Vorsicht ist die Mutter der Porzellankiste. So, oder so ähnlich, sollte auch das Credo in Bezug auf die regelmäßige Installation von Software-Updates und Patches lauten. Der gewöhnliche Anwender kennt es insbesondere von Microsofts Betriebssystemen, bei welchen regelmäßig mittels Download Sicherheitslücken geschlossen werden.
Der Inhalt im Überblick
Aufwand – je billiger, desto williger
Erfolgt die Installation von Updates und Patches nicht automatisiert, so wird letztlich insbesondere die IT-Abteilung durch solche Arbeiten zusätzlich belastet, was natürlich auch mit Kosten verbunden ist, ohne dass jedoch für den Anwender sofort ein konkreter Nutzen ersichtlich wird.
Gemäß der Anlage zu § 9 BDSG, sind verschiedene technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Hierunter fallen grundsätzlich auch die Installation von Updates und Patches, welche Sicherheitslücken in vorhandenen Softwarekomponenten schließen. Werden diese technisch-organisatorischen Maßnahmen in Unternehmen berücksichtigt, so werden hierdurch nicht nur personenbezogen Daten, sondern auch sonstige Unternehmensdaten mitgeschützt. Dies erschwert Wirtschaftsspionage ungemein, so dass Datenschutz auch unternehmensseitig einen echten Mehrwert darstellt.
Wer dagegen nach dem Motto „Geiz ist geil“ verfährt und ausschließlich darauf achtet, dass seine IT möglichst kostengünstig aufgestellt ist, muss auch eher damit rechnen, dass sich dieses Vorgehen auch aus sicherheitstechnischen Gesichtspunkten rächt. Hier gilt in Bezug auf die in Kauf genommene Preisgabe von Daten eher der Grundsatz „je billiger, desto williger“.
Auch das Bundesamt für Informationssicherheit (BSI) weist daher in seinen Maßnahmeempfehlungen hierauf hin:
Durch ein Update von Software können Schwachstellen beseitigt oder Funktionen erweitert werden. Dies betrifft beispielsweise die Betriebssoftware von aktiven Netzkomponenten wie z. B. Switches oder Router, aber auch eine Netzmanagement-Software. Ein Update ist insbesondere dann notwendig, wenn Schwachstellen bekannt werden, die Auswirkungen auf den sicheren Betrieb des Netzes haben, wenn Fehlfunktionen wiederholt auftauchen oder eine funktionale Erweiterung aus sicherheitstechnischen oder fachlichen Erfordernissen notwendig wird.
Einem solchen Vorgehen kann auch die Aufsichtsbehörde entgegentreten und eine Untersagungsverfügung gemäß § 38 Abs. 5 S.2 BDSG treffen. Ist aber erst die IT-Infrastruktur aufgrund von Sicherheitsbedenken stillgelegt, so gerät auch ein Unternehmen in nicht unbedeutende Probleme, denn eine Unternehmensbetrieb ist ohne funktionierende IT kaum vorstellbar.
Zero-Day-Exploits – je jünger, desto teurer
Kein Mittel gibt es dagegen gegen sog. Zero-Day-Exploits. So werden Sicherheitslücken genannt, gegen welche es bisher keine Gegenmittel gibt. Tatsächlich können in Hackerkreisen für solche bis dahin unbekannten Exploits erhebliche Summen fließen, wie SPIEGEL-ONLINE berichtet, sogar bis zu 100.000,- EUR. Hier gilt die Devise: „Je jünger, desto teurer“, denn nur unerkannte Sicherheitslücken bringen auch Geld.
Gehackt wird überall
Die Meldungen der letzten Tage zeigen eines ganz deutlich: Gehackt wird überall, egal ob in China, Russland , den USA oder in Deutschland. Erst kürzlich wurde laut einem Bericht von SPIEGEL-ONLINE eine US-Beratungsfirma des Pentagons von der Web-Guerilla Anonymous gehackt und sensible Daten erbeutet. Das Pentagon war laut SPIEGEL-ONLINE jedoch auch persönlich Ziel eines Hackerangriffs, bei welchem ebenfalls zigtausende Dokumente erbeutet wurden.
Nothing to declare
Aber auch der Deutsche Zoll war Opfer eines entsprechenden Hacker-Angriffs, bei welchem sich Hacker unbefugten Zugriff auf die Bewegungsprofile eines Überwachungssystems namens Patras verschafften und veröffentlichten, mit welchem die Daten von GPS-Peilsendern ausgewertet werden.
Die Hacker drohten laut SPIEGEL-ONLINE mit der weiteren Veröffentlichung sensibler Daten, für den Fall, dass führende Mitglieder der Gruppe verhaftet werden sollten. Die Sueddeutsche berichtet aktuell, dass dies deutsche Behörden jedoch nicht davon abgehalten hat, ein mutmaßliches Mitglied zu verhaften, man darf also über die weitere Entwicklung gespannt sein.
Wer anderen eine Grube gräbt
Nach einem Bericht des Internetportals gulli.com sollen die Hacker laut Eigenangaben die betroffenen Bundesbehörden (dazu gehören das Bundeskriminalamt, die Bundespolizei und der deutsche Zoll) über Jahre hinweg mittels eines Trojaners ausspioniert haben.
So wurden die Behörden anscheinend Opfer eines Mechanismus, den sie eigentlich selbst zur Verbrechensbekämpfung einsetzen wollten.
Jemand der sich zwar nicht unbedingt mit zollrechtlichen Fragestellungen, dafür jedoch mit Datenschutz auskennt ist Ihr betrieblicher Datenschutzbeauftragter.