Death by Datenschutz? Die Grenzen der Anonymität

Veröffentlicht Veröffentlicht in Corona

Einer der traurigen Corona-Hotspots, die sich als Fußabdrücke eines wild gewordenen, unsichtbaren Random Walkers wie ein sich verdichtender Flickenteppich durch die Lande ziehen, ist das Potsdamer Bergmann-Klinikum. Aufgrund eines zu spät begrenzten Corona-Ausbruchs haben sich dort fast jeder zehnte Mitarbeiter und überdurchschnittlich viele Patienten mangels Testung und Isolation infiziert, etliche sind verstorben. Ein wichtiger Grund: Im Corona-Krisenstab des Klinikums war zunächst der Betriebsarzt nicht vertreten – die einzige Person, die erfahren durfte, woran erkrankte Mitarbeiter leiden. So konnte nicht festgestellt werden, wo infizierte Mitarbeiter gearbeitet haben und wie Infektionsketten verlaufen sind. Man muss nicht so weit gehen, die verursachten Todesfälle alle auf das Konto des (Gesundheits-)Datenschutzes zu schreiben. Allerdings scheint hier eine starre Regel aus einer anderen Zeit schlimme Nebenwirkungen gehabt zu haben. Nun sind wir alle aufgerufen, uns schnellstens Lösungen zu überlegen, die bei der – auch informationellen – Einhegung der Pandemie helfen.

Dabei ist die Aushebelung des Datenschutzes in der Regel gar nicht das, was benötigt wird. Im obigen Fall hätte eine relativ einfache Regeländerung die geeigneten Erkenntnisse rechtzeitig erbringen können, ohne die Krankheitsdaten vieler Mitarbeiter einem größeren Kreis bekannt zu machen. Und auch bei der aktuell diskutierten #CoronaApp sind dezentrale Ansätze ausreichend (wenn auch mit einigen technischen Herausforderungen versehen), wie nach intensiver Beratung durch die Privacy-Community inzwischen auch die Bundesregierung eingesehen hat.

Die Frage ist also nicht: Wie können wir unseren Datenschutz schnellstmöglich aufweichen? Sondern: Wie können wir ihn agil so gestalten, dass er zunächst zu einem Mittel im Kampf gegen die Krise und dann im Idealfall zu einer Blaupause für das wird, was wir gemeinsam mit Big- und Crowd-Data zukünftig noch an Lebensqualitätsverbesserung erreichen können?

https://www.pnn.de/potsdam/coronakrise-im-bergmann-klinikum-der-ausbruch/25757776.html

Der Mensch bleibt dem Menschen ein Wolf – Cyber in Zeiten von Corona

Veröffentlicht Veröffentlicht in Corona

Wäre es nicht schön gewesen? Inmitten all der schlechten Nachrichten und Prognosen wenigstens den Trost zu haben, dass die Welt sich zusammenrauft und wir uns nicht zusätzlich mit Cyberangriffen und sonstigen IT-Vorfällen das fragile Leben schwer machen… Leider ein Traum. Zwar haben einige wenige Angreifergruppen versprochen, Gesundheitsinfrastruktur bis auf weiteres auszusparen – auch Black-Hat-Hacker brauchen immerhin im Zweifel Beatmungsgeräte. Insgesamt ist jedoch die Anzahl der Angriffe gestiegen – und nicht wenige Kampagnen nutzen gerade die Unsicherheit, das Chaos und den Stress aus, um ihren bekannten illegalen Geschäftsmodellen Auftrieb zu verleihen. Wir kämpfen nun also an zwei Fronten. Die große, wichtige: Corona. Das allein bindet alle unsere Ressourcen. Dazu gilt es aber, auch an der „Cyber-Front“ die Verfügbarkeit unserer kritischen Infrastrukturen sicherzustellen. Und das sind mehr (und andere), als wir das gemeinhin auf dem Schirm haben: Gesundheitsämter, Lieferdienste, Pflegeheime, Hersteller von Medizintechnik, Supermärkte, Logistikbranche, … 

Tun wir unseren Teil, um die Funktionsfähigkeit unserer Gesellschaft gerade auch in Zeiten des notwendigen Lockdown aufrechtzuerhalten. Die Security kann und muss ihren Teil hierzu beitragen.

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Veröffentlicht Veröffentlicht in Ransomware

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es gilt schließlich für die Angreifer, die empfindlichste Stelle eines Unternehmens zu finden und auszunutzen. Denn je mehr Unternehmen auf starke Backup-Konzepte mit schreibgeschützten Sicherungen und realistischen, regelmäßigen Restoretests umstellen, desto mehr bewegt sich das Wettrüsten in Richtung anderer Erpressungsvektoren.

Mit salamitaktikhafter Veröffentlichung gestohlener Informationen haben Erpresser ebenfalls bereits gedroht (teils erfolgreich, teils nicht). Was lässt sich – möglichst (teil-)automatisiert, denn das Ganze soll ja skalieren – einem Unternehmen außer Datenkidnapping noch antun? Nun wurde eine weitere Masche in freier Wildbahn gesichtet: Für Publisher – „Verlage“, wie es in der alten Welt heißt – ist das Wertvollste die Schnittstelle zu ihren Anzeigenkunden, heutzutage meist vermittelt über Internetgiganten wie Google. Statt also die Webserver in Geiselhaft zu nehmen, haben Angreifer begonnen, die Anzeigen auf den Seiten derart oft klicken zu lassen, dass dies bei Google, Facebook & Co. als Werbemissbrauch gewertet wird und die dortigen Sicherheitsmechanismen den Werbeträger automatisch sperren. Bei Wiederholung droht sogar eine permanente Verbannung von der Werbeplattform – mithin der Entzug der Existenzgrundlage.

Selbstverständlich bietet die freundliche Gang von nebenan da zufälligerweise ein „Traffic Management“ an, das sich gegen Einwurf geeigneter Bitcoins gerne um dieses Problem kümmert und den Betrug-Betrug umgehend beendet.
Auf eine Art ist dies alles in der analogen Welt schon da gewesen. Überträge in die digitale ergeben trotzdem immer wieder neue und überraschende Gemengelagen.

https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads

Dass Eingeweihte dies bereits seit langem wussten, dokumentiert sehr schön dieser Blog-Post von Security-Guru Bruce Schneier inklusive der Kommentare:

https://www.schneier.com/blog/archives/2020/02/crypto_ag_was_o.html