auf Papier. Stellen Sie aber unbedingt sicher, dass sie sich die Passwörter irgendwo notieren. Was nützt Ihnen ein absolut sicheres Instagram-Konto, wenn es so sicher ist, dass Sie selber nicht mehr hineinkommen?

3. Zwei-Faktor-Anmeldungen nutzen

Wenn möglich sollten sie Zwei-Faktor-Authentifizierung aktivieren. Bei diesen Systemen wird neben dem Passwort beim Login auch noch ein Einmal-Code abgefragt, den Sie zum Beispiel per App auf einem Smartphone oder per SMS erhalten. Das macht etwas mehr Mühe beim Login, erschwert Hackern den Angriff allerdings auch kolossal. Mindestens beim Online-Banking und dem Email-Postfach ist Zwei-Faktor-Anmeldung unumgänglich, wenn man sicher unterwegs sein will. Aber auch bei Online-Videospiele-Bibliotheken, die hunderte von Titeln oder hunderte von Euros an In-App-Käufen enthalten, kann es angebracht sein.

4. Software aktuell halten

Nicht nur Online-Dienste, auch der lokale Computer sollte geschützt werden. Neben einem funktionierenden Virenscanner (etwa dem in Windows 10 standardmäßig enthaltenen Windows Defender) ist es unabdingbar, die verwendete Software aktuell zu halten. Das Betriebssystem, alle Browser und auch etwaige lokale Mailprogramme sollten sich alle selbstständig per automatischer Updates aktuell halten. Wer einen PDF-Reader von Adobe oder Office-Software verwendet, sollte auch dafür schnelle Aktualisierungen sorgen. Die beste Verteidigungssoftware nutzt nämlich nichts, wenn im Betriebssystem oder in kritischen Programmen bekannte Lücken klaffen, auf die sich ein Angreifer stürzen kann.

In diesem Zusammenhang sei auch darauf hingewiesen, dass neue Software nur aus vertrauenswürdigen Quellen installiert werden sollte. Also am besten aus offiziellen App Stores des Betriebssystem-Herstellers oder von der Webseite des Herstellers. Am besten überprüft man zweimal, auf welcher Webseite man auf einen Download-Link klickt. Viele Opfer holen sich den Trojaner auf diesem Wege nämlich selbst auf den Rechner, nachdem sie unter einem Vorwand auf gefälschte Webseiten gelockt wurden. Im Zweifel gilt: Lieber auf die Software verzichten, als es später zu bereuen, wenn der Rechner von einem Verschlüsselungstrojaner lahmgelegt oder persönliche Daten von Angreifern kopiert wurden.

Wer Linux anstatt Windows benutzt kann die Barriere noch ein ganzes  Stück höher legen, da Malware oftmals nur für das weiter verbreitete und deshalb lohnendere Windows geschrieben wird.

Aber das ist ein anderes Thema.

5. Gesunder Menschenverstand

Der letzte Punkt ist der am schwierigsten umzusetzende. Bei den meisten großen Hackerangriffen ist die ursprüngliche Schwachstelle keine Software-Lücke, sondern eine menschliche. Wer mit etwas gesundem Menschenverstand im Netz unterwegs ist, kann sich viele Probleme ersparen. Aber was genau soll das heißen, gesunder Menschenverstand? Es folgen ein paar Ansätze zum sichereren Leben im Netz.

Die meisten Einbrüche in private Computersysteme finden dieser Tage über Phishing-Angriffe statt. Hacker senden mehr oder weniger gezielte und unterschiedlich raffinierte Mails aus, die bösartige Links oder Dateien enthalten. Die Links locken das Opfer auf Webseiten, die ihm dann persönliche Informationen aus den Rippen leiern sollen oder versuchen, Schadsoftware zu installieren. In den Dateianhängen befindet sich oft Schadcode, den der Hacker auf dem System ausführen will. Dazu braucht er in der Regel die Mithilfe des Opfers, welches er davon zu überzeugen versucht, den selbigen auszuführen.

Wir alle haben schon auf Links geklickt und Software ausgeführt, ohne nachzudenken. Manchmal geht das glimpflich aus und manchmal endet es damit, dass Hacker die Kontrolle über unser System erlangen. Je mehr wir aber vor solchen Klicks nachdenken und die Quelle der E-Mail oder das Ziel des Links kritisch hinterfragen, desto sicherer werden wir im Umgang mit Software aller Art. Gesunder Menschenverstand bedeutet hier nichts weiter als vor einem Klick innehalten und nachdenken: Wer schickt mir das? Warum? Kommt diese Mail wirklich von der Person, die hier vorgibt zu schreiben? Im Zweifel einfach mal auf einem anderen Kanal (zum Beispiel am Telefon) nachfragen, ob derjenige wirklich diese Mail verschickt hat. Zusätzlich sollte man die URLs von Links genau prüfen: Wird da etwa mit Sonderzeichen getrickst und gehört diese Domain wirklich der Firma, die da schreibt?

Deutsche Datenbanken – ein kurzer Überblick

Langsam kommt man nicht mehr hinterher in Deutschland: Nahezu täglich gibt es neue Datenbanken, scheinbar ohne dass die Bürger es bemerken. Ich versuche hier eine kleine Übersicht zu erstellen und fortzuführen, ich freue mich jederzeit über weitere Hinweise.

Hinweis: Es gibt eine vollständige Übersicht – basierend auf der Anfrage eines Abgeordneten – die hier verlinkt ist.

  • Da wäre die Gen-Datenbank, die zunehmend auch bei einfachen Delikten mit „freiwilligem“ Material bestückt wird (Informationen),
  • die Elena-Datenbank, die Daten über die Einkommensverhältnisse aller Arbeitnehmer speichern wird (Informationen),
  • das Zentralregister in Flensburg,
  • das Bundeszentralregister,
  • das Bundesmelderegister mit der tollen neuer Steuer-Identifikation (Informationen),
  • mit Schufa und Creditreform zwei faktische Schuldnerdatenbanken, die Einblick in Vermögensverhältnisse und Vermögensverbindungen der Bürger geben,
  • ein Zahlungsprofil bei Kartenzahlung via EC-Karte bei easycash (Informationen),
  • die geplante zentrale EU-Datenbank für Fingerabdrücke, wobei noch nicht feststeht, wessen Abdrücke da drin stehen,
  • zentrale „Anti-Terror-Datei“,
  • durch die bald beschlossene Vorratsdatenspeicherung eine dezentral geführte aber zielgerichtet abfragbare Datenbank (1:n) für TK-Verbindungen aller Deutschen (Information),
  • es wird eine Datenbank angedacht, in der zentral alle Autos samt Halter, Versicherungen und TÜV geführt werden (hier bei SPON),
  • ebenfalls diskutiert wird die Einführung eines Verzeichnisses für Menschen die Ihre Religion, hin zum Islam, wechseln,
  • und ein Verzeichnis (Registerpflicht) für diejenigen die „gefährliche“ Stoffe wie Wasserstoffperoxid kaufen möchten
  • es wird eine „Einladerdatei“ angedacht: Wer einen visumpflichtigen Ausländer nach Deutschland einlädt, soll künftig in einer speziellen Datei gespeichert werden. (Hinweis bei Spitzelblog)
  • Zusätzlich wird immer stärker verlangt, biometrische Merkmale aller Bürger zentral zu speichern (Hier zu lesen)
  • Solarkastaster (Details gibt es hier)

Datenschutz und Zertifizierung

Der Europäische Datenschutz-Ausschuss (vgl. die aktuelle Verlautbarung hierzu) sieht keine rechtliche Möglichkeit für die Zertifizierung von Management-Systemen im Datenschutz (sondern hält den Zertifizierungs-Bereich auf Produkte und Dienstleistungen beschränkt).

Es besteht damit eine Angebots-Lücke bei offiziellen Zertifizierungen, da Unternehmen unter der DSGVO keine staatliche Zertifizierung für ihre Datenschutz-Prozesse erhalten können.

ISO 27001 und ISO 27552 für Groß-Unternehmen

Die ISO 27001 (IT-Sicherheit) und die darauf aufsetzende ISO 27552 (Datenschutz-Management; verfügbar ab voraussichtlich April 2019) wird zumindest für Groß-Unternehmen eine alternative Möglichkeit bieten, Datenschutz-Prozesse auf ISO-Basis einer Zertifizierung/Bestätigung durch akkreditierte Stellen zu unterziehen.

Für kleinere Unternehmen (welche sich eine teure Zertifizierung/Anerkennung nach ISO 27001/27552 nicht leisten können) ist keine Möglichkeit absehbar, ihre Unternehmen mit amtlicher Anerkennung im Datenschutz zertifizieren zu lassen.

Private Zertifizierungsangebote

Die bestehende Lücke wird derzeit von mehreren privaten Anbietern adressiert. Dies sind rechtlich gesehen also weder offizielle Zertifizierungsverfahren gem. Art. 42 (1) DSGVO, noch entsprechen diese einer ISO-Normierung.

Durch die privaten Anbieter erfolgt eine Überprüfung und Dokumentation der Einhaltung der Anforderungen der DSGVO ohne Erteilung eines staatlich anerkannten Zertifikats.

CPS: Certified Privacy Standard

Die IITR Datenschutz GmbH hat sich nach der oben zitierten Verlautbarung des Europäischen Datenschutz-Ausschusses entschlossen, unter der Bezeichnung „Certified Privacy Standard“ einen Datenschutz-Standard vorzulegen. Die Voraussetzungen sind in einem Konformitätsbewertungs-System zusammengefasst. Als Grundlage dient das im April 2018 vorgestellte Compliance-Kit der IITR Datenschutz GmbH. Dieses stellt u.a. ein Datenschutz-Management-System zur Verfügung und bildet dazu die strukturellen Anforderungen der DSGVO nach, wobei sich der Aufbau an der ISO High-Level-Structure orientiert.

Partiell vergleichbar dazu wäre die BS 10012 des BSI (British Standards Institution), soweit diese inhaltlich auf DSGVO-Bestimmungen Bezug nimmt.

Zwei Ausführungen des Certified Privacy Standard

CPS 100 für mittelständische Unternehmen

Dieser Standard sichert die Konformität mit den Bestimmungen der DSGVO zum Zeitpunkt der Überprüfung zu. Durch die im zugrundezulegenden Compliance-Kit implementierte Versionierung der jeweils aktuellen Dokumentenlage kann die Konformität fortlaufend im Compliance-Kit dokumentiert werden.

CPS 600 für kleine Unternehmen

Dieser Standard sichert die Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht zum Zeitpunkt der Überprüfung zu. Durch die implementierte Versionierung im hierbei verwendeten Datenschutz-Kit wird zwischen den Überprüfungen der Stand der jeweils vorliegenden Dokumentenlage dokumentiert.

Auditierungen

Die Überprüfung des CPS 100 erstreckt sich auf die Dokumentenlage im Compliance-Kit der IITR Datenschutz GmbH und wird durch eine eigenständige Gesellschaft als unabhängige Stelle vorgenommen.

Die Überprüfung des CPS 600 ist auf das Datenschutz-Kit der IITR Datenschutz GmbH abgestimmt und wird durch eine eigenständige Gesellschaft vorgenommen. Die Bestätigung erfolgt durch die IITR Datenschutz GmbH.

Ungehinderter Zugang zu Kritis Infrastrukturen

Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.

Es ist kein Geheimnis mehr das leider immer noch ungesicherte Fernzugänge auf Kritis Infrastrukturen möglich sind.

Das aber „freundlicherweise“ schon Zugangsdaten voreingestellt sind ist nun doch wert die ganze Sache einmal mehr kritisch zu hinterfragen

Aktueller Artikel auf golem.de

Woran liegt es ?

Mangelndes Wissen bei den Betreibern ?

Ignoranz seitens der Hersteller und Betreiber ?

Es wird dringend Zeit das auch vom Gesetzgeber verschärft auf dieses Problem reagiert wird.