Letzte Änderung: 09.10.2021

Datenschutz - Nachrichten 48. Kalenderwoche 2019

DSGVO-Verstoß: Datenleck durch Router - Lücke?
Wie die Medien in dieser Woche berichteten, waren Krankenakten von ca.30.000 Patienten, sowie Mitarbeiterunterlagen, BWA und weitere hochsensible Daten einer Celler Gemeinschaftspraxis und deren Inhaber - über einen längeren Zeitraum - für jeden im Internet frei abrufbar. Ein IT-Experte fand heraus, dass das Datenleck anhand eines fehlkonfigurierten Telekom-Router entstanden sein.
Laut Medienberichten handelt es sich bei den von einer gefährlichen Sicherheitslücke betroffenen Routern um die Telekom - Digitalisierungsbox "Premium, Standard und Smart", welche die Telekom ihren Businesskunden anbietet. Diese Sicherheitsproblem beim Port-Forwarding soll der Deutschen Telekom schon seit Mai 2019 bekannt sein.
Um das Sicherheitsproblem in den Griff zu bekommen hat die Deutsche Telekom erst jetzt ein Update auf die Version 11.1.2.102 bereitgestellt und kann im Support-Bereich des Anbieters heruntergeladen werden. Betroffene Kunden wurden mittlerweile durch den Provider per E-Mail benachrichtigt. Unklar ist, wie viele weitere Unternehmen diese fehlkonfigurierten Router verwenden und so ihre hochsensiblen Gesundheits-, Unternehmens – und Kundendaten unfreiwillig öffentlich zugänglich gemacht haben. Denn die Telekom bietet diese speziellen Router meistens Geschäftskunden an, so die Medien.
Die betroffene Celler Arztpraxis hatte die Datenschutzpanne gemeldet, so ein Sprecher der niedersächsischen Datenschutzbeauftragten (lfd Barbara Thiel). Jetzt müsse geklärt werden, wer für das Datenleck haftet, ob die Deutsche Telekom oder die betroffene Celler Gemeinschaftspraxis.
-ck- 

Gefährliche Telekom Router Lücke: Datei-Server mit ca. 30.000 Patientenakten online
Heise/ct online - "Warum eine komplette Arztpraxis offen im Netz stand"
https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html

Gefährliche Konfigurationsfehler bei den Telekom Digitalisierungsboxen
Heise Security online - "Nach Datenleck in Arztpraxis: Weitere Router betroffen, jetzt patchen!"
https://www.heise.de/security/meldung/Nach-Datenleck-in-Arztpraxis-Weitere-Router-betroffen-jetzt-patchen-4596678.html

Firmware unbedingt aktualisieren
N-TV online - "Nach Datenleck in Arztpraxis Telekom-Router erhalten" Update
https://www.n-tv.de/technik/Telekom-Router-erhalten-Update-article21421636.html

Handreichung zum Thema "Stand der Technik" erweitert Datenschutz
Praxis online - "Datenschutz nach dem aktuellen "Stand der Technik"
https://www.datenschutz-praxis.de/fachnews/datenschutz-nach-dem-stand-der-technik/


Wahl zum Datenschutzbeauftragten der EU-Institutionen
In dieser Woche hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres den polnischen Juristen Wojciech Wiewiórowsk als neuen Europäischen Datenschutzbeauftragten (EDSB) des EU-Parlaments gewählt. Schon seit August übernahm er nach dem Tode, seines im Sommer verstorbenen Amtsvorgängers Giovanni Buttarelli dessen Aufgaben. Als Europas oberster Datenschützer ist er für die Einhaltung des Datenschutzes durch die EU-Institutionen rund um den Datenschutz, sowie bei neuen Gesetzesvorschlägen zuständig und beratend tätig. In Zukunft wird er auch die Arbeit von EU-Einrichtungen wie zum Beispiel der Polizeiagentur Europol und der Grenzbehörde Frontex beaufsichtigen.
-ck-

