Kategorie: Datenschutz

Mit über 300 Millionen Faxnummern, die nach einer einfachen Google-Suche genutzt werden können, scheint es noch lange nicht so weit zu sein, dass Faxe der Vergangenheit angehören. Diesen Umstand haben sich Sicherheitsforscher aus Israel und den USA genauer angesehen. Mithilfe eines manipulierten Fax könnten Angreifer bei All-in-one-Geräten einen Speicherfehler (stack overflow) auslösen und damit zusätzliche Rechte im Firmennetzwerken übernehmen.
Laut Experten ist die Faxtechnik absolut unsicher, denn seit über 30 Jahren haben sich deren Protokolle nicht geändert. Um Netzwerke wirkungsvoll vor unerlaubten Zugriffen zu sichern, müssten Faxgeräte und Drucker in einem eigenen Netzwerk eingerichtet werden.

Mehr zum Thema finden Sie hier:
https://www.zeit.de/digital/datenschutz/2018-08/hacker-fax-sicherheitsluecke-it-infrastruktur-drucker

Eine E-Mail-Adresse ist im Internet schnell und unkompliziert zu erhalten. Mit dieser Adresse authentifizieren wir uns bei Online-Händlern, Facebook und Co. sowie bei Webdiensten. Sollte ein Passwort nicht zur Hand oder vergessen worden sein, erhalten wir meist umgehend ein neues Passwort per E-Mail zugesandt. Einfach – aber nicht frei von Risikofaktoren. 

Viele kostenlose E-Mail-Adressen werden von ihren Nutzern zwar angelegt und verwendet, doch einige nutzen nach einer gewissen Zeit die Postfächer nicht mehr. Die FreeMail-Provider geben bei E-Mail-Adressen, die
länger nicht genutzt wurden, die Postfächer wieder für andere Nutzer frei. Das Problem hierbei ist, dass es für Angreifer keiner großen Anstrengung bedarf, bestimmte Daten ihrer Vorbesitzer für kriminelle Machenschaften zu nutzen. Nicht jeder Nutzer weiß sicher genau, wo er welche E-Mail-Adresse für seine Webdienste verwendet und ob er für seine Dienste alle E-Mail-Adressen umgestellt hat. Eine Auswertung von mehr als 600 Millionen FreeMail-Adressen hat ergeben, dass rund 33,5 Prozent nicht mehr gültig sind.

Zur Zeit einziger FreeMail-Anbieter mit einem sicheren Konzept ist Google, der an seine Kunden nur ein einziges Mal eine E-Mail-Adresse vergibt, die anschließend nie wieder erhältlich ist.

Mehr zum Thema finden Sie hier:
https://www.it-business.de/identitaetsdiebstahl-ueber-abgelegte-e-mail-adressen-a-739357/

Der Kurznachrichtendienst warnt seine über 330 Millionen Nutzer vor einer Sicherheitslücke. Die Nutzer werden dazu aufgerufen ihre Passwörter umgehend zu ändern. Ein Fehler in der Software hat dazu geführt, dass Passwörter unverschlüsselt in ein internes Verzeichnis gespeichert wurden. Einen konkreten Hinweis auf Missbrauch der Daten gebe es zur Zeit nicht, daher gilt der Aufruf an die Nutzer als Vorsichtsmaßnahme. Laut des Onlinekurzmitteilungsdienst ist der interne Fehler bereits behoben worden. 

Mehr zum Thema finden Sie hier: https://www.zeit.de/digital/datenschutz/2018-05/sicherheitsluecke-twitter-nutzer-passwoerter-datenschutz

Der Webhoster Domainfactory musste eine schwere Datenpanne melden. Dabei sind nicht nur brisante und umfangreiche Kundendaten wie Name, Firmenname, Anschrift, Telefonnummer, Telefon-Passwort, Geburtsdatum, Bankname und Kontonummer (z.B. IBAN oder BIC) sowie Schufa-Score verloren gegangen, der Angreifer konnte sich ebenso Zugriff auf mehrere Systeme im Firmennetz verschaffen. Mit diesen Daten ist es ein leichtes Spiel für jeden Angreifer die Identität der Betroffenen zu missbrauchen. Die Preisgabe der Kundendaten erfolgte offensichtlich über einen fehlerhaften XML-Feed, der eigentlich nur Fehleingaben der Kunden sammeln sollte.  Ausgerechnet in der Zustimmung zur neuen DSGVO war der schwerwiegende Fehler auszumachen. Wie viele Daten tatsächlich gestohlen werden konnten, steht bis heute nicht sicher fest.

Kunden von Domainfactory sind aufgefordert, umgehend ihre Passwörter für alle Domainfactory-Konten zu ändern.

Mehr zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/Wegen-DSGVO-Panne-Domainfactory-Kundendaten-waren-als-XML-Feed-offen-im-Netz-4107074.html

Wieder konnten Hacker ungehindert Daten stehlen. Diesmal traf es einen französischen Hersteller, der weltweit Buchungssoftware für Hotelketten bereitstellt. Offenbar konnten die Täter über eine Schwachstelle in einer auf dem Server gehosteten Anwendung einen Remote-Access-Trojaner (RAT) einschleusen. Dieser konnte Informationen über Hotelgäste mit Namen, E-Mail-Adressen sowie Angaben zur Nationalität und möglicherweise die Postanschrift entwenden. In einem zweiten Angriff haben die Diebe Kreditkartennummern gestohlen, die diese durch Kombination mit den weiteren erbeuteten Daten zuordnen könnten. 

Mehr zum Thema finden Sie hier:
https://www.heise.de/security/meldung/Datenleck-bei-FastBooking-Hacker-klauen-Daten-von-ueber-124-000-Hotelgaesten-4093080.html

Nach einem Urteil des Europäischen Gerichtshofes sind Betreiber einer Fanpage auf Facebook mitverantwortlich bei Datenschutzverstößen. Dies brachte unter den Betreibern eine große Verunsicherung mit sich, den tatsächlich haben sie keinen Einfluss auf die Datenschutzbestimmungen von Facebook. Vielen blieb nur, die Seiten abzuschalten, um nicht eine Abmahnung zu riskieren.

Seit September gibt es nun eine Erweiterung der Datenschutzbestimmungen um die „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“. Hierin wird die gemeinsame Verantwortung des Fanpage-Betreibers zusammen mit Facebook Ireland proklamiert, wie es bereits durch den EuGH festgestellt wurde.

Die Seiten Insights ist ein durch Facebook bereitgestelltes Tool, um statistische Auswertungen zu erhalten. Für die Seitenbetreiber sind diese Auswertungen zwar anonym, beruhen allerdings auf personenbezogenen Daten, die durch Facebook erhoben werden. Durch den Nutzen, den die Seitenbetreiber durch dieses Tool erlangen, wird abgeleitet, dass auch der Seitenbetreiber die Zwecke der Datenverarbeitung mitfestlegt und damit als gemeinsam Verantwortlicher neben Facebook auftritt. Die Datenverarbeitung ist durch die Seitenbetreiber nicht beeinflussbar und auch nichtabschaltbar.

Folgerichtig hat Facebook in seiner Ergänzung festgestellt, dass Facebook Ireland die primäre Verantwortung gemäß der DSGVO übernimmt und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten erfüllt. Dem Seitenbetreiber obliegt es nach den Ergänzungen allerdings, die entsprechende Rechtsgrundlage bereit zu halten, dies und den Verantwortlichen zu nennen und jedwede sonstigen rechtlichen Pflichten zu erfüllen.

Die Verunsicherung konnte damit zwar nicht gänzlich ausgeräumt werden, da weiterhin einige Fragen offen geblieben sind. Sofern man allerdings die neuen Vorgaben beachtet, kann die Fanseite problemlos weiterbetrieben werden.

Wie sieht die Rechtslage aus?

Kontaktformulare werden beinahe auf jeder Webseite eingesetzt, um dem Besucher eine möglichst unkomplizierte Form der Kontaktaufnahme zu ermöglichen. Über das Kontaktfomular werden Daten verarbeitet und übermittelt. Der Webseiten-Betreiber ist gem. §13 TMG kurz gesagt verpflichtet, den Nutzer des Kontaktformulars darüber zu informieren, dass und wie seinen Daten verarbeitet werden. Immer mehr Gerichte gehen dazu über Datenschutzverstöße auf Webseiten als abmahnfähig zu beurteilen. Den Auftakt für das Kontaktformular gab das OLG Köln Anfang des Jahres. (Urteil vom 11.03.2016 –Az.: 6 U 121/15).
Das BDSG sieht zudem in §3a vor, dass der Grundsatz der Datenvermeidung und -sparsamkeit zu beachten ist, was dazu führt, dass Sie Pflichtfelder kennzeichnen und auf das Notwendigste beschränken sollten.
Hinzu kommt, dass bereits im vergangenen Jahr die bayrische Datenschutzaufsichtsbehörde dazu übergegangen ist, Webseiten-Betreibern Bußgelder aufzuerlegen, die bei der Verwendung von Kontaktformularen keine Verschlüsselung der Daten bereitstellten.

