Studie: Unternehmen glauben nur, auf neuen Datenschutz vorbereitet zu sein.

27.7.2017 - Ab Mai 2018 bringt die EU-Datenschutz-Grundverordnung (DSGVO) neue Pflichten bei der Datenverarbeitung. Viele Unternehmen glauben, die Anforderungen bereits zu erfüllen – doch das ist ein Irrtum, wie eine Studie zeigt.

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, unterstützt durch ein neues Bundesdatenschutzgesetz. Die neuen Datenschutzregeln bringen erhebliche Änderungen, wie personenbezogene Daten verarbeitet und gespeichert werden dürfen – und drohen bei Verstößen mit hohen Bußgeldern.

Veritas hat in einer Studie untersucht, wie gut Unternehmen auf die kommenden Datenschutzregeln vorbereitet sind. Dabei zeigte sich eine deutliche Kluft zwischen Selbsteinschätzung und Realität: Zwar erklärte fast ein Drittel der Befragten, man würde die wichtigsten Regelungen der Verordnung bereits erfüllen. Wurde anschließend aber nach spezifischen Regelungen aus der DSGVO gefragt, sahen sie doch noch Nachholbedarf.

Insgesamt, so das Fazit der Studie, "besteht große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen." Es gebe eine Reihe von Missverständnissen und Irrtümern in den Unternehmen, die zügig ausgeräumt werden müssten – "der Countdown läuft"

Für die Studie hat der Marktforscher Vanson Bourne im Auftrag von Veritas 900 Führungskräfte in Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und Großbritannien in Unternehmen mit mehr als 1000 Mitarbeitern aus unterschiedlichen Sektoren befragt, die eine geschäftliche Beziehung mit dem EU-Raum haben.

Quelle: heise.de.

Schweden: Regierungsdaten in der Cloud mit eingebauter Sicherheitslücke

26.7.2017 - Bei der Auslagerung von Behördendaten in die Cloud sind in Schweden gravierende Fehler gemacht worden. Die die Cloud betreuenden Mitarbeiter des Dienstleisters IBM wurden nicht sicherheitsüberprüft. Ein "unglaublich ernster Vorfall", sagt die Regierung.

Daten der schwedischen Behörde für Privat- und Berufsverkehr (Transportstyrelsen) und des schwedischen Militärs sind in einer IBM-Cloud gespeichert worden. Die sie betreuenden Mitarbeiter von IBM und von IBM-Subunternehmen in Tschechien und Rumänien wurden aber nicht sicherheitsüberprüft, wie die Behörde mitteilte. Der schwedische Ministerpräsident Stefan Löfven sprach am Montag von einem "unglaublich ernsten Vorfall". Noch sei nicht geklärt, ob es durch die fehlenden Sicherheitschecks der Mitarbeiter auch zu Datenabflüssen gekommen ist.

Aus Kostengründen verlagert Schweden seit 2015 seine Datenbanken in die Cloud. Das Führerscheinwesen und das KFZ-Register sowie die Fahrzeugs-Bestandsplanung des Militärs wurden in eine in Schweden beheimatete Cloud überführt, die von IBM-Mitarbeitern betreut wird. Diese greifen dafür wiederum auf Subunternehmen in Tschechien und Rumänien zurück. Wie 2016 bekannt wurde, unterblieben dabei die Sicherheitsüberprüfungen, die etwa den deutschen Ü2- (Zivil) und Ü3-Standards (Militär) entsprechen, weil die Zeit drängte. Solche Sicherheitsüberprüfungen dauern auch in Schweden bis zu einem Jahr und laufen entsprechend länger, wenn es um ausländische Mitarbeiter geht. Wegen dieser Nachlässigkeit wurde die Leiterin von Transportstyrelsen 2016 ihres Amtes enthoben und musste eine Strafe von rund 7500 Euro zahlen.

Noch unklar, ob Daten abgeflossen sind

Mit gehöriger Verspätung sorgt der Fall jetzt für politische Aufregung, weil die Oppositionsparteien mit einem Misstrauensantrag drohen. Dieser wird erstmals auch von der Linkspartei befürwortet, die sonst die regierenden Sozialdemokraten unterstützt. Für die Aufregung ist eine Stellungnahme des schwedischen Inlands-Nachrichtendienst (Säkerhetspolisen) verantwortlich, der die fehlende Sicherheitsüberprüfung als "größte Gefahr" für das Königreich bezeichnete und nun darauf drängt, dass ausschließlich überprüfte schwedische IBM-Mitarbieter die Cloud betreuen. Wie Ministerpräsident Löfven erklärte, untersuchen die Nachrichtendienstler jetzt, ob Daten aus der Cloud geleakt worden sind.

Quelle: heise.de

Wie sicher sind U.S. Clouds für uns?

20.4.2017 - US-Präsident Donald Trump stellt den Datenschutz für Ausländer in Frage. Das Computermagazin c't rät daher, Daten nur noch bei Anbietern mit europäischen Servern zu speichern und schlägt Alternativen vor.

In puncto Datenschutz sind alle "Nicht U.S.-Amerikaner" seit dem 25. Januar in den USA Internetnutzer zweiter Klasse. Denn US-Präsident Donald Trump hat per Dekret im Januar erklärt, Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken, " soweit dies mit geltendem Recht vereinbar ist".

Mehr dazu finden Sie bei heise.de

Black Duck: Open Source ist allgegenwärtig – und gefährlich

20.4.2017 - Zahlreiche kommerzielle Anwendungen nutzen Open-Source-Komponenten – häufig allerdings in so alten Versionen, dass sie Sicherheitslücken mitbringen.

Kaum eine Software kommt noch ohne Open-Source-Komponenten aus. Das ist ein Kernergebnis der
Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017, für die der Spezialist für Open-Source-Audits Black Duck Software über 1000 kommerzielle Anwendungen meist anlässlich von Übernahmen untersucht hat. Hier eine Zusammenfassung der Resultate:

  • Im Schnitt stammte ein gutes Drittel des Codes aus Open-Source-Projekten.
  • Oft werden Versionen mit bekannten Sicherheitslücken, darunter auch Schwachstellen mit einem hohen Risiko, eingesetzt.
  • Viele der Lücken sind alte Bekannte: Selbst der seit drei Jahren gestopfte OpenSSL-Bug Heartbleed fand sich noch in 1,5 Prozent der untersuchten Anwendungen.
  • Zudem sind beim Einsatz von Open-Sourcre-Software Lizenzprobleme häufig. Laut Black Duck nutzen über 85 Prozent der Anwendungen Open Source, ohne deren Lizenzbestimmungen vollständig einzuhalten.

Die komplette Studie steht nach einer Registrierung bei Black Duck Software zum Download zur Verfügung. (odi)

Quelle: heise.de