Mangel

RTF-Dokument nutzt ältere Office Schwachstelle aus und bringt Backdoor-Trojaner mit

von Sascha Kuhrau
11. Juni 2019

Microsoft meldet (externer Link zu Twitter) eine aktuelle Bedrohung mit Schwerpunkt Europa über eine ältere Schwachstelle in Microsoft Office. Mittels eines präparierten RTF Dokuments infiziert sich das Windows-System mit einem Backdoor-Trojaner, der das Ausführen weiteren Codes auf dem befallenen System zulässt. Die Schwachstelle wurde bereits 2017 im CVE-2017–1182 (externer Link) beschrieben. Microsoft empfiehlt allen Office-Anwendern, das aktuelle Patch-Level zu prüfen. Die notwendigen Update für Office 2007–2016 finden Sie im unteren Teil der CVE.

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

von Sascha Kuhrau
4. November 2016
1 Kommentar

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

“[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.”

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

“Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.”

Im zweiten Teil wird es ziemlich konkret im Hinblick auf in der Cloud eingesetzte Lösungen wie Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen. Hier wollen die Behörden sehr konkrete Angaben zu den genutzten Anbietern und Lösungen.

Abgeschlossen wird der Fragebogen mit Angaben zum betrieblichen Datenschutzbeauftragten. Diesen sollten Sie bei Vorliegen der gesetzlichen Bestellpflicht hoffentlich benennen können und in die Beantwortung des Fragebogens einbezogen haben.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Sie haben einen solchen Fragebogen erhalten, jedoch keinen betrieblichen Datenschutzbeauftragten zur Beantwortung parat? Sprechen Sie uns an.

Quelle: https://www.lda.bayern.de/media/pm2016_09.pdf

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

von Sascha Kuhrau
11. April 2016
1 Kommentar

Am gestrigen Sonntag wurde gemeldet, Nutzerkonten samt Daten von registrierten Nutzern der Webseite des DuMont-Verlags standen stundenlang ungeschützt im Netz. Während der Verlag von einem Hackerangriff spricht, scheint einiges für interne Schlamperei zu sprechen (spiegel.de)

Der Verlag nahm die betroffenen Webseiten einige Stunden nach Meldung der Datenpanne offline. Sie sollen im Laufe des heutigen Tages wieder ans Netz gehen. Fatal: Neben den Benutzernamen waren die Passwörter im Klartext abgespeichert. Nach eigenen Angaben des Verlags wurden die Passwörter der betroffenen Accounts zurückgesetzt.

Die Auftragsverarbeitung — Besonderheiten des Datenschutzrechts beim Outsourcing

von Sascha Kuhrau
3. März 201615. Oktober 2023

Um was geht es bei Auftragsverarbeitung (früher Auftragsdatenverarbeitung)?

Ein sperriger Begriff für einen einfachen Sachverhalt. Auftragsverarbeitung meint das klassische Outsourcing an einen externen Dienstleister. Nur sind in diesem speziellen Fall personenbezogene Daten betroffen. Für diesen Fall hat die DSGVO den Artikel 28 BDSG “Auftragsverarbeiter” vorgesehen.

Um ein möglichst hohes Schutzniveau zu gewährleisten und das Risiko von Datenpannen bei der Auslagerung auf Subunternehmer zu minimieren, sieht Artikel 28 DSGVO einige Auflagen vor. Um die Bedeutung und Ernsthaftigkeit des Themas zu unterstreichen, stehen auf eine fehlende oder fehlerhafte Umsetzung empfindliche Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am einfachsten läßt sich das an konkreten Beispielen erklären. Von einer Auftragsverarbeitung spricht man im Falle

der Nutzung einer Mailingagentur oder eines Lettershops zum Erstellen und Versand von Anschreiben, die an natürliche Personen gerichtet sind oder
der Durchführung der monatlichen Gehaltsabrechnung durch eine externe Lohn- und Gehaltsabrechnungstelle (nicht Steuerberater) oder
des Einsatzes einer extern gehosteten Software zur Verwaltung und zum Versand von Newslettern oder
der Beauftragung eines externen Callcenter oder Office-Services oder
dem teilweisen oder vollständigen Auslagern des Rechenzentrums oder
Software as a Service / Cloud-Lösungen oder
in vielen ähnlichen vergleichbaren Fällen — fragen Sie Ihren Datenschutzbeauftragten oder gleich uns.

Darunter fallen aber auch Leistungen wie Wartung / Konfiguration / Installation von Hard- und Software ebenfalls unter die Anwendung von Art. 28 DSGVO und sind entsprechend zu regeln. Dabei ist es unerheblich, ob Ihr Dienstleister das auch so sieht. Sie als Auftraggeber sind verantwortlich und zahlen am Ende auch das Bußgeld.

Was ist bei einer Auftragsverarbeitung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusammenarbeit muss ein Dienstleister auf sein Schutzniveau hin geprüft und mit der passenden Vereinbarung zur Auftragsdatenverarbeitung schriftlich vereinbart sein. Sollten Sie mit dem Dienstleister bereits zusammenarbeiten, dann ist schnelles Handeln angebracht.

Schritt 2: Prüfen

Sind alle externen Dienstleister, die unter Art. 28 DGSVO fallen, identifiziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vorhandene Schutzniveau des Dienstleisters zu prüfen. Die sogenannten technischen und organisatorischen Maßnahmen müssen aktuell und dem notwendigen Schutzbedarf für die betroffenen Daten entsprechen. Bei Lücken sind diese durch den Dienstleister zu schließen oder bei Bedarf ein alternativer Dienstleister auszuwählen. Die Prüfung sowie dessen Ergebnis sind zu dokumentieren, damit diese später belegt werden können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betroffenen Dienstleister sollten nun bekannt sein. Das Schutzniveau ist geprüft und ausreichend vorhanden. Nun kommt Schritt 3 der Auftragsverarbeitung: die schriftliche Vereinbarung.Hier kann viel falsch gemacht werden. Übersehen Sie einen Regelungspunkt, den die DSGVO vorsieht, spricht man von einer fehlerhaften Auftragsverarbeitung. Diese ist mit einem Bußgeld risikobehaftet. Auch die Nutzung der zahlreichen im Internet auffindbaren Vorlagen zur Auftragsverarbeitung können davor nicht bewahren. Viele dieser Vorlagen sind leider immer noch veraltet, unvollständig oder mit Vorschriften versehen, die gegen andere Rechte / Gesetze verstoßen.

Schritt 4: Nachprüfen

Identifikation der Dienstleister vollständig. Prüfen des Schutzniveaus erfolgt und dokumentiert. Notwendige Vereinbarung schriftlich mit dem Dienstleister geschlossen.

Falsch liegt, wer meint, der Vorgang sei nun abgeschlossen. In regelmäßigen Abständen müssen Sie sich jetzt von dem Erhalt oder der Verbesserung des Schutzniveaus Ihres Dienstleisters überzeugen. Die Prüfung muss ebenfalls wieder nachvollziehbar und belegbar dokumentiert werden.

Schritt 5: Überlegen, ob Sie sich das wirklich alles selbst antun wollen

Wenn Sie sich weder mit den Risiken noch dem Zeitaufwand für das Thema Auftragsverarbeitung auseinandersetzen wollen, dann lassen Sie uns das übernehmen. Wie das geht? Ganz einfach — sprechen Sie uns an und wir informieren Sie unverbindlich über unsere Dienstleistungen rund um die Auftragsverarbeitung.

Krankenhaus in NRW fängt sich Krypto-Trojaner

von Sascha Kuhrau
11. Februar 2016

Das Lukaskrankenhaus in Neuss wurde von einem Krypto-Trojaner befallen. Ausgelöst hat die Verschlüsselung aller Dateien wohl ein unvorsichtiger Mitarbeiter, der einen infizierten Email-Anhang öffnete. Die Systeme wurden runtergefahren, Operationen verschoben. Mehr lesen Sie auf unserem Blog zur Informationssicherheit.

www.youngdata.de kommt — Datenschutz im Internet für Jugendliche

von Sascha Kuhrau
3. November 2013
3 Kommentare

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Edgar Wagner, wird am 20. November 2013 seine neue Jugend-Homepage “www.youngdata.de” vorstellen. Es ist bundesweit die erste und bislang einzige Datenschutz-Homepage, die sich speziell an Jugendliche richtet.

Facebook, WhatsApp und Konsolen spielen in der Lebenswirklichkeit der jungen Onliner eine große Rolle. Häufig werden diese Angebote von Jugendlichen genutzt, ohne sich dabei über die anfallenden Daten und deren Verwendung Gedanken zu machen.

Die Seite “youngdata.de” erklärt Jugendlichen, warum Staat und Wirtschaft ein Interesse an persönlichen Daten haben, wie man sich schützen kann und schützen sollte. Die Website enthält konkrete Handlungsempfehlungen zum Selbstdatenschutz und bietet auch zahlreiches Informationsmaterial zur Thematik “Datenschutz im Zeitalter des Web.2.0”.

Am 20. November wird der LfDI die neue Website vorstellen, bevor sie dann offiziell freigeschaltet wird. Bei dieser Gelegenheit wird der LfDI auch die bildungspolitischen Erfordernisse aus Sicht des Datenschutzes darstellen. Die Verankerung des Datenschutzes als Teil der Medienkompetenz in den Lehrplänen und die Aufklärungsarbeit im Rahmen seiner Schüler-Workshops werden dabei eine wichtige Rolle spielen.

Presse ist laut Meldung vom 30.10.2013 herzlich eingeladen, am Mittwoch, dem 20. November 2013 um 10:00 Uhr in den Räumlichkeiten des LfDI, Hintere Bleiche 34, 55116 Mainz an der Vorstellung der neuen Jugendhomepage teilzunehmen.

Weitere Informationen

Pressemeldung LfDI
Aktuelles Angebot für Schulen und Jugendliche des LfDI
Initiatve “Datenschutz geht zur Schule” des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V

Notariat in Ostfildern (Baden-Württemberg) entsorgt Unterlagen im normalen Altpapierbehälter

von Sascha Kuhrau
8. August 2013

Einem Notar sollten die Themen Schweigepflicht und Datenschutz nicht unbekannt sein. Doch nicht nur aufgrund zahlreicher gesetzlicher Vorschriften, sondern auch aufgrund des gesunden Menschenverstands sollte klar sein, das notarielle Akten und Unterlagen nichts im normalen Papierabfall zu suchen haben.

In Ostfildern im Kreis Esslingen, unweit von Stuttgart, sah man dies wohl anders. Anwohner eines Büro- und Wohnhauskomplexes staunten nicht schlecht über ihren Fund. Stapelweise Dokumente eines vor Ort ansässigen staatlichen Notariats lagen in einem öffentlich zugänglichen Papiermüllbehälter, so meldet es der Schwarzwälder Bote in seiner Online-Ausgabe am 07.08.2013. Nachlassunterlagen, Testamente, Grundbuchauszüge und Erbverträge in Kopie oder als Ausdruck für jedermann zugreifbar. Als Höhepunkt befand sich darunter eine beglaubigte Abschrift einer Nachlassangelegenheit mit offiziellem Siegel.

Das Notariat schiebt den schwarzen Peter auf die Stadt. Diese sei schließlich für die datenschutzkonforme Entsorgung zuständig. Das weist deren Sprecherin entschieden zurück. Man stelle zwar die Räumlichkeiten, wie es das Landesgesetz vorsähe, sei aber definitiv nicht für die Vernichtung von Akten des Notariats zuständig.

Unabhängig davon, was nun davon stimmt, bleibt die Vorgehensweise des Notariats zu hinterfragen, die Akten an einem frei zugänglichen öffentlichen Ort zu “lagern”. Verlierer im Kompetenzgerangel sind ~~mal wieder~~ Datenschutz und die Betroffenen, trotz einschlägiger Vorschriften.

Übrigens: Ihr Datenschutzbeauftragter kann Sie bei der Planung und Umsetzung rechtskonformer Entsorgungs- und Löschverfahren unterstützen. Sie haben noch keinen Datenschutzbeauftragten? Wir informieren Sie gerne.

Telefonnummer gesucht? Facebook hilft aus

von Sascha Kuhrau
22. Juni 2013

Facebook selbst, nennt den Vorgang “ärgerlich und peinlich”. Der eine oder andere fand ihn vielleicht sogar recht nützlich.

Die Grundlage

Eines der “Komfort-Features” von Facebook besteht aus der Möglichkeit, das vorhandene Adressbuch samt der darin enthaltenen personenbezogenen Daten auf Server des Unternehmens hochzuladen. Alternativ kann man auch seine Online-Adressbücher für den direkten Zugriff durch das amerikanische Unternehmen freischalten. Um nicht selbst nach Freunden und Bekannten suchen zu müssen, verglich Facebook nun die hochgeladenen Angaben mit Daten vorhandener Nutzer. Wer allzu sorglos die Einladen-Funktion für noch nicht auf Facebook bekannte Kontakte klickte, sorgte zusätzlich für eine Flut von aufmunternden Einladungen per Email in hoher Taktzahl in das Postfach mit der Email-Adresse des betroffenen Kontakts. Gerade bei geschäftlichen Kontakten oder auch Patienten und Kunden von Arztpraxen und Anwaltskanzleien sorgte das regelmäßig für Erheiterung.

Die Panne

Kam man als Facebook Nutzer nun auf die Idee, seine Daten wieder von den Servern des Unternehmens abzurufen, waren diese fein säuberlich ergänzt. Wo möglicherweise Lücken bei Email-Adressen oder Telefonnummern klafften, waren diese nun akurat durch die Angaben von anderen Nutzern und deren hochgeladenen Adressbüchern vervollständigt. Komfortabler ist die Pflege der eigenen Kontaktdatenbank doch kaum zu haben.

Was sagt Facebook dazu?

Mittlerweile ist dieses “Feature” behoben. Das Unternehmen reagiert etwas verschnupft auf den Vorwurf der Nachlässigkeit mit der Aussage, dass selbst eine “engagierte Sicherheitsabteilung technische Pannen nicht hundertprozentig ausschließen kann”.

Ob die Zusammenführung der personenbezogenen Datensammlungen eine technische Panne gewesen ist, mag dahingestellt sein. Ein Schelm, wer dabei an Absicht und Profiling denkt. Die Möglichkeit des Downloads war jedoch bestimmt so nicht vorgesehen.

In diesem Sinne “I like” 🙂

Webhoster Hetzner gehackt, Zahlungsinformationen von Kunden betroffen

von Sascha Kuhrau
7. Juni 2013
2 Kommentare

Während sich die Internetseite des Webhosters Hetzner noch in Stillschwigen hüllt (07.06.2013, 07:00), vermeldete u.a. heise security am Vorabend einen weitreichenden Hack der Verwaltungsoberfläche Robot für dedizierte Serversysteme. Neben Passwort-Hashes sind auch Zahlungsdaten wie Bankverbindungen von Kunden für Lastschriften betroffen. Der Anbieter kann zur Zeit nicht ausschließen, dass die für die Entschlüsselung der Daten benötigten privaten Krypto-Schlüssel nicht ebenfalls entwendet wurden. Lt. Hetzner fand der Angriff auf einem technisch ungewöhnlich hohen Niveau statt. Das BKA soll nach eigenen Angaben bereits eingeschaltet sein.

Was es mit meldepflichtigen Datenpannen auf sich hat, erfahren Sie hier.

Online-Werbung verteilt Schadsoftware

von Sascha Kuhrau
11. April 2013

Nach Aussage des BSI ist Vorsicht beim Surfen im Web angeraten. Mit Hilfe von manipulierten Werbebannern wird beim Besuch der betroffenen Seiten Schadsoftware verteilt. Betroffen sind auch zahlreiche bekannte deutschsprachige Webseiten (wie Online-Angebote von Nachrichten‑, Politik‑, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen). Dabei wird eine Sicherheitslücke in einer verbreiteten Werbe-Server-Software ausgenutzt. Im Zusammenspiel mit Schwachstellen aus veralteter Software auf den Geräten des Besuchers eine gefährliche Mischung.

Bekannte Schwachstellen in Java, im Adobe Reader, in Adobe Flash oder auch im Microsoft Internet Explorer, ermöglichen die Installation von Schadprogrammen wie Online-Banking-Trojaner auf PCs (Windows) der Besuchern. Dabei reicht der Besuch einer Webseite mit einem entsprechend manipulierten Werbebanner bereits vollkommen aus. Es ist kein weiteres Zutun des Nutzers erforderlich.

Abhilfe schafft im Moment lediglich die automatische oder auch manuelle Installation der von Adobe und Microsoft zur Verfügung gestellten Sicherheitsupdates, entweder direkt unter www.adobe.de oder über die systeminterne Update-Funktion.

1
2
3
…
7
Weiter »

Mangel

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Was fällt alles unter den Begriff Auftragsverarbeitung?

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Um was geht es bei Auftragsverarbeitung (früher Auftragsdatenverarbeitung)?

Was ist bei einer Auftragsverarbeitung zu tun?