[datensicherheit.de, 17.05.2021] Sicherheitsforscher von Check Point möchten alle Internet-Nutzer daran erinnern, „dass ein sorgloser Umgang mit personenbezogenen Daten zu großem Schaden führen kann“. Sie beobachten demnach „eine starke Zunahme von gestohlenen personenbezogenen Daten, die illegal erworben werden können“. Schuld daran seien vor allem Datenlecks großer Web-Plattformen.

Cyber-Kriminelle verkaufen Daten und Informationen über persönliche Dokumente im Darknet

Die Check Point Software Technologies Ltd. warnt in einer aktuellen Stellungnahme vor Cyber-Kriminellen, welche Daten und Informationen über intime Dokumente, wie Führerscheine und Ausweise, im Darknet verkauften. Die Experten möchten nach eigenen Angaben damit in das Bewusstsein rufen, wie unsicher viele Nutzer oft mit ihren personenbezogenen Daten umgehen.
Eine Studie zeige, dass die Zahl der öffentlich bekanntgewordenen Datenlecks im Jahr 2020 verglichen mit 2019 zwar um 48 Prozent gesunken, jedoch das Volumen der dabei gestohlenen Datensätze um 141 Prozent auf 37 Milliarden gestiegen sei.
Dazu passe auch folgende Erkenntnis: „Im April 2021 wurde weltweit bekannt, dass die persönlichen Daten von 500 Millionen Facebook-Nutzern abhandengekommen waren, einschließlich ihrer Telefonnummern, E-Mail-Adressen und Standorte.“ Delikat dabei sei, dass diese Daten „aufgrund einer Sicherheitslücke gestohlen werden konnten, welche Facebook bereits im August 2019 geschlossen haben will“.

Solche Daten können Hackern Zugänge zu Online-Konten preisgeben

Derlei Daten seien bei Hackern sehr begehrt, da sie die Zugänge zu Online-Konten preisgeben könnten. Damit könnten Betrug und Hochstapelei einfach durchgeführt werden. Eine Untersuchung von Privacy Affairs nenne die Preise, die im Darknet für verschiedene Arten von personenbezogenen Daten verlangt würden:
„Kreditkartendaten liegen zwischen 10 und 29 Euro (12 und 35 US-Dollar), gestohlene Online-Banking-Zugangsdaten für Konten mit einem Mindestguthaben von 1.650 Euro (2.000 US-Dollar) bei 54 Euro (65 US-Dollar). Für die Zugangsdaten zu einem ,Gmail‘-Konto werden bis zu 124 Euro (150 US-Dollar) fällig.“

Check Point empfiehlt folgende Maßnahmen, um Personen, ihre Daten und Geräte zu schützen:

• Niemals Anmelde-Daten weitergeben
  Der Diebstahl von Zugängen sei sehr beliebt bei Hackern. Viele Menschen verwendeten dieselben Benutzernamen und Kennwörter für viele Online-Konten, so dass der Diebstahl der Informationen eines einzigen Kontos einem Kriminellen Tür und Tor öffne. „Geben Sie diese Information daher niemals weiter und verwenden Sie Passwörter nie zweimal.“
• Misstrauisch gegen E-Mails zum Zurücksetzen von Kennwörtern sein
  „Wenn Sie unaufgefordert eine E-Mail zum Zurücksetzen des Passworts erhalten, besuchen Sie die Webseite direkt, aber klicken sie niemals auf den Link in der Nachricht.“
• Programme immer aktualisieren
  Hacker fänden oft Löcher in Anwendungen oder sogar Sicherheitslösungen, weil sie Schwachstellen beobachteten und versuchten, diese schnell ausnutzen. Natürlich suchten viele Entwickler ebenfalls dauerhaft nach Schwachstellen und stellten Updates oder Patches zur Verfügung. Aus diesem Grund sei eine der besten Schutzmaßnahmen gegen diese Angriffe die ständige Aktualisierung aller Programme auf die aktuelle Version.
• Zwei-Faktor-Authentifizierung einführen
  Dieses Prinzip zwinge Benutzer dazu, ihre Identität auf mehrere Arten zu verifizieren, bevor sie Zugang zu einem System erhielten, wie einen SMS-Code oder eine Bestätigung über eine App auf dem Smartphone. Das Kennwort allein reiche nicht mehr. „Auf diese Weise können sich Cyber-Kriminelle keinen Zugang mehr über den bloßen Diebstahl des Benutzernamens und Passworts verschaffen.“
• Moderne Sicherheitslösungen einsetzen
  Die meisten Ransomware-Angriffe könnten tatsächlich rechtzeitig erkannt und beseitigt werden. Jedoch müssten entsprechende Sicherheitslösungen vorhanden sein. „Ein konsolidiertes System von Sicherheitslösungen, die sogar fortschrittliche Zero-Day-Attacken erkennen, bietet sich als umfangreiche IT-Sicherheitsarchitektur an.“

