Tag Archives: Internet

WordPress und die DSGVO – Zusammenstellung für Umzug und Konfiguration

By | 8. Mai 2018

Panikmache mit der DSGVO

Lei­der häu­fen sich die letz­ten Mona­te wie­der die Panik­ma­cher nach dem Mot­to “Die DSGVO kos­tet Sie Ihre Exis­tenz, außer Sie kau­fen unse­re Dienst­leis­tun­gen, Vor­la­gen, Bücher .….”.  Web­sei­ten­be­trei­ber (egal ob mit Word­Press oder ande­ren CMS erstellt) sind extrem ver­un­si­chert, was die DSGVO für sie bereit­hält.

Das ist in wei­ten Tei­len abso­lu­ter Quatsch und in unse­ren Augen unse­riö­se Geschäf­te­ma­che­rei. Sicher­lich bringt die Daten­schutz­grund­ver­ord­nung (DSGVO) eini­ges an Ver­än­de­run­gen und Neue­run­gen mit sich. Aber die Grund­zü­ge des Daten­schutz­rechts sind gleich geblie­ben. Wer also bis­her schon im Anwen­dungs­raum des BDSG oder der Lan­des­da­ten­schutz­ge­set­ze rechts­kon­form gear­bei­tet hat, nimmt noch eini­ge Anpas­sun­gen und Ergän­zun­gen an sei­nem Web­auf­tritt vor und das war es. Das mag unbe­quem sein, aber wel­ches Recht ist das nicht. Wen das Daten­schutz­recht bis­her nicht geküm­mert hat, ok, der hat jetzt eini­ges an Arbeit vor der Brust.

Das DSGVO-Blog-Sterben

In zahl­rei­chen Medi­en wer­den Schlie­ßun­gen von Blogs ange­kün­digt. Teil­wei­se pri­vat betrie­be­ne Blogs, teil­wei­se sol­che mit kom­mer­zi­el­ler Nut­zung. Schuld dar­an, sei die DSGVO. Schaut man genau­er hin, sind es jedoch oft Blog-Funk­tio­nen, die bereits im alten Daten­schutz­recht nicht kor­rekt umge­setzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Pro­ble­men füh­ren.

Doch der Auf­wand, einen pri­va­ten Blog oder mit­tels des … Weiterlesen

Datenpanne bei HIPP – Name, Anschrift und Passwörter betroffen

By | 10. Juni 2016

Das Bonus­pro­gramm “Mein Baby­Club” des bekann­ten Baby­nah­rung­her­stel­lers HIPP wur­de online ange­grif­fen und erfolg­reich gehackt. Der Anbie­ter infor­miert der­zeit die Teil­neh­mer über den Sach­ver­halt, gibt jedoch kei­ne wei­te­ren Details bekannt. Laut den von HIPP ver­sand­ten Emails an Nut­zer des Pro­gramms wur­den Anfang Mai Unre­gel­mä­ßig­kei­ten im Ser­ver­be­trieb fest­ge­stellt. Die­se wür­den auf einen erfolg­rei­chen Hack hin­deu­ten, durch den Namen, Anschrif­ten, Geburts­da­ten, aber auch Pass­wör­ter von den Sys­te­men des Anbie­ters abge­zo­gen wur­den. Die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei infor­miert.

Auf­la­gen durch das IT-Sicher­heits­ge­setz

Unab­hän­gig von der Ursa­che für die­sen Hack sind Web­sei­ten­be­trei­ber ver­pflich­tet, not­wen­di­ge Schutz­maß­nah­men zu ergrei­fen, um Daten vor unbe­rech­tig­ten Zugrif­fen zu schüt­zen. Für Web­auf­trit­te heißt es daher, sowohl den Web­ser­ver als auch die Con­tent Manage­ment Soft­ware oder das Shop Sys­tem stets mit aktu­el­len Updates und Sicher­heits­patches aus­zu­stat­ten. Ein regel­m­ßi­ger Blick in die Log­files zwecks Ana­ly­se auf Sicher­heits­ver­stö­ße kann eben­falls nicht scha­den.… Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spiegel.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurück­ge­setzt.… Weiterlesen

Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln – im Zwei­fel mit­tels Abmah­nung – gezwun­gen wer­den.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Mona­ten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestä­tigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzu­set­zen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te
Weiterlesen

Locky immer erfolgreicher

By | 9. März 2016

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutsch­land).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­ware. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeich­net.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich … Weiterlesen

Seminar “Rechtliche Aspekte der IT-Nutzung”

By | 24. September 2015

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhrau als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung / Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter ande­rem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehl­ver­hal­ten

  • Scha­den­er­satz und Haf­tung
  • Straf- und Buß­geld­vor­schrif­ten

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E-Mail und Inter­net
  • IT-Pro­to­kol­lie­rung und Aus­wer­tung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­beiterfo­tos auf der Web­sei­te
  • Ein­sicht­nah­me in per­sön­li­che E-Mail-Kon­ten und Abla­gen
  • Lega­le Kon­trol­len und inter­ne Ermitt­lun­gen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medi­en
  • Impres­sum und Daten­schutz­er­klä­rung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Com­pu­ting)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhrau von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teil­nah­me.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erho­ben)… Weiterlesen

Passwort-Safes zu Unrecht wenig beliebt

By | 27. Oktober 2014

Laut einer aktu­el­len Bit­kom Stu­die nut­zen ledig­lich 24% der befrag­ten Inter­net­nut­zer Pass­wort-Safes für Com­pu­ter und Online-Diens­te. Das sind 5% Pro­zent­punk­te mehr als im ver­gan­ge­nen Jahr, was sei­tens Bit­kom auf ein gestie­ge­nes Pro­blem­be­wußt­sein sei­tens der Nut­zer auf­grund der NSA Affä­re zurück­zu­füh­ren sei. Die Mehr­heit bevor­zugt jedoch nach wie vor ein­fa­che und mehr­fach genutz­te Pass­wör­ter. Letz­ters wird schnell zum Pro­blem, wenn ein Account erfolg­reich kom­pro­mit­tiert wur­de.

Über die Län­ge und Kom­ple­xi­tät von Pass­wör­tern wer­den wah­re Glau­bens­krie­ge geführt. Kann es der einen Par­tei nicht lang und kom­plex genug sein, zeich­net sich die Gegen­sei­te durch eine teil­wei­se naï­ve Sicht­wei­se auf das The­ma aus. Die Lösung wird – wie so oft – dazwi­schen lie­gen. Fakt ist, zu kur­ze Pass­wör­ter even­tu­ell noch ohne Kom­ple­xi­tät sind ein gefun­de­nes Fres­sen, sofern kei­ne wei­te­ren Hür­den wie Log­in Sper­ren nach x Fehl­ver­su­chen auf­ge­stellt sind. Fakt ist aber auch, ein zu lan­ges Pass­wort ist aus der Pra­xis her­aus unsi­cher, da es sich der Anwen­der nicht mer­ken kann und irgend­wo nie­der­schreibt.

Einen Kom­pro­miss stel­len Pass­wort-Safes dar. Die­se wer­den durch ein ein­ma­li­ges kom­ple­xes siche­res Pass­wort geschützt und in der dahin­ter­lie­gen­den Daten­bank wer­den alle ande­ren Zugangs­da­ten für Com­pu­ter und Online-Diens­te ver­schlüs­selt abge­legt. So muss sich der Nut­zer erst mal nur das Haupt­pass­wort mer­ken, das … Weiterlesen

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

By | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medi­en berich­ten vom wohl größ­ten Daten­klau in der Geschich­te des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost aus­ge­hen.

Einer rus­si­schen Hacker­grup­pe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sät­ze zu hacken. Betrof­fen sei­en Benut­zer­na­men, Pass­wör­ter und auch Email-Adres­sen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­te­re Infor­ma­tio­nen aus den USA vor­lie­gen habe, wer­de man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und die­se ver­öf­fent­li­chen. Ursprüng­lich sei­en wohl sogar mehr als 4 Mil­li­ar­den Daten­sät­ze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­ti­on auf 1,2 Mrd. gekom­men.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das die­se gewi­ße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, soll­te sich mitt­ler­wei­le rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­re­re Diens­te ist geeig­net, es Hackern und Die­ben leich­ter zu machen – von daher kei­ne gute Idee. Da man sich die­se nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Pass­wort-Tre­sors wie Kee­pass an. Cloud basier­te Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst ver­bie­ten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Kom­fort-Merk­ma­le … Weiterlesen

Neues Paypal Phishing dank SEPA

By | 9. Juli 2014

Es ist erneut eine gut gemach­te Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und sei­ne Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­tener Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann ange­zeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Log­in (Pay­pal Sicher­heits­schlüs­sel). Nach dem Log­in wird eine SMS an die regis­trier­te Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­ga­be des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Kon­to.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt – ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­sei­te wei­te­re Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.… Weiterlesen

Content Management Systeme (CMS) absichern

By | 1. Juli 2014

Con­tent Manage­ment Sys­te­me (CMS) sind weit ver­brei­tet. Ein­fa­che Instal­la­ti­on und hoher Bedien­kom­fort unter­stüt­zen die Ver­brei­tung. Doch nicht jeder Betrei­ber weiß um die Sicher­heits­ri­si­ken, die aus einem sol­chen CMS ent­ste­hen. Und das sogar Unge­mach aus dem Bun­des­da­ten­schutz­ge­setz droht, hat man erst recht nicht auf dem Schirm. In einem Bei­trag auf der a.s.k. Bera­tungs­sei­te haben wir wei­te­re Infor­ma­tio­nen für Sie zusam­men­ge­stellt.

Weiterlesen