Das NIST hat seine 14 Jahre alten (und leider falschen) Empfehlungen zur Passwort-Sicherheit überarbeitet. Der damalige Verfasser bekennt gegenüber der Washington Post: "Die Wahrheit ist: Ich war auf dem falschen Dampfer." Seine Empfehlungen finden sich noch heute in den verschiedensten Sicherheitsstandards. Täglich kosten Sie Zeit und Nerven der Endanwender. Passwörter müssen Sonderzeichen enthalten und alle 90 Tage gewechselt werden, hieß es bisher. Obwohl sich diese Annahme schon lange als fehlerhaft erwiesen hat (siehe auch unsere Blogbeiträge dazu), wurde und wird seitens der Verantwortlichen an diesen starren Passwort-Regelungen festgehalten. Sicherheit wurde hierdurch jedoch keine geschaffen. Daher hat das NIST seine Passwort-Empfehlungen endlich überarbeitet und an die wirkliche Bedrohungslage angepasst. Und welch Freude: Sogar das BSI lenkt in 2020 endlich ein plant eine Anpassung des Bausteins ORP.4 .Wie nutzerfreundliche und sichere Passwort-Richtlinien aussehen können, lesen Sie in unserem Blogbeitrag. Gerne dürfen Sie diesen teilen :-)
Neue Angriffe über Bewerbungen per Email: Ransomware GermanWiper löscht alle Daten statt sie zu verschlüsseln. Das BSI warnt in seinen CERT-Meldungen. Weitere Infos zur Funktionsweise sowie möglichen Schutzmaßnahmen im Blogbeitrag.
Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440. Weitere Details und Link zum Microsoft Security Advisory 4053440 finden Sie im Blogbeitrag.
Microsoft meldet eine aktuelle Bedrohung mit Schwerpunkt Europa über eine ältere Schwachstelle CVE-2017-1182 in Microsoft Office. Ein präpariertes RTF Dokument infiziert das System mit einem Backdoor-Trojaner.
"Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?", diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Wir haben dies zum Anlass genommen, hierzu ein Webvideo zu erstellen, in dem wir auf die Notwendigkeit und rechtlichen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts vertiefend eingehen. Denn die Antwort auf die Frage kann nur lauten "Ja!". Wer es nicht glaubt, ist herzlich dazu eingeladen, sich in unserem Video davon überzeugen zu lassen. Sie finden das Webvideo eingebettet hier bei uns im Blog oder auf unserem neuen Youtube-Kanal.
Datenleck bei Krankenkassen. Patientendaten nach wie unsicher. Name, Geburtsdatum und Versichertennummer reichen, um vollständigen Zugriff auf die Daten des Versicherten zu erhalten. Die Bundesdatenschutzbeauftragte ist alarmiert.
Verwunderlich, wie wenig in den Nachrichten zu dem Thema in den letzten Tagen zu hören ist. Nach Teslacrypt treibt ein weiterer Krypto-Trojaner sein Unwesen. Und das sogar ziemlich erfolgreich. Vor einigen Tagen gab es noch 5.000 Infektionen pro Stunde in Deutschland. Heute sind es über den Tag immerhin noch 17.000 (auch wieder nur alleine in Deutschland).
Warnung: BKA Warnung vor Locky enthält Removal Tool und einen Trojaner
Krankenhaus in NRW von Krypto-Trojaner befallen. Alle Dateien sind verschlüsselt, die Systeme heruntergefahren. Operationen wurden verschoben.
Sind Ihre Mitarbeiter ausreichend für die Gefahren aus Spam und Phishing Emails sensibilisiert? Mit über 34% sind Email und Instant Messaging nach wie vor das größte Einfallstor.
Meistgelesen
-
Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen -
Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster -
Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren -
Rechnung per Email versenden und der Datenschutz -
Was ist Datenschutz? -
Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert -
PC Arbeitsplatz beim Verlassen absichern: Bildschirmschoner mit Kennwort per Mausklick oder Tastatur aktivieren -
Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung -
Datenschutz am Arbeitsplatz: Clean Desk Prinzip / Clean Desk Policy -
Verzeichnis von Verarbeitungstätigkeiten (VVT) sinnvoll und praktisch erstellen und einsetzen
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Whistle Safe e.K., Berlin — Whistleblowing-Lösungen für Unternehmen und Kommunen
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
