+49 228 2861 140 60 info@sicoda.de
LinkedIN Hack – Zeit zum Wechsel

LinkedIN Hack – Zeit zum Wechsel

Nachdem das Business Neztwerk LinkedIN gehackt wurde, ist nun an der Zeit das Passwort wieder einmal zu wechseln. Vielleicht könnten Sie auch direkt die Gelegenheit nutzen und sich einen Password Safe wie z.B. Keepass näher anzusehen.

Diese Password Safes ermöglichen es dem Nutzer, sich mehr oder weniger automatisch mit unterschiedlichsten Passwörtern an den unterschiedlichen Diensten anzumelden. Der Vorteil besteht darin, dass ein gehacktes Passwort z.B. bei LinkedIN keine Auswirkungen auf die Sicherheit aller anderen Dienste hat.

 

 

http://www.heise.de/newsticker/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html

http://www.heise.de/ct/ausgabe/2013-3-Ein-Blick-hinter-die-Kulissen-der-Cracker-2330601.html

http://www.heise.de/ct/ausgabe/2013-3-Die-Tools-und-Techniken-der-Passwortknacker-2330451.html

BSI Leitfaden für Ransomware

BSI Leitfaden für Ransomware

Nach Darstellung des BSI hat sich die Bedrohung durch die unter dem Namen Ransomware bekannte Schadsoftware um 1000% in den ersten zwei Monaten gesteigert. Es ist für alle Unternehmen an der Zeit sich mit dem Thema Ransomware auseinander zu setzten.

Das BSI hat einen Leitfaden für den Schutz vor Ransomware formuliert: BSI Leitfaden Ransomware.pdf

Die vordinglichsten Maßnahmen sind:

  1. Infektion verhindern über Pacht- und Virenmanagement
  2. Datensicherungskonzept
  3. Sensibilisierung der Mitarbeiter
  4. Risikomanagement

Sollten Sie Unterstützung benötigen, wenden Sie sich an unsere Experten, wir unterstützen eine Reihe von Unternehmen in der Absicherung der IT-Infrastruktur. Den wichtigen Teil der Mitarbeitersensibilisierung können wir z.B. in Präsens-Veranstaltungen in Ihrem Unternehmen abdecken und E-Learning mit unserem SICODA Trainer Angebot.

 

Warum ist Datenlöschung auf SSD so schwierig?

Solide State Drives (SSD) haben anders als z.B. magnetische Hard Disks (HD) deutlich eingeschränkte Speicherzyklen. So können die einzelnen Zellen zwischen 3.000 und 100.000 Mal den Zustand ändern und damit neue Informationen speichern. Um die Abnutzung des Speichersystems möglichst gleichmäßig zu halten, werden Daten mittels eines Wear-Leveling-Algorithmen auf dem Speicher verteilt. Im Vergleich dazu haben magnetische Speicher 4 Mrd. Speicherzyklen.

Der Wear-Leveling-Algorithmen garantiert allgemein formuliert, dass bei jedem Speichervorgang zufällig Speicherzellen ausgewählt werden, die die Information aufnehmen. Vor dem Hintergrund aktueller Datenlöscher (Shredder) besteht das Problem bei der Datenlöschung, dass die Löschdaten weiterhin zufällig geschrieben werden und nicht mehr, wie gewünscht, auf die alte Zelle.

Für SSDs gibt es daher spezielle Löschprogramme die genutzt werden müssen um Daten endgültig zu vernichten.

BuyVIP Hack

Das deutsche Amazon Unternehmen BuyVIP das sich als „Private Sales Club“ für Markenangebote versteht, wurde gehackt. Das Unternehmen hat unverzüglich alle Kunden über diesen Umstand informiert. Nach eigenen Angaben seien Bankdaten nicht betroffen und die Zugangsdaten seien verschlüsselt gewesen.

Trotzdem ist allen Kunden zu empfehlen, die Zugangsdaten zu wechseln. An diesem Beispiel zeigt sich wieder einmal eindrucksvoll, dass der Schutz von Daten im Internet gleich ob personenbezogene Daten oder Firmendaten eine sehr große Herausforderung darstellt.

Eine Informationspflicht nach § 42a BDSG hat nicht bestanden. Das Unternehmen hat mit der Information sehr vorbildlich auf den Hack reagiert.

Neugestaltung: technisch organisatorische Maßnahmen

Für eine Neugestaltung der technisch organisatorischen Maßnahmen spricht sich der Bundesbeauftragte für Datenschutz aus und fordert in seinem 23. Tätigkeitsbericht eine Abkehr von den konkret auf eine bestimmte technische Umgebung fixierten Sicherheitsmaßnahmen zugunsten allgemein verbindlicher Schutzziele.

Diese Schutzziele sollen sein:

  1. Verfügbarkeit
    Es ist zu gewährleisten, dass personenbezogene Daten und Verfahren zu ihrer Verarbeitung zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können.
  2. Vertraulichkeit
    Es ist zu gewährleisten, dass nur befugt auf personenbezogene Verfahren und Daten zugegriffen werden kann.
  3. Integrität
    Es ist zu gewährleisten, dass Daten aus personenbezogenen Verfahren unversehrt, zurechenbar und vollständig bleiben.
  4. Transparenz
    Es ist zu gewährleisten, dass die Erhebung und Verarbeitung personenbezogener Verfahren und die Nutzung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.
  5. Zweckbindung
    Es ist zu gewährleisten, dass personenbezogene Verfahren so eingerichtet sind, dass deren Daten nicht oder nur mit unverhältnismäßig großem Aufwand für einen Anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können.
  6. Intervenierbarkeit
    Es ist zu gewährleisten, dass personenbezogene Verfahren so gestaltet werden, dass sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.

Die klassischen IT-Sicherheitsschutzziele Verfügbarkeit, Unversehrtheit und Vertraulichkeit werden im Datenschutz um die Schutzziele Transparenz, Zweckbindung und Intervenierbarkeit erweitert. Diese Erweiterung trägt den Anforderungen im Datenschutz Rechnung. Durch die Abkehr von konkret benannten Maßnahmen im Gesetz, hin zu Schutzzielen wird erreicht, dass die gesetzliche Regelung nachhaltig bestehen bleibt.

So können die Maßnahmen, die die Schutzziele umsetzen, den konkreten Anforderungen und Einsatzbedingungen entsprechend weiterentwickelt werden.