Kategorie-Archiv: Sicherheitsmaßnahmen

BSI-Veröffentlichung: Maßnahmen gegen Reflection Angriffe

DDoS über Bande? Was heißt das eigentlich? Das BSI beobachtet in den letzten Monaten eine deutliche Zunahme an Distributed-Denial-of-Service (DDoS) Angriffen, die sogenannte Reflection-Techniken einsetzen. Wie Sie sich vor dieser DDoS-Methode schützen finden Sie in d. BSI-Veröffentlichung zur Cyber-Sicherheit „Maßnahmen gegen Reflection Angriffe“.

Quelle: www.bsi.bund.de

Malware: Manipulierte Apps im Umlauf

In den jeweiligen App Stores von Google und Apple gibt es für fast jede Anwendung eine passende App im Angebot. Alle Apps werden automatisiert auf Sicherheit geprüft, doch auch hier können sich betrügerische Apps einschleusen. Im Google Play Store wurde beispielsweise in der App „colourblock“ der Handy-Trojaner Dvmap entdeckt wie Heise Security berichtet hat. Der Trojaner infiziert das System, indem er die Root-Rechte für das Handy, die eigentlich nur für den Hersteller zugänglich sein sollten, übernimmt. Damit haben die Angreifer dann Narrenfreiheit und können das komplette System überschreiben. Der Nutzer verliert so die Kontrolle über seine Daten und Apps sowie das Betriebssystem. Zwar scheint sich Malware sich noch in Entwicklung zu befinden, da noch nicht bekannt ist, welches Ziel die Internet-Kriminellen mit ihr verfolgen, aber der Schädling ist schon jetzt als gefährlich einzustufen. In Apples App Store lockte, einem weiteren Bericht von Heise Security zufolge, eine manipulierte App namens „Mobile protection: Clean & Security VPN“ mit einem kostenlosen Angebot für einen Virusscan. Beim Start der App wurden dann hundert Dollar für ein Abo von nur sieben Tagen verlangt, gut getarnt durch eine Reihe von Pop-Ups mit weiteren Gratis-Angeboten.

„BSI für Bürger“ empfiehlt allen Smartphone-Usern: Informieren Sie sich vor der Installation einer App so gut wie möglich über diese! Eine kurze Suche im Internet oder das Lesen einiger Bewertungen reicht meistens aus, um einen ersten Eindruck zu gewinnen, ob es sich um das Angebot eines seriösen Anbieters handelt. Auf was Sie außerdem achten sollten, haben wir Ihnen unter „Schutz Ihres Smartphones“ zusammengefasst: www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/BasisschutzGeraet/EinrichtungMobileGeraete/EinrichtungMobileGeraete_node.html

Zu den Artikeln von Heise Security: Android-Trojaner Dvmap kompromittiert Systeme wie kein anderer: www.heise.de/-3739451.html

„Anti-Malware“-Lösung für iOS: Nepp mit teuren In-App-Verkäufen im App Store: www.heise.de/-3741770.html

Quelle: www.bsi.bund.de

Sicherheitsaspekte bei der Vernetzung von (Embedded) Systemen im IoT

Die Informationstechnologie entwickelt und verbreitet sich enorm schnell. Von Autos über Industrie-Anlagen bis hin zu Kühlschränken ist alles miteinander vernetzt und schickt oder empfängt Daten von mobilen Applikationen und Cloud-Services. Mit der Anzahl der vernetzten Systeme steigt allerdings auch die Zahl möglicher Hacker und Cyber-Krimineller.

Diese Entwicklung wird noch verstärkt durch die zunehmende Verwendung von IPv6. So soll lt. Marktforschungsunternehmen Gartner die Anzahl von vernetzten Geräten im Jahr 2020 auf über 26 Milliarden anwachsen, d.h. statistisch gesehen gut 3 Geräte pro Kopf der dann erwarteten Weltbevölkerung (7,76 Mrd. in 2020).
Die Sicherheit (Security) in den neu entstehenden Netzen scheint mit dieser Entwicklung allerdings nicht Schritt halten zu können. Immer öfter entdecken Experten, NGOs und Nutzergruppen Sicherheitslücken in vernetzten Systemen. So wurde z.B. Ende 2013 in einer Studie der Fa. Proofpoint aus den USA festgestellt, dass mehrere Hunderttausend infizierte Emails übers Internet verbreitet wurden, die nicht nur von normalen PCs und Computern stammten, sondern auch von Smart-TVs, vernetzten Kühlschränken und Kaffeeautomaten!

