Archiv der Kategorie: Datenschutz

Wie datenschutzfreundlich ist deine Webseite ?

Anhand eines Tools mit dem Namen Webbkoll lassen sich Webseiten auf Privatsphäre-Verletzungen analysieren.

Die transparente Aufschlüsselung der eingebundenen Cookies, Verbindungen zu Dritt-Seiten und Versäumnisse bei der Sicherheit dürften so manch einen Webseiten-Betreiber in Erklärungsnot bringen. Das Schöne an diesem Tool: Es ist kinderleicht zu bedienen, denn die Eingabe einer URL genügt, um anschließend ein aussagekräftiges Ergebnis zu erhalten. Damit ist nun endlich wirklich jeder in der Lage den Webseitenbetreibern auf den Zahn zu fühlen – und das ist insbesondere dann wichtig, wenn jemand öffentlichkeitswirksam mit Datenschutz bzw. ominösen Datenschutz-Siegeln wirbt, selbst aber gar nicht so recht weiß, wie man das eigentlich umsetzt bzw. lebt.

Webbkoll ist ein von Internetfonden und IIS finanziertes Projekt aus Schweden. Entwickelt wurde es von dataskydd.net. Der Quellcode ist Open-Source und auf Github einsehbar. Vereinfacht ausgedrückt, simuliert Webbkoll was im Hintergrund passiert, wenn ein Nutzer eine Seite in seinem Browser aufruft. Dabei sammelt das Tool nach der Eingabe einer URL verschiedene Informationen wie zum Beispiel Anfragen an Dritt-Seiten, Cookies, Response-Header usw. und stellt die Ergebnisse auf einer Webseite zusammen mit Erläuterungen und Hinweisen bereit. Wer die technischen Voraussetzungen (PhearJS) erfüllt, der kann Webbkoll auf seinem eigenen Server hosten. Einfacher ist die Verwendung einer bereits bestehenden Webbkoll-Instanz, wie sie unter https://webbkoll.dataskydd.net/en angeboten wird.

Ein paar einfache Schritte zum Schutz vor Hackerangriffen

Im Zusammenhang mit den jüngsten Hackerangriffen auf deutsche Politiker drängt sich die Frage auf wie der „normale“ Anwender sich vor so etwas schützen kann.

1. E-Mail-Konten schützen

Ob bei gezielten Angriffen auf Firmen oder nach einer Trojaner-Infektion aus massenweise versandten Spam-Mails, meist haben es Hacker erst einmal auf das E-Mail-Konto des Opfers abgesehen. Denn das Mail-Konto ist der neuralgische Punkt des digitalen Lebens: Hat ein Hacker hier Zugang, kann er leicht herausfinden, welche Webdienste und sozialen Netze das Opfer nutzt und mit wem es darüber hinaus im Alltag kommuniziert. Dabei muss der Hacker nicht einmal die Passwörter für diese Dienste kennen, denn die E-Mail-Adresse fungiert in den meisten Fällen als Login und damit kann er sich auch gleich das Passwort zurücksetzen lassen. Von einem Mail-Konto lassen sich also fast alle Aspekte der digitalen Online-Identität des Opfers kontrollieren.

Verwenden Sie deswegen unbedingt ein robustes Passwort für Ihre Mailkonten. Wenn Sie sich auch nur die Mühe machen, sich ein wirklich gutes Passwort auszudenken, dann ist das Mail-Konto der richtige Ort dafür. Was uns auch gleich zum nächsten Punkt bringt.

2. Etwas Passwort-Disziplin ist unabdingbar

Machen Sie Ihre Passwörter sicherer! Dabei ist es gar nicht nötig, alle Logins bei allen Webseiten und Programmen zu ändern. Aber identifizieren Sie die wichtigsten Angriffspunkte – etwa das Mail-Konto – und sorgen Sie dafür, dass sie für diese für Hacker besonders begehrten Ziele gute Passwörter verwenden. Und vor allem, dass diese wichtige Seite und Dienste alle ihr eigenes Passwort haben. ,

Sichere Passwörter sind oft schwer zu merken, deswegen sollten Sie auf jeden Fall einen Passwort-Manager benutzen. Das kann eine App sein, die Sie auf ihrem Desktop und dem Smartphone nutzen, oder Sie halten es Old-School und verwalten ihr digitales Heiligtum auf Papier. Stellen Sie aber unbedingt sicher, dass sie sich die Passwörter irgendwo notieren. Was nützt Ihnen ein absolut sicheres Instagram-Konto, wenn es so sicher ist, dass Sie selber nicht mehr hineinkommen?

3. Zwei-Faktor-Anmeldungen nutzen

Wenn möglich sollten sie Zwei-Faktor-Authentifizierung aktivieren. Bei diesen Systemen wird neben dem Passwort beim Login auch noch ein Einmal-Code abgefragt, den Sie zum Beispiel per App auf einem Smartphone oder per SMS erhalten. Das macht etwas mehr Mühe beim Login, erschwert Hackern den Angriff allerdings auch kolossal. Mindestens beim Online-Banking und dem Email-Postfach ist Zwei-Faktor-Anmeldung unumgänglich, wenn man sicher unterwegs sein will. Aber auch bei Online-Videospiele-Bibliotheken, die hunderte von Titeln oder hunderte von Euros an In-App-Käufen enthalten, kann es angebracht sein.

4. Software aktuell halten

Nicht nur Online-Dienste, auch der lokale Computer sollte geschützt werden. Neben einem funktionierenden Virenscanner (etwa dem in Windows 10 standardmäßig enthaltenen Windows Defender) ist es unabdingbar, die verwendete Software aktuell zu halten. Das Betriebssystem, alle Browser und auch etwaige lokale Mailprogramme sollten sich alle selbstständig per automatischer Updates aktuell halten. Wer einen PDF-Reader von Adobe oder Office-Software verwendet, sollte auch dafür schnelle Aktualisierungen sorgen. Die beste Verteidigungssoftware nutzt nämlich nichts, wenn im Betriebssystem oder in kritischen Programmen bekannte Lücken klaffen, auf die sich ein Angreifer stürzen kann.

In diesem Zusammenhang sei auch darauf hingewiesen, dass neue Software nur aus vertrauenswürdigen Quellen installiert werden sollte. Also am besten aus offiziellen App Stores des Betriebssystem-Herstellers oder von der Webseite des Herstellers. Am besten überprüft man zweimal, auf welcher Webseite man auf einen Download-Link klickt. Viele Opfer holen sich den Trojaner auf diesem Wege nämlich selbst auf den Rechner, nachdem sie unter einem Vorwand auf gefälschte Webseiten gelockt wurden. Im Zweifel gilt: Lieber auf die Software verzichten, als es später zu bereuen, wenn der Rechner von einem Verschlüsselungstrojaner lahmgelegt oder persönliche Daten von Angreifern kopiert wurden.

Wer Linux anstatt Windows benutzt kann die Barriere noch ein ganzes  Stück höher legen, da Malware oftmals nur für das weiter verbreitete und deshalb lohnendere Windows geschrieben wird.

Aber das ist ein anderes Thema.

5. Gesunder Menschenverstand

Der letzte Punkt ist der am schwierigsten umzusetzende. Bei den meisten großen Hackerangriffen ist die ursprüngliche Schwachstelle keine Software-Lücke, sondern eine menschliche. Wer mit etwas gesundem Menschenverstand im Netz unterwegs ist, kann sich viele Probleme ersparen. Aber was genau soll das heißen, gesunder Menschenverstand? Es folgen ein paar Ansätze zum sichereren Leben im Netz.

Die meisten Einbrüche in private Computersysteme finden dieser Tage über Phishing-Angriffe statt. Hacker senden mehr oder weniger gezielte und unterschiedlich raffinierte Mails aus, die bösartige Links oder Dateien enthalten. Die Links locken das Opfer auf Webseiten, die ihm dann persönliche Informationen aus den Rippen leiern sollen oder versuchen, Schadsoftware zu installieren. In den Dateianhängen befindet sich oft Schadcode, den der Hacker auf dem System ausführen will. Dazu braucht er in der Regel die Mithilfe des Opfers, welches er davon zu überzeugen versucht, den selbigen auszuführen.

Wir alle haben schon auf Links geklickt und Software ausgeführt, ohne nachzudenken. Manchmal geht das glimpflich aus und manchmal endet es damit, dass Hacker die Kontrolle über unser System erlangen. Je mehr wir aber vor solchen Klicks nachdenken und die Quelle der E-Mail oder das Ziel des Links kritisch hinterfragen, desto sicherer werden wir im Umgang mit Software aller Art. Gesunder Menschenverstand bedeutet hier nichts weiter als vor einem Klick innehalten und nachdenken: Wer schickt mir das? Warum? Kommt diese Mail wirklich von der Person, die hier vorgibt zu schreiben? Im Zweifel einfach mal auf einem anderen Kanal (zum Beispiel am Telefon) nachfragen, ob derjenige wirklich diese Mail verschickt hat. Zusätzlich sollte man die URLs von Links genau prüfen: Wird da etwa mit Sonderzeichen getrickst und gehört diese Domain wirklich der Firma, die da schreibt?

Deutsche Datenbanken – ein kurzer Überblick

Langsam kommt man nicht mehr hinterher in Deutschland: Nahezu täglich gibt es neue Datenbanken, scheinbar ohne dass die Bürger es bemerken. Ich versuche hier eine kleine Übersicht zu erstellen und fortzuführen, ich freue mich jederzeit über weitere Hinweise.

Hinweis: Es gibt eine vollständige Übersicht – basierend auf der Anfrage eines Abgeordneten – die hier verlinkt ist.

  • Da wäre die Gen-Datenbank, die zunehmend auch bei einfachen Delikten mit „freiwilligem“ Material bestückt wird (Informationen),
  • die Elena-Datenbank, die Daten über die Einkommensverhältnisse aller Arbeitnehmer speichern wird (Informationen),
  • das Zentralregister in Flensburg,
  • das Bundeszentralregister,
  • das Bundesmelderegister mit der tollen neuer Steuer-Identifikation (Informationen),
  • mit Schufa und Creditreform zwei faktische Schuldnerdatenbanken, die Einblick in Vermögensverhältnisse und Vermögensverbindungen der Bürger geben,
  • ein Zahlungsprofil bei Kartenzahlung via EC-Karte bei easycash (Informationen),
  • die geplante zentrale EU-Datenbank für Fingerabdrücke, wobei noch nicht feststeht, wessen Abdrücke da drin stehen,
  • zentrale „Anti-Terror-Datei“,
  • durch die bald beschlossene Vorratsdatenspeicherung eine dezentral geführte aber zielgerichtet abfragbare Datenbank (1:n) für TK-Verbindungen aller Deutschen (Information),
  • es wird eine Datenbank angedacht, in der zentral alle Autos samt Halter, Versicherungen und TÜV geführt werden (hier bei SPON),
  • ebenfalls diskutiert wird die Einführung eines Verzeichnisses für Menschen die Ihre Religion, hin zum Islam, wechseln,
  • und ein Verzeichnis (Registerpflicht) für diejenigen die „gefährliche“ Stoffe wie Wasserstoffperoxid kaufen möchten
  • es wird eine „Einladerdatei“ angedacht: Wer einen visumpflichtigen Ausländer nach Deutschland einlädt, soll künftig in einer speziellen Datei gespeichert werden. (Hinweis bei Spitzelblog)
  • Zusätzlich wird immer stärker verlangt, biometrische Merkmale aller Bürger zentral zu speichern (Hier zu lesen)
  • Solarkastaster (Details gibt es hier)

Datenschutz und Zertifizierung

Der Europäische Datenschutz-Ausschuss (vgl. die aktuelle Verlautbarung hierzu) sieht keine rechtliche Möglichkeit für die Zertifizierung von Management-Systemen im Datenschutz (sondern hält den Zertifizierungs-Bereich auf Produkte und Dienstleistungen beschränkt).

Es besteht damit eine Angebots-Lücke bei offiziellen Zertifizierungen, da Unternehmen unter der DSGVO keine staatliche Zertifizierung für ihre Datenschutz-Prozesse erhalten können.

ISO 27001 und ISO 27552 für Groß-Unternehmen

Die ISO 27001 (IT-Sicherheit) und die darauf aufsetzende ISO 27552 (Datenschutz-Management; verfügbar ab voraussichtlich April 2019) wird zumindest für Groß-Unternehmen eine alternative Möglichkeit bieten, Datenschutz-Prozesse auf ISO-Basis einer Zertifizierung/Bestätigung durch akkreditierte Stellen zu unterziehen.

Für kleinere Unternehmen (welche sich eine teure Zertifizierung/Anerkennung nach ISO 27001/27552 nicht leisten können) ist keine Möglichkeit absehbar, ihre Unternehmen mit amtlicher Anerkennung im Datenschutz zertifizieren zu lassen.

Private Zertifizierungsangebote

Die bestehende Lücke wird derzeit von mehreren privaten Anbietern adressiert. Dies sind rechtlich gesehen also weder offizielle Zertifizierungsverfahren gem. Art. 42 (1) DSGVO, noch entsprechen diese einer ISO-Normierung.

Durch die privaten Anbieter erfolgt eine Überprüfung und Dokumentation der Einhaltung der Anforderungen der DSGVO ohne Erteilung eines staatlich anerkannten Zertifikats.

CPS: Certified Privacy Standard

Die IITR Datenschutz GmbH hat sich nach der oben zitierten Verlautbarung des Europäischen Datenschutz-Ausschusses entschlossen, unter der Bezeichnung „Certified Privacy Standard“ einen Datenschutz-Standard vorzulegen. Die Voraussetzungen sind in einem Konformitätsbewertungs-System zusammengefasst. Als Grundlage dient das im April 2018 vorgestellte Compliance-Kit der IITR Datenschutz GmbH. Dieses stellt u.a. ein Datenschutz-Management-System zur Verfügung und bildet dazu die strukturellen Anforderungen der DSGVO nach, wobei sich der Aufbau an der ISO High-Level-Structure orientiert.

Partiell vergleichbar dazu wäre die BS 10012 des BSI (British Standards Institution), soweit diese inhaltlich auf DSGVO-Bestimmungen Bezug nimmt.

Zwei Ausführungen des Certified Privacy Standard

CPS 100 für mittelständische Unternehmen

Dieser Standard sichert die Konformität mit den Bestimmungen der DSGVO zum Zeitpunkt der Überprüfung zu. Durch die im zugrundezulegenden Compliance-Kit implementierte Versionierung der jeweils aktuellen Dokumentenlage kann die Konformität fortlaufend im Compliance-Kit dokumentiert werden.

CPS 600 für kleine Unternehmen

Dieser Standard sichert die Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht zum Zeitpunkt der Überprüfung zu. Durch die implementierte Versionierung im hierbei verwendeten Datenschutz-Kit wird zwischen den Überprüfungen der Stand der jeweils vorliegenden Dokumentenlage dokumentiert.

Auditierungen

Die Überprüfung des CPS 100 erstreckt sich auf die Dokumentenlage im Compliance-Kit der IITR Datenschutz GmbH und wird durch eine eigenständige Gesellschaft als unabhängige Stelle vorgenommen.

Die Überprüfung des CPS 600 ist auf das Datenschutz-Kit der IITR Datenschutz GmbH abgestimmt und wird durch eine eigenständige Gesellschaft vorgenommen. Die Bestätigung erfolgt durch die IITR Datenschutz GmbH.

Ungehinderter Zugang zu Kritis Infrastrukturen

Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.

Es ist kein Geheimnis mehr das leider immer noch ungesicherte Fernzugänge auf Kritis Infrastrukturen möglich sind.

Das aber „freundlicherweise“ schon Zugangsdaten voreingestellt sind ist nun doch wert die ganze Sache einmal mehr kritisch zu hinterfragen

Aktueller Artikel auf golem.de

Woran liegt es ?

Mangelndes Wissen bei den Betreibern ?

Ignoranz seitens der Hersteller und Betreiber ?

Es wird dringend Zeit das auch vom Gesetzgeber verschärft auf dieses Problem reagiert wird.

 

Datenpanne bei Alexa

Kunde erhält 1700 fremde Sprachaufzeichnungen

Ein Nutzer des Sprachassistenten wollte von Amazon eine Auskunft über die zu ihm gespeicherten Daten erhalten. Die Antwort enthielt außerdem 1700 Sprachaufzeichnungen eines anderen Kunden.

Der Internet-Konzern Amazon hat ein Datenleck bei seinem digitalen Sprachassistenten Alexa bestätigt. „Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall“, erklärte der Konzern am Donnerstag. Das Problem sei mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung der Prozesse ergriffen worden. „Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden.“

Das Computermagazin „c’t“ hatte zuvor berichtet, dass 1700 Alexa-Sprachaufzeichnungen von Amazon an einen Unbefugten versendet worden seien. Ein Kunde habe gemäß seines Rechts auf Selbstauskunft seine gespeicherten Daten abgerufen und dabei auch die Sprachaufzeichnungen aus einer anderen Wohnung erhalten. Nachdem er Amazon über die Panne informiert habe, hätte der Konzern die Daten zwar gelöscht, den betreffenden Nutzer aber nicht informiert.

Datenschützer kritisieren seit längerem den fraglichen Umgang von Daten, die von Alexa, Apples Siri, Google Home und anderen Sprachaufzeichnern gesammelt werden.

Malware in Bewerbungen

Wer ein Stellenangebot ausgeschrieben hat, sollte aktuell besonders wachsam sein.

Unbekannte nutzen die Daten in Stellenanzeigen und verbreiten einen Virus, der aktuell nicht als Schadsoftware erkannt wird.

Die angeblichen Bewerbungen mit dem Betreff „Bewerbung auf Ihre Stellenanzeige bei meinestadt.de“ enthalten teils ein Bewerbungsfoto. 

Daran  erkennen Sie die gefährlichen Bewerbungen. Malware in Bewerbungen weiterlesen