Künstliche Intelligenz ist längst kein Experiment mehr. Sprachmodelle steuern Chatbots, analysieren Verträge, generieren Code, verfassen Mails oder greifen auf interne Wissensdatenbanken zu. Was nach Effizienzgewinn klingt, bringt jedoch eine neue Risikoklasse mit sich: Evasion-Attacks auf LLMs.

Das Bundesamt für Sicherheit in der Informationstechnik warnt in einer aktuellen Veröffentlichung ausdrücklich vor gezielten Manipulationen von Sprachmodellen im laufenden Betrieb . Für Leitungsfunktionen bedeutet das: KI-Sicherheit ist nicht nur ein IT-Thema. Sie ist ein Governance-Thema.

Was steckt hinter Evasion-Attacks?

Anders als klassische Cyberangriffe verändern diese Attacken nicht den Quellcode oder die Modellparameter. Stattdessen manipulieren sie Eingaben so, dass das System seine eigenen Schutzmechanismen umgeht.

Mögliche Folgen:

• Offenlegung sensibler Unternehmensdaten

• Manipulation automatisierter Prozesse

• Erzeugung rechtswidriger Inhalte

• Reputationsschäden

• Haftungsrisiken

Das Gefährliche: Das System funktioniert scheinbar normal – bis es plötzlich Dinge tut, die es laut Vorgaben niemals hätte tun dürfen .

LLMs, wo sind sie zu finden?

LLMs (Large Language Model) ,  also KI-Modelle, die Sprache verstehen und Texte erzeugen können, sind mittlerweile in nahezu jedem Unternehmen zu finden.

Beispiele: ChatGPT, Claude, Gemini, Copilot, Mistral etc.

LLMs sind zunehmend auch als Zusatzfunktionen in Fachanwendungen implementiert, Beispiele:

• ERP- und CRM-Systeme

• interne Dokumentenablagen

• Entwicklerplattformen

• Compliance-Workflows

• Kundenkommunikation

Die eingebetteten KI-Funktionalitäten erhalten Ihre Rechte zumeist durch die Rechte, die auch die Anwendung hat. Je mehr Zugriff ein System erhält, desto größer wird die Angriffsfläche. Besonders riskant sind laut BSI Konstellationen mit:

• Zugriff auf private Daten

• Anbindung an externe Quellen

• automatisierten Schreib- oder Versandfunktionen

DSGVO: Wenn das LLM zum Datenschutzproblem wird

Für Geschäftsführung und Datenschutzbeauftragte stellt sich eine zentrale Frage: Was passiert, wenn ein Sprachmodell personenbezogene Daten ungewollt preisgibt?

Typische Szenarien:

• Ein Prompt Injection-Angriff führt zur Offenlegung von Kundendaten

• Ein Modell speichert manipulierte Inhalte dauerhaft im Langzeitspeicher

• Sensible Informationen werden über externe Schnittstellen übertragen

Ein kompromittiertes LLM-System kann meldepflichtige Datenschutzverletzungen auslösen – inklusive Bußgeld- und Reputationsrisiko.

Leitungsorgane stehen hier in der Organisationsverantwortung. Es reicht nicht, „KI einzuführen“, sie muss auch sicher implementiert sein.

AI Act: KI-Risiken werden regulatorisch relevant

Der AI-Act gibt die Regeln für den Einsatz  von KI-Systemen konkret vor.  In Verbindung mit der DSGVO sind die einzusetzenden Systeme VOR dem Einsatz zu prüfen, vgl. Art. 32, Art. 35 DSGVO. Aus der Prüfung ergibt sich eine unternehmensweite Richtlinie für die Nutzung von KI in dem jeweiligen Unternehmen. Gemäß Art. 4 AI-Act sind die Nutzer zudem vor der ersten Verwendung zu schulen.

Zusammenfassung aus DSGVO und AI-Act:

Unabhängig davon, in welche Kategorie des AI-Actes ein LLM-System eingestuft wird, gelten bestimmte Pflichten immer.

DSGVO: Vorabkontrolle

Die datenschutzrechtliche Vorabkontrolle, dient zur Identifikation möglicher Risiken für personenbezogene Daten.

• Art. 24 DSGVO – Organisationsverantwortung

• Art. 32 DSGVO – technische und organisatorische Maßnahmen

• Art. 35 DSGVO – Datenschutz-Folgenabschätzung (wenn hohes Risiko)

Aus der Vorabkontrolle folgt eine Empfehlung des bDSB, wie mit KI und personenbezogenen Daten umgegangen werden soll und ob personenbezogene Daten überhaupt genutzt werden können.

Daraus folgt in Abstimmung mit den Leitungsfunktionen die Erstellung einer internen KI-Richtlinie.

In diese Richtlinie gehört mindestens eine Aufzählung der genutzten Systeme und die klare Benennung von Do’s & Dont’s in dem jeweiligen System.

Art. 4 AI Act – KI-Kompetenzpflicht (gilt für alle KI-Systeme)

Unternehmen müssen sicherstellen, dass Personen, die KI-Systeme einsetzen oder überwachen, über ausreichende Kenntnisse verfügen und unter welchen Einschränkungen KI im Hause genutzt werden darf.

Die Grundlage der Nutzung ergibt sich aus der Richtlinie und genau diese Inhalte werden geschult.

Das bedeutet:

• Unterweisung der Mitarbeiter

• Sensibilisierung für Risiken wie Prompt Injections

Das ist  eine Organisationspflicht und kein nice to have.

Art. 50 AI Act – Transparenzpflichten (gelten unabhängig von der Risikoklasse)

Wenn KI eingesetzt wird, müssen bestimmte Transparenzanforderungen erfüllt sein, zum Beispiel:

• Kennzeichnung von KI-generierten Inhalten

• Offenlegung gegenüber Nutzern, wenn sie mit KI interagieren, z.B. bei ChatBots

• Klarheit über synthetische Inhalte

Auch hier gilt: Das betrifft alle KI-Systeme unabhängig der Klassifizierung.

Typische Angriffsformen auf LLMs

Das BSI beschreibt unter anderem die folgenden Angriffsvarianten.

Verantwortung von Führungskräften

KI-Risikobewertung auf Managementebene verankern

• Ist das eingesetzte LLM an interne Daten angebunden?

• Was sagt der Datenschutz?

• Welche Aktionen darf es autonom ausführen?

• Gibt es eine dokumentierte Risikoanalyse?

Least Privilege konsequent umsetzen

LLM-Systeme dürfen nur Zugriff auf Daten und Funktionen erhalten, die zwingend notwendig sind. Jede zusätzliche Berechtigung erhöht das Angriffsrisiko .

Serverseitige Schutzmechanismen etablieren

Das BSI empfiehlt unter anderem:

• Eingabenormalisierung

• Längenbeschränkungen

• Content-Stripping

• Filter für schädliche Prompts

• Schwärzung sensibler Informationen

Wichtig: Clientseitige Filter sind nicht ausreichend.

Menschliche Aufsicht implementieren

Der AI Act verlangt menschliche Kontrolle bei KI-Systemen der Kategorie „hochrisiko“. Das BSI bestätigt diesen Ansatz durch sogenannte Human Guardrails und dies nutzungs- und nicht KI-kategoriebezogen.

Beispiel:
Kritische Aktionen wie E-Mail-Versand oder Datenexport müssen aktiv freigegeben werden.

Fazit

KI-Cybersicherheit ist kein reines IT-Detail, sondern mittlerweile ein Standard-Arbeitspaket im Kontext IT-Sicherheit und Datenschutz. Führungskräfte müssen die Grundmechanismen verstehen, um Risiken realistisch bewerten zu können .

Die „KI-Welt“ ist schnellebig, es sollte bei Updates von Systemen genau geprüft werden, ob eine KI-Funktionalität inkludiert oder erweitert wurde und was dies für die Nutzung im Unternehmen bedeutet.

Bei der Bewertung müssen unterschiedlichste Normen mit einbezogen werden, neben dem AI-Act auch die DSGVO, ggf. NIS 2 (Also BSIG), Geschäftsgeheimnisgesetz, ggf. Urheberrecht etc.

Wenn Sie jetzt noch unsicher sind, in Bezug auf die Nutzung von KI-Systemen oder eine Richtlinie erstellen lassen möchten und/oder Ihre Mitarbeiter kompetent schulen lassen möchten, dann sprechen Sie mich an, ich unterstütze Sie in allen Fragen rund um das Thema KI.

Der Beitrag Evasion-Attacks auf LLMs erschien zuerst auf cheyenne-Blog.

Der Jahresanfang ist der richtige Zeitpunkt, um Maßnahmen für Datenschutz und IT-Sicherheit zu planen. Sonst verfliegt das Jahr und die Risiken schweben über dem Unternehmen wie ein Damoklesschwert. Zu bedenken ist, dass sowohl die Beschwerden als auch die verhängten Bußgelder wegen Datenschutzverstößen seit Inkrafttreten der DSGVO am 25. Mai 2018 stetig und spürbar steigen. Außerdem bedeutet Datenschutz auch immer, einen Blick auf die IT-Sicherheit zu werfen. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 und einer realen Bedrohungslage durch Cyberkriminelle sind Datenschutz und IT-Sicherheit 2026 also so relevant wie nie.

Kontinuierliches Handeln ist gefragt

Ob zehn, zwanzig oder zweihundert Mitarbeiter, ob Mittelstand oder Konzern, die Grundsätze und Anforderungen aus Art. 5 und Art. 6 DSGVO bleiben 2026 unverändert bestehen. Das bedeutet allerdings nicht, dass Unternehmen die Hände in den Schoß legen können, denn Datenschutz ist eine Aufgabe, die kontinuierlich Aufmerksamkeit erfordert. So müssen zum Beispiel Verfahrensverzeichnisse nach Art. 30 DSGVO nicht nur vorhanden sein, sondern auch regelmäßig überprüft und aktualisiert werden. Jegliche Veränderung wie zum Beispiel der Einsatz von KI muss dokumentiert und Prozesse müssen überprüft werden.

Jetzt ist Handeln gefragt. Wenn die Datenschutzbehörde vor der Tür steht oder ein Phishing-Angriff erfolgreich war, ist es zu spät. Das sind die zentralen Themen und Aufgaben in den Bereichen Datenschutz und IT-Sicherheit 2026:

• Verarbeitungsverzeichnisse prüfen und aktualisieren.
• Mitarbeiter schulen.
• Eventuelle Datenschutz- oder IT-Sicherheitsvorfälle prüfen und erforderliche Maßnahmen umsetzen.
• IT-Sicherheitsstruktur prüfen.
• Proaktive Maßnahmen wie die Implementierung eines BSI-Grundschutzes prüfen und gegebenenfalls umsetzen.

Datenschutzbeauftragter: Pflicht hin oder her

Besonders relevant ist die Frage nach einem betrieblichen Datenschutzbeauftragten. Ab 20 Mitarbeitern, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtend. Doch ist diese Begrenzung sinnvoll? Auch ohne Pflicht zur Benennung gilt die DSGVO. Ab etwa 10 Mitarbeitern empfiehlt sich eine freiwillige Mandatierung, denn seien wir mal ehrlich, von den eigenen Mitarbeitern hat in der Regel niemand Zeit und die Expertise für wirksamen Datenschutz. Ein externer Datenschutzbeauftragter bringt Struktur, hält den Rücken frei und verfügt über das erforderliche Fachwissen.

IT-Sicherheit wird immer noch unterschätzt

Auch Fragen der IT-Sicherheit – damit sind technische und organisatorische Maßnahmen zum Schutz der IT-Infrastruktur, Systeme und Daten gemeint – werden immer relevanter. Die Bedrohungslage hat sich im Jahr 2025 massiv verschärft. Cyberangriffe werden schneller und gezielter. Zero-Day-Schwachstellen werden genutzt, Ransomware-Gruppen nutzen KI-gestützte Angriffsmethoden, und selbst Systeme mit aktuellen Updates bleiben ohne kontinuierliches Monitoring angreifbar. Die globale PwC Cyberstudie „Digital Trust Insights 2026: Chancen und Risiken für deutsche Unternehmen“ ergab, dass etwa 9 von 10 Unternehmen in Deutschland in den vergangenen 3 Jahren Opfer eines Cyberangriffs wurden. Bei 47 Prozent beliefen sich die Kosten eines Datendiebstahls auf bis zu eine Million US-Dollar. Bei 26 Prozent sogar auf bis zu zehn Millionen. Bei diesen Zahlen ist nicht nachvollziehbar, warum 77 Prozent zwar ihre Cyberbudgets erhöhen wollen, doch tatsächlich nur 15 Prozent in proaktive Maßnahmen investieren.

Blindes Vertrauen rächt sich

Besonders kritisch ist, dass viele Unternehmen sich auf die IT-Sicherheitsstruktur ihres IT-Dienstleisters verlassen und dabei nicht bemerken, dass dieser oft nur die technische Infrastruktur betreut, nicht aber eine strategische Sicherheitsarchitektur aufbaut. Was fehlt, ist ein unabhängiger IT-Sicherheitsingenieur, der das Gesamtbild im Blick behält, Schwachstellen identifiziert und präventive Maßnahmen entwickelt.

Fazit

Datenschutz und IT-Sicherheit sind kein Hexenwerk, aber auch keine Aufgabe, die man mal eben so nebenbei erledigt. Die Risiken sind real und die Kosten können im Schadensfall erheblich sein. Außerdem werden auch die rechtlichen Anforderungen schärfer.

Wenn Sie Ihre Datenschutzprozesse überprüfen oder Ihre Mitarbeiter schulen lassen möchten, sprechen Sie mich gerne an.

Wenn Sie befürchten, nicht ausreichend gegen Cyberangriffe vorbereitet zu sein, dann lassen Sie uns über den Aufbau einer fundierten IT-Sicherheitsstruktur sprechen.

Der Beitrag Datenschutz und IT-Sicherheit 2026 erschien zuerst auf cheyenne-Blog.

In Zeiten von Corona gewinnt das Homeoffice an Akzeptanz. Gut so! Wurde es vorher bei vielen Arbeitgebern immer als problematisch angesehen, weil ein Verlust von Kontrolle befürchtet wurde, so ist es nun Mittel zum Zweck, um die Geschäfte weiter führen zu können. Wie sieht es denn eigentlich mit dem Datenschutz im Homeoffice aus?

Arbeitgeber, die sich schon länger mit dezentralisierter Arbeit befassen und somit auch letztendlich um Work-Life-Balance, sind hier sicher schon weiter. Andere Arbeitgeber hat Corona kalt erwischt, natürlich gibt es hier keinen Notfallplan, momentan geht es deshalb im wesentlichen um Schadensbegrenzung. Corona führt zu Existenzangst, da wird Homoffice als gute Alternative angesehen, Hauptsache erstmal, es geht irgendwie weiter.

Datenschutz im Homeoffice wie geht das? Im Idealfall stellt der Arbeitgeber ein Endgerät zur Verfügung, dieses Endgerät ist ausschließlich dafür gedacht, auf die Systeme des Arbeitgebers zuzugreifen, eine private Nutzung ist ausgeschlossen.

Aber auch Möglichkeiten mit eigenen Geräten sind denkbar, hier wird idealerweise ein sog. VPN-Tunnel zum Netzwerk der Firma eingerichtet, eine adäquate Passwortsicherheit ist vorauszusetzen und los geht es.  Das sind also die vorbereiteten Unternehmen.

Nun haben wir diejenigen, die diese Pandemie kalt erwischt hat. Teilweise sind sie so klein, dass Homeoffice im Normalfall gar keinen Sinn macht. In Zeiten der Not ist man natürlich für jede noch so ungünstige Möglichkeit dankbar, den Betrieb aufrechterhalten zu können. Letztendlich stehen hier jetzt auch Existenzen auf dem Spiel, denn wird nicht gearbeitet, müssen die Mitarbeiter entlassen und im schlimmsten Szenario die Firma geschlossen werden. Das will keiner, also machen wir Datenschutz im Homeoffice nach bestem Wissen und Gewissen, wie es eben in der Kürze der Zeit und ohne Vorbereitung machbar ist.

Hier ist sicher jenseits aller einzuhaltenden Vorschriften die Kooperation der Mitarbeiter gefragt. Es geht ja nicht nur um IT-basierte Daten, es geht auch um Papierausdrucke, Ordner, die mitgenommen wurden, die Buchhaltung etc. Im Prinzip möchte ich es wie immer gerne IT-Sicherheit nennen.

Der Arbeitgeber muss sich zwangsläufig ein paar Gedanken machen:

• wo werden die Unterlagen in der privaten Wohnung des Mitarbeiters aufbewahrt?
• Was ist besonders vertraulich zu behandeln?
• Wie sieht es aus, wenn jemand in Quarantäne ist, wie können dann Unterlagen transportiert werden?
• Wie sind die gängigen Kommunikationswege?

Eine Chance in Zukunft einen Plan zu haben

Diese Krise ist aber auch eine Chance, es bei kommenden „Katastrophen“ besser zu machen. Nun haben wir eine Pandemie, nächstes Mal ist es evtl. eine Naturkatastrophe, ein Cyberangriff etc. Szenarios, die wir uns im Moment noch gar nicht vorstellen können, wurden nicht genannt

Es geht nicht darum, Angst zu haben, es geht nur darum, besser vorbereitet zu sein. Dafür eignet sich ein Notfallplan, ein sog. Incident Response Process, schließlich hat auch jeder einen Notfallplan für einen Brand im Unternehmen, oder? Ich würde dazu raten, jetzt nicht in Schockstarre zu verharren, sondern aus den Fehlern, Unsicherheiten, fehlenden technischen Voraussetzungen etc. zu lernen und das nächste Mal besser vorbereitet zu sein. Natürlich hoffen wir, dass wir den Plan gar nicht erst brauchen, trotzdem ist es besser, überhaupt einen zu haben.

Über den Datenschutz im Homeoffice muss man sich auch Gedanken machen, trotzdem behaupte ich mal, dass wir momentan alle damit beschäftigt sind, Existenzen und Arbeitsplätze zu retten, wenn wir dann mal nicht soooo perfekt sind wie sonst, shit happens. Wenn wir wieder durchatmen können, machen wir es besser. VERSPROCHEN!

In Kürze hier: Ein paar Infos zur Aufstellung eines Notfallplans.

Vielleicht auch interessant:

https://cheyenne-blog.de/tag/incident-response-prozess/
https://cheyenne-blog.de/cyber-angriff-auf-franzoesischen-fernsehsender-scheucht-alle-auf/

Der Beitrag Datenschutz im Homeoffice erschien zuerst auf cheyenne-Blog.

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

• Machen doch alle, dann muss es doch sicher sein
• Microsoft, ist doch der Größte, die müssen es doch wissen usw.
• Ohne WhatsAPP kann man keine Photos schicken
• bei uns ist doch nichts zu holen
• geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht

Der Beitrag Office 365 stell Dir vor, keiner macht mit? erschien zuerst auf cheyenne-Blog.

Aktuell wird überall über einen Datenklau im großen Stil berichtet. Alle Medien sind voll davon, wie schön, es wird nicht langweilig. Es sollen von 1000 Personen des öffentlichen Lebens, also Politikern, Internetstars und anderen Prominenten Daten veröffentlicht worden sein.

Dies soll bereits im Dezember in einer Art Adventskalender bei Twitter passiert sein. Schnell wurde auch ein Verdächtiger ermittelt. Es soll sich um einen bei den Eltern lebenden und in Ausbildung befindlichen 20-jährigen handeln.

Na, das ging schnell!

Die Angelegenheit wird bekannt und ein Verdächtiger wird schnell präsentiert, ok. Als Motiv wurde bei einer Pressekonferenz heute bei Phönix Unzufriedenheit mit Politikern genannt. Warum also das Interesse an den anderen Daten oder einfach, weil man sie so einfach bekommen konnte?

Was wurde denn überhaupt gestohlen bzw. veröffentlicht?

Der Datenklau bei Politikern und anderen bezieht sich nach einem Phönix-Bericht hauptsächlich auf Kontaktdaten, Bilder, Dokumente, also selber eingestellte, nicht verschlüsselte Daten. Googelt man einige der genannten Politiker, so findet man schnell überall auch private Kontaktdaten. Worum geht es also? Ist es einfach nur der Schock über diesen Datenklau? Handelt es sich um einen Diebstahl, wenn man alles auf die Strasse wirft oder bekommt man auch einen Finderlohn fürs Aufsammeln? Wenn sich alles so verhält, wie es gerade berichtet wird, kann man ja nur dankbar sein, darauf aufmerksam gemacht worden zu sein.

Technische Möglichkeiten

Welche technischen Möglichkeiten hat der „Tatverdächtige“ denn genutzt? Das weiß man natürlich nicht so genau, aber wenn man mal schaut, wie einfach man an einige dieser Daten gelangen kann und dann noch den genannten recht langen Tatzeitraum anschaut, dann könnte er sie theoretisch auch abgeschrieben haben. Wenn wir die Geschichte so glauben, kann also nicht von großer Professionalität die Rede sein. Auch konnte man ihn ja schnell ermitteln, also kein Tor Browser oder ähnliches?

Eigenverantwortung

Eine weitere Frage, die sich mir stellt, ist die nach der Eigenverantwortung der Betroffenen. Schnell werden die Verantwortlichkeiten abgegeben, das BSI hätte etwas tun müssen, x und auch y haben versagt. Das finde ich wie immer schwierig.

Wenn es stimmt, dass es sich nur oder hauptsächlich um Kontaktdaten handelt, könnten die Betroffenen auch einfach einmal selber schauen, welche Daten, sie von sich selbst in welchen Netzwerken mit welchen Zugriffsberechtigungen posten. Auch geben sie ja sicher Visitenkarten aus, wo landen die Daten auf diesen Karten, das sollte man, wenn es einem wichtig ist, auch einmal kritisch hinterfragen.

Auch die Frage, wo man denn Daten aufbewahrt, sollten die Betroffenen sich stellen. In irgendwelchen dubiosen Clouds, iCloud, Dropbox? Versand über Webmailer, die nach eigenen Angaben Inhalte von Mails mitlesen? Ist das Datenklau, wenn man alles freiwillig veröffentlicht?

Wenn es vielelicht nicht nur um Kontaktdaten geht, ist dann auch Verantwortung im Amt und Geheimhaltung von Interna ein Thema? Wie gehe ich mit sensiblen Daten um, die mir als Politiker anvertraut wurden?  Wo speichere ich diese? Übernehme ich Verantwortung für die mir zur Verfügung gestellten Daten? Habe ich meiner Sorgfaltspflicht genügt?

Vor allem handelt es sich ja um private Accounts!

Und dann die Passwörter? Für alles das Selbe, weil es ja so schwierig ist, sich alles zu merken? Also ich weiß nicht, mir scheint es recht einfach, es werden Daten bekannt und ich schieße auf das BSI und andere, statt mich an die eigene Nase zu fassen? Oder verlasse medienwirksam irgendwelche sozialen Netzwerke?

Gut gebrüllt Löwe!

Wenn man schon auf das BSI schießt, könnte man doch einfach einmal die von diesem Amt herausgegebenen BSI-Grundschutzkataloge lesen und schauen, was man davon selber umsetzen möchte. Gerade als Politiker könnte man doch die Möglichkeiten des Staates nutzen, um mit gutem Beispiel voran zu gehen.

Für mich scheint diese Angelegenheit momentan sehr unvollständig und unplausibel. Ich werde beobachten, was daraus wird.

Zum Weiterlesen:

Vergabe von Passwörtern
Die Datenschutzerklärung von google
Facebookdatenanalyse
BSI private User

Der Beitrag Datenklau bei Politikern erschien zuerst auf cheyenne-Blog.

Jedes Jahr lädt der niedersächsische Verfasssungsschutz zu einer Wirtschaftsschutztagung ein. Hier ein wenig Branchengeflüster als Zusammenfassung der Tagung, natürlich wie immer gespickt mit einigen Ergänzungen bzw. Anmerkungen.

Begrüßung

Die größten Schwachstellen sind in Reihenfolge:

1. Fehlverhalten von Mitarbeitern
2. Fehlkonfigurationen von Software und Geräten
3. Nichteinspielen der erforderlichen Sicherheitspatches

Weltweit sind heute ca. 800.000.000 (ja Millionen) Schadprogramme bekannt. Jeden Tag kommen ca. 400.000 neue hinzu. Die Angriffspunkte mehren sich, da jeder immer noch mehr mobile Endgeräte benötigt, wie z.B. Smarthome, Alexa, Kaffeemaschinen etc.

Es stellt sich die Frage, ob wirklich jedes Gerät vernetzt sein muss.

Mehr Geräte – mehr Angriffspotenzial.

Keynote der Wirtschaftsschutztagung von Boris Pistorius

Die Keynote der Wirtschaftsschutztagung wurde gehalten von unserem niedersächsischen Minister für Inneres und Sport Boris Pistorius.

Boris Pistorius wagte einen Ausblick, was uns in 10 Jahren erwartet. In 10 Jahren werden wahrscheinlich alle oder fast alle Desktop PCs durch mobile Endgeräte ersetzt sein. Gespeichert wird in der Cloud. Hier stellt sich die Frage, was ist mit Sicherheit und informationeller Selbstbestimmung?

Nach einer Bitcom Studie haben
68% der Unternehmen Schäden im Bereich Cybercrime zu verzeichnen
19% vermuten, dass ein Angriff stattgefunden hat.

Anmerkung: Natürlich im Zeitalter des Cybercrimes werden Daten meist nicht gestohlen, sondern dupliziert. Manch einer bekommt das gar nicht mit.

Viele Angriffe werden gar nicht erkannt oder erst viel später. Betroffen ist vorrangig der Mittelstand. Der Mittelstand, der Bestandteil von Lieferketten der Industrie ist, ist Einfallstor für Cyber Kriminalität. Über den Mittelstand gelingt der Zugriff auf Großunternehmen.

Unternehmer müssen sich besser vorbereiten. Wichtig sind hier die Themen IT-Infrastruktur, Beratung und auch Vernetzung mit Fachleuten, so wie hier auf der Wirtschaftsschutztagung.

Durch Cybercrime können unser Wohlstand und unsere Sicherheit nachhaltig gefährdet werden. Angriffe auf kritische Infrastrukturen wie Krankenhäuser, öffentlichen Nahverkehr u.ä. können lebenswichtige Versorgungsbereiche bedrohen.

Es wurden bereits Krankenhäuser komplett stillgelegt, z.B. in England und dies betraf auch OP-Säle und andere kritische Bereiche, nicht nur die Verwaltung.

Niemand ist vor Angriffen gefeit, auch nicht Experten. Wir haben hier 95% menschl. Versagen, man muss sich darüber klar werden, dass jeder einzelne Verantwortung trägt. Viele Angriffe funktionieren nach der Kombination digitaler Angriff/menschl. Handeln. Hier greifen 2 Dinge in einander, unzureichendes Sicherheitsverständnis und die mangelnde Einbindung von Mitarbeitern.

Boris Pistorius fordert eine Gewohnheit zur Cyberhygiene.

Dies sei eine gesamtgesellschaftliche Herausforderung. Alle müssen eingebunden werden. Die Privatwirtschaft muss eng mit den Behörden zusammen arbeiten. Die Behörden wollen Ansprechpartner sein.

Blockchain, Bitcoin und Smart Contracts

Zunächst wurden einige Erklärungen geliefert.

Bitcoin werden in Blockchain gespeichert und seien dadurch sicher. Blockchain sind Datencluster aus Blöcken einer bestimmten Einzelgröße von z.B. 1 MB. Hier werden Daten über einen SHA-256 Hash verschlüsselt gespeichert. Ist der Block voll, wird der Hash auf den nächsten Block übertragen, also eine Art Verlinkung, dort werden die weiteren Daten gespeichert. Weil alle Blöcke auf diese Art mit einander verbunden sind, ist diese Art der Speicherung sehr sicher. Durch die Dezentralisierung, im Prinzip kann jeder Blockchain Anbieter werden, gibt es keinen einzelnen Server, der alle Daten zusammenfasst, es handelt sich hier um ein verteiltes Netzwerk. Die Nodes (Einzelsystem) müssen eine Übereinstimmung von 51% haben, ein manipulierter Node wird aus der Kette ausgeschlossen.

Eine kleine Bitcoin-Statistik:

1 Block – 1,02 MB
1 Blockchain – 185 GB
akt. Transaktionen -500.000/Tag
Transaktionszeit – 9 Minuten (mit 3 Bestätigungen)
Median Grunsgebühr – 0,6 USD
Bitcoins sent pro 24 h – 1 Mio BTC + 4,2 Mrd. USD
Marketcap 130 Mrd USD  (Vergleich Gold 700 Mrd)
Die Bitcoin Blockchain umfasst zur Zeit 12-12.000 Nodes.

Anfang der 90-er Jahre war das www ein abstraktes Konzept ohne leicht erkennbaren Anwendungsbereich. So ist es auch mit Blockchain. Trotzdem ließen sich hiermit in Verbindung mit dem Blockchain Konzept zahlreiche sichere Anwendungen abbilden:

• Führung von Registern, z.B. Handelsregister
• Speicherung von Patientendaten
• Direktverkauf von Konsumgütern Künstler – Kunde
• eStrom Transaktionen
• ….

Bitcoin ermöglicht virtuelle Transaktionen. Die Eigenschaften von Bargeld und elektronischen Überweisungen werden verbunden. Das Konzept wurde 2008 von Satoshi Nakamoto entwickelt. Der 1. Block wurde am 03.01.2009 angelegt, der erste Verkauf fand am 22.05.2009 statt. In Berlin wurden 2 Pizzen für 10.000 BTC verkauft.

Der Gesamtwert von Bitcoin ist auf 21 Mio begrenzt, dies ist softwaretechnisch vorgegeben und kann nicht geändert werden. Es gibt keine Regulierungsmöglichkeiten. Es wird eine vollkommene interne Transparenz bei möglicher externer Anonymität geboten. Es gibt keine zentralisierten Ausgabestellen. Es gibt keine Zuordnung zu Personen oder Firmen. Der Zugriff erfolgt ausschließlich über Schlüssel.

Es gibt noch ca. 4.000 andere Kryptowährungen.

PApps und Smart Contracts

Hier handelt es sich um dezentralisierte Apps auf etherium Basis. Kleine Programme, die unantastbar und unmanipulierbar sind.

Smart Contracts

Werden verwendet zur Automatisierung von Dienstleistungsprozessen. Entscheidungen fallen vollautomatisiert anhand von Algorithmen.

Beispiel:

Ernteversicherung

Hier kann der Zeitraum eingegeben werden, es werden Wetterdaten für den Zeitraum automatisiert abgerufen, Prämie wird gezahlt oder nicht.

Genauso z.B. Flugausfallversicherungen u.ä. Dies kann zur Verschlankung von Prozessen und zu einer Kostenoptimierung führen.

Real World Cyber: Hintergründe, Ziele und Motivation stattlich gesponserter Angreifer

Hier ging es um Hacking im Regierungsauftrag. Es wurden einige Beispiele und deren Ziele genannt, z.B. Russland, Korea, China, USA

China – Panda

Wollen gerne im Cyberraum autonom sein. Verfügen über eigene IT-Fähigkeiten, haben eine zentrale Toolentwicklung für Angriffswerkzeuge. Ziel ist die Dominanz des Webs.

Es wird u.a. der 5-Jahresplan 2018-2020 verfolgt. „Industry made in China 2025“
Es gibt verschiedene Gruppen mit unterschiedlichen Aufträgen.

Zum besseren Verständnis, wie China tickt, wurde der Film „Der tausendköpfige Drache“ empfohlen.

Nord Korea – Chollima

Hier gibt es einen ganz klaren Devisenbeschaffungsauftrag.

Iran – Shamoon

Hier geht es um Öl, Gas, Kampf gegen Israel und nuclearen Vorsprung. In einem Racheakt gegen Saudi Arabien wurde mittels einem Cyber Angriff eine Unzahl von PCs verschrottet. Shamoon gegen Saudi Aramco.

Sie legen auch gerne honeytraps in social media Portalen, um Kontakt mir nützlichen Personen herzustellen.

USA – 5-eyes

Ein Spionagezusammenschluss von Kanada, USA, UK, Neu Seeland, Australien.

Hier ist das Ziel die Hoheit über den Cyberraum.

Es wurden einige interessante Anekdoten gebracht, wer was warum tut und auch wie infantil zuweilen vorgegangen wird.

Alles in allem eine lohnende Wirtschaftsschutztagung, mit und für  Fachpublikum.

Der Beitrag Wirtschaftsschutztagung am 26.11.2018 erschien zuerst auf cheyenne-Blog.

Kaspersky Anti Virus, hier handelt es sich um einen beauftragten Produkttest der Firma Kaspersky. Da dieser Blog einen hohen Anspruch daran hat, unabhängige Berichte zu veröffentlichen, dachten wir eine Weile darüber nach, was wir testen, ob wir testen und wie wir testen.

Schon wieder so ein Test, in dem ein  Virenscanner in Bezug auf die Erkennung von Viren gestestet wird? Ist das nicht furchtbar langweilig? Heute gewinnt x den Test und morgen y? Weil y etwas langsamer war, eine neue Virensignaturdatei zu  liefern? Och nee, sind ja auch schon Menschen an Langeweile gestorben, oder?

Wir zweifeln die Seriösität dieser Tests deutlich an, aber dazu unten mehr.

Ich fragte in den Seminaren, die ich gebe, ein wenig herum, weil ich herausfinden wollte, was die Leute interessiert. Und siehe da, hier kamen sehr interessante Anregungen:

Benutzerfreundlichkeit

• Wie bedienerfreundlich ist Kaspersky Anti Virus?
• Brauche ich Spezialkenntnisse, um alles zu konfigurieren?
• Kann Oma Meyer, die ihren PC nur nutzt, um mit den Enkeln zu skypen, damit umgehen?
• Läßt es sich leicht installieren?
• Wird der PC durch die Installation langsamer?
• reicht die kostenlose Version?
• was kann die Bezahlversion mehr?
• etc

technische Funktion

• Das Programm soll die Schadsoftware erkennen und entfernen
• Es soll immer auf dem neuesten Stand sein
• Es gibt ständig neue Viren, Trojaner etc., da kann ich mich nicht selber drum kümmern
• Ich bin darauf angewiesen, dass das Programm funktioniert
• ….

Genauso haben wir deshalb auch unseren Kaspersky Anti Virus Test durchgeführt. Wir haben uns entschieden, die o.g. Aspekte zu betrachten und die kostenlose Version mit der kostenpflichtigen Lizenz zu vergleichen, so wurde es dann auch mit dem Auftraggeber abgesprochen.

Auf der Download Seite ist allerdings keine kostenlose Version zu finden????? Ok, dann nehmen wir gleich die Bezahlversion. Der Lizenzkey wurde uns ja zur Verfügung gestellt, also los gehts.

Download und Installationsbeginn funktionieren ohne Probleme, allerdings müssen bereits vorhandene Virenscanner, sogenannte „inkompatible Software“ deinstalliert werden. Nach der Installation wird der Rechner neu gestartet , danach eine erneute Suche nach „inkompatibler Software“ gesucht, das dauert sage und schreibe 10 Minuten. An dieser Stelle habe ich irgendwie das Gefühl, ich hätte meinen Rechner langzeit-vermietet.

Nachdem der Prozess abgeschlossen ist, wird der Lizenzcode abgefragt, hier könnte ich nun auch die Testversion wählen. Aufgrund der Angaben gehe ich davon aus, dass es sich um eine zeitlich begrenzte Vollversion handelt, das spare ich mir also lieber. Der gewünschte Vergleich kann somit nicht so erfolgen, wie im Vorfeld besprochen…

Also gebe ich den gelieferten Aktivierungsschlüssel ein und wir verzichten auf den Test einer nicht vorhandenen kostenlosen Kaspersky Anti Virus Version.

Leider werde ich bei der Installation gezwungen, ein Benutzerkonto anzulegen, dieses muss dann auch noch per Mail bestätigt werden. Nun ja, hier kann ich die Erforderlichkeit nicht erkennen und bin etwas verstimmt. Andere Virenscanner kann ich über den Lizenzkey aktivieren und das wars, ich wette, die Adresse geht gleich ungefragt in den Werbeverteiler.

Erster Eindruck Kaspersky Anti Virus

Obwohl es mir persönlich nicht gefällt, dass  ich gezwungen werde, andere Virenscanner zu deinstallieren und die Software ohne ein Benutzerkonto nicht verwenden kann, macht das Programm auf den ersten Blick einen guten Eindruck. Es ist übersichtlich strukturiert, alle Funktionen sind schnell erreichbar, alles ok.

Es belastet die Systemressourcen nicht merklich, auf dem Dashboard sind die wichtigsten Punkte angeordnet.

Ich starte eine Untersuchung, des gesamten Systems. Nach einer halben Stunde sieht die Anzeige aus wie folgt. Die Untersuchung startete allerdings mit einer veranschlagten Zeit von 9 Stunden, nun wurde sie korrigiert.

Das Notebook, mit dem dieser Test durchgeführt wird, hat keine Installationen außer Office und Firefox. Da wären 9 Stunden Fahrradkurier verdächtig gewesen.

2 Stunden erscheinen mir für dieses spartanisch installierte Gerät trotzdem sehr lang. Immerhin, es wird keine Schadsoftware gefunden. Yeah!

Hier einige der möglichen Optionen:

benutzerdefinierte Untersuchung

Schnellüberprüfung, ok kennt man ja. Aber hier kann ich eine benutzerdefinierte Untersuchung einrichten, d.h. ich wähle genau die Verzeichnisse und Dateien, die untersucht werden sollen. Nicht verkehrt.

Untersuchung externer Geräte

Die Untersuchung externer Geräte eignet sich für den Scan von USB-Sticks, externen Festplatten u.ä. Kennt ja jeder, man bekommt einen Stick in die Hand gedrückt, von dem man mal schnell etwas laden soll.

Ich persönlich wünsche mir bei Virenscannern immer eine Möglichkeit des Externchecks, z.B: für Wepräsenzen. Hier haben wir aber die ganz spartanische Kaspersky Version, da kann man das nicht wirklich erwarten.

Berichte

Der Bereich Berichte liefert mir sehr übersichtlich, was das Programm tut, bzw. zuletzt getan hat.

Sehr übersichtlich und leicht verständlich.

Bildschirmtastatur

Den Bereich Bildschirmtastatur kann man erst nach einem erneuten Neustart verwenden.

Diese Funktion eignet sich für die Eingabe von Zugangsdaten für sicherheitsrelevante Webseiten, zum Beispiel banking.

Andere Scanner machen beispielsweise einen geschützten Browser auf, um Banking Daten zu schützen.

Kaspersky Anti Virus Browser AddIn

Kaspersky Anti Virus klinkt sich auch in den Browser ein, ich erwarte die Blockierung von Popups, Erkennung irgendwelcher Skripte, die ich nicht geladen habe etc. Aber soweit komme ich gar nicht.

Diese Meldung ist nun sehr verwirrend, „another Program?“ Welches denn? Ist es Kaspersky selber? Wenig bis gar keine Information. Nachdem ich cancel wähle ist klar, dass ich das Kaspersky Browser Addin deaktiviert habe, es handelte sich also um Kaspersky Anti Virus selber, das die Berechtigung angefragt hatte.

„Access your data for all websites“ Um welche Daten geht es denn hier genau? Ok, das fragte ich mal auf der Webseite nach. Hier gibt es einen Chat, Anna meldet sich, sobald man sich auf der Kaspersky Webseite befindet:

Schnell wird klar, das kann man getrost vergessen. Anna ist völlig unbrauchbar. Anna ist ein schlecht gemachter Automat.

Ich schau mal auf der Webseite nach einer ordentlichen Supportmöglichkeit. Das ist offensichtlich nicht erwünscht, man muss sehr geduldig sein und viele Klicks hinter sich lassen, bis man etwas findet.

Technischer Support, die werden mir sicher sofort sagen können, was ich wissen möchte.

Ok, nach 6 Minuten kommt eine Antwort, es scheint ein Mensch dahinter zu stehen. Ich muss Programmversion und schon wieder meine Mailadresse angeben.  Es folgt viel Herumgeeiere, eine Antwort erhalte ich allerdings nicht.

„Es handelt sich um eine autom. Browsermeldung, Kaspersky hat damit nichts zu tun“.

Auf meinen Hinweis, dass die Berechtigungen, die angefragt werden, von dem AddIn angefragt werden, kommt auch keine Antwort. Ich schlage also vor, meine Anfrage zu recherchieren und dann zu beantworten. Ich weise noch darauf hin, dass ich das unbedingt wissen möchte. Der Mitarbeiter willigt ein. Ich erhalte nur wenig später die Nachricht, dass das Ticket geschlossen wurde.

Fazit

Die Software ist genau das, was meine Kursteilnehmer sich gewünscht haben. Sie läßt sich einfach installieren, ist leicht zu bedienen, genau das, was man möchte. Ein Virenscanner soll schließlich im Hintergrund aufpassen und ansonsten unauffällig sein. Es kostet rund € 30,- für ein Jahr ist auch ok, wobei andere Produkte für diesen Preis weit mehr Funktionen bieten.

Mir persönlich gefällt allerdings überhaupt nicht, dass ich mir ein Sicherheitsprodukt kaufe, dass dann auf meine Daten zugreifen will, ich aber als normaler User nicht herausfinden kann, auf welche Daten es zugreift. Das widerspricht meinem Sicherheitsgedanken, ich gebe schließlich die Verantwortung an ein kommerzielles Produkt ab. Wenn man schon einen technischen Support anbietet, dann sollte sich dieser etwas bemühen, ernst gemeinte Anfragen auch zu beantworten, ganz besonders, wenn es um undurchsichtige Zugriffe geht. Um Zugriffe dieser Art zu unterbinden habe ich schließlich einen Virenscanner, wenn der sich aber selber so verhält, dann habe ich vielleicht den Bock zum Gärtner gemacht.

Das hält mich eindeutig davon ab, dieses Produkt weiter zu verwenden.

Kaspersky flutet uns wie erwartet mit Werbung, sehr unschön. Schade, dass diese Vermutungen sich immer bewahrheiten.

Testberichte

Hier noch ein aktueller Test zur Erkennung von Viren. Das hier für den Test lizensierte Produkt ist leider nicht dabei, sondern nur eine Version höher:

https://www.bundespolizei-virus.de/virenschutz/

hier noch ein anderer Test. Im Vergleich kann man gut die Art der Auswertung erahnen.

https://www.testit.de/tag/virenscanner-1347459.html

Schaut man sich 5 verschiedene dieser Tests an, ist man am Ende ratlos. Aus unsererer Erfahrung ist das Ranking eng mit dem entsprechenden Marketing verbunden. Die Quote wurde von uns bewußt nicht untersucht, dann wäre der Test hier anders ausgefallen.

Für die Bereinigung virenbefallener Kundensysteme nutzen wir ein Produkt, dass bei dem einen Test sehr gut abgeschnitten hat und bei dem anderen nicht so gut. Wir konnten damit bisher immer jegliche Schadsoftware entfernen, mit den beiden anderen Produkten, die wir zur Sicherheit zusätzlich verwenden, nicht, obwohl diese zum Teil besser abgeschnitten haben.

Der Beitrag Kaspersky Anti Virus * ein Produkttest erschien zuerst auf cheyenne-Blog.

Der 12. europäische Datenschutztag stand unter der Schirmherrschaft der Landesdatenschutzbeauftragten von Niedersachsen Barbara Thiel. Er fand zum Thema digitale Souveränität in der niedersächsischen Landesvertretung in Berlin statt.

Die Eröffnung durch Barbara Thiel

Die Eröffnung sprach Frau Thiel, wie gewohnt zuversichtlich in Bezug auf das schwierige Thema.

Die Vortragenden sprachen unter anderem davon, dass die DSGVO die Chance bietet, eine Art Datenschutzkodex zu etablieren. Es geht um Menschenwürde, freie Entfaltung der Persönlichkeit und Persönlichkeitsrechte auch im Web. Deutschland ist hier ein Vorreiter. Bisher haben von den Mitgliedsstaaten nur Österreich und Deutschland die DSGVO in nationales Recht umgesetzt. Wir können froh sein, Europa ist momentan der Maßstab für den Datenschutz und hat damit die Chance, diesen Standard auf Themen wir künstliche Intelligenz, elektronische Beweisführung u.ä. anzuwenden.

Ja, digitale Souveränität, ich hatte ja bereits vor der Veranstaltung meine Gedanken dazu kundgetan .

Interessant war der Vortrag von Frau Renate Nikolay. Kabinettchefin der EU-Kommission für Justiz, Verbraucherschutz und Gleichstellung. Auch sie sprach von einer europäischen Datenschutzkultur über die selbst Unternehmen wie Facebook & Co. froh sind, da sie nun einen Standard anwenden können, der weltweit anerkant ist.

personenbezogen – nicht personenbezogen

Prof. Dr. Nikolaus Forgó von der Universität in Wien sprach darüber, dass es schwer ist, personenbezogene Daten von nicht personenbezogenen Daten zu trennen. Er brachte das Beispiel einer Fitness-APP, die die „anonymisierten“ Nutzerdaten dazu verwendet, Kartenmaterial zu erweitern. Oftmals ist es eben durch die kluge Verkettung von vermeintlich nicht personenbezogenen Daten möglich, die tatsächliche Person zu identifizieren.

Er nannte vermeintlich kostenlose Dienste „over the top“ Dienste. Der Preis für die kostenlosen Dienste sind die Daten.

Auch nichts Neues, nur neue Beispiele, sehr kurzweilig vorgetragen.

netzpolitik.org hat das Beispiel sofort aufgegriffen

Algorithmenethik

Dr. Sarah Fischer von der Bertelsmannstiftung sprach über Algorithmenethik.  Algorithmenbasierte Systeme haben den Zweck, Diskriminierungen zu vermeiden, trotzdem kämen Diskriminierungen vor. Sie nannte ein Beispiel aus den USA, in dem Menschen mit dunkler Hautfarbe diskriminiert wurden. Hier stellt sich mir sofort die Frage, warum man die Hautfarbe erfassen muß, wofür benötigt man diese Information? Also eigentlich überhaupt kein Agorithmenproblem, sondern ein Prozessproblem. Sie schlug unter anderem vor, den Quellcode von Softwareprodukten durch Experten genauer auf Schwachstellen, die zu Diskriminierungen führen können, genauer zu untersuchen.

Nun, ja, als Softwareentwickler hat mich dieser Vortrag in Erstauen versetzt. Ich entwickle Software seit 1986, diese Herangehensweise erscheint mir in einer Kurve hängengeblieben zu sein. Der Auftraggeber bestimmt die Algorithmen und der Kontrollzwang wohnt eben in jedem Menschen, natürlich werden Algorithmen bewußt dazu genutzt, um vermeintlich nicht beeinflußbare Auswahlverfahren dazu zu nutzen, eben doch die gewünschte Auswahl zu treffen. Hier hilft die Überprüfung der Anwendung zum Thema Datensparsamkeit.

Eher ein Vortrag mit sozialwissenschaftlicher Herangehensweise.

netzpolitik.org

Ein Highlight während des europäischen Datenschutztages war für mich Markus Beckedahl von netzpolitik.org. Mir gefiel auch, dass dies kein Vortrag war, sondern mit dem Moderator der Veranstaltung als Gespräch gestaltet wurde. Hier kamen Statements aus der Praxis, auch die Ambivalenz zwischen gesetzlichen Datenschutzregelungen und wirtschaftlichen Interessen wurde thematisiert. Hier wurden unsere Kanzlerin Frau Merkel und Herr Dobrindt zitiert, die natürlich in Bezug auf die Daten gerne aus dem Vollen schöpfen würden und die DSGVO mehr als Wirtschaftsverhinderungsinstrument ansehen. Natürlich, auf der einen Seite ist Datenhaltung wichtig für die Unternehmen, auf der anderen Seite steht der Datenschutz. Ein Drahtseilakt…

Ach, was könnte man mit Mautbrücken alles erfassen…

Europ. Datenschutztag – Mein persönliches Fazit

Der Datenschutztag war eine schöne Veranstaltung, sehr gut moderiert, interessante Redner. Leider war das Meiste einigermaßen praxisfern. Was mich gestört hat, ist die einseitige Betrachtung der Verantwortung. Die Regierung muss, die Unternehmen müssen, DSGVO soll regeln etc. Ich bin der Meinung, dass derjenige, der digitale Souveränität möchte, auch in die Pflicht genommen werden muß.

Wir werden alle mit Intelligenz geboren, lesen lernen wir in der Schule, jeder kann sich informieren. Immer anzuprangern, dass Schulen, die Regierung und R2D2 (oder wer auch immer) nicht genügend tun, finde ich einseitig und sehe es als ganz großes Problem in unserer Gesellschaft an. Wir sind eine Gesellschaft von Konsumenten geworden, immer meckern und schimpfen, aber nie selber Verantwortung übernehmen.

Wenn ich alle meine persönlichen Daten bei Facebook hochlade, dann habe ich mich selber aktiv dafür entschieden. Wenn ich Alexa nutze, ist nicht Amazon schuld, sondern ich habe es gekauft und Punkt. Und wenn ein Schaden entsteht, habe ich es wahrscheinlich einfach nur hingestellt und angeschaltet, mich aber nicht genügend damit auseinandergesetzt.

Ich übertreibe bewußt etwas, aber diese einseitige Verantwortlichkeit geht mir ganz entschieden gegen den Strich. Wir haben gute Gesetze, es ist aber auch eine Bürgerpflicht sich zu informieren. Souveränität eben! Wir können kein Gesetz erfinden, dass mich vor mir selbst schützt.

Es gab doch mal den Schnack: Unwissenheit schützt vor Strafe nicht.

Natürlich, Datenschutz durch Technik unterstützt die digitale Souveränität. Es ist gut, wenn die Grundeinstellungen zum Schutz der Nutzerdaten grundsätzlich sehr streng sind und ich sie als Nutzer dann lockern kann. So etwas sollte auf jeden Fall unterstützt werden.

Datenschutz durch Verantwortung?

ABER: Wenn sich die Menschen nicht informieren, ist nicht automatisch „werauchimmer“ schuld. Genau diese Menschen schaffen es ja sonst auch, sich über Ihre bevorzugten Themen zu informieren, Sport, Urlaub etc. Datenschutz ist einfach langweilig, ist ja klar, aber man kann nicht die Verantwortung abgeben. Bevor man die Dienste nutzt, kann man auch mal den „Beipackzettel“ lesen,

Eins meiner Lieblingsbeispiele: googlemail. Google hat in seinen Datenschutzbedingungen stehen, dass sie Inhalte von Mails lesen (ja, ja um die Werbeangebote zu verbessern und so). Wie viele Menschen kennt ihr, die ein google Mailkonto haben? Und jetzt mal, um zu provozieren, was passiert, wenn ihr zu einem solchen Nutzer nach Hause fahrt und dort die Post aufreißt? Ach, aber google darf das?

Der digitale Souveränität kann man sich meines Erachtens nur annähern, wenn man andere Geschäftsmodelle unterstützt. Ein Dienst, der kostenlos ist, kann dies nicht wirklich sein, das wäre nicht wirtschaftlich. Wir bezahlen den Dienst mit unseren Daten. Wenn ich meine Daten nicht hergeben möchte, dann muss ich dafür Penunzen, karibische Perlen etc. rüberrücken und gut. Früher haben wir auch Navigationsgeräte gekauft und für die Kartenupdates bezahlt. Wie oft nutzt Ihr jetzt den „kostenlosen“ google-Dienst maps? Die vielen Fernsehkanäle, die ihr vermeintlich benötigt, sind Euch ja auch ein paar Euros wert. Also entscheidet Euch souverän, welche Dienste Ihr nutzen wollt.

Sozusagen: Fairtrade im Internet, falls Ihr mir folgen könnt

Der Beitrag Europäischer Datenschutztag – eine Nachbetrachtung erschien zuerst auf cheyenne-Blog.

Sicher habt ihr sie auch bekommen, Kettenbriefe, über Facebook, WhatsApp, irgendwelche Messenger wie auch immer. Es ist ja auch total out, ein eigenes Bild mit einem eigenen Gruß zu versenden, man kann doch lieber wertfrei das nehmen, was einem jemand geschickt hat. Und ein Arbeitsauftrag ist auch gleich dabei, da macht man doch gerne mit, dabei sein ist alles. Alles andere wäre auch zu persönlich, es könnte falsch verstanden werden, man eckt an, wieder ein paar Freunde weniger. Ein schöner Kettenbrief, nach dem altbekannten Schneeballprinzip schafft Abhilfe.

Bei mir kamen Massen dieser Spams an, hier nur zwei Beispiele, ich bin sicher, Ihr kennt sie alle und die meisten von Euch haben sie, wie verlangt, weiterverteilt:

Anstatt eines persönlichen Grußes, geht es auch gleich los mit einer Aufforderung. Die Uhr soll man gar erst anklicken.

Ja, Ihr Lieben, bei mir versandet so etwas, NATÜRLICH! Ich klicke nicht an und ich leite auch nicht weiter, Ihr könnt das aber gerne tun

Ach, was könnte man damit alles machen…

Ganz früher, damals, Ihr wisst schon, so in den 90-er Jahren, da gab es mal ein Video „bad day“, das ist dieser Typ, der in einem Großraumbüro einen Wutanfall bekommt und seinen Rechner kurz und klein schlägt. Damals hatte man es ja noch nicht so mit Bandbreite und Rechnerleistung. Dieses Video hat damals, nur aufgrund seiner Größe, mehrere Hallen an verschiedenen Produktionsstandorten eines Automobilherstellers lahmgelegt. Und nur, weil jemand diesen infantilen Mist, nun so super lustig fand, er wurde dann als Folge davon fristlos entlassen.

Aber heute, ja heute, hätte man ganz andere Möglichkeiten

Mangels einer besonders entwickelten kriminellen Energie will ich es mal versuchen.

Ein Bot, wie wäre es mit einem Bot?

Ich könnte ein kleines Skript darin verstecken, das auf allen Rechnern, von denen es wunschgemäß empfangen, angeklickt, what ever wurde, einen Bot installiert. So könnte ich mein eigenes kostenloses Botnetz schaffen, um damit überleg, grübel, na sagen wir mal, alle Bridgeclubs in Bremen lahmzulegen, oder so.

Wie wäre es mit einem Verschlüsselungstrojaner?

Weihnachten war wieder mal teuer, mein Portemonnaie zeigt Ebbe. Wenn jeder, der die Kettenbriefe erhalten hat, also eins der kursierenden Videos und wahrscheinlich gibt es noch viele mehr, an mich € 5,-/zahlt, dann wäre alles wieder chic und ich könnte mir Silvesterknaller kaufen, tu ich nicht, aber könnte ich.

Wie wäre es mit einem Phishing-Skript?

Es ist ja viel zu mühsam für Euch, wenn Ihr alle € 5,- an mich überweisen müßt, Zeit ist Geld, ich könnte mir gleich Eure Zugangsdaten schicken lassen. Ist ja viel bequemer und es bleibt doch im „facebook“-Freundeskreis, oder?

Sonstige Ideen könnt Ihr sicher mit ein wenig Anleitung selber entwickeln.

Ich weiß, ich weiß, Ihr wolltet doch nur ein wenig Spaß haben. Könnt Ihr ja auch, aber bitte schickt mir sowas nicht, ich will das nicht haben. Es wurde zwar von einem Freund geschickt, oder wer war noch der Urheber, Herr Putin, nee der nicht, oder? Oder Kim Dingsda, der Eure Rechner benötigt, um seine Raketen zu steuern, nee war ein enger Freund, den Ihr persönlich kennt?

Also, es handelt sich um Kettenbriefe, um das gute alte Schneeballprinzip. Im ungefährlichsten Fall geht es nur um Adresslisten, aber es könnte auch um etwas anderes gehen.

Ich wünsche Euch allen einen guten Rutsch, ein gesundes und erfolgreiches Jahr 2018 und freue mich, darauf Euch alle im kommenden Jahr persönlich wiederzusehen.

trau schau wem, Eure Spaßbremse

Der Beitrag Der Kettenbrief, eine philosophische Betrachtung erschien zuerst auf cheyenne-Blog.

Die Medien berichten immer wieder über das sogenannte Darknet. Meistens wird es in Verbindung gebracht mit dem Anwerben von Hackern für dubiose Einbruchsversuche u.ä. Ist das Darknet nun generell etwas Kriminelles, muss ich da rein, soll ich vergessen, dass es das gibt, Fragen über Fragen..

Technisches

Das Darknet ist kurzgesagt, ein Bereich des Internets, sozusagen ein Netz im Netz. Es wurde von Menschen konzipiert, die endlich mal ganz „in Ruhe“ ihren meist unseriösen Geschäften nachgehen wollten. Im Darknet gibt es alles Mögliche:

• Hacker
• Waffen
• Drogen
• Auftragsmörder
• es gibt nichts, was es nicht gibt
• ach, geklaute Kreditkarten, fast hätte ichs vergessen

Und alles bequem vom Sofa aus. Ist natürlich alles nicht ganz ernst gemeint, wer meinen Blog öfter liest, versteht es.

Und wie komme ich nun rein?

Willst Du wirklich dahin? Also, wenn Du das wirklich willst, benötigst Du erstmal einen anderen Browser, den Tor Browser. Wer Harry Potter liest, wird in ihm den Portkey auf die dunkle Seite des Internets erkennen.

Übrigens kann man über den Tor Browser auch unerkannt auf unserer Seite der Macht, ach was, des Internets stöbern. Tor Browser und ein kostenloser VPN-Zugang und niemand findet den Besitzer des Rechners. Es sei denn letzterer stellt sich nun extrem ungeschickt an.

Tor wurde erfunden für unerkanntes Surfen im Netz der unbegrenzten Möglichkeiten.

Ich bin drin und nun?

Das Darknet ist ein Netz im Internet. Deshalb kann man alle erreichbaren Seiten auch von hier aus aufrufen. Die Adressierung für Seiten im Darknet ist allerdings eine andere.

Um im Darknet zu suchen, benötigst Du die Adresse der Suchmaschine Grams. Adressen in diesem Teil des Netz ändern sich aus „Sicherheitsgründen“ des öfteren. Die aktuellen Adressen einschlägiger Anbieter erhält man über die speziellen Foren. Für die meisten dieser Foren benötigt man eine Empfehlung, sonst wird kein Zugang gewährt. Man ist natürlich vorsichtig, uneingeladener Besuch der Polizei oder des Verfassungsschutzes ist meist nicht erwünscht.

Suchmaschine Grams

Kommt Dir bekannt vor? Na, sowas, das look and feel wurde an google angelehnt, so muss man sich gar nicht groß umgewöhnen.

Ich suche mal, wie vorgeschlagen nach Cannabis:

Und, was fällt sofort auf? Es wird sogleich eine Bezahlmöglichkeit über die Internetwährung BitCoins angeboten. Es gibt ein Ranking und ggf. Warnungen.

Hier ein „typisches“ Angebot:

Den Link und den Verkäufer habe ich herausgenommen

Hier nochmal die Eingangsfrage “ Ist das Darknet nun generell etwas Kriminelles, muss ich da rein, soll ich vergessen, dass es das gibt, Fragen über Fragen..“

Das entscheidet jeder für sich alleine Meine Leser sind schliesslich mündige Bürger, oder?

Der Beitrag Darknet – was ist das denn? erschien zuerst auf cheyenne-Blog.