Arconda Systems Logo
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management
Safety Management

Aktuelles

19.08.2019

BSI warnt: Erneut kritische Sicherheitslücken in Microsoft Remote-Desktop-Services (RDS)

 

Im Mai wurde bekannt, dass die Microsoft Remote-Dekstop-Services (RDS) von Sicherheitslücken betroffen sind, welche zu Szenarien vergleichbar mit den schwerwiegenden Cyberangriffen „WannaCry“ und „NotPetya“ von 2017 führen können und neben zahlreichen Windows-Versionen auch die aktuelle Windows 10 Version betreffen.

Microsoft hat für die unter dem Namen „Blue Keep“ bekannt gewordenen Schwachstellen nun den Patch „DejaBlue“ bereitgestellt. Das BSI rät in seiner aktuellen Pressemitteilung allen Anwendern dringend, die von Microsoft bereitgestellten Updates und Patches einzuspielen, da Angriffe mit enormen wirtschaftlichen Schäden drohen.

Hierbei ist zu beachten, dass es bei Nutzung der Antiviren-Software Symantec bzw. Norton unter Windows 7 und Windows Server 2008 wegen Inkompatibilitäten zu beim Update zu Systemabstürzen kommen kann. Diese Antivirenprogramme müssen daher vorübergehend deinstalliert werden, bevor die Windows-Updates eingespielt werden.

Quelle: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/DejaBlue-Schwachstelle_140819.html


Weitere Informationen: 

Portfolio: Sophos Sandstorm

 

 
16.08.2019

Datenschutz - Einbindung von Drittanbieter-Plugins

 

Auf vielen Websites werden sog. Social-Plugins eingebunden, die u.a. auch personenbezogene Daten an Dritte übermitteln, ohne dass der Besucher der Website dies verhindern kann. In einem Urteil des Europäischen Gerichtshofs (EuGH) vom 29. Juli 2019 (Fashion ID GmbH & Co. KG gegen die Verbraucherzentrale NRW e.V.) hat dieser jetzt grundlegende Aussagen im Hinblick auf die Einbindung von Plugins von Drittanbietern in Websites getroffen.
Der Online-Händler Fashion ID GmbH & Co. KG hatte auf der Website das Plugin „Gefällt mir“ des sozialen Netzwerks Facebook eingebunden, so dass bei jedem Besuch der Seite von Fashion ID automatisch ein Abruf der Drittanbieter-Inhalte von Facebook-Servern erfolgt. Facebook kann diese Daten rückwirkend dem Nutzer zuordnen und auf diese Weise gezielt Werbung erzeugen. Die Übermittlung personenbezogener Daten an Facebook erfolgte regelmäßig und war für den Benutzer nicht offensichtlich. Der Benutzer muss dafür auch nicht Mitglied bei Facebook sein oder die Schaltfläche des Facebook Plugins zuvor angeklickt haben.

Verantwortlichkeit des Website-Betreibers für Datenerhebung des Plugin-Anbieters
Starke Auswirkungen dürfte die Entscheidung des Gerichts zur gemeinsamen Verantwortlichkeit des Betreibers der Website, die ein solches Plugin anbietet und dem Dritten, in diesem Fall Facebook, haben.
Der EuGH qualifiziert Betreiber, die Plugins betreiben, die personenbezogene Daten ohne Rückfragen an Dritte übermitteln, als Verantwortliche gem. Datenschutzrecht. Sie sind demnach verantwortlich für die Datenerhebungen über das Plugin und die dadurch initiierte Übermittlung von Daten.  

Gemeinsame Verantwortlichkeit des Website-Betreibers mit Plugin-Anbieter
Das Urteil wird dazu führen, dass Website-Betreiber, die diese Art von Plugins einsetzen und die Anbieter solcher Plugins zukünftig als gemeinsame Verantwortliche qualifizieren werden. Dementsprechend werden beide Anbieter gem. Art. 26 DSGVO eine Vereinbarung treffen müssen, in der Verantwortlichkeiten festgelegt werden und damit auch z. B. die Informationspflichten geregelt werden.
Zurzeit kann man davon ausgehen, dass die Verantwortlichkeit des Website-Betreibers mit der Übermittlung der Daten endet, da diese damit den Bereich seiner Verantwortlichkeit verlassen.
Die Gesellschaft für Datenschutz und Datensicherheit GDD sieht damit die von ihr vertretene sog. Ketten-Theorie zur gemeinsamen Verantwortlichkeit bestätigt.

Informationspflichten
Das Urteil verpflichtet die Betreiber der Seiten dazu, die Besucher über die Datenehebung durch das Plugin zu informieren -  und zwar vor  dem Nachladen des Plugins!
Unter diesen Voraussetzungen wird es nur dann möglich sein, Plugins rechtmäßig einzusetzen, wenn die Benutzer auf der Grundlage von klaren und umfassenden Informationen über die Zwecke der Verarbeitung eine Einwilligung erteilen.
Neben dem Social Plugin von Facebook wird dies auf weitere zurzeit eingesetzte Plugins von Drittanbietern zutreffen, u.a. auf Google Analytics oder Google ReCaptcha und andere.  
Die Art und Weise sowie der Umfang der einzuholenden Einwilligungen hängt dabei davon ab, für welche Vorgänge der Betreiber über die Mittel und Zwecke der Verarbeitung tatsächlich entscheidet und damit Verantwortlicher im Sinne der DSGVO ist.

Handlungsbedarf
Anbieter von Social Plugins, wie Twitter, Facebook, Google werden in Zukunft den Betreibern von Webseiten Vereinbarungen nach Art. 26 DSGVO zur Verfügung stellen müssen.
Webseiten-Anbieter, die Plugins verwenden, werden die Datenschutzerklärungen anpassen müssen. Zusätzlich müssen technische Lösungen eingesetzt werden, die die Übermittlung der Daten an Drittanbieter nur dann zulässt, wenn der Benutzer eine Einwilligung erteilt hat.

Sprechen Sie uns an- unsere Datenschützer unterstützen Sie gerne bei der Umsetzung von notwendigen Maßnahmen.

Eine ausführliche Betrachtung des Themas finden Sie auch auf der Webseite der Gesellschaft für Datenschutz und Datensicherheit (GDD): https://www.datenschutzbeauftragter-info.de/eugh-gemeinsame-verantwortlichkeit-fuer-gefaellt-mir-button/


Weitere Informationen:

Portfolio: Datenschutz

 
12.08.2019

EuGH-Urteil vom 14.05.2019: Pflicht zur umfassenden Arbeitszeiterfassung

 

Am 14. Mai 2019 gab der Europäische Gerichtshof (EuGH) das Urteil der Arbeitszeiterfassung bekannt (Urt. v. 14.05.2019, Az.: C-55/18). Alle Mitgliedstaaten der EU sollen in Zukunft ihre Arbeitgeber verpflichten die Arbeitszeiten ihrer Mitarbeiter systematisch zu dokumentieren. 

Die objektive Arbeitszeiterfassung soll einerseits für Recht und Ordnung i. S. v. Gleichbehandlung sorgen, den sozialen Schutz der Arbeitnehmer verbessern und vor all den Schutz der EU-Arbeitsrechte sicherstellen. Der europäische Gerichtshof will mit der genauen Dokumentation der täglich geleisteten Arbeitszeit die Überwachung der Arbeitszeitenschutzvorgaben vereinfachen. Unbezahlte Mehrarbeit im Homeoffice sowie unbezahlte Überstunden am Arbeitsplatz können mit dem Urteil des EuGH vermieden werden. Im Jahr 2017 wurden allein in Deutschland 1.000.000.0000 unbezahlte Überstunden in Deutschland geleistet. Zudem sollen Behörden und Gereichte mit der genauen Arbeitszeitdokumentation Beweise im Falle einer Nichteinhaltung der Ruhe- oder Arbeitszeiten bekommen. 

 

Bisher sind Arbeitgeber generell nicht verpflichtet, die Arbeitszeit ihrer Mitarbeiter zu erfassen. Ausnahmen gelten für Minijobs, Schichtarbeit, Kraftfahrer oder den öffentlichen Dienst. 

Nach § 16 Abs. 2 ArbZG ist der Arbeitgeber bereits jetzt verpflichtet, die über die werktägliche Arbeitszeit des § 3 Satz 1 ArbZG (= acht Stunden) hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen. Zudem muss er ein Verzeichnis der Arbeitnehmer führen, die in eine Verlängerung der Arbeitszeit gemäß § 7 Abs. 7 ArbZG eingewilligt haben.

Das Urteil des EuGH könnte auch Nachteile für den Arbeitnehmer mit sich bringen, der sich in seiner Flexibilität beeinträchtigt sieht. Arbeitnehmer könnten mögliche Einschränkungen bei der Vollrichtung ihrer Arbeit im Homeoffice oder am mobilen Arbeiten spüren. 

Unternehmen, die bereits jetzt Arbeitszeiterfassungen durchführen, müssen ihre Systeme aktualisieren, um zusätzlich zur vergütungsrechtlichen eine arbeitsschutzrechtliche Dokumentation im Sinne des EuGH zu erhalten.

Bislang handelt es sich nur um ein Urteil des EuGH - der Europäische Gerichtshof erstellt derzeit einen Gesetzesentwurf . Da der genaue Gesetzestext noch nicht absehbar ist, sollten Unternehmen mit der Anschaffung eines Systems so lange warten, bis die konkreten neuen Anforderungen feststehen.

 

 

 
23.07.2019

Google Drive – Datenmissbrauch und -verlust nicht ausgeschlossen

 

Google bietet mit seinem Google Drive eine Cloud-Speicher Lösung, die im Privatkundenbereich sehr verbreitet ist und in der G Suite Business und G Suite Enterprise auch an Firmenkunden vermarktet wird. Allerdings gibt es gewichtige Argumente die gegen den Einsatz von Google Drive im Unternehmensumfeld sprechen.

Die Hauptproblematik liegt – wie auch bei anderen Cloud-Speichern amerikanischer IT-Unternehmen- im mangelhaften Datenschutz begründet. Die Server von Google sind über die ganze Welt verteilt und die genauen Standorte werden von dem Unternehmen streng geheim gehalten. Nutzer wissen nicht wo ihre Daten gespeichert werden.

Google stützt sich mit seinem Umgang deutscher Daten auf das sogenannte Safe-Harbor-Abkommen. Dieses ist allerdings bereits im Oktober 2015 vom Europäischen Gerichtshof als ungültig erklärt worden. Seit dem 1. August 2016 kann eine Nachfolgeregelung namens EU-US Privacy Shield angewandt werden, für die das EU-Parlament wegen Datenschutzbedenken allerdings 2018 die Aussetzung beantragt hat.

Google ist dazu imstande, die hochgeladenen Daten innerhalb des gesetzlichen Rahmens nach gutdünken zu verwenden. Zudem ist nicht bekannt, ob die Daten Serverseitig verschlüsselt sind.

Neben der Datenschutzproblematik gibt es weitere Einschränkungen die Google Drive mit sich bringt. So ist bspw. der Kundensupport ausschließlich englischsprachig, Linux wird nicht unterstützt, der Speicherplatz wird mit Gmail geteilt und lokal gelöschte Dateien landen nicht im Papierkorb.

Insbesondere aufgrund des mangelhaften Datenschutzes von Google Drive empfehlen den Einsatz der Cloud-Lösung Nextcloud. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen.


Weitere Informationen:

Portfolio: Arconda Nextcloud

 
04.07.2019

Datenschutzbeauftragter: Anhebung der Benennungsgrenze von 10 auf 20 Personen

 

In der Nacht auf den 28.6.2019 hat der Bundestag mit Koalitionsmehrheit das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) beschlossen.
Viele der rund 150 vorgesehen Änderungen an den Bundesgesetzen dienen dazu, die bereichsspezifischen gesetzlichen Regelungen zum Datenschutz, etwa durch die Anpassung von Begriffsbestimmungen und Verweisungen, redaktionell an die DSGVO anpassen. 
Kontrovers diskutiert wird die Änderung der Grenze zur Benennung eines Datenschutzbeauftragten von 10 auf  20 Personen, die ständig mit der Verarbeitung personenbezogener Daten betraut sein müssen. Diese Maßnahme soll zu einem Bürokratie-Abbau führen.
Die weiteren Bestimmungen zur Benennungspflicht bleiben unberührt.
Unabhängig davon sind die bisher geltenden Verpflichtungen, wie das Führen eines Verzeichnisses von Verarbeitungstätigkeiten, vom Verantwortlichen selbstverständlich weiterhin einzuhalten.

Der Bundesdatenschutzbeauftragte Ulrich Kelber hält dies nicht für den richtigen Weg und schreibt in einem Tweet:
Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstöße und Bußgelder sein :(

Kelber empfiehlt stattdessen, die umfassenden Informations- und Dokumentationspflichten für kleine Betriebe anzugehen. Diese verursachen einen großen Aufwand aber nur wenig Datenschutz.

Die Gesellschaft für Datenschutz und Datensicherheit GDD schreibt dazu: 

Die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten im Betrieb führt jedoch nicht zu einem Wegfall anderer datenschutzrechtlicher Pflichten. Am Ende wird mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Sachverstand abgebaut. Auch ohne gesetzliche Bestellpflicht sind Unternehmen und Einrichtung gut beraten, einen betrieblichen Datenschutzbeauftragten zu benennen.

Den vollständigen Artikel finden Sie auf der Webseite der GDD: https://www.gdd.de/aktuelles/startseite/news/bundestag-beschliesst-2-dsanpug-und-aendert-damit-die-bestellpflicht-betrieblicher-datenschutzbeauftragter-gemaess-38-bdsg

Dem vom Bundestag beschlossenen 2. DSAnpUG muss noch der Bundesrat zustimmen.

Portfolio: Datenschutz

 
03.07.2019

Traditions-Juwelier Wempe Opfer eines Ransomware-Angriffes. Offenbar Lösegeldzahlung von über einer Million Euro.

 

Der Traditions-Juwelier Wempe wurde nach eigenen Angaben am 24.06.2019 Opfer eines Ransomware Angriffes auf die hauseigenen Server. Im Zuge des Angriffes wurden Firmendaten verschlüsselt und von den Angreifern eine Nachricht sowie eine E-Mail Adresse zur Kontaktaufnahme hinterlegt. Die Erpresser forderten ein Lösegeld und boten als Gegenleistung die Herausgabe des Passworts zur Entschlüsselung an.

Auf seiner Webseite gibt der Juwelier an, unmittelbar nach dem Angriff externe Experten für IT-Forensik und IT-Sicherheit hinzugezogen zu haben und bereits ein neues Sicherheitskonzept zu implementieren.

Laut Hamburger Abendblatt habe der Juwelier schließlich ein Lösegeld in Höhe von mehr als einer Million Euro in Bitcoin an die Erpresser gezahlt und daraufhin ein Passwort zur Wiederherstellung der verschlüsselten Daten erhalten.

Der Fall zeigt deutlich auf, dass die Gefahr, Opfer eines Angriffes mit Verschlüsselungs-Trojanern - auch Ransomware genannt – zu werden, noch immer sehr hoch ist. Besonders mittelständische Betriebe stehen im Fokus der Kriminellen.

Da die Angriffe meist aufgrund unachtsamen Umgangs mit E-Mail-Anhängen durch Mitarbeiter gelingen, haben wir ein Info-Blatt bereitgestellt, das die wichtigsten Regeln zum Schutz vor Ransomware zusammenfasst: 6 Regeln für den Schutz vor Ransomware und andere Schadsoftware

Für einen wasserdichten Schutz vor diesen neuartigen Bedrohungen bieten wir mit unserem Partner Sophos eine hochwertige Cloud-Lösung an, die mit ihrer Sandbox-technologie in der Lage ist, auch zielgerichtete Attacken mit bisher nicht bekannter Schadsoftware abzuwehren


Weitere Informationen: 

Portfolio: Sophos Sandstorm

 
03.06.2019

Telekom Magenta Cloud – unausgereiftes Produkt mit funktionalen Problemen

 

Die Telekom bietet mit ihrer Magenta-Cloud einen Cloudspeicher der in Deutschland gehostet wird und unter die deutschen Rechtsbestimmungen fällt. Dies ist unter Datenschutz-Aspekten gegenüber der Datenhandhabung bekannter amerikanischer Cloud-Anbieter wie Dropbox, Google & Co. grundsätzlich positiv zu bewerten.

Leider handelt es sich bei der Magenta Cloud aber um ein technisch noch unausgereiftes Produkt. So ist das Hosting langsam und unzuverlässig und die Datenwiederherstellung nicht gut gelöst. Daten und Ordner können nicht einzeln wiederhergestellt werden, sondern es muss bei jeder Wiederherstellung zuerst eine frühere Version des kompletten Cloud-Speicher wiederhergestellt werden. Hierfür muss immer ausreichend freier Speicherplatz in der Magenta Cloud freigehalten werden. Bereits geteilte Dateien und Sicherungskopien müssen bei Bedarf manuell gelöscht werden und eine Beschränkung auf den speziellen Ordner bietet weniger Flexibilität.

Während andere Anbieter Kollaborations-Features bereitstellen um mit anderen Nutzern Daten zu teilen und zu bearbeiten, fehlen diese Funktionen in der Magenta Cloud. Zudem können so geteilte Daten auf dem lokalen Rechner des Empfängers nicht synchronisiert werden. Der Nutzer muss die Dateien stattdessen manuell herunter- bzw. hochladen. Eine gleichberechtigte Zusammenarbeit ermöglicht dies nicht. Auch die Freigabefunktion für gemeinsames Arbeiten wurde nicht in die zugehörige Software integriert – im Kontextmenü fehlt eine Funktion zum Abrufen von Links, hier ist stets der Umweg über die Web-Oberfläche notwendig.

Leider existiert kein zufriedenstellender Support und es findet sich kein Weg mit der Telekom Kontakt aufzunehmen. Es gibt lediglich eine Verlinkung auf eine FAQ&Hilfe–Seite. Bei schwerwiegenden Problemen bleibt der Anwender auf sich allein gestellt. 

Ein weiteres Problem ist die fehlende Möglichkeit, vollständige Ordner offline zu speichern. Bei einzelnen Dateien ist dies jedoch möglich. Auch häufen sich viele Beschwerden, dass bspw. Fotos verdreht sind oder Buttons fehlen, was das Arbeiten erschwert 

Eine 2-faktor Authentifizierung fehlt.

Anstelle der primär an Privatanwender gerichteten Magenta Cloud, empfiehlt sich für den Geschäftsbetrieb eine Cloud-Lösungen, die für den Unternehmenseinsatz konzipiert wurde. „Nextcloud“ ist eine etablierte Cloudsoftware die von großen Unternehmen und Organisationen wie Siemens oder der Max-Planck-Gesellschaft genutzt wird, sich aber ebenfalls für kleine und mittelständische Unternehmen eignet. Wir hosten die Arconda-Nextcloud für unsere Kunden in einem deutschen Hochverfügbarkeitsrechenzentrum und ermöglichen ihnen alle bekannten Vorteile von Dropbox & Co. zu nutzen ohne Abstriche bei Datenschutz und -sicherheit eingehen zu müssen. 


Weitere Informationen: 

Portfolio: Arconda Nextcloud

 

 
 

Unsere Partner:

Diese Website verwendet Cookies. Indem Sie fortfahren, akzeptieren Sie die Verwendung von Cookies. Weitere Informationen finden Sie in unserer Datenschutzerklärung. OK