Kategorie: Allgemein

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

Verbraucherschützer warnen vor smartem Spielzeug

6. Dezember 2018

Smarte Spielzeuge sind solche, die Gesichter und Stimmen erkennen und aufs Wort gehorchen können. Die Verbraucherzentrale Niedersachen rät Eltern diese Art von Spielzeugen einem gründlichen Datenschutz-Check zu unterziehen.

Damit keine unbemerkten Video- oder Audioaufzeichnungen gemacht und übertragen werden, sollte im Vorfeld sichergestellt werden, dass sich das Mikrofon und die Kamera auch deaktivieren lassen. Um weitere Hinweise zu erhalten, kann es hilfreich sein, dazu die Herstellerseite zu besuchen, wo sich oft die passende Bedienungsanleitung finden lässt.

Weiter sollte die Datenschutzerklärung von den Eltern studiert werden, um alle Informationen zu Datenspeicherung und -nutzung zu studieren. Diese kann Aufschluss darüber geben, ob und wo Daten, Nutzungs- oder Spielinformationen gespeichert werden.

Um zu verhindern, dass der Hersteller ungewollt zu viele Informationen sammelt, sollte in der Datenschutzerklärung nachgelesen werden, zu welchem Zweck welche Daten vom Hersteller gesammelt werden.

Handelt es sich um ein vernetztes Spielzeug, sollte auf eine ordentliche Absicherung geachtet werden. Beispielsweise bei einem Bluetooth-Funk als Verbindung zwischen einer Steuerungs-App auf dem Smartphone und dem Spielzeug sollte diese Verbindung per Eingabe einer änderbaren PIN geschützt werden. Häufig ist nur ein simpler PIN eingestellt, der sich nicht ändern lässt. Auch hier ist ein Blick auf die Website des Herstellers ratsam.

Kategorien: Allgemein
Schlagwörter:

Weihnachtskarten in Zeiten der DSGVO

5. Dezember 2018

Da viele Unternehmen seit Inkrafttreten der DSGVO unsicher im Umgang mit Daten sind, stellt sich die Frage, ob auch in diesem Jahr traditionell Weihnachtskarten verschickt werden dürfen, um sich bei Kunden und Geschäftspartnern für die Zusammenarbeit im vergangenen Jahr zu bedanken.

Als Rechtsgrundlage für diese Art der Datenverarbeitung kommen entweder eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigte Interesse des Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Den sichersten Weg stellt regelmäßig die ausdrückliche Einwilligung der Empfänger dar. Jedoch erscheint dies kaum praktikabel, da hierdurch die Geste der kleinen Aufmerksamkeit durch den Verwaltungsaufwand verdrängt werden könnte.

Somit kommt der Auffangtatbestand des berechtigten Interesses zum Tragen, wonach die Datenverarbeitung rechtmäßig ist, wenn sie zur Wahrung von überwiegenden berechtigten Interessen erforderlich ist.
Von einem solchen berechtigten Interesse ist insbesondere dann auszugehen, wenn es sich um Bestandskunden handelt oder um andere Geschäftskontakte, die vernünftigerweise damit rechnen können, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Neben Kunden müssen auch Personen, die ihre Adresse einem Unternehmen, zum Beispiel durch Übergabe ihrer Visitenkarte auf einer Messe, mitgeteilt haben, mit dem Erhalt einer Weihnachtskarte rechnen.

Darüber hinaus muss jeder Adressat über sein Widerspruchsrecht gemäß Art. 21 DSGVO aufgeklärt worden sein, z.B. im Rahmen von Datenschutzhinweisen, und darf der Datenverarbeitung nicht widersprochen haben.

Sofern die Karten bei Dritten unter Verwendung von Kontaktdaten gedruckt werden, sollte darauf geachtet werden, dass auch diese das Datenschutzrecht einhalten.

Frage-Portal Quora gehackt – Daten von 100 Millionen Nutzer kopiert

4. Dezember 2018

Derzeit warnen die Betreiber des Frage-Portals Quora rund 100 Millionen Nutzer per E-Mail, dass unbekannte Angreifer die Website erfolgreich gehackt haben. Dadurch haben sie nun Zugriff auf verschiedene Nutzerdaten. Quora hat den Vorfall am Freitag entdeckt. Die Eindringlinge konnten unter anderem Kontodaten (z. B. Name, E-Mail-Adresse, verschlüsseltes Passwort, aus verknüpften Netzwerken importierte Daten (sofern der Nutzer dies genehmigt hatte), Öffentliche Inhalte und Aktionen (z. B. Fragen, Antworten, Kommentare, positive Bewertungen), Nicht-öffentliche Inhalte und Aktionen (z. B. Fragen, Antwortanfragen, negative Bewertungen, Direktnachrichten) kopieren. Betroffen sind jedoch keine Kreditkartendaten und anonym verfasste Beiträge. Die Passwörter sollen nach Angaben der Website-Betreiber geschützt auf den Servern vorliegen.

Den Auskunftsdienst gibt es seit 2006. Dort kann man Fragen aller Art stellen, die von der Community beantwortet werden.

Quora hat die Strafverfolgungsbehörden in Kenntnis gesetzt und zusätzlich eine führende digitale Forensik- und Sicherheitsfirma eingeschaltet, die sie bei den Ermittlungen und den nächsten Schritten unterstützt.

 

Hacker erbeuten bis zu 500 Millionen Daten

Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu  Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.

AG München zu Überwachungskameras in der Nachbarschaft

3. Dezember 2018

Überwachungskameras in der Nachbarschaft verstoßen nicht gegen gesetzliche Regelungen, sofern sie nur das eigene Grundstück und nicht auch das des Nachbarn filmen. Ein “Überwachungsdruck“ ist für einen Eingriff in das Allgemeinen Persönlichkeitsrecht, nach einer Entscheidung des Amtsgerichts München vom 22.11.2018, nicht ausreichend (Az.: 213 C 15498/18).

Die Grundstücke der Beteiligten liegen nebeneinander. Die Kläger bewohnen ein Haus mit angebautem Wintergarten, der Beklagte bewohnt das unmittelbar an die Wintergarten-Seite angrenzende Grundstück. Aufgrund von mehrfachen Beschädigungen des Grundstücks des Beklagten, in der Vergangenheit, installierte dieser zwei Überwachungskameras.

Die Überwachungskameras lösten bei den Klägern Unbehagen aus, weil diese befürchteten, dass ihre im Garten bzw. Wintergarten spielenden Kinder und sie selbst von den Kameras aufgezeichnet werden. Deswegen zeigten sie den Beklagten bei der Polizei an. Im Rahmen einer Durchsuchung wurde das Grundstück des Beklagten, insbesondere die Aufzeichnungen und die Ausrichtung der Kameras, von der Polizei gesichtet. Dabei wurde festgestellt, dass ausschließlich das Grundstück des Beklagten aufgezeichnet wird und die Kameras nur manuell verstellt werden können.

Die Kläger wandten ein, dass der Beklagte den Winkel der Kameras in Ansehung der Durchsuchung geändert hätte, jedenfalls bestehe aber ein Überwachungsdruck dadurch, dass der Winkel der Kameras geändert werden könnte.

Dies sah die zuständige Richterin anders und gab dem Beklagten Recht. Der Überwachungsdruck allein kann in dem hiesigen Fall keine Verletzung des Allgemeinen Persönlichkeitsrechts darstellen. Darüber hinaus müsse vorliegend berücksichtigt werden, dass die Kläger ihrerseits ebenfalls eine Kamera an der Vorderseite des Hauses installierten haben, welche nicht nur das Grundstück sondern auch Teile des öffentlichen Gehwegs filmt.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 6): Ist das KDG strenger als die DSGVO?

30. November 2018

Zutreffend ist, dass das KDG im Gegensatz zur DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss.

Die Deutsche Bischofskonferenz (DBK) weist die Kritik zurück, der kirchliche Datenschutz sei strenger als das EU-Recht.

Zwar fordert das KDG im Gegensatz zur DSGVO explizit die Schriftform, es seien aber durch eine Öffnungsklausel „durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss“. Die DBK betont, dass das kirchliche Gesetz „mit seiner Forderung einer schriftlichen Einwilligung nicht von der DSGVO abweichen und strenger sein wollte als diese, sondern lediglich konkreter und damit anwenderfreundlicher“.

Darüber hinaus schreibt auch die DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt?

Kategorien: Allgemein
Schlagwörter: ,

Neuer Bundesdatenschutzbeauftragter (BfDI) gewählt

Neuer Bundesdatenschutzbeauftragter ist Ulrich Kelber, der seit dem Jahr 2000 für die Partei SPD im Bundestag vertreten ist. Mit seiner Wahl, bei der er 444 Stimmen der Abgeordneten bekam, folgt er auf Andrea Voßhoff.

Der neue Leiter der höchsten deutschen Datenschutzbehörde war unter anderem als parlamentarischer Staatssekretär für Verbraucherschutz, Mietrecht und Digitales zuständig. Kelber bringt darüber hinaus einschlägige Berufserfahrung als IT-Experte mit sich.

Interessanter Nebenaspekt ist dabei der in den einschlägigen Fachforen bereits diskutierte Auswahlprozess des neuen Bundesbeauftragten für Datenschutz. In ihrem Art. 53 bestimmt die Datenschutz-Grundverordnung (DSGVO) eigentlich folgendes:
„Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird (…).“

Die Wahl Kelbers dagegen verlief, wie bislang üblich, auf Vorschlag der Bundesregierung. Entsprechend gab es keine Ausschreibung, die womöglich die von der DSGVO intendierte Transparenz gefördert hätte. Ob und welche Auswirkungen dies haben könnte, ist dabei unklar.
Über die fachliche und persönliche Qualifikation des IT-erfahrenen Kelber sei damit selbstverständlich keine Aussage getroffen.

Nach Stop für Wunschzettel-Aktion nun auch kein Weihnachtsgeldzuschuss für Bedürftige

28. November 2018

Nachdem die bayrische Stadt Roth die Wunschzettel-Aktion auf dem diesjährigen Weihnachtsmarkt aufgrund von Datenschutzgründen für nicht durchführbar erklärte (wir berichteten), hat nun die Gemeinde Holzkirchen in Bayern bekanntgegeben, dass es für Bedürftige dieses Jahr keinen Weihnachtszuschuss gäbe. Grund hierfür sei, dass das Landratsamt Miesbach die personenbezogenen Daten der Bedürftigen nicht mehr für den Zweck des Weihnachtszuschusses herausgeben dürfe.

Um Bedürftigen zukünftig dennoch eine finanzielle Hilfe anbieten zu können, plane die Gemeinde nächstes Jahr den Bedürftigen den Weihnachtszuschuss in Form eines Gutscheinmodells zukommen zu lassen.

Kategorien: Allgemein
Schlagwörter: , ,

Uber muss Strafe zahlen – Datenpanne verschwiegen

27. November 2018

Ein Jahr lang hat der Fahrdienst-Vermittler Uber über ein massives Datenleck geschwiegen, bei dem 57 Millionen Nutzerdaten gestohlen wurden. Abgegriffen wurden Namen, E-Mail-Adressen und Telefonnummern.

In den Niederlanden waren rund 174.000 Bürger Opfer des Hacker-Angriffs geworden. Der Diebstahl hatte sich bereits 2016 ereignet und wurde erst ein Jahr später im Dezember 2017 bekannt gemacht.

Am Dienstag verhängte die niederländische Datenschutzbehörde eine Strafe von 600.000 Euro mit der Begründung, dass Uber diese Datenpanne nicht innerhalb der vorgegebenen Frist von 72-Stunden nach der Entdeckung gemeldet habe.

Kategorien: Allgemein
1 2 3 126