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2020
Top 5 der Phishing-Angriffe in Deutschland

PRIVACY Affairs, Miguel Gomez, 09.05.2021
Dark Web Price Index 2020

INSIDER, Aaron Holmes, 03.04.2021
533 million Facebook users‘ phone numbers and personal data have been leaked online

Unternehmen müssen jetzt handeln

Von unserem Gastautor Oliver Lobschat, CTT Computertechnik AG

[datensicherheit.de, 19.10.2016] Nach vierjähriger Verhandlung wurde im Dezember 2015 die endgültige Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Unternehmen bleiben jetzt weniger als zwei Jahre Zeit, sich bis zum Inkrafttreten der Verordnung am 25. Mai 2018 vorzubereiten. Unternehmen, die die Entwicklungen mitverfolgt haben, verfügen über einen gewissen Vorsprung. Alle anderen sind gut beraten, sich schnellstmöglich mit der DSGVO zu befasse, denn künftig gelten beim Datenschutz strengere Vorschriften. Mit der EU-DSGVO sollen insbesondere Nutzerrechte gestärkt werden.

Unternehmen müssen den Umgang mit personenbezogenen Daten überarbeiten

Demnach beinhaltet die neue EU-Norm Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung sowie der Nutzung personenbezogener Daten. Dadurch hat sie praktisch Auswirkungen auf alle Unternehmen, die Waren oder Dienstleistungen in der EU anbieten und Daten von Ansprechpartnern speichern. Je nach Größe des Unternehmens beanspruchen die Anpassungsvorgänge an die EU-DSGVO mehr oder weniger Zeit. Für Sie geht es vor allem darum, ihre bisherige Art im Umgang mit personenbezogenen Daten zu überarbeiten, um sich an die strengeren Anforderungen anzupassen.

1. Gründe für eine neue EU-Datenschutzverordnung

Im Jahr 1995 verabschiedete die Europäische Union die Datenschutzrichtlinie (DSR), die bis heute ambitionierteste Datenschutzregelung, die allerdings von Beginn an problematische Lücken aufwies. Diese zahlreiche Aufsichtsbehörden und Gerichtsurteile des Europäischen Gerichtshofes ausgeweitet. So war es den Mitgliedsstaaten der EU möglich, auf Basis der DSR eigene Gesetze auf den Weg zu bringen. Das führte zu ersten Uneinigkeiten bei der Auslegung und praktischen Anwendung der DSR innerhalb der EU und widersprach letztlich der Absicht, eine universale Rechtsnorm zu schaffen.
Ein zusätzliches Problem der DSR ergab sich aus dem stetigen Informationsanstieg. Mit der Expansion des Internets sind Daten mittlerweile auf Milliarden von Geräten gespeichert und abrufbar. Durch die unterschiedliche Auslegung hatte sich jeder Mitgliedsstaat eigene Spielregeln geschaffen, mit denen er darüber bestimmen konnte, was persönliche Daten sind und wie diese geschützt werden können. Darüber hinaus gab es in der EU nun Länder, die zu begehrten Standorten für IT-Zentren internationaler Konzerne wurden, da hier die Auflagen des Datenschutzes besonders schwach ausfielen. Mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVOO), die ab Mai 2018 in Kraft tritt, sollen wieder einheitliche Vorgaben und Definitionen für den Datenschutz in der EU gelten.

2. Die Neuerungen der EU-DSGVOO im Überblick
Um den Unklarheiten der vorhergehenden DSV entgegenzuwirken, sind persönliche Daten in der EU-DSGVOO klar definiert – ein Novum in der Geschichte des europäischen Datenschutzes.

Nutzerrechte sollen gestärkt werden

Bei den persönlichen Daten macht die EU-DSGVO klar, dass es sich hierbei um mehr als nur offensichtliche Identifizierungsmerkmale handelt. Auch wenn eine Person direkt oder indirekt durch womöglich verwendete Mittel von irgendwem identifiziert werden kann, handelt es sich um persönliche Daten, sogenannte Quasi-Identifizierungsmerkmale. Beispielsweise dann, wenn Geo-Daten erhoben werden, die in Kombination mit anderen Daten die Darstellung eines Bewegungsmusters erlauben.

Darüber hinaus wird das Recht des Nutzers auf Vergessen gestärkt, mit dem es leichter werden soll, einmal über ihn veröffentlichte Informationen vollständig zu löschen.

