Autor: Online Redaktion

Das Unternehmen Beyond Identity hat eine Studie unter insgesamt 1008 Mitarbeitern aus verschiedenen, US-ansässigen Firmen zum Umgang mit Passwörtern durchgeführt.
Befragt wurden zu 57,6% Männer und 42% Frauen im Durchschnittsalter von 37,9 Jahren.

• 1 von 4 Mitarbeitern kann nach wie vor auf die Konten früherer Arbeitsplätze zugreifen.
• 41,7% geben Passwörter an Kollegen weiter.
  Am häufigsten wird hier eine vereinfachte Zusammenarbeit im Team zitiert. Dies wird besonders häufig in mittelständigen Unternehmen praktiziert.
• 42,5% halten die Weitergabe von Passwörtern für einen Kündigungsgrund.
• 45% sind der Meinung, dass die selbstgewählten Passwörter sicher sind.
  26.3% halten ihre Passwörter sogar für sehr sicher.
  34% notieren ihre Passwörter allerdings nach wie vor auf Papier.
• 38% der Mitarbeiter verwenden einen Passwort-Manager.
  Über ein Viertel verlassen sich lieber auf ihr Gedächtnis.
• 73% halten Protokolle und Richtlinien in Bezug auf Passwörter im eigenen Unternehmen für ausreichend.
  Bei 10,8% werden sie als schwach und bei 16,3% als zu streng bewertet.

Aus den Ergebnissen lässt sich in erster Linie folgern, dass die Bequemlichkeit im Umgang mit Passwörtern den größten Risikofaktor repräsentiert.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/sicherheitsfalle-passwort-18042

Heinz-Peter Meidiger, Präsident des Deutschen Lehrerverbandes, sieht den Bildungsauftrag „massiv gefährdet“ und fordert zusammen mit zehntausend Schülern den Wiedereinsatz von Microsoft Teams an Schulen – trotz erheblicher Datenschutzbedenken, da es keine klare Rechtsgrundlage gibt, um die Weitergabe personenbezogener Daten an Microsofts Server in die USA zu rechtfertigen.

Während der Pandemie waren schnelle Lösungen für den Distanzunterricht gefragt, wodurch man überwiegend auf kommerzielle Software von großen Anbietern wie Microsoft kam. Übergangsweise war Teams daher erlaubt, sollte aber wegen datenschutzrechtlicher Bedenken verboten werden.
Stattdessen sind sogar Rückschritte zu verzeichnen – so müssen Schulen, die in Baden-Württemberg Netze für Moodle, Big Blue Button und Nextcloud eingerichtet haben, diese wieder verlassen.

Statt im Lauf des letzten Jahres Open-Source-Alternativen wie etwa Big Blue Button oder Jitsi zu etablieren, wurde allen Anschein nach nur abgewartet und weitergemacht wie bisher.
Deutschland droht, unter solchen Umständen den Anschluss an die Digitalisierung zu verlieren.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/bildung-digitaler-fatalismus-made-in-germany-2107-158066.html

Die Europäische Kommission hat am 28.06.21 die Angemessenheitsbeschlüsse, mit der personenbezogene Daten an das Vereinigte Königreich übermittelt werden dürfen, angenommen.

Unabhängig davon ist noch zu prüfen, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2021/11_Annahme-Angemessenheitsbeschl%C3%BCsse-UK.html

Der Datenschutzbeauftragte Ulrich Kelber hat bereits vor zwei Jahren darauf hingewiesen, dass deutsche Behörden keine Fanpages datenschutzkonform betreiben können.

Dies hat den Hintergrund, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten weitergegeben werden dürfen, wenn dort ein mit der EU vergleichbares Datenschutzniveau herrscht. Da das in den USA nicht der Fall ist, hätte es mit Facebook eine Vereinbarung geben müssen. Bei einer Kontaktaufnahme der Bundesregierung verwies Facebook lediglich auf deren öffentliches Addendum zur Datenverarbeitung: https://www.facebook.com/legal/terms/page_controller_addendum

Angekündigt ist nun in einem neuen Schreiben von Kelber (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2021/Facebook-Auftritte-Bund.pdf?__blob=publicationFile&v=1), dass sämtliche Facebook-Fanpages von den Behörden abgeschaltet werden sollen. Ferner würden jetzt Instagram, TikTok und Clubhaus auf deren Datenschutzverarbeitung geprüft.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dsgvo-behoerden-muessen-ihre-facebook-pages-abschalten-2106-157719.html

Die EU plant mit dem Digital Markets Act (DMA) neue Regelungen für digitale Märkte. Apple-Konzern-Chef Tim Cook kritisiert in einem Interview, dass dadurch Sicherheitslücken und Datenschutzrisiken entstehen, denn durch die neuen Vorgaben wären sie gezwungen, andere App Stores auf dem iPhone zu erlauben.

Laut eigener Aussage prüft Apple alle Apps und Updates im eigenen Store auf Datenschutzkonformität und betrügerische Absichten. Apps, die aus anderen Quellen bezogen werden (auch bekannt als Sideloading), sind von diesen Sicherheitsmaßnahmen natürlich ausgeschlossen.

Allerdings wird Apple auch vorgeworfen, dass es Spam-Apps, den Sicherheitsvorkehrungen zum Trotz, immer wieder in den Store schaffen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/app-store-apple-warnt-vor-folgen-von-eu-digital-regeln-2106-157573.html

Mittlerweile ist ein neues Gesetzespaket in Kraft getreten, mit dem beleidigende und/oder bedrohende Kommentare jeder Art unter härtere Strafen gestellt werden.

Laut Bundesjustizministerin Christine Lambrecht können Polizei und Justiz nun „sehr viel entschiedener gegen menschenverachtende Hetze vorgehen“. Die neuen Gesetzesänderungen sollen den einzelnen Menschen wie auch die demokratische Gesellschaft als Ganzes schützen. Es soll verhindert werden, dass Menschen für Erscheinung oder Herkunft angegriffen oder aus dem öffentlichen Dialog verdrängt werden.

Folgende Paragrafen des Strafgesetzbuches wurden erweitert/verschärft:

• 241 StGB: Bis zu einem Jahr Freiheitsstrafe oder Geldstrafe für Drohungen mit Verbrechen gegen die sexuelle Selbstbestimmung, körperliche Unversehrtheit, persönliche Freiheit oder Sachen von bedeutendem Wert (z. B. Auto). Bis zu zwei Jahre, wenn die Tat öffentlich begangen wird. Bis zu drei Jahre bei einer öffentlichen Drohung.
• 185 StGB: Bis zu zwei Jahre für öffentliche Beleidigung.
• 188 StGB: Personen des politischen Lebens (auf allen Ebenen) stehen unter besonderem Schutz vor Beleidigungen, übler Nachrede und Verleumdung.
• 140 StGB: Belohnung und Billigung (einschließlich öffentlicher Befürwortung) von schweren Straftaten ist strafbar, unabhängig davon, ob die Tat tatsächlich begangen wurde.
• 126 StGB: Störung des öffentlichen Friedens durch Androhung gefährlicher Körperverletzung oder Vergewaltigung ist jetzt strafbar.
• 46 Abs. 2 StGB: Antisemitisch motivierte Taten sind nun strafschärfend.
• 115 StGB: Personen im ärztlichen Notdienst und in Notaufnahmen werden nun genau wie Rettungskräften im Einsatz besser geschützt.

Ferner werden soziale Netzwerke ab Februar 2022 in die Pflicht gestellt, besonders auffällige Posts an das Bundeskriminalamt, zusammen mit IP-Adresse und Port-Nummer des dazugehörenden Nutzerprofils, zwecks Strafverfolgung weiterzuleiten.

Soziale Netzwerke müssen einen Post melden, wenn er folgendes enthält:

• Propaganda und Kennzeichen verfassungswidriger Organisationen
• Vorbereitung von staatsgefährdenden Gewalttaten sowie Bildung oder Unterstützung von kriminellen/terroristischen Vereinigungen
• Volksverhetzung, Gewaltdarstellungen und Androhung von Straftaten
• Belohnung und Billigung von Straftaten
• Androhungen von Verbrechen gegen Leben, sexuelle Selbstbestimmung, körperliche Unversehrtheit oder persönliche Freiheit
• Kinderpornografie

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/gesetzespaket-gegen-hass-und-hetze-ist-in-kraft-getreten-17956

Die Arbeitsgruppe DIG (Datenschutz und IT-Sicherheit im Gesundheitswesen) der GMDS (Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V.) hat zusammen mit der GDD (Gesellschaft für Datenschutz und Datensicherheit e. V.) die Praxishilfe „Die datenschutzrechtliche Einwilligung: Freund (nicht nur) des Forschers“ erstellt: https://gesundheitsdatenschutz.org/download/einwilligung_2021.pdf

Die Praxishilfe liefert – primär für den Forschungsbereich – eine aktuelle Hilfestellung wie und warum die Einwilligung zur Verarbeitung personenbezogener Daten vorgenommen wird. Es wird darauf eingegangen was besonders häufig gefragt wird (in einem 30-seitigen FAQ), worauf besonders zu achten ist und was die aktuelle Rechtsprechung sagt.

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/datenschutz-neue-praxishilfe-zur-einwilligung-17958

Das Bundesgesundheitsministerium und der Datenschutzbeauftragte Hamburgs, Johannes Caspar, warnen davor, den eignen Impfpass nach einer Coronaschutzimpfung im Internet zu posten.

Grundsätzlich sollten natürlich so wenig wie möglich persönliche Daten (wie etwa Impfungen) online veröffentlicht werden.
Die Daten auf dem Impfpass im speziellem (Termin, Name des Impfstoffes und Chargennummer) ermöglichen es theoretisch jedem, dem Paul-Ehrlich-Institut auf der Website nebenwirkungen.bund.de und der SafeVac-App (falsche) Angaben über die Nebenwirkungen zu senden. Dort werden nämlich nur der Impftermin und die Chargennummer, nicht etwa Namen und Kontaktdaten, abgefragt.

Außerdem lassen die Daten des Impfpasses Rückschlüsse auf eventuelle Vorerkrankungen zu.

Weitere Informationen finden Sie hier:

https://www.golem.de/news/impfkampagne-datenschuetzer-warnen-vor-impfpass-fotos-im-netz-2104-155998.html

Distributed-Denial-of-Service (DDoS) Angriffe sind gezielte Angriffe, die von Cyberkriminellen genutzt werden, um die Server und Webdienste von Unternehmen zum Ausfall zu bringen. Dabei entstehen hohe Ausfallzeiten & damit einhergehende Einnahmeverluste, potenziell in Millionenhöhe.

Ein DDoS-Angriff beginnt, indem Hacker per Internet zugängliche, ungeschützte Geräte infizieren. Diese Geräte, bzw. deren Rechenleistung, werden in einem Botnetz zusammengeführt, welches anfängt, an einen Server (das eigentliche Ziel des Angriffs) mit Anfragen zu überschütten. Der Server wird somit überlastet. Die Anfragen werden stark verteilt, was eine Unterscheidung zwischen falschen und legitimen Anfragen erschwert.

DDoS-Angriffe können Teil von Erpressungsversuchen, Sabotageakte der Konkurrenz oder politisch motivierten Protesten sein. Wirklich verhindern lassen sich solche Angriffe kaum. Entsprechende Maßnahmen können aber zur Schadensbegrenzung beitragen.

Maßnahmen zur Abwehr:

• Schützen Sie Ihre Domänennamen mit Register-Sperren und bestätigen Sie korrekte Domänenregistrierungsdetails wie Kontaktdetails.
• Stellen Sie sicher, dass Ihre Kontaktdetails für Service Provider rund um die Uhr gepflegt werden und dass die Provider wiederum die Kontakte ihrer Kunden pflegen.
• Implementieren Sie eine Verfügbarkeitsüberwachung, die im Falle eines DDoS-Angriffs in Echtzeit Alarm schlägt.
• Trennen Sie Dienste wie Web-Hosting, die häufig ins Visier genommen werden, von anderen Diensten (wie etwa E-Mails).
• Halten Sie eine statische Version Ihrer Website bereit, die mit wenig Bandbreite im Falle eines DDoS-Angriffs eingestellt werden kann.
• Greifen Sie auf Cloud-basiertes Hosting von einem oder mehreren großen Providern zurück, die hohe Bandbreite bereitstellen und deren Netzwerke nicht-dynamische Websites zwischenspeichern.
• Ziehen Sie auch in Erwägung, einen Abschnitt in den Disaster-Recovery-Plan zu integrieren, damit Mitarbeiter im Unternehmen auch während eines Angriffs effizient kommunizieren können.
• Es gibt auch DoS-Services, die Datenverkehr filtern und somit Anomalien aufspüren.

Erste Schritte bei Verdacht eines Angriffs:

• Kontaktieren Sie Ihren Netzwerkadministrator. Klären Sie zuerst, ob Wartungsarbeiten oder Netzwerkprobleme die Ursache sein könnten. Überwachen Sie den Netzwerkverkehr um tatsächliche Angriffe zu bestätigen, die Quelle zu identifizieren und Firewall-Regeln anzuwenden.
• Kontaktieren Sie Ihren Internet-Service-Provider, ob es einen Ausfall gab oder ob der Provider seinerseits das Opfer eines Angriffs wurde.

Weitere Informationen finden Sie hier:

https://www.secupedia.info/aktuelles/wenn-hacker-webseiten-in-die-knie-zwingen-17927

Mit dem kommenden Registermodernisierungsgesetz soll die öffentliche Verwaltung digitalisiert werden. Für den Zweck der Zuordnung wird dann jeder Bürger eine digitale Identifizierungsnummer erhalten – dafür soll die Steuer ID dienen. Auch ein sogenanntes Datenschutzcockpit soll eingerichtet werden, über welches der Bürger mithilfe seiner ID den ihn/sie betreffenden Datenaustausch zwischen öffentlichen Stellen jederzeit verfolgen kann.

Das Gesetz wurde im Januar 2021 beschlossen und im März 2021 vom Bundesrat trotz Warnungen und Kritik abgesegnet.

So gab z. B. die Friedrich-Naumann-Stiftung ein Rechtsgutachten heraus, laut dem die geplanten Schutzmechanismen umgehbar seien – folglich könnten auch die gespeicherten Daten missbraucht werden.

Dass auf diesem Wege Daten aus verschiedenen Lebens- und Verwaltungsbereichen zusammengeführt werden, ist auch verfassungsrechtlich als bedenklich einzustufen. Denn theoretisch ermöglicht das dem Staat die Profilerstellung und damit einhergehende Überwachung der Bürger.

Weitere Informationen finden Sie hier:

https://www.golem.de/news/digitalisierte-verwaltung-gesetz-fuer-buergeridentifikationsnummer-verkuendet-2104-155538.html