Die Kritikalität der Zero-Day-Lücke Hafnium hat sich weiter verschärft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das zweite Mal in seiner Geschichte die Stufe 4 einer IT-Bedrohungslage vergeben, 4 / Rot: Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden.
Nach Veröffentlichung der Sicherheitslücke hat sich die Intensität der Angriffe noch verstärkt. Wir empfehlen Ihnen deshalb dringend das umgehende Einspielen der am 3. März veröffentlichten Out-of-band Updates für Exchange Server. Ist das Einspielen nicht möglich, sollten die Systeme direkt vom Netz genommen werden.
Das erfolgreiche Einspielen der Updates bedeutet dabei nur, dass die Systeme über die Hafnium-Schwachstellen nicht mehr angreifbar sind. Jede Organisation die einen über das Internet erreichbaren Exchange Server betrieben hat, muss von einer potentiellen Kompromittierung ausgehen.
Sie sollten deshalb dringend prüfen, ob Anzeichen eines “Hafnium-Angriffs” vorliegen. Bitte entnehmen Sie alle weiteren Informationen den nachfolgenden Artikeln.
Weiter empfehlen wir Ihnen im Falle einer Kompromittierung Ihren Datenschutzbeauftragten hinzuzuziehen, da von einem meldepflichtigen Datenschutzvorfall auszugehen ist.
Falls Sie Unterstützung im Zusammenhang mit der Hafnium-Schwachstelle wünschen, senden Sie eine E-Mail mit Ihren Kontaktdaten an security@ines-it.de. Wir kommen so schnell als möglich auf Sie zu.
In der Nacht auf Mittwoch hat Microsoft Kunden vor einer Zero-Day Lücke in Exchangeservern gewarnt und rät dringend zum Einspielen des Notfallpatches. Damit werden Sicherheitslücken geschlossen, die in Kombination einen dauerhaften Zugriff mit Systemberechtigungen auf den kompletten Exchangeserver ermöglichen. In weiterer Folge können unter anderem Informationen aus Mail-Postfächern und Kontaktordnern abgezogen werden. Als “Zero-Day” wird eine Sicherheitslücke bezeichnet, die vor dem Entdecken des Angriffs nicht bekannt war. Laut Microsoft wird die Sicherheitslücke aktiv ausgenutzt. Mit Veröffentlichung dieser Sicherheitswarnung kann davon ausgegangen werden, dass die Schwachstellen von weiteren Hackergruppen angegriffen werden.
Microsoft hat ein Script zur Verfügung gestellt, mit dem Administratoren die Anfälligkeit des Exchange Servers prüfen können. Das Script wird mit Administrationsrechten auf dem Exchangeserver ausgeführt. Am Ende wird in rot ausgegeben für welche Schwachstellen der Exchangeserver anfällig ist bzw. in grün, wenn alle Schwachstellen in Bezug auf Hafnium geschlossen wurden.
Wir empfehlen das umgehende Einspielen des Notfallpatches.
Wenn Sie Unterstützung benötigen, kommen Sie auf uns zu.
Bleiben Sie geschützt, Ihr INES-IT Team
WEBINAR
Am Donnerstag, den 25. Februar 2021, findet ein weiteres kostenloses Webinar der INES AG statt – “Mehr Cybersicherheit durch Netzwerksegmentierung”. In dem Webinar erfahren Sie …
Sie haben am Donnerstag, den 25. Februar von 10:00 – 10:45 Uhr keine Zeit? Melden Sie sich einfach an und Sie erhalten im Nachhinein die Aufzeichnung des Webinars per E-Mail.
INFORMATIONSSICHERHEIT
Anfang Februar hat ein Hacker versucht die Wasserversorgung der Stadt Olsmar in Florida zu manipulieren. Auch bei deutschen Wasserversorgern treten erhebliche IT-Risiken auf. Wir haben für Sie zusammengefasst, wie die Situation bei deutschen Wasserversorgern ist, welche Sicherheitslücken aufgetreten sind und was öffentliche Einrichtungen aus dem Hackerangriff lernen sollten.
DATENSCHUTZ
Die App Clubhouse hat zwischenzeitlich einen regelrechten Hype ausgelöst. Bei der Anwendung können sich User Gespräche anhören und aktiv an Gesprächen beteiligen. Allerdings zeigt sich auch bei dieser Anwendung, dass schnellwachsende Online-Dienste häufig in Bereichen des Datenschutzes und der Informationssicherheit nicht mithalten können.
Problematisch ist unter anderem, dass rechtliche Pflichten nicht eingehalten werden. So gibt es aktuell kein Impressum und wichtige Dokumente liegen nur in englischer Sprache vor. Besonders heikel ist aber die Tatsache, dass die App Zugriff auf zahlreiche Daten verlangt, die auf dem jeweiligen Gerät gespeichert sind, wie zum Beispiel das Adressbuch. Somit kann die App auf Daten von Personen zugreifen, die die Anwendung gar nicht verwenden. Ein ähnliches Problem existiert auch im Zusammenhang mit WhatsApp. Weiter bleibt unklar, ob und wenn ja in welchem Umfang, Daten an Dritte weitergegeben werden. Das Recht diese zu nutzen nimmt sich der Betreiber zumindest heraus.
INFORMATIONSSICHERHEIT
Einer Ermittlergruppe aus acht europäischen Ländern ist es Ende Januar gelungen die Infrastruktur der Schadsoftware Emotet zu übernehmen. Dies vermeldete unter anderem das Bundeskriminalamt.
Grundsätzlich kann man in Emotet einen Türöffner bzw. Downloader sehen, der Angriffe initiiert und anschließend weitere Schadsoftware nachlädt. Die Schadsoftware galt als eine der gefährlichsten weltweit. Ein häufiges Einfallstor für Emotet waren sogenannte Phishing-Mails.
Nach der Übernahme der Infrastruktur durch das Ermittlerteam wurde die Schadsoftware „deaktiviert“ und die Netzbetreiber angewiesen die Inhaber von betroffenen Anschlüssen zu informieren.
Emotet in dieser Variation bildet nur einen kleinen Teil der Bedrohungslage ab. Man kann nur davon abraten sich in Sicherheit zu wiegen. Neben zahllosen alternativen Schadprogramme am Markt kann man mit einer vergleichbaren Neuvariante rechnen.
WEBINAR
Am Donnerstag, den 18. März 2021, bietet die INES AG eine Neuauflage des Webinars “Schutz vor Ransomware” an. Nach der Erstausgabe im September 2020 möchten wir Ihnen unsere neuen Erfahrungen aus den zurückliegenden Monaten präsentieren. In unserer täglichen Praxis werden wir mit Sicherheitslücken konfrontiert, die einen Angriff erleichtern. Gerade auch organisatorische Regelungen sind für die erfolgreiche Notfallbehandlung essentiell. Alle Bausteine helfen letztlich dabei, das Risiko auf ein akzeptables Niveau zu senken. Nutzen Sie in diesem Zusammenhang auch unser Angebot auf ein kostenloses Strategiegespräch mit einem unserer Experten.
Sie haben am Donnerstag, den 18. März von 9:30 – 11:00 Uhr keine Zeit? Melden Sie sich einfach an und Sie erhalten im Nachhinein die Aufzeichnung des Webinars per E-Mail.
DATENSCHUTZ
Grindr ist eine Dating-App, die sich speziell an LGBTQ-Community richtet. Anfang 2021 hatte die App mehr als 27 Millionen Nutzer. Problematisch ist, dass Grindr die zahlreichen Daten der Nutzer – darunter den genauen Standort, das Alter, das Geschlecht und die sexuelle Orientierung – ohne eine entsprechende Rechtsgrundlage mit zahlreichen Werbepartnern geteilt hat.
Die norwegische Aufsichtsbehörde gab am 24. Januar bekannt, dass Grindr ein Bußgeld in Höhe von 100 Millionen Kronen droht (ca. 9,8 Millionen Euro). Grindr hat bis Mitte Februar Zeit dazu Stellung zu nehmen. Anschließend legt die Aufsichtsbehörde das endgültige Bußgeld fest. Die enorme Summe (ca. 10% des Jahresumsatzes) wird mit der hohen Sensibilität der Daten begründet. Norwegen gehört zwar nicht zur Europäischen Union, aber auch die Länder des EWR können die DSGVO direkt anwenden.
INFORMATIONSSICHERHEIT
Das BSI hat den Standard 200-4 zum Business Continuity Management System modernisiert und vorgestellt. Der Standard ist Teil des Notfallmanagements und soll durch eine klare Aufgaben- und Prozessfestlegung unterstützen. Bis Mitte das Jahres kann man sich über einen Community Draft an der endgültigen Form des Standards beteiligen.
RECHTSSPRECHUNG
Seit 2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen in Kraft, aber vieles ist noch unklar. Was unter einem Geschäftsgeheimnis zu verstehen ist, ist in § 2 GeschGehG geregelt. Demnach ist es eben erforderlich, dass die Geheimnisse mit angemessenen Schutzmaßnahmen abzusichern sind.
Das OLG Stuttgart hat hierzu im November 2020 ein Urteil gefällt, das die Mindestanforderungen für Schutzmaßnahmen definiert, dass solche Informationen nur Personen anvertraut werden dürfen, die diese benötigen und, dass diese hinsichtlich der Informationen auf Vertraulichkeit verpflichtet sein müssen (OLG Stuttgart, Urt. v. 19.11.2020 – Az.. 2 U 575/19).
Um unter den Anwendungsbereich des Gesetzes zu fallen, müssen die Informationen folglich aktiv geschützt werden. Um angemessene Schutzmaßnahmen schaffen zu können, ist es empfehlenswert ein ISMS (Informations-Sicherheits-Management-System) zu implementieren. Wir beraten Sie gerne zu den Umsetzungsmöglichkeiten eines ISMS mit ISIS12 und ISO 27001.
INFORMATIONSSICHERHEIT
Linux gilt gemeinhin als verhältnismäßig sicher im Bereich Schadsoftware, was unter anderem auch auf die geringe Verbreitung zurückzuführen ist. Nun wurde eine Sicherheitslücke im Werkzeug Sudo gefunden. Dadurch können ohne Authentifizierung Root-Berechtigungen erlangt werden, auch wenn der Benutzer keinerlei Sudo Berechtigungen hat.
Das bedeutet, dass auch Service Accounts z. B. von Webservern oder E-Mail Servern genutzt werden können und somit die Vorteile solche Dienste unter Server Accounts zu starten zunichte gemacht werden. Die Schwachstelle betrifft alle Sudo Versionen der letzten 10 Jahre, daher kann davon ausgegangen werden, dass so ziemlich jede aktuelle im Betrieb befindliche Linux-Installation von dem Fehler betroffen ist.
Es gibt bereits ein Update, das die Lücke beseitigt und eingespielt werden sollte. Bitte bedenken Sie, dass auch viele Netzwerkgeräte wie Router, Firewalls, etc. mit Linux betrieben werden und ggf. anfällig sein können. Die Lücke zeigt, dass Fehler unabhängig von Plattformen und Betriebssystemen auftreten können und man darauf achten sollte, dass die Systeme stets aktuell gehalten werden.
Anfang Februar machte ein Cyberangriff die Runde, der ein ungewöhnliches Ziel zu verfolgen schien. In der Stadt Olsmar in Florida hat sich ein Hacker Zugriff auf die Systeme einer Grundwasseraufbereitungsanlage verschafft. Ein Mitarbeiter hat live beobachtet, dass sich der Mauszeiger auf seinem Computer wie von Geisterhand bewegt und dabei eine Einstellung verändert hat. Der Hacker hat in einer Wasseraufbereitungsanlage den Anteil von Natriumhydroxid um das 100-Fache erhöht. Natriumhydroxid wird eingesetzt um den Säuregehalt im Abwasser zu reduzieren. In höherer Konzentration führt das auch als Natronlauge bezeichnete Natriumhydroxid zu leichten bis schweren Hautreizungen. Durch das unverzügliche Eingreifen des Mitarbeiters konnte schlimmeres verhindert werden. Nachdem der Hacker den Zugriff auf das System verlassen hat, hat der Mitarbeiter die Einstellungen in der Wasseraufbereitungsanlage zurückgesetzt und Alarm geschlagen. Bei dem Hackerangriff lagen mehrere Sicherheitsmängel an den IT-Systemen des Wasserversorgers vor.
Auch in Deutschland haben Untersuchungen bereits mehrfach erhebliche Sicherheitsmängel in Wasserwerken aufgezeigt, wie z. B. im Juli 2020 in Berliner Wasserbetrieben. Im Sommer 2020 wurde die IT-Sicherheit in Wasserwerken auch im Bundestag diskutiert. Nachdem die FDP-Bundestagsfraktion im August 2020 eine Anfrage gestellt hat, wurde im September 2020 auch durch die Grünen eine bessere IT-Sicherheit von Wasserversorgern gefordert. Bisher werden von 5728 Wasserversorger nur 47 als kritische Infrastruktur eingestuft. Es wird gefordert, die Schwellenwerte anzupassen, so dass zukünftig mehr Wasserwerke als kritische Infrastruktur eingestuft werden und somit strengere Maßnahmen zur IT-Sicherheit umgesetzt werden müssen. Die Bundesregierung hat daraufhin eingeräumt, dass „auch kommunale kleine und mittlere Unternehmen der Wasserversorgung grundsätzlich vergleichbaren Risiken im Bereich der Cybersicherheit ausgesetzt sind, (…) jedoch nicht immer auch vergleichbare Ressourcen und Mittel wie größere Unternehmen zur Verfügung (haben).“ Ein konkreter Lösungsvorschlag ist bisher noch nicht erarbeitet.
Auf allen Rechner der Wasserversorgung in Olsmar war Windows 7 installiert. Seit Januar 2020 werden für dieses Betriebssystem keine Sicherheits-Updates mehr zur Verfügung gestellt, außer es wird ein kostenpflichtiger Wartungsvertrag abgeschlossen (Windows 7 Extended Security Updates). Bei dem Trinkwasserversorger war allerdings kein entsprechender Wartungsvertrag vorhanden. Die Rechner der Wasserversorger haben somit seit über einem Jahr keine sicherheitskritischen Updates erhalten.
Im Januar 2021 hat heise darüber berichtet, dass in Ministerien und Behörden des Bundes noch über 60.000 Rechner mit dem veralteten Betriebssystem Windows 7 laufen. Im Jahr 2020 wurden fast 2 Millionen Euro für den Wartungsvertrag ausgegeben. Dies zeigt, dass man mit dem Umstieg auf ein aktuelles und unterstütztes Betriebssystem häufig noch zu lange wartet. Dabei gibt es wahrscheinlich auch in Deutschland wie in Florida Rechner mit Windows 7 für die kein Wartungsvertrag abgeschlossen wurde und bestehende Sicherheitslücken somit ausgenutzt werden können.
Die Rechner des Wasserversorgers in Florida waren direkt mit dem Internet verbunden. Eine Firewall soll anscheinend nicht vorhanden gewesen sein. Auch wenn eine Firewall gehackt oder Sicherheitslücken genutzt werden können, stellt es den Grundstein in der IT-Sicherheit dar. Um auf den Rechner zuzugreifen, hat der Hacker außerdem die Software TeamViewer genutzt. Diese war auf den Rechnern des Wasserversorgers installiert, damit autorisierte Mitarbeiter die Steuerung auf dem Rechner übernehmen können. Allerdings wurde für den Fernzugriff auf allen Rechner das identische Passwort verwendet.
Es sollte sichergestellt werden, dass alle Systeme auf aktuellem Stand sind und Sicherheitsupdates zeitnah eingespielt werden. Wie wichtig hierbei ein dokumentiertes und strukturiertes Vorgehen ist, zeigt eine aktuelle Twitter Meldung des CERT-Bund – also des Computer-Notfallteam des BSI – wonach ein Jahr nach Veröffentlichung eines Sicherheitsupdates für eine Schwachstelle für Exchange-Server immer noch 31% (potenziell sogar 63%) der Server in Deutschland noch immer für die kritische Schwachstelle verwundbar sind. Ein Patch Management trägt in Organisationen Sorge dafür, dass Updates für Anwendungen, Betriebssysteme und Treiber angeschafft, getestet und installiert werden. Da Hacker die Sicherheitslücken bei fehlenden Updates gezielt ausnutzen, stellt das Patch Management einen zentralen Bestandteil der IT-Sicherheit dar.
Um die Auswirkungen von Cyber-Angriffen zu minimieren, empfiehlt es sich auch kritische Bereiche durch ein gesondertes Netz vom Rest des Unternehmens zu trennen. So kann sichergestellt werden, dass sich bei einem Angriff auf Clients in der Verwaltung die Schadsoftware nicht in der Produktion verbreitet.
Damit Organisationen bei aufgetretenen Schäden (wie z. B. Verschlüsselung der Festplatte oder gelöschte Dateien) reagieren können, ist es erforderlich eine IT-Dokumentation und Notfallpläne zu haben, die alle relevanten Informationen beinhaltet, um angemessen auf den Sicherheitsvorfall zu reagieren. Darin sollte auch für einen fachkundigen Dritten schnell ersichtlich sein, wie das IT-System der Organisation aufgebaut ist. Dafür werden die Anwendungen und benötigte Zugänge dokumentiert. Gerade wenn ein externer Dienstleister zur IT Betreuung eingesetzt wird, ist es essenziell, dass mit einer IT-Dokumentation sichergestellt wird, dass sofort reagiert werden kann – auch wenn der IT-Dienstleister nicht verfügbar ist. Damit die IT-Dokumentation im Schadensfall verfügbar ist, sollte bedacht werden, dass die IT-Dokumentation zusätzlich in Papierform aufbewahrt wird. Bei der Aufbewahrung empfiehlt es sich, dass Sie in einem Tresor außerhalb des Firmengebäude eingelagert wird. Damit minimiert sich das Risiko eines unberechtigten Zugriffs und eines Verlustes durch Feuer.
Der Hackerangriff auf die Wasserversorgung in Florida zeigt auf, wie wichtig es ist die Informationssicherheit in Organisationen mit Hilfe eines Managementsystems zu verwalten. Denn um die Informationssicherheit sicherzustellen, sind Prozesse und eine kontinuierliche Überprüfung der Maßnahmen unabdingbar. Durch eine Risikoanalyse und einer anschließenden Ableitung von Maßnahmen zur Risikominimierung und -vermeidung wären die Sicherheitsmängel beim Wasserversorger in Florida aufgefallen und hätten beseitigt werden können. Für kleine und mittelständische Unternehmen und Behörden stellt das Managementsystem ISA+ neben Managementsystemenen wie ISIS 12 oder ISO 27001 einen optimalen Einstieg in der Informationssicherheit dar.
WEBINARE
Am Donnerstag den 28. Januar 2021 findet ein weiteres kostenloses Webinar der INES AG statt. “Social Engineering – Wie Hacker Ihre Mitarbeiter manipulieren”. In dem Webinar erfahren Sie …
DATENSCHUTZ
Jeder Nutzer von WhatsApp wurde zu Beginn des Jahres dazu aufgefordert neuen AGBs sowie Datenschutzhinweisen zuzustimmen. Hierzu wurde eine Frist bis 8. Februar gesetzt, welche mittlerweile bis Mitte des Jahres verlängert wurde. Diese Mitteilungen haben viele Nutzer vor Fragen gestellt. WhatsApp ist seit einigen Jahren Teil der Facebook Inc. und wird auch deshalb mit Argwohn betrachtet. Wir haben für Sie die wichtigsten Punkte in Sachen WhatsApp zusammengefasst.
DATENSCHUTZ
Dass der Austritt Großbritanniens aus der Europäischen Union kommt, war bereits seit Monaten klar. Allerdings war bis zum Schluss nicht klar, ob es zum sogenannten harten Brexit – also ohne jegliche Sonderregelungen zwischen der EU und Großbritannien – kommt.
Aus Sicht des Datenschutzes stellte sich dabei insbesondere das Problem, dass Großbritannien ab dem 01. Januar 2021 als sogenanntes Drittland zählen würde. Somit wäre die Übermittlung von personenbezogenen Daten nach Großbritannien nur noch in engen Grenzen möglich. Kurz vor Ablauf der Übergangsfrist haben sich die EU und das Vereinigte Königreich doch noch auf einen Partnerschaftsvertrag geeinigt.
Hinsichtlich des Datenschutzes wurden hierbei keine langfristigen Regelungen getroffen. Es wurde allerdings eine viermonatige Übergangsfrist vereinbart, die sich nochmals um zwei Monate verlängert, wenn keine der Parteien widerspricht. Somit bleibt bis mindestens 30. April 2021 alles noch beim Alten.
Dieser Zeitraum müsste genutzt werden, um eine dauerhafte Lösung zu finden. Nach derzeitiger Rechtslage wäre einzig ein Angemessenheitsbeschluss der EU-Kommission eine Möglichkeit, um grenzübergreifende Datenübermittlung in das Vereinigte Königreich so zu behandeln wie bisher. Es darf aber zumindest bezweifelt werden, dass ein solcher Beschluss innerhalb der vier bzw. sechs Monate getroffen wird. Zudem gibt es in Großbritannien ähnliche Befugnisse für Geheimdienste wie in den USA. Diese Befugnisse waren mitunter der Grund dafür, dass die bisherigen Versuche den Datentransfer in die USA zu vereinfachen (Safe Harbor, Privacy Shield) durch den EuGH einkassiert wurden. Es wäre somit zumindest nicht auszuschließen, dass ein solcher Angemessenheitsbeschluss langfristig Bestand hätte.
Zudem bleibt es abzuwarten wie das Vereinigte Königreich mit Gesetzgebung im Bereich Datenschutz weiter verfährt. Aufgrund der Unsicherheit über den Sommer 2021 hinaus ist es ratsam zu prüfen, ob man Dienstleister oder Partner aus Großbritannien nicht durch Alternativen innerhalb der EU ersetzt. Ist das nicht möglich sein, sollte rechtzeitig damit begonnen werden mit britischen Geschäftspartnern vertragliche Vereinbarungen im Bereich Datenschutz zu treffen.
Einen Sonderfall stellen Datenübermittlungen von katholischen Einrichtungen dar. Verarbeitungen im Auftrag sind in § 29 KDG geregelt. Aufgrund der Formulierung ist es nicht möglich die Ausnahmeregelung zwischen der EU und dem Vereinigten Königreich anzuwenden. Aufgrund dessen hat die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland beschlossen, dass die Ausnahmenregelung bis 31.04.2021 auch für katholische Einrichtungen gelten soll.
DATENSCHUTZ
Die Landesbeauftragte für den Datenschutz des Landes Niedersachsen (LfD) hat eine Geldbuße in Höhe von 10,4 Millionen Euro gegen die notebooksbilliger.de AG ausgesprochen. Die Aufsichtsbehörde begründet die Strafe mit einer mindestens zweijährigen Videoüberwachung ohne Rechtsgrundlage. Demnach wurden Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsräume von den Kameras erfasst.
Notebooksbilliger.de hat auf seiner Homepage zum Bußgeld Stellung genommen und angekündigt, dass man gerichtlich gegen die Geldbuße vorgehen will. Laut notebooksbilliger.de begann das Verfahren bereits im März 2017 und endete mit einer formellen Verwarnung im Oktober 2019. Parallel wurde jedoch vom LfD ein Ordnungswidrigkeitsverfahren eingeleitet.
Das LfD rechtfertigt das Bußgeld insbesondere damit, dass die Videoüberwachung laut notebooksbilliger.de der Diebstahlprävention bzw. -aufklärung dient. Ein solcher „dauerhafter und anlassloser Eingriff in die Persönlichkeitsrechte der Beschäftigten“ stelle einen schwerwiegenden Fall der Videoüberwachung dar. Laut notebooksbilliger.de sei Videoüberwachung in der Logistikbranche eine übliche Sicherheitsmaßnahme. Zudem wird die Aufsichtsbehörde kritisiert, dass sie – trotz mehrmaliger Einladung – nicht von der Möglichkeit gebraucht gemacht hat, sich die Begebenheiten der Videoüberwachung vor Ort anzusehen.
Zudem wird die Höhe des Bußgeldes sowohl von notebooksbilliger.de als auch vom Branchenverband Bitkom in Frage gestellt, die wohl erneut auf dem Konzept der deutschen Aufsichtsbehörden beruht. Ob das Bußgeld gerechtfertigt ist, lässt sich derzeit nicht abschätzen, da kaum Fakten bekannt sind. Deshalb könnte ein gerichtliches Verfahren für alle Verantwortlichen, die Videoüberwachung einsetzen, klarere rechtliche Grenzen schaffen. Zudem wird es interessant zu beobachten, ob die Höhe des Bußgeldes bestand hat. Erst Ende 2020 wurde ein Bußgeld gegen 1&1 vom Landgericht Bonn auf ein Zehntel der ursprünglichen Höhe gesenkt.
DATENSCHUTZ
Die Landesbeauftragte für den Datenschutz des Landes Niedersachsen war nicht nur in Sachen Bußgeld aktiv, sondern hat auch Unternehmen einen Fragebogen zukommen lassen. Im Fragebogen wurden Informationen zu den Internetseiten der Unternehmen abgefragt. Hierbei ging es insbesondere um die Einbindung von Drittanbietern und Cookies. Da die Fragen teilweise sehr spezifisch sind, ist die Beantwortung mit einigem Aufwand verbunden.
Die LfD hat die wichtigsten Ergebnisse der Prüfung veröffentlicht. Laut Aufsichtsbehörde waren die eingeholten Einwilligungen für Cookies nur auf einer der 19 Webseiten wirksam. Auch die Informationspflichten wurden laut Aufsichtsbehörde lediglich auf drei Webseiten im erforderlichen Umfang erfüllt. Weiterführend zu den Ergebnissen hat die LfD eine Handreichung zu datenschutzkonformen Einwilligungen auf Webseiten veröffentlicht. Das Dokument kann hier heruntergeladen werden.
INFORMATIONSSICHERHEIT
Auch gegen Ende des Jahres waren Unternehmen das Ziel von Cyberangriffen. So wurde Ende des Jahres bekannt, dass der Dax-Anwärter Symrise Opfer eines Angriffes wurde. Symrise ist einer der weltweit größten Hersteller von Geruchs- und Geschmackstoffen.
Dabei handelte es sich wohl um einen Verschlüsselungstrojaner, der über E-Mails in das Netzwerk des Unternehmens gelangt ist. Nach Aussagen des Unternehmens wurden unverzüglich nach Entdeckung der Attacke alle Systeme vom Netz genommen. Die Maßnahmen haben Auswirkungen auf die Produktion und die Arbeitsfähigkeit einiger Mitarbeiter, die überwiegend von zu Hause arbeiten.
Die Funke Mediengruppe war Ende Dezember des vergangenen Jahres Ziel eines Cyberangriffes. Auch in diesem Fall wurden Systeme des Medienhauses von außen verschlüsselt. Im Fall der Funke Mediengruppe war insbesondere der Druck der zahlreichen Zeitungen betroffen. Deshalb sind zeitweise keine oder nur gekürzte Notausgaben erschienen.
Das Unternehmen hat eine „digitale Waschstraße“ eingerichtet, die jedes verseuchte Gerät durchlaufen muss. Die Mediengruppe hat zu Beginn des Jahres bekannt gegeben, dass der „externe IT-Angriff (…) absolut massiv (war)“ und zu großem Schaden innerhalb der IT-Systeme geführt hat. Die über 1000 Server und mehr als 6000 Endgeräte sollen in eine komplett neue und saubere IT-Umgebung überführt werden.
In einem weiteren Update vom 18. Januar gab die Gruppe bekannt, dass alle Zeitungen zeitnah wieder mit der gewohnten Seitenzahl erscheinen sollen und der „Notfallmodus“ verlassen werden kann. Zudem wurde bekannt gegeben, dass es weiterhin Einschränkungen in den Abteilungen gibt und die Folgen – insbesondere auch in finanzieller Hinsicht – derzeit noch nicht abzuschätzen sind.
INFORMATIONSSICHERHEIT
Mitte Januar war es Studierenden der FU Berlin für kurze Zeit möglich auf sämtliche Studiendaten zuzugreifen. Offenbar war es möglich sämtliche Informationen bis zurück zum Jahr 2005 einzusehen und teilweise sogar zu ändern. Die Zugriffsrechte wurden offenbar erst nach einer Anfrage des Portals netzpolitik wieder entzogen.
Hintergrund der Panne war anscheinend, dass das Campus Management gewartet und mit neuen Funktionen versehen wurde. Hierbei kam es zu der Fehlkonfiguration. Ein Änderungsmanagement mit entsprechenden Testzyklen kann dabei helfen solche Fehler zu vermeiden.
Falls Sie Unterstützung bei der Entwicklung von Prozessen und Dokumentationen zur Optimierung des IT-Änderungsmanagement benötigen, können Sie jederzeit auf das Informationssicherheitsteam der INES AG zukommen.
INFORMATIONSSICHERHEIT
Jedes Jahr veröffentlicht das Hasso-Plattner-Institut das meistgenutzte Passwort in Deutschland – und jedes Mal ist das Ergebnis eine Ernüchterung für diejenigen, die sich um IT-Sicherheit sorgen. Im Jahr 2020 war das beliebteste Passwort “123456” gefolgt von “123456789” und “passwort”.
Als LeserIn unseres Newsletters verwenden Sie sicher keines dieser unsicheren Passwörter. Brauchen Sie aber Tipps für ein individuelles und starkes Passwort, finden Sie auf unserer Webseite Lösungen wie beispielsweise die Passwortkarte oder digitales Passwortmanagement.
Bleiben Sie geschützt, Ihr INES-IT Team
WhatsApp gehört mit ca. 2 Mrd. monatlichen Nutzern zu den größten Messaging Diensten der Welt. Längst hat der Dienst die klassische SMS abgelöst und die Nutzer teilen Textnachrichte, Videos und Bilder miteinander. Die App ist bei vielen Smartphones als Standardkommunikationsdienst aktiv.
Ein Textfeld, das beim Öffnen der App öffnete, hat viele Nutzer zu Beginn des Jahres 2021 verunsichert. In diesem Text wurde darauf hingewiesen, dass WhatsApp seine Nutzungsbedingungen aktualisiert. Zudem wurde man dazu aufgefordert den Änderungen bis spätestens 8. Februar zuzustimmen, da sonst eine weitere Nutzung von WhatsApp nicht mehr möglich sei. Diese Ankündigung hat für Verunsicherung und teilweise auch für Empörung gesorgt. Aber was ändert sich für Nutzer in der europäischen Union tatsächlich?
WhatsApp gehört bereits seit einigen Jahren zur Facebook Inc. Facebook wird spätestens seit seiner Rolle im US-Wahlkampf 2016 und seiner Haltung und Vorgehensweise zu Extremisten in Europa teilweise sehr kritisch beäugt. Insbesondere im Bereich des Datenschutzes und der Informationssicherheit genießt Facebook keinen sonderlich guten Ruf.
Aufgrund der Ankündigung haben viele Nutzer die Befürchtung, dass die Daten von WhatsApp nunmehr im großen Stil an Facebook weitergegeben werden. Hinsichtlich des Datenschutzes sind solche Befürchtungen allerdings weitestgehend unbegründet. Für die Nutzung von WhatsApp aus der Europäischen Union gelten nämlich nicht die „normalen“ Datenschutzbedingungen, sondern spezielle Bedingungen, die nur für die EU gültig sind. In diesen Bedingungen steht, dass WhatsApp keine Informationen weitergeben darf, die „für die eigenen Zwecke der Facebook-Unternehmen verwendet werden“. Zudem heißt es in den Bedingungen, dass WhatsApp Informationen mit Facebook-Unternehmen teilt, wenn diese helfen können die „Dienste zu betreiben, bereitzustellen, zu verbessern, zu verstehen, anzupassen, zu unterstützen und zu vermarkten“. Das bedeutet, dass die App grundsätzlich keine Daten von Nutzern aus der EU direkt an Facebook weitergibt. Über Drittanbieter oder ähnliches kann ein solcher Datenabfluss aber nicht ausgeschlossen werden.
Auch wenn sich für europäische Nutzer aus Sicht des Datenschutzes nicht viel ändert, so war dennoch der Aufschrei vieler Nutzer groß. WhatsApp hat zumindest insofern reagiert, dass die Frist für das Akzeptieren der neuen Bedingungen bis 15. Mai verlängert wurde.
Dennoch verzeichnen alternative Apps seit Veröffentlichung der neuen Bedingungen einen regen Zulauf. Alle Alternativen von WhatsApp haben ähnliche Probleme: Die Nutzung macht nur dann Sinn, wenn eigene Kontakte dieselbe Anwendung verwenden. Es wird sich zeigen, ob „sichere Kommunikationsalternativen“ die Allleinstellung von WhatsApp zumindest ins Wanken bringen können.
Sicher werden viele Kinder auch dieses Jahr wieder Smart Toys unter dem Weihnachtsbaum auspacken. Gemeinsam mit den Eltern gilt es die neuen Spielzeuge schnell in Betrieb zu nehmen. Eine Internet-, WLAN- oder Bluetoothverbindung wird von den Herstellern oft vorausgesetzt. Bei der Aktivierung müssen persönliche Daten eingegeben und ein Nutzerprofil angelegt werden. Wir sollten uns deshalb vor dem Kauf, aber spätestens bei der Aktivierung mit den Anforderungen auseinandersetzen.
Als Smart Toys bezeichnet man Spielzeuge die ihre Umgebung erkennen. Sie reagieren auf Aktionen wie Gesten, Sprachbefehle oder Eingaben und können mit Menschen oder Tieren in Interaktion treten. Smart Toys können mit dem Internet verbunden sein, und\oder mit anderen Geräten (z.B. Smartphones) gekoppelt oder darüber gesteuert werden. Intelligente Spielzeuge müssen aber nicht nur auf das Spielen ausgelegt sein, sondern können auch gezielt Lernprozesse fördern. Letztlich bereiten sie Kinder auf den Umgang mit digitalen Geräten und der digitalen Welt vor.
Als Eltern sollten wir uns mit den Möglichkeiten und damit auch Herausforderungen auseinanderzusetzen. Immer wenn unsere persönlichen Daten durch andere Stellen verarbeitet werden, entstehen Risiken. Deshalb sollten die Möglichkeiten eines Smart Toys kritisch hinterfragt werden, um diese Risiken so gut als möglich auszuschließen.
Wir haben nachfolgend verschiedenste Themen aufgeführt. So unterschiedlich die Spielzeuge sind, so unterschiedlich sind auch die beinhalteten Möglichkeiten. Haben Sie sich für ein Modell entschieden, sollten Sie immer auch eine spezielle Suchabfrage durchführen z.B. “Datenschutz und My friend Kayla”. Oft existieren bereits offizielle Testberichte zum jeweiligen Smart Toy. Diese bieten Ihnen eine schnelle Übersicht mit Einschätzung zum Risiko.
Prüfen Sie ob ein temporärer oder sogar dauerhafter Zugriff auf das Internet notwendig ist. Das Spielzeug sollte auch noch verwendet werden können, wenn der Internetdienst des Herstellers nicht mehr zur Verfügung steht.
Kann das Spielzeug von mehreren Kindern gespielt werden, oder ist es auf ein Spielkonto beschränkt? Ist das Anlegen weiterer Accounts möglich?
In der Artikelbeschreibung oder auf der Herstellerseite sollten Sie alle notwendigen Informationen über die Datenverarbeitung zum gewünschten Smart Toy finden.
Geben Sie nur unbedingt notwendige Daten ein. Überlegen Sie, ob die Eingabe von Echtdaten immer angebracht ist (z.B. Name und Geburtsdatum des Kindes).
Wurden Ihnen Standardpasswörter\PINs über die Anleitung mitgeteilt, ändern Sie diese immer individuell. Notieren Sie sich die Kennwörter z.B. in der Anleitung.
Sind Schnittstellen wie WLAN oder Bluetooth vorhanden und sind diese für den Spielbetrieb unbedingt notwendig? Wenn nein, deaktivieren Sie diese.
Häufig werden Smart Toys mit anderen Geräten wie Smartphones oder Tablets verbunden. Diese Verbindung sollte über die Eingabe eines PINs gesichert sein. Achten Sie darauf, welche Rechte dem Spielzeug bzw. der Anwendung eingeräumt werden. Beispielsweise könnte ein Zugriff auf Standort- oder Kontakte angefragt werden.
Um die notwendige Übertragungssicherheit zu gewährleisten, sollte das Spielgerät nur mit einem bekannten, kennwortgeschützten WLAN verbunden werden. Ist die WLAN Verbindung keine Voraussetzung, deaktivieren sie diese.
Bietet das Spielzeug eine Sprach- oder Videoaufzeichnung ist es sicherer, wenn diese durch einen Knopf oder Schalter aktiviert werden muss. Es sollte auch klar sein, ob das Spielgerät nicht, bei Aktivierung oder immer aufzeichnet.
Es kann möglich sein, dass für das Weiterspielen wiederkehrende Zusatzkosten entstehen. Achten Sie auf versteckte Kosten zB. in In-App-Käufen.
Das Smart Toy der Wahl sollte bewusst ausgewählt und mit dem Kind in Betrieb genommen werden. Dies fördert unsere eigene Kompetenz und beruhigt, wenn die Möglichkeiten des Spielzeugs abgeschätzt werden können.
Kurzzeitiges Entsetzen gab es wegen Meldungen über Abmahnungen der Marke “Webinar”. Die durch die Pandemie verstärkte Nutzung von Online-Meetings intensivierte mögliche Auswirkungen. Eine offizielle Antwort von Markeninhaber Mark Keller sorgt nun für Entspannung. (Quelle: Facebookseite Jun Rechtsanwälte – Kanzlei für IT- und Wirtschaftsrecht)
Der Begriff „Webinar“ wird im alltäglichen Sprachgebrauch oft als Gattungsbegriff für Online-Seminare aller Art und für Dienste von verschiedenen Anbietern verwendet. Die seit dem Jahr 2003 beim Deutschen Patent- und Markenamt eingetragene deutsche Marke „WEBINAR®“ ist eine Qualitätsbezeichnung für Online-Seminare sowie weitere Dienste und wird seit vielen Jahren zur Kennzeichnung von Veranstaltungen, Online-Seminaren und weiteren Projekten benutzt.
Die Markenbezeichnung WEBINAR® ist keinesfalls gleichbedeutend mit dem Begriff „Webinar“ oder sonstigen begrifflichen Abwandlungen. Im Verkehr ist der Unterschied zwischen der Marke WEBINAR® und dem Begriff „Webinar“ regelmäßig an dem Markenhinweis durch die Beifügung des „®“-Symbols zu erkennen. Unseren Lizenznehmern und mir als Markeninhaber ist es besonders wichtig, dass dieser Unterschied zur Kenntnis genommen wird und allgemein bekannt ist.
Mit der zunehmenden Bekanntheit geht es der Marke WEBINAR® ähnlich, wie den bekannten Marken Tempo® (Papiertaschentücher), PLEXIGLAS® (Acrylgläser), UHU® (Klebstoffe), tesa® (Klebefilme) und viele mehr. WEBINAR® ist seit vielen Jahren ein Markenprodukt, das für ganz bestimmte Dienste des Markeninhabers und dessen Lizenznehmern steht. Es handelt sich dabei insbesondere um Dienste im Zusammenhang mit der Vermittlung von Wissen und Bildung durch Online-Seminare, welche bestimmten Qualitätsvorgaben entsprechen. Die Marke WEBINAR® steht für einen besonderen Qualitätsstandard von Produkten und Diensten des Markeninhabers oder dessen Lizenznehmern, an die hohe Anforderungen gestellt werden. Nutzer von Produkten und Diensten der Marke WEBINAR® sollen sich stets auf die hohe und gleichbleibende Qualität der mit WEBINAR® gekennzeichneten Produkte und Dienste verlassen können.
Als Inhaber der Marke WEBINAR® suche ich das Miteinander, nicht das Gegeneinander. Es ist mir und meinen Lizenznehmern überaus wichtig, mit der Marke WEBINAR® friedlich, seriös und freundlich im Verkehr aufzutreten. Wir setzen daher in jedem Fall auf Aufklärung, nicht auf Abmahnung. Die Aufklärung und Veröffentlichung von Informationen über die Marke WEBINAR® in Lexika, Zeitschriften, Büchern, Blogs (z.B. Wikipedia, Duden und weitere) gehört seit vielen Jahren zu den wichtigsten Maßnahmen zur Markenpflege.
Lassen Sie sich daher nicht von Gerüchten im Internet über etwaige kostenpflichtige Abmahnungen verunsichern, welche nicht von mir als Markeninhaber, meinen Unternehmungen, Lizenznehmern oder rechtlichen Vertretern veranlasst wurden oder werden. Sollten Sie dennoch eine Abmahnung im Zusammenhang mit „Webinar“ erhalten oder Ihnen ein Fall bekannt werden, in dem jemand abgemahnt wurde, so stammt eine solche Abmahnung nicht vom Markeninhaber oder dessen Umfeld, sondern offenbar aus zweifelhaften Quellen mit kriminellem Hintergrund. Wenn uns ein solcher Fall bekannt werden sollte, bei dem in unserem Namen Abmahnungen ausgesprochen werden, wodurch der Ruf der Marke WEBINAR® beeinträchtigt werden könnte, müssen und werden wir rechtlich dagegen vorgehen. Dies gilt auch für den Fall, wenn gezielt falsche Information über die Marke WEBINAR® oder den Inhaber der Marke im Internet verbreitet werden (z.B. unwahre Behauptungen über Abmahnungen, die tatsächlich nicht erfolgt sind).
Schließlich ist mir und meinen Lizenznehmern der Ruf und das Image der Marke WEBINAR® ganz besonders wichtig, was auch weiterhin so bleiben soll. Dazu gehört natürlich auch, dass niemand Beeinträchtigungen oder rechtliche Folgen bei seinen Aktivitäten im Zusammenhang mit Online-Seminaren befürchten und erfahren muss, wie auch immer diese im bevorzugten Sprachgebrauch von jedem Einzelnen bezeichnet werden.
Seien Sie also unbesorgt, wenn Sie den Begriff „Webinar“ oder diesen in abgewandelter Form weiterhin benutzen. Verwenden Sie jedoch die Markenbezeichnung WEBINAR® (entsprechend gekennzeichnet durch das „®“-Symbol) bitte nur dann, wenn Sie für diese Verwendungsform eine Markenlizenz besitzen.
Vergangenen Mittwochabend deutscher Zeit wurden über Accounts aus der Kryptowährungsszene betrügerische Tweets abgesetzt. Inhaltlich ging es dabei um die Unterstützung der Community über die Kampagne “CryptoForHealth” – “jeder empfangene Bitcoin-Wert werde doppelt an den Sender zurückgestellt”. Um zusätzlich Druck auszulösen, wurde die Aktion auf ein Zeitfenster von 30 Minuten begrenzt.
Kurze Zeit später wurden Tweets über verifizierte Konten berühmter Personen und Marken versendet, darunter Joe Biden, Barack Obama, Mike Bloomberg, Bill Gates, Elon Musk, Jeff Bezos, Kanye West, Warren Buffett, Kim Kardashian, Apple oder Uber.
Wie war der Angriff möglich, um auch gut abgesicherte Unternehmensaccounts zu übernehmen?
Es wird angenommen, dass die Hacker über einen Social Engineering Angriff das Administrationstool eines Twitter Mitarbeiters übernommen hatten. Damit war es möglich essentielle Sicherheitseinstellungen wie Passwortrücksetzung oder eine Deaktivierung der Zwei-Faktor-Authentifizierung abzuschalten. Somit waren die Opfer auch bei bestmöglichen Sicherheitseinstellungen gegen diesen Angriff machtlos.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen