DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Database Security Digest – Mai 2018

Bitte werfen Sie einen Blick auf die Nachrichten zur Datenbanksicherheit im Mai 2018.

Wichtiger Durchbruch im Schutz persönlicher Daten – Einführung der DSGVO

Die Datenschutz-Grundverordnung wurde am 25. Mai 2018 in der Europäischen Union eingeführt. In den letzten Jahren gab es massive Datenverletzungen, die Hunderte Millionen Menschen betroffen haben. Es ist daher nicht verwunderlich, dass Gesetzgeber die Anforderungen an den Datenschutz verschärfen und neue Vorschriften und Anforderungen einführen.

Die meisten multinationalen Unternehmen und natürlich Unternehmen in der EU sollten bis Ende Mai 2018 DSGVO-konform sein. Angenommen, Sie sind ein in den USA ansässiges Unternehmen ohne direkte Tätigkeit in der EU. Gilt diese Verordnung für Sie? Denken Sie noch einmal nach, wenn Ihre Antwort „nein“ lautet. Der Begriff „personenbezogene Daten“ im Rahmen der DSGVO erstreckt sich weiter, als wir es in den USA verstehen. Solche Dinge wie Name, IDs, Standortinformationen usw. werden als „persönliche Informationen“ betrachtet. „Persönliche Informationen“ umfassen sogar IP-Adressen, Cookie-Strings, Social-Media-Posts, Online-Verträge und mobile Geräte-IDs.

Jetzt denken Sie vielleicht, dass Europa weit entfernt ist und Sie dort keine direkten Geschäfte machen, richtig? Ok, wenn Sie ein US-Unternehmen mit einer Internetpräsenz sind und Waren an ein EU-Land verkaufen oder versenden oder einfach nur europäisches Geld für Ihre Produkte oder Dienstleistungen akzeptieren, gilt die DSGVO für Ihr Unternehmen.

Nun zum Thema Nichteinhaltung der DSGVO. Der Preis ist hoch. Bei Nichteinhaltung kann die Strafe bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr oder 20 Millionen Euro betragen (je nachdem, welcher Betrag höher ist) und 2 % oder 10 Millionen Euro (je nachdem, welcher Betrag höher ist) bei Verstößen geringerer Bedeutung. Zum Beispiel, wenn ein Unternehmen es versäumt, einen Verstoß innerhalb von 72 Stunden einem Datenschutzbeauftragten zu melden (was nach Artikel 33 der DSGVO erforderlich ist), könnte es eine Geldstrafe von 2 % seines weltweiten Umsatzes oder 10 Millionen Euro (je nachdem, welcher Betrag höher ist) zahlen.

DataSunrise macht den Prozess der DSGVO-Compliance, der für Unternehmen manchmal mühsam ist, zu einer Angelegenheit weniger Mausklicks.

Südafrika durchgesickert

Cyberkriminalität kennt keine Grenzen. Mithilfe des Internets können Cyberkriminelle in fast jede Datenbank einbrechen, selbst in geschützte, wenn die Datenbanksicherheit schwach ist.

Die südafrikanischen Behörden wurden viele Male gewarnt, dass ihr Land das nächste Ziel für Cyberangriffe sein könnte. Zu den nächsten möglichen Opfern der Cyberkriminalität gehören Indien und lateinamerikanische Länder.

Dieses Datenleck folgt einem weiteren, das weniger als ein Jahr zuvor stattfand und dazu führte, dass rund 60 Millionen südafrikanische ID-Nummern online öffentlich gepostet wurden. Diesmal sprechen wir von 1 Million Südafrikanern, deren persönliche Daten online durchgesickert sind. Die Datenbank mit diesen Informationen wurde auf einem öffentlich zugänglichen Server gefunden. Die südafrikanische Firma, die die elektronische Zahlung von Verkehrsstrafen im Land abwickelt, könnte für dieses bisher größte Datenleck in der Geschichte Südafrikas verantwortlich sein.

PumpUp-Anwendung leakt 6 Millionen seiner Nutzer

Im Mai 2018 entdeckte ein Sicherheitsforscher einen Backend-Server ohne Passwortschutz. Dieser Server ist mit der PumpUp-Fitnessanwendung verbunden und der Server gewährt freien Zugang zu den vom Benutzer eingegebenen Gesundheitsinformationen sowie zu den Fotos und privaten Nachrichten zwischen den Benutzern. In einigen Fällen enthielt die Informationen unverschlüsselte Kreditkartendaten: Kartennummer, Ablaufdaten und Kartenprüfnummern.

Der Forscher kontaktierte daraufhin die Firma und informierte über die Funde. Die Firma schloss den freien Zugang zu ihrem Backend-Server.

Es ist immer noch unbekannt, wie lange der Server ohne Schutzmaßnahmen betrieben wurde und welche Informationen möglicherweise gestohlen wurden.

Sicherheitsupdates für Datenbanken

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2017-15533
https://nvd.nist.gov/vuln/detail/CVE-2017-18268

MS SQL Server

https://nvd.nist.gov/vuln/detail/CVE-2018-6617
https://nvd.nist.gov/vuln/detail/CVE-2016-10556

PostgreSQL

https://nvd.nist.gov/vuln/detail/CVE-2018-1115

IBM DB2

https://nvd.nist.gov/vuln/detail/CVE-2018-1449
https://nvd.nist.gov/vuln/detail/CVE-2016-10577
https://nvd.nist.gov/vuln/detail/CVE-2018-1565
https://nvd.nist.gov/vuln/detail/CVE-2018-1544
https://nvd.nist.gov/vuln/detail/CVE-2018-1515
https://nvd.nist.gov/vuln/detail/CVE-2018-1488
https://nvd.nist.gov/vuln/detail/CVE-2018-1459
https://nvd.nist.gov/vuln/detail/CVE-2018-1452
https://nvd.nist.gov/vuln/detail/CVE-2018-1451
https://nvd.nist.gov/vuln/detail/CVE-2018-1450

MongoDB

https://nvd.nist.gov/vuln/detail/CVE-2016-10572

Greenplum Database

https://nvd.nist.gov/vuln/detail/CVE-2018-1280

MariaDB

https://nvd.nist.gov/vuln/detail/CVE-2016-10554
https://nvd.nist.gov/vuln/detail/CVE-2016-10553
https://nvd.nist.gov/vuln/detail/CVE-2016-10550
https://nvd.nist.gov/vuln/detail/CVE-2016-10556

Nächste

Database Security Digest – Juni 2018

Database Security Digest – Juni 2018

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]