Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gestrigen Sonntag wurde gemeldet, Nutzerkonten samt Daten von registrierten Nutzern der Webseite des DuMont-Verlags standen stundenlang ungeschützt im Netz. Während der Verlag von einem Hackerangriff spricht, scheint einiges für interne Schlamperei zu sprechen (spiegel.de)

Der Verlag nahm die betroffenen Webseiten einige Stunden nach Meldung der Datenpanne offline. Sie sollen im Laufe des heutigen Tages wieder ans Netz gehen. Fatal: Neben den Benutzernamen waren die Passwörter im Klartext abgespeichert. Nach eigenen Angaben des Verlags wurden die Passwörter der betroffenen Accounts zurückgesetzt.

Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln – im Zweifel mittels Abmahnung – gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

  1. Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete
Weiterlesen

Patientendaten gehackt – Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online meldet letzte Woche, dass es nach eigenen Tests nach wie vor große Sicherheitslücken bei der Gesundheitskarte gibt. Patientendaten sind nach wie vor nicht sicher, hat deren Überprüfung ergeben. Die Redaktion konnte mit wenigen Mausklicks und einigen Anrufen bei der für den Test ausgewählten Barmer GEK ohne Probleme, Informationen über Arztbesuche und Medikamentationen abfragen.

Wie RP Online berichtet, ist dies bereits der fünfte Fall in den letzten 20 Monaten, in dem es durch das einfach strukturierte Anmelde-Verfahren zu den Online-Services der Krankenkassen (darunter neben der Barmer GEK auch die AOK) zum vollständigen Zugriff auf das Versicherten-Profil kommen kann. Was dazu nötig ist? Es reichen Name, Geburtsdatum, Versichertennummer, eine neu auf den Namen des Versicherten ausgestellte Email-Adresse bei einem beliebigen Anbieter sowie ein Telefonat mit der Versicherung.

Doch das ist nicht neu. Bereits 2014 wurde diese Vorgehensweise als Schwachstelle aufgedeckt, die Krankenkassen informiert. 2015 war der Vorgang immer noch nachvollziehbar (siehe ZDF Videobeitrag). Getan hat sich seither wenig bis nichts. Daher ist auch die Bundesdatenschutzbeauftragte, Andrea Voßhoff „not amused“.

 

Locky immer erfolgreicher

By | 9. März 2016

Zusammenfassung

Verwunderlich, wie wenig in den Nachrichten zu dem Thema in den letzten Tagen zu hören ist. Nach Teslacrypt treibt ein weiterer Krypto-Trojaner sein Unwesen. Und das sogar ziemlich erfolgreich. Vor einigen Tagen gab es noch 5.000 Infektionen pro Stunde in Deutschland. Heute sind es über den Tag immerhin noch 17.000 (auch wieder nur alleine in Deutschland).

Krypto-Trojaner gehören zu der sogenannten Ransomware. Einmal auf dem Computer angekommen und aktiviert, beginnen sie umgehend mit ihrer Aufgabe. Und diese lautet „Verschlüssele alles, was Dir in die Finger kommt“. Die Folgen verheerend. Unternehmen werden lahmgelegt, Behörden sind arbeitsunfähig. Im privaten Bereich sind im Zweifel über die Jahre mühselig gepflegte Bilder- und Musikdatenbanken futsch.

Entschlüsselt wird nur gegen Zahlung von Lösegeld in Form von Bitcoins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor einigen Tagen sprach ich mit dem IT-Leiter einer großen Stadt in Bayern. Zu Locky (dem zur Zeit bekanntesten grassierenden Krypto-Trojaner) befragt, meinte er lapidar „Wir sind auf DEFCON 1“. Damit wird die höchste militärische Verteidigungsstufe in den USA bezeichnet.

Wie es zu einer solchen Aussage kommt, wird schnell klar, wenn man einen Blick auf die Entwicklung in den letzten Wochen wirft. Bereits im Dezember sahen sich … Weiterlesen

Die Auftragsdatenverarbeitung – Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016

Um was geht es bei Auftragsdatenverarbeitung?

Ein sperriger Begriff für einen einfachen Sachverhalt. Auftragsdatenverarbeitung meint das klassische Outsourcing an einen externen Dienstleister. Nur sind in diesem speziellen Fall personenbezogene Daten betroffen. Für diesen Fall hat der Gesetzgeber im Bundesdatenschutzgesetz den § 11 BDSG „Auftragsdatenverarbeitung“ vorgesehen.

Um ein möglichst hohes Schutzniveau zu gewährleisten und das Risiko von Datenpannen bei der Auslagerung auf Subunternehmer zu minimieren, sieht § 11 BDSG Auftragsdatenverarbeitung einige Auflagen vor. Um die Bedeutung und Ernsthaftigkeit des Themas zu unterstreichen, stehen auf eine fehlende oder fehlerhafte Umsetzung empfindliche Bußgelder bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am einfachsten läßt sich das an konkreten Beispielen erklären. Von einer Auftragsdatenverarbeitung spricht man im Falle

  • der Nutzung einer Mailingagentur oder eines Lettershops zum Erstellen und Versand von Anschreiben, die an natürliche Personen gerichtet sind oder
  • der Durchführung der monatlichen Gehaltsabrechnung durch eine externe Lohn- und Gehaltsabrechnungstelle (nicht Steuerberater) oder
  • des Einsatzes einer extern gehosteten Software zur Verwaltung und zum Versand von Newslettern oder
  • der Beauftragung eines externen Callcenter oder Office-Services oder
  • dem teilweisen oder vollständigen Auslagern des Rechenzentrums oder
  • in vielen ähnlichen vergleichbaren Fällen – fragen Sie Ihren Datenschutzbeauftragten oder gleich uns.

Gerne … Weiterlesen

KGSt®-Infotag 2016: IT- und Datensicherheit in Kommunen

By | 22. Februar 2016

Am 23.02.2016 findet der KGSt®-Infotag: IT- und Datensicherheit in Kommunen in Hamm statt. Als Vertreter des Bayerischen IT-Sicherheitsclusters e.V. werden wir dort das Thema ISIS12 für Kommunen präsentieren. Zum Abschluss der Veranstaltung nehmen wir an der Podiumsdiskussion teil, Thema u.a. „Wie digital souverän müssen Kommunen sein?“. Wir freuen uns auf anregende Beiträge und kontroverse Diskussionen.

Mehr zur Veranstaltung

Neuer a.s.k. Webauftritt zu Informationssicherheit, ISMS und IT-Sicherheit online

By | 11. Februar 2016

Unsere Leser haben in der Vergangenheit häufiger bemängelt, wir würden die Themen Datenschutz und Informationssicherheit auf diesem Fachblog zu sehr miteinander vermischen. Wir haben dies zum Anlass genommen, unseren Webauftritt auf den Prüfstand zu stellen. Zukünftig werden wir die Themen Informationssicherheit, Information Security Management Systems (Managament-Systeme für Informationssicherheit, kurz ISMS), BSI IT-Grundschutz, ISIS12, IT-Notfallmanagement sowie Berichte zur aktuellen Bedrohungslage auf einer weiteren Webseite von a.s.k. Datenschutz samt News-Blog präsentieren. Dadurch können wir Ihnen unsere Dienstleistungen aus den Bereichen Datenschutz und Informationssicherheit deutlich besser themenbezogen präsentieren und darstellen. Die Trennung zu den reinen Datenschutz-Themen sollte dadurch auch für Sie als Leser einfacher werden.

Auf diesem Fachblog Datenschutz werden wir uns weiterhin mit dem Thema Datenschutz und den kommenden Auswirkungen der EU Datenschutz-Grundverordnung beschäftigen. Selbstverständlich erhalten Sie hier auch weiterhin Tipps und Tricks aus dem Alltag oder auch Veranstaltungshinweise. Und über akute Bedrohungslagen werden wir Sie auch zukünftig hier auf diesem Blog informieren, mit Verweis auf den Hauptartikel unserer zweiten Themenseite.

Sie erreichen diese über den Link https://www.informationssicherheit-aktuell.de oder wie gewohnt über https://www.ask-datenschutz.de.

Stoppt das Windows 10 Zwangs-Upgrade

By | 6. Februar 2016

Keine Lust auf das Windows 10 Zwangs-Upgrade und den dazugehörigen Zwangs-Download? Dann ist es jetzt Zeit zu handeln. Denn Microsoft macht nun Ernst und überspielt je nach Update-Einstellung das Betriebssystem nun sogar ungefragt auf Ihren PC.

Wie Sie dagegen erfolgreich vorgehen können, lesen Sie in diesem Beitrag der COMPUTER BILD: http://www.computerbild.de/artikel/cb-News-Software-Windows-10-Zwangs-Update-Killer-13265941.html

Oder direkt den CB Windows 10 Zwangs-Update-Killer herunterladen. Download hier: http://www.computerbild.de/download/COMPUTER-BILD-Windows-10-Zwangs-Update-Killer-13332215.html