Stellungnahme der DSK zur Corona-bedingten Kontaktverfolgung

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat am 26. März eine Stellungnahme veröffentlicht, in der sie praxisnahe Lösungen zur Corona-bedingten Kontaktverfolgung anbietet.

Man bezieht sich dabei in erster Linie auf die App „luca“ des Unternehmens Culture4life. In dem Zusammenhang werden Digitale Verfahren zur Datenverarbeitung benötigt, welche im Einklang mit dem Datenschutz stehen. Digitalisierung bietet den Vorteil, dass Gesundheitsämter effektiver arbeiten können und die Dokumentationspflicht für Veranstalter erleichtert wird. Außerdem sind die Daten digital hinterlegt sicherer als auf Papier – entsprechende Sicherheitsmaßnahmen vorausgesetzt.

Im Vordergrund steht noch das Risiko der zentralen Datenspeicherung – bei unbefugtem Zugriff würden dann immer eine große Zahl Daten kompromittiert. Culture4life will solchen Fällen mit Verschlüsselung entgegenwirken, wobei ein Veranstalter mit einem Gesundheitsamt jeweils eine Entschlüsselung der Daten erwirken müsste. Die DSK sieht hierbei kritisch, dass allen Gesundheitsämtern die gleichen Schlüssel vorliegen, die auch zentral von Culture4life verwaltet werden.

Die DSK regt außerdem Gesetzgeber auf Landes- und Bundesebene an, gesetzliche Regelungen für die digitale Kontaktnachverfolgung einzuführen, die es bislang nicht gibt.

Weitere Informationen finden Sie hier:

https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2021/06_DSK-Kontaktnachverfolgung-Apps.html

bzw.
https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSKBeschluessePositionspapiere/Mrz21_Kontaknachverfolgungsapp.pdf?__blob=publicationFile&v=2

Erhebliche Sicherheitslücken in Exchange-Mailserver-Produkten

Am 03.03.2021 hat Microsoft Informationen und Patches zu mehreren erheblichen Sicherheitslücken in ihrem Exchange-Mailserver-Produkt veröffentlicht, die zu diesem Zeitpunkt bereits aktiv ausgenutzt wurden und durch die Veröffentlichung seitdem umso mehr und weiterhin ausgenutzt werden, nicht mehr nur von den ursprünglichen Angreifern.

Eine Ausnutzung der Lücke führt zu unbeschränkten Systemrechten auf dem betroffenen Mailserver und kann in den meisten Kundenumgebungen weiterhin auch die komplette Übernahme der Active-Directory-Domäne bedeuten.

Folgendes konnte in betroffenen Netzwerken bereits beobachtet werden:

– Extraktion der Postfach-Inhalte
– Extraktion weiterer Dateien (unabhängig von Mailpostfach-Inhalten) von weiteren Windows-Servern in der Domäne
– erfolgreicher Angriff auf das Haupt-Administrator-Konto der Windows-Domäne, sodass die Angreifer sämtliche Privilegien in der gesamten Active-Directory-Struktur erlangen konnten
– Anlegen neuer Administrator-Konten für die Angreifer, Deaktivieren der legitimen Erheblichen Sicherheitslücken in ihrem Exchange-Mailserver-Produkt

Da die von den ursprünglichen Angreifern abgelegte sogenannte „Webshell“ auch für andere böswillige Akteure zu deren Nutzung offensteht (und Erpressung von Unternehmen per Datenverschlüsselung lukrativ ist), ist die Gefahr, dass diese Lücken auch für Ransomware / Datenverschlüsselung, Datenmanipulation / -Löschung etc. genutzt werden, sehr hoch.

Einzige Möglichkeit zur Behebung der Lücke ist die Installation der in der letzten Woche von Microsoft diesbezüglich veröffentlichten Patches. Es gibt keinen anderen Workaround, außer die Webschnittstelle des Exchange-Server komplett aus dem Internet unerreichbar zu machen per Firewall.

Nach dem Patchen muss geprüft werden, ob der Server bereits über die Lücke kompromittiert wurde. Das Ziel der ursprünglichen Hacker waren zwar US-amerikanische Server, aber seitdem haben andere Angreifer auch die Server im übrigen Teil der Welt über die nun bekannten Lücken angegriffen.

Bei festgestellter Kompromittierung ist eine Überprüfung der Exchange-Server und der Domäne erforderlich, mindestens eine Passwortänderung aller administrativen Domänenkonten sowie gegebenenfalls weitere Maßnahmen.

Weitere Informationen erhalten Sie hier:
https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegba

Wenn Sie unsere Hilfe benötigen, rufen Sie uns umgehend an:
Telefon: 02191-909404

Großbritanniens Datenschutz-Niveau von EU-Kommission abgesegnet

Die EU-Kommission gibt dem britischen Datenschutz-Standard das OK. Der Datenfluss von persönlichen Daten zwischen EU und Großbritannien wäre damit wie bisher möglich.

Hierbei mussten zwei Adäquanzentscheidungen beantwortet werden:

  • Persönliche Daten müssen in Großbritannien gleich gut geschützt sein wie in der EU
  • Die Nutzung der Daten ist durch Sicherheitsbehörden rechtlich gedeckt

Trotz britischer Massenüberwachung von Kommunikationsdaten durch den Geheimdienst GCHQ hält die Kommission den Datenschutz für ausreichend, da die Datenspeicherung Sicherheitsmaßnahmen und juristischen Kontrollen unterliege. Der EU-Gerichtshof hält ebenjene Überwachung hingegen für nicht vereinbar mit der Grundrechtecharta der EU.

Die Adäquanzentscheidungen könnten auch vor Gericht landen, wenn Aktivisten dagegen klagen. Jede Änderung, die GB am Datenschutzgesetz vornimmt, müsste dann erneut von der EU-Kommission geprüft werden.

Zustimmen müssen jetzt noch die EU-Staaten. Außerdem muss Großbritannien ebenso das Datenschutzniveau der EU anerkennen, was aber eine reine Formalität sein dürfte.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/trotz-massenueberwachung-eu-kommission-gibt-okay-fuer-datenfluesse-nach-grossbritannien/

Zero-Day-Schwachstellen bei Microsoft Exchange erkannt

Eine nationalstaatlich verbundene Hackergruppe nutzt aktuell Zero-Day-Schwachstellen aus, die in Microsofts E-Mail-Exchange-Servern gefunden wurden.

Von den Schwachstellen betroffen sind die lokalen Exchange-Server 2010, 2013, 2016 und 2019, nicht jedoch Exchange Online. Bitte seien Sie sich der Gefahr bewusst und handeln Sie sofort.

Microsoft empfiehlt, dringend Maßnahmen zu ergreifen und hat bereits Patches für alle lokalen Exchange-Deployments zur Behebung des Problems bereitgestellt. Wechseln Sie zu den aktuellen Exchange Cumulative-Updates und installieren Sie die entsprechenden Patches manuell.

Informieren Sie auch entsprechend Ihre Kunden.

Weitere Informationen finden Sie hier:
https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegbar/
und
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=7

Nutzung von WhatsApp im betrieblichen Kontext

Viele Menschen nutzen Messenger-Dienste wie WhatsApp für ihre alltägliche Kommunikation. So ist es nur nachvollziehbar, dass man diesen Dienst auch gerne in seinem beruflichen Kontext nutzbar machen möchte. Sei es, weil man selbst die Handhabung kennt und sich so den Arbeitsalltag erleichtern möchte, sei es auch, um Kunden den Kontaktweg anzubieten, den sie auch sonst nutzen. Aus Sicht des Datenschutzes ist dies leider nicht unproblematisch. Es handelt sich nämlich nicht um eine private Kommunikation, sondern um eine berufliche, bei der anders als im Privaten gesetzliche Vorgaben zu beachten sind.

Bei einer beruflichen Nutzung ist ein Unternehmen verpflichtet, die Bestimmungen zum Datenschutz einzuhalten. Dazu gehört, dass die Verarbeitung von personenbezogenen Daten über den Messenger einer Rechtsgrundlage bedarf. Sofern sich keine gesetzliche Erlaubnisnorm findet, ist einzig die Legitimation über eine Einwilligung der Betroffenen möglich.

Besteht die Notwendigkeit für eine schriftliche Kommunikation, lässt sich die reine Kommunikation grundsätzlich über das zugrunde liegende Vertragsverhältnis rechtfertigen. Erfolgt die Kommunikation beispielsweise über einen Telefonanbieter mittels Kurznachricht, sind die Inhalte sowie die Rahmenbedingungen der Kommunikation durch das Fernmeldegeheimnis geschützt.

WhatsApp, anders als ein Telefonanbieter, sichert sich allerdings den Zugriff auf das Telefonbuch, also die Kontakte, die auf dem Smartphone gespeichert sind, für eigene Auswertungs-Zwecke zu. Die Daten werden bei WhatsApp auf Servern in den USA gespeichert. Gespeichert und ausgewertet werden auch die sogenannten „Metadaten“, wie Kommunikationsteilnehmer, Zeitpunkt der Kommunikation also Datum und Uhrzeit, Datenvolumen und ähnliche Verbindungsdaten. Diese Übermittlung an WhatsApp geht weit über die reine Kommunikation zwischen Vertragspartnern hinaus, ist nicht durch das Fernmeldegeheimnis geschützt und bedarf dementsprechend einer eigenständigen Rechtsgrundlage.

Als Zwischenfazit ist daher festzustellen, dass damit eine unerlaubte Weitergabe von personenbezogenen Daten an WhatsApp und somit ein Verstoß gegen Datenschutzrecht vorliegen kann.

Eben dies veranlasste die Schleswig Holsteinische Datenschutzbeauftragte Hansen in einem Interview, welches am 10.06.2016 von DAZ.online veröffentlicht wurde, darauf hinzuweisen, dass WhatsApp im Moment nicht das deutsche Datenschutzrecht erfüllt.

Bislang gab es einige Bußgeldbescheide in Europa im Zusammenhang mit dem Einsatz von WhatsApp im Unternehmenskontext. So hatte zum Beispiel ein Bankmitarbeiter Fotografien von Personalausweisen an ein kooperierendes Unternehmen via WhatsApp weitergeleitet. Die grundlegende Befugnis zur Datenübermittlung stand dabei nicht in Frage. Das Bußgeld belief sich insgesamt auf 170.000 Euro.

Sofern man den Einsatz von WhatsApp datenschutzrechtlich legitimieren wollte, bedürfte es einer rechtskonformen Einwilligung des Kunden. Eine Einwilligung müsste transparent sein, das bedeutet der Kunde ist darüber zu informieren, wie seine personenbezogenen Daten im Rahmen der Nutzung des Dienstes verarbeitet werden. Das schließt insbesondere auch die Datenverarbeitung von WhatsApp mit ein.

Ob eine ausreichend informierte Einwilligung möglich ist, ist ungewiss. Daher kann es derzeit keine Gewähr für eine rechtskonforme berufliche Nutzung von WhatsApp geben.

Es bestehen datenschutzfreundlichere Alternativen gegenüber WhatsApp, die beispielsweise keinen Zugriff auf Kontaktbücher erzwingen und teilweise auch ohne die Übermittlung von Telefonnummern einsetzbar sind. Als Alternativen kämen zum Beispiel in Betracht: Threema, SIMSme, Wire, Hoccer, Signal und Chiffry.

Da uns allerdings bewusst ist, dass diese Anbieter nicht zwingend dem Einsatzzweck dienen, nämlich dem Kunden den Kontaktweg zu bieten, den er auch sonst in seinem Alltag nutzt, möchten wir auf die Empfehlungen der bayrischen Datenschutzaufsicht verweisen. Punkt 8.6 des Tätigkeitsberichts 2017/18-Bayerisches Landesamt für Datenschutzaufsicht empfiehlt dazu:

Sollten Verantwortliche dennoch nicht auf WhatsApp verzichten wollen, sind folgende Anforderungen zu berücksichtigen:

    • WhatsApp darf von Berufsgeheimnisträgern grundsätzlich nicht eingesetzt werden (Ausnahmen nur unter ganz speziellen Voraussetzungen möglich).
    • Für die interne Unternehmenskommunikation sollte der Einsatz von WhatsApp grundsätzlich unterbleiben.
    • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
    •  Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
    •  WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung/Mobile Device Management betrieben werden.
    • Soweit der Zugriff auf das Telefonbuch gewährt wird, muss sichergestellt werden, dass nur Kontakte (z. B. Kunden/Klienten) im Telefonbuch gespeichert sind, die ihre Einwilligung erteilt haben.

Aus Unternehmenssicht sollten Sie zudem berücksichtigen, dass Ihnen der Zugriff auf die Informationen, die über  WhatsApp fließen, möglicherweise verschlossen ist. Dies wird insbesondere dann relevant, wenn ein Mitarbeiter vorübergehend oder auch dauerhaft aus dem Unternehmen ausscheidet. Machen Sie sich auch diesem Grunde frühzeitig Gedanken darüber, wie eine Vertretungsregelung organisiert werden kann, bzw. wie Sie die Informationen grundsätzlich für das Unternehmen verfügbar machen können.

Kontaktieren Sie bitte Ihren Datenschutzbeauftragten für Hilfestellungen beim Einsatz von WhatsApp oder zur Erarbeitung einer Einwilligungserklärung für Ihre Kunden.

Nicole Krause
Juristische Mitarbeiterin der Gindat GmbH

Verstärkte Cyber-Angriffe auf Homeoffices

In Deutschland, Österreich und der Schweiz kommen Arbeiter im Homeoffice immer stärker durch Cyberangriffe unter Beschuss. Insbesondere auf Microsofts Remote-Desktop Protokol (RDP), welches den einfachen Fernzugriff auf Windows-Betriebssysteme ermöglicht, wurde im Dezember 2020 täglich 14,3 Millionen mal zum Ziel von Cyberkriminellen (im Vergleich zu 310.000 mal im Januar 2020). In der zweiten Corona-Welle haben die Angriffe um 110% zugenommen, wobei Daten gestohlen und/oder Schadsoftware eingeschleust wurde. Vor allem kleine und mittelständige Unternehmen sind immer noch nicht ausreichend abgesichert und seien, laut ESET-Sprecher Thorsten Urbanski „offen wie ein Scheunentor“. Er rät IT-Verantwortlichen, umgehend zum Handeln.

Das können Sie für eine sicherere Verbindung tun:

  • Die Anzahl der Nutzer, die eine RDP-Verbindung nutzen, möglichst gering halten.
  • Starke Passwörter und MultiFaktor-Authentifizierung nutzen.
  • Ein Virtual Private Network (VPNGateway) für Fernzugriffe nutzen.
  • Accounts, die Opfer von BruteForce-Attacken werden, automatisch ausloggen.
  • Die StandardPort Nummer (3389) des RDP-Protokolls ändern.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/homeoffices-unter-beschuss-rdp-angriffe-steigen-um-4516-prozent-17905