Monatliches Themenupdate aus den Bereichen Datenschutz & Cybersicherheit: November 2017

Elektronische Patientenakte:

Ein Bestandteil des im Januar 2016 in Kraft getretenen E-Health-Gesetzes ist die elektronische Patientenakte, deren Nutzung ab 2019 möglich sein soll. Die elektronische Patientenakte soll medizinische Informationen wie Impfausweise und Laborwerte der Patienten enthalten. Patienten sollen diese Daten jedoch nur in Arztpraxen einsehen können. Die Grünen kritisieren diese Vorgabe und fordern einen uneingeschränkten Eingriff für Patienten auf die elektronische Patientenakte. Mehr dazu auch unter: http://www.tagesspiegel.de/politik/kritik-am-gesundheitsministerium-gruene-wollen-datenhoheit-fuer-patienten/20528140.html

 

Terrorismusbekämpfung durch bessere Vernetzung:

Der Präsident des Bundeskriminalamtes, Holger Münch, hat die Notwendigkeit einer besseren technischen Aufstellung und Vernetzung der Sicherheitsbehörden in Europa im Hinblick auf die Bekämpfung islamistischer Terrorgruppen für unabdingbar erklärt. Näheres dazu auch unter: http://www.handelsblatt.com/politik/deutschland/holger-muench-bka-chef-fordert-bessere-vernetzung-im-kampf-gegen-terrorismus/20535000.html.

 

Mitarbeiterüberwachung durch LinkedIn:

Ein in San Francisco ansässiges Unternehmen nutzt Software-Bots, um öffentlich verfügbare LinkedIn Profildaten von Mitarbeitern zu sammeln. Das Unternehmen analysiert diese Informationen und bietet sie seinen Kunden, vor allem Arbeitgebern, an. LinkedIn versucht die Mitarbeiterüberwachung über seine Plattform zu stoppen und geht gerichtlich gegen das Unternehmen vor. Nähere Informationen dazu auch unter: http://searchhrsoftware.techtarget.com/feature/LinkedIn-case-raises-employee-privacy-concerns

 

Gefahr durch Algorithmen:

Bundesjustizminister Heiko Maas weist auf die Gefahren hin, die durch die Nutzung von Algorithmen durch große Konzerne wie Facebook und Google entstehen und fordert dementsprechend ein Algorithmusgesetz. Auch der Wissenschaftliche Dienst des Bundestags hält eine Regelung zur Kontrolle von Algorithmen für notwendig. Näheres dazu auch unter: http://www.zeit.de/digital/internet/2017-10/google-facebook-algorithmen-regulierung-bundestag-gutachten/komplettansicht

 

Schwachstelle in Infineon-Sicherheits-Chips:

Ein tschechisches Forscherteam hat in von Infineon hergestellten Sicherheits-Chips  eine Schwachstelle gefunden, die die Erzeugung von RSA-Keys und damit u.a. die Entschlüsselung sensibler Daten ermöglicht. Viele Hardware-Hersteller, die den Infineon-Sicherheits-Chip in ihren Produkten eingebaut haben, haben bereits Sicherheitsupdates veröffentlicht. Weitere Informationen dazu auch unter: https://www.heise.de/security/meldung/Hunderttausende-Infineon-Sicherheits-Chips-weisen-RSA-Schwachstelle-auf-3864691.html

 

Neuer EU-Rahmen für Cyberangriffe:

Ein neuer EU-Rahmen für eine gemeinsame Reaktion der EU auf bösartige Cyber-Aktivitäten soll Angreifer davon abhalten, Cyberangriffe gegen EU-Mitgliedstaaten zu starten. Zur Abschreckung sollen daher Cyberangriffe von feindlichen Akteuren als Kriegshandlung angesehen werden können und unter bestimmten Umständen gar eine Reaktion mit konventionellen Waffen rechtfertigen. Näheres dazu auch unter: https://www.scmagazine.com/new-eu-framework-reportedly-will-allow-member-nations-to-consider-cyberattacks-acts-of-war/article/703861/

 

Stärkung der Kontrollrechte des Bundestags:

Das Bundesverfassungsgericht hat entschieden, dass die Bundesregierung grundsätzlich zur öffentlichen Beantwortung der Anfragen des Parlaments verpflichtet ist. Mit dieser Entscheidung erfährt das Kontrollrecht des Bundestags gegenüber der Bundesregierung eine erneute Stärkung. Mehr Informationen dazu auch unter: http://www.tagesspiegel.de/politik/urteil-verfassungsgericht-staerkt-kontrollrechte-des-bundestags/20549990.html

 

Datenschutz und Smart Cities:

Smart Cities tragen durch die Vernetzung von Infrastrukturen zur Steigerung der Lebensqualität bei, werfen aber auf auch erhebliche datenschutzrechtliche Bedenken auf. Daher müssen städtische Organisationen Richtlinien zum Schutz personenbezogener Daten und der Privatsphäre der Bürger erstellen.  Nähere Informationen dazu unter: https://www.hpe.com/us/en/insights/articles/fixing-cities-data-privacy-potholes-1710.html

 

Sicherheitsforscher befürchten Spionage durch Apples Core ML:

Das neue Apple Update auf iOS 11 enthält viele neue Funktionen, darunter auch das Core ML. Entwickler erhalten dadurch eine einfache Möglichkeit, vortrainierte Algorithmen zum maschinellen Lernen in ihre Anwendungen zu implementieren, sodass diese ihr Angebot an die spezifischen Vorlieben eines Benutzers anpassen können. Sicherheitsforscher befürchten jedoch, dass das Core ML weitergehende persönliche Informationen ausspionieren könnte, als dies bisher bekannt ist. Näheres dazu auch unter: https://www.wired.com/story/core-ml-privacy-machine-learning-ios/

 

Sicherheitslücken in Webplattform für Schiffe:

Forscher der Sicherheitsberatungsfirma IOActive haben einen Bericht veröffentlicht, in dem zwei Schwachstellen in der AmosConnect 8-Webplattform, die Schiffe zur Überwachung von IT- und Navigationssystemen verwenden und die gleichzeitig den Crewmitgliedern den Zugang zum Internet ermöglicht, beschrieben werden. Die Sicherheitslücken seien zwar nicht leicht zugänglich, würden Angreifern jedoch einen tiefen Zugang in das System und Netzwerk des Schiffes bieten. Weitere Informationen dazu auch unter: https://www.wired.com/story/bug-in-popular-maritime-platform-isnt-getting-fixed/

 

Datenpanne beim Denver Art Museum:

Das Denver Art Museum warnte 800 Menschen vor einer Datenpanne, die persönliche Informationen über Spender, Kunden und Mitarbeiter betraf. Grund dafür sei ein E-Mail-Phishing Betrug, der sich im Juni ereignete und zwei E-Mail-Postfächer des Museums betraf. Mehr Informationen dazu auch unter: http://www.denverpost.com/2017/10/30/denver-art-museum-data-breach-800/

 

RSA-Schlüssel wurden fehlerhaft erzeugt:

Bei der Erzeugung von RSA-Schlüsseln, die von einer Softwarebibliothek eines großen Herstellers von kryptographischer Hardware verwendet werden, wurde eine Schwachstelle entdeckt, die Angreifern die Berechnung des privaten Teils eines RSA-Schlüssels ermöglicht. Nähere Informationen dazu auch unter: https://crocs.fi.muni.cz/_media/public/papers/nemec_roca_ccs17_preprint.pdf

 

Sicherheit vernetzter medizinischer Geräte muss verbessert werden:

Vernetzte medizinische Geräte bringen viele neue Möglichkeiten für die Gesundheitsversorgung mit sich. Cyberangriffe, wie zum Beispiel die im Mai 2017 durchgeführte WannaCry-Ransomware Attacke, die auch Teile des britischen National Health Service betraf, verdeutlichen aber, dass die Nutzung solcher Geräte auch mit Risiken verbunden ist. Angesichts des Schutzes der Patienten muss die Ausnutzung von Cybersicherheitslücken daher vor allem im Bereich der vernetzten medizinischen Geräte verhindert werden. Näheres dazu auch unter: https://www.statnews.com/2017/11/02/medical-devices-security-hospitals/

 

Bedrohung durch Ransomware:

Hacker versuchen deutsche Regierungsnetze immer häufiger mit Schadsoftware anzugreifen. Dies zeigt auch der vom BSI veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland. Danach hat sich die Zahl der Hackerangriffe im Zeitraum von Juli 2016 bis Juni 2017 im Vergleich zum Vorjahreszeitraum um 18 Prozent gesteigert. Die Zunahme der Zahl von Hackerangriffen sei vor allem auf die Verbreitung von Ransomware zurückzuführen. Nähere Informationen dazu auch unter: http://www.spiegel.de/netzwelt/netzpolitik/deutschland-bsi-bericht-zur-it-sicherheit-zeigt-flut-von-erpresser-software-a-1176986.html

 

Nato rüstet sich auf:

Auf die als aggressiv empfundene Politik Russlands reagierten die Verteidigungsminister der Bündnisstaaten der Nato mit der Bewilligung des Aufbaus von zwei neuen Hauptquartieren im Osten. Damit rüstet die Nato ihre Kommandostrukturen nach Ende des Kalten Kriegs zum ersten Mal wieder auf. Die Aufrüstung betrifft nicht nur konventionelle Angriffs- und Verteidigungsmittel, sondern auch technische Anwendungen im Cyberraum. Weitere Informationen dazu auch unter: http://www.faz.net/aktuell/politik/ausland/nato-ruestet-erstmals-seit-jahrzehnten-wieder-auf-15283817.html

 

Forderung einer aktiven Abwehr von Cyberangiffen:

Angesichts der steigenden Zahl der Cyberangriffe fordert Bundesinnenminister Thomas de Maizière eine aktive Abwehr von Cyberattacken. Zur Verhinderung der Entstehung neuer bzw. weiterer Schäden sollen unmittelbar bevorstehende oder bereits laufende Cyberangriffe mit Gegenangriffen, sog. Hack Backs, abgewehrt werden dürfen. Näheres dazu auch unter: http://www.handelsblatt.com/politik/deutschland/it-sicherheit-in-deutschland-innenminister-ist-fuer-aktive-abwehr-/20556552.html

 

BSI-Lagebericht zur IT-Sicherheit:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Jahresbericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht. Der Lagebericht thematisiert die aktuelle IT-Sicherheitslage sowie die Ursachen, Mittel und Methoden von Cyberangriffen.  Daran anknüpfend nennt der Lagebericht Vorschläge zur Verbesserung der IT-Sicherheit. Nähere Informationen dazu auch unter: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

 

Fähigkeiten und Risiken der Face ID des IPhone X:

Zur Sicherung des Smartphones hat Apple mit dem IPhoneX die biometrische Gesichtserkennung, die sog. Face ID, eingeführt. Die Face ID ersetzt den bisher von Apple verwendeten Fingerabdrucksensor, die sog. Touch ID. Zum einen erschwert die Face ID die Entsperrung des IPhone X durch Fremde deutlich, indem es ein mathematisches Modell des Gesichts des Nutzers erstellt und auf dem Gerät speichert. Zum anderen wirft die biometrische Gesichtserkennung aber auch erhebliche datenschutzrechtliche Bedenken auf. Mehr Informationen zu den Fähigkeiten und Risiken der Face ID des IPhone X auch unter: https://techcrunch.com/2017/11/04/a-closer-look-at-the-capabilities-and-risks-of-iphone-x-face-mapping/

 

Hackerangriff auf den Sacramento Regional Transit:

Ein Angreifer hat sich in die Betriebssysteme des Sacramento Regional Transit (RT) gehackt und systematisch Programme und Daten gelöscht. Nachdem der Hacker 30 Millionen Dateien gelöscht hatte, wurden in der Zentrale von RT die Computersysteme abgeschaltet. Die RT behauptet, dass keine Mitarbeiter- oder Kundendaten gestohlen wurden. Mehr Informationen dazu auch unter: http://sacramento.cbslocal.com/2017/11/20/sacramento-regional-transit-systems-hit-by-hacker/

 

Neue Schwachstelle identifiziert:

Eavesdropper ist eine neue Schwachstelle, die Forscher der Sicherheitsfirma Appthority identifiziert haben. Betroffen sind vor allem Anwendungen, die den Middleware-API von Twilio nutzen. Grund dafür sei, dass die Entwickler entgegen den Vorgaben von Twilio Anmelde-Credentials ungesichert in ihre Apps eingebaut haben. Dadurch können Angreifer auf private Daten wie Sprachaufzeichnungen und Textnachrichten zugreifen. Den Erkenntnissen der Forscher zufolge seien insgesamt ca. 700 iOS- und Android-Anwendungen betroffen. Näheres dazu auch unter: https://www.hackread.com/eavesdropper-flaw-exposes-millions-of-call-texts-and-recordings/, https://www.heise.de/security/meldung/Eavesdropper-Entwickler-Schludrigkeit-gefaehrdet-hunderte-Apps-3887665.html

 

Offenlegungsprogramm des Pentagons für Sicherheitslücken:

