DSGVO-Verstoß: 400.000 € Bußgeld für KMU Unternehmen

Lange Zeit war es nach anfänglich großer Sorge der KMU-Unternehmen dann doch sehr ruhig geworden um das Thema Bußgelder im Zusammenhang mit der EU-DSGVO. Kürzlich dann erhitzte ein Gerichtsurteil aus Österreich die Gemüter. Darin ging es um Mieter-Klingelschilder, die aufgrund des Datenschutzes entfernt werden müssten. Zunächst gab es konkrete Handlungsempfehlungen einer größeren Grundbesitzervereinigung, dann das Dementi der obersten Datenschützerin in Deutschland. Andere Datenschutz-Landesvorsteher blieben der Meinung treu, dass namentliche Klingelschilder der Vergangenheit angehören.

Auch Praxen setzten die neuen DSGVO-Richtlinien nur halbherzig um. Noch immer sind Patientenakten bei der Anmeldung teilweise einsehbar. Nur in wenigen Fällen wird auf das namentliche Aufrufen von Patienten verzichtet.

Hohes Bußgeld für portugiesisches Krankenhaus

Nun ist vom EU-Nachbarland Portugal zu hören, dass ein 400.000 € Bußgeld gegen ein KMU-Unternehmen verhängt worden sei, das knapp 300 Ärzte beschäftige. Laut Público habe die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) dieses Bußgeld gegen das Krankenhaus Barreiro Montijo sowie weitere 100.000€ für andere Vorkommnisse verhängt.

Der Vorwurf: Man habe es mit den Benutzerberechtigungen nicht genau genug genommen. Es seien dreimal mehr Zugänge für Patientendaten eingerichtet gewesen als Ärzte angestellt waren. Eine „kleine Schlamperei“, wie sie in vielen Unternehmen vorkommt, die keine klaren und kontrollierten Prozesses zur Schließung von Benutzerkonten beim Ausscheiden von Mitarbeitern etabliert haben. Zudem hätten Techniker-Zugänge bestanden, die unnötiger Weise ebenfalls auf Patientendaten Zugriff gehabt hätten. Auch dies ist ein typischer Fehler: Administratoren mehr Zugänge zu geben als notwendig oder eben die Techniker einfach machen zu lassen, weil man möchte, dass die IT einfach nur läuft.

Allgemeine praktische Probleme

Zwar kann ein hochrangiger Admin sich selbst auf fast alle Daten Zugang gewähren, doch diese Berechtigungsänderungen werden in der Regel protokolliert. Datenzugriffe für IT Admins sind überdies oft notwendig, denn wie sonst soll dieser beispielsweise eine beschädigte Datei reparieren. Doch dürfen solche Zugänge nicht ohne Konzept und Kontrolle vergeben werden; Wildwuchs ist unbedingt zu vermeiden. Überhöhte Berechtigungen schleichen sich ein, weil und insofern alle Anwender inkl. der Admins häufig genervt davon sind, zahlreiche verschiedene Passwörter nutzen oder mühsam Berechtigungsfreigaben einholen zu müssen, kostet dies schließlich wertvolle Arbeitszeit – so die Empfindung.

Vielen Unternehmensverantwortlichen ist noch nicht bewusst, dass im Industrie 4.0 Zeitalter zwar vieles schneller geht und schnelllebiger geworden ist, doch eben auch größere Risiken bestehen als im Papierzeitalter: Früher war es gar nicht so leicht, einen Aktenordner mitgehen zu lassen, denn das große schwere Ding musste am Pförtner vorbei, Kollegen konnten einen beim Transport auf dem Flur beobachten usw. Die Daten aller Patienten zu entwenden, war so fast unmöglich. Einen USB-Stick in der Manteltasche dahingegen sieht niemand, findet kaum ein Metalldetektor – und dieser winzige Stick kann alle Patientendaten enthalten.

Gestiegene Risiken des Datenmissbrauchs

Die Risiken für Datenmissbrauch sind ergo immens gestiegen. Nicht nur die Arbeit ist im Zeichen der Digitalisierung einfacher geworden, auch illegitime Machenschaften sind es. Daher sollte jedem Unternehmen bewusst werden, dass u.a. Berechtigungskonzepte und Kontrollen unumgänglich sind – und zwar unabhängig von aller Kritik an der DSGVO.

Selbstverständlich entstehen für Konzepte und Kontrollen Kosten. Diese sind jedoch weit geringer als die durch modernes Arbeiten im Sinne der Industrie 4.0 erzielten Einsparungen und Effizienzsteigerungen. Günstiger als 400.000€ Bußgelder ist die Etablierung geeigneter Maßnahmen zumindest für den Mittelstandsunternehmer allemal.

Empfohlene Maßnahmen

Die Erstellung eines simplen Berechtigungskonzepts kann mittels einer Excel-Tabelle erfolgen, die sämtliche Zugänge für die verschiedenen Datenlaufwerke und Anwendungen auflistet. In einem weiteren Tabellenblatt werden die Benutzergruppen, deren Berechtigungsstufe dem jeweiligen Zugang zugeordnet. Das dritte Tabellenblatt führt dann alle Benutzer auf, die den jeweiligen Gruppen zugeordnet sind.

Dieses beispielsweise von der Personalabteilung gepflegte Berechtigungskonzept kann sodann der internen oder externen IT-Abteilung zur Umsetzung oder regelmäßigen Kontrolle übergeben werden. Weiterhin eignen sich Stichproben, ob und welche Benutzerzugänge für ausgeschiedene Zugungsberechtigte ggf. noch bestehen.

Das Mahr EDV Systemhaus hilft gerne bei der Umsetzung von Berechtigungskonzepten und der Implementierung von Kontrollsystemen. Weiterhin steht die Mahr EDV Checkliste zur DSGVO einschließlich zahlreichen Vorlagen zum kostenfreien Abruf bereit.

Die Mahr EDV Checkliste zur DSGVO stellt zwar keine Rechtsberatung dar und erhebt auch keinen Anspruch auf Vollständigkeit, ist aber eine ziemlich umfangreiche Unterstützung für viele Unternehmen. Das Barreiro Montijo Krankenhaus könnte dieser Checkliste beispielsweise entnehmen, dass für deren Webseite eine Verschlüsselung (https) eine sinnvolle Maßnahme ist, die diese noch nicht umgesetzt haben (www.chbm.min-saude.pt). Die https-Verschlüsselung ist im Hinblick auf die EU-DSGVO zumindest dann zwingend erforderlich, wenn durch Kontaktformulare Daten der Nutzer übertragen werden.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

E-Mail-Anbieter: So ist das Postfach sicher

Was sind die Alternativen zu den „normalen“ E-Mail-Providern? Wie unterscheiden sich sichere E-Mail-Provider von unsicheren? Und können Kunden E-Mails auch bei ihrem jetzigen Provider verschlüsselt versenden? Hier die Antworten.

Anonym registrieren

Haben Sie sich schon einmal gefragt, warum Ihr E-Mail-Provider nach Geburtsdatum und Geschlecht fragt? Sicher nicht, um Ihre E-Mails besser versenden zu können. Ein E-Mail-Provider, der Wert auf Privatsphäre legt, fragt bei der Registrierung für einen E-Mail-Account keine oder nur wenig persönlichen Daten ab. Sie können für den Login auch ein Pseudonym wählen, die Server speichern bei Ihrem Login nur Datum und Uhrzeit ab und es erfolgt kein Zugriff durch den Anbieter oder durch Apps auf Ihre Kontakte.

Sicher einloggen

Passwörter können gehackt werden. Für deutlich mehr Sicherheit sorgt eine Zwei-Faktor-Authentisierung – also eine Kombination zweier unterschiedlicher und unabhängiger Komponenten für den Identitätsnachweis. Sie loggen sich also beispielsweise per Passwort ein und bestätigen Ihre Identität mit einer zugesendeten SMS, einer Tan, einem speziellen USB-Stick oder Ihrem Fingerabdruck.

Eine sichere Verschlüsselung

Die weit verbreitete TLS- und SSL-Verschlüsselung ist besser als nichts – bietet aber keinen sicheren Schutz für Ihre E-Mails, Ihre gespeicherten Nachrichten sowie die Kalenderdaten. Zu den empfehlenswerten Verschlüsselungsmethoden gehören aufwendigere und zuverlässigere Methoden wie DANE, S/MIME und OpenPGP.

Der wesentliche Unterschied besteht darin, dass die E-Mail bei TLS- und SSL-Verschlüsselungen nur auf dem Transportweg geschützt wird, auf den Servern liegt die E-Mail aber unverschlüsselt ab. DANE, S/MIME und OpenPGP sind Ende-zu-Ende-Verschlüsselungen, bei denen die E-Mail auf dem Endgerät des Absenders verschlüsselt und erst auf dem Endgerät des Empfängers wieder entschlüsselt wird.

Transparenz und Ethik

Es sind Ihre persönlichen Daten, da sollte es selbstverständlich sein, dass Sie wissen, was mit diesen Daten passiert. Deshalb informieren einige Provider ihre Kunden darüber, wie oft beispielsweise Ermittlungsbehörden Zugriff auf die Mitgliedskonten verlangen und wie sie damit umgehen. Einige Provider positionieren sich zudem als ökologisch verantwortungsvolle Unternehmen, die Ökostrom beziehen und mit Ökobanken zusammenarbeiten.

Datenschutz und Serverstandort

Achten Sie zum Schutz Ihrer Daten auf jeden Fall darauf, dass Ihr E-Mail-Provider nach dem geltenden deutschen Datenschutzrecht handelt und die Server in Deutschland stehen. Wichtig hierbei: Amerikanische Firmen wie AOL, Gmail, Outlook und Yahoo sind trotzdem mittels „Patriot Act“ dazu verpflichtet, unabhängig vom Serverstandort alle Daten an US-Behörden herauszugeben.

Auf praktikable Handhabung achtenWenn Sie nicht gleich auf die höchste Sicherheitsstufe umsteigen und dafür Ihren E-Mail-Provider wechseln möchten, haben Sie auch die Möglichkeit, eine Verschlüsselungs-Extension zu nutzen. Das funktioniert natürlich nur bei der Nutzung der Webmail-Oberfläche. Einmal im Browser installiert, können Sie so Ihre E-Mails auch bei Outlook, Gmail, Yahoo und GMX per Klick verschlüsseln. Bitte beachten Sie: E-Mail-Anhänge und der Betreff lassen sich damit nicht verschlüsseln!

Da der unverschlüsselte Versand von E-Mails leider immer noch den Standard darstellt, ist die Umstellung auf den verschlüsselten Versand in jedem Fall mit ein wenig Aufwand verbunden. Ein Aufwand, der sich jedoch lohnen kann – da Sie damit aktiv dazu beitragen, Ihre Daten und Ihre  Privatsphäre zu schützen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

it-sa 2018

Mit neuer Software Edition präsentiert sich die MATESO GmbH auf der diesjährigen it-sa. Vom 09.-11. Oktober 2018 ist das Password Safe Team mit einer exklusiven Auswahl seiner Key-Partner am gemeinsamen Messestand vertreten (Messezentrum Nürnberg/Halle 9, Stand 346). Für ein persönliches Beratungsgespräch können Termine vereinbart und Freikarten gesichert werden.

Exklusiver Prelaunch: Password Safe stellt neue Version vor

Via Live-Demonstrationen gewährt MATESO exklusive Einblicke in Version 8.6 von Password Safe. Diese wurde mit neuen Funktionen wie Heartbeat oder Rollback erweitert. Auch Apple-User kommen nun auf ihre Kosten: Am Stand wird die neue Version auch auf dem Mac präsentiert.

Durch die Erweiterung des WebClients um neue Module wie Formulare, Organisationsstrukturen und Rollen wird in Zukunft auch das plattformunabhängige Arbeiten ermöglicht. Folgende Browser Add-on‘s stehen dafür ab jetzt zur Verfügung:

Windows: Chrome, Firefox, Edge und Internet Explorer

MacOS: Safari, Chrome, Firefox

Linux: Chrome, Firefox

EU-DSGVO und Passwörter: Die Notwendigkeit für Passwort Manager steigt

Mit der neuen Datenschutzgrundverordnung rücken Passwortmanagement-Lösungen zum Schutz von personenbezogenen Daten immer mehr in den Fokus. Europas führende Fachmesse für Daten- und Netzwerksicherheit hat dieses Jahr deshalb vor allem die EU-DSGVO zum Thema.

In Halle 9, Stand 346 können sich Besucher zu Password Safe beraten lassen, um ihre unternehmensinternen Daten DSGVO-konform zu schützen und zu verwalten. Aufgrund des großen Andrangs wird empfohlen, im Voraus einen Termin zu vereinbaren. Kunden, Interessenten und Partner von MATESO erhalten online mit dem E-Code B391315 Messe-Freikarten.

Über die it-sa

Die it-sa ist Europas größte IT-Security-Messe und eine der bedeutendsten Plattformen für Cloud-, Mobile- und Cyber Security sowie Daten- und Netzwerksicherheit weltweit.

Seit 2009 in Nürnberg beheimatet, ist die it-sa der Treffpunkt für C-Level Experten, IT Sicherheitsbeauftragte aus Industrie, Dienstleistung und Verwaltung sowie Entwickler und Anbieter von Produkten und Services rund um das Thema IT-Sicherheit.

Neben dem begleitenden Kongressprogramm bietet sich die Gelegenheit zum Austausch mit führenden Branchenexperten über die neuesten Produkte und Dienstleistungen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Zusätzliche Sicherheit für EBICS-Clients mit Zwei-Faktor-Authentisierung und erweiterter Passwortrichtlinie

Kommende Versionen von BL Banking können per Sicherheitsschlüssel eine Zwei-Faktor-Authentisierung nutzen. Zudem kann das Programm über ein zusätzliches Passwort für die Anmeldung weiter abgesichert werden.

Sicherheit im elektronischen Zahlungsverkehr

Der Zahlungsverkehr im Unternehmen gehört zu den sicherheitskritischsten Anwendungen überhaupt. Passwörter, die auf Zetteln notiert offen an Bildschirmen kleben oder Ähnliches sind darum auch ohne DSGVO schon länger pas­sé.

Bedrohlicher und schwieriger zu kontrollieren sind für viele Unternehmen dagegen die Gefahren, die mit dem Internet verbunden sind. Besonders riskant ist in diesem Umfeld Schadsoftware, die Daten vom PC ausliest und Passwörter per Keylogger abgreift.

Zum Schutz vor Angriffen dieser Art empfiehlt das Bundesamt für Sicherheit in der Informationstechnik die Zwei-Faktor-Authentisierung, kurz 2FA. Hierbei wird der Identitätsnachweis eines Nutzers mittels zweier unterschiedlicher, unabhängiger Komponenten (Faktoren) erbracht: Wissen, z. B. ein Passwort und Haben z. B. einen Fingerabdruck oder ein Sicherheitsschlüssel in Form eines USB-Tokens.

Sicherheit geht vor: Zwei-Faktor-Authentisierung in BL Banking-Clients

Die EBICS-Clients der BL Banking-Familie bieten seit jeher verschiedene Möglichkeiten zum Schutz von Programm und Daten. Neben der empfohlenen Verwendung von Smartcards, welche die privaten Schlüsseldateien sicher auf einem Chip verwahren, können Anwender in Zukunft die Zwei-Faktor-Authentisierung per Sicherheitsschlüssel nutzen.

Als Sicherheitsschlüssel kommt der besonders anwenderfreundliche YubiKey von Yubicozum Einsatz, der ganz ohne die Installation zusätzlicher Software oder Hardware im Programm eingerichtet wird. Ist der Schlüssel einmal registriert, kann die Anwendung nur noch in Verbindung mit diesem USB-Token genutzt werden. Verwendet wird der Sicherheitsschlüssel in der Art, dass auf Knopfdruck ein sicheres Einmalpasswort für das Programm erzeugt und dort entsprechend validiert wird.

Erweiterte Passwortrichtlinien: Getrennte Passwörter für die Anmeldung und die elektronische Unterschrift

Auch die bereits existierenden Passwortrichtlinien des Programms werden um eine neue Sicherheitsfunktion erweitert. Sie erlauben nun die Verwendung von getrennten Passwörtern für den Programmstart und das Unterschreiben von Zahlungen.

BL Banking wird direkt vom Hersteller vertrieben. Eine 20 Tage lang uneingeschränkt nutzbare Demoversion des Programms steht auf der Website von Business-Logics zum Download bereit.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Privileged Password Management

Die Verwendung von gestohlenen Zugangsdaten rangiert auf Platz eins der Methoden, die in 2017 zu Datenklau führten (Quelle: 2018 Verizon Data Breach Investigations Report) – und trotzdem machen es Firmen den Angreifern nach wie vor leicht.

In vielen IT-Organisationen gibt es gemeinsame Konten für Benutzer, Administratoren oder Anwendungen, auf die alle zugreifen können, die bestimmte Informationen zur Erledigung Ihrer Arbeit benötigen. Diese sogenannten Shared Accounts haben jedoch oftmals unnötige Sicherheitsrisiken zur Folge. Dies und viele weitere Fehlverhaltensweisen bei der Passwortsicherheit machen Unternehmen nach wie vor für schädliche Verstöße und Hacker-Angriffe anfällig. Die Kontrolle über ALLE ihre Enterprise-Passwörter zu behalten ist ein signifikanter Schritt zur Abwehr von Cyber-Attacken.

Unser Partner BeyondTrust hat einen Leitfaden mit einer Vielzahl von Anwendungsfällen und Lösungen entwickelt, die Ihnen bei der Verwaltung und Überwachung privilegierter Anmeldeinformationen und Konten helfen.

In dem Leitfaden mit dem Titel „Technical Solutions Guide: Use Cases zum Management priveligierter Zugänge“ erhalten Sie Infos zu diesen Themen:

  • Szenarien und Lösungen zur Eliminierung gemeinsamer Konten in Ihrer IT-Umgebung
  • Integration von privilegierter Passwortverwaltung mit Endpunkt- und Serverlösungen für Unix, Linux und Windows
  • Die Vorteile eines integrierten Ansatzes bei der Verwaltung privilegierter Zugänge

Sie möchten Ihre privilegierten Passwörter und Konten besser schützen? Dann laden Sie sich noch heute das kostenlose Whitepaper von BeyondTrust herunter: https://info.beyondtrust.com/…

Vortrag: "Privileged Pathway Principles for highly successful Cyber Security implementations"
Gerne können Sie uns auch am 25. September 2018 beim KOGIT Compliance Identity Forum in der Villa Kennedy in Frankfurt besuchen. Brian Chappell, Senior Director für Enterprise & Solution Architecture bei BeyondTrust wird in seinem Vortrag über erfolgreiche Cyber Security-Implementierungen referieren und steht Ihnen anschließend für Fragen rund um das Thema Privileged Access Management zur Verfügung.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Security Messe Essen: 5 Tipps gegen Datenmissbrauch

Vom 25. Bis 28. September 2018 findet die Security Essen statt. Sie ist mit mehr als 1.000 Ausstellern und 40.000 Fachbesuchern die weltweit führende Fachmesse der zivilen Sicherheit. Eines der Themen auf der Messe ist Cyber-Security. Was tun gegen Identitätsdiebstahl im Netz? Dazu fünf Tipps von Dr. Carsten Föhlisch, Verbraucherrechtsexperte des europäischen Online-Gütesiegels Trusted Shops.

Tipp 1: Manchmal ist weniger mehr
Dr. Carsten Föhlisch: Ob in sozialen Netzwerken oder auch beim Online-Shopping – Verbraucher sollten sparsam mit den eigenen Daten umgehen. Sie sollten niemals mehr preisgeben, als es unbedingt notwendig ist. Nur so können Verbraucher vermeiden, dass ihre Daten in falsche Hände gelangen. Das gilt auch für die E-Mail-Adresse. Online-Händler beispielsweise benötigen zwar immer eine E-Mail-Adresse, um eine Bestellbestätigung schicken zu können, aber besonders bei Foren oder Gewinnspielen sollten Verbraucher aufmerksam sein und auf Seriosität achten. Zudem sind Spam-Mails im Posteingang oftmals sehr ärgerlich. Um diese zu vermeiden, sollte die E-Mail-Adresse nicht zu leichtfertig angeben werden.

Tipp 2: Keine unverschlüsselten Daten übertragen
Dr. Carsten Föhlisch: Beim Online-Shopping sind die Zahlung per Kreditkarte oder Einzugsermächtigung gängige Verfahren. Verbraucher sollten Zahlungsdaten niemals unverschlüsselt übertragen. Denn sonst könnten die Daten leicht abgefangen und für andere Zwecke missbraucht werden. Was viele Verbraucher nicht wissen: Beim Senden von unverschlüsselten Daten verstoßen viele Online-Käufer gegen die Bedingungen ihrer Bank. Um auf der sicheren Seite zu sein, ist es deshalb ratsam, dass Verbraucher vor dem Senden der Zahlungsdaten immer schauen, ob im Browserfenster ein Schloss-Symbol bzw. ein „https“ in der URL angezeigt wird. Das Symbol garantiert eine verschlüsselte Datenübertragung.

Tipp 3: Unseriöse Online-Shops erkennen
Dr. Carsten Föhlisch: Im Internet gibt es zahlreiche Online-Shops. Die meisten Shop-Betreiber sind ehrliche Händler. Doch immer häufiger nutzen Betrüger sogenannte Fake-Shops, um Verbraucher abzuzocken. Verbraucher sollten deshalb unbedingt auf eine vollständige Anbieterkennzeichnung sowie auf umfängliche Informationen zu Widerruf, Versandkosten und Zahlungsmethoden achten. Bei unseriösen Shop-Betreibern sind diese oft fehlerhaft oder schwer zu finden. Zudem kann eine kurze Internetrecherche sinnvoll sein. Vielleicht gibt es Negativeinträge in Foren, die zu erhöhter Wachsamkeit mahnen. Lässt sich ein Online-Shop darüber hinaus von seinen Kunden direkt bewerten und blendet das Ergebnis auf seiner Website ein – etwa über das Kundenbewertungssystem von Trusted Shops –, kann dies zusätzlichen Aufschluss über die Qualität von Service und Angebot geben. Trusted Shops stellt die Unabhängigkeit und Echtheit der Bewertungen über eine mehrstufige Überprüfung sicher. Darüber hinaus sollten Verbraucher schauen, ob ein Shop mit einem Gütesiegel zertifiziert ist. So geraten die sensiblen Daten gar nicht erst in falsche Hände.

Tipp 4: Passwörter niemals auf öffentlichen PCs speichern
Dr. Carsten Föhlisch: Gespeicherte Passwörter erleichtern das Surfen im Internet, da das lästige Einloggen entfällt. Jedoch sollten Internet-Nutzer unbedingt darauf verzichten, wenn sie an einem öffentlichen Computer, zum Beispiel in einem Internetcafé, sitzen. Die Passwörter werden über sogenannte Cookies gespeichert, die auf dem Computer abgelegt werden. Vergisst der Nutzer am Ende die Cookies zu löschen, wird der nächste Computernutzer automatisch mit dem Account angemeldet. Was viele nicht wissen: Einige Computerviren lesen die Cookie-Listen ohne Zustimmung des Nutzers aus. Grundsätzlich sollten Verbraucher es Betrügern schwer machen, das Passwort zu knacken. Die verwendeten Passwörter sollten immer aus einer Kombination von Sonderzeichen, Buchstaben und Zahlen bestehen. Am besten verwendet man unterschiedliche Passwörter für verschiedene Anwendungen. Regelmäßiges Ändern des Passworts und Sicherheitsfragen, die nur vom Verbraucher selbst beantwortet werden können, schützen zusätzlich vor Datenmissbrauch.

Tipp 5: Zuerst die Allgemeinen Geschäftsbedingungen lesen, dann zustimmen
Dr. Carsten Föhlisch: Bei sozialen Netzwerken und Internet-Diensten müssen sich Nutzer häufig registrieren. Auch wenn es keine spannende Lektüre ist, ist es empfehlenswert, dass sich Nutzer trotzdem unbedingt die AGB und die Datenschutzerklärungen bei der Registrierung durchlesen. Denn nur so wissen Nutzer, was mit ihren Daten geschieht. Beispiel facebook: Hier sollten Nutzer einiges beachten. Drückt ein Nutzer auf einer Internetseite einen „Gefällt mir“-Button und ist gleichzeitig bei facebook angemeldet, dann erhält das soziale Netzwerk die Information, dass der Nutzer die Website besucht hat. Die Information wird auch dann übertragen und kann dem Nutzerprofil zugeordnet werden, wenn der Nutzer den Button nicht gedrückt hat.
 
Weitere Infos zu dem Thema Identitätsschutz finden Sie unter diesem Link: https://www.trustedshops.de/identitaetsschutz/

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

5 Tipps für ein sorgenfreies Online-Banking

Es ist schnell und komfortabel, seine Finanzen online zu verwalten. Doch auch, wenn bei den meisten Verbrauchern das Thema Online-Banking zum Alltag bereits dazugehört, gibt es noch immer einige skeptische Stimmen — insbesondere zum Thema Sicherheit. Mit diesen fünf Tipps ist man bei der digitalen Verwaltung seiner Konten auf der sicheren Seite.

Das passende Autorisierungsverfahren finden

Der Teil des Online-Bankings, bei dem die Sicherheit die größte Rolle spielt, ist die Autorisierung von Zahlungen. Schließlich muss die Bank erkennen, dass auch wirklich sie vor Rechner oder Smartphone sitzen. Um eine sichere Erkennung zu ermöglichen, entwickeln die Banken immer neuere und raffiniertere Methoden:

Das bekannteste Autorisierungsverfahren ist das sogenannte TAN-Verfahren. Eine TAN, kurz für Transaktionsnummer, ist eine sechsstellige Kennziffer, die einmalig gültig ist und sich — wie der Name schon sagt — auf eine konkrete Transaktion bezieht. Dies ist zum Beispiel bei Überweisungen oder Kontoänderungen der Fall. Die analogen TAN-Listen aus Papier, auf denen eine Vielzahl dieser Nummern aufgeführt war, wurden von den digitalen Verfahren nahezu vollständig abgelöst.

So zum Beispiel von der MobileTAN, auch smsTAN oder mTAN genannt. Hierbei wird vom System eine Nummer generiert und zur Autorisierung auf das Mobiltelefon gesendet. Diese Nummer geben Verbraucher dann im Portal ein und können die Transaktion so freigeben. Für eine solche Art der Zahlung sind zur Sicherheit zwei Geräte notwendig. Achtung: Dieses Verfahren nur wählen, wenn sicher ist, dass niemand Zugang zu dem Mobiltelefon hat.

Daten nicht leichtsinnig herausgeben

Daten sind das wichtigste Gut und sollten daher nicht leichtsinnig an Dritte weitergegeben werden. Für viele Betrüger wird der Handel mit Daten immer lukrativer. So werden auch die Methoden, mit denen sie an die Daten kommen, immer professioneller. Ein besonders häufiger Delikt im Bezug auf digitales Banking ist das sogenannte Phishing. Damit ist das kriminelle Abgreifen von Daten über gefälschte E-Mails und Apps gemeint.

Wichtig: Sensible Daten wie Kontoauszüge oder Unterlagen zum Online-Banking in Papierform nicht leichtsinnig im Hausmüll entsorgen. Unterlagen schreddern und sensible Daten unkenntlich machen, damit sich niemand unbefugt Zugang zu den Finanzen beschaffen kann.

Nur autorisierte Zahlungsanbieter nutzen

Immer häufiger werden Bestellungen nicht via Online-Überweisung im Bankportal, sondern unabhängig über alternative Zahlungsanbieter bezahlt. Viele Webshops bieten komfortable Methoden wie Zahlung per SOFORT, PayPal oder Klarna an, um den Bestellprozess so einfach und schnell wie möglich zu gestalten. Immer darauf achten, ob es sich bei der vermeintlichen Website des Zahlungsunternehmens tatsächlich um den realen Anbieter handelt.

Bei einer Bestellung in einem anderen Land, kann es vorkommen, dass man an einen unbekannten Anbieter weitergeleitet wird. Dies ist unter anderem bei Zahlung mit Kreditkarte häufig der Fall. Hierbei empfiehlt es sich, nach der offiziellen Website und Erfahrungsberichten zu suchen. Auch ein Kontakt mit dem Service des Online-Shops kann hilfreich sein.

Auf Datensicherheit an öffentlichen Hotspots achten

Auch, wenn es praktisch erscheint, mal schnell von unterwegs eine Zahlung zu tätigen, ist dies nicht immer der sicherste Weg. Die Bankgeschäfte besser an einem bekannten Ort, wie zum Beispiel im Heimnetzwerk, erledigen. Öffentliche WLAN-Hotspots können von Hackern leicht angezapft und so Daten offengelegt werden.

Auch beim Surfverhalten auf Sicherheit achten! Beim Verwalten des Kontos besser den privaten oder Inkognito-Modus nutzen, um keine Datenspuren wie Zugänge und Passwörter zu hinterlassen. Ebenfalls empfiehlt es sich, regelmäßig den Cache des Browsers zu leeren.

Den Zahlungsverkehr genau beobachten

Regelmäßig die Kontoübersichten überprüfen und verifizieren, dass die angegeben Zahlungen auch wirklich von ihnen stammen. Manchmal sind Empfänger und Verwendungszweck nicht unbedingt auf den ersten Blick ersichtlich, da von den Unternehmen Zahlungsdienstleister genutzt werden. Tipp: Mehrfach prüfen, um welche Zahlung es sich handelt.

Zusätzlich kann es helfen, ein Limit für Online-Zahlungen einzurichten. Dies ist bei den meisten Banken ganz einfach über das Bankingportal möglich.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Studie entlarvt gravierende Sicherheitslücken bei Trading-Plattformen

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu nehmen und sich vom heimischen Computer aus um seine Bank- und Versicherungsgeschäfte zu kümmern. Wer dabei nicht nur hin und wieder mit Aktien, CFDs oder anderen Finanzprodukten handeln will, gelangt bei der eigenen Hausbank und deren Online-Banking-Plattform oft schnell an seine Grenzen. Für diese Trader gibt es spezielle Online-Broker, die ihren Kunden in den meisten Fällen deutlich umfangreichere Handelsplattformen zur Verfügung stellen. Hier gibt es Analysetools, Charts und oft die Möglichkeit, Strategien in Form von automatisierten Handelssystemen zu hinterlegen.

Wir sehen: Durchaus sensible Informationen werden bei der Kommunikation mit diesen Handelsplattformen hin und her geschickt. Daher sollte der Sicherheit der Software mindestens genauso viel Aufmerksamkeit gewidmet werden wie der Usability und dem Funktionsumfang. Ob das auch tatsächlich der Fall ist, hat der Sicherheitsforscher Alejandro Hernándes von IOActive bei den 40 bekanntesten Plattformen untersucht. Sein Test umfasste dabei Mobile-, Desktop- und Webanwendungen der Broker. Sein Ergebnis: Die Cybersecurity der getesteten Systeme lässt sehr zu wünschen übrig.

Mehr als die Hälfte der getesteten Plattformen übertrug zumindest einen Teil der Daten unverschlüsselt, was einen Man-in-the-Middle-Angriff ermöglichen kann. Ein Teil der Programme speicherte unverschlüsselte Passwörter lokal auf dem Rechner, wodurch sie mittels direktem Zugriff, beispielsweise über eine Fernwartungssoftware, ausgelesen werden könnten. Wieder andere übertrugen die Passwörter im Klartext. In zwei Fällen beendete die Software eine Sitzung auf Serverseite erst Stunden nach dem Log-out des Nutzers. Wäre in dieser Zeit das Session-Cookie in die falschen Hände gefallen, hätte ein Angreifer vollen Zugriff auf das Trading-Konto erhalten, Gelder auf die eigenen Konten überweisen oder das Trading-Konto sogar schließen können.

Ein weiterer Kritikpunkt des Sicherheitsforschers ist, dass eine Zwei-Faktor-Authentifizierung zwar von den Systemen angeboten wird, aber nicht zu den Standardeinstellungen zählt. Zu guter Letzt sieht Hernández auch in einer durchaus beliebten Funktion vieler Trading-Plattformen ein Problem: Der Erstellung und Verbreitung von vorprogrammierten Handelsstrategien als Plug-ins für die Plattform. Diese können beispielsweise von erfolgreichen Tradern erstellt und an Follower vergeben werden. Dieses sogenannte Social Trading hat in den vergangenen Jahren an Beliebtheit gewonnen, birgt aber auch Gefahren. Laut Hernández könnte sich in den Plug-ins zusätzlicher Schadcode verstecken. Besonders der Einsatz einfacher Programmiersprachen wie C++ oder Pascal macht es Kriminellen einfach, sich auf diese Weise eine Hintertür zu öffnen.

Alejandro Hernández hat in dieser Woche seine Ergebnisse im Detail auf der Konferenz Black Hat USA in Las Vegas vorgestellt und nun auch erstmals die meisten der untersuchten Broker beim Namen genannt. Eine verkürzte Version seines Berichts war bereits im Herbst erschienen, allerdings wollte der Sicherheitsforscher den Anbietern der Handelsplattformen die Chance geben, die Sicherheitslücken vor der Veröffentlichung zu schließen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Reddit: Hacker tricksen Zwei-Faktor-Authentifizierung aus

Der Social-News-Aggregator Reddit zählt mit mehr als 330 Millionen Besuchern im Monat laut CNBC zu den fünf weltweit beliebtesten Webseiten im Internet. Seit der Gründung im Jahr 2005 teilen und bewerten immer mehr Nutzer Inhalte auf der Seite und diskutieren über die verschiedensten Themen in sogenannten Subreddits. Bei der Menge an Daten, die dabei aufläuft, ist es kein Wunder, dass Reddit im Laufe der Zeit als lohnendes Ziel in den Fokus von Kriminellen geraten ist. Das Unternehmen selbst ist sich dessen auch durchaus bewusst. Erst kürzlich wurde ein neuer Sicherheitschef eingestellt und aktuell sind weitere Stellen in diesem Bereich ausgeschrieben. Darüber hinaus setzt das Unternehmen für seine Mitarbeiter auf eine Zwei-Faktor-Authentifizierung, die eigentlich unerwünschte Eindringlinge aussperren soll. Leider hat diese Maßnahme nicht gegriffen und so konnten Mitte Juni Hacker in die Datenbanken von Reddit eindringen und Nutzerdaten aus der Anfangszeit der Webseite erbeuten.

Interessant ist dabei insbesondere die Art und Weise, wie die Kriminellen vorgegangen sind, denn eine Zwei-Faktor-Authentifizierung gilt eigentlich als relativ sichere Methode, um Hackern das Leben schwer zu machen. Dieser Meinung war man auch bei Reddit, allerdings setzte das Unternehmen auf SMS-Nachrichten bei der Authentifizierung der Mitarbeiter. Um sich Zugang zu den internen Netzwerken zu verschaffen, mussten die Kriminellen also sowohl das Passwort als auch den Code in der SMS des jeweiligen Mitarbeiters eingeben. Nachdem sie auf bislang nicht näher beschriebenen Wegen das Passwort erbeutet hatten, brauchten sie also noch den Code als zweiten Faktor, um sich einzuloggen. Den erhielten sie, indem sie sich eine Kopie der SIM-Karte des Mitarbeiters mit derselben Nummer beschafften. So konnten sie die SMS abfangen. An eine Kopie einer SIM-Karte zu gelangen ist im Übrigen gar nicht so kompliziert. Manchmal reicht schon ein Anruf beim Anbieter, dass die SIM-Karte kaputt sei und man eine neue brauche. Zwar muss man sich dann legitimieren, aber viele Menschen geben die dafür relevanten Informationen wie Geburtstag, Name des Haustiers oder ähnliches ganz öffentlich im Internet preis.

Im Fall von Reddit erbeuteten die Eindringlinge eine komplette Kopie der Datenbank aus den Jahren 2005 bis 2007 inklusive E-Mail-Adressen und Anmeldedaten. Auch einige E-Mails, die zwischen dem 3. und dem 17. Juni 2018 über die Plattform verschickt wurden, sollen den Hackern in die Hände gefallen sein. Die betroffenen Nutzer kontaktiert Reddit in persönlichen Nachrichten oder über die hinterlegten E-Mail-Adressen und empfiehlt, die Passwörter schnellstmöglich zu ändern. Außerdem wurde der Vorfall an die zuständigen Strafverfolgungsbehörden gemeldet. Für die Zukunft zieht Reddit Konsequenzen aus dem Vorfall und wird die Zwei-Faktor-Authentifizierung vom SMS-basierten auf ein Token-basiertes Verfahren umstellen. Ein solches hat auch der Internetriese Google eingeführt. Hier gab es laut Unternehmensangaben seither keine Sicherheitsvorfälle mit Phishing oder ähnlichen Betrugsmaschen mehr.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

BvD: Kinder zum Umgang mit Daten befähigen

Wie Kinder besser vor Datenmissbrauch im Internet geschützt werden können, ist Thema der gemeinsamen Fachtagung „Datenschutz für Kinder“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, der Initiative „Deutschland sicher im Netz“ und des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. am Dienstag in Berlin. An der Konferenz nehmen auch rund 60 Kinder teil, die im Vorfeld Fragen erarbeiteten, die sie während der Konferenz an die Fachleute stellen.

„Schon Grundschulkinder werden durch Spielekonsolen, interaktives Spielzeug, aber auch durch Smartphones oder den Computer der Eltern mit den Herausforderungen der Digitalisierung konfrontiert“, sagte der Sprecher des BvD-Arbeitskreises Schule, Rudi Kramer. Dabei sendeten die Seiten, Geräte und Produkte Daten, die Werbetreibende für gezielte Angebote für die Kinder nutzten. „Deshalb müssen wir pädagogische Konzepte erarbeiten, wie wir schon Fünf- oder Sechsjährigen Datenschutz nahebringen können.“

Kramer appellierte zugleich an Bundesländer und Schulen, die Klassen mit entsprechender Technik auszustatten. „Vor allem Kinder, die im Umgang mit Tablets oder Smartphones ungeübt sind, drohen Gefahren.“ Sie würden oft unbedarft Namen, Adresse und weitere persönliche Informationen preisgeben. „Das gehört auch als Lehrstoff in den Unterricht“, unterstrich Kramer. „Nur so können wir Kinder und Jugendliche auf einen verantwortungsvollen und selbstbewussten Umgang mit Medien und Daten vorbereiten.“

Fachleute des BvD gehen seit 2009 mit der Initiative „Datenschutz geht zur Schule“ in Schulklassen und informieren Kinder bereits ab den 5. Klassen beispielsweise darüber, wie sie sichere Passwörter anlegen, Viren und Trojaner verhindern, ihre Privatsphäre schützen und sich gegen Cybermobbing wehren können.

„Wir machen die Schülerinnen und Schüler auf die Gefahren beim Thema Datenschutz aufmerksam“, sagte Kramer. „Aber eigentlich ist dies Aufgabe von Schulen und Bildungs-Institutionen. Aber auch von den Eltern. Sie sollten vor allem kleinere Kinder nicht mit dem Internet alleine lassen.“

Ziel der Tagung ist es, Empfehlungen und Maßnahmen zu entwickeln, wie Kindern künftig Datenschutz vermittelt werden kann. Dabei soll es auch um pädagogische Konzepte für Kinder ab der 4. Klasse sowie den Kenntnisstand von Lehrern und Eltern beim Datenschutz und der Digitalisierung gehen.

Kramer diskutiert unter anderem mit der Staatsministerin für Digitalisierung, Dorothee Bär, über die Frage „Was für Kinder wichtig ist“. BvD-Vorstand Thomas Spaeing nimmt mit Andrea Voßhoff an der Abschlussdiskussion zum Thema „Kinderwünsche an die digitale Zukunft“ teil.

Im Rahmen der Initiative „Datenschutz geht zur Schule“ bietet der BvD für Schulklassen kostenlose Unterrichtseinheiten speziell zum Thema Datenschutz an. Die Dozenten sind erfahrene Datenschutz-Experten mit einer zusätzlichen Qualifizierung für den Unterricht. Eltern erhalten in Informationsabenden der Initiative Antworten auf Fragen rund um die Datensicherheit im Internet.

Ferner können sich Schulen, Lehrkräfte und Bildungsreinrichtungen unter https://www.bvdnet.de/datenschutz-geht-zur-schule/ Lehr- und Unterrichtsmaterialien herunterladen.

Die Tagung „Datenschutz für Kinder“ findet statt am

3. Juli 2018

ab 09:00 Uhr

in der Vertretung des Landes Niedersachsen beim Bund
In den Ministergärten 10, 10117 Berlin

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox