Facebook Konto gehackt?

Wurde Dein Facebook Konto gehackt?

Facebook Hacking ist ein Dauerbrenner, da in meinem Facebook-Freundeskreis in der letzten Zeit mehrere Konten gehackt wurden, dachte ich, ich schreibe mal etwas darüber. Wie kannst Du erkennen, ob Dein Facebook Konto gehackt wurde, wie kannst Du vorbeugen?

Ziel der Hacker ist es immer, über das gehackte Profil an weitere Profile zu bekommen. In vielen Profilen sind Bezahldaten hinterlegt, die kann man dann natürlich auch sehen.

Gehackte Profile kann man so nicht erkennen, sie outen sich aber fast immer durch eine vermehrte Aktivität. Wenn jemand sonst sehr selten mal etwas schreibt, aber plötzlich ständig kryptische Links schickt, dann ist etwas komisch. Genaues Hinsehen und ein gesundes Mißtrauen zahlen sich also wie immer aus.

Hier 2 Beispiele, wie sich gehackte Profile momentan oft verhalten (natürlich gibt es unzählige Möglichkeiten):

Es wird in die Chroniken von Freunden des Profils gepostet und alle Freunde markiert. Im Posting gibt es dann meist einen Link mit kryptischem Namen, ein Video, dass das Profilbild des gehackten Profils, also Eure FB Freundin oder Freund zeigt.

Da sollte die dunkel gelbe Warnleuchte angehen, wer macht sich die Mühe und markiert in einem Posting 100 und mehr Freunde. Vor allem, wenn es evtl. nur eine Bekannte/ein Bekannter ist, mit dem man selten oder gar nichts privat unternimmt.

Per PN kommt ein Link auf eine Webseite mit vermeintlicher Werbung. Vor kurzem erhielt ich sowas von einer ganz entfernten Bekannten, und es war eine Werbung für RayBan Sonnenbrillen. Da war gleich die Überlegung, hat sie jetzt einen Shop aufgemacht, nein hat sie natürlich nicht, ist das ein gängiger Weg für Werbung, nein, auch nicht.

Da ich Werbung fast nie anklicke, es sei denn, es sind die Firmen meiner Freunde direkt, habe ich sie also gelöscht und gut. Diese PN kam dann an demselben Tag dreimal, da habe ich die Freundin dann kontaktiert und gefragt, was das soll, das hatten andere dann auch bereits getan, sie konnte das Konto retten und gut.

Menschen, deren Profil gehackt wurde, sollten, wenn alles wieder bereinigt ist, in ihrem Profil posten, was genau sich zugetragen hat und wie sie das Konto gerettet haben. Falsche Scham ist irgendwie doof, durch diese Information kann man andere User bewahren auf so etwas hereinzufallen. O.g. FB Freundin, die mit den Sonnenbrillen, hatte ich auch darum gebeten, hat sie leider nicht gemacht, schade.

Was also tun, wenn Dein Facebook Konto gehackt wurde?

Wenn Du glaubst, Dein Facebook Konto wurde gehackt, solltest Du die folgenden Überprüfungen/Änderungen machen:

  • sofort ein neues Passwort vergeben, Tipps zur Komplexität hier
  • nachsehen, welche Emailadressen mit Deinem Facebook-Konto verbunden sind
  • Ggf. macht es auch Sinn, den Codegenerator zu aktivieren
  • Ich würde auch empfehlen, Facebook direkt zu benachrichtigen

Wenn alles nichts hilft, deaktiviere Dein Konto (löschen geht ja leider nicht) und lege Dir ein neues an.

Wie kannst Du vermeiden, dass Dich jemand hackt?

Um zu vermeiden, dass Dein Facebook Konto gehackt wird, gelten eigentlich dieselben Regeln wie immer:

  • Vorsicht ist die Mutter der Porzellankiste
  • Auf alle Geräte, auch aufs Handy, gehört ein Virenscanner mit Phishing-Schutz, der natürlich aktuell gehalten wird
  • Jede Zusendung genau ansehen, sieht sie irgendwie merkwürdig aus, löschen, blockieren, was auch immer, aber nicht lesen, keine Links anklicken
  • Vorsichtig mit Kennwörtern, natürlich niemandem verraten und öfter mal ändern
  • Keine Kennwörter speichern, lieber manuell eingeben
  • bestätige nur Freundschaftsanfragen von Leuten, die Du kennst, wenn plötzlich ganz viele kommen, wurde evtl. ein Konto eines Deiner FB Freunde gehackt
  • Die Bestätigungsmitteilung für Markierungen von Bildern mit Deinem Namen einstellen
  • Wenn der Verdacht besteht, dass Dein Konto gehackt wurde, sofort das Kennwort ändern und in der darauffolgenden Meldung alle mobilen Geräte automatisch abmelden lassen, weitere Infos s. oben

Wenn Du Postings/PNs … von gehackten Konten bekommst

  • Kontaktiere die Person und frag nach, der Betroffene bekommt es meist als letztes mit
  • Wenn wie eben beschrieben, viele Empfänger markiert sind, akzeptiere die Markierung nicht, kennzeichne es als Spam und blockiere den Absender erstmal
  • Kommen merkwürdige Werbeangebote, genauso

Hier ein paar sinnvolle Einstellungen

Findest Du in Deinem Facebook-Profil (unter Einstellungen):

Hier kannst Du sehen, welche Mailadresse(n) mit Deinem Konto verbunden sind. Stehen da Adressen, die Du nicht kennst, löschen und ggf. die Adressen an Facebook schicken.

Facebook Konto gehackt

Weiterhin kannst Du einstellen, dass Du benachrichtigt wirst, wenn eine Anmeldung von unbekannten Geräten erfolgt.

Facebook Konto gehackt

Regelmäßiges Ändern des Passwortes ist dringend zu empfehlen, auch eine gewisse Passwortkomplexität schützt vor unerwünschten Anmeldeversuchen

Facebook Konto gehackt

Hier kann man einstellen, wer in der eigenen Chronik posten darf und dass man evtl. Markierungen der eigenen Person bestätigen muss.

Facebook Konto gehackt

Nicht zuletzt können unerwünschte/aufdringliche User blockiert werden

Facebook Konto gehackt

Sorglosigkeit und blindes Vertrauen haben im Internet nichts zu suchen. Den Betreibern von Social Media Portalen blind zu vertrauen, hilft auch nichts, man muss schon selbst für sich sorgen.

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

WhatsApp AGB, keine echten Überraschungen

Neue WhatsApp AGB

Neue WhatsAPP AGB und plötzlich regen sich alle auf. Worüber eigentlich? Weil es in den Medien ist, weil andere sich drüber aufregen, damit man mitreden kann? Bei Installation des Dienstes habt Ihr alle eingewilligt, dass WhatsAPP Eure gesamten Kontaktdaten (also die Daten anderer Menschen, die Ihr auf Eurem Handy gespeichert habt), auf den Firmenserver übertragen darf. Da habt Ihr doch alle aktiv eingewilligt. Und nun?

Nun will Facebook sie nutzen, das war doch klar, mich wundert nur, dass es jetzt erst kommt. Obwohl ich insgeheim vermute, dass die Daten bereits genutzt werden. Warum sonst hätte Facebook WhatsAPP kaufen sollen, das ergänzt sich doch ganz wunderbar. Auch bei WhatsAPP kann man schön sehen, wer mit wem im Gespräch ist, wer wen kennt, genauso wie bei Facebook, mit dem kleinen Unterschied, das Ihr bei Facebook nicht zwangsläufig die Persönlichkeitsrechte anderer durch Weitergabe fremder Daten verletzt, sondern nur, wenn Ihr Eure Kontakte einlesen lasst. (Wie bei LinkedIN auch). Das ist natürlich das i-Tüpfelchen für Facebook, damit bekommen sie all die Kontakte derjenigen renitenten User, die eben nicht Ihre gesamten Adressverzeichnisse einlesen lassen.

Durch die Medien geistern nun sehr unterschiedliche Infos, in manchem Artikeln steht, man könne widersprechen, in anderen nicht. Ich habe mir das mal genauer angeschaut.

Man kann offensichtlich mit Hilfe eines widersprüchlichen Textes in den WhatsApp AGB der Werbenutzung widersprechen, aber nur der. Den Text muss man sich erstmal auf der Zunge zergehen lassen, sonst könnte man tatsächlich glauben, man widerspräche den neuen WhatsApp AGB. Wenn man mal genau weiterliest, wird man gewahr, dass alle anderen Daten Facebook trotzdem zur Verfügung gestellt werden. Mich wundert das nicht, denn wie gesagt, ich kaufe ja nicht, was mir nichts nützt, und Facebook ist an Werbung interessiert, an nichts sonst, also muss es Adresspools bereitstellen, sonst klappt die gesamte Ad-Werbung nicht, wen wunderts, google macht es genauso.

Profilbilder sollen momentan noch nicht übermittelt werden, aber das ist wohl nur eine Frage der Zeit.

Nun behaupten ja einige Medien, man könne innerhalb von 30 Tagen widersprechen. Ja und dann? Die Daten sind bereits komplett übermittelt, ich widerspreche also nur der Werbung.

Hier ein Zitat aus den neuen WhatsAPP AGB, den Passus gab es allerdings schon immer:

„Adressbuch. Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

Nach wie vor wichtig, denn was Ihr mit Euren persönlichen Daten macht, ist Eure Sache, was Ihr mit fremden Daten macht, nicht. Nach BDSG ist immer noch eine schriftl. Einwilligung der Betroffenen (also aller Kontakte Eures Adressbuches) notwendig.

Ich finde, es wird nun langsam mal Zeit für einen seriösen Messaging-Anbieter, davon gibt es einige, für die die es brauchen. Ich persönlich bin mit meinem recht günstigen allin-Vertrag zufrieden, in dem ich unbegrenzt national SMS schicken kann, an wen ich will, ohne Zusatzkosten.

Weitere Infos zu Datenschutz und WhatsAPP

Vielleicht auch interessant, WhatsAPP in Schulen

Wer mag, kann es direkt hier aufrufen.

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Top 10 der grössten Internetbedrohungen

Top 10 der grössten Internetbedrohungen

Eine aktuelle Bitkom Studio hat die Top 10 der grössten Internetbedrohungen untersucht.  Interessant ist, dass Spam mittlerweile an letzter Stelle auftaucht und die ersten Plätze durch ausgeklügelte Techniken belegt sind, die vom normalen PC-Anwender schwer bis gar nicht erkannt werden. Wie immer, ich weiß, ich wiederhole mich, hilft auch hier wieder nur aktuelle Software zum Schutz des Rechners, ein aufmerksames Auge und gesundes Misstrauen.

Hier eine Auswahl aus den Top 10 der grössten Internetbedrohungen

Platz 1 wird belegt durch Drive-by-Downloads

Hier lädt man sich durch den Besuch auf manipulierten Webseiten Schadsoftware herunter. Leider kann man mitunter schlecht erkennen, ob die Seite manipuliert ist, insbesondere, wenn man sie das erste Mal besucht.

  • Abhilfe schafft hier nur, alle Browsersicherheitsupdates auch einzuspielen

Auf Platz 2 sind Trojaner und Würmer, auf Platz 4 schon die Virenbaukästen

Dies möchte ich beides zusammen betrachten, zumal Trojaner und Würmer auch Viren sind. Die Gefahr bei den Virenbaukästen ist, man kann sie sich recht einfach herunterladen und dann selber Schadsoftware zusammenbauen. Das ist so einfach, dass man kein Programmierer sein muss, um das hinzubekommen, also kann das im Prinzip jeder. Natürlich ist es so, wenn heute einer einen Virus baut, dann kennt mein Virenscanner den nicht zeitgleich. Alle Hersteller von ernstzunehmenden Virenscannern sind aber sehr interessiert daran, dass Ihre Programme alle aktuellen Schädlinge finden und scannen deshalb das Netz ständig nach neuen Viren. Das ist auch der Grund dafür, dass gute Virenscanner gefühlt jeden Tag eine neue Signaturdatei bekommen.

  • Die Abhilfe kann also nur sein, den Virenscanner aktuell zu halten.

Platz 7 Phishing und Platz 9 Scareware

Rückt immer weiter vor, hier geht es um das Erlangen von Zugangsdaten und/oder Erpressung auf immer neuen Wegen. Hier hilft recht zuverlässig der gesunde Menschenverstand. Banken und Behörden fragen nicht nach Zugangsdaten, ich gebe auch meine Zugangsdaten an niemanden. Bei Behörden kann man sich auch nicht durch die Zahlung von Geldbeträgen freikaufen. Kommt mir der Absender oder Betreff komisch vor, lösche ich die Mail sofort und sehe sie mir nicht noch lange an. Bekomme ich vermeintlich von einer Bundesbehörde eine Mail mit einem Bußgeldbetreff bin ich auch skeptisch, normalerweise kommt sowas mit der Post, woher haben die überhaupt meine Mailadresse, also sofort löschen.

Im Ranking sind natürlich auch wieder Botnetze, ein Dauerbrenner; Verschlüsselungstrojaner werden nicht explizit genannt, was mich wundert, aber wahrscheinlich fallen sie unter den Rankingpunkt Trojaner.

  • Hier helfen regelmäßige Datensicherungen auf externen Geräten, um im Falle einer Verschlüsselung, die Daten zurücksichern zu können
  • Virenscanner und Firewall aktuell halten
  • Auf Erpressungen niemals eingehen

 

Wer die gesamte Auswertung lesen möchte, findet sie hier

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Urlaub und Socialmedia

Einbruchsschutz im Urlaub

Ach, endlich Urlaub, das wurde ja auch mal Zeit. Ganz sorglos werde ich mal allen

meinen Lieben in sämtlichen sozialen Netzwerken erzählen, dass ich endlich Urlaub habe und dass wir morgen endlich für 3 Wochen mit Sack und Pack wegfahren werden. Oma Lotte giesst alle 2 Tage die Blumen, den Hund nehmen wir mit.

Danke für die genauen Informationen freut sich der moderne, IT-affine Einbrecher, das sind ja mal wieder tolle Voraussetzungen. Meine Liste interessanter Objekte ist zwar schon lang, aber diese Steilvorlage bekomme ich noch unter. Ich fahre da mal mit dem Fahrrad vorbei und schaue mir die Gegend an.

Ach toll, die haben smart home oder wie das immer so schön heisst, die Jalousien fahren immer im 17 Uhr herunter, das ist ja klasse. Und dann lassen sie mehrmals am Tag das Licht an- und ausschalten, lustig.

Auch von unterwegs poste ich super Strandbilder, „Kamel“bilder etc. jeder weiß, dass ich noch weg bin, wie praktisch.

So oder so ähnlich ereignet es sich dieser Tage in großer Zahl in unserem schönen Land. Und dann wundern sich die Menschen noch, dass sie am Ende ihres Urlaubes ein durchwühltes Haus vorfinden. Was kann man also tun? Hier ein paar sehr einfache Verhaltensregeln für den Urlaub oder auch für das tägl. Leben:

  • Abwesenheit nie, wirklich niemals irgendwo öffentlich ankündigen, wenn das Haus oder die Wohnung dann leer ist.
  • Urlaubsbilder kann man auch nach dem Urlaub noch posten
  • Ortungsdienste ausstellen, wenn man dann während des Urlaubes irgendwas in sozialen Netzwerken postet, muss da nicht stehen, dass man gerade auf Malle ist und dann auch noch genau mit welchen Personen.
  • Smarthome bietet keine Sicherheit, man gibt nur die Verantwortung ab, an jemanden, der sie nicht übernimmt.
  • Wenn man sowas doch benutzt, keine App dafür freischalten und wenn doch, während des Urlaubes ausschalten, diese Apps sind zumeist unsicher. Das kann man mit gesundem Menschenverstand erschlagen, die die smarthome anbieten, sind zumeist Energieversorger oder Leitungsprovider, Software und/oder IT-Sicherheit sind nicht deren Kernkompetenzen, die bieten das als Kundenbindungsinstrument an.
  • Regelmäßig alle PW ändern, smarthome funktioniert meist auch über WLAN, bitte den Router so einstellen, dass er die Verbindung nur für bestimmte Geräte (MAC-Adresse) akzeptiert.
  • Auch die Passphrase eines Routers (steht immer so schön auf dem Aufkleber des Gerätes) kann man ändern, ebenso wie den Netzwerknamen. Kann man auch mehrmals im Jahr wiederholen, tut gar nicht weh.
  • Man kann sein Haus sehr einfach zusätzlich mit Videoaufnahmen sichern, am besten von innen und am besten sichert man irgendwo in der Cloud, bin ich ja sonst nicht so ein Fan davon, aber in diesem Fall können die Aufnahmen nicht durch Vandalismus vernichtet werden. Diese Kameras kosten kleines Geld und jeder Laie kann sie installieren.

Auch das BSI (Bundesamt für IT-Sicherheit) macht sich Gedanken über sorglose Urlauber und gibt noch ein paar weiterführende Tipps. Kann man hier finden.

Für Firmen bieten wir Sicherheitsberatungen an, sprechen Sie uns an.

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Widerspruch gegen Facebook AGBs ist sinnlos

Der Widerspruch gegen Facebook AGBs ist sinnlos

Leider scheint es so zu sein, dass Menschen immer weniger nachdenken. Die Verantwortung wird bei anderen gesucht. Irgendjemand, meistens mehr oder weniger seriöse Medien berichten über AGBs irgendeines sozialen Netzwerkes, z.B. Facebook und die vermeintlichen Widersprüche und die damit verbundene Empörung häufen sich. Oftmals drängt sich der Eindruck auf, nur wenige dieser Empörten hätten die betreffenden Informationen überprüft. Auf jeden Fall: Ein Widerspruch gegen Facebook AGBs ist sinnlos.

Mit ein wenig Nachdenken, könnte man auch selber drauf kommen

Das eigene Profil ist nicht der Mittelpunkt des Universums und man kann nicht davon ausgehen, dass Facebook Mitarbeiter abstellt, jedes posting in jedem persönlichen Profil zu lesen und ggf. darauf zu reagieren. Irgendwie klar, oder?

Urheberrechte

Die Urheberrechte, z.B. an eigenen Bildern können von Facebook nicht übernommen werden, weil eine Übernahme gesetzlich in Deutschland nicht möglich ist. Das Urheberrecht ist in Deutschland im Urheberrechtsgesetz (kurz: UrhG) geregelt, es handelt sich um ein Bundesgesetz. Möglich ist die Vergabe einer Nutzungslizenz, wie man sie z.B. auch bei Bilderdiensten erwirbt, wenn man dort Bildrechte kauft. Mit der Teilnahme an Facebook, also der Eröffnung eines Kontos stimmt man den Facebook AGBs zu und räumt Facebook ggf. eine Nutzungslizenz ein.

Widerspruch gegen AGBs

Ein Widerspruch der AGBs ist nach Expertenmeinung so gar nicht möglich. Mit der Nutzung stimme ich zu, wenn es mir nicht passt, lösche ich mein Profil und nutze diesen Dienst erst gar nicht. Wie sollte das auch möglich sein, soll Facebook für jeden User eigene AGBs entwickeln? Fakt ist, Passagen in AGBs, egal von wem, können unwirksam sein, wenn sie Bundesgesetzen der Bundesrepublik Deutschland widersprechen. Es gilt nach wie vor: Höheres Recht gilt niedrigeres Recht. Weiterhin ist hier zu Bedenken, dass Facebook zwar international tätig ist, aber natürlich in den  USA ansässig.

Widersprüche

Weiterhin sollte man mal überlegen, wie man generell Widerspruch einlegt, z.B. gegen Bescheide von Behörden u.ä. In meiner Welt sind diese immer in Briefform, persönlich und handschriftlich unterschrieben und werden per Einschreiben verschickt. Also nicht in irgendeinem Gästebuch der betreffenden Behörde, das vergleichbar wäre mit einem Facebookposting.

Was nun also tun

Es hilft das, was immer hilft, selber Verantwortung übernehmen. Die AGBs vorher lesen und sich dann ggf. bewusst gegen eine Nutzung des Dienstes entscheiden, darum nutze ich z.B. kein WhatsAPP. Ändern sich die AGBs in eine Richtung, die ich nicht vertreten kann, melde ich mich ab.

Alle sind da, alle machen das, sind keine Argumente für mündige Bürger, jeder ist selbst verantwortlich.

Hier könnte man die Stand heute aktuellen Nutzungsbedingungen nachlesen.

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Schwachstellenampel des BSI

Schwachstellenampel des BSI

Die Schwachstellenampel des BSI ist meines Erachtens eine gute Sache und kann als Entscheidungshilfe für den Einsatz gängiger Softwareprodukte namhafter Hersteller von großem Nutzen sein.

Die Schwachstellenampel dient dazu, Schwachstellen aufzuzeigen, zu bewerten, ob kritisch oder nicht und als Folge davon, die Anzahl geschlossener also fertig bearbeiteter Schwachstellen ebenfalls darzustellen.

Schwachstellenampel
quelle https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Hier ein Beispiel eines fiktiven Herstellers aus der BSI-eigenen Infobroschüre.

Zu Produkt 1: Es gab also im Abfragezeitraum 23 Schwachstellen, von denen 3 als kritisch angesehen wurden. Diese Schwachstellen wurden alle behoben, deshalb werden sie im Punkt geschlossene Schwachstellen aufgeführt. Für dieses Produkt gibt es allerdings eine aktuell offene Schwachstelle, die auch als kritisch angesehen wird. Die BSI-Schwachstellenampel bewertet Produkt 1 mit rot.

Die ganze Tabelle bezieht sich auf einen Hersteller und listet unterschiedliche Produkte auf. Die Gesamtbewertung aller offenen Schwachstellen aller Softwareprodukte dieses Herstellers bewertet das BSI somit mit rot.

Schwachstellenampel des BSI für welche Produkte

Natürlich bewertet die Schwachstellenampel des BSI nicht die Software von der Kellerklitsche um die Ecke. Hier werden verbreitete Softwareprodukte bewertet, die viele Anwender verwenden und deren Sicherheitslücken ebenfalls vielen Anwendern zum Verhängnis werden könnten.

Folgende Hersteller mit folgenden Produkten werden zum Zeitpunkt dieses Artikels genauer unter die Lupe genommen:

Schwachstellenampel Hersteller
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_028.pdf;jsessionid=BE366EF831E6711BBD22BB4634B2FBAE.2_cid369?__blob=publicationFile&v=3

Der Auswertezeitraum der Schwachstellenampel wird im Kopf der Seite bekannt gegeben. Er legt das maximale Alter der geschlossenen Schwachstellen fest. Vor diesem Zeitraum geschlossene Schwachstellen werden nicht berücksichtigt.

Nicht zuletzt übt diese Bewertung des BSI auch Druck auf die Hersteller aus, keiner der Marktführer möchte hier gerne schlecht bewertet werden bzw. dauerhaft mit nicht geschlossenen Schwachstellen auftauchen.

Hier zur Seite des BSI

Auch innerhalb der kostenlosen APP securityNews erhältlich.

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Vortrag für den URV am 12. April 2016

Vortrag für den URV am 12. April 2016

Mein Vortrag für den URV zum Thema betrieblicher Datenschutz letzte Woche Vortrag beim URVwar gut besucht. Die Teilnehmer waren interessiert am Thema, es wurden viele Fragen gestellt und nicht zuletzt kamen im Nachgang interessante Anfragen. Vielen Dank an die Firma Deuteron für die Ausrichtung der Veranstaltung und an den  URV für die wie immer gute Organisation.

Besonderes Interesse erzeugten erwartungsgemäß die Themen: Datenschutz und SocialMedia, Datenschutz in Bezug auf cloud computing und die Fragestellung wer benötigt einen betrieblichen Datenschutzbeauftragten.

Wie ist es um den Datenschutz in Ihrem Unternehmen bestellt? Ab dem 10. Mitarbeiter, der regelmäßig mit elektronisch gespeicherten, personenbezogenen Daten arbeitet, ist ein betrieblicher Datenschutzbeauftragter gesetzlich vorgeschrieben.
Gerne können Sie mich zu diesem Thema unverbindlich ansprechen.

http://www.urv-online.de/index.php/einzelansicht/vortragsveranstaltung-betrieblicher-datenschutz.php

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Verschlüsselungstrojaner über Dropbox

Verschlüsselungstrojaner über Dropbox

Das Niedersächsische Ministerium für Inneres und Sport informiert in Ihrer Wirtschaftsschutzinfo von Februar über eine neue Strategie bei der Verteilung von Schadsoftware.

Hier geht es um die Einsendung von Bewerbungen per Email. Der vermeintliche Bewerber schickt personifiziert eine Bewerbung an die Personalabteilung des suchenden Unternehmens. Die Bewerbungsunterlagen werden per Dropbox bereitgestellt.

Heruntergeladen werden dann aber nicht die erwarteten Unterlagen, sondern eine Schadsoftware, der Verschlüsselungstrojaner. Diese installiert sich im Hintergrund und startet sich dann selber.

Was ist daran neu?
Trojaner per Download zu erhalten ist nicht neu. Bisher ist Dropbox mit dieser Verteilungsform noch nicht in Verbindung gebracht worden, wenn gleich sie naheliegt. Das Neue und Gefährliche daran ist, es werden echte Stellenangebote von Firmen mit vermeintlichen Zusendungen von Bewerbungen beantwortet. Die Personalabteilungen denken sich nichts dabei und möchten natürlich die Bewerbungen lesen.

Welcher Schaden entsteht?
Die Schadsoftware verschlüsselt Daten auf der Festplatte des Anwenders. Nicht auszudenken, wenn sensible Personaldaten auch noch verschickt würden. Wenn die Virenschutzprogramme anschlagen, sind meistens bereits Daten verschlüsselt worden. Der Trojaner kann dann evtl. entfernt werden, die verschlüsselten Dateien bleiben aber verschlüsselt. Wohl dem, der an einem anderen Ort Sicherheitskopien seiner Daten hat.

Diese Art von Schadsoftware nennt sich Verschlüsselungstrojaner.

Vorbeugen
Abgesehen davon, dass man seinen Rechner natürlich aktuell hält, die nötigen Updates installiert und regelmäßige Backups anlegt, würde ich empfehlen, keine Zusendung von Dateien über Dropbox von Empfängern zu akzeptieren, die man nicht kennt. Ich würde sogar soweit gehen, nur Daten von Dropboxspaces herunterzuladen, die vorher abgesprochen wurden.

Heilen
Eine Heilung ist nur bedingt in Sicht. Sollten Sie den Verschlüsselungstrojanern TeslaCryt oder AlphaCrypt zum Opfer gefallen sein, kann Ihnen u.U. das kostenlose Programm TeslaDecoder helfen. Dieses entschlüsselt Dateien mit den Endungen .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz und .zzz. Für andere Verschlüsselungstrojaner scheint es momentan noch keine echte Abhilfe zu geben.

Weitere Infos auf Heise.de

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Vortrag im April: „Datenschutz im Unternehmen“

Am 12. April in der Zeit zwischen 16.00 bis 18.00 Uhr werde ich für den URV Unternehmensverband Rotenburg-Verden einen Vortrag zum Thema „Datenschutz im Unternehmen – muß das sein?“ halten.

Hier die vorläufige Agenda:

  • betr. Datenschutz eine Einführung
  • personenbezogene Daten
  • Zweckbindungs- und Erforderlichkeitsprinzip
  • Rechte von Betroffenen (Auswahl)
  • Datenschutz in Bezug auf Email, WhatsAPP & Co
  • Homeoffice, Umleitung auf priv. Mailadressen u.ä.
  • Sammeln von Mailadressen für Werbezwecke (opt-in)
  • Aufgaben des betr. Datenschutzbeauftragten
  • interner Mitarbeiter vs. ext. Dienstleister

Der Ort steht erst kurz vorher fest.

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Emailverschlüsselung und -signatur mit pgp

Schluss mit dem Mitlesen von Emails!

Kann man beim Empfang einer Email darauf vertrauen, dass der angegebene Absender wirklich derjenige ist, für den er sich ausgibt? Das ist nicht so einfach, in Zeiten von Identitätsdiebstahl kann man sich da nicht mehr so sicher sein. Mich wundert immer wieder, welche Inhalte einfach so offen per Email geschickt werden. Auch ich konnte kürzlich ohne Überprüfung einfach so einen Überweisungsauftrag per Email an meine Bank senden.

Dabei wäre es ganz einfach und auch kostenlos:
Emailverschlüsselung und -signatur mit pgp (pretty good privacy)

Dieser Verschlüsselungsstandard gilt auch heutzutage noch als sicher. Die Methode wurde 1991 von Phil Zimmermann entwickelt.

Wie funktioniert das?

Emailverschlüsselung und -signatur mit pgp kann unter Windows mit gpg4win erreicht werden. Es gibt mittlerweile AddIns für alle verbreiteten Mailprogramme, z.B. Outlook. Die Bedienung ist super einfach – versprochen.

Die Methode ist genauso simpel wie genial. Jeder Mailuser erzeugt sich ein Schlüsselpaar, einen öffentlichen und einen privaten Schlüssel. Der private Schlüssel darf nie! in fremde Hände geraten, aber auch nicht verloren gehen! Der öffentliche Schlüssel wird soweit wie möglich gestreut (über jede Email als Anhang, Veröffentlichung über die eigene Webseite, über öffentliche keyserver).

Jeder!, der eine Mail an die zum öffentlichen Schlüssel gehörende Emailadresse schicken möchte, kann seine Email mithilfe des öffentlichen Schlüssels des Empfängers verschlüsseln. Entschlüsseln kann diese Mails nur der Inhaber des privaten Schlüssel. Die Mail wird also zum Versenden „abgeschlossen“, der Empfänger „schliesst“ sie dann wieder auf.

Unterschied verschlüsseln – signieren

Bei der Verschlüsselung wird der Inhalt für Nichtempfänger unkenntlich mit dem öffentlichen Schlüssel verschlüsselt. Das kann jeder machen, der den öffentlichen Schlüssel erhalten hat.

Beim Signieren, unterschreibt der Sender mit seinem privaten Schlüssel, der Empfänger kann daraus ersehen, dass es sich um den angegebenen Absender handelt. Dies kann nur der Inhaber des privaten Schlüssels.

Beide Verfahren können kombiniert werden.

Download: gpg4win

Beitrag Teilen: Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone