Datenklau erfolgreich vermeiden und bekämpfen

Über viele Jahre hinweg berichteten Medien immer wieder von Datenschutzverletzungen – selbst bei den ganz Großen wie ebay oder Yahoo! Und sogar Facebook steckt aktuell in der schlimmsten Krise seit Firmengründung. Die User sind besorgt und das zu recht. Uber war kürzlich sogar ein schwerwiegender Vorfall von Datenklau bekannt, welcher aber trotz bestehender Meldepflicht nicht angezeigt wurde. Das Grundvertrauen der Verbraucher ist erschüttert.

Der Zusammenhang zwischen Datenschutz und Verbraucherschutz scheint rein juristisch betrachtet eher als Neuerung. Erst im Februar  2016 trat das Gesetz zu Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft. Damit wird das Unterlassungsklagengesetz auf bestimmte datenschutzrechtliche Verstöße von Unternehmen erweitert. Im Klartext: Datenschutz ist nun ein Verbraucherschutzrecht. Allerdings ist nicht jeder einzelne Verbraucher anspruchsberechtigt sondern nur Interessenvertretungen, wie Verbraucherschutzorganisationen und Verbände. Sie sind es, die im Falle eines Verstoßes juristisch nach dem Unterlassungsklagengesetz vorgehen können.

Verbraucherdatenschutzrecht in der EU-Datenschutz-Grundverordnung
Was bringt es nun den Verbrauchern, dass juristisch vieles abgesichert ist? Wie sehen die Rechte der Verbraucher an ihren personenbezogenen Daten betrachtet im Licht der EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) aus? Was ändert sich für den Einzelnen beim Schutz seiner personenbezogenen Daten?

Man kann sagen: Zahl, Art, Ausmaß und der Kreis der von Datenschutzverletzungen Betroffenen haben das öffentliche Bewusstsein verändert. Neben IT-Sicherheitsexperten, Juristen und Unternehmen diskutieren gerade in Deutschland verstärkt die Verbraucher, welche Veränderungen die EU-DSGVO konkret mit sich bringt. Trotz einiger Bedenken wie sich die teilweise doch recht vagen Vorgaben der DSGVO konkret umsetzen lassen, werden die kommenden Regulierungen grundsätzlich positiv aufgenommen.

Mehr Kontrolle dank DSGVO
Die EU-DSGVO enthält etliche Regelungen, die den Verbraucherschutz innerhalb der EU stärken. Unternehmen haben inzwischen riesige Mengen an personenbezogenen Daten gespeichert, die sie Dank intelligenter Systeme und Analyse-Tools immer besser und schneller auswerten, aber auch zueinander in Beziehung setzen können. Das wiederum ermöglicht es, umfassende Persönlichkeitsprofile zu erstellen und auf Vorlieben und Verhaltensweisen von Verbrauchern zurückzuschließen. Ein Thema, das derzeit bereits verschiedene Gutachten beschäftigt, weil hier gegebenenfalls Persönlichkeitsrechte verletzt werden. Privacy bei Design und Privacy bei Default sollen Abhilfe schaffen.

Wenn aber bei einem Datenschutzvorfall bereits personenbezogene Daten gestohlen wurden, was dann? Wir empfehlen: vorbeugen durch Information und das Anwenden der richtigen Mechanismen. Damit Sie weder vom Datenklau betroffen sind, noch sich unwissentlich strafbar machen.

Unsere besten Wünsche für das neue Jahr 2018

„Die Zukunft soll man nicht voraussehen, sondern möglich machen.“ (Antoine de Saint-Exupéry, 1900-1944)

Wir wünschen Ihnen ein gesundes, erfolgreiches neues Jahr und versprechen Ihnen sehr gern, als kompetenter IT-Partner hilfreich an Ihrer Seite zu sein. Alles Gute für 2018!

 

Wir wünschen Ihnen frohe Festtage!

Wir wünschen allen Geschäftspartnern wunderschöne Festtage im Kreise ihrer Lieben. Genießen Sie die besinnliche Auszeit und lassen Sie doch einfach mal die Seele baumeln.

Das NetComData Team ist zwischen den Jahren wie gewohnt in einer Notbesetzung für Sie da.

Neuer Erpressungstrojaner bedroht deutsche Firmen

Deutschland wird von einem neuen Trojaner befallen, der es auf die Personalabteilungen abgesehen hat und Lösegeld erpresst. Der in Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

Laut einem Bericht der Sicherheitsfirma G-Data handelt es sich bei Ordinypt um einen Wiper-Trojaner, der vorgibt, wichtige Daten auf dem Rechner des Opfers zu verschlüsseln. Für die Opfer sieht also erst mal alles so aus, als sei das System von einer Ransomware befallen. Allerdings machen sich die Angreifer wohl nicht die Mühe, Daten zu verschlüsseln sondern löschen stattdessen deren Inhalt – das geforderte Lösegeld zu zahlen ist also sinnlos.

Ähnlich wie damals beim Goldeneye-Angriff nutzen die Drahtzieher hinter Ordinypt (auch bekannt als HSDFSDCrypt) sehr sauber verfasste Phishing-Mails in nahezu fehlerfreiem Deutsch, die sie mit Vorliebe direkt an personalverantwortliche Personen in deutschen Firmen schicken. Interessanterweise ist der vermeintliche Erpressungstrojaner in Delphi geschrieben – was eine Programmiersprache für Malware angeht eine eher ungewöhnliche Wahl.

Anders als bei der Mischa/Petya/Goldeneye-Familie scheinen es die Kriminellen auch nicht darauf angelegt zu haben, sich mit gutem Branding einen Namen in der Szene zu machen. Der Trojaner ist eher unauffällig und legt für jedes Opfer-System eine eigene Bitcoin-Adresse an. Die Dateinamen der befallenen Dateien werden anscheinend zufällig vergeben.

G-Data geht davon aus, dass der Verfasser der Erpressernachricht des Trojaners ein deutscher Muttersprachler ist. Das jedes Mal eine neue Bitcoin-Adresse angelegt wird, soll es wohl erschweren, die Zahlungen in der Bitcoin-Blockchain zu verfolgen. Ob und wie der Trojaner die Adressen und dazugehörige geheime Schlüssel an die Erpresser übermittelt, ist momentan unklar. Auch ist nicht bekannt ob die Urheber der Malware mit ihrem Schadcode Geld scheffeln wollen, oder ob es sich ähnlich wie im Fall NotPetya vorrangig um einen Angriff handelt, der einen möglichst großen Schaden anrichten soll.

Nach bisherigen Erkenntnissen zielt Ordinypt nur auf Windows-Rechner. Ob die Malware auf Windows-10-Rechnern erfolgreich zur Ausführung gebracht werden kann, ist momentan ungewiss.

WannaCry or WannaBePrepared – Vortrag am 14.09.17

Herr Prof. Dr. Arno Wacker wird während des 5. NetComData IT-Security Day bezüglich aktueller Gefahren durch sogenannte Erpressungstrojaner, auch bekannt als Kryptotrojaner, sensibilisieren. Dafür wird in seinem Vortrag live demonstriert, wie ein bekannter Vertreter dieser Gattung, nämlich WannaCry, arbeitet und sich verbreitet. Abgerundet wird der Vortrag mit einer Diskussion über allgemeine und effektive Gegenmaßnahmen.

Das sollten Sie nicht verpassen. Wir bieten Ihnen fachmännisches Networking mit interessanten Gästen aus der IT-Region Nordhessen. Im Tagungszentrum im Haus der Kirche (Wilhelmshöher Allee 330, Kassel) erwarten Sie von 9 – 15 Uhr noch weitere hochkarätige Fachvorträge. Erfahren Sie hier mehr und melden Sie sich gleich an. Die Teilnehmeranzahl ist begrenzt.

 

 

5. NetComData IT-Security Day am 14.09.17

Am Do., 14. September 2017 findet unser beliebter NetComData IT-Security Day zum 5. Mal in Kassel statt. Wir bieten Ihnen fachmännisches Networking mit interessanten Gästen aus der IT-Region Nordhessen. Unser geschätzter Herr Prof. Dr. Arno Wacker wird auch wieder dabei sein.

Im Tagungszentrum im Haus der Kirche (Wilhelmshöher Allee 330, Kassel) erwarten Sie von 9 – 15 Uhr hochkarätige Fachvorträge und folgender Ablauf:

  • 9.00 – 9.30 h Einlass / Registrierung
  • 9.30 – 9.45 h Begrüßung durch Berhard Wietis/ Geschäftsführer NetComData
  • 9.45 – 10.45 h Prof. Dr. Arno Wacker: „Penetration Testing“. Der Fokus wird hierbei auf Kryptotrojaner gelegt, insbesondere WannaCry.
  • 10.45 – 11.00 h Kaffeepause
  • 11.00 – 12.00 h Hans-J. Giegerich: „Security 4.0 – Sicherheit auf dem Weg zu Industrie 4.0“
  • 12.00 – 13.00 h Mittagpause
  • 13.00 – 13.30 h Severin Kopinski/ Securepoint: „Wie kann ich mein Unternehmen vor Gefahren aus dem Internet schützen?“. Mit einfachen Mitteln kann ein Unternehmensnetzwerk vor Fremdzugriff geschützt werden. Dabei wird aufgezeigt, warum untätig sein auf Dauer nicht gut gehen wird und eine echte Gefahr darstellt. Jede Branche und Unternehmensgröße ist hiervon betroffen und kann individuell sowie nachvollziehbar abgesichert werden.
  • 13.30 – 14.00 h Ron Wieland: „Ausspioniert, ein Tag aus der Familie Maier“
  • 14.00 – 14.45 h Keynote-Speaker Sven Enger: „Die Veränderungen der Digitalisierung“. Das Wort Digitalisierung ist in aller Munde, denn ganze Lebensbereiche und Geschäftsfelder sollen durch sie verändert werden. Deshalb wird über die Veränderungen durch die Digitalisierung inzwischen viel geredet, aber immer noch zu wenig nachgedacht.
  • 14.45 – 15.00 h Abschlussdiskussion

Gern dürfen Sie sich jederzeit anmelden, denn die Teilnehmeranzahl ist begrenzt. Eine Anmeldemail mit Nennung der Namen aller Teilnehmer/innen ist ausreichend. Bitte informieren Sie Ellen Heimerich, Fon (05 61) 99 888 -0.

Neuer Dienst macht geknackte Passwörter auffindbar

Der Sicherheitsforscher Troy Hunt hat seinen Passwort-Prüfdienst „Have I Been Pwned“ erweitert: Man kann dort nun nicht nur nach geknackten Mailadressen beziehungsweise Benutzernamen, sondern nun auch direkt nach geknackten Passwörtern suchen. Der Dienst beantwortet die Frage, ob ein bestimmtes Passwort in einem bekannten Datenleck enthalten war. Dem Dienst liegt aktuell ein Datensatz von 306 Millionen Passwörtern aus diversen Lecks zu Grunde.

Welche Nutzerkonten zu dem Passwort gehören, hält der Sicherheitsforscher geheim um die Nutzer zu schützen, die das Passwort verwendet haben. Der Forscher gibt außerdem zu bedenken, dass die Tatsache, dass er ein Passwort nicht in seinem Datensatz hat, nicht automatisch bedeutet, dass es sicher ist.

Unsere Grundregel lautet: regelmäßig die Passwörter ändern und für jeden Dienst ein anderes, mit zufälliger Reihenfolge von mindestens 12 Ziffern verwenden. Und natürlich einen sehr guten Antivirenschutz. Hier helfen wir gern weiter. Denn jeder Admin ist nur so sicher, wie es seine Mitarbeiter/innen sind.

Drei Sicherheitslücken klaffen in Outlook

Sofern Sie Outlook 2007, 2010, 2013 oder 2016 installiert haben, stellen Sie bitte umgehend sicher, dass die aktuellen Sicherheitsupdates installiert sind: In den E-Mail-Komponenten der Outlook-Versionen klaffen nämlich drei Sicherheitslücken. Microsoft verteilt die als „wichtig“ eingestuften Aktualisierungen automatisch über Windows Update. Aktuell soll es keine Übergriffe geben. Das Notfall-Team des BSI CERT Bund stuft das Risiko aber als „hoch“ ein.

Angreifer können die drei Schwachstellen nur ausnutzen, wenn sie ein Opfer dazu kriegen, eine präparierte Datei im E-Mail-Anhang zu öffnen. Ist das der Fall, können Angreifer Speicherfehler provozieren und eigenen Code ausführen (CVE-2017-8663). Außerdem sollen sie Sicherheitsmechanismen umgehen und so Befehle auf gefährdeten System ausführen können (CVE-2017-8571). Darüber hinaus sollen Angreifer durch das Ausnutzen der Lücke mit der Kennung CVE-2017-8572 Speicherinformationen auslesen können.

Unser Support hilft Ihnen bei Bedarf gern weiter.

Arbeitnehmer nicht mit Keylogger überprüfen

Arbeitgeber dürfen Keylogger nicht auf Arbeitsplatz-PCs einsetzen, wenn kein Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung durch einen konkreten Arbeitnehmer besteht. Wird dies dennoch realisiert, verstößt die Nutzung der Überwachungssoftware gegen § 32 Abs. 1 Bundesdatenschutzgesetz. (AZ 2 AZR 681/16).

Dies ist das Ergebnis einer Rechtssprechung des Landesarbeitsgerichtes Hamm. In dem konkreten Fall ging es um einen Web-Entwickler in einer Firma, die auf allen Mitarbeiter-PCs Keylogger installierte und die Belegschaft per E-Mail darüber informierte. „Hiermit informiere ich Euch offiziell, dass sämtlicher Internet Traffic und die Benutzung der Systeme der Company mitgelogged und dauerhaft gespeichert wird. Solltet Ihr damit nicht einverstanden sein, bitte ich Euch mir dieses innerhalb dieser Woche mitzuteilen.“ Da niemand Widerspruch einlegte, ging die Firma davon aus, dass der Einsatz von Keylogger-Software akzeptiert wäre.

Bei Auswertung der Logfiles wurde entdeckt, dass ein Mitarbeiter den Firmen-PC auch privat nutzte. Er wurde fristlos entlassen. Insgesamt hatte er drei Stunden seiner Anwesenheitszeit für die Programmierung eines Computerspiels genutzt und 10 Minuten pro Tag die Auftragsverarbeitung des väterlichen Unternehmens gewartet. Der Mitarbeiter machte vor Gericht geltend, nur in den Arbeitspausen programmiert zu haben.

Das Landesarbeitsgericht Hamm entschied, dass Einsatz eines Keyloggers zur Arbeitskontrolle unverhältnismäßig gewesen sei, weil es mildere Mittel zur Überwachung der Arbeitsleistung gibt. Es war daher unverhältnismäßig. Auch die Tatsache, dass der Einsatz der Software per E-Mail angekündigt wurde und niemand Einwände hatte, sei unerheblich, da Schweigen keine Zustimmung sei. Zudem hätte der Arbeitgeber genauer über den Zweck der Datenerhebung wie dem Umfang der Protokollierung informieren müssen.

Das Bundesarbeitsgericht bestätigte das Urteil. Es sah im Einsatz eines Keyloggers eine Verletzung des Rechtes auf informationelle Selbstbestimmung.

Sind Ihre Zugangsdaten auch ausgespäht?

Das Bundeskriminalamt (BKA) hat in einer Underground-Economy-Plattform eine riesige Sammlung ausgespähter Zugangsdaten gefunden. Mit einem Tool können Sie hier überprüfen, ob Ihre Daten kompromittiert sind.

Wahrscheinlich über verschiedenste Hacker-Angriffe und über einen längeren Zeitraum haben Mitglieder einer Underground-Plattform eine riesige Sammlung an Zugangsdaten zusammengetragen. Wie das BKA meldet, sind mehr als 500 Millionen E-Mail-Adressen samt Passwörtern verschiedener Anbieter betroffen. Die aktuellsten Datensätze stammen wahrscheinlich aus dem Dezember 2016.

Sollten Ihre Daten betroffen sein, empfehlen wir dringend die Passwörter zu ändern und dabei auch weitere genutzte Dienste zu berücksichtigen. Generell sollte man für Dienste und Portale im Internet immer unterschiedliche Zugangspasswörter verwenden.