Samsung bestätigt Angriff: Sicherheitskritische Daten veröffentlicht

Internet-Zeitschrift für Compliance, Risisikomanagement, Governance und Datenschutz

Automatisiertes Datenmanagement für Unternehmen Seit dem Austritt Großbritanniens aus der EU wird die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der DSGVO (Datenschutzgrundverordnung) bieten müssen. Europäischen Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn diese zusätzlichen Anforderungen nicht erfüllt sind. Jetzt hat die Europäische Kommission die britischen Datenschutzgesetze nach einer eingehenden Prüfung für "angemessen" erklärt, zusätzliche Anforderungen sind demnach nicht notwendig. Nach den Worten von EU-Kommissionsvizepräsidentin V?ra Jourová bieten die geltenden Regeln einen ausreichenden Schutz persönlicher Daten auf dem Niveau der EU. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit, dann endet die Übergangsphase. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.

Intelligente SIEM-Lösungen sind gute Hilfsmittel Jedes Netzwerk benötigt Schutz. Schutz vor feindlichen Angriffen, Schutz vor versehentlichen Datenverlusten. Gewährleisten kann diesen Schutz nur ein durchdachtes und konsequent in der Praxis angewandtes Regelwerk, die sogenannte Compliance. Das richtige Management der Compliance ist eine komplizierte Angelegenheit. Um sicherzustellen, dass Regeln befolgt und Verstöße geahndet werden, ist ein Indikator erforderlich, mit dem das Regelwerk auf seine konsequente Einhaltung überprüft werden kann. Hier kommen Protokolldateien, die sogenannten Logfiles, ins Spiel.Logfiles entstehen, wenn in einer digitalen Umgebung eine Funktion ausgeführt wird. Sie beinhalten Informationen über die Aktivität, die ausgeführt wurde, und Zusatzinformationen, wie z.B. zum Ausführungszeitpunkt, dem Akteur, etc.Richtig eingesetzt können mit Hilfe dieser Logfiles problemlos Verstöße gegen die Compliance erkannt, nachträglich sogar, über digitale Forensik-Analysen, bis zu ihrem Ursprung zurückverfolgt werden. So ist es mit ihrer Hilfe möglich, Sicherheitslücken zu schließen.

Automatisierung der Trade-Compliance durch IT Trade Compliance ist in den meisten international tätigen Großunternehmen heute als Topmanagementaufgabe voll anerkannt. Eine heiße Frage bleibt jedoch, wie das Thema inhaltlich und organisatorisch am besten umgesetzt werden kann. Immer mehr Unternehmen legen Wert darauf, als positiver Teil der Gesellschaft wahrgenommen zu werden. Dazu gehört, stets rechtskonform zu handeln. Das Trade-Compliance-Management stellt das Einhalten von Gesetzen und Vorschriften im Außenhandel sicher. Es weist zahlreiche Berührungspunkte mit anderen Managementsystemen und Regelwerken wie zum Beispiel Corporate Governance, Risiko-, Qualitäts-, Umwelt- und Nachhaltigkeits-Management auf. Unternehmen stehen daher vor der Frage, welchem Unternehmensbereich sie das Thema Trade Compliance zuordnen sollen, z. B. der Rechtsabteilung, Finanzen/Controlling, dem Politik- und Regulierungs-Management oder dem Supply-Chain-Management. Und sie müssen entscheiden, wie sie Import- und Exportkontrollen am besten organisieren können.

IT-gestützte Compliance ist kein Hexenwerk Compliance wird immer wichtiger. Unternehmen müssen umfangreiche gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung auch nachweisen. Bei Rechtsverletzungen drohen empfindliche Strafen und ein erheblicher Imageschaden. Doch viele Firmen sind mit dem Compliance-Management überfordert. Abhilfe schafft hier ein pragmatischer, IT-gestützter Ansatz wie das Compliance-Framework von Computacenter, das die Regularien mit den entsprechenden IT- und Geschäftsprozessen verzahnt und Abweichungen erkennt. Compliance gilt für alle Fachbereiche eines Unternehmens, auch für die IT-Abteilung. In den meisten Unternehmen sind heutzutage alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software abgebildet. Angesichts der zentralen Rolle der IT fordert der Gesetzgeber verstärkt IT-Sicherheit und Datenschutz. Daher ist IT-Compliance oft geschäftskritisch für Unternehmen.

Compliance-konforme Datensicherheit Die Vertraulichkeit und Integrität von Daten ist unverzichtbar – nicht zuletzt auch aus Compliance-Gründen. Eine Grundlage dafür: Die konsequente Verschlüsselung von wichtigen Informationen. Ein besonders hohes Schutzniveau bieten Hardware-basierte Verschlüsselungssysteme, so genannte Hardware Security Module (HSM). Zur Sicherung von Daten und Transaktionen sind kryptographische Verfahren unverzichtbar. Sie umfassen zwei Bereiche: das Erzeugen, Speichern und Verwalten von Schlüsseln sowie die Anwendung für die Signaturerstellung und Verschlüsselung mit diesen kryptographischen Schlüsseln. Hier kommen Hardware Security-Module ins Spiel: Sie erzeugen hochwertige kryptographische Schlüssel und speichern sie so sicher, dass unautorisierte Personen keinen Zugriff darauf haben.

Schutz kritischer Infrastrukturen Das IT-Sicherheitsgesetz - das erste seiner Art in Deutschland - ist vom Kabinett verabschiedet worden und liegt nun im Bundestag zur Beratung. Es ist ein Anfang und eine Chance für Unternehmen, um sich vor Angriffen zu schützen. Die Notwendigkeit dieser Gesetzgebung ist offenkundig: Das zivile Leben in Deutschland darf nicht durch Cyberattacken beeinträchtigt werden. Besonders das Thema Wirtschaftspionage soll mit dem Gesetz adressiert werden, denn beinahe jede Woche werden neue Angriffe auf Unternehmens- und Organisationsstrukturen gemeldet. Offensichtlich ist es für Wirtschaftskriminelle, politische Akteure und Cyberterroristen immer noch viel zu einfach, in die Infrastrukturen einzudringen, zu sabotieren und Daten zu entwenden. Vollständig verhindern wird das IT-Sicherheitsgesetz diese Attacken nicht, es soll aber zumindest die gröbsten Sicherheitslücken beseitigen. Es soll unter anderem sicherstellen, dass es ein dokumentiertes Sicherheitsmanagement gibt und dass alle sicherheitskritischen Elemente in der IT-Infrastruktur im Unternehmen identifiziert und ganzheitlich überwacht werden.

Verschlüsselung - auch eine Frage der Compliance Global tätige Unternehmen aller Branchen sind neben nationalen Regeln auch an landesübergreifende Gesetze gebunden. Innerhalb der EU gehört dazu beispielsweise die European Union Data Protection Directive (EU DPD). Die Datenschutz-Richtlinie 95/46/EG regelt den Schutz der Privatsphäre natürlicher Personen im Zusammenhang mit der Verarbeitung von Daten. Da alle EU-Mitgliedsstaaten zur Umsetzung in nationales Recht verpflichtet waren, sind die Bestimmungen für alle in Europa tätigen Organisationen verbindlich. Darüber hinaus existiert eine Vielzahl unterschiedlicher Regulatorien für einzelne Branchen. So hat sich etwa in der Gesundheitsbranche mit dem Health Information Portability and Accountability Act (HIPAA) ein Standard etabliert.

IT-Compliance ist unverzichtbar Ob KMU oder Großkonzern: Heute besitzt jedes Unternehmen sensible Daten, die nicht in falsche Hände geraten sollten. Doch Datenklau geschieht nicht nur durch Angriffe von außen - auch intern gibt es eine Schwachstelle: den Umgang mit den Zugriffsrechten. Access Governance geht also alle an, denn gerade hier entstehen Sicherheitslücken. Oft genug wird im Arbeitsalltag "vergessen", eine gegebene Zugriffsberechtigung zurückzunehmen. Das ist zum Beispiel dann der Fall, wenn ein Kollege das Unternehmen verlässt oder ein Externer sein Projekt abgeschlossen hat. Diese vermeintliche "Kleinigkeit" kann im schlimmsten Fall fatale Folgen für das Unternehmen nach sich ziehen.

Unregelmäßigkeiten schnell identifizieren Dass die Anzahl der Betrugsfälle in Finanzunternehmen stetig steigt, ist eine Tatsache und in aller Munde. Inzwischen stellen Korruption und Bestechung auch für den Finanzsektor ein steigendes Reputations- und Finanzrisiko dar, da die Gesetze verschärft werden und die öffentliche Kontrolle zunimmt. Obwohl sich die angewendeten Betrugsmuster über die Jahre nicht sonderlich geändert haben, müssen sich Geldinstitute dessen bewusst sein, dass das Geschick mit welchem Kriminelle diese Muster umsetzen, einem konstanten Wandel unterliegt, welcher immer häufiger durch technologische Innovationen getriebenen ist.

Daten­sicherheit 10 Tipps für sicheres Surfen

© Stiftung Warentest / Ralph Kaiser, shutterstock, Getty Images [M]

Über­all ein anderes. Verwenden Sie für jedes Onlineportal ein separates Pass­wort! Falls Sie dasselbe Kenn­wort auf mehreren Platt­formen nutzen, kann ein Angreifer, der Ihr Katzenforums-Konto knackt, möglicher­weise auch in Ihr Onlineshopping eindringen.

Lang, komplex, einpräg­sam. Je länger und komplexer ein Pass­wort ist, desto schwerer lässt es sich knacken. Am sichersten wäre es, stets mehr als 20 Zeichen zu nutzen, die keinen Sinn und keine erkenn­bare Struktur haben. Dem steht leider die Realität im Wege, denn Sie müssen sich die Pass­wörter ja auch merken. Hier deshalb eine nicht perfekte, aber realisier­bare Variante: Nehmen Sie mindestens acht Zeichen. Verzichten Sie auf Wörter aus dem Duden und auf Daten, die Fremde leicht ermitteln können – etwa Ihren Geburts­tag oder den Namen Ihres Hundes.

Alternative: Basteln Sie einen Basis-Satz. Beispiel: Ihr Sohn heißt Alexander und lebt in Hamburg – Ihr Satz lautet daher „Unser erstes Kind Alexander wohnt in Hamburg“. Nehmen Sie von jedem Wort den ersten Buch­staben, aus „erstes“ machen Sie „1.“ Ihr Basis-Pass­wort wäre dann U1.KAwiH.

Variieren. Jetzt müssen Sie das Kenn­wort noch auf jeder Platt­form variieren – etwa, indem Sie vom Portal­namen stets den dritten Buch­staben und die Zeichen­anzahl einbeziehen. Beispiel: Der dritte Buch­stabe von Netflix ist „t“ und „Netflix“ besteht aus sieben Zeichen. Ihr Netflix-Pass­wort hieße dann also U1.KAwiHt7.

Tipp: Klingt zu kompliziert? Pass­wort­manager nehmen Ihnen die Last ab, sich lauter komplexe Kenn­wörter merken zu müssen (siehe Tipp 4).

Geräte sperren. Schützen Sie all Ihre Computer und Handys mit Anmelde­verfahren – sonst können Fremde Daten stehlen, wenn sie Zugriff auf die Geräte haben. Wir empfehlen, auf den Finger­abdruck oder starke Pass­wörter zu setzen statt etwa auf Pin-Codes.

Risiko „Pass­wort zurück­setzen“. Wenn Sie Ihr Pass­wort für einen Online­dienst zurück­setzen, weil Sie es vergessen haben, schickt Ihnen das jeweilige Portal meist eine E-Mail. Hat ein Fremder Zugriff auf Ihre E-Mails, kann er also Ihre Pass­wörter ändern. Ihr E-Mail-Konto sollte daher besonders gut gesichert sein: etwa durch Zwei-Faktor-Authentifizierung (siehe Kasten unten) oder durch ein längeres Pass­wort. Sie können beispiels­weise zum Basis-Pass­wort noch folgenden Satz ergänzen: „Mein Mail-Konto ist superduperextrasicher!“ Ihr Kenn­wort für ein GMX-Post­fach würde dann zum Beispiel so lauten: U1.KAwiHx3MM-Kisdxs!

Risiko „Sicher­heits­frage“. Viele Portale stellen Ihnen Sicher­heits­fragen, wenn Sie Ihr Pass­wort vergessen haben. Meiden Sie Fragen, deren Antworten Fremde leicht rausfinden können – etwa den Mädchen­namen Ihrer Mutter.

Ändern ist out. Früher rieten Experten dazu, Pass­wörter regel­mäßig zu ändern. Das erschwert es Ihnen allerdings, sich Ihre Kenn­wörter zu merken. Inzwischen gilt daher der Ratschlag, lieber einmal ein richtig starkes Pass­wort zu wählen und dabei zu bleiben, solange es nicht geknackt wird.

Schwierig­keits­grad

Samsung bestätigt Angriff: Sicherheitskritische Daten veröffentlicht

190 GB Daten gestohlen Samsung gehackt – kritische Inhalte veröffentlicht Von t-online , jnm Aktualisiert am 07.03.2022 Lesedauer: 2 Min. Der Samsung-Messestand auf dem Mobile World Congress: Hacker sollen das Unternehmen angegriffen und dabei kritische Daten erbeutet haben. (Quelle: Thiago Prudencio via www.imago-images.de)

Der koreanische Elektronik-Konzern ist Opfer einer Hackerattacke geworden. Die Angreifer veröffentlichten rund 190 GB an mutmaßlich erbeuteten Daten, darunter auch sicherheitskritische Inhalte. Samsung bestätigte den Angriff.

Die kriminelle Hackergruppe Lapsus$ soll das koreanische Unternehmen Samsung gehackt und dabei große Datenmengen erbeutet haben. Das berichtet unter anderem die auf IT-Sicherheit spezialisierte Website "Bleeping Computer". Samsung schwieg zu den Berichten zunächst, bestätigte den erfolgten Angriff aber am Montage, wie "Bloomberg" berichtet.

"Es gab einen Sicherheitseinbruch, der im Zusammenhang mit bestimmten internen Unternehmensdaten steht. Unserer ersten Analyse zufolge ist Quellcode von dem Einbruch betroffen, der im Zusammenhang mit dem Betrieb von Galaxy-Geräten steht. Aber das schließt keine persönlichen Daten unserer Kunden oder Mitarbeiter ein", zitiert Bloomberg die äußerst vage Bestätigung.

"Bleeping Computer" hatte zuvor berichtet, dass die Gruppe zunächst nur einen kleinen Ausschnitt aus den mutmaßlich erbeuteten Daten veröffentlichte. Kurz darauf kündigte sie aber an, dass man "vertraulichen Samsung-Quelltext" zeigen werde, den man dem Unternehmen gestohlen habe.

Darin enthalten seien etwa Informationen zu Verschlüsselungsmodulen, die Samsung auf seinen Geräten nutzt, der Code für alle biometrischen Entsperrungsmechanismen, der Quelltext der Bootloader der jüngsten Samsung-Geräte und vieles mehr.

Lapsus$ soll vor Kurzem auch Nvidia gehackt haben

Quelltext oder Quellcode nennt man den von Menschen lesbaren Teil der Computerprogramme, bevor dieser "kompiliert", also in eine von Maschinen lesbare Form übersetzt wird. Es ist gewissermaßen die genaue Bauanleitung der Programme. Angreifer können hier etwa nach Fehlern oder Schwachstellen suchen und diese dann gezielt angreifen.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels