Zum Inhalt springen

Mangel

RTF-Doku­ment nutzt älte­re Office Schwach­stel­le aus und bringt Back­door-Tro­ja­ner mit

Micro­soft mel­det (exter­ner Link zu Twit­ter) eine aktu­el­le Bedro­hung mit Schwer­punkt Euro­pa über eine älte­re Schwach­stel­le in Micro­soft Office. Mit­tels eines prä­pa­rier­ten RTF Doku­ments infi­ziert sich das Win­dows-Sys­tem mit einem Back­door-Tro­ja­ner, der das Aus­füh­ren wei­te­ren Codes auf dem befal­le­nen Sys­tem zulässt. Die Schwach­stel­le wur­de bereits 2017 im CVE-2017–1182 (exter­ner Link) beschrie­ben. Micro­soft emp­fiehlt allen Office-Anwen­dern, das aktu­el­le Patch-Level zu prü­fen. Die not­wen­di­gen Update für Office 2007–2016 fin­den Sie im unte­ren Teil der CVE.

Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud-Ein­satz in Unternehmen

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­geld­ri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ort­un­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­onship-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Daten­pan­ne bei DuMont: Benut­zer­na­men und Pass­wör­ter frei einsehbar

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spie​gel​.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurückgesetzt.

Die Auf­trags­ver­ar­bei­tung — Beson­der­hei­ten des Daten­schutz­rechts beim Outsourcing

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nung­s­tel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.

www​.young​da​ta​.de kommt — Daten­schutz im Inter­net für Jugendliche

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz  (LfDI), Edgar Wag­ner, wird am 20. Novem­ber 2013 sei­ne neue Jugend-Home­page “www​.young​da​ta​.de” vor­stel­len. Es ist bun­des­weit die ers­te und bis­lang ein­zi­ge Daten­schutz-Home­page, die sich spe­zi­ell an Jugend­li­che richtet.

Face­book, Whats­App und Kon­so­len spie­len in der Lebens­wirk­lich­keit der jun­gen Onli­ner eine gro­ße Rol­le. Häu­fig wer­den die­se Ange­bo­te von Jugend­li­chen genutzt, ohne sich dabei über die anfal­len­den Daten und deren Ver­wen­dung Gedan­ken zu machen.

Die Sei­te “young​da​ta​.de” erklärt Jugend­li­chen, war­um Staat und Wirt­schaft ein Inter­es­se an per­sön­li­chen Daten haben, wie man sich schüt­zen kann und schüt­zen soll­te. Die Web­site ent­hält kon­kre­te Hand­lungs­emp­feh­lun­gen zum Selbst­da­ten­schutz und bie­tet auch zahl­rei­ches Infor­ma­ti­ons­ma­te­ri­al zur The­ma­tik “Daten­schutz im Zeit­al­ter des Web.2.0”.

Am 20. Novem­ber wird der LfDI die neue Web­site vor­stel­len, bevor sie dann offi­zi­ell frei­ge­schal­tet wird. Bei die­ser Gele­gen­heit wird der LfDI auch die bil­dungs­po­li­ti­schen Erfor­der­nis­se aus Sicht des Daten­schut­zes dar­stel­len. Die Ver­an­ke­rung des Daten­schut­zes als Teil der Medi­en­kom­pe­tenz in den Lehr­plä­nen und die Auf­klä­rungs­ar­beit im Rah­men sei­ner Schü­ler-Work­shops wer­den dabei eine wich­ti­ge Rol­le spielen.

Pres­se ist laut Mel­dung vom 30.10.2013 herz­lich ein­ge­la­den, am Mitt­woch, dem 20. Novem­ber 2013 um 10:00 Uhr in den Räum­lich­kei­ten des LfDI, Hin­te­re Blei­che 34, 55116 Mainz an der Vor­stel­lung der neu­en Jugend­home­page teilzunehmen.

Wei­te­re Informationen

  • Pres­se­mel­dung LfDI
  • Aktu­el­les Ange­bot für Schu­len und Jugend­li­che des LfDI
  • Initiat­ve “Daten­schutz geht zur Schu­le” des Berufs­ver­bands der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V

Nota­ri­at in Ost­fil­dern (Baden-Würt­tem­berg) ent­sorgt Unter­la­gen im nor­ma­len Altpapierbehälter

Einem Notar soll­ten die The­men Schwei­ge­pflicht und Daten­schutz nicht unbe­kannt sein. Doch nicht nur auf­grund zahl­rei­cher gesetz­li­cher Vor­schrif­ten, son­dern auch auf­grund des gesun­den Men­schen­ver­stands soll­te klar sein, das nota­ri­el­le Akten und Unter­la­gen nichts im nor­ma­len Papier­ab­fall zu suchen haben.

In Ost­fil­dern im Kreis Ess­lin­gen, unweit von Stutt­gart, sah man dies wohl anders. Anwoh­ner eines Büro- und Wohn­haus­kom­ple­xes staun­ten nicht schlecht über ihren Fund. Sta­pel­wei­se Doku­men­te eines vor Ort ansäs­si­gen staat­li­chen Nota­ri­ats lagen in einem öffent­lich zugäng­li­chen Papier­müll­be­häl­ter, so mel­det es der Schwarz­wäl­der Bote in sei­ner Online-Aus­ga­be am 07.08.2013. Nach­lass­un­ter­la­gen, Tes­ta­men­te, Grund­buch­aus­zü­ge und Erb­ver­trä­ge in Kopie oder als Aus­druck für jeder­mann zugreif­bar. Als Höhe­punkt befand sich dar­un­ter eine beglau­big­te Abschrift einer Nach­lass­an­ge­le­gen­heit mit offi­zi­el­lem Siegel.

Das Nota­ri­at schiebt den schwar­zen Peter auf die Stadt. Die­se sei schließ­lich für die daten­schutz­kon­for­me Ent­sor­gung zustän­dig. Das weist deren Spre­che­rin ent­schie­den zurück. Man stel­le zwar die Räum­lich­kei­ten, wie es das Lan­des­ge­setz vor­sä­he, sei aber defi­ni­tiv nicht für die Ver­nich­tung von Akten des Nota­ri­ats zuständig.

Unab­hän­gig davon, was nun davon stimmt, bleibt die Vor­ge­hens­wei­se des Nota­ri­ats zu hin­ter­fra­gen, die Akten an einem frei zugäng­li­chen öffent­li­chen Ort zu “lagern”. Ver­lie­rer im Kom­pe­tenz­ge­ran­gel sind mal wie­der Daten­schutz und die Betrof­fe­nen, trotz ein­schlä­gi­ger Vorschriften.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kann Sie bei der Pla­nung und Umset­zung rechts­kon­for­mer Ent­sor­gungs- und Lösch­ver­fah­ren unter­stüt­zen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Wir infor­mie­ren Sie ger­ne.

 

 

Tele­fon­num­mer gesucht? Face­book hilft aus

Face­book selbst, nennt den Vor­gang “ärger­lich und pein­lich”. Der eine oder ande­re fand ihn viel­leicht sogar recht nützlich.

Die Grund­la­ge

Eines der “Kom­fort-Fea­tures” von Face­book besteht aus der Mög­lich­keit, das vor­han­de­ne Adress­buch samt der dar­in ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten auf Ser­ver des Unter­neh­mens hoch­zu­la­den. Alter­na­tiv kann man auch sei­ne Online-Adress­bü­cher für den direk­ten Zugriff durch das ame­ri­ka­ni­sche Unter­neh­men frei­schal­ten. Um nicht selbst nach Freun­den und Bekann­ten suchen zu müs­sen, ver­glich Face­book nun die hoch­ge­la­de­nen Anga­ben mit Daten vor­han­de­ner Nut­zer. Wer all­zu sorg­los die Ein­la­den-Funk­ti­on für noch nicht auf Face­book bekann­te Kon­tak­te klick­te, sorg­te zusätz­lich für eine Flut von auf­mun­tern­den Ein­la­dun­gen per Email in hoher Takt­zahl in das Post­fach mit der Email-Adres­se des betrof­fe­nen Kon­takts. Gera­de bei geschäft­li­chen Kon­tak­ten oder auch Pati­en­ten und Kun­den von Arzt­pra­xen und Anwalts­kanz­lei­en sorg­te das regel­mä­ßig für Erheiterung.

Die Pan­ne

Kam man als Face­book Nut­zer nun auf die Idee, sei­ne Daten wie­der von den Ser­vern des Unter­neh­mens abzu­ru­fen, waren die­se fein säu­ber­lich ergänzt. Wo mög­li­cher­wei­se Lücken bei Email-Adres­sen oder Tele­fon­num­mern klaff­ten, waren die­se nun aku­rat durch die Anga­ben von ande­ren Nut­zern und deren hoch­ge­la­de­nen Adress­bü­chern ver­voll­stän­digt. Kom­for­ta­bler ist die Pfle­ge der eige­nen Kon­takt­da­ten­bank doch kaum zu haben.

Was sagt Face­book dazu?

Mitt­ler­wei­le ist die­ses “Fea­ture” beho­ben. Das Unter­neh­men reagiert etwas ver­schnupft auf den Vor­wurf der Nach­läs­sig­keit mit der Aus­sa­ge, dass selbst eine “enga­gier­te Sicher­heits­ab­tei­lung tech­ni­sche Pan­nen nicht hun­dert­pro­zen­tig aus­schlie­ßen kann”.

Ob die Zusam­men­füh­rung der per­so­nen­be­zo­ge­nen Daten­samm­lun­gen eine tech­ni­sche Pan­ne gewe­sen ist, mag dahin­ge­stellt sein. Ein Schelm, wer dabei an Absicht und Pro­fil­ing denkt. Die Mög­lich­keit des Down­loads war jedoch bestimmt so nicht vorgesehen.

In die­sem Sin­ne “I like” 🙂

Web­hos­ter Hetz­ner gehackt, Zah­lungs­in­for­ma­tio­nen von Kun­den betroffen

Wäh­rend sich die Inter­net­sei­te des Web­hos­ters Hetz­ner noch in Still­schwi­gen hüllt (07.06.2013, 07:00), ver­mel­de­te u.a. hei­se secu­ri­ty am Vor­abend einen weit­rei­chen­den Hack der Ver­wal­tungs­ober­flä­che Robot für dedi­zier­te Ser­ver­sys­te­me. Neben Pass­wort-Hash­es sind auch Zah­lungs­da­ten wie Bank­ver­bin­dun­gen von Kun­den für Last­schrif­ten betrof­fen. Der Anbie­ter kann zur Zeit nicht aus­schlie­ßen, dass die für die Ent­schlüs­se­lung der Daten benö­tig­ten pri­va­ten Kryp­to-Schlüs­sel nicht eben­falls ent­wen­det wur­den. Lt. Hetz­ner fand der Angriff auf einem tech­nisch unge­wöhn­lich hohen Niveau statt. Das BKA soll nach eige­nen Anga­ben bereits ein­ge­schal­tet sein.

Was es mit mel­de­pflich­ti­gen Daten­pan­nen auf sich hat, erfah­ren Sie hier.

Online-Wer­bung ver­teilt Schadsoftware

Nach Aus­sa­ge des BSI ist Vor­sicht beim Sur­fen im Web ange­ra­ten. Mit Hil­fe von mani­pu­lier­ten Wer­be­ban­nern wird beim Besuch der betrof­fe­nen Sei­ten Schad­soft­ware ver­teilt. Betrof­fen sind auch zahl­rei­che bekann­te deutsch­spra­chi­ge Web­sei­ten (wie Online-Ange­bo­te von Nachrichten‑, Politik‑, Life­style- und Fach­ma­ga­zi­nen, Tages­zei­tun­gen, Job­bör­sen und Städ­te­por­ta­len). Dabei wird eine Sicher­heits­lü­cke in einer ver­brei­te­ten Wer­be-Ser­ver-Soft­ware aus­ge­nutzt. Im Zusam­men­spiel mit Schwach­stel­len aus ver­al­te­ter Soft­ware auf den Gerä­ten des Besu­chers eine gefähr­li­che Mischung.

Bekann­te Schwach­stel­len in Java, im Ado­be Rea­der, in Ado­be Flash oder auch im Micro­soft Inter­net Explo­rer, ermög­li­chen die Instal­la­ti­on von Schad­pro­gram­men wie Online-Ban­king-Tro­ja­ner auf PCs (Win­dows) der Besu­chern. Dabei reicht der Besuch einer Web­sei­te mit einem ent­spre­chend mani­pu­lier­ten Wer­be­ban­ner bereits voll­kom­men aus. Es ist kein wei­te­res Zutun des Nut­zers erforderlich.

Abhil­fe schafft im Moment ledig­lich die auto­ma­ti­sche oder auch manu­el­le Instal­la­ti­on der von Ado­be und Micro­soft zur Ver­fü­gung gestell­ten Sicher­heits­up­dates, ent­we­der direkt unter www​.ado​be​.de oder über die sys­tem­in­ter­ne Update-Funktion.

Die mobile Version verlassen