Klienteninfo Ausgabe 31 / Juli 2022

Inhalt:

 

01.07.2022

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Gibt es was Neues?

Kaum, ist man versucht zu antworten, wenn man auf die Frage antworten und die aktuelle Situation des Datenschutzes beschreiben soll. Immer häufiger und immer gravierender sind die Datenschutzverletzungen, was auch mit dem Überfall von Russlands Putin auf die Ukraine zu tun hat - aber nicht nur. Die Probleme jedoch, die hinter den erfolgreichen kriminellen Attacken, den breitenwirksamen "Scherzen", dem schlichtweg ignoranten Verhalten von Verantwortlichen oder einfachen Missgeschicken stehen, scheinen sich kaum zu ändern. Sie wurden auch schon in den Klienteninformationen öfter beschrieben. Nachdem sie aber ihre Aktualität nicht verloren haben, sondern an Bedeutung sogar zulegen, sollen zwei ausgewählte Punkte anhand aktueller Fälle nochmals ausgeführt werden.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Wer auf alles klickt ...

Der Wiener Bürgermeister Michael Ludwig wurde "kalt erwischt": Offenbar war es die Blauäugigkeit seiner Mitarbeiter oder des Außenministeriums, die dazu geführt hat, dass Ludwig glaubte, ein Video-Telefonat mit dem Bürgermeister von Kiew, Wladimir Klitschko, zu führen. Das Einladungsmail zu der Video-Schaltung aus der Ukraine sah fast echt aus. Profis hätten aber, so die Berichte der Fachpresse, durchaus bemerken können, dass Klitschkos offizielle Mailadresse anders lautet. Man hätte also nachfragen können. Zwar sind auch andere Bürgermeister europäischer Hautpstädte hereingelegt worden, manche haben aber während der Gespräche Verdacht geschöpft und die Verbindung unterbrochen. Ludwig tat nichts dergleichen, ramponierte sein gutes Image und bekam die volle Ladung der Häme des Netzes zu spüren. Zu allem Überfluss scheint sich jetzt zu herauszustellen, dass zwei russische Komiker die Urheber der zweifelhaften "Scherze" waren und den wahren Klitschko mehr oder weniger gut imitierten.

Den Landeshauptmann von Kärnten freilich, Peter Kaiser, hat es weit schlimmer getroffen: Die gesamte Landesverwaltung wurde lahmgelegt, nachdem höchstwahrscheinlich ein unaufmerksamer Mitarbeiter auf ein "verseuchtes" Mail hereingefallen ist. Die Sache war nicht nur peinlich. Die Daten der Landesverwaltung wurden gestohlen und verschlüsselt. Wesentliche Teile der Administration funktionierten nicht mehr. Die Höhe des finanziellen Schadens ist noch nicht absehbar.

Sicherheitsforscher wagen die Prognose, dass die Kriminellen ihr Geschäftsmodell ändern werden. Nicht mehr die Freigabe verschlüsselter Daten könnte in Zukunft Grundlage der Erpressungen sein. Vielmehr könnte die Drohung lauten, dass "nur" gestohlene Daten veröffentlicht und unbeteiligte Opfer bloßgestellt werden. Eine aufwändige Verschlüsselung könnten sich die Verbrecher in einem solchen Szenario sparen, ihre Vorgangsweise damit "leiser" und auch ökonomischer gestalten.

Manche Unternehmer beauftragen Sicherheitsfirmen damit, die Widerstandskraft ihrer Firmennetzwerke regelmäßig zu testen. Dazu gehört nicht nur die technische Sicherheit sondern insbesondere auch die Aufmerksamkeit der Mitarbeiter. Immerhin können sie durch eine unbekümmerte Haltung ("klickt auf alles, was daherkommt") immensen Schaden verursachen. In Krankenhäusern etwa können sogar lebensbedrohliche Folgen eintreten. Allerdings haben in manchen Fällen die Personalvertreter erfolgreich verhindert, dass Mitarbeiter zu Nachschulungen aufgefordert werden, wenn sie einfach drauflos klicken und bei den Tests als "Schwachstellen" identifiziert werden. Begründet wird die Haltung der Personalvertreter damit, dass Bloßstellungen vermieden werden müssen. Nur zum Vergleich: Auch ertappte Alko-Lenker müssen zur psychologischen Nachschulung, wenn sie ihren Führerschein wieder bekommen wollen. Die Sicherheit der Allgemeinheit wird höher eingestuft, als die Eitelkeit des "Sünders". Warum diese Güterabwägung nicht wenigstens bei Unternehmen der kritischen Infrastruktur ähnlich erfolgt, ist schwer einzusehen.

Was kann man in der Praxis tun, damit das eigene Netzwerk nicht Opfer eines Überfalls wird? Neben einer vernünftigen technischen Absicherung müssen auch die Nutzer des Netzwerkes in die Sicherheitsüberlegungen einbezogen werden. Zumindest sollte man alle Mitarbeiter regelmäßig auf die Gefahren hinweisen, die durch Unbekümmertheit entstehen können. Auch Mails von vermeintlich gut bekannten Kunden und Geschäftspartnern sind manchmal "verseucht" und sehen den Originalen bloß täuschend ähnlich. Eine gute Testmöglichkeit hat man meistens schon, wenn man die wahre Absenderadresse aufmerksam studiert. Sie offenbart sich bei vielen Mailprogrammen, sobald man mit dem Mauszeiger darüber fährt. Was dort sichtbar geschrieben steht und was sich tatsächlich dahinter verbirgt unterscheidet sich oft deutlich voneinander und sollte Verdacht erregen. Regelmäßige Updates der Software und aktuelle Virenscanner sind eine wichtige Hilfe. Die Aufmerksamkeit des Menschen am Bildschirm kann aber durch technische Hilfsmittel nie vollständig ersetzt werden.

Quelle:

https://www.derstandard.at/story/2000136908295/nach-klitschko-fake-botschaften-sollen-gespraeche-koordinieren
(26.6.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Der Jammer mit den "Smart Homes"

Es ist eine äußerst praktische Vorstellung und gar keine Utopie: Der Paketbote läutet (ausnahmsweise wirklich!) an der Tür. Über mein Smartphone kann ich mit ihm sprechen, während ich im Büro oder auf Urlaub bin. Ich öffne ihm vom Telefon aus die Türe, beobachte, wie er sein Paket im Vorraum abstellt und die Wohnung wieder verläßt. Hinter dem Mann versperre ich auf Knopfdruck wieder die Türe. Wundervoll!

In seiner Privatwohnung kann grundsätzlich jeder machen, was er will. Man kann auch den Schlüssel bspw. gut sichtbar außen neben der Eingangstür aufhängen und deutlich beschriften; oder man spart sich überhaupt die Kosten für die Eingangstüre und läßt einfach ein Loch offen. Werden aber in dem Objekt - egal ob Wohnung oder Haus - auch Daten verarbeitet, die gesetzlichen Schutz genießen, sieht die Sache komplett anders aus. Übrigens: Auch Karteikarten und Listen, die sich in einem Schrank befinden, sind sehr oft "Datenverarbeitungen", selbst wenn keine Elektronik mit im Spiel ist.

Die Verwendung "smarter" Helfer geht immer mit zahlreichen Herausforderungen einher. Einige wenige sind hier aufgelistet:

  • Alexa, Siri & Co müssen ständig die Gespräche im Raum belauschen und an die Serverfarmen ihrer Hersteller übertragen, damit sie funktionieren können. Sogar in rein privaten Umgebungen muss man alle Anwesenden darüber informieren, dass sämtliche Gespräche aufgezeichnet werden, wenn man die Dinge "sauber" betreiben und fair bleiben will. In Praxisräumen, Kanzleien oder in Räumen, in denen sensible Themen besprochen werden, die womöglich der Verschwiegenheitspflicht unterliegen, sind die genannten "Helfer" ausnahmslos verboten.
  • Die Heizungssteuerung oder die Lichtschalter vom Smartphone aus zu beeinflussen bedeutet in der Regel, dass man die Sicherheit seines Netzwerkes zurückfährt und über den Webserver einer Herstellerfirma von außen mit seinen Geräten zu Hause kommuniziert. Der Betreiber des Webservers hat dann relativ leichten Zugang zum gesamten Netzwerk seines Kunden.
  • Schließanlagen, die von außen zu beeinflussen sind, werden meistens von externen Firmen betreut. Diese haben notgedrungen auch Zugang zum Netzwerk und können im Extremfall ebenfalls das Objekt entsperren. Wartungstechniker sind sehr oft verläßlich - aber nicht immer.
  • Manche Sensoren und WebCams, die z.B. über WLAN eingebunden sind, können von außen leicht überlistet werden. Dann sieht der Nachbar, wie es im Schlafzimmer zugeht oder das Garagentor wird geöffnet, weil das Netzwerk ein gefälschtes Signal verarbeitet hat. Das sollte man vermeiden. In Italien wurde zuletzt berichtet, dass das Organisierte Verbrechen über mangelhaft gesicherte Webcams Wohnungen ausspioniert, daraus Einbruchsempfehlungen ableitet und diese in großem Stil an Kleinkriminelle verkauft.
  • Es kommt sogar vor, dass die Hersteller von Sensoren und Aktoren für Smart Homes plötzlich ihre Server abschalten und die teuer gekaufte Infrastruktur weltweit einfach nicht mehr funktioniert. Dramatisch ist der Fall für Patienten, die bionische "Augen" eines US-Herstellers verwenden, wie "IEEE - Spectrum" im Februar 2022 berichtete: Die Firma stand damals am Rande des Konkurses und schaltete ihre Systeme ab. Die Folge: Zahlreiche Menschen konnten nicht mehr sehen.

Wer auf "Smart Home" setzt sollte also nicht nur das Problem der technischen Sicherheit ausführlich prüfen, sondern auch bedenken, dass er sich damit in Teilbereichen dauerhaft von einem einzigen Hersteller abhängig macht. Bei Systemen, die für den Betrieb eines Objektes oder aus anderen Gründen besonders wichtig sind, muss man jedenfalls auch Lösungen bereithalten, für den Fall, dass plötzlich nichts mehr geht.

Quellen:

https://orf.at/#/stories/3265670/
(14.5.2022)

https://www.derstandard.at/story/2000134688293/cyberattacken-im-eigenen-heim-mit-smartem-strom-abwehren
(9.4.2022)

https://www.derstandard.at/story/2000135014011/smart-home-firma-taucht-ab-und-hinterlaesst-dumme-produkte-und
(19.4.2022)

https://spectrum.ieee.org/bionic-eye-obsolete
(15.2.2022)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!