Anfang des Jahres gab es wieder eine erfolgreiche Zertifizierung eines ISMS nach ISO 27001, als Abschluss einer guten Zusammenarbeit zwischen der Stadtwerke Husum Netz GmbH und der ANMATHO AG. Im Wattkieker, das Kundenmagazin der Stadtwerke Husum, wurde hierzu ein Artikel veröffentlicht.

Mehr dazu

Mobile Endgeräte wie Smartphones, Tablets oder Laptops verbinden sich regelmäßig automatisch mit bekannten drahtlosen Netzwerken (sog. WLANs). Eine Komfortfunktion, die auch ein Sicherheitsrisiko in sich birgt.

Vortäuschung bekannter WLANs

Ein mobiles Endgerät, das aktiv nach bekannten Verbindungen sucht, sendet Anfragen (sog. „probe requests“), ob ein bekannter Hotspot bzw. ein bekanntes drahtloses Netzwerk in seiner Nähe ist. Antwortet dieses, wird in der Regel eine Verbindung mit diesem eingegangen. Angreifer lauschen im Rahmen der KARMA-Attacke nach entsprechenden Anfrage-Paketen, lesen den Namen des gesuchten WLANs aus der Anfrage und erstellen selbst ein entsprechendes – vor allem gleichnamiges – WLAN, in das sich das Opfer dann in der Regel automatisch einwählt. Da der Datenverkehr dieses „falschen“ drahtlosen Netzwerkes unter der Kontrolle des Angreifers steht, können hier Daten per Man-in-the-Middle-Angriff abgehört und manipuliert werden, der Angreifer steht hier zwischen dem Opfer und dem Internet. Durch solche Angriffe geraten regelmäßig Passworte in falsche Hände, ohne dass es das Opfer bemerkt.

Ausnutzung allgemeiner Hotspot-Namen

Als Gegenmaßnahme scannen die Netzwerkmanager aktueller mobiler Endgeräte passiv. Anstatt aktiv nach bekannten WLANs zu fragen, lauschen sie vermehrt, welche drahtlosen Netzwerke in der Nähe gerade aktiv sind, so lässt sich der oben beschriebene Angriff nicht mehr durchführen.

An dieser Stelle kommt jedoch die sog. Known-Beacons-Attacke ins Spiel: Bei dieser öffnen Angreifer eine Vielzahl an drahtlosen Netzwerken mit bekannten Namen, etwa von Hotelketten, Telekommunikationsunternehmen, Verkehrsgesellschaften oder anderen Hotspot-Anbietern. Diese verwenden stets den gleichen Hotspot-Namen, sodass sich mit großer Wahrscheinlichkeit auch hier das Gerät des Opfers mit dem WLAN des Angreifers verbindet. Auch in diesem Falle kann der gesamte Datenverkehr erneut vom Angreifer abgehört und manipuliert werden.

Ein prominentes und sehr mächtiges Tool, das die Known-Beacons-Attacke durchführen kann, ist „Wifiphisher“.

Gegenmaßnahmen

Um einem Known-Beacons-Angriff zu entgehen, sollten bekannte, öffentliche Hotspots nach Verwendung aus dem Speicher des jeweiligen Mobilgerätes gelöscht werden. Auf diese Weise sucht das Gerät weder aktiv noch passiv nach entsprechenden Netzen, verbindet sich nicht mit ihnen und kann im Ergebnis nicht angegriffen werden. Im Übrigen sollte auch der Name des drahtlosen Netzwerkes bei jedem Nutzer zu Hause nicht bei der Werkseinstellung belassen, sondern vielmehr individuell angepasst werden.

Die ANMATHO AG empfiehlt darüber hinaus grundsätzlich, nicht genutzte Kommunikationsfunktionen in mobilen Geräten – hier etwa auch Bluetooth – zu deaktivieren, um eine entsprechende Erkennung und damit mögliche Angriffe zu verhindern. Ein positiver Nebeneffekt ist dabei sicherlich die längere Akkulaufzeit Ihres Mobilgerätes.

Nicht nur das eine oder andere Stadtmarketing zählt Besucher in Innenstädten, sondern auch immer mehr Betreiber eines Ladengeschäftes erfassen ihre Kunden sowie vorbeigehende Passanten. Dies geschieht nicht nur in Hamburg, Berlin oder Pinneberg, sondern auch im beschaulichen Parchim in Mecklenburg-Vorpommern.

Aber was machen die nun? Wie erfassen etwa Stadtmarketing sowie Ladeninhaber Kunden und Passanten? Über Studenten, die sich etwas dazuverdienen?

Nein! Sondern mit der Hilfe all derer, die das WLAN ihres mobilen Endgerätes – etwa des Smartphones – aktiviert haben.

Aus persönlichen Daten wird ein persönliches Produkt

Der deutsche Einzelhandel hat bislang vor allem Kundenkarten ausgegeben, also das sogenannte Clubmodell ausprobiert: Damit hat er die Einkäufe und Vorlieben von Kunden ausgewertet sowie hin und wieder Papiercoupons mit grob individualisierten Angeboten in deren Briefkästen werfen lassen. Allerdings hält auch hier nunmehr eine verstärkte Digitalisierung Einzug, weshalb sich auch das Kosten-Nutzen-Verhältnis positiv verändert, und so entdecken auch immer mehr Kommunen für ihre Innenstädte das WLAN-Tracking, um ihre Besucher noch besser kennenzulernen.

Ziel ist die Erfassung von Kundenströmen, die Neuansiedlung von Unternehmen und die Ergründung sowie Erzeugung von Kundenwünschen. So könnte es möglicherweise von Vorteil sein, dem Kunden, der eine bestimmte Einkaufsstraße betritt, entsprechende Rabattcoupons für die in der Nähe befindlichen Geschäfte auf sein Mobilgerät zu schicken.

Wie funktioniert das?

Das entsprechende Verfahren kommt bereits millionenfach täglich in Deutschland zur Anwendung, wenn auch – trotz mancher Fernsehwerbung, die Rabatte verspricht, die nur aufgrund dieser Technologie möglich sind – ziemlich unbemerkt und basiert auf einem sehr simplen Prinzip.

Jedes elektronische Gerät, dass die Möglichkeit des Zugangs zu einem Netzwerk – etwa einem WLAN – besitzt, verfügt über eine sogenannte MAC-Adresse. Diese Adresse macht das Gerät in der Regel weltweit einzigartig. Wenn nun dieses Gerät über eine WLAN-Funktion verfügt und diese auch aktiviert ist, wird es ununterbrochen versuchen, sich mit den in der Nähe befindlichen WLAN-Netzen zu verbinden. Damit dies möglich ist, wird die MAC-Adresse stets an das jeweilige WLAN übermittelt, um im Falle einer erfolgreichen Verbindung mit diesem WLAN Datenpakete austauschen zu können. Erkennt das WLAN bzw. der dahinterstehende Router das anfragende Gerät als berechtigt, wird der Zugriff auf das WLAN gewährt. Andernfalls wird der Zugriff verweigert. In jedem Fall dokumentiert der Router die Anfrage und damit die jeweilige MAC-Adresse.

Diesen Prozess kann jeder zu Hause nachvollziehen, der einen Router mit einem aktivierten sowie sichtbaren WLAN besitzt. Auch in diesem werden erfolglose Anmeldeversuche von WLAN-fähigen Geräten dokumentiert.

Nach dem gleichen Prinzip erfolgt die Erfassung der Kunden bzw. Passanten mittels suggerierter WLAN-Netze. Auch hier interagiert das mobile Gerät des Passanten – bei eingeschalteter WLAN-Funktion – mit der sich in der Nähe befindenden Technik des Zählenden und überträgt dabei auch die MAC-Adresse.

Einige Betreiber solcher „Zählanlagen“ geben zwar an, dass die jeweilige MAC-Adresse gehasht wird, was nichts anderes bedeutet, als dass die Adresse nach einem definierten mathematischen Verfahren verändert wird und der sich ergebende Hashwert nicht in die MAC-Adresse zurückgerechnet werden kann, allerdings ergibt dieselbe MAC-Adresse bei demselben definierten mathematischen Verfahren immer den gleichen Hashwert. Hierdurch kann zwar eine erneute Erhebung festgestellt und dadurch Mehrfachzählungen ausgeschlossen werden, dies führt aber auch dazu, dass durch ein Ausprobieren von MAC-Adressen die dazugehörenden Hashwerte individuell ermittelt werden können. So etwas kann nur durch die Verwendung eines „Salt“ unterbunden werden, wobei hierbei der jeweilige Hash um eine zufällig gewählte Zeichenfolge ergänzt wird, die bei jeder Umrechnung wechselt und so eine Zuordnung zwischen MAC-Adresse sowie Hashwert unmöglich macht.

Aufgrund der lebenslangen Verknüpfung von MAC-Adresse und mobilem Gerät ist nach Ansicht des Düsseldorfer Kreises ein Personenbezug hinsichtlich des Gerätebesitzers zu bejahen. In seiner Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter stellt er daher klar:

„Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind, können regelmäßig durch verschiedene Stellen einer Person zugeordnet werden. So werden die Kennungen mitunter von den Netzbetreibern gemeinsam mit dem Namen etc. einer Person gespeichert oder die Kennungen in Verbindung mit einer Registrierung der registrierten Person zugeordnet. Die bekanntesten Kennungen sind die:

  • IMEI: International Mobile Equipment Identity (=Gerätenummer);
  • UDID: Unique Device ID (=Gerätenummer eines iOS-Gerätes);
  • IMSI: International Mobile Subscriber Identity (=Kartennummer);
  • MAC-Adresse: Media AccessControl-Adresse (=Hardware-Adresse eines Netzwerkadapters);
  • MSISDN: Mobile Subscriber ISDN-Number (=Mobilfunknummer)“.

Im Ergebnis bedeutet dies: Wird der jeweilige Hashwert nicht mit einem „Salt“ versehen, setzt sich der Personenbezug im Hashwert fort, es liegen unstreitig personenbezogene Daten vor, die unzweifelhaft durch das Datenschutzrecht geschützt sind. Der jeweilige Hashwert kann so für differenzierte Bewegungsprofile der jeweiligen Geräte genutzt werden, die umso aussagekräftiger werden, je öfter sich das Geräte im erfassten Bereich befindet. Besonders Anwohner und Mitarbeiter von entsprechend überwachten Bereichen dürften hier betroffen sein.

Da das gesamte Verfahren von unterschiedlichsten Stimmen sehr kritisch gesehen wird, wurde mittlerweile die Bundesdatenschutzbeauftragte um die Prüfung des Einsatzes entsprechender Technologien gebeten, die dabei insbesondere den Aspekt der fehlenden Benachrichtigung der Betroffenen herausstellte. Diese wüssten gar nicht, dass Informationen ihres mobilen Gerätes weiterverarbeitet werden.

Ergebnis

Das hier beschriebene Verfahren ist – wenn eine Zuordnung der Hashwerte bestehen bleibt – durchaus kritisch zu sehen. Im Hinblick auf die DS-GVO wird in diesem Zusammenhang sehr interessant werden, wie der Betreiber einer entsprechenden Technik vor allem den proaktiven Informationspflichten nach Art. 13 DS-GVO, die bereits bei der Datenerhebung zu erfüllen sind, entsprechen kann.

Die ANMATHO AG empfiehlt, nicht genutzte Kommunikationsfunktionen in mobilen Geräten – hier etwa auch Bluetooth – grundsätzlich zu deaktivieren, um eine entsprechende Erkennung zu verhindern. Ein positiver Nebeneffekt ist dabei sicherlich die längere Akkulaufzeit Ihres Mobilgerätes.

Was bedeutet die Datenschutz-Grundverordnung (DSGVO) für mein Unternehmen und wie gehe ich mit dem Anforderungskatalog um? Diese und viele andere Fragen rund um die DSGVO wurden am 13. Dezember 2017 auf dem ANMATHO Forum besprochen.

Auch dieses Jahr war der Veranstaltungsort der „Business-Club-Hamburg“ im Heine Park mit Blick auf die Elbe. Bei einem traumhaften Sonnenaufgang fanden sich viele der Teilnehmer bereits früh ein und hatten so die Möglichkeit, sich bei einem Kaffee bekannt zu machen.

Nach einer kurzen Einführung durch Herrn Westerkamp (Mitglied der Geschäftsführung – ANMATHO AG) in die aktuelle Thematik, startete das Forum pünktlich mit dem ersten Vortrag „Die EU-Datenschutz-Grundverordnung: Welche Anforderungen werden an Unternehmen gestellt?“ von Herrn Dr. Freiherr von dem Bussche ( Fachanwalt für Informationstechnologierecht bei der Wirtschaftskanzlei Taylor Wessing). Inhaltlich wurden die rechtlichen Neuerungen erörtert – welche Gesetze gelten für die gesamte EU, welche nationalen Ergänzungen gibt es, wie werden Datenschutzverletzungen gemeldet – und vieles mehr.

Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO

Mit dem Vortrag von Herr Prof. Dr. Caspar (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit) „Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO. Erwartungen und Empfehlungen“ schloss sich die schon lange erwartete Antwort der Aufsichtsbehörde zur Umsetzung der neuen Datenschutzregularien an. Insbesondere wies Prof. Dr. Caspar auf den Umbruch im Datenschutz hin und inwieweit die Betroffenenrechte durch das europaweite Gesetz gestärkt werden. Besonders interessant für die Unternehmen waren die Ausführungen, welcher Instrumente sich die Aufsichtsbehörde im Hinblick auf die Umsetzungsüberprüfung bedienen kann und mit welchen Herausforderungen und Schwierigkeiten die Behörde selbst zu kämpfen hat.

Nach diesen beiden spannenden Vorträgen war es kaum verwunderlich, dass es in der darauf folgenden Pause reichlich Diskussionsstoff gab und die Referenten sich vielen interessierten Fragen der Teilnehmer gegenüber sahen.

Das Datenschutz-Managementsystem

Nach der Pause, die ausreichend Platz für angeregte Gespräche bot, sprach Herr Westerkamp (ANMATHO AG) zur praktischen Umsetzung der DSGVO. Mit dem Vortrag „Das Datenschutz-Managementsystem – Einführung eines Regelprozesses zur Erfüllung der EU-DSGVO“ konnte die ANMATHO AG den Teilnehmern aufgrund ihrer langjährigen Erfahrung beim Aufbau und der Implementierung von Managementsystemen einen bewährten Ansatz liefern, um die Anforderungen und Pflichten der DSGVO strukturiert umzusetzen. Hier war für die Teilnehmer von besonderem Interesse, dass sich das von der DSGVO in Art. 32 Abs. 1 Ziff. d) geforderte Verfahren zum kontinuierlichen Verbesserungsprozess relativ leicht in ein bereits vorhandenes Informationssicherheits-Managementsystem implementiert werden kann. Aber auch die sinnvolle Nutzung und datenschutzrechtliche Umformung des ISO 27001-Standards als Umsetzungsrahmen, fanden offene Ohren.

Während des Lunchbuffets hatten die Teilnehmer die Möglichkeit, sich mit leckeren warmen und kalten Speisen zu stärken und sich untereinander zu den Umsetzungsproblematiken auszutauschen.

Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich

Frisch gestärkt ging es nach der Mittagspause in den Vortrag „Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich. Was ist für andere Branchen im Bereich Zertifizierungen zu erwarten“ von Herrn Prof. Dr. Bauer (geschäftsführender Gesellschafter der ePrivacy GmbH). Hierbei gab es auch Informationen zu nutzungsbasierter Online-Werbung – sprich die Art von Werbung, die Anzeigen auf Webseiten und in mobilen Anwendungen nach dem Surfverhalten von Internetnutzern ausrichtet und wie man in Zukunft damit umgehen sollte.

Fortbildungsmöglichkeiten für den Bereich Datenschutz

Herr Koßmann (Seminarbereichsleiter Nord der TÜV Rheinland Akademie GmbH) setzte mit seiner Übersicht zu den „Fortbildungsmöglichkeiten für den Bereich Datenschutz“ einen sehr anschaulichen Abschluss der Vorträge.

Beim anschließenden „Get together“ konnten die Teilnehmer den Tag nochmal Revue passieren lassen und die vielen – teils neuen – Informationen untereinander diskutieren. Alles in allem war die Veranstaltung rundum gelungen, interessant und informativ – wozu neben den adäquaten Referenten auch wieder einmal das angenehmen Ambiente, der souveräne Service und die vorzügliche Küche des Business Clubs Hamburg beigetragen haben.

Wir freuen uns schon jetzt auf ein Wiedersehen mit Ihnen beim nächsten ANMATHO Forum im Jahr 2018!

Ziel des IT-Grundschutzes ist es, ein ausreichendes Schutzniveau für IT-Systeme zu erreichen. Hierzu stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) standardisierte Methoden zur Verfügung, durch die Unternehmen schrittweise einen angemessenen Schutz von IT-Anwendungen und –Systemen gewährleisten können.

Die Grundschutzstandards umfassen folgende Punkte:

  • Standard 200-1 Managementsysteme für Informationssicherheit (ISMS) – enthält die allgemeinen Anforderungen an ein ISMS
  • Standard 200-2 IT-Grundschutz-Vorgehensweisen – hier wurde die Standard-Absicherung und Kern-Absicherung um die Basis-Absicherung erweitert
  • Standard 200-3 Risikoanalyse auf der Basis des IT-Grundschutzes – bündelt alle risikobezogenen Arbeitsschritte und reduziert damit den Aufwand für die Anwender (neu ist ein vereinfachtes Gefährdungsmodell)
  • Standard 200-4 Notfallmanagement – definiert potentiellen Schäden und Ausfallzeiten und gibt Richtlinien für eine koordinierte Reaktion auf Ausnahmesituationen, um wirtschaftliche Schäden zu reduzieren.

