Archive

Home » News » Security Newsletter 01/2021

Security Newsletter 01/2021

Home » News » Security Newsletter 01/2021
zurück zur News Seite
WEBINARE
Webinar: Social Engineering – Wie Hacker Ihre Mitarbeiter manipulieren

Am Donnerstag den 28. Januar 2021 findet ein weiteres kostenloses Webinar der INES AG statt. "Social Engineering - Wie Hacker Ihre Mitarbeiter manipulieren". In dem Webinar erfahren Sie ...

  • was unter Social Engineering verstanden werden kann,
  • welche menschlichen Schwachstellen beeinflusst werden,
  • wie sich dies in der Praxis auswirken kann,
  • und vor allem wie Anwender u.a. mit simulierten Phishing-Attacken und Awareness Kampagnen sensibilisiert werden können.
DATENSCHUTZ
WhatsApp: Neue AGBs und Datenschutzbestimmungen

Jeder Nutzer von WhatsApp wurde zu Beginn des Jahres dazu aufgefordert neuen AGBs sowie Datenschutzhinweisen zuzustimmen. Hierzu wurde eine Frist bis 8. Februar gesetzt, welche mittlerweile bis Mitte des Jahres verlängert wurde. Diese Mitteilungen haben viele Nutzer vor Fragen gestellt. WhatsApp ist seit einigen Jahren Teil der Facebook Inc. und wird auch deshalb mit Argwohn betrachtet. Wir haben für Sie die wichtigsten Punkte in Sachen WhatsApp zusammengefasst.

DATENSCHUTZ
Brexit: Folgen für den Datenschutz noch nicht absehbar

Dass der Austritt Großbritanniens aus der Europäischen Union kommt, war bereits seit Monaten klar. Allerdings war bis zum Schluss nicht klar, ob es zum sogenannten harten Brexit – also ohne jegliche Sonderregelungen zwischen der EU und Großbritannien – kommt.

Aus Sicht des Datenschutzes stellte sich dabei insbesondere das Problem, dass Großbritannien ab dem 01. Januar 2021 als sogenanntes Drittland zählen würde. Somit wäre die Übermittlung von personenbezogenen Daten nach Großbritannien nur noch in engen Grenzen möglich. Kurz vor Ablauf der Übergangsfrist haben sich die EU und das Vereinigte Königreich doch noch auf einen Partnerschaftsvertrag geeinigt.

Hinsichtlich des Datenschutzes wurden hierbei keine langfristigen Regelungen getroffen. Es wurde allerdings eine viermonatige Übergangsfrist vereinbart, die sich nochmals um zwei Monate verlängert, wenn keine der Parteien widerspricht. Somit bleibt bis mindestens 30. April 2021 alles noch beim Alten.

Dieser Zeitraum müsste genutzt werden, um eine dauerhafte Lösung zu finden. Nach derzeitiger Rechtslage wäre einzig ein Angemessenheitsbeschluss der EU-Kommission eine Möglichkeit, um grenzübergreifende Datenübermittlung in das Vereinigte Königreich so zu behandeln wie bisher. Es darf aber zumindest bezweifelt werden, dass ein solcher Beschluss innerhalb der vier bzw. sechs Monate getroffen wird. Zudem gibt es in Großbritannien ähnliche Befugnisse für Geheimdienste wie in den USA. Diese Befugnisse waren mitunter der Grund dafür, dass die bisherigen Versuche den Datentransfer in die USA zu vereinfachen (Safe Harbor, Privacy Shield) durch den EuGH einkassiert wurden. Es wäre somit zumindest nicht auszuschließen, dass ein solcher Angemessenheitsbeschluss langfristig Bestand hätte.

Zudem bleibt es abzuwarten wie das Vereinigte Königreich mit Gesetzgebung im Bereich Datenschutz weiter verfährt. Aufgrund der Unsicherheit über den Sommer 2021 hinaus ist es ratsam zu prüfen, ob man Dienstleister oder Partner aus Großbritannien nicht durch Alternativen innerhalb der EU ersetzt. Ist das nicht möglich sein, sollte rechtzeitig damit begonnen werden mit britischen Geschäftspartnern vertragliche Vereinbarungen im Bereich Datenschutz zu treffen.

Einen Sonderfall stellen Datenübermittlungen von katholischen Einrichtungen dar. Verarbeitungen im Auftrag sind in § 29 KDG geregelt. Aufgrund der Formulierung ist es nicht möglich die Ausnahmeregelung zwischen der EU und dem Vereinigten Königreich anzuwenden. Aufgrund dessen hat die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland beschlossen, dass die Ausnahmenregelung bis 31.04.2021 auch für katholische Einrichtungen gelten soll.

DATENSCHUTZ
Hohes Bußgeld aufgrund von Videoüberwachung

Die Landesbeauftragte für den Datenschutz des Landes Niedersachsen (LfD) hat eine Geldbuße in Höhe von 10,4 Millionen Euro gegen die notebooksbilliger.de AG ausgesprochen. Die Aufsichtsbehörde begründet die Strafe mit einer mindestens zweijährigen Videoüberwachung ohne Rechtsgrundlage. Demnach wurden Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsräume von den Kameras erfasst.

Notebooksbilliger.de hat auf seiner Homepage zum Bußgeld Stellung genommen und angekündigt, dass man gerichtlich gegen die Geldbuße vorgehen will. Laut notebooksbilliger.de begann das Verfahren bereits im März 2017 und endete mit einer formellen Verwarnung im Oktober 2019. Parallel wurde jedoch vom LfD ein Ordnungswidrigkeitsverfahren eingeleitet.

Das LfD rechtfertigt das Bußgeld insbesondere damit, dass die Videoüberwachung laut notebooksbilliger.de der Diebstahlprävention bzw. -aufklärung dient. Ein solcher „dauerhafter und anlassloser Eingriff in die Persönlichkeitsrechte der Beschäftigten“ stelle einen schwerwiegenden Fall der Videoüberwachung dar. Laut notebooksbilliger.de sei Videoüberwachung in der Logistikbranche eine übliche Sicherheitsmaßnahme. Zudem wird die Aufsichtsbehörde kritisiert, dass sie – trotz mehrmaliger Einladung – nicht von der Möglichkeit gebraucht gemacht hat, sich die Begebenheiten der Videoüberwachung vor Ort anzusehen.

Zudem wird die Höhe des Bußgeldes sowohl von notebooksbilliger.de als auch vom Branchenverband Bitkom in Frage gestellt, die wohl erneut auf dem Konzept der deutschen Aufsichtsbehörden beruht. Ob das Bußgeld gerechtfertigt ist, lässt sich derzeit nicht abschätzen, da kaum Fakten bekannt sind. Deshalb könnte ein gerichtliches Verfahren für alle Verantwortlichen, die Videoüberwachung einsetzen, klarere rechtliche Grenzen schaffen. Zudem wird es interessant zu beobachten, ob die Höhe des Bußgeldes bestand hat. Erst Ende 2020 wurde ein Bußgeld gegen 1&1 vom Landgericht Bonn auf ein Zehntel der ursprünglichen Höhe gesenkt.

DATENSCHUTZ
Fragebogen der niedersächsischen Aufsichtsbehörde

Die Landesbeauftragte für den Datenschutz des Landes Niedersachsen war nicht nur in Sachen Bußgeld aktiv, sondern hat auch Unternehmen einen Fragebogen zukommen lassen. Im Fragebogen wurden Informationen zu den Internetseiten der Unternehmen abgefragt. Hierbei ging es insbesondere um die Einbindung von Drittanbietern und Cookies. Da die Fragen teilweise sehr spezifisch sind, ist die Beantwortung mit einigem Aufwand verbunden.

Die LfD hat die wichtigsten Ergebnisse der Prüfung veröffentlicht. Laut Aufsichtsbehörde waren die eingeholten Einwilligungen für Cookies nur auf einer der 19 Webseiten wirksam. Auch die Informationspflichten wurden laut Aufsichtsbehörde lediglich auf drei Webseiten im erforderlichen Umfang erfüllt. Weiterführend zu den Ergebnissen hat die LfD eine Handreichung zu datenschutzkonformen Einwilligungen auf Webseiten veröffentlicht. Das Dokument kann hier heruntergeladen werden.

INFORMATIONSSICHERHEIT
Weitere Angriffe auf Unternehmen

Auch gegen Ende des Jahres waren Unternehmen das Ziel von Cyberangriffen. So wurde Ende des Jahres bekannt, dass der Dax-Anwärter Symrise Opfer eines Angriffes wurde. Symrise ist einer der weltweit größten Hersteller von Geruchs- und Geschmackstoffen.

Dabei handelte es sich wohl um einen Verschlüsselungstrojaner, der über E-Mails in das Netzwerk des Unternehmens gelangt ist. Nach Aussagen des Unternehmens wurden unverzüglich nach Entdeckung der Attacke alle Systeme vom Netz genommen. Die Maßnahmen haben Auswirkungen auf die Produktion und die Arbeitsfähigkeit einiger Mitarbeiter, die überwiegend von zu Hause arbeiten.

Die Funke Mediengruppe war Ende Dezember des vergangenen Jahres Ziel eines Cyberangriffes. Auch in diesem Fall wurden Systeme des Medienhauses von außen verschlüsselt. Im Fall der Funke Mediengruppe war insbesondere der Druck der zahlreichen Zeitungen betroffen. Deshalb sind zeitweise keine oder nur gekürzte Notausgaben erschienen.

Das Unternehmen hat eine „digitale Waschstraße“ eingerichtet, die jedes verseuchte Gerät durchlaufen muss. Die Mediengruppe hat zu Beginn des Jahres bekannt gegeben, dass der „externe IT-Angriff (…) absolut massiv (war)“ und zu großem Schaden innerhalb der IT-Systeme geführt hat. Die über 1000 Server und mehr als 6000 Endgeräte sollen in eine komplett neue und saubere IT-Umgebung überführt werden.

In einem weiteren Update vom 18. Januar gab die Gruppe bekannt, dass alle Zeitungen zeitnah wieder mit der gewohnten Seitenzahl erscheinen sollen und der „Notfallmodus“ verlassen werden kann. Zudem wurde bekannt gegeben, dass es weiterhin Einschränkungen in den Abteilungen gibt und die Folgen – insbesondere auch in finanzieller Hinsicht – derzeit noch nicht abzuschätzen sind.

INFORMATIONSSICHERHEIT
Freie Universität Berlin: Vollzugriff auf Studiendaten

Mitte Januar war es Studierenden der FU Berlin für kurze Zeit möglich auf sämtliche Studiendaten zuzugreifen. Offenbar war es möglich sämtliche Informationen bis zurück zum Jahr 2005 einzusehen und teilweise sogar zu ändern. Die Zugriffsrechte wurden offenbar erst nach einer Anfrage des Portals netzpolitik wieder entzogen.

Hintergrund der Panne war anscheinend, dass das Campus Management gewartet und mit neuen Funktionen versehen wurde. Hierbei kam es zu der Fehlkonfiguration. Ein Änderungsmanagement mit entsprechenden Testzyklen kann dabei helfen solche Fehler zu vermeiden.

Falls Sie Unterstützung bei der Entwicklung von Prozessen und Dokumentationen zur Optimierung des IT-Änderungsmanagement benötigen, können Sie jederzeit auf das Informationssicherheitsteam der INES AG zukommen.

INFORMATIONSSICHERHEIT
Beliebteste Passwörter des Jahres 2020

Jedes Jahr veröffentlicht das Hasso-Plattner-Institut das meistgenutzte Passwort in Deutschland – und jedes Mal ist das Ergebnis eine Ernüchterung für diejenigen, die sich um IT-Sicherheit sorgen. Im Jahr 2020 war das beliebteste Passwort "123456" gefolgt von "123456789" und "passwort".

Als LeserIn unseres Newsletters verwenden Sie sicher keines dieser unsicheren Passwörter. Brauchen Sie aber Tipps für ein individuelles und starkes Passwort, finden Sie auf unserer Webseite Lösungen wie beispielsweise die Passwortkarte oder digitales Passwortmanagement.

Bleiben Sie geschützt, Ihr INES-IT Team

Newsletter kostenfrei abonnieren
INES IT  Informationssicherheit 




zurück zur News Seite
Kontakt und mehr