Inhalt:

• Die Gefahr aus der Kaffeemaschine - Smarte Geräte als Spione
• Organisierte Kriminalität plündert Datenspeicher: Massiver Datendiebstahl und Erpressung in Italien
• Unternehmen einfach kapern
• Krieg im Netz: Krankenhäuser werden erpresst
• Sharepoint, Onedrive, Google-Cloud etc.: Kommt das Ende der Cloud?

 

 

Die Gefahr aus der Kaffeemaschine - Smarte Geräte als Spione

Mauro Conti, Universitätsprofessor für Cybersecurity in Padua, wird gegenüber der Tageszeitung "Corriere della Sera" deutlich: Das Problem der "smarten" Haushaltsgeräte wird unterschätzt. Speziell in Unternehmen, die in Sozialräumen Haushaltsgeräte, wie Kaffeemaschinen etc. verwenden, wird kaum über die Folgen für die Datensicherheit nachgedacht.

Hacker greifen vorrangig gerade kleine Unternehmen an, sagt Conti. Seiner Meinung nach gibt es zwei Typen von Firmen: Solche, die bereits Opfer einer Cyberattacke waren, und solche, die es nicht wissen. Vielen Unternehmern mangle es an Gefahrenbewußtsein. Das komme in der Regel erst, wenn der Schaden schon angerichtet sei.

Zahlreiche Haushaltsgeräte werden heute völlig ohne die klassischen Bedienelemente ausgeliefert. Man kann sie nur mehr in Betrieb nehmen, indem man sie über das eigene Netzwerk mittels einer App vom Mobiltelefon aus steuert. Vor einigen Jahren wurden in Küchenmixern sogar Mikrophone entdeckt, und niemand konnte feststellen, ob und von wem sie in Betrieb genommen wurden. Kameras, die in Staubsaugerrobotern verbaut sind, gehören mittlerweile ohnehin zur Standardausrüstung. Das Sicherheitsbewußtsein der Nutzer ist aber offenbar sehr gering.

Speziell für Ordinationen, Kanzleien von Anwälten, Steuerberatern etc., wo Verschwiegenheit sogar gesetzlich verpflichtend geboten ist, sind smarte Geräte mit großer Vorsicht zu betrachten. "Helfer", wie Siri, Alexa u.dgl., die technisch bedingt ständig lauschen müssen und die Gespräche aus einem Raum in alle Welt übertragen, haben besonders in diesen Umfeldern nichts zu suchen.

Quellen:

https://corrieredelveneto.corriere.it/notizie/padova/cronaca/24_ottobre_30/attacchi-hacker-il-super-esperto-si-infiltrano-dalla-macchinetta-del-caffe-molti-neppure-sanno-di-essere-spiati-cfd54aa6-8389-4f96-a045-d1740382bxlk.shtml
(30.11.2024)

https://www.derstandard.at/story/3000000240419/wenn-der-staubsaugerroboter-zu-spionieren-beginnt
(31.10.2024)

https://www.derstandard.at/story/3000000243867/feind-in-der-kueche-wenn-die-heissluftfritteuse-ihre-besitzer-ausspioniert
(7.11.2024)

 

 

Organisierte Kriminalität plündert Datenspeicher: Massiver Datendiebstahl und Erpressung in Italien

Gegen Ende Oktober 2024 wurde zuerst in italienischen Medien, kurze Zeit später aber in ganz Europa darüber berichtet, dass in Italien ein jahrelanger, organisierter Datendiebstahl größten Umfanges aufgeflogen ist, der u.a. die Grundlage für systematische Erpressung von Wirtschaftstreibenden, Politikern und anderen Personen geliefert hat. Die Untersuchungen dauern noch an.

Es mag überraschend klingen: Im Kern der Affäre handelt es sich kaum um eine Rechtsfrage. Die ist - vielleicht von Details abgesehen - geklärt.

Wegen der Vielzahl und der unterschiedlichen Berufe der Verdächtigen bzw. am Skandal Mitwirkenden und ihren verzweigten Stellungen im sozialen System dürfte es auch kaum eine Frage der mangelnden Überwachung gewesen sein. An den entscheidenden Stellen des Staates und der Wirtschaft scheinen nämlich strategisch positioniert Personen tätig gewesen zu sein, die dafür gesorgt haben, dass alle Alarmmechanismen systematisch ausgeschaltet bzw. ausgelöste Alarme unterdrückt wurden. Daher konnte die gesetzlich vorgesehene Rechtsdurchsetzung nicht stattfinden. Die Herstellung eines solchen kriminellen Biotops ist zwar nicht ganz einfach, jedoch können damit relativ "geräuschlos" große Wirkungen erzielt werden, die alles übertreffen, was mit Entführungen, Todesdrohungen etc. zu bewerkstelligen ist.

Was am konkreten Beispiel sichtbar wird, ist einerseits die desaströse Wirkung von Korruption und organisierter Kriminalität. Andererseits zeigt dieser Fall auch eindrucksvoll, dass funktionierender Datenschutz ein Beitrag zur Stärkung des Rechtsstaates und der Demokratie ist. Politische Forderungen nach Aufweichung des Datenschutzes sind daher grundsätzlich aus Gründen der "Staatshygiene" abzulehnen.

Quellen:

https://orf.at/stories/3374086/
https://www.derstandard.at/story/3000000242492/meloni-besorgt-datenklau-affaere-in-italien-weitet-sich-aus
(28.10.2024)

 

 

Unternehmen einfach kapern

Empirische Forschungen kommen immer wieder zum gleichen Ergebnis: Die Mitarbeiter eines Unternehmens sind statistisch gesehen sowohl das stärkste Bollwerk gegen Verstöße als auch das größte Einfallstor für kriminelle Machenschaften. Dazu kommt, dass nicht alle Mitarbeiter dem Dienstgeber gegenüber loyal sind. Für den Handel gibt sogar es Schätzungen, wonach knapp ein Drittel des Warenschwundes auf Diebstahl durch Mitarbeiter zurückzuführen ist. Beim Datenschutz haben die Mitarbeiter eine ganz wichtige Funktion und Verantwortung: Sie sind es, die verdächtige Mails abfangen können, gewissenhaft auf vermeintliche SMS-Nachrichten der Firmenleitung reagieren, sogenannten CEO-Fraud abwehren können (dabei werden Unternehmen unter Verwendung falscher Identitäten zur Überweisung von Geld an Kriminelle manipuliert).

Um die Mitarbeiter beim Datenschutz bei ihrer durchaus schwierigen Aufgabe zu unterstützen, sollte es ein paar Vorkehrungen im Unternehmen geben, zum Beispiel folgende:

Entscheidend ist ein vertrauensvolles Unternehmensklima. Wenn Mitarbeiter Sorge haben (müssen), dass Irrtümer zu gravierenden negativen Konsequenzen führen, werden sie voreilige Klicks auf Links mit Schadcode erst melden, wenn die Folgen nicht mehr verheimlicht werden können. Maßnahmen zur Schadensbegrenzung sind zu diesem Zeitpunkt bereits schwierig und verursachen hohen Aufwand. Der Begiff "Fehlerkultur" ist in diesem Zusammenhang sehr wichtig.

Wesentlich ist auch eine klare Aufgabenverteilung im Unternehmen, die allen Mitarbeitern bekannt ist. Wer muss bei einer Veletzung des Datenschutzes verständigt werden? Wie erreiche ich diese Person? Wenn solche Maßnahmen auch regelmäßig so geübt werden, wie das Verhalten bei Brandalarm, ist schon viel erreicht.

Vertrauen ist gut, muss aber durch Kontrolle abgesichert werden. Wenn - wie Heise berichtet - unbekannte Personen ungehindert das Firmengelände betreten und sich unter Duldung durch teilnahmslose Mitarbeiter an IT-Anlagen zu schaffen machen können, läuft etwas falsch. Solche Szenarien werden übrigens auch im Rahmen von Sicherheitsaudits gespielt, um zu ermitteln, ob ein Unternehmen gegen die moderne Form des "Hauptmann von Köpenick" robust abgesichert ist. Die Frage an eine unbekannte Person nach dem Woher und Wohin und eine Überprüfung der Antworten ist nicht unhöflich und hilft frühzeitig, kriminelle Machenschaften abzuwehren.

Manche Unternehmen schmücken sich mit der Aussage, dass die Mitarbeiter ihr größtes Kapital sind. Wenn das ernst gemeint ist und tatsächlich gelebt wird, ist es auch um den Datenschutz in dieser Firma gut bestellt.

Quellen:

https://www.heise.de/news/Missing-Link-Wie-ein-Unternehmen-bei-einem-Cyberangriff-die-Kontrolle-verlor-9984869.html?utm_source=pocket-newtab-de-de
(3.11.2024)

https://de.invue.com/resource-center/blog/preventing-employee-theft-in-retail-stores
(14.11.2024)

 

 

Krieg im Netz: Krankenhäuser werden erpresst

Rund 50 verschieden Staaten und die WHO haben festgestellt, dass Krankenhäuser und Gesundheitseinrichtungen vermehrt im Fokus von Hackern stehen. Als aktivste Akteure gelten kriminelle Organisationen, die im Dienst von Russland, Nordkorea und China stehen. Ziel der Attacken ist einerseits die Erlangung von Devisen, andererseits die Destabilisierung lebenswichtiger Felder des gesellschaftlichen Zusammenlebens in demokratischen Rechtsstaaten. Die bisweilen aufgestellte Behauptung, "Uns kann so etwas nicht passieren, wir sind zu unwichtig", zeigt eine grobe Fehleinschätzung der Lage.

Wenn für lebenswichtige Eingriffe die notwendigen Unterlagen nicht verfügbar sind, Befunde verschwinden oder die gesamte Kommunikation in einer Gesundheitseinrichtung zusammenbricht, kann das sogar den Tod von Menschen verursachen. Für die staatlich bezahlten Hacker ist das aber kein ethisches oder moralisches Hindernis. Ihr Vorteil gegenüber "selbständigen" Verbrechern: Aufwand und Zeit, um in ein System einzudringen, spielt keine Rolle. Und zu allemdem brauchen sie auch keine strafrechtliche Verfolgung zu befürchten.

Zwar ist das Szenario der Erpressung von Krankenhäusern nicht neu und wurde schon öfter beschrieben. Neu ist allerdings die Häufung der kriminellen Aktionen, ihre Konzentration auf Gesundheitseinrichtungen und ihr Einsatz im Rahmen der hybriden, subkonventionellen Kriegsführung. Die macht auch vor neutralen Staaten, wie Schweiz und Österreich schon lange nicht mehr halt. Das ist ein Grund mehr, gerade der Verteidigung lebenswichtiger IT-Netzwerke viel Aufmerksamkeit zu widmen und bei der Sicherheit vielleicht auch einen Schritt weiter zu gehen, als zur Erreichung des Minimalstandards notwendig ist.

Quellen:

https://orf.at/#/stories/3375456/
(9.11.2024)

https://hbr.org/2009/10/when-hackers-turn-to-blackmail-2
(14.11.2024)

https://edition.cnn.com/2024/05/29/tech/ransomware-attacks-hospitals-patients-danger/index.html
(14.11.2024)

 

 

Sharepoint, Onedrive, Google-Cloud etc.: Kommt das Ende der Cloud?

Offenbar verhält sich die Cloud wie ein Medikament. Es gibt Wirkungen und unerwünschte Wirkungen. Für Unternehmen zählen diese Kenngrößen bei der Beurteilung:

• Leistung,
• Kosten,
• Sicherheit.

Gerade zur Sicherheit zählen die drei Argumente, die auch in der DSGVO bedeutsam sind: Das Datengeheimnis, die Unverfälschheit der Daten und ihre Verfügbarkeit.

Wurde früher die Verwendung einer Cloud als unbedingter Vorteil, ja als ein Muss gepriesen, macht sich heute eine differenzierte Betrachtung breit. Kein Zweifel: Manche Sicherheitsaspekte lassen sich in der öffentlichen Cloud mit ihren verteilten Lasten auf mehrere oder sogar viele verstreute Rechenzentren besser bearbeiten. Etwa bei DDos-Attacken bietet eine Cloud Vorteile. Allerdings sind die Kosten für die Nutzung öffentlicher Clouds deutlich gestiegen, weil immer mehr Rechenleistung angeboten wird und weil die Energiekosten für den Betrieb großer Rechnerfarmen deshalb frühere Beträge um ein Vielfaches übertreffen. Anpassungen an neue Herausforderungen können von großen Clouds oft nur nach längerer Vorbereitungszeit vollzogen werden.

Zu den möglichen Schwächen öffentlicher Clouds hinsichtlich Datengeheimnis und Verfügbarkeit kommen nun also auch die Kosten. Unternehmen versuchen daher vermehrt, sich von unnötigen Features zu trennen, dadurch die Kosten zu senken und allenfalls sogar aus Sicherheitsgründen Cloud-Technologie innerhalb des eigenen Unternehmens aufzubauen. Dann allerdings beschränkt auf die benötigte Dimension, nur mit den notwendigen Lösungen und ohne modischen Schnickschnack, der die Kosten treibt. Große Cloud-Anbieter, wie Microsoft, Google etc. wollen dagegenhalten und bieten in ihren Lösungen vermehrt KI-Anwendungen, um alte Kunden zu halten oder neue zu gewinnen. Aber auch KI büßt gerade an Glanz ein und zählt nicht mehr unbedingt zu den attraktiven Verkaufsargumenten.

Erfahrungsgemäß lohnt sich die Auslagerung von Services in eine öffentliche Cloud finanziell hauptsächlich für Unternehmen mit sehr hohen Rechnerlasten, die innerhalb der eigenen Firma nicht abgedeckt werden können. Hinsichtlich der Sicherheit sind kleinere Clouds den großen Anlagen aufgrund ihrer höheren Flexibilität bei der notwendigen Anpassung an neue Erfordernisse überlegen. Und für KMU ist es ohnehin ratsam, so viele Werkzeuge wie möglich selbst zu betreiben und selbst für die nötige Sicherheit zu sorgen. Der Vollständigkeit halber darf daran erinnert werden, dass der Datenschutzbeauftragte der Europäischen Behörden am 11.3.2024 die Verwendung von Microsoft 365 durch die EU-Kommission für unzulässig erklärt hat: Das Softwarepaket saugt unerlaubt Daten in die Microsoft-Cloud ab und verarbeitet sie an unbekannten Orten irgendwo in der Welt. Die Europäischen Behörden haben noch bis 9.12.2024 Zeit, entweder MS-365 mithilfe von Microsoft in einen rechtskonformen Zustand zu versetzen, oder eine andere Lösung für ihre Office-Anwendungen zu finden.

Quellen:

https://www.derstandard.at/story/3000000243271/kosten-sparen-unternehmen-ziehen-sich-teilweise-aus-der-cloud-zurueck
(4.11.2024)

https://www.datenschutz-praxis.de/datenschutzbeauftragte/weniger-cloud-risiken-dafuer-mehr-datenrisiken/
(4.11.2024)

https://www.cio.de/a/warum-cios-ihre-cloud-strategie-anpassen,3732332
(8.7.2024)

https://www.ideato.at/templates/masterbootstrap/news/20240312_ideato-news.html
(12.3.2024)