Aus aktuellem Anlass: Ein persönliches Dankeschön zum Abschied beim LDA
Am 31. Januar 2020 verabschiedete Staatsminister Herrmann den Präsidenten des Bayrischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranich, in den Ruhestand und führte gleichzeitig Michael Will als seinen Nachfolger im Amt des Präsidenten ein. Auch mein Team und ich bedanken uns herzlich bei Herrn Kranich für die konstruktive Zusammenarbeit mit den Mitarbeiterinnen und Mitarbeitern des BayLDA unter seiner langjährigen Führung. Mit seiner sympathischen, zielstrebigen und dabei immer praxisorientierten Art haben Herr Kranich und sein Team stets für ein besseres Verständnis für den betrieblichen Datenschutz gesorgt und Klarheit für Bürger, Unternehmen und Datenschutzberater in vielen kniffligen Datenschutzfragen gesorgt. Mein ganz persönlicher Dank gilt zugleich auch Herrn Ilgenfritz, der über viele Jahre ein wertvoller geschätzter Ansprechpartner für uns war. Wir wünschen beiden alles Gute auf ihrem weiteren Weg und freuen uns zugleich auf die Zusammenarbeit mit den Nachfolgern.
-Kerstin Blossey-

Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranich, in den Ruhestand verabschiedet
LDA Bayern online – "Pressemitteilung: Amtswechsel im BayLDA" (pdf)
https://www.lda.bayern.de/media/pm/pm2020_2.pdf


Hohe Strafen bei unerlaubtem Telefonmarketing
Telefonwerbung ist seitdem im Sommer 2009 in Kraft getretenen Gesetz (§ 7 Abs. 2 Nr. 2 UWG) nur noch bei ausdrücklicher vorheriger Einwilligung durch den Verbraucher zulässig. Als zuständige Regulierungsbehörde teilte die Bundesnetzagentur eine Nachbesserung des Gesetzes im Jahr 2013 mit, das Unternehmen für unerlaubte Telefonwerbung (nach § 20 UWG) höhere Bußgelder von bis zu 300.000 € zu erwarten haben und nicht mehr wie bisher 50.000 €.
Die Verschärfung der Regelungen durch den Bundesrat schließt auch Werbeanrufe von Telefoncomputern und Anrufe mit unterdrückter Telefonnummer mit ein. Sollte ein Werbeanruf ohne Einverständnis des Betroffenen erfolgen, kann auf einem im Internet abrufbaren Formblatt der Bundesnetzagentur folgendes notiert werden: den Namen des Anrufers, den Namen des Unternehmens und in welchem Auftrag der Anruf erfolgt ist – Grund des Anrufes nennen, sowie Datum und Uhrzeit des Anrufes, soweit möglich auch dessen Rufnummer. Anhand dieser detaillierten Angaben könnten Fälle mit unerlaubter Telefonwerbung aufgedeckt und ein Bußgeldverfahren eingeleitet werden.
-ck-

Telemarketing: Bußgeldbescheide der Bundesnetzagentur
Bundesnetzagentur online – "Maßnahmenliste"
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Verbraucher/UnerlaubteTelefonwerbung/massnahmenliste/massnahmenliste-node.html

Unerwünschte Anrufe: Energiekonzern muss Bußgeld in Mio. – Höhe zahlen
Der Standard online – "Irreführung: Eni muss Millionenstrafe wegen lästiger Werbeanrufe zahlen"
https://www.derstandard.de/story/2000113434220/eni-muss-millionenstrafe-wegen-laestiger-werbeanrufe-zahlen

Antitrustbehörde verhängt Geldstrafe gegen weitere Telefongesellschaften
Datenschutz – Notizen online - "Unerwünschte Anrufe Episode II – italienischer Telefonkonzern TIM muss 27,8 Mio. Euro Bußgeld bezahlen"
https://www.datenschutz-notizen.de/unerwuenschte-anrufe-episode-ii-italienischer-telefonkonzern-tim-muss-278-mio-euro-bussgeld-bezahlen-1524750/


IT-Sicherheit fängt beim Passwort an
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per Internet. Ein Grund für die rasante Verbreitung, ist die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter und somit haben Angreifer freie Bahn. Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
Anfang dieses Jahres wurde bekannt, das eine Sammlung gestohlener Datensätze mit hunderter Millionen Mailadressen samt Passwörtern öffentlich im Internet einsehbar waren. Einen besseren Schutz bieten sichere Passwörter vor solchen Vorfällen. Mehr Sicherheit bietet die Zwei-Faktor-Authentifizierung oder eine Sperrung des Zugangs nach mehreren Fehleingaben des Passwortes.
-ck-

BSI mit neuer Regelung zum Passwortgebrauchs
Tagesschau online - "BSI-Empfehlung: Abschied vom regelmäßigen Passwort-Wechsel"
https://www.tagesschau.de/inland/bsi-passwort-wechsel-empfehlung-101.html

Orientierung zum Umgang mit Passwörtern
BSI online – "Passwörter"
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html

Sicherheitslücke anhand simples 1234 Administrator - Passwort
Kurier at - "Lachnummer: Steirische SPÖ hatte "1234" als Passwort für eigene Webseite"
https://kurier.at/politik/inland/lachhaft-steirische-spoe-hatte-1234-als-passwort-fuer-eigene-webseite/400752924


Datenpannen gleich Imageverlust
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Die unten aufgeführten Medienberichte über Datenpannen zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Bußgeld: Wechsel des Datenschutzbeauftragten nicht mitgeteilt
Heise online - "Hamburger Datenschützer verhängt Bußgeld gegen Facebook"
https://www.heise.de/newsticker/meldung/Hamburger-Datenschuetzer-verhaengt-Bussgeld-gegen-Facebook-4660300.html

Fehler in Wähler-App
Zeit online - "Daten aller israelischen Wähler durch Sicherheitslücke online"
https://www.zeit.de/politik/ausland/2020-02/datenschutz-israel-waehler-app-daten-veroeffentlichung

Unbefugte Weitergabe persönlicher Daten an Dritte
Bnn online - "Datenpanne beim Erbverfahren: Nachlassgericht Karlsruhe verschickt Testament an falsche Personen"
https://bnn.de/lokales/karlsruhe/nachlassgericht-karlsruhe-verschickt-testament-an-falsche-personen

Technischer Fehler: Wie hoch ist der Kreis der betroffenen Nutzer?
Googlewatchblog online - "Google Fotos: Private Aufnahmen in fremden Händen – viele Fragen um die Datenpanne bleiben ungeklärt (FAQ)"
https://www.googlewatchblog.de/2020/02/google-fotos-private-aufnahmen/

Eigenmächtige Löschung von Firmendaten?: Angestellte vernichteten Akten und Dateien von ihren Computern, externen Geräten und Netzwerklaufwerken
N-TV online - "Reaktion auf Dieselskandal: Audianer löschten Hunderttausende Dateien"
https://www.n-tv.de/wirtschaft/Audianer-loeschten-Hunderttausende-Dateien-article21564799.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Angreifer können Websites kompromittieren
Heise online – "Alert!: Kritische Sicherheitslücke im DSGVO-Plugin GDPR Cookie Consent für WordPress"
https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-im-DSGVO-Plugin-GDPR-Cookie-Consent-fuer-WordPress-4660698.html

2. Microsoft schließt kritische Sicherheitslücke im hauseigenen Browser
T-Online online - "Wichtiges Update: Microsoft behebt kritische Sicherheitslücke in Internet Explorer"
https://www.t-online.de/digital/sicherheit/id_87326538/wichtiges-update-microsoft-behebt-kritische-sicherheitsluecke-in-internet-explorer.html

3. Mac-Bedrohungen fast ausschließlich anhand Adware und ungewollte Software ("Potentially Unwanted Programs" – PUPs"
Heise online - "Malware-Analyse: Sicherheitsfirma protokolliert "Erdrutsch" bei macOS
https://www.heise.de/mac-and-i/meldung/Malware-Analyse-Sicherheitsfirma-protokolliert-Erdrutsch-bei-macOS-4659280.html

4. Cybersicherheit: Asymmetrie im Cyberkonflikt umkehren
Security Insider online - "Sicherheitsprognosen 2020: Asymmetrie im Cyberkonflikt"
https://www.security-insider.de/asymmetrie-im-cyberkonflikt-a-899027/

− − − − − −

Liebe Leser unserer Datenschutznachrichten

Unser Redaktionsteam nimmt eine kurze Auszeit. In der 7. Kalenderwoche gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.

Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie wieder bei uns begrüßen zu dürfen.
-ck-

− − − − − −

Wachsende Wirtschaftskriminalität
Weltweit ermöglicht der technische Fortschritt von hochkomplexen IT-Systemen die Mobilität und Kommunikation im elektronischen Geschäftsverkehr, gleichzeitig entstanden und entstehen ganz neue Formen der Wirtschafts- und Finanzkriminalität. Phishing ist weltweit eine der größten Gefahren für Unternehmen und deren Kunden. Egal, ob Kriminelle die offizielle Website der Unternehmen nachahmen und diese für Phishing-Angriffe missbrauchen, oder ein raffinierter Angriff per echt wirkender Unternehmens-Mail vom Geschäftsführer an seine Mitarbeiter - keine Branche kann sich vor diesen Angriffen in Sicherheit wähnen.
-ck-

Betrugsmails: Abfischen von Ausweisdaten, Kreditkarten sowie biometrische Daten
Heise online - "Phishing: LKA warnt vor gefälschten Apple-Rechnungen"
https://www.heise.de/mac-and-i/meldung/Phishing-LKA-warnt-vor-gefaelschten-Apple-Rechnungen-4630519.html

Entwickler: Beliebtes Angriffsziel für Social Engineering
Dev – Insider online - "Developer verwalten die Schlüssel zum Datenschatz: Der Entwickler als Social-Engineering-Schwachstelle"
https://www.dev-insider.de/der-entwickler-als-social-engineering-schwachstelle-a-892126/

Cyberangriffe erkennen und sofort reagieren
IT-Daily net - "Sicherheitsprozesse für Endgeräte bleiben Herausforderungen"
https://www.it-daily.net/analysen/23175-sicherheitsprozesse-fuer-endgeraete-bleiben-herausforderungen

Cyberangriff legte Online-Banking und Website lahm
Spiegel online - "Cyberangriff hindert DKB-Kunden am Zugriff aufs Konto"
https://www.spiegel.de/netzwelt/web/dkb-online-banking-teilweise-lahmgelegt-a-1c022adf-5eb9-4afc-95a8-42834aaed370

Vermehrte Cyberangriffe auf Bankhäuser
Handelsblatt online – "Cyberrisiken: Großangriff auf die Banken – Die Aufseher sind alarmiert"
https://www.handelsblatt.com/finanzen/banken-versicherungen/cyberrisiken-grossangriff-auf-die-banken-die-aufseher-sind-alarmiert/25399206.html?ticket=ST-45381648-DmmcXqcgZ3O7w7RuKw2e-ap1



Unternehmensdaten auf Reisen
Oft wird vergessen, dass auch sensible Unternehmensinformationen anhand mobiler Endgeräte transportiert und verarbeitet werden, sich somit der Kontrolle der eigenen IT-Sicherheitsstrukturen des Unternehmens entziehen. Laut Medienberichten haben deutsche Politiker und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, wegen zunehmender Spionagegefahr zur Vorsicht bei China – Reisen geraten und empfehlen Wegwerfhandys und Reiselaptops.
-ck-

Spionagegefahr bei China-Reisen: Erhebliches Risiko für die digitale Kommunikation via Laptop und Handy
Handelsblatt online - "Digitale Kommunikation: Deutsche Politiker und Datenschützer warnen vor Spionage bei China-Reisen"
https://www.handelsblatt.com/politik/deutschland/digitale-kommunikation-deutsche-politiker-und-datenschuetzer-warnen-vor-spionage-bei-china-reisen/25390410.html

HMB BfDI warnt vor besondere Gefährdung der Daten
Welt online – "Hamburger Datenschützer Caspar warnt vor Spionagegefahr bei China-Reisen"
https://www.welt.de/newsticker/news2/article204795012/Datenschutz-Hamburger-Datenschuetzer-Caspar-warnt-vor-Spionagegefahr-bei-China-Reisen.html

Gesetzesvorlage mit Hintertürchen?
Datenschutz – Notizen online - "Russische Staatsduma nimmt massiv Einfluss durch Pflichtsoftware auf Smartphones und Computern"
https://www.datenschutz-notizen.de/russische-staatsduma-nimmt-massiv-einfluss-durch-pflichtsoftware-auf-smartphones-und-computern-1924306/


14. Europäischer Datenschutztag am 28. Januar 2020
Um das Bewusstsein bei Bürgern und Unternehmer in Europa für den Datenschutz zu stärken hat der Europarat alljährlich den 28. Januar zum Datenschutztag erklärt. Alle Stellen, die sich mit Datenschutz befassen, sollen sich durch eigene Aktionen an diesem Tag beteiligen. Der Europäische Datenschutztag mahnt zur Vorsicht im Umgang mit sensiblen personenbezogenen Daten und findet seit 2007 jedes Jahr am 28. Januar statt. Nehmen Sie sich doch vor, dass dieser Tag in Ihrem Unternehmen relevant wird. Zum Beispiel eine Auffrischungsschulung für alle Beschäftigten, Einführung eines passwortgeschützten Bildschirmschoners mit Datenschutztipps, oder ein Datenschutzartikel Ihres Datenschutzbeauftragten in Ihrem aktuellen Unternehmensmagazin. Sie haben keinen Datenschutzbeauftragten? Dann wäre der europäische Datenschutztag ein guter Grund, die gesetzliche Anforderung nicht länger zu ignorieren und möglicherweise harte Konsequenzen in Form von Bußgeldern, Haftstrafen oder auch einem ernstzunehmenden Imageverlust zu vermeiden.
-ck-

Herausforderung: Grundrechts- und Datenschutz bei Einsatz der Künstlichen Intelligenz (KI)
LfDI RLP online – "Künstliche Intelligenz –14. Europäischer Datenschutztag 2020: Künstliche Intelligenz - Zwischen Förderung und Bändigung"
https://www.datenschutz.rlp.de/fileadmin/lfdi/download/tmp/Flyer_14_Europaeischer_Datenschutztag_2020.pdf

Gemeinsame Veranstaltung unabhängiger Datenschutzaufsichtsbehörden des Bundes und der Länder Datenschutzkonferenz online - "Rückblick: 13. Europäischer Datenschutztag in Berlin Europäischer Datenschutz: Chance oder Risiko? Acht Monate DS-GVO – Bilanz und Blick nach vorn"
https://www.datenschutzkonferenz-online.de/europaeischer_datenschutztag.html


Firmware mit Sicherheitslücken
Über schwere Sicherheitslücken in verschiedenen WLAN-Routern wurde schon im vergangenen Jahr berichtet und gewarnt. Cyberkriminelle starteten Massenangriff auf Router, welche Schwachstellen enthielten oder nicht hinreichend abgesichert waren (wir berichteten). Anhand dieser Sicherheitslücken konnten sich Kriminelle in die Router einklicken und kamen so an die auf dem Gerät gespeicherten Konfigurationsdaten, Passwörter usw. Auch vor der Möglichkeit, dass der gesamte Internetverkehr des gekaperten Routers heimlich umgeleitet und überwacht werden kann, wurde gewarnt. Router-Hersteller veröffentlichten nach und nach Sicherheitsupdates um die Schwachstellen zu schließen.
Zurzeit warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor gefährlichen Lücken in D-Link-Routern und einige US-Modelle. Entsprechende Firmware-Updates stehen für einige Modelle bereits bereit, für die restlichen Modelle ist mit Veröffentlichung der Updates in den nächsten Tagen zu rechnen.
Solange das Sicherheitsleck in den WLAN-Routern verbleibt, können geübte Hacker alle internetfähigen Geräte ausspioniert werden, die über den Router mit dem Internet verbunden sind - ein Desaster für jede IT - Security im Unternehmen.
-ck-

BSI warnt vor Schwachstelle im Router
PC-Welt online - "Achtung: Gefährliche Lücken in Routern!"
https://www.pcwelt.de/news/Achtung-Gefaehrliche-Luecken-in-Routern-10732250.html

Software - Schwachstelle im Router
Chip online - "Experten warnen vor Lücke im WLAN-Router: Betroffene Nutzer sollten sofort handeln"
https://www.chip.de/news/Betroffene-Nutzer-sollten-sofort-handeln-Experten-warnen-vor-Luecke-im-WLAN-Router_178736706.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Blockpause wg. Störungen im Betriebsablauf und Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1"
https://www.ceilers-news.de/serendipity/

2. Entwickler schlagen Alarm
T-Online online - "Schwachstelle schon ausgenutzt: Firefox-Update schließt kritische Sicherheitslücke"
https://www.t-online.de/digital/sicherheit/id_87126732/firefox-update-schliesst-kritische-sicherheitsluecke-.html

3. Rat der Forscher: Umstieg auf sicherere Hashfunktionen
Heise Security online - "Unsicherer Hash-Algorithmus: Forscher demonstrieren Angriffe auf SHA-1 in der Praxis"
https://www.heise.de/security/meldung/Forscher-demonstrieren-Angriffe-auf-SHA-1-in-der-Praxis-4630862.html