Wojciech Rafał Wiewiórowski als Europäischer Datenschutzbeauftragter bestätigt
Heise online – "EU-Parlament wählt neuen Datenschutzbeauftragten"
https://www.heise.de/newsticker/meldung/EU-Parlament-waehlt-neuen-Datenschutzbeauftragten-4596468.html

Ziel: EU-Verwaltung innovativ und intelligent zu gestalten
Netzpolitik org - "Wojciech Wiewiórowski: EU-Parlament bestätigt Europäischen Datenschutzbeauftragten"
https://netzpolitik.org/2019/eu-parlament-bestaetigt-europaeischen-datenschutzbeauftragten/

EDSB im Überblick
Europäische Union online - "Europäischer Datenschutzbeauftragter (EDSB)"
https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_de


Betriebssystem ohne Datensicherung aktualisiert
Sicherheitsupdates werden fast täglich von Microsoft angeboten, um Sicherheitslücken in Windows und Office zu schließen. Jetzt naht der Stichtag – 14. Januar 2020 - für das Ende des offiziellen Supports des Computerbetriebssystems Windows 7. Ab diesem Zeitpunkt erscheinen keine Sicherheits-Updates mehr und die Risiken die überalterte Software weiter in Betrieb zu nehmen sind immens.
Laut Medienberichten in dieser Woche, scheint ein IT-Mitarbeiter bei der Berliner Kriminalpolizei ein Update der Rechner von Windows 7 auf Windows 10 ohne Datensicherung vorgenommen zu haben. Somit wurden alle gespeicherten Daten von den Beamten zu ihren Ermittlungen gelöscht, so die Medien.
-ck-

Keine Datensicherung: Wichtige Daten unwiederbringlich verloren
Der Tagesspiegel online - "Beim Update auf Windows 10: IT-Mitarbeiter löschte Daten bei Berliner Kriminalpolizei"
https://www.tagesspiegel.de/berlin/beim-update-auf-windows-10-it-mitarbeiter-loeschte-daten-bei-berliner-kriminalpolizei/25276870.html

Widersprüche und Vermutzungen
Police-IT org - "Steckt hinter dem "Datenverlust" bei der Berliner Polizei womöglich ein Computervirus?"
https://police-it.org/steckt-hinter-dem-datenverlust-bei-der-berliner-polizei-womoeglich-ein-computervirus



Datenpannen der Woche
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
-ck-

Schwachstelle im System: Kundendaten von Unberechtigten kopiert
Heise Security online - "Magento Marketplace von Adobe gehackt"
https://www.heise.de/security/meldung/Magento-Marketplace-von-Adobe-gehackt-4598102.html

Daten von ehemaligen Kunden nicht gelöscht
Krone at - "Wiener war nie Kunde: Irrtümlich Geld abgebucht: Datenpanne bei Magenta"
https://www.krone.at/2047734

Datenleck im Onlineshop: Kundendaten erneut frei zugänglich
ZDNet online - "Nach Hackerangriff: One Plus räumt Verlust von Kundendaten ein"
https://www.zdnet.de/88373701/nach-hackerangriff-oneplus-raeumt-verlust-von-kundendaten-ein/



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Blockpause wg. Störungen im Betriebsablauf und Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1"
https://www.ceilers-news.de/serendipity/

2.Kritische Sicherheitslücke ohne vorherige Authentifizierung ausnutzbar
Heise Security online - Alert!: Jetzt updaten: Dell EMC Storage Monitoring and Reporting remote angreifbar
https://www.heise.de/security/meldung/Jetzt-updaten-Dell-EMC-Storage-Monitoring-and-Reporting-remote-angreifbar-4597265.html

3. Kritische Sicherheitslücke: Angreifer können aus der Ferne Kontrolle über BIG-IP-Systeme erlangen
Heise Security online - "Alert!: Sicherheitsupdates: Authentifikation von BIG-IP-Appliances umgehbar"
https://www.heise.de/security/meldung/Sicherheitsupdates-Authentifikation-von-BIG-IP-Appliances-umgehbar-4597331.html

 


Datenschutz - Nachrichten 47. Kalenderwoche 2019

.

Analyse-Dienste für Webseiten: Dringender Handlungsbedarf bei Online-Präsenz
Keine Cookies ohne aktive Zustimmung des Internetnutzers, so lautet das vor kurzem gefällte Urteil des Gerichtshofs der Europäischen Union (EuGH- Gerichtsurteil C-673/17). Bei Cookies handelt es sich um kurze Textdateien, die von den Webservern auf die Endgeräte der Nutzer abgelegt werden. Sie speichern Informationen über das Nutzungsverhalten und dienen hauptsächlich zur Identifikation der Seitenbesucher. Eine Datenverarbeitung ist nur zulässig, wenn anhand einer vorgeschalteten Abfrage -Cookie-Banner - beim ersten Aufrufen der Homepage eine aktive und freiwillige Einwilligung der Nutzer eingeholt wird. Folgerung des EuGH- Gerichtsurteils C-673/17: Eine Einwilligung zu Analyse - Cookies über ein voraktiviertes Kästchen (Opt-Out-Verfahren), bei dem für einen Widerspruch das Häkchen entfernt werden muss, ist nicht zulässig und somit keine wirksame Einwilligung. Es muss die Einwilligung durch eine aktive Zustimmung (Opt-In) erfolgen. Vor einer aktiven Einwilligung des Website-Besuchers, etwa durch Setzen eines Häkchens, darf keine Datenverarbeitung erfolgen, auch wenn der Internetnutzer einfach weitersurft.
Sollte keine datenschutzrechtlich wirksame und freiwillige Einwilligung durch den Nutzer erteilt werden, ist eine Verarbeitung der Daten (Speichern und Auslesen von Informationen (z.B. Cookies) auf dessen Hardware) rechtswidrig. Bei einer nicht datenschutzkonformen Datenverarbeitung müssen Webseitenbetreiber nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Bußgelder vorsieht.
Zudem ist darüber ausführlich in einer Datenschutzerklärung zu informieren, welche personenbezogene Nutzerdaten erhoben und gespeichert werden. Zum Beispiel Namen, E-Mail-Adressen, IP-Adressen oder Standortdaten, vom Website-Betreiber oder durch Drittanbieter wie Google Maps zu welchem Zweck, sowie die Information über das Widerrufsrecht der Einwilligung. Bisherige Veröffentlichungen der Datenschutz - Aufsichtsbehörden (Beispiel Thema Google Analytics), sind nicht mehr gültig, da sich die gegenwärtige Rechtslage sowie die Verarbeitungsprozesse geändert haben. Anfang des Jahres hat das Bayerische Landesamt für Datenschutzaufsicht (lda Bayern) bei der Prüfung von 40 größeren Unternehmen in Bayern festgestellt, dass keine der Webseiten die Anforderungen an eine wirksame Einwilligung erfüllt. Aktuell haben die Datenschutz -Aufsichtsbehörden verstärkte Kontrollen angekündigt.
-ck-

Pressemitteilung des BayLDA bezüglich Tracking
LDA Bayern online - "Pressemitteilung: Google Analytics nur mit Einwilligung (pdf)"
https://www.lda.bayern.de/media/pm/pm2019_14.pdf

Informationen zu Tracking von Website-Besucherinnen und -Besuchern
BfDI online - "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien"
https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_TMG.html?nn=5217154

Tracking: Webseitenbetreiber benötigen Einwilligung der User
Onlinehändler News online - "Offene Fragen: Einwilligung? Cookies? – Es ist kompliziert"
https://www.onlinehaendler-news.de/e-recht/rechtsfragen/131997-einwilligung-cookies-kompliziert



Digitalisierung im Gesundheitswesen
Viele Patientinnen und Patienten profitieren von modernen Medizinprodukten, doch immer häufiger sind diese vernetzt und tauschen ihre Daten mit anderen Geräten untereinander aus. Mit der Digitalisierung im Gesundheitswesen - vermehrte Anwendung von vernetzten Medizinprodukte, steigt auch die Zahl der Cyber-Angriffe und IT-Sicherheitsvorfälle. Das Bundesamt für Sicherheit in der Informationstechnik hat vor kurzem, im Rahmen der Messe „Medica“ in Düsseldorf, einen neuen Leitfaden "Sicherheit von Medizinprodukten - zur Nutzung des MDS2 aus 2019" (Manufacturer Disclosure Statement for Medical Device Security) vorgestellt. Der Leitfaden soll als Hilfestellung dienen, gerade die künstliche Intelligenz (KI) rund um den Bereich Cyber-Sicherheit zu nutzen.
-ck-

Handreichung: Manufacturer Disclosure Statement for Medical Device Security
BSI online - "Medica 2019: BSI-Leitfaden zur Cyber-Sicherheit von Medizinprodukten"
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Leitfaden_Med-Produkte_231019.html

Cybersicherheit der Medizin Technik
Heise online - "Medica: Künstliche Intelligenz hilft Ärzten und Alten im echten Leben"
https://www.heise.de/newsticker/meldung/Medica-Kuenstliche-Intelligenz-hilft-Aerzten-und-Alten-im-echten-Leben-4590496.html



Datenpannen und ihre Folgen
Meldungen über Datenpannen – das Spektrum ist weitreichen und weder Unternehmen oder Behörden sind davor gefeit. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Seit Mai 2018 kamen europaweit deutlich verschärfte Meldepflichten bei Datenpannen auf die Unternehmen zu:
Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Panne/Sicherheitsvorfall muss ausnahmslos insbesondere ohne Abwägung von Risiken für den Betroffenen dokumentiert werden. Durch eine qualifizierte und praxisorientierte Schulung sollten die Mitarbeiter sensibilisiert werden, denn Datensicherheit währt wirtschaftlichen Schaden, der bis hin zur Existenzbedrohung reichen kann, von den Firmen ab. Datenschutz ist kein Kostenfaktor, sondern ein Vertrauenselement.
-ck-

Sicherheitslücke ausgenutzt: Kundendaten waren für unbefugte Zugriffe zugänglich
Handelsblatt com - "Versandhändler: Hacker haben Zugriff auf 14 Millionen Kundendatensätze von Conrad Electronic"
https://www.handelsblatt.com/technik/it-internet/versandhaendler-hacker-haben-zugriff-auf-14-millionen-kundendatensaetze-von-conrad-electronic/25245682.html?ticket=ST-18083146-2LzuSH3x3Mq9cneZbn9v-ap4

Motorik-Test: Analysedaten ohne Einwilligung erstellt
RP online- "Verstoß gegen Datenschutz: Eltern beklagen Datenmissbrauch in Schule
https://rp-online.de/nrw/staedte/krefeld/krefeld-daten-panne-an-der-grundschule-beim-motoriktest_aid-47304685

Accounts gehackt und im Dark Web verkauft und sogar verschenkt
Welive Security com - "Disney+ Accounts gehackt – Wie Sie sich schützen können"
https://www.welivesecurity.com/deutsch/2019/11/19/disney-accounts-gehackt-wie-sie-sich-schuetzen-koennen/



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Blockpause wg. Störungen im Betriebsablauf und Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1"
https://www.ceilers-news.de/serendipity/

2. Malware: Software-Aktualisierungen schließt kritische Sicherheitslücke
Focus online - "Messenger mit Sicherheitsleck Schadsoftware im Umlauf: Darum sollten Sie jetzt WhatsApp updaten"
https://www.focus.de/digital/handy/handyviren/messenger-mit-sicherheitsleck-whatsapp-update-jetzt-doch-dringend-noetig_id_11365946.html

3. Wegen Fehler-Meldung keine Installation: Hilfestellung zu Update-Installation
PC Welt online - Windows 10: Update-Fehler 0x80073701, 0x800f0988 lösen
https://www.pcwelt.de/news/Windows-10-Update-Fehler-0x80073701-0x800f0988-loesen-10705338.html

4. Ads Blocker infiziert die Hardware
Chip online - Android-Nutzer sollten sie sofort löschen: Fiese Apps mit schädlicher Malware entdeckt
https://www.chip.de/news/Android-Nutzer-sollten-sie-sofort-loeschen-Fiese-Apps-mit-schaedlicher-Malware-entdeckt_177160891.html

 


Datenschutz - Nachrichten 46. Kalenderwoche 2019

.

Unterschätzte Gefahr: Cyberangriffe
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren auf deutsche Unternehmen drastisch zugenommen. Im Focus stehen mittlerweile nicht nur deutsche Großkonzerne – viele Cyber-Angriffe richten sich auch gegen kleine und mittlere Unternehmen. Einem BSI-Bericht zufolge, nutzen immer mehr Cyber-Kriminelle die Schwachstellen in Soft- und Hardware aus, auch die Anzahl der bekannten Schadprogrammvarianten – oft versendet per Mails - sowie Erpresserprogramme (Ransomware) sei dramatisch gestiegen. Zur wachsenden Gefahrenquelle wird vor allem das seit langem bekannte Angriffsziel: Das Internet der Dinge, da die IT-Sicherheit bei der Herstellung und von den Kunden bei den vernetzten Geräten zu wenig beachtet wird. Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Laut den IT- Lageberichten sind bisher Meldungen aus dem Sektor Informationstechnik und Telekommunikation, Energie, Wasser und aus dem Sektor Ernährung beim BSI eingegangen.
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei einem erfolgreichen Hackerangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
-ck-

Lagebericht Cyberkriminalität veröffentlicht
Handelsblatt online - "BKA-Bericht Cyberkriminalität in Deutschland nimmt zu – Immer mehr Schadsoftware"
https://www.handelsblatt.com/politik/deutschland/bka-bericht-cyberkriminalitaet-in-deutschland-nimmt-zu-immer-mehr-schadsoftware/25213780.html?ticket=ST-4414541-e1KVTEpOcaAOm5gVM1OF-ap4

Top-Management und der Mangel an Verständnis für Cybersicherheit
Secu Pedia online - "Studie: Viele Manager ignorieren Cybersicherheits-Richtlinien"
https://www.secupedia.info/aktuelles/studie-viele-manager-ignorieren-cybersicherheits-richtlinien-14876

Richtige Vorbereitung und korrektes Vorgehen sind im Notfall entscheidend
Kes online - "Dos and Don’ts des Incident-Response"
https://www.kes.info/aktuelles/kes/incident-response/

Opfer eines Cyber-Angriffs: Ca. 30.000 Rechner betroffen
ZFD online - "Lehrbetrieb gestört - Cyber-Attacke auf Kieler Uni"
https://www.zdf.de/nachrichten/heute/lehrbetrieb-gestoert-cyber-attacke-auf-kieler-uni-100.htm

Ransomware verschlüsselt den Computer
Landeskriminalamt Niedersachsen zac online - "Achtung: Angebliche Rechnung von 1&1 mit Schadsoftware"
https://zac-niedersachsen.de/artikel/34

Ratschläge um IT – Sicherheitsrisiken einzudämmen
IT-Sicherheit online - "Drei Tipps für mehr Cybersicherheit"
https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/3660


Datenschutz gleich Qualitätsmerkmal
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
-ck-

Amt verschickt Kontoauszüge an falsche Adresse
Hartz IV-Panne: Dieses Jobcenter schickte Kontoauszüge an falsche Person
https://www.gegen-hartz.de/news/hartz-iv-jobcenter-datenpanne-kontoauszuege-im-falschen-a-briefkasten

Persönliche hochsensible Daten ungeschreddert in Papiertonnen entsorgt
Gegen Harz online - "Jobcenter-Datenschutz Panne: Hartz IV Anträge im Müll – wie ging es weiter?"
https://www.gegen-hartz.de/news/jobcenter-datenschutz-panne-hartz-iv-antraege-im-muell-wie-ging-es-weiter

Verletzung der Privatsphäre durch Mitarbeiter
RTL online - "Sie brachte ihr iPhone zur Reparatur: Apple-Mitarbeiter schickt sich Intim-Foto von Kundin"
https://www.rtl.de/cms/apple-mitarbeiter-klaut-intime-fotos-von-kundin-sie-wollte-ihr-iphone-reparieren-4435046.html

Sensible Kundendaten in öffentlicher Papiertonne gefunden
Nordkurier online - Sensible Daten im Müll: Anklamer Datenpanne: Wurden die Unterlagen gestohlen?
https://www.nordkurier.de/anklam/anklamer-datenpanne-wurden-die-unterlagen-gestohlen-0837364911.html

 

Kritische Sicherheitslücke – veraltete Betriebssysteme
Sicherheitsupdates werden fast täglich von Microsoft angeboten, um Sicherheitslücken in Windows und Office zu schließen. Jetzt naht der Stichtag – 14. Januar 2020 - für das Ende des offiziellen Supports des Computerbetriebssystems Windows 7. Ab diesem Zeitpunkt erscheinen keine Sicherheits-Updates mehr und die Risiken die überalterte Software weiter in Betrieb zu nehmen sind immens. Hacker können die komplette Kontrolle über die Computer übernehmen und sämtliche Inhalte auslesen oder schlimmstenfalls den Zugang zum ganzen Netzwerk ausspionieren. Wirtschaftsspionage auch über Mikrofon oder der Webcam wären möglich - ein beunruhigender Gedanke. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist schon länger auf die Gefahren hin und rät vor allem Unternehmen, auf ein neues Betriebssystem zu wechseln. Denn Sicherheitslücken werden durch die so genannten Patches gestoppt um Angreifer zu stoppen, welche bisher unbemerkt beliebige Schadprogramme auf ungeschützte PCs schleusen. Lücken im Internet – Explorer, Media Player, Word Pad und Office sind die beliebtesten Angriffsziele der Kriminellen und seit Längerem auch Router. Viele Router sich falsch vorkonfiguriert, voreingestellte Sicherheitsschlüssel von Standard-Routern sind relativ leicht zu knacken. Sicherheitseinstellungen sollten überprüft werden und unbedingt neue Passwörter eingerichtet werden. Einen einfachen Netzwerkcheck bietet Heise Security in Zusammenarbeit mit der Datenschutzbehörde Niedersachsen an.
-ck-

Support-Ende: Alte Version ohne Versorgung mit wichtigen Sicherheitsupdates
Business Insider online - "Ende von Windows 7: Wer es jetzt noch nutzt, geht große Risiken ein"
https://www.businessinsider.de/nutzer-von-windows-7-setzen-sich-bald-grossen-risiken-aus-2019-11

Gnadenfrist für Unternehmen
T3n digital pioneers online - "Windows 7: Hunderte Millionen Nutzer ignorieren nahendes Support-Ende"
https://t3n.de/news/windows-7-hunderte-millionen-1219344/

Hohes Risiko: Schlampig programmierte Router - Firmware
Heise Securit online - "Cisco: Updates sollen Sicherheitsprobleme und Firmware-Mängel beheben"
https://www.heise.de/security/meldung/Cisco-Updates-sollen-Sicherheitsprobleme-und-Firmware-Maengel-beheben-4582530.html

 

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Blockpause wg. Störungen im Betriebsablauf und Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1"
https://www.ceilers-news.de/serendipity/

2. Kritische Sicherheitslücke: Installierte Versionen prüfen und je nachdem aktualisieren
Heise Security online - P"atchday: Wichtige Sicherheitsupdates für SAP-Software"
https://www.heise.de/security/meldung/Patchday-Wichtige-Sicherheitsupdates-fuer-SAP-Software-4585790.html

3. Aktualisierung zur Fehlerbehebung
T - Online online - "Aktualisierung auf iOS 13.2.2 Neue Software behebt nervigen Fehler auf dem iPhone"
https://www.bild.de/digital/smartphone-und-tablet/handy-und-telefon/immer-wieder-app-neustart-apple-update-treibt-iphone-nutzer-zur-weissglut-65846560.bild.html

4. Software-Aktualisierungen schließen bereits genutzte kritische Sicherheitslücken  
Techbook online – "Gefahr für Rechner: Windows-Nutzer betroffen – kritische Sicherheitslücke im Internet Explorer" 
https://www.techbook.de/easylife/web/internet-explorer-sicherheitsluecke

 


Datenschutz - Nachrichten 45. Kalenderwoche 2019

.

Datensicherheit: Herausforderung digitaler Arbeitsplatz
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per Internet. Ein Grund für die rasante Verbreitung ist die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht und somit haben Angreifer freie Bahn.
Erneut berichteten die Medien in dieser Woche, über einen riesigen Datensatzes von gehackten E-Mail-Konten samt Passwörtern, welche frei im Internet veröffentlicht wurde. In dem über 600 GB (Gigabyte) großen Datensatz scheinen über 2.2 Milliarden Mail-Adressen samt dazugehörigen Passwörtern zu stecken.
Eine Analyse durch das IT-Sicherheitsunternehmen Immuni Web ergab, das Kriminelle vor allen an Logins von Unternehmensmitarbeitern oder hochsensiblen Geschäfts – Kundeninformationen interessiert sind um diese in einschlägig bekannten Untergrundforen zu verkaufen. Das IT-Sicherheitsunternehmen fand heraus, das 95 Prozent aller Datensätze ungeschützten Unternehmens – Accounts mit Passwörtern im Klartext enthielten. Angreifer haben so ein leichtes Spiel um auf die E-Mail – Accounts zuzugreifen.
Ein globaler Passwort-Sicherheitsreport von Last Pass ergab, dass inzwischen viele Firmen wichtige Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung (MFA) nutzen, doch das Passwortverhalten von Mitarbeitern weltweit schlichtweg als fahrlässig einzustufen ist. Dem Sicherheitsreport zufolge, verwenden Mitarbeiter im Schnitt 13 – mal das gleiche Passwort wieder.
Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Beispiel: Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
-ck-

Erneuter Datensatz mit Kontodaten aufgetaucht
Schweriner Volkszeitung online - "Datenleck immer größer: Schon 2,2 Milliarden Accounts gehackt: Stehen Ihre Log-in-Daten im Netz?"
https://www.svz.de/ratgeber/digital/Datenleck-Milliarden-Accounts-gehackt-ist-mein-Passwort-im-Netz-id22394307.html

Ratschläge der Sicherheitsexperten oft nicht beachtet
Heise online - "Geschäfte mit Passwort-Leaks: Forscher analysieren Millionen von Daten"
https://www.heise.de/security/meldung/Geschaefte-mit-Passwort-Leaks-Forscher-analysieren-Millionen-von-Daten-4579124.html

Unternehmen setzen Passwort- und Identitätsmanagement nicht korrekt um
Last Pass online – "Der dritte jährliche globale Passwort-Sicherheitsreport: Die neuen Trends in Unternehmen weltweit bei Zugriff und Authentifizierung
https://www.lastpass.com/de/business/articles/password-benchmark-report?sfdcid=7014P0000016jqk

Datensicherheit: Menschliche wie auch technische Herausforderung
IT-Sicherheit online – "Menschliche Schwächen sind größte Gefahr für Cybersicherheit"
https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/3643



Daten - Sicherheitsbewusstsein im Unternehmen
Datenschutzpannen, die durch die Medien gehen haben das Bewusstsein von datenschutzrechtlichen Anliegen sowie der Nachfrage nach fundierter Datenschutzschulungen der Arbeitnehmer einschließlich der Geschäftsleitung im Unternehmen steigen lassen. Doch noch immer ist das schwächste Glied in der Kette meist der Mensch - Mitarbeiter. Ein Personal Computer kann noch so sicher sein, mit den neusten Updates für die Software ausgestattet, einen Firewall als auch ein Virenprogramm, welches dem neusten Stand entspricht, installiert haben. Es bleibt der Endbenutzer, welcher zum Beispiel am Telefon sensible Daten weitergibt oder ein zu leichtes Passwort verwendet. Ein perfekt ausgeklügeltes Sicherheitssystem kann durchaus nicht greifen, solange die Nutzer dieser Techniken es nicht unterstützen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Die unten aufgeführten Medienberichte über Datenpannen zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen. Datenschutz ist kein Kostenfaktor, sondern ein Vertrauenselement.
-ck-

14,5 Millionen Euro Bußgeld: Personenbezogene Daten archiviert und verarbeitet
N-TV online - "Mieterdaten zu lange gespeichert: Berlin straft Deutsche Wohnen ab"
https://www.n-tv.de/wirtschaft/Berlin-straft-Deutsche-Wohnen-ab-article21375223.html

Schnittstelle war weiterhin komplett offen
Heise online - "Entwickler hatten unerlaubten Zugriff auf Daten bei Facebook"
https://www.heise.de/newsticker/meldung/Entwickler-hatten-unerlaubten-Zugriff-auf-Daten-bei-Facebook-4579091.html

Kein BBC: Kunden erhielten per Mail Kontaktadressen samt Logindaten von ca. 1.000 weiteren Kunden
Bitcoin Kurier online - "Notifikation mit Konsequenzen"
https://bitcoin-kurier.de/datenpanne-bei-bitmex-e-mail-adressen-von-kunden-weitergegeben/

Rechtswidrige Zugriffe auf dienstliche Datenbanken
Zeit online - "158 Verfahren gegen Polizisten wegen Daten-Missbrauch"
https://www.zeit.de/gesellschaft/zeitgeschehen/2019-11/datenschutz-polizisten-missbrauch-datenbanken-bussgeld-polizei

Kooperation zu den Ermittlungen zu möglichen Datenschutz-Verstößen per Gerichtsbeschluss
Heise online - "Datenschutz-Skandal: Kalifornien will Facebook mit Klage zu Aussagen zwingen"
https://www.heise.de/newsticker/meldung/Datenschut-Skandal-Kalifornien-will-Facebook-mit-Klage-zu-Aussagen-zwingen-4580080.html



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Blockpause wg. Störungen im Betriebsablauf und Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1"
https://www.ceilers-news.de/serendipity/

2. Forscher warnen: Auch Smartphones lassen sich per Laser kapern
PC Welt online - "Alexa, Homepod, Google Home lassen sich mit Laser hacken"
https://www.pcwelt.de/news/Alexa-Homepod-Google-Home-lassen-sich-mit-Laser-hacken-10696278.html

3. Nutzer nehmen Updates nicht ernst: Cyber-Kriminelle haben leichtes Spiel
Chip online - "Experten schlagen Alarm: Über 90 Millionen Android-Apps mit Schadsoftware verseucht"
https://www.chip.de/news/Experten-schlagen-Alarm-Fast-100-Millionen-Android-Apps-mit-Schadsoftware-verseucht_176477081.html

4. Gerätebesitzer sollten zügig updaten um Angriffsmethode keine Chance zu lassen
Heise online – "Alert! - Update verfügbar: Mikro Tik sichert Router gegen vier Schwachstellen ab"
https://www.heise.de/security/meldung/Update-verfuegbar-MikroTik-sichert-Router-gegen-vier-Schwachstellen-ab-4573749.html