Der klassische Angriffsweg: Schadcode über Makros in Office-Dokumenten

Das Angriffszenario kennen wir zur Genüge. Eine Word- oder Excel-Datei enthält Makro-Code, der nach Öffnen des Dokuments und einen unachtsamen Klick des Nutzers auf „Makros aktivieren“ den eigentlichen Schadcode (zumeist einen Verschlüsselungstrojaner) nachlädt. Es soll sogar ganz Hartgesottene geben, in deren Office-Installation „Makros automatisch ausführen“ eingestellt ist, spart nämlich viel Arbeitszeit 😉

Informierte Anwender und IT-Abteilungen können mit diesem Risiko mittlerweile recht gut umgehen. Neben den technischen Lösungen ist natürlich auch die regelmäßige Sensibilisierung der Anwender zwingend nötig. Diese sind nämlich keine Security-Spezialisten und sollten rechtzeitig und immer wieder auf neue möglichen Stolperfallen für Sicherheit und Datenschutz hingewiesen werden.

Randnotiz: Im Rahmen der Einführung eines ISMS nach ISIS12 wurde uns der Begriff „regelmäßig“ mit zwischen 5 und 10 Jahren erklärt. Das kann man so sehen, sollte aber aus Gründen der eigenen Organisationssicherheit dann doch zeitlich eher etwas straffer ausgelegt sein. Begründung war übrigens: Schulungen halten nur unnötig von der Arbeit ab. 😉

Makros bekommen Konkurrenz durch Excels Power Query – neues Einfallstor für Schadcode

Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Power Query wird lt. Microsoft zur Verbindung mit externen Datenquellen genutzt. Ein von Heise entsprechend präpariertes Dokument schlug bei der Prüfung durch Virus Total keinen Alarm. Wie diese Sicherheitslücke konkret ausgenutzt werden kann und wie einfach das geht, beschreibt Heise in einem Beitrag (externer Link) sehr konkret.

Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440 (externer Link).

Emotet richtet seit geraumer Zeit erheblichen Schaden an. Und es trifft nicht nur die Kleinen. Der Heise-Verlag (als eines der prominenten Opfer) stellt einen Online-Service zur Verfügung, um den eigenen Mailserver und hoffentlich vorhandene Schutzsoftware auf den Umgang mit potentiell schädlichen Datei-Anhängen zu testen.

Der Service funktioniert ganz einfach. Zuerst wählt man die Art der Test-Email aus. Zur Auswahl stehen z.B. Anhänge als EXE-Datei oder Office-Dokumente mit und ohne Makros. Nach Eingabe der eigenen Email-Adresse erhält man eine Aktivierungsmail. Erst wenn der Link in dieser Aktivierungsmail geklickt wird, erfolgt der eigentliche Versand der Email mit dem Datei-Anhang an die zuvor hinterlegte Email-Adresse. Nach wenigen Sekunden schlägt diese Test-Email auf dem eigenen Mail-Server auf. Und jetzt zeigt sich, ob Ihr Mailserver und die Schutzsoftware so reagieren wie Sie sollen. Clevere Installationen unterbinden z.B. den Empfang von DOC Dokumenten und nehmen lediglich DOCX Dokumente an. Andere untersagen direkt jede Art von Office-Dokument, als Alternative bleibt nur PDF. Sie können anhand der unterschiedlichen Datei-Anhänge bei der Auswahl der Test-Email prüfen, ob Ihre Konfiguration so funktioniert wie sie soll. Bei uns tut sie das 🙂

Hinweis: Bitte fordern Sie in Ihrem Firmennetz nicht ohne Rücksprache mit Ihrem Administrator nun zuhauf diese Test-Emails an. Betreiben Sie einen eigenen Mailserver, ist das natürlich eine andere Sache. Interessant vielleicht auch zu erfahren, was Ihr privater Mail-Provider an Schutzmaßnahmen bietet – wenn er denn überhaupt welche bietet.

Link zum Heise-Check (externer Link)

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM – technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto „Weniger ist oftmals mehr“ haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt „Gemeinsam sind wir stark“, wollen wir da nicht hintenanstehen.

Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.

Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.

Anregungen und Ideen zu Ergänzungen sind gerne willkommen.

Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.

Bitte nutzen Sie die aktuelle Version 3.1:

Unterliegen Einwilligungen einem Verfallsdatum?

Eine Frage, die immer wieder an uns gestellt wird: „Wie lange ist eine ein mal erteilte Einwilligungen z.B. für einen Newsletter-Empfang denn gültig?“ Wir haben uns mal auf die Suche nach belastbaren Aussagen dazu gemacht. Denn nicht erst seit der DSGVO ist dieses Thema immer wieder Gegenstand von Anfragen bei uns.

Beschränkt die DSGVO die Gültigkeitsdauer von Einwilligungen?

Erste Anlaufstelle ist natürlich stets das Gesetz. Die DSGVO äußert sich zum Thema Einwilligungen in Art. 7 Bedingungen für die Einwilligung (externer Link). Den einzigen Anhaltspunkt zur Gültigkeitsdauer einer Einwilligung finden wir in Abs. 3:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Somit sind Einwilligungen wohl bis auf Widerruf gültig und der Widerruf dann auch nur für die Zukunft möglich. Auch der Zweckbindungsgrundsatz aus Art. 5 DSGVO steht dieser Auslegung nicht entgegen, sofern keine grundsätzliche Zweckänderung vorliegt. In diesem Fall sollte die Gültigkeit von Einwilligungen auf jeden Fall stets überprüft werden.

Neben der datenschutzrechtlichen Einwilligung ist bei einer Einwilligung zu Werbezwecken auch das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) (externer Link) zu berücksichtigen. So schreibt § 7 Abs. 2 Nr. 3 UWG (externer Link) eine Einwilligung zu Werbezwecken im Sinne des UWG für Werbung per Email vor. Von einem Ablaufdatum ist hier jedoch keine konkrete Rede.

Was sagen die Gerichte zum Thema Gültigkeitsdauer von Einwilligungen?

Hier wird es nun etwas widersprüchlich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Aktenzeichen 104 C 227/15 (externer Link) wird konkret für den Fall von Werbe-Mails ein Verfall der Gültigkeit von 4 Jahren genannt. Dem entgegen steht ein Urteil des Bundesgerichtshof vom 01.02.2018 mit dem Aktenzeichen III ZR 196/17 (externer Link), nach dem ein Newsletter Opt-In nicht allein durch Zeitablauf erlischt (Seiten 15, 16; Randnummern 30-32).

Ja was denn nun? Ablauf der Gültigkeit einer Einwilligung oder nicht?

Aktuell sprechen wohl mehr Argumente dafür, dass es kein Ablaufdatum für gültige Einwilligungen gibt. Dennoch sollten weitere Urteile zu dem Thema konkret beobachtet und im Zweifel herangezogen werden. Eine gute Übersicht über die Argumente pro und kontra Verfall von Einwilligungen finden Sie auch auf unserem Partnerblog (externer Link).

Rechtslage: Vermeidung von Interessenskonflikten bei einem Datenschutzbeauftragten vorgeschrieben

Bereits im Anwendungsrahmen des alten BDSG (vor Mai 2018) galt es, Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden. Art. 38 Abs. 6 DSGVO (externer Link) regelt das seit Mai 2018 nicht anders:

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg, Dr. Stefan Brink hat dies in seinem 38. Tätigkeitsbericht 2018 (externer Link) ausführlicher beleuchtet. „Der Verantwortliche bzw. Auftragsverarbeiter hat allerdings dafür Sorge zu tragen, dass […] keine Unvereinbarkeiten bzw. Befangenheit vorliegen.“

Wer darf bzw. darf die Funktion des Datenschutzbeauftragten in einem Unternehmen oder einer Behörde ausüben?

In Anbetracht der weiten Prüf- und Kontrollpflichten eines Datenschutzbeauftragten, zieht Brink hier eine deutliche Grenze:

„Für eine korrekte Erfüllung der Aufgaben des DSB ist vielmehr eine weitestgehende Distanz gegenüber der zu kontrollierenden Stelle unerlässlich, denn eine effektive Kontrolle ist dann zu bezweifeln, wenn der Kontrolleur sich selbst kontrollieren muss.“

Das mit der zu kontrollierenden Stelle die Organisation (Unternehmen, Behörde, Verein) gemeint ist, welche den Datenschutzbeauftragten zu bestellen hat, liegt auf der Hand. Generell soll der DSB keine andere Funktion ausüben, in der er oder sie über die Zwecke oder Mittel der Verarbeitung personenbezogener Daten selbst zu entscheiden hat. Doch was bedeutet das nun konkret (Seiten 28-30 des TB), wer scheidet für die Ausübung des Datenschutzbeauftragten generell aus:

  1. Leitungs-, Chef- und Inhaberebene: Inhaber, Leiter, Partner, Vorstand, Geschäftsführer, Mitglied der Geschäftsleitung, Manager, Bürgermeister, Landrat oder anderweitig berufene Leitung der Organisation
  2. Nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT): IT-Leiter, Leiter des operativen Geschäftsbereichs, Leiter Marketing, Leiter Personal, Betriebsleiter, Amts- bzw- Geschäftsleiter, aber durchaus auch nachgelagerte Funktionen, wenn diese ähnliche Interessenskonflikte mit sich bringen
  3. Bereiche mit hohem Verarbeitungsumfang: Mitarbeiter aus dem Personal-, Vertriebs- oder Marketingbereich
  4. Beauftragte: Geheimschutzbeauftragte, Geldwäschebeauftragte

Bei der Prüfung auf mögliche Interessenskonflikte sind auch familiäre Verhältnisse zu berücksichtigen. So kann bei zu engen familiären Beziehungen zwischen Organisationsleitung bzw. Inhaber und dem zu bestellenden Datenschutzbeauftragten die notwendige Unabhängigkeit nach Art. 38 Abs. 3 DSGVO nicht mehr gewährleistet sein. Das gilt übrigens unabhängig davon, ob der oder die Verwandte bei der bestellenden Organisation beschäftigt ist oder nicht.

Dann bestellen wir doch einfach einen externen Datenschutzbeauftragten, der hat keine Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vorhandene Interessenskonflikte zu vermeiden. So ist lt. Brink der genutzte IT-Dienstleister ebenfalls befangen und sollte daher nicht als externer Datenschutzbeauftragter bestellt werden. Das gilt auch für den Fall, dass der Dienstleister für die IT-Betreuung und den Datenschutz zwei unterschiedliche Mitarbeiter einsetzt. Sollte der externe Datenschutzbeauftragte die Organisation in datenschutzrechtlichen Sachen vor Gericht vertreten, ist ebenfalls ein Interessenskonflikt anzunehmen.

Durch unsere Fokussierung auf die beiden Themen Datenschutz und Informationssicherheit sind wir bei Ausübung der Funktion des externen Datenschutzbeauftragten frei von Interessenskonflikten. Wir sind in keinen anderen Bereichen für Sie tätig und bestimmen weiterhin nicht über Zweck und Mittel zur Verarbeitung personenbezogener Daten in Ihrer Organisation. Sprechen Sie uns an (interner Link).