Ratgeber

Emotet: Eigenen Mailserver auf Umgang mit potentiell schädlichen Datei-Anhängen prüfen

Emotet richtet seit geraumer Zeit erheblichen Schaden an. Und es trifft nicht nur die Kleinen. Der Heise-Verlag (als eines der prominenten Opfer) stellt einen Online-Service zur Verfügung, um den eigenen Mailserver und hoffentlich vorhandene Schutzsoftware auf den Umgang mit potentiell schädlichen Datei-Anhängen zu testen.

Der Service funktioniert ganz einfach. Zuerst wählt man die Art der Test-Email aus. Zur Auswahl stehen z.B. Anhänge als EXE-Datei oder Office-Dokumente mit und ohne Makros. Nach Eingabe der eigenen Email-Adresse erhält man eine Aktivierungsmail. Erst wenn der Link in dieser Aktivierungsmail geklickt wird, erfolgt der eigentliche Versand der Email mit dem Datei-Anhang an die zuvor hinterlegte Email-Adresse. Nach wenigen Sekunden schlägt diese Test-Email auf dem eigenen Mail-Server auf. Und jetzt zeigt sich, ob Ihr Mailserver und die Schutzsoftware so reagieren wie Sie sollen. Clevere Installationen unterbinden z.B. den Empfang von DOC Dokumenten und nehmen lediglich DOCX Dokumente an. Andere untersagen direkt jede Art von Office-Dokument, als Alternative bleibt nur PDF. Sie können anhand der unterschiedlichen Datei-Anhänge bei der Auswahl der Test-Email prüfen, ob Ihre Konfiguration so funktioniert wie sie soll. Bei uns tut sie das 🙂

Hinweis: Bitte fordern Sie in Ihrem Firmennetz nicht ohne Rücksprache mit Ihrem Administrator nun zuhauf diese Test-Emails an. Betreiben Sie einen eigenen Mailserver, ist das natürlich eine andere Sache. Interessant vielleicht auch zu erfahren, was Ihr privater Mail-Provider an Schutzmaßnahmen bietet – wenn er denn überhaupt welche bietet.

Link zum Heise-Check (externer Link)

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO – technische und organisatorische Maßnahmen

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM – technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto „Weniger ist oftmals mehr“ haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt „Gemeinsam sind wir stark“, wollen wir da nicht hintenanstehen.

Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.

Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.

Anregungen und Ideen zu Ergänzungen sind gerne willkommen.

Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.

Bitte nutzen Sie die aktuelle Version 3.1:

Vorlage TOM Checkliste Technische und Organisatorische Maßnahmen DSGVO
7944 Downloads

Verfallsdatum von Einwilligungen

Unterliegen Einwilligungen einem Verfallsdatum?

Eine Frage, die immer wieder an uns gestellt wird: „Wie lange ist eine ein mal erteilte Einwilligungen z.B. für einen Newsletter-Empfang denn gültig?“ Wir haben uns mal auf die Suche nach belastbaren Aussagen dazu gemacht. Denn nicht erst seit der DSGVO ist dieses Thema immer wieder Gegenstand von Anfragen bei uns.

Beschränkt die DSGVO die Gültigkeitsdauer von Einwilligungen?

Erste Anlaufstelle ist natürlich stets das Gesetz. Die DSGVO äußert sich zum Thema Einwilligungen in Art. 7 Bedingungen für die Einwilligung (externer Link). Den einzigen Anhaltspunkt zur Gültigkeitsdauer einer Einwilligung finden wir in Abs. 3:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Somit sind Einwilligungen wohl bis auf Widerruf gültig und der Widerruf dann auch nur für die Zukunft möglich. Auch der Zweckbindungsgrundsatz aus Art. 5 DSGVO steht dieser Auslegung nicht entgegen, sofern keine grundsätzliche Zweckänderung vorliegt. In diesem Fall sollte die Gültigkeit von Einwilligungen auf jeden Fall stets überprüft werden.

Neben der datenschutzrechtlichen Einwilligung ist bei einer Einwilligung zu Werbezwecken auch das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) (externer Link) zu berücksichtigen. So schreibt § 7 Abs. 2 Nr. 3 UWG (externer Link) eine Einwilligung zu Werbezwecken im Sinne des UWG für Werbung per Email vor. Von einem Ablaufdatum ist hier jedoch keine konkrete Rede.

Was sagen die Gerichte zum Thema Gültigkeitsdauer von Einwilligungen?

Hier wird es nun etwas widersprüchlich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Aktenzeichen 104 C 227/15 (externer Link) wird konkret für den Fall von Werbe-Mails ein Verfall der Gültigkeit von 4 Jahren genannt. Dem entgegen steht ein Urteil des Bundesgerichtshof vom 01.02.2018 mit dem Aktenzeichen III ZR 196/17 (externer Link), nach dem ein Newsletter Opt-In nicht allein durch Zeitablauf erlischt (Seiten 15, 16; Randnummern 30-32).

Ja was denn nun? Ablauf der Gültigkeit einer Einwilligung oder nicht?

Aktuell sprechen wohl mehr Argumente dafür, dass es kein Ablaufdatum für gültige Einwilligungen gibt. Dennoch sollten weitere Urteile zu dem Thema konkret beobachtet und im Zweifel herangezogen werden. Eine gute Übersicht über die Argumente pro und kontra Verfall von Einwilligungen finden Sie auch auf unserem Partnerblog (externer Link).

Interessenskonflikte bei Datenschutzbeauftragten vermeiden

Rechtslage: Vermeidung von Interessenskonflikten bei einem Datenschutzbeauftragten vorgeschrieben

Bereits im Anwendungsrahmen des alten BDSG (vor Mai 2018) galt es, Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden. Art. 38 Abs. 6 DSGVO (externer Link) regelt das seit Mai 2018 nicht anders:

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg, Dr. Stefan Brink hat dies in seinem 38. Tätigkeitsbericht 2018 (externer Link) ausführlicher beleuchtet. „Der Verantwortliche bzw. Auftragsverarbeiter hat allerdings dafür Sorge zu tragen, dass […] keine Unvereinbarkeiten bzw. Befangenheit vorliegen.“

Wer darf bzw. darf die Funktion des Datenschutzbeauftragten in einem Unternehmen oder einer Behörde ausüben?

In Anbetracht der weiten Prüf- und Kontrollpflichten eines Datenschutzbeauftragten, zieht Brink hier eine deutliche Grenze:

„Für eine korrekte Erfüllung der Aufgaben des DSB ist vielmehr eine weitestgehende Distanz gegenüber der zu kontrollierenden Stelle unerlässlich, denn eine effektive Kontrolle ist dann zu bezweifeln, wenn der Kontrolleur sich selbst kontrollieren muss.“

Das mit der zu kontrollierenden Stelle die Organisation (Unternehmen, Behörde, Verein) gemeint ist, welche den Datenschutzbeauftragten zu bestellen hat, liegt auf der Hand. Generell soll der DSB keine andere Funktion ausüben, in der er oder sie über die Zwecke oder Mittel der Verarbeitung personenbezogener Daten selbst zu entscheiden hat. Doch was bedeutet das nun konkret (Seiten 28-30 des TB), wer scheidet für die Ausübung des Datenschutzbeauftragten generell aus:

  1. Leitungs-, Chef- und Inhaberebene: Inhaber, Leiter, Partner, Vorstand, Geschäftsführer, Mitglied der Geschäftsleitung, Manager, Bürgermeister, Landrat oder anderweitig berufene Leitung der Organisation
  2. Nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT): IT-Leiter, Leiter des operativen Geschäftsbereichs, Leiter Marketing, Leiter Personal, Betriebsleiter, Amts- bzw- Geschäftsleiter, aber durchaus auch nachgelagerte Funktionen, wenn diese ähnliche Interessenskonflikte mit sich bringen
  3. Bereiche mit hohem Verarbeitungsumfang: Mitarbeiter aus dem Personal-, Vertriebs- oder Marketingbereich
  4. Beauftragte: Geheimschutzbeauftragte, Geldwäschebeauftragte

Bei der Prüfung auf mögliche Interessenskonflikte sind auch familiäre Verhältnisse zu berücksichtigen. So kann bei zu engen familiären Beziehungen zwischen Organisationsleitung bzw. Inhaber und dem zu bestellenden Datenschutzbeauftragten die notwendige Unabhängigkeit nach Art. 38 Abs. 3 DSGVO nicht mehr gewährleistet sein. Das gilt übrigens unabhängig davon, ob der oder die Verwandte bei der bestellenden Organisation beschäftigt ist oder nicht.

Dann bestellen wir doch einfach einen externen Datenschutzbeauftragten, der hat keine Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vorhandene Interessenskonflikte zu vermeiden. So ist lt. Brink der genutzte IT-Dienstleister ebenfalls befangen und sollte daher nicht als externer Datenschutzbeauftragter bestellt werden. Das gilt auch für den Fall, dass der Dienstleister für die IT-Betreuung und den Datenschutz zwei unterschiedliche Mitarbeiter einsetzt. Sollte der externe Datenschutzbeauftragte die Organisation in datenschutzrechtlichen Sachen vor Gericht vertreten, ist ebenfalls ein Interessenskonflikt anzunehmen.

Durch unsere Fokussierung auf die beiden Themen Datenschutz und Informationssicherheit sind wir bei Ausübung der Funktion des externen Datenschutzbeauftragten frei von Interessenskonflikten. Wir sind in keinen anderen Bereichen für Sie tätig und bestimmen weiterhin nicht über Zweck und Mittel zur Verarbeitung personenbezogener Daten in Ihrer Organisation. Sprechen Sie uns an (interner Link).

 

 

Sichere und komfortable Passwort-Verwaltung mit Keepass

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahlreiche Mythen rund um die Themen Passwort und Sicherheit, die sich hartnäckig halten. Und das obwohl allen Akteuren eigentlich klar sein sollte, dass die Ideen dahinter aus dem Bereich Fantasy entstammen, jedoch nicht zur Passwort-Sicherheit beitragen. Anhänger der Theorien „Passwörter müssen immer Sonderzeichen und Zahlen enthalten“ und „Passwörter muss man regelmäßig wechseln“ lassen sich davon eh nicht abbringen. Die Vernünftigen der Zunft haben die Zeichen der Zeit erkannt und drangsalieren die Nutzer nicht mehr mit diesem Ballast, der konkret beleuchtet eher Unsicherheit statt Sicherheit bringt. Doch hier sollen keine Glaubenskriege ausgefochten werden. Wen es interessiert, hier haben wir weitere Details dazu zusammengetragen:

Fakt ist, unterschiedliche Logins / Accounts sollten auch unterschiedliche Passwörter nutzen. Damit ist sichergestellt, dass ein einzelner kompromittierter Zugang nicht zum Öffnen aller anderen Zugänge genutzt werden kann. Unabhängig von Passwortlänge und Komplexität kommen hier für einen Anwender im Laufe der digitalen Nutzung zig Login-Daten zusammen (PC Anmeldung, Programm Anmeldung, Cloud-Speicher Anmeldung, diverse Accounts bei Online-Shops, PINs und und und). Und alle Zugänge haben ein unterschiedliches Passwort. Wer soll sich das alles merken? Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass.

Keepass – oder das letzte Passwort, dass Sie sich merken müssen

Wenn Sie die Suchmaschine Ihrer Wahl bemühen, werden Sie mit den Suchbegriffen „Passwort Tresor“ unzählige Treffer finden. Über die Sinnhaftigkeit vieler Angebote lässt sich trefflich streiten. Es bleibt immer zu hinterfragen, ob Sie Ihre Zugangsdaten einem fremden Dienst / Anbieter anvertrauen (möglicherweise noch aus den USA oder Russland) oder nicht doch lieber Herr über Ihre eigenen Passwörter bleiben wollen. Ein Tool hierzu ist Keepass. Keepass steht für eigentlich alle gängigen Plattformen wie Windows, Linux, MacOS, iOS, Android und andere zur Verfügung. Somit ist sichergestellt, den eigenen Passwort-Tresor auch plattformübergreifend nutzen zu können. Ein Tresor an einer zentralen Stelle erleichtert den Aktualisierungsaufwand enorm. Wir haben unsere Passwort-Tresore beispielsweise in einem Cloud-Speicher abgelegt. Bevor jetzt jemand den Kopf schüttelt, dieser Speicherplatz ist zusätzlich noch mal mit einem separaten und plattformunabhängigen Tool verschlüsselt 🙂

In einem mit einem guten Masterpasswort verschlüsselten Passwort-Tresor mit Keepass haben Sie ab sofort eine zentrale Zugriffsmöglichkeit auf  alle Ihre schützenswerten Informationen beginnend mit Login-Informationen (Benutzernamen und Passwörter), aber auch für PIN oder Lizenzschlüssel für gekaufte Software. Die Einsatzzwecke eines solchen Tresors mit Keepass sind sehr umfangreich. Was und wie erfahren Sie in in unserer PDF Anleitung.

Doch jetzt genug geschrieben. Am Ende dieses Beitrags finden Sie eine konkrete Anleitung zur Installation und Nutzung von Keepass sowohl für den geschäftlichen / dienstlichen als auch privaten Einsatz. Gerne dürfen Sie das Dokument intern und extern weitergeben. Wir würden uns freuen, wenn Sie die Hinweise auf unsere Urheberschaft nicht entfernen. Verhindern können und wollen wir das nicht. Was wir aber ungern sehen würden, wäre dieses Dokument im Rahmen von Bezahlangeboten online oder Print wiederzufinden. Fair play!

Kritische Stimme zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schatten. Auch Passwort-Tresore haben Schwächen. Einen sehr empfehlenswerten Beitrag gibt es von Ralph Dombach hier zu lesen:

https://www.security-insider.de/password-manager-nein-danke-a-689795/

Doch hier der Download „Anleitung und Einsatzmöglichenkeiten Keepass“

Sichere Passwortverwaltung mit Keepass
1882 Downloads