Nachrichten Datenschutz und Datensicherheit

Facebook-Phishing-Mails

Logo Hubit-DatenschutzDerzeit sind Phishing-Mails im Umlauf, die darauf abzielen, die Zugangsdaten von Facebook-Account auszuspähen. Die Email ist im Farbton von Facebook gehalten. Es wird behauptet, dass der Account gesperrt wäre und man einfach durch einen Login auf der Seite von Facebook diesen Account wieder aktivieren könne.

In der Tat ist es bei Facebook so, dass ein Account nicht gelöscht wird. Er wird nur deaktiviert. Entsperrt wird der Account, in dem man sich bei Facebook mit seiner Emailadresse und seinem Passwort erneut einloggt.


Wo ist nun das Problem?
Das Problem ist für viele nicht so offensichtlich. Der Link, der in der Phishing-Email steht sieht doch korrekt aus:

http://www.facebook.com/home.php.

Wenn man mit der Maus über den Link geht und die Maus dort einen Moment ruhen lässt, dann sieht man (wie im zweiten Bild), wohin der Link wirklich führt. Das wirkliche Ziel hat mit Facebook nichts zu tun. Es handelt sich vermutlich um eine Webseite auf einem kompromittierten Server.

Es gibt allerdings noch mehrere Anhaltspunkte für einen Nepp.

Der Empfänger hat keinen Facebook-Account mit dieser Emailadresse. Und weiterhin ist die Absenderadresse sehr zweifelhaft. Facebook würde wohl kaum diesen Absender 627152EE8@eu*****up.ch verwenden.

Hinweis: Die betroffen Emailadressen und Internetadressen wurden (aus datenschutzrechtlichen Gründen) unkenntlich gemacht. In der Original-Email sind diese lesbar gewesen.

Nachrichten Datenschutz und Datensicherheit

Datenschutz: Ein Umbruch beginnt

Datenschutz in der CloudDatenschutz findet mehr und mehr Beachtung. Dies merkt man zum einen daran, dass die Presse das Thema häufiger aufgreift. Aber auch die großen Player merken, dass Datenschutz das Prestige fördert, er wichtig für das Unternehmen ist und mehr zum Selbstverständnis wird. Dies zeigt sich auch darin, dass einige Betreiber von Internetseiten, die sich früher nicht um das Thema gekümmert haben, nun doch eine Datenschutzerklärung auf Ihrer Internetseite veröffentlichen. Das reicht natürlich immer noch für die gesetzlichen Anforderungen, ist aber immerhin ein Schritt in die richtige Richtung.

Welche Anforderungen der Datenschutz an Ihre Internetseite stellt, können wir gern in einem persönlichen Gespräch erläutern.

Im Laufe dieses Jahres gab es ein paar Ereignisse, die genau in diese Richtung zielten. So gab es mehrere bekannte Internetbetreiber, die sich im Bereich Datenschutz neu aufgestellt haben, wie die folgenden drei Beispiele zeigen.

Bereits zum 01. März 2012 hat Google seine Datenschutzbestimmungen geändert und an die aktuellen Bedürfnisse angepasst. Hierbei hat Google ordentlich aufgeräumt und aus 60 verschiedenen Datenschutzbestimmungen unterschiedlicher Produkte eine Datenschutzbestimmung gemacht.

Die aktuelle Datenschutzerklärung von Google.
Diese Änderung ist auch und gerade in Hinblick auf Google-Analytics wichtig. Der Besucherzähler wurde lange Zeit durch die Landesdatenschutzbeauftragten kritisiert. Nach langen Verhandlungen konnte eine Verbesserung des Datenschutzniveaus erreicht werden. Aber auch der heutige Einsatz von Google-Analytics ist an bestimmte Vorgaben gebunden, damit der Einsatz datenschutzkonform ist. Hierzu beraten wir Sie gern.

Ebenfalls im März hat auch der Besucherzähler von Webmasterpro seinen Techniken umgestellt und verzichtet auf das Speichern kompletter IP-Adressen. Die technischen Änderungen gingen einher mit der Aktualisierung der Datenschutzerklärung von Webmasterpro (Flash Counter).

Mitte des Jahres 2012 hat auch Twitter seine Nutzungsbedingungen geändert und auf seine Datenschutzrichtlinie hingewiesen.
Wir werden die oben genannten Änderung nicht an dieser Stelle bewerten.

Nachrichten Datenschutz und Datensicherheit

Sicherheitslücke im Microsoft Internet Explorer (IE)

Zero Day Sicherheitslücke IE Internet ExplorerWie bekannt wurde und auch von Microsoft bestätigt wurde gibt es im Internet Explorer eine Sicherheitslücke – die sogenannte Zero-Day-Schwachstelle. Betroffen seien die Versionen 6 bis 9 (unabhängig vom Microsoft Betriebssystem). Lediglich der Internet Explorer 10 unter Windows 8 sei sicher, hieß es.

Bereits am 17.09.2012 veröffentlichte das BSI (Bundesamt für Sicherheit in der Informationstechnik) hierzu eine Warnmeldung.

Leider gibt es derzeit kein Update oder Patch das diese Sicherheitslücke schließt. Dafür gibt es aber bereits Programme, die diese Sicherheitslücke ausnutzen. Microsoft bietet lediglich einen Workaround (Microsoft Security Advisory) an, der die Sicherheitslücke schließen soll. Unter anderem wird darin empfohlen, dass Active-X-Steuerelemente deaktiviert werden sollten. Leider funktionieren nach einer Deaktivierung viele Internetseiten, wie z.B. Onlinebanking, nicht mehr korrekt.

Wir schließen uns der Empfehlung des BSI an: nutzen Sie einen anderen Browser, wie z.B. Firefox oder Opera, bis ein Patch verfügbar ist. Dies ist in diesem Falle sicherlich einfacher und sicherer als der Workaround. Aber auch bei diesen Browsen sollten Sie immer die aktuellste Version verwenden.

Nachrichten Datenschutz und Datensicherheit

Auf zig-Millionen PC ist dringendes Update erforderlich!

Java UpdateIn bestimmten Kreisen war schon lange die Rede davon, dass es eine Sicherheitslücke in der Java-Plattform gebe. Der Hersteller Oracle hatte hierzu eine Zeit lang geschwiegen. Nun hat Oracle bekannt gegeben, dass es eine Sicherheitslücke in Java gibt und ein Update bereitgestellt.

Java ist für viele Programmierer (auch für Internetseiten) sehr beliebt. Leider auch bei denen, die die Technik kriminell einsetzen. So sollen bereits (infiltrierte / kriminelle) Internetseiten diese Sicherheitslücken ausnutzen, um Schadcode einzuschleusen. Vier Sicherheitslücken sollen nun durch das Java-Update geschlossen werden. Weltweit sollen laut Oracle mehrere Milliarden Geräte mit Java installiert sein. In Deutschland sind vermutlich zig Millionen PC´s, Notebooks und andere Geräte betroffen.

Dieses Update installiert sich in den meisten Fällen nicht von alleine! Die meisten Nutzer sollten durcheine Meldung auf das Update hingewiesen werden. Darauf sollten Sie nicht warten! Laden Sie sich das Java Update von der Herstellerseite runter

In den meisten Fällen ist es erforderlich, dass zunächst die alte Version deinstalliert wird. Sollten Sie weitere Fragen zur Systemverträglich, Installation oder Deinstallation haben, wenden Sie sich bitte an Ihren IT-Dienstleister bzw. Administrator.

In der Installation wird gefragt, ob Sie eine Toolbar installieren wollen (siehe Bild unten). Diese ist nicht zwingend erforderlich. Wenn Sie die Toolbar nicht wünschen entfernen Sie den Haken. In vielen Fällen sammeln Toolbars Nutzerdaten. Wie diese Toolbar arbeitet ist uns nicht bekannt.

Datenschutz Datensicherheit Lexikon

Was ist eine Vorabkontrolle?

1 Kommentar

Logo Hubit-DatenschutzEine Vorabkontrolle wird vor der Einführung eines Verfahrens durchgeführt. Eine Vorabkontrolle gem. Bundesdatenschutzgesetz (BDSG) ist durch einen Datenschutzbeauftragten durchzuführen.

Wann ist eine Vorabkontrolle erforderlich?
Das BDSG nennt nur zwei Sachverhalte, die eine Vorabkontrolle in jedem Falle erfordern. Die Verarbeitung von besonderen Arten personenbezogener Daten macht eine Vorabkontrolle erforderlich. Ebenso ist sie zwingend vorgeschrieben, wenn personenbezogene Daten dazu bestimmt sind, die die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen zu bewerten.

Zwei Paradebeispiele, die einer Vorabkotrolle erforderlich machen, sind Videoüberwachung und GPS-Ortung.
Grundsätzlich kann man sagen: Ist sich ein Unternehmen nicht sicher, ob eine Vorabkontrolle erforderlich ist, sollte der Datenschutzbeauftragte befragt werden. Ist kein Datenschutzbeauftragter in dem Unternehmen bestellt, sollten Sie sich Rat bei HUBIT holen. Wir beraten Sie zu datenschutzrechtlichen Fragen.

Was macht man, wenn keine Vorabkotrolle durchgeführt wurde?
In vielen Unternehmen ist nicht bekannt, dass eine Vorabkontrolle erforderlich, wenn z.B. Video- oder GPS-Technik eingesetzt wird. Erfolgte keine Vorabkontrolle (vor der Inbetriebnahme), so ist diese Datenverarbeitung illegal.
Eine nachträgliche Kontrolle ist möglich. So können Sie Ihre Datenverarbeitung (für die Zukunft) legalisieren.

Nachrichten Datenschutz und Datensicherheit

56.000 Euro Bußgeld wegen GPS-Ortung

Logo Hubit-DatenschutzGPS-Module werden in immer mehr Geräte eingebaut. Die Beschaffungskosten sind mittlerweile gering und auch die technische Umsetzung ist mittlerweile einfach. Die Anwendungsmöglichkeiten sind vielfach. Doch nicht immer ist der Einsatz der Ortung rechtliche gestattet.

Wie im Weser Kurier am 18.07.2012 zu lesen war, hat Europcar einen Teil seiner Flotte mit GPS-Ortungssystemen ausgestattet. Die Autovermietung wollte mit diesem technischen Hilfsmittel Diebstähle leichter aufklären können. Weiterhin sollte mit den GPS-Geräten geprüft werden, ob sich die Kunden in dem vertraglich vereinbarten Gebieten aufhielten. Zusätzlich zum Standort wurden Datum und Uhrzeit sowie die Geschwindigkeit gespeichert.

Der Landesdatenschutzbeauftragte Hamburg, Herr Johannes Casper, hatte dem Artikel nach gestern mitgeteilt, dass die Autovermietung ein Bußgeld von 54.000,- Euro zahlen müsse. Die anlassbezogene Ortung im Falle eines Diebstahls sei rechtens. Allerdings wäre die heimliche Ortung (ohne Kenntnis der Mieter) der Mietfahrzeuge nicht mit dem Datenschutz vereinbar. Mit den gesammelten Daten könnten Bewegungsprofile der Mieter erstellt werden. Und dies stelle einen schweren Eingriff in das Persönlichkeitsrecht dar, so Caspar.

Unternehmen müssen vor dem Einsatz von Überwachungstechnik, wie GPS-Ortung, Videoüberwachung und ähnlichem, ihren betrieblichen Datenschutzbeauftragten Weitere Infos im Lexikon informieren. Dieser muss eine Vorabkontrolle Weitere Infos im Lexikondurchführen und die Rechtmäßigkeit des Einsatzes von Überwachungstechnik prüfen.

Nachrichten Datenschutz und Datensicherheit

Handydaten millionfach abgefragt

Logo Hubit-DatenschutzDie Behörden in den USA haben im Jahr 2011 über eine Millionen Mal Daten, SMS und Aufenthaltsorte von Handybesitzer von den Telekommunikationsunternehmen abgerufen, wie Welt Online berichtete.

Der Kongress stellte eine entsprechende Anfrage, die diese enorme Zahl zu Tage brachte. Es seien große Telekommunikationsunternehmen wie AT&T und auch T-Online USA betroffen. Es ist kein Geheimnis, dass die USA andere gesetzliche Regelungen, wie z.B. den Patriot Act, haben als europäische Länder. Erschreckend ist hierbei, dass vielfach die Daten ohne richterliche Anordnung abgefragt würden. Dies sei möglich, wenn die Behörden „Gefahr im Verzug“ sehen und somit die Anfrage als Notfall deklarierten.

In Deutschland wäre ein solches Vorgehen undenkbar. Hier wird der Bürger durch das Bundesdatenschutzgesetz geschützt. Hier zulande würde es als Staatswillkür oder ähnlich bezeichnet werden. Hier ist in jedem Falle eine richterliche Anordnung erforderlich. Diese zusätzliche Hemmschwelle ist wichtig, damit die Daten der Bürger geschützt sind.

Interessant wäre hier die Fragestellung, wie häufig und in welchem Umfang T-Online USA bzw. T-Mobile USA und andere TK-Unternehmen Daten Deutscher Urlauber bereits übergeben hat.

Nachrichten Datenschutz und Datensicherheit

Schaden für Unternehmen durch Social Media möglich?

Logo Hubit-DatenschutzSocial Media ist der Trend der letzten Jahre im Internet. Plattformen wie z.B. Twitter, Facebook, Google etc. bieten vielfältige Möglichkeiten zum Informationsaustausch. Viele Unternehmen nutzen mittlerweile diese Dienste für Marketing Kampagnen. Doch bringen diese Dienste nur Vorteile?

Es ist wie mit allen Dingen im Leben. Jede Sache hat zwei Seiten. Es gibt natürlich auch eine negative Seite. Aus technischer Sicht sind hierzu schon viele Artikel veröffentlicht worden, in den z.B. Facebook für das Auspionieren der Benutzer angeprangert wurde. Darum soll es in dieser Datenschutz-News nicht gehen.
Es geht um ansehensschädigende Beiträge und Industriespionage mittels Social Engineering. Beim Social Engineering Weitere Infos im Lexikon wird die größte Schwachstelle im System für die Informationsgewinnung genutzt.
Der Mensch.

Die Menschheit ist das, was sie ist, durch das Sprechen geworden. Das Austauschen von Informationen ist ein wichtiger Baustein in unserem Sein. So verwundert es nicht, dass alle gern über dies und das sprechen. In der Vergangenheit war es kein so großes Problem, wenn man seinen Freunden in geselliger Runde ein paar lustige Geschichten aus dem Geschäftsalltag erzählte oder sich negativ über seinen Arbeitgeber ausgelassen hat. Das meiste blieb in der Runde und die meisten Informationen gerieten mit der Zeit in Vergessenheit.

Heute sieht dies anders aus. Es gibt das Internet und eine Vielzahl an Möglichkeiten sich über Foren, Social Media Plattformen und andere Portale auszutauschen. Aber wo ist der Unterschied?
Es gibt zwei gravierende Unterschiede. Zum einen bleiben geschriebene Worte im Internet sehr lange gespeichert und werden selten gelöscht. Es ist sozusagen für die Ewigkeit geschrieben. Zum anderen wird selten darauf geachtet, dass nur eine bestimmte Personengruppe diese Beiträge liest.

Die Mitarbeiter müssen dafür sensibilisiert werden, dass sie nicht alles im Internet veröffentlichen. Auch das bayrische Landesamt für Verfassungsschutz warnt vor den Gefahren durch Internetplattformen.

Mitarbeiter sollten in Schulungen sensibilisiert werden. Weiterhin sollte ihnen vermittelt werden, wie sie ihre Privatsphäre-Einstellungen konfigurieren sollten. Schulungen von HUBIT zum richtigen Umgang mit sozialen Netzwerken, dem Internet und Unternehmensdaten können Sie individuell für Ihre Bedürfnisse durchführen lassen.

Dass sich Mitarbeiter negativ über Ihren Arbeitgeber auslassen ist sicherlich nicht angenehm. Aber auch hier sollte man sich der Kritik stellen und beurteilen, wieso der Mitarbeiter so unzufrieden ist, dass er (wissentlich oder unwissentlich) seinem Arbeitgeber Schaden zufügt.

Schlimmer ist hingegen, wenn unternehmensinterne Informationen im Internet veröffentlicht werden.
Zu Zeiten des Kalten Krieges wurde viel Wert auf Sicherheit und Schutz vor Industriespionage gelegt. Heute wird dieses Thema stiefmütterlich behandelt. Aber Industriespionage ist immer noch weit verbreitet. Jedoch wird sie heute mit ganz anderen Mitteln umgesetzt. Facebook, Google und andere Plattformen bieten genügend Raum für Klatsch und Tratsch. Jeder hat zig oder hunderte von Freunden, denen er alles mitteilt.

Aber sind das wirklich Freunde?
Wie gut kennt man seine „Freunde“ und „Follower“? Oder hat man sie nur seiner Liste hinzugefügt, weil sie nett waren, aussahen oder sich als Freund eines Freundes ausgaben?
Man sollte immer genau überlegen, wem man welche Informationen mitteilt – insbesondere im Internet.

Industriespionage hat mit den neuen Medien eine neue Grundlage gefunden, um einfach an Informationen zu gelangen. Social Engineering wird damit so einfach…!

Seien Sie zurückhaltend. Überlegen Sie sich genau, welche Information sie preisgeben möchten. Entscheiden Sie sich für einen sicheren Kanal. Es muss nicht immer jeder alles wissen.

Datenschutz Datensicherheit Lexikon

Was ist Social Engineering?

2 Kommentare

Logo Hubit-DatenschutzEs gibt Hacker, die versuchen mit technischen Mitteln an Informationen zu gelangen. Das Social Engineering hat einen anderen Ansatzpunkt. Hier wird die größte Schwachstelle im System angegangen: der Mensch.

Social Engineering setzt sich aus vielen Einzelheiten und Möglichkeiten zusammen. So kann es auch mit technischen Mitteln, wie dem Phishing kombiniert werden.
Das Grundprinzip ist jedoch ganz einfach. Durch geschickte Gesprächsführung wird einem Mitarbeiter eine Information entlockt – vielleicht auch mehrere. Diese Informationen werden genutzt, um bei einem weiteren Mitarbeiter zusätzliche Informationen zu erschleichen oder diese zu manipulieren. Und so geht es immer weiter, bis sich der Angreifer genügt Wissen „zusammengefragt“ hat.

Das gesammelte Wissen wird nun gezielt eingesetzt, um die gewünschten Informationen oder Daten zu erlangen.

Andere Instrumente des Social Engineering setzen auf Vertrautheit, Zeitdruck oder ähnliche manipulativen Gesichtspunkte. Bei Social Engineering ist es nicht zwingend, dass der Angreifer schnell an die Informationen gelangt. Dieser Prozess kann sich über Tage, Wochen und Monate hinziehen.

Wenn Sie mehr erfahren möchten, besuchen Sie eine unserer Schulungen zu dem Thema. Wir kommen auch gern in Ihren Betrieb und schulen Sie und Ihre Mitarbeiter, wie Sie sich gegen Social Engineering schützen können.

Ich möchte hier nun nicht zu viele Details verraten, damit sich nicht jemand inspiriert fühlt. Aber Sie glauben gar nicht, was ein Anzug, ein Namensschild und sicheres Auftreten ausmachen kann. Oftmals reicht bereits sicheres Auftreten und eine gute Geschichte aus.

Es stellen sich Fragen, wie:
Wie komme ich in eine Kaserne ohne über den Zaun zu klettern und ohne Ausweis?
Wie gelange ich in den Personal- / Verwaltungsbereich einer Bank?
Wie komme ich an das Admin-Passwort?
Wie gelange ich zu den Server ohne eine Tür aufbrechen zu müssen?
Wie bekomme ich Informationen zu Kunden oder Lieferanten eines Unternehmens?

Sind Sie neugierig geworden? Möchten Sie wissen, wie sicher Ihr Unternehmen gegen Social Engineering ist?
HUBIT führt Social Engineering in Bremen und bundesweit durch. Sprechen Sie uns an.

Datenschutz Datensicherheit Lexikon

Was ist Phishing?

3 Kommentare

Logo Hubit-DatenschutzPhishing ist ein Kunstwort, dass sich aus verschiedenen Wörtern ableitet. Hier ist zunächst fishing (das englische Wort für Angeln) zu nennen. Das P am Anfang steht für Password (zu deutsch: Passwort). Das erste H soll für Harvesting (auf deutsch: Ernte) stehen.

Das Prinzip ist relativ einfach. Der Phisher legt einen Köder aus. Dann wird versucht, dem geköderten Internetuser sensible Informationen zu entlocken, wie z.B. Zugangsdaten für Online Banking, Webserver oder Emailkonten.

Es ist somit eine Art des Social Engineering

In der Regel beginnt alles mit einer Email oder Nachricht über einen Messenger (Chatprogramm). Eine solche Email ist meist professionell aufgemacht und versucht das Erscheinungsbild, z.B. einer Bank, nachzuahmen. In der Email wird von einem Fehler oder einem wichtigen Ereignisse gesprochen, dass dem Leser vermittelt, dass er schnell handeln müsse, damit er diese Gefahr abwenden kann. Es wird bewusst Zeitdruck ausgeübt, damit der Betroffene nicht so viel Zeit zum Nachdenken hat. In der Email ist dann meist ein Link zu der vermeintlichen Bank (um bei dem Beispiel zu bleiben). Die Internetadresse sieht der echten Internetadresse meist ähnlich oder ist nicht sichtbar.

Klick nun der Betroffene auf diesen Link kommt er zu einer Webseite, die der echten Webseite der Bank sehr ähnlich sieht. Er wird auf der Webseite freundlichen Empfangen und gegebenenfalls nochmals auf die Gefahren hingewiesen, damit er weiterhin den zeitlichen Druck verspürt und nicht mit dem Denken beginnt.

Hier wird er nun aufgefordert seine Zugangsdaten einzugeben, damit er sich einloggen kann oder damit das Problem direkt behoben werden kann.

Die so abgefangenen Zugangsdaten werden später von dem Phisher verwendet, um Geld von dem Konto des Betroffenen auf eines seiner Konten zu übermitteln.

Es muss sich aber nicht zwingend um eine Bank handeln es gibt auch viele andere Beispiele, wie eine Phishing Attacke aussehen kann. So kann es auch sein, dass man aufgefordert wird, die vermeintliche Service Hotline anzurufen. In Wirklichkeit ist dies natürlich nicht die Service Hotline sondern der Phisher. Am Telefon werden dann ebenfalls sensible Informationen abgefragt. Es müssen nicht zwingend Zugangsdaten für eine Bank sein. Auch andere Zugangsdaten können interessant sein. Kreditkarteninformationen sind ebenfalls sehr beliebt.

Die Variationsmöglichkeiten beim Phishing sind vielfältig. Seien Sie in jedem Fall skeptisch. Wenn Sie sich nicht sicher sind, ob diese Email wirklich von Ihrer Bank, Kreditinstitut oder Geschäftspartner ist, dann fragen Sie dort nach. Aber bitte nehmen Sie nicht die Rufnummer aus der Email! Nehmen Sie die Rufnummer aus Ihrem Telefonbuch. Oder leiten Sie die Email an Ihren Sachbearbeiter weiter, damit der Ihnen die Echtheit bestätigen kann.