Autor: Online Redaktion

Johannes Caspar, Hamburgs Datenschutzbeauftragter, kritisiert die neue Luca-App für mangelhafte Transparenz.

Er kritisiert unter anderem, dass nach wie vor keine Datenschutzfolgenabschätzung vorliegt – eine Risikoanalyse, mit der mögliche Folgen bei den Verarbeitungsvorgängen von Daten im Sinne der DSGVO ermessen werden. Diese liegt üblicherweise vor der Inbetriebnahme einer App vor und müsse laut Caspar dringend nachgereicht werden.

Der Entwickler der App, Nexenio, hat den Quellcode zudem zwar bereitgestellt, aber ursprünglich unter einer selbstgeschriebenen Lizenz, die das Weiterleiten oder Kopieren des Quellcodes verbietet. Außerdem erlaubte sie lediglich eine Sichtung des Codes in privatem Rahmen, nicht etwa zu beruflichen Zwecken, etwa um ein Audit zu erstellen.

Mittlerweile (und als Resultat von Kritik) steht der Code unter der GNU GPLv3 (General Puplic License, Version 3).

Weitere Informationen finden Sie hier:

https://www.golem.de/news/mangelnde-transparenz-datenschuetzer-caspar-kritisiert-luca-app-2104-155486.html

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat am 26. März eine Stellungnahme veröffentlicht, in der sie praxisnahe Lösungen zur Corona-bedingten Kontaktverfolgung anbietet.

Man bezieht sich dabei in erster Linie auf die App „luca“ des Unternehmens Culture4life. In dem Zusammenhang werden Digitale Verfahren zur Datenverarbeitung benötigt, welche im Einklang mit dem Datenschutz stehen. Digitalisierung bietet den Vorteil, dass Gesundheitsämter effektiver arbeiten können und die Dokumentationspflicht für Veranstalter erleichtert wird. Außerdem sind die Daten digital hinterlegt sicherer als auf Papier – entsprechende Sicherheitsmaßnahmen vorausgesetzt.

Im Vordergrund steht noch das Risiko der zentralen Datenspeicherung – bei unbefugtem Zugriff würden dann immer eine große Zahl Daten kompromittiert. Culture4life will solchen Fällen mit Verschlüsselung entgegenwirken, wobei ein Veranstalter mit einem Gesundheitsamt jeweils eine Entschlüsselung der Daten erwirken müsste. Die DSK sieht hierbei kritisch, dass allen Gesundheitsämtern die gleichen Schlüssel vorliegen, die auch zentral von Culture4life verwaltet werden.

Die DSK regt außerdem Gesetzgeber auf Landes- und Bundesebene an, gesetzliche Regelungen für die digitale Kontaktnachverfolgung einzuführen, die es bislang nicht gibt.

Weitere Informationen finden Sie hier:

https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2021/06_DSK-Kontaktnachverfolgung-Apps.html

bzw.
https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf?__blob=publicationFile&v=2

Am 03.03.2021 hat Microsoft Informationen und Patches zu mehreren erheblichen Sicherheitslücken in ihrem Exchange-Mailserver-Produkt veröffentlicht, die zu diesem Zeitpunkt bereits aktiv ausgenutzt wurden und durch die Veröffentlichung seitdem umso mehr und weiterhin ausgenutzt werden, nicht mehr nur von den ursprünglichen Angreifern.

Eine Ausnutzung der Lücke führt zu unbeschränkten Systemrechten auf dem betroffenen Mailserver und kann in den meisten Kundenumgebungen weiterhin auch die komplette Übernahme der Active-Directory-Domäne bedeuten.

Folgendes konnte in betroffenen Netzwerken bereits beobachtet werden:

– Extraktion der Postfach-Inhalte
– Extraktion weiterer Dateien (unabhängig von Mailpostfach-Inhalten) von weiteren Windows-Servern in der Domäne
– erfolgreicher Angriff auf das Haupt-Administrator-Konto der Windows-Domäne, sodass die Angreifer sämtliche Privilegien in der gesamten Active-Directory-Struktur erlangen konnten
– Anlegen neuer Administrator-Konten für die Angreifer, Deaktivieren der legitimen Erheblichen Sicherheitslücken in ihrem Exchange-Mailserver-Produkt

Da die von den ursprünglichen Angreifern abgelegte sogenannte „Webshell“ auch für andere böswillige Akteure zu deren Nutzung offensteht (und Erpressung von Unternehmen per Datenverschlüsselung lukrativ ist), ist die Gefahr, dass diese Lücken auch für Ransomware / Datenverschlüsselung, Datenmanipulation / -Löschung etc. genutzt werden, sehr hoch.

Einzige Möglichkeit zur Behebung der Lücke ist die Installation der in der letzten Woche von Microsoft diesbezüglich veröffentlichten Patches. Es gibt keinen anderen Workaround, außer die Webschnittstelle des Exchange-Server komplett aus dem Internet unerreichbar zu machen per Firewall.

Nach dem Patchen muss geprüft werden, ob der Server bereits über die Lücke kompromittiert wurde. Das Ziel der ursprünglichen Hacker waren zwar US-amerikanische Server, aber seitdem haben andere Angreifer auch die Server im übrigen Teil der Welt über die nun bekannten Lücken angegriffen.

Bei festgestellter Kompromittierung ist eine Überprüfung der Exchange-Server und der Domäne erforderlich, mindestens eine Passwortänderung aller administrativen Domänenkonten sowie gegebenenfalls weitere Maßnahmen.

Weitere Informationen erhalten Sie hier:
https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegba

Wenn Sie unsere Hilfe benötigen, rufen Sie uns umgehend an:
Telefon: 02191-909404

Die EU-Kommission gibt dem britischen Datenschutz-Standard das OK. Der Datenfluss von persönlichen Daten zwischen EU und Großbritannien wäre damit wie bisher möglich.

Hierbei mussten zwei Adäquanzentscheidungen beantwortet werden:

• Persönliche Daten müssen in Großbritannien gleich gut geschützt sein wie in der EU
• Die Nutzung der Daten ist durch Sicherheitsbehörden rechtlich gedeckt

Trotz britischer Massenüberwachung von Kommunikationsdaten durch den Geheimdienst GCHQ hält die Kommission den Datenschutz für ausreichend, da die Datenspeicherung Sicherheitsmaßnahmen und juristischen Kontrollen unterliege. Der EU-Gerichtshof hält ebenjene Überwachung hingegen für nicht vereinbar mit der Grundrechtecharta der EU.

Die Adäquanzentscheidungen könnten auch vor Gericht landen, wenn Aktivisten dagegen klagen. Jede Änderung, die GB am Datenschutzgesetz vornimmt, müsste dann erneut von der EU-Kommission geprüft werden.

Zustimmen müssen jetzt noch die EU-Staaten. Außerdem muss Großbritannien ebenso das Datenschutzniveau der EU anerkennen, was aber eine reine Formalität sein dürfte.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/trotz-massenueberwachung-eu-kommission-gibt-okay-fuer-datenfluesse-nach-grossbritannien/

Eine nationalstaatlich verbundene Hackergruppe nutzt aktuell Zero-Day-Schwachstellen aus, die in Microsofts E-Mail-Exchange-Servern gefunden wurden.

Von den Schwachstellen betroffen sind die lokalen Exchange-Server 2010, 2013, 2016 und 2019, nicht jedoch Exchange Online. Bitte seien Sie sich der Gefahr bewusst und handeln Sie sofort.

Microsoft empfiehlt, dringend Maßnahmen zu ergreifen und hat bereits Patches für alle lokalen Exchange-Deployments zur Behebung des Problems bereitgestellt. Wechseln Sie zu den aktuellen Exchange Cumulative-Updates und installieren Sie die entsprechenden Patches manuell.

Informieren Sie auch entsprechend Ihre Kunden.

Weitere Informationen finden Sie hier:
https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegbar/
und
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=7

In Deutschland, Österreich und der Schweiz kommen Arbeiter im Homeoffice immer stärker durch Cyberangriffe unter Beschuss. Insbesondere auf Microsofts Remote-Desktop Protokol (RDP), welches den einfachen Fernzugriff auf Windows-Betriebssysteme ermöglicht, wurde im Dezember 2020 täglich 14,3 Millionen mal zum Ziel von Cyberkriminellen (im Vergleich zu 310.000 mal im Januar 2020). In der zweiten Corona-Welle haben die Angriffe um 110% zugenommen, wobei Daten gestohlen und/oder Schadsoftware eingeschleust wurde. Vor allem kleine und mittelständige Unternehmen sind immer noch nicht ausreichend abgesichert und seien, laut ESET-Sprecher Thorsten Urbanski „offen wie ein Scheunentor“. Er rät IT-Verantwortlichen, umgehend zum Handeln.

Das können Sie für eine sicherere Verbindung tun:

• Die Anzahl der Nutzer, die eine RDP-Verbindung nutzen, möglichst gering halten.
• Starke Passwörter und MultiFaktor-Authentifizierung nutzen.
• Ein Virtual Private Network (VPNGateway) für Fernzugriffe nutzen.
• Accounts, die Opfer von BruteForce-Attacken werden, automatisch ausloggen.
• Die StandardPort Nummer (3389) des RDP-Protokolls ändern.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/homeoffices-unter-beschuss-rdp-angriffe-steigen-um-4516-prozent-17905

Corona bedingt bestellen Menschen jetzt öfter online und erwarten entsprechend öfter Pakete. In einer neuen Betrugsmasche verschicken Täter jetzt SMS, die eine Paketbestellung simulieren soll:

„Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. http://………..duckdns.org“

Alle Links haben dabei die Endung „duckdns.org“ gemeinsam.
Durch Anklicken des Links wird Schadsoftware gedownloaded, die zum einen den Fernzugriff auf das Handy ermöglicht (wodurch Daten gestohlen werden) und zum anderen weitere SMS mit den schadhaften Links verschickt.

 

Das können Sie tun:

• Fragen Sie sich, ob sie etwas bestellt haben und ein Paket erwarten.
• Fragen Sie sich, wie die früherer Bestellungen von Lieferanten aussahen.
• Folgen Sie keinen unbekannten Links und installieren Sie keine Software von unbekannten Quellen (das Installieren unbekannter Apps lässt sich auch deaktivieren).
• Richten Sie eine Drittanbietersperre durch Ihren Mobilfunkprovider ein.

 

Wenn Sie bereits auf einen solchen Link geklickt haben, rät die Polizei:

• Versetzen Sie Ihr Handy in den Flugzeugmodus.
• Prüfen Sie, ob Kosten durch das Versenden von SMS entstanden sind.
• Informieren Sie Ihren Mobilfunkanbieter.
• Erstatten Sie Anzeige bei der Polizei. Bringen Sie dabei Handy, sowie evtl. Bildschirmfotos und SMS-Rechnungen mit.
• Starten Sie Ihr Smartphone im abgesicherten Modus und deinstallieren Sie ungewollt installierte Apps.

 

Weitere Informationen finden Sie hier:
https://www.wochenblatt.de/polizei/regensburg/artikel/349090/polizei-warnt-vor-sms-mit-schadsoftware

Den Strafverfolgungsbehörden aus mehreren Ländern ist ein entscheidender Erfolg gegen die Cyberkriminalität gelungen, als sie die Infrastruktur der Schadsoftware Emotet übernahmen und somit unschädlich machten.

Emotet, das berüchtigte Malware-Programm, fälschte selbst für erfahrene Anwender täuschend echte E-Mails und lud eine große Anzahl Malware auf infizierte Rechner. Das BKA schätzt den deutschlandweit verursachten Schaden auf mindestens 14,5 Millionen Euro.
Durch das Übernehmen der Infrastruktur kann Emotet nun keine weiteren Systeme infizieren. Außerdem können bereits infizierte Systeme ermittelt und die betroffenen Anbieter kontaktiert werden.

Es zeigt, dass sich die zuständigen Behörden gemeinsam erfolgreich gegen die Bedrohungen der Cyberwelt zur Wehr setzen können.
Gleichzeitig verschärft sich stetig die Bedrohungslage im digitalen Raum. Grund zur Nachlässigkeit in Sachen Sicherheit besteht nicht, denn Emotets Lücke wird von Cyberkriminellen mit neuen Schadprogrammen geschlossen. Emotets Nachfolger stehen schon in den Startlöchern.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/die-emotet-nachfolger-stehen-schon-in-den-startloechern-17848

Der Online-Elekrohändler Notebooksbilliger.de überschreitet deutlich, was im Rahmen der rechtlichen Vorgaben für Videoaufzeichnungen erlaubt ist.

Barbara Thiel, Datenschutzbeauftragte von Niedersachen, erklärt, dass die Überwachung ohne Rechtgrundlage Arbeitsplätze, Aufenthaltsräume, Lager & Verkaufsräume über 2 Jahre hinweg ohne Rechtsgrundlage erfasst hat. Sowohl Mitarbeiter als auch Kunden dürften davon betroffen sein. Er ginge hierbei nicht um konkrete Verdachtsfälle von etwaigen Straftaten. Ferner wurden Aufnahmen länger als 2 Monat gespeichert.

Notebooksbilliger.de Chef Oliver Hellmond, argumentiert hingegen, es ginge nur um die Verfolgung von Waren und die Vorbeugung von Diebstahl. Die Aufzeichnungen würden bei Vorfällen nur im Nachhinein auf Hinweise untersucht. Er bezeichnet das Vorgehen als Standard in Versand- und Logistikunternehmen und hält das Bußgeld in der Rekordhöhe von 10,4 Millionen Euro für unverhältnismäßig.

Weitere Informationen finden Sie hier:
https://www.n-tv.de/wirtschaft/Notebooksbilliger-de-soll-Millionen-zahlen-article22279037.html

Ein Überblick über die kommenden Regelungen in Bezug auf Datenschutz.

Brexit: Im Vertrag zwischen der EU und Großbritannien wird auch der Transfer von personenbezogenen Daten geregelt. Aktuell steht noch in Frage, ob es innerhalb der nächsten 6 Monate zu einer sogenannten Adäquanzentscheidung kommt, nach der ein der EU ähnliches Datenschutzniveau für Großbritannien als Drittstaat gelten würde.

TTDSG: Das Telekommunikations-Telemedien-Datenschutz-Gesetz deklariert alle Cookies auf Webseiten als einwilligungspflichtig (ausgenommen technisch notwendige). Was in der Praxis in Form von Cookie-Bannern bereits (weitestgehend) umgesetzt ist, wird erwartungsgemäß dieses Jahr als Gesetz verabschiedet.

IT-SiG 2.0: Das IT-Sicherheitsgesetz 2.0 reguliert das Meldewesen, sowie eine Mindestsicherheit bei IT-Sicherheits-Vorfällen in sogenannten Kritischen Infrastrukturen. Ein „IT-Sicherheitssiegel“ soll dabei die Sicherheit entsprechender Produkte für Verbraucher klarer erkennbar machen. Nebenbei sollen Befugnisse des BSI gestärkt und die Bußgelder für Verstöße angepasst werden.
Ein Entwurf für das Gesetz wurde bereits 2019 vorgelegt und soll dieses Jahr in Kraft treten.

FISG: Das Gesetz zur Stärkung der Finanzmarktintegrität soll Finanzmanipulationen vorbeugen (und wird deshalb auch „Wirecard-Gesetzt“ genannt.) Möglicherweise werden hierbei Managementsysteme herangezogen, um Risiken zu steuern und Firmen an Best Practises (wie etwa die Standards der ISO) zu binden.

Weitere Informationen finden Sie hier:
https://www.berliner-zeitung.de/zukunft-technologie/compliance-regelungen-im-neuen-jahr-li.129711