Letzte Änderung: 19.07.2021

Datenschutz - Nachrichten 31. Kalenderwoche 2020

.

Aufsichtsbehörden verhängen Sanktionen: Telemarketing nicht datenschutzkonform durchgeführt
In der vergangenen Woche berichteten wir, dass die Bundesnetzagentur gegenüber einem Provider Geldbuße wegen unerlaubter Werbeanrufe in Höhe von 145.000 Euro verhängte. Grund der Sanktion: Von den Betroffenen lag keine wirksame Werbeeinwilligung vor, zusätzlich wurden den Verbrauchern ein Abo – Vertragsabschluss unterstellt.
Dass die Sanktionen noch höher ausfallen können, zeigte ein Medienbericht in dieser Woche über nicht datenschutzkonformes Telemarketing eines italienischen Telefonkonzern. Hier verhängte die italienische Aufsichtsbehörde in Rom ein Bußgeld von 17,8 Mio. Euro. Ohne eine wirksame Einwilligung und trotz Widerruf der Betroffenen, hatte der Konzern unerlaubte Werbeanrufe getätigt, sowie SMS, E-Mails und Fax an die Betroffenen versendet.
-ck-

Regeln für die Verwendung von personenbezogenen Daten verletzt – Italienische Aufsichtsbehörde verhängt 17,8 Mio. Euro Bußgeld
Datenschutz – Notizen online - "Unerwünschte Anrufe Episode III – italienischer Telefonkonzern WIND Tre muss 17,8 Mio. Euro Bußgeld bezahlen: Das Imperium schlägt (schon wieder) zurück"
https://www.datenschutz-notizen.de/unerwuenschte-anrufe-episode-iii-italienischer-telefonkonzern-wind-tre-muss-178-mio-euro-bussgeld-bezahlen-0526551


Cyberkriminalität: EU beschließt Sanktionen
Laut Medienberichten hat die Europäische Union erstmals Sanktionen gegen mehrere Hacker aus Russland und China verhängt. Es ist das erste Mal, dass das im Jahr 2019 beschlossenes EU-Cybersanktionsregime angewandt wurde. Die Sanktionsregelung sieht vor, dass die europäische Union nun Vermögenswerte einfrieren kann. Zudem gelten EU-Einreiseverbote für die Personen. Die Strafmaßnahmen wurden gegen sechs Einzelpersonen aus Russland und China und gegen zwei Unternehmen aus China und Nordkorea, sowie gegen ein russisches Geheimdienstzentrum erlassen. Als Grund für die Sanktionen werden von dem Rat der Mitgliedstaaten unter anderem die Angriffe mit den Schadprogrammen WannaCry und NotPetya genannt. Mit ihrer Hilfe wurden Computer verschlüsselt und Lösegelder gefordert.
Laut Medienberichten laufen noch Vorbereitungen für Sanktionen gegen einen Hacker, welcher für eine bislang größte Cyberattacke im Mai 2015 gegen den Bundestag verantwortlich gemacht wird. Computer in zahlreichen Abgeordnetenbüros waren damals mit Spionagesoftware infiziert worden, darunter auch die Rechner im Bundestagsbüro von der Bundeskanzlerin Frau Angela Merkel. Das komplette IT-System des Parlaments musste anschließend generalüberholt werden.
-ck-

Erstmals Strafe für Cyberkriminelle 
Tagesschau online – "Cyberangriffe: EU verhängt Sanktionen gegen Hacker"
https://www.tagesschau.de/ausland/eu-sanktionen-cyberangriffe-101.html

Trojaner kopiert Dateianhänge von legitimen E-Mails
Behörden Spiegel online - "Emotet missbraucht echte E-Mail-Anhänge"
https://www.behoerden-spiegel.de/2020/07/30/emotet-missbraucht-echte-e-mail-anhaenge/

Ergebnissen des Hiscox Cyber Readiness Reports 2020
Pressebox online - "Zahl des Monats: Attraktive Ziele für Hacker - jedes 3. deutsche KMU wurde Opfer eines Cyber-Angriffs"
https://www.pressebox.de/inaktiv/hiscox-europe-underwriting-limited/Zahl-des-Monats-Attraktive-Ziele-fuer-Hacker-jedes-3-deutsche-KMU-wurde-Opfer-eines-Cyber-Angriffs/boxid/1016893


Sicherheit für kritische Infrastrukturen
Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen. Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Anhand gemeinsamer Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind. Laut den IT- Lageberichten sind bisher Meldungen aus dem Sektor Informationstechnik und Telekommunikation, Energie, Wasser und aus dem Sektor Ernährung beim BSI eingegangen.
-ck-

Verwundbarkeit kritischer Infrastruktur
Heise online - "Angriffswarnung: Massive IT-Sicherheitslücken in Berliner Wasserbetrieben"
https://www.heise.de/news/Angriffswarnung-Massive-IT-Sicherheitsluecken-in-Berliner-Wasserbetrieben-4858333.html

Verpflichtung hinsichtlich des IT-Sicherheitsgesetzes
BSI Bund online - "Kritische Infrastrukturen: Was muss ich als KRITIS-Betreiber tun?"
https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/Was_tun/was_tun_node.html

Wichtige Gesetze, Dokumente und Formulare zum IT-Sicherheitsgesetz
Bundesamt für Sicherheit in der Informationstechnik online – "Kritische Infrastrukturen - Downloads"
https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/Downloads/it-sig_downloads_node.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. BSI empfiehlt zeitnahe Aktualisierung
Chip online - "BSI warnt vor Firefox & Thunderbird: Updates stopfen gleich mehrere Sicherheitslücken"
https://www.chip.de/news/BSI-warnt-vor-Firefox-und-Thunderbird-Updates-stopfen-gleich-mehrere-Sicherheitsluecken_104405834.html

2. Datendiebstahl vorbeugen
PC - Welt Sicherheit online - "Tipps und Tools gegen Notebook-Diebstahl"
https://www.pcwelt.de/ratgeber/Ratgeber-Notebook-Schutz-Tipps-und-Tools-gegen-Notebook-Diebstahl-434134.html


 


Datenschutz - Nachrichten 30. Kalenderwoche 2020

.

Bußgeld für unerlaubtes Telefonmarketing
Telefonwerbung ist gesetzlich geregelt und nur noch bei ausdrücklicher vorheriger Einwilligung durch den Verbraucher zulässig. Als zuständige Regulierungsbehörde teilte die Bundesnetzagentur schon im Jahr 2013 mit, das Unternehmen für unerlaubte Telefonwerbung höhere Bußgelder von bis zu 300.000 € zu erwarten haben und nicht mehr wie bisher 50.000 €. Die Verschärfung der Regelungen durch den Bundesrat schließt auch Werbeanrufe von Telefoncomputern und Anrufe mit unterdrückter Telefonnummer mit ein.
Anhand Meldungen über unerlaubte Werbeanrufe, konnte die Bundesnetzagentur (BNetzA) im Jahr 2017 das höchst möglichste Bußgeld wegen unerlaubter Telefonwerbung in Höhe von 300.000 Euro gegen einen Energieversorger verhängen.
Trotz gesetzlicher Regelung gegen den unlauteren Wettbewerb, gehen weiterhin bei der Bundesnetzagentur Beschwerden ein. Laut Medienberichten in dieser Woche hat die Bundesnetzagentur gegenüber einem Provider eine Geldbuße wegen unerlaubter Werbeanrufe in Höhe von 145.000 Euro verhängt. Von den Betroffenen lag keine wirksame Werbeeinwilligung vor, zusätzlich wurden den Verbrauchern ein Abo – Vertragsabschluss unterstellt.
Verbraucher die durch unerlaubte geschäftliche Werbeanrufe belästigt werden, sollen dies der Bundesnetzagentur melden (Formblatt), da diese auf genaue Informationen angewiesen ist um handeln zu können.
-ck-

Keine wirksame Werbeeinwilligung der Betroffenen erhalten
Bundesnetzagentur online - "Bußgeld gegen Mobilcom wegen unerlaubter Telefonwerbung"
https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2020/20200717_mobilcom.html?nn=265778

Verstoß gegen unerlaubte Telefonwerbung
Spiegel online - "Kunden wurden Abos untergeschoben Mobilcom soll Bußgeld wegen unerlaubter Telefonwerbung zahlen"
https://www.spiegel.de/netzwelt/web/mobilcom-debitel-soll-bussgeld-wegen-unerlaubter-telefonwerbung-zahlen-a-c3911b45-8592-47bb-8587-9ff8f16bb1f1


Datensicherheit gleich Wettbewerbsfaktor
Im Wettbewerb um Kunden ist es umso wichtiger, konsequent den Datenschutz einzuhalten und dies auch zu kommunizieren. Somit ist der Datenschutz zu einem Wettbewerbsfaktor und die Kommunikation der Datenschutzmaßnahmen zu einem Marketinginstrument geworden. Für Unternehmen heißt dieses – die gesetzlichen Vorgaben erfüllen und zusätzlich durch geschickte Vermarktung des gelebten Datenschutzes Imagegewinne und Wettbewerbsvorteile erzielen. Die unten aufgeführten Medienberichte über Datenpannen in dieser Woche zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Admin Panne: Intranet-Server mit Internet-Adressen und Zugangsdaten frei zugänglich, Videoaufnahmen öffentlich sichtbar.
Heise online - "Ungeschützte Linksammlung leakt Überwachungsaufnahmen"
https://www.heise.de/news/Ungeschuetzte-Linksammlung-leakt-Ueberwachungsaufnahmen-4842862.html

Persönliche Daten von ca. 20 Millionen Kunden ins Netz gestellt
t3n Digital Pioneers online - "Datenleck bei VPN-Anbietern: Bis zu 20 Millionen Kunden betroffen"
https://t3n.de/news/datenleck-vpn-anbietern-20-1301454/

Mehrere erfolgreiche Cyberangriffe: Benutzerrechte zurückgesetzt – Profile aller Nutzer sichtbar
Heise online - "Gendatenbank: Über eine Millionen DNA-Profile von GEDmatch enthüllt"
https://www.heise.de/news/Gendatenbank-Ueber-eine-Millionen-DNA-Profile-von-GEDmatch-enthuellt-4851323.html


Effektive Handlungsanweisungen im Falle eines IT-Notfalls
Fast täglich berichten die Medien über Cyberattacken und andere IT-Vorfälle. Ob KMU oder Konzerne, Unternehmen aller Größen sind davon betroffen. Erfolgreiche Cyber-Attacken können immense Schäden anrichten, wenn die IT stillsteht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor längerer Zeit dazu eine IT-Notfallkarte "Verhalten bei IT-Notfällen" veröffentlicht. Das Hinweisschild soll Mitarbeitern Verhaltensweisen bei IT-Notfällen, sowie eine individuelle Notfall-Rufnummer als Unterstützung und raschem Handeln aufzeigen. Diese Informationen sollten auch den Mitarbeitern, die außerhalb des Unternehmens arbeiten zu Verfügung stehen.
Angesichts der aktuellen Situation um das Corona – Virus, arbeiten viele Mitarbeiter zunehmend vom Home-Office aus und das hat auch Einfluss auf die Methoden der Cyberkriminellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Checkliste mit realisierbaren IT-Sicherheitsmaßnahmen zum Schutz von Unternehmensdaten veröffentlicht.
-ck-

Anpassung der IT-Sicherheitsmaßnahmen an gegebenen Situationen
Bundesamt für Sicherheit in der Informationstechnik online – "Checkliste zur Sicherheit im Home-Office"
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/Checkliste-Home-Office/checkhomeoffice_node.html

Wichtige Verhaltenshinweise bei IT-Notfällen
Bundesamt für Sicherheit in der Informationstechnik online – "IT-Notfallkarte „Verhalten bei IT-Notfällen"
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/IT-Notfallkarte/IT-Notfallkarte/it-notfallkarte_node.html


Unsichere Router im Unternehmen
Anhand Sicherheitslücken sind  Router immer noch ein großes Einfallstor im Unternehmen. Meist sind in den Routern Zugangsdaten zum Beispiel für Mail-Konten oder andere Internet-Dienste gespeichert. Sollten Cyberkriminelle sich Zugang über ein WLAN – Netz verschafft haben, können sie den gesamten Internetverkehr des gekaperten Routers heimlich überwachen – ein Desaster für jede IT - Security im Unternehmen. Solche Schwachstellen wären wohl schneller zu schließen, wenn Router-Hersteller die Sicherheitsupdates direkt an die jeweiligen Router senden könnten. Denn in den meisten Unternehmen wird der genutzte Router nicht angerührt, solange er funktioniert, die Internetverbindung reibungslos läuft – eine trügerische Sicherheit. Denn Router mit veralteter Software oder mit noch vorhandener Werkseinstellung - Beispielsweise voreingestelltes Passwort - stellen eine Sicherheitslücke dar.
-ck-

Cyberangriffe auf Router
Heise online - "Cybercrime: Der Kampf um die Router"
https://www.heise.de/news/Cybercrime-Der-Kampf-um-die-Router-4848764.html

Analyseergebnis: Kein einziger Router war ohne Fehler
FKIE Fraunhofer online - "Fraunhofer FKIE: Erhebliche Sicherheitsmängel bei Home Routern festgestellt"
https://www.fkie.fraunhofer.de/de/Pressemeldungen/Home-Router.html

Heimnetzwerk: Verhalten für Safe Homeoffice
Geldinstitute online - "Cyber Distancing: Sicher aus dem Heimnetzwerk arbeiten"
https://www.geldinstitute.de/it-itk/2020/cyber-distancing--sicher-aus-dem-heimnetzwerk-arbeiten.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Probleme mit der Hintergrund-Aktualisierung verhindert Datenabgleich
Focus online - "Millionen Android-Nutzer betroffen: Corona-Warn-App hat nicht gewarnt"
https://www.focus.de/digital/millionen-android-nutzer-betroffen-corona-warn-app-hat-nicht-gewarnt_id_12243054.html

2. Fake-Interface Bestätigung greift Nutzerdaten ab
Chip online - "Getarnt als Google-Update: Gefährlicher Android-Trojaner stiehlt Daten und Passwörter - so schützen Sie sich"
https://www.chip.de/news/Getarnt-als-Google-Update-Android-Trojaner-stiehlt-Daten-und-Passwoerter-so-schuetzen-Sie-sich_182856991.html

3. App mit Verschlüsselungs-Schwächen
Heise online - "Corona-Pandemie: Sicherheitslücken in südkoreanischer Quarantäne-App"
https://www.heise.de/news/Corona-Pandemie-Sicherheitsluecken-in-suedkoreanischer-Quarantaene-App-4850191.html

 


Datenschutz - Nachrichten 29. Kalenderwoche 2020

.

EuGH erklärt EU-US Datentransferabkommen "Privacy Shield" für ungültig
Der Europäische Gerichtshof (EuGH) hat das Datenschutz-Abkommen Privacy Shield zwischen der EU und den USA für ungültig erklärt. Somit dürfen personenbezogene Datenübermittlungen in die Vereinigten Staaten von Amerika sich nicht mehr auf das EU-US Datentransferabkommen Privacy Shield beziehen, denn anhand der Zugriffsmöglichkeiten durch die US-Behörden sind die Anforderungen an den Datenschutz zur Zeit nicht gewährleistet. Nach der Entscheidung des EuGHs bleiben die EU-Standardvertragsklauseln jedoch weiterhin gültig. Können Zusicherungen der Standardvertragsklauseln im Drittland nicht eingehalten werden, seien die Behörden in der Pflicht, den Datentransfer auszusetzen.
-ck-

Datenschutz-Abkommen für ungültig erklärt
Heise online - "Aus fürs Privacy Shield: Der internationale Datenverkehr kommt ins Trudeln"
https://www.heise.de/news/Aus-fuers-Privacy-Shield-Der-internationale-Datenverkehr-kommt-ins-Trudeln-4846000.html

Urteil zum EU-US Privacy Shield und den EU-Standardvertragsklauseln
Curia Europa EU online - "URTEIL DES GERICHTSHOFS (Große Kammer) 16. Juli 2020(*)"
http://curia.europa.eu/juris/document/document.jsf;jsessionid=72510EBAC1D4E0DCE5A7B90D9A673CFC?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=9712389

Entwicklungen nach Urteil zum EU-US Privacy Shield bleiben abzuwarten
EAID Berlin online - "Dejavu – EuGH verwirft EU-US Privacy Shield"
https://www.eaid-berlin.de/dejavu-eugh-verwirft-den-eu-us-privacy-shield/


Erfundenes Bundesamt
Die Bundesregierung warnt Unternehmen vor Betrügern, die sich als Vertreter eines erfundenen "Bundesamts für Krisenschutz und Wirtschaftshilfe" ausgeben. Die Homepage dieser gefälschten Bundesbehörde ist zwischenzeitlich nicht mehr abrufbar, Im Zusammenhang mit den Corona-Hilfsmaßnahmen ist mehr Achtsamkeit gefragt. Denn weiterhin sind Briefe und Phishing-Mails im Umlauf, sowie täuschend echt aussehende Fake-Webseiten.
-ck-

Gefälschte Webseite: Bundesregierung warnt Unternehmen vor Fälschung
N - TV online - Erfundenes Bundesamt: Umweltaktivisten unter Fake-Verdacht
https://www.n-tv.de/politik/Umweltaktivisten-unter-Fake-Verdacht-article21906049.html

Warnung vor falschen Plattformen und eMails
Bundesministerium für Wirtschaft und Energie online - "Informationen und Unterstützung für Unternehmen: Hinweis des Bundeswirtschaftsministeriums"
https://www.bmwi.de/Redaktion/DE/Coronavirus/coronahilfe.html#

Betrüger nutzen Corona - Zeiten
Antenne Düsseldorf online - "Corona-Betrüger auch in Düsseldorf aktiv"
https://www.antenneduesseldorf.de/artikel/corona-betrueger-auch-in-duesseldorf-aktiv-654274.html

Falsche Amtspersonen nutzen Angst vor dem Corona-Virus aus
Antenne Düsseldorf online - "LKA warnt vor neuer Betrugsmasche"
https://www.antenneduesseldorf.de/artikel/lka-warnt-vor-neuer-betrugsmasche-557750.html


Social Engineering: Leichtfertiger Umgang mit vertraulichen Unternehmensdaten
Vermehrt hat sich das Ziel der Online-Betrüger auf Unternehmen spezialisiert. Große Konzerne sind in der Regel technisch gut ausgestattet im Kampf gegen Online-Kriminelle, doch die Angriffe sind zielgerichteter und geschickter geworden. Cyber-Kriminelle setzen verstärkt auf Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie die Mitarbeiter geschickt manipulieren, um illegal an sensible Unternehmensdaten zu gelangen. Zielgerichtet werden menschliche Reaktionen wie zum Beispiel: Hilfsbereitschaft, Neugierde, Gutgläubigkeit, Respekt vor Autoritäten oder Konfliktvermeidung von den Angreifern ausgenutzt, um die IT-Sicherheitskette im Unternehmen zu hintergehen. Vertrauliche Informationen werden auf vielerlei Wege von den gutgläubigen Mitarbeitern entlockt, ob im Sozialen Netzwerk oder mit fingierten Telefonanrufen. Firmenmitarbeiter werden anhand Vertraulichkeit oder falschen Identitäten getäuscht. Betrüger geben sich zum Beispiel als vermeintliche weisungsbefugte Vorgesetzte aus, um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen.
Wie die Medien in dieser Woche berichteten, war es offenbar Cyberkriminellen gelungen, das Sicherheitsnetz des Anbieters Twitter zu überwinden um zahlreiche echte Twitter-Accounts von Prominenten aus den USA zu kapern. Ziel der Hacker war: Geld in der Web-Währung Bitcoin einzusammeln. Wie die Medien weiter berichteten, scheint ein koordinierter Social-Engineering-Angriff stattgefunden zu haben. Scheinbar hat es im Bereich der internen Accountverwaltung ein Sicherheitsproblem gegeben, eine Schwachstelle im Team.
-ck-

Attacken anhand Social-Engineerings
Spiegel online - "Sicherheitsprobleme bei Twitter: Wie Bitcoin-Betrüger Obamas Account kaperten"
https://www.spiegel.de/netzwelt/netzpolitik/twitter-gehackt-warum-so-viele-prominente-ploetzlich-fuer-einen-bitcoin-betrug-warben-a-7c52e6e0-3f78-47ec-af1a-bc88f01c9a72

Twitter - Accounts missbraucht
Süddeutsche Zeitung online - "Beispielloser Hackerangriff auf Twitter-Accounts Prominenter"
https://www.sueddeutsche.de/digital/twitter-hack-obama-gates-biden-bezos-1.4968918

Digitale Sicherheit: Verschlüsselung von Direktnachrichten gefordert
Heise online - "Twitter-Hack: US-Politiker fordern Aufklärung und Verschlüsselung"
https://www.heise.de/news/Twitter-Hack-US-Politiker-fordern-Aufklaerung-und-Verschluesselung-4846071.html


Aktuelle Datenpannen und Sanktionen
Auch mit Inkrafttreten der DSGVO, werden die Datenschutzpannen leider nicht weniger. Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die qualifizierte und praxisorientierte Datenschutzschulung - Sensibilisierung aller Mitarbeiter und der Geschäftsleitung in Unternehmen - jeglicher Größe - durchgeführt wird. -ck-

DSGVO: Arbeitgeber muss Schadenersatz zahlen
Handwerksblatt online - "Arbeitnehmer-Daten nicht mitgeteilt: 5.000 Euro Strafe!"
https://www.handwerksblatt.de/themen-specials/das-neue-datenschutzrecht/dem-arbeitnehmer-seine-daten-nicht-mitgeteilt-5000-euro-strafe

Mitarbeiter hatten unverschlüsselten Zugang zu sensiblen Transaktionsdaten
Finance FWD online - "N26-Mitarbeiter konnten offenbar Kontobewegungen einsehen – obwohl ihnen die Berechtigung dafür fehlte"
https://financefwd.com/de/n26-mitarbeiter-kundendaten/

Unberechtigtes auslesen und kopieren der Zwischenablage
iTopnews online - "iOS-Zwischenablage ausgelesen: LinkedIn verklagt"
https://www.itopnews.de/2020/07/ios-zwischenablage-ausgelesen-linkedin-verklagt/

Sicherheitsfirma geht von mehr als 142 Millionen Datensätzen aus
Heise online - "MGM Resorts: Datenleck von 2019 weit größer als öffentlich bekannt"
https://www.heise.de/news/MGM-Resorts-Datenleck-von-2019-weit-groesser-als-oeffentlich-bekannt-4843857.html

Unberechtigte Datenabfrage von einem Polizeicomputer aus
Frankfurter Rundschau online - "Idil Baydar: Polizei spionierte Kabarettistin hinterher - und das schon länger als gedacht
https://www.fr.de/politik/20-spur-fall-baydars-fuehrt-polizei-13831153.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Bestehende Sicherheitslücke betrifft Nutzer von Windows 7 und noch ältere Windows-Versionen
Chip online - "Neue Sicherheitslücke in Zoom: Wer betroffen ist, ist aber selber schuld"
https://www.chip.de/news/Luecke-in-Zoom-fuer-Windows-7-Update-laden_182591370.html

2. Datenschutz Einstellungen richtig aktivieren
Connect online - "Stalking-App im Stil von Dasta: WhatsLog: App-Store-Hit spioniert Whatsapp-Nutzer aus"
https://www.connect.de/news/whatslog-whatsapp-spionage-app-schutz-3200945.html

3. Fast alle Rechner betroffen
T – Online online - "Experten warnen vor "Cyber-Pandemie": Microsoft gibt Windows-Sicherheitslücke die höchste Risikostufe"
https://www.t-online.de/digital/software/id_88233196/windows-10-update-schwere-sicherheitsluecke-entdeckt-experten-warnen.html



Datenschutz - Nachrichten 28. Kalenderwoche 2020

.

Datenschutz auch bei Corona bedingte Erhebung von Kontaktdaten
Eine Präventionsmaßnahme zur Eindämmung der Verbreitung, um schneller herauszufinden, wer mit einem Coronavirus Infizierten kürzlich Kontakt hatte, ist die Methode der Kontaktnachverfolgung.
In der laufenden Corona-Pandemie müssen Frisöre, Restaurants, Bars, Cafés, Kneipen und weiteren Unternehmen seit ihrer Wiedereröffnung Kontaktpersonenlisten führen, um das Infektionsrisiko mit dem Virus zu minimieren.
Welche und wie viele Kontaktdaten erfasst werden müssen, bestimmen die einzelnen Bundesländer, doch jedes Bundesland hat seine eigenen Bestimmungen. Zum Beispiel müssen in Baden-Württemberg alle Gäste erfasst werden, in Bayern und Mecklenburg-Vorpommern nur die Daten eines Gastes der Gruppe oder Hausstandes. Empfehlungen und Handlungshilfen zum datenschutzkonformen Umgang mit den Kontaktlisten bieten die jeweiligen Bundesländer an.
Die erfassten Kontaktdaten dürfen ausschließlich zu dem Zweck der Nachverfolgung von Infektionsketten erhoben und aufbewahrt werden. Eine Verwendung der Kontaktdaten für andere Zwecke, wie zum Beispiel Werbung oder anderweitige Kommunikation mit den Kundinnen und Kunden, ist datenschutzrechtlich unzulässig.
Wie die Medien berichten, werden die erfassten Kontaktdaten oftmals missbraucht – der Datenschutz nicht eingehalten. Immer mehr Beschwerden erreichen die Datenschutzaufsichtsbehörden. Beispiele: Eine ungeschützte digitale Corona-Kontaktliste mit persönlichen Daten aller Gäste war frei im Internet abrufbar, Frauen werden nach Restaurant-Besuche vom Kellner angerufen, Kontaktlisten werden für jedermann frei zugänglich ausgelegt und auch abfotografiert. Mittlerweile prüfen die Landesdatenschutzstellen die eigehenden Beschwerden. Bei nicht datenschutzkonformem Umgang mit den Kundendaten können Sanktionen oder Geldbußen auf die jeweiligen Unternehmen zukommen.
-ck-

Datenschutzkonforme Erfassung der Kontaktdaten nicht immer gegeben
N - TV online - "Niedersachsen & Bremen Rund 60 Datenschutz-Beschwerden wegen Corona-Gästelisten"
https://www.n-tv.de/regionales/niedersachsen-und-bremen/Rund-60-Datenschutz-Beschwerden-wegen-Corona-Gaestelisten-article21891312.html

Datenschutz - Hinweise zur Kontaktdatenerfassung Aufgrund des Coronavirus
LDI NRW online - "Hinweise zur Erfassung von Kundenkontaktdaten zwecks Rückverfolgbarkeit von Infektionsketten in Zusammenhang mit dem Coronavirus SARS-CoV-2"
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Corona-und-Datenschutz/Gastronomie-Hinweise.html

Datenpanne mit digitaler Corona – Kontaktliste: Wer war mit wem im Restaurant und landet im Internet
Golem online - "Datenleck: Corona-Kontaktliste ungeschützt im Internet abrufbar"
https://www.golem.de/news/datenleck-corona-kontaktliste-ungeschuetzt-im-internet-abrufbar-2007-149492.html

Kontaktdaten geraten in falsche Hände

N -TV online - "Ungewollte Nachricht vom Kellner: Corona-Listen werden immer wieder missbraucht"
https://www.n-tv.de/mediathek/videos/panorama/Corona-Listen-werden-immer-wieder-missbraucht-article21892388.html

Kontaktdaten – Erfassung datenschutzkonform umsetzen
ULD Schleswig-Holstein online - "Infektionsschutz-Regelung: Datenschutz bei der Erhebung von Kontaktdaten – Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert"
https://www.datenschutzzentrum.de/artikel/1332-Infektionsschutz-Regelung-Datenschutz-bei-der-Erhebung-von-Kontaktdaten-Die-Landesbeauftragte-fuer-Datenschutz-Schleswig-Holstein-informiert.html#extended


IT-Sicherheit: Router im Unternehmen
Über schwere Sicherheitslücken in verschiedenen WLAN-Routern sowie weitere IoT-Hardware wird seit Jahren berichtet und gewarnt. Meist sind in den Routern Zugangsdaten zum Beispiel für Mail-Konten oder andere Internet-Dienste gespeichert. Sollten Cyberkriminelle sich Zugang über ein WLAN – Netz verschafft haben, können sie den gesamten Internetverkehr des gekaperten Routers heimlich überwachen – ein Desaster für jedes Unternehmen.
Schwachstellen wären wohl schneller zu schließen, wenn Router-Hersteller die Sicherheitsupdates direkt an die jeweiligen Router senden könnten. Denn in den meisten Unternehmen wird der genutzte Router nicht angerührt, solange er funktioniert, die Internetverbindung reibungslos läuft – eine trügerische Sicherheit. Denn Router mit veralteter Software oder mit noch vorhandener Werkseinstellung - Beispielsweise voreingestelltes Passwort - stellen eine Sicherheitslücke dar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor kurzem eine Prüfspezifikation zur Technischen Richtlinie für Breitband – Router veröffentlicht. Hersteller haben nun anhand der Prüfspezifikation die Möglichkeit, die IT-Sicherheitsleistung ihrer Produkte nachzuweisen.
-ck-

Mindestmaß an IT-Sicherheitsmaßnahmen: Voraussetzungen für die Zertifizierung von Routern
IT-Sicherheit online - "BSI veröffentlicht Prüfspezifikation zur Technischen Richtlinie für Breitband-Router"
https://www.itsicherheit-online.com/news/bsi-veroeffentlicht-pruefspezifikation-zur-technischen-richtlinie-fuer-breitband-router

IoT-Firmware-Schwachstellen: Hersteller werden immer noch nicht selbst aktiv
IT-Sicherheit online - "Schwachstelle Router: Gravierende Sicherheitsmängel bleiben Standard"
https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/4606


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Ungewollte Aufzeichnung von Audio-Daten entgegenwirken
IT-Sicherheit online - "Spionage-Abwehr gegen mithörende Alexa & Co"
https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/4617

2. Sicherheitsexperten warnen: Auch Sicherheits-Apps spionieren Nutzer häufig im Hintergrund aus
Focus online - "Play Store: Spionage und unerlaubte Werbung: Diese Android-Apps sollten Sie deinstallieren"
https://www.focus.de/digital/handy/play-store-spionage-und-massenhaft-werbung-diese-android-apps-sollten-sie-sofort-deinstallieren_id_12177875.html

3. Entschlüsselungstool von ESET-Forscher entworfen
IT-Sicherheit online - "Neue Android-Ransomware tarnt sich als Covid-19-App"
https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/4577