“Projekt Datenschutz”

Das Projekt Datenschutz ist ein Onlineportal, das über Datenpannen informiert. Initiiert wurde es vom Münchner Beratungsunternehmen PR-COM. In sachlichem Stil werden aktuelle Vorfälle prägnant beschrieben und mit Informationen zu Ort, betroffenen Organisationen und Anzahl Geschädigter versetzt.

Unter den Verursachen sind Unternehmen, Behörden, Bildungseinrichtungen, Parteien und Vereine zu finden. Aufgrund der Lecks gelangten teilweise Daten von zig Millionen Kunden in die Hände Unbefugter.

 

Hier geht es direkt zum “Projekt Datenschutz”: www.projekt-datenschutz.de

Und hier zur Website von Initiator PR-COM: www.pr-com.de

US-Militär verbietet Soldaten Speichermedien zum eigenen Schutz vor weiteren WikiLeaks

Wie der Spiegel berichtet und nach Informationen von Wired wird die Verwendung von USB-Sticks und anderen Wechseldatenträgern jetzt bei US Behörden unter Strafe gestellt.

Diese neuen Richtlinien sind in Wirklichkeit nichts neues. Das unautorisierte kopieren von Daten auf USB-Sticks war schon zuvor nicht erlaubt. Eine Änderung ist es daher nicht, nur die Androhung von Strafen wurde verschärft. Wir sind der Meinung das es mit diese verschärften Strafen nur einen geringen Effekt zeigen wird. Es ist wie im Straßenverkehr, so lange nicht an jeder Straßenecke geblitzt und überwacht wird, ändern Autofahrer Ihr verhalten nicht. Den wahren Schutz vor weiteren Wikileaks liefert nur mehr Überwachung und Absicherung von Schnittstellen an Behörden und Unternehmenscomputern mit Schnittstellensicherheit-Software wie der Endpoint Protector Appliance.

Der Spiegel Berichtet:
Nie wieder so eine Blamage: Das US-Militär hat eine “Cyber Control Order” verhängt. Ihr zufolge kann schon ein US-Soldat, der Informationen auf Datenträgern speichert, vor ein Kriegsgericht gestellt werden – genau das hatte der mutmaßliche WikiLeaks-Informant Bradley Manning getan.

Die US-Streitkräfte wollen mit einer verschärften Order für Soldaten neue Indiskretionen verhindern. Der Blog Danger Room des US-Magazins “Wired” berichtet, schon seit dem 3. Oktober sei die “Cyber Control Order” der US-Airforce in Kraft. Andere Waffengattungen hätten ähnliche Regelungen erlassen. Demnach ist der Gebrauch jeglicher portabler Speichermedien strikt verboten. Zuwiderhandelnde setzen sich dem Risiko eines Kriegsgerichtsverfahrens aus.

Die von WikiLeaks veröffentlichten Dokumente zum Afghanistan-Krieg, zum Irak-Krieg und aus dem US-Diplomatennetz sind mutmaßlich von dem Soldaten Bradley Manning kopiert worden. 2,5 Millionen Soldaten und Regierungsangestellte haben darauf Zugriff – der 23-Jährige brannte die Datensätze laut Ermittlern auf eine Daten-CD, die er mit “Lady Gaga” beschriftete, um sie rudimentär zu tarnen.

Wegen mit Hilfe von USB-Sticks übertragener Viren hatte das Militär früher schon kurzzeitig den Gebrauch solcher Speichermedien verboten. Im Februar 2010 erlaubte es den Gebrauch von CDs, DVDs und USB-Sticks aber wieder, weil es feststellen musste, dass gerade in Afghanistan und im Irak die Datenübertragung sonst kaum zu bewerkstelligen ist. Denn Netzinfrastrukturen fehlen vielerorten.

Schadensabwägungen: Besser erschwertes Arbeiten als erneuter Skandal

Das neue Verbot soll trotzdem strikt eingehalten werden – auch wenn es die tägliche Arbeit erschweren wird. Wörtlich steht laut “Wired” im Befehl der US-Airforce vom 3. Dezember: “Nutzer werden Probleme beim Transport von Daten erfahren, was die zeitgerechte Durchführung operationeller Notwendigkeiten behindern könnte.” Trotzdem setzten sich Zuwiderhandelnde einem Verfahren nach “Artikel 92 des Uniformed Code” der Militärgerichtsbarkeit aus, also einem Kriegsgerichtsverfahren.

Wie mit dem offenkundigen Risiko weiterer Leaks aus dem Datenbestand umgegangen werden sollte, darüber soll seit Sommer beraten worden sein:

* In den vergangenen Monaten stellten die US-Streitkräfte offenbar schon einen großen Teil ihrer IT-Netze, über die man Zugriff auf Geheiminformationen bekommen kann, auf eine Host-Client-Architektur um. Dabei überwacht ein Zentralrechner die angeschlossenen Arbeitsplatzrechner auf ungewöhnliche Vorgänge.
* Seit längerem stellt das Militär sein System außerdem auf USB-Schnittstellen um, die nur noch Speicher annehmen, die identifiziert und zur Nutzung freigegeben sind.

Beide Strukturveränderungen laufen aber noch und sind wohl auch nicht überall durchführbar.

“Wired” gibt an, den Befehl an die Streitkräfte im vollen Wortlaut vorliegen zu haben – nicht aber, woher und auf welchem Wege die Information weitergegeben wurde.

Wikileaks, das Thema der letzten Woche. Vermutlich Größter Datenskandal aller Zeiten

Kaum ein Thema um gestohlene Daten hat jemals für so viel Aufsehen gesorgt wie die Enthüllungen von Wikileaks in der vergangenen Woche.
Während jetzt der Kampf der Regierungen gegen die Enthüllungsplatform mit Entzug von DNS und Verbannung von Amazon Servern in vollem Gange ist, geht es uns mehr um die frage wie die Daten gestohlen wurden.
Es gibt zwar die Vermutung wer die Daten gestohlen hat, aber wie diese gestohlen wurden ist noch nicht bekannt.
Wir werden hierzu bestimmt noch mehr in kürze erfahren und dann in diesem Blog mitteilen.

Wie das Handelsblatt berichtet fürchten jetzt nicht nur Staaten die Enthüllungen von Wikileaks sonder auch Unternehmen.

Auch deutsche Firmen fürchten Wikileaks.

Ohne eigenes Risiko kann jeder, der Zugang zu vertraulicher Information besitzt, diese auf einen USB-Stick laden und vom nächsten Starbucks-Shop auf die Server von Wikileaks senden.

Die Aufregung um die Veröffentlichung der geheimen Dokumente der US-Diplomaten hat sich noch nicht gelegt, da kündigt Wikileaks-Gründer Julian Assange schon den nächsten Schlag an. Anfang nächsten Jahres solle eine amerikanische Großbank zum Ziel werden, sagte er in einem Interview mit dem US-Magazin „Forbes“. „Es geht um zehntausende oder hunderttausende Dokumente, je nach Definition.“ Es handle sich dabei um ein „Megaleak“.

Ging es bisher um die Blamage einer politischen Großmacht, sind jetzt schlagartig auch zahlreiche Unternehmen in Alarmstimmung – und das nicht nur in Amerika.

Die Veröffentlichung geheimer US-Dokumente zeige, wie notwendig ein “radikales Umdenken” sei, warnt bereits der Bundesbeauftragte für Datenschutz, Peter Schaar. “Wir brauchen nicht immer mehr, sondern weniger Daten, und die Daten müssen ordentlich geschützt werden”, sagte er der Neuen Osnabrücker Zeitung. Sonst sei zu befürchten, dass demnächst nicht nur diplomatische Korrespondenz, sondern ärztliche Diagnosen, Strafakten oder andere sensible Informationen ihren Weg in das Internet fänden, warnte Schaar.

Seit heute ist die Offenlegung von vertraulichem Material auch die Horrorvision jedes Firmenchefs. Im Dienstleistungszeitalter steckt in den Datenbanken der Unternehmen so ziemlich alles, was den Wert einer Firma ausmacht: Kundendaten, vertrauliche E-Mails, Vertragsdetails, Preis- und Rabatttabellen und nicht zuletzt Designerstudien und technische Details der Produkte von morgen.

Das Thema Datensicherheit rückt damit ganz nach oben in die Prioritätenliste der Manager. Ein Datenklau, wie ihn die US-Regierung nun erlebt, kann für viele Firmen den Abstieg bedeuten. Die Interna nutzen nicht nur der Konkurrenz, sie wirken auch nach innen wie ein Giftcocktail. Indiskretion zerstört Vertrauen.

Wikileaks-Chef Assange hat es sich ausdrücklich zum Ziel gemacht, „Tippgebern in großen Unternehmen und in der US-Regierung ein geschütztes Forum“ zu bieten, wenn intern strittige Tatsachen vor der Presse vertuscht zu werden drohten. Einen ersten Vorgeschmack gab es bereits im Jahr 2008, als Wikileaks vertrauliche Dokumente der Schweizer Bank Julius Bär veröffentlichte.

Unzufriedene Mitarbeiter haben mit Wikileaks erstmals eine äußerst sichere und öffentlichkeitswirksame Plattform, über die sie auf Missstände in ihrem Unternehmen hinweisen können – aus welchen Motiven auch immer.

Das IT-Unternehmen Wincor-Nixdorf rät allen Firmen, den Ehrgeiz von Wikileaks nicht zu unterschätzen. „Wikileaks hat den selbst gesetzten Anspruch, gegen unethisches Verhalten vorzugehen. Deshalb werden die Compliance-Richtlinien immer wichtiger. Es gilt, diese Richtlinien auch beim Einkauf einzuhalten, um zum Beispiel nicht gegen das Verbot von Kinderarbeit zu verstoßen“, sagte ein Unternehmenssprecher.

Ohne eigenes Risiko kann jeder, der Zugang zu vertraulicher Information besitzt, diese auf einen USB-Stick laden und vom nächsten Starbucks-Shop auf die Server von Wikileaks senden. Dort durchläuft sie mehrere Klärstufen, bis jede Spurensuche unmöglich wird. Selbst wenn das FBI morgen in den Wikileaks-Rechner eindränge, käme es der Quelle nicht näher.

Auch Wikileaks-Mitgründer Assange ist für die US-Ermittlungsbehörden nicht greifbar. Sein Aufenthaltsort ist unbekannt. Reisen in die USA meidet er seit Monaten. Er weiß: Dort droht die sofortige Inhaftierung. Selbst in seinem Heimatland Australien werde es keinen sicheren Hafen mehr geben, sagte Generalstaatsanwalt Robert McClelland in Canberra. Ermittlungen seien bereits eingeleitet worden.

Unternehmen sind schlecht auf Datenklau vorbereitet

Die Financial Times Deutschland berichtet.
Unternehmen sind schlecht auf Datenklau vorbereitet

Zwanzig Prozent aller Firmen in Deutschland meldeten vergangenes Jahr wenigstens einen Fall von Diebstahl sensibler Informationen. Fachleute fordern, die Abwehrstrategie in die Hände der Manager zu legen, die für das operative Geschäft im Unternehmen zuständig sind.

Kundenkartei, Mitarbeiterdaten, Produktinformationen – angesichts der Fülle ist es für ein Unternehmen schwierig, sensible Daten vor Missbrauch zu schützen. Viele Konzerne haben diese Aufgabe ihrer IT oder der Complianceabteilung anvertraut. Ein Fehler, sagt Frank Weller, Leiter Forensik bei KPMG. Unternehmensdaten zu sichern müsste eine Aufgabe von leitenden Managern sein: “Daten haben für das Unternehmen einen enormen Wert. Deshalb sollten diejenigen über den Schutz entscheiden, die mit dem operativen Geschäft betraut sind.”

