Letzte Änderung: 15.11.2024
DSGVO: Unverschlüsselter Versand sensibler personenbezogener Informationen per Fax
Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen. Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Schon im Juli 2020 hate das Oberverwaltungsgericht Lüneburg entschieden, das der unverschlüsselte Versand sensibler Informationen per Fax durch eine Behörde gegen die Datenschutzregeln verstößt. Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post oder per Boten genutzt werden.
In Bremens Behörden ist die Nutzung von Fax-Diensten zur Übertragung besonderer Kategorien personenbezogener Daten verboten, wie die Landesbeauftragte für den Datenschutz der Freien Hansestadt Bremen, Dr. Imke Sommer, kürzlich auf der Homepage ihrer Behörde bekannt gab. Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dr. Dieter Kugelmann, warnt vor einer Übermittlung personenbezogener Daten per unverschlüsselten Faxgeräten.
-ck-
Ende für Fax-Nutzung in Bremer Behörden
Datenschutz Bremen online – "Telefax ist nicht Datenschutz konform"
https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111
Telefax: Kein datenschutzkonformer Dokumentenaustausch
T-Online online - "Datenschutzbeauftragter warnt: Faxdienste könnten gegen DSGVO verstoßen"
https://www.t-online.de/digital/sicherheit/id_90100286/naechster-datenschutzbeauftrage-wart-faxgeraet-nutzung-koennte-gegen-dsgv-verstossen-.html
Fax-Dienste: Vertraulichkeit der Daten nicht gewährleistet
Beck online – "Telefax ist nicht mehr datenschutzkonform"
https://rsw.beck.de/aktuell/daily/meldung/detail/telefax-ist-nicht-datenschutzkonform
Tätigkeitsberichte der Aufsichtsbehörden
Nach und nach wurden und werden die Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz für das Jahr 2020 veröffentlicht.
In dieser Woche stellte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, ihren Tätigkeitsbericht für das Jahr 2020 vor. Bei der Behörde wurden 2479 Datenschutz-Beschwerden und 989 bearbeitetet, dies ist ein deutlicher Anstieg gegenüber dem Vorjahr. Die Zahl der festgestellten Datenschutz-Verstöße stieg deutlich an, ihr bisher höchstes Bußgeld seit Geltung der DS-GVO verhängte die LfD Niedersachsen mit 10,4 Millionen Euro wegen einem schwerwiegenden Fall der Videoüberwachung im Unternehmen.
Auch der vor Kurzem erneut zum Bayerischen Landesbeauftragten für den Datenschutz bestätigte Prof. Dr. Thomas Petri, übergab in dieser Woche seinen Tätigkeitsbericht 2020 der Landtagspräsidentin Ilse Aigner.
Die Bilanz des Datenschutz-Beauftragten: Die Corona-Pandemie wirft zusätzliche Datenschutzprobleme auf. Beispiel: Übermittlung von Testergebnissen durch die Labore seien häufig per Fax oder unverschlüsselter E-Mail erfolgt. Fehlerhafte Datenübermittlung per Fax in den Gesundheitsbehörden, anlasslose Übermittlung an die bayerische Polizei. Themen wie Digitalisierung der Verwaltung, Datenschutz an Schulen, Kontaktlisten, Corona - Warn-App bis zu den rechtlichen Problemen, die durch die Nutzung privater Geräte im Homeoffice auftreten können hat die Corona-Pandemie an Mehrarbeit für dem bayerischen Landesbeauftragten für den Datenschutz beschert.
Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden zeigen, dass das Interesse am Datenschutz seit Einführung der Verordnung auch im Bewusstsein vieler Bürger angekommen ist und sie ihr Grundrecht auf Datenschutz sehr bewusst einfordern, so die Landesbeauftragten.
Alle Tätigkeitsberichte der Datenschutzbehörden hält die Bundesstiftung - Stiftung Datenschutz auf der Informationsplattform ZAfTDa (Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten) im pdf-Format zum Download bereit.
-ck-
Landesdatenschutzbeauftragte Barbara Thiel stellt ihren Arbeitsbericht 2020 vor
Süddeutsche online – "Datenschutzbeauftragte stellte Jahresbericht 2020 vor"
https://www.sueddeutsche.de/politik/datenschutz-hannover-datenschutzbeauftragte-stellte-jahresbericht-2020-vor-dpa.urn-newsml-dpa-com-20090101-210526-99-752129
Kontrollbericht über die Einhaltung des Datenschutzes vorgelegt
Bayerischer Landtag online - "Tätigkeitsbericht 2020: Gästelisten, Corona-Warn-App und Distanzunterricht – Datenschutz in der Corona-Pandemie: Landesbeauftragter für den Datenschutz präsentiert 30. Tätigkeitsbericht"
https://www.bayern.landtag.de/aktuelles/veranstaltungen/gaeste-und-begegnungen/gub-2021/25052021-taetigkeitsbericht-2020/
Forderung für einheitliche, sichere IT-Lösungen im Gesundheitsbereich
Ärzte Zeitung online - "Jahresbericht: IT in der Pandemie – Bayerns Datenschützer kritisiert Mängel"
https://www.aerztezeitung.de/Nachrichten/IT-in-der-Pandemie-Bayerns-Datenschuetzer-kritisiert-Maengel-419869.html
Zentralarchiv der Tätigkeitsberichte
Zaftda online - "Termine: TB in 2021"
https://www.zaftda.de/46-allgemein/meldungen/246-termine-tb-in-2021
Datenschutzverletzung aus dieser Woche
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Dauerhafte Überwachung: Personalisierter sekundengenauer Daten der Mitarbeiter
Business Insider online - ""Totale Überwachung"- Weil Lieferando detaillierte Tracking-Daten seiner Fahrer speichert, könnte eine Millionenstrafe drohen"
https://www.businessinsider.de/wirtschaft/startups/totale-ueberwachung-weil-lieferando-detaillierte-tracking-daten-seiner-fahrer-speichert-koennte-eine-millionenstrafe-drohen/
Bußgeldverfahren eingeleitet: Tausende personenbezogene Gesundheitsdaten offen einsehbar
Spiegel online – "Sensible Daten auslesbar: Massive Datenschutzprobleme bei Coronavirus-Tests"
https://www.spiegel.de/netzwelt/web/massive-datenschutzprobleme-bei-coronavirus-tests-a-9d2df0ec-a076-4e65-bac9-540cf6e84898
Arbeitsschritte der Mitarbeiter per Software getrackt
PC Welt online - "Vorwurf: Totale Mitarbeiter-Überwachung bei Amazon mit Kameras, Mikros & Scannern"
https://www.pcwelt.de/news/Vorwurf-Totale-Mitarbeiter-Ueberwachung-bei-Amazon-mit-Kameras-Mikros-Scannern-11035490.html?utm_source=Home&utm_medium=2589085&utm_campaign=b2c_news_teaser
Gestohlene Kundendaten im Internet veröffentlicht
Heise online - "Nach Cyber-Angriff auf Tegut: Kundendaten im Darknet aufgetaucht"
https://www.heise.de/news/Nach-Hackerangriff-auf-Tegut-Kundendaten-im-Darknet-aufgetaucht-6056223.html
Interner Bedienungsfehler: Fehlerhaftes Softwareupdate ins Live-System eingespielt
Heise online - "Datenleck beim Zahlungsdienstleister Klarna: Fremde Konten sichtbar"
https://www.heise.de/news/Datenleck-beim-Zahlungsdienstleister-Klarna-Fremde-Konten-sichtbar-6056032.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Lücke zum Einschleusen von Schadcodes immer noch offen
Heise Security online – "Exploit veröffentlicht: Gefixte WebKit-Schwachstelle steht auf iPhones offen"
https://www.heise.de/news/Exploit-veroeffentlicht-Gefixte-WebKit-Schwachstelle-steht-auf-iPhones-offen-6055716.html
2. Regelmäßig aktualisierte Update-Tabelle
PC-Welt online – "Die neuesten Sicherheits-Updates"
https://www.pcwelt.de/news/Die-neuesten-Sicherheits-Updates-Up-to-date-9837284.html
3. Admins sollten einen Prozess dringend deaktivieren
Heise online - "Alert! - Schadcode-Attacken: Fehler im Update-Check vom Datenbanksystem IBM Db2"
https://www.heise.de/news/Schadcode-Attacken-Fehler-im-Update-Check-vom-Datenbanksystem-IBM-Db2-6055314.html
Sicherheit für kritische Infrastrukturen
Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen. Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Anhand gemeinsamer Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind.
Laut Medienberichten legte ein Cyberangriff die größte Colonial-Ölpipeline, die wichtigste Versorgungsleitung der USA für Benzin, Diesel und Kerosin, still. Die Regierung in Washington hat am Sonntag den regionalen Notstand ausgerufen.
Dieser Angriff macht einmal mehr deutlich, wie verwundbar die kritischen Infrastrukturen - lebenswichtige Einrichtungen für Cyberattacken sind.
-ck-
Attacken mit Erpressungs-Trojanern: Kritische Infrastruktur stillgelegt
Spiegel online – "Wegen Hackerangriff auf Pipeline: US-Regierung erklärt regionalen Notstand"
https://www.spiegel.de/netzwelt/usa-hackerangriff-auf-pipeline-us-regierung-erklaert-regionalen-notstand-a-f17cf458-ea5d-42a0-b782-0980f385c2a8
IT-Sicherheitsexperten warnen: Infrastruktur nicht ausreichend auf Cybergefahren vorbereit
OTS at - "Blackout: Schutz wichtiger Infrastrukturen"
https://www.ots.at/presseaussendung/OTS_20210506_OTS0071/blackout-schutz-wichtiger-infrastrukturen
Entwicklungsleitfaden für den Cybersicherheit für kritische Infrastrukturen-Markt
Secuity Block at - "Cybersicherheit für kritische Infrastrukturen Markt 2021: Globale Branchenanalyse, Größenordnung, Anteil, Wachstum, Trends, Prognose bis 2028"
https://www.security-blog.at/2021/05/04/cybersicherheit-fuer-kritische-infrastrukturen-markt-2021-globale-branchenanalyse-groessenordnung-anteil-wachstum-trends-prognose-bis-2028/
Schwachstelle Mensch im Unternehmen
Arbeitnehmer werden im Umgang mit personenbezogenen Daten oft nicht sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein. Wie die Medien berichteten, hat die Stadt Bonn, durch unachtsames Handeln beim Mail –Versand, eine Datenpanne zu verzeichnen.
Bei einem Mailversand des Beethoven-Orchesters Bonn, wurde eine Info-Mail über Konzertveranstaltungen so versandt, dass jeder Empfänger den kompletten Verteiler, also die Namen, Mailadressen einsehen konnte. Diese Datenpanne wäre nicht entstanden, wenn die Adressdaten lediglich ins BCC-Feld (Blind Carbon Copy – Blindkopie), statt ins CC-Feld (Carbon Copy - Durchschlag/Kopie) eingetragen gewesen wären.
-ck-
Datenpanne durch unbedachten Mail-Versand
General-Anzeiger Bonn online – "Absender nutzt offenen Verteiler: Datenpanne beim Mailversand des Beethoven Orchesters"
https://ga.de/bonn/stadt-bonn/beethoven-orchester-in-bonn-datenpanne-beim-mailversand_aid-57980131
Kundinnen und Kunden 19 weiteren Städten in Deutschland, den Niederlanden, Frankreich und Großbritannien betroffen
Lebensmittel Praxis online – "Riesen-Datenleck in Europa"
https://lebensmittelpraxis.de/handel-aktuell/30683-gorillas-riesen-datenleck-in-europa.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Möglichkeit die Sicherheitshinweise ohne Identifikation abschalten
T3N online - "Apple: Airtag gehackt, Stalking sei "beängstigend einfach" möglich"
https://t3n.de/news/apple-airtag-gehackt-stalking-1377877/
2. Prävention: So reagieren Sie richtig
Chip online - "Handy gehackt? - das sind typische Anzeichen"
https://praxistipps.chip.de/handy-gehackt-das-sind-typische-anzeichen_51942
3. Ab 11. Mai 2021 weder Aktualisierungen noch Sicherheitspatches für ältere Windows Versionen
Computerbild online – Windows-10-Support-Ende: Windows 10:Version 1909, 1809 und 1803 erreichen Support-Ende
https://www.computerbild.de/artikel/cb-News-Windows-Windows-10-Support-Ende-fuer-Version-1909-1809-und-1803-30136247.html
− − − − − −
Liebe Leser unserer Datenschutznachrichten
Unser Redaktionsteam nimmt eine kurze Auszeit.
