Autor: Online Redaktion

Wer die Daten auf seinen Festplatten – insbesondere auf dem Notebook – schützen will, muss sie verschlüsseln.

Wie das genau funktioniert und warum eine Verschlüsselung so wichtig ist, möchten wir Ihnen in unserem Artikel erklären.

Das Notebook oder MacBook ist aus dem täglichen Arbeitsleben kaum noch wegzudenken – umso schlimmer, wenn es gestohlen wurde oder verloren gegangen ist. Was Sie fein säuberlich in Ordnern, Programmen oder Unterordnern für Ihre Kunden sortiert und gespeichert haben, ist für einen neugierigen Dieb ein reines Daten-Eldorado. Neben Ihren eigenen gespeicherten Daten sind dann ggf. sämtliche Daten Ihrer Kunden betroffen.

Will ein Dieb die Anmeldung am Betriebssystem umgehen, hilft oft der Ausbau der Festplatte und der Anschluss an einen zweiten Rechner. So stehen dem Datenklau Tür und Tor offen. Ist gar ein dienstliches Gerät vom Diebstahl betroffen, läge jetzt sogar eine meldepflichtige Datenpanne vor, welche mit einem Bußgeld belegt werden kann.

Wie schütze ich meine Daten unter Windows?

Microsoft bietet mit BitLocker eine in das Windows-Betriebssystem integrierte Lösung, mit der sich Festplatten, Systemlaufwerke oder Wechseldatenträger sicher verschlüsseln lassen. So bleiben die Daten bei Diebstahl des Endgerätes geschützt, selbst dann, wenn die Festplatte physisch aus dem Rechner entfernt wird. Ist die Festplatte verschlüsselt, sind die Daten ohne den passenden Schlüssel nicht mehr lesbar. Über die Konfigurationseinstellungen des Systems, lässt sich der Rechner so einstellen, dass das System nicht ohne Eingabe des richtigen PINs oder der passenden Schlüsseldatei auf z.B. einem USB-Stick gestartet werden kann.

In moderneren Rechnern ist oftmals eine zusätzliche Hardwarekomponente (TMP) Trusted Platform Module verbaut, die in Kombination mit BitLocker sicherstellt, dass der Rechner auch im Offlinezustand nicht manipulierbar ist. BitLocker kann aber auch ohne dieses Modul genutzt werden. Unterstützte Dateisysteme sind FAT16, FAT32, NTFS und exFAT.

Die BitLocker-Verschlüsselung ist für folgende Windows-Versionen einsetzbar:

• die Ultimate- und Enterprise-Versionen von Windows Vista
• die Pro- und Enterprise-Versionen von Windows 8 und Windows 8.1
• die Pro- und Enterprise-Versionen von Windows 10
• die Windows-Server-Versionen ab Windows Server 2008

Wie schütze ich meine Daten unter macOS?

Apple bietet mit FileVault jedem Mac-Nutzer die Möglichkeit, seine Festplatte zu verschlüsseln. FileVault ist Bestandteil aller aktuellen Mac-OS-X-Versionen. Genau wie bei der Verschlüsselung mit BitLocker unter Windows lassen sich Festplatten mit FileVault unter Mac/OS verschlüsseln. Beim Verschlüsseln der Festplatte wird jede einzelne Datei, die auf die Festplatte geschrieben wird, mit einem kryptografischen Algorithmus verschlüsselt. Ohne den passenden Schlüssel bleiben die Dateien unbrauchbar und für Fremde nutzlos. FileVault legt den gesamten verschlüsselten Festplatteninhalt in einem großen Datencontainer ab. Für einen Angreifer ist es so unmöglich zu sehen, welche oder wie viele Daten auf der Festplatte gespeichert sind. Sichtbar ist lediglich ein großer, verworrener Datenwust.

Der Schlüssel ist bei macOS Systemen an das Benutzerpasswort gekoppelt, daher ist beim Systemstart zwei Mal eine Passworteingabe notwendig. Die erste Eingabe ist zum Entschlüsseln der Festplatte, die zweite Eingabe erfolgt nach dem erfolgreichen Bootvorgang für die Benutzeranmeldung.

Fazit

Zusammenfassend lässt sich sagen, dass eine Verschlüsselung der Festplatten von mobilen Endgeräten sinnvoll und wichtig ist, nicht nur um Ihre eigenen Daten darauf zu schützen – vor allem aber die Ihrer Kunden, denn das kann unter Umständen sehr teuer werden. Denken Sie daran, Datenverlust von unverschlüsselten mobilen Endgeräten ist immer eine meldepflichtige Datenpanne.

Unternehmen sind laut DS-GVO verpflichtet, gespeicherte, personenbezogene Daten auf Verlangen den betroffenen Personen zu übergeben. Dem seit Mai 2018 geltenden Recht zur Auskunft und Datenportabilität müssen alle Unternehmen und Anbieter nachkommen. Doch diese Vorschrift kann offensichtlich ganz einfach zu einem umfangreichen Identitätsdiebstahl genutzt werden. Dies machte ein britischer Student auf der Sicherheitskonferenz „Black Hat“ in Las Vegas deutlich und zeigte, wie unkompliziert es ist, personenbezogene Daten aufgrund des Auskunftsrechts zu erhalten. Dafür benötigte er nur eine Fake-Adresse sowie öffentlich zugängliche Daten einer Person.

Auf seine Anfrage erhielt er bei vier großen Unternehmen, die auch auf dem US-Markt tätig sind, gar keine Auskunft mit der Begründung, dass EU-Bürger nach deren Sicht kein Recht auf Datenauskunft haben. Aber immerhin 72 Prozent der kontaktierten Unternehmen oder Plattformen reagierten auf seine Anfrage. Das katastrophale Ergebnis dieser Studie: Einige verlangten eine einfache, leicht zu umgehende Identitätsprüfung und bei ca. 24 Prozent der Anbieter wurde komplett auf eine Prüfung verzichtet und die Daten ohne weitere Fragen an die Fake-Adresse versendet. 

Mehr zum Thema finden Sie hier:
https://www.golem.de/news/dsgvo-datenschutzauskunft-als-sicherheitsrisiko-1908-143186.html

Mitarbeiter einer Zeitarbeitsfirma in Polen protokollierten Mitschnitte von mit Alexa geführten Gesprächen.
Im Frühjahr hatten Berichte für Aufsehen gesorgt, wonach sowohl Amazon als auch Wettbewerber wie Google und Apple einzelne Sprachaufzeichnungen der von ihnen betriebenen digitalen Assistenten von ihren Mitarbeitern auswerten lassen.
Laut einem Bericht der Welt am Sonntag vom 05.08.2019 hat Amazon die Schraube sogar noch ein Stückchen weiter gedreht und die Auswertungsaufgaben zum Teil an die polnische Tochter der Zeitarbeitsfirma Randstad ausgelagert. Neben Amazon-Mitarbeitern hörten demnach auch Mitarbeiter von Randstad Polen einzelne Gespräche von Amazon-Kunden ab und werteten diese aus. Die Arbeit konnte unter Umständen sogar vom Home Office der Randstad-Mitarbeiter aus durchgeführt werden. Dabei waren laut Amazon allerdings „strenge Sicherheitsmaßnahmen“ zu beachten. Ob hierdurch die Maßgaben der DSGVO vollumfänglich gewahrt worden sind, ist noch nicht abschließend festgestellt.

Hintergrund für den Einsatz von Menschen bei der Auswertung beim Betrieb von digitalen sprachgesteuerten Assistenten ist, dass letztere viele Befehle noch nicht oder missverstehen. Indem die Mitarbeiter die Ausgabe des Amazon-Algorithmus händisch korrigieren, trainieren sie ihn und sorgen auf diese Weise dafür, dass die Reaktionen von Alexa immer präziser werden.
Amazon hat das Datenschutzportal für Alexa zwischenzeitlich überarbeitet. Unter anderem sollen die Nutzer der Auswertung von Sprachaufnahmen widersprechen können.

Die DSGVO bietet ein umfassendes Instrumentarium, um den Internetgiganten mit der Macht des größten Binnenmarktes der Welt, der Europäischen Union, entgegenzutreten. Man darf gespannt sein, ob sich die EU angesichts des oftmals freizügig erscheinenden Umgangs mit den personenbezogenen Daten der Bürger mit Amazon, einem der größten Unternehmen der Welt, anlegen wird.

Eine Hackerin hat in den USA Daten von 100 Millionen Bankkunden der Capital One Financial Corp. gestohlen. Von diesem Angriff waren außerdem weitere 6 Millionen Kunden in Kanada betroffen.
Dabei konnte die 33-jährige Informatik-Ingenieurin Daten aus den Jahren 2005 bis 2019 erbeuten. Darunter finden sich Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten sowie Angaben zur Bonität und Kontostände der Bankkunden. Die Verdächtige konnte von der Bundespolizei FBI festgenommen werden und muss bei einer Verurteilung mit fünf Jahren Haft sowie ca. 250.000 Dollar Geldstrafe rechnen.
Nach Angaben der sechstgrößten Bank in den USA wurden die Daten jedoch nicht weiter veräußert, da das Unternehmen durch einen externen Hinweis nach zwei Tagen den Daten-Diebstahl feststellte. Für die Panne muss die Capital One Financial Corp. im Laufe des Jahres etwa 100 bis 150 Millionen Dollar (ca. 135 Millionen Euro) für Rechtskosten, Benachrichtigungen an Kunden sowie die Umstellung der Technik aufbringen.

Mehr zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/Hackerin-prahlt-mit-Bank-Hack-mit-100-Millionen-Betroffenen-4483011.html

Facebook muss die höchste jemals verhängte Strafe aufgrund von (wiederholten) Datenschutzverstößen hinnehmen. Auf rund fünf Milliarden Dollar (4,5 Milliarden Euro) hat sich die US-Verbraucherschutzbehörde FTC mit dem Internet-Konzern geeinigt. Die Behörde begründet ihre Strafzahlung damit, dass Facebook die Nutzer über die Kontrolle der eigenen Daten getäuscht habe. Die FTC konzentrierte sich besonders auf den Skandal der Cambridge Analytica vom März 2018, bei dem persönliche Informationen von ca. 87 Millionen Facebook-Nutzern gesammelt wurden.

Darüber hinaus wurde zwischen der Behörde und dem Unternehmen die Einführung weiterer Kontrollmechanismen vereinbart. So soll eine unabhängige Kommission eingerichtet werden, deren Mitglieder nur unter strengsten Vorgaben vom Facebook Verwaltungsrat entlassen werden könnte.

Mehr zum Thema finden Sie hier:
https://www.zeit.de/digital/datenschutz/2019-07/datenschutz-facebook-strafe-verstoss-us-behoerden-verbraucherschutz

Kurz vor dem Ausstieg aus der EU macht die britische Datenschutzbehörde mit Strafandrohungen von mehr als EUR 200 Mio. gegenüber British Airways und mehr als EUR 110 Mio. gegenüber der Hotelkette Marriott auf sich aufmerksam.
Bei British Airways hatten Betrüger im Sommer 2018 über 500.000 Datensätze von BA-Kunden erbeutet. Untersuchungen hatten ergeben, dass British Airways den Betrügern die Arbeit durch unzureichende technische und organisatorische Maßnahmen zu einfach gemacht hatte. Die Datenschutzbehörde bewertete den Verstoß mit knapp EUR 400 je erbeutetem Datensatz, insgesamt fast EUR 205 Mio.
Die Hotelkette Marriott war im November 2018 ebenfalls von Hackern angegriffen worden. Dabei wurden weltweit ca. 339 Mio. Datensätze erbeutet, wovon ca. 7 Mio. britische Einwohner betrafen. Das Datenleck hatte vermutlich bereits seit 2014 bestanden. Die Datenschutzbehörde wirft Marriott Hotels vor, die Sicherheitsmaßnahmen für den Schutz der Kundendaten beim Erwerb der Datenbanken nicht sorgfältig genug überprüft zu haben.

Mehrere Bußgelder gegen Krankenhäuser verhängt

In Portugal wurde bereits im Jahr 2018 ein Krankenhaus mit einem Bußgeld in Höhe von EUR 400.000 belegt. Dort hatte sich das Personal mittels gefälschter Profile rechtswidrig Zugriff auf Patientendaten verschafft. So existierten dort fast eintausend Arztprofile mit entsprechenden Zugriffsrechten, tatsächlich waren an dem Krankenhaus jedoch lediglich 295 Ärzte und Ärztinnen beschäftigt.

Ein noch etwas höheres Bußgeld, insgesamt EUR 460.000, verhängte die Niederländische Datenschutzbehörde ebenfalls gegen ein Krankenhaus. Auch hier wurde beanstandet, dass die Daten der Patienten nicht angemessen geschützt seien.

Deutsche Datenschutzbehörden halten sich bei der Strafhöhe zurück

Die deutschen Datenschutzbehörden fallen bisher eher durch die Anzahl der verhängten Bußen, statt durch deren Höhe auf. So sind bisher aus Deutschland insgesamt 101 Fälle bekannt geworden, in denen die Datenschutzbehörden Bußgelder in Höhe von insgesamt knapp EUR 500.000 verhängt haben. Die Beträge reichen hierbei von EUR 118 bis hinauf zum bisherigen Höchstbetrag (in Deutschland) von EUR 80.000. Für die zweite Jahreshälfte ist davon auszugehen, dass die Datenschutzbehörden zunehmend aktiver werden.