Auch Wolf-Rüdiger Moritz sagt, viele Firmen seien für die Bekämpfung von Datenmissbrauch falsch aufgestellt. Es ginge schließlich um kriminelle Handlungen, so der Leiter der Unternehmenssicherheit von Infineon. Deshalb sollte das Kontrollgremium dem Aufsichtsrat unterstehen. Das Management aber kenne zwar das operative Geschäft – mit der Bekämpfung von Verbrechen hingegen kenne es sich weniger aus. “Wie bei einem Staat, wo die Armee die Landesverteidigung übernimmt, sollte auch im Unternehmen die Compliance den Spezialisten vorbehalten bleiben.” Und das ist für ihn die Compliance oder Abteilung für interne Sicherheit.

Jedes fünfte Unternehmen hat 2009 über mindestens einen Diebstahl vertraulicher Informationen berichtet. Dieser Gefahr zu begegnen setzt zunächst eine Risikoanalyse voraus, welche Daten in welchem Maße gefährdet sind und wer darauf Zugriff hat. Doch schon daran fehle es in vielen Häusern, sagt Weller: “Unternehmen geben oft zu wenig Geld für die Prävention aus.” Der Anteil von essenziellen Daten wie etwa Produktionsplänen liege nur bei rund fünf Prozent. Würden die nicht klassifiziert und entsprechend geschützt, könnte der Schaden die Kosten für Prävention weit übersteigen.
Viele Firmen nutzen nur Datenhandbücher, in denen aufgelistet ist, welche Computersysteme einzelne Abteilungen nutzen und welche Daten darin gespeichert sind. Und diese Handbücher, sagt Dirk-Stephan Koedijk, Compliancechef bei Henkel, “sind meist nicht einmal vollständig”.

Datenklau: 20 Jahre Haft für US-Hacker

Im größten Fall von Kreditkartenbetrug in der Geschichte der USA ist ein 28-jähriger Hacker zu 20 Jahren Gefängnis verurteilt worden.

Der Fall wurde im August 2009 bekannt und wir berichteten auch damals zum Thema.

Jetzt kam es zum Urteil für die Angeklagten. 20 Jahre Haft.

Focus Online berichtet hierzu:

Albert Gonzalez hatte im September gestanden, mit Komplizen die Geheimnummern von mehr als 130 Millionen Kreditkarten gestohlen zu haben. Seit Oktober 2006 verübten sie Angriffe auf die Computernetzwerke von Dienstleistern großer US-Einzelhandelsunternehmen und Finanzinstitute, um an die Daten zu kommen.
Zusammen mit den Computer-Kriminellen in drei US-Staaten, der Ukraine und Russland machte Gonzalez mit dem Ausspionieren von Kreditkartennummern im Internet und deren Verkauf auf den Schwarzmarkt Kasse. Zum Teil gingen die Hacker auch selbst an Geldautomaten und hoben mit fremden Kartendaten erhebliche Beträge ab. Allein Gonzalez wurden 2,8 Millionen Dollar nachgewiesen, die er für eine Wohnung in Miami, ein Auto, eine Rolex-Uhr und einen teuren Ring für seine Freundin ausgab.

200 Millionen Dollar Schäden

Der Hacker-Ring soll bei Firmen, Banken und Versicherungen Schäden von fast 200 Millionen Dollar verursacht haben. Gier sei nicht sein Antrieb gewesen, sagte Gonzalez vor Gericht. Vielmehr sei „die Sache“ durch seine Unfähigkeit, die Datenjagd zu stoppen und seine Internetsucht außer Kontrolle geraten. „Ich mache niemandem außer mir selbst Vorwürfe“, sagte der Mann.

Datenklau bei Arcor (Vodafone) und Unitymedia, nicht nur bei der Deutschen Telekom

Heute wird von Capital berichtet, das auch bei Arcor (Vodafone) und Unitymedia und nicht nur der Deutschen Telekom vertrauliche Kundendaten nach außen gedrungen sind. Nach Angaben des Magazins gelangten Datensätze von tausenden Arcor-Kunden über dubiose Callcenter-Betreiber auf den Schwarzmarkt.

