Locky immer erfolgreicher

By | 9. März 2016

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­la­crypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutsch­land).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­ware. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­co­ins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeich­net.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich … Weiterlesen

Angebliche BKA Warnung vor Locky enthält Virus

By | 3. März 2016

Locky treibt wei­ter sein Unwe­sen. Aktu­ell ist eine War­nung per Email unter­wegs, die sehr pro­fes­sio­nell gemacht ist und als Absen­der das BKA vor­gibt. Im Anhang ein angeb­li­ches BKA Locky Remo­val Tool. Der Start hat fata­le Fol­gen. Vor­der­grün­dig pas­siert nichts, im Hin­ter­grund wird ein Tro­ja­ner akti­viert. Mehr auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit.Weiterlesen

Die Auftragsdatenverarbeitung – Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016

Um was geht es bei Auftragsdatenverarbeitung?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­da­ten­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat der Gesetz­ge­ber im Bun­des­da­ten­schutz­ge­setz den § 11 BDSG “Auf­trags­da­ten­ver­ar­bei­tung” vor­ge­se­hen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht § 11 BDSG Auf­trags­da­ten­ver­ar­bei­tung eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Buß­gel­der bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­da­ten­ver­ar­bei­tung spricht man im Fal­le

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len – fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Ger­ne … Weiterlesen

KGSt®-Infotag 2016: IT- und Datensicherheit in Kommunen

By | 22. Februar 2016

Am 23.02.2016 fin­det der KGSt®-Infotag: IT- und Daten­si­cher­heit in Kom­mu­nen in Hamm statt. Als Ver­tre­ter des Baye­ri­schen IT-Sicher­heits­clus­ters e.V. wer­den wir dort das The­ma ISIS12 für Kom­mu­nen prä­sen­tie­ren. Zum Abschluss der Ver­an­stal­tung neh­men wir an der Podi­ums­dis­kus­si­on teil, The­ma u.a. “Wie digi­tal sou­ve­rän müs­sen Kom­mu­nen sein?”. Wir freu­en uns auf anre­gen­de Bei­trä­ge und kon­tro­ver­se Dis­kus­sio­nen.

Mehr zur Ver­an­stal­tungWeiterlesen

Krankenhaus in NRW fängt sich Krypto-Trojaner

By | 11. Februar 2016

Das Lukas­kran­ken­haus in Neuss wur­de von einem Kryp­to-Tro­ja­ner befal­len. Aus­ge­löst hat die Ver­schlüs­se­lung aller Datei­en wohl ein unvor­sich­ti­ger Mit­ar­bei­ter, der einen infi­zier­ten Email-Anhang öff­ne­te. Die Sys­te­me wur­den run­ter­ge­fah­ren, Ope­ra­tio­nen ver­scho­ben. Mehr lesen Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit.Weiterlesen

Neuer a.s.k. Webauftritt zu Informationssicherheit, ISMS und IT-Sicherheit online

By | 11. Februar 2016

Unse­re Leser haben in der Ver­gan­gen­heit häu­fi­ger bemän­gelt, wir wür­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit auf die­sem Fach­blog zu sehr mit­ein­an­der ver­mi­schen. Wir haben dies zum Anlass genom­men, unse­ren Web­auf­tritt auf den Prüf­stand zu stel­len. Zukünf­tig wer­den wir die The­men Infor­ma­ti­ons­si­cher­heit, Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tems (Mana­ga­ment-Sys­te­me für Infor­ma­ti­ons­si­cher­heit, kurz ISMS), BSI IT-Grund­schutz, ISIS12, IT-Not­fall­ma­nage­ment sowie Berich­te zur aktu­el­len Bedro­hungs­la­ge auf einer wei­te­ren Web­sei­te von a.s.k. Daten­schutz samt News-Blog prä­sen­tie­ren. Dadurch kön­nen wir Ihnen unse­re Dienst­leis­tun­gen aus den Berei­chen Daten­schutz und Infor­ma­ti­ons­si­cher­heit deut­lich bes­ser the­men­be­zo­gen prä­sen­tie­ren und dar­stel­len. Die Tren­nung zu den rei­nen Daten­schutz-The­men soll­te dadurch auch für Sie als Leser ein­fa­cher wer­den.

Auf die­sem Fach­blog Daten­schutz wer­den wir uns wei­ter­hin mit dem The­ma Daten­schutz und den kom­men­den Aus­wir­kun­gen der EU Daten­schutz-Grund­ver­ord­nung beschäf­ti­gen. Selbst­ver­ständ­lich erhal­ten Sie hier auch wei­ter­hin Tipps und Tricks aus dem All­tag oder auch Ver­an­stal­tungs­hin­wei­se. Und über aku­te Bedro­hungs­la­gen wer­den wir Sie auch zukünf­tig hier auf die­sem Blog infor­mie­ren, mit Ver­weis auf den Haupt­ar­ti­kel unse­rer zwei­ten The­men­sei­te.

Sie errei­chen die­se über den Link https://www.informationssicherheit-aktuell.de oder wie gewohnt über https://www.ask-datenschutz.de.… Weiterlesen

Stoppt das Windows 10 Zwangs-Upgrade

By | 6. Februar 2016

Kei­ne Lust auf das Win­dows 10 Zwangs-Upgrade und den dazu­ge­hö­ri­gen Zwangs-Down­load? Dann ist es jetzt Zeit zu han­deln. Denn Micro­soft macht nun Ernst und über­spielt je nach Update-Ein­stel­lung das Betriebs­sys­tem nun sogar unge­fragt auf Ihren PC.

Wie Sie dage­gen erfolg­reich vor­ge­hen kön­nen, lesen Sie in die­sem Bei­trag der COMPUTER BILD: http://www.computerbild.de/artikel/cb-News-Software-Windows-10-Zwangs-Update-Killer-13265941.html

Oder direkt den CB Win­dows 10 Zwangs-Update-Kil­ler her­un­ter­la­den. Down­load hier: http://www.computerbild.de/download/COMPUTER-BILD-Windows-10-Zwangs-Update-Killer-13332215.htmlWeiterlesen

Safe Harbor ist tot, es lebe “EU-US Privacy Shield”

By | 2. Februar 2016

Wur­de ges­tern vor­mit­tag noch über das Ende der Schon­frist für Daten­über­mitt­lun­gen in die USA auf Basis von Safe Har­bor berich­tet, erscheint Licht am Hori­zont.

Die Ver­ant­wort­li­chen der EU-Kom­mis­si­on prä­sen­tie­ren ges­tern Abend den Nach­fol­ger. Die­ser heißt – zum Glück – nicht Safe Har­bor 2.0. Obwohl nur ers­te Details bekannt wur­den, steht der Nach­fol­ger EU-US Pri­va­cy Shield als ‘alter Wein in neu­en Schläu­chen’ bereits in der Kri­tik.

Ob das Abkom­men im Detail den Anfor­de­run­gen des EuGH stand­hält, bleibt abzu­war­ten. Der EuGH hat mit sei­nem Safe Har­bor Urteil im Herbst 2015 die Sache ins Rol­len gebracht, und die lang­jäh­ri­ge Pra­xis von Safe Har­bor für ungül­tig erklärt.

Wir hal­ten Sie in kom­men­den Bei­trä­gen über wei­te­re Details selbst­ver­ständ­lich auf dem Lau­fen­den.… Weiterlesen

EU Datenschutz-Grundverordnung am Start

By | 17. Januar 2016

Mit­te Dezem­ber 2015 fand die wohl letz­te Ver­hand­lungs­run­de zur EU Daten­schutz-Grund­re­form statt. Die nun vor­lie­gen­de “fina­le” Ver­si­on wird wohl kei­nen wei­te­ren Ände­run­gen mehr unter­wor­fen sein. Die EU Daten­schutz Grund­ver­ord­nung steht also nach lan­gem Rin­gen am Start. Fast 4 Jah­re sind ver­gan­gen, seit der Ent­schluss gefasst wur­de, ein ein­heit­li­ches, moder­nes und zukunfts­fä­hi­ges Daten­schutz-Recht für alle EU-Mit­glieds­staa­ten zu schaf­fen. Was lan­ge währt, wird end­lich gut?

Mit­nich­ten. Die groß ange­kün­dig­ten neu­en Rech­te der Ver­brau­cher sind in wei­ten Tei­len Augen­wi­sche­rei und unprak­ti­ka­bel. Unter­neh­men und Behör­den müs­sen sich noch mehr Büro­kra­tie stel­len, die Buß­gel­der stei­gen. Und wie so oft bei vie­len Köchen, der Brei ist – naja – so lala. Die Poli­tik lobt sich über­schwäng­lich. Wer in den nun fina­len Text der Ver­ord­nung schaut, stellt fest, es wur­de der kleins­te gemein­sa­me Nen­ner gefun­den.

Besteht jetzt schon Hand­lungs­be­darf?

Der Text muss nun noch in die Lan­de­spra­chen der EU Län­der über­setzt wer­den, EU-Rat und EU-Par­la­ment müs­sen das Mach­werk noch abni­cken und die Ver­kün­dung im EU-Amts­blatt statt­fin­den. Die Ver­ord­nung sieht eine zwei­jäh­ri­ge Über­gangs­frist vor, das heißt Anfang 2018 müs­sen die neu­en Rege­lun­gen umge­setzt sein.

Bis dahin bleibt aus­rei­chend Zeit, sich mit den not­wen­di­gen Anpas­sun­gen für Unter­neh­men aber auch Behör­den aus­ein­an­der­zu­set­zen und die erfor­der­li­chen Maß­nah­men zur rechts­kon­for­men Umset­zung zu tref­fen.… Weiterlesen

Safe Harbor 2.0 – Wunsch oder Wirklichkeit

By | 8. Januar 2016

Was ist mit Safe Har­bor 1.0 pas­siert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig über­rascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Welt­fremd­heit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards Weiterlesen