So verschlüsseln Sie Ihre Festplatte

Wer die Daten auf seinen Festplatten – insbesondere auf dem Notebook – schützen will, muss sie verschlüsseln.

Wie das genau funktioniert und warum eine Verschlüsselung so wichtig ist, möchten wir Ihnen in unserem Artikel erklären.

Das Notebook oder MacBook ist aus dem täglichen Arbeitsleben kaum noch wegzudenken – umso schlimmer, wenn es gestohlen wurde oder verloren gegangen ist. Was Sie fein säuberlich in Ordnern, Programmen oder Unterordnern für Ihre Kunden sortiert und gespeichert haben, ist für einen neugierigen Dieb ein reines Daten-Eldorado. Neben Ihren eigenen gespeicherten Daten sind dann ggf. sämtliche Daten Ihrer Kunden betroffen.

Will ein Dieb die Anmeldung am Betriebssystem umgehen, hilft oft der Ausbau der Festplatte und der Anschluss an einen zweiten Rechner. So stehen dem Datenklau Tür und Tor offen. Ist gar ein dienstliches Gerät vom Diebstahl betroffen, läge jetzt sogar eine meldepflichtige Datenpanne vor, welche mit einem Bußgeld belegt werden kann.

Wie schütze ich meine Daten unter Windows?

Microsoft bietet mit BitLocker eine in das Windows-Betriebssystem integrierte Lösung, mit der sich Festplatten, Systemlaufwerke oder Wechseldatenträger sicher verschlüsseln lassen. So bleiben die Daten bei Diebstahl des Endgerätes geschützt, selbst dann, wenn die Festplatte physisch aus dem Rechner entfernt wird. Ist die Festplatte verschlüsselt, sind die Daten ohne den passenden Schlüssel nicht mehr lesbar. Über die Konfigurationseinstellungen des Systems, lässt sich der Rechner so einstellen, dass das System nicht ohne Eingabe des richtigen PINs oder der passenden Schlüsseldatei auf z.B. einem USB-Stick gestartet werden kann.

In moderneren Rechnern ist oftmals eine zusätzliche Hardwarekomponente (TMP) Trusted Platform Module verbaut, die in Kombination mit BitLocker sicherstellt, dass der Rechner auch im Offlinezustand nicht manipulierbar ist. BitLocker kann aber auch ohne dieses Modul genutzt werden. Unterstützte Dateisysteme sind FAT16, FAT32, NTFS und exFAT.

Die BitLocker-Verschlüsselung ist für folgende Windows-Versionen einsetzbar:

  • die Ultimate- und Enterprise-Versionen von Windows Vista
  • die Pro- und Enterprise-Versionen von Windows 8 und Windows 8.1
  • die Pro- und Enterprise-Versionen von Windows 10
  • die Windows-Server-Versionen ab Windows Server 2008

Wie schütze ich meine Daten unter macOS?

Apple bietet mit FileVault jedem Mac-Nutzer die Möglichkeit, seine Festplatte zu verschlüsseln. FileVault ist Bestandteil aller aktuellen Mac-OS-X-Versionen. Genau wie bei der Verschlüsselung mit BitLocker unter Windows lassen sich Festplatten mit FileVault unter Mac/OS verschlüsseln. Beim Verschlüsseln der Festplatte wird jede einzelne Datei, die auf die Festplatte geschrieben wird, mit einem kryptografischen Algorithmus verschlüsselt. Ohne den passenden Schlüssel bleiben die Dateien unbrauchbar und für Fremde nutzlos. FileVault legt den gesamten verschlüsselten Festplatteninhalt in einem großen Datencontainer ab. Für einen Angreifer ist es so unmöglich zu sehen, welche oder wie viele Daten auf der Festplatte gespeichert sind. Sichtbar ist lediglich ein großer, verworrener Datenwust.

Der Schlüssel ist bei macOS Systemen an das Benutzerpasswort gekoppelt, daher ist beim Systemstart zwei Mal eine Passworteingabe notwendig. Die erste Eingabe ist zum Entschlüsseln der Festplatte, die zweite Eingabe erfolgt nach dem erfolgreichen Bootvorgang für die Benutzeranmeldung.

Fazit

Zusammenfassend lässt sich sagen, dass eine Verschlüsselung der Festplatten von mobilen Endgeräten sinnvoll und wichtig ist, nicht nur um Ihre eigenen Daten darauf zu schützen – vor allem aber die Ihrer Kunden, denn das kann unter Umständen sehr teuer werden. Denken Sie daran, Datenverlust von unverschlüsselten mobilen Endgeräten ist immer eine meldepflichtige Datenpanne.

Weitere Warnung des BSI vor Windows-Schwachstellen

Am Patch-Day (13.08.2019) hat Microsoft weitere schwerwiegende Probleme bei Windows-Betriebssystemen bekannt gegeben. Diesmal heißt die nächste Remote-Desktop-Services (RDS) Schwachstelle DejaBlue, die nach BlueKeep entdeckt wurde. Dabei wurde bekannt, dass zwei dieser schwerwiegenden Schwachstellen ein Einfallstor für wurmartige Schadsoftware darstellt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) könnte es zu möglichen Auswirkungen wie bei WannaCry oder NotPetya führen. Hiervon sind bis auf Windows XP alle Versionen, auch das neue 10er-Betriebssystem, betroffen. Microsoft hat für die Systeme Patches vorbereitet und empfiehlt (ebenso wie das BSI) dringend, diese so schnell wie möglich zu installieren. Wer das Fernwartungs-Tool (RDS) nicht benötigt, was auf die meisten privaten Nutzer/innen zutrifft, sollte es nach Empfehlung des BSI abschalten, um damit das Risiko eines Angriffs zusätzlich auszuschließen.

Mehr zum Thema finden Sie hier:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html

Sicherheitsrisiko Datenschutzauskunft?

Unternehmen sind laut DS-GVO verpflichtet, gespeicherte, personenbezogene Daten auf Verlangen den betroffenen Personen zu übergeben. Dem seit Mai 2018 geltenden Recht zur Auskunft und Datenportabilität müssen alle Unternehmen und Anbieter nachkommen. Doch diese Vorschrift kann offensichtlich ganz einfach zu einem umfangreichen Identitätsdiebstahl genutzt werden. Dies machte ein britischer Student auf der Sicherheitskonferenz „Black Hat“ in Las Vegas deutlich und zeigte, wie unkompliziert es ist, personenbezogene Daten aufgrund des Auskunftsrechts zu erhalten. Dafür benötigte er nur eine Fake-Adresse sowie öffentlich zugängliche Daten einer Person.

Auf seine Anfrage erhielt er bei vier großen Unternehmen, die auch auf dem US-Markt tätig sind, gar keine Auskunft mit der Begründung, dass EU-Bürger nach deren Sicht kein Recht auf Datenauskunft haben. Aber immerhin 72 Prozent der kontaktierten Unternehmen oder Plattformen reagierten auf seine Anfrage. Das katastrophale Ergebnis dieser Studie: Einige verlangten eine einfache, leicht zu umgehende Identitätsprüfung und bei ca. 24 Prozent der Anbieter wurde komplett auf eine Prüfung verzichtet und die Daten ohne weitere Fragen an die Fake-Adresse versendet. 

Mehr zum Thema finden Sie hier:
https://www.golem.de/news/dsgvo-datenschutzauskunft-als-sicherheitsrisiko-1908-143186.html

Social-Plugins benötigen Einwilligung

Es gibt neuen Gegenwind gegen Datenkraken wie Facebook und Co. Nachdem bereits die Datenschutzkonferenz in ihrer jüngsten Orientierungshilfe für Telemediendienste (DSK Orientierungshilfe für Anbieter von Telemedien) eine klare Position für eine Einwilligungslösung bei der Einbindung von Facebook und Co. in die eigene Homepage bezogen hatte, hat der EuGH diese Position nunmehr bestätigt.

Viele der eingebundenen Social-Plugins wie der Facebook-Like- oder Share-Button funktionierten in der Weise, dass bereits bei Aufruf der Webseite, auf der die Tools eingebunden waren, eine Datenverbindung zu Facebook aufgebaut wurde. Hierdurch erhielt Facebook vielerlei Informationen über die Besucher, ohne dass die Besucher hierauf Einfluss gehabt hätten.

In einer Vorlagenanfrage der deutschen Gerichte an den EuGH ging es eben um diese Einbindung solcher Plugins, die bereits bei Aufruf der Webseite Daten an Dritte übertragen. In seinem Urteil vom 29.07.2019 stellte der EuGH klar, dass ein Webseiten-Betreiber, der ein Social-Plugin (Facebook-Like- oder Share-Button und andere) auf seiner Seite eingebunden hat, das eine unmittelbare Verbindung zu Facebook aufbaut, als Verantwortlicher für die Datenverarbeitung anzusehen ist und es für diese Datenübertragung einer ausdrücklichen Einwilligung bedarf.
Ausgangspunkt des Verfahrens war eine Klage der Verbraucherzentrale NRW gegen den Online-Shop Fashion-ID. Streitpunkt war die Einbindung eines Facebook-Plugins. Die Funktionsweise des Plugins ist so aufgebaut, dass Inhalte des fremden Anbieters (Facebook) in die eigene Webseite eingebunden werden, die es zum Abruf dieser Inhalte notwendig machen, die Daten des Webseiten-Besuchers an den Dritten (Facebook) zu übermitteln. Dies geschieht auch, wenn der Besucher nicht bei Facebook angemeldet ist. Er muss dafür noch nicht einmal ein Facebook-Konto besitzen. In dem Falle werden sogenannte Schattenprofile angelegt.

Das OLG Düsseldorf hatte in seinem Vorabentscheidungsersuchen an den EuGH eine Frage aufgenommen, die zumindest die Möglichkeit in Betracht zog, die Einbindung eines Social-Plugins in die eigene Webseite auf ein berechtigtes Interesse als Rechtsgrundlage zu stützen. Überraschend deutlich hat der EuGH die Frage nach dem berechtigten Interesse abgeschmettert mit dem Hinweis, dass es hierauf nicht ankomme, da keine rechtlich notwendige Einwilligung vorläge.
Zum Umfang der Informationspflicht, beziehungsweise zum Grad der Informiertheit der Einwilligung des Webseiten-Besuchers, stellt der EuGH allerdings klar, dass der Webseiten-Betreiber nur über den Teil aufklären muss, der in seinem Herrschaftsbereich liegt, nicht über vor- und nachgelagerte Phasen, die nicht in seinem Verantwortungsbereich liegen. Dies ist insofern beruhigend, da eine umfassende Information über die Verarbeitung bei Facebook schlicht nicht vorliegt und somit nicht möglich ist. Die Information durch den Webseiten-Betreiber muss demnach nur den Part umfassen, der in seinem Herrschaftsbereich liegt.

Was bedeutet das für Sie:
Grundsätzlich spricht der EuGH allgemein von Social-Media-Anbietern und stellt damit die Maßnahmen nicht nur für Facebook, sondern auch für alle anderen Anbieter mit ähnlich eingebundenen Plugins auf. Werden Inhalte von anderen Servern auf Ihrer Webseite eingespielt, müssen Sie davon ausgehen, dass Daten an diese Dritte übertragen werden, da die Auslieferung der Inhalte technisch nicht anders möglich ist. Als Beispiele: Newsfeeds, Videos von Videoportalen, Kartenmaterial und vieles mehr.

Prüfen Sie demnach die eingebundenen PlugIns auf Ihrer Seite gründlich:

  • Welche Datenübermittlungen über Ihre Besucher finden auf Ihrer Homepage statt?
  • Wie lassen sich diese gegebenenfalls unterbinden?
  • Welche Daten (IP-Adresse, Geräte-Information, Geräte-Standort, ggf. weitere) werden an wen übermittelt?

Falls Sie sich nicht sicher sind, fragen Sie bei den Anbietern nach. Die Haftung für Fehler liegt bei Ihnen als Verantwortlichem.
Falls der Einsatz der Tools weiterhin gewünscht ist, wie kann die informierte Einwilligung der Seitenbesucher eingeholt werden?
Bitte aktualisieren Sie Ihre Erklärungen und Prozesse auf der Webseite dementsprechend. Für Hilfestellung kontaktieren Sie Ihren Datenschutzbeauftragten.

Ass.iur. Nicole Krause
Für die Gindat GmbH

 

Datenschutzverstoß bei Amazon?

Mitarbeiter einer Zeitarbeitsfirma in Polen protokollierten Mitschnitte von mit Alexa geführten Gesprächen.
Im Frühjahr hatten Berichte für Aufsehen gesorgt, wonach sowohl Amazon als auch Wettbewerber wie Google und Apple einzelne Sprachaufzeichnungen der von ihnen betriebenen digitalen Assistenten von ihren Mitarbeitern auswerten lassen.
Laut einem Bericht der Welt am Sonntag vom 05.08.2019 hat Amazon die Schraube sogar noch ein Stückchen weiter gedreht und die Auswertungsaufgaben zum Teil an die polnische Tochter der Zeitarbeitsfirma Randstad ausgelagert. Neben Amazon-Mitarbeitern hörten demnach auch Mitarbeiter von Randstad Polen einzelne Gespräche von Amazon-Kunden ab und werteten diese aus. Die Arbeit konnte unter Umständen sogar vom Home Office der Randstad-Mitarbeiter aus durchgeführt werden. Dabei waren laut Amazon allerdings „strenge Sicherheitsmaßnahmen“ zu beachten. Ob hierdurch die Maßgaben der DSGVO vollumfänglich gewahrt worden sind, ist noch nicht abschließend festgestellt.

Hintergrund für den Einsatz von Menschen bei der Auswertung beim Betrieb von digitalen sprachgesteuerten Assistenten ist, dass letztere viele Befehle noch nicht oder missverstehen. Indem die Mitarbeiter die Ausgabe des Amazon-Algorithmus händisch korrigieren, trainieren sie ihn und sorgen auf diese Weise dafür, dass die Reaktionen von Alexa immer präziser werden.
Amazon hat das Datenschutzportal für Alexa zwischenzeitlich überarbeitet. Unter anderem sollen die Nutzer der Auswertung von Sprachaufnahmen widersprechen können.

Die DSGVO bietet ein umfassendes Instrumentarium, um den Internetgiganten mit der Macht des größten Binnenmarktes der Welt, der Europäischen Union, entgegenzutreten. Man darf gespannt sein, ob sich die EU angesichts des oftmals freizügig erscheinenden Umgangs mit den personenbezogenen Daten der Bürger mit Amazon, einem der größten Unternehmen der Welt, anlegen wird.

Neue Randsomware-Variante „GermanWiper“

Aktuell verbreitet sich eine neue Ransomware namens „GermanWiper“, warnt das Notfallteam des BSI CERT-Bund (Computer Emergency Response Team für Bundesbehörden).
Dieser Trojaner ist als Bewerbung getarnt, enthält jedoch im ZIP-Ordner – statt Word- und PDF-Dateien – eine Windows-Link-Datei. Beim Öffnen dieser Datei lädt der Trojaner die eigentliche Malware vom Server herunter. Diese Malware verschlüsselt dann nicht etwa die Daten auf dem Rechner und fordert zur Übergabe des Schlüssels ein Lösegeld, sondern überschreibt vielmehr die Daten direkt mit Nullen und ändert die Dateiendungen.
Das Wiederherstellen der Daten ist in diesem Fall nur mit dem eigenen Back-Up möglich, sodass die Zahlung eines Lösegelds ins Leere läuft.
Die Bewerbungen selbst sind völlig unauffällig und verwenden jeweils verschiedene Namen, aktuell etwa „Lena Kretschmer“, sowie unterschiedliche Absenderdomains. 

Die GINDAT empfiehlt dringend: öffnen Sie keine Anhänge, dessen Absender Sie nicht kennen. Vergewissern Sie sich, dass es sich um eine echte Bewerbung handelt, indem Sie sich die Kontaktdaten der Person aus der Vorschau(!) der E-Mail heraussuchen und die Person kontaktieren. 

100 Millionen Bankdaten gestohlen

Eine Hackerin hat in den USA Daten von 100 Millionen Bankkunden der Capital One Financial Corp. gestohlen. Von diesem Angriff waren außerdem weitere 6 Millionen Kunden in Kanada betroffen.
Dabei konnte die 33-jährige Informatik-Ingenieurin Daten aus den Jahren 2005 bis 2019 erbeuten. Darunter finden sich Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten sowie Angaben zur Bonität und Kontostände der Bankkunden. Die Verdächtige konnte von der Bundespolizei FBI festgenommen werden und muss bei einer Verurteilung mit fünf Jahren Haft sowie ca. 250.000 Dollar Geldstrafe rechnen.
Nach Angaben der sechstgrößten Bank in den USA wurden die Daten jedoch nicht weiter veräußert, da das Unternehmen durch einen externen Hinweis nach zwei Tagen den Daten-Diebstahl feststellte. Für die Panne muss die Capital One Financial Corp. im Laufe des Jahres etwa 100 bis 150 Millionen Dollar (ca. 135 Millionen Euro) für Rechtskosten, Benachrichtigungen an Kunden sowie die Umstellung der Technik aufbringen.

Mehr zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/Hackerin-prahlt-mit-Bank-Hack-mit-100-Millionen-Betroffenen-4483011.html