Ransomware Locky lernt Deutsch und infiziert hierzulande jede Stunde 5000 Rechner

19. Februar 2016

Deutschland ist Weltmeister! Aber nicht nur im Fußball sondern, und dies ist für Betroffene kein Grund zur Freude, auch was die Zahl der Neuinfektionen mit dem Krypto-Trojaner Locky angeht, ist Deutschland an der Spitze. Mit stündlich über 5000 (!) Neuinfektionen verweisen wir die Niederlande (beim Fußball deutlich lieber gesehen) und die USA auf die Ränge zwei und drei. Da passt es, dass Locky Betroffenen in Deutschland die Lösegeldforderungen, statt wie bisher nur auf Englisch, nun auch auf Deutsch unterbreitet.

Ransomware wie Locky funktioniert dabei immer nach dem gleichen Prinzip. Einmal, bevorzugt per Email, unbemerkt ins System gelangt, beginnt das Schadprogramm sofort damit, sämtliche Dateien zu verschlüsseln. Teil des Erfolges ist dabei, dass sich das Programm zuerst solche Dateien vornimmt, die am längsten nicht geändert bzw. verwendet worden sind. So bleibt eine Infektion meist länger unbemerkt. Im schlimmsten Fall so lange, bis auch Backups infiziert sind. Betroffene werden sodann aufgefordert mittels TOR Kontakt zu den Kriminellen aufzunehmen und dann per Bitcoins einen Key zur Entschlüsselung zu „kaufen“. Durch den Einsatz anspruchsvoller Verschlüsselungstechnik wie RSA ist eine Entschlüsselung auf eigene Faust völlig aussichtslos.

Wie Nutzer berichten, gehen die Erpresser dabei immer zielgerichteter und perfider vor. Emails werden an mehrere Nutzer aus dem selben Unternehmen versandt. Wenn die Kollegen, mit denen man täglich Emails austauscht, mit in der Adress- oder Kopieleiste auftauchen, erhöht sich offensichtlich die Wahrscheinlichkeit deutlich, dass Empänger die Mails samt Anhang, gerne xls-Dateien, öffnen.

Besonders wichtig, neben der ständigen Aktualisierung der Systeme sowie einer ausgeklügelten Backup-Routine, ist deshalb die laufende Sensibilisierung der Mitarbeiter. Nur wenn das Bewusstsein geschaffen und laufend aufgefrischt wird, dass die Bedrohung durch infizierte Mails real und allgegenwärtig ist, ist ein wirksamer Schutz möglich. Die wirksamen Maßnahmen dürften dabei heutzutage wohl allen Nutzern eigentlich bekannt sein. 5000 Neuinfizierungen am Tag sprechen aber dafür, dass man sie nicht oft genug wiederholen kann:

1. Keine Mails von unbekannten Absendern öffnen.

2. Verdächtige Anhänge niemals öffnen sondern im Zweifel immer die IT-Verantwortlichen um Rat fragen.

3. Wachsam sein und den gesunden Menschenverstand einschalten: Eine Rechnung z.B. wird typischerweise nicht an viele Empfänger gleichzeitig und nicht als Word-Dokument verschickt.

Kategorien: Allgemein · Hackerangriffe · Schadsoftware
Schlagwörter:

Arbeitgeber darf Browserverlauf auf private Internetnutzung prüfen

18. Februar 2016

Zwischendurch auf der Arbeit schnell nach einem neuen Urlaubsziel suchen oder die Filmstarts der Woche recherchieren – die private Nutzung des Internets auf der Arbeit ist inzwischen üblich und für viele selbstverständlich. Dass das Thema „private Nutzung der dienstlichen IT am Arbeitsplatz“ kein einfaches Thema ist und sowohl Arbeitgeber als auch Gerichte immer wieder beschäftigt, zeigen verschiedene Urteile der letzten Zeit.

Wie beck-aktuell berichtet, hat sich nun erneut ein Gericht mit dem Thema beschäftigt, diesmal das LAG Berlin-Brandenburg. Es hat am 14. Januar 2016 entschieden, dass der Arbeitgeber nicht nur den Browserverlauf seines Arbeitnehmers einsehen, sondern die gefundenen Ergebnisse auch als Grundlage der folgenden Kündigung nutzen darf. Anders als oft üblich, hatte der Arbeitgeber dem Arbeitnehmer den Arbeitscomputer ausschließlich zu dienstlichen Zwecken überlassen.

