Home / Aktuelles & Termine / it.sec blog

Laut Presse und offiziellem Sony Blog wurden rund 77 Millionen Datensätze mit personenbezogenen Daten wie Name, Adresse, Geburtstag, Passworte(!), Sicherheitsantworten zum Passwort etc. kompromittiert, welche man im Rahmen der Anmeldung am PSN erhoben hat. Man fragt sich zunächst natürlich, ob wirklich alle Daten zum Mitspielen nötig waren.

Unabhängig davon bestätigt Sony, dass auf Kreditkartendaten zugegriffen werden konnte. Nach geraumer Zeit hat man aber nachgelegt und klar gestellt, dass diese verschlüsselt gewesen wären. Man darf sich allerdings schon fragen, ob man dieser Aussage glauben schenken darf. Immerhin schreibt der PCI-DSS Standard der Kreditkartenhersteller eine Verschlüsselung von Kreditkartennummern vor - und man wird irgendwie den Eindruck nicht los, dass man bei Sony durch eine Veränderung seiner Aussage dort im Nachhinein nichts anbrennen lassen will.

Der Eindruck wird dadurch verstärkt, dass zunächst auch behauptet wurde, die sogenannten CVCs (die dreistelligen Sicherheitscodes auf der Rückseite von Kreditkarten) seien nicht betroffen, da sie andernorts gespeichert wären. Mittlerweile hat man aber wohl erkannt, dass die CVC Nummern laut PCI-DSS in keinem Falle überhaupt gespeichert werden dürfen und beeilt sich nun zu behaupten, dass dies selbstverständlich der Fall sei.

All das sieht dann doch eher nach einer Schutzbehauptung aus haftungsrechtlicher Sicht aus, als nach glaubhaften Tatsachen, zumal offenbar mittlerweile lt. N-TV 2.2 Mio Datensätze aus dem Bestand inkl. Kreditkartennummern zum Kauf angeboten werden.

Immerhin ist davon auszugehen, dass das PCI Council einen unabhängigen Forensiker hinschicken wird und man wird sehen ...

Was tun?

Nachfolgend kurz die wichtigsten Tipps für Betroffene:

  • viele Menschen benutzen dieselben Accounts mit denselben Passworten auf verschiedenen Plattformen (ebay, Amazon, ...). Daher tut jeder Betroffene gut daran seine Passworte auf allen Plattformen zu ändern (und idealerweise überall andere zu nutzen)
  • Kreditkartenkonto und Bankkonto checken und unerklärbare Buchungen dem Kreditkartenunternehmen oder der ausgebenden Bank melden!
    Sollte bekannt werden, dass wirklich Kartennummern kompromittiert sind, werden die Kartenunternehmen normalerweise neue Kreditkarten mit neuen Nummern ausgeben und die alten Karten invalidieren!
  • Es ist damit zu rechnen, dass in nächster Zeit Spam oder Phishing Mails an die eMail Adressen von Betroffenen gesendet werden. Diese werden u.U. sehr vertrauenserweckend sein, kennt man ja die Nationalität, das Alter, Kreditkartenunternehmen etc.
    Es ist daher unbedingt darauf zu achten auf Anfragen hin keine persönlichen Angaben oder Passwörter preis zu geben. Sony wird derlei nicht erfragen.

Vorbeugen

  • Bei der Registrierung auf irgendwelchen Plattformen sollten man (im Rahmen des rechtlich vertretbaren) nur die wirklich wichtigen und nötigen Daten angeben, die der Anbieter tatsächlich benötigt. Ist es nicht möglich Felder leer zu lassen, kann man sich ja sicher schon mal vertippen.
  • Werden eMail Adressen gefordert, die für den eigentlichen Ablauf nicht nötig sind, kann es auch sinnvoll sein sich eine Spam-Adresse bei einem kostenfreien Provider zu sichern, die nur dazu dient unerwünschte Mails zu empfangen.
  • Lesen Sie die AGB und die Datenschutzbestimmungen! Stimmen Sie nicht zu, wenn Ihnen nicht gefällt was Sie lesen, oder wenn Sie die eigentlichen Text auch nach fünf klicks auf weitere Links noch nicht gefunden haben!
  • Wählen Sie Optionen ab, wie "ich will weitere Informationen erhalten", oder "ich bin einverstanden, dass meine Daten an Dritte weitergegeben werden, die mir wahnsinnig interessante Angebote machen werden".

it-sa 09 Interview 

Holger Heimann, Geschäftsführer der it.sec GmbH & Co. KG im Gespräch mit Marcus Beyer zu den Themen: Technokratie in Security-Projekten, Compliance und organisatorische Grundlagen:

Zum Video

Endlich: da kaufe ich mir einen Vulnerability Scanner/ein SIM/SIEM/wahlweise irgendwas anderes, und schwupp: compliant!

Den Herstellern von Produkten ist es ja nicht zu verdenken, dass sie die Nützlichkeit Ihrer Produkte zur Compliant-Werdung herausstellen. Eher erschreckend ist es, dass mit dieser Argumentation immer wieder in produktzentrischer Manier auch (mehr oder weniger) mal so eben gekauft wird. Dabei bestehen Vorgaben ("Controls") zu wie auch immer gearteter Compliance i.d.R. aus einer ganzen Reihe von technischen und auch organisatorischen Maßnahmen, welche wohldosiert und an der richtigen Stelle umgesetzt werden sollten - mit Maß und Verstand und vor allem mit einer definierten Zielsetzung. Die Zielsetzung beschreibt was erreicht werden soll - und vor allem auch was nicht.

Produkte alleine lösen diese Aufgabe nicht oder lösen auch schon mal Probleme, die man gar nicht hat - mit entsprechendem Ressourcenaufwand im Betrieb.

Beispielsweise ersaufen viele SIM/SIEM/IDS/IPS Projekte förmlich in Technokratie. Einmal ausgerollt hat mal möglicherweise wirklich das eine oder andere Control von vielleicht 100 weiteren des Frameworks XYZ erfüllt. Anstatt der noch fehlenden Controls werden aber oft nur die Möglichkeiten der Produkte ausgelotet: "whoa, was man da alles messen/scannen/xxx'en kann! Lass und das alles protkollieren!"

Auf die Frage wer das alles denn nun wie auswertet und vermittels welcher Prozesse die Daten wem, wannzur Verfügung gestellt werden, damit er damit was genau anfange sind die Antworten oft dünn: "Naja, das nutzen wir Abteilungsintern. Klar nicht immer, eben wenn jemand Zeit hat".

Das ist der falsche Weg. Richtiger ist es festzustellen, welche technischen und organisatorischen Anforderungen zur Lösung welcher Zielsetzung nötig sind und mit welchen Mitteln man die adressieren kann. Ihm Rahmen dieser Mittel ist festzulegen, wo die Grenzen des Nützlichen sind und was man tatsächlich benötigt, um welche Requirements zu adressieren. Und um den Rest aktiv wegzulassen.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Brexit Bundesarbeitsgericht Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31