Neue Erpressungswelle droht

Die Sicherheitslücke BlueKeep in Microsoft-Betriebssystemen könnte ähnliche Ausmaße annehmen wie bei den Verschlüsselungstrojanern WannaCry oder NotPetya aus dem Jahr 2017. Bereits im Mai hatte das Unternehmen auf die Schwachstelle BlueKeep aufmerksam gemacht und für alle Betriebssysteme einen Patch veröffentlicht. Selbst für die älteren Systeme wie Windows XP und Windows 2003, die eigentlich nicht mehr von Microsoft unterstützt werden, wurde ein Patch bereitgestellt. Die ausgemachte Schwachstelle befindet sich im Microsofts Remote Desktop Protocol (RDP) und könnte als Einfallstor für Erpressung, Sabotage oder Spionage ausgenutzt werden. Die Schadprogramme WannaCry und NotPetya verursachten weltweit Schäden in Millionenhöhe und brachten einige Unternehmen in Existenznöte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Sicherheitsexperten warnen daher eindringlich vor einem neuen katastrophalen Befall der Systeme. Das BSI fordert alle Anwender dieser Betriebssysteme auf, die Bedrohung durch ein Update zu verhindern. Wer dies nicht tue, setzt sich fahrlässig den wurmartigen Cyber-Angriffen aus, denn noch immer könnten laut BSI mindestens 14.000 Computer in Deutschland von einer Attacke betroffen sein.

Mehr zum Thema finden Sie hier:
https://www.spiegel.de/netzwelt/web/windows-schwachstelle-bluekeep-countdown-zum-naechsten-wannacry-a-1279134.html

oder hier:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Windows-Schwachstelle-Bluekeep_110619.html

Fünf Milliarden Dollar Strafe für Facebook

Facebook muss die höchste jemals verhängte Strafe aufgrund von (wiederholten) Datenschutzverstößen hinnehmen. Auf rund fünf Milliarden Dollar (4,5 Milliarden Euro) hat sich die US-Verbraucherschutzbehörde FTC mit dem Internet-Konzern geeinigt. Die Behörde begründet ihre Strafzahlung damit, dass Facebook die Nutzer über die Kontrolle der eigenen Daten getäuscht habe. Die FTC konzentrierte sich besonders auf den Skandal der Cambridge Analytica vom März 2018, bei dem persönliche Informationen von ca. 87 Millionen Facebook-Nutzern gesammelt wurden.

Darüber hinaus wurde zwischen der Behörde und dem Unternehmen die Einführung weiterer Kontrollmechanismen vereinbart. So soll eine unabhängige Kommission eingerichtet werden, deren Mitglieder nur unter strengsten Vorgaben vom Facebook Verwaltungsrat entlassen werden könnte.

Mehr zum Thema finden Sie hier:
https://www.zeit.de/digital/datenschutz/2019-07/datenschutz-facebook-strafe-verstoss-us-behoerden-verbraucherschutz

DSGVO-Bußgelder in Höhe von fast EUR 320.000.000 verhängt oder angedroht

Kurz vor dem Ausstieg aus der EU macht die britische Datenschutzbehörde mit Strafandrohungen von mehr als EUR 200 Mio. gegenüber British Airways und mehr als EUR 110 Mio. gegenüber der Hotelkette Marriott auf sich aufmerksam.
Bei British Airways hatten Betrüger im Sommer 2018 über 500.000 Datensätze von BA-Kunden erbeutet. Untersuchungen hatten ergeben, dass British Airways den Betrügern die Arbeit durch unzureichende technische und organisatorische Maßnahmen zu einfach gemacht hatte. Die Datenschutzbehörde bewertete den Verstoß mit knapp EUR 400 je erbeutetem Datensatz, insgesamt fast EUR 205 Mio.
Die Hotelkette Marriott war im November 2018 ebenfalls von Hackern angegriffen worden. Dabei wurden weltweit ca. 339 Mio. Datensätze erbeutet, wovon ca. 7 Mio. britische Einwohner betrafen. Das Datenleck hatte vermutlich bereits seit 2014 bestanden. Die Datenschutzbehörde wirft Marriott Hotels vor, die Sicherheitsmaßnahmen für den Schutz der Kundendaten beim Erwerb der Datenbanken nicht sorgfältig genug überprüft zu haben.

Mehrere Bußgelder gegen Krankenhäuser verhängt

In Portugal wurde bereits im Jahr 2018 ein Krankenhaus mit einem Bußgeld in Höhe von EUR 400.000 belegt. Dort hatte sich das Personal mittels gefälschter Profile rechtswidrig Zugriff auf Patientendaten verschafft. So existierten dort fast eintausend Arztprofile mit entsprechenden Zugriffsrechten, tatsächlich waren an dem Krankenhaus jedoch lediglich 295 Ärzte und Ärztinnen beschäftigt.

Ein noch etwas höheres Bußgeld, insgesamt EUR 460.000, verhängte die Niederländische Datenschutzbehörde ebenfalls gegen ein Krankenhaus. Auch hier wurde beanstandet, dass die Daten der Patienten nicht angemessen geschützt seien.

Deutsche Datenschutzbehörden halten sich bei der Strafhöhe zurück

Die deutschen Datenschutzbehörden fallen bisher eher durch die Anzahl der verhängten Bußen, statt durch deren Höhe auf. So sind bisher aus Deutschland insgesamt 101 Fälle bekannt geworden, in denen die Datenschutzbehörden Bußgelder in Höhe von insgesamt knapp EUR 500.000 verhängt haben. Die Beträge reichen hierbei von EUR 118 bis hinauf zum bisherigen Höchstbetrag (in Deutschland) von EUR 80.000. Für die zweite Jahreshälfte ist davon auszugehen, dass die Datenschutzbehörden zunehmend aktiver werden.

Virtuelle Assistenten schneiden nicht nur private Unterhaltungen mit

Im Internet finden sich immer wieder Geschichten, in denen berichtet wird, wie z.B. Amazons Alexa oder der Google Assistant Unterhaltungen mitschneiden, obwohl sie niemand bewusst dazu aufgerufen hat. Bisher beschränken sich diese Anekdoten stets auf den privaten Bereich, doch auch im geschäftlichen Bereich ist es durchaus vorstellbar, dass Gespräche von virtuellen Assistenten aufgezeichnet werden könnten, ohne dass der Nutzer davon erfährt.

Die Spracherkennung hat in den letzten Jahren große Fortschritte gemacht, so dass die führenden Unternehmen auf diesem Gebiet nicht nur schriftliche Texte sondern auch Tonaufnahmen immer besser und effizienter analysieren können. So durfte sich der Autor dieses Artikels beispielsweise kürzlich darüber freuen, dass der Google Assistant ungefragt eine an ihn gerichtete E-Mail ausgewertet und den darin enthaltenen Hotelaufenthalt (samt Ort und Zeitpunkt) vollautomatisch in seinen Kalender eingetragen hat. Wenn das die werte Gattin gesehen hätte …

Der Gedanke liegt nicht fern, dass bereits jetzt zufällig oder weniger zufällig mitgeschnittene Gespräche mit Hilfe Künstlicher Intelligenz hinsichtlich ihrer Relevanz ausgewertet werden könnten. Vor diesem Hintergrund ist es angeraten und gemäß Art. 32 DSGVO im Übrigen auch geboten, angemessene Vorsichtsmaßnahmen zu treffen, um einen nichtautorisierten Abfluss von personenbezogenen Daten und Geschäftsgeheimnissen zu verhindern.

Eine geeignete Vorsichtsmaßnahme ist es beispielsweise, dass die Smartphones der Teilnehmer einer vertraulichen Besprechung ausgeschaltet am Empfang abgegeben oder zumindest in einem schalldichten Behälter im Raum deponiert werden. Es genügt im Übrigen nicht, Smartphones während einer Besprechung einfach in den Flugmodus zu schalten. Android-Telefone zeichnen laut einem Bericht der Washington Post mindestens den Ort und die Aktivitäten des Nutzers auch während der Flugmodus-Phase auf und übermitteln diese an Google, sobald wieder eine Internetverbindung besteht. Da die Spracherkennung des Google Assistant seit Mai diesen Jahres auch offline funktioniert, ist auch in dieser Hinsicht Vorsicht geboten.

Sicherlich ist es nicht erforderlich bzw. teilweise kaum mehr möglich, komplett auf virtuelle Assistenten zu verzichten. Zumindest wenn sensible Themen besprochen werden, sollte der freundliche kostenlose Helfer jedoch draußen bleiben.