Zum Inhalt springen

Schutz

Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Keepass

Pass­wör­ter — zu vie­le, zu kom­plex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ideen dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­rien “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusammengetragen:

Fakt ist, unter­schied­li­che Log­ins /​ Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie Keepass.

Kee­pass — oder das letz­te Pass­wort, dass Sie sich mer­ken müssen

Wenn Sie die Such­ma­schi­ne Ihrer Wahl bemü­hen, wer­den Sie mit den Such­be­grif­fen “Pass­wort Tre­sor” unzäh­li­ge Tref­fer fin­den. Über die Sinn­haf­tig­keit vie­ler Ange­bo­te lässt sich treff­lich strei­ten. Es bleibt immer zu hin­ter­fra­gen, ob Sie Ihre Zugangs­da­ten einem frem­den Dienst /​ Anbie­ter anver­trau­en (mög­li­cher­wei­se noch aus den USA oder Russ­land) oder nicht doch lie­ber Herr über Ihre eige­nen Pass­wör­ter blei­ben wol­len. Ein Tool hier­zu ist Kee­pass. Kee­pass steht für eigent­lich alle gän­gi­gen Platt­for­men wie Win­dows, Linux, MacOS, iOS, Android und ande­re zur Ver­fü­gung. Somit ist sicher­ge­stellt, den eige­nen Pass­wort-Tre­sor auch platt­form­über­grei­fend nut­zen zu kön­nen. Ein Tre­sor an einer zen­tra­len Stel­le erleich­tert den Aktua­li­sie­rungs­auf­wand enorm. Wir haben unse­re Pass­wort-Tre­so­re bei­spiels­wei­se in einem Cloud-Spei­cher abge­legt. Bevor jetzt jemand den Kopf schüt­telt, die­ser Spei­cher­platz ist zusätz­lich noch mal mit einem sepa­ra­ten und platt­form­un­ab­hän­gi­gen Tool verschlüsselt 🙂

In einem mit einem guten Mas­ter­pass­wort ver­schlüs­sel­ten Pass­wort-Tre­sor mit Kee­pass haben Sie ab sofort eine zen­tra­le Zugriffs­mög­lich­keit auf  alle Ihre schüt­zens­wer­ten Infor­ma­tio­nen begin­nend mit Log­in-Infor­ma­tio­nen (Benut­zer­na­men und Pass­wör­ter), aber auch für PIN oder Lizenz­schlüs­sel für gekauf­te Soft­ware. Die Ein­satz­zwe­cke eines sol­chen Tre­sors mit Kee­pass sind sehr umfang­reich. Was und wie erfah­ren Sie in in unse­rer PDF Anleitung.

Doch jetzt genug geschrie­ben. Am Ende die­ses Bei­trags fin­den Sie eine kon­kre­te Anlei­tung zur Instal­la­ti­on und Nut­zung von Kee­pass sowohl für den geschäft­li­chen /​ dienst­li­chen als auch pri­va­ten Ein­satz. Ger­ne dür­fen Sie das Doku­ment intern und extern wei­ter­ge­ben. Wir wür­den uns freu­en, wenn Sie die Hin­wei­se auf unse­re Urhe­ber­schaft nicht ent­fer­nen. Ver­hin­dern kön­nen und wol­len wir das nicht. Was wir aber ungern sehen wür­den, wäre die­ses Doku­ment im Rah­men von Bezahl­an­ge­bo­ten online oder Print wie­der­zu­fin­den. Fair play!

Kri­ti­sche Stim­me zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schat­ten. Auch Pass­wort-Tre­so­re haben Schwä­chen. Einen sehr emp­feh­lens­wer­ten Bei­trag gibt es von Ralph Dom­bach hier zu lesen:

https://​www​.secu​ri​ty​-insi​der​.de/​p​a​s​s​w​o​r​d​-​m​a​n​a​g​e​r​-​n​e​i​n​-​d​a​n​k​e​-​a​-​6​8​9​7​95/

Doch hier der Down­load “Anlei­tung und Ein­satz­mög­li­chen­k­ei­ten Keepass”

Siche­re Pass­wort­ver­wal­tung mit Keepass
1882 Downloads

Rech­nung per Email ver­sen­den und der Datenschutz

Eine Fra­ge, die auch bei uns immer von Kun­den­sei­te auf­schlägt, dreht sich um die Mög­lich­keit, eine Rech­nung elek­tro­nisch — zumeist als PDF als Mail-Anhang — zu ver­sen­den. Da hät­te sich ja im Mai 2018 durch die DSGVO alles geän­dert. Wir wol­len in die­sem Bei­trag die an uns her­an­ge­tra­ge­nen Fra­gen auf­grei­fen und beantworten.

Auf wel­che Daten fin­det die DSGVO bzw. das Daten­schutz-Recht Anwendung?

Huch, was hat das jetzt mit der elek­tro­ni­schen Rech­nung zu tun? Lösen wir gleich auf. Betrach­ten wir dazu Art. 4 Abs. 1 DSGVO Begriffsbestimmungen:

“Im Sin­ne die­ser Ver­ord­nung bezeich­net der Aus­druck: 1. „per­so­nen­be­zo­ge­ne Daten“ alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den „betrof­fe­ne Per­son“) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len iden­ti­fi­ziert wer­den kann, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind;”

Salopp gesagt: kei­ne per­so­nen­be­zo­ge­nen Daten (direkt oder indi­rekt), kei­ne Anwen­dung des Daten­schutz-Rechts. Aber …

Was schreibt das Daten­schutz-Recht für die elek­tro­ni­sche Über­mitt­lung einer Rech­nung von per­so­nen­be­zo­ge­nen Daten vor?

Hier tum­meln sich zahl­rei­che grenz­wer­ti­ge Aus­sa­gen — gera­de im Inter­net — dazu. Den meis­ten Anklang und Zuspruch fin­det bis­lang wohl die Aus­sa­ge, per­so­nen­be­zo­ge­ne Daten müs­sen bei elek­tro­ni­scher Über­mitt­lung zwin­gend ver­schlüs­selt wer­den. Stün­de so in der DSGVO.

Doch schau­en wir ein­fach mal nach. Art. 32 DSGVO befasst sich mit der Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Und in der Tat, hier taucht der Begriff “Ver­schlüs­se­lung” sogar direkt auf. Dann ist die Aus­sa­ge wohl rich­tig: Kei­ne Ver­schlüs­se­lung, kein Ver­sand per Email. Doch im Kon­text gele­sen, stellt sich das etwas anders dar (Art. 32 Abs. 1 lit a — d):

“[…] die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.”

Vor der Auf­zäh­lung fin­det sich eine genau zu betrach­ten­de For­mu­lie­rung, näm­lich “gege­be­nen­falls unter ande­rem”. Das ist nach unse­rem Dafür­hal­ten etwas ande­res als “zwin­gend not­wen­dig”. Und das steht da nicht. Wie sehen Sie das?

Also, Ver­schlüs­se­lung wäre ein Mit­tel zum Zweck, aber nicht das ein­zi­ge. Aber die wei­te­ren genann­ten Grund­wer­te der Infor­ma­ti­ons­si­cher­heit — Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit — geben natür­lich ein Ziel vor. Für Emails oder Emails mit Anhän­gen mit per­so­nen­be­zo­ge­nen Daten wäre das die Sicher­stel­lung der Ver­mei­dung unbe­rech­tig­ter Kennt­nis­nah­me (Ver­trau­lich­keit) und Mani­pu­la­ti­on (Inte­gri­tät) auf dem Übertragungsweg.

Auf was ist daher beim Ver­sand von Rech­nun­gen per Email zu achten?

Erst mal, ist zu prü­fen, ob über­haupt ein Per­so­nen­be­zug in der Rech­nung vor­han­den ist. Eine Rech­nung von Fir­ma A an Fir­ma B (bei­des juris­ti­sche Per­so­nen) wird — mal abge­se­hen von einem per­sön­lich adres­sier­ten Ansprech­part­ner in der Buch­hal­tung (wenn über­haupt, die Anga­ben z.Hd. Buch­hal­tung wäre ja aus­rei­chend) — für gewöhn­lich kei­ne per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Dem­nach wäre in die­ser Kon­stel­la­ti­on der Daten­schutz außen vor.

Anders sieht es aus, wenn eine Fir­ma oder eine Behör­de einen End­kun­den bzw. Bür­ger per Email eine Rech­nung zusen­det. Hier wäre zumin­dest der Rech­nungs­emp­fän­ger als natür­li­che Per­son mit sei­nen Anga­ben als per­so­nen­be­zo­ge­nes Datum nach Art. 4 DSGVO ein­zu­stu­fen. Das Daten­schutz-Recht wür­de hier dem­nach zur Anwen­dung kom­men. Wer­fen wir noch mal einen kur­zen Blick auf Art. 4 DSGVO

“Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewährleisten;”

Hier wird dem Absen­der auf­er­legt, ein mög­li­ches Risi­ko durch unbe­rech­tig­te Kennt­nis­nah­me und Miss­brauch der Anga­ben auf der Rech­nung für den Emp­fän­ger in Ver­bin­dung mit der Ein­tritts­wahr­schein­lich­keit für die­ses mög­li­che Risi­ko zu betrach­ten. Auf die­ser Basis wären geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Ver­rin­ge­rung der Ein­tritts­wahr­schein­lich­keit und des Risi­kos durch den Absen­der zu ergreifen.

Was sagen die Auf­sichts­be­hör­den zur Rech­nung per Email?

In eini­gen Tätig­keits­be­rich­ten der Daten­schutz­auf­sich­ten in den letz­ten Jah­ren ist nach­zu­le­sen (u.a. Sei­ten 44/​45 im TB 2016/​2017 der Ham­bur­ger Behör­de), dass ein unge­schütz­ter Ver­sand von Bank­ver­bin­dun­gen natür­li­cher Per­so­nen als unzu­läs­sig im Sin­ne des Daten­schut­zes ein­ge­stuft wird. Die­se Pro­ble­ma­tik kann leicht umge­gan­gen wer­den, in dem die Bank­ver­bin­dung oder ande­re Zah­lungs­mit­tel wie Kre­dit­kar­ten­da­ten des Rech­nungs­emp­fän­gers schlicht nicht in den Rech­nun­gen erschei­nen bzw. nur mit eini­gen Zif­fern zur Prü­fung der kor­rekt hin­ter­leg­ten Anga­ben für Last­schrift /​ Abbu­chung.

Wäre noch das Pro­blem mit den Kun­den­stamm­da­ten wie Name, Anschrift und mög­li­cher­wei­se Kun­den­num­mer. Hier kön­nen zwar Risi­ken abge­lei­tet wer­den wie Phis­hing oder Iden­ti­täts­dieb­stahl, doch dafür wer­den im Zwei­fel eini­ge Anga­ben mehr not­wen­dig sein. Den­noch wäre für den Trans­port­weg abzu­wä­gen, ob nicht wei­te­re Schutz­maß­nah­men die­se Risi­ken auch im Hin­blick auf die Ein­tritts­wahr­schein­lich­keit mini­mie­ren könnten.

Hil­fe­stel­lung sei­tens der Aufsichtsbehörden

Ende Novem­ber 2018 hat uns das das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) in einer zur Ver­öf­fent­li­chung frei­ge­ge­be­nen Email bestä­tigt, dass eine Lösung aus Sicht der Auf­sichts­be­hör­de kein gro­ßes Ding ist.

“Da die deut­schen E‑Mail-Pro­vi­der inzwi­schen regel­mä­ßig Trans­port­ver­schlüs­se­lung für E‑Mails ein­set­zen (so dass die Inhal­te unter­wegs nicht mehr gele­sen wer­den kön­nen), kön­nen E‑Mails mit „nor­ma­lem“ geschäft­li­chem Inhalt aus unse­rer Sicht ohne Ende-zu-Ende-Ver­schlüs­se­lung (ohne Inhalts­ver­schlüs­se­lung) ver­sandt wer­den. Nur bei sen­si­blen Daten (z. B. Ver­sen­dung von Gesund­heits­da­ten durch Arzt oder Kran­ken­haus, umfang­rei­che Finanz­da­ten­ver­sen­dung durch Ban­ken oder Steu­er­be­ra­ter) hal­ten wir eine Inhalts­ver­schlüs­se­lung für gebo­ten (sie­he dazu näher auch unter https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​F​A​Q​_​Z​i​p​.​pdf ).”

Eini­ge tech­ni­sche Nach­fra­gen von uns zu die­ser Aus­sa­ge lau­fen beim BayL­DA seit­her mit einer eige­nen Bear­bei­tungs­num­mer. Wir hal­ten Sie selbst­ver­ständ­lich dazu infor­miert. Nach Aus­sa­ge des BayL­DA soll sich die­se Nach­richt auch im kom­men­den Tätig­keits­be­richt wie­der­fin­den. Auch die Daten­schutz­auf­sicht Nord­rhein-West­fa­len hat sich die­ser Sicht­wei­se ange­schlos­sen (hier geht es zur Mel­dung des LDI NRW): “Bei beson­ders schüt­zens­wer­ten Daten (z.B. Kon­to­be­we­gungs­da­ten, Finan­zie­rungs­da­ten, Daten zum Gesund­heits­zu­stand, Man­dan­ten­da­ten von Rechts­an­wäl­ten und Steu­er­be­ra­tern, Beschäf­tig­ten­da­ten) ist eine allei­ni­ge Trans­port­ver­schlüs­se­lung mög­li­cher­wei­se nicht ausreichend.”

Tipp für die Email-Inhalte

Da hier kei­ne der sei­tens des BayL­DA oder LDI NRW genann­ten sen­si­blen bzw. beson­ders schüt­zens­wer­ten Daten auf bzw. in der Rech­nung zu fin­den sind, wäre der Über­tra­gungs­weg Email daher für die Vari­an­te PDF Anhang als zuläs­sig ein­zu­stu­fen. Ein Tipp des LDI NRW dazu wäre noch zu berück­sich­ti­gen: Den Betreff und Text der Email soll­te man wei­test­ge­hend frei von per­so­nen­be­zo­ge­nen Daten hal­ten. Name und Email-Adres­se las­sen sich ja nicht ver­mei­den. Aber wei­te­re Anga­ben aus der Rech­nung ver­blei­ben ein­fach im PDF und fin­den sich nicht noch­mals im Email-Text wieder.

Also dann jetzt raus mit der elek­tro­ni­schen Rech­nung per Email

Zum Fair­play mit­ein­an­der soll­te stets gehö­ren, den Emp­fän­ger zu die­sem The­ma anzu­hö­ren. Es gibt durch­aus Fir­men, aber auch Kun­den und Bür­ger, die kei­ne elek­tro­ni­schen Rech­nun­gen erhal­ten wol­len. Die­ser Wunsch soll­te respek­tiert und alter­na­ti­ve Mög­lich­kei­ten zur Ver­fü­gung gestellt wer­den. Alter­na­ti­ven wären der klas­si­sche Post­weg, aber auch die Vari­an­te ver­schlüs­sel­ter Down­load aus dem geschütz­ten Kun­den­be­reich. Sie soll­ten auch mög­li­che wei­te­re Rechts­vor­schrif­ten nicht außer acht las­sen, sie­he nächs­ten Abschnitt.

Recht­li­cher Hinweis

Auch wenn sich hin­sicht­lich der Nut­zung von elek­tro­ni­schen Rech­nun­gen in den letz­ten Jah­ren vie­les bewegt hat, soll­ten Sie bei der Betrach­tung die­ses The­mas nicht nur auf die Vor­aus­set­zun­gen des Daten­schutz-Rechts schau­en. Zahl­rei­che wei­te­re Punk­te sind zu beach­ten, wie Pflicht­an­ga­ben auf elek­tro­ni­schen Rech­nun­gen, nach­voll­zieh­ba­re Pro­zes­se zu Emp­fang und Ver­ar­bei­tung von elek­tro­ni­schen Rech­nun­gen (gera­de bei Unter­neh­men und Behör­den), aber auch Archi­vie­rung und Auf­be­wah­rungs­pflich­ten (nicht abschlie­ßen­de Auf­zäh­lung). Sie soll­ten daher bit­te stets auch den Fach­an­walt Ihrer Wahl bzw. ger­ne auch Steu­er­be­ra­ter und /​ oder Wirt­schafts­prü­fer kon­sul­tie­ren, um alle ande­ren recht­li­chen Anfor­de­run­gen abde­cken zu kön­nen. Ihr(e) Daten­schutz­be­auf­trag­te® wird Ihnen da im Zwei­fel nicht wei­ter­hel­fen kön­nen bzw. darf dies womög­lich als Rechts­be­ra­tung auch gar nicht leis­ten. Die­ser Bei­trag stellt eben­falls kei­ne Rechts­be­ra­tung dar.

 

Bid­nach­weis: https://​pixabay​.com/​d​e​/​r​e​c​h​n​u​n​g​-​b​i​l​l​-​u​m​s​c​h​l​a​g​-​g​e​l​d​-​1​5​3​4​13/

Daten­pan­ne: Offe­ner News­let­ter-Ver­tei­ler führt zu Buß­geld — Augen auf beim Direktmarketing

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde weitergeleitet.

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che Unzulässigkeit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email- Adres­se sind per­so­nen­be­zo­ge­nen Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Übermittlung (nichts ande­res stellt eine Email dar) ist daher nur zulässig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Übermittlung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Empfänger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzulässigkeit ab. Statt­des­sen wur­de ein Buß­geld verhängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin verhängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt. Das BayL­DA teil­te jedoch mit, daß es in einem ähnlichen Fall in zu einem Buß­geld gegen ein wei­te­res Unter­neh­men kam. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat­te nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Um sol­che Vorfälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regelmäßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne können Sie hierfür die­sen Blog­bei­trag ein­set­zen. Was ist zu beach­ten? Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adres­sie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den sel­ben recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen auslösen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Zum rich­ti­gen Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men des Direkt­mar­ke­tings hilft Ihnen kom­pe­tent Ihr Daten­schutz­be­auf­trag­ter wei­ter. Sie haben kei­nen? Dann soll­ten Sie sich dar­um küm­mern, da eine gesetz­li­che Bestell­pflicht vor­lie­gen kann. Spre­chen Sie uns unver­bind­lich und kos­ten­frei an!

 

Exter­ner behörd­li­cher Daten­schutz­be­auf­trag­ter (Baye­ri­sche Kommunen)

DIE EU-DSGVO macht es mög­lich – der exter­ne Daten­schutz­be­auf­trag­te für baye­ri­sche Kommunen

Die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestellen.

Ent­las­tung für klei­ne­re Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know-How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Ent­las­tung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun einen Daten­schutz­be­auf­trag­ten auch extern bestellen.

Vor­tei­le der exter­nen Bestel­lung eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kommunen

Die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Kom­mu­nen lie­gen klar auf der Hand

  • Trans­pa­renz in Zeit und Kosten
  • Stets aktu­el­les Know-How durch Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung des exter­nen Daten­schutz­be­auf­trag­ten (nicht zu Las­ten der Kommune)
  • Sofort im The­ma: Der exter­ne Daten­schutz­be­auf­trag­te kennt sich mit Theo­rie und Pra­xis im Daten­schutz­recht und Daten­schutz­all­tag bes­tens aus und kann sofort loslegen
  • Gemein­sa­me Bestel­lung mög­lich: Meh­re­re Kom­mu­nen im Land­kreis kön­nen sich im Rah­men der Inter­kom­mu­na­len Zusam­men­ar­beit zeit und Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten teilen

Über­gangs­lö­sung durch exter­ne Bera­tung zum 25.05.2018

Nichts ist schlim­mer, als nichts zu tun. Daher emp­feh­len wir, nicht bis zum 25.05.2018 abzu­war­ten. Holen Sie bereits heu­te einen ver­sier­ten Daten­schutz­be­ra­ter an Bord, der Ihre Kom­mu­ne fit für den Daten­schutz und die Anfor­de­run­gen der EU-Daten­schutz­grund­ver­ord­nung macht. Damit legen Sie erfolg­reich den Grund­stein für die erfolg­rei­che Tätig­keit des exter­nen Daten­schutz­be­auf­trag­ten für (baye­ri­sche) Kom­mu­nen ab dem 25.05.2018.

Die exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz für baye­ri­sche Kommunen

Spe­zi­ell für baye­ri­sche Kom­mu­nen ste­hen die aus­ge­bil­de­ten Bera­ter und spä­te­ren exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz bereit. Mit dem The­ma Daten­schutz zumeist bereits seit Jah­ren befasst, haben unse­re Mit­ar­bei­ter die Daten­schutz-Kur­se der Baye­ri­schen Ver­wal­tungs­schu­le (BVS) erfolg­reich absol­viert oder sich in ande­ren geeig­ne­ten Maß­nah­men für den Ein­satz in öffent­li­chen und nicht-öffent­li­chen Stel­len qua­li­fi­ziert. Zusätz­lich sind unse­re Mit­ar­bei­ter zer­ti­fi­zier­te Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (BVS) und kön­nen Ihren Bezirk, Ihr  Land­rats­amt, Ihre Stadt oder Ihre Gemein­de voll­um­fäng­lich unter­stüt­zen. Soll­ten Sie einen exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten für baye­ri­sche Kom­mu­nen benö­ti­gen, ste­hen wir Ihnen damit eben­falls zur Verfügung.

Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nen anfordern

Sie wün­schen ein Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für Ihre Kom­mu­ne? Nut­zen Sie ein­fach das For­mu­lar aus unse­rem Fly­er (Down­load am Ende des Bei­trags) oder schrei­ben Sie uns eine Email.

[wpfi­le­ba­se tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /​]

Locky immer erfolgreicher

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutschland).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­wa­re. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeichnet.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich Win­dows-Sys­te­me einer Angriffs­wel­le durch einen Kryp­to-Tro­ja­ner aus­ge­setzt. Der hieß damals Tes­lacrypt. Aktu­ell ist Ver­si­on 3, gegen den kein Kraut gewach­sen ist. Für die Ver­sio­nen 1 und 2 gab es nach eini­ger Zeit wirk­sa­me Ent­schlüs­se­lungs­tools. Aktu­ell ist Locky der bekann­tes­te Vertreter.

Kryp­to-Tro­ja­ner sind sehr heim­tü­ckisch. Wur­den die­se zu Beginn allei­ne durch prä­pa­rier­te Email-Anhän­ge (zumeist Office Doku­men­te mit Makro Code) in die Welt gestreut, sind Infek­tio­nen mitt­ler­wei­le auch durch soge­nann­te Dri­ve By Down­loads mög­lich. Es reicht der Besuch einer infi­zier­ten Web­sei­te und eine dazu­ge­hö­ri­ge Schwach­stel­le im Brow­ser oder Flash Plugin und der Spaß geht los. Exper­ten rech­nen damit, dass zeit­nah noch wei­te­re Infek­ti­ons­mög­lich­kei­ten am Start sein wer­den. Dazu wer­den die Tro­ja­ner auch immer wei­ter entwickelt.

Ein­mal aktiv, beginnt der Kryp­to-Tro­ja­ner mit der Ver­schlüs­se­lung einer sehr lan­gen Lis­te an Datei­en. Und das nicht nur auf der loka­len Fest­plat­te, son­dern auch auf allen kon­nek­tier­ten Netz­lauf­wer­ken und Frei­ga­ben. Auch ver­link­te Cloud-Spei­cher sind betrof­fen. Eben­so ist das Über­sprin­gen von einem Gerät auf das nächs­te über­haupt kein Pro­blem mehr. Die ein­zi­ge War­nung, die der Nut­zer erhal­ten kann, ist eine ver­mehr­te Fest­plat­ten­ak­ti­vi­tät zu Beginn. Je nach Aus­brei­tung im inter­nen Netz kön­nen auch Stö­run­gen bei Datei­zu­grif­fen durch die Nut­zer ein Warn­si­gnal sein.

Ist der Kryp­to-Tro­ja­ner mit sei­ner Arbeit fer­tig, prä­sen­tiert er in der pas­sen­den Lan­des­spra­che (Locky übri­gens in per­fek­tem Deutsch) eine über­haupt nicht wit­zi­ge Nachricht:

!!!! WICHTIGE INFORMATIONEN !!!!
Alle Datei­en wur­den mit RSA-2048 und AES-128 Zif­fern verschlüsselt.
Die Ent­schlüs­se­lung Ihrer Datei­en ist nur mit einem pri­va­ten Schlüs­sel und einem Ent­schlüs­se­lungs­pro­gramm, wel­ches sich auf unse­rem Ser­ver befin­det, möglich.

Eine Frei­schal­tung oder genau­er Ent­schlüs­se­lung ist dann nur noch gegen Zah­lung von Bit­coins mög­lich. Das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) rät von der Zah­lung ab. Man kön­ne sich nicht sicher sein, ob die Hacker danach wirk­lich die pas­sen­den Schlüs­sel für die Ent­schlüs­se­lung her­aus­rü­cken. Eini­ge Unter­neh­men aus den USA (News-Mel­dung) und Deutsch­land (Video-Bei­trag) haben gezahlt, und die indi­vi­du­el­len Schlüs­sel funktionierten.

Da der Tro­ja­ner jedoch sehr gut pro­gram­miert ist, ver­wen­det er auch für jedes befal­le­ne Gerät einen neu­en Schlüs­sel. Und damit sind die Schlüs­sel zur Ent­schlüs­se­lung nicht über­trag­bar. Es muss also wirk­lich für jedes Gerät mit Anzei­ge der Ver­schlüs­se­lung ein eige­ner Schlüs­sel gekauft werden.

Ist die eige­ne Orga­ni­sa­ti­on betrof­fen, muss man den Kopf nicht hän­gen las­sen. Man befin­det sich in bes­ter Gesell­schaft. Kran­ken­häu­ser sind nur noch per Free­mail-Adres­se erreich­bar, ver­schie­ben Ope­ra­tio­nen und ver­wei­sen nicht aku­te Fäl­le in der Not­auf­nah­me an ande­re Ein­rich­tun­gen. Das Fraun­ho­fer-Insti­tut hiss­te vor kur­zem eben­falls die wei­ße  Flag­ge, 60 Arbeits­plät­ze vollverschlüsselt.

Aktu­ell geht eine sehr gut gemach­te Warn­mel­dung durch die Email-Ver­tei­ler (Scherz­kek­se haben die­se sogar in sozia­len Netz­wer­ken geteilt). Dar­in warnt angeb­lich das BKA vor der Locky-Infek­ti­on. Und bie­tet umge­hend im Anhang das BKA Locky Remo­val Tool zur Besei­ti­gung der Infek­ti­on an. Wer den Anhang star­tet, holt sich — was Wun­der — einen Tro­ja­ner ins Sys­tem. Glück­li­cher­wei­se ein alter Bekann­te, gute Scan­ner mit aktu­el­len Signa­tu­ren mis­ten den Schad­code sofort wie­der aus.

Was kön­nen Sie in Ihrer Orga­ni­sa­ti­on tun, um bes­ser gegen Locky & Co gewapp­net zu sein? Ein fata­lis­ti­scher Rat auf einer Ver­an­stal­tung vor­ges­tern lau­te­te: beten. Es geht aber dann doch etwas mehr:

 

  • Mög­lichst Ver­zicht auf Soft­ware, die für Anfäl­lig­kei­ten von (Zero-Day-) Sicher­heits-Lücken bekannt ist, wie bei­spiels­weise Ado­be Flash
  • Betriebs­sys­te­me und Anwen­dun­gen stets aktu­ell mit Patches und Secu­ri­ty Fixes versorgen
  • Gerä­te auf denen das nicht mög­lich ist, mög­lichst in getrenn­ten Netz­seg­men­ten und /​ oder gar nicht mit Inter­net­an­schluß betreiben
  • Kein Sys­tem ohne Viren­schutz mit regel­mä­ßi­ger, im Zwei­fel stünd­li­cher Aktua­li­sie­rung der Signa­tu­ren (Ach­tung: auch mobi­le Gerä­te berücksichtigen!)
  • Back­up-Stra­te­gie prü­fen, im Zwei­fel vor­über­ge­hend kür­zere Siche­rungs­in­ter­val­le einrichten
  • Siche­rungs­me­di­en nach erfolg­tem Back­up aus dem Netz entfernen!
  • Schu­len und sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwi­schen­be­rich­te bei­spiels­weise per Rund­mail, wenn sich neue Bedro­hungs­la­gen erge­ben — durch­aus täg­lich oder öfter. Auch wenn es nervt, die größ­te Gefahr sind momen­tan unbe­dach­te Hand­lun­gen durch Mit­ar­bei­ter. Also lie­ber ein mal mehr das The­ma ange­spro­chen als zu wenig.
  • Ver­fü­gen Sie über ent­spre­chende Mög­lich­kei­ten der Sys­tem­ver­hal­tens­ana­ly­se, so kon­fi­gu­rie­ren Sie die­se auf Sym­pto­me wie “vie­le Datei­zu­grif­fe inner­halb kur­zer Zeitspannen”.
  • Nut­zen Sie Funk­tio­nen, Sys­te­me mit sol­chen Auf­fäl­lig­kei­ten im Zwei­fel sofort vom Netz zu nehmen.
  • Wenn mög­lich, set­zen Sie Email-Anhän­ge auto­ma­ti­siert in Qua­ran­tä­ne. Der Anwen­der kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ran­som­wa­re aus­ein­an­der­set­zen müssen.


Mit die­sen Maß­nah­men haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ran­som­wa­re, aber das Risi­ko des Ein­tritts ist zumin­dest gesenkt.

Bedau­er­li­cher­wei­se ent­wi­ckeln sich die Vari­an­ten von Locky & Co per­ma­nent wei­ter. Das Geschäfts­mo­dell der Ent­wick­ler geht auf. Bis­her sind alle Ver­su­che geschei­tert, die Ver­ur­sa­cher zu iden­ti­fi­zie­ren. Und die­se müs­sen sich wirk­lich sicher füh­len. So sind mitt­ler­wei­le Ver­sio­nen gesich­tet (unbe­stä­tigt), die nicht nur einen Link zu einem Video ent­hal­ten “Wie besor­ge ich mir Bit­coins zur Zah­lung des Löse­gelds”, son­dern es wird auch ein Text­chat ange­bo­ten. Wie dreist ist das denn?

Und in den Nach­rich­ten? “Spocht” (Grü­ße von RTL Sams­tag Nacht)

Ich wün­sche uns allen ein gutes Gelin­gen in der Abwehr der aktu­el­len Bedrohungswelle
Ihr Sascha Kuhrau

PS: Übri­gens gibt es neben unse­rem Fach­blog Daten­schutz seit kur­zem auch einen Blog zur Infor­ma­ti­ons- und IT-Sicher­heit. Dort erfah­ren Sie mehr über die aktu­el­le Bedro­hungs­la­ge und die Mög­lich­kei­ten, sich dage­gen zu schüt­zen. Oder Sie tra­gen sich dort gleich in den Sicher­heits-News­let­ter ein, um stets auf dem Lau­fen­den zu bleiben.

Die mobile Version verlassen