DSGVO – Ein Jahr EU-Datenschutz-Grundverordnung

DSGVO
Lesezeit: 3 Minuten

DSGVO – Seit fast einem Jahr ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.

Doch laut aktueller Umfrage* der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG), entsprechen noch immer nicht alle Unternehmen der Verordnung. Lediglich 12 Prozent (Oktober 2017: 4 Prozent) der befragten Unternehmen sollen bisher vollständig die Anforderungen der Verordnung erfüllt haben.

DSGVO
© DSAG – DSGVO

Knapp 83 Prozent (Oktober 2017: 66 Prozent) der befragten DSAG-Mitglieder haben einige Vorbereitungen getroffen, sind aber noch nicht komplett EU-DSGVO-konform. Für Ralf Peters, DSAG-Fachvorstand Anwendungsportfolio, ist das Ergebnis ein Jahr nach Inkrafttreten der EU-DSGVO keine Überraschung: „Wir wissen, dass sich viele unserer Mitgliedsunternehmen schon vor längerer Zeit auf den Weg gemacht haben, sich datenschutzkonform aufzustellen. Einige haben ein- oder zweijährige Projekte durchgeführt, um die EU-DSGVO zu implementieren.“ Erfolgsmeldungen seien aber vor allem von Großunternehmen zu hören, die entsprechende Mittel besäßen. Daher schätzt Ralf Peters, dass diese Unternehmen das Gros der zwölf Prozent (Oktober 2017: 4 Prozent) ausmachen, die inzwischen EU-DSGVO-konform sind.

Insgesamt hält der DSAG-Fachvorstand die Zahl der Unternehmen, die vollständig der Verordnung entsprechen, aber für deutlich zu niedrig. Insbesondere vor dem Hintergrund, dass sich die Voraussetzungen, unter denen Daten verarbeitet werden dürfen, durch die EU-DSGVO eigentlich kaum verändert hätten. „Lediglich zwei Aspekte sind neu. Erstens müssen Unternehmen jetzt für alle in der Grundverordnung vorgesehenen Verarbeitungen von Daten die geforderten Voraussetzungen nachweisen und diese umsetzen. Die Dokumentationspflichten sind gewachsen“, erläutert Ralf Peters. Zweitens habe die umfangreiche mediale Berichterstattung zur Einführung der EU-DSGVO speziell die Auskunftsrechte in den Vordergrund gerückt. Das führe zu vermehrten Anfragen zu diesem Thema und seitens der Unternehmen zu einem entsprechend erhöhten Aufwand, um der Informationspflicht gerecht zu werden.

Investitionsbereitschaft hoch

DSGVO
© DSAG – DSGVO

Insgesamt 77 Prozent der Befragten (Oktober 2017: 43 Prozent) haben zusätzliche Investitionen getätigt, um die EU-Datenschutz-Grundverordnung umzusetzen. 82 Prozent (Oktober 2017: 54 Prozent) der Unternehmen, die investiert haben, steckten laut Umfrage zusätzlich Geld in die IT-Beratung. Zudem haben etwa 50 Prozent (Oktober 2017: 40 Prozent) in Non-IT-Beratung investiert, knapp 27 Prozent in IT-Lizenzen (Oktober 2017: 14 Prozent) und etwa 17 Prozent (Oktober 2017: 18 Prozent) in sonstige Bereiche wie Hardware, Datenschutzsoftware oder Personal.

Auch in Zukunft stehen bei 72 Prozent der befragten Unternehmen weitere Investitionen in IT-Beratung, bei 39 Prozent in Non-IT-Beratung und bei 18 Prozent in IT-Lizenzen an. „Die Investitionsbereitschaft ist nach wie vor hoch. Daraus lässt sich schließen, dass das Schreckgespenst EU-DSGVO für viele noch nicht gebannt und die Angst vor Abmahnungen und Sanktionen durchaus in den Köpfen ist“, ordnet Ralf Peters ein.

Anwender fordern mehr Unterstützung von SAP

Bei fast 67 Prozent der befragten Unternehmen sind die Wege für die Auskunft und Benachrichtigung der betroffenen natürlichen Personen festgelegt und bereits betriebliche Übung. Und lediglich 13 Prozent haben in ihrem Unternehmen eine Datenschutzverletzung entdeckt und der Aufsichtsbehörde gemeldet. „Das zeigt, dass die Unternehmen, wenngleich sie vielleicht noch nicht alle zu 100 Prozent konform sind, doch auf einem guten Weg sind“, sagt Ralf Peters. Dazu habe auch die DSAG ihren Teil beigetragen und werde dies auch künftig weiterhin tun. Beispielsweise mit einem Informationstag am 05.06.2019 zum Thema „Datenschutz mit SAP: 1 Jahr EU-DSGVO“ in St. Leon-Rot, der mit Unterstützung von SAP in St. Leon-Rot ausgerichtet wird. „Laut Umfrage-Ergebnis fühlen sich derzeit knapp 49 Prozent der Befragten bei diesem Thema von der DSAG ausreichend begleitet. Hier möchten wir ansetzen und weiter für Aufklärung sorgen“, erläutert der DSAG-Fachvorstand.

DSGVO
© DSAG – DSGVO

Weniger positiv fällt das Ergebnis hinsichtlich der Unterstützung von SAP aus. Hier sehen die Mitglieder weiterhin Nachholbedarf. Während nur etwa 17 Prozent (Oktober 2017: 11 Prozent) der Befragten mit der Unterstützung durch SAP sehr zufrieden oder zufrieden sind, erwarten etwa 69 Prozent (Oktober 2017: 72 Prozent) mehr. Sie sind nur mäßig oder gar nicht zufrieden mit dem, was SAP bezogen auf die Umsetzung der Datenschutz-Grundverordnung im SAP-System bietet. DSAG und SAP führen bei diesem Thema ihre bewährte Partnerschaft fort. In verschiedenen DSAG-Gremien werden die Anforderungen der Mitglieder an die SAP-Lösungen diskutiert und in konstruktiv-kritischem Dialog erörtert.

*Erhebungsgrundlage der Umfrage

Die DSAG hat im März 2019 eine Online-Umfrage bei 105 Mitgliedspersonen durchgeführt. Zum Vergleich wurde im Oktober 2017 eine Online-Umfrage bei 158 Mitgliedspersonen durchgeführt.

Quelle: DSAG

Über DSAG

Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) ist einer der einflussreichsten Anwenderverbände der Welt. Mehr als 60.000 Mitglieder aus über 3.500 Unternehmen bilden ein starkes Netzwerk, das sich vom Mittelstand bis zum DAX-Konzern und über alle wirtschaftlichen Branchen in Deutschland, Österreich und der Schweiz (DACH) erstreckt. Auf Basis dieser Reichweite gewinnt der Industrieverband fundierte Einblicke in die digitalen Herausforderungen im DACH-Markt. Die DSAG nutzt diesen Wissensvorsprung, um die Interessen der SAP-Anwender zu vertreten und ihren Mitgliedern den Weg in die Digitalisierung zu ebnen. Weitere Informationen finden Sie unter: www.dsag.dewww.dsag.atwww.dsag-ev.ch

DSGVO – Europäischer Datenschutzausschuss verabschiedet Leitlinien zur Interpretation des Art. 6 Abs. 1 b

DSGVO
Lesezeit: 1 Minute

Mit den gestern beschlossenen „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschränkt der Europäische Datenschutzausschuss die Möglichkeit für Unternehmen, die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ zu stützen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Annahme der Leitlinien ausdrücklich: Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.

Nach Art. 6 Abs. 1 b DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Vertragserfüllung erforderlich ist. In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Vielmehr ist eine wertende Entscheidung unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz notwendig. Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden.

Das Papier kann in den nächsten Wochen von interessierten Stellen im Rahmen einer öffentlichen Konsultation kommentiert werden.

Quelle: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Person Name

Beratung DSGVO Löschkonzepte im SAP Umfeld

+1787770800

DSGVO – Datenschutz-Grundverordnung: Blick auf ihre Stärken und Chancen richten!

DSGVO
Lesezeit: 2 Minuten

DSGVO – Fazit des Bayerischen Landesbeauftragten für den Datenschutz aus Anlass des 13. Europäischen Datenschutztags

Die DSGVO gilt seit 25. Mai 2018 in Deutschland und damit auch in Bayern unmittelbar und allgemein.

Nach dem Eindruck des Bayerischen Landesbeauftragten für den Datenschutz wurden im Vorfeld und zu Beginn der Geltung der DSGVO viele unbegründete Ängste geschürt. Jedenfalls wurde im Jahr 2018 vor allem über bürokratische Lasten und drohende Bußgelder diskutiert, die mit der DSGVO einhergehen könnten. Dokumentationspflichten für ehrenamtlich geführte Vereine, das Abmontieren von Namensschildern an Türklingeln und das Nichtaufhängen von Kinderwünschen an örtlichen Weihnachtsbäumen bestimmten insoweit die Schlagzeilen.

Nicht zuletzt der Fall des Datenklaus bezüglich etwa tausend Personen des öffentlichen Lebens wie Journalisten und Politikern hat gezeigt: In den Diskussionen waren oft die eigentlichen Zielsetzungen der DSGVO aus dem Blick geraten – wie etwa die Transparenz der Verarbeitung für die betroffenen Menschen und die effektive Sicherung von IT-Systemen, die eine integre und vertrauliche Datenverarbeitung gewährleistet.

Die DSGVO soll damit in erster Linie dazu beitragen, dass Europa die Chancen der Digitalisierung nutzen kann und gleichzeitig die Privatsphäre der Menschen effektiv schützt. Dazu hat das EU-Datenschutzrecht im Vergleich zum bisherigen deutschen Recht die Anforderungen an die Verarbeitung personenbezogener Daten zwar teilweise abgesenkt. Im Gegenzug aber hat sie die Rechte der betroffenen Menschen gestärkt.

Prof. Dr. Thomas Petri: “Das Datenschutzjahr 2018 war in der öffentlichen Diskussion vor allem von skurril anmutenden Einzelfällen und bürokratischen Lasten geprägt, die die DSGVO mit sich bringe. Demgegenüber sollten wir im Jahr 2019 den Blick stärker darauf richten, wie die DSGVO die Rechte der Betroffenen stärkt und welche positiven Antworten sie auf die Herausforderungen der Zukunft geben kann.”

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Sie hat das Ziel, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Quelle: Bayerische Landesbeauftragte für den Datenschutz

Patrick Upmann

Beratung DSGVO Löschkonzepte

+491787770800

DSGVO – Datenschutz Folgenabschätzung bei bayerischen Behörden

DSGVO
Lesezeit: 2 Minuten

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht die “Bayerische Blacklist” zur Datenschutz-Folgenabschätzung mit umfangreichem Begleitmaterial.

Mit Einführung der Datenschutz-Grundverordnung – DSGVO wurde das für die Tätigkeit der bayerischen Behörden maßgebliche Datenschutzrecht 2018 grundlegend reformiert. Bekannte und bewährte Regelungen des alten Rechts stehen seither neben noch ungewohnten Bestimmungen, die in der Verwaltungspraxis erst einmal “ankommen” müssen – auch, weil Arbeitsabläufe anzupassen und Erfahrungen neu zu gewinnen sind.

DSGVO – Die Datenschutz-Folgenabschätzung gab es im alten Recht nicht. Schon vor der Datenschutzreform 2018 waren Behörden, die personenbezogene Daten verarbeiten, aber verpflichtet, für ein ausreichendes Maß an Datensicherheit zu sorgen. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der für sie Verantwortliche nach dem neuen Recht nun eine Datenschutz-Folgenabschätzung durchführen. DSGVO – Dabei erarbeitet er strukturiert eine Beschreibung der Risiken und setzt ihnen geeignete technische und organisatorische Maßnahmen entgegen.

DSGVO – Bayerische Behörden sind für zahllose Datenverarbeitungen verantwortlich. Darunter können sich auch solche Verarbeitungen befinden, die einer Datenschutz-Folgenabschätzung bedürfen. Um die Identifizierung dieser “Hochrisiko-Verarbeitungen” zu erleichtern, habe ich heute die “Bayerische Blacklist” veröffentlicht, welche die wichtigsten Fälle aufzählt. Dazu bin ich nach der Datenschutz-Grundverordnung im Übrigen verpflichtet. DSGVO – Zur Unterstützung der bayerischen Behörden habe ich außerdem meine bereits Mitte Mai 2018 veröffentlichte Orientierungshilfe “Datenschutz-Folgenabschätzung” überarbeitet und um ein neues, ausführliches Arbeitspapier zur Methodik ergänzt. Eine Fallstudie zeigt hier beispielhaft, wie eine Datenschutz-Folgenabschätzung IT-gestützt effektiv und effizient erarbeitet werden kann. Sie illustriert zugleich den Nutzen, den dieses Instrument im Rahmen eines geordneten Risikomanagements hat.

DSGVO – Die “Bayerische Blacklist”, die aktualisierte Orientierungshilfe mit dem zugehörigen neuen Arbeitspapier sowie die im Rahmen der Fallstudie eingesetzte Software – eine deutsche Version des bewährten, von der französischen Datenschutz-Aufsichtsbehörde herausgegebenen PIA-Tools – stehen seit heute auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik “Datenschutzreform 2018” zum kostenlosen Download bereit. Prof. Dr. Thomas Petri: “Die Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, um die Rechte und Freiheiten natürlicher Personen bei Datenverarbeitungen mit voraussichtlich hohem Risiko zu schützen. Meine Beratungspraxis hat allerdings gezeigt, dass bei vielen bayerischen öffentlichen Stellen immer noch große Unsicherheiten bestehen, wann und wie eine Datenschutz-Folgenabschätzung genau durchzuführen ist. Mit der ‚Bayerischen Blacklist‘ und dem umfangreichen Begleitmaterial möchte ich hier Hilfe und Orientierung für die behördliche Praxis bieten.”

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Cyber Sicherheit – BSI führt IT-Grundschutz-Testat nach Basis-Absicherung ein

DSGVO
Lesezeit: 2 Minuten

Die Basis-Absicherung der eigenen IT-Systeme ist der erste wichtige Schritt zu einer umfassenden Umsetzung von Informationssicherheitsmaßnahmen für viele Unternehmen, Behörden und Institutionen.

Cyber Sicherheit – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet nun ein Testat nach der Basis-Absicherung der gleichnamigen Vorgehensweise aus dem IT-Grundschutz an. Die Basis-Absicherung bietet einen praktikablen Einstieg in das Thema Cyber Sicherheit und legt den Fokus auf eine grundlegende Erst-Absicherung und schnell realisierbare Maßnahmen über alle Geschäftsprozesse, Daten und Komponenten hinweg. Hierzu erklärt BSI-Präsident Arne Schönbohm: “Cyber-Sicherheit kann und sollte von jedem Unternehmen und jeder Behörde ernst genommen werden. Der Aufbau eines Managementsystems für Informationssicherheit darf dabei keine noch so kleine oder große Organisation abschrecken. Das BSI gibt KMU, Behörden und Institutionen mit dem Testat nach Basis-Absicherung eine praktische Lösung an die Hand, um einen Ressourcen schonenden Einstieg in das wichtige Thema Informationssicherheit zu schaffen.”

Cyber Sicherheit – Ein Testat nach der Basis-Absicherung wird für zwei Jahre durch einen zertifizierten IT-Grundschutz-Auditor vergeben. Nach Ablauf dieser Zeit kann ein Testat wieder neu beantragt werden. Unternehmen und Behörden können mit der Basis-Absicherung den Grundstein zum Aufbau eines Managementsystems für Informationssicherheit legen. Institutionen, die ihre Aktivitäten weiter ausbauen möchten, sollten im nächsten Schritt die Standard-Absicherung umsetzen. Hierbei ist eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz möglich.

Muster eines IT-Grundschutz-Testats nach Basis-Absicherung

Weitere Informationen finden Sie unter https://www.bsi.bund.de/testate

Über den IT-Grundschutz

Cyber Sicherheit – Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik ist ein bewährtes Verfahren, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Ein systematisches Vorgehen ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium in den IT-Grundschutz-Bausteinen konkrete Anforderungen.

Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik

IT Security – Forscher finden Schwachstellen in E-Mail-Signaturprüfung

DSGVO
Lesezeit: 1 Minute

IT Security – Schwachstellen in den Implementierungen der weitverbreiteten E-Mail- Verschlüsselungsstandards S/MIME und OpenPGP

IT Security – Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die Entwickler von E-Mailclientsoftware wurden vor der Veröffentlichung informiert und haben Updates zur Verfügung gestellt. Die genannten E-Mail-Verschlüsselungsstandards können daher nach Einschätzung des BSIweiterhin sicher eingesetzt werden, sofern sie wie folgt konfiguriert sind:

  • Die E-Mailclientsoftware muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden
  • Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind

IT Security – Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Das BSI hat bislang keine Kenntnis darüber, dass entsprechende Manipulationen von Angreifern bereits durchgeführt wurden.
Zur Ausnutzung der gefundenen Schwachstellen nutzten die Sicherheitsforscher verschiedene Angriffsmethoden. Dabei werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.

Coordinated Vulnerability Disclosure

IT – Security – Das BSI ist seit März 2019 durch das Forscherteam in den sogenannten Coordinated-Vulnerability-Disclosure-Prozess eingebunden worden. Dieser dient dazu, Herstellern die Möglichkeit zu geben, Patches für gefundene Schwachstellen zu entwickeln, bevor diese Schwachstellen öffentlich werden. Dies reduziert die Zeitspanne deutlich, in der Angreifer neue Schwachstellen ausnutzen können. Das BSI nimmt hierbei eine neutrale und unterstützende Rolle ein, die Hoheit über den Prozess liegt bei den Findern der Schwachstellen.

Quelle: BSI

Cyber Sicherheit – BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen

DSGVO
Lesezeit: 3 Minuten

Derzeit registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) enden.

Dabei verschaffen sich die Angreifer mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchen die Angreifer etwaige Backups zu manipulieren oder zu löschen und bringen dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus. Dabei kommt es teilweise zu erheblichen Störungen der Betriebsabläufe. Durch dieses aufwändige Vorgehen können Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall war. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschaffen. Das BSI hat über CERT-Bund und die Allianz für Cyber-Sicherheit eine Cyber-Sicherheitswarnung mit technischen Details und Handlungsempfehlungen ausgesprochen.

“Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann. Nur wenn wir Informationssicherheit als Voraussetzung der Digitalisierung begreifen, werden wir langfristig von ihr profitieren können. Das BSI kann Unternehmen dabei etwa im Rahmen der Allianz für Cyber-Sicherheit unterstützen. IT-Sicherheit muss zum neuen Made in Germany in der Digitalisierung werden”, so BSI-Präsident Arne Schönbohm.

Bedrohungslage

Das beschriebene Vorgehen kann derzeit mit mehreren unterschiedlichen Ransomware-Varianten beobachtet werden. So konnte das BSI in den letzten Monaten großangelegte Malware-Kampagnen analysieren, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallsvektor dienten. Nach einer erfolgreichen Infektion wurde häufig weitere Malware (z.B. “Trickbot”) nachgeladen, um sich im Netzwerk auszubreiten, Zugangsdaten zu erbeuten und das Netzwerk bzw. die Systeme auszuwerten. Nach einer erfolgreichen Ransomware-Infektion sind teilweise sehr hohe Bitcoin-Forderungen gestellt worden. Dabei sind wiederholt keine pauschalen Forderungen aufgestellt, sondern individuelle Zahlungen ausgehandelt worden.

Insbesondere in Deutschland ist diese Vorgehensweise verstärkt mit der Ransomware GandCrabbeobachtet worden. Bei den bekannten Fällen haben die Angreifer sich zunächst über Fernwartungstools (z.B. RDP, RescueAssist, LogMeIn) Zugriff auf das Netzwerk verschafft, auf verschiedenen Systemen im Netzwerk der Opfer eine Backdoor installiert, potentielle weitere Opfer ausgespäht und schließlich die Ransomware zur Ausführung gebracht. Entsprechende Warnungen der Landeskriminalämter sind bereits erfolgt.

Anhang: Bewertung und Maßnahmen

Bewertung

Obwohl bei dem beschriebenen Szenario prinzipiell keine neuartigen Angriffstechniken verwendet werden, waren derartig gezielte und manuell ausgeführte Angriffe im Cybercrime-Umfeld bisher selten zu beobachten. Hierbei sind insbesondere die folgenden drei Aspekte zu berücksichtigen.

  1. Jede einfache Infektion kann zu einem gezielten Angriff führen
    Da die Angreifer sich zunächst über groß-angelegte Kampagnen Zugriff auf viele Netzwerke verschaffen, kann jede Primär-Infektion (z.B. mit “Emotet”) später weitreichende Folgen haben. Daher sollte jede Infektion sehr ernst genommen werden und genau geprüft werden, welche Zugangsdaten potentiell abgeflossen sein könnten und Maßnahmen ergriffen werden, die eine spätere Rückkehr des Angreifers verhindern.
  2. Es droht ein kompletter Datenverlust
    Im Gegensatz zu automatisierten und breit-angelegten Ransomware-Kampagnen, bedeuten diese manuell ausgeführten Angriffe einen deutlich höheren Arbeitsaufwand für die Angreifer. Da sie dadurch jedoch gezielt lukrativere Ziele angreifen und u.U. Backups so manipulieren bzw. löschen, dass diese nicht mehr zur Wiederherstellung der Systeme zur Verfügung stehen, können die Angreifer wesentlich höhere Lösegeldbeträge fordern. Unternehmen, die über keine Offline-Backups verfügen, verlieren bei diesem Vorgehen alle Backups, selbst wenn diese auf externen Backup-Appliances liegen. Dem BSI sind mehrere Fälle bekannt, bei denen die Verschlüsselung aller Systeme sowie der Backup-Appliances nicht in eine Risikobewertung einbezogen wurde, weshalb die betroffenen Unternehmen alle Daten verloren haben.
  3. Gefahr für deutsche Unternehmen steigt
    Das BSI beobachtet einen Anstieg der Fallzahlen bei Deutschen Unternehmen mit teilweise existenzbedrohenden Datenverlusten. Dabei haben unterschiedliche Gruppen unterschiedliche Ransomware und Tools verwendet.

Aufgrund der aktuellen Zunahme solcher Vorfälle weist das BSI auf die bestehende besondere Bedrohung hin.

Maßnahmen

1. Schutz vor Primär-Infektionen (siehe bestehende Empfehlungen zu “Emotet”)

2. Überprüfung von Verbindungen von Dienstleistern zu Kunden

Unternehmen, die eine Malware-Infektion erlitten haben, sollten Geschäftspartner oder Kunden zeitnah über den Vorfall informieren und auf mögliche zukünftige Angriffsversuche per E-Mail mit gefälschten Absenderadressen Ihrer Organisation hinweisen.

Um sicherzugehen, dass die Unternehmen nicht selbst durch einen Geschäftspartner oder Dienstleister infiziert werden, sollten Netzwerkzugriffe und die Berechtigungen von externen Dienstleistern überprüft werden. Sollte der Dienstleister selbst Opfer eines Ransomware-Angriffs werden, könnten die Angreifer sonst z.B. über existierende VPN-Verbindungen in das eigene Firmennetzwerk eindringen.

3. Schutz vor Ransomware

Grundsätzlich gilt: Das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen.

Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Um die Integrität und Verfügbarkeit der vorhandenen Backups zu schützen, sollten diese zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.

Ausführlichere Informationen zum grundsätzlichen Schutz vor Ransomware-Angriffen können den weiteren Publikationen des BSI entnommen werden (Allianz für Cybersicherheit: “Schutz vorRansomware v2.0”Bundesamt für Sicherheit in der Informationstechnik: “Ransomware – Bedrohungslage, Prävention & Reaktion”Bundesamt für Sicherheit in der Informationstechnik: “Lagedossier Ransomware”).

Die Meldestelle des Nationalen IT-Lagezentrums und die Meldestelle der Allianz für Cyber-Sicherheit stehen Unternehmen ebenfalls zur Verfügung.

Quelle: BSI

Digitalisierung – Jedes fünfte Unternehmen investiert 2019 in digitale Geschäftsmodelle

DSGVO
Lesezeit: 6 Minuten

Digitalisierung kommt in den deutschen Unternehmen an

  • Unternehmen stellen steigenden Wettbewerbsdruck fest und passen Produkte und Dienstleistungen an
  • Großer Nachholbedarf beim Einsatz neuer Technologien


Die Digitalisierung kommt in aller Breite in der Wirtschaft an. Deutlich mehr Unternehmen stellen einen steigenden Wettbewerbsdruck durch die Digitalisierung fest und passen Produkte und Dienstleistungen an. So sagen zwei Drittel (65 Prozent) der Unternehmen ab 20 Mitarbeiter aus allen Branchen, dass IT- und Internet-Unternehmen in ihren Markt drängen, im vergangenen Jahr waren es erst 57 Prozent. Aber auch Unternehmen anderer Branchen werden durch die Digitalisierung plötzlich zu direkten Wettbewerbern – das erleben 60 Prozent der Unternehmen (2018: 53 Prozent). Und 42 Prozent räumen ein, dass ihnen Wettbewerber aus der eigenen Branche, die frühzeitig auf Digitalisierung gesetzt haben, nun voraus sind (2018: 37 Prozent). Das ist das Ergebnis einer repräsentativen Umfrage unter 606 Unternehmen aller Branchen im Auftrag des Digitalverbands Bitkom, die heute im Rahmen des Technologie-Festivals hub.berlin vorgestellt wurde. Die Unternehmen reagieren auf diese neuen Wettbewerbsbedingungen immer stärker mit einer Veränderung ihres Angebots. So passen rund drei Viertel (72 Prozent) bestehende Produkte und Dienstleistungen an, vor einem Jahr waren es erst 63 Prozent. Erstmals sagt mehr als die Hälfte (53 Prozent, 2018: 48 Prozent), dass sie in Folge der Digitalisierung völlig neue Produkte und Dienstleistungen anbieten – und mit 45 Prozent (2018: 37 Prozent) nehmen auch sehr viel mehr Unternehmen aus diesem Grund Produkte und Dienstleistungen vom Markt. „Digitalisierung erzeugt mehr Wettbewerb und dieser Wettbewerb führt zu mehr Innovationen“, sagte Bitkom-Präsident Achim Berg. 

Nur jedes fünfte Unternehmen investiert in digitale Geschäftsmodelle

Allerdings geben aktuell gerade einmal 15 Prozent aller Unternehmen an, dass sie einen Digital-Verantwortlichen wie einen Chief Digital Officer (CDO) oder Leiter Digitalisierung eingesetzt haben. Und jedes vierte Unternehmen (26 Prozent) verfolgt keinerlei Strategie zur Bewältigung des digitalen Wandels. Über eine zentrale unternehmensweite Digitalstrategie verfügt gerade einmal jedes dritte Unternehmen (33 Prozent). Und nur jedes fünfte Unternehmen (22 Prozent) will im laufenden Jahr gezielt in die Entwicklung neuer digitaler Geschäftsmodelle investieren. Rund jedes Zweite (54 Prozent) hat dies in der Vergangenheit getan, stellt aber in diesem Jahr dafür keine Ressourcen bereit. Und ebenfalls jedes fünfte Unternehmen (21 Prozent) hat bislang noch nie in digitale Geschäftsmodelle investiert. „Keine personelle Verantwortung, keine Zeit, kein Geld – so macht man keine Digitalisierungsstrategie“, mahnte Berg. „Damit die Weltmarktführer von heute auch in Zukunft an der globalen Spitze stehen, müssen sie jetzt in die Geschäftsmodelle von morgen investieren. Und das Geschäft von morgen ist ausschließlich digital.“

„Digitalisierung – Jedes fünfte Unternehmen investiert 2019 in digitale Geschäftsmodelle“ weiterlesen

Digitale Doppelgänger – Perfide Kartenbetrugsmasche

DSGVO
Lesezeit: 3 Minuten

Perfide Kartenbetrugsmasche: Kaspersky Lab warnt vor digitalen Doppelgängern

Digitale Doppelgänger – Online-Shop im Darknet verkauft zehntausende digitale Doppelgänger zur Umgehung von Anti-Fraud-Lösungen. Anbieter von Finanztransaktionen im Visier der Cyberkriminellen.

Kaspersky Lab veröffentlicht die Ergebnisse einer Untersuchung [1]des im Darknet angesiedelten Untergrund-Online-Shops „Genesis“, einer Plattform, auf der mehr als 60.000 gestohlene, tatsächlich existierende digitale Identitäten gehandelt werden. Mit diesen kann Kreditkartenbetrug wesentlich erleichtert werden. Mit dem Marktplatz sowie weiteren schädlichen Tools lässt sich das eigentlich zur Betrugsverhinderung gedachte, auf maschinellem Lernen basierende Konzept digitaler Masken (Digital Masks) missbrauchen. Über solche Masken kann jedem Kunden ein eindeutiges, vertrauenswürdiges Profil auf Basis bekannter Geräte- und Verhaltenscharakteristiken zugeordnet werden– außer es ist ein digitaler Doppelgänger im Spiel.

Digitale Doppelgänger – Wenn Nutzer bei Online-Transaktionen Finanz-, Zahlungs- oder persönliche Informationen auf einer Webseite eingeben, kommen meist fortschrittliche, analytische und auf maschinellem Lernen basierende Anti-Fraud-Lösungen zum Einsatz, um abzugleichen, ob die User-Daten einer bestimmten digitalen Maske entsprechen. Diese Masken sind für jeden Anwender individuell; sie bringen die vom Nutzer normalerweise beim Banking- beziehungsweise Bezahlprozess auf Geräten oder im Browser hinterlassenen digitalen Fingerprints – wie Informationen über den Bildschirm und das Betriebssystem oder Browserdaten wie Header, Zeitzone, installierte Plug-ins und Fenstergröße – mit fortschrittlichen Analyse- und maschinelle Lernmethoden zusammen. Dazu gehören zum Beispiel individuelle Cookies der Nutzer sowie deren Online– und Rechner-Verhalten. So können Anti-Fraud-Teams von Finanzorganisationen erkennen, ob es sich tatsächlich um einen legitimen Kunden handelt, der seine Zugangsdaten eingibt, oder ob ein krimineller Carder versucht, sich Waren und Dienstleistungen mit gestohlenen Kreditkartendaten zu erschleichen. Entsprechend wird eine Transaktion akzeptiert, abgelehnt oder einer weiteren Prüfung unterzogen.

Gefahr digitale Doppelgänger

Allerdings lassen sich die digitalen Masken auch kopieren oder gänzlich neu anlegen. Laut der Kaspersky-Analyse setzen Cyberkriminelle aktiv auf sogenannte digitale Doppelgänger, um fortschrittliche Anti-Fraud-Lösungen zu überlisten. So entdeckten die Sicherheitsexperten im Februar 2019 im Darknet einen Marktplatz namens Genesis, auf dem digitale Masken und Nutzer-Accounts zu Stückpreisen zwischen fünf und 200 US-Dollar verkauft werden. Dabei können sowohl bereits gestohlene Masken als auch Zugangsdaten (Benutzername und Passwort) für Online-Shops und Bezahldienstleister erworben werden, mit denen über entsprechende Browser- und Proxy-Einstellungen die Aktivität eines legitimen Anwenders vorgetäuscht werden kann. Mit den passenden Zugangsdaten erhalten Angreifer Zugriff auf Onlinekonten und können neue, eigene Transaktionen im Namen eines mutmaßlichen Kunden glaubwürdig ausführen.

„Kartenbetrug ist ganz klar ein weltweiter und wachsender Trend“, warnt Sergey Lozhkin, Sicherheitsforscher bei Kaspersky Lab. „Obwohl Unternehmen stark in Anti-Fraud-Lösungen investieren, sind digitale Doppelgänger nur schwer ausfindig zu machen. Um diese Gefahr einzudämmen, muss die Infrastruktur der Betrüger zerschlagen werden. Wir möchten daher Strafverfolgungsbehörden weltweit darauf aufmerksam machen, diese Form des Betrugs stärker ins Auge zu fassen und sich an deren Bekämpfung zu beteiligen.“

Mit anderen Tools können Angreifer auch gänzlich neue digitale Masken anlegen, um Anti-Fraud-Lösungen zu überlisten. Die Kaspersky-Experten haben mit dem Tenebris-Browser eines dieser Tools identifiziert und analysiert, das mit einem eingebauten Konfigurationsgenerator ausgerüstet ist, der eindeutige digitale Fingerprints erstellt.  Einmal erstellt, kann der Carder die Maske einfach über einen Browser und eine Proxy-Verbindung starten und beliebige Transaktionen online ausführen.

Kartenbetrügern das Handwerk legen

Kaspersky Lab empfiehlt Unternehmen, die Transaktionen im Internet anbieten, folgende Maßnahmen, um nicht zum Opfer digitaler Doppelgänger zu werden:

  • Multifaktor-Autorisierung in jeder Phase des Nutzeridentifikations-Prozesses ermöglichen;
  • Neue Methoden zur erweiterten Verifikation einführen, zum Beispiel über biometrische Merkmale;
  • Fortschrittliche Analyse-Methoden für das Nutzerverhalten einsetzen;
  • Threat Intelligence Feeds in SIEM [2] und andere Sicherheitskontrollen integrieren. Das ermöglicht den Zugang zu den wichtigsten und neuesten Bedrohungsinformationen, um auf mögliche Angriffe vorbereitet zu sein.

Mehr Informationen über die Gefahren durch digitale Doppelgänger sind zu finden unter https://securelist.com/digital-doppelgangers/90378/

[1] https://securelist.com/digital-doppelgangers/90378/

[2] https://www.kaspersky.de/enterprise-security/threat-intelligence

Nützliche Links:

Über Kaspersky Lab

Kaspersky Lab ist ein global agierendes Cybersicherheitsunternehmen, das seit über 20 Jahren auf dem Markt tätig ist. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky Lab ist Basis für Next Generation Sicherheitslösungen und -Services zum Schutz von Unternehmen, kritischen Infrastrukturen, staatlichen Einrichtungen sowie Privatanwendern weltweit. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung vor komplexen und aufkommenden Cyberbedrohungen. Mehr als 400 Millionen Nutzer und 270.000 Unternehmenskunden werden von den Technologien von Kaspersky Lab geschützt.

Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter https://de.securelist.com/ und auf dem Kaspersky-Blog auf http://blog.kaspersky.de/ abrufbar.

Quelle: Kaspersky

Digitale Transformation – Wirecard Mitglied im Retailtech Hub von MediaMarktSaturn und Plug and Play

Digitale Transformation
Lesezeit: 2 Minuten

Digitale Marktführer und Start-ups bringen gemeinsam Innovationen in den Handel

Wirecard Mitglied im Retailtech Hub von MediaMarktSaturn und Plug and Play

© Wirecard

  • Im Retailtech Hub werden neue Technologien und digitale Geschäftsmodelle getestet und auf den Markt gebracht
  • Die Partnerschaft unterstreicht das Engagement von Wirecard, die Zukunft des digitalen Handels mitzugestalten – Digitale Transformation

Digitale Transfromation – Wirecard, der global führende Innovationstreiber für digitale Finanztechnologie, geht eine Partnerschaft mit Retailtech Hub ein, einer digitalen Innovationsplattform, die von MediaMarktSaturn und dem globalen Startup-Ökosystem Plug and Play initiiert wurde. Retailtech Hub verknüpft Start-ups, Einzelhändler, bekannte Marken, Lieferanten und Investoren mit dem Ziel, zukunftsweisende Innovationen im Bereich Retail-Technologie voranzutreiben. Digitale Transfromation – Zu den Handelspartnern gehören unter anderem Marktführer wie Lidl und s.Oliver. 

Digitale Transfromation – Retailtech Hub wurde 2017 gegründet und konzentriert sich darauf, innovative Ideen zu identifizieren und diese über Pilotprojekte in die Welt des Handels zu übertragen. Die Mission ist es, einen offenen Erfahrungsaustausch zwischen Unternehmenspartnern zu ermöglichen und Start-ups in einem Mentoring-Programm zu begleiten, um deren Entwicklung und Wachstum voranzutreiben. Im Mittelpunkt der Initiative stehen alle Themen entlang der Wertschöpfungskette von Handel und Einzelhandel. 

Im Mittelpunkt der Kooperation steht die digitale Transformation im globalen Handel. Über Partnerschaften und Kooperationen sorgt Retailtech Hub dafür, dass Händler sowie ihre Partner ihre Kernstrategien für die Herausforderungen des digitalen Wandels optimieren. Dabei nehmen Payment- und Finanzprodukte sowie auf Zahlungsströmen basierende Datenauswertungen eine zentrale Rolle ein.

„Eines unserer Kernziele bei Wirecard ist es, Innovationen zu fördern und die Zukunft des Handels rund um Finanztransaktionen zu gestalten. Die Zusammenarbeit mit MediaMarktSaturn und Plug and Play bietet uns spannende Ansätze, um neue Geschäftsmodelle zu etablieren und innovative Technologien weiterzuentwickeln. Zielsetzung ist es, dabei immer für Wachstums-Impulse im weltweiten Portfolio der Wirecard-Plattform zu sorgen“, sagt Jörn Leogrande, EVP Wirecard Labs.

Digitale Transfromation – „In einer Zeit, in der der Zahlungsverkehr für Kunden eine so wichtige Rolle spielt, freuen wir uns, Wirecard als neuen Partner begrüßen zu dürfen. Unser Ziel ist es, die Welt des Handels mit den besten Start-ups und digital affinen Unternehmen zu verändern. Als globaler Innovationsführer für digitale Finanztechnologie passt Wirecard perfekt zu uns. Wir sind gespannt, wie Wirecard spannenden neuen Unternehmen und Technologien mit Rat und Tat zur Seite stehen wird“, ergänzt Thorsten Marquardt, Managing Director des Retailtech Hubs. 

Quelle:Wirecard

Patrick Upmann

Patrick Upmann

Digitale Transformation