Sicherheitslücke

Patientendaten — neues Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

von Sascha Kuhrau
5. September 20209. Dezember 2020

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat.

Patientendaten als hochsensibles Schutzgut

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur ‘vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten ‘intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten

Es würden ‘aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) ‘ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien ‘weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA.

Patientendaten in Zeiten fragwürdiger ‘Digitalisierung´

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der ‘behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein.

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022 für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können — entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung.

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf.

Schutz vor allem für die Verursacher von Datenschutzverletzungen

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit ‘Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik ‘datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben ‘konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels ‘operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich.

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich — hinreichende Gesundheit vorausgesetzt — mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten.

Fazit und Statement

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter.

Das heißt also — verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

Corona App — hoffentlich sicher zur nächsten Pandemie

von Sascha Kuhrau
14. Juni 20209. Dezember 2020

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind.

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf. Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen.

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung.

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren.

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt.

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar.

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren.

Datenschutz und Privatsphäre

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg.

Prüfauftrag der Corona App war limitiert

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen.

Fazit zum aktuellen Stand der Corona App

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 — Teil 1

von Sascha Kuhrau
18. April 20209. Dezember 2020

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate.

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um

das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte

die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte.

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne.

2019-05 — Hacking und Datenpannen im Arztbereich

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar.

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und ‑anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.

2019-08 — Datenpanne im Hause Twitter

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen.

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen “verheerenden ersten Eindruck” von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt.

BadUSB: Manipulierte USB Sticks (erneut) zum Albtraum mutiert

von Sascha Kuhrau
2. August 2014

USB Sticks sind seit je her ein Sicherheitsrisiko. Schnell sind Daten kopiert und abgegriffen. Oder man kommt zurück von einem Außeneinsatz und hat sich dort einen Virus gefangen, der beim Anstecken an das Gast-System im internen IT Netz nun nur darauf wartet, sich zu übertragen.

Weitaus perfider kommt jetzt eine neue Variante daher. Ganz ohne Eingriffe mit Lötkolben & Co mutieren USB Sticks zu einem zur Zeit noch nicht wirkungsvoll bekämpfbaren Sicherheitsrisiko. Nur mittels einfacher SCSI Befehle umprogrammiert, gibt sich ein Standard USB Stick aus dem Ramschregal als USB Tastatur zu erkennen und führt dahinter seine Schadroutine aus. Das gemeine daran: USB Eingabegeräte sind von generellen Sperrungen der USB Ports meist aus Praktikabilitätsgründen ausgenommen. Doch weder das Gast-System noch Anti-Viren-Software ist in der Lage, das Risiko hinter der vermeintlichen Tastatur zu erkennen. Der Stick greift daher nun nicht nur alle Tastatureingaben ab, sondern kann seinen Schadcode direkt aus der Firmware auf das Gast-System und weitere angeschlossene USB Sticks verbreiten.

Im wahrsten Sinne des Wortes eine Virus-Infektion!

Da die Hersteller von USB Sticks hauptsächlich auf drei Controller(-hersteller) samt Firmware setzen, die allesamt ausgelesen und angreifbar sind, wird das Sicherheitsrisiko schwer einzufangen sein, sobald diese Lücke ausgenutzt wird. Noch wurde die Methode nur durch ein deutsches Forscherteam beschrieben und vorgeführt.

Lesen Sie mehr auf unserer Firmenwebseite.

Aktuelle Studie: Jedes vierte Unternehmen macht sich um Sicherheit wenig Gedanken

von Sascha Kuhrau
5. Juni 2014
1 Kommentar

Wir können eh nichts dagegen machen

Die aktuelle DsiN Studie (Deutschland sicher im Netz) zeigt einen gefährlichen Hang zum Fatalismus in Unternehmen auf. Jedes vierte der befragten Unternehmen ergreift gar keine Sicherheitsmaßnahmen, obwohl das Thema Sicherheit als wichtig eingestuft wird. Bei den Themen wie Email-Verschlüsselung oder Passwörter ist ein Rückgang um 7 Prozentpunkte zu verzeichnen.

Laut den Autoren der Studie führt die fatalistische Einstellung, man könne sich gegen professionelle Spähmethoden wie die der NSA so oder so nicht schützen, zu dieser unguten Entwicklung. Es fehlen Sicherheitskonzepte, Mitarbeiter sind unzureichend oder gar nicht für die Themen sensibilisiert. Gleichzeitig steigen der Einsatz mobiler Geräte wie Smartphones (zumeist ohne Geräte- und / oder Email-Verschlüsselung) und Cloud-Nutzung.

Gefahr und Schadenspotential wird unterschätzt

Befragt wurden 1.500 Unternehmen mit bis zu 50 Mitarbeitern. Das Risikopotential wird bei den Befragten unterschätzt. Laut Bundeskriminalamt beläuft sich der Schaden durch Cyberangriffe auf Unternehmen auf 50 Milliarden Euro jährlich, Dunkelziffer nicht eingerechnet. Bei einer Million erfolgreicher Angriffe entspricht dies einem durchschnittlichen Schaden von 50.000 Euro pro Angriff. Ob diese Summe auch Kosten und Aufwendungen für Bußgelder oder das Wiederherstellen eines ramponierten Marken-Images beinhaltet, ist nicht bekannt.

Datenschutz knallharter wirtschaftlicher Standortfaktor

Nach Einschätzung des Bundesinnenministers ist Datenschutz ein nicht zu unterschätzender Faktor. Jedoch während viele Bürger wenig Vertrauen in die Sicherheit ihrer Daten hätten, habe ein Teil des Mittelstands zu viel Vertrauen.

Doch es gibt eigentlich keinen Grund für diese Vogel Strauß Taktik. Fragen Sie doch einfach Ihren Datenschutzbeauftragten. Dieser hat das notwendige Rüstzeug, um diesen Anforderungen zu entsprechen und in Ihrem Unternehmen Datenschutz und Datensicherheit auf hohem Niveau umzusetzen. Sie haben keinen Datenschutzbeauftragten? Dann fragen Sie uns — a.s.k. Datenschutz.

Die ganze Studie steht als PDF zum Downlooad bereit.

Telefonnummer gesucht? Facebook hilft aus

von Sascha Kuhrau
22. Juni 2013

Facebook selbst, nennt den Vorgang “ärgerlich und peinlich”. Der eine oder andere fand ihn vielleicht sogar recht nützlich.

Die Grundlage

Eines der “Komfort-Features” von Facebook besteht aus der Möglichkeit, das vorhandene Adressbuch samt der darin enthaltenen personenbezogenen Daten auf Server des Unternehmens hochzuladen. Alternativ kann man auch seine Online-Adressbücher für den direkten Zugriff durch das amerikanische Unternehmen freischalten. Um nicht selbst nach Freunden und Bekannten suchen zu müssen, verglich Facebook nun die hochgeladenen Angaben mit Daten vorhandener Nutzer. Wer allzu sorglos die Einladen-Funktion für noch nicht auf Facebook bekannte Kontakte klickte, sorgte zusätzlich für eine Flut von aufmunternden Einladungen per Email in hoher Taktzahl in das Postfach mit der Email-Adresse des betroffenen Kontakts. Gerade bei geschäftlichen Kontakten oder auch Patienten und Kunden von Arztpraxen und Anwaltskanzleien sorgte das regelmäßig für Erheiterung.

Die Panne

Kam man als Facebook Nutzer nun auf die Idee, seine Daten wieder von den Servern des Unternehmens abzurufen, waren diese fein säuberlich ergänzt. Wo möglicherweise Lücken bei Email-Adressen oder Telefonnummern klafften, waren diese nun akurat durch die Angaben von anderen Nutzern und deren hochgeladenen Adressbüchern vervollständigt. Komfortabler ist die Pflege der eigenen Kontaktdatenbank doch kaum zu haben.

Was sagt Facebook dazu?

Mittlerweile ist dieses “Feature” behoben. Das Unternehmen reagiert etwas verschnupft auf den Vorwurf der Nachlässigkeit mit der Aussage, dass selbst eine “engagierte Sicherheitsabteilung technische Pannen nicht hundertprozentig ausschließen kann”.

Ob die Zusammenführung der personenbezogenen Datensammlungen eine technische Panne gewesen ist, mag dahingestellt sein. Ein Schelm, wer dabei an Absicht und Profiling denkt. Die Möglichkeit des Downloads war jedoch bestimmt so nicht vorgesehen.

In diesem Sinne “I like” 🙂

Webhoster Hetzner gehackt, Zahlungsinformationen von Kunden betroffen

von Sascha Kuhrau
7. Juni 2013
2 Kommentare

Während sich die Internetseite des Webhosters Hetzner noch in Stillschwigen hüllt (07.06.2013, 07:00), vermeldete u.a. heise security am Vorabend einen weitreichenden Hack der Verwaltungsoberfläche Robot für dedizierte Serversysteme. Neben Passwort-Hashes sind auch Zahlungsdaten wie Bankverbindungen von Kunden für Lastschriften betroffen. Der Anbieter kann zur Zeit nicht ausschließen, dass die für die Entschlüsselung der Daten benötigten privaten Krypto-Schlüssel nicht ebenfalls entwendet wurden. Lt. Hetzner fand der Angriff auf einem technisch ungewöhnlich hohen Niveau statt. Das BKA soll nach eigenen Angaben bereits eingeschaltet sein.

Was es mit meldepflichtigen Datenpannen auf sich hat, erfahren Sie hier.

Online-Werbung verteilt Schadsoftware

von Sascha Kuhrau
11. April 2013

Nach Aussage des BSI ist Vorsicht beim Surfen im Web angeraten. Mit Hilfe von manipulierten Werbebannern wird beim Besuch der betroffenen Seiten Schadsoftware verteilt. Betroffen sind auch zahlreiche bekannte deutschsprachige Webseiten (wie Online-Angebote von Nachrichten‑, Politik‑, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen). Dabei wird eine Sicherheitslücke in einer verbreiteten Werbe-Server-Software ausgenutzt. Im Zusammenspiel mit Schwachstellen aus veralteter Software auf den Geräten des Besuchers eine gefährliche Mischung.

Bekannte Schwachstellen in Java, im Adobe Reader, in Adobe Flash oder auch im Microsoft Internet Explorer, ermöglichen die Installation von Schadprogrammen wie Online-Banking-Trojaner auf PCs (Windows) der Besuchern. Dabei reicht der Besuch einer Webseite mit einem entsprechend manipulierten Werbebanner bereits vollkommen aus. Es ist kein weiteres Zutun des Nutzers erforderlich.

Abhilfe schafft im Moment lediglich die automatische oder auch manuelle Installation der von Adobe und Microsoft zur Verfügung gestellten Sicherheitsupdates, entweder direkt unter www.adobe.de oder über die systeminterne Update-Funktion.

IT-Abteilungen nicht ausreichend auf BYOD vorbereitet

von Sascha Kuhrau
30. März 2013

Ende letzten Jahres führte der Computerhersteller DELL eine Umfrage bei über 250 IT-Verantwortlichen in deutschen Unternehmen durch mit einem erschreckenden Ergebnis. Kernfrage: wie gut ist der IT-Bereich auf eine Umsetzung von Bring Your Own Device (BYOD) vorbereitet.

Über 60% der Teilnehmer können oder wollen z.B. benutzereigene Tablets nicht in die vorhandene IT-Infrastruktur einbinden. Das Ergebnis sei lt. DELL nicht überraschend, jedoch zu hinterfragen. Können es sich Unternehmen leisten, diesem Trend nicht zu folgen? Von Bedeutung wird es sein, diese Thematik sicher und praxisorientiert in das vorhandene System-Managament zu integrieren.

Dabei sollten Sie frühzeitig Ihren Datenschutzbeauftragten involvieren. Er kennt sich mit diesem Thema üblicherweise aus und kennt pragmatische Ansätze, die der Sicherheit und der Produktivität des Unternehmens zu Gute kommen. Sie haben noch keinen Datenschutzbeauftragten?

Die Pressemeldung samt Link zur ausführlichen Studie finden Sie hier.

Sicherheitslücke

Sicher­heitsaspek­te der neu­en Coro­na App

Daten­schutz und Pri­vat­sphä­re

Prüf­auf­trag der Coro­na App war limi­tiert

Fazit zum aktu­el­len Stand der Coro­na App

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet

2019-08 — Daten­pan­ne im Hau­se Twit­ter

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten