Kategorien
Alle Senioreneinrichtungen Systemtechnik Unternehmen VoIP und 3CX

Auf dem Weg zum digitalen Pflegeheim

Die deutschlandweit erscheinende Fachzeitschrift Seniorenheim-Magazin thematisiert in ihrer aktuellen Ausgabe unter dem Titel „Auf dem Weg zum digitalen Pflegeheim“ die Digitalisierung und den Einsatz softwarebasierter Pflegedokumentation in Senioreneinrichtungen.

In einem Interview mit Frank Espenhain -CEO der Arconda Systems AG- werden im aktuellen Heft Fragestellungen zur momentanen Internetversorgung von Heimbewohnern, technische Realisierungsoptionen und Potentiale für einen effizienteren Pflegebetrieb erörtert.

Hier finden Sie das komplette Interview zum nachlesen:

Kategorien
Alle Datenschutz

Datenschutzkonforme Lead-Ads by Facebook

Schon seit längerer Zeit wird Facebook nicht mehr nur als einfache Social-Media-Plattform verwendet, sondern fungiert ebenfalls als Werbeplattform, indem den Usern (auf Facebook und Instagram) sog. Lead-Ads angeboten werden.

Eine Lead-Ad ist eine Art Landingpage – eine Website, auf welche ein potentieller Kunde mit einer Werbeanzeige geleitet wird, um bestimmte Informationen zu übermitteln. 

Landingpages sind interessant für Unternehmen, weil Zielgruppen spezifisch angesprochen werden können.

Funktionsweise 

Eine individualisierte Zielgruppe entsteht durch Einsatz von Tracking-Tools auf der eigenen Website des Unternehmens. Diese Tracking-Tools bewirken eine Analyse von Interessen und Gemeinsamkeiten der Websitebesucher, über welche Besucher gruppier- und damit ansprechbar werden.

Die Lead-Ads by Facebook unterscheiden sich von herkömmlichen Landingpages. Anstelle einer einfachen Website-Weiterleitung wird hier eine Befragung per Kontaktformular durchgeführt, wodurch jeweilige Interessen und Präferenzen noch konkreter erfasst werden können.

DSGVO-Konformität

Es ist sicherzustellen, dass die Erstellung von Zielgruppen, welche offensichtlich auf der Speicherung und Verwendung personenbezogener Daten basiert, den Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) entspricht.

Es ist zu prüfen, welche personenbezogenen Daten (Adressdaten, Emailadresse, etc.) der potentiellen Kunden gespeichert, verarbeitet und/oder an Dritte weitergegeben werden dürfen und inwiefern Verwendungszwecke, wie auch Speicherdauer der gewonnenen Daten transparent sind.

Um Lead-Ads datenschutzkonform auszugestalten, müssen einige wichtige Grundbedingungen vorausgesetzt sein. 

Gem. Art. 5 und 6 DSGVO bedarf die Speicherung und Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person, wobei der Einwilligungsempfänger (Sie) stets erkennbar sein muss, wie auch der Verwendungszweck aller erhobenen Daten. Die gewonnenen Kundendaten dürfen grundsätzlich nicht an Dritte übermittelt werden, es sei denn es liegt eine zusätzliche Einwilligung des Betroffenen i.S.d Art. 6 I DSGVO vor. 

Des Weiteren wird für Regelkonformität gesorgt, wenn das Unternehmen mit dem Dritten in einem Vertragsverhältnis steht und/oder es sich um ein verbundenes Unternehmen handelt (gem. § 15 AktG). Der Datenverantwortliche (Sie) trägt die Verantwortung für die rechtmäßige Verarbeitung der zur Verfügung gestellten Daten beim Auftragsverarbeiter (Dritter) (gem. § 11 BDSG).

Alle Datenempfänger müssen namentlich in den Datenschutzrichtlinien, die Detailangaben zu Ihrer Datenerhebung enthält, erwähnt sein.

Wir empfehlen:

Wir empfehlen die Verwendung von Opt-In i. S. e. eines ausdrücklichen Zustimmungsverfahren, in welchen der Link zu Ihren Datenschutzrichtlinien integriert ist. 

Eine weitere Verbesserung des Verfahrens ist durch ein Double-Opt-In zu erzielen. Dieses erfordert eine zusätzliche Bestätigung per Bestätigungsmail, um die Eintragung der persönlichen Daten auf ihre Richtigkeit zu überprüfen. Dies bietet Schutz vor Missbrauch der Daten, falls der User nicht die personeneigenen Daten verwendet hat, sondern sich als eine andere Person ausgegeben hat.

Dieser zusätzliche Schritt ist nicht gesetzlich verpflichtend, bietet jedoch zusätzliche Sicherheit, wenn dieses im individuellen Fall empfehlenswert scheint.

Sofern Lead-Ads nicht datenschutzkonform gestaltet werden, sind Sperrungen der Werbeanzeigen durch Facebook und Sanktionierungsmaßnahmen der Behörden nicht auszuschließen.

Kategorien
Alle Sicherheit Systemtechnik

Kritische Sicherheitslücke in MS Exchange-Servern

Mit den kürzlich bekannt gewordenen Sicherheitslücken für Microsoft Exchange 2010, 2013, 2016 und 2019 Server ist wieder einmal ein Worst-Case-Szenario eingetreten, welches unmittelbaren Handlungsbedarf hervorruft.

Der Ablauf eines durch diese Schwachstellen möglichen Angriffs erfolgt in folgender Reihenfolge:

1.       Zunächst wird eine als CVE-2021-26855 dokumentierte SSRF-Schwachstelle (Server-Side Request Forgery) ausgenutzt, um beliebige HTTP-Anfragen zu senden und sich als Microsoft Exchange-Server zu authentifizieren.

2.       Unter Verwendung der unter 1. erfolgten Authentifizierung auf SYSTEM-Ebene werden SOAP-Payloads gesendet, die vom Unified Messaging Service unsicher deserialisiert werden, wie in CVE-2021-26857 dokumentiert. 

3.       Zusätzlich werden CVE-2021-26858 und CVE-2021-27065 ausgenutzt, um beliebige Dateien wie z. B. Webshells hochzuladen, die eine weitere Exploitation des Systems ermöglichen. Das kompromittierte System wird dann genutzt um weitere Systeme im Netzwerk zu kompromittieren. Für das Schreiben der Dateien ist eine Authentifizierung erforderlich, die jedoch mit CVE-2021-26855 umgangen werden kann.

Im Vergleich zu bislang bekannt gewordenen Exploits werden die o.g. Exploits bereits aktiv ausgenutzt und stellen so Administratoren weltweit vor das große Problem der Beseitigung der Lücken und dem gleichzeitigen Aufspüren möglicher Verbreitungen von Backdoors und Schadsoftware im kompromittierten Netz.

Unmittelbar nach Bekanntwerden der Schwachstellen begannen bei der Arconda Systems AG die erforderlichen Prozesse zur Benachrichtigung unserer Kunden, sowie die Mitigation der Bedrohung durch schnelles Patchen und weiterer diagnositischer Scans in unserem Rechenzentrum für unsere Hosted Exchange Lösungen. Unsere umfangreichen Vorsorgen zur Identifizierung von Eindringlingen (Intrusion Detection), sowie State-of-the-Art Virenscanner ermöglichten es uns schnellstmöglich festzustellen, daß die bei uns gehosteten Kundensysteme zu keiner Zeit kompromittiert worden sind.

Für alle Exchange-System gilt:

  1. Systeme aktualisieren und die Sicherheitslücke ab sofort schließen
  2. Alle aktualisierten Systeme müssen auf einen möglicherweise bereits in der letzten Zeit erlittenen Befall kontrolliert werden

Wenden Sie sich bitte für weitere Informationen direkt an unsere Systemtechnik und verfolgen Sie bitte die Veröffentlichungen auf unserer Website.