Datenverarbeitung unterliegt neuen Pflichten

Für Datenverarbeiter einschließlich Cloudanbieter gelten mit der EU-DSGVO neue Verpflichtungen. So müssen Cloudanbieter die Sicherheit von Daten wahren, die ihnen durch einen Datenverantwortlichen übertragen wurden. Die Idee dahinter ist, dass Verbraucher einen Datenverarbeiter nun direkt auf Schäden verklagen können.

Mindestalter für die Einwilligung der Datenerhebung

Bei der Festlegung des Mindestalters lässt die EU-DSGVO wie die alte DSR erneut Spielräume. Somit können die Mitgliedsstaaten selbst festlegen, ab welchem Alter Kinder und Jugendliche sich rechtswirksam auf Webseiten anmelden können. In einigen EU-Ländern dürfen Kinder beispielsweise erst ab 16 Jahren ohne Einwilligung der Eltern einen Facebook-Account eröffnen.

Ab Mai 2018 gilt das Marktortprinzip

Das neu geschaffene Datenschutzrecht gilt verbindlich für alle Unternehmen, die auf dem europäischen Markt tätig sind. Dabei spielt es keine Rolle, ob sich der Firmensitz innerhalb der EU befindet. Zudem ist es auch unerheblich, wo die Datenverarbeitung stattfindet. Denn jede Verarbeitung personenbezogener Daten von Nutzern aus der EU unterliegt der EU-DSGVO.

3. Was passiert, wenn sich Unternehmen nicht daran halten?

Mit der EU-DSGVO etabliert die EU ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens bei einer Pflichtverletzung schrumpfen lässt. So kann eine Firma mit einem Bußgeld von bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr belegt werden, sollte sie gegen die Richtlinien der EU-DSGVO verstoßen. Die maximale Geldbuße beträgt 20 Millionen Euro. Die Schwere des Verstoßes ist nach Bemessungskriterien eingeteilt und in Artikel 83 unter anderem definiert nach:

• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
• Art und Schwere sowie Dauer des Verstoßes
• Berücksichtigung früherer Verstöße
• Kategorien personenbezogener Daten

Nach Artikel 55 kann jede Aufsichtsbehörde im Hoheitsgebiet des eigenen Mitgliedsstaates ein Bußgeld bei nachgewiesenen Verstößen verhängen. Diese wiederum können sowohl durch die Überwachungstätigkeiten von Behörden als auch durch Kunden oder Mitarbeiter, die sich bei der Aufsichtsbehörde beschweren, aufgedeckt werden.

4. Wie sich Unternehmen auf die Änderungen vorbereiten können

In erster Linie sollten Unternehmen keine vorschnellen Handlungen vollziehen, sondern besonnen und ruhig an die Vorbereitungen herangehen. Auch wenn die EU-DSGVO erst 2018 in Kraft tritt, sollte die Umstellung zeitnah erfolgen. Denn der Aufwand ist nicht zu unterschätzen. Da jedes Unternehmen unterschiedlich ist, wäre die Anwendung eines allgemeinen Maßnahmenkatalogs kaum möglich. Dennoch gibt es vier zentrale Eckpunkte, an denen sich Unternehmen orientieren können.
Dabei ist die Bildung einer Projektgruppe empfehlenswert, die sich mit den Konsequenzen der EU-DSGVO für das eigene Unternehmen befasst. Hierbei geht es darum, Anpassungsmaßnahmen herzuleiten und diese Schritt für Schritt auf den Weg zu bringen, sodass die Maßnahmen noch vor Mai 2018 abgeschlossen sind.

Corporate Governance

Die Governance beinhaltet Richtlinien, nach denen im Unternehmen klar definiert ist, welche Personen auf persönliche Daten im Dateisystem zugreifen dürfen und welche nicht. Dabei geht es vor allem darum, nur die Mitarbeiter zu benennen, die tatsächlich mit persönlichen Daten arbeiten müssen. Zudem sind regelmäßige Zugriffskontrollen zu empfehlen, insbesondere bei Stellenwechseln.

Datenklassifizierung

Unternehmen müssen künftig wissen, wo in ihrem System persönliche Daten gespeichert werden. Dabei geht es auch um unstrukturierte Formate wie Präsentationen oder Tabellen. Denn nur welches Unternehmen weiß, wo die Daten gespeichert sind, kann künftig Löschungsanträgen von persönlichen Daten ausführen.

Speicherfristen

Aufgrund der Beschränkung von Datenaufbewahrungsfristen müssen Unternehmen wissen, wo, wann und zu welchem Zweck Daten erfasst wurden. Persönliche Daten sind regelmäßig zu kontrollieren und zu prüfen, um über deren weitere Speicherung entscheiden zu können.