Die Standards werden regelmäßig mit den internationalen Normen wie der ISO/IEC 27001 abgeglichen.

Den IT-Grundschutz gibt es schon seit 1994 und wird seitdem regelmäßig überarbeitet und aktualisiert. Seit März 2017 wurde die Vorgehensweise bei der Umsetzung des IT-Grundschutzes überarbeitet, um auch Klein- und Mittelständischen Unternehmen einen leichten Einstieg in die Umsetzung der Sicherheitsmaßnahmen zu bieten.

Die Basis-Absicherung liefert einen Einstieg zur Einführung eines ISMS. Mit der Standard-Absicherung kann ein kompletter Sicherheitsprozess implementiert werden. Die Standard-Absicherung ist kompatibel zur ISO 27001-Zertifizierung. Um einen Teil eines Informationsverbundes gesondert zu betrachten bietet die Kern-Absicherung entsprechende Vorgehensweisen.

So kann ein IT-Grundschutz schrittweise über einen risikobasierten Ansatz eingeführt werden. Gerade Klein- und Mittelständische Unternehmen haben sich bisher gescheut ein komplexes und vielschichtiges IT-Sicherheitsmanagement einzuführen. Durch den neuen Standard unterstützt das BSI die Unternehmen und bietet eine Umsetzung in kleinen Schritten an, die auch diese Unternehmen bewältigen können.

Wer einen kompetenten Berater für die Umsetzung an seiner Seite haben möchte, ist bei uns richtig. Kontaktieren Sie uns!

ANMATHO AG und Stadtwerke Quickborn – ein starkes Team für gelebte Sicherheit! Lesen Sie wie die Umsetzung eines ISMS nach ISO 27001 erfolgt in dem aktuellen Artikel der ZfK 10/2016.

Die Bedrohungen für die Informationssicherheit sind in den letzten Jahren immer weiter gestiegen, die Methoden der Angreifer werden immer raffinierter. Zudem werden die Schäden häufig durch die eigenen Mitarbeiter oder Dienstleister durch Unwissenheit oder Unbekümmertheit verursacht.

Umso wichtiger ist die Sensibilisierung der IT-Nutzer für die Belange der Informationssicherheit. Da diese beim Nutzer meist als umständlich oder zeitraubend angesehen wird, ist es wichtig, ein Umdenken zu bewirken.

Dies kann mit einer Security Awareness Kampagne in 3 Schritten erfolgen:

Schritt 1:

Um die Aufmerksamkeit der Mitarbeiter zu gewinnen, kann man auf die Risiken im Alltag aufmerksam machen, wie z.B. Lücken des privaten PC’s oder Mobile Devices. Hier ist ein Live-Hack oder Awareness-Videos eine sinnvolle Maßnahme.

Schritt 2:

Im zweiten Schritt gilt es, das Verständnis der Mitarbeiter für Sicherheitsmaßnahmen zu erzeugen und deren Verhalten positiv zu beeinflussen. Hier werden E-Learning Kurse, Merkblätter und Workshops gut angenommen. Je mehr dabei auf die individuellen Arbeitsbereiche der Mitarbeiter eingegangen wird, desto eher fühlt sich jeder Einzelne angesprochen und ist bereit die Sicherheitsmaßnahmen umzusetzen.

Schritt 3:

An diesem Punkt ist das Ziel die Veränderungen zu festigen. Dazu sind Maßnahmen empfehlenswert, die das Gelernte immer wieder in Erinnerung rufen. Unerlässlich ist eine regelmäßige Überprüfung des Gelernten. Hier haben sich Poster, E-Learning-Tests und Banner im firmeneigenen Intranet bewährt.

Security Awareness für Ihre Mitarbeiter

Der Schutz der Informationssicherheit steht und fällt mit dem Verhalten der Mitarbeiter. Eine gut umgesetzte Security Awareness Kampagne vermittelt das nötige Grundwissen und sensibilisiert den Mitarbeiter nachhaltig für die Informationssicherheit und richtige Verhaltensweisen.

Die ANMATHO AG unterstützt Unternehmen bei der Umsetzung von Informationssicherheitsthemen vom Sicherheitscheck über die Konzeption von Notfallplänen bis hin zur vollumfänglichen Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 mit entsprechender Security Awareness Kampagnen.