Grafik
Grafik

Datenschutz - Nachrichten 02. Kalenderwoche 2018

.

Medienpräsenz: Thema Datenschutz
Kaum hat das neue Jahr begonnen, häufen sich die Meldungen über Datenschutzverletzungen. Um die gesetzlichen Anforderungen an den Datenschutz weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Am 25.5.2018 wird nach einer zweijährigen Übergangsphase die EU-Datenschutz-Grundverordnung (EU- DS-GVO) für alle EU-Mitgliedsstaaten gleichermaßen wirksam. Die europäische Datenschutz-Grundverordnung (EU-DSGVO) soll die Datenschutz-Regelung zur Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der Europäischen Union vereinheitlichen. Der betriebliche Datenschutzbeauftragte wurde in seiner wichtigen Funktion bestätigt.
Wichtige Neuerungen, wie zum Beispiel eine frühere Meldepflicht bei Datenpannen, die Einführung einer Datenschutz-Folgenabschätzung, die Portabilität von Daten, eine Optimierung der schriftlichen Dokumentation der personenbezogenen Geschäftsprozesse sowie die Verschärfung der Bußgeldvorschriften bei Datenschutzverstößen, sollen zu einer Stärkung des Datenschutzes für alle EU-Bürger führen. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
-ck-

Datenpanne anhand falschen Eintrags: Lebende für Tod erklärt
Hannoversche Allgemeine online – "Datenpanne: Schufa erklärt Ostfriesin versehentlich für tot"
http://www.haz.de/Nachrichten/Der-Norden/Uebersicht/Schufa-
erklaert-Ostfriesin-versehentlich-fuer-tot

Wieder falscher Schufa-Eintrag: Fast Finanzierung geplatzt
Nordwestzeitung online - "Westerstederin mit Frau aus Aurich Verwechselt: "Zahlungssäumige Doppelgängerin bei der Schufa"
https://www.nwzonline.de/ammerland/wirtschaft/westerstede-westerstederin-
mit-frau-aus-aurich-verwechselt-zahlungssaeumige-doppelgaengerin-bei-der-schufa_a_50,0,2329245339.html

Fehler im Marketing – Tool des Unternehmens

Spiegel online - "Sicherheitslücke Facebook ließ Werbekunden Telefonnummern von Nutzern sehen"
http://www.spiegel.de/netzwelt/web/facebook-sicherheitsluecke-liess-
werber-auf-nutzer-telefonnummern-zugreifen-a-1186609.html

Hochsensible personenbezogene Daten auf der Gemeindehomepage veröffentlicht
Basler Zeitung - "Gemeinde veröffentlicht irrtümlich Sozialhilfe-Empfänger"
https://bazonline.ch/schweiz/standard/namen-von-
sozialhilfeempfaengern-im-internet-veroeffentlicht/story/24219089

Technischer Fehler bei Kreditkartenzahlung
Spiegel online - "Peinliche Panne beim Discounter Kreditkarten von Aldi-Kunden mehrfach belastet"
http://www.spiegel.de/wirtschaft/unternehmen/aldi-sued-
kreditkarten-von-kunden-mehrfach-belastet-a-1186281.html

Sicherheitslücken im genutzten Internet-Programm

Frankfurter Neue Presse online - "Experte: „Gravierende Sicherheitslücke“"
http://www.fnp.de/lokales/frankfurt/Experte-Gravierende-Sicherheitsluecke;art675,2871824

Datenschutzverletzung und ihre Folgen
Heise online - "Millionen Profildaten gehackt: 650.000 Dollar Strafe für Leck bei Spielzeug-Firma VTech"
https://www.heise.de/newsticker/meldung/Millionen-Profildaten-gehackt-650-000-Dollar-Strafe-fuer-Leck-bei-Spielzeug-Firma-VTech-3936912.html

Auf die Datensicherheit kommt es an
Computerwoche online - "Licht ins Dunkel bringen: Fünf Big Data-Mythen, die Unternehmen Millionen kosten können"
https://www.computerwoche.de/a/fuenf-big-data-mythen-die-unternehmen-millionen-kosten-koennen,3332371



12. Europäischer Datenschutztag am 29. Januar 2018
Um das Bewusstsein bei Bürgern und Unternehmer in Europa für den Datenschutz zu stärken hat der Europarat alljährlich den 28. Januar zum Datenschutztag erklärt. Alle Stellen, die sich mit Datenschutz befassen, sollen sich durch eigene Aktionen an diesem Tag beteiligen. Der Europäische Datenschutztag mahnt zur Vorsicht im Umgang mit sensiblen personenbezogenen Daten und findet seit 2007 jedes Jahr am 28. Januar statt. Nehmen Sie sich doch vor, dass dieser Tag in Ihrem Unternehmen relevant wird. Zum Beispiel eine Auffrischungsschulung für alle Beschäftigten, Einführung eines passwortgeschützten Bildschirmschoners mit Datenschutztipps, oder ein Datenschutzartikel Ihres Datenschutzbeauftragten in Ihrem aktuellen Unternehmensmagazin. Sie haben keinen Datenschutzbeauftragten?
Dann wäre der europäische Datenschutztag ein guter Grund, die gesetzliche Anforderung nicht länger zu ignorieren und möglicherweise harten Konsequenzen in Form von Bußgeldern, Haftstrafen oder auch einem ernstzunehmenden Imageverlust zu vermeiden.
-ck-

Einladung zur zentralen Veranstaltung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Berlin
Die Landesbeauftragte für den Datenschutz Niedersachsen online - "12. Europäischer Datenschutztag: Souveränität in der digitalen Welt – eine Illusion? (pdf)"
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/12/EU-DS-Tag-Einladung_final.pdf#

Datenschutz geht jeden etwas an
Kleiner Kalender online - "Europäischer Datenschutztag 2018: 28. Januar 2018 in Europa"
http://www.kleiner-kalender.de/event/europaeischer-datenschutztag/80400.html



Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "WLAN-Sicherheit 21 – Rogue Access Points, Teil2: MANA"
https://www.ceilers-news.de/serendipity/931-WLAN-Sicherheit-21-Rogue-Access-Points,-Teil-2-MANA.html

2. Datenschutz bei Grenzkontrollen

Electronic Frontier Foundation - "Digital Privacy at the U.S. Border: Protecting the Data On Your Devices and In the Cloud"
https://www.eff.org/wp/digital-privacy-us-border-2017

3. Sicherheitszertifikat ohne ausreichenden Schutz

e Recht 24 online - "Datenschutz: Kommunikationssystem für Justiz und Anwälte bleibt offline"
https://www.e-recht24.de/news/datenschutz/10685-datenschutz-
kommunikationssystem-justiz-anwaltspostfach.html

4. Supergau: Gewaltige Schwachstelle in Prozessorchips

T-Online - "Hardware-Schwachstellen: IT-Experte warnt vor völlig neuen Angriffs-Szenarien"
http://www.t-online.de/digital/sicherheit/id_83030648/it-experte-warnt-
vor-voellig-neuen-angriffs-szenarien.html



Datenschutz - Nachrichten 03. Kalenderwoche 2018

.

Mobile Endgeräte und der Verlust sensibler Firmendaten
Mobile Endgeräte wie Smartphone oder auch Tablets, sind praktisch und unentbehrlich geworden im täglichen Unternehmenseinsatz. Oft stellen Unternehmen ihren Mitarbeitern diese auch für die private Nutzung zur Verfügung, oder erlauben die dienstliche Nutzung privater Technik durch ihre Beschäftigten. Um auch außerhalb des Büros auf Geschäftskontakte und Daten zugreifen zu können, synchronisieren zahlreiche Mitarbeiter ihr Adressbuch mit dem Smartphone, speichern die Zugangsdaten für die Cloud auf ihren Geräten. Für Unternehmen kann dies ein großes Problem darstellen: Bei Verlust mobiler Endgeräte ist die Vertraulichkeit von unternehmensbezogenen Daten einschließlich der Zugangsdaten zu anderen informationstechnischen Systemen (z. B. Server oder Cloud) des Unternehmens nicht mehr gegeben. Allein mit den üblichen Sicherheitsmaßnahmen , wie zum Beispiel eine vollständige Speicherverschlüsselung sowie zusätzliche Authentifizierungsmechanismen, Prozesse zur Lokalisierung und Fernlöschung der Geräte, sind die sensiblen Unternehmensdaten auf mobilen Endgeräten nicht geschützt.
Gänzlich unterschätzt werden die Risiken und Gefahren die von Apps ausgehen. Sensible Informationen wie zum Beispiel sämtliche Kontaktdaten bestehend aus Telefonnummern, E-Mailadressen usw. werden oft schon bei der Installation mit übertragen, ohne dass der Nutzer seine Zustimmung gegeben hat. Allein schon die Verwendung von Messenger-Dienste, die gerne das gesamte Adressbuch auslesen und diese Daten dann auf ausländische Server übertragen stellt eine große Herausforderung für das Unternehmen dar. Mit der EU-Datenschutz-Grundverordnung riskieren Unternehmen für einen solchen Verstoß deutlich schwerere Sanktionen. Stichtag zur Umsetzung ist der 25. Mai 2018.
Nach dem Ende dieser Übergangsfrist für die EU-Mitgliedstaaten drohen Unternehmen die sich nicht an die EU DS-GVO halten, schon bei Bagatellverstößen hohe Strafen. Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens, je nachdem welcher Wert der höhere ist, verhängen. Organisations-Verstöße wie auch schwere materielle Datenschutzverstöße können mit den gleichen Bußgeldbeträgen belegt werden.
-ck-

Verstoß gegen die EU-DSGVO: Firmenkontakte auf Mitarbeiter - Smartphone
CRN online - "EU-Datenschutz - Grundverordnung: Gefahrenquelle Mitarbeiter-Handys"
http://www.crn.de/telekommunikation/artikel-115910.html

Auch dienstliche Mobilgeräte sind betroffen
IAVC World - "Mitarbeiter-Handys werden zur Gefahrenquelle"
http://www.iavcworld.de/ucc/4314-mitarbeiter-handys
-werden-zur-gefahrenquelle.html

Whitepaper für Unternehmen

Security Insider online - "DSVGO: Ein Praxisleitfaden"
https://www.security-insider.de/ein-praxisleitfaden-v-38926-13274/



Cyberangriffe und die Fahrlässigkeit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon länger vor gefälschten E-Mails. Anhand gefälschten BSI-Absenders sollen die Empfänger auf einer angeblichen Sicherheitswarnung reagieren und Sicherheitsupdates im beigefügtem Link durchführen. Doch der Download des angeblichen Sicherheitsupdates führt nur zur Infektion der Hardware anhand von Schadsoftware.
Zurzeit warnt auch die Polizei vor einer falschen Mail der Telekom mit einer anhängender Zipp - Datei. Angeblich sei kein Zahlungseingang erfolgt und deshalb wird mit einer Telefonsperrung gedroht, weitere Informationen sollen in der angehängten Datei enthalten sein. Die anhängende Datei bitte nicht öffnen, diese enthält schädliche Software.
Wer bereits angehängte Dateien geöffnet hat, sollte seine Hardware mit aktueller Antivirensoftware scannen. Kostenlose Sicherheitsprogramme können von der Webseite "botfrei", vom ECO - Verband der Internetwirtschaft e.V. genutzt werden.
-ck-

Ziele und Maßnahmen zur Verbesserung der IT-Sicherheit
Security Insider online - "Die Cybersecurity-Strategie der EU: Mehr Cybersicherheit in Europa"
https://www.security-insider.de/mehr-cybersicherheit-in-europa-a-676748/

Schadsoftware per Mail
Heise Security online - "Vorsicht vor eBay- und Telekom-Phishing-Mails"
https://www.heise.de/security/meldung/Vorsicht-vor-eBay-und-Telekom-Phishing-Mails-3942051.html

Gefälschte Absenderadressen – Mail mit Hinweis auf Sicherheitsupdate nicht öffnen
DsiN online - "Gefälschte BSI-Mail mit angeblichem Meltdown-/Spectre-Patch"
https://www.sicher-im-netz.de/pages/gefaelschte-bsi-mail-
angeblichem-meltdown-spectre-patch

Unbedingt löschen
Verkehrsrundschau online - "SVG warnt vor gefälschten E-Mails"
https://www.verkehrsrundschau.de/nachrichten/svg-
warnt-vor-gefaelschten-e-mails-2052400.html



Nachrichtenticker:

Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit

Carsten Eilers - "TCP/IP und IPv4 im Überblick"
https://www.ceilers-news.de/serendipity/932-
TCPIP-und-IPv4-im-UEberblick.html

2. Nutzer werden von der Schadsoftware Skygofree ausspioniert
Zeit online - "Neuer Android-Trojaner liest in WhatsApp mit"
http://www.zeit.de/digital/datenschutz/2018-01/skygofree-
android-whatsapp-schadsoftware

3. Seriöse Unternehmen schicken keine SMS
Computerbetrug online - "Verbraucherzentrale warnt vor Rückruf-SMS einer Anwaltskanzlei"
http://www.computerbetrug.de/2018/01/verbraucherzentrale-
warnt-vor-rueckruf-sms-einer-anwaltskanzlei-10731



Datenschutz - Nachrichten 04. Kalenderwoche 2018

.

Datenpannen und ihre Folgen
Die Meldungen über Datenpannen häufen sich seit Jahresende 2017 und setzen sich im Neuen Jahr genauso fort. Das Spektrum ist weitreichen und keine Branche oder Unternehmen ist davor gefeit.
In dieser Woche berichteten zum Beispiel die Medien über einen Hackerangriff eines Online-Shops, Anhand eines eingeschleusten Skripts kam es zu einem Datendiebstahl von bis zu 40.000 Kreditkartendaten. Auch wurde über eine Verlagsgruppe berichtet, die ihre Kunden per Mail über einen Sicherheitsvorfall informierte. Scheinbar hat anhand falscher Server-Konfiguration dazu geführt, dass Kundendaten des Unternehmens für eine gewisse Zeit öffentlich im Internet einsehbar waren. Laut Pressemeldung konnten Webseitenbetreiber E-Mail-Adressen von Newsletter-Nutzern einsehen. Das Datenschutzproblem hat der Anbieter behoben.
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Ab Mai 2018 kommen deutlich verschärfte Meldepflichten bei Datenpannen auf die Unternehmen zu. Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Pannen/Sicherheitsvorfall muss ausnahmslos insbesondere ohne Abwägung von Risiken für den Betroffenen dokumentiert werden.
-ck-

Eingeschleustes Skript fängt Kreditkartendaten ab
ZDNet online - "Nach Betrugsberichten: OnePlus bestätigt Hackerangriff und Verlust von Kreditkartendaten"
http://www.zdnet.de/88323759/nach-betrugsberichten-oneplus-bestaetigt-hackerangriff-und-verlust-von-kreditkartendaten/?inf_by=5a659b2b681db8495b8b4876

Technischer Übermittlungsfehler: Wichtige Mail kam nicht an
Stuttgarter Nachrichten online - "Der Fall Akolo: Die Fehlersuche beim VfB geht weiter"
https://www.stuttgarter-nachrichten.de/inhalt.der-fall-akolo-die-fehlersuche-beim-vfb-geht-weiter.51ddcf60-783b-4c9a-b6fe-6af50b9474bd.html

Datenschutz Bug
Golem online - "Mailchimp verrät E-Mail-Adressen von Newsletter-Abonnenten"
https://www.golem.de/news/newsletter-dienst-mailchimp-verraet-e-mail-
adressen-von-newsletter-abonnenten-1801-132317.html

Zwei Jahre Haft - Signal für Straftäter

Heise online - "DDoS-Angriffe auf Skype, Google, Pokemon Go: 21-jähriger Hacker muss ins Gefängnis"
https://www.heise.de/newsticker/meldung/DDoS-Angriffe-auf-Skype-Google-Pokemon-Go-21-jaehriger-Hacker-muss-ins-Gefaengnis-3949392.html



Datensicherheit: 12. Europäischer Datenschutztag am 28. Januar 2018
Um das Bewusstsein bei Bürgern und Unternehmer in Europa für den Datenschutz zu stärken hat der Europarat alljährlich den 28. Januar zum Datenschutztag erklärt. Alle Stellen, die sich mit Datenschutz befassen, sollen sich durch eigene Aktionen an diesem Tag beteiligen. Der Europäische Datenschutztag mahnt zur Vorsicht im Umgang mit sensiblen personenbezogenen Daten und findet seit 2007 jedes Jahr am 28. Januar statt, nachdem an diesem Tag im Jahr 1981 die Europäische Datenschutzkonvention unterzeichnet wurde. Nehmen Sie sich doch vor, dass dieser Tag in Ihrem Unternehmen Datenschutzrelevant wird. Zum Beispiel eine Auffrischungsschulung für alle Beschäftigten, Einführung eines passwortgeschützten Bildschirmschoners mit Datenschutztipps, oder ein Datenschutzartikel Ihres Datenschutzbeauftragten in Ihrem aktuellen Unternehmensmagazin. Sie haben keinen Datenschutzbeauftragten?
Dann wäre der europäische Datenschutztag ein guter Grund, um die gesetzliche Anforderung für die ab 25. Mai 2018 europaweit geltende Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen und nicht länger zu ignorieren. Damit es kein böses Erwachen gibt, sollten Unternehmen sich rechtzeitig auf die komplexen Richtlinien vorbereiten, um möglicherweise harten Konsequenzen in Form von Bußgeldern, Haftstrafen oder auch einem ernstzunehmenden Imageverlust zu vermeiden.
-ck-

Wichtige Maßnahmen zur digitalen Datensicherheit
Security Insider online - "Europäischer Datenschutztag 2018: IT-Sicherheit und Privatsphäre für alle"
https://www.security-insider.de/it-sicherheit-und-privatsphaere-fuer-alle-a-680211/

Richtiger Umgang und Schutz von persönlichen Daten

Pressebox online - "BvD unterstützt Aktion "Bezahlen Sie mit Ihren Daten!" am Europäischen Datenschutztag 2018"
https://www.pressebox.de/pressemitteilung/berufsverband-der-datenschutzbeauftragten-deutschlands-bvd-ev/BvD-unterstuetzt-Aktion-Bezahlen-Sie-mit-Ihren-Daten-am-Europaeischen-Datenschutztag-2018/boxid/890400

Schutz des digitalen Zeitalters
Infopoint Security online - "EU-DSGVO: Diese Sicherheitsmethode erfüllt bereits einige Anforderungen der EU-DSGVO"
https://www.infopoint-security.de/welche-sicherheitstechnik-erfuellt-
die-anforderungen-der-eu-dsgvo/a14078/



Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Angriffe auf TCP/IP (1) - Spoofing"
https://www.ceilers-news.de/serendipity/933-Angriffe-auf-TCPIP-1-Spoofing.html#extended

2. Achtung: Fehlerhafte Sicherheits-Updates
Frankfurter Allgemeine online - "Nach Sicherheitslücke: Intel warnt vor seinen Updates"
http://www.faz.net/aktuell/wirtschaft/diginomics/intel-warnt-vor-spectre
-und-meltdown-updates-15412553.html

3. Immer mehr Schwachstellen in Software 
t-online - "Forscher alarmiert : Zahl der Software-Schwachstellen erreicht Rekordwert"
http://www.t-online.de/digital/sicherheit/id_83121338/zahl-der-
software-schwachstellen-erreicht-rekordwert.html



Blossey & Partner

Schloss Dürrwangen
Hauptstraße 3
91602 Dürrwangen

Großraum Berlin
Berliner Straße 9
06886 Wittenberg

Telefon:
+49 98 56 - 92 19 991
Mail | Kontakt | Impressum 

Deutsch English