Nach Auffassung des LAG handele es sich hinsichtlich des Browserverlaufs zwar um personenbezogene Daten, in deren Kontrolle der Arbeitnehmer nicht eingewilligt habe. Eine Verwertung der Daten sei jedoch statthaft, weil das Bundesdatenschutzgesetz eine Speicherung und Auswertung des Browserverlaufs zur Missbrauchskontrolle auch ohne eine derartige Einwilligung erlaube und der Arbeitgeber im vorliegenden Fall keine Möglichkeit gehabt habe, mit anderen Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen.

Das LAG Berlin-Brandenburg hat die Revision beim BAG zugelassen. Wir bleiben gespannt, wie dieses entscheiden wird.

Zum Thema „Überwachung am Arbeitsplatz“ empfehlen wir auch die Orientierungshilfe der Datenschutzbehörden des Bundes und der Länder, über die ebenfalls hier im Blog berichtet wurde.

Bundesministerium des Inneren stellt Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen vor

17. Februar 2016

Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.

 
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff „Kritische Infrastruktur“ zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.

 
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.

 
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

 
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.

Obama ergreift initiative beim Datenschutz

16. Februar 2016

US-Präsident Barack Obama gründet den Federal Privacy Council, einen Rat für Datenschutz, um genau diesen, nämlich den Datenschutz, zu stärken.

Das Thema Datenschutz wird in den USA deutlich anders behandelt als in Europa. Bereits das US-Amerikanische Volk hat eine ganz andere Einstellung zu privaten Daten und deren Schutz, als wir es hier gewohnt sind. Im Allgemeinen besitzen Behörden in den USA mehr und weitreichendere Zugriffsrechte, was wohl als Kernproblem beim Datenaustausch zwischen den USA und den EU-Staaten anzusehen ist. Im Oktober des vergangenen Jahres wurde aus diesem Grund das Safe Harbor Abkommen zwischen den USA und der EU vom Europäischen Gerichtshof gekippt (datenschutzticker.de berichtete hierüber). Anfang Februar diesen Jahres wurde das Nachfolgeabkommen „EU-US-Privacy-Shield“ erlassen, dessen Inhalte im Detail jedoch noch nicht bekannt sind.

Nun hat Präsident Barack Obama Initiative gezeigt und einen Rat für Datenschutz gegründet. Denn auch in den USA wächst das Verständnis für Datenschutz und die Bürger sensibilisieren sich zunehmend für die damit einhergehenden Gefahren. Damit das Vertrauen in die Datenverwaltung innerhalb der US-Behörden gestärkt wird, soll der Datenschutz in den Bundeseinrichtungen vereinheitlicht und transparenter organisiert werden. Der Rat wird vor allem bei der Erstellung und Implementierung von Datenschutzrichtlinien mitwirken, Empfehlungen ausarbeiten und auf vermehrte Weiterbildung innerhalb der Behörden hinwirken.

Der Rat besteht aus mindestens 24 Mitgliedern und setzt sich unter anderem aus hochrangigen Beamten des Weißen Hauses, den Datenschutzbeauftragten der Ministerien sowie den Datenschutzbeauftragten nationaler Geheimdienste zusammen.

Laufen für die Krankenkasse

11. Februar 2016

Immer mehr Menschen nutzen Fitness-Tracker – aus den unterschiedlichsten Gründen, unterschiedlich häufig und mit unterschiedlichsten Absichten.

Was für die einen lediglich eine technische Spielerei oder ein Ansporn für regelmäßige Fitness ist, stellt für die anderen eine im wahrsten Sinne des Wortes laufende Gefahr für den Datenschutz der Freizeitsportler dar. Manche befürchten schon eine Tarifänderung der Krankenkassen, abhängig von der Bereitschaft, einen Fitnesstracker zu tragen und die Daten zu übermitteln.

Nachdem in der Vergangenheit auch auf diesem Blog schon mehrfach über Fitnesstracker und Wearables berichtet wurde, hat nun tatsächlich Anfang dieser Woche der Chef der Techniker Krankenkasse, Jens Baas, in der Süddeutschen Zeitung vorgeschlagen, dass auch Daten von Fitness-Trackern künftig in der geplanten elektronischen Patienakte gesammelt und von den Kassen verwaltet werden sollen. Ein Schelm, wer Böses dabei denkt.

Anlässlich des Safer Infernet Day am 09.02.2016 sprach sich dem gegenüber der Bundesjustizminister Heiko Maas (SPD) deutlich dagegen aus, Daten aus Fitness-Trackern von Krankenkassen verwalten zu lassen. Wie ZEIT Online berichtet, wolle Maas prüfen, ob die Verwendung bestimmter Gesundheitsdaten auf Grundlage der neuen Datenschutzgrundverordnung nur eingeschränkt zuzulassen sei. Jeder solle frei und selbst bestimmt entscheiden können, wem er seine Fitnessdaten preisgebe. Eine Kopplung dieser Freigabe an einen bestimmten Krankenkassentarif stelle die Freiwilligkeit einer solchen Einwilligung ernsthaft infrage, so Maas.

Kategorien: Gesundheitsdatenschutz
Schlagwörter: , ,

Fanpages auf Facebook bald vor dem Aus?

Viele Unternehmen nutzen Facebook um sich dort den Facebooknutzern zu präsentieren, neue Kunden zu gewinnen, bestehende Kunden zu binden, Umfragen zu starten und generell im sozialen Netzwerk präsent zu sein. Diese sogenannten Fanpages von Unternehmen stehen seit einiger Zeit in der Kritik des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (i.F.: ULD).

Nun findet noch diesen Monat die Verhandlung über die Zulässigkeit solcher Fanpages vor dem Bundesverwaltungsgericht statt.

Der Hintergrund stellt sich wie folgt dar:

Im November 2011 hat das ULD gegenüber einer GmbH aus Schleswig-Holstein die Deaktivierung der Fanpage der GmbH angeordnet. Gegen diese Anordnung hat die GmbH Klage vor dem Verwaltungsgericht Schleswig erhoben. Im Wesentlichen ging es um die Frage, ob die GmbH als verantwortliche Stelle i.S.d. § 3 VII BDSG zu sehen ist.

Das Verwaltungsgericht Schleswig hat diese Frage verneint und die Anordnung des ULD in der Fassung des Widerspruchsbescheides aufgehoben.
Auch das Oberverwaltungsgericht Schleswig als Berufungsinstanz hat festgestellt, dass die GmbH weder einen rechtlichen noch tatsächlichen Einfluss auf die Datenverarbeitung durch facebook.com innerhalb der Umgebung von facebook.com hat und somit keine verantwortliche Stelle i.S.v. § 3 VII BDSG ist.
Wegen der grundsätzlichen Bedeutung der Sachfrage hat das Oberverwaltungsgericht jedoch die Revision beim Bundesverwaltungsgericht zugelassen.

Die Gerichtsverhandlung findet am 25.02.2016 statt und wird mit Spannung erwartet.

 

Datenschutzkonforme Vernichtung von Akten und der Karneval

Das vergangene Wochenende stand nahezu deutschlandweit ganz im Zeichen des Karnevals. Ob Fasching, Fastnacht oder der Fastelovend, die Republik feierte, verkleidete sich und traf sich zu unzähligen kleinen und großen Umzügen. Einer dieser beschäftigt nun den Landesdatenschutzbeauftragten des Landes Thüringen Lutz Hasse. Eine Anwohnerin in Dermbach (Wartburgkreis) hatte beim Zusammenfegen des Konfettis nach dem dortigen Umzug festgestellt, dass es sich dabei um zerschredderte Patientenakten aus dem Klinikum Bad Salzungen handelte. Sie schaltete die Aufsichtbehörde ein die feststellte, dass es sich tatsächlich um unsachgemäß geschredderte Akten samt Namen, Adressen und Telefonnummern handelte. Das betroffene Klinikum zeigte sich kooperativ in der Aufklärung und erklärte, dass es sich offensichtlich um geschreddertes Material aus dem der Klinik angeschlossenem Versorgungszentrum in Kaltennordheim handele, welches nicht bis auf die vorgeschriebene Endgröße zerkleinert und aus den Praxisräumen entfernt worden sei. «Die Vermutung liegt nahe, dass dieses von dort den Weg auf die Dermbacher Straßen fand», heißt es in der Erklärung.

Zur datenschutzkonformen Vernichtung personenenbezogener Daten im geschäftlichen Bereich ist ein Schredder der DIN 66399 mit mindestens der Stufe 3 notwendig. Alternativ kann ein zertifziertes Entsorgungsunternehmen zur Vernichtung herangezogen werden. Doch auch dann raten Datenschützer von der Verwendung als Konfetti ab.

CNIL: Formelle Rüge für Facebook

9. Februar 2016

Die französische Commission National de l´informatique et des libertés (CNIL) hat Facebook Medienberichten zufolge insbesondere wegen Datenübermittlungen in die USA auf Grundlage von Safe Harbor formal gerügt. Damit ist sie die erste europäische Datenschutzaufsichtsbehörde, die in Sachen Safe Harbor rechtliche Schritte einleitet. Eine Übermittlung von personenbezogenen Daten der europäischen Nutzer auf Basis des Safe Harbor-Abkommens in die USA wird seit der Entscheidung des Europäischen Gerichtshofs als unzulässig angesehen. Die Rüge sei sowohl dem US-Mutterkonzern, als auch der europäischen Tochter Facebook Ireland Limited zugestellt worden. Facebook habe eine dreimonatige Frist erhalten, alle gerügten Umstände zu beseitigen. Sollte dies nicht geschehen, werde die französische Datenschutzbeauftragte Isabelle Falque-Pierrotin einen „Berichterstatter“ beauftragen, der über Sanktionen gegenüber Facebook entscheiden soll.

Überwachung am Arbeitsplatz – rechtliche Orientierungshilfe

Die Datenschutzbehörden der Länder und des Bundes haben eine Orientierungshilfe zum Thema „Überwachung der privaten und beruflichen Internetkommunikation der Arbeitnehmer“ veröffentlicht. Demnach sei es Arbeitnehmern grundsätzlich nicht erlaubt, betriebliche E-Mail -und Internetdienste zu privaten Zwecken zu verwenden. Zu beachten seien das Bundesdatenschutzgesetz sowie einschlägige arbeitsrechtliche Entscheidungen. Der Arbeitgeber habe das Recht, anhand der Protokolldaten stichprobenartig zu kontrollieren, ob die Internetnutzung rein betrieblich erfolgt. Die Kontrolle des Surfverhaltens sei zunächst personenunabhängig durchzuführen, da eine personenbezogene Vollkontrolle einen schwerwiegenden Eingriff in das verfassungsrechtlich geschützte Recht auf informationelle Selbstbestimmung des Arbeitnehmers darstelle. Daher sei eine personenbezogene Vollkontrolle nur bei konkretem Missbrauchsverdacht unter den Voraussetzungen des § 32 Abs. 1 S. 2 BDSG zulässig. Art und Ausmaß der Überwachung müssen verhältnismäßig sein. Die betriebliche E-Mail-Kommunikation dürfe der Arbeitgeber zur Kenntnis nehmen, wobei eine automatisierte Weiterleitung aller ein- und ausgehenden E-Mails einer permanenten Kontrolle gleichkäme und daher nicht zulässig ist.

Dem Arbeitgeber stehe es frei, die private Nutzung der E-Mail -und Internetdienste in vollem Umfang oder beispielsweise zeitlich begrenzt zu erlauben. Dies könne z. B. ausdrücklich im Arbeitsvertrag erlaubt sein oder durch konkludente Genehmigung erfolgen. Von einer konkludenten Genehmigung sei auszugehen, wenn der Arbeitgeber die private Nutzung der betrieblichen Internetkommunikation wissentlich über einen längeren Zeitraum dulde und somit eine sog. „betriebliche Übung“ anzunehmen wäre.

Sofern der Arbeitgeber privates Internetsurfen gestattet, ist er als Dienstanbieter nach dem TKG anzusehen und hat die Datenschutzbestimmungen des TMG zu beachten. Er ist folglich zur Achtung des Fernmeldegeheimnisses verpflichtet und darf auf Protokolldaten nur dann zugreifen, wenn eine wirksame Einwilligung des Arbeitnehmers vorliegt.

Die Überwachung der Internetkommunikation sog. „Geheimnisträger“ (z.B. Betriebsräte) unterliegt naturgemäß noch strengeren Regeln.

Nach Aussage der Aufsichtsbehörden empfiehlt es sich, die Details der Überwachung am Arbeitsplatz in Betriebsvereinbarungen zu statuieren.

Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: http://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!

1 20 21 22 23 24 139