EU-Datenschutzgrundverordnung DSGVO / GDPR – Ein drohender Phishing-Tsunami?

Hintergrund – Die neue EU-Datenschutzgrundverordnung DSGVO

Zum 25.05.2018 läuft die Übergangsfrist zur Einführung und Umsetzung der neuen europäische Datenschutzgrundverordnung DSGVO (engl. General Data Protection Regulation GDPR) in den Einzelstaaten ab und wird verbindlich angewandt. Ein Ziel der vom europäischen Parlament beschlossenen Verordnung ist die Harmonisierung der Datenschutzgesetze in der EU. Unter anderem verlangt die DSGVO von Unternehmen, dass sie eine Einverständniserklärung aller Personen einholen, über die sie Informationen zusammentragen. Zudem dürfen personenbezogene Daten nur mit rechtsgültiger Begründung erfasst und genutzt werden. Wird gegen die Verordnung verstoßen, können auf das entsprechende Unternehmen Strafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes zukommen.

 

Datenschutz vs. Kriminalitätsbekämpfung?  WHOIS everywhere!

Im Zuge der DSGVO betroffen und zurzeit besonders heiß diskutiert sind die WHOIS-Datenbanksystem. In diesem werden umfassende Informationen gespeichert, mit denen Internet-Domains, IP-Adressen und insbesondere Kontaktdaten der Eigentümer bestimmt werden können. Kritiker von WHOIS bemängeln, dass diese sensiblen Daten routinemäßig geplündert und missbraucht werden – einschließlich von Spammern, Betrügern, Phishern und Stalkern. Datenschutzaktivisten führen weiter aus, dass Daten im Zusammenhang mit Domänen- und Internetadressenregistrierungen, wie Nameserver, IP-Adressen und Registrierungsdaten, generell als private Informationen betrachtet und geschützt werden sollten.

 

Experten fürchten Freifahrtschein für Bad Guys  

Sicherheitsexperten wie Brian Krebs hingegen befürchten, dass Cyberkriminelle am Ende die größten Nutznießer einer strengen Anwendung der neuen DSGVO sein könnten. Zwar würden die WHOIS-Datensätze gelegentlich gehackt und zum Beispiel für Phishing-Attacken genutzt. Allerdings sei WHOIS auch für die Entdeckung und Verfolgung von Internet-Kriminellen, wie Phishern, Scammern und Social Engineers unerlässlich. So nutzen diese Betrüger häufig spezielle Domains, z.B. besonders neutral klingende Adressen oder solche, die großen und bekannten Namen ähneln. Über eine WHOIS-Abfrage kann dann schnell ermittelt werden, wer zumindest direkt hinter der Domain steht. Ein Abschotten der Daten im Rahmen einer strengen Lesart der DSGVO würde aber genau dies verhindern. Brian Krebs argumentiert zudem, dass ein Sperren der WHOIS-Daten auch nur Sinn mache, wenn diese gar nicht erst erhoben würden, da jede Schutzmaßnahme wiederum durchbrochen werden könne. Die Abschottung habe vielmehr den gegenteiligen Effekt, da sie Sicherheitsfirmen und Ermittlungsbehörden bei der Verfolgung behindere und den Hackern ein Abtauchen erleichtere. Die Folge wäre ein verringerter Ermittlungsdruck und damit ein erhöhter Anreiz für Internet-Betrug – im schlimmsten Fall ein Phishing-Tsunami, der ganz still auf uns zurollt.

 

www.sosafe.de     Cyber Security Awareness Training made in Germany

2018-04-15T17:45:53+00:00