Mann Ärger Haare raufen

“Ich bereue den Pass­wort-Wahn­sinn” – weg mit den Pass­wort Mythen

Das NIST hat sei­ne 14 Jah­re alten (und lei­der fal­schen) Emp­feh­lun­gen zur Pass­wort-Sicher­heit über­ar­bei­tet. Der dama­li­ge Ver­fas­ser bekennt gegen­über der Washing­ton Post:  “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Sei­ne Emp­feh­lun­gen fin­den sich noch heu­te in den ver­schie­dens­ten Sicher­heits­stan­dards. Täg­lich kos­ten Sie Zeit und Ner­ven der End­an­wen­der. Pass­wör­ter müs­sen Son­der­zei­chen ent­hal­ten und alle 90 Tage gewech­selt wer­den, hieß es bis­her. Obwohl sich die­se Annah­me schon lan­ge als feh­ler­haft erwie­sen hat (sie­he auch unse­re Blog­bei­trä­ge dazu), wur­de und wird sei­tens der Ver­ant­wort­li­chen an die­sen star­ren Pass­wort-Rege­lun­gen fest­ge­hal­ten. Sicher­heit wur­de hier­durch jedoch kei­ne geschaf­fen. Daher hat das NIST sei­ne Pass­wort-Emp­feh­lun­gen end­lich über­ar­bei­tet und an die wirk­li­che Bedro­hungs­la­ge ange­passt. Und welch Freu­de: Sogar das BSI lenkt in 2020 end­lich ein plant eine Anpas­sung des Bau­steins ORP.4 .Wie nut­zer­freund­li­che und siche­re Pass­wort-Richt­li­ni­en aus­se­hen kön­nen, lesen Sie in unse­rem Blog­bei­trag. Ger­ne dür­fen Sie die­sen tei­len :-)

Berg Anstieg Hilfe

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen – jetzt mit LSI Sie­gel

Art. 32 DSGVO geht eigent­lich nur mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept zu erfül­len. Für klei­ne Ein­rich­tun­gen (Kom­mu­ne und Unter­neh­men) eig­net sich die “Arbeits­hil­fe” aus Bay­ern. Jetzt in Ver­si­on 3.0 am Start. Für kom­mu­na­le Ein­rich­tun­gen ste­hen die Anpas­sun­gen zum Erhalt des LSI Sie­gels “Kom­mu­na­le IT-Sicher­heit” im Vor­der­grund. a.s.k. Daten­schutz hat wie bereits wie die Vor­gän­ger­ver­sio­nen der Arbeits­hil­fe auch die Ver­si­on 3.0 im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne und der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de wei­ter­ent­wi­ckelt. Die Arbeits­hil­fe kann sowohl von Kom­mu­nen als auch Unter­neh­men kos­ten­frei genutzt wer­de. Mehr Details und Down­load-Link im Blog­bei­trag.

Boxer Hund Brille

Bil­der zur Ein­schu­lung und der „böse“ Daten­schutz

Jetzt ist die DSGVO schon schuld dar­an, dass Eltern kei­ne Bil­der ihrer Kin­der bei der Ein­schu­lung foto­gra­fie­ren dür­fen. Zumin­dest wird das so in den meis­ten Medi­en dar­ge­stellt und ger­ne wei­ter kol­por­tiert. Was ist dran? Lesen Sie die Details dazu in unse­rem Blog­bei­trag. Spoi­ler: Der Daten­schutz ist mal wie­der zu Unrecht als schul­dig gebrand­markt.

Schadcode über Excel Power Query statt Makros

Schad­code über Excel Power Que­ry statt Makros

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Que­ry ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-She­ets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Que­ry als Add-In nach­träg­lich instal­liert wur­de. Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Que­ry kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440. Wei­te­re Details und Link zum Micro­soft Secu­ri­ty Advi­so­ry 4053440 fin­den Sie im Blog­bei­trag.

Emotet: Eigenen Mailserver auf Umgang mit potentiell schädlichen Datei-Anhängen prüfen

Emo­tet: Eige­nen Mail­ser­ver auf Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen prü­fen

Emo­tet ist zur Zeit in aller Mun­de: Wer schon immer mal prü­fen woll­te, wie der eige­ne Mail­ser­ver auf risi­ko­rei­che Datei-Anhän­ge reagiert, kann dies mit einem Ser­vice von Hei­se nun tes­ten. Zur Aus­wahl ste­hen ver­schie­de­ne Arten von Bedro­hun­gen, die man sich an die eige­ne Mail-Adres­se schi­cken las­sen kann. Doch Vor­sicht: Bei dienst­lich oder geschäft­lich genutz­ten Email-Adres­sen soll­ten Sie das nicht ohne Rück­spra­che mit Ihrer IT machen. Mehr Infos und den Link zum Ver­sand der Test-Emails im Blog­bei­trag.

Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO - technische und organisatorische Maßnahmen

Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 + 32 DSGVO – tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men

Check­lis­te / Vor­la­ge / For­mu­lar / Mus­ter Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) des Dienst­leis­ters zur Auf­trags­ver­ar­bei­tung Art. 28 + 32 DSGVO. Word-For­mu­lar (click & dir­ty) zum ein­fa­chen Aus­fül­len und zur Doku­men­ta­ti­on der Über­prü­fung. Neben der Doku­men­ta­ti­on des Schutz­ni­veaus des Dienst­leis­ters kann die­ses For­mu­lar auch die TOM der eige­nen Orga­ni­sa­ti­on doku­men­tie­ren. Im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten muss die­se Über­sicht dann nur noch refe­ren­ziert wer­den, statt dort alle Details kon­kret erneut für jedes Ver­fah­ren anzu­füh­ren. Kos­ten­frei­er Down­load, kos­ten­freie Nut­zung. Viel Spaß damit.

Interessenskonflikte bei Datenschutzbeauftragten vermeiden

Inter­es­sens­kon­flik­te bei Daten­schutz­be­auf­trag­ten ver­mei­den

Art. 38 Abs. 6 DSGVO regelt, dass Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den sind. Wer darf zum Daten­schutz­be­auf­trag­ten bestellt wer­den? Lesen Sie die Details über die Ver­mei­dung von Inter­es­sens­kon­flik­ten bei der Bestel­lung eines Daten­schutz­be­auf­trag­ten in unse­rem Blog­bei­trag

Sichere und komfortable Passwort-Verwaltung mit Keepass

Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass

Es ist ein Kreuz mit den Pass­wör­tern. Kommt man lang­sam zwar von den unsi­che­ren Kom­ple­xi­täts­re­geln und Wech­sel­in­ter­val­len – end­lich – ab, so hat man als Anwen­der immer noch mit einer Viel­zahl an Pass­wör­tern zu kämp­fen. Denn es ist schon was Wah­res dran, wenn es heißt, nicht für alle Anmel­dun­gen und Accounts das sel­be Pass­wort zu ver­wen­den. Ist näm­lich einer gehackt, sind damit auch alle ande­ren Zugän­ge gefähr­det, die das sel­be Pass­wort ver­wen­den. Und im Lau­fe sei­nes digi­ta­len Lebens sam­melt ein Anwen­der Zugangs­da­ten wie frü­her ande­re Leu­te Brief­mar­ken. Sich die­se alle zu mer­ken, mag dem einen oder ande­ren gelin­gen. Uns und wohl den meis­ten ande­ren Anwen­dern wird dies schwer fal­len. Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie Kee­pass. Wie die­ser zu instal­lie­ren und zu bedie­nen ist, wel­che Ein­satz­mög­lich­kei­ten ein sol­cher Tre­sor bie­tet und wie­so man von Online-Diens­ten für die Pass­wort-Ver­wal­tung bes­ser die Fin­ger las­sen soll­te, erfah­ren Sie in unse­rem Blog­bei­trag inklu­si­ve aus­führ­li­cher PDF Anlei­tung zu Instal­la­ti­on und Nut­zung von Kee­pass. Feel free to down­load!

Kostenlose Checkliste Multifunktionsgeräte Datenschutz und Informationssicherheit

Kos­ten­lo­se Check­lis­te Mul­ti­funk­ti­ons­ge­rä­te Daten­schutz und Infor­ma­ti­ons­si­cher­heit

Unse­re kos­ten­lo­se Check­lis­te soll hel­fen, vor­han­de­ne Schwach­stel­len zu iden­ti­fi­zie­ren und mög­lichst zeit­nah zu schlie­ßen. Auch wenn hier haupt­säch­lich von Mul­ti­funk­ti­ons­ge­rä­ten die Rede ist, so kön­nen die Schwach­stel­len auf bei Ein­zel­funk­ti­ons­ge­rä­ten vor­han­den sein.

Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO - technische und organisatorische Maßnahmen

Wor­d­Press und die DSGVO – Zusam­men­stel­lung für Umzug und Kon­fi­gu­ra­ti­on

Die Anfor­de­run­gen an Web­sei­ten­be­trei­ber stei­gen mit der DSGVO, egal ob pri­va­ter oder gewerb­li­cher Auf­tritt. Doch das ist kein Grund, die Flin­te ins Korn zu wer­fen. Für das belieb­te Con­tent Manage­ment Sys­tem Wor­d­press haben wir Ihnen zahl­rei­che Tipps und Tricks sowie Anlei­tun­gen zusam­men­ge­stellt, wie Sie auf der Ziel­ge­ra­den im Inter­net daten­schutz­kon­form nach der DSGVO auf­tre­ten kön­nen.

aboutpixel.de / Vorsicht in s/w © peterehmann

Email-Wer­bung ohne schrift­li­che Ein­wil­li­gung – geht das über­haupt?

Kei­ne Email-Wer­bung ohne schrift­li­che Ein­wil­li­gung. Oder gibt es doch Aus­nah­men im Gesetz gegen den unlau­te­ren Wett­be­werb (UWG) und Daten­schutz? Ja, es gibt genau eine Aus­nah­me. Bei die­ser müs­sen zahl­rei­che Bedin­gun­gen ALLE und GLEICH­ZEI­TIG erfüllt sein. Ein Merk­blatt des Lan­des­da­ten­schutz­be­auf­trag­ten Baden-Würt­tem­berg dient Ver­brau­chern bei der Wahr­neh­mung ihrer Rech­te gegen unlau­ter wer­ben­de Unter­neh­men. Im Umkehr­schluss kann jeder Wer­be­trei­ben­de in die­sem Merk­blatt nach­le­sen, wie es rich­tig geht. Mehr im Blog­bei­trag

aboutpixel.de Presse © Rainer Sturm

Aus­le­gungs­hil­fen zur EU Daten­schutz­grund­ver­ord­nung ver­öf­fent­licht

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat ers­te Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU-DSGVO) ver­öf­fent­licht.
Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU-DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten – und noch zu erwei­tern­den – Aus­le­gungs­hil­fen deut­lich. Mehr dazu im Blog­bei­trag.

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unter­lie­gen

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war. “Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach. Lesen Sie alle Hin­ter­grün­de zum The­ma Bestell­pflicht, Inter­es­sens­kon­flikt und Lösung mit­tels exter­nem Daten­schutz­be­auf­trag­ten in unse­rem Blog.

Fahrplan der EU Datenschutz-Grundverordnung (EU DS GVO)

Fahr­plan der EU Daten­schutz-Grund­ver­ord­nung (EU DS GVO)

Die Euro­päi­sche Daten­schutz-Grund­ver­ord­nung (EU DS GVO) wird nach der Ver­öf­fent­li­chung im EU Amts­blatt am 24.05.2016 inkraft­tre­ten. Die Ver­un­si­che­rung bei Unter­neh­men, aber auch Behör­den und kom­mu­na­len Ein­rich­tun­gen ist zur Zeit groß. In die­sem Bei­trag wol­len wir Ihnen den Fahr­plan der EU Daten­schutz-Grund­ver­ord­nung auf­zei­gen. Damit haben Sie einen zeit­li­chen Anhalts­punkt, bis wann die Umset­zung zu erfol­gen hat und wel­ches Recht zu wel­chem Zeit­punkt anzu­wen­den ist. Lesen Sie mehr im Blog­bei­trag.

Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

Was kos­tet ein exter­ner (betrieb­li­cher) Daten­schutz­be­auf­trag­ter?

“Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog­kom­men­tar an a.s.k. Daten­schutz her­an­ge­tra­gen. Daten­schutz ist kein Pro­dukt von der Stan­ge, son­dern eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihr Unter­neh­men. Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihr Unter­neh­men pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Daten­schutz­be­auf­trag­ten. Und das Bes­te: Tei­le unse­rer Leis­tun­gen kön­nen För­der­mit­tel erhal­ten!

Abmahnung für den Einsatz von Google Analytics

Abmah­nung für den Ein­satz von Goog­le Ana­ly­tics

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Mona­ten). Tipps zum daten­schutz­kon­for­men Ein­satz bei uns im Blog