Schlagwort-Archiv: Lexikon

Was ist die Cloud?

Datenschutz in der CloudDie Cloud ist im Prinzip wie eine Festplatte. Dieser Speicherbereich liegt auf irgendeinem Server irgendwo im Internet. Mittels einfacher Systeme wird es dem Nutzer leicht gemacht auf diese „Internetfestplatte“ mit fast jedem Gerät von überall auf der Welt zuzugreifen. Hierbei ist es unerheblich, ob es sich bei dem Gerät um einen Computer, ein Notebook, ein Handy, ein Smartphone oder Tablet-PC handelt. Wichtig ist nur eines: eine Internetverbindung.

Allerdings birgt dieser Dienst auch eine Reihe von Gefahren! Lassen Sie sich hierzu durch einen Datenschutzberater informieren.

Woher kommt das Wort Cloud?

In der Informationstechnologie wurde das Internet immer mit dem Symbol einer Wolke dargestellt. Hier liegt die Wurzel, denn Wolke heißt auf Englisch Cloud.

Was ist eine Vorabkontrolle?

Logo Hubit-DatenschutzEine Vorabkontrolle wird vor der Einführung eines Verfahrens durchgeführt. Eine Vorabkontrolle gem. Bundesdatenschutzgesetz (BDSG) ist durch einen Datenschutzbeauftragten durchzuführen.

Wann ist eine Vorabkontrolle erforderlich?
Das BDSG nennt nur zwei Sachverhalte, die eine Vorabkontrolle in jedem Falle erfordern. Die Verarbeitung von besonderen Arten personenbezogener Daten macht eine Vorabkontrolle erforderlich. Ebenso ist sie zwingend vorgeschrieben, wenn personenbezogene Daten dazu bestimmt sind, die die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen zu bewerten.

Zwei Paradebeispiele, die einer Vorabkotrolle erforderlich machen, sind Videoüberwachung und GPS-Ortung.
Grundsätzlich kann man sagen: Ist sich ein Unternehmen nicht sicher, ob eine Vorabkontrolle erforderlich ist, sollte der Datenschutzbeauftragte befragt werden. Ist kein Datenschutzbeauftragter in dem Unternehmen bestellt, sollten Sie sich Rat bei HUBIT holen. Wir beraten Sie zu datenschutzrechtlichen Fragen.

Was macht man, wenn keine Vorabkotrolle durchgeführt wurde?
In vielen Unternehmen ist nicht bekannt, dass eine Vorabkontrolle erforderlich, wenn z.B. Video- oder GPS-Technik eingesetzt wird. Erfolgte keine Vorabkontrolle (vor der Inbetriebnahme), so ist diese Datenverarbeitung illegal.
Eine nachträgliche Kontrolle ist möglich. So können Sie Ihre Datenverarbeitung (für die Zukunft) legalisieren.

Was ist Phishing?

Logo Hubit-DatenschutzPhishing ist ein Kunstwort, dass sich aus verschiedenen Wörtern ableitet. Hier ist zunächst fishing (das englische Wort für Angeln) zu nennen. Das P am Anfang steht für Password (zu deutsch: Passwort). Das erste H soll für Harvesting (auf deutsch: Ernte) stehen.

Das Prinzip ist relativ einfach. Der Phisher legt einen Köder aus. Dann wird versucht, dem geköderten Internetuser sensible Informationen zu entlocken, wie z.B. Zugangsdaten für Online Banking, Webserver oder Emailkonten.

Es ist somit eine Art des Social Engineering

In der Regel beginnt alles mit einer Email oder Nachricht über einen Messenger (Chatprogramm). Eine solche Email ist meist professionell aufgemacht und versucht das Erscheinungsbild, z.B. einer Bank, nachzuahmen. In der Email wird von einem Fehler oder einem wichtigen Ereignisse gesprochen, dass dem Leser vermittelt, dass er schnell handeln müsse, damit er diese Gefahr abwenden kann. Es wird bewusst Zeitdruck ausgeübt, damit der Betroffene nicht so viel Zeit zum Nachdenken hat. In der Email ist dann meist ein Link zu der vermeintlichen Bank (um bei dem Beispiel zu bleiben). Die Internetadresse sieht der echten Internetadresse meist ähnlich oder ist nicht sichtbar.

Klick nun der Betroffene auf diesen Link kommt er zu einer Webseite, die der echten Webseite der Bank sehr ähnlich sieht. Er wird auf der Webseite freundlichen Empfangen und gegebenenfalls nochmals auf die Gefahren hingewiesen, damit er weiterhin den zeitlichen Druck verspürt und nicht mit dem Denken beginnt.

Hier wird er nun aufgefordert seine Zugangsdaten einzugeben, damit er sich einloggen kann oder damit das Problem direkt behoben werden kann.

Die so abgefangenen Zugangsdaten werden später von dem Phisher verwendet, um Geld von dem Konto des Betroffenen auf eines seiner Konten zu übermitteln.

Es muss sich aber nicht zwingend um eine Bank handeln es gibt auch viele andere Beispiele, wie eine Phishing Attacke aussehen kann. So kann es auch sein, dass man aufgefordert wird, die vermeintliche Service Hotline anzurufen. In Wirklichkeit ist dies natürlich nicht die Service Hotline sondern der Phisher. Am Telefon werden dann ebenfalls sensible Informationen abgefragt. Es müssen nicht zwingend Zugangsdaten für eine Bank sein. Auch andere Zugangsdaten können interessant sein. Kreditkarteninformationen sind ebenfalls sehr beliebt.

Die Variationsmöglichkeiten beim Phishing sind vielfältig. Seien Sie in jedem Fall skeptisch. Wenn Sie sich nicht sicher sind, ob diese Email wirklich von Ihrer Bank, Kreditinstitut oder Geschäftspartner ist, dann fragen Sie dort nach. Aber bitte nehmen Sie nicht die Rufnummer aus der Email! Nehmen Sie die Rufnummer aus Ihrem Telefonbuch. Oder leiten Sie die Email an Ihren Sachbearbeiter weiter, damit der Ihnen die Echtheit bestätigen kann.

Was ist Clickjacking?

Logo Hubit-DatenschutzClickjacking ist eine ganz raffinierte Technik, die von Hackern eingesetzt wird, um das System zu manipulieren.
Im Prinzip werden die Klicks entführt. Der Benutzer denkt er würde sich auf einer Webseite befinden. Wenn er auf einen Link klickt, dann sieht es für ihn ganz gewöhnlich aus.

Aber was passiert nun wirklich?

Das Hackerprogramm legt (für den Benutzer unsichtbar) Schaltflächen hinter den Link. Das heißt, dass der Benutzer glaubt auf einen Link zu klicken, doch in Wirklichkeit wird diese unsichtbare Schaltfläche angeklickt.

Was sind das für Schaltflächen?

Das kann sehr unterschiedlich sein. Es kann sein, dass dadurch ein Programm installiert wird oder Einstellungen in der Systemsteuerung geändert werden. So kann z.B. das Mikrofon eingeschaltet werden oder das Antivirenprogramm deaktiviert werden.

Ein Schutz gegen Clickjacking ist für den Benutzer schwer umzusetzen. Das eigentliche Problem liegt in dem Aufbau von JavaScript.

Der mögliche Schutz kann eigentlich nur von Fachleuten umgesetzt werden. Hier sind zum einen die Hersteller von Browser, wie z.B. Internet Explorer, Firefox oder Opera gefordert und zum anderen die Entwickler von Webanwendungen.
Die Entwickler müssen den Header X-Frame-Option mit bestimmten Werten senden. Die meisten Browser unterstützen diesen Header mittlerweile. Doch leider nicht alle.

Dem Benutzer kann nur geraten werden, einen aktuellen Webbrowser zu verwenden.

Was ist ein Honeypot (Honigtopf)?

Logo Hubit-DatenschutzHoneypot. Das hört sich witzig an. Man kann sich kaum vorstellen, dass das englische Wort für Honigtopf in der IT (Informationstechnologie) eingesetzt wird.

Jeder kennt einen Honigtopf. Wenn Sie einen Honigtopf im Sommer offen auf den Tisch stellen. Was passiert dann? Viele Insekten werden kommen und versuchen, etwas von der süßen Speise zu erlangen. Einige werden „kleben“ bleiben.

Der Honeypot funktioniert ähnlich. Der Techniker setzt ein System ein, dass von außen (für Hacker) wie ein attraktives Angriffsziel, also ein Server oder ein Firmennetzwerk, aussieht. Allerdings wird der Hacker keine interessanten Daten finden.

Der Honeypot wird eingesetzt, um dem Hacker eine Falle zu stellen. Zum einen kann man mit ihm die Vorgehensweisen eines Hackers analysieren zu können. Aber eventuell lässt sich durch die hinterlassenen Spuren auch die Identität des Hackers ermitteln.

In großen Netzwerken werden Honeypots eingesetzt, um den Angreifer zunächst vom eigentlichen Ziel abzulenken oder um Zeit zu gewinnen, um ihn abwehren oder identifizieren zu können.