In der 21. Kalenderwoche gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie wieder bei uns begrüßen zu dürfen.
-ck-
− − − − − −
Tätigkeitsberichte der Aufsichtsbehörden
Nach und nach wurden und werden die Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz für das Jahr 2020 veröffentlicht.
In dieser Woche stellte die Brandenburger Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, ihren Tätigkeitsbericht für das Jahr 2020 vor.
Bei der Behörde wurden 1322 Datenschutz-Beschwerden bearbeitetet, dies sind 50 Prozent mehr als im Vorjahr. Die Zahl der festgestellten Datenschutz-Verstöße stieg deutlich an, die Bußgeldsumme verfünffachte sich von 70.000 € auf ca. 331.000 Euro. Zudem sprach die Datenschutzbehörde 37 Verwarnungen aus, das sind 90 % mehr als im vergangenen Jahr.
Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden zeigen, dass das Interesse am Datenschutz seit Einführung der Verordnung auch im Bewusstsein vieler Bürger angekommen ist und sie ihr Grundrecht auf Datenschutz sehr bewusst einfordern, so die Landesbeauftragte.
Die Bundesstiftung - Stiftung Datenschutz – hält alle Tätigkeitsberichte der Datenschutzbehörden auf der Informationsplattform ZAfTDa (Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten) im pdf-Format zum Download bereit.
-ck-
Zahlreiche Datenschutzprobleme mit personenbezogenen Daten durch die Corona-Pandemie
LDA Brandenburg online - "Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2020"
https://www.lda.brandenburg.de/lda/de/service/presseinformationen/details-presse/~03-05-2021-landesbeauftragte-veroeffentlicht-taetigkeitsbericht-datenschutz-2020
Tätigkeitsbericht: Überblick der im vergangenen Jahr geleisteten Arbeit
LDA Brandenburg online – "Tätigkeitsbericht Datenschutz 2020"
https://www.lda.brandenburg.de/lda/de/alle-meldungen/taetigkeitsbericht-datenschutz-2020/
Verstöße bei Videoüberwachung, Lernplattformen und Gäste- Kontaktlisten
Der Tagesspiegel online - "Wegen Verstößen gegen Datenschutz: Brandenburg kassierte im vergangenen Jahr 330.000 Euro Bußgelder"
https://www.tagesspiegel.de/berlin/wegen-verstoessen-gegen-datenschutz-brandenburg-kassierte-im-vergangenen-jahr-330-000-euro-bussgelder/27155488.html
Zentralarchiv der Tätigkeitsberichte
Zaftda online - Termine: TB in 2021
https://www.zaftda.de/46-allgemein/meldungen/246-termine-tb-in-2021
Herausforderung digitaler Arbeitsplatz
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per WEB. Ein Grund für die rasante Verbreitung ist die Sorglosigkeit vieler Anwender. Trotz aller Warnungen benutzen auch viele Mitarbeiter immer noch die gleichen, einfachen Passwörter. Oft loggen sie sich mit ein und demselben Passwort für mehrere Accounts ein oder benutzen die Zugangsdaten privat und vielleicht auch beruflich für die Firmen-E-Mail-Adresse.
Dieser laxe Umgang mit dem Thema Authentifizierung stellt ein hohes Sicherheitsrisiko im Unternehmen dar und lädt unweigerlich zu Cyberkattacken ein. Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
-ck-
Nutzerauthentifizierung: Passwörter sind immer noch weitverbreitetes Sicherheitsrisiko
Cloudcomputing Insider online - "Statt Mensch, lieber Technik Welt-Passwort-Tag 2021 – und noch kein bisschen weise"
https://www.cloudcomputing-insider.de/welt-passwort-tag-2021-und-noch-kein-bisschen-weise-a-1021753/
Niemals ein Passwort für mehrere Logins verwenden
IT-Daily net - "Welt-Passwort-Tag 2021: Wie sicher ist mein Passwort? Better safe than sorry!
https://www.it-daily.net/it-sicherheit/datenschutz-grc/28437-wie-sicher-ist-mein-passwort-better-safe-than-sorry
Defizite bei der Zugriffsverwaltung im Unternehmen
Große Firmen und vor allem der Mittelstand haben immer wieder damit zu kämpfen, dass vertrauliche interne Dokumente an die Öffentlichkeit gelangen und angesichts dieser kriminellen Machenschaften ein riesiger wirtschaftlicher Schaden verursacht wird. Geschäftsinformationen sind in IT-Systemen oft unzureichend durch Zugriffs- und Berechtigungsmanagement geschützt und die Gefahr von Datenklau zum Beispiel über E-Mail, USB-Stick oder Handy wird selten ernst genommen, was ein erhebliches Sicherheitsrisiko darstellt.
Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe. Doch diese machen nicht unbedingt den größten Schaden aus, so IT-Sicherheitsexperten. Demnach werde in jedem zweiten Unternehmen herumgeschnüffelt und auf vertrauliche und sensible Informationen zugegriffen. Studien ergaben, dass selbst IT-Sicherheitsexperten anhand der privilegierten Zugriffsberechtigungen selbst auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, das verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden.
In dieser Woche berichteten die Medien über unzureichende IT-Sicherheitseinstellungen und mangelnder Kontrollen bei einem großen US-amerikanischen Onlineversandhändler, welcher nicht nur selbst Waren verkauft, sondern seine Internetseite auch als Plattform für andere Händler zur Verfügung stellt. Scheinbar waren die Berechtigungsstrukturen in dem Unternehmen nicht den Anforderungen des einzelnen Mitarbeiters, die für seine aktuelle Arbeit relevant sind, angepasst worden. Die so vergebenen Zugriffsrechte erlaubten den Mitarbeitern jahrelang unautorisierten Zugriff auf Daten der Anbieterkonten. Laut Medienberichten wurden schon im Jahr 2010 bei einer internen Revision, ein fehlendes Sicherheitsbewusstsein bei der Nutzerauthentifizierung und weitere ähnliche Mängel festgestellt.
Um vertrauliche Daten vor unerlaubten Zugriffen zu schützen müssen Unternehmen ihr Berechtigungs-Management sehr sorgfältig prüfen. Dies nicht nur einmalig, sondern kontinuierlich. Mitarbeiter sollten ausschließlich nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
-ck-
Mitarbeiter sollen jahrelang über unautorisierten Datenzugriff auf Konten der Marktplatz-Verkäufer verfügen
T3N online - "Revision deckt auf: Tausende Amazon-Mitarbeiter hatten Zugriff auf Marktplatz-Daten"
https://t3n.de/news/revision-amazon-spoofer-marketplace-1377069/
Hinweis über mangelnde Zugriffskontrollen
Politico eu - "Amazon knew seller data was used to boost company sales"
https://www.politico.eu/article/amazon-seller-data-company-sales/
Hinweise auf laxe IT-Zugriffskontrollen im Unternehmen
Tagesschau online - "Datenleck bei Lieferdienst: Kundendaten von "Gorillas" im Netz"
https://www.tagesschau.de/investigativ/ndr/lieferservice-gorillas-kundendaten-101.html
Sicherheitslücke ermöglichte es jedem private Kontodaten der Nutzer vom Server zu ziehen
Stadt Bremerhaven online - "Peloton: Schwachstelle in der API des Unternehmens erlaubte Zugriff auf sensible Daten der Nutzer"
https://stadt-bremerhaven.de/peloton-schwachstelle-in-der-api-des-unternehmens-erlaubte-zugriff-auf-sensible-daten-der-nutzer/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Dell-Geräte der Baujahre 2009 bis 2021 von Schwachstelle betroffen
Süddeutsche Zeitung online - "Dell-Rechner mit schweren Sicherheitslücken"
https://www.sueddeutsche.de/wissen/technik-dell-rechner-mit-schweren-sicherheitsluecken-dpa.urn-newsml-dpa-com-20090101-210505-99-477151
2. Kurz nach Release – Sicherheitsfehler im WebKit entdeckt
T-Online online - "Sicherheitslücken entdeckt: Apple veröffentlicht dringendes iPhone-Update"
https://www.t-online.de/digital/handy/id_89968070/apple-veroeffentlicht-dringendes-iphone-update-ios-14-5-1.html
3. Feature AirDrop: Schwachstelle in der Software
Chip online - "iPhone-Nutzer in Gefahr: Schwere Sicherheitslücke bei beliebtem Apple-Feature entdeckt"
https://www.chip.de/news/iPhone-Nutzer-in-Gefahr-Schwere-Sicherheitsluecke-bei-beliebtem-Apple-Feature-entdeckt_183583582.html
4.Sicherheitsupdates gegen Admin- und Root-Lücken
Heise online - "Cisco SD-WAN: Angreifer könnten Admin-Accounts erstellen"
https://www.heise.de/news/Cisco-SD-WAN-Angreifer-koennten-Admin-Accounts-erstellen-6038258.html
Doxing – Die Gefahr von zu vielen öffentlichen Informationen
Doxing oder auch Doxxing, besteht aus einer systematischen, oft auch illegalen Suche von sämtlich verfügbaren personenbezogenen Informationen der Opfer, welche aus zahlreichen Internetquellen zusammengetragen und verstreut im Netz veröffentlicht werden. Die Opfer können dadurch erheblichen Schaden nehmen. Die Angreifer sind oft nicht auf Geld aus, sondern sie wollen den Opfern ideellen Schaden zufügen. Meistens sind die Hauptmotive zum Beispiel Rache, Selbstjustiz, persönliche Fehden oder um in entsprechenden Szenen Anerkennung zu erhalten. Es wird die Anonymität des Opfers aufgebrochen, indem durch die Veröffentlichung der Daten Druck auf die Opfer entsteht. Wenn vertrauliche Informationen wie zum Beispiel Telefonnummer, Privatadresse, Arbeitgeberinformationen, Namen von Familienmitgliedern oder sämtliche E-Mail-Adressen über eine Zielperson in öffentlichen Foren und weit verbreitet im Netz veröffentlicht werden, können diese personenbezogenen Daten für weitere Ausrichtungen verwendet werden – zum Beispiel für einen Identitätsdiebstahl. In diesem Zusammenhang ist es ganz wichtig, die Kontrolle über die eigenen Daten zu bewahren, indem positive digitale Gewohnheiten entwickelt und Online-Aktivitäten achtsam angegangen werden.
-ck-
Ungewollte Offenlegung persönlicher Daten
Computerwoche online - "Doxing: Wie persönliche Daten zur Waffe werden"
https://www.computerwoche.de/a/wie-persoenliche-daten-zur-waffe-werden,3549669
Neue Betrugsmasche Corporate Doxing
ZDNet online - "Kaspersky warnt vor Doxing"
https://www.zdnet.de/88394177/kaspersky-warnt-vor-doxing/
Denken und Handeln wie ein Doxxer NYT
Open com – "Wie man sich im Internet doxt"
https://open.nytimes.com/how-to-dox-yourself-on-the-internet-d2892b4c5954
Pflicht zur Datenschutz-Folgenabschätzung
Der Landesdatenschutz in Niedersachsen hat ein Prüfschema zur Prüfung der Erforderlichkeit einer Durchführung einer Datenschutz - Folgenabschätzung (DSFA), auch Privacy Impact Assessment genannt, auf seiner Webseite veröffentlicht. Dieses Prüfschema soll Unternehmen unterstützen, ob und wann eine DSFA (Art. 35 DSGVO) erforderlich ist. Neben einer Checkliste enthält das Schema Hinweise auf weitere Hilfestellungen zum Thema Datenschutz-Folgenabschätzung.
Weitere Landesdatenschutzaufsichtsbehörden haben bereits solch ein Prüfschema auf ihren Internetseiten veröffentlicht.
Die Bremische Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI Bremen) veröffentlichte vor Kurzem auf ihrer Homepage: „Liste von Verarbeitungsvorgängen nach Artikel 35 Absatz 4 Datenschutzgrundverordnung, für die gemäß Artikel 35 Absatz 1 Datenschutzgrundverordnung eine Datenschutz-Folgenabschätzung bei Verantwortlichen im öffentlichen Bereich erforderlich ist“. Für den nicht-öffentlichen Bereich hatte die LfDI Bremen schon im Jahr 2018 eine solche Blacklist herausgegeben.
-ck-
Risikoabschätzung der Verarbeitungsvorgänge
LfD Niedersachsen online - "Prüfschema: Muss ich eine Datenschutz-Folgenabschätzung durchführen?"
https://lfd.niedersachsen.de/startseite/themen/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/prufschema_zur_erforderlichkeit_einer_datenschutz_folgenabschatzung/prufschema-muss-ich-eine-datenschutz-folgenabschatzung-durchfuhren-197199.html
Erforderlichkeit einer DSFA
Datenschutz Notizen online - "Bremen veröffentlicht neue Blacklist für Datenschutz-Folgenabschätzungen"
https://www.datenschutz-notizen.de/bremen-veroeffentlicht-neue-blacklist-fuer-datenschutz-folgenabschaetzungen-2029728/
Risiko bei Verarbeitungen von personenbezogenen Daten eindämmen
BayLDA online - "Datenschutz-Folgenabschätzung"
https://www.lda.bayern.de/de/thema_dsfa.html
Aufstellung deutscher Aufsichtsbehörden: Wann und wie muss eine DSFA durchgeführt werden
Datenschutz – Notizen online - "Blacklists: Deutscher Aufsichtsbehörden – ein Update"
https://www.datenschutz-notizen.de/blacklists-deutscher-aufsichtsbehoerden-ein-update-3729719/
Gesundheitsdaten: Verstoß gegen datenschutzrechtliche Vorgaben
Die italienische Datenschutzbehörde (Garante) verhängte gegen die Azienda USL della Romagna ein Bußgeld in Höhe von 50.000 €, wegen Weitergabe von Gesundheitsdaten.
Laut Medienberichten hatte eine Patientin schon bei ihrer Ankunft in der gynäkologischen Abteilung der Klinik das Krankenhauspersonal ausdrücklich angewiesen, ihre Gesundheitsdaten nicht weiterzugeben und deshalb eine separate Telefonnummer hinterlassen um kontaktiert zu werden. Eine Krankenschwester versuchte nach der Entlassung der Patientin, diese wegen weiterer Behandlung telefonisch zu erreichen. Statt die von der Patientin speziell für diesen Zweck angegebene Telefonnummer, verwendete die Krankenschwester die private Telefonnummer aus der Patientenakte. Der Ehemann nahm anstelle der Patientin den Telefonanruf entgegen und die Krankenschwester teilte Informationen über den Schwangerschaftsabbruch – weitere Behandlung – dem Ehemann mit. Dies geschah entgegen der Aufforderung der Patientin, ihre Gesundheitsdaten weiterzugeben.
-ck-
Zusammenfassung – Bußgeld Sektor Gesundheitswesen
Enforcementtracker com – "Überblick Geldbußen und Strafen: Behörde Italienische Datenschutzbehörde (Garante)"
https://www.enforcementtracker.com/ETid-559
Nichteinhaltung der allgemeinen Datenverarbeitungsgrundsätze
Jorzig online - "Patientendaten ohne Einwilligung weitergegeben – Krankenhaus muss 50.000 € Bußgeld zahlen"
https://www.jorzig.de/artikel/legal-all-stars-zahlreiche-renommierte-auszeichnungen-fuer-jorzig-rechtsanwaelte.html
Opt-In bei Internet-Gewinnspiel ist kein wirksamer Nachweis als Einwilligung in Telefonwerbung
Das Oberverwaltungsgericht des Saarlandes hat entschieden ((OVG Saarlouis, Beschluss Az. 2 A 355/19), das die bei einem Internet-Gewinnspiel erlangte Einwilligung anhand Double-Opt-In-Verfahren, kein wirksamer Nachweis für die Einwilligung in Telefonwerbung darstellt. Verantwortliche müssen eine wirksame Einwilligung gegenüber der Aufsichtsbehörde nachweisen. Sollte eine wirksame Einwilligung nicht vorliegen, ist die Verarbeitung der personenbezogenen Daten rechtswidrig und stellt somit einen bußgeldbewehrten DS-GVO-Verstoß dar.
-ck-
Werbende tragen Beweislