CyberWire Daily Podcast: Alastair Parr über GDPR und Drittanbieterrisiken

Sponsor (CrashPlan): Sie hören das Cyberwire-Netzwerk von N2K. Und nun ein Wort von unserem Sponsor CrashPlan. Die bewährte Methode, um sicherzustellen, dass Sie geschützt sind, ist, immer einen Backup-Plan zu haben. CrashPlan nimmt die Datensicherung ernst. Das Unternehmen sorgt für Datenresilienz, indem es Endpunktdateien alle 15 Minuten automatisch in der Cloud sichert und dabei eine 256-Bit-AES-Verschlüsselung während der Übertragung und Speicherung verwendet. CrashPlan hilft Ihnen bei der Bewältigung von Datenherausforderungen wie Ransomware-Angriffen, Migrationen und gesetzlichen Aufbewahrungspflichten. Die unbestreitbare Lösung für das unvermeidliche Backup – besser mit CrashPlan. Testen Sie es kostenlos unter crashplan.com.

Dave Bittner: Die US-Bundesregierung gibt freiwillige Sicherheitsrichtlinien heraus. Mögliche Privilegieneskalation mit Google Cloud und APT-Kompromittierungen. Jump Cloud Thin 8 überarbeitet seine sarkastische Hintertür und setzt seine Umstellung auf Ransomware fort. Ben Yellin befasst sich mit den Datenschutzgesetzen aus Massachusetts. Unser Gast ist Alastair Parr, der sich intensiv mit der DSGVO und Risiken durch Dritte auseinandersetzt. Außerdem geht es um einige bemerkenswerte Fälle russischer Cyberkriminalität. Diese scheinen keinen politischen Herren zu dienen. Sie wollen einfach nur bezahlt werden, ha. Ich bin Dave Bittner mit Ihrem Cyberwire Intel Briefing für Dienstag, den 18. Juli 2023.

Die US-Bundesregierung hat einige Standards und Richtlinien herausgegeben, die sich auf die Cybersicherheitspraktiken auswirken. Die NSA und die CISA haben Leitlinien für das 5G-Netzwerk-Slicing herausgegeben, bei dem es sich um die Vorbereitung einer Reihe logischer Netzwerke handelt, die auf einer gemeinsamen Infrastruktur aufbauen. Die Leitlinien sollen nach ihren eigenen Angaben dazu beitragen, die Kommunikation zwischen Mobilfunknetzbetreibern, Hardwareherstellern, Softwareentwicklern, Nicht-Mobilfunknetzbetreibern, Systemintegratoren und Netzwerk-Slicing-Kunden zu fördern, in der Hoffnung, dass dies zu einer erhöhten Ausfallsicherheit und Sicherheitsverbesserung innerhalb des Netzwerk-Slicings führt. Die CISA hat außerdem ein Informationsblatt veröffentlicht, in dem kostenlose Tools für Cloud-Umgebungen vorgestellt werden, um Unternehmen beim Übergang zu einer Cloud-Umgebung dabei zu helfen, die richtigen Tools und Techniken zu identifizieren, die für den Schutz kritischer Ressourcen und die Datensicherheit erforderlich sind. Und gerade heute Morgen hat das Weiße Haus ein Cybersicherheits-Kennzeichnungsprogramm für intelligente Geräte angekündigt. Es wird seit einiger Zeit erwartet, dass Verbraucher im Rahmen des vorgeschlagenen neuen Programms ein neu geschaffenes US-Cyber-Trustmark in Form eines eindeutigen Schild-Logos auf Produkten sehen werden, die festgelegte Cybersicherheitskriterien erfüllen. Das Ziel des Programms ist es, Verbrauchern Tools zur Verfügung zu stellen, mit denen sie fundierte Entscheidungen über die relative Sicherheit der Produkte treffen können, die sie in ihre Häuser holen. Zu den Herstellern und Einzelhändlern, die sich zu dem freiwilligen Programm verpflichtet haben, gehören Amazon, Best Buy, Google, LG Electronics, Logitech und Samsung.

Orca Security meldet eine Schwachstelle in Google Cloud, die eine Rechteausweitung ermöglicht und Angreifern die Möglichkeit gibt, Nutzer und Kunden zu infizieren, wodurch Supply-Chain-Angriffe ermöglicht werden könnten. Orca schrieb heute Morgen, dass dies, wie wir bei den Solarwind- und den jüngsten 3CX- und Move-it-Supply-Chain-Angriffen gesehen haben, weitreichende Folgen haben kann. Der Bericht von Orca erklärt, dass ein Angreifer durch Ausnutzen dieser Schwachstelle, die die Imitation des standardmäßigen Cloud-Build-Dienstkontos ermöglicht, Bilder in der Artefakt-Registrierung von Google manipulieren und bösartigen Code einschleusen kann. Alle Anwendungen, die aus den manipulierten Bildern erstellt wurden, sind dann von möglichen Folgen betroffen, darunter Denial-of-Service-Angriffe, Datendiebstahl und die Verbreitung von Malware. Orca Security hat Google alarmiert, und Google hat die Sicherheitslücke geschlossen. Orca empfiehlt jedoch betroffenen Unternehmen, die Details ihrer Instanzen genau zu überprüfen. Orca schreibt, dass die widerrufene Berechtigung nicht mit der Artefakt-Registrierung in Verbindung stand, wodurch das Risiko für die Lieferkette dauerhaft besteht. Angesichts dessen ist es wichtig, dass Unternehmen das Verhalten des Standard-Build-Service-Kontos von Google Cloud genau beobachten, um mögliches böswilliges Verhalten zu erkennen. Die Anwendung des Prinzips der geringsten Privilegien und die Implementierung von Cloud-Erkennungs- und Reaktionsfunktionen zur Identifizierung von Anomalien sind einige der Empfehlungen zur Risikominderung.

Jumpcloud gab bekannt, dass seine Systeme am 27. Juni Opfer eines ausgeklügelten Angriffs durch einen staatlich geförderten Angreifer geworden sind. Das Unternehmen stellte fest, dass unbefugter Zugriff auf einen bestimmten Bereich seiner Infrastruktur stattgefunden hatte, und stellte fest, dass ein Teil dieses Zugriffs bereits am 22. Juni begonnen hatte. Zunächst gab es keine Anzeichen für Auswirkungen auf Kunden, aber das Unternehmen ergriff verschiedene Vorsichtsmaßnahmen, darunter die Rotation von Anmeldedaten und den Wiederaufbau der Infrastruktur, um sein Netzwerk und seinen Perimeter zu sichern. Das Unternehmen ist überzeugt, dass der Angriff von einem Nationalstaat gesponsert wurde, aber Jumpcloud ist sich nicht sicher, welcher Staat hinter dem Angriff steckt. Bei weiteren forensischen Untersuchungen entdeckte Jump Cloud weitere unbefugte Aktivitäten in Form von ungewöhnlichen Aktivitäten im Befehlsrahmen für eine kleine Gruppe von Kunden. Als Reaktion darauf führte Jumpcloud am 5. Juli, dem Tag, an dem die ungewöhnlichen Aktivitäten entdeckt wurden, eine erzwungene Rotation aller Admin-API-Schlüssel durch. Wie Ars Technica erklärt, hostet Jump Cloud eine Nutzerbasis von über zweihunderttausend Organisationen mit fünftausend zahlenden Kunden, darunter cars.com, GoFundMe und Foursquare. Jumpcloud hat außerdem seinen vorbereiteten Incident-Response-Plan aktiviert, der die Beteiligung seines Incident-Response-Partners vorsieht, und die Strafverfolgungsbehörden benachrichtigt.

Das Symantec Thread Hunter Team hat einen Bericht veröffentlicht, in dem eine neue Variante der Backdoor „Sardonic“ beschrieben wird, die mit der Cyberkriminellen-Bande Sisfinx, auch bekannt als Finn 8, in Verbindung steht. Diese neue Variante von Sardonic soll die Ransomware „Nobaris“ verbreiten. Das Sysfix-Tool wurde 2022 entdeckt, als festgestellt wurde, dass es die Ransomware „White Rabbit“ verbreitete. Semantic erklärte, dass die Verlagerung von Finn 8 hin zu Ransomware im Jahr 2021 beobachtet wurde, nachdem die Bande mehrere kompromittierte Systeme im Finanzsektor mit der Ransomware „Ragnar“ infiziert hatte. Symantec schreibt, dass die Verlagerung der Sysfix-Gruppen hin zu Ransomware darauf hindeutet, dass die Angreifer ihren Fokus diversifizieren, um die Gewinne aus kompromittierten Organisationen zu maximieren. Symantec erklärt, dass die Cyberkriminellen ihre Tools überarbeitet haben, wobei vor allem die neu überarbeitete Hintertür in C umgeschrieben wurde, im Gegensatz zur vorherigen Version, die in C plus geschrieben war. Darüber hinaus scheint eine neue Hintertür-Variante indirekt in ein Powershell-Skript eingebettet zu sein, das sich von der vorherigen Version unterscheidet, in der es einen intermediären Downloader-Shell-Code gab, der die Hintertür herunterlädt und ausführt. Symantec schließt seinen Bericht mit einer Momentaufnahme der Bande und stellt fest, dass sysfinks seine Fähigkeiten und seine Infrastruktur zur Verbreitung von Malware weiterentwickelt und verbessert und seine Tools und Taktiken regelmäßig verfeinert, um einer Entdeckung zu entgehen. Die Entscheidung der Gruppe, von Angriffen auf Verkaufsstellen auf den Einsatz von Ransomware auszuweiten, zeigt das Bestreben der Angreifer, ihre Gewinne aus den angegriffenen Organisationen zu maximieren. Die in diesem Bericht beschriebenen Tools und Taktiken unterstreichen, dass dieser hochqualifizierte Finanzangreifer nach wie vor eine ernsthafte Bedrohung für Organisationen darstellt.

Und schließlich Integritas. Das sollen die römischen Legionäre zu ihrem Zenturio gesagt haben, um zu berichten, dass ihre Rüstung und ihre übrige Ausrüstung intakt und in Ordnung waren und dass sie selbst aufrecht standen und gut aussahen. Integritas, ein ganzes, solides Ganzes, das mit der eigenen Pflicht oder allgemeiner mit den eigenen Werten übereinstimmt, das ist Integrität. Und es lohnt sich, daran zu denken, dass es sogar unter Kriminellen eine Art von Integrität geben kann. Ein bisschen Ehre unter Dieben. Wir haben uns daran gewöhnt, dass kriminelle Banden und Hacktivisten während des hybriden Krieges, den Russland gegen die Ukraine geführt hat, entweder als Freibeuter oder als Hilfstruppen im Interesse einer der Kriegsparteien agieren, wobei diese Kriegspartei in der Regel Russland war. Und das Ausmaß, in dem die russischen Sicherheits- und Geheimdienstagenten die kriminellen Schichten ihres Landes genutzt haben, ist eines der auffälligen Merkmale des Krieges im Cyberspace. Es scheint jedoch, dass mindestens eine russische oder zumindest russischsprachige Cyberbande namens „Red Curl“ weiterhin rein kriminell agiert. Sie arbeitet offensichtlich nicht im Interesse einer Regierung. Forscher haben herausgefunden, dass die Bande, die in den Unterlagen als Ableger der Gruppe IB beschrieben wird, sowohl gegen russische als auch gegen australische Ziele vorgeht. Die Bande nutzt zunächst Phishing-Angriffe. Ihr Ziel ist weder die Installation von Ransomware noch die Androhung von Erpressung durch Doxing. Vielmehr betreibt Red Curl kommerzielle Spionage, um wertvolle Geschäftsinformationen zu stehlen und diese anschließend auf dem C2C-Markt weiterzuverkaufen. Etwa die Hälfte der Angriffe von Red Curl richtete sich gegen russische Ziele. Die andere Hälfte verteilte sich auf die Ukraine, Kanada und verschiedene europäische Länder. Wir geben widerwillig zu, dass eine Bande, die nur auf Geld aus ist, etwas Erfrischendes hat. Sie kümmern sich nicht um nationale Interessen oder Ruhm. Das hat etwas von krimineller Integrität. Es ist eine niederträchtige und verwerfliche Integrität, aber ihre Werte sind konsistent. Dennoch hoffen wir, dass sie eine Art Gerechtigkeit erfahren und dass eine Behörde irgendwo sie zur Rechenschaft zieht, sei es das FBI oder der FSB, die Polizei oder die Miliz, das spielt keine Rolle. Gute Jagd, John oder Jane Law, wo immer Sie auch sein mögen. Übrigens hoffen wir, dass das mit den Legionären, Zenturionen und Integritas stimmt. Unsere historische Abteilung ist die Quelle, und normalerweise liegen sie richtig, aber manchmal fragen wir uns, ob sie ihre römische Geschichte von Tacitus haben oder aus Wiederholungen von Gladiator auf Netflix. Auf jeden Fall kommt Integritas nach der Pause.

Sponsor (Strata): Ben Yellin befasst sich mit den Datenschutzgesetzen aus Massachusetts. Unser Gast ist Alastair Par von Prevalent, der über die DSGVO und Risiken durch Dritte spricht. Bleiben Sie dran. Haben Sie Schwierigkeiten, lokale Anwendungen mit moderner Identitätsverwaltung zu sichern? Keine Sorge, Sie sind nicht allein. Schließen Sie sich Branchenführern aus Fortune-500-Unternehmen an, um Ihre Anwendungen in jeder Cloud mit jedem IDP zu sichern, unabhängig von der Komplexität Ihrer Umgebung. Lernen Sie Mavericks kennen, die Identitätsorchestrierungsplattform von Strata. Verabschieden Sie sich von den Kopfschmerzen, die App-Refactoring und Legacy-Tech-Schulden mit sich bringen. Mit Identitätsorchestrierung können Sie Legacy-Apps innerhalb weniger Wochen modernisieren, um MFA oder passwortlose Authentifizierung zu nutzen. Migrieren Sie von einem IDP zu einem anderen und vieles mehr, ohne die App zu ändern. Unabhängig von Ihrem IAM-Anwendungsfall erweitert Strata den Wert Ihrer aktuellen Identitätsinvestitionen. Und das Beste daran: Sie können es noch heute kostenlos ausprobieren. Besuchen Sie strata.io cyberwire, um Ihre größte Herausforderung im Bereich Identität zu teilen, und Sie erhalten ein kostenloses Paar AirPods Pro. Verpassen Sie diese Gelegenheit nicht. Besuchen Sie strata.io cyberwire, also strata.io cyberwire.

Sponsor (Cinteot): Und nun ein Wort von unserem Sponsor Cynthia. Als kleines Unternehmen, das sich im Besitz von Minderheiten und Frauen befindet und in einer 8A-Hubzone ansässig ist, ist Synthet nicht nur auf Softwareentwicklung spezialisiert, sondern auch auf künstliche Intelligenz und Cybersicherheit. Zu den Kunden von Synthet zählen das US-Verteidigungsministerium, die Geheimdienste sowie das Außen- und Justizministerium. Das Unternehmen hat es sich zur Aufgabe gemacht, die Systeme zu schützen, die die Menschen schützen, die uns schützen. Wenn Sie einen Partner für die Erfüllung Ihrer Mission suchen, besuchen Sie cynthia.com, also c-i-n-t-e-o-t.com. Ihr Partner für alle Fragen rund um Daten- und Cybersicherheit.

Dave Bittner: Vielen Dank. Die DSGVO ist nun seit etwas mehr als fünf Jahren in Kraft. In ihrer Studie zum Risikomanagement durch Dritte aus dem Jahr 2023 untersuchte das Team des Sicherheitsunternehmens Prevalent die Auswirkungen der DSGVO auf die Praxis des Managements durch Dritte, wobei der Umgang mit Datenschutz als zentrale Anforderung im Mittelpunkt stand. Alastair Parr ist Senior Vice President für globale Produkte und Lieferung bei Prevalent.

Alastair Parr: Was wir derzeit beobachten, ist ein Anstieg bei Faktoren wie der Anzahl identifizierter Datenverstöße oder Auswirkungen durch Dritte. Wir führen dies zum Teil darauf zurück, dass die Menschen eine bessere Übersicht haben. Wenn man sich die allgemeinen Erkenntnisse in diesem Bereich ansieht, ist es ein allgemeiner Trend, dass wir eine Zunahme der Probleme und Vorfälle beobachten. Das liegt daran, dass es heute eine Vielzahl von Tools und Technologien gibt, mit denen Daten in großem Umfang aggregiert werden können, die es vor einigen Jahren noch nicht unbedingt gab. Die Transparenz hat sich also sicherlich verbessert, aber letztendlich gibt es immer noch Probleme mit der Automatisierung und der Behebung von Problemen in diesem Bereich.

Dave Bittner: Auf den ersten Blick scheint mir das eine gewaltige Aufgabe zu sein, denn man muss alle Drittanbieter und deren Lieferanten berücksichtigen. Was empfehlen Sie, um diese Aufgabe in überschaubare Teilaufgaben zu zerlegen?

Alastair Parr: Da stimme ich vollkommen zu. Die Herausforderung besteht also darin, dass es sich in der Regel um Tausende oder Zehntausende von Drittanbietern handelt, was eine sehr gewaltige und überwältigende Aufgabe ist. In der Regel versuchen die Leute zu verstehen, wie sie das Ganze so dimensionieren können, dass es unabhängig von den ihnen zur Verfügung stehenden Automatisierungstools, dem Engagement der Drittanbieter und der Genauigkeit des Lieferantenbestands überschaubar bleibt. Letztendlich müssen die Leute verstehen, wie sie das richtig dimensionieren können, damit sie ihre begrenzte Zeit und ihren begrenzten Aufwand in die richtigen Bereiche investieren können. Und gibt es gemeinsame Elemente bei den Leuten, die dabei erfolgreich sind?

Dave Bittner: Ja.

Alastair Parr: Auf jeden Fall. Die erfolgreichsten Programme für Drittanbieterrisiken und Lebenszyklen, die wir kennen, konzentrieren sich in der Regel ebenso sehr auf interne wie auf externe Aspekte. Natürlich sind Interaktionen mit Lieferanten wichtig, um Daten zu sammeln und mit Drittanbietern zusammenzuarbeiten, um grundlegende Mängel und Abhängigkeiten zu beheben. Aber der interne Aspekt ist ebenso wichtig, um dieses Lieferanteninventar aufzubauen, wobei es von grundlegender Bedeutung ist, dass das Unternehmen das Geschäft erhält und die Stakeholder einbezogen werden und letztendlich in das Programm investieren. Was sind also die wichtigsten Erkenntnisse, die wir gewonnen haben? Ich denke, es ist beeindruckend, dass 71 % der Programme tatsächlich vom Informationssicherheitsteam verwaltet werden. Wir sehen, dass etwa 63 % bzw. 53 % der Beziehungen zu Dritten vom Einkauf oder den Geschäftsinhabern verwaltet werden. Es gibt also eine Art Seesaw-Ansatz, bei dem man die Zustimmung und die erforderlichen Fähigkeiten und die Unterstützung des Unternehmens benötigt, um das Programm effektiv vorantreiben zu können.

Dave Bittner: Und inwieweit handelt es sich hierbei um ein technologisches Problem, also darum, die richtigen Tools zu haben, um dieses Problem anzugehen, oder um ein personelles Problem, also darum, Ihre Mitarbeiter in solchen Dingen zu schulen?

Alastair Parr: Ich würde sagen, dass es in den meisten Fällen in erster Linie um den Prozess geht. Es gibt also Technologien, die die Prozesse ergänzen, unterstützen, automatisieren und skalieren. Aber grundsätzlich ist es sehr prozessorientiert, wenn die Prozesse nicht stimmen, also wer und wie wir mit Dritten in Kontakt treten, wie wir auf die Datenausgaben reagieren und mit ihnen umgehen. Man braucht die Beteiligung des Unternehmens, man braucht Compliance-Audits, Beschaffung, natürlich die Geschäftsinhaber und Führungskräfte und natürlich das Risikomanagement, die alle wirklich zusammenarbeiten und eine Art geschlossene Einheit bilden müssen.

Dave Bittner: Was empfehlen Sie Sicherheitsbeauftragten, die dies ihrem Vorstand und den Entscheidungsträgern gegenüber begründen müssen, um ein solches Programm zu rechtfertigen?

Alastair Parr: Eine der größten Herausforderungen, denen sie meiner Meinung nach gegenüberstehen, ist die Tatsache, dass es sich nicht unbedingt um eine umsatzgenerierende Funktion handelt. Es handelt sich vielmehr um einen Versicherungsmechanismus, mit dem sie Risiken in einem angemessenen Umfang angehen und verwalten, damit nichts passiert. Hilfreich ist es sicherlich, wenn man sieht, dass Vorfälle und Ereignisse auftreten, bei denen Dritte Datenverstöße oder andere Vorfälle hatten, und man diese erkennen und entsprechend reagieren konnte. Die Verwendung von Legacy-Versicherungsmechanismen, mit denen man Reputationsschäden aufgrund historischer Ereignisse vermeiden konnte, ist also sicherlich nützlich. Aber dann muss man auch herausfinden, wie man das Programm nutzen kann, um tatsächlich während des Beschaffungszyklus Einsparungen zu erzielen. So haben wir beispielsweise Probleme und Vorfälle im Zusammenhang mit der operativen Widerstandsfähigkeit von Dritten oder deren ausstehenden Verträgen identifiziert und nutzen diese Hebelwirkung im Neuverhandlungszyklus, um tatsächlich bessere Dienstleistungen zu erbringen, Kosten zu senken usw. Es gibt also auch einen potenziellen finanziellen Aspekt.

Dave Bittner: Wie sieht Ihrer Meinung nach die Zukunft des Risikomanagements für Dritte aus? Was glauben Sie, wohin uns das führen wird?

Alastair Parr: Gute Frage. Eines der seit langem bestehenden Probleme beim Risikomanagement von Drittanbietern ist meiner Meinung nach die Interaktion zwischen den Anbietern und natürlich dem Unternehmen selbst. Es besteht eine starke Abhängigkeit von Dingen wie Bewertungen. Es mangelt an Standardisierung bei den Bewertungsstrukturen, was sich nicht ändern wird, da jede Organisation in der Regel ihre eigenen Varianten hat. Tatsächlich verwenden allein über 70 unserer Kunden, die Hunderte von Programmen verwalten, maßgeschneiderte Inhalte und Bewertungen in ihren Programmen. Das wird sich nicht ändern. Was wir also beginnen und erwarten, sind Komponenten wie KI, die letztendlich dabei helfen, verschiedene Inhaltsquellen in die Antworten zu übersetzen und anzupassen, die wir benötigen. Programme kümmern sich nicht um Bewertungen, sondern um Ergebnisse und Risiken. Unabhängig davon, wie wir die Daten aggregieren, ob es sich um SOC-2-Berichte oder proprietäre Richtliniendokumente handelt, solange wir sie in großem Umfang analysieren und in konkrete Risiken und Zusammenhänge übersetzen können, ist dies genau der Punkt, an dem sich die gesamte Drittanbieter-Landschaft und -Umgebung wirklich hinbewegen wird.

Dave Bittner: Ja, das ist eine wirklich interessante Erkenntnis. Ich meine, ich denke insbesondere, dass diese Übersetzungsebene, um Ihre Argumente gegenüber dem Vorstand und Ihren Kollegen zu vertreten, so wichtig ist. Und doch denke ich, dass meiner Erfahrung nach viele Leute damit immer noch zu kämpfen haben.

Alastair Parr: Ja, absolut. Die Fähigkeit, die technische Sprache der Risikobalkenfarbe zu übersetzen – Sie wissen, rot ist schlecht –, kann bei manchen Programmen verloren gehen. Sie haben also vollkommen Recht. Wenn wir KPIs und KRI-Material für Vorstände und Führungskräfte erstellen, ist dies in der Regel sehr personenorientiert. Wir möchten sicherstellen, dass wir die richtigen Datenpunkte haben, die sie interessieren und die ihnen helfen zu verstehen, ob sie einem Risiko ausgesetzt sind.

Dave Bittner: Das ist Alastair Parr von Prevalent. Und wieder einmal ist Ben Yellin dabei. Er ist vom Zentrum für Gesundheit und innere Sicherheit der Universität Maryland und außerdem mein Co-Moderator beim Caveat-Podcast. Ben, es ist immer toll, dich wieder dabei zu haben.

Ben Yellin: Schön, bei dir zu sein, Dave.

Dave Bittner: Es gibt einen interessanten Gesetzesvorschlag aus Massachusetts zum Kauf und Verkauf von Standortdaten. Was ist da los, Ben?

Ben Yellin: Dieses Gesetz wäre also das erste seiner Art in einer staatlichen Legislative in den gesamten Vereinigten Staaten. Die Gesetzgeber in Massachusetts, sowohl im Repräsentantenhaus als auch im Senat, erwägen ein fast vollständiges Verbot des Kaufs und Verkaufs von Standortdaten, die von Mobilgeräten im Bundesstaat stammen. Andere Gesetze, die sowohl von demokratischen als auch von republikanischen Gesetzgebern kontrolliert werden, haben umfassende Datenschutzgesetze verabschiedet. Dies wäre jedoch das erste Gesetz, das ein fast vollständiges Verbot des Kaufs und Verkaufs dieser Standortdaten einführen würde. Ein Element des Gesetzes würde also eine wichtige Anordnungspflicht für Strafverfolgungsbehörden beim Zugriff auf diese Daten einführen. Es kodifiziert damit die Entscheidung des Obersten Gerichtshofs im Fall Carpenter aus dem Jahr 2018, die Durchsuchungen von historischen Standortdaten von Mobilfunkmasten ohne Durchsuchungsbefehl verbietet.

Dave Bittner: Würde dies auch verhindern, dass Strafverfolgungsbehörden diese Daten ohne Durchsuchungsbefehl erwerben?

Ben Yellin: Ja, das würde es. Jeder Zugriff durch Strafverfolgungsbehörden ohne Durchsuchungsbefehl wäre verboten.

Dave Bittner: Okay.

Ben Yellin: Das umfassendere Verbot, das in diesem Gesetz dargelegt ist und meiner Meinung nach bedeutender ist, besteht darin, dass Datenbrokern der Kauf und Verkauf von Standortdaten von Einwohnern des Bundesstaates ohne gerichtliche Genehmigung untersagt würde. Es gibt also begrenzte Ausnahmen und Umstände, in denen dies für den Verbraucher nützlich wäre. Dazu gehören beispielsweise die Weitergabe von Standortdaten für Mitfahrgelegenheiten, Wetteranwendungen usw. Aber das Gesetz wäre sicherlich das umfassendste in diesem Land und hätte erhebliche Auswirkungen. Es gibt eine Koalition aus Bürgerrechts- und Datenschutzgruppen, die diese Gesetzgebung unterstützen, weil sie glauben, dass sie ein Testfall für eine umfassendere landesweite Gesetzgebung sein könnte, die den Kauf und Verkauf von Standortdaten verbieten würde. Wir haben ähnliche Gesetze auf Bundesebene gesehen, die jedoch bisher noch lange nicht verabschiedet wurden. Aber es gibt auch ziemlich breiten Widerstand. Es gibt einen Wirtschaftsverband, der sich kürzlich bei einer gemeinsamen Anhörung zu diesem Gesetzentwurf dagegen ausgesprochen hat. Ein Anwalt namens Andrew Kingman, der diesen Wirtschaftsverband, die State Privacy and Security Coalition, vertrat, sagte, dass sie zwar einen verstärkten Schutz für bestimmte Arten von personenbezogenen Daten befürworten, dieses Gesetz jedoch zu weit gefasst sei. Sie sollten sich andere Bundesstaaten ansehen, darunter das benachbarte Connecticut, das ein Datenschutzgesetz verabschiedet hat, aber nicht so weit gegangen ist, Datenbrokern den Kauf und Verkauf dieser Daten gänzlich zu verbieten. Vielmehr gibt es den Verbrauchern die Möglichkeit, sich gegen den Verkauf zu entscheiden. Die Verbraucher haben also weiterhin die Wahl: Wenn sie die von diesen Unternehmen gesammelten Daten für ihre eigenen Zwecke nicht als nützlich erachten, können sie dieser Art der Datenerhebung zustimmen. Ich denke jedoch, dass dies für einige dieser Verfechter des Datenschutzes und der bürgerlichen Freiheiten sicherlich nicht weit genug geht, da sie sehen, dass nicht nur Unternehmen diese Daten kaufen, sondern auch lokale Polizeibehörden und Bundesbehörden Standortinformationen gekauft haben und diese für Strafverfolgungszwecke nutzen, was eine Umgehung des vierten Verfassungszusatzes darstellt, die Gruppen wie die ACLU als sehr gefährlich ansehen.

Dave Bittner: Richtig, und es gibt einen großen Unterschied zwischen einer standardmäßigen Opt-in- und einer Opt-out-Einstellung.

Ben Yellin: Oh, auf jeden Fall. Ich meine, die Abmeldung bedeutet, dass man technisch versiert genug sein muss, um Maßnahmen zu ergreifen, um sich abzumelden. Man kann davon ausgehen, dass sie es irgendwo verstecken werden.

Dave Bittner: Sie werden es irgendwo tief in den Einstellungen verstecken, ja.

Ben Yellin: Genau richtig. Ihre Daumen werden müde werden, wenn Sie versuchen, die Seite zu finden, auf der Sie sich abmelden können. Bei einer Opt-in-Option weiß man, dass es sich eigentlich um das Gegenteil handelt. Ironischerweise geht dies auf ein Konzept des Wissenschaftlers Sunstein aus Massachusetts zurück, der die Idee eines „Nudges” vorstellte, wonach die Standardeinstellung einen großen Unterschied macht, da die Menschen so unfähig oder unwillig sind, Maßnahmen zu ergreifen, um sich entweder anzumelden oder abzumelden, dass es letztlich einen großen Unterschied macht, ob die Standardeinstellung „Opt-in” oder „Opt-out” ist.

Dave Bittner: Ja, interessant, dass dies auch die Aufmerksamkeit von Abtreibungsrechtsbefürwortern auf sich gezogen hat. Was interessiert sie daran?

Ben Yellin: Ja, Befürworter des Rechts auf Abtreibung haben überzeugend argumentiert, dass Standortdaten von Mobiltelefonen, insbesondere wenn sie zum Verkauf angeboten werden, dazu führen könnten, dass Bundesstaaten, in denen Abtreibungen nach der Dobbs-Entscheidung im letzten Jahr eingeschränkt oder ganz verboten wurden, Personen verfolgen, die zum Zweck der Einleitung oder Einleitung einer Strafverfolgung aus dem Bundesstaat ausreisen. Und das ist sicherlich eine berechtigte Sorge für Befürworter des Rechts auf Abtreibung. Ich denke, die Tatsache, dass diese Daten weit verbreitet sind, dass man ohne Durchsuchungsbefehl darauf zugreifen kann und dass man nur ein bisschen Kleingeld braucht, um die Daten zu kaufen, ist meiner Meinung nach besonders gefährlich für Personen, die in einen anderen Bundesstaat reisen, um eine Abtreibung vornehmen zu lassen. Ich halte das für besonders gefährlich für Personen, die außerhalb des Bundesstaates reisen wollen, um eine Abtreibung vornehmen zu lassen. Und es sind nicht nur Abtreibungen, die besondere Datenschutzbedenken aufgeworfen haben, sondern auch digitale Stalking- und nationale Sicherheitsbedrohungen, die in diesem Artikel erwähnt werden. All diese Dinge können zu Problemen führen, wenn Daten zum Verkauf angeboten werden. Wir haben also diese besonderen Umstände, die bei diesen Gruppen Bedenken ausgelöst haben. Ich denke, das ist einer der Gründe für die Bemühungen um diese Gesetzgebung.

Dave Bittner: Ist es angesichts der Zusammensetzung des Parlaments von Massachusetts wahrscheinlich, dass dies vorangebracht wird? Was denken Sie?

Ben Yellin: Ja. Ich würde sagen, die Prognose ist recht positiv. Die Legislative von Massachusetts wird von den Demokraten dominiert. Es gibt nur etwa fünf Republikaner in der gesamten Legislative des Bundesstaates Massachusetts. Die derzeitige Mehrheitsführerin des Senats von Massachusetts ist die Initiatorin dieses Gesetzesentwurfs. Sie hat sich bei der Anhörung dafür ausgesprochen. Es gibt also eine ziemlich einflussreiche Person, die diesen Gesetzesentwurf unterstützt. Der Gouverneur ist ebenfalls Demokrat. Das spielt jedoch keine Rolle, da die Legislative über eine veto-sichere Mehrheit verfügt.

Dave Bittner: Richtig.

Ben Yellin: Aber ja, ich denke, die Prognose für dieses Gesetz ist recht positiv.

Dave Bittner: Gut, dann behalten wir das im Auge. Das ist auf jeden Fall eine interessante Entwicklung. Ben Yellin, danke, dass Sie bei uns waren.

Ben Yellin: Danke.

Sponsor (Drata): Das macht zwar keinen Spaß, aber das Gleiche gilt auch für Datenverstöße oder den Verlust von Kunden. Aus diesem Grund hat Drata diesen Prozess mit einer automatisierten Beweissicherung automatisiert. Mit über 80 Integrationen und einer 24-Stunden-Überwachung automatisiert Drata den Compliance-Prozess und sorgt dafür, dass Sie das ganze Jahr über für Audits bereit sind. Drata unterstützt über 14 Frameworks, darunter SOC 2, GDPR, HIPAA und ISO 27001. Mit über 455 Sternebewertungen ist Drata die am besten bewertete Cloud-Compliance-Plattform auf G2. Hörer von „The CyberWire Daily” erhalten 10 Prozent Rabatt auf Drata und eine Befreiung von den Implementierungsgebühren unter drada.com/partner/cyberwire.

Dave Bittner: Vielen Dank. Das war „The Cyber Wire“. Links zu allen heutigen Beiträgen finden Sie in unserem täglichen Briefing auf cyberwire.com. Wir würden uns sehr über Ihr Feedback zu diesem Podcast freuen. Sie können uns eine E-Mail an cyberwire n2k.com senden. Ihr Feedback hilft uns dabei, Ihnen Informationen und Einblicke zu liefern, mit denen Sie in der sich schnell verändernden Welt der Cybersicherheit immer einen Schritt voraus sind. Wir fühlen uns geehrt, dass N2K und Podcasts wie der Cyber Wire Teil der täglichen Informationsbeschaffung vieler einflussreicher Führungskräfte und Entscheidungsträger im öffentlichen und privaten Sektor sind. Dazu gehören auch die wichtigen Sicherheitsteams, die die Fortune-500-Unternehmen und viele der weltweit führenden Geheimdienste und Strafverfolgungsbehörden unterstützen. Die strategische Workforce Intelligence von N2K optimiert den Wert Ihrer größten Investition: Ihre Mitarbeiter. Wir machen Sie schlauer in Bezug auf Ihr Team und machen gleichzeitig Ihr Team schlauer. Erfahren Sie mehr unter N2K dot com. Diese Folge wurde von Liz Ervin und der leitenden Produzentin Jennifer Iben produziert. Unser Toningenieur ist Trey Hester, die Originalmusik stammt von Elliot Peltzman. Die Sendung wurde von unserer Redaktion geschrieben. Unser Chefredakteur ist Peter Kilpi. Und ich bin Dave Bitner. Vielen Dank fürs Zuhören. Wir sehen uns morgen wieder hier.

Sponsor (M-Wise): Unter den Mega-Konferenzen zum Thema Cybersicherheit ist M-Wise etwas Besonderes. Mit einer fokussierten Agenda und gezielter Problemlösung ist M-Wise der Ort, an dem die Besten der Sicherheitsbranche sich weiterbilden. Vom 18. bis 20. September können Sie in Washington DC Teil einer besonderen Gemeinschaft der klügsten Köpfe der Sicherheitsbranche werden. Sie erhalten Einblicke, die Sie sonst nirgendwo bekommen, und erreichen ein neues Niveau der Meisterschaft, das Sie auf die Zukunft vorbereitet. Melden Sie sich frühzeitig an und sparen Sie unter mwise.mandient.com conf23. Das ist mys.mandient.com Schrägstrich c-o-n-f-2-3.