IT-Überwachung

Unternehmen sind nach der EU-DSGVO künftig verpflichtet, Verstöße unverzüglich zu melden. Eine lückenlose Überwachung des Datenschutzes gehört damit künftig zu den Aufgaben eines jeden Unternehmens. Sie müssen in der Lage sein, unerlaubte Zugriffe oder gar den Export von Daten schnell zu erkennen, ansonsten drohen empfindliche Bußgelder.

5. Fazit: Eine sorgfältige Vorbereitung ist wichtig

Die EU-Datenschutzverordnung gilt ab Mai 2018. Somit bleiben Unternehmen weniger als zwei Jahre Zeit, sich intensiv mit den Auswirkungen der neuen Vorgaben zu befassen. Eine genaue Analyse zum IST-Stand der internen Datenverarbeitung sollte daher die Grundlage sein, um den Fahrplan bis 2018 festzuglegen.

Bild: CTT AG

Oliver Lobschat

ist promovierter Anglist, der sich bereits während seines Studiums intensiv mit Linux, Hard- und Software beschäftigte.
Seit 2012 ist er Content Manager bei der CTT Computertechnik AG und zuständig für den Bereich Content Management,
Redaktion sowie Presse- und Öffentlichkeitsarbeit.

E-Mail: lobschat [at] ctt [dot] de
Website: www.ctt.de

Datenschutzindikator vom TÜV SÜD lässt noch offene Schwachstellen erkennen

[datensicherheit.de, 13.07.2016] Die meisten Unternehmen speichern eine Menge personenbezogener Daten, die – sobald der Zweck, für den sie erhoben wurden, erfüllt und die Aufbewahrungsfrist abgelaufen ist – gelöscht werden müssen. Die Auswertung des Datenschutzindikators (DSI) zeigt nach aktuellen Angaben des TÜV SÜD, dass bereits 84 Prozent der Unternehmen personenbezogene Daten vor ihrer Entsorgung datenschutzgerecht vernichten. Allerdings fehle bei rund 40 Prozent ein Datenträger-Vernichtungskonzept.

„Karteileichen“ können teuer werden!

Mit der Sperrung oder Löschung von nicht länger benötigten, personenbezogenen Daten sollten sich Unternehmen in jedem Fall auseinandersetzen, rät der TÜV SÜD: „Das Bundesdatenschutzgesetz gibt vor, dass personenbezogene Daten unter anderem zu löschen sind, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist“, erklärt hierzu Rainer Seidlitz, Datenschutzexperte der TÜV SÜD Sec-IT GmbH.
Blieben solche Daten als „Karteileichen“ auf den Servern liegen und würden nachweislich nicht gelöscht oder – sofern zulässig – gesperrt, könnten für Unternehmen empfindliche Bußgelder in Höhe von bis zu 300.000 Euro entstehen.

Datenträger-Vernichtungskonzept an der Norm DIN 66399 orientieren!

Immerhin gäben 61 Prozent der befragten Unternehmen an, über ein Datenträger-Vernichtungskonzept für Altdatenträger mit personenbezogenen Daten zu verfügen, um die datenschutzrechtlichen Erfordernisse zu erfüllen. Bei personenbezogenen Daten in Form von Akten, Schriftstücken, Protokollen, Briefen oder anderen Papierdatenträgern würden sogar 84 Prozent vor der Entsorgung für eine datenschutzgerechte Vernichtung sorgen.
In jedem Fall sei es für alle Unternehmen sinnvoll, ein Datenträger-Vernichtungskonzept zu haben, welches entsprechende Vorgaben enthält und als konkrete Verwahrungsanweisung als auch als allgemeines Regelwerk dienen kann. Mitarbeiter könnten sich so bei Fragen an festgeschriebene Konformitäten halten. Für die Erstellung dieses Konzeptes könnten sich Unternehmen an der Norm DIN 66399 orientieren. Diese behandele Prozessschritte und Anforderungen an Maschinen rund um die Vernichtung von Datenträgern. Zudem umfasse sie digitale Dokumente und die damit verbundenen, neuen Sicherheitserfordernisse.

TÜV SÜD DSI zeigt Verbesserungspotenzial auf

Der „TÜV SÜD DSI“ wurde im Juli 2014 von der TÜV SÜD Sec-IT GmbH, unterstützt durch die LMU München, vorgestellt. Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können online an der Erhebung der Datenschutzindikators teilnehmen.

Abbildung: TÜV SÜD

Datenträgervernichtung: Prüfung, Sperrung, Löschung

Weitere Informationen zum Thema:

TÜV SÜD
TÜV SÜD Datenschutzindikator