Report 08-2021 EU-Kommission schlägt vertrauenswürdige und sichere digitale Identität für alle Europäerinnen und Europäer vor
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DUD REPORT
Helmut Reimer
Report 08-2021
EU-Kommission schlägt vertrauenswürdige zeugnisse, Bankkonto usw.) verknüpfen können. Diese Brieftaschen
und sichere digitale Identität für alle können von Behörden oder privaten Einrichtungen bereitgestellt
Europäerinnen und Europäer vor werden, sofern sie von einem Mitgliedstaat anerkannt sind.
Dank der neuen EUid-Brieftaschen werden alle Europäerinnen
Die EU-Kommission hat am 03. Juni 2021 einen Rahmen für eine und Europäer online auf Dienste zugreifen können, ohne private
europäische digitale Identität (EUid) vorgeschlagen, die allen Bür- Identifizierungsmethoden nutzen oder unnötig personenbezoge-
gern, Einwohnern und Unternehmen in der EU zur Verfügung ste- ne Daten weitergeben zu müssen. Mit dieser Lösung erhalten sie
hen wird. Die Bürgerinnen und Bürger werden in der Lage sein, mit die volle Kontrolle über die Daten, die sie weitergeben.
einem Klick auf ihrem Handy ihre Identität nachzuweisen und Do- Der Rahmen für die europäische digitale Identität
kumente in elektronischer Form aus ihren EUid-Brieftaschen wei- wird für alle zur Verfügung stehen, die ihn nutzen wollen: Al-
terzugeben. Sie werden mit ihrer in ganz Europa anerkannten na- le EU-Bürger, -Einwohner und -Unternehmen, die die europäi-
tionalen digitalen Identifizierung europaweit Online-Dienste nut- sche digitale Identität nutzen möchten, werden dies tun können.
zen können. Sehr große Plattformen werden verpflichtet sein, die weithin nutzbar sein: Die EUid-Brieftaschen werden weithin ver-
Verwendung von EUid-Brieftaschen auf Verlangen des Nutzers, wendbar sein, um Nutzer zu identifizieren oder bestimmte per-
beispielsweise zum Nachweis seines Alters, zu akzeptieren. Die sönliche Attribute nachzuweisen und ihnen so Zugang zu öffent-
Verwendung von EUid-Brieftaschen wird stets im Ermessen des lichen und privaten digitalen Diensten in der gesamten Union
Nutzers liegen. zu ermöglichen.
Margrethe Vestager, die für das Ressort „Ein Europa für das di- den Nutzerinnen und Nutzern die Kontrolle über ihre Daten ge-
gitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin, sagte: „Dank ben: Die EUid-Brieftaschen werden es den Menschen ermögli-
der europäischen digitalen Identität werden wir in jedem Mitglied- chen, darüber zu entscheiden, welche Aspekte ihrer Identität,
staat ohne zusätzliche Kosten und mit weniger Hürden dasselbe Daten und Zertifikate sie an Dritte weitergeben, und den Über-
tun können wie zu Hause, ob wir nun außerhalb unseres Heimat- blick darüber zu behalten. Die Kontrolle durch die Nutzer sorgt
landes eine Wohnung mieten oder ein Bankkonto eröffnen wol- dafür, dass lediglich erforderliche Informationen weitergegeben
len. Und dies auf sichere und transparente Weise. Wir werden also werden.
selbst entscheiden, wie viele unserer persönlichen Informationen Damit der Vorschlag so bald wie möglich umgesetzt werden kann,
wir mit wem und zu welchem Zweck teilen möchten. Dies gibt uns wird er durch eine Empfehlung ergänzt. Darin fordert die Kommis-
allen die einzigartige Gelegenheit, noch besser nachzuvollziehen, sion die Mitgliedstaaten auf, bis September 2022 ein gemeinsa-
was es bedeutet, in Europa zu leben und Europäerin bzw. Europä- mes Instrumentarium zu schaffen und unverzüglich mit den erfor-
er zu sein.“ derlichen Vorarbeiten zu beginnen. Dieses Instrumentarium sollte
Der für den Binnenmarkt zuständige EU-Kommissar Thierry Bre- die technische Architektur, Normen, Leitlinien und bewährte Ver-
ton ergänzte: „Die Bürgerinnen und Bürger der EU erwarten nicht fahren umfassen.
nur ein hohes Maß an Sicherheit, sondern auch an Benutzerfreund-
lichkeit – ob sie es nun mit nationalen Verwaltungen zu tun haben, Nächste Schritte
z. B. um eine Steuererklärung abzugeben, oder sich an einer euro- Parallel zum Gesetzgebungsverfahren wird die Kommission mit
päischen Universität einschreiben wollen und sich dazu auswei- den Mitgliedstaaten und dem Privatsektor an den technischen As-
sen müssen. Die EUid-Brieftaschen bieten ihnen eine neue Mög- pekten der europäischen digitalen Identität arbeiten. Die Kommis-
lichkeit, Daten für alle Arten von Dienstleistungen zu speichern sion wird die Umsetzung des Rahmens für die europäische digita-
und zu nutzen, angefangen bei der Abfertigung am Flughafen bis le Identität als Teil des Programms „Digitales Europa“ unterstützen.
hin zur Anmietung eines Autos. Es geht darum, den Verbraucherin- Zudem sehen viele Mitgliedstaaten in ihren nationalen Plänen im
nen und Verbrauchern eine Wahl zu geben und zwar eine europäi- Rahmen der Aufbau- und Resilienzfazilität Projekte zur Umsetzung
sche Wahl. Auch unseren großen und kleinen europäischen Unter- von Lösungen für elektronische Behördendienste, einschließlich
nehmen wird die digitale Identität zugutekommen: Sie werden ein der europäischen digitalen Identität, vor.
breites Spektrum neuer Dienstleistungen anbieten können, denn
der Vorschlag liefert eine Lösung für einen sicheren und vertrau- Hintergrund
enswürdigen Identifizierungsdienst.“ Der Digitale Kompass 2030 der Kommission enthält eine Reihe von
Vorgaben und Etappenzielen, zu deren Verwirklichung die europäi-
Der Rahmen für die europäische digitale Identität (EUid-Rah- sche digitale Identität beitragen wird. So sollen bis 2030 beispiels-
men) weise alle öffentlichen Dienste online verfügbar sein, alle Bürge-
Die neue Verordnung sieht vor, dass die Mitgliedstaaten den Bür- rinnen und Bürger Zugang zu ihren elektronischen Patientenakten
gern und Unternehmen digitale Brieftaschen zur Verfügung stel- haben und 80 % der Bevölkerung eine eID-Lösung nutzen.
len, in denen sie ihre nationale digitale Identität mit den Nachwei- Bei dieser Initiative baut die Kommission auf dem bestehenden
sen anderer persönlicher Attribute (z. B. Führerschein, Abschluss- grenzüberschreitenden Rechtsrahmen für vertrauenswürdige di-
gitale Identitäten sowie auf der Initiative für elektronische Iden-
DuD • Datenschutz und Datensicherheit 8 | 2021 563DUD REPORT
tifizierung und Vertrauensdienste in Europa (eIDAS-Verordnung)
XDR-Lösung von Sophos synchronisiert
auf. Dieser Rahmen wurde 2014 geschaffen und bildet die Grundla- Endpoint-, Server-, Firewall- und E-Mail-
ge für die grenzüberschreitende elektronische Identifizierung, Au- Sicherheit
thentifizierung und Zertifizierung von Websites in der EU. Rund 60
% der Europäerinnen und Europäer können bereits vom derzeiti- Sophos stellte am 05.Mai 2021 seine neue Lösung Sophos XDR
gen System profitieren. vor. Dabei handelt es sich um die einzige Extended Detection and
Die Mitgliedstaaten sind derzeit jedoch nicht verpflichtet, über- Response (XDR)-Lösung der Branche, die Endpoint-, Server-, Fire-
haupt ein nationales digitales Identifizierungsmittel zu entwickeln wall- und E-Mail-Sicherheit synchronisiert. Mit diesem umfassen-
und dafür zu sorgen, dass es mit denen anderer Mitgliedstaaten den und integrierten Ansatz bietet Sophos XDR einen ganzheitli-
interoperabel ist. Dies führt zu großen Unterschieden zwischen chen Überblick über die Security-Umgebung eines Unternehmens,
den Ländern. Mit dem vorliegenden Vorschlag werden diese Män- kombiniert mit einem umfangreichen Datensatz sowie tiefgreifen-
gel behoben, indem die Wirksamkeit des Rechtsrahmens verbes- den Analyse-Möglichkeiten zur Erkennung und Untersuchung von
sert und sein Nutzen auf den Privatsektor und die mobile Nutzung Cyberbedrohungen inklusive entsprechender Reaktionsmaßnah-
ausgeweitet wird. men. So lassen sich selbst raffinierteste Angriffe abwehren – ins-
besondere solche, die mehrere Zugangspunkte nutzen und sich
zunächst unauffällig im Netzwerk bewegen, um der Erkennung zu
entgehen.
Wachsende Gefahr durch OAuth-Attacken
Mit den bereits vor einigen Jahren eingeführten Applikationen auf Detaillierte Bedrohungsanalyse mit umfangreichem Daten-
Basis von Open Authorization (OAuth) konnten die großen Cloud- satz
Plattformen wie Microsoft 365 und Google Workspace ihren Funk- Das Herzstück von Sophos XDR ist einer der branchenweit umfang-
tionsumfang vergrößern und gleichzeitig ihre Benutzeroberflä- reichsten Datensätze: Es werden zum einen bis zu 90 Tage On-De-
chen verbessern. Allerdings begründen diese Apps auch einen vice-Daten und zum anderen bis zu 30 Tage produktübergreifen-
neuen Bedrohungsvektor, da Cyberkriminelle verstärkt gefährli- de Daten im Cloud-basierten Data Lake gespeichert. Der einzig-
che OAuth 2.0-Anwendungen (bzw. Cloud-Malware) einsetzen, artige Ansatz, On-Device- und Data-Lake-Forensik zu kombinie-
um Daten zu stehlen und auf sensible Informationen zuzugreifen. ren, bietet umfassende und kontextbezogene Einblicke. Diese kön-
Allein im Jahr 2020 entdeckte der US-amerikanische Cybersicher- nen von Sicherheitsanalysten über Sophos Central und offene An-
heits-Experte Proofpoint mehr als 180 dieser gefährlichen Anwen- wendungsprogrammierschnittstellen (APIs) zur Einbindung in fol-
dungen. Über 55 Prozent der Kunden des Unternehmens waren da- gende Systeme genutzt werden: Security Information and Event
von betroffen und die Erfolgsquote der Angriffe lag bei 22 Prozent Management (SIEM), Security Orchestration, Automation and Res-
– ein äußerst bedenklicher Wert in Zeiten wachsender Cyberrisiken. ponse (SOAR), Professional Service Automation (PSA) und Remote
Im Zuge seiner Untersuchungen konnte Proofpoint eine Vielzahl Monitoring and Management (RMM).
von Attacken mittels OAuth-Token-Phishing bzw. dem Missbrauch Der Data Lake enthält wichtige Informationen von Intercept X,
von OAuth-Apps beobachten. Diese Form von Cyberattacke ist für Intercept X für Server, Sophos Firewall und Sophos E-Mail. Sophos
Angreifer geradezu ideal, um sich Zugang zu einem Unternehmen Cloud Optix und Sophos Mobile werden im Laufe des Jahres eben-
zu verschaffen, Angriffe auf Mitarbeiter zu initiieren und Dateien falls in die Datensammlung eingespeist. Dadurch sind Sicherheits-
sowie E-Mails von Cloud-Plattformen zu stehlen. App-Angriffe mit- und IT-Teams in der Lage, einfach auf diese Daten zuzugreifen, um
tels OAuth zielen oft auf die Konten des höheren Managements, produktübergreifende Bedrohungsuntersuchungen durchzufüh-
von Account Managern, Personalverantwortlichen und auf die Fi- ren und schnell granulare Details zu vergangenen und aktuellen
nanzabteilung ab – also auf genau die Art von Benutzern, die Zu- Angriffsaktivitäten zu erhalten. Die Verfügbarkeit des Offline-Zu-
griff auf hochsensible Daten haben. Ist ein Angriff erst einmal er- griffs auf historische Daten schützt zusätzlich vor verlorenen oder
folgreich, haben die Cyberkriminellen dauerhaften Zugriff auf E- beeinträchtigten Geräten.
Mails, Dateien, Kontakte, Notizen, Microsoft Teams-Chats und vie-
les mehr. In einigen Fällen leiten sie die Benutzer auch auf eine Phi- Neue EDR-Version
shing-Seite um, nachdem diese der Nutzung der Anwendung zu- Weiterhin hat Sophos eine neue Version seiner branchenführenden
gestimmt haben. Endpoint Detection and Response-Lösung Sophos EDR veröffent-
licht. Neue zeitgesteuerte Abfragen und anpassbare kontextbezo-
Gefährliche OAuth-Apps gene Pivoting-Funktionen bieten Sicherheitsanalysten und IT-Ad-
Im vergangenen Jahr nutzten Cyberkriminelle eine Vielzahl von ministratoren eine schnelle und präzise Identifizierung und Unter-
Techniken für ihre OAuth-Attacken wie die Imitierung von An- suchung von Sicherheitsproblemen, um schnell und gezielt reagie-
wendungen (durch Homoglyphen und gefälschte Logos bzw. Do- ren zu können. Durch die Integration mit dem Data-Science-Tool
mains). Es kamen zudem unterschiedliche Köder zum Einsatz, so SophosLabs Intelix liefert die neue Version vorkonfigurierte Abfra-
z.B. COVID-19, eine vorgebliche Mail-Quarantäne und Office-Re- gen und leistungsstarke Threat-Intelligence-Funktionen. Sophos
views von Kollegen. Die ausgeklügelten Angriffe stützten sich da- EDR-Kunden können im Data Lake auf Daten zugreifen, die sieben
bei zuweilen sogar auf Microsofts eigene Plattform, um Einladun- Tage in der Cloud gehostet sind (erweiterbar auf 30 Tage). Bei On-
gen zur Zustimmungsseite für gefährliche Anwendungen zu ge- Device-Daten ist dies bis zu 90 Tagen möglich.
nerieren.
Nähere Informationen zur wachsenden Gefahr durch OAuth-An- Sophos Adaptive Cybersecurity Ecosystem
griffe finden Sie im aktuellen Blogpost von Proofpoint. Sophos XDR und EDR sind Teil des Sophos Adaptive Cybersecurity
Ecosystem (ACE), einer neuen, offenen Sicherheitsarchitektur zur
564 DuD • Datenschutz und Datensicherheit 8 | 2021DUD REPORT
Optimierung von Threat Prevention, Detection und Response. So-
Hohe Risiken für Patientendaten und
phos ACE nutzt Automatisierung und Analysen sowie den kollek- medizinische Forschungsergebnisse
tiven Input von Sophos-Produkten, -Partnern, -Kunden sowie Ent-
wicklern und anderen Security-Anbietern. So schafft diese Archi- Der neue Datenrisiko-Report vom 11. Mai 2021 für den Gesund-
tektur einen Schutz, der sich kontinuierlich verbessert; das System heitssektor von Varonis Systems, Inc., zeigt ein enormes Ausmaß
lernt ständig dazu und entwickelt sich weiter. Sophos ACE baut auf an Exposition interner und sensibler Dateien in Krankenhäusern,
eine umfangreiche Datensammlung auf und korreliert verwertba- Biotech- und Pharmaunternehmen. So hat jeder Mitarbeiter durch-
re Erkenntnisse aus Sophos-Lösungen und -Services sowie Thre- schnittlich Zugriff auf knapp 11 Millionen Dateien, was knapp 20
at Intelligence aus den SophosLabs, Sophos AI und dem Sophos Prozent des gesamten Datenbestands entspricht. Besonders kri-
Managed Threat Response-Team. Offene Anwendungsprogram- tisch: Im Durchschnitt sind 12 Prozent der sensiblen Daten, wie For-
mierschnittstellen (APIs) ermöglichen es Kunden, Partnern und schungsergebnisse, geistiges Eigentum und Gesundheitsdaten, für
Entwicklern, Tools und Lösungen zu erstellen, die mit dem System jeden Mitarbeiter zugänglich. In kleineren Krankenhäusern und
interagieren und die Vorteile bestehender Integrationen nutzen Unternehmen (bis 500 Mitarbeiter) beträgt dieser Wert sogar 22
können. Sophos ist mit diesem Ansatz führend in der Branche und Prozent. Für den Report wurden rund drei Milliarden Dateien im
arbeitet bereits mit vielen Anbietern zusammen. Rahmen von Datenrisikobewertungen bei 58 Healthcare-Unter-
Die Wichtigkeit eines interagierenden und auf möglichst vie- nehmen weltweit (unter anderem in den USA, Deutschland, Frank-
len Datensätzen beruhenden IT-Security-Systems wird in der neu- reich und UK) analysiert.
en Sophos-Studie „Intervention halts a ProxyLogon-enabled at- „Der medizinische Bereich kämpft derzeit an mehreren Fronten:
tack“ deutlich, die einen Angriff auf ein großes Unternehmen be- So müssen Krankenhäuser nicht nur Pandemie-Opfer versorgen
schreibt. Die Attacke begann damit, dass die Angreifer einen Ex- und Pharmaunternehmen die Herstellung von Impfstoffen voran-
change-Server mit dem aktuellen ProxyLogon-Exploit kompro- treiben, sondern gleichzeitig auch eine steigende Anzahl an Cy-
mittierten und sich unbemerkt durch das Netzwerk bewegten. So berangriffen abwehren“; erklärt Michael Scheffler, Country Mana-
konnten sie über einen Zeitraum von zwei Wochen Account-An- ger DACH von Varonis. „Allein im letzten Jahr wurden bis Novem-
meldeinformationen entwenden, Domain-Controller kompromit- ber laut Bundesregierung in Deutschland 43 erfolgreiche Angrif-
tieren und sich auf mehreren Rechnern einnisten. Dabei verwende- fe auf Gesundheitsdienstleister registriert – und eine Entspannung
ten sie ein kommerzielles Remote-Access-Tool, um den Zugang zu der Lage ist nicht in Sicht.“
den gehackten Rechnern aufrechtzuerhalten und eine Reihe von Neben der verschärften Bedrohungslage muss vor allem aber
bösartigen Programmen zu verteilen. Die Studie zeigt, dass die An- auch die eigene Cyberhygiene und das damit verbundene Daten-
greifer immer wieder zurückkehrten. Dabei setzten sie manchmal risiko in den Blick genommen werden. Die jüngste Untersuchung
das gleiche Tool, wie beispielsweise Cobalt Strike, manchmal aber zeigt verschiedene Problemfelder auf, welche die Gefährdung
auch andere Tools auf verschiedenen Rechnern ein. Sie verwende- durch Datenschutzverletzungen, Insider-Bedrohungen und Ran-
ten ein kommerzielles Fernzugriffsprogramm und nicht das eher somware-Angriffe zusätzlich deutlich vergrößern:
standardmäßige RDP, nach dem IT-Security-Spezialisten normaler-
weise suchen. Zu weit gefasste Zugriffsrechte:
Dan Schiappa, Chief Product Officer bei Sophos. „Der Report ver- Im Durchschnitt sind 31.000 sensible Dateien (wie vertrauliche For-
deutlicht die Komplexität von Cyberangriffen, die von Menschen schungsergebnisse, geistiges Eigentum sowie Gesundheits- und
durchgeführt werden, und zeigt, wie schwierig es für IT-Sicherheits- andere personenbezogene Daten) für jeden Mitarbeiter zugäng-
teams ist, mehrstufige Vorfälle mit mehreren Vektoren zu verfol- lich. Hierbei handelt es sich um besonders sensible Informationen,
gen und einzudämmen. Oftmals ist es schlicht unmöglich, mit den die enormen Schaden verursachen können. Darüber hinaus ver-
Angriffsaktivitäten Schritt zu halten, die in allen Teilen des Unter- größern exzessive Zugriffsrechte die potenziellen Auswirkungen
nehmens stattfanden. Laut dem Ende April veröffentlichten So- eines Cyberangriffs, da sämtliche Daten, auf die ein kompromittier-
phos-Report State of Ransomware ist dieses Problem weit verbrei- tes Konto zugreifen kann, entwendet und/oder verschlüsselt wer-
tet. Mehr als 54 Prozent der befragten IT-Manager gaben an, dass den können (Ransomware).
Cyberangriffe zu weit fortgeschritten sind, als dass ihre IT-Teams Zeitlich unbegrenzte Passwörter geben Cyberkriminellen aus-
sie alleine bewältigen könnten. XDR ist hier eine wichtige Verteidi- reichend Zeit für ihre Angriffe. 77 Prozent der Krankenhäuser und
gungskomponente.“ Unternehmen verfügen über mehr als 500 unbefristete Nutzer-
Passwörter.
Verfügbarkeit Nicht mehr benötigte, aber noch vorhandene Nutzerkonten und
Sophos XDR sowie die aktualisierten EDR-Funktionen für Intercept Daten: Durchschnittlich werden mehr als zwei Drittel der Dateien
X Advanced with EDR und Intercept X Advanced for Server with (69 %) nicht mehr genutzt, erhöhen jedoch das Risiko für Verstöße
EDR sind ab dem 19. Mai weltweit über Sophos Partner erhältlich. gegen Vorschriften wie die DSGVO und stellen für Angreifer eine
Partner und Kunden können alle XDR- und EDR-Produktlösungen interessante Beute dar. Nicht mehr benötigte, aber nicht deakti-
auf der Cloud-basierten Sophos Central-Plattform über eine einzi- vierte Nutzerkonten, erlauben ehemaligen Mitarbeitern und Part-
ge Benutzeroberfläche einfach verwalten. nern unnötigen Zugang zu Informationen und eignen sich ideal
für Cyberkriminelle, um sich unauffällig in den Systemen zu bewe-
gen. 79 Prozent der Unternehmen verfügen über mehr als 1.000
solcher Konten.
Der komplette Report kann hier heruntergeladen werden:
https://www.varonis.com/blog/2021-healthcare-data-risk-report/
DuD • Datenschutz und Datensicherheit 8 | 2021 565DUD REPORT
TeleTrusT unterstützt Initiative INFODAS: SDoT Diode und Gateway Express
gegen Mitwirkungspflicht für für den Einsatz in Fahrzeugen
Kommunikationsdienste
Der Erfolg von militärischen Operationen hängt zunehmend von
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) unterstützt ge- der digitalen Vernetzung sämtlicher Einheiten, Sensoren und Effek-
meinsam mit anderen Verbänden und Unternehmen eine konzer- toren ab. Basierend auf den bis GEHEIM, NATO SECRET und EU SEC-
tierte Initiative gegen die geplante Mitwirkungspflicht für Kommu- RET zugelassenen SDoT Cross Domain Solutions, wurde die robuste
nikationsdienste bei staatlicher Überwachung und gegen die ge- COMP-LAND Serie für den Einsatz auf taktischer Ebene u.a. in Fahr-
zielte Schwächung von Verschlüsselung. zeugen entwickelt und am 17. Mai 2021 veröffentlicht. Feuchtig-
Mit Blick auf das anstehende „Gesetz zur Anpassung des Verfas- keit, Wärme, Staub oder Vibration stehen dem digitalen Datenaus-
sungsschutzrechts“ wenden sich Fachkreise gegen eine Auswei- tausch zwischen normalerweise abgeschotteten Systemen unter-
tung staatlicher Überwachung und die Schwächung verschlüssel- schiedlicher Geheimhaltungsstufen nicht mehr im Weg.
ter Kommunikation von Nutzern digitaler Dienste wie E-Mail, Vo- Der schnelle und kontrollierte Datenaustausch zwischen mobi-
iP oder Messenger-Anwendungen. Unter der Federführung von len, verlegefähigen und stationären Systemen unterschiedlicher
facebook Deutschland wird anlässlich der für den 14.05.2021 an- Einstufungen unabhängig von ihrer Lage ist Grundlage der militä-
gesetzten Expertenanhörung im BT-Innenausschuss ein detaillier- rischen Zukunftsplanungen der NATO Staaten. Dies erhöht die Re-
tes Schreiben an Mitglieder des Deutschen Bundestages bzw. die aktionsgeschwindigkeit, spart Bandbreite oder Platz in Fahrzeugen
Bundesregierung übersandt. durch die direkte Verbindung von Systemen an entfernte Speicher
Im Besonderen geht es dabei um vorgesehene Mitwirkungs- und Computing Umgebungen oder relevante Einheiten mit res-
pflichten für Unternehmen bei der Implementierung von Über- triktiveren Zugriffsrechten auf eingestufte Informationen. Das bi-
wachungsmaßnahmen der Nachrichtendienste und Sicherheits- direktionale SDoT Security Gateway Express und die unidirektio-
behörden. Aus Sicht der Unterzeichner sind Folgewirkungen gra- nale SDoT Diode sind nun zusätzlich zur 19-Zoll-Version auch als
vierend für die Cybersicherheit in Deutschland. Beispielsweise dro- COMPACT-LAND (COMP-LAND) für den Einsatz in mobilen Syste-
hen nicht nur ernste Gefahren für die sichere Kommunikation zwi- men und unter extreme Einsatzumgebungen verfügbar.
schen Journalistinnen und Journalisten mit ihren Quellen, sondern SDoT COMP-LAND unterstützt TCP und UDP-basierte Kommu-
ist verschlüsselte Kommunikation oftmals das einzige Mittel für zi- nikation unter anderem über HTTP/S sowie SMTP/S und erlaubt
vilgesellschaftliche Organisationen, um mit besonders Schutzbe- das Filtern zahlreicher Datenformate wie JREAP, JSON, XML, ASCA,
dürftigen in Verbindung zu treten. ASTERIX, NMEA, DIS, HLA oder ADatP3. SDoT Produkte werden in
Bedenken und Kritik richten sich gegen die weite und unklare Deutschland nach Security by Design Prinzipien entwickelt, produ-
Fassung der Mitwirkungspflicht, wonach ausdrücklich alle Tele- ziert und kontinuierlich vom Bundesamt für Sicherheit in der Infor-
kommunikationsdienste – was auch Messenger und E-Mail um- mationstechnik (BSI) evaluiert. Sie sind im NATO Information Assu-
fasst – Nachrichtendienste bei der Realisierung von Quellen-Tele- rance Product Catalogue (NIAPC) gelistet und sind ITAR frei, unter-
kommunikationsüberwachung (Quellen-TKÜ) unterstützen sol- liegen jedoch der Exportkontrolle.
len. So könnten zukünftig Messenger-Dienste wie beispielsweise „Daten und Datenaustausch sind stärker denn je Kernelemen-
Threema, Signal oder WhatsApp, aber auch E-Mail- oder Videokon- te zukünftiger Systemarchitekturen Rüstungsvorhaben Mit COMP-
ferenzdienste je nach Gesetzesauslegung mit Anfragen und dem LAND erlauben wir der Bundeswehr und Herstellern von Rüstungs-
Verlangen von Sicherheitsbehörden konfrontiert werden, Schad- gütern den Datenaustausch zwischen Systemen unterschiedlicher
software auf den Endgeräten der Nutzer zu platzieren. Anbieter Einstufungen auch unter extremen Einsatzbedingungen zu reali-
müssten potentielle Sicherheitslücken vorhalten. Die Kenntnis da- sieren“, so Marc Akkermann, Director National Sales der INFODAS
rüber könnte fremden Nachrichtendiensten oder Cyberkriminel- GmbH. „Die SDoT Produktfamile bietet darüber hinaus Betreibern
len nützlich sein. Damit konterkariert die Anpassung des Verfas- kritischer Infrastrukturen (KRITIS) die Möglichkeit IT/OT Verbindun-
sungsschutzrechts auch die erst kürzlich verabschiedete Novelle gen für Anlagen in dislozierten Lokationen sicher herzustellen“.
des IT-Sicherheitsgesetzes (ITSIG 2.0) und das Datenschutzrecht all-
gemein, denn einerseits sollen Anbieter größtmögliche Vertrau-
lichkeit und Datensicherheit gewährleisten, andererseits könnten
sie zur Mitwirkung bei der Schwächung IT-Sicherheit zum Zwecke
150 Millionen Angriffs-E-Mails in 2020,
staatlicher Ausspähung verpflichtet werden. Tendenz weiter steigend
Sichere Verschlüsselung ist darüber hinaus ein bedeutsamer
Wirtschaftsfaktor. Für viele IT-Unternehmen ist das Angebot si- Fast 60 Millionen Angriffs-Mails via Microsoft 365 und 90 Millio-
cherer und verschlüsselter Kommunikation (insbesondere mittels nen via Google – das ist die erschreckende Bilanz, die der US-Cy-
Technologie „Made in Germany“/“Made in the EU“) auch ein wich- bersecurity-Spezialist Proofpoint am 20, Mai 2021 nach einer Ana-
tiges und wachsendes Geschäftsfeld. Sollten aufstrebende Unter- lyse der Cyberbedrohungen für 2020 veröffentlicht hat. Cyberkri-
nehmen künftig dazu verpflichtet werden können, Behörden Zu- minelle nutzen ganz offensichtlich die umfangreiche Funktionali-
gang zur Kommunikation ihrer eigenen Geschäftskreise zu gewäh- tät und nahezu grenzenlose Skalierbarkeit von Diensten wie Mic-
ren, wird dies zu einem Vertrauensverlust gegenüber einer ganzen rosoft 365, Azure, OneDrive, SharePoint, G-Suite und Firebase Sto-
Zukunftsbranche führen. Die Vorhaben der Bundesregierung sind rage um digitale Angriffe auszuführen. Mehr als ein Viertel davon
damit vor allem auch schädlich für die Innovationskraft der hiesi- (27 %) liefen über den Google-Mail-Service Gmail. Da es sich hier
gen Digitalwirtschaft. ausschließlich um eine Analyse von Angriffen handelt, die auf Kun-
den von Proofpoint abzielten, ist der tatsächliche Wert kaum zu er-
mitteln. Der Trend ist jedoch ungebrochen, im ersten Quartal 2021
566 DuD • Datenschutz und Datensicherheit 8 | 2021DUD REPORT
wurden bereits mittels Microsoft 365 sieben Millionen gefährliche mittelbar verbindliche Regelungen für den Datenschutz in der ge-
Nachrichten verbreitet und im Falle weiterer 45 Millionen nutzten samten Europäischen Union. Sie hat damit die Diskussion über Not-
die Täter die Google-Infrastruktur. wendigkeit und Inhalt des Datenschutzes gefördert und den Res-
Das Volumen gefährlicher Nachrichten, die mittels dieser in der pekt vor den Grundrechten der betroffenen Personen gestärkt. Ins-
Wahrnehmung vieler doch sehr vertrauenswürdigen Cloud-Diens- besondere mit ihren am Wettbewerbsrecht orientierten Sanktions-
te versendet wurden, übertraf dabei sogar das aller Botnets im Jahr drohungen, aber auch mit ihrer Etablierung unabhängiger, star-
2020. Da die Angreifer hierzu eben auch Domains wie „outlook. ker Aufsichtsbehörden hat sie viel Aufmerksamkeit für den Daten-
com“ und „sharepoint.com“ nutzen, die bisher häufig als seriöse schutz bewirkt.
Quelle galten, wird die Erkennung von Attacken immer schwieri- Trotz dieser Stärkung des Datenschutzes waren die Befürchtun-
ger. Daraus resultiert auch, dass etwa die Hälfte aller betroffenen gen vor einer unangemessenen Datenschutzbürokratie übertrie-
Unternehmen anschließend mit mindestens einer Kompromittie- ben. Die Praxis hat gezeigt, dass die Umstellung auf die neue Daten-
rung konfrontiert war. Bei einem Drittel der von einer Kompromit- schutzordnung am Ende gar nicht so aufwändig war, wie ihre Geg-
tierung betroffenen Organisationen wiederum konnten Aktivitä- ner vorausgesagt hatten. Die Datenschutz-Grundverordnung führt
ten wie Dateimanipulation, E-Mail-Weiterleitung und Vorfälle in Zu- weit überwiegend die Regelungen der in Deutschland geltenden
sammenhang mit OAuth festgestellt werden. vorherigen Datenschutz-Richtlinie fort. Wer sich vor der Geltung
Gleichzeitig missbrauchen Angreifer diese Konten sodann, um der Datenschutz-Grundverordnung bereits an die Datenschutzre-
scheinbar legitime E-Mails an Kolleginnen und Kollegen, Kunden geln gehalten hatte, musste nur wenig in seiner praktischen Arbeit
oder Partner im Namen des Mitarbeiters oder der Mitarbeiterin zu umstellen. Gesetzgeberische Innovationen der Verordnung wie der
versenden, beispielsweise um ausstehende Zahlungen von Rech- Erlass von Verhaltensregeln oder die Zertifizierung von Verarbei-
nungen oder Gehälter auf Konten der Kriminellen umzuleiten. tungsvorgängen sind in der Praxis noch kaum angenommen wor-
Es gilt also, wirklich bei jeder Nachricht die Augen offen zu hal- den. Sie könnten zu weiteren Erleichterungen führen.
ten und im Zweifel über einen anderen Kanal, der andere Anmel-
dedaten nutzt, also z.B. per Telefon nachzufragen, ob die angeb- Die Intention war gut – doch bisher bleibt Manches hinter
lich neuen Kontodaten wirklich diejenigen des mutmaßlichen Ab- den Erwartungen zurück
senders oder der Absenderin sind. Drei Jahre Datenschutzpraxis lassen aber auch Schwachstellen der
Datenschutz-Grundverordnung immer deutlicher werden. Sie hat
zum einen nicht zu einer einheitlichen Datenschutzpraxis in der
Europäischen Union geführt: Die Abstraktheit vieler Regelungen
Bilanz nach drei Jahren DSGVO lässt Raum für unterschiedliche Interpretationen und die vielen
Die DSGVO hat in Sachen Grundrechtsschutz eine Vorreiter-Rol- Öffnungsklauseln eröffnen Spielräume für divergierende Geset-
le gespielt, viele Staaten sind mittlerweile ihrem Beispiel gefolgt. ze in den Mitgliedstaaten. Hinsichtlich der Abstimmung der unab-
Ihre Grundsätze sind Bedingungen für eine lebenswerte, digitale hängigen Aufsichtsbehörden hat sie komplizierte Verfahren vor-
Gesellschaft. Doch bisherige Rechtslücken werfen viele Fragen auf gesehen, die eine einheitliche Zielsetzung und einen Kulturwan-
– und werden vor allem von mächtigen Datenverarbeitern, wie glo- del voraussetzen, der (noch) fehlt. Zum anderen hat sie die not-
balen Konzernen, ausgenutzt. wendige Modernisierung des Datenschutzes angesichts der He-
„Der größte Erfolg der Datenschutz-Grundverordnung ist, dass rausforderungen von modernsten Informationstechniken wie Big
sie die Werte zum Ausdruck bringt, auf die sich die Mitgliedstaaten Data, Internet der Dinge oder Künstlicher Intelligenz verfehlt: Sie
der Europäischen Union für ihren Weg in die digitale Gesellschaft enthält überwiegend abstrakte, technik- und risikoneutrale Rege-
geeinigt haben. Ihre Grundsätze, um die Grundrechte auf Daten- lungen, die in der Praxis nur schwer und hochumstritten zu kon-
schutz und Selbstbestimmung auszugestalten, sind Bedingungen kretisieren sind. Beispiele hierfür sind etwa die notwendige Abwä-
für eine lebenswerte Gesellschaft“, so Alexander Roßnagel, Spre- gung bei datengetriebenen Geschäftsmodellen zwischen berech-
cher des Forschungsverbunds „Forum Privatheit“ und Professor für tigten Interessen des Verantwortlichen und schutzwürdigen Inte-
Öffentliches Recht an der Universität Kassel am 02. Juni 2021. ressen der betroffenen Person, ohne dass die Verordnung hierfür
Denn die DSGVO fordere eine ausreichende Transparenz der geeignete Kriterien vorgibt. Ein anderes Beispiel sind die unzäh-
Datenverarbeitung für die betroffenen Personen, die Bindung der ligen Streitverfahren über den Umfang des Auskunftsanspruchs.
Datenverarbeitung auf die Zwecke einer legitimen Datenerhebung, Die mangelnde Bestimmtheit vieler Regelungen der Verordnung
die Minimierung des Personenbezugs der Daten auf das zur Zweck- bindet täglich Millionen von Arbeitsstunden und behindert Inno-
erreichung Notwendige und die Gewährleistung von Datenschutz vationen und Investitionen.
durch die technisch-organisatorische Gestaltung der Verarbeitungs-
systeme. „Damit zeigt die Verordnung einen dritten Weg der welt- Rechtslücken werden vor allem von mächtigen Datenver-
weiten Digitalisierung auf – zwischen der Kontrolle des Alltagslebens arbeitern ausgenutzt
in China und der Datenausbeutung des kalifornischen Digitalkapita- In Lücken, die das Recht lässt, dringt immer gesellschaftliche Macht
lismus“, konstatiert Roßnagel. Diesen Weg wollten mittlerweile viele ein. Solche Lücken werden vor allem von globalen Konzernen und
Staaten der Welt mitgehen und gäben sich Datenschutzgesetze, die anderen mächtigen Datenverarbeitern genutzt, um ihre Interessen
an der Datenschutz-Grundverordnung orientiert sind. – oft zu Lasten der betroffenen Personen – durchzusetzen. Defizite
in der Gesetzgebung nachträglich auszugleichen, verursacht sehr
Einheitlich verbindliche Regelungen für den Datenschutz in viel Arbeit für die Aufsichtsbehörden. Fortschritte in der Daten-
der gesamten Europäischen Union schutzpraxis zeigen sich vor allem dort, wo der Europäische Daten-
Für den zunehmenden Umgang mit personenbezogenen Daten schutzausschuss, die Konferenz der unabhängigen Aufsichtsbe-
bietet die Datenschutz-Grundverordnung erstmals einheitliche un- hörden des Bundes und der Länder oder einzelne Aufsichtsbehör-
DuD • Datenschutz und Datensicherheit 8 | 2021 567DUD REPORT
den für Rechtsklarheit gesorgt haben – aber immer unter dem Risi- Beispiele für zusätzliche Maßnahmen und Bedingungen für
ko, dass diejenigen, die damit nicht einverstanden sind, die Gerich- die Wirksamkeit von zusätzlichen Maßnahmen.
te anrufen. Dies hätte oft durch wenige risikoorientierte Festlegun- Außerdem hat der EDSA dazugehörige Empfehlungen zu den
gen des Unionsgesetzgebers vermieden werden können. grundlegenden europäischen Garantien für Überwachungsmaß-
„Die europäische und die deutsche Gesetzgebung sollte für nahmen verabschiedet. Diese helfen Datenexporteuren festzustel-
künftige Digitalisierungsprojekte aus den Erfahrungen mit der len, wie der Rechtsrahmen im Drittland, der den Zugang von Be-
Datenschutz-Grundverordnung lernen“, meint Forum Privatheit- hörden zu Daten für Überwachungszwecke regelt, die Verpflich-
Sprecher Alexander Roßnagel. tungen des Übertragungsinstruments nach Artikel 46 DS-GVO be-
Dieser Wunsch scheint zumindest bei der Europäischen Kommis- rührt.
sion angekommen zu sein. In ihrem Entwurf für eine Verordnung Datenexporteure müssen ihren Entscheidungsprozess wegen
zur Regulierung künstlicher Intelligenz hat sie die strikte Technik- der Rechenschaftspflicht gründlich dokumentieren. Die Datenex-
und Risikoneutralität in der Regulierung aufgegeben und regelt porteure sind dafür verantwortlich, die konkrete Beurteilung im
bereichs- und anwendungsspezifisch, wie Risiken für Grundrechte Zusammenhang mit der Übermittlung, dem Recht des Drittlandes
durch Künstliche Intelligenz abgewehrt werden können. und dem Übertragungsinstrument, auf das sie sich stützen, vor-
Im Forum Privatheit setzen sich Expertinnen und Experten aus zunehmen.
sieben wissenschaftlichen Institutionen interdisziplinär, kritisch
und unabhängig mit Fragestellungen zum Schutz der Privatheit
auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Wei-
tere Partner sind das Fraunhofer SIT, die Universität Duisburg-Es-
Verbraucherdaten in Treuen Händen?
sen, das Wissenschaftliche Zentrum für Informationstechnik-Ge- Mit der zunehmenden Digitalisierung durchdringen internet-
staltung (ITeG) der Universität Kassel, die Eberhard Karls Universi- basierte Dienste den Konsumalltag von Verbraucher:innen. Der
tät Tübingen, die Ludwig-Maximilians-Universität München sowie Schutz der eigenen Daten wird immer komplexer und aufwändi-
das Unabhängige Landeszentrum für Datenschutz Schleswig-Hol- ger. Verbraucher:innen müssen sich mit einer Vielzahl von Sicher-
stein. Das Bundesministerium für Bildung und Forschung fördert heits- und Datenschutzthemen auseinandersetzen, die sich zu-
das Forum Privatheit, um den öffentlichen Diskurs zu den Themen dem häufig ändern. Dabei wird die Verantwortung für die digita-
Privatheit und Datenschutz anzuregen. le Selbstbestimmung vor allem den Verbraucher:innen zugescho-
ben, ohne dass diese in die Lage versetzt werden, diese Verantwor-
tung auch übernehmen zu können.
Eine Möglichkeit zur Entlastung der Verbraucher:innen sind
Empfehlungen zum Datentransfer in Datentreuhänder, die insbesondere durch die Fokussierung auf
Drittländer nach dem „Schrems II“-Urteil Personal Information Management-Systemen (PIMS) im Gutach-
ten der Datenethikkommission aus dem Jahr 2019 in den Fokus
Der Europäische Datenschutzausschuss (EDSA) gibt Empfehlun- geraten sind. Der Begriff des Datentreuhänders ist aber nicht klar
gen zu ergänzenden Maßnahmen für Übertragungsinstrumente definiert, unterschiedliche Dienste und Angebote fallen unter die-
zur Gewährleistung des EU-Schutzniveaus. Eine Roadmap in eng- sen Oberbegriff.
lischer Sprache informert über die Schritte einer zulässigen Daten- Deshalb möchte die Verbraucherzentrale NRW mit Unterstüt-
übermittlung. Außerdem gibt der EDSA Hinweise zu grundlegen- zung durch das Institut für Verbraucherinformatik der Hochschu-
den europäischen Garantien für Überwachungsmaßnahmen. le Bonn-Rhein-Sieg (IVI) die wissenschaftliche Expertise zum The-
Beide Dokumente wurden im Anschluss an das „Schrems II“- ma Datentreuhänder in einer durch das Ministerium für Umwelt,
Urteil des Europäischen Gerichtshofs (EuGH) von den europäischen Landwirtschaft, Natur- und Verbraucherschutz des Landes Nord-
Datenschutzaufsichtsbehörden ausgearbeitet. Ziel ist die einheit- rhein-Westfalen geförderten Online-Vortragsreihe bündeln und
liche Anwendung der Datenschutz-Grundverordnung (DS-GVO) mit verbraucherpolitischen Akteuren sowie einer interessierten
und des Urteils. Öffentlichkeit diskutieren. Angesichts des fortschreitenden Tem-
Die Empfehlungen zu den ergänzenden Maßnahmen werden pos der europäischen und nationalen Regulierung in diesem Be-
bis zum 30. November 2020 einer öffentlichen Konsultation unter- reich und der aktuellen Unklarheit über Ausgestaltung, Rolle und
zogen. Zielsetzung ist eine wissenschaftliche Auseinandersetzung über
Als Folge des „Schrems II“-Urteils sind für die Verantwortlichen dieses Thema unerlässlich.
weitere Pflichten entstanden. Sie sind verpflichtet zu prüfen, ob Geplant sind monatliche Vortragstermine, die separat angekün-
das Recht des Drittlandes für die übermittelten personenbezoge- digt werden. Der letzte Vortrag ist für den Februar 2022 geplant.
nen Daten im Wesentlichen ein im Europäischen Wirtschaftsraum Zur Vortragsreihe gibt es einen Call for Papers. Interessierte Wis-
garantiertes Schutzniveau gewährleistet. Das betrifft insbesonde- senschaftler:innen können bis zum 17. Januar 2022 ihre Beiträge
re das Instrument der Standardvertragsklauseln (SCC). einreichen.
Wenn die in den SCCs enthaltenen Schutzmaßnahmen für die Die Reihe startete im Rahmen des bundesweiten Digitaltags
Übermittlung in ein bestimmtes Drittland nicht ausreichen, fordert 2021 am 18. Juni 2021.
der EuGH ergänzende Maßnahmen. Weitere Informationen zu der Online-Vortragsreihe, zur An-mel-
Die Empfehlungen unterstützen die Verantwortlichen und demöglichkeit und zum Call for Papers: www.verbraucherforschung.
Auftragsverarbeiter, die als Datenexporteure tätig sind, bei ihrer nrw/zu-treuen-haenden-tagungsreihe-datenintermediaere-daten-
Pflicht, geeignete ergänzende Maßnahmen aufzufinden und um- treuhaender-60831
zusetzen. Dazu enthalten die Empfehlungen Prüfschritte,
568 DuD • Datenschutz und Datensicherheit 8 | 2021DUD REPORT
Künstliche Intelligenz / Menschen gehen mit griffe, bei der ein Angreifer Daten auf dem Kommunikationsweg
Maschinen rücksichtslos um zwischen Lesegerät und Transponder unbemerkt abfängt und mo-
difiziert weiterleitet. Mit dieser Methode kann ein Hacker auch eine
Wissenschaftler der Ludwig Maximilians Universität München Transaktion bewusst verzögern und die Karte im aktiven Status hal-
(LMU) und der Universität London haben untersucht, ob sich Men- ten, auch wenn Sie bereits vom Lesegerät entfernt wurde. So ver-
schen im Umgang mit Systemen der Künstlichen Intelligenz (KI) schafft er sich beispielsweise Zugang zu einem öffentlichen Ver-
genauso kooperativ verhalten wie gegenüber ihren Mitmenschen. kehrsmittel, obwohl das Ticket bereits abgelaufen ist.
Von Künstlicher Intelligenz wird erwartet, dass sie Rücksicht auf
den Menschen nimmt. Doch umgekehrt kann davon keine Re- Secure Unique NFC (SUN)
de sein. Auch Secure Unique NFC Message (SUN) gehört zu den neuen
Online-Experimente belegen, dass Menschen Maschinen aus- Sicherheitsfunktionen des EV3. Bereits bekannt vom NTAG® 413
nutzen und dabei keine Schuldgefühle entwickeln. DNA Chip, wird bei jedem Tap, also jedem Auslesen einer NFC-In-
Eine Thematik, die in Zukunft eine besondere Relevanz in unse- formation, ein eindeutiger Code und eine kryptosichere URL ge-
rem Alltag haben wird, wenn wir an das Autonome Fahren denken. neriert, die an die NDEF-Nachricht (die NFC Information) angehan-
„Kooperation hält unsere Gemeinschaft zusammen. Sie erfordert gen wird. Der Code kann zur verifizierung direkt über den URL an
Kompromiss- und Risikobereitschaft, da das Vertrauen, das wir an- einen Backendserver übertragen werden. Ist er einzigartig und au-
deren entgegenbringen, immer auch ausgenutzt werden kann“, er- thentisch sind Vertraulichkeit und Integrität der Daten gegeben.
klärt Jurgis Karpus, Ph.D., Mitarbeiter am Lehrstuhl für Philosophy Dieses Verfahren ist bisher die sicherste Kommunikationsform zwi-
of Mind der LMU. „Der Autoverkehr ist dafür ein gutes Beispiel: Wir schen einem NFC-Tag und Endgerät.
verlieren etwas Zeit, wenn wir jemandem Vorfahrt gewähren, und
sind verärgert, wenn andere es uns nicht gleichtun.“ MIFARE 2GO
Im Rahmen der Studie wurden in Online-Experimenten verschie- Der MIFARE DESFire EV3 ist kompatibel mit dem neuen Cloud-ba-
dene Situationen mit Methoden der verhaltensorientierten Spiel- sierten Service MIFARE 2GO von NXP. Dieser verwaltet digitale Be-
theorie modelliert, in denen Mensch und Maschine zusammen- rechtigungen und macht Sie für sämtliche NFC-fähige Geräte wie
treffen. Smartcards, Smartphones, Tags und Wearables zugänglich und
„Unsere Studie zeigt, dass Menschen Maschinen zunächst dassel- nutzbar. Mit der passenden Infrastruktur können Nutzer mit MIFA-
be Vertrauen entgegenbringen wie ihren Mitmenschen: Die meis- RE 2GO neue Funktionen selbstsändig auf Ihre Karte, das Smart-
ten gehen davon aus, auf Kooperationsbereitschaft zu treffen“, sagt phone oder die Watch laden.
Karpus. Doch dann beginnen die Unterschiede: „Menschen sind Natürlich ist der EV3 vollständig abwärts kompatibel und bringt
sehr viel weniger bereit, sich einer KI gegenüber reziprok zu ver- alle Funktionen der vorherigen Generationen mit. Wie bereits beim
halten als gegenüber einem Menschen. Sie beuten sogar die ‚Gut- EV2 ist die Sicherheit von Hard- und Software des neuen DESFire
mütigkeit‘ der Maschine zum eigenen Vorteil aus. Im Autoverkehr nach Common Criteria EAL 5+ zertifiziert. Es steht eine breite Aus-
würde ein Mensch einem menschlichen Fahrer die Vorfahrt gewäh- wahl an offenen Kryptoalgorithmen auf Basis des “Data Encryption
ren, nicht jedoch einem selbst fahrenden Auto.“ Standard” (DES) 2K3DES, 3K3DES oder des Advanced Encryption
Im Laufe der Experimente erwies sich dieses Muster als so kon- Standard (AES) zur Verfügung. Ein kartengenerierter MAC hilft zu-
sistent, dass in der Studie die Rede von einer „Ausbeutung von Al- sätzlich bei der sicheren Authentifizierung von Transaktionen. Für
gorithmen“ ist. „Dieser Widerwillen zur Kooperation mit Maschinen die Abwehr von Delay-Angriffen ist auch der bekannte Proximity-
ist eine Herausforderung für die zukünftige Interaktion zwischen Check mit dem MIFARE DESFire EV3 möglich.
Mensch und KI“, sagt Jurgis Karpus.
Kontakt: Zusammenfassung der wichtigsten Features
Lehrstuhl für Philosophy of Mind, Ludwig-Maximilians-Universi- Transaction-Timer zur Abwehr von Man-in-the-Middle-Angriffen
tät München: https://ots.de/rdnZES SUN (Secure Unique NFC) Nachrichtenauthentifizierung für er-
weiterten Datenschutz
Flexible Dateistruktur ermöglicht so viele Anwendungen wie die
Speichergröße unterstützt
Der neue MIFARE® DESFire® EV3 Chip von NXP NFC-Forum-Tag-Typ-4-konform
Im Juni 2020 präsentierte NXP erstmals die dritte Generation des Kartengenerierter MAC zur Authentifizierung von Transaktionen
MIFARE® DESFire® Chips. Mit dem EV3 setzt NXP neue Maßstäbe in Proximity Check zur Abwehr von Delay-Angriffen
Sachen Sicherheit, Konnektivität und Nutzerkomfort. Im Vergleich
zu seinen Vorgängern bietet das neue Mitglied der MIFARE-Familie Typische Anwendungen
eine höhere Leistung mit größerer Lesereichweite und verbesserter SmartCity
Transaktionsgeschwindigkeit. Doch die wohl größten Neurungen ÖPNV – Öffentliche Verkehrsmittel
des DESFire EV3 finden sich in den Sicherheitsfeatures: Zutrittsmanagement
Mikropayment (in geschlossenen Kreisläufen)
Transaction Timer Campuskarten, Studentenausweise und Schülerausweise
Der neue Transaktions-Timer ermöglicht es, eine maximale Dauer Kundenkartensysteme
pro Transaktion für jede Applikation vorzugeben. Läuft der Timer
aus, bevor eine Transaktion abgeschlossen ist, werden die Ände-
rungen zurückgesetzt und die aktuelle Transaktion abgebrochen.
Diese Funktion dient der Abwehr sogenannter Man-in-Middle-An-
DuD • Datenschutz und Datensicherheit 8 | 2021 569Sie können auch lesen