Ein Angriff auf eine intelligente Heizungssteuerung in einem Wohnblock beispielsweise erscheint auf den ersten Blick nicht sicherheitskritisch, dennoch sind einige hundert Bewohner bestimmt nicht sonderlich erfreut, wenn sie in Ihren Wohnungen frieren müssen oder kein Warmwasser haben. Angriffe auf andere Einrichtungen wie Strom- und Wasserversorgung oder Verkehrsleitsysteme beinhalten dagegen ein wesentlich höheres Schadenspotential. Man benötigt also neue und ganzheitliche Sicherheitsansätze, um das schnell wachsende IoT zu adressieren.

Weiter Informationen finden Sie hier: www.industry-of-things.de/sicherheitsaspekte-bei-der-vernetzung-von-embedded-systemen-im-iot-a-615418/?_scpsug=crawled_23937_c8a028b0-4d19-11e7-8073-90b11c40440d#_scpsug=crawled_23937_c8a028b0-4d19-11e7-8073-90b11c40440d

Quelle: www.industry-of-things.de

Phishing: Betrüger versuchen über unechte https-Webseiten Passwörter abzufragen

Bei verschlüsselten Internetverbindungen beginnt die URL mit einem „https“, zusätzlich werden sie im Webbrowser oft mit einem Schlosssymbol als sicher ausgezeichnet. Sie sollen Internetnutzer beispielsweise beim Online-Einkauf oder -Banking davor schützen, dass Daten bei der Übertragung von Dritten mitgelesen oder manipuliert werden. Laut der Webseite Trojaner-Info versuchen Internet-Kriminelle nun mit https-gesicherten Phishing-Seiten, den Nutzer oder die Nutzerin zur Eingabe von persönlichen Daten zu bewegen. Die Browser Google Chrome und Mozilla Firefox blenden seit kurzem Warnungen ein, sobald eine Webseite ohne gesicherte Verbindung zur Eingabe eines Passworts auffordert. Achten Sie beim Zugriff auf Online-Dienste genau auf die gesamte Adresszeile im Browser und geben Sie im Zweifel Ihre Zugangsdaten nicht ein. Schließen Sie den Browser und versuchen Sie die Webseite nochmals direkt aufzurufen.

Weshalb gesicherte Verbindungen grundsätzlich sehr wichtig sind, erklärt die Webseite „BSI für Bürger“: www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungSoftware/EinrichtungBrowser/Sicherheitsmassnahmen/Verschluesselung/verschluesselung.html

Nutzen Sie zudem die „BSI für Bürger“ Broschüre „Surfen aber sicher – 10 Tipps für ein ungetrübtes Surf-Vergnügen: www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Broschueren/Brosch_A6_Surfen_aber_sicher.pdf

Zum Artikel von Torjaner-Info: Online Betrüger locken User über https auf Datenklau ausgelegte Phishing Seiten: www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/online-betrueger-locken-user-ueber-https-auf-datenklau-ausgelegte-phishing-seiten.html

Quelle: www.bsi.bund.de

Ransomware: Erpressungstrojaner „Jaff“ versteckt sich in E-Mail-Anhang

Eine neue Ransomware namens „Jaff“ wird derzeit per E-Mail verbreitet. Der Ratgeber Internetkriminalität der Polizei Niedersachsen berichtet, dass die Nutzerinnen und Nutzer mit der Betreffzeile „Invoice“ dazu verleitet werden sollen, einen PDF-Anhang zu öffnen. In diesem PDF ist, für die Empfängerin oder den Empfänger nicht erkennbar, eine Word-Datei mit einem Makro integriert. Wer dem Öffnen der Word-Datei und dem Ausführen des Makros zustimmt, aktiviert über dieses Makro den Download einer Schadsoftware, die alle Dateien auf dem gerade genutzten Gerät verschlüsselt. Danach fordern die Angreifer über einen Sperrbildschirm von den Opfern Lösegeld, nach dessen Zahlung die Daten angeblich wieder entschlüsselt werden. Grundsätzlich rät das BSI Betroffenen, kein Lösegeld zu zahlen und Anzeige bei der Polizei zu erstatten. Sorgen Sie vor, indem Sie regelmäßig eine aktuelle Datensicherung anlegen, die Sie im Falle einer Infektion mit Ransomware neu aufspielen können. Öffnen Sie keine E-Mail-Anhänge, wenn Sie nicht sicher sind, wer Ihnen die E-Mail gesendet hat. Achten Sie auf die Sicherheitswarnung Ihres E-Mail-Programms. Und zu guter Letzt sollten Sie skeptisch werden, wenn nach dem Öffnen eines Word-Dokumentes die Aktivierung von Makros gestattet werden soll.

Mehr Tipps zum Thema Ransomware finden Sie auf der Webseite „BSI für Bürger“:
www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Datensicherung_Ransomware_19052017.html

Zum „Ratgeber Internetkriminalität“ der Polizei Niedersachsen: Ransomware „Jaff“ tarnt sich als Invoice: www.polizei-praevention.de/aktuelles/ransomware-jaff-tarnt-sich-als-invoice.html

Quelle: www.bsi.bund.de

Meldepflicht für mehr Firmen bei Cyberangriffen

Die Bundesregierung hat am Mittwoch eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen auf den Weg gebracht. Dadurch wächst die Zahl der betroffenen Unternehmen.

Künftig müssen mehr Unternehmen als bisher schwere IT-Sicherheitsvorfälle verbindlich melden. Das Kabinett hat am Mittwoch eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen auf den Weg gebracht. Sie regelt, welche Firmen aus den Sektoren Transport, Verkehr, Finanzen, Versicherungen und Gesundheit unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Betroffen seien 918 „kritische Infrastrukturen“, heißt es in der Verordnung.

Die Betreiber werden verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und der Behörde innerhalb von zwei Jahren nachzuweisen, einen Mindeststandard an IT-Sicherheit einzuhalten. Die Regelungen für Firmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung – laut Regierung insgesamt 730 Anlagen – sind bereits seit Mai 2016 in Kraft.

„Wesentlich für das öffentliche Leben“

„Kritische Infrastrukturen“ sind Einrichtungen, die wesentlich für das öffentliche Leben sind und deren Störung oder Ausfall drastische Folgen haben würden. Darunter fallen Energie- oder Telekommunikationsnetze, Banken, Börsen, Versicherungen, Verwaltungsbehörden oder Krankenhäuser, aber auch Verkehrsbetriebe oder Wasserversorger.

Ziel des bereits 2015 beschlossenen IT-Sicherheitsgesetzes ist, dass sich Firmen aus solchen sensiblen Bereichen besser vor Cyberangriffen schützen. Sie werden verpflichtet, Attacken auf ihre Computersysteme zu melden und Mindeststandards zur IT-Sicherheit einzuhalten.

Quelle: www.heise.de

Aus erfolgreichen Cyber-Angriffen lernen

Datenverletzungen nehmen an Komplexität zu; sie sind nicht länger auf IT-Abteilungen beschränkt, sondern bedrohen mittlerweile sämtliche Unternehmensbereiche. Wichtiger noch: Jede Kompromittierung hinterlässt nachhaltige, wenn nicht gar dauerhafte Spuren im Unternehmen. Deshalb ist es wichtig, von den Fehlern anderer zu lernen und für das eigene Unternehmen die richtigen Schlüsse zu ziehen.

Die meisten Opfer von Datenverletzungen glauben, sie stünden allein da, konfrontiert mit besonders raffinierten Taktiken und Malware, wie man sie noch nicht gesehen hat. Dem ist aber nicht so: Fälle von Datenverletzungen weisen viele Gemeinsamkeiten auf. Mit dem Verizon Data Breach Digest öffnet das Verizon RISK Team seine Unterlagen zu Fällen von Cyberattacken für die Öffentlichkeit. Die verschiedenen Wirtschaftszweige können ihre Sicherheitsprozesse durchaus strenger reglementieren, um Cyberkriminellen die Stirn zu bieten.

In dem hundertseitigen Bericht stehen in diesem Jahr 16 reale Datenverletzungs-Szenarien im Vordergrund, ausgewählt aufgrund ihrer Häufigkeit oder ihrer jeweiligen Gefährlichkeit. Ziel ist es, Firmen und Behörden ein besseres Verständnis vermitteln, wie man Anzeichen einer Datenverletzung erkennt und Beweise sicherstellt. Außerdem werden Methoden gezeigt, wie man eine Datenverletzung rasch untersucht, begrenzt und den Normalzustand wiederherstellt.

Maßnahmen im Anschluss an Datenverletzungen, wie Untersuchung, Schadensbegrenzung, Ursachenbeseitigung, Benachrichtigung und Wiederherstellung, sind verhältnismäßig komplex und benötigen viel Knowhow. Reaktive Maßnahmen sind nicht allein Sache der für IT-Sicherheit Zuständigen, sie sind ein unternehmensweites Thema, das technische und nicht-technische IR-Stakeholder gleichermaßen betrifft, wobei jede Interessengruppe ihre eigene Perspektive in die Maßnahmen im Anschluss an eine Datenverletzung einbringt. So sehen die Interessengruppen die Beweggründe wichtiger Entscheidungen, kurzfristig ergriffene Maßnahmen und wichtige gelernte Lektionen zum Teil recht unterschiedlich.

Weitere Informationen finden Sie unter: http://www.security-insider.de/aus-erfolgreichen-cyber-angriffen-lernen-a-608404/?cmp=nl-36&uuid=EE6B80FB-167D-40AF-83E05B7BEC04FDF5&utm_content=buffer88396&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Quelle: www.security-insider.de

Nach Wannacry: Forderung nach Gesetz zur Bereitstellung von Sicherheits-Updates

Die jüngste Cyberattacke mit dem Virus WannaCry müsse Folgen für die Sicherheitsauflagen in der Telekommunikationsbranche haben, verlangt Telekom-Chef Timotheus (Tim) Höttgens in einem Interview mit der Frankfurter Allgemeinen Sonntagszeitung. So solle man Hard- und Softwarehersteller per Gesetz zur Bereitstellung von Sicherheits-Updates verpflichten. „Wir brauchen eine Meldepflicht für Sicherheitslücken, die muss auch staatliche Sicherheitsbehörden umfassen“. Die Erpressungssoftware Wanna Cry hatte sich kürzlich auf hunderttausenden Rechnern weltweit eingenistet und dort Daten verschlüsselt – bei Unternehmen ebenso wie in Krankenhäusern oder bei Privatnutzern.

Weitere Informationen finden Sie unter: https://www.heise.de/newsticker/meldung/Nach-Wannacry-Telekom-Chef-fordert-Gesetz-zur-Bereitstellung-von-Sicherheits-Updates-3726900.html

Quelle: www.heise.de

Warnung vor Verschlüsselungstrojaner „WannaCry“!

Das Ransomware-Schadprogramm WannaCry hat sich im Verlauf des Wochenendes weltweit verbreitet. Die Infizierung startete am Freitagabend mit Fällen in Russland und Großbritannien und hat sich mittlerweile weltweit ausgebreitet. Laut Europol sind mindestens 200.000 Computersysteme in 150 Ländern betroffen. „WannaCry“ verschlüsselt befallene Computer und fordert von den Betroffenen eine Lösegeld in Höhe von 300 US-Dollar.Infografik: WannaCry befällt hundertausende Rechner | Statista Mehr Statistiken finden Sie bei Statista

Cyber-Attacke auf Deutsch Bahn: Nürnberger Hauptbahhof betroffen

Nach der WannaCry Ransomware-Attacke auf die Deutsche Bahn (DB) waren die Anzeigetafeln am Nürnberger Hauptbahnhof auch am Sonntag noch gestört.  Eine Beeinträchtigung des Zugverkehrs soll es laut der Deutschen Bahn nicht gegeben haben.

Quelle: www.nordbayern.de

Weltweite Cyber-Attacke trifft auch Deutsche Bahn

Meist werden Verbraucher von Erpressungstrojanern erwischt, die Computer verschlüsseln und Lösegeld verlangen. Am Freitag traf es aber auch die Bahn, Krankenhäuser in Großbritannien und Russlands Innenministerium. Ein Forscher stoppte die globale Attacke.

Quelle: www.nordbayern.de

Was wir bisher über die Ransomware-Attacke wissen

Zwei Angriffsvektoren
Nach bisherigen Erkenntnissen nutzt WannaCry zwei Angriffsvektoren: Einmal verbreitet er sich – wie bei Kryptotrojanern üblich – per E-Mail. So sagte ein DB-Sprecher der dpa, der Angriff auf die Bahn sei durch E-Mails ausgelöst worden. Doch wenn der Schädling ein Sytem infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu kompromittieren. Dafür nutzt WannaCry offenbar eine Lücke in Windows Dateifreigaben (SMB). Diese Lücke war bekannt geworden, nachdem eine Hackergruppe namens Shadow Brokers einige Exploits der NSA-nahen Equation Group veröffentlicht hatte. Der Exploit, der die von WannaCry genutzte Lücke ausnutzt, ist unter dem Namen EternalBlue bekannt.

Microsoft hatte die verantwortliche Sicherheitslücke bereits im März durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützten Windows-Versionen. Ältere Windows-Versionen blieben also weiter ungeschützt – dazu gehören insbesondere Windows XP und Windows Server 2003. Updates für diese hat das Unternehmen am Samstag kurz nach Ausbruch der WannaCry-Epidemie nachgereicht. Manche Anwender schalten allerdings die automatische Installation von Sicherheits-Updates ab, was dazu führt, dass derartige Lücken offen bleiben.

Quelle: www.heise.de

Globaler Hackerangriff ist noch nicht vorbei

Das Schadprogramm verschlüsselt die Daten auf den betroffenen Computern. Gegen die Zahlung von 300 US-Dollar bis zum 15. Mai oder 600 Dollar bis zum 19. Mai wurde den Opfern der Code für die Entschlüsselung angeboten — anderenfalls drohe die Datenlöschung, behaupten die Angreifer. Medienberichten zufolge haben bislang 126 Opfer diesen Preis bezahlt. WannaCry breitete sich zunächst in Russland aus, infizierte aber bereits wenig später Computer des National Health Service (NHS) in Großbritannien. Die Nachricht von der Cyberattacke verbreitete sich am Freitag, als zahlreiche Patienten von chaotischen Zuständen berichteten. Selbst Krebspatienten wurden nach Hause geschickt oder in andere Kliniken umgeleitet, da ihre Daten nach dem Angriff nicht mehr aufrufbar waren.

Erst einen Tag später schien die Situation weitestgehend unter Kontrolle, als ein Sicherheitsforscher unabsichtlich einen Killswitch, also eine Abschalte-Funktion, im Code der Ransomware entdeckte. Experten gehen allerdings davon aus, dass bereits neue Versionen von WannaCry im Umlauf sind, die eine solche Funktion nicht mehr bestitzen.

Quelle: www.wired.de

Tipps zur Vorbeugung

  1. Datensicherung! Datensicherung! Datensicherung!
  2. Robuste Antivirensoftware verwenden
  3. Alle Software auf Ihrem Computer auf dem Laufenden halten
  4. Niemals Anhänge in E-Mails von Unbekannten öffnen
  5. Die Option ‚Dateierweiterungen anzeigen‘ in den Windows-Einstellungen auf dem Computer aktivieren. Damit wird es viel einfacher, potenziell schädliche Dateien zu erkennen.
  6. Das Gerä sofort vom Internet und anderen Netzwerk-Verbindungen (WLAN) trennen wenn ein betrügerisches Programm oder einen unbekannten Prozess auf dem Computer entdeck wird – das wird die Ausbreitung der Infektion verhindern.

Quelle: www.nomoreransom.org

Politiker fordern besseren Schutz gegen Hacker

Nach der globalen Cyberattacke plädieren Union und SPD für Gesetzesverschärfungen. Computerhersteller sollen gezwungen werden, für mehr Sicherheit zu sorgen.

Quelle: www.faz.net

Deutschland laut BSI-Chef „mit blauem Auge davongekommen“

Deutschland hat den weltweiten Cyber-Angriff des Krypto-Trojaners WannaCry mit einem blauen Auge überstanden. Das erklärte zumindest Arne Schönbohm, der Chef des Bundesamts für Sicherheit in der Informationstechnik in einem Interview mit dem RBB-Inforadio. Noch würden aber immer neue Infektionen registriert, das aktuelle Szenario gleiche also einer Flutwelle mit weiter steigenden Pegelständen.

Schönbohm kritisierte, dass IT-Sicherheit in Unternehmen noch allzuoft keine Priorität genieße. Das liegt seiner Meinung nach daran, dass ein ein Großteil der IT-Verantwortlichen nicht die Entscheider in Unternehmen sind. Wenn es um die Sicherheit ihrer IT gehe, sagten die stattdessen „Das macht der Elektro-Erich um die Ecke“. Dieses Prinzip werde aber nicht funktionieren.

Quelle: www.heise.de

Der Mittelstand braucht neue Mobile Security-Konzepte

Kleine und mittlere Unternehmen müssen ihre mobilen Endgeräte besser schützen, um der Datenschutz-Grundverordnung (DSGVO / GDPR) zu entsprechen.

Mobile Sicherheitsvorfälle führen in jedem vierten Unternehmen zu Schäden in sechsstelliger Höhe, so die Marktforscher von IDC bei der Vorstellung der Studie „Mobile Security in Deutschland 2017“. 65 Prozent der befragten Unternehmen berichten von Angriffen auf mobile Endgeräte, ein Anstieg um acht Prozentpunkte gegenüber 2015. Um den mobilen Bedrohungen besser zu begegnen, halten 38 Prozent der Unternehmen das Verbot von Zugriffen auf nicht autorisierte WLAN-HotSpots für entscheidend, 34 Prozent wollen ihre Sicherheitsrichtlinien überarbeiten, 28 Prozent denken an die Einführung einer EMM (Enterprise Mobility Management) & Security-Lösung.

Betrachtet man speziell die kleinen und mittleren Unternehmen (KMU) in Deutschland, verschärft sich die Lage sogar noch: Laut IDC denken 52 Prozent der IT-Verantwortlichen, dass von Anwendern eine größere Gefahr als von Cyber-Kriminellen ausgeht. Doch gerade in KMU herrscht großes Vertrauen in die Sicherheit der mobilen Endgeräte. Europaweit gaben laut einer HID Global-Umfrage 75 Prozent der KMU-Mitarbeiter an, keine Sicherheitsbedenken zu haben, wenn sie Smartphones oder Tablets nutzen. Betrachtet man die steigende Zahl der mobilen Sicherheitsvorfälle, lassen sich viele KMUs von einer Scheinsicherheit täuschen.

Mobility- Konzepte werden für KMU wichtiger, doch die Kontrolle fehlt

Trotz der Sicherheitsrisiken steigt die Hälfte der KMU auf mobile Arbeitsmodelle um: 30 Prozent investieren in Technologie, um die Unterstützung ihrer mobilen Arbeitskräfte zu optimieren. Weitere 20 Prozent planen Investitionen mit ähnlicher Zielrichtung, wie eine Aruba-Studie zeigte. Damit nicht genug: Wie die Ovum-Studie „The European Mobility Management Gap“ ergab, setzen nur 50 Prozent der Unternehmen in Europa Lösungen für MDM (Mobile Device Management) bzw. EMM (Enterprise Mobility Management) ein. Die andere Hälfte verzichtet insbesondere aus Datenschutz- und Kostengründen darauf.

Das ist besorgniserregend, gerade für KMU: Zum einen spielen die Kostenargumente bei den KMU eine noch größere Rolle, die MDM-/EMM-Verbreitung ist dort deshalb noch wesentlich geringer. Zum anderen erfordert der Datenschutz geradezu eine Kontrolle der mobilen Endgeräte, Apps und Daten. Ein Verzicht auf solche Lösungen ist ein echtes Problem. Keine Frage: Es besteht Handlungsbedarf im mobilen Datenschutz, gerade bei KMU.

Datenschutz-Grundverordnung erfordert mehr Durchblick und Kontrolle bei Mobility

Bereits heute bestehen große Schwierigkeiten für KMU, den mobilen Datenschutz umzusetzen. Mit der Datenschutz-Grundverordnung (DSGVO / GDPR), die ab Mai 2018 ohne Verzögerung anzuwenden ist, werden die Aufgaben im mobilen Datenschutz noch größer. Viele KMU in Deutschland müssen deshalb umgehend an ihren Konzepten für Mobile Security arbeiten und die notwendigen Lösungen umsetzen, um die DSGVO fristgerecht einzuhalten. Was insbesondere zu tun ist, zeigen diese Beispiele für verschärfte Anforderungen an den Datenschutz und die Probleme, die bei mobilen Endgeräten bestehen:

  • Lokalisierbarkeit der Daten: Die notwendigen Sicherheitsmaßnahmen und die Rechte der Betroffenen zum Beispiel auf Auskunft zu den über sie gespeicherten Daten lassen sich nur umsetzen, wenn die Unternehmen einen genauen Überblick über ihre Datenbestände haben und über die Zugriffe auf die Daten. Bei den Daten, die auf mobilen Endgeräten gespeichert sind oder die mit mobilen Endgeräten verarbeitet werden, ist diese Transparenz kaum zu erzielen, wenn man kein umfassendes Device und Data Management betreibt.
  • Recht auf Datenübertragbarkeit: Ohne die zuvor genannte Transparenz zu den Daten können auch die Rechte der Betroffenen auf die Übertragung ihrer Daten an ein anderes Unternehmen kaum sinnvoll umgesetzt werden.
  • Recht auf Vergessenwerden / Löschpflichten: Ohne die Transparenz zu den Daten auf mobilen Endgeräten lassen sich auch die Löschpflichten, die der Datenschutz vorsieht, nicht zuverlässig umsetzen.
  • Meldepflichten bei Datenschutz-Verletzungen: Gerade mobile Endgeräte gehen häufig verloren oder werden gestohlen. Sind die Daten auf den Smartphones und Tablets der KMU unzureichend geschützt und besteht keine Übersicht über die Daten und Geräte, können die Fristen für die Meldung einer Datenschutz-Verletzung nicht eingehalten werden. Schon heute werden Datenpannen viel zu spät entdeckt, die neue 72-Stunden-Frist zur Meldung verschärft diese Lage noch.
  • Dokumentation der Sicherheitsmaßnahmen und Stand der Technik: Die Maßnahmen für die Sicherheit der Verarbeitung müssen auch bei mobilen Endgeräten sichergestellt und dokumentiert werden. Dabei müssen die Maßnahmen dem Stand der Technik entsprechen. Das ist ein deutliches Problem, denn zum einen ist der Sicherheitsstatus ohne entsprechende Management-Tools nur sehr schwierig regelmäßig zu überprüfen und zu dokumentieren. Zum anderen stellt sich die Frage, ob die entsprechenden Management-Tools nicht als Sicherheit nach dem Stand der Technik gewertet werden müssen, sprich, ob man heute noch auf ein Mobile Management verzichten kann, ohne die Forderung nach dem Stand der Technik zu missachten.
  • Belastbarkeit der IT: Auch die mobile IT muss die Forderung nach Belastbarkeit erfüllen, wie sie die DSGVO für die Sicherheit der Verarbeitung (Artikel 32) aufstellt. Wenn der Sicherheitsstatus der mobilen Geräte aber nicht ohne weiteres überwacht werden kann, stellt sich die Frage, wie die Belastbarkeit gewährleistet werden soll.
  • Privacy by Design und by Default: Mobile Apps, Betriebssysteme und Geräte müssen datenschutzfreundlich entwickelt sein, ebenso müssen die Voreinstellungen datenschutzfreundlich sein. Die entsprechende Datenschutzkontrolle der Einstellungen und Funktionen kann bei der Vielzahl der Geräte und Apps aber kaum per Hand durchgeführt werden. Auch hier fehlen die Mobile Management-Tools bei vielen KMU.
KMU brauchen Mobile Management für Daten, Apps, Geräte und Risiken

Die Datenschutz-Grundverordnung ist ein wichtiges Beispiel für die Bedeutung verbesserter Mobile Security-Konzepte. An der DSGVO zeigt sich, dass KMU mehr Möglichkeiten brauchen, um für Übersicht und Kontrolle bei mobilen Daten, Apps, Geräten und auch Risiken sorgen zu können.

Wenn entsprechende Lösungen aus dem Bereich MDM oder EMM zu kostspielig sind, sollte die Option entsprechender Mobile Management-Lösungen aus der Cloud geprüft werden. Es versteht sich, dass dabei der Cloud-Datenschutz zu beachten ist, da bei der Verwaltung der mobilen Geräte, Apps und Daten in aller Regel Nutzerdaten mit Personenbezug anfallen können.

Quelle: www.zdnet.de