Nach Aussage des BSI ist Vorsicht beim Surfen im Web angeraten. Mit Hilfe von manipulierten Werbebannern wird beim Besuch der betroffenen Seiten Schadsoftware verteilt. Betroffen sind auch zahlreiche bekannte deutschsprachige Webseiten (wie Online-Angebote von Nachrichten‑, Politik‑, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen). Dabei wird eine Sicherheitslücke in einer verbreiteten Werbe-Server-Software ausgenutzt. Im Zusammenspiel mit Schwachstellen aus veralteter Software auf den Geräten des Besuchers eine gefährliche Mischung.
Bekannte Schwachstellen in Java, im Adobe Reader, in Adobe Flash oder auch im Microsoft Internet Explorer, ermöglichen die Installation von Schadprogrammen wie Online-Banking-Trojaner auf PCs (Windows) der Besuchern. Dabei reicht der Besuch einer Webseite mit einem entsprechend manipulierten Werbebanner bereits vollkommen aus. Es ist kein weiteres Zutun des Nutzers erforderlich.
Abhilfe schafft im Moment lediglich die automatische oder auch manuelle Installation der von Adobe und Microsoft zur Verfügung gestellten Sicherheitsupdates, entweder direkt unter www.adobe.de oder über die systeminterne Update-Funktion.
BITKOM hat eine aktuelle Hitliste der Bedrohungen aus dem Internet herausgegeben. Das höchste Bedrohungspotential geht demnach durch sog. Drive by Downloads aus. Hierbei reicht das Ansurfen einer präparierten Webseite bereits aus, um gefährlichen Schadcode auf das System des Besuchers zu bringen. Abhilfe schafft hier ein stets aktualisiertes System mit eingespielten Patches und Fixes (siehe auch Sicherheitslücke in Adobe Flash Player). Auf Platz 2 finden sich die bekannten und beliebten Trojaner und Viren dicht gefolgt von zielgerichteten Attacken gegen Datenbanken und Webseiten.
Da die Sicherheitslücken in der aktuellen Java Version 7.11 zu groß waren, hat Oracle nun reagiert. Ab sofort steht Version 13 zwei Wochen früher als geplant zum Download bereit. Wir empfehlen allen Nutzern, das Update zeitnah einzuspielen. 26 der 50 Korrekturen sind in der höchsten Gefahrenstufe 10 deklariert.
Facebook hat seinen Sitz, wie die meisten Anbieter sozialer Netzwerke, außerhalb von Deutschland oder des europäischen Rechtsraums. Der Firmensitz in den USA hat rechtlich für die Betreiber einige Vorteile. Nicht von ungefähr gelten die USA als nichtsicher, was Datenschutz angeht. Dies wirkt sich schnell auf die Praxis aus. Wer hat für den Firmenauftritt in Facebook nicht schon mal vergeblich ein passendes und rechtkonformes Feld für das Impressum gesucht? Doch jetzt kommt ein neues Risiko für gewerbliche Betreiber von Auftritten in sozialen Netzwerken hinzu.
Facebook generiert für geteilte Inhalte ein „Thumbnail“ – ein kleines Vorschaubildchen – und schmückt den Eintrag auf der Pinnwand mit dieser Miniaturvorschau.
Sieht schick aus! Spricht an! Ist brandgefährlich!
Eine Berliner Rechtsanwaltskanzlei hat einen gewerblichen Facebook-Betreiber abgemahnt. Grund: auf seiner Pinnwand fand sich die Minivorschau eines urheberrechtlich geschützten Bildes. Das gelangte aufgrund der vielfach genutzten „Teilen“-Funktion an diesen Platz. Die Urheberrechtsinhaberin, eine Fotografin, verlangte die sofortige Entfernung, die Abgabe einer strafbewehrten Unterlassungserklärung und zusätzlich Schadensersatz in Höhe von 1.200 Euro. Hinzu kommen noch die Anwaltsgebühren in Höhe von 546 Euro.
Der Rechtsvertreter des abgemahnten Unternehmens bejaht den Rechtsverstoß, der in diesem Falle nicht abgestritten werden kann. An der Höhe der Forderung äußerte er jedoch Zweifel. Nichtsdestotrotz wird ein entsprechender Betrag zu zahlen sein.
Unsere Tipps:
„Teilen“ Sie immer ohne Miniaturbild
Bilden Sie zur Sicherheit eine Rückstellung für Abmahnungen und die Abwehr solcher Risiken. Es ist praktisch kaum möglich, soziale Netzwerke und Medien zu nutzen, ohne Urheberrechtsverstöße zu begehen
Mit großen Schritten geht es in die letzte Phase dieses Jahres. Umsatz– und Budgetplanungen sind im vollen Gange. Wie jedes Jahr macht man sich Gedanken, wie das Werbebudget sinnvoll eingesetzt werden kann. Professionelle Webauftritte gehören zum guten Ton und sind ein wichtiges Marketinginstrument. Printmedien, TV, Radio, Flyer und Co. werden nach Bedarf bedient. Doch ist damit alles getan? Diese Fragestellung und Unsicherheit nutzen wie jedes Jahr dubiose Anbieter von Branchenbucheinträgen.
Verpackung ist alles
Sie kommen per Email, gelegentlich per Post. Auf den ersten Blick ist der Betrachter geneigt, diese Offerten für ein offizielles Angebot der DeTeMedien oder eines kostenlosen Angebots zu halten. Doch weit gefehlt, wie näheres Hinschauen ans Licht bringt.
Perfekte Mimikri
„Als Mimikry wird in der Biologie die Ähnlichkeit von Tieren einer bestimmten Art mit denen einer zweiten Art bezeichnet, so dass Tiere einer dritten Art die beiden anderen Arten nicht sicher voneinander unterscheiden können und miteinander verwechseln.“
Nun sind wir nicht in der Tierwelt, aber das Prinzip funktioniert trotzdem. In einem aktuellen Beispiel gibt sich der Anbieter als Partnerverlag der DeTeMedia aus. Wer denkt da nicht gleich an die Verlagstochter des Telekommunikationsriesen in Pink.
Die Sache hat nur einen Haken—dessen offizieller Verlag für „Das Telefonbuch“, „Das Oertliche“ und die „Gelben Seiten“ heißt DeTeMedien. Das menschliche Hirn ersetzt sinngemäß mit bekannten Mustern und schon ist es überlistet — das erste Ziel erreicht: Ausschaltung der Skepsis beim Leser.
Der Anschein
Doch damit nicht genug. Man soll ja den PDF-Anhang öffnen, um darin die notwendigen Korrekturen vorzunehmen, um auch im kommenden Jahr “mit Ihren aktuellen Firmendaten in den Branchenportalen eingetragen” zu sein. Bewusst wird dem Leser vorgegaukelt, es bestünde ja schon eine Zusammenarbeit. Die Skepsis-Schwelle sinkt weiter.
Wie praktisch
Der überrumpelte Empfänger öffnet also nun pflichtbewusst den PDF-Anhang. In diesem Fall hat er noch mal Glück, kein Schadcode durch das fremde Dokument eingeschleust. Teuer kann es dennoch werden.
Um den weiteren „offiziellen“ Anschein zu wahren, prangt oben rechts das GOGREEN-Logo der Deutschen Post. Na, dann kann es ja nur seine Richtigkeit mit dem Angebot haben, oder?
Über das Stichwort „Eintragungsvorschlag“ fliegt man schnell hinweg auf der Suche nach dem Korrekturfeld. Darüber steht „Die von Ihnen zugesandte und gewünschte Änderung, haben wir wie folgt untenstehend im Korrekturfeld geändert. Wir bitten Sie nochmals den nachfolgenden Einragungstext zu überprüfen und uns diesen per Fax zurück zusenden.“ Schreibfehler inklusive 🙂
Geschickt wird sich ein Fehler in Ihre Daten eingeschlichen haben. Sie oder einer Ihrer Mitarbeiter korrigieren diesen und faxen das Formular zurück.
Glückwunsch
Sie sind nun Besitzer eines Premiumeintrages in einem unbedeutenden Online-Verzeichnis. Kosten: 999 EUR netto pro Jahr, Mindestvertragslaufzeit 2 Jahre. Da Sie so schnell reagiert haben, gewährt man Ihnen aber einen Nachlass von 2 EUR auf den Rechnungsbetrag. Wie nett, es ist ja auch bald Weihnachten.
In diesem Sinne — immer schön genau die Post lesen, Sascha Kuhrau
Erfreuliches Update
Der Bundesgerichtshof hat mit Urteil vom 26.07.2012 (VII ZR 262/11) zu der Frage entschieden, dass eine solche Entgeltklausel in einem Antragsformular für einen Grundeintrag in ein Online-Branchenverzeichnis nach dem Erscheinungsbild des Formulars für den Adressaten überraschend ist und deshalb nach § 305c Abs. 1 BGB nicht Vertragsbestandteil wird.
Am Samstag, den 17.11.2012 findet von 14.00 bis 17.00 Uhr in der Volkshochschule Hersbruck, Emil-Held-Haus, Amberger Straße 27, Raum 02 das Seminar
Soziale Netzwerke und deren Gefahrenpotentiale
statt. Die Teilnahme-Gebühr beträgt 24,– €.
Beschreibung:
Wie kann es sein, dass ein eigentlich kleines Unternehmen wie Facebook Milliarden wert sein soll? Oder handelt es sich dabei eher um den Wert der gesammelten personenbezogenen Daten der Nutzer? Was steckt hinter sozialen Netzwerken? Was treibt diese an und was motiviert deren Nutzer, so viel über sich preiszugeben? Was ist Profiling und wie kann ich mich davor schützen? Welche unbedachten Rechtsverstöße können bei der Nutzung sozialer Netzwerke unterlaufen? Diese und weitere Fragen beantwortet Ihnen der Dozent, freiberuflicher Berater für Datenschutz und Datensicherheit im Rahmen dieser Veranstaltung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte diese Woche über eine kritische Sicherheitslücke in Java 7 und deren Gefahrenpotential. Mittlerweile wird diese Lücke bereits aktiv — auch in Deutschland — z.B. durch präparierte Werbebanner ausgenutzt. Selbst der Besuch von bekannten und seriösen Webseiten kann im Zweifel nicht vor einer Infektion über die Sicherheitslücke schützen, da diese Banner über Werbenetzwerke eingeblendet werden.
Aus anderen Ländern ist bekannt, dass über diese Lücke bekannte Banking-Trojaner auf die Systeme geschleust wurden, um damit Bankvorgänge auszuspähen und zu manipulieren. Aufgrund der Beschaffenheit der Lücke reicht der bloße Besuch einer infizierten Webseite bereits aus, um den Schädling zu übertragen und zu aktivieren.
Da bisher noch kein Sicherheitsupdate vorliegt, rät das BSI zum Deaktivieren oder Deinstallieren der betroffenen Java Laufzeitumgebung. Sollte Java anderweitig auf dem System benötigt werden, so sollten Anwender zumindest die Java Browser Plugins deaktivieren.
Update vom 31.08.2012:
Oracle hat ein außerplanmäßiges Sicherheitsupdate zum Schließen dieser Sicherheitslücke bereitgestellt. Es wird empfohlen, das Update manuell über den Link
Am 04. August 2012 wurde die Spieleplattform battle.net des Anbieters Blizzard gehackt. Betroffen sind neben der Email-Adresse (alle Regionen außer China) auch Sicherheitsabfragen (zumindest von Spiele-Servern aus Nordamerika). Am 09.08.2012 stellte Blizzard eine offizielle Stellungnahme ins Netz. Mit erhöhtem Spamaufkommen für Nutzer von battle.net ist zu rechnen. Blizzard warnt weiterhin vor möglichen Phishing-Emails und rät zum zeitnahen Wechsel der Zugangspasswörter (Server Nordamerika).
Willkommen zum ersten Teil unserer Serie “Irrtümer im Datenschutz”. Datenschutz ist in aller Munde, doch kaum jemand kennt das dahinterstehende Bundesdatenschutzgesetz (BDSG). Dabei ist das Datenschutzgesetz auf Bundesebene nicht mehr das Jüngste, existiert es doch bereits seit 1977.
Erstaunlicherweise herrscht über das Thema Datenschutz in der Praxis meist ein risikoreiches Halbwissen. Die Existenz oder die Inhalte des BDSG sind selten konkret bekannt, Aufklärung seitens des Gesetzgebers zu diesem Thema erfolgt bedauerlicherweise ebenfalls keine. Unternehmen und Unternehmer sind auf sich alleine gestellt, wenn es um die rechtliche Auseinandersetzung mit dem Thema Datenschutz und dessen konkrete (vorgeschriebenen) Maßnahmen im Betrieb geht. Was Wunder, wenn Datenschutz im Tagesgeschäft einen geringen Stellenwert einnimmt.
Es kann teuer werden
Im Jahr 2009 hat der Gesetzgeber die Strafen und Sanktionen für Nichteinhaltung der gesetzlichen Datenschutzvorschriften durch Unternehmen verschärft. Konkret werden diese in § 43 BDSG Bußgeldvorschriften und § 44 BDSG Strafvorschriften ähnlich dem aus der Straßenverkehrsordnung bekannten Bußgeldkatalog aufgelistet. Neben Auflagen durch die Landesdatenschutzbehörden können Unternehmer und Unternehmen schnell einem Bußgeldrisiko von bis zu 300.000 Euro ausgesetzt sein — und das sogar ganz ohne Datenpanne. Unwissenheit schützt auch hier vor Strafe nicht.
“Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht”
Weit gefehlt, denn in jedem Unternehmen wird für gewöhnlich mit personenbezogene Daten hantiert (der Gesetzgeber spricht von Erheben, Verarbeiten und Nutzen). Sind es nicht die Daten von Kunden und Geschäftspartnern, so existieren doch zumeist noch Mitarbeiterdaten im Unternehmen — und diese gelten rechtlich als “sensitiv” und damit besonders schützenswert. Doch schauen wir auf das Bundesdatenschutzgesetz:
Bereits § 1 BDSG Zweck und Anwendungsbereich des Gesetzes macht klar, was das Datenschutzgesetz schützt und wen es betrifft.
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch
3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.
Betrachten wir die Definition nicht-öffentlicher Stellen:
§ 2 Öffentliche und nicht-öffentliche Stellen
(4) Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
Somit ist klar, die Annahme “Datenschutz und Datenschutzgesetz betreffen mein Unternehmen überhaupt nicht” gehört ins Reich der Mythen und Irrtümer! Sollten Sie bisher mit Ihrem Unternehmen (auch als Ein-Mann-Betrieb) nach dieser Fehleinschätzung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Identifikation der Bußgeldrisiken, denen Sie sich und Ihrem Unternehmen ausgesetzt haben.
Licht am Horizont
Bevor Sie sich nun selbst in die juristischen Untiefen des Bundesdatenschutzgesetzes stürzen und Aktivitäten entwickeln, fragen Sie einfach den Fachmann — a.s.k. Datenschutz. Mittels standardisierter Prüf- und Auditierungsverfahren identifizieren wir gemeinsam mit Ihnen schnell, unbürokratisch und zuverlässig die notwendigen Maßnahmen, die für eine gesetzeskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen sorgen. Selbstverständlich unterstützen wir Sie ebenfalls aktiv bei der internen Umsetzung und betreuen Sie im Anschluß als sog. externer Datenschutzbeauftragter, wenn die Überprüfung das Vorliegen einer Bestellpflicht ergibt.
Vertrauen Sie langjähriger Erfahrung aus der bundesweiten Beratung und Betreuung kleiner und großer Unternehmen aus den unterschiedlichsten Branchen und profitieren Sie von diesem übergreifenden Know-How.
Nutzen Sie einfach unseren Rückruf-Service, wir melden uns garantiert! Oder fordern Sie doch gleich Ihr unverbindliches Angebot für einen externen Datenschutzbeauftragten an.
Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:
Ob dieser Meldung reibt man sich unwillkürlich die Augen und staunt: Die wohl bekannteste Auskunftei in Deutschland — SCHUFA — plant, Nutzer in den sozialen Netzwerken wie Facebook, Twitter und Xing auszuspionieren und die Schnüffel-Ergebnisse in die Bewertung der Kreditwürdigkeit des Einzelnen mit einfließen zu lassen. Dies vermeldete heute Nacht NDR Info. Sogenannte “Projektideen” gehen sogar noch weiter (Auszug NDR Info):
Welche Informationen können aus “nicht-öffentlichen Quellen” (dark web) gezogen werden?
Generierung von elektronischen Identifizierungsdaten (e‑mail-Adressen, e‑Postbriefadresse, facebook-ID …)
Relationship Extraction, um Beziehungen zwischen Entitäten zu gewinnen (Person/Person; Person/Unternehmen; Unternehmen/Unternehmen). Mögliche Quellen: Nachrichten, Blogs, Wikipedia, soziale Netzwerke …
VIP-Identifikation: Automatisierte Identifikation von Personen öffentlichen Interesses, Verbraucherschützern und Journalisten
Ad-hoc-Sentiment Analyse für Personen: Spezialisierte Personensuche, die neben strukturierten Informationen auch zuvor gesammelten Textdaten sowie ad-hoc-angefragte Textdaten nutz, um ein aktuelles Meinungsbild zu der Person zu ermitteln. Mögliche Quellen: Blogs, Twitter, Nachrichtenseiten, Unternehmenshomepage, Aktienkurs …
Jeweils Korrelationen zur Bonität untersuchen
Zeige mir Dein soziales Umfeld und ich entscheide über Deine Kreditwürdigkeit
Bei Datenschützern und Politikern stößt das Projekt der SCHUFA auf heftige Kritik. So äußert Justizministerin Sabine Leutheusser-Schnarrenberger gegenüber SPIEGEL Online“Es darf nicht sein, dass Facebook-Freunde und Vorlieben dazu führen, dass man zum Beispiel keinen Handy-Vertrag abschließen kann.” FDP-Fraktionschef Rainer Brüderle wird gegenüber SPIEGEL Online sogar noch deutlicher: “Die Pläne der Schufa gehen zu weit. Soziale Netzwerke gehören wie der Freundeskreis zur Privatsphäre und dürfen daher nicht von der Schufa angezapft werden.”
Die FAZ berichtet, der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert nahm in einem Telefonat mit NDR Info wie folgt Stellung: “Hinter einem solchen Forschungsprojekt steckt immer eine Absicht. Sollte die Schufa die gewonnenen Daten tatsächlich einsetzen, wäre das eine völlig neue Dimension.” Weiterhin äußerte er große Zweifel, ob eine solche Umsetzung der Projektideen rechtlich überhaupt haltbar sei.
Theorie und Wirklichkeit
Aktuell rühmt sich die SCHUFA auf ihrer eigenen Webseite (Punkt 4.8), keine Regio- oder Geodaten (also das soziale Wohnumfeld) des Verbrauchers zur Bewertung und Berechnung des Scorewerts heranzuziehen. Wird aus der Projektidee Wirklichkeit, würde die SCHUFA damit sehr viel weiter gehen, als sie ihren Wettbewerbern heute selbst vorwirft. Edda Castelló von der Verbraucherzentrale Hamburg nutzt gegenüber der FAZ bewußt den Begriff “Grenzüberschreitung” für ein solches Vorhaben.
Reaktionen im Netz
Die Netzwelt reagiert sehr unterschiedlich. Kommentare von “Na und?” über “Geschieht den Facebook-Nutzern ganz recht” bis hin zu “Der Untergang der Demokratie” finden sich zuhauf. Findige Nutzer bieten derweil einkommensstarke Facebook-Freundschaften zum Verkauf an zwecks Verbesserung des zukünftigen Score-Werts.
Schutzmöglichkeiten
SPIEGEL Online gibt aktuell Tipps, wie das eigene Facebook-Profil weitestgehend abgeschottet werden kann, um nicht allzu freizügige Einblicke zu gewähren. Das mehr zufällig bekanntgewordene Beispiel der SCHUFA, auch wenn es sich nur um eine Projektidee handeln soll, zeigt die Bedeutung des sorgfältigen Umgangs mit den eigenen personenbezogenen Daten bei der Nutzung des Web 2.0. Es bleibt spannend.
Wie datenschutzbeauftragter-info.de so treffend anmerkt, vergibt die SCHUFA ein eigenes Datenschutz-Siegel. Wird hier der Bock zum Gärtner gemacht? 🙂
