Home / Aktuelles & Termine / it.sec blog

„Ransomware“ sollte auch durch die mediale Verbreitung niemandem mehr ein Fremdwort sein. Kurz erklärt ist Ransomware ein Schadprogramm, das eine kritische Lücke im System ausnutzt, um bspw. alle greifbaren Daten (lokal auf dem Rechner, aber auch auf Netzwerkfreigaben) zu verschlüsseln, die dann - laut Angreifer - nur gegen Bezahlung (vorwiegend in Bitcoins) wieder entschlüsselt werden. Dass Ransomware also keine leichtzunehmende Bedrohung ist, hat sich spätestens seit WannaCry & Co. gezeigt. Allein davon waren weltweit über 300.000 Geräte infiziert und der Schaden wird auf ca. 4 Milliarden US-Dollar geschätzt. Bei solch einem immensen Schaden blieben selbst deutsche Unternehmen nicht verschont. So war u.a. die Deutsche Bahn von der Ransomware betroffen. Damit wäre nun auch im globalen Maße bewiesen, dass ein Zusammenbrechen von realer Infrastruktur durch Software nicht mehr nur die Fantasie eines Hollywood-Films ist.

Ein weiteres erschreckendes Beispiel ist, dass eine Variante namens "SamSam", u.a. die komplette IT eines ganzen Krankenhauses in den USA lahm legte. Hier forderten die Angreifer 4 Bitcoins (zu dem damaligen Zeitpunkt umgerechnet ca. 55.000 US-Dollar). Das Krankenhaus war anfangs gegen eine Bezahlung und musste daher auf Papier und Stift umsteigen, entschied sich aber nach zwei Tagen das Lösegeld zu bezahlen. In diesem Fall kam der Erpresser seinem Versprechen nach und entschlüsselte die Dateien.

Doch ist dies immer der Fall? Leider nein!
Des Öfteren werden die Daten so verschlüsselt, dass ein Entschlüsseln nicht mehr möglich ist und auch gar nicht erst von den Angreifern eingeplant wird. Unzählige Opfer verfügen darüber nicht genügend Kenntnisse und wissen sich oft nicht anders zu helfen und greifen somit zur Geldbörse. Wie der "Telstra Security Report" zeigt, konnten in ca. 80 % der Vorfälle die Daten entschlüsselt werden.

Der Report enthält aber auch das erschreckende Ergebnis einer Umfrage, dass vier von fünf Ransomware-Opfer bei einer erneuten erfolgreichen Attacke den Erpresserbetrag wieder bezahlen würden, sofern keine Backups vorhanden sind. Das Signalwort hierbei ist "erneut". Bedeutet dies nun, dass diejenigen, die bereits einmal Opfer einer Ransomware-Attacke wurden, sich kaum bis keine Gedanken über die Sicherheit ihrer Daten machen und wie die Daten gegen Angriffe von außen besser geschützt werden können?!? Unserer Erfahrung nach leider ja!

Ob nun von Hand oder mittels Software, tägliche Backups von kritischen Daten sollten heutzutage zum Standard gehören. Dabei ist es wichtig mit Blick auf Ransomware, dass mindestens ein Backup-Medium offline ist, d.h. abgekoppelt von allen Verbindungen, z.B. eine externe und manuell abschaltbare Festplatte.

Neben dem Backup der Daten, empfiehlt es sich auch jegliche eingesetzte Software auf dem neuesten Stand zu halten, um sich gegen Ransomware zu schützen. Auch sollte das Bewusstsein der Mitarbeiter oder von Freunden und Verwandten geschult werden und lieber zweimal überlegt werden, bevor man Links oder Anhänge in E-Mails anklickt oder öffnet. Dadurch wird das Risiko eines erfolgreichen Ransomware-Angriffs deutlich verringert. Der damit einhergehende Imageverlust bei Unternehmen fällt weg und es spart eine Menge Geld (und Nerven).

Bitte bedenken Sie auch, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware weiter fördert.

Christian Stehle Junior IT Security Consultant und
Christopher Schöndube Senior IT Security Consultant

Das anstehende Inkraft-Treten der DSGVO im Mai 2018 hat die Bedeutung des Datenschutzes als unternehmenskritische Thematik in den Vordergrund gerückt.

Insbesondere für Unternehmen aus der Software-Branche ergeben sich daraus zahlreiche neue Herausforderungen. Bestehende Software muss im Hinblick auf die datenschutzrechtlichen Anforderungen der DSGVO evaluiert und ggf. angepasst werden; Kunden verlangen Compliance in Bezug auf abgebildete Prozesse und insbesondere die Verarbeitung personenbezogener Daten in der Software. Und nicht zuletzt – Software, die keine gesetzeskonforme Datenverarbeitung ermöglicht ist mangelhaft.

Art. 25 DSGVO fordert weiterhin explizit Datenschutz durch Technikgestaltung (‚Privacy by Design‘) sowie datenschutzfreundliche Voreinstellungen (‚Privacy by Default‘).

All diese Anforderungen gilt es, bereits im Software-Entwicklungsprozess nachhaltig zu verankern, um sowohl Qualität sicher zu stellen als auch um teure Nachbesserungen zu vermeiden.

Wie eine solche Implementierung aussehen kann, wird exemplarisch anhand der 5 Phasen des agilen Projektzyklus dargestellt:

1. Schritt: Erkennen. Verantwortlich: Product Owner, Projekt-Manager

Datenschutzrelevanz erkennen, Indikatoren hierfür sind bspw.

  • Personenbezogene Daten sind Bestandteil der User Story
  • Personenbezogene Daten werden an Dritte übermittelt
  • Big Data / Smart Data Bezug

2. Schritt: Beschreiben. Verantwortlich: Product Owner, Projekt-Manager, Datenschutzbeauftragter

Teil der User Story werden zwingend die datenschutzrechtlichen Anforderungen, bspw.

  • Datenschutzfreundliche Voreinstellungen
  • Datenverschlüsselung muss vorgesehen werden
  • Festlegung von Speicherfristen
  • Protokollierung von Zustimmungen
  • Rechte- / Rollenkonzept
  • Folgenabschätzung soweit erforderlich

3. Schritt: Umsetzen. Verantwortlich: Software-Developer

Die dem Stand der Technik entsprechende Umsetzung ist zu gewährleisten, bspw.

  • Anerkannte Richtlinien zur sicheren Software-Entwicklung (bspw. OWASP) werden berücksichtigt
  • Echtdaten müssen anonymisiert werden, bevor sie in Test- und Entwicklungssysteme gelangen
  • Einsatz anerkannter Verschlüsselungsverfahren

4. Schritt: Abnehmen. Verantwortlich: Product Owner, Projekt-Manager

Teil des Akzeptanz-Prozesses ist auch die Prüfung, ob die datenschutzrechtlichen Anforderungen korrekt umgesetzt wurden. Zusätzlich ist zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten ergänzt oder modifiziert werden muss.

5. Schritt: Betreiben. Verantwortlich: IT-Operations, Kunde

Soweit die Software selbst betrieben wird, ist insbesondere zu beachten:

  • Sicherstellung von Verfügbarkeit und Belastbarkeit der Systeme
  • Definition eines Desaster Recovery Prozesses
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Schutzmaßnahmen
  • Definition Backup-Prozess

Eine Umsetzung dieser Vorgehensweise hat sich in der Praxis als zuverlässige Methodik bewährt, setzt allerdings voraus, dass bei den Projektbeteiligten bereits eine Sensibilisierung für die Themen Datenschutz und Datensicherheit vorhanden ist. Insofern bietet es sich an, den Prozess im Rahmen einer Awareness-Kampagne zu etablieren.

Stephan A. Klein
Rechtsanwalt, Senior Consultant Datenschutz

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Entlastung Entsorgung ePrivacy ePVO Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG Security by Design Seitenbetreiber SHA1 sicher Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Swiss-US Privacy Shield Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung zulässig Zulässigkeit zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30