Archive

Home » News » Security Newsletter 04/2021

Security Newsletter 04/2021

Home » News » Security Newsletter 04/2021
alle News
WEBINAR
Informationssicherheit mit System – mehr Sicherheit und Erfolg mit ISMS

Am Mittwoch, den 23. Juni 2021, findet um 10 Uhr ein weiteres kostenloses Webinar der INES AG statt. Es wird als erster Teil einer Webinarreihe zum Thema ISMS gestaltet. In dem Webinar ...

  • erhalten Sie eine Grundlage, um eine fundierte Entscheidung über Einführung eines ISMS treffen zu können,
  • zeigen wir Ihnen, welche Herausforderungen in der Umsetzung zu erwarten sind,
  • und warum die Anlehnung an einen Informationssicherheitsstandard einen erkennbaren Mehrwert für Ihre Organisation bedeutet.

Sie haben am Mittwoch, den 23. Juni von 10:00 – 11:00 Uhr keine Zeit? Melden Sie sich einfach an und Sie erhalten im Nachhinein die Aufzeichnung des Webinars per E-Mail.

Informationssicherheit
World Backup Day feiert 10 jähriges Jubiläum - Wie Sie die Risiken von Datenverlust mit einem Backup-Konzept minimieren

Am 31. März feierte der World Backup Day sein 10 Jubiläum. Der „Welt-Backup-Tag“ soll als Erinnerung für Konsumenten dienen, wichtige Dateien zu sichern. Mit der zunehmenden Digitalisierung liegen private Informationen wie beispielsweise die kompletten Familienfotos der zurückliegenden Jahre oft nur noch digital vor. Eine Datensicherung im privaten Umfeld ist wichtig, ein Verlust der Daten aber oft nur äußerst ärgerlich. Für Unternehmen kann ein lückenhaftes Backup-Konzept existenzbedrohend sein. In unserem Artikel erfahren Sie, was Unternehmen bei der Gestaltung Ihres Backup-Konzeptes beachten sollten.

DATENSCHUTZ
Facebook: Über 500 Millionen Nutzer von Datenleck betroffen

Anfang April wurde bekannt, dass mehr als 500 Millionen Datensätze von Facebook-Usern in einem Hacker-Forum veröffentlicht worden sind. Die Datensätze enthielten unter anderem Namen, Mobilfunknummern, E-Mails, Geschlecht, Beruf, Stadt, Land und Beziehungsstatus der Betroffenen. Angeblich sind von dem Leck mehr als 6 Millionen User aus Deutschland betroffen.

In einer Stellungnahme bezog sich Facebook darauf, dass es sich nicht um ein neues Leck handelt, sondern, dass „alte Daten“ veröffentlicht wurden. Offenbar wurden die Daten mittels Scraping gesammelt. Beim Scraping werden öffentlich zugängliche Daten ausgelesen und gesammelt. Die so gesammelten Daten werden aufbereitet und es werden Profile und ähnliches erstellt. User haben die Möglichkeit über einschlägige Seiten wie Haveibeenpwned zu überprüfen, ob sie von dem Datenleck betroffen sind.

User haben die Möglichkeit über einschlägige Seiten wie Haveibeenpwned zu überprüfen, ob sie von dem Datenleck betroffen sind. Zudem hat Facebook ein spezielles Kontaktformular für Anfragen von Nutzern zum aktuellen Vorfall online gestellt. Die zuständige Datenschutzaufsichtsbehörde in Irland hat eine Untersuchung eingeleitet und hierzu eine Pressemitteilung veröffentlicht.

Vom Datenleck Betroffene sollten in jedem Fall ihr Passwort ändern. Zudem ist damit zu rechnen, dass durch Phishing oder Smishing (Phishing via SMS) versucht wird aus den erlangten Daten Kapital zu schlagen. Hier ist somit Vorsicht geboten.

DATENSCHUTZ
Auch Linkedin von Datenleck betroffen

Kurz nach dem Bekanntwerden des Datenlecks bei Facebook Anfang April wurden offenbar ca. 500 Millionen Datensätze von Nutzern des Karriereportals Linkedin zum Verkauf angeboten. Zum Nachweis der Authentizität haben die Kriminellen die Daten von rund 2 Millionen Nutzern veröffentlicht. Diese Datensätze enthielten die vollständigen Namen, E-Mail-Adressen, Telefonnummern und Arbeitsplatzinformationen der Betroffenen. Laut Linkedin handelt es sich auch hierbei um öffentliche Daten, die wie bei Facebook durch unerlaubtes Scraping erlangt worden sind. Betroffene sollten dieselben Maßnahmen ergreifen, wie beim Facebook-Datenleck.

INFORMATIONSSICHERHEIT
SMS-Phishing: Viele Fake-Nachrichten im Umlauf

In zumindest zeitlich sehr engem Zusammenhang mit der Veröffentlichung der Facebook- und Linkedin-Daten sind zahlreiche SMS-Nachrichten im Umlauf, die den Empfänger zum Klicken eines Links auffordern. Häufig werden diese Nachrichten im Zusammenhang mit der Zustellung von Pakten oder ähnlichem verschickt.

Ziel der Nachrichten ist es, dass der Empfänger eine schädliche App installiert, die zum Beispiel Daten ausliest, selbstständig SMS an die gespeicherten Kontakte schickt oder den Empfänger zum Abschließen eines kostenpflichtigen Abos verleiten soll. Auffallend ist, dass viele der Nachrichten nicht sonderlich gut gemacht sind. So enthalten viele der Nachrichten Rechtschreibfehler. Zudem erwecken auch die angeführten Links nicht gerade Vertrauen.

Betroffene, die eine solche SMS erhalten sollten prüfen, ob die Nachricht einen seriösen Eindruck erweckt und ob tatsächlich ein Paket oder ähnliches erwartet wird. Falls man die Nachricht von einem Bekannten erhält sollte man bei diesem nachfragen. Es ist möglich, dass dieser eine Schad-App installiert hat und die App die Nachricht ohne dessen Wissen verschickt hat. Es ist zu empfehlen, dass nur Apps aus bekannten Quellen installiert werden und eine sogenannte Drittanbietersperre eingerichtet wird. Die Sperre kann beim jeweiligen Mobilfunkbetreiber aktiviert werden.

INFORMATIONSSICHERHEIT
Neue Betrugsmasche beim Online-Banking

Online-Banking stellte schon immer ein interessantes Ziel für Betrüger dar. Die Polizei Hamburg warnt nun vor einer neuen Masche. Bankkunden, die über eine Suchmaschine nach ihrer Hausbank suchen, werden dabei auf täuschend echt aussehende Nachbauten der Websites geleitet. Nach der Eingabe der Login-Daten zum Online-Banking erscheint eine Fehlermeldung mit dem Hinweis die angegebene Telefonnummer anzurufen, da das Konto angeblich gesperrt ist.

Ziel der Betrüger ist es nicht primär die Daten abzugreifen, sondern sich im Rahmen des Telefonats per Fernzugriff auf den Rechner des Bankkunden zu schalten.Im Rahmen des Vorgangs wird ein Konto bei einer Online-Bank eröffnet und der Bankkunde soll sich hierzu per Video-Ident identifizieren und Ausweiskopien hochladen. Begründet werden diese Schritte damit, dass dies erforderlich sei, um das Konto wieder freizuschalten.

DATENSCHUTZ
BayLDA: Weitergabe von Daten an Mailchimp unzulässig

Im Bereich des Marketings werden häufig Dienstleister eingesetzt, deren Firmensitz in den USA ist. Insbesondere nach Wegfall des EU-US-Privacy-Shield stellen Datenübermittlungen in die USA ein besonderes Problem dar. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) musste sich wohl diesbezüglich mit der Beschwerde einer betroffenen Person beschäftigen. Im konkreten Fall ging es um die Speicherung der E-Mail-Adresse des Betroffenen bei Mailchimp durch einen Online-Händler. Mailchimp ist ein Anbieter zum Versand von Newslettern und sitzt in den USA.

