Archiv der Kategorie: Datenschutztechnik

Datenschutz im Kraftfahrzeug – Automobilindustrie ist gefordert

Die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder fand am 8. und 9. Oktober 2014 in Hamburg statt.

Die Datenschutzbeauftragten stellten fest, dass Personenbezogene Daten immer stärker in den Fokus von öffentlichen und privaten Stellen treten, die sie in großem Stil erfassen, speichern und verarbeiten. Dabei wird häufig die Sammelwut nur durch die technischen Möglichkeiten begrenzt; ein Ende ist nicht abzusehen

Moderne Kraftfahrzeuge sind längst auch zu umfassenden Datenspeichern geworden. Fahrverhalten, Aufenthaltsorte und Bewegungen des Fahrers oder der Fahrerin können problemlos ausgelesen, zu gänzlich unterschiedlichen Zwecken verwendet und zu Persönlichkeitsprofilen verknüpft werden. Die Datenschutzkonferenz fordert die Automobilindustrie sowie Händler und Werkstätten dazu auf, das Recht auf informationelle Selbstbestimmung auch im Kraftfahrzeug zu gewährleisten.

Nicht nur Automobilhersteller müssen bei Fahrzeugen mit Internetzugang und Apps, den Datenschutz stärker in den Blick nehmen. Auch Arbeitgeber sind bei smarten Firmenwagen gefragt.

Quelle: bfdi.bund
Anhang: Entschließung

Orientierungshilfe – Cloud Computing

Die Datenschutz-Aufsichtsbehörden haben eine aktualisierte Orientierungshilfe zum Thema “Cloud Computing” verabschiedet.
In der nun vorliegenden zweiten Fassung gehen die Aufsichtsbehörden vertieft auf die Zulässigkeit der Datenübermittlung an Stellen außerhalb der europäischen Union im Licht etwaiger geheimdienstlicher Tätigkeiten ein. Auch die Ausführungen zu den technischen und organisatorischen Anforderungen wurden vertieft.

Die Orientierungshilfe schließt mit folgendem Fazit:

„(…) Die wirtschaftlichen Vorteile des Cloud Computing für die Anwender sind nicht zu übersehen. Die starke Reduktion der selbst noch vorzuhaltenden Infrastruktur, die Verringerung des Bedarfs an eigenem IT-Fachpersonal, die Vermeidung von Risiken der Über- und Unterkapazitäten und die bessere Übersichtlichkeit der Kosten der Datenverarbeitung sind für Unternehmen und Behörden gute Gründe, die Beauftragung von Cloud-Computing-Anbietern in Erwägung zu ziehen.
Problematisch ist es jedoch, die Compliance-Anforderungen an die Datenverarbeitung der Unternehmen und Behörden, zu denen Datenschutz und Informationssicherheit, aber auch die Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehören, unter den Rahmenbedingungen des Cloud Computing, insbesondere in der Public Cloud, zu erfüllen. Es muss verhindert werden, dass die Fähigkeit der Organisationen, allen voran ihrer Leitungen, die Verantwortung für die eigene Datenverarbeitung noch tragen zu können, durch das Cloud Computing untergraben wird.
Zu verlangen sind also mindestens
– offene, transparente und detaillierte Informationen der Anbieter über die technischen, organisatorischen und rechtlichen Rahmenbedingungen der von ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskonzeption, damit die Anwender klare Entscheidungskriterien bei der Wahl zwischen den Anbietern haben, aber auch, ob Cloud Computing überhaupt in Frage kommt;
– transparente, detaillierte und eindeutige vertragliche Regelungen der Cloudgestützten Auftragsdatenverarbeitung, insbesondere zum Ort der Datenverarbeitung und zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität und Interoperabilität für den Fall, dass z. B. wegen einer Insolvenz des Anbieters die Datenverarbeitung zu einem anderen Anbieter „umziehen“ kann;
– die Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Seiten von Cloud-Anbieter und Cloud-Anwender;
– die Vorlage aktueller Zertifikate, die die Infrastruktur betreffen, die bei der Auftragserfüllung in Anspruch genommen wird, zur Gewährleistung der Informationssicherheit und der o. g. Portabilität und Interoperabilität durch anerkannte und unabhängige Prüfungsorganisationen. (…)

Quelle: oh_cloud.pdf

Online-Banking mit mTANs

Aktuell warnt das Bundeskriminalamt (BKA) vor Betrug beim Online-Banking mit mTANs (auch als SMS-TAN bezeichnet). REINER SCT, Spezialist für Hard- und Software Lösungen zur Online-Sicherheit, bietet kostenlose Informationen, wie Nutzer sich am besten schützen können.

Laut BKA ist die Zahl der Attacken auf Online-Banking aktuell um 19 Prozent gestiegen – im Jahr 2013 seien rund 4.100 erfolgreiche Phishing-Angriffe auf das Online-Banking bekannt geworden. Die Hacker würden derzeit vor allem das mTAN-Verfahren angreifen, bei dem die Bank ihrem Kunden für jede Überweisung eine Transaktionsnummer via SMS auf das Handy sendet.

Kriminelle verschaffen sich über vom Nutzer unbemerkt manipulierte Apps Zugang zum Smartphone ihrer Opfer und spähen persönliche Daten aus bzw. leiten Banküberweisungen um. Nach Angaben der Sicherheitsfirma Kasperky habe sich allein im ersten Quartal 2014 die Zahl der Smartphone-Attacken mit dem derzeit geläufigsten Trojaner – also einem Schadprogramm – fast versechsfacht.  

Quelle: DATAKONTEXT

WhatsApp auf Firmenhandy

WhatsApp wurde von den Betreibern von Facebook gekauft. Lt. dem Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein stehen die Kommunikationsmetadaten wie auch die -inhalte beider Dienste dem Betreiber lesbar zur Verfügung und können nun zusammengeführt, zur Profilbildung ausgewertet und für Werbezwecke kommerziell ausgebeutet werden. Dem stehen in den USA – anders als in Europa – weder ein valides Telekommunikationsgeheimnis noch Datenschutzgesetze entgegen. Die Dienste weigern sich, sich an europäische bzw. deutsche Datenschutzvorgaben zu halten. Selbst der Zugriff der NSA auf die Kommunikationsdaten wird durch den Kauf erleichtert. Dabei war WhatsApp schon in der Vergangenheit durch massive Sicherheitsprobleme aufgefallen, deren Behebung nur sehr zögerlich und intransparent erfolgte.
(Quelle:
https://www.datenschutzzentrum.de/presse/20140220-whatsapp-facebook.htm )

WhatsApp kann man gar nicht erst aktivieren, wenn man der Anwendung den Zugriff auf sein Adressbuch und somit auf die persönlichen Daten seiner Bekannten verweigert. (In order to access and use the features of the Service, you acknowledge and agree that you will have to provide WhatsApp with your mobile phone number. You expressly acknowledge and agree that in order to provide the Service, WhatsApp may periodically access your contact list and/or address book on your mobile device to find and keep track of mobile phone numbers of other)

Nach § 4a BDSG muss jede einzelne Person, die im Adressbuch steht, vorher um Erlaubnis gefragt werden, ob die Daten an WhatsApp und damit auch an Facebook weitergegeben werden dürfen.

heise-Security warnt davor die Backup-Möglichkeit von Iphone zu verwenden, da alle Daten ungesichert in Apples iCloud gespeichert werden, sodass sich jeder , der sich Zugang zum Apple-Konto des Anwenders verschaffen kann, dort auch dessen gesicherte WhatsApp-Daten abrufen kann.

Risikosimulation zur Bewertung von IT-Risiken im Cloud Computing

Cloud Computing ist eines der aktuellsten Themen in der IT-Branche. Neben den Vorteilen verursacht die Nutzung entsprechender Dienste Risiken im Bereich der Informationssicherheit für Unternehmen. Um dem Management eine quantitative Entscheidungsgrundlage zur Risikobehandlung zu geben, wird eine Quantifizierung der Risiken in monetären Größen vorgeschlagen. Für eine systematische Behandlung der Risiken im Cloud Computing ist eine Einbindung in ein Informationssicherheitsmanagementsystem (ISMS) unverzichtbar.

Autoren: Christian Konradt, Andreas Schilling, Brigitte Werners

Quelle: DuD 01/2014

 

Denkverbote für Star-Trek-Computer? Big Data, statistische Modelle und lernende Maschinen

Denkverbote für Star-Trek-Computer? Big Data, statistische Modelle und lernende Maschinen

Big Data steht nicht nur für Datenberge, sondern auch für ein Paradigma ihrer Verarbeitung. Lernende Systeme leiten aus Daten statistische Modelle ab, die heuristische Voraussagen und Entscheidungen treffen. Das Speichern aussagekräftiger Angaben tritt in den Hintergrund, im Vordergrund steht die Dateninterpretation.

Autoren: Sven Türpe, Annika Selzer, Andreas Poller, Mark Bedner

Quelle: DuD 01/2014

Heterogeneous Networking Security Challenges and Considerations

In this article, security challenges related to a mobile heterogeneous networking environment, and the general access patterns are discussed. A novel, unified networking architecture that enables secure heterogeneous networking, both in terms of networks

and user devices is discussed. A comprehensive security framework providing a generalized authentication scheme using the Extensible Authentication Protocol (EAP) is then presented, by taking into account existing methods for secure network and device access.

Autoren: Amandeep Singh, Gaston Ormazabal, Henning Schulzrinne

Quelle: DuD 01/2014

NFC? Aber sicher

Wie sicher ist das kontaktlose Bezahlen?

Mit Ausnahme von Apples iPhone zählt NFC mittlerweile zur Grundausstattung jedes High-End-Smartphone und neue Anwendungen wie Mobile Payment halten derzeit Einzug. Doch das so praktische Bezahlen mit dem Smartphone hat auch Tücken. NFC bietet keinerlei Sicherheitsmechanismen und Apps sind leicht anzugreifen. Schon zeichnet sich eine ganze Reihe neuer Angriffsszenarien ab. Verschiedene Sicherheitsmechanismen können Abhilfe schaffen, doch ihr Einsatz hat sowohl technische, als auch organisatorische Hürden.

Autor: Julian Schütte

Quelle: DuD 01/2014

Herausforderungen und Strategien für den Umgang mit Apps im Arbeitsumfeld

Die Gretchenfrage: Wie halten Sie’s mit der App-Sicherheit?

Durch die immer stärkere Integration von Smartphones und Tablets in den Arbeitsalltag basiert heute die Sicherheit von Unternehmensdaten nicht mehr nur auf der Absicherung auf Netzwerk-und Endgeräteebene. Die Vertrauenswürdigkeit und Sicherheitsqualität der Flut von Apps für die Anforderungen von Unternehmen sicherzustellen, erfordern auch einen kritischen Umgang mit der Software. Mit den Ergebnissen von App-Massentests werden Beispiele dieser Herausforderung aufgezeigt und Strategien im Umgang mit den Risiken diskutiert.

Autor: Jens Heider

Quelle. DuD, 01/2014

Schutz- und Frühwarnsysteme für mobile Anwendungen

Angriffspotentiale, Schutzmechanismen und Forschungsaspekte für Smart Mobile Devices

Smart Mobile Devices (SMD) finden wegen ihrer unbegrenzten Konnektivität hohe Nutzerakzeptanz, sind aber auch – gerade deshalb – die Achillesferse der IT-Sicherheit. In diesem Beitrag werden die vielfältigen Angriffsvektoren und Schwachstellen von SMDs in unterschiedlichen Anwendungsumgebungen systematisiert und verfügbare Schutzmechanismen kritisch analysiert. Optimal kann mit diesen Mitteln nur ein Schutz vor bekannten Bedrohungen geleistet werden. Daher sind zusätzlich intelligente Systeme sinnvoll, mit denen unbekannte Bedrohungen und Angriffe erkannt werden könnten. Über einen solchen erfolgversprechenden Anomalieerkennungsansatz wird im Beitrag berichtet.

Autoren: Dominique Petersen, Sebastian Barchnicki, Norbert Pohlmann

Quelle: DuD, 01/2014