Zum Inhalt springen

Studie

Kurz­links als unter­schätz­tes Risi­ko für den Datenschutz

Fast jeder kennt sie, vie­le nut­zen Sie. Kurz­links zu Frei­ga­ben in Cloud­spei­chern oder auch als schnel­ler Link zu Web­sei­ten. Eine Stu­die der Uni­ver­si­tät Cor­nell hat nach­voll­zieh­bar ein Risi­ko für die auf die­se Art frei­ge­ge­be­nen Daten auf­ge­zeigt. Schwach­stel­le ist die typi­sche Zusam­men­set­zung mit Buch­sta­ben und Zah­len, und nur weni­gen Zei­chen. Die­se Kom­bi­na­tio­nen las­sen sich auto­ma­ti­siert erzeu­gen und abfra­gen. Sind die Frei­ga­ben nicht zusätz­lich mit einem Pass­wort geschützt, kön­nen die auf die­se Art im Zugriff befind­li­chen Daten direkt kom­pro­mit­tiert werden.

Die Stu­die zeigt ein wei­te­res Risi­ko auf. In sie­ben Pro­zent aller auf die­se Art ermit­tel­ten frei zugäng­li­chen Frei­ga­ben hät­ten Sie auf­grund der Art der Frei­ga­be Schad­code in den Spei­cher ein­brin­gen kön­nen. Die­ser hät­te sich mit­tels der übli­chen Syn­chro­ni­sa­ti­on somit auf die ange­schlos­se­nen Gerä­te der Nut­zer wei­ter ver­brei­ten können.

Gene­rell raten wir dazu, bei der Ver­ga­be aber auch der Nut­zung von Kurz­links sehr vor­sich­tig zu sein. Einer­seits besteht das in der Stu­die gut nach­voll­zieh­ba­re Daten­schutz-Risi­ko für Ihre auf die­se Art frei­ge­ge­be­nen Daten. Ande­rer­seits wis­sen Sie nie, wohin Sie ein Kurz­link füh­ren wird. Eine belieb­te Masche sind Umlei­tun­gen auf prä­pa­rier­te Web­sei­ten, die mit­tels Exploit Kit Schwach­stel­len auf Ihrem Gerät aunut­zen, um Ihnen Schad­code unterzujubeln.

Gene­rell scha­det es auch nicht im Unter­neh­mens­um­feld, Ihre Mit­ar­bei­ter für den Umgang mit Cloud Spei­chern, Frei­ga­ben und Kurz-Urls zu sen­si­bi­li­sie­ren und ent­spre­chen­de Richt­li­ni­en dafür auf­zu­stel­len. Sicher nicht ver­kehrt, bei der Gele­gen­heit zu prü­fen, ob Cloud Lösun­gen daten­schutz­kon­form ein­ge­führt sind, Stich­wort Auf­trag­da­ten­ver­ar­bei­tung. Ihr Daten­schutz­be­auf­trag­ter ist hier­für der idea­le Ansprech­part­ner. Sie haben kei­nen Daten­schutz­be­auf­trag­ten. Spre­chen Sie uns an.

Wenig Ver­trau­en in Daten­schutz bei Unter­neh­men und Behörden

Syman­tec hat sei­nen aktu­el­len “Sta­te of Pri­va­cy Report 2015” ver­öf­fent­licht und das Ergeb­nis ist wenig über­ra­schend. Knapp 7.000 Per­so­nen in sie­ben euro­päi­schen Län­dern wur­den befragt, aus Deutsch­land stam­men die Ant­wor­ten von 1.000 Befragten.

Was macht ihr mit mei­nen Daten?

Im euro­päi­schen Mit­tel bezwei­feln 57% der Ver­brau­cher, dass ihre per­so­nen­be­zo­ge­nen Daten bei Unter­neh­men und Behör­den wirk­lich sicher sind. In Deutsch­land ist man sogar noch skep­ti­scher. 62% der Befrag­ten hal­ten Unter­neh­men und Behör­den in Sachen Daten­schutz nicht für vertrauenswürdig.

Ver­trau­ens­bo­nus gerechtfertigt?

Den höchs­ten Ver­trau­ens­vor­schuss genie­ßen in Deutsch­land noch die Kran­ken­häu­ser (59%), gefolgt von Ban­ken (58%), Regie­rung /​ Behör­den (30%) und dem Han­del (24%). Schluss­lich­ter sind Tech­no­lo­gie­un­ter­neh­men (18%) und Social Media Anbie­ter (9%).

Zeit zum Handeln

Nach den Autoren der Stu­die ist es nur noch eine Fra­ge der Zeit, bis Sicher­heits­be­den­ken beim Ver­brau­cher eine Aus­wir­kung auf das Online-Kauf-Ver­hal­ten haben wer­den. Für 86% aller Befrag­ten ist Daten­si­cher­heit ein noch wich­ti­ge­rer Aspekt beim Online-Shop­ping als Pro­dukt­qua­li­tät und Kundenservice.

Eine Zusam­men­fas­sung der Stu­die ist hier zu finden.

Aktu­el­le Stu­die: Jedes vier­te Unter­neh­men macht sich um Sicher­heit wenig Gedanken

Wir kön­nen eh nichts dage­gen machen

Die aktu­el­le DsiN Stu­die (Deutsch­land sicher im Netz) zeigt einen gefähr­li­chen Hang zum Fata­lis­mus in Unter­neh­men auf. Jedes vier­te der befrag­ten Unter­neh­men ergreift gar kei­ne Sicher­heits­maß­nah­men, obwohl das The­ma Sicher­heit als wich­tig ein­ge­stuft wird. Bei den The­men wie Email-Ver­schlüs­se­lung oder Pass­wör­ter ist ein Rück­gang um 7 Pro­zent­punk­te zu verzeichnen.

Laut den Autoren der Stu­die führt die fata­lis­ti­sche Ein­stel­lung, man kön­ne sich gegen pro­fes­sio­nel­le Späh­me­tho­den wie die der NSA so oder so nicht schüt­zen, zu die­ser ungu­ten Ent­wick­lung. Es feh­len Sicher­heits­kon­zep­te, Mit­ar­bei­ter sind unzu­rei­chend oder gar nicht für die The­men sen­si­bi­li­siert. Gleich­zei­tig stei­gen der Ein­satz mobi­ler Gerä­te wie Smart­phones (zumeist ohne Gerä­te- und /​ oder Email-Ver­schlüs­se­lung) und Cloud-Nutzung.

Gefahr und Scha­dens­po­ten­ti­al wird unter­schätzt

Befragt wur­den 1.500 Unter­neh­men mit bis zu 50 Mit­ar­bei­tern. Das Risi­ko­po­ten­ti­al wird bei den Befrag­ten unter­schätzt. Laut Bun­des­kri­mi­nal­amt beläuft sich der Scha­den durch Cyber­an­grif­fe auf Unter­neh­men auf 50 Mil­li­ar­den Euro jähr­lich, Dun­kel­zif­fer nicht ein­ge­rech­net. Bei einer Mil­li­on erfolg­rei­cher Angrif­fe ent­spricht dies einem durch­schnitt­li­chen Scha­den von 50.000 Euro pro Angriff. Ob die­se Sum­me auch Kos­ten und Auf­wen­dun­gen für Buß­gel­der oder das Wie­der­her­stel­len eines ram­po­nier­ten Mar­ken-Images beinhal­tet, ist nicht bekannt.

Daten­schutz knall­har­ter wirt­schaft­li­cher Standortfaktor

Nach Ein­schät­zung des Bun­des­in­nen­mi­nis­ters ist Daten­schutz ein nicht zu unter­schät­zen­der Fak­tor. Jedoch wäh­rend vie­le Bür­ger wenig Ver­trau­en in die Sicher­heit ihrer Daten hät­ten, habe ein Teil des Mit­tel­stands zu viel Vertrauen.

Doch es gibt eigent­lich kei­nen Grund für die­se Vogel Strauß Tak­tik. Fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Die­ser hat das not­wen­di­ge Rüst­zeug, um die­sen Anfor­de­run­gen zu ent­spre­chen und in Ihrem Unter­neh­men Daten­schutz und Daten­si­cher­heit auf hohem Niveau umzu­set­zen. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann fra­gen Sie uns — a.s.k. Datenschutz.

Die gan­ze Stu­die steht als PDF zum Down­looad bereit.

Hit­lis­te der Gefah­ren aus dem Internet

BITKOM hat eine aktu­el­le Hit­lis­te der Bedro­hun­gen aus dem Inter­net her­aus­ge­ge­ben. Das höchs­te Bedro­hungs­po­ten­ti­al geht dem­nach durch sog. Dri­ve by Down­loads aus. Hier­bei reicht das Ansur­fen einer prä­pa­rier­ten Web­sei­te bereits aus, um gefähr­li­chen Schad­code auf das Sys­tem des Besu­chers zu brin­gen. Abhil­fe schafft hier ein stets aktua­li­sier­tes Sys­tem mit ein­ge­spiel­ten Patches und Fixes (sie­he auch Sicher­heits­lü­cke in Ado­be Flash Play­er). Auf Platz 2 fin­den sich die bekann­ten und belieb­ten Tro­ja­ner und Viren dicht gefolgt von ziel­ge­rich­te­ten Atta­cken gegen Daten­ban­ken und Webseiten.

Quel­le

 

Daten­schutz-Stu­die des LfD Rhein­land-Pfalz ver­öf­fent­licht — Pro­ble­me wer­den von den Unter­neh­men unterschätzt

Der Lan­des­be­auf­trag­te für Daten­schutz von Rhein­land-Pfalz, Edgar Wag­ner ver­öf­fent­lich­te die Ergeb­nis­se sei­ner Daten­schutz-Umfra­ge bei rhein­land-pfäl­zi­schen Unter­neh­men. Die 1.500 größ­ten Unter­neh­men (> 50 Mit­ar­bei­ter) des Bun­des­lan­des soll­ten seit Mai 2011 Rede und Ant­wort zu The­men rund um den Daten­schutz und die Daten­si­cher­heit ste­hen.  Ant­wor­te­ten bereits 957 auf das ers­te Anschrei­ben, so erhöh­te sich die Zahl nach einer Erin­ne­rung im August 2011 auf 1.369 Rück­läu­fer. Knapp 7% der befrag­ten Unter­neh­men reagier­ten gar nicht.

Die Ergeb­nis­se in Kürze:

  • 8% der befrag­ten Unter­neh­men haben trotz Bestell­pflicht kei­nen Daten­schutz­be­auf­trag­ten bestellt
  • 12,5% aller Bestel­lun­gen sind nicht im Ein­klang mit dem Bun­des­da­ten­schutz­ge­setz (die Tätig­keit wird durch nicht unab­hän­gi­ge Per­so­nen wie die Geschäfts­füh­rung oder IT-Lei­tung ausgeübt)
  • Bei wei­te­ren 19,5% der Bestel­lun­gen sind Inter­es­sens­kon­flik­te zu vermuten
  • Ca. 20% der bestell­ten Daten­schutz­be­auf­trag­ten (DSB) weist aku­te fach­li­che Män­gel auf
  • Das Zeit­bud­get von zwei Drit­teln der DSB ist zu knapp bemessen
  • In 50% aller Fäl­le wer­den die not­wen­di­gen Kon­trol­len zur Auf­trags­da­ten­ver­ar­bei­tung nicht durchgeführt
Wag­ner zeig­te sich sehr erstaunt, dass 97,5% der befrag­ten Unter­neh­men kei­nen Bera­tungs­be­darf durch das LfD in Sachen Daten­si­cher­heit sehen. Da 2011 auf­grund der Vor­fäl­le wie um Sony oder den Deut­schen Zoll als das “Jahr der Hacker” in die Geschich­te ein­ge­hen wer­de, sehen hier nur 2,5% ent­spre­chen­den Unter­stüt­zungs­be­darf.  “Ent­we­der haben die Betrie­be die Befürch­tung, bei einer Bera­tung durch den LfD kon­trol­liert zu wer­den, oder sie unter­schät­zen die Daten­si­cher­heits­pro­ble­me”, fol­gert Wagner.
Apro­pos Bestell­pflicht: Ver­fügt Ihr Unter­neh­men bereits über einen Daten­schutz­be­auf­trag­ten? Wenn nein, wird es mög­li­cher­wei­se höchs­te Zeit auf­grund einer gesetz­li­chen Bestell­pflicht. Nicht sicher? Dann spre­chen Sie mich an und ver­mei­den Sie emp­find­li­che Buss­gel­der.
Quel­len
  • Pres­se­mel­dung des LfD
  • Foli­en-Prä­sen­ta­ti­on des LfD
Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Daten­schutz in Unter­neh­men — der fei­ne Unter­schied zwi­schen Theo­rie und Praxis

“Daten­schutz 2011” lau­tet eine Stu­die des TÜV Süd zum The­ma Daten­schutz in Unter­neh­men. Vier Mona­te lang von Dezem­ber 2010 bis März 2011 befrag­te man mit­tel­stän­di­sche Unter­neh­men in Deutsch­land und wer­te­te die Daten aus. Fazit: für die meis­ten teil­neh­men­den Unter­neh­men nimmt Daten­schutz einen hohen Stel­len­wert ein, doch es gibt gro­ße Defizite.

Gera­de im Bereich der Doku­men­ta­ti­on und Richt­li­ni­en klaf­fen Lücken, und somit fehlt “eine zuver­läs­si­ge Steue­rung von Ver­fah­ren und Pro­zes­sen im Bereich der Daten­si­cher­heit“, erklärt Dr. Wer­ner Degen­hardt, Aka­de­mi­scher Direk­tor an der Lud­wig-Maxi­mi­li­ans-Uni­ver­si­tät Mün­chen, wel­che mit dem TÜV Süd die Stu­die durchführte.

Wei­ter­hin feh­le es bei neu­en oder geän­der­ten Ver­fah­rens­wei­sen an einer Prü­fung auf Ein­hal­tung der Richt­li­ni­en und Geset­ze zum Daten­schutz. „Gera­de die­ses Ver­hal­ten ist jedoch die Ursa­che für die anhal­ten­de Wel­le von Daten­schutz­ver­let­zun­gen”, führt Degen­hardt wei­ter aus.

Grö­ße­re Defi­zi­te gäbe es eben­falls beim Kri­sen­ma­nage­ment im Umgang mit Daten­schutz­ver­let­zun­gen. Betrach­tet man die Ver­fah­rens­wei­sen nam­haf­ter Mar­ken­un­ter­neh­men bei Daten­pan­nen in der jün­ge­ren Ver­gan­gen­heit, so bestä­tigt die Stu­die die­se Wahr­neh­mung zumin­dest für eini­ge Unter­neh­men [Anm. des Autors]. Feh­len­de kla­re Vor­ga­ben zur Ver­fah­rens­wei­se im Pan­nen­fall ste­hen der sofor­ti­gen Besei­ti­gung der Pro­ble­me sowie der vor­ge­schrie­be­nen Infor­ma­ti­on an die Betrof­fe­nen im Wege.

Die Emp­feh­lung des TÜV Süd für Unter­neh­men, denen die not­wen­di­gen Res­sour­cen und /​  oder das not­wen­di­ge Daten­schutz-Know-How feh­len: Nut­zung eines exter­nen Bera­ters für Daten­schutz und Daten­si­cher­heit und die Bestel­lung eines exter­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten (wenn die Bestell­pflicht vorliegt).

Sie sind sich nicht sicher? Spre­chen Sie mich an. Sie wün­schen ein Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten? Nut­zen Sie das Ange­bots­for­mu­lar, selbst­ver­ständ­lich ver­schlüs­selt und sicher.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Daten­schutz extrem — BIT­KOM-Stu­die zu Daten­schutz im Internet

Daten­schutz in Deutsch­land pola­ri­siert, Sicht­wei­sen und Mei­nun­gen zum The­ma gehen oft gegen­sätz­lich ins Extre­me. Eine aktu­el­le Stu­die der BITKOM zeigt eine ähn­lich extre­me Ein­stel­lung bei Web-Nut­zern zu Daten­schutz und Daten­si­cher­heit im Internet.

“Die einen sind fahr­läs­sig und leicht­sin­nig, die ande­ren über­vor­sich­tig im Inter­net. Vie­le deut­sche Web-Nut­zer haben eine extre­me Ein­stel­lung zur Daten­si­cher­heit.”, so ein Fazit der Studie.

Auf der einen Sei­te ist jedem sieb­ten Befrag­ten egal, was mit sei­nen Daten im Inter­net geschieht. Dem ent­ge­gen ver­zich­tet jeder Sechs­te auf Online-Trans­ak­tio­nen aus Angst vor Miß­brauch. Fast jedem zwei­ten Nut­zer feh­len Infor­ma­tio­nen und Know-How, was eigen­ver­ant­wort­lich für den Schutz der per­sön­li­chen Daten getan wer­den kann.

Prof. Die­ter Kempf, BIT­KOM-Prä­si­dent und Vor­stands­vor­sit­zen­der des Ver­eins „Deutsch­land sicher im Netz“ sieht hier nicht umsonst Auf­klä­rungs- und Nach­hol­be­darf. Er sieht hier Poli­tik, Wirt­schaft und Ver­brau­cher­schüt­zer in der Pflicht. Jedoch sind auch die Nut­zer selbst gefor­dert und in der Pflicht. Nicht alles an Ver­ant­wor­tung für die eige­nen per­sön­li­chen Daten kann abge­scho­ben wer­den. Die­se Kern­auf­ga­be kön­ne “nur gemeis­tert wer­den, wenn die Ver­brau­cher sen­si­bi­li­siert sind und mitziehen.“

Einen Bei­trag zur not­wen­di­gen Sen­si­bi­li­sie­rung leis­tet zum Bei­spiel die preis­ge­krön­te Initia­ti­ve “Daten­schutz geht zur Schu­le” unse­res Berufs­ver­ban­des. Aber auch die Daten­schutz-Schu­lun­gen für Mit­ar­bei­ter durch den Daten­schutz­be­auf­trag­ten Ihres Unter­neh­mens tra­gen zur wei­te­ren Sen­si­bi­li­sie­rung und dem Auf­bau einer Inter­net­kom­pe­tenz in Sachen Daten­schutz und Daten­si­cher­heit bei. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Wenn Sie Ihrer mög­li­chen Bestell­pflicht im Unter­neh­men nicht nach­kom­men, dro­hen Buß­gel­der bis 50.000 EUR.

Die mobile Version verlassen