Der Lexington Clinic im US-Bundesstaat Kentucky wurde im Dezember 2011 ein Laptop gestohlen. Betroffen könnten die Daten von bis zu 1018 Patienten sein. Welche Art von Daten sich genau auf dem gestohlenen Rechner befanden ist jedoch noch unklar. Es handle sich vermutlich um Adressdaten und Diagnosen, wie der Sprecher der Klinik mitteilte. Ausgeschloßen wurde, dass Kreditkartendaten, Kontonummern und weitere Finanzdaten in Gefahr sein könnten. Die Klinik setzte die potentiell geschädigten Patienten mit einem Brief über den Vorfall in Kenntnis und beteuerte, strengste interne Sicherheitsrichtlinien im Umgang mit Patientendaten einzuhalten. Dinge wie der Diebstahl eines Kliniklaptops seien aber manchmal unvermeidbar.

Lesen Sie einen Artikel über das Datenleck in der Lexington Clinic hier: http://www.kentucky.com/2012/01/31/2049109/stolen-lexington-clinic-laptop.html

Die Stellungnahme der Klinik finden Sie unter diesem Link: http://www.lexingtonclinic.com/news/lexingtonclinicnotifyingpatientsofinformationsecuritybreach1.html

Fehlende Sicherheitsvorkehrungen bei der Verwendung von mobilen Speichergeräten wurden der US-Notenbank Federal Reserve Bank zum Verhängnis. Der chinesische Hacker Bo Zhang hat eine 10 Millionen Dollar teure Software zur Überwachung von Regierungs- und Behördenzahlungen per externer Festplatte entwendet. Als Motiv gab er an, die Finanzsoftware für private Zwecke nutzen zu wollen. Mittlerweile wurde er gegen eine 200.000 Dollar-Kaution aus der Haft entlassen.

In letzter Zeit waren die USA wiederholt Ziel von chinesischen und russischen Cyberkriminellen geworden. Dennoch stuft das FBI Zhangs Fall nicht als Spionageangriff sondern lediglich als “gewöhnlichen” Diebstahl ein.

Die österreichische Tageszeitung Wirtschaftsblatt berichtete über den Softwarediebstahl: http://www.wirtschaftsblatt.at/home/schwerpunkt/itnews/TechNews/programmierer-stahl-software-der-us-notenbank-504555/index.do?_vl_pos=r.1.NT

Teensy Boards sind ein beliebtes Hilfsmittel für Hacker. Sie werden als Maus oder Tastatur erkannt, imitieren diese Eingabegeräte und platzieren Schadsoftware auf dem jeweiligen Rechner. Kürzlich kam mit dem Teensy++ 2.0 ein neues Produkt dieser Familie auf den Markt.

Der Mikrocontroller wird per USB Kabel an einen gewöhnlichen USB Port angeschlossen. CoSoSys, Hersteller von Sicherheitslösungen für Computerschnittstellen, bietet mit dem Endpoint Protector 4 ein Produkt an, welches Teensy Boards (Teensy 2.0 und Teensy++ 2.0) als eigene Geräteklasse identifiziert. Das erlaubt eine gezielte Steuerung der Verwendung von Teensy Boards, wie aus einem Newsletter von CoSoSys hervorgeht

Nur gerade 4 von 10 schweizer Unternehmen haben eine Sicherheitslösung zum Schutz der firmeneigenen USB Sticks im Einsatz. Obwohl das Thema Sicherheit in der Schweiz traditionell einen hohen Stellenwert besitzt bleibt also noch Verbesserungspotenzial. Dies geht aus einer Studie von Kingston und Ponemon Research hervor.

Zum Umgang mit mobilen Speichergeräten in ihren Firmen wurden fast 3000 in der IT Branche tätige Personen aus mehreren europäischen Ländern befragt. Richtlinien, die den Gebrauch von USB Sticks regeln, fehlen häufig. So besteht die Gefahr, dass sensible Daten durch Diebstahl oder Verlust von Datenträgern an Unberechtigte gelangen. Klassenbester bei der Studie war Deutschland mit einem Anteil geschützter Geräte von gut 60%. Doch nicht überall sind Technologien wie die Verschlüsselung von Daten auf mobilen Speichergeräten so weit verbreitet: In Grossbritannien, Frankreich und Polen liegt die Quote bei lediglich 15% bis 27%.

Das schweizer Onlineportal “Inside-IT” berichtete über das Thema:

http://www.inside-it.ch/articles/27575

Schöne Bescherung für die amerikanische Sicherheitsfirma Stratfor: Hacker der Untergrundorganisation Anonymous legten am ersten Weihnachtsfeiertag die Stratfor-Website lahm und klauten die Kreditkartendaten mehrerer tausend Kunden. Anstatt sich selber an der Beute zu bereichern, tätigten Sie mit den gestohlenen Daten mehrere Überweisungen an gemeinnützige Organisationen wie z.B. Care und Save the Children. Die Gesamtsumme der “Spenden” beläuft sich auf rund eine Million US-Dollar.

Zu den betroffenen Stratfor-Kunden zählen sowohl Einzelpersonen (Regierungsmitarbeiter, Bänker etc.) als auch Banken, Medienunternehmen, das US-Militär, das Polizeidezernat von Miami und die beiden Computer-Riesen Microsoft und Apple. Wer höchstmögliche Sicherheitsvorkehrungen bei Stratfor vermutete, lag falsch: die Kundendaten seien nicht einmal verschlüsselt gewesen, wie Anonymous in einem Bekennerschreiben mitteilte.

Spiegel Online berichtete am 25. Dezember 2011 über das Thema.

Wer auf der Stratfor-Website nach Stellungnahmen sucht, tut dies vergeblich: “Site is currently undergoing maintenance. Please check back soon.” heisst es dort lediglich.

Gestern wurde ein ehemaliger Mitarbeiter der schweizer Grossbank Credit Suisse (CS) wegen Datendiebstahls verurteilt. Inwiefern er den Kriterien entspricht, die im gestrigen Beitrag genannt wurden, ist unklar. Der Prozess fand unter Aussluss der Öffentlichkeit statt und nähere Angaben zum Verurteilten hält das Gericht unter Verschluss. Das Strafmass fiel mit 2 Jahren auf Bewährung gering aus, denn für Gesetzesverstösse wie “qualifizierter wirtschaftlicher Nachrichtendienst,  Geldwäscherei, Verletzung des Geschäftsgeheimnisses und Verletzung des Bankgeheimnisses” können bis zu 20 Jahre Haft anfallen.

Während seiner Zeit bei der CS sammelte der “Datendieb” Informationen von 1500 bis 2500 deutschen Kunden, deren Vermögen sich auf 1,8 bis 2 Milliarden Schweizer Franken beliefen. Zusätzlich missbrauchte er den Zugriff auf Geschäftsstrategien der Grossbank. Hauptverantwortlicher war jedoch ein entfernter österreichischer Bekannter des CS-Mitarbeiters. Dieser bekam zufällig Einblick in die Datensammlung, erkannte deren Potenzial und verkaufte Sie für 2,5 Millionen Euro an das Bundesland Nordrhein-Westfalen. Der Anteil des ehemaligen Bänkers fiel mit 320’000 Euro verhältnismässig bescheiden aus.

Der österreichische Drahtzieher wurde vor über einem Jahr verhaftet und beging nach kurzer Zeit in Haft Selbstmord.

Den Artikel der schweizer Tageszeitung “Der Bund” zu diesem Thema finden Sie hier.

Gefahren für Unternehmensdaten lauern nicht nur im Umfeld sondern auch im Inneren der Firmen. Eine Studie von Symantec.com untersuchte, welcher Mitarbeiter typischerweise welche Art von Daten entwendet.

Angenommen, es gibt den absolut durchschnittlichen Datendieb im Unternehmen, dann trifft laut der Studie Folgendes auf Ihn zu:

- in technischen Abteilungen tätig

- männlich, zwischen 35 und 40 Jahren alt

- Umgang mit Daten ist vertraglich geregelt

- verwendet E-Mail oder einen Remote-Zugriff

- ist nur noch weniger als einen Monat im Unternehmen

- hat bereits einen neuen Job in derselben Branche oder plant ein eigenes Start-Up

- gibt die erbeuteten Daten teils an “Auftraggeber” weiter

- ist berechtigt, geschäftlich auf die Daten zuzugreifen

- hat Probleme im Job oder leidet unter Stress etc.

- entwendet die Daten teilweise auch unbeabsichtigt

Einen vielleicht nicht ganz ernst gemeinten “Psychotest” bietet Symantec ebenfalls an. Damit kann man herausfinden, welcher Typ man im Umgang mit Unternehmensdaten ist.

Mittelstanddirekt berichtet über die sieben grössten Risiken für Unternehmen beim Umgang mit IT. Zuoberst auf der Liste: der USB Stick.

Daten können schnell und in grossen Mengen vom Server auf den Stick gezogen werden. Gehackte Sticks (z.B. Trojaner, Keylogger) richten grosse Schäden an, die nicht nur teuer werden können sondern auch am Image kratzen.

“Schutz bietet ein so genanntes Antileak-Programm: Es kann jeden Zugriff auf den Server blocken bzw. kontrollieren. Die Software kann USB-Ports sperren – ebenso das Ausdrucken bestimmter Excel-Dateien oder das Brennen von Daten auf CDs.” (Quelle: Mittelstanddirekt)

Hier gehts zum Artikel.

Das Projekt Datenschutz ist ein Onlineportal, das über Datenpannen informiert. Initiiert wurde es vom Münchner Beratungsunternehmen PR-COM. In sachlichem Stil werden aktuelle Vorfälle prägnant beschrieben und mit Informationen zu Ort, betroffenen Organisationen und Anzahl Geschädigter versetzt.

Unter den Verursachen sind Unternehmen, Behörden, Bildungseinrichtungen, Parteien und Vereine zu finden. Aufgrund der Lecks gelangten teilweise Daten von zig Millionen Kunden in die Hände Unbefugter.

Hier geht es direkt zum “Projekt Datenschutz”: www.projekt-datenschutz.de

Und hier zur Website von Initiator PR-COM: www.pr-com.de

Wie der Spiegel berichtet und nach Informationen von Wired wird die Verwendung von USB-Sticks und anderen Wechseldatenträgern jetzt bei US Behörden unter Strafe gestellt.

Diese neuen Richtlinien sind in Wirklichkeit nichts neues. Das unautorisierte kopieren von Daten auf USB-Sticks war schon zuvor nicht erlaubt. Eine Änderung ist es daher nicht, nur die Androhung von Strafen wurde verschärft. Wir sind der Meinung das es mit diese verschärften Strafen nur einen geringen Effekt zeigen wird. Es ist wie im Straßenverkehr, so lange nicht an jeder Straßenecke geblitzt und überwacht wird, ändern Autofahrer Ihr verhalten nicht. Den wahren Schutz vor weiteren Wikileaks liefert nur mehr Überwachung und Absicherung von Schnittstellen an Behörden und Unternehmenscomputern mit Schnittstellensicherheit-Software wie der Endpoint Protector Appliance.

Der Spiegel Berichtet:
Nie wieder so eine Blamage: Das US-Militär hat eine “Cyber Control Order” verhängt. Ihr zufolge kann schon ein US-Soldat, der Informationen auf Datenträgern speichert, vor ein Kriegsgericht gestellt werden – genau das hatte der mutmaßliche WikiLeaks-Informant Bradley Manning getan.

Die US-Streitkräfte wollen mit einer verschärften Order für Soldaten neue Indiskretionen verhindern. Der Blog Danger Room des US-Magazins “Wired” berichtet, schon seit dem 3. Oktober sei die “Cyber Control Order” der US-Airforce in Kraft. Andere Waffengattungen hätten ähnliche Regelungen erlassen. Demnach ist der Gebrauch jeglicher portabler Speichermedien strikt verboten. Zuwiderhandelnde setzen sich dem Risiko eines Kriegsgerichtsverfahrens aus.

Die von WikiLeaks veröffentlichten Dokumente zum Afghanistan-Krieg, zum Irak-Krieg und aus dem US-Diplomatennetz sind mutmaßlich von dem Soldaten Bradley Manning kopiert worden. 2,5 Millionen Soldaten und Regierungsangestellte haben darauf Zugriff – der 23-Jährige brannte die Datensätze laut Ermittlern auf eine Daten-CD, die er mit “Lady Gaga” beschriftete, um sie rudimentär zu tarnen.

Wegen mit Hilfe von USB-Sticks übertragener Viren hatte das Militär früher schon kurzzeitig den Gebrauch solcher Speichermedien verboten. Im Februar 2010 erlaubte es den Gebrauch von CDs, DVDs und USB-Sticks aber wieder, weil es feststellen musste, dass gerade in Afghanistan und im Irak die Datenübertragung sonst kaum zu bewerkstelligen ist. Denn Netzinfrastrukturen fehlen vielerorten.

Schadensabwägungen: Besser erschwertes Arbeiten als erneuter Skandal

Das neue Verbot soll trotzdem strikt eingehalten werden – auch wenn es die tägliche Arbeit erschweren wird. Wörtlich steht laut “Wired” im Befehl der US-Airforce vom 3. Dezember: “Nutzer werden Probleme beim Transport von Daten erfahren, was die zeitgerechte Durchführung operationeller Notwendigkeiten behindern könnte.” Trotzdem setzten sich Zuwiderhandelnde einem Verfahren nach “Artikel 92 des Uniformed Code” der Militärgerichtsbarkeit aus, also einem Kriegsgerichtsverfahren.

Wie mit dem offenkundigen Risiko weiterer Leaks aus dem Datenbestand umgegangen werden sollte, darüber soll seit Sommer beraten worden sein:

* In den vergangenen Monaten stellten die US-Streitkräfte offenbar schon einen großen Teil ihrer IT-Netze, über die man Zugriff auf Geheiminformationen bekommen kann, auf eine Host-Client-Architektur um. Dabei überwacht ein Zentralrechner die angeschlossenen Arbeitsplatzrechner auf ungewöhnliche Vorgänge.
* Seit längerem stellt das Militär sein System außerdem auf USB-Schnittstellen um, die nur noch Speicher annehmen, die identifiziert und zur Nutzung freigegeben sind.

Beide Strukturveränderungen laufen aber noch und sind wohl auch nicht überall durchführbar.

“Wired” gibt an, den Befehl an die Streitkräfte im vollen Wortlaut vorliegen zu haben – nicht aber, woher und auf welchem Wege die Information weitergegeben wurde.