[datensicherheit.de, 30.07.2024] Freiheit im Sinne der Abwehr ungerechtfertigter Machtausübung und Schutz vor -missbrauch ist offenkundig Voraussetzung für individuelle Selbstentfaltung und kollektive Selbstbestimmung. Sie soll durch verbriefte Grundrechte und die Demokratie gewährleistet werden – die Ausübung von Meinungsfreiheit, Informationsfreiheit, Gewissensfreiheit, Wissenschaftsfreiheit und Wahlfreiheit gilt es darüber zu ermöglichen und vor Diskriminierung zu schützen. Auch das Recht auf Informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts, die Achtung des Privat- und Familienlebens und der Schutz personenbezogener Daten sind Voraussetzungen für Freiheit. Wie indes individuelle und kollektive Freiheit gelebt werden kann, ist abhängig von den gesellschaftlichen, technischen, ökonomischen und kulturellen Bedingungen, unter denen sie ausgeübt werden soll – in der modernen Welt sind für die Freiheitsausübung die gesellschaftlichen Infrastrukturen von entscheidender Bedeutung. Die nach eigenen Angaben vom Bundesministerium für Bildung und Forschung geförderten Plattform Privatheit sollen Experten interdisziplinär, kritisch und unabhängig Fragestellungen zu Privatheit und Datenschutz in der digitalen Welt untersuchen. Koordiniert wird die Plattform Privatheit vom Fraunhofer-Institut für System- und Innovationsforschung und dem Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung an der Universität Kassel. Als Vormerktermin für die Jahrestagung 2024 wurden nun der 17. und 18. Oktober 2024 benannt – an der Teilnahme Interessierte können sich bereits jetzt Plätze reservieren.

Abbildung: Plattform Privatheit

„Freiheit in digitalen Infrastrukturen“: Einladung zur Jahrestagung 2024 der Plattform Privatheit

Jahreskonferenz 2024 nimmt Freiheit in den Fokus

9. Jahrestagung der Plattform Privatheit: „Freiheit in digitalen Infrastrukturen“
Donnerstag, 17. Oktober und Freitag, 18. Oktober 2024
Villa Elisabeth, Invalidenstraße 3 in 10115 Berlin
Anmeldung erforderlich (s.u.).

Als Keynote-Speaker z.B. habe der Jurist Max Schrems (noyb) zugesagt, welcher unter dem Motto „Pay or Okay“ u.a. über die Finanzierung von Inhalten im Spannungsfeld zwischen gewünschtem Zugang zu Informationen, legitimem Interesse an einer fairen Vergütung für „Content Creation“ und ebenso legitimem Interesse an Privatheit und Anonymität sprechen werde. Auch die Informatikerin und Datenschutzbeauftragte des Landes Schleswig-Holstein Dr. h.c. Marit Hansen sowie die Politikwissenschaftlerin Prof. Dr. phil. Ingrid Schneider, Universität Hamburg, werden demnach Keynotes halten. Hendrik Kafsack, EU-Korrespondent der Frankfurter Allgemeine Zeitung, stehe zur Moderation bereit.

Was ist Freiheit? Was schützt sie, was schränkt sie ein? Und welche Rolle spielen digitale Infrastrukturen für unsere Freiheit? …

Diese und weiterführende Fragen sollen auf der diesjährigen interdisziplinären Konferenz der Plattform Privatheit mit Experten aus Wissenschaft und Praxis diskutier werden. In der modernen Welt seien digitale Infrastrukturen von entscheidender Bedeutung für die Ausübung von Freiheit: Diese könnten Freiheit gewähren, aber auch gefährden. Vor allem die Infrastrukturnetze und -plattformen von Google, Apple, Meta, Amazon und Microsoft böten Leistungen, welche derzeit Grundlagen für digitale Freiheitsausübung seien. Generative große Sprachmodelle wie „ChatGPT“ entwickelten sich gerade zu einer weiteren digitalen Infrastruktur.

Aber auch die Anbieter „alter“ Infrastrukturen wie Automobilhersteller, Energieversorger, Telekommunikationsanbieter oder Bahnbetreiber bauten digitale Infrastrukturen auf, ohne die ihre Leistungen nicht mehr genutzt werden könnten. Der Staat errichte ebenfalls neue digitale Infrastrukturen wie Bürgerkonten und elektronische Zugänge zur Verwaltung. Alle diese beispielhaft genannten digitalen Infrastrukturen veränderten Machtgefüge und Freiheitsspielräume.

Dieselben Infrastrukturen, welche Freiheit und Demokratie zu unterstützen vermögen, sind potenziell auch ihre Gefährder

„Die großen digitalen Infrastrukturen sind global und durchdringen überall auf der Welt in intensiver Weise das (digitale) Leben. Ihre Marktanteile sind monopolartig und ihre Anbieter haben den mit Abstand höchsten Marktwert aller Unternehmen weltweit.“ Für diese ungeheure ökonomische Macht gebe es vor allem zwei Gründe: Zum einen seien ihre Angebote für das digitale Leben hilfreich und verführerisch und zum anderen seien sie vermeintlich „kostenlos“ – die Abhängigkeit von ihnen sei somit hoch und werde immer höher.

Diese ökonomischen Erfolge erzielten sie vor allem durch die Verarbeitung der Daten ihrer Nutzer. Mit deren Hilfe erstellten sie Personenprofile, verkauften ihre Aufmerksamkeit, steuerten ihre Informationen und beeinflussten ihr Denken – bisher noch insbesondere für Konsumwahl und Kundenbindung, potenziell aber auch für andere Verhaltensformen wie z.B. Wahlentscheidungen. Zahlreiche weitere Techniken der Verhaltensmanipulation wie z.B. „Dark Patterns“ stünden zur Verfügung. Dieselben Infrastrukturen, welche Freiheit und Demokratie unterstützen könnten, entwickelten sich gleichsam zu ihren Gefährdern.

Freiheit in Gefahr: Anbieter globaler digitaler Infrastrukturen wollen eigene Rechtsordnung weltweit durchsetzen

Die Anbieter globaler digitaler Infrastrukturen ignorierten vielfach die demokratischen Entscheidungen in Europa oder Deutschland. Sie legten ihrem Handeln eigene Regeln zugrunde, welche den europäischen oder nationalen Regelungen widersprächen. „Sie wollen ihre eigene Rechtsordnung – verkleidet als Vertragsbedingungen – weltweit durchsetzen.“

Die Europäische Union (EU) habe neue Regelungen geschaffen, um Gefahren durch die globalen digitalen Infrastrukturen einzuschränken und deren Macht zu begrenzen. Vor allem die Digitale-Dienste-Verordnung, die Digitale-Markt-Verordnung und die Datenschutz-Grundverordnung (DSGVO) hätten Regelungen geschaffen, um die Freiheit des Individuums zu schützen, die Voraussetzungen eines funktionierenden Marktes zu erhalten und demokratisch festgelegte Regeln des Zusammenlebens durchzusetzen. „Ob diese Regelungen ausreichen, um die verfolgten Ziele zu erreichen, muss sich erst noch erweisen.“ Sie seien jedenfalls sinnvolle erste Schritte zur Freiheitssicherung und Machtbegrenzung.

Weitere Informationen zum Thema und Anmeldung:

Plattform Privatheit
Jahreskonferenz 2024 / 9. Jahrestagung der Plattform Privatheit: Freiheit in digitalen Infrastrukturen

Plattform Privatheit
Anmeldung zur Jahrestagung am 17.-18. Oktober 2024

[datensicherheit.de, 02.11.2021] Der „Deutsche Ärztetag“ habe die Einführung der Telematikinfrastruktur (TI) scharf kritisiert, meldet der Freien Ärzteschaft e.V.: Mit massivem Druck werde etwas ins Gesundheitswesen gepresst, das weder praktisch funktioniere noch sicher sei oder die Gesundheitsversorgung in Deutschland verbessere, hätten zahlreiche Ärzte am ersten Sitzungstag des Deutschen Ärztetages am 1. November 2021 moniert. Wieland Dietrich, Vorsitzender der Freien Ärzteschaft (FÄ) und Delegierter, kommentiert: „Praktikabilität, Sicherheit und Nutzen sind einfach nicht gegeben. Die Einführung der TI in ihrer aktuellen Ausgestaltung ist nicht nur dilettantisch, sondern auch gefährlich.“ Mit Nachdruck fordere die Ärzteschaft daher ein Moratorium, so Dietrich.

Aus der Ärzteschaft Berichte über massive technische TI-Probleme

Bereits am Eröffnungstag habe der Präsident der Bundesärztekammer, Dr. Klaus Reinhardt, die künftige Bundesregierung aufgefordert, ein Moratorium für die TI zu verhängen. Aus der Ärzteschaft hagelte es demnach „Berichte über massive technische Probleme mit der TI in den Arztpraxen“, welche den „Workflow“ behinderten und das Personal stark belasteten.
Die FÄ warnt nach eigenen Angaben „seit Jahren genau vor solchen Entwicklungen, besonders im Hinblick auf Sicherheitsrisiken und unausgereifte Anwendungen wie elektronische Arbeitsunfähigkeitsbescheinigung, elektronisches Rezept und elektronische Patientenakte“. „In einem schlecht gemachten System telematischer Vernetzung sind wir nicht mehr Herr der Lage – auch Kliniken und Praxen werden gehackt“, erklärt FÄ-Chef Dietrich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warne ausdrücklich auch im Gesundheitswesen vor Hacking, Erpressung und Datenmissbrauch.

Ärzteschaft kritisiert besonders mangelnde Tests der TI und ihrer Anwendungen

Aus der Ärzteschaft würden besonders die mangelnden Tests der TI und ihrer Anwendungen kritisiert – diese seien überhaupt nicht marktreif; Arztpraxen, Kliniken und Patienten müssten nun als Versuchskaninchen bei der Einführung der TI herhalten.
„Das ist unverantwortlich, denn es behindert und beschädigt die medizinische Versorgung“, sagt Dietrich und führt fordernd aus: „Die künftige Bundesregierung muss die Schraube, die der scheidende Bundesgesundheitsminister Jens Spahn weit überdreht hat, wieder zurückdrehen und die telematischen Anwendungen erst einmal sorgfältig überprüfen und testen.“

Ärzteschaft fordert, ärztlichen Sachverstand und tatsächliche Erfordernisse der Basis einzubeziehen

Ärzte forderten zudem, dabei ärztlichen Sachverstand und die tatsächlichen Erfordernisse der Basis einzubeziehen. „Wir sind diejenigen, die in Klinik und Praxis damit arbeiten sollen. Wer könnte besser wissen als wir, was für funktionierende Arbeitsabläufe erforderlich ist?“, so der FÄ-Chef.
Dabei seien auch die „ganz verschiedenen Bedarfe in den Einrichtungen des Gesundheitswesens zu berücksichtigen“. Darüber hinaus hätten Ärzte eine Schweigepflicht und für die höchste Sicherheit der Patientendaten sei Sorge zu tragen.

Weitere Informationen zur Organisation:

Freie Ärzteschaft e.V.
Das sind wir

datensicherheit.de, 04.11.2019
Auch Freie Ärzteschaft kritisiert Digitales-Versorgungs-Gesetz / „Mit Vollgas gegen Datenschutz und Bürgerrechte“

[datensicherheit.de, 04.01.2021] Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate hätten es mehr als deutlich gemacht: IT-Sicherheitsteams benötigten einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg. Vectra AI erläutert in einer aktuellen Stellungnahme, wie dies möglich werden könnte. Sicherheitsingenieure hätten Lösungen entwickelt, welche eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud böten. Zudem wird darauf hingewiesen, dass – um herauszufinden, wie Angreifer „Office 365“ ausnutzen –, der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen liefere. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer aufzuspüren und darauf reagieren.

Angriffe aus der Cloud: Während der gesamten Phase wachsam bleiben!

„Wird ein potenzieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden.“
Sicherheitsexperten müssten daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das könnten sie jedoch nicht, „wenn sie die Punkte zwischen der Cloud und der Netzwerk-Infrastruktur nicht verbinden können“.

Angreifer sehen Cloud-Netzwerk nicht als das geringste Hindernis

Ein Beispiel wäre demnach, wenn ein Benutzer auf „Office 365“ das Opfer von Spear-Phishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf Kritische Infrastrukturen zuzugreifen. Eine zeitgemäße Sicherheitsplattform zeige dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte.
„Wenn jemand einige fragwürdige Exchange-Operationen auf ,Office 365‘ durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.“ Bei der Betrachtung einiger aktueller Angriffe werde deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sähen.

Ausnutzung legitimer Tools für unerlaubte Aktionen über die Cloud

Die Aktionen von „APT 33“ hätten mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln begonnen, um zum Endpunkt zu gelangen. „Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.“
Die Angriffsfläche von „Office 365“ sei nicht nur auf den ersten Zugriff beschränkt. Angreifer mit „Office 365“-Zugang könnten „SharePoint“ missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe „SharePoint“-Funktionalität, welche für die Synchronisierung normaler Benutzerdateien verwendet werde, könne auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer könne dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über „Power Automate“-Flows einrichten, welche täglich Daten von jedem infizierten Endpunkt hochladen könnten. Hierzu gebe es viele Möglichkeiten und es würden immer mehr.

Network Detection and Response empfohlen, um Angriffen über die Cloud zu wehren

Denkbar sei auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, „was zwar schlecht, aber nicht schlimm ist“. Es sei dabei aber auch zu einer seitlichen Bewegung im Netzwerk gekommen, was viel besorgniserregender sei, da nicht bekannt sei, wie die Hacker hereingekommen sind. „In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.“
Um herauszufinden, wie Angreifer „Office 365“ ausnutzen, liefere der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer in ihren Netzwerken und „Office 365“-Implementierungen zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten

VECTRA, Chris Morales, 19.10.2020
The Office 365 Tools and Open Services Attackers Love to Use

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

[datensicherheit.de, 06.09.2020] Die Entwicklung einer passgenauen, auf aktuelle und unternehmensspezifische Herausforderungen zugeschnittenen IT-Infrastruktur werde in Zukunft immer wichtiger werden. Jedem Unternehmen sei daran gelegen, eine Infrastruktur aufzubauen, welche „eine hohe Innovationsgeschwindigkeit und Wettbewerbsvorteile bietet, gleichzeitig aber Kosten spart und die Produktivität erhöht“.

Abbildung: Handelsblatt

Online-Session: Netzwerksicherheit vs. Flexibilität…

Komplexe IT-Anforderungen aus internen Kernbereichen am Beispiel HELLA

Vor mehr als drei Jahren habe das global agierende Automotiv-Unternehmen HELLA vor diversen IT-Herausforderungen gestanden: „Ein dynamisches Businessumfeld, Globalisierung der Märkte, eigene Umstrukturierungen sowie komplexe IT-Anforderungen aus internen Kernbereichen.“ Zusammen mit dem Service- und Technologiepartner Open Systems habe sich Hella den neuen Herausforderungen gestellt – „die Resultate dieser Kooperation brachten eine agile, vorausschauende und sichere IT-Landschaft hervor“.

Exklusive Online-Session zu Erkenntnissen aus IT-Transformation

In der exklusiven Session erläutern nach Angaben des Veranstalters Norbert Muth, „Head of global IT Infrastructure“ bei HELLA, und Michael Huber, „Head of Sales EMEA“ bei Open Systems, Schlüsselelemente und Erkenntnisse aus ihrer Transformation von MPLS zur „Cloud First Strategie“ und erklären, „warum sie sich nicht zwischen Flexibilität und Netzwerksicherheit entscheiden müssen“.

Kostenloses Online-Seminar 17. September 2020, 14.00 bis 15.00 Uhr

Handelsblatt, 18.08.2020
Kostenloses Webinar: Netzwerksicherheit vs. Flexibilität – die Entscheidung muss nicht sein

datensicherheit.de, 14.10.2019]
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

[datensicherheit.de, 28.04.2020] Israel scheint einen groß angelegten Versuch eines Cyberangriffs auf die kritische Infrastruktur seiner nationalen Wasserversorgung vereitelt zu haben. Aus einem internen Bericht der israelischen Wasserbehörde geht hervor, dass sich der Vorfall zwischen Freitag, den 24. April, und Samstag, den 25. April, ereignete. Laut einer Erklärung des israelischen Nationalen Cyber-Direktorats zielte der versuchte Angriff auf die Kommando- und Kontrollsysteme der Kläranlagen der Wasserbehörde, die Pumpstationen und die Abwasserinfrastruktur ab. In einer weiteren Erklärung der Wasserbehörde und des Nationalen Cyber-Direktorats wurde berichtet, dass der Vorfall anscheinend koordiniert worden, jedoch kein Schaden entstanden sei.

Anweisung zu Passwortänderung der OT-Systeme

Die betroffenen Stellen wurden angewiesen, die Passwörter für alle Betriebstechniksysteme (OT-Systeme) der Anlage, insbesondere diejenigen, die mit der Chlorkontrolle zusammenhängen, sofort zurückzusetzen und sicherzustellen, dass die gesamte Kontrollsoftware auf dem neuesten Stand ist. Für den Fall, dass es nicht möglich ist, die Passwörter für bestimmte Systeme zu ändern, wurde dem Personal geraten, die entsprechenden Systeme vollständig vom Internet zu trennen.

Bild: Claroty

Dazu der Kommentar von Dave Weinstein, Chief Security Officer von Claroty

„Dieser Angriffsversuch macht deutlich, dass sich die Wasserinfrastruktur zwar häufig der Aufmerksamkeit der Öffentlichkeit als eine der Hauptquellen von Cyberrisiken entzieht, dass sie jedoch durchaus sowohl für gezielte als auch für nicht gezielte Bedrohungen anfällig ist. Eine Kombination aus Altsystemen, wachsender Konnektivität und einem föderalistischen Management (die meisten Wasserversorgungsunternehmen befinden sich in lokalem Besitz und werden auf lokaler Ebene betrieben) erfordert eine hohe Priorität der Cybersicherheit für den Wasser- und Abwassersektor weltweit.

Wie die meisten OT-Systeme erfordert unsere Wasserinfrastruktur ein hohes Maß an Transparenz und Einblick, um nicht nur latente Bedrohungen im Netzwerk zu erkennen, sondern auch Anomalien, die auf eine Bedrohung hindeuten oder das Netzwerk sogar für unerfahrene Hacker zugänglich machen könnten. Fehlkonfigurationen und bekannte Schwachstellen senken zudem die Barrieren für Angreifer und erhöhen das Risiko für Angriffe. Durch die zunehmende Konvergenz von IT- und OT-Netzwerken müssen Betreiber von Wasserversorgungsanlagen (wie auch von jeder anderen kritischen Infrastruktur) stets wachsam gegenüber möglichen Kompromittierungen von Nutzerkonten sein, die Angreifern einen Zugang zu industriellen Kontrollsystemen gewähren könnten. Hierzu gehören auch Mitarbeiter und Drittanbieter, die aus der Ferne auf die Infrastruktur zugreifen. Gerade in der gegenwärtigen Situation einer weltweiten Pandemie sind die Sicherheit und die Zuverlässigkeit kritischer Infrastrukturen wie Wasser, Strom und Telekommunikation wichtiger denn je.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.01.2020
IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich

datensicherheit.de, 23.07.2019
Cyber-Resilienz in der Energiewirtschaft

datensicherheit.de, 15.07.2019
Kritische Infrastrukturen: 5 Faktoren die das Cyberrisiko erhöhen

[datensicherheit.de, 30.06.2019] Der Verband Freie Ärzteschaft e.V. (FÄ) fühlt sich nach eigenen Angaben im Kontext der gemeinsamen Pressekonferenz mit Medi Geno Deutschland und dem Freien Verband Deutscher Zahnärzte vom 27. Juni 2019 in Berlin in seinen „Befürchtungen rund um den Anschluss der Praxen an die Telematik-Infrastruktur bestätigt“. Das, was sie dabei „von IT-Fachleuten und Juristen, aber auch aus der ärztlichen Praxis“ gehört hätten, sollte alle politisch Verantwortlichen aufrütteln, betont Dr. Silke Lüder. Die stellvertretende FÄ-Bundesvorsitzende und Hamburger Allgemeinmedizinerin fordert demnach vor allem Bundesgesundheitsminister Jens Spahn (CDU) auf, „hier die Reißleine zu ziehen“.

Ärzteschaft unterstützt Digitalisierung – wenn sie sicher ist

„Die Ärzteschaft unterstützt sowohl die Digitalisierung als auch die moderne Kommunikation“, erläutert Dr. Lüder, „aber eben nur, wenn die Kommunikation der Gesundheitsdaten dezentral erfolgt und sicher ist.“
Es sei an der Zeit, Konsequenzen aus den bisherigen Pannen bei der Telematik-Infrastruktur (TI) zu ziehen. „Alles andere wollen und werden wir Ärzte nicht verantworten.“

Telematik im Gesundheitswesen: Weichen neu stellen!

Obwohl zahlreiche Experten seit Monaten vor den Gefahren durch grobe Sicherheitsmängel bei der TI und sinkende Sicherheitsstandards warnten, setze der Gesetzgeber seinen Kurs fort und investiere weitere Milliarden Euro in veraltete und unsichere Technik.
„Damit muss endlich Schluss sein.“ Lüder befürwortet „ein Moratorium für die gesamte Planung der Telematik im Gesundheitswesen, um die Weichen neu zu stellen“. Bundesgesundheitsminister Spahn sei aufgefordert, sein aktuelles Gesetzesvorhaben, das „Digitale Versorgung Gesetz“ (DVG), zu stoppen.

Befürchtungen rund um den Datenschutz traurige Realität

„Die Schilderungen der Fachleute und die Diskussion bei der Pressekonferenz haben uns einmal mehr vor Augen geführt, dass unsere seit Langem geäußerten Befürchtungen rund um den Datenschutz traurige Realität sind“, berichtet Dr. Lüder.
Teilweise würden augenscheinlich sogar Mitarbeiter von Zeitarbeitsfirmen, „die offenbar selbst nicht verstehen, wie die Systeme funktionieren, mit dem Anschluss der Arztpraxen an die TI beauftragt“. Ärzte und Psychotherapeuten, die auf deren Arbeit vertrauen, „weil wir ja selbst nun mal keine Informatiker sind“, erlebten hundertfache Systemabstürze.

Ärztliche Schweigepflicht und DSGVO setzen die Vorgaben

Auch liefen die Kosten für die Arztpraxen aus dem Ruder. „Ganz zu schweigen von der juristischen Haftung, wenn etwas schiefgeht und Patientendaten gehackt werden“, so Dr. Lüder. „Dabei sind wir laut Strafgesetzbuch dazu verpflichtet, die ärztliche Schweigepflicht einzuhalten und aufgrund der Datenschutzgrundverordnung verpflichtet, die Vorgaben zu erfüllen.“
Wie aber solle das gehen, wenn die Gematik „trotz Aufforderung des Bundesdatenschutzbeauftragten keine Datenschutzfolgeabschätzung für die Telematik-Infrastuktur vornimmt“, die dringend geboten sei…

Zu oft Zwang und Sanktionen angedroht

Dr. Lüder beklagt auch den Ton, „der seitens des Gesetzgebers mit dem DVG gegenüber den Ärzten angeschlagen wird“. Den habe es in dieser Form bisher nicht gegeben. Das „Wording“ des geplanten Gesetzes sei eine Missachtung der ärztlichen Freiberuflichkeit.
„An vielen Stellen ist allein von Zwang und Sanktionen die Rede, der Druck auf die Ärzteschaft wird noch einmal erhöht“, kritisiert Dr. Lüder. Es gebe kaum noch Freiwilligkeit für die Praxen und damit „auch kein Recht, über eigene Arbeitsergebnisse wie die gesamte ärztliche Dokumentation zu verfügen. Stattdessen sollen wir gezwungen werden, alles in einer zentralen und nicht kontrollierten ,e-Akte‘ zur Verfügung zu stellen.“

IT-Experten raten, „den Stecker zu ziehen“

Die FÄ-Vizevorsitzende stellt klar: „Nur weil die Ärzte sich bisher nicht zu großen Protesten auf der Straße einfinden, heißt das nicht, dass sie ihren Unmut ob der politischen Drangsalierung nicht zum Ausdruck bringen.“ Im Gegenteil: Nach wie vor sei der Prozentsatz jener Ärzte hoch, die sich dem zwanghaften Anschluss ihrer Praxen an die TI verweigerten – „und zwar ganz egal, welche Honorarabzüge Herr Spahn androht.“
Solange die Daten nicht überprüfbar sicher und Ärzte wie auch Psychotherapeuten in der Haftung seien, „sollten wir eher den Rat der IT-Experten befolgen, die uns auch heute empfohlen haben, den Stecker zu ziehen.“ Dr. Lüder warnt den Gesetzgeber davor, durch immer schärfere Sanktionen Ärzte in die innere Emigration zu treiben. „Wenn das so weiter geht, erwägen ältere Kollegen ein vorzeitiges Aufgeben ihrer Praxistätigkeit. Und junge Kollegen sind von der eigenen Niederlassung desillusioniert. Weder das eine noch das andere kann man wollen, denn beides würde den Ärztemangel weiter verschärfen.“

Weitere Informationen zum Thema:

MEDI GENO Deutschland, Freie Ärzteschaft und Freier Verband Deutscher Zahnärzte, 27. Juni 2019
Gemeinsame Pressemitteilung / Ärzteverbände warnen: Patientendaten für Hacker zugänglich

datensicherheit.de, 12.06.2019
KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 20.05.2019
Cybersicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 24.08.2018
Das Problem der IoT-Sicherheit im Gesundheitswesen

datensicherheit.de, 23.04.2018
Orangeworm: Cyber-Kriminelle nehmen Gesundheitswesen ins Visier

datensicherheit.de, 24.02.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich

[datensicherheit.de, 15.02.2019] Die anhaltende, grenzübergreifende Vernetzung sorgt für komplexer werdende IT-Infrastrukturen von Unternehmen, kritischen Infrastrukturen (Kritis), Verwaltung und Behörden, auf deren Sicherheit und Funktionalität die Gesellschaft angewiesen ist. Der Cyber-Sicherheitsrat Deutschland e.V. sieht in dem Verständnis und damit einhergehend der Kontrolle dieser Systeme den zentralen Bestandteil einer belastbaren Cyber-Sicherheit. Leider stelle diese Kontrolle Staaten aktuell vor immer größere Herausforderungen.

Panel-Diskussion im Vorfeld der „Münchner Sicherheitskonferenz“

Hierzu hat nach eigenen Angaben das internationale Experten-Panel des Cyber-Sicherheitsrates Deutschland im Vorfeld der „Münchner Sicherheitskonferenz“ am 15. Februar 2019 diskutiert.
Die Panellisten waren demnach Larry Clinton (Präsident der Internet Security Alliance), Shinichi Yokohama („Global CISO“ der NTT Holdings), Sergej Epp („Chief Security Officer Central Europe“ von Palo Alto Networks), Andre Losekrug-Pietri (Sprecher der Joint European Disruptive Initiative / JEDI) und Anatoly I. Smirnov (Präsident des „National Institute for Research of Global Security“ in Russland) – unter der Leitung von Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrates Deutschland, hätten diese die Notwendigkeiten erörtert, nationale IT-Infrastrukturen zu verstehen und kontrollieren zu können.

Engagement für Cyber-Sicherheit „made in Germany“

„Produktionsketten, Kommunikationssysteme und Zuliefererketten bestehen mittlerweile aus einer Vielzahl an verschiedenen Komponenten verschiedener Hersteller. Aufgrund unterschiedlicher IT-Sicherheitsstandards sowie mangelnder Transparenz bezüglich einer bedarfsgerechten IT-Wartung, entstehen hier leicht Einfallstore für Cyber-Kriminelle“, warnt Dünn. Deswegen brauche man eine „vertrauensvolle, internationale Zusammenarbeit“, um gemeinsam sichere IT-Produkte zu erarbeiten. Gleichzeitig müssten die hierzulande verfügbaren Potenziale genutzt werden.
Unsere innovativen Cyber-Sicherheitsunternehmen, vor allem auch im KMU- und Startup-Sektor, müssten stärker gefördert werden, um Cyber-Sicherheit „made in Germany“ auf dem Weltmarkt platzieren zu können. Dünn: „Nur mit starken Strukturen können unsere IT-Talente vor Ort gehalten, und die Unabhängigkeit unserer Cyber-Sicherheit von externen Anbietern gestärkt werden.“

Weitere Informationen zum Thema:

Cyber-Sicherheitsrat Deutschland e.V.
Impressionen – Panelveranstaltung im Vorfeld der Münchner Sicherheitskonferenz 2019

datensicherheit.de, 11.02.2019
Cybersecurity Campus Graz: Millioneninvestment in die IT-Sicherheit

[datensicherheit.de, 16.10.2018] Beim weltweit führenden Betreiber für Internetknoten DE-CIX in Frankfurt wurde in den vergangenen Monaten der größte Infrastruktur-Umzug in der Unternehmensgeschichte bewältigt. Insgesamt über 450 Kunden sind vom Standort Frankfurt 7 (im Rechenzentrum von Level3) während des Live-Betriebs in den neuen Standort Frankfurt 12 (bei den Rechenzentrums-Betreibern Equinix und ITENOS) auf den Campus Kleyerstrasse umgezogen. Circa 15 Kilometer Glasfaserkabel sind dabei verlegt, sowie über 40 Prozent des gesamten Datenverkehrs am weltgrößten Internetknoten störungsfrei umgezogen worden.

„Dieser Umzug ist wie eine Operation am ‚offenen Herzen‘, da wir die Kunden mitten im laufenden Betrieb umziehen müssen. Das haben wir ohne Probleme geschafft. Wir nutzen dabei als erster Internet Exchange weltweit einen sogenannten Patch-Roboter, der vorprogrammiert die Verbindungen der Kunden selbstständig umziehen kann“, erklärt Harald A. Summa, Geschäftsführer von DE-CIX. „Mit diesem Umzug stellen wir uns mit neuester Technologie auf das weitere Wachstum beim DE-CIX in Frankfurt ein. Bereits im vergangenen Jahr hat sich die Datenkapazität unserer Kunden vor Ort im Vergleich zu 2016 um über 20 Prozent gesteigert. Wir erwarten einen weiteren massiven Anstieg über die nächsten fünf bis zehn Jahre und sind dafür bestens vorbereitet.“

Bereits in diesem Frühjahr wurden in nur einer Nacht 4 Terabit Anschlusskapazität vom alten Standort DE-CIX 7 zum neuen Standort DE-CIX 12 in Frankfurt migriert. Insgesamt achtzehn Kunden, etwa vierzig 100 GE-Ports und mehrere 10 GE-Ports mit einem Datenverkehr von 1,2 Terabit pro Sekunde wurden umgezogen.

Einsatz neuster Technologien: weltweit erster Patch-Roboter unterstützt Umzug

DE-CIX nutzt bei diesem Umzug als erster Internetknoten weltweit einen sogenannten Patch-Roboter. Dieser Optical Distribution Frame (ODF) ist anstelle eines Standard-Racks und Patch-Panels für die Kundenanbindung im Einsatz und erhöht die Effizienz beim Umzug der Kunden um ein Vielfaches. So kann die Bereitstellung oder das Upgrade eines Ports jetzt innerhalb von wenigen Minuten abgeschlossen werden, ohne dass ein Techniker physisch direkt eingreifen muss.

Weitere Informationen zum Thema:

DE-CIX auf YouTube

Video zum Umzug und dem Patch-Roboter

datensicherheit.de, 11.10.2018
DE-CIX: Internetknoten-Betreiber reicht Verfassungsbeschwerde ein

[datensicherheit.de, 25.10.2017] Branchenvertreter auf dem Gebiet der IT-Sicherheit warnen in aktuellen Stellungnahmen, dass auch Deutschland erneut das Ziel einer Cyber-Attacke werden könnte. So befürchtet ESET globale Attacken auf Unternehmen und Infrastruktureinrichtungen.

Zunächst Angriffe aus Russland und der Urkaine gemeldet

Bisher sollen unter anderem eine russische Nachrichtenagentur, der Flughafen in Odessa, das U-Bahn-Netz in Kiew, sowie das ukrainische Ministerium für Infrastruktur und Finanzen zu den Betroffenen gehören.
Die IT-Security-Experten von ESET verzeichnen nach eigenen Angaben seit dem 24. Oktober 2017 eine weltweite Ausweitung dieser Cyber-Attacken. Auch deutsche Unternehmen könnten nun zur Zielscheibe werden.

Von einer globalen Ausbreitung ist auszugehen

Die russische Nachrichtenagentur Interfax soll am u.a. Opfer des Kryptotrojaners namens „Bad Rabbit“ geworden sein. Neben der Ukraine und Russland seien bereits Computersysteme in der Türkei und Bulgarien betroffen.
„Wir sind uns sicher, dass auch Deutschland im Zuge des laufenden Cyber-Angriffs zur Zielscheibe wird. Auch bei den vergangenen Ransomware-Angriffen gerieten deutsche Unternehmen und Infrastrukturanbieter ins Fadenkreuz der Täter“, so ESET-Sprecher Thorsten Urbanski.

„Watering Hole“-Angriff: Verbreitung per Drive-by-Infektion

ESET hat nach eigenen Angaben den Angriff mit der als „Bad Rabbit“ (auch „Diskcoder.D“) bezeichneten Ransomware in der Ukraine als erstes Security-Unternehmen entdeckt und die Schadsoftware bereits am gestrigen Tag analysiert:
Der Angriff sei über einen sogenannten „Watering Hole“-Angriff per Drive-by-Infektion erfolgt. Hierbei würden populäre Webseiten, die von der Zielgruppe in der Regel häufig besucht werden, mit Schadcode präpariert. Für eine Infektion sei der reine Besuch der Webseite ausreichend – das Herunterladen und Öffnen einer Datei sei dafür nicht notwendig.

Ausbreitung mit globalem Schadenspotenzial

„Bad Rabbit“ habe nach ersten Analysen ebenfalls das Potenzial, global großen Schaden anzurichten.
ESET rät Betroffenen, das geforderte Lösegeld generell nicht zu bezahlen: „Es besteht keine Garantie, dass Nutzer nach erfolgter Lösegeldzahlung auch wirklich ihre Daten zurück bekommen“, so Urbanski. Mit Zahlung des Lösegelds würden zudem die Cybercrime-Strukturen für kommende Angriffe mitfinanziert.

[datensicherheit.de, 19.04.2017] Juristisch betrachtet ist das neue IT-Sicherheitsgesetz schon seit fast zwei Jahren in Kraft, allerdings hatte der Gesetzgeber eine Übergangsfrist vorgesehen, die Unternehmen für zweieinhalb Jahre die Möglichkeit geben sollte ihre Infrastrukturen entsprechend anzupassen. Diese Frist läuft nun in 100 Tagen ab. Nach Erfahrungen von Industrie-Insidern haben längst nicht alle Unternehmen diese Zeit genutzt, um ihre Infrastruktur und sich selbst zu schützen – mithin vor Gefahren sowie vor Strafen und Haftungsansprüchen der Behörden und Dritter.

Schutz und Sicherung nach dem jeweiligen „Stand der Technik“!

Anlässlich des „100-Tage-Countdowns“ zum endgültigen Inkrafttreten des IT-Sicherheitsgesetzes am 26. Juli 2017 kommentiert Andreas Mayer, „Marketing Manger DACH“ bei Zerto:
„In 100 Tagen ist es soweit – die Schonfrist ist vorüber. Mit einem Schlag könnten Tausende deutscher Rechenzentren nicht mehr rechtskonform sein, weil sie keine entsprechenden Maßnahmen ergriffen haben, um ihre IT inklusive der zugehörigen Prozesse vor Störungen zu schützen oder die Störung mit Mitteln zu beseitigen, die dem ,Stand der Technik‘ entsprechen.“
Heute noch aktuelle Ansätze für „Business Continuity“ und „Disaster Recovery“, aufbauend auf synchroner Spiegelung, seien nicht mehr auf dem neuesten Stand, so seine Warnung.

Prozesse für Notallwiederherstellung und „Business Continuity“ prüfen!

Ab dem 26. Juli 2017 würden sich Unternehmen der Gefahr aussetzen, zumindest in einer Grauzone zu agieren: „Synchrone Spiegelung bietet keinen Schutz vor logischen Fehlern und es bedarf neuer Ansätze wie Hypervisor-basierter Replikation, um auf der sicheren Seite zu sein“, erläutert Mayer.
Unternehmen, die sich nicht sicher sind, ob ihre Rechenzentren zukünftig legal sein werden, sollten demnach die nächsten 100 Tage nutzen, indem sie ihre Prozesse für Notallwiederherstellung und „Business Continuity“ genauestens prüfen und nötigenfalls „unbedingt handeln“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheitsgesetz tritt am 25. Juli 2015 in Kraft

datensicherheit.de, 29.07.2015
TeleTrusT: IT-Sicherheitsgesetz nur erster Schritt