Informationen des BSI nach erneutem Datenklau

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert in seinen Pressemitteilungen über den neu bekannt gewordenen Fall von Identitätsdiebstahl. Demnach hat die Staatsanwaltschaft Verden (Aller) dem BSI einen Datensatz mit 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt, die von diesem Datenklau betroffen sind.
Nach Analyse und Bereinigung durch das BSI verbleiben 18 Millionen betroffene E-Mail-Adressen, darunter befinden sich etwa 3 Millionen deutsche E-Mail-Adressen.

Das BSI hat bereits Maßnahmen ergriffen und informiert auf seiner Website www.bsi.de über die aktuellen Entwicklungen.

Folgende Schritte können Betroffene durchführen:

a)    Durchführen eines Sicherheitstest, beschrieben unter https://www.sicherheitstest.bsi.de/
b)    Ergreifen von vorbeugenden Sicherheitsmaßnahmen, nachzulesen unter https://www.sicherheitstest.bsi.de/empfehlungen.
Diese Sicherheitsmaßnahmen sind aufgeteilt in 12 präventive Maßnahmen, darunter fünf Kernmaßnahmen sowie sieben ergänzende Maßnahmen:

  1. Durchführen von Sicherheitsupdates
  2. Installation eines Virenschutzprogrammenes
  3. Installation einer Personal Firewall
  4. Nutzung eines Benutzerkontos mit eingeschränkten Rechten (bitte kein Administrator-Konto verwenden)
  5. Zurückhaltung üben bei der Weitergabe von persönlichen Daten
  6. Nutzung von Einstellungsmöglichkeiten des Browsers (Filter)
  7. Sicheres Passwort (mindestens 12 Zeichen, Groß- u. Kleinbuchstaben, Sonderzeichen, Zahlen, regelmäßig ändern, keine Auffindbarkeit in Wörterbüchern, etc.)
  8. Nutzung von Verschlüsselung
  9. Deinstallation von nicht mehr benötigten Anwendungen/Programmen
  10. Anlegen von Sicherheitskopien in regelmäßigen Abständen
  11. Nutzung von Verschlüsselungsstandards bei WLAN (zurzeit WPA 2)
  12. Überprüfung des Sicherheitsstatus des Computers in regelmäßigen Abständen

Sicherheitslücke in Microsoft Word

In allen zur Zeit unterstützten Word Versionen ist eine Schwachstelle entdeckt worden. Betroffen davon sind Word 2003, 2007, 2010 und 2013 für Windows und Office für Mac 2011. Angreifer könnten die Sicherheitslücke ausnutzen um Schadcodes mit den Nutzerrechten des Benutzers auszuführen. Microsoft bietet zur Zeit nur ein „Fix-it-Tool“ an, das allerdings im Alltag zu Problemen führen kann.

Den ausführlichen Bericht lesen Sie hier

Datensammler

Smartphone und Tablet-Besitzer sollten kritisch prüfen, welche Rechte sich Apps herausnehmen. Nach einer Analyse hat der Verbraucherzentrale Bundesverband (vzbv) an 50 Apps festgestellt, dass sich die meisten Programme Berechtigungen heraus nehmen, die sie für ihre eigentlich Aufgabe gar nicht benötigen. Hinzukommt, dass es für die Verbraucher sehr schwer ist, Nachfragen zum Datenschutz oder den Zugriffsrechten an die Entwickler zu stellen.

Den ausführlichen Bericht lesen Sie hier

EU-Grundschutzverordnung passiert mit großer Mehrheit die erste Lesung des Europäischen Parlaments

Der Entwurf zu der EU-Datenschutzgrundverordnung (s. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF) nebst die für die Strafverfolgung gesondert spezifizierte Richtlinie passierte am 12.03 das Europäische Parlament in erster Lesung mit 621 Stimmen bei 10 Gegenstimmen und 22 Enthaltungen. Die Regelungen der Datenschutzgrundverordnung sind in allen Mitgliedstaaten gleich. Insofern unterscheidet sie sich von der geltenden EU-Datenschutzrichtlinie. Derzeitige Schlupflöcher zur Umgehung des Datenschutzes in Europa könnten durch die EU-Datenschutzverordnung verkleinert werden. Diese unterstellt den Umgang mit Daten einem schärferen Regime. So steht jede Datenverarbeitung unter dem Vorbehalt der Einwilligung der Betroffenen. Zudem muss jede Datenübermittlung aus der EU in einem Drittstaaten von der nationalen Aufsichtsbehörde genehmigt werden. Dem Profiling, d.h. der statistischen Datenanalyse, werden engere Grenzen gesetzt. Unternehmen, die gegen die Datenschutzvorschriften verstoßen, müssen mit empfindlichen Strafgeldern rechnen – bis zu 100 Millionen Euro oder bis zu 5% ihres weltweiten Jahresumsatzes. Vor dem Hintergrund dieses restriktiv gefassten Datenschutzes wollen Big Data-Unternehmen wie Facebook, Google und andere die EU-Grundverordnung verhindern. Mit der Abstimmung des Europäischen Parlaments am 12.03. hat die EU-Datenschutzverordnung allerdings nicht alle Hürden genommen. Nunmehr wird der Rat seinen abweichenden Standpunkt dem im Mai neugewählten Europäischen Parlament in zweiter Lesung zur Abstimmung vorlegen.

BAG, Urteil vom 20.06.2013, 2 AZR 546/12 – zur Verhältnismäßigkeit einer heimlichen Spindkontrolle

Der prozessualen Verwertung von Beweismitteln, die der Arbeitgeber aus einer in Abwesenheit und ohne Einwilligung des Arbeitnehmers durchgeführten Kontrolle von dessen Schrank zur Aufklärung einer Straftat erlangt hat, kann schon die Heimlichkeit der Durchsuchung entgegenstehen http://www.bag-urteil.com/20-06-2013-2-azr-546-12/. Das BAG präzisierte in dieser für den Beschäftigtendatenschutz wichtigen Entscheidung die Voraussetzungen des § 32 Abs. 1 S. 2 BDSG, insbesondere zur Verhältnismäßigkeit des Umgangs mit personenbezogenen Daten. 
So spreche nach Auffassung des BAG viel dafür, dass es sich bei einer Schrankkontrolle tatbestandlich um eine Datenerhebung handele.
§ 32 BDSG setze tatbestandlich keine automatisierte Datenverarbeitung voraus. Das Erfurter Gericht stellt fest, dass sich für die Verhältnismäßigkeit der Spindkontrolle aus § 32 BDSG gegenüber dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 GG keine abweichenden Vorgaben ergeben würden.
Dem Wortlaut entsprechend müsse die Datenverarbeitung zur Aufdeckung der Straftat „erforderlich“ im Sinne des § 32 Abs. 1 S. 2 BDSG sein. Dies mache eine auf den Einzelfall bezogene Güterabwägung zwischen den Interessen des Arbeitsgebers und des Arbeitnehmers erforderlich. Eine ohne Einwilligung des Betroffenen erfolgende Schrankkontrolle stelle einen schwerwiegenden Eingriff in dessen Privatsphäre dar, der sich nur bei Vorliegen zwingender Gründe rechtfertigen ließe. Dem gerichtlichen Beweisverwertungsinteresse gebühre ein Vorrang nur dann, wenn dem Arbeitgeber keine anderen Erkenntnisquellen als die heimliche Durchsuchung zur Verfügung stünden. Er müsse sich in einer notwehrähnlichen Situation befinden. Das allgemeine Interesse an einer funktionsfähigen Rechtspflege oder ein Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, reiche jedenfalls nicht aus.
Nach den Grundsätzen davor bewertete das BAG den Eingriff als unverhältnismäßig. Eine Beweiserhebung über das Ergebnis der Spindkontrolle schloss das BAG aus. Der Arbeitgeber hätte den Arbeitnehmer zur Kontrolle seines Schranks hinzuziehen müssen. Eine in Anwesenheit des Arbeitnehmers durchgeführte Schrankkontrolle sei gegenüber einer heimlichen Durchsuchung das mildere Mittel. Die Heimlichkeit einer in Grundrechte eingreifenden Maßnahme erhöhe typischerweise das Gewicht der Freiheitsbeeinträchtigung.

Zusammenarbeit mit der NSA bestätigt

RSA-Security-Chef Art Coviello gab auf der jährlichen Konferenz seines Unternehmens bekannt, mit dem US Geheimdienst bereits seit einem Jahrzehnt zusammen zuarbeiten. Die NSA sei damals der größte Kunde der RSA Security gewesen und sein Unternehmen habe nur Kundenwünsche umsetzten wollen. Firmenchef Coviello ging jedoch nicht direkt auf eine Zahlung von 10 Millionen US-Dollar ein, die seine Firma von der NSA erhalten haben soll.

Den ausführlichen Bericht lesen Sie hier