- Anzeige -


Im Netz der Datensammler


Mythen rund ums Surfen im Internet: Die stille Gefahr des Sammelns von Profildaten im Internet
Wie Persönlichkeitsprofile gar nicht erst entstehen



Wie würden Sie reagieren, wenn die Dame an der Supermarktkasse über Ihre Probleme beim Wasserlassen Bescheid weiß? Oder der Metzger von nebenan über Ihre finanziellen Engpässe? Wahrscheinlich empört. In Zeiten des Internets ist es inzwischen jedoch ganz normal, dass Unternehmen und andere Organisationen bestens über private Dinge informiert sind. Denn bei jedem Ausflug ins Web hinterlassen Nutzer unbemerkt Spuren, die sich zu detaillierten Persönlichkeitsprofilen verdichten lassen. Diese Nutzerprofile können Informationen über Gesundheitszustand, politische Gesinnung oder sogar sexuellen Vorlieben enthalten. "Meine Daten sind sicher!" - Ein weit verbreiteter Irrtum. Genau wie andere Mythen, die sich in den Köpfen vieler Internet-Nutzer verankert haben.

Mythos 1: Die Daten sind in guten Händen
Die Erfahrung lehrt uns, dass gesammelte Daten fast immer früher oder später missbraucht werden. Selbst in den Händen von großen "seriösen" Unternehmen sind sie alles andere als sicher. Egal ob Postbank, Telekom, Sony oder sogar der deutsche Bundestag: Missbrauchsfälle von Verbraucherdaten gibt es immer wieder. Ursächlich ist meist der schlechte Schutz. So geraten Namen, Adressen, Geburtsdaten, Anmeldedaten und sogar Kontonummern millionenfach auf den lukrativen Schwarzmarkt für persönliche Daten. Hinzu kommt: Jedes US-Unternehmen muss die Dateien seiner Kunden herausrücken, wenn Geheimdienste wie die NSA anklopfen.

Mythos 2: Es werden sowieso nur "anonyme" Metadaten gesammelt
Datensammler sind besonders gierig auf sogenannte Meta- oder Verkehrsdaten. Dabei handelt es sich nicht um konkrete Inhalte, sondern vielmehr um Informationen, die Rückschlüsse auf ein bestimmtes Verhalten zulassen. Beispielsweise wann eine Person eine bestimmte Internetseite besucht hat. Mithilfe von Analysen lassen sich dann erstaunlich detaillierte Informationen erlangen. Eine Studie der Universität Stanford zeigte: Allein durch die Auswertung von Metadaten waren die Forscher über bestimmte Krankheiten und den Drogenkonsum freiwilliger Probanden im Bilde. Dazu kommt: Ein genaues Persönlichkeitsprofil lässt sich mit ausgeklügelten Algorithmen anhand von Metadaten jedes Internet-Nutzers bilden und eindeutig einer Person zuordnen.

Mythos 3: Tracking ist böse
Nicht immer. Techniken, die das Verhalten von Surfern auswerten, dienen oft zur Verbesserung von Internetseiten. So kann etwa ein Shop-Betreiber Probleme erkennen und so seine Website optimieren. Jedoch ist es eher die Regel als die Ausnahme, dass der Nutzer vermeintlich kostenlose Webseiten-Betreiber mit seinen Daten bezahlt. Einer dieser schwarzen Schafe unter den Trackern ist Google Analytics, wo es allein ums Abgreifen persönlicher Daten geht. Tracker wie Google Analytics verfolgen Surfer über sämtliche Websites und Geräte hinweg und erstellen so detaillierte Persönlichkeitsprofile. Beispiel: Wenn sich ein Nutzer etwa morgens über "Migräne" informiert, nachmittags nach örtlichen Ärzten sucht und abends "Spezialklinken für Hirntumore" recherchiert, weiß das Unternehmen genau Bescheid. Dieses Wissen verkauft es gewinnbringend an Werbekunden und andere Dritte.

Mythos 4: Persönlichkeitsprofile entstehen nur am Windows-PC
Der PC steht in der IT-Welt für das Sicherheitsrisiko schlechthin: Viren, Ransomware und Banking-Trojaner? Immer trifft es gefühlt Windows-Computer. Für Datensammler spielt es aber keine Rolle, mit welchem Gerät Nutzer ins Web geheb. Egal ob PC, Mac, Smart-TV, Spielekonsole, Tablet oder Handy, alle gesammelten Daten werden Geräte-übergreifend miteinander verknüpft und zu detaillierten Persönlichkeitsprofilen verdichtet.

Mythos 5: Apps sind harmloser als Internetseiten
Das Gegenteil ist der Fall Apps sind noch viel schlimmer. Denn im Vergleich zum Browser können sie proprietäre Protokolle zum Datenaustausch nutzen, um Schutzfunktionen wie Firewalls auszutricksen. So genießen sie oft zusätzlich Zugriff auf Positionsdaten, Kamera, Kalender und Kontakte. Das geschieht oft ohne Einwilligung des Nutzers. Obendrein lassen sich Daten über Kennziffern eindeutig einer bestimmten Person zuordnen. Zwielichtige App- Entwickler freut"s; Sie sammeln fleißig vertrauliche Daten, übermitteln die ungefragt an Dritte und machen kräftig Kasse.

Mythos 6: Gütesiegel schützen vor Datensammlern
Gütesiegel wie "Trusted Shops" oder "TÜV-Süd" suggerieren: Hier sind Kunden sicher. Das gilt aber nicht unbedingt für den Datenschutz. Wer auf einer Shop-Seite etwa Name, Anschrift und Email-Adresse eintippt, muss dem Betreiber vertrauen, dass dieser sich an die geltenden Datenschutzbestimmungen hält. Tests haben gezeigt, dass sich nicht alle daran halten. Hinzu kommt, dass Gütesiegel nichts darüber aussagen, welche Anbieter Nutzerdaten gewinnbringend weiterverkaufen.

Mythos 7: Cookies sind gefährlich
Cookies haben einen schlechten Ruf, doch tatsächlich nutzen professionelle Datensammler inzwischen ganz andere Werkzeuge. Der oft gut gemeinte Rat, Cookies generell abzuschalten, ist nicht nur ineffektiv in Puncto Datenschutz, sondern geht auch noch zu Lasten des Komforts: Internet-Seiten speichern dadurch keine Anmeldedaten, Warenkörbe oder Einstellungen mehr.

Mythos 8: Ich habe nichts zu verbergen
Wer soll schon etwas mit meinen Daten anfangen? Die interessieren doch keinen. Außerdem habe ich sowieso nichts zu verbergen. Zu sicher sollte man sich nicht sein. Ist für Krankenkassen etwa nicht der Gesundheitszustand von potentiellen Neukunden interessant? Oder für die Bank die Spielsucht? Oder für den Scheidungsanwalt die Anmeldung bei einem Seitensprungportal? Oder einem potenziellen Arbeitgeber die Mitgliedschaft in der Gewerkschaft?

Mythos 9: Daten sammeln dient der Sicherheit
Nicht nur Unternehmen, auch Geheimdienste setzen auf Profildaten. Das verbessere die Sicherheit, etwa vor Terroranschlägen, so der Irrglaube. Die Argumentation lautet oft: Wenn nichts passiert, dann haben wir das der guten Überwachung zu verdanken. Nach einem Anschlag werden dann die Forderungen nach noch mehr Überwachung lauter. Doch wie verhältnismäßig ist diese Forderung, wenn man bedenkt, dass das Risiko, an einer Pilzvergiftung oder im Straßenverkehr zu sterben, weitaus höher liegt als bei einem Terroranschlag?

Mythos 10: Ich kann nichts gegen die Datensammelwut tun
Das Internet generell zu verteufeln, ist keine Lösung. Die gute Nachricht: Schützen ist ganz einfach. Es gibt Lösungen, die schnell einsatzbereit sind und den gesamten Internet-Datenverkehr kontrollieren. Sie können bei allen angeforderten Seiten sämtliche Datenerfassungsdienste, Tracker und Werbung effektiv herausfiltern. Und das Beste: Der Schutz wirkt auf allen internettauglichen Geräten, egal ob Computer, Smartphone, Tablet oder Spielekonsole. (eBlocker: ra)

eingetragen: 19.07.16
Home & Newsletterlauf: 02.09.16


eBlocker: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

Böswillige Aktivitäten, die auf Homeoffice-Rechner abzielen

Unternehmen sollten wirksame Maßnahmen ergreifen, um ihr Unternehmensnetzwerk vor Bedrohungen zu schützen, wenn sich ihre Belegschaft verteilt und aus dem Homeoffice arbeitet. Die folgenden Empfehlungen gelten sowohl zum Schutz der Zugangsdaten als auch der Anwendungen. Der Remote-Zugriff auf Unternehmensressourcen bietet Angreifern die Möglichkeit, sich in die Belegschaft einzuschleusen. Die Implementierung einer Multifaktor-Authentifizierung (MFA) auf allen externen Unternehmensressourcen reduziert dieses Risiko erheblich. Unternehmen sollten nicht bei einer MFA aufhören, sondern zusätzlich eine Single-Sign-On (SSO)-Plattform implementieren, um Unternehmens- und Cloud-Ressourcen mit einer gemeinsamen Authentifizierungsquelle zu verbinden. Mitarbeiter werden eine einheitliche Berechtigungslösung zu schätzen wissen. Außerdem haben Administratoren so die Möglichkeit, die Verwaltung der Zugangsdaten zu zentralisieren und auf Missbrauch hin zu kontrollieren.

Malware mit Coronavirus- bzw. COVID-19-Bezug

Plötzlich spielt sich das ganze Leben online ab. Nie zuvor waren die vernetzte Welt und die Möglichkeit, online zu kommunizieren, Kontakte zu knüpfen, zu arbeiten und Geschäfte zu tätigen, so präsent und entscheidend wie heute. Auch wenn dieses neue Vermögen auf den ersten Blick beeindruckend erscheint, muss man sich der Realität stellen: Egal wo wir Menschen uns aufhalten, die Cyberkriminalität ist nicht weit entfernt. Denn wenn sich die Gelegenheit bietet, eine bestimmte Situation auszunutzen und Menschen dazu zu verleiten, persönliche Daten preiszugeben oder Überweisungen zu tätigen, kann man davon ausgehen, dass Cyberkriminelle nicht weit entfernt sind. So gab es bereits Beispiele für Schadprogramme mit Coronavirus- bzw. COVID-19-Bezug, die sich das Virus zu Nutze machen: bösartige Dateien wurden in Dokumenten versteckt, die vermeintlich in Zusammenhang mit der Krankheit stehen. Die Möglichkeiten, in der aktuellen Lage die Online-Sicherheit der Nutzer zu gefährden, sind damit allerdings noch nicht erschöpft.

Zugriffsrechte müssen beschränkt sein

Das Coronavirus sorgt von Tag zu Tag für immer höhere Infektionszahlen, was drastische Gegenmaßnahmen zur Folge hat: Um der weiteren Ausbreitung entgegenzutreten, müssen Geschäfte, Restaurants sowie sonstige öffentliche Einrichtungen schließen. Unternehmen senden ihre Mitarbeiter ins Home Office. Aufgrund der ohnehin außergewöhnlichen und teilweise überfordernden Situation sollten Unternehmen und Arbeitnehmer sich nicht noch zusätzliche Sorgen um die IT-Sicherheit im Home Office machen müssen. Die IT-Sicherheitsexperten von Hornetsecurity haben dafür einige Empfehlungen parat.

Schwachstellen in Remote-Access-Lösungen

In einer Zeit, in der viele Unternehmen massiv und kurzfristig auf Heimarbeit setzen, warnt Radware davor, ohne entsprechende Vorbereitung Remote-Zugänge zu kritischen Anwendungen einrichten. Wenn es darum geht, einer möglichst großen Zahl von Mitarbeitern zu ermöglichen, ihre Aufgaben so weit wie möglich aus der Ferne zu erledigen, wird die Wahl in der Regel auf Remote-Desktop- (RDP) und Unternehmens-VPN-Lösungen fallen, die den Remote-Benutzer direkt an das Netzwerk und die Server der Organisation binden. Allerdings sind Fernzugriffslösungen seit vergangenem Jahr immer umstrittener geworden, da VPNs zum Angriffsvektor der Wahl für laufende Angriffe von APT-Akteuren (Advanced Persistent Threat) geworden sind. Microsofts Remote-Desktop-Lösung, die auf dem Remote-Desktop-Protokoll (RDP) basiert, war Gegenstand einer Warnung der Nationalen Security Agency in den USA, die aufzeigte, dass knapp eine Million internetfähige Rechner für die BlueKeep-Schwachstelle anfällig sind. RDP ist auch seit Jahren der bevorzugte Angriffsvektor für Lösegeldforderungen.

Fünf Mythen über DDoS im Jahr 2020

DDoS-Angriffe verändern sich, und obwohl man glauben könnte, dass sie bereits der Vergangenheit angehören, ist dies nicht der Fall. Radware kommentiert die fünf wichtigsten DDoS-Mythen des Jahres 2020. Laut Radwares Global Application & Network Security Report 2019-2020 erlebte etwa ein Drittel der Befragten während der letzten 12 Monate mindestens einen Denial-of-Service (DDoS)-Angriff. Die Angreifer haben dabei weniger als früher auf einfache volumetrische Floods gesetzt, sondern konzentrierten sich auf ausgeklügelte, schwieriger zu verteidigende DDoS-Angriffe auf der Anwendungsebene (Layer 7). Nach Radwares Untersuchungen lagen 90 Prozent der Angriffe unter 10 Gbps, und die durchschnittliche Zahl der Pakete pro Sekunde (PPS) ging zurück, aber fast alle Befragten (91 Prozent), die über einen DDoS-Angriff berichteten, gaben an, dass der bevorzugte Angriffsvektor die Anwendungsschicht sei.

- Anzeigen -

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>


Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

- Anzeige -

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.