Warnung

BSI empfiehlt Überprüfung von PCs auf Schadsoftware “DNS-Changer” / Repair Tool zum Download von Avira

von Sascha Kuhrau
2. Februar 2012

Bonn / Wiesbaden, 11. Januar 2012. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Befall von PC- und MAC-Systemen mit der Schadsoftware “DNS-Changer”. Ab sofort ist eine solche Überprüfung mit Hilfe der Webseite https://www.dns-ok.de ganz einfach möglich.

Internetkriminelle können die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware “DNS-Changer” manipuliert haben. Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden. Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.

In Deutschland sind nach Angaben der amerikanischen Bundespolizei FBI derzeit bis zu 33.000 Computer täglich betroffen. Mit der Internetseite https://www.dns-ok.de können Internetnutzer ab sofort eigenständig prüfen, ob ihr System von dem Schadprogramm “DNS-Changer” betroffen ist. Beim Aufruf dieser Internetadresse erhalten Nutzer, deren Computersystem von dem Schadprogramm manipuliert wurde, eine Warnmeldung mit roter Statusanzeige. Ergänzt wird dieser Hinweis durch eine Reihe von Empfehlungen, mit denen die Anwender die korrekten Systemeinstellungen wiederherstellen sowie ggf. die Schadsoftware vom System entfernen können. Ist dagegen der Rechner des Internetnutzers nicht betroffen, erhält der Besitzer die Meldung mit einer grünen Statusmeldung, dass sein System korrekt arbeitet.

Die Überprüfung erfolgt ausschließlich über den Aufruf der Website https://www.dns-ok.de, es wird keine Software gestartet oder heruntergeladen. Zur Reinigung des Rechners können die Betroffenen beispielsweise die unter https://www.botfrei.debereitgestellten Programme wie den “DE-Cleaner” nutzen.

Zur vollständigen Pressemeldung des BSI

Update 02.02.2012

Der bekannte Hersteller von Sicherheitssoftware, Avira stellt ein Reparatur-Tool zum freien Download zur Verfügung. Damit sollen sich die Manipulationen des Trojaners “DNS-Changer” wieder rückgängig gemacht werden können. Zum Download

ULD stellt Webseitenbetreibern Ultimatum — Social Plugins von Facebook müssen weg (Update 2)

von Sascha Kuhrau
9. September 2011
4 Kommentare

Soziale Netzwerke sind aus dem Nutzungsalltag des Internet nicht mehr wegzudenken. Trotz neuer Konkurrenz durch Google+ hat Facebook hier die Nase (noch) deutlich vorn. Doch es ist nicht alles Gold, was glänzt — und erst recht nicht erlaubt.

Das ULD nimmt Stellung

Die Landesdatenschutzbehörde Schleswig-Holsteins (ULD) setzt sich lange und intensiv mit der Problematik der sozialen Netzwerke und der Anwendung des deutschen Bundesdatenschutzgesetzes (BDSG) auseinander. In einer aktuellen Pressemitteilung vom 19.08.2011 findet das ULD sehr klare Worte:

“Das Unabhängige Landeszentrum für Datenschutz (ULD) fordert alle Stellen in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.”

Das Ultimatum

Bis Ende September 2011 haben Webseitenbetreiber aus Schleswig-Holstein nun Zeit, die entsprechenden Dienste auf ihren eigenen Webseiten zu deaktivieren und damit die unrechtmäßige Datenweitergabe an Facebook einzustellen. Das ULD weist darauf hin, weitergehende Maßnahmen zu ergreifen für den Fall des Zuwiderhandelns — bis hin zu möglichen 50.000 EUR Bußgeld aus dem TMG (Telemediengesetz).

„Das ULD weist schon seit längerem informell darauf hin, dass viele Facebook-Angebote rechtswidrig sind. Dies hat leider bisher wenige Betreiber daran gehindert, die Angebote in Anspruch zu nehmen, zumal diese einfach zu installieren und unentgeltlich zu nutzen sind. Hierzu gehört insbesondere die für Werbezwecke aussagekräftige Reichweitenanalyse. Gezahlt wird mit den Daten der Nutzenden. Mit Hilfe dieser Daten hat Facebook inzwischen weltweit einen geschätzten Marktwert von über 50 Mrd. Dollar erreicht. Allen Stellen muss klar sein, dass sie ihre datenschutzrechtliche Verantwortlichkeit nicht auf das Unternehmen Facebook, das in Deutschland keinen Sitz hat, und auch nicht auf die Nutzerinnen und Nutzer abschieben können.“Weiterlesen »ULD stellt Webseitenbetreibern Ultimatum — Social Plugins von Facebook müssen weg (Update 2)

