Was Unternehmen bei Windows 10 beachten sollten

Das Betriebssystem Windows 10 steht seit seinem Erscheinen in der Kritik von Datenschützern – nicht gänzlich zu unrecht. Wir zeigen auf, worauf Unternehmen achten sollten. Denn Windows 10 kann arbeits- und datenschutzrechtliche Probleme verursachen.

Windows 10 steht in der Kritik der Datenschützer. Das System gebe zu viele Informationen über seine Benutzer preis, Verbraucher hätten zu wenige Möglichkeiten, um die Datenweitergabe zu kontrollieren. Stimmt das? Und wenn ja, was bedeutet das für den Einsatz von Windows 10 in Unternehmen?

Windows 10 im Visier von Datenschützern und Sicherheitsspezialisten

Vom Sprachassistenten Cortana über Updates bis hin zur Datenübermittlung finden sich viele Gegenstände der Kritik. Einige sollen näher beleuchtet werden.

Datenübermittlung unsicher

Microsofts Anwendungen arbeiten mittlerweile, wie das Betriebssystem generell, standardmäßig mit Cloud Computing. Zu den Daten, die regelmäßig an andere Server übermittelt werden, zählen u.a. Informationen über Anwendungen, Anfragen an den Sprachassistenten Cortana, besuchte URL, aber auch WLAN-Schlüssel, Passwörter und User-ID. Problematisch ist hierbei nicht nur, dass die Übermittlung voreingestellt ist und nicht abgestellt werden kann. Zum einen bleibt noch unklar, für wie lange Microsoft diese Daten speichert und wie sie genau verwendet werden. Der Konzern spricht lediglich von der Verbesserung des „Benutzererlebnisses“.

Zum anderen verzichtet Microsoft auf ein sog. Zertifikat-Pinning. Der auch „HTTP Public Key Pinning“ genannte Mechanismus sichert das HTTPS-Protokoll gegen Man-in-the-Middle-Angriffe mittels gefälschten Zertifikaten ab. Ein Verzicht darauf macht ein Abgreifen der Daten ohne großen Aufwand möglich. Gerade hier findet sich ein ernstzunehmender Risikofaktor für Unternehmen – nicht zuletzt wegen stetig steigender Fälle von Wirtschaftsspionage.

Windows 10 in Unternehmen – Verstoß gegen Arbeitnehmerrechte?

Der Umfang und die Art der an Microsoft übermittelten Daten können für Unternehmen aber nicht nur hinsichtlich ihrer Geschäftsgeheimnisse problematisch sein. Unter Umständen könnte der Einsatz von Windows 10 in Firmen gegen Arbeitnehmerrechte verstoßen. Das für Microsoft zuständige Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat diesbezügliche bereits eine Prüfung eingeleitet. Womöglich übermittle Windows 10 derart viele Daten und führe sie in einer Weise zusammen, dass die Erstellung eines Nutzerprofils des Arbeitnehmers denkbar ist.

Davon betroffen sind aber nur die Home- und die Pro-Version des aktuellen Betriebssystems. Die Enterprise-Version ermöglicht das völlige Abschalten des fraglichen Datenverkehrs, sodass zum Einsatz dieser Version im Unternehmen geraten werden kann.

Anfälligkeit für Cyber-Kriminalität

Windows 10 ist in einigen relevanten Punkten anfällig für gezielte und professionelle Cyber-Kriminalität. Das oben beschriebene Problem des fehlenden Zertifikat-Pinnings erlaubt das Mitlesen des Passwortes, bspw. beim Anlegen eines neuen Benutzeraccounts.

Zudem übermitteln die Office-Anwendungen von Microsoft faktisch sämtliche Daten: gesamter Pfad, Dateiformate und Benutzer. Die Sicherheitsforscher weisen auf ein durchaus ernstzunehmendes Problem hin. Ab einer kritischen umfangreichen Menge an Daten und dem zusätzlichen Einsatz von den genannten Man-in-the-Middle-Angriffen ist ein sog. (Reverse) Cloud Poisoning möglich. Dabei werden in den Datenverkehr zwischen Benutzer und Rechenzentrum bzw. Cloud falsche Daten eingespielt. Bei diesen Daten kann es sich um infizierte Links und Malware wie Spyware handeln. Cyber-Kriminelle können mit dieser Methode auch Dateien von strafrechtlicher Relevanz auf den Unternehmenscomputern hinterlegen und so massiven Schaden und Reputationsverlust herbeiführen.

BSI Jahresbericht 2016: Bedrohungslage steigt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Jahresbericht 2016 veröffentlicht. Fazit: Die Bedrohungslage für Unternehmen steigt. Teils blieben Gefahrensituationen unverändert kritisch, teils stieg die Qualität der Bedrohungen.

Die Bedrohungslage für Unternehmen im Bereich der Cybersicherheit ist dem BSI zufolge im Jahr 2016 gestiegen. Besonders sprunghaft haben Angriffe mit sog. Ransomware zugenommen. Dabei handelt es sich um Trojaner, die durch das Verschlüsseln von Dateien diese oder den ganzen Computer unbrauchbar machen. In der Regel wird zur Entschlüsselung Geld gefordert. Ein IT-System oder Teile davon werden folglich unbrauchbar gemacht, um den Besitzer erpressen zu können.

Bekannte Schwachstellen bleiben unverändert kritisch

Laut dem Bericht bleibt das Risiko bekannter Schwachstellen unverändert kritisch. Davon betroffen sind u.a. die gängigsten Software-Anwendungen, wie Betriebssysteme, Office-Produkte, Plug-Ins und Webbrowser, und Hardwareprodukte wie Breitbandrouter.

Des Weiteren stehen (professionellen) Angreifern immer noch – teilweise enorme – Bot-Netze aus gekaperten Geräten weltweit zur Verfügung. Damit bleiben Angreifer in der Lage, massenhaft infizierte Mails zu versenden oder große Ressourcen für DDoS-Angriffe zu bündeln. Gerade infizierte Mails sind ein beliebtes Einfallstor für Ransomware.

Das BSI kritisiert zudem, dass Anwender auch Standardsicherheitsmaßnahmen oftmals unzureichend oder gar nicht umsetzen. Die Zunahme von anonymen Zahlungsmethoden wie Paysafe-Cards oder Kryptowährungen wie Bitcoin machen es kriminellen Angreifern leichter, Angriffswerkzeuge zu verkaufen oder Erpressungen durchzuführen.

Handlungsempfehlungen für Unternehmen

Für manche Probleme im Bereich der Cybersicherheit gibt es Lösungen. Zwar sind Unternehmen bei Sicherheitslücken in Betriebssystemen oder Programmen von Drittanbietern auf Sicherheitsupdates angewiesen. Allerdings führt nicht jedes Unternehmen zeitnah solche Updates durch oder überprüft seine Systeme auf eventuell festgestellte Sicherheitslücken. Hier können Maßnahmen mit kleinem Aufwand bereits effektiv sein.

Unverändert relevant bleibt dem Bericht zufolge die Schwachstelle Mensch. Angriffe mittels Social Engineering bleiben attraktiv, ebenso Angriffe auf die Unternehmens-IT mittels infizierter USB-Sticks, Keylogger oder Mails mit Schadprogrammen. Die besten Sicherheitssysteme und Richtlinien büßen an Wirkung ein, wenn Mitarbeiter sie ausschalten bzw. nicht einhalten. Awareness und Schulung der Mitarbeiter bleiben hierbei die erfolgreichsten Methoden, um sich wirksam vor Angriffen zu schützen.

Jeder Zweite schließt unbekannte USB-Sticks an

Sicherheitsforscher von Google haben erneut die Awareness hinsichtlich unbekannter USB-Sticks getestet. Das Ergebnis: de facto jeder nimmt gefundene USB-Sticks mit, die Hälfte schließt sie an einen Computer an und öffnet Dateien.

Die Gefahr, die von unbekannten USB-Sticks ausgeht, ist seit langem bekannt. Angreifer infizieren sie mit Malware, Zero Day-Exploits oder Trojanern. Die Folgen können gekaperte IT-Systeme, infizierte IT-Strukturen, Wirtschaftsspionage und Datendiebstahl sein. Sicherheitsforscher des „Anti-Abuse Team“ von Google haben zum wiederholten Male getestet, wie Menschen mit gefundenen unbekannten USB-Sticks umgehen und welches Sicherheitsrisiko sie mit ihrem Verhalten für ein Unternehmen darstellen können.

Fast jeder steckt USB-Sticks ein, die Hälfte öffnet Dateien

Für ihren Test legten die Sicherheitsforscher 297 USB-Sticks auf öffentlichen Plätzen aus: Parkplätze, Universitätsgelände, Hörsäle und Flure. Auf diesen Sticks befanden sich HTML-Dateien, u.a. als JPEG und Word getarnt, die unerkannt Informationen an die Rechner der Forscher übermittelten und so bestätigten konnten, falls sie angeschlossen wurden. Das Ergebnis lässt bzgl. einer vorherrschenden Awareness skeptisch stimmen. De facto jeder nahm den gefunden USB-Stick mit (98 %), ca. die Hälfte (45 %) aller Personen schloss den USB-Stick an einen Computer an und öffnete hinterlegte Dateien. Bei einer anschließenden Befragung wollen die Forscher die Motivation der Testpersonen ermitteln. Von den Befragten gaben 68 % an, dass sie den Besitzer über die gespeicherten Dateien ermitteln wollten. Fast jeder Fünfte (18 %) gab zu einfach neugierig gewesen zu sein. Am häufigsten wurden Sticks auf Parkplätzen mitgenommen (53 %). War an dem USB-Stick zusätzlich ein Schlüssel befestigt, öffneten die Finder am meisten vorhandene Bilddateien, mutmaßlich um den Besitzer identifizieren zu können.

Awareness steigern, Angreifer können gezielt vorgehen

Die Ergebnisse dieser Studie lassen u.a. zwei Schlüsse zu.

Awareness der Mitarbeiter steigern

Die Awareness für das Risiko unbekannter USB-Sticks muss erhöht werden. Die meisten Angreifer kompromittieren Sticks mit Schadprogrammen, die von einem Virenscanner nicht entdeckt werden. Sicherheitsforscher kritisieren weiter, dass die Computersysteme so programmiert sind, dass sie USB-Sticks nicht ausreichend überprüfen. Solange dieser Zustand anhält bleibt Unternehmen kaum eine andere Möglichkeit, als ihre Mitarbeiter gezielt auf den Umgang mit unbekannten Datenträgern zu schulen. Die nun veröffentliche Studie zeigt deutlich, dass viele Personen noch nicht ausreichend für die Thematik sensibilisiert sind und so ein Sicherheitsrisiko für ihr Unternehmen darstellen.

Angreifer können gezielt vorgehen

Angreifer können gezielt mit infizierten Datenträgern vorgehen und sie tun es auch. Die Studie zeigt Hochrisiko-Orte sowie Hochrisiko-Szenarien. Auf Parkplätzen sind Findern am meisten geneigt, USB-Sticks mitzunehmen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen, nutzen Angreifer Firmenparkplätze. Sind die Parkplätze mit einer Zutrittskontrolle gesichert und schafft es ein Angreifer diese zu überwinden (bspw. mittels Social Engineering), dürfe die Bereitschaft sogar noch höher ausfallen.

Sind an einem Stick persönliche Gegenstände befestigt, wie vorliegend ein Schlüssel, zeigen die Testpersonen eine hohe Bereitschaft zum Öffnen von Bilddateien. Angreifer können ein solches Verhalten gezielt nutzen, um den Finder gezielt zu manipulieren. Um die Wahrscheinlichkeit zu erhöhen, können besonders unverdächtige Gegenstände verwendet werden. Ein Plüschtier könnte auf einen kindlichen Besitzer hinweisen, Werbemittel der eigenen Firma auf einen Kollegen, der auf dem Parkplatz seinen Stick verloren hat. Beide Beispiele lassen vermuten, dass der Finder das Risiko als sehr gering bzw. nicht existent einstufen wird.

Ein größeres Risiko entsteht zusätzlich dadurch, dass Angreifer diese Methode mit weiteren, wie Social Engineering, kombinieren können. Um sog. Zero Day-Exploits (Schwachstellen eines Programms, die bei Entwicklung nicht berücksichtigt wurden) auszunutzen, muss i.d.R. das verwendete Betriebssystem bekannt sein. Um dies herauszufinden können Social Engineers unter Vorspielen falscher Tatsachen in ein Unternehmen eindringen und so in Erfahrung bringen, welche Betriebssysteme zum Einsatz kommen.

Wir empfehlen daher eine intensive Schulung der Mitarbeiter, das Erstellen und Bekanntmachen von Richtlinien im Unternehmen, regelmäßige Tests und möglichst immer up to date zu bleiben.

Datenschutzverstöße in Krankenhäusern

Erneut haben das bayerische Landesamt für Datenschutzaufsicht (BayLDA) und der bayerische Landesbeauftragte für Datenschutz (BayLfD) bei der Überprüfung von Krankenhäusern Mängel und Verstöße gegen das Datenschutzrecht festgestellt. Die Behörden veröffentlichten nun einen Leitfaden.

Auslöser für die Überprüfung von über 100 Krankenhäusern und Krankenhausverbünden war der Fund von mehreren hundert Röntgenbildern mit Patientendaten auf einer Straße in Bayern im letzten Jahr. Die Behörde prüfte daraufhin die Beauftragung externer Dienstleistungsunternehmen durch die Krankenhäuser, insbesondere externe IT-Dienstleister, Archivierungs- und Scandienstleister sowie Entsorgungs- und Aktenvernichtungsunternehmen. Das BayLDA überprüfte die öffentlichen Einrichtungen, der BayLfD war für die privaten verantwortlich.

Mängel bei der Auftragsdatenverarbeitung

Beide Behörden stellten Mängel bei der Vergabe und Durchführung von Auftragsdatenverarbeitungen, wie bspw. Aktenvernichtung, fest. Als Resultat wurde nun ein gemeinsamer Leitfaden vorgestellt, an den sich öffentliche und private Krankenhäuser halten sollten. In dem Leitfaden stemmen sich die Behörden gegen die Kritik, dass der Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG) nicht mehr zeitgemäß sei und die Anwendung von Auftragsdatenverarbeitungen im Rahmen neuer innovativer Technologien erschwere oder unmöglich mache. Beide betonen explizit, dass es für „alle Konstellationen sehr wohl datenschutzgerechte Lösungen gibt“. Es ist daher davon auszugehen, dass weitere Überprüfungen folgen.

IT-Sicherheit: Best Practice Guide der US-Automobilindustrie

Mit einem Best Practice Guide will die US-amerikanische Automobilindustrie die IT-Sicherheit in Autos voranbringen und neue Standards schaffen. Connected Cars und autonom fahrende Autos sollen so vor Hackerangriffen geschützt und zukunftssicher gemacht werden.

IT-Sicherheit und Datenschutz sind aus der Debatte um die Sicherheit von Connected Cars und autonom fahrenden Autos nicht weg zu denken. Vor kurzem sorgte ein erneuter erfolgreicher Hack eines Jeep für Aufmerksamkeit in der Branche. Einem Team aus Sicherheitsforschern war es zum wiederholten Male gelungen auf Lenkrad, Bremsen, Steuerung etc. zuzugreifen.

Best Practice Guide veröffentlicht

Das Automotive Information Sharing and Analysis Center (Auto-ISAC) hat einen Best Practice Guide veröffentlicht, eine Zusammenfassung ist online zu finden. Ziel ist es den verschiedenen Unternehmen eine Implementierung des „Enhance Automotive Cybersecurity“-Prinzips in ihre individuellen Strukturen zu ermöglichen. Gegenstand ist die IT-Sicherheit im automobilen Ökosystem.

Die Richtlinien behandeln primär die IT-Sicherheit von leichten Nutzfahrzeugen, eignen sich laut Auto-ISAC aber auch für schwere Nutzfahrzeuge. Behandelt werden sieben Felder: Security by design, risk assessment and management, threat detection and protection, incident response, collaboration and engagement with appropriate third parties, governance und awareness and training.

Auto ISAC ist aus der Alliance of Automobile Manufacturers entstanden, zu deren Mitgliedern u.a. Mercedes Benz und BMW zählen.

Hacking – die permanente Herausforderung

Die internationale Cybersecurity-Messe ‚Black Hat‘ hat auch dieses Jahr wieder die Aufmerksamkeit auf Hacking, als permanente Herausforderung für Unternehmen und Verbraucher, gelenkt. Einige beachtenswerte Hacks, die jüngst veröffentlicht wurden, haben wir zusammengefasst.

Hacking und Anwälte?

Hacking mag vielen auf den ersten Blick als rein technisches Aufgabengebiet für IT-Spezialisten erscheinen und weniger als juristisches Aufgabengebiet für Anwälte. Für Anwälte, die sich auf Datenschutz und IT-Sicherheit spezialisiert haben, spielen aber auch und gerade technische Komponenten des Daten- und IT-Schutzes eine herausragende Rolle.

Können Hacks aufgrund technischer Gegebenheiten nicht immer durch einen konsequenten Datenschutz verhindern werden, so lässt sich doch der Schaden der durch Hacks entstehen kann begrenzen.

Auf der Cybersecurity-Messe ‚Black Hat‘, die jedes Jahr in Las Vegas stattfindet, werden die neusten Entdeckungen von Schwachstellen präsentiert. Deswegen haben wir ein paar Hacks zusammengefasst, die in der letzten Zeit veröffentlicht wurden.

Hacker übernehmen Kontrolle von Jeep bei voller Fahrt

Das Thema Datenschutz und IT-Sicherheit bei sog. ‚connected cars‘ existiert schon länger und kommt immer wieder auf. Jetzt ist es zwei Sicherheitsforschern erstmals gelungen, ein Fahrzeug der Marke Jeep aus der Ferne über das Internet zu hacken und zu übernehmen – bei voller Fahrt. Auch wenn der Fahrer eingeweiht war, der Einfluss der Hacker auf das Fahrzeug kann als besorgniserregend bezeichnet werden. Die Hacker übernahmen die Kontrolle über die Lautstärkeregelung des Infotainmentsystems, Bremsen, Beschleunigung, Türverriegelung, Klimaanlage, Scheibenwischer und Lenkrad im Rückwärtsgang. Schlussendlich steuerten sie das Fahrzeug kontrolliert in einen Graben.

Die Sicherheitsforscher nutzten eine Schwachstelle im Verbindungssystem zwischen PKW und Mobilfunknetz.

Hacker übernimmt Kontrolle von Narkosegerät

Auch in Krankenhäusern hält die digitale Entwicklung Einzug. Immer mehr Gerätschaften sind miteinander vernetzt oder mit dem Internet verbunden, Cloud-Dienste sollen die Speicherung und Verfügbarkeit von Daten vereinfachen. Um die Sicherheit seiner Systeme und Daten zu testen beauftragte ein Krankenhaus aus Süddeutschland einen IT-Spezialisten mit der Überprüfung der Gerätschaften.

Beatmung abgeschaltet

Dem IT-Spezialisten gelang es, ein Narkosegerät zu hacken, das zur Verfügung gestellt wurde. Von seinem Laptop aus war es dem Hacker möglich, alle Funktionen des Geräts zu übernehmen und dieses zu steuern. So war er in der Lage, alle Funktionen blockieren und die Beatmung stoppen.

Hacker übernehmen Kontrolle über Zielsystem für Gewehre

Zwar nicht so alltagsrelevant wie die beiden oberen Beispiele, aber nicht minder besorgniserregend, ist das folgende. Hackern gelang es sich über eine WLAN-Schnittstelle in ein Zielsystem für Gewehre zu hacken und so die Kontrolle zu übernehmen. Mit dem Zielsystem kann der Schütze ein Ziel (auch über ein mit dem Gewehr verbundenes Smartphone) markieren. Ein Computer stellt sicher, dass auch nur das anvisierte Ziel getroffen wird.

Den Hackern war es möglich, Schüsse zu verhindern oder andere Ziele zu treffen, als das vom Schützen ursprünglich gewollte, indem sie ein anderes Ziel für den Computer auswählten.

Mit dem ‚Leben 4.0‘ wird Hacking zur alltäglichen Herausforderung

Mit der zunehmenden Durchdringung sämtlicher Lebensbereiche durch Internettechnologie – quasi ein „Leben 4.0“ – wird das Hacking von Geräten und Systemen zu einer alltäglichen Herausforderung. Denn Hacking hat vermehrt das Potenzial, den Alltag zu bedrohen – sei es bei der Fahrt mit dem Auto zur Arbeit oder zum Familienausflug, die stationäre Aufnahme im Krankenhaus oder die Unternehmenskommunikation.

Die oben aufgezeigten Beispiele mögen extrem wirken. Sie zeigen jedoch ernst zu nehmende Gefahren für unsere alltägliche IT-Infrastruktur und unsere Daten.