Was man bei der Verarbeitung personenbezogener Daten im Internet beachten sollte

Ausgangssituation

Eine vielzahl an Firmen nutzt Programme für Kundenbeziehungsmanagement, wie beispielsweise vTiger, als Anwendung im Internet. In diesem Fall befindet sich der Server, auf dem die Anwendung läuft, im Rechenzentrum eines Internet Service Providers, und die Mitarbeiter der Unternehmung greifen über das Internet darauf zu, um unter anderem personenbezogene Daten wie Kundenadressen zu bearbeiten.

Datenübertragung CRM

Datenübertragung vom Arbeitsplatz zum Rechenzentrum

Dabei wird meist außer Acht gelassen, dass Angriffe im Sinne einer Computersabotage und der unerlaubten Ermittlung von Fremddaten, in der heutigen Zeit gerade sehr häufig stattfinden, und ein erhebliches Gefährdungspotential auch für kleinere und mittelständische Unternehmen besteht. Wie man auf der Website der Deutschen Telekom Sicherheitstacho entnehmen kann, ist Deutschland ein bevorzugtes Angriffsziel.

Beispielhafte Angriffsszenarien

Kompromittierung der Serverinfrastruktur durch einen direkten Angriff auf potentielle Schwachstellen.

Eine Ausnutzung solcher Schwachstellen könnte beispielsweise ein wenig gewartetes Serverbetriebssystem sein, oder Fehler in den verwendeten Programmen, die durch einen externen Angreifer ausgenutzt werden können, um Zugriff zu erlangen. Beispielhaft sei hier die Ausnutzung des SSH Dienstes durch ein Linux Root Kit genannt, durch den dann ungehindert Informationen nach außen übermittelt werden. Insbesondere kleinere Firmen, die solche Systeme selbst betreiben, aber meist nicht über ausreichendes Know-how und Kapazitäten verfügen, das System ständig aktuell und gewartet zu halten, oder die sich auf externe Dienstleister verlassen, die eher unzuverlässig arbeiten, sind hiervon betroffen.

Besonders gravierend ist, dass ein solcher Angriff nicht unmittelbar auffällt. Meist werden unspezifische Symptome des Systems ignoriert, zumal das Ausfallszenario für die meisten Firmen, aufgrund fehlender Datensicherungen, dann erhebliches Unbehagen bereitet.

Man-in-the-middle-Angriff in den genutzten Rechnernetzen bei unverschlüsseltem oder nur unzureichend verschlüsseltem Datenverkehr

Bis ein Datenpaket vom Absender zum Empfänger gelangt, muss er viele Knotenpunkte unterschiedlicher Netzwerke passieren. Hier könnte eine Dritte Person, in dem Fall der Angreifer, die Datenpakete abfangen, und entsprechend analysieren, ohne dass dem Absender oder Empfänger das auffällt. Dies kann man sich wie die Postkontrolle in totalitären Staaten vorstellen, in denen Briefe meist unter Wasserdampf geöffnet wurden, und der Inhalt so festgestellt werden konnte.

man in the middle

Man in the Middle Angriff

Auch in dem Fall gelangt der Angreifer sowohl an personenbezogene Daten als auch ggf. an Zugangsdaten, die in manchen Fällen ebenfalls unverschlüsselt versendet werden.

Page 1 of 3 | Next page