Datenskandal erreicht Vodafone

Nicht nur bei der Deutschen Telekom, auch beim Konkurrenten Vodafone sind vertrauliche Kundendaten nach außen gedrungen. Nach Informationen von Capital gelangten sensible Datensätze Tausender Kunden der Festnetz-Tochter Arcor über dubiose Callcenter-Betreiber auf den Schwarzmarkt. Daten-Lecks gab es auch beim Kabelnetz-Betreiber Unitymedia. Dies geht Capital zufolge aus Ermittlungsakten der Staatsanwaltschaft Bonn hervor.

Oberstaatsanwalt Fred Apostel bestätigte dem Magazin, dass es “Hinweise gibt, nach denen verschiedene Telekommunikations- und Kabelnetzanbieter betroffen” seien. Die Ermittler gehen davon aus, dass es sich um etwa 200.000 Datensätze von Telekom-Konkurrenten handelt.

Vodafone Deutschland räumte ein, von den Strafverfolgungsbehörden schon im November 2009 über den Datenklau informiert worden zu sein. Man habe aber bislang nichts unternommen, da die Datensätze, die aus dem Jahr 2000 stammen, bisher nicht übermittelt worden seien. “Daher konnten betroffene Arcor-Kunden nicht durch Vodafone informiert werden.”

15.000 Kontoinhaber von Datenklau bei HSBC betroffen

“Es ist heute klar, dass der Diebstahl, den ein Mitarbeiter der Informatikabteilung vor drei Jahren begangen hat, rund 15.000 aktuelle Kunden betreffen könnte, die ihre Konten in der Schweiz vor Oktober 2006 eröffnet haben.” Nicht betroffen seien später eröffnete Konten und Kunden der HSBC außerhalb der Schweiz, da dort ein anderes Computersystem genutzt werde.

Der Datenklau scheint einen großen Finanziellen Schaden bei HSBC zu hinterlassen wie in der Schweiz bei Cash.ch und Blick.ch berichtet wird.

Die HSBC Private Bank (Suisse) musste 2009 einen Nettoneugeldabfluss von 4,1 Milliarden Franken verbuchen. Dabei haben vor allem Kunden aus Europa ihre Gelder von der Genfer Privatbank abgezogen. Der Grund: Nachdem ein ehemaliger Mitarbeiter sensitive Kundendaten Frankreich zum Kauf angeboten hat, trauen Kunden dem Institut nicht mehr.

4,1 Milliarden Franken in abgezogenen Einlagen wegen einem Datenklau. Dieser Schaden wird diesen Datenverlust sicherlich für die Top 100 der teuersten Datendiebstähle der letzten Jahre qualifizieren.

Die gesamte Story ist bei kurier.at nachzulesen.

Staatlich gelenkte Informationsbeschaffung

Interview mit Michael Georg, Experte vom Landesamt für Verfassungsschutz.

Woran erkennt man denn einen Wirtschaftsspion?

George: An äußeren Merkmalen lässt sich leider kein Spion oder illoyaler Mitarbeiter erkennen. Das Bild von James Bond trifft leider auch nicht zu. Die sensibleren Infos finden man eher knöcheltief in der Mülltonne einer Firma als mit einem Wodka-Martini in der Hand.

Mit welchen Tricks wird gearbeitet?

George: Der Faktor Mensch wird gerne unterschätzt. Emails geraten an den falschen Empfänger, gedruckte Dokumente werden vergessen, in der Kneipe nebenan wird über die neueste Entwicklung geredet. Und es wird schon gerne einmal ein Schlüsselbund mit einem USB-Stick neben einem Messestand oder einer Firma „verloren“. Wird dieser dann aus Neugier in den firmeneigenen Rechner gesteckt, ist es häufig schon zu spät und versteckte Schadprogramme werden aktiv.

Wissen die Firmen um die Gefahr?

George: Viele unterschätzen die Gefahr. Dabei werden gerade in wirtschaftlich schwierigeren Zeiten die Bandagen härter. Es gibt auch Staaten wie China und Russland, bei denen man von staatlich gelenkter Informationsbeschaffung sprechen kann.

Wie sieht die Entwicklung aus?

George: Gerade die technische Entwicklung bereitet uns Sorgen. War es früher nur mit großen Aufwand wie etwa einem Einbruch möglich, an einen Firmencomputer zu gelangen, ist dies heute durch die Nutzung von sogenannten Trojanern, die beispielsweise im Anhang einer Email versteckt sind, mühelos und aus sicherer Entfernung möglich. Das heißt, der Ganove liegt möglicherweise irgendwo am Strand mit einem Schirmchengetränk und Laptop und führt von dort aus seine Angriffe durch.

Wie groß ist denn der Schaden?

George: Firmen wissen oft gar nicht, dass sie Opfer eines Angriffes sind. Im Einzelfall kann der Schaden gleich mehrere Millionen Euro hoch sein.

Welche Branchen sind betroffen?

George: Branchen, die sich durch Ideenreichtum, Innovation, Wissensvorsprung und schnelles Umsetzen von Ideen in Lösungen auszeichen. Gerade Bayern als Standort zahlreicher Unternehmen der Spitzentechnologie und Forschungseinrichtungen von Weltklasse weckt naturgemäß Begehrlichkeiten Dritter.

Trifft es nur große Firmen?

George: In neun von zehn Fällen sind klein- und mittelständische Unternehmen von Angriffen betroffen. Allerdings haben sie entgegen der Konzerne nur selten einen eigenen Sicherheitsbereich, der für den Schutz von Know-how-how zuständig ist. Das wissen die anderen.

Wie helfen Sie?

George: Vom Beratungsgespräch über Veranstaltung in Unternehmen bis hin zur Verdachtsfallbearbeitung. Da wir keine Strafverfolgungsbehörde sondern ein Nachrichtendienst sind, können wir auf Wunsch Vertraulichkeit garantieren. Interview: Thomas Faulhaber

Quelle Augsburger Allgemeine Zeitung

176.000 Shell-Angestelle Opfer von Datenraub

Nach einem Bericht des britischen “Register” nach, sind insgesamt 176.000 Shell Angestellendaten an Umweltschützer weitergegeben worden.

Der “Register” bezieht sich bei seinen Informationen unter anderem auf den Aktivisten John Donovan, der angeblich eine Kopie der Datenbank erhalten, inzwischen aber wieder zerstört haben will. Donovan warnte vor weiteren Kopien, die sich im Umlauf befänden. Die Datenbank ist offenbar sechs Monate alt, gibt also nur bedingt den aktuellen Stand wieder.

Richard Wiseman, Chef der Ethikkommission bei Shell, machte die Belegschaft auf den Datendiebstahl bereits vergangenen Woche aufmerksam. Der “Register” zitierte aus einer E-Mail, die den Vorgang bestätigt. Bislang ist unklar, wer für den Hack verantwortlich ist.

Artikel zum Thema in deutsch.

Schweiz bietet ausländischen Behörden keine Amtshilfe bei Datenklau

Bei jedem Doppelbesteuerungsabkommen soll anfügt werden, dass auf Basis gestohlener Daten keine Amtshilfe der Schweizer Behörden geleistet wird.

Die Aussenpolitische Kommission des Ständerats (APK) befürwortet die erste Serie der neuen Doppelbesteuerungsabkommen. Sie hat allerdings Ergänzungen angebracht: Bei jedem Abkommen soll anfügt werden, dass auf Basis gestohlener Daten keine Amtshilfe geleistet wird.

(sda) Die Aussenpolitische Kommission des Ständerats (APK) unterstützt den vom Bundesrat vorgezeichneten Weg zur Neuregelung der Amtshilfe in Steuerfragen. Sie empfiehlt ihrem Rat die ersten fünf neuen Doppelbesteuerungsabkommen (DBA) zur Genehmigung. Gleichzeitig begrüsst die APK die Absicht des Bundesrats, parallel zu den DBA noch ein Amtshilfegesetz zu erlassen. Um diesem Plan der Landesregierung mehr Gewicht zu verleihen, fordert die APK, dass in den Bundesbeschlüssen zu den DBA mit den USA, Grossbritannien, Frankreich, Mexiko und Dänemark ein entsprechender Vorbehalt gemacht wird.

News bei NZZ.