Im November 2016 hatte das Pentagon im Rahmen seines Offenlegungsprogramms für Sicherheitslücken Hacker aufgefordert, sich in die öffentlich zugänglichen Websites des Verteidigungsministeriums zu hacken und bestehende Sicherheitslücken zu melden. Fast 650 Hacker aus mehr als 50 Ländern haben mehr als 2800 Sichermängel gemeldet. Mehr dazu auch unter: http://thehill.com/policy/cybersecurity/359806-pentagons-coordinated-disclosure-program-defangs-2800-security-flaws

 

Hackergruppe „Shadow Brokers“ erschüttert NSA:

Die Hackergruppe Shadow Brokers soll über weitgehende Informationen über die NSA verfügen. Dies geht aus Veröffentlichungen der Hackergruppe auf Twitter hervor, die u.a. die Identität von Jake Williams, ein ehemaliger NSA-Mitarbeiter der Hackergruppe Tailored Access Operations (TAO) sowie Details aus geheimen, von Williams durchgeführten Operationen, beinhalten. Ob es sich bei den Shadow Brokers um einen Insider, der die geheimen Informationen weiterleitet oder eine Gruppe von geschickten Hackern handelt, ist noch unbekannt.  Nähere Informationen dazu auch unter: https://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

 

Uber vertuscht Hackerangriff:

Bereits im Oktober 2016 haben Hacker persönliche Daten wie Namen, E-Mail-Adressen und Telefonnummern von 57 Millionen Kunden und Fahrern des Fahrdienstvermittlers Uber gestohlen. Fast ein Jahr lang verschwieg Uber den Vorfall, bis der Angriff vor Kurzem öffentlich bekannt gegeben wurde. Anstelle der Benachrichtigung der Behörden und Betroffenen soll Uber den Hackern 100000 Dollar gezahlt haben, damit sie die gestohlenen Daten löschen. Die New Yorker Staatsanwaltschaft hat ein Ermittlungsverfahren eingeleitet. Weitere Informationen dazu auch unter: https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data

 

ATM-Malware-Methoden:

Geldautomaten sind ein beliebtes Ziel von Hackern. Denn obwohl Banken die Betriebssysteme ihrer Geldautomaten stetig modernisieren, sind sie nicht ausreichend vor Hackerangriffen geschützt. Während ATM-Malware vor einigen Jahren noch in zwei Kategorien eingeteilt wurde, verwenden Hacker mittlerweile verschiedene Codeverschleierungsmethoden und entwickeln immer subtilere ATM-Malware, die nicht nur den Geldautomaten, sondern auch die Bank-Netzwerke selbst angreifen können sollen. Näheres dazu auch unter: https://securityintelligence.com/how-are-atms-exploited-an-update-on-atm-malware-methods/

 

Leitfaden zur DS-GVO:

Die britische Datenschutzbehörde ICO hat einen Leitfaden zur Datenschutz-Grundverordnung entwickelt. Der Leitfaden enthält Erläuterungen zu den Bestimmungen der DS-GVO und soll Organisationen bei der Erfüllung der sich aus deren Bestimmungen ergebenden Anforderungen unterstützen. Ferner hat die ICO erklärt, dass die BCR trotz Brexit weitergeführt werden. Mehr Informationen dazu auch unter: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/

 

Geheime NSA-Daten auf einem AWS-Server entdeckt:

Chris Vickery, ein Mitarbeiter der Firma UpGuard, hat mehr als 100 Gigabyte an Daten zu einem geheimen NSA-Projekt mit dem Codenamen „Red Disk“ auf einem öffentlichen Amazon Web Service (AWS) Server entdeckt. Obwohl die Dateien auf einem nicht gelisteten Server gefunden wurden, konnte jeder, der ihn fand, auf die Daten zugreifen, weil diese nicht passwortgeschützt waren. Mehr Informationen dazu auch unter: https://www.cnet.com/news/nsa-breach-spills-over-100gb-of-top-secret-data/, https://www.heise.de/newsticker/meldung/Mehr-als-100-Gigabyte-Vertrauliche-Daten-der-NSA-ungeschuetzt-in-der-Cloud-3904075.html

 

Amazon-Key weist Schwachstelle auf:

Der Amazon-Key Service soll die Zustellung von Paketen auch dann ermöglichen, wenn sich keiner in der Wohnung befindet. Durch das elektronische Türschloss erhält der Paketzusteller Zutritt zur Wohnung und wird dabei von einer Überwachungskamera aufgezeichnet. Sicherheitsexperten haben jedoch eine Schwachstelle entdeckt, die es Hackern ermöglicht, auf die Kamera zuzugreifen und die Bildübertragung mit einem Standbild zu ersetzen, sodass sich betrügerische Zusteller unbemerkt Zutritt zur Wohnung verschaffen können. Amazon hat bereits ein Software-Update angekündigt. Näheres dazu auch unter: https://www.informationsecuritybuzz.com/expert-comments/amazon-bug-lets-deliverymen-re-enter-homes-without-ever-recorded/, http://www.computerbild.de/artikel/cb-News-Vernetztes-Wohnen-Amazon-Key-Postbote-in-Wohnung-19247545.html

 

NHS investiert in eigene Cyber-Sicherheitseinheit:

Der britische Gesundheitsdient NHS investiert mehr als 20 Millionen Pfund in eine eigene Cyber-Sicherheitseinheit mit einem Team ethischer Hacker. IT-Sicherheitsexperten halten dies für einen notwendigen Schritt, um Angriffe effektiver identifizieren und  auf diese reagieren zu können. Mehr dazu auch unter: https://www.informationsecuritybuzz.com/expert-comments/nhs-digital-investing-20million-central-cybersecurity-unit/

 

Effektivere Kriminalitätsbekämpfung durch künstliche Intelligenz:

Vorhersagende Polizeiarbeit, also die Analyse von Daten zur Berechnung der Wahrscheinlichkeit zukünftiger Straftaten, wird immer mehr von  künstlicher Intelligenz durchgeführt. Künstliche Intelligenz kann als die Fähigkeit eines Computers, menschliches Denken zu modellieren, definiert werden. In seinem Beitrag beschäftigt sich Patrick Perrot mit dem potenziellen Einsatz künstlicher Intelligenz in verschiedenen Bereichen der Kriminalitätsforschung. Der vollständige Beitrag findet sich unter: https://bulletin.cepol.europa.eu/index.php/bulletin/article/view/244

 

Deutsche Rathäuser sind unsicher:

Die Digitalisierung deutscher Behörden nimmt stetig zu. Aus diesem Anlass hat Zeit Online gemeinsam mit einem IT-Sicherheitsanalysten die IT-Systeme verschiedener deutscher Kommunen untersucht und dabei festgestellt, dass ihre digitale Datenbanken ungeschützt und daher besonders anfällig für Hackerangriffe sind. Nähere Informationen dazu auch unter: http://www.zeit.de/digital/datenschutz/2017-11/rathaus-gemeinde-daten-ratsinformationssystem-hack/komplettansicht

 

Streit um den Umgang mit Sicherheitslücken:

Beim Internet Governance Forum haben Datenschützer und Wilfried Karl, Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), diskutiert, wie in Deutschland mit vorhandenen Sicherheitslücken umgegangen werden soll. Vor allem die Erweiterung der technischen und rechtlichen Möglichkeiten von Behörden wie ZITiS zur Durchführung staatlicher Hack-Angriffe durch die gezielte Ausnutzung von Sicherheitslücken wirft bei Datenschützern Bedenken auf. Näheres dazu auch unter: https://www.wired.de/collection/life/wie-soll-deutschland-den-umgang-mit-sicherheitsluecken-regeln

 

Sicherheitslücke in Apple Betriebssystem macOS High Sierra:

Ein türkischer Developer hat eine Sicherheitslücke in dem Betriebssystem macOS High Sierra von Apple entdeckt und diese auf Twitter veröffentlicht. Die Sicherheitslücke ermögliche jedem, durch einen Root-Account auf das System des Computers zuzugreifen und als Administrator zu agieren. Apple hat bereits ein Sicherheitsupdate veröffentlicht. Mehr Informationen dazu auch unter: https://www.heise.de/mac-and-i/meldung/Schwere-Sicherheitsluecke-root-ohne-Passwort-mit-macOS-High-Sierra-3903707.html

 

Diskussion um die Vorratsdatenspeicherung:

Die Minister der EU-Mitgliedstaaten wollen erneut über Wege zur Einhaltung der Vorgaben des Europäischen Gerichtshofs zur Vorratsdatenspeicherung diskutieren.  Näheres zum aktuellen Diskussionsstand unter: https://netzpolitik.org/2017/diese-woche-minister-der-eu-mitgliedstaaten-beraten-ueber-vorratsdatenspeicherung/

Schreibe einen Kommentar