Offenbar hat das BayLDA dem Online-Händler die weitere Nutzung von Mailchimp aus datenschutzrechtlichen Gründen untersagt. Die Datenübermittlung in die USA passierte aufgrund der sogenannten Standardvertragsklauseln. Diese bieten allerdings nur eine trügerische Sicherheit, da durch die Klauseln die Befugnisse von US-Behörden nicht eingeschränkt werden können. Nach Ansicht des BayLDA hätte der Online-Händler prüfen müssen, ob weitere Maßnahmen hinsichtlich des Datenschutzes erforderlich sind. Er hätte also eine Risikobewertung vornehmen müssen. Dies ist allerdings aufgrund der häufig mangelhaften Kommunikation der US-Dienstleister sowie dem dahinterstehenden Aufwand de facto kaum umsetzbar.

Wir empfehlen Unternehmen - soweit möglich - auf den Einsatz von US-Dienstleistern zu verzichten.

RECHTSPRECHUNG
Landesarbeitsgericht BaWü: Urteil zu „echten“ Testdaten

Das Landesarbeitsgericht Baden-Württemberg (LArbG) hat am 25.02.2021 (Az.: 17 Sa 37/20) ein in mehreren Punkten beachtenswertes Urteil gesprochen. Im Kern ging es im Verfahren um eine Schadensersatzforderung eines Betriebsratsvorsitzenden gem. Art. 82 DSGVO gegen seinen Arbeitgeber. Grund hierfür sei eine rechtswidrige Verarbeitung seiner Personaldaten.

Eine erste interessante Feststellung trifft das Gericht bereits damit, dass die DSGVO anwendbar ist, obwohl die Verarbeitung bereits im Jahr 2017 begonnen hat. Das Gericht begründet die Anwendbarkeit der DSGVO damit, dass die DSGVO einschlägig ist, wenn Daten über den 24.05.2018 hinaus verarbeitet werden. Der Kläger ist in Deutschland bei einem Unternehmen beschäftigt, dessen Konzernmutter in den USA sitzt. 2017 wurde damit begonnen, ein Personalinformationssystem (Workday) einzuführen. Der Kläger verlangte hierzu von seinem Arbeitgeber Auskunft darüber, welche personenbezogenen Daten in diesem Zusammenhang von ihm verarbeitet werden. Hierbei kam heraus, dass „echte“ Personaldaten in die USA übermittelt wurden, um ein Testsystem mit Daten zu füllen.

Grundsätzlich gab es im Zusammenhang mit der Übermittlung der personenbezogenen Daten zuerst eine Duldungs-Betriebsvereinbarung, die im Laufe der Zeit durch zwei dauerhafte Vereinbarungen ersetzt worden ist. Problematisch ist allerdings, dass das Testsystem mit Datenkategorien befüllt worden ist, die von den Betriebsvereinbarungen nicht gedeckt worden sind. Deshalb prüft das Gericht als nächstes ob Vorschriften des BDSG oder der DSGVO als Rechtsgrundlage für die „Befüllung“ des Testsystems in Frage kommen. § 26 Abs. 1 BDSG scheidet allerdings nach Ansicht des Gerichts deshalb aus, da es sich um ein Testsystem handelt und die Verarbeitung somit nicht erforderlich ist, um das Arbeitsverhältnis durchzuführen. Auch Art. 6 Abs. 1 lit. f DSGVO als letzter Rettungsanker scheitert an der Erforderlichkeit der Datenverarbeitung.

Somit lässt sich feststellen, dass Daten von Beschäftigten nur dann in Testsystemen verwendet werden dürfen, wenn es hierzu eine Betriebsvereinbarung gibt. Anders gesprochen können Unternehmen ohne Betriebsrat keine Echtdaten von Beschäftigten zum Testen von Systemen verwenden. Denn ohne Betriebsrat sind auch keine Betriebsvereinbarungen möglich.

Bleiben Sie geschützt, Ihr INES-IT Team


Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News
Kontakt und mehr