:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
IT-Sicherheit und politische Vorhaben Passwort-Herausgabe stoppt keine Hasskriminalität
Vorhaben, die die Sicherheit erhöhen sollen, an anderer Stelle aber für Unsicherheit sorgen könnten, müssen immer kritisch betrachtet werden. Ein Beispiel ist die Herausgabe von Passwörtern. Hassbotschaften im Netz müssen bekämpft werden, aber mit anderen Maßnahmen. Richtlinien des Europäischen Datenschutzbeauftragten zeigen den Weg, wie man es verhindert, den Datenschutz auszuhöhlen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Es ist nicht unüblich, dass neue Gesetzesvorhaben auf Kritik stoßen, denn es gibt immer jemanden, der sich durch neue oder geänderte Vorgaben benachteiligt sieht. Bei dem geplanten Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität kommt jedoch Kritik auf breiter Front. So melden sich nicht nur Branchenverbände wie der Digitalverband Bitkom oder der Verband der Internetwirtschaft eco zu Wort, sondern auch der Deutsche Anwaltverein, der Deutsche Gewerkschaftsbund, die Bundesärztekammer und der Deutsche Städte- und Gemeindebund, um nur einige Beispiele zu nennen.
An dem Ziel des geplanten Gesetzes wird niemand etwas auszusetzen haben, ganz im Gegenteil. Es geht um Maßnahmen zur intensiveren und effektiveren Bekämpfung des Rechtsextremismus und der Hasskriminalität, so das Bundesjustizministerium. Als zentrale Neuerung im Netzwerkdurchsetzungsgesetz ist die Verpflichtung sozialer Netzwerke vorgesehen, dem Bundeskriminalamt (BKA) als Zentralstelle bestimmte strafbare Inhalte zu melden, die den sozialen Netzwerken durch eine Beschwerde bekannt und von ihnen entfernt oder gesperrt wurden.
Betrachtet man aber die geplanten Maßnahmen, sind Punkte darunter, die aus Sicht des Datenschutzes und der IT-Sicherheit zumindest einmal unklar, wenn nicht kritisch sind. Entsprechend hat sich auch der Bundesdatenschutzbeauftragte (BfDI) zu Wort gemeldet.
„Die Erweiterung der Auskunft zu Nutzungs- und Bestandsdaten, insbesondere auf Zugangsdaten und Passwörter hält der BfDI für unverhältnismäßig“, so Ulrich Kelber. „Gesetzeskonform arbeitende Telemedienanbieter speichern Passwörter heute als sogenannten Hash-Wert und können diese deshalb nicht herausgeben. Um die Herausgabe von Passwörtern an Sicherheitsbehörden möglich zu machen, müssten die Anbieter datenschutzrechtliche Vorgaben verletzen. Dies konterkariert die Datensicherheit und den Datenschutz massiv“.
Passwörter müssen geschützt werden
Datenschutzaufsichtsbehörden haben schon mehrfach auf die Bedeutung der Passwortsicherheit und die entsprechenden Forderungen der Datenschutz-Grundverordnung (DSGVO) hingewiesen. „Passwörter sollen grundsätzlich nicht weitergegeben werden“, sagt zum Beispiel der Landesdatenschutzbeauftragte von Baden-Württemberg. Passwörter sind keinesfalls im Klartext zu speichern. Zudem wird die Zwei-Faktor-Authentifizierung empfohlen.
Während die Branche versuche, mit der Erfüllung der strikten Vorgaben der Datenschutz-Grundverordnung die Datensicherheit zu erhöhen, fordere ausgerechnet das Justizministerium die Herausgabe von Passwörtern und anderen höchstpersönlichen Daten und forciere damit einen massiven Eingriff in Datenschutz, Bürgerrechte und das Fernmeldegeheimnis, so eco Vorstandschef Oliver J. Süme. Faktisch werde damit eine umfassende Onlinedurchsuchung möglich, einschließlich Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, Dokumente etc.
„Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss, automatisierte Weiterleitung von IP-Adressen in Verdachtsfällen - wir sind erstaunt, dass solche Vorschläge aus jenem Ministerium propagiert werden, das sich den Datenschutz besonders groß auf die Fahnen geschrieben hat“, so auch Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.
Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) kritisiert, dass die vorgeschlagene Regelung zur Passwort-Herausgabe die IT-Sicherheit Deutschlands irreparabel gefährdet und lehnt jede Aufweichung der Vertraulichkeit von Passwörtern ab.
Auch im Bundestag wurde parteiübergreifend darauf hingewiesen, „dass das Verlangen der Herausgabe von Passwörtern problematisch sei und "nur unter Nehmung hoher Hürden" wie dem Richtervorbehalt angedacht werden könne.“. Das Bundesjustizministerium hat inzwischen Anpassungen an dem Gesetzesentwurf und eine Klarstellung zugesagt.
Wie neue Gesetze besser den Datenschutz einhalten
Das geplante Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität darf nicht der europäischen Datenschutz-Grundverordnung widersprechen, das sehen alle Beteiligten so und wird auch ausdrücklich von dem Bundesjustizministerium betont.
Es stellt sich also die Frage, wie man Gesetzesvorhaben besser gestalten kann, um von Anfang an sicherzustellen, dass die gewünschte Erhöhung der Sicherheit nicht an anderer Stelle die Sicherheit und den Datenschutz gefährden kann, wie dies im Fall einer Herausgabe unverschlüsselter Passwörter der Fall gewesen wäre.
Der Europäische Datenschutzbeauftragte hatte in einem anderen Zusammenhang darauf hingewiesen, wie sich Gesetzesvorhaben besser mit der DSGVO in Einklang bringen lassen. Dazu muss man zuerst einmal die Notwendigkeit der geplanten Maßnahme und dann die Erforderlichkeit der Einschränkungen im Datenschutz betrachten.
Dazu gehören Schritte bei der Planung neuer Gesetze wie „Feststellung der durch die Datenverarbeitung eingeschränkten Grundrechte und Grundfreiheiten: Wählen Sie die Option, die effektiv und am wenigsten störend ist. Die Maßnahme sollte wirklich wirksam sein und die betreffenden Rechte am wenigsten beeinträchtigen.“
Bereits die Überlegung, ob die Maßnahme „Passwort-Herausgabe“ wirklich wirksam gegen Hasskriminalität und Rechtsextremismus ist, und die Prüfung, ob es nicht Maßnahmen gibt, die den Datenschutz weniger einschränken, hätte viel an Kritik erspart, denn was genau soll die Herausgabe von Passwörtern bringen, insbesondere wenn sie nach DSGVO verschlüsselt sein sollen?
Bei neuen Gesetzesvorhaben bleibt zu wünschen, dass der Datenschutz immer im Blick ist und keine unnötigen Einschränkungen der Privatsphäre und der Sicherheit geplant werden, die zudem dem Ziel des Gesetzes gar nicht dienen können.
(ID:46346646)
:quality(80)/p7i.vogel.de/wcms/5e/df/5edff74ae86b70ab9c0934368f195dc9/0104847398.jpeg "Das TTDSG vereinheitlicht verschiedene deutsche Datenschutzgesetze und verschärft die Bestimmungen für E-Mails. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954391/original.jpg "Direktwerbung ist nach DSGVO nicht grundsätzlich verboten, auch wenn man in der Datenschutz-Grundverordnung keine spezifischen Vorgaben zum Thema Werbung findet. (Production Perig - stock.adobe.com)")