Letzte Änderung: 12.09.2019

Unsere Datenschutznachrichten aus August 2019


« zurück zum Archiv


Datenschutz - Nachrichten 34. Kalenderwoche 2019

 

Sicherheitslücken durch alte Systeme und überholte Technologie
Auf der Black Hat Security Konferenz sowie die BSides und der Def Con 2019, die größten und interessantesten Hackermessen der Welt, zeigten Hacker, Regierungsbeamte und IT- Experten wie leicht sich Hardware und Webseiten manipulieren lassen. Jedes Jahr werden auf den in Las Vegas stattfindenden Konferenzen, Sicherheitslücken öffentlich gemacht. Namhafte Unternehmen wie auch Start-ups stellen ihre Lösungen im IT-Sicherheitsbereich vor.
-ck-

Digitale Sicherheitslücken und Hacking-Techniken
Süddeutsche online - "IT-Sicherheit: Vier spektakuläre Tricks aus dem Sommercamp der Hacker"
https://www.sueddeutsche.de/digital/defcon-black-hat-bsides-hacker-hacking-google-apple-1.4562051

Gravierende Sicherheitslücken in VoIP-Telefonen ermöglichen unbefugten Zugriff auf das Firmennetzwerk
Open PR online - "VoIP-Sicherheitslücken in Büro-Telefonen? So erhöht man die Sicherheit gegen Spionage oder Hacker-Angriffe"
https://www.openpr.de/news/1058326/VoIP-Sicherheitsluecken-in-Buero-Telefonen-So-erhoeht-man-die-Sicherheit-gegen-Spionage-oder-Hacker-Angriffe.html

Sicherheitsexperten zeigten drei Schwachstellen in der WhatsApp-Verschlüsselung auf
Digital Business Cloud online - "WhatsApp-Sicherheitslücken! Drei Schwachstellen bei Verschlüsselung entdeckt"
https://www.digitalbusiness-cloud.de/whatsapp-sicherheitsluecken-drei-schwachstellen-bei-verschluesselung-entdeckt/

Gefahren eines Cyber-Angriffs
Datensicherheit online - "Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen"
https://www.datensicherheit.de/aktuelles/hintertueren-venafi-warnt-vor-gefahr-fuer-unabhaengige-wahlen-34314

Spezialist für IT-Sicherheit testet Geräte und fahndet nach Daten
Spiegel online - Internet der Dinge Das verrät Ihr kaputter Staubsauger noch alles über Sie
https://www.spiegel.de/netzwelt/games/smart-home-diese-datenspuren-finden-hacker-in-second-hand-geraeten-a-1283081.html



Phishing - Welle: Daten- und Identitätsdiebstahl
Die Netzkriminalität nimmt zu und es entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen, sowie für Privatnutzer. Zu einem der größten Einfallstore für Schädlinge gehören immer noch die E-Mails. Per Phishing - Mails versuchen Online-Kriminelle unerfahrenen Usern einen Trojaner unterzujubeln. Momentan berichten die Medien berichten über angebliche GMX – Kontoschließung, oder ein angeblicher Fremdzugriff bei Amazon, Kontozugriff bei PayPal, Formulare für Steuerrückerstattung oder angebliche Rechnung des Rabatt-Dienstes Groupon - die Absicht ist immer die Gleiche: Diese Absender solcher fingierten Spam-Mails haben es immer auf die hochsensiblen Kontodaten wie Kreditkartennummer und dem dazugehörigen Sicherheitscode des Users abgesehen. Um glaubhaft zu wirken, sind der Betreff und Text der Nachricht mit der Adresse des Empfängers versehen. Solche Nachrichten wirken auf den ersten Blick absolut authentisch und versetzen verständlicherweise so manchen Nutzer in Angst und Schrecken, damit diese leichtfertigen Formulare ausfüllt oder den Anhang öffnet. Doch im Anhang befindet sich meist eine virenverseuchte Datei und diese ist brandgefährlich. Die darin verborgenen Computer-Schädlinge sind so genannte Downloader. Schadsoftware, die es den Computerkriminellen erleichtert den PC nach sensiblen Daten wie zum Beispiel PINs und TANs zu durchsuchen.
Die Gefahren von klassischen Daten - Diebstahl über Phishing-Seiten und die Möglichkeit den Rechner mit Viren, Trojanern und weiteren Computer-Schädlingen zu infizieren ist groß. Solche E-Mails sollten sofort ungelesen gelöscht und auf keinen Fall darf der Dateianhang geöffnet oder leichtfertig ein Formular mit Zugangsdaten wie Passwörtern oder TAN -Nummern ausgefüllt werden. Mitarbeiter sollten im Rahmen eines Security-Awareness-Trainings rund um die Computersicherheit im Unternehmen geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden.
-ck-

Neue Angriffsmethode führen zu immer größeren Reputationsschaden
Digital Business cloud online - "Laterales Phishing: Drei Maßnahmen zum Schutz vor Angriffen"
https://www.digitalbusiness-cloud.de/laterales-phishing-drei-massnahmen-zum-schutz-vor-angriffen/

Angebliche Kontoschließung ist Spam - Mail
Onlinewarnungen online - "GMX Phishing: E-Mail "Konto gesperrt …" ist Betrug (Update)"
https://www.onlinewarnungen.de/warnungsticker/gmx-phishing-e-mail-verdaechtige-aktivitaeten-ist-betrug/

Gefährliche Lücke in künstlicher Intelligenz
Computerbild online - Smarte Lautsprecher gar nicht smart: Alexa, Siri & Co.: Sprachassistenten fallen auf Betrüger rein
https://www.computerbild.de/artikel/cb-News-Vernetztes-Wohnen-Alexa-Siri-Google-Betrug-Unternehmen-Telefonnummer-23990915.html

Sicherheit im Netz
Landeskriminalamt Rheinland-Pfalz online - "Genug Betrug: Sicher unterwegs im Internet"
https://www.presseportal.de/blaulicht/pm/29763/4083788

Zunehmend mehr Cyberkriminalität
Security Insider online - "Wipro State of Cybersecurity Report 2019: Unternehmen brauchen bessere Security-Strategie"
https://www.security-insider.de/unternehmen-brauchen-bessere-security-strategie-a-854614/

Ransomware feiert großes Comeback
It-Daily net – "Malwarebytes-Bericht: Ransomware ist zurück - Angriffe steigen um 365 Prozent"
https://www.it-daily.net/analysen/22047-ransomware-angriffe-auf-unternehmen-steigen-um-365-prozent



Fehlender Datenschutz im Unternehmen
Vertrauliche Informationen werden anhand Passwörter und Verschlüsselungstechnik auf dem Firmenserver geschützt, doch sensible Papierdokumente liegen in manchen Unternehmen ungeschützt rum oder landen in den Papierkorb.
Laut Medienberichten wurden in dieser Woche personenbezogene Bewerbungsunterlagen für ein Handwerksunternehmen in öffentlich zugänglichen Mülltonnen gefunden. Bewerbungsdaten wie Name, Adressen, Zeugnisse, Lebenslauf einschließlich Bildmaterial der Bewerber waren so frei zugänglich. Diese massive Datenpanne zeigt, wie Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente nicht an die Öffentlichkeit gelangen. Abhilfe schafft eine Sensibilisierung des Personals und sorgt für den Schutz personenbezogener und unternehmenssensibler Daten.
Auch sind die Gefahren durch einen IT-Fehler oder technischer Panne im Unternehmen nicht zu unterschätzen. Laut Medienberichten sind Datensätze von fast 90.000 Kunden des Mastercards Bonusprogramms Priceless Specials im Internet aufgetaucht. Persönliche Daten wie zum Beispiel: Vor- und Zunamen, Geburtsdatum, E-Mail-Adressen, Postanschriften, Handynummern der Mastercard-Kunden soll eine frei zugängliche Datei enthalten. Eine zweite Datei mit rund 84.000 Kreditkarten-Nummern wurde mittlerweile auch im Internet entdeckt.
Die Medien berichteten auch über 2 Beamte der Thüringer Polizei, welche die personenbezogenen Daten ihrer 134 Kollegen an ihre privaten Mailadressen weitergeleitet haben.
Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung sowie bei Datendiebstahl kann nach der aktuellen EU-Datenschutzverordnung hohe Strafzahlungen nach sich ziehen. Um jegliche Art von Datenschutzvorfällen vorzubeugen erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen, welche nicht nur die sensiblen Unternehmensdaten schützen - sondern auch die ihnen anvertrauten sensiblen Kundendaten.
-ck-

Unternehmen entsorgte sensible Daten im Recyclingmüll
RP online - "Datenschutz in Neukirchen-Vluyn: Bewerbungsmappen in der Gelben Tonne"
https://rp-online.de/nrw/staedte/neukirchen-vluyn/datenschutz-in-neukirchen-vluyn-bewerbungsmappen-in-der-gelben-tonne_aid-45038185

Kundendaten samt vollständige Kreditkarten-Informationen im Internet aufgetaucht
Frankfurter Allgemeine online - "Datenleck bei Mastercard: Sogar komplette Kartennummern landen im Internet"
https://www.faz.net/aktuell/finanzen/mastercard-auch-komplette-nummern-landen-im-internet-16345922.html

Beamte senden Datei an ihre private Mailadresse
MDR online - "Thüringen Datenpanne bei Thüringer Polizei"
https://www.mdr.de/thueringen/datenpanne-thueringer-polizei-100.html

Phishing ermöglicht fremden Cloud-Zugriff
Frankfurter Allgemeine online - "Zugriff auf sensible Daten: Lehrer-Passwörter an Gymnasium gestohlen"
https://www.faz.net/aktuell/rhein-main/darmstadt-diebstahl-von-sensiblen-daten-an-einem-gymnasium-16332070.html

System speichert Zugangsdaten unverschlüsselt
Bitcoin Kurier online – "Coinbase gesteht Datenpanne ein"
https://www.bitcoin-kurier.de/coinbase-gesteht-datenpanne-ein/



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "XML-Sicherheit, Teil 6 : XPath Injection"
https://www.ceilers-news.de/serendipity/1074-XML-Sicherheit,-Teil-6-XPath-Injection.html

2. Gefährliche Adware: Über acht Millionen Smartphones betroffen
Focus online - "Neue Adware-Welle: Millionen Nutzer betroffen: Diese bösartigen Apps sollten Sie sofort löschen"
https://www.focus.de/digital/internet/schon-millionen-nutzer-betroffen-diese-boesartigen-android-apps-sollten-sie-schnell-von-ihrem-smartphone-loeschen_id_11049705.html

3. Gratis-Erweiterung für Chrome
Chip online – "Über 300.000 Passwörter sind unsicher: Kleines Google-Tool zeigt, ob Sie gehackt wurden"
https://www.chip.de/news/Ist-mein-Passwort-unsicher-Google-Passwortcheck_161423499.html

 


Datenschutz - Nachrichten 33. Kalenderwoche 2019

− − − − − −

Liebe Leser unserer Datenschutznachrichten

Unser Redaktionsteam nimmt eine kurze Auszeit.

In der 34. Kalenderwoche gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.

Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie wieder bei uns begrüßen zu dürfen.

-ck-

− − − − − −


Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "XML-Sicherheit, Teil 5: XSL Injection, zum zweiten"
https://www.ceilers-news.de/serendipity/1073-XML-Sicherheit,-Teil-5-XSL-Injection,-zum-zweiten.html

2. Warnungen vor Phishing-Angriffen, Viren, Kettenbriefen und sonstigen Betrügereien
Onlinewarnungen online - "Warnungsticker"
https://www.onlinewarnungen.de/warnungsticker/

3. Nutzung der Tools in einzelnen Ländern nicht legal
Heise online - "Soziale Netzwerke: Zweifelhafte Phishing-Tests mit Mitarbeitern"
https://www.heise.de/security/meldung/Soziale-Netzwerke-Zweifelhafte-Phishing-Tests-mit-Mitarbeitern-4492885.html

4. Unterschätzte IoT-Gefahr: Nicht genügend aktuelle Sicherheitsupdates vorhanden
Heise Security online - "Büro-Drucker mit löcheriger Firmware – Sicherheitsniveau wie vor Jahrzehnten"
https://www.heise.de/security/meldung/Buero-Drucker-mit-loecheriger-Firmware-Sicherheitsniveau-wie-vor-Jahrzehnten-4490944.html

 


Datenschutz - Nachrichten 32. Kalenderwoche 2019

Unberechtigte Videoüberwachung
Videoüberwachungen nehmen immer mehr zu. Sind Einsatzbereiche wie Restaurants, Wohnanlagen, Supermärkte oder im Auto per Dashcam wirklich sinnvoll? Wo bleibt die Privatsphäre?
Mittlerweile fühlen sich immer mehr Bürger beobachtet und beschweren sich über diese Überall-Aufnahmen. Auch Datenschutzbeauftragte kritisieren den zunehmenden Einsatz von Überwachungskameras durch Unternehmen und Privatpersonen. Das Unabhängige Landeszentrum für Datenschutz (ULD) in Kiel hat schon über 100 Beschwerden von Bürgern wegen Videoüberwachung entgegengenommen.
In dieser Woche berichteten die Medien, dass ein aufmerksamer Feriengast beim Benutzen einer Toilette auf einem Campingplatz Dome-Kameras an der Decke entdeckte, die bis in die Toilettenkabinen hinein filmten. Dieses meldete er der Polizei und stellte Strafanzeige. Das Unabhängige Landeszentrum für Datenschutz (ULD) wurde eingeschaltet. Die Behörde ordnete die Entfernung der Kameras sowie sofortige Löschung der Videoaufnahmen an. Zudem wurde die Staatsanwaltschaft Lübeck durch das ULD eingeschaltet.
Bei der Anbringung ihrer Videoüberwachungsanlagen vergessen viele Unternehmen und Privatpersonen die deutsche Rechtslage des allgemeinen Persönlichkeitsrechts. Dort wo nicht deutlich auf Videoüberwachung hingewiesen wird, unzulässige Videoüberwachungsanlagen Verwendung finden und Videoaufnahmen mit personenbezogenen Daten - Gesichter von Personen zu sehen sind - und der Videoüberwachung keine schlüssigen Konzepte zugrunde liegen, muss mit einem entsprechend hohen Bußgeld gerechnet werden.
-ck-

Illegale Überwachung in den WC-Anlagen
LN Online - "Illegale Überwachung Campingplatz-Betreiber filmte in Neustadt Urlauber auf der Toilette"
https://www.ln-online.de/Nachrichten/Norddeutschland/Campingplatz-Betreiber-in-Neustadt-Rettin-filmte-Urlauber-auf-der-Toilette

Meldungen von Videoaufzeichnungen in hochsensiblen Bereichen
Kieler Nachrichten online - "Illegale Videoüberwachung Schon über 100 Beschwerden in Schleswig-Holstein"
https://www.kn-online.de/Nachrichten/Schleswig-Holstein/Illegale-Videoueberwachung-Schon-ueber-100-Beschwerden-in-Schleswig-Holstein

Broschüren zu Videoüberwachung und Webcams
ULD online – "PRESSEMITTEILUNGEN: Sommer, Sonne, Strand und Meer – Achtung: Videoüberwachung!"
https://www.datenschutzzentrum.de/artikel/1294-Sommer,-Sonne,-Strand-und-Meer-Achtung-Videoueberwachung!.html



Datenschutz im Unternehmen - ein Qualitätsmerkmal
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
-ck-

Akten mit sensiblen persönlichen Daten ungeschreddert in Papiertonne entsorgt
Die Glocke online - "Jobcenter räumt Datenschutzpanne ein"
https://www.die-glocke.de/lokalnachrichten/kreisguetersloh/guetersloh/Jobcenter-raeumt-Datenschutzpanne-ein-ee4cffde-8aaa-4860-989c-6cdff88fbef3-ds

Trotz Fehlerbehebung sind die personenbezogenen Daten immer noch im Internet auffindbar
Heise Security online - "Persönliche Daten von mehr als 2000 Journalisten und Bloggern der E3 online"
https://www.heise.de/newsticker/meldung/Persoenliche-Daten-von-mehr-als-2000-Journalisten-und-Bloggern-der-E3-online-4488246.html

Datenleck im thailändischen Gesundheitsministerium
Tagesschau online - "Bericht über Datenleck Private Daten von Urlaubern im Netz"
https://www.tagesschau.de/inland/urlauber-thailand-datenleck-101.html



Regelmäßige Datenschutz-Schulungen sensibilisiert Personal und Geschäftsleitung
Der Mensch im Unternehmen stellt mit der größten Schwachstelle dar. Gefahren drohen ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen zu schnell und unüberlegt freigeben, noch schnell einen Empfänger in eine E-Mail hinzufügen oder ohne Prüfung einen E-Mail-Anhang öffnen. Ein Klick und schon ist die Datenpanne passiert, oder noch schlimmer, das Computersystem des gesamten Unternehmens mit Schadsoftware verseucht. Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter und die Geschäftsleitung über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Achtung: Vermeintliches Bewerbungsschreiben enthält gefährlichen Trojaner der sämtliche Daten löscht
Heise Security online - "Erpressungstrojaner GermanWiper löscht Daten"
https://www.heise.de/security/meldung/Erpressungstrojaner-GermanWiper-loescht-Daten-4487825.html

Trojaner breitet sich rasant aus: Angreifer haben es auf deutschsprachigen Raum abgesehen
Die Presse com - ""German Wiper": Ransomware löscht Daten statt zu verschlüsseln"
https://diepresse.com/home/techscience/5669683/German-Wiper_Ransomware-loescht-Daten-statt-zu-verschluesseln



Schwachstellen im Unternehmen
Cyberkriminelle starten Massenangriffe auf Router, welche Schwachstellen enthalten oder nicht hinreichend abgesichert wurden. Anhand Sicherheitslücken können sich Kriminelle in die Router einklicken und zum Beispiel auf Kosten der Besitzer teure Telefondienste anrufen oder die auf dem Gerät gespeicherten Konfigurationsdaten einsehen und manipulieren. Meist sind in den Routern Zugangsdaten zum Beispiel von Mail-Konten oder andere Internet-Diensten gespeichert. Sollten Hacker sich Zugang über ein WLAN – Netz verschafft haben, können sie den gesamten Internetverkehr des gekaperten Routers heimlich überwachen – ein Desaster für jedes Unternehmen. Solche Schwachstellen wären wohl schneller zu schließen, wenn Router-Hersteller die Sicherheitsupdates direkt an die jeweiligen Router senden könnten. Denn in den meisten Unternehmen wird der genutzte Router nicht angerührt, solange er funktioniert, die Internetverbindung reibungslos läuft – eine trügerische Sicherheit. Denn Router mit veralteter Software oder mit noch vorhandener Werkseinstellung - Beispielsweise voreingestelltes Passwort - stellen eine Sicherheitslücke dar.
-ck-

Microsoft empfiehlt Unternehmen: Routinekonfigurations-/Patch-Audits für eingesetzte IoT-Geräte
ZDNet online - "Microsoft registriert Angriffe auf Firmen über IoT-Devices"
https://www.zdnet.de/88366075/microsoft-registriert-angriffe-auf-firmen-ueber-iot-devices/

Sicherheitslücken im Router testen
Heise Security online – "Netzwerkcheck: In Zusammenarbeit mit dem LfD Niedersachsen"
https://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Unternehmen: Daten und Netzwerke vor schadhaften Zugriffen absichern
IT Sec City online - "Mobile Sicherheit im Unternehmen"
http://www.itseccity.de/markt/tipps--hinweise/sophos120919.html

Hacker der Steuerbehörde NAP drohen hochsensible Daten von fünf Millionen Menschen zu veröffentlichen
e Recht 24 online - "Datenhack: Millionen Daten von bulgarischer Finanzbehörde kopiert"
https://www.e-recht24.de/news/datenschutz/11471-datenhack-millionen-daten-von-bulgarischer-finanzbehoerde-kopiert.html

Online – Raubzüge und aufwendige Internet-Angriffe
N-TV online - "Raubzüge im Internet: Nordkoreanische Hacker erbeuten Milliarden"
https://www.n-tv.de/politik/Nordkoreanische-Hacker-erbeuten-Milliarden-article21191227.html



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "XML-Sicherheit, Teil 4: XSL Injection, zum ersten"
https://www.ceilers-news.de/serendipity/1072-XML-Sicherheit,-Teil-4-XSL-Injection,-zum-ersten.html

2. Gravierende Sicherheitslücke in Intel-CPUs bedroht Windows- Rechner
Heise online - "SWAPGS: Details und Updates zur neuen Spectre-Lücke in Intel-Prozessoren"
https://www.heise.de/security/meldung/SWAPGS-Details-und-Updates-zur-neuen-Spectre-Luecke-in-Intel-Prozessoren-4489897.html

3. Sicherheitsprobleme in einigen Standardkonfigurationen unbedingt beheben
Security Insider online - "Security-Anbieter F-Secure warnt: Sicherheitslücke in Big-IP-Produkten von F5 Networks"
https://www.security-insider.de/sicherheitsluecke-in-big-ip-produkten-von-f5-networks-a-853560/