Community Health Systems, amerikanischer Betreiber von 206 Krankenhäusern in 29 Bundesstaaten, outete sich diese Woche. Man sei Opfer einer erfolgreichen Hacker-Attacke geworden.
Gegenüber der US Aufsichtsbehörde SEC gab der Betreiber an, zwischen April und Juni von einer wahrscheinlich aus China operierenden Gruppe erfolgreich gehackt worden zu sein. Bei den entwendeten Daten soll es sich um nicht-sensible Informationen gehandelt haben. Betroffen sind Patienten von Ärzten, mit denen der Betreiber in den letzten fünf Jahren zusammengearbeitet habe. Man vermutet einen Zusammenhang mit früheren Attacken, bei denen mindestens 140 Unternehmen in den USA, Kanada und Großbritannien Angriffsziel waren.
Sind Daten in Ihrem Unternehmen sicher? Analysen der letzten Monate zeigen, nicht nur große Konzerne und Unternehmen stehen im Fokus solcher Angriffe. Vollautomatisiert werden von außen über das Internet Schwachstellen in Unternehmensnetzen abgescannt und zielgerichtet penetriert. Oft mit Erfolg und meist ohne Kenntnis der betroffenen Unternehmen. Gerne unterstützen wir Sie bei der Überprüfung und Absicherung Ihres Firmennetzwerkes zusammen mit unseren Partnern für IT-Sicherheit.
Amerikanische und nun auch deutsche Medien berichten vom wohl größten Datenklau in der Geschichte des Internets. Zumindest vom größten bekannten Datenklau kann man wohl getrost ausgehen.
Einer russischen Hackergruppe soll es gelungen sein, über 1,2 Milliarden Datensätze zu hacken. Betroffen seien Benutzernamen, Passwörter und auch Email-Adressen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik, kurz BSI warnt vor der optimistischen Einschätzung, deutsche Nutzer könnten eventuell nicht betroffen sein. Sobald man weitere Informationen aus den USA vorliegen habe, werde man sich um Hilfestellungen für deutsche Internetnutzer bemühen und diese veröffentlichen. Ursprünglich seien wohl sogar mehr als 4 Milliarden Datensätze betroffen gewesen, doch durch Ausschluß von Dopplungen sei es zu einer Reduktion auf 1,2 Mrd. gekommen.
Nun heißt es also wieder mal, breitflächig Passwörter ändern. Das diese gewiße Sicherheitsanforderungen genügen müssen, sollte sich mittlerweile rumgesprochen haben. Auch die Nutzung von einem Passwort für mehrere Dienste ist geeignet, es Hackern und Dieben leichter zu machen — von daher keine gute Idee. Da man sich diese nicht alle merken kann, bietet sich die Nutzung eines Passwort-Tresors wie Keepass an. Cloud basierte Passwortmanager ohne Verschlüsselugn oder gar von amerikanischen Anbietern sollten sich von selbst verbieten.
Wohl dem, der in seinen Online Profilen nicht alle Komfort-Merkmale nutzt. Es ist zwar praktisch, wenn der Online Shop die Kreditkartendaten für eine schnellere Abwicklung schon gespeichert hat und man diese nicht mehr eingeben muss. Sicher ist dabei aber im Zweifel nur eins: wird Ihr Account gehackt — und wenn auch über Umwege -, dann hat der Hacker auch gleich noch Ihre Zahlungsdaten. Wollen Sie das?
Wir halten Sie auf unserem Blog informiert, wenn seitens des BSI belastbare Informationen kommuniziert werden.
Bereits zwei Mal dieses Jahr stellte das Bundesamt für Sicherheit in der Informationstechnik ein Online Prüf-Tool zur Verfügung. Mittels dieses Tools konnten Nutzer testen, inwieweit ihre Email-Adresse(n) in Verbindung mit Weblogins bereits aktiv mißbraucht wurde(n). Millionen Anwender haben dieses Tool bisher genutzt.
Eine etwas andere Datenbasis bietet nun das HPI der Universität Potsdam. Deren Tool prüft einschlägige Foren und Boards, ob dort Email-Adresse und / oder weitere personenbezogene Angaben inklusive Passwort öffentlich zum Mißbrauch zur Verfügung gestellt werden. Zur Zeit umfasst die Datenbank 171 Millionen Einträge.
Nach Eingabe einer Email-Adresse erhält der Nutzer zeitnah eine Email mit genauer Angabe der kompromittierten Daten. Wenn kein Eintrag gefunden wurde, wird keine Email versandt. Das bedeutet jedoch nicht, dass diese Daten nicht anderweitig bekannt sind und mißbraucht werden.
Top 10 der unsicheren Passwörter
Obwohl die Tatsache hinlänglich bekannt ist, wie ein einigermaßen sicheres Passwort aussehen sollte, finden sich in der Top 10 der Statistik alte Bekannte wie “123456”, “password” und “qwertz” wieder. Details über unsichere Passwörter und Hilfestellungen zu merkbaren sicheren Passwörtern finden Sie hier im a.s.k. Datenschutz-Blog
Zum Online Check des HPI: https://sec.hpi.uni-potsdam.de/leak-checker/search
Es lohnt sich, nicht nur alle privaten Email Adressen zu prüfen, sondern auch die geschäftlichen Daten einzubeziehen.
Während sich die Webseite des Pay TV Anbieters dazu (noch) ausschweigt, melden bekannte Online Medien seit Mitte der Woche ein Datenleck bei SKY.
Stand 09.11.2013: auf der Startseite von SKY ist nach wie vor keine Meldung zu finden. Ebenso wenig unter Unternehmen, Presse oder Meldungen.
Auslöser war ein Gewinnspiel-Anruf bei einem SKY Kunden. Der Anrufer wußte Name, Anschrift und Bankverbindung des Angerufenen. Als Quelle der Daten wurde SKY Deutschland durch den Anrufer benannt.
Auf Nachfrage äußerte sich SKY, “dass möglicherweise in vereinzelten Fällen Sky-Kundendaten unbefugterweise in die Hände Dritter gelangt sind.” Die betroffenen Kunden sowie die zuständige Landesdatenschutzbehörde seien informiert. Über Ursache und Umfang schwieg man sich bisher aus.
Der glückliche “Gewinner” wandte sich persönlich an SKY. “Er sei nicht der Einzige”, so wurde er beschieden. Ob dies ein angemessenes Krisenmanagement darstellt?
Während sich die Internetseite des Webhosters Hetzner noch in Stillschwigen hüllt (07.06.2013, 07:00), vermeldete u.a. heise security am Vorabend einen weitreichenden Hack der Verwaltungsoberfläche Robot für dedizierte Serversysteme. Neben Passwort-Hashes sind auch Zahlungsdaten wie Bankverbindungen von Kunden für Lastschriften betroffen. Der Anbieter kann zur Zeit nicht ausschließen, dass die für die Entschlüsselung der Daten benötigten privaten Krypto-Schlüssel nicht ebenfalls entwendet wurden. Lt. Hetzner fand der Angriff auf einem technisch ungewöhnlich hohen Niveau statt. Das BKA soll nach eigenen Angaben bereits eingeschaltet sein.
Was es mit meldepflichtigen Datenpannen auf sich hat, erfahren Sie hier.
Der cloudbasierte Notizservice Evernote wurde Opfer eines erfolgreichen Hackerangriff. Dies verlautbarte das Unternehmen gestern auf seinem Blog.
Lapidar wird über den Zugriff und das Auslesen von ca. 50 Millionen Nutzerprofilen samt Passwörtern berichtet. Letztere waren verschlüsselt und bei Evernote ist man sich ziemlich sicher, das eine Entschlüsselung nicht möglich sei. Dennoch hat das Unternehmen alle Passwörter zurückgesetzt. Sobald sich ein Nutzer einloggt, wird er zur Vergabe eines neuen Passworts aufgefordert. Eine weitere Aufklärung des Nutzers über das Warum und Wieso unterläßt Evernote an dieser Stelle. Die Gründe muss der Nutzer selbst im Web recherchieren.
Nach Angaben von Evernote seien keine Zahlungsdaten von Premium-Nutzern betroffen gewesen.
Update 03.03.2013, 15 Uhr: Mittlerweile versendet das Unternehmen Emails an die Account-Inhaber mit einer entsprechenden Erklärung des Vorfalls. Es handelt sich dabei um eine Übersetzung des eingangs erwähnten Blogbeitrags.
2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.
Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen — siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.
Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man “Opfer” einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!
Fragen Sie doch Ihren Datenschutzbeauftragten
Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.
Diese erschreckende Zahl haben Studien u.a. von Steganos und weiteren Institutionen ergeben. Die meisten Geräte gehen z.B. an Flughäfen, im Taxi oder im Zug verlustig. Noch schlimmer: in vielen Fällen handelte es sich um Firmenlaptops mit sensiblen Daten — sei es von Geschäftspartnern, Kunden, internen Projekten uvm. Und in einem solchen Fall, so rechnet eine Studie vor, entsteht im Schnitt ein durchschnittlicher Schaden von 38.000 EUR.
Update: die Fundstelle der Deutschen Bahn benannte freundlicherweise die Zahl der im Zeitraum Juli bis Dezember 2009 in ihren Zügen als verlustig gemeldeten Notebooks — 500 Stück.
Doch viel größer als die monetäre Taxierung eines solchen Schadens wiegt das Risikopotential aus negativer Presse und Imageverlust für ein Unternehmen, wenn die verlorenen Daten den Weg an die Öffentlichkeit finden.
Gegen Verlust oder Diebstahl gibt es keinen 100% Schutz, das steht fest. Jedoch kann jeder Anwender / jedes Unternehmen, mit geringem Aufwand den Zugriff auf sensible Daten zumindest erschweren. Die Lösung ist naheliegend: Datenverschlüsselung! Ohne Passwort — das entsprechenden Sicherheitskriterien entsprechen muss -, keine Daten.
Hierfür bieten sich zahlreiche Tools kommerzieller Anbieter an, jedoch gibt es ein kostenfreies Tool, das verschiedene Arten der Verschlüsselung für herkömmliche PCs / Notebooks unter Windows 7, Windows Vista, Windows XP, Mac OS X und Linux beherrscht: Truecrypt (Version 6.3a, Stand Novmeber 2009).
Die wichtigsten Funktionen:
Verschlüsselung einer ganzen Festplatte
Verschlüsselung einzelner Partitionen, z.B. der Systempartition und / oder der Datenpartition
Verschlüsselung in einem sogenannten Container, der zur Dateiablage genutzt wird
Truecrypt bietet die Verschlüsselung nach den Methoden:
AES
Twofisch
Serpent
Ein besonderes Sicherheitsmerkmal ist das sog. Konzept der glaubhaften Abstreitbarkeit (plausible deniability): die Existenz mit Truecrypt verschlüsselter Daten ist schwer nachzuweisen. Dies macht es Angreifern deutlich schwerer, Hinweise auf versteckte / verschlüsselte Daten auf dem System zu finden.
Der sog. “traveller mode” ermöglicht den Einsatz vom einem USB-Stick ohne Installation der Software. Eine sehr gute Möglichkeit, auf USB Sticks verschlüsselte Daten zu transportieren und die zur Entschlüsselung benögtigte Software gleich mit dabei zu haben.
Für Truecrypt gibt es eine nachladbare deutsche Oberfläche und die Anleitung ist selbst für Einsteiger verständlich. Es empfiehlt sich, vor dem ersten Einsatz der Software, die deutsche Oberfläche zu laden, um Verständnisprobleme bei den Begrifflichkeiten zu reduzieren.
derStandard.at berichtet, daß sich das FBI an der Entschlüsselung von mit Truecrypt gesicherten Daten die Zähne ausgebissen hat. Ein Jahr lang wurde versucht, die Passwörter für die Entschlüsselung per Wörterbuchattacke zu hacken — erfolglos.
Unser Partner-Blog hat einen informativen weiterführenden Beitrag zum Thema geschrieben. Aktuell ist derzeit Version 7.1a von Truecrypt (Download).
Am 04. August 2012 wurde die Spieleplattform battle.net des Anbieters Blizzard gehackt. Betroffen sind neben der Email-Adresse (alle Regionen außer China) auch Sicherheitsabfragen (zumindest von Spiele-Servern aus Nordamerika). Am 09.08.2012 stellte Blizzard eine offizielle Stellungnahme ins Netz. Mit erhöhtem Spamaufkommen für Nutzer von battle.net ist zu rechnen. Blizzard warnt weiterhin vor möglichen Phishing-Emails und rät zum zeitnahen Wechsel der Zugangspasswörter (Server Nordamerika).
Vor kurzem ging es durch die Presse: die US-Großbank Citigroup wurde gehackt und die Daten von ca. 360.000 Kreditkartenkunden entwendet. Nun meldet das “Wall Street Journal” unter Berufung auf interne Kreise, daß ungefähr 3.400 betroffene Kreditkarteninhaber einen Schaden in Höhe von 2,7 Millionen US-Dollar durch den Mißbrauch der entwendeten Daten erlitten haben.
Die Cyber-Kriminalität nimmt stetig zu, das Gefühl der Sicherheit kann schnell trügen. Das haben Hacker-Attacken der letzten Wochen zur Genüge bewiesen.
Ein Grund mehr, kontinuierlich an der Sicherheit der IT-Systeme Ihres Unternehmens zu arbeiten. Optimal, wenn Sie dabei frühzeitig Ihren Datenschutzbeauftragten einbinden. Sie haben keinen Datenschutzbeauftragten? Dann ist vielleicht höchste Zeit.
