Der Schutz der persönlichen Daten

Der Fahrdienstleister Uber war von einem massiven Hackerangriff und Datenverlust betroffen, bei dem die Daten von 57 Millionen Fahrern und Nutzern gestohlen wurden.

Was sollten Nutzer grundsätzlich beachten, wenn ihre Identität gestohlen oder sensible Daten in Umlauf gebracht werden? Stefan Kühn, Director Consumer, Central Region von Norton by Symantec hat dazu untenstehende Tipps zusammengestellt.

  • Ändern Sie Ihren Nutzernamen und Ihre Passwörter für Onlinekonten. Verwenden Sie starke und einzigartige Passwörter für Computer, IoT-Geräte, WLAN-Netzwerke und Onlinezugänge. Verlassen Sie sich nicht auf Standardpasswörter wie »123456« oder »Passwort«. Erstellen Sie komplexe Passwörter, die schwierig zu erraten sind, und ändern Sie diese regelmäßig. Außerdem sollten Sie unterschiedliche Nutzernamen und Passwörter für jeden Online-Account nutzen. Wenn die Zugangsdaten zu einem Account verloren gehen, erhalten Hacker keinen Zugang zu weiteren Nutzerkonten mit denselben Daten.
  • Bei allen E-Mails, die (vorgeben) mit einer Datenpanne zu tun zu haben, ist äußerste Vorsicht geboten. Denn häufig gibt es im Zusammenhang mit spektakulären Datenpannen vermehrt Phishing-Versuche von Cyberkriminellen.
  • Erhöhte Achtsamkeit ist auch bei Websites ratsam, die bei einer Datenpanne einen Check anbieten, ob die eigenen Daten betroffen sind. Unseriöse Anbieter könnten die übermittelten Informationen nutzen, um Nutzer zu ermitteln, die sich Sorgen um ihre Daten machen und versuchen, diese zu erpressen. Prüfen Sie deshalb mit frei zugänglichen Diensten wie Norton Safe Web, ob der jeweilige Anbieter seriös ist.
  • Gehen Sie unter keinen Umständen auf Angebote ein, ihre Daten aus den geleakten Daten entfernen zu lassen. Das ist schlicht nicht möglich. Denn nach einer Datenpanne sind Informationen breit zugänglich. Zudem befinden sich in der Regel binnen kürzester Zeit unzählige Kopien im Umlauf.
  • Beobachten Sie Ihre Bank-Accounts, Kontoauszüge etc. genau. Nutzen Sie die »Activity Alerts« wie eine Kontoübersicht der Banken, Finanzinstitute etc. bei denen Sie Kunde sind. Bei Hinweisen auf ungewöhnliche Kontobewegungen sollten Sie sich umgehend mit der jeweiligen Bank in Verbindung setzen.

 

Außerdem finden Sie einen zum Thema passenden englischsprachigen Blogpost unter folgendem Link: https://us.norton.com/internetsecurity-privacy-ridesharing-privacy-ride.html.

 


 

Erpressung in neuer Dimension

Die Diskussion über Datensicherheit im Zusammenhang mit der Datenschutz Grundverordnung wird in Deutschland und anderen Teilen der Welt gerade mit viel Verve geführt, da überrascht Bloomberg mit einer Nachricht: Offensichtlich hat die Firma Uber Technologies Hacker dafür bezahlt, die von ihnen gestohlenen Daten personenbezogener Art nicht zu veröffentlichen. Das Unternehmen selbst bestätigt, dass etwa 50 Millionen Uber-Nutzerkonten weltweit vom Diebstahl betroffen und dass es sich bei den »verlorenen« Daten um solche wie Namen, Adressen und E-Mailadressen handelt. Ebenfalls immer noch typische Abwiegelung eines betroffenen Unternehmens: Keine Social Security-Nummern, Kreditkarteninformationen oder Standortdaten wurden gestohlen. Ist der Vorfall dann also harmlos?

In den USA bricht gerade ein Sturm der Entrüstung über Uber herein, weil die Verantwortlichen lieber 100.000 US-Dollar an Kriminelle zahlten, als ihrer gesetzlichen Verpflichtung nachzukommen und die Betroffenen zu informieren.

Trend Micro warnt schon seit Monaten davor, dass die Methode, Unternehmen mit gestohlenen Daten zu erpressen, noch zunehmen werde, denn diese personenbezogenen Daten legen einiges an Wert zu, wenn sie unter die ab Mai 20018 gültigen Bestimmungen der Datenschutz-Grundverordnung fallen. Ab dann geht es nämlich nicht »nur« um den Imageverlust, sondern auch um eine gewaltige Strafe, im Falle von Uber wohl um die 260.000.000 US-Dollar (4 % vom weltweiten Jahresumsatz). Das bietet Hackern andere Ansatzmöglichkeiten der Erpressung, und Unternehmen werden sich der bohrenden Frage stellen müssen, ob die Daten tatsächlich in der von Hackern behaupteten Größenordnung entwendet wurden.

Schutz nach »Stand der Technik«

Als Sicherheitsunternehmen kann Trend Micro nur wiederholt darauf hinweisen, dass es von essenzieller Bedeutung ist, sich nach »Stand der Technik« zu schützen. Dies sollte für Unternehmen eigentlich keine Herausforderung darstellen, sollte man annehmen. Allerdings wurden bislang vielfach nur gesetzliche oder branchenspezifische Mindestanforderungen umgesetzt, weshalb viele moderne Sicherheitsprobleme nicht gelöst sind. In den meisten Fällen wissen das die IT-Sicherheitsverantwortlichen, haben aber keine Berechnungsgrundlage, um nachzuweisen, wie wahrscheinlich es ist, dass beispielsweise ein Angriff zum Zweck des Datendiebstahls im eigenen Unternehmen von Erfolg gekrönt wird. Häufig mangelt es an den nötigen Werkzeugen oder sogar am Know-how. Dadurch sind die erforderlichen Budgets nicht vorhanden, und bestimmte Bereiche des Managements schauen bewusst weg nach dem Motto »bislang ist ja nichts passiert, also kann es nicht so schlimm sein«. All diesen lässt sich nur raten, sich den Fall Uber genau anzusehen, um zumindest einen Eindruck zu erhalten, wie eine Gefährdung tatsächlich aussehen kann. Nichts ist unangenehmer, als von einem Hacker kontaktiert zu werden und nicht einmal nachvollziehen zu können, ob die Daten tatsächlich »verloren« sind, geschweige denn das Ausmaß des möglichen Verlusts einzuschätzen.

Am 28.05.2018 wird die Datenschutz-Grundverordnung »scharf geschaltet«. Danach werden solche Erpressungsversuche sicherlich zunehmen. Auch die geforderten Summen werden wesentlich über die hier erwähnten 100.000 US-Dollar hinausgehen. Der Schutz vor Datendiebstahl ist kein Hexenwerk sondern »Stand der Technik«. Allerdings erwartet der Gesetzgeber von den Unternehmen, dass sie sich zumindest überlegen, wie dieser jeweils aussehen kann, und dass dann auch die entsprechenden Schritte unternommen werden.

Wir können nur empfehlen, dies möglichst bald in Angriff zu nehmen!

Richard Werner, Business Consultant bei Trend Micro

 


 

Fünf Tipps: Passwörter sind wie Unterwäsche

Starke Passwörter und Zwei-Faktor-Authentifizierung sind der Schlüssel zum Schutz von Nutzerkonten.

Ein Anbieter von Software für die Fernwartung und Online Meetings, feiert den weltweiten Passwort-Tag am 5. Mai 2016, mit einer Liste einfacher und bewährter Methoden für das Erstellen von Passwörtern. Zusätzlich zum Erstellen von sicheren Passwörtern rät TeamViewer Nutzern, Zwei-Faktor-Authentifizierung einzusetzen, um eine weitere Sicherheitsebene gegen unautorisierte Zugriffe zu erreichen.

Die folgende Liste beinhaltet fünf einfach zu befolgende Prinzipien für Passwörter. Als leichten Einstieg zuerst eine drollige Eselsbrücke, um die allerwichtigste Passwort-Regel stets in Erinnerung zu behalten: Passwörter sind wie Unterwäsche – wechsele sie regelmäßig und zeig sie nicht öffentlich.

 

  1. Erstelle unterschiedliche Passwörter für jedes Konto:
    Wenn Du die gleichen Anmeldedaten über mehrere Konten hinweg benutzt und nur ein einziges Konto kompromittiert wird, sind auch alle anderen Konten ungeschützt und gefährdet.

 

  1. Teile Deine Passwörter nicht mit anderen:
    Per Definition ist ein Passwort ein geheimes Wort oder eine geheime Formulierung und Du solltest stets vorsichtig sein, wenn es darum geht, das Passwort anderen mitzuteilen.

 

  1. Ändere Deine Passwörter regelmäßig:
    Selbst wenn Du ein sicheres Passwort verwendest, ist es wichtig, es regelmäßig zu ändern. Es kann etwas dauern, bis Du feststellst, dass ein Konto kompromittiert ist, deshalb solltest Du darauf achten, Deine Passwörter regelmäßig zu aktualisieren. Halte Dich an einen Zeitplan, damit Du es nicht vergisst.

 

  1. Benutze keine mit Deiner Person identifizierbaren Informationen:
    Es kann schwierig sein, eine Vielzahl von starken Passwörtern im Kopf zu behalten. Viele Nutzer versuchen dem Gedächtnis zu helfen, indem sie Namen und Daten mit persönlichem Bezug verwenden. Allerdings können Kriminelle öffentlich verfügbare Informationen und soziale Medien nutzen um diese Informationen herauszufinden und die Passwörter somit erraten.

 

  1. Benutze Zwei-Faktor-Authentifikation:
    Sichere Passwörter einzusetzen ist ein wichtiger erster Schritt. Eine zusätzliche Sicherheitsebene durch Zwei-Faktor-Authentifizierung einzuziehen, bringt ein noch weiter reichendes Maß an Schutz. Das bedeutet, zusätzlich zu einem Passwort wird ein zweiter Faktor benötigt – oft ein Sicherheitscode, der an ein Mobiltelefon geschickt wird – um sich an einem Konto anzumelden.

 

Sicherheit und Datenschutz von Nutzern hat für Andreas Heißels, Security Officer bei TeamViewer, Priorität. Er erklärt: »Viele Nutzer sind mit der Aufgabe überfordert, sich viele Passwörter merken zu müssen. Ich empfehle immer, Passwort-Safes zu benutzen – es gibt auch kostenlose Optionen – die es ermöglichen, das Sicherheitsniveau auf einem akzeptablen Niveau zu halten, und man muss sich dabei nur ein starkes Passwort einprägen.”

 

In diesem Blogbeitrag hat Heißel einige weitere wertvolle Tipps für Nutzer: https://blog.teamviewer.com/best-password-security/
Mehr über die Sicherheitsvorkehrungen, die TeamViewer einsetzt, können Sie hier erfahren: https://www.teamviewer.com/docs/de/TeamViewer-Security-Statement-de.pdf

 

Über den Welt-Passwort-Tag

Dem National Day Calendar zur Folge, hat Sicherheitsforscher Mark Burnett erstmals in seinem 2005 erschienen Buch »Perfekte Passwörter« (Perfect Passwords) Leser dazu aufgerufen, einen »Passwort-Tag« einzuführen, an dem sie ihre wichtigen Passwörter aktualisieren. Von seiner Idee inspiriert, ergriff Intel Security im Mai 2013 die Initiative und erklärte den jeweils ersten Donnerstag im Mai zum Welt-Passwort-Tag. Der Tag soll das Bewusstsein für die Notwendigkeit von guten Passwörtern schaffen. Mehr Informationen gibt es unter: https://passwordday.org/

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

 

Wenn Passwörter zur Schwachstelle werden

Jeder Zweite teilt Passwörter mit Kollegen und Dienstleistern

Der ungeliebte und schludrige Umgang mit Passwörtern

Internetnutzung: Jeder Vierte ändert seine Passwörter nie

Erhebliches Sicherheitsrisiko: Studie zur Passwort-Sicherheit bei Webportalen

Basisschutz für sichere Kundendaten: Firewall, Verschlüsselung und sicheres Passwort

Weitere Artikel zu