Was ist zu tun?

Was müssen Sie also beachten, wenn Sie auf Ihrer Webseite ein Kontaktformular anbieten?

1. Informieren Sie die Besucher über die Verwendung der Daten, z.B. durch nachfolgende Mustererklärung.
2. Minimieren und kennzeichnen Sie Pflichtfelder, z. B. mit dem üblichen Sternchenhinweis.
3. Verschlüsseln Sie die Datenübertragung, z.B. durch TLS.

Mustertext für das Kontaktformular

Fügen Sie eine Belehrung unterhalb des Kontaktformulars, aber oberhalb des „Absenden-Buttons“ ein. Verwenden Sie gern unter Bezugnahme auf unsere Webseite den nachfolgenden Mustertext wie folgt und prüfen Sie bzw. stellen sicher, dass der Inhalt tatsächlich mit der Datenverarbeitung übereinstimmt:

Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Forscher des IT-Sicherheitsanbieters Digital Shadows haben eigenen Angaben zufolge weltweit rund 1,5 Milliarden Datensätze in falsch konfigurierten und daher frei zugänglichen Online-Speichern gefunden. Darunter befinden sich sensible Informationen wie medizinische Daten, Gehaltsabrechnungen oder Patente. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält das Vorgehen der Forscher und die Funde für plausibel. Deutschland belegt innerhalb Europas dabei leider den ersten Platz. Hier fanden die Forscher über 122 Millionen Dateien, die für jeden frei zugänglich waren oder noch sind.

Mehr zum Thema finden Sie hier:
https://www.computerbase.de/2018-04/datensicherheit-milliarden-dateien-schutz/

Die Verordnung (EU) 2016/679 (EU-Datenschutz-Grundverordnung) löst die Europäische Datenschutzrichtlinie aus dem Jahr 1995 (RL 95/46/EG) mit dem Ziel der Harmonisierung und Modernisierung des europäischen Datenschutzrechts ab. Sie fördert den Schutz der Betroffenen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten (Artikel 1 Absatz 1 Datenschutz-Grundverordnung).

Die bis zum 25. Mai 2018 geltende Datenschutzrichtlinie hatten die Mitgliedstaaten sehr unterschiedlich umgesetzt. Ein Flickenteppich mitgliedstaatlicher Regelungen hinderte den grenzüberschreitenden Datenverkehr in der Europäischen Union. Die Datenschutz-Grundverordnung schafft einen einheitlichen und unmittelbar geltenden Rechtsrahmen, der den freien Verkehr personenbezogener Daten in der Europäischen Union gewährleistet. Dies ist eine wichtige Voraussetzung für die Vollendung des digitalen Binnenmarkts und für gleiche Wettbewerbsbedingungen in der Europäischen Union. Zu einer einheitlichen Rechtsanwendung trägt der Europäische Datenschutzausschuss, der Zusammenschluss der Aufsichtsbehörden aller Mitgliedstaaten auf der Ebene der Europäischen Union, bei. Dieser entscheidet künftig verbindlich über zentrale Fragen der Datenschutz-Grundverordnung. Mit der federführenden Aufsichtsbehörde am Ort der Hauptniederlassung steht Unternehmen mit grenzüberschreitenden Datenverarbeitungstätigkeiten künftig ein zentraler Ansprechpartner zur Verfügung (sog. One Stop Shop-Prinzip).

Gleichzeitig wird das europäische Datenschutzrecht modernisiert und das Grundrecht auf Schutz der personenbezogenen Daten aus Artikel 8 der Europäischen Grundrechtecharta gestärkt. Die Betroffenen erhalten mehr Kontrolle und Transparenz bei der Datenverarbeitung, auch und gerade im digitalen Zeitalter. Durch die Datenschutz-Grundverordnung werden die Anforderungen an eine rechtswirksame Einwilligung der betroffenen Personen erhöht und deren Rechte, insbesondere auf Information und Auskunft, erweitert. Die Datenschutzbehörden erhalten weit reichende Abhilfebefugnisse; bei Verstößen gegen die Datenschutz-Grundverordnung können sie Geldbußen bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen. Auch Unternehmen außerhalb der Europäischen Union unterliegen der Datenschutz-Grundverordnung, wenn sie Waren oder Dienstleistungen in der Europäischen Union anbieten oder das Verhalten von Personen in der Europäischen Union beobachten (sog. Marktortprinzip).

Eine ausführliche Übersicht zum Thema finden Sie hier:
https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html

Quelle: Bundesministerium des Innern, für Bau und Heimat