01.07.2022
Kaum, ist man versucht zu antworten, wenn man auf die Frage antworten und die aktuelle Situation des Datenschutzes beschreiben soll. Immer häufiger und immer gravierender sind die Datenschutzverletzungen, was auch mit dem Überfall von Russlands Putin auf die Ukraine zu tun hat - aber nicht nur. Die Probleme jedoch, die hinter den erfolgreichen kriminellen Attacken, den breitenwirksamen "Scherzen", dem schlichtweg ignoranten Verhalten von Verantwortlichen oder einfachen Missgeschicken stehen, scheinen sich kaum zu ändern. Sie wurden auch schon in den Klienteninformationen öfter beschrieben. Nachdem sie aber ihre Aktualität nicht verloren haben, sondern an Bedeutung sogar zulegen, sollen zwei ausgewählte Punkte anhand aktueller Fälle nochmals ausgeführt werden.
Der Wiener Bürgermeister Michael Ludwig wurde "kalt erwischt": Offenbar war es die Blauäugigkeit seiner Mitarbeiter oder des Außenministeriums, die dazu geführt hat, dass Ludwig glaubte, ein Video-Telefonat mit dem Bürgermeister von Kiew, Wladimir Klitschko, zu führen. Das Einladungsmail zu der Video-Schaltung aus der Ukraine sah fast echt aus. Profis hätten aber, so die Berichte der Fachpresse, durchaus bemerken können, dass Klitschkos offizielle Mailadresse anders lautet. Man hätte also nachfragen können. Zwar sind auch andere Bürgermeister europäischer Hautpstädte hereingelegt worden, manche haben aber während der Gespräche Verdacht geschöpft und die Verbindung unterbrochen. Ludwig tat nichts dergleichen, ramponierte sein gutes Image und bekam die volle Ladung der Häme des Netzes zu spüren. Zu allem Überfluss scheint sich jetzt zu herauszustellen, dass zwei russische Komiker die Urheber der zweifelhaften "Scherze" waren und den wahren Klitschko mehr oder weniger gut imitierten.
Den Landeshauptmann von Kärnten freilich, Peter Kaiser, hat es weit schlimmer getroffen: Die gesamte Landesverwaltung wurde lahmgelegt, nachdem höchstwahrscheinlich ein unaufmerksamer Mitarbeiter auf ein "verseuchtes" Mail hereingefallen ist. Die Sache war nicht nur peinlich. Die Daten der Landesverwaltung wurden gestohlen und verschlüsselt. Wesentliche Teile der Administration funktionierten nicht mehr. Die Höhe des finanziellen Schadens ist noch nicht absehbar.
Sicherheitsforscher wagen die Prognose, dass die Kriminellen ihr Geschäftsmodell ändern werden. Nicht mehr die Freigabe verschlüsselter Daten könnte in Zukunft Grundlage der Erpressungen sein. Vielmehr könnte die Drohung lauten, dass "nur" gestohlene Daten veröffentlicht und unbeteiligte Opfer bloßgestellt werden. Eine aufwändige Verschlüsselung könnten sich die Verbrecher in einem solchen Szenario sparen, ihre Vorgangsweise damit "leiser" und auch ökonomischer gestalten.
Manche Unternehmer beauftragen Sicherheitsfirmen damit, die Widerstandskraft ihrer Firmennetzwerke regelmäßig zu testen. Dazu gehört nicht nur die technische Sicherheit sondern insbesondere auch die Aufmerksamkeit der Mitarbeiter. Immerhin können sie durch eine unbekümmerte Haltung ("klickt auf alles, was daherkommt") immensen Schaden verursachen. In Krankenhäusern etwa können sogar lebensbedrohliche Folgen eintreten. Allerdings haben in manchen Fällen die Personalvertreter erfolgreich verhindert, dass Mitarbeiter zu Nachschulungen aufgefordert werden, wenn sie einfach drauflos klicken und bei den Tests als "Schwachstellen" identifiziert werden. Begründet wird die Haltung der Personalvertreter damit, dass Bloßstellungen vermieden werden müssen. Nur zum Vergleich: Auch ertappte Alko-Lenker müssen zur psychologischen Nachschulung, wenn sie ihren Führerschein wieder bekommen wollen. Die Sicherheit der Allgemeinheit wird höher eingestuft, als die Eitelkeit des "Sünders". Warum diese Güterabwägung nicht wenigstens bei Unternehmen der kritischen Infrastruktur ähnlich erfolgt, ist schwer einzusehen.
Was kann man in der Praxis tun, damit das eigene Netzwerk nicht Opfer eines Überfalls wird? Neben einer vernünftigen technischen Absicherung müssen auch die Nutzer des Netzwerkes in die Sicherheitsüberlegungen einbezogen werden. Zumindest sollte man alle Mitarbeiter regelmäßig auf die Gefahren hinweisen, die durch Unbekümmertheit entstehen können. Auch Mails von vermeintlich gut bekannten Kunden und Geschäftspartnern sind manchmal "verseucht" und sehen den Originalen bloß täuschend ähnlich. Eine gute Testmöglichkeit hat man meistens schon, wenn man die wahre Absenderadresse aufmerksam studiert. Sie offenbart sich bei vielen Mailprogrammen, sobald man mit dem Mauszeiger darüber fährt. Was dort sichtbar geschrieben steht und was sich tatsächlich dahinter verbirgt unterscheidet sich oft deutlich voneinander und sollte Verdacht erregen. Regelmäßige Updates der Software und aktuelle Virenscanner sind eine wichtige Hilfe. Die Aufmerksamkeit des Menschen am Bildschirm kann aber durch technische Hilfsmittel nie vollständig ersetzt werden.
Quelle:
https://www.derstandard.at/story/2000136908295/nach-klitschko-fake-botschaften-sollen-gespraeche-koordinieren
(26.6.2022)
Es ist eine äußerst praktische Vorstellung und gar keine Utopie: Der Paketbote läutet (ausnahmsweise wirklich!) an der Tür. Über mein Smartphone kann ich mit ihm sprechen, während ich im Büro oder auf Urlaub bin. Ich öffne ihm vom Telefon aus die Türe, beobachte, wie er sein Paket im Vorraum abstellt und die Wohnung wieder verläßt. Hinter dem Mann versperre ich auf Knopfdruck wieder die Türe. Wundervoll!
In seiner Privatwohnung kann grundsätzlich jeder machen, was er will. Man kann auch den Schlüssel bspw. gut sichtbar außen neben der Eingangstür aufhängen und deutlich beschriften; oder man spart sich überhaupt die Kosten für die Eingangstüre und läßt einfach ein Loch offen. Werden aber in dem Objekt - egal ob Wohnung oder Haus - auch Daten verarbeitet, die gesetzlichen Schutz genießen, sieht die Sache komplett anders aus. Übrigens: Auch Karteikarten und Listen, die sich in einem Schrank befinden, sind sehr oft "Datenverarbeitungen", selbst wenn keine Elektronik mit im Spiel ist.
Die Verwendung "smarter" Helfer geht immer mit zahlreichen Herausforderungen einher. Einige wenige sind hier aufgelistet:
Wer auf "Smart Home" setzt sollte also nicht nur das Problem der technischen Sicherheit ausführlich prüfen, sondern auch bedenken, dass er sich damit in Teilbereichen dauerhaft von einem einzigen Hersteller abhängig macht. Bei Systemen, die für den Betrieb eines Objektes oder aus anderen Gründen besonders wichtig sind, muss man jedenfalls auch Lösungen bereithalten, für den Fall, dass plötzlich nichts mehr geht.
Quellen:
https://orf.at/#/stories/3265670/
(14.5.2022)
https://www.derstandard.at/story/2000134688293/cyberattacken-im-eigenen-heim-mit-smartem-strom-abwehren(9.4.2022)
https://www.derstandard.at/story/2000135014011/smart-home-firma-taucht-ab-und-hinterlaesst-dumme-produkte-und
(19.4.2022)
https://spectrum.ieee.org/bionic-eye-obsolete
(15.2.2022)