Kategorie-Archiv: Datenschutz Datensicherheit Lexikon

In diesem Lexikon beschreiben wir Ihnen auf verständliche Weise die Fachausdrücke, die Ihnen im Datenschutz und in der Datensicherheit immer begegnen.

Gericht verbietet Einsatz von Like-Button. HUBIT hat eine Alternative

die Alternativ zum Like-Button
die Alternativ zum Like-Button

Datensammler Facebook und Co. – auch über die eigenen Seiten hinaus

Wissen wir eigentlich, wie Facebook so funktioniert? Klar, inzwischen navigieren wir uns alle relativ firm durch unsere Chronik, kommentieren, teilen und liken verschiede Beiträge. Nur so funktioniert Facebook, nur so macht es – auf eine zugegeben noch immer etwas beunruhigende Art – Spaß. Facebook und andere Social-Media-Kanäle gehören inzwischen so sehr zu der Online-Welt dazu, dass „Like“-Buttons auch auf anderen Webseiten eingebunden werden. Aber was passiert eigentlich, wenn wir dann auf „Like“ klicken? Innerhalb Facebooks wird das Surfverhalten der Nutzer analysiert. Auf Webseiten anderer Unternehmen sammelt Facebook, wir haben es bereits vermutet, ebenfalls Nutzerdaten. Und zwar bereits beim Aufrufen dieser Seiten – nicht erst dann, wenn es tatsächlich zu einem „Like“ kommt!

<h2>Problematisch: Datenweitergabe ohne ausdrückliche Zustimmung</h2>

Problematisch ist diese Situation deshalb, weil die Besucher einer Webseite der Weitergabe ihrer Daten an Social-Media-Kanäle nicht ausdrücklich zugestimmt haben, und oft nicht einmal davon wissen: Oder war Ihnen bewusst, dass beispielsweise sogar Ihre IP-Adresse, Ihr Betriebssystem, die Spracheinstellungen sowie der von Ihnen genutzte Browser und viele weitere Daten automatisch an Facebook übermittelt werden? Keine schöne Vorstellung, da wir ja wiederum wissen, dass wir eben nicht wissen, was Facebook mit den Daten so anstellt.

Verbraucherschutzzentrale NRW gegen „Peel & Cloppenburg“

Die Verbraucherzentrale NRW hat sich schließlich dieser Sache angenommen und insgesamt sechs Unternehmen angemahnt. Diese haben die Social-Media-Plugins auf Ihren jeweiligen Webseiten integriert, jedoch nicht darauf hingewiesen, dass die Nutzerdaten an die jeweiligen Anbieter übertragen werden. Gegen „Peek & Cloppenburg“ hat die Verbraucherzentrale außerdem Klage eingereicht – mit Erfolg! Das Landgericht Düsseldorf hat nämlich weitgehend für die Kläger entschieden. Unternehmen müssen nun diese Datenübertragung offenlegen. Auf Facebook verweisen und sich aus der Verantwortung zu ziehen, gilt nun nicht mehr. Im Falle „Peek & Cloppenburg“ können Nutzer jetzt auf der Webseite des Modeunternehmens die Social-Media-Dienste selbst aktivieren und damit bewusst der Weitergabe der Daten zustimmen.

<h2>Sicheres liken und teilen mit dem Datenschutz-Plugin von HUBIT!</h2>

Wer weiterhin Social-Media-Plugins auf seinen Webseiten anbieten möchte, den stetigen Datenaustausch mit Facebook und Co. aber nicht wünscht, sollte auf sichere Datenschutz-Plugins von HUBIT setzen. Dank des Plugins wird statt des „Like“-Buttons eine Ersatzgrafik dargestellt. Erst bei einem Klick auf diese Grafik werden die Inhalte der Social-Media-Kanäle geladen. Und erst dann werden die Daten an Facebook, Google+ oder Twitter übermittelt. Eine einfache Lösung für alle Seiten – und aus datenschutzrechtlicher Sicht wirklich sicher! Interessiert? Weitere Informationen finden sich unter http://www.mit-sicherheit-teilen.de.

 

Wörterbuch-Attacke

Bei einer Wörterbuch-Attacke werden vielfach genutzte  Benutzernamen, wie zum Beispiel „Admin“, „administrator“ oder „ich“ getestet. Als Passwort werden die beliebtesten Passwörter getestet. Beliebte Passwörter sind: „test123“, „hallo“ oder „passwort“ und noch viele viele mehr. Weiterhin werden elektronische Wörterbücher genommen und jedes Wort wird als Passwort getestet. Auch eine Kombination von Wörter wird getestet.

Wie schützte ich mich gegen eine Wörterbuch-Attacke?

Benutzen Sie nur sichere Passwörter. Die Passwörter sollten mindestens 8 Zeichen lang sein – besser 12 Zeichen. Dass Passwort sollte nicht aus Wötern bestehen. Nutzen Sie Zahlen, Buchstaben (große und kleine) und Sonderzeichen.

Das ist unsicheres Passwort: P@ssw0rt

Das ist ein sicheres Passwort: MHsSigbuhma1V.

Wie kann man sich ein solches Passwort merken?
Überlegen Sie sich einen Merksatz – zum Beispiel:
Mit HUBIT sind Sie immer gut beraten und haben mehr als 1 Vorteil.
Nehmen Sie immer den ersten Buchstaben und alle Zahlen und Sonderzeichen…. fertig ist das neue Passwort :-)

Was ist die Cloud?

Datenschutz in der CloudDie Cloud ist im Prinzip wie eine Festplatte. Dieser Speicherbereich liegt auf irgendeinem Server irgendwo im Internet. Mittels einfacher Systeme wird es dem Nutzer leicht gemacht auf diese „Internetfestplatte“ mit fast jedem Gerät von überall auf der Welt zuzugreifen. Hierbei ist es unerheblich, ob es sich bei dem Gerät um einen Computer, ein Notebook, ein Handy, ein Smartphone oder Tablet-PC handelt. Wichtig ist nur eines: eine Internetverbindung.

Allerdings birgt dieser Dienst auch eine Reihe von Gefahren! Lassen Sie sich hierzu durch einen Datenschutzberater informieren.

Woher kommt das Wort Cloud?

In der Informationstechnologie wurde das Internet immer mit dem Symbol einer Wolke dargestellt. Hier liegt die Wurzel, denn Wolke heißt auf Englisch Cloud.

Was ist eine Vorabkontrolle?

Logo Hubit-DatenschutzEine Vorabkontrolle wird vor der Einführung eines Verfahrens durchgeführt. Eine Vorabkontrolle gem. Bundesdatenschutzgesetz (BDSG) ist durch einen Datenschutzbeauftragten durchzuführen.

Wann ist eine Vorabkontrolle erforderlich?
Das BDSG nennt nur zwei Sachverhalte, die eine Vorabkontrolle in jedem Falle erfordern. Die Verarbeitung von besonderen Arten personenbezogener Daten macht eine Vorabkontrolle erforderlich. Ebenso ist sie zwingend vorgeschrieben, wenn personenbezogene Daten dazu bestimmt sind, die die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen zu bewerten.

Zwei Paradebeispiele, die einer Vorabkotrolle erforderlich machen, sind Videoüberwachung und GPS-Ortung.
Grundsätzlich kann man sagen: Ist sich ein Unternehmen nicht sicher, ob eine Vorabkontrolle erforderlich ist, sollte der Datenschutzbeauftragte befragt werden. Ist kein Datenschutzbeauftragter in dem Unternehmen bestellt, sollten Sie sich Rat bei HUBIT holen. Wir beraten Sie zu datenschutzrechtlichen Fragen.

Was macht man, wenn keine Vorabkotrolle durchgeführt wurde?
In vielen Unternehmen ist nicht bekannt, dass eine Vorabkontrolle erforderlich, wenn z.B. Video- oder GPS-Technik eingesetzt wird. Erfolgte keine Vorabkontrolle (vor der Inbetriebnahme), so ist diese Datenverarbeitung illegal.
Eine nachträgliche Kontrolle ist möglich. So können Sie Ihre Datenverarbeitung (für die Zukunft) legalisieren.

Was ist Social Engineering?

Logo Hubit-DatenschutzEs gibt Hacker, die versuchen mit technischen Mitteln an Informationen zu gelangen. Das Social Engineering hat einen anderen Ansatzpunkt. Hier wird die größte Schwachstelle im System angegangen: der Mensch.

Social Engineering setzt sich aus vielen Einzelheiten und Möglichkeiten zusammen. So kann es auch mit technischen Mitteln, wie dem Phishing kombiniert werden.
Das Grundprinzip ist jedoch ganz einfach. Durch geschickte Gesprächsführung wird einem Mitarbeiter eine Information entlockt – vielleicht auch mehrere. Diese Informationen werden genutzt, um bei einem weiteren Mitarbeiter zusätzliche Informationen zu erschleichen oder diese zu manipulieren. Und so geht es immer weiter, bis sich der Angreifer genügt Wissen „zusammengefragt“ hat.

Das gesammelte Wissen wird nun gezielt eingesetzt, um die gewünschten Informationen oder Daten zu erlangen.

Andere Instrumente des Social Engineering setzen auf Vertrautheit, Zeitdruck oder ähnliche manipulativen Gesichtspunkte. Bei Social Engineering ist es nicht zwingend, dass der Angreifer schnell an die Informationen gelangt. Dieser Prozess kann sich über Tage, Wochen und Monate hinziehen.

Wenn Sie mehr erfahren möchten, besuchen Sie eine unserer Schulungen zu dem Thema. Wir kommen auch gern in Ihren Betrieb und schulen Sie und Ihre Mitarbeiter, wie Sie sich gegen Social Engineering schützen können.

Ich möchte hier nun nicht zu viele Details verraten, damit sich nicht jemand inspiriert fühlt. Aber Sie glauben gar nicht, was ein Anzug, ein Namensschild und sicheres Auftreten ausmachen kann. Oftmals reicht bereits sicheres Auftreten und eine gute Geschichte aus.

Es stellen sich Fragen, wie:
Wie komme ich in eine Kaserne ohne über den Zaun zu klettern und ohne Ausweis?
Wie gelange ich in den Personal- / Verwaltungsbereich einer Bank?
Wie komme ich an das Admin-Passwort?
Wie gelange ich zu den Server ohne eine Tür aufbrechen zu müssen?
Wie bekomme ich Informationen zu Kunden oder Lieferanten eines Unternehmens?

Sind Sie neugierig geworden? Möchten Sie wissen, wie sicher Ihr Unternehmen gegen Social Engineering ist?
HUBIT führt Social Engineering in Bremen und bundesweit durch. Sprechen Sie uns an.

Was ist Phishing?

Logo Hubit-DatenschutzPhishing ist ein Kunstwort, dass sich aus verschiedenen Wörtern ableitet. Hier ist zunächst fishing (das englische Wort für Angeln) zu nennen. Das P am Anfang steht für Password (zu deutsch: Passwort). Das erste H soll für Harvesting (auf deutsch: Ernte) stehen.

Das Prinzip ist relativ einfach. Der Phisher legt einen Köder aus. Dann wird versucht, dem geköderten Internetuser sensible Informationen zu entlocken, wie z.B. Zugangsdaten für Online Banking, Webserver oder Emailkonten.

Es ist somit eine Art des Social Engineering

In der Regel beginnt alles mit einer Email oder Nachricht über einen Messenger (Chatprogramm). Eine solche Email ist meist professionell aufgemacht und versucht das Erscheinungsbild, z.B. einer Bank, nachzuahmen. In der Email wird von einem Fehler oder einem wichtigen Ereignisse gesprochen, dass dem Leser vermittelt, dass er schnell handeln müsse, damit er diese Gefahr abwenden kann. Es wird bewusst Zeitdruck ausgeübt, damit der Betroffene nicht so viel Zeit zum Nachdenken hat. In der Email ist dann meist ein Link zu der vermeintlichen Bank (um bei dem Beispiel zu bleiben). Die Internetadresse sieht der echten Internetadresse meist ähnlich oder ist nicht sichtbar.

Klick nun der Betroffene auf diesen Link kommt er zu einer Webseite, die der echten Webseite der Bank sehr ähnlich sieht. Er wird auf der Webseite freundlichen Empfangen und gegebenenfalls nochmals auf die Gefahren hingewiesen, damit er weiterhin den zeitlichen Druck verspürt und nicht mit dem Denken beginnt.

Hier wird er nun aufgefordert seine Zugangsdaten einzugeben, damit er sich einloggen kann oder damit das Problem direkt behoben werden kann.

Die so abgefangenen Zugangsdaten werden später von dem Phisher verwendet, um Geld von dem Konto des Betroffenen auf eines seiner Konten zu übermitteln.

Es muss sich aber nicht zwingend um eine Bank handeln es gibt auch viele andere Beispiele, wie eine Phishing Attacke aussehen kann. So kann es auch sein, dass man aufgefordert wird, die vermeintliche Service Hotline anzurufen. In Wirklichkeit ist dies natürlich nicht die Service Hotline sondern der Phisher. Am Telefon werden dann ebenfalls sensible Informationen abgefragt. Es müssen nicht zwingend Zugangsdaten für eine Bank sein. Auch andere Zugangsdaten können interessant sein. Kreditkarteninformationen sind ebenfalls sehr beliebt.

Die Variationsmöglichkeiten beim Phishing sind vielfältig. Seien Sie in jedem Fall skeptisch. Wenn Sie sich nicht sicher sind, ob diese Email wirklich von Ihrer Bank, Kreditinstitut oder Geschäftspartner ist, dann fragen Sie dort nach. Aber bitte nehmen Sie nicht die Rufnummer aus der Email! Nehmen Sie die Rufnummer aus Ihrem Telefonbuch. Oder leiten Sie die Email an Ihren Sachbearbeiter weiter, damit der Ihnen die Echtheit bestätigen kann.

Was ist Clickjacking?

Logo Hubit-DatenschutzClickjacking ist eine ganz raffinierte Technik, die von Hackern eingesetzt wird, um das System zu manipulieren.
Im Prinzip werden die Klicks entführt. Der Benutzer denkt er würde sich auf einer Webseite befinden. Wenn er auf einen Link klickt, dann sieht es für ihn ganz gewöhnlich aus.

Aber was passiert nun wirklich?

Das Hackerprogramm legt (für den Benutzer unsichtbar) Schaltflächen hinter den Link. Das heißt, dass der Benutzer glaubt auf einen Link zu klicken, doch in Wirklichkeit wird diese unsichtbare Schaltfläche angeklickt.

Was sind das für Schaltflächen?

Das kann sehr unterschiedlich sein. Es kann sein, dass dadurch ein Programm installiert wird oder Einstellungen in der Systemsteuerung geändert werden. So kann z.B. das Mikrofon eingeschaltet werden oder das Antivirenprogramm deaktiviert werden.

Ein Schutz gegen Clickjacking ist für den Benutzer schwer umzusetzen. Das eigentliche Problem liegt in dem Aufbau von JavaScript.

Der mögliche Schutz kann eigentlich nur von Fachleuten umgesetzt werden. Hier sind zum einen die Hersteller von Browser, wie z.B. Internet Explorer, Firefox oder Opera gefordert und zum anderen die Entwickler von Webanwendungen.
Die Entwickler müssen den Header X-Frame-Option mit bestimmten Werten senden. Die meisten Browser unterstützen diesen Header mittlerweile. Doch leider nicht alle.

Dem Benutzer kann nur geraten werden, einen aktuellen Webbrowser zu verwenden.

Was ist ein Honeypot (Honigtopf)?

Logo Hubit-DatenschutzHoneypot. Das hört sich witzig an. Man kann sich kaum vorstellen, dass das englische Wort für Honigtopf in der IT (Informationstechnologie) eingesetzt wird.

Jeder kennt einen Honigtopf. Wenn Sie einen Honigtopf im Sommer offen auf den Tisch stellen. Was passiert dann? Viele Insekten werden kommen und versuchen, etwas von der süßen Speise zu erlangen. Einige werden „kleben“ bleiben.

Der Honeypot funktioniert ähnlich. Der Techniker setzt ein System ein, dass von außen (für Hacker) wie ein attraktives Angriffsziel, also ein Server oder ein Firmennetzwerk, aussieht. Allerdings wird der Hacker keine interessanten Daten finden.

Der Honeypot wird eingesetzt, um dem Hacker eine Falle zu stellen. Zum einen kann man mit ihm die Vorgehensweisen eines Hackers analysieren zu können. Aber eventuell lässt sich durch die hinterlassenen Spuren auch die Identität des Hackers ermitteln.

In großen Netzwerken werden Honeypots eingesetzt, um den Angreifer zunächst vom eigentlichen Ziel abzulenken oder um Zeit zu gewinnen, um ihn abwehren oder identifizieren zu können.