Hessen kündigt verstärkte Datenschutzkontrollen an

von Sascha Kuhrau
7. Juli 2011

Erweiterter Zuständigkeitsbereich

Seit diesem Monat ist der hessische Datenschutzbeauftragte nicht mehr nur für die Datenschutzkontrolle in den Behörden des Bundeslandes zuständig. Seine Befugnisse wurden erweitert und auf die nicht-öffentlichen Bereiche, also Unternehmen ausgeweitet.

Viel Feind’, viel Ehr’

Dies nahm er zum Anlaß, um bereits im Juni 2011 verstärkte Kontrollen gegen Stromversorger, Banken und Drogerieketten anzukündigen. Intelligente Stromzähler, die Bespitzelung von Mitarbeitern und der Umgang mit Kundendaten — gerade bei Banken und der SCHUFA — stehen auf seiner Prüfliste. Verstöße will er ahnden, “mit Sanktionen bis hin zu Bußgeldbescheiden”.

Eigenverantwortung tut Not

In der letzten Zeit mehren sich die Stimmen, daß Verbraucher aufgrund ihres Rechts auf informationelle Selbstbestimmung auch die Verpflichtung haben, selbst aufIhre Daten zu achten und wem sie diese anvertrauen. Er stößt in das selbe Horn und äußert z.B. zu Kundenkarten wie PAYBACK: “[…] die Daten der Kunden werden verkauft. Doch die Gefahr ist den Menschen nicht bewusst.”

Sorge bereite ihm ebenfalls der sorglose Umgang von Kindern und Jugendlichen mit ihren Daten. “Die wissen nicht, was sie anrichten, und das Internet vergisst nichts, deshalb muss man sie schützen.”

Die Hoffnung stirbt zuletzt

Für die Zukunft hofft er, daß sich Datenschutz zu einem Wirtschaftsfaktor entwickelt. “Sobald es sich wirtschaftlich auszahlt, dass man seinen Kunden Vertraulichkeit zusichern kann, ist der Datenschutz auf dem besten Weg, auch in den privaten Bereich Einzug zu halten.”

Hilfreiche Datenschutz-Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Datenpanne bei Neckermann: 1,2 Millionen Gewinnspielteilnehmer betroffen

von Sascha Kuhrau
3. Juni 2011
2 Kommentare

1,2 Millionen Datensätze gehackt

Laut eigener Pressemitteilung vom 31.05.2011 wurde die neckermann.de GmbH Opfer eines Hackerangriffs. Am 26.05.2011 nahmen Hacker Zugriff auf die IT-Systeme und entwendeten die Daten von 1,2 Millionen Gewinnspielteilnehmern. Adress- und Zahlungsdaten gingen keine verloren. Betroffen sind laut Neckermann lediglich Vorname, Name und Email-Adressen — vorwiegend aus Deutschland. Attackiert wurde ein Nebensystem, nicht der eigentliche Online-Shop.

Der Nebeneingang

Glück im Unglück. Schnell ist der Zugriff über Nebensysteme auch auf relevante Hauptsysteme möglich, sofern in den Sicherungsmechanismen überhaupt unterschieden wird.

Krisenmanagement

Neckermann hat nach Bekanntwerden Anzeige gegen Unbekannt erstattet und die Systemsicherheit wieder hergestellt. Die betroffenen Teilnehmer seien über den Angriff informiert und es stünde nun eine kostenfreie Hotline unter 0800 / 664 69 87 für Rückfragen zur Verfügung.

Obwohl nach eigener und externer Einschätzung keine meldepflichtige Datenpanne vorliege, habe man dennoch die Landesdatenschutzbehörde über den Vorfall informiert.

Im Gegensatz zu anderen Pannenkandidaten der jüngsten Zeit — wie z.B. Sony — hat hier ein Unternehmen gemerkt, daß Offenheit in Verbindung mit einem funktionsfähigen Krisenmanagement die bessere Verfahrensweise darstellen. Daumen hoch, trotz Panne.

Der Trugschluss — Unsere Systeme sind sicher

Die aktuellen Vorfälle zeigen klar auf: das Risiko steigt immens durch immer höheren Einsatz von IT-Systemen und deren weltweite Vernetzung Opfer eines Angriffs zu werden. Wer sich in Sicherheit wiegt, ist auf dem Holzweg. Hinter jedem IT-System stehen Menschen — in der Administration und in der Programmierung -, und Menschen machen Fehler.

Abhilfe

Vorbeugen ist besser als hinterher die Scherben einer Datenpanne zusammenzukehren. Nicht jedes Unternehmen hat eine Marktposition, um die Negativpresse samt Imageschaden einer Datenpanne zu überstehen. Konsequente Ausgestaltung der IT-Systeme nach den IT-Grundschutzkatalogen des BSI und ein aktives Datenschutzmanagement in Zusammenarbeit mit dem Datenschutzbeauftragten können Pannen nicht verhindern, aber die Wahrscheinlichkeit deutlich reduzieren.

Sie haben keinen Datenschutzbeauftragten? Dann wird es vielleicht höchste Zeit. Liegt eine gesetzliche Bestellpflicht vor, setzen Sie Ihr Unternehmen auch ganz ohne Datenpanne schon einem Bußgeldrisiko aus. Sprechen Sie mich an.

Lesenswerter Beitrag zum Thema auf datenschutzbeauftragter-info.de

Gefällt mir nicht — Datenpanne bei Facebook

von Sascha Kuhrau
11. Mai 2011

Haben Sie Ihren Facebook-Account ausreichend geschützt? Sind Ihre Privatsphären-Einstellungen entsprechend angepasst, damit Ihre Daten und Informationen nicht in alle Welt hinaus posaunt werden? Ja? Trotzdem Pech gehabt! Wie heise.de in seinem Ticker heute vermeldet, gab es über lange Zeit ein Datenleck bei Facebook.

Durch einen Fehler in der Facebook-API und die Übergabe eines Zugriff-Tokens an Apps von Drittanbietern konnte es geschehen. Zugriff auf Ihr Konto durch den App-Anbieter ohne Ihr Wissen. Der Sicherheitsspezialist Symantec geht zur Zeit davon aus, daß der Fehler von den meisten App-Anbietern und Werbepartnern nicht bemerkt wurde. Es sei jedoch nicht möglich abzuschätzen, wieviel dieser Tokens seit dem Start der Facebook-Applikationen in 2007 in falsche Hände geraten sind. Über 100.000 Applikationen hätten durch den Fehler Zugriff auf die Tokens der Facebook-Nutzer gehabt.

Facebook hat das Problem mittlerweile behoben und die App-Anbieter informiert. Symantec rät besorgten Nutzern, ihr Passwort zu ändern. Damit würde das bisherigen Token seine Gültigkeit verlieren.

Wo ist der “Gefällt mir nicht” / “Dislike”-Button?

Zur Meldung von heise security

Behörde zu leichtsinnig — Datenklau in Landratsamt Bad Hersfeld

von Sascha Kuhrau
31. März 2011

Guckst Du …

Da staunten die Mitarbeiter des Bad Hersfelder Landratamts nicht schlecht, als sie am 01.02.2011 zur Arbeit erschienen. Kein Internet, keine Emails, kein Drucken. Die Bildschirme der Kfz-Zulassungsstelle blieben schwarz, die Geldautomaten der Sozialkasse out of order.

Der Fehler steckt im Detail …

Wobei besagtes Detail sich dann doch als etwas größer herausstellte — es fehlten 10 der 20 Server im Rechnerraum. Einbruch, jedoch wurden keine weiteren Vermögenswerte vermisst. Das serverseitige Alarmsystem war wenig durchdacht. Es löste lediglich Email-Alarm im internen Netz aus. Da nachts jedoch kein Mitarbeiter vor dem Bildschirm weilt, lief der Alarm ins Leere. Die Diebe schulterten also gleich Server samt Alarmsystem und zogen ungestört von dannen.

Wir haben es ja schon immer gewußt …

Peinlich: die ermittelnde Kriminalpolizei wusste um die ungenügenden Sicherheitsmaßnahmen und hat die Behörde in der Vergangenheit mehrmals auf das Risiko hingewiesen. Was ist passiert? Nichts. Nach wie vor bestand die Sicherung des Serverraums aus Holztüren mit einfachen Schlössern.

Ja aber …

Was ging neben der Hardware verloren? Ein Querschnitt an Daten, die in einem Landratsamt anfallen. Die Behörde versuchte zu beschwichtigen, die personenbezogenen Daten und Vorgänge auf den Servern seien alle verschlüsselt.

Aussitzen …

Wie sicher die Schlüssel waren, welche Daten nun genau verloren gingen und welcher finanzielle Schaden durch den Einbruch dem Steuerzahler entstanden sei, wollte die ct in einem Interview erfahren. Die Behörde verweigerte die Auskunft.

Und nun …

Bleibt nur die Empfehlung, besonders an die Verantwortlichen des Bad Hersfelder Landratamts, aber auch an jeden für die IT-Sicherheit Verantwortlichen in Unternehmen sich aktiv mit dem sog. BSI Grundschutz-Katalog auseinanderzusetzen. Dieser hält zahlreiche Prüf- und Schutzmaßnahmen zur Abwehr solcher Vorfälle parat.

BSI IT Grundschutz Katalog
ct Artikel “Amtlicher Leichtsinn”

Briten vergaßen 17000 USB Sticks in der Reinigung

von Sascha Kuhrau
3. März 2011

Sie baden gerade Ihren USB-Stick darin

Laut einem Online-Bericht der österreichen Zeitung “Krone” wurden 2010 in Großbritannien über 17.000 USB-Sticks in Kleidung vergessen, die zur Reinigung in die Wäscherei gegeben wurde. Diese Zahl holte eine Umfrage des Datenschutz-Unternehmens Credant Technologies aus der Wäschetrommel. Laut Credant sind das viermal so viel wie in 2009 — britischer Reinlichkeitswahn?

Ab 1000 Umdrehungen geht es rund

Unter Datenschutzgesichtspunkten sind die Sticks im Zweifel nach Wasch- und Schleudergang datenschutzgerecht entsorgt. Dies ist so jedoch nicht im Sinne des Erfinders — nicht der Waschmaschine, sondern des Datenschutzes.

Für datenschutzgerechte Entsorgung ist für gewöhnlich die IT-Abteilung eines Unternehmens zuständig, nicht die Wäscherei um die Ecke. Der Fachbereich verfügt über das Know-How und die notwendigen Tools, um Datenträger fachgerecht zu löschen oder endgültig zu entsorgen.

Ohne Weichspüler und Knitterschutz

Nicht auszudenken, wenn die Sticks statt in der Trommel in kriminelle Hände geraten wären oder im Verkauf bei Ebay: Verlust von Firmen-Internas, Kalkulationen oder vielleicht sogar personenbezogener Daten. Letzteres ist nach § 42a BDSG kein Kavaliersdelikt und hat in Deutschland unangenehme Folgen für das betroffene Unternehmen, zu dem der Mitarbeiter gehört -> Bußgeldkatalog.

Nicht nur sauber, sondern rein

Für den sicheren Umgang mit USB-Sticks und anderen externen Speichermedien sorgen regelmäßige Schulungen und Informationen durch Ihren Datenschutzbeauftragten, der zuvor die Konzeption entsprechender Richtlinien aktiv mitgestaltet hat (Verschlüsselung, Nutzung, Entsorgung etc.). Sie haben noch keinen? Dann sprechen Sie mich an.

Vorsicht Falle: Email-Marketing / Newsletter sicher umsetzen

von Sascha Kuhrau
21. Februar 2011

Newsletter und Email-Werbung bieten zahlreiche Fallstricke, um gegen geltende gesetzliche Regelungen zu verstoßen und sich im Zweifel Abmahnungen und Bußgelder einzufangen. Die Gründe hierfür können vielfältig sein: Unwissenheit, Unbedarftheit oder fehlerhafte technische Umsetzung beim Opt-In uvm.

Bedauerlicherweise schützen diese nicht vor den Rechtsfolgen.

Jan-Phillip Ziebold hat in seinem Direktmarketing Blog einen kurzen Beitrag veröffentlicht in Verbindung mit einem sehr hilfreichen Schaubild zum Thema “Opt-In im Email-Marketing, so geht’s richtig!”

Reinschauen lohnt, versprochen!

Ihr Datenschutzbeauftragter sollte sich mit diesem Thema übrigens ebenfalls auskennen. Sie haben gar keinen Datenschutzbeauftragten? Dann sprechen Sie mich an.

Wieso die Schweigepflicht nicht den Datenschutz ersetzt …

von Sascha Kuhrau
25. Januar 2011

Bereits in einem Blogbeitrag vom 12.11.2010 habe ich auf den Umstand hingewiesen, daß Standesregelungen oder Gesetze das Bundesdatenschutzgesetz nicht zwingend ersetzen. Hintergrund war und ist die regelmäßig wiederkehrende Fehleinschätzung seitens Anwälten, Ärzten und Steuerberatern, daß ihr “Standesrecht” die vorgeschriebenen Regelungen des Bundesdatenschutzgesetz (BDSG) obsolet machen würde.

Diese Problematik hat nun ebenfalls der Betreiber von www.datenschutzbeauftragter-info.de in einem aktuellen, lesenswerten Beitrag aufgenommen: Wenn der Datenschutz Ärzte und Rechtsanwälte zum Schweigen bringt. Anschaulich wird hier nochmals die Rechtslage nachvollziehbar dargestellt: Schweigepflicht ergänzt Datenschutz, ersetzt diesen jedoch nicht. Die Folgen — abgesehen vom Imageverlust und drohenden Mandanten-/Patientenschwund — sind empfindliche Bußgelder in der Kategorie bis 300.000 EUR. Gerne wird bei der ganzen Diskussion dann die möglicherweise vorliegende Bestellpflicht eines Datenschutzbeauftragten übersehen. Ein zusätzlicher Verstoß aus der Kategorie bis 50.000 EUR.

Welche Maßnahmen aus dem BDSG bis hin zur Bestellung eines Datenschutzbeauftragten für Ihre Kanzlei, Ihre Praxis oder Ihr Büro notwendig sind, kann der a.s.k. Datenschutz Quick-Check beantworten. Eine überschaubare Investition, die Ihnen, Ihren Kunden und deren meist sensiblen Daten zu Gute kommt.

Sprechen Sie mich an!

Hamburger Datenschutzbeauftragter sagt Nein zu Google Analytics

von Sascha Kuhrau
14. Januar 2011

Trotz einiger Nachbesserungen und Versuche seitens Google mit dem Webtracking-Tool Analytics den deutschen Datenschutzanforderungen gerecht zu werden (siehe auch den Beitrag “Google Analytics: Datenschutzprobleme gelöst?”), hat jetzt erneut der Hamburger Datenschutzbeauftragte Johannes Casper die rote Karte gezückt. Wie internet world heute online berichtet, hat Casper die Verhandlungen mit Google über eine datenschutzgerechte Ausgestaltung von Analytics abgebrochen. Auf der Webseite von Casper ist diesbezüglich noch keine Verlautbarung zu finden (Stand 12.01.2011).

Nach wie vor kritisiert er die Erfassung und Übertragung der Besucher-IP sowie deren Weiterleitung auf Google Server in den USA verbunden mit der dortigen Auswertungsmöglichkeit in Form von Bewegungsprofilen. Weiterhin werden zahlreiche Besucher von Webseiten, die Google Analytics einsetzen, von der Widerspruchsmöglichkeit gegen die Erfassung ausgeschlossen, weil für deren Internet Browser keine Plug-Ins zur Unterbindung der Erfassung durch Analytics verfügbar sind.

Webseitenbetreiber, die nach wie vor auf Google Analytics setzen, sind nun erneut von Bußgeldern bedroht. Casper erwägt Musterprozesse gegen ausgewählte Webseitenbetreiber.

Datenschutzgerechte Alternativen zu Google Analytics gibt es, fragen Sie Ihren Datenschutzbeauftragten. Sie haben noch keinen Datenschutzbeauftragten? Dann sprechen Sie mich an!

Update 14.01.2011:

Der Webauftritt des Hamburger Datenschutzbeauftragten läuft innerhalb des Gesamtauftritts von hamburg.de. Da dieser nach wie vor Google Analytics zum Webtracking einsetzt, hat Casper den Part seiner Datenschutzbehörde vom Netz genommen. Zur Zeit ist eine Umleitung auf datenschutz.de aktiv. Konsequent und ein Zeichen mehr dafür, seine Ankündigungen ernst zu nehmen.

Zum Beitrag der Hannoverschen Allgemeinen
Zum Beitrag der Stuttgarter Nachrichten

« Zurück
1
…
3
4
5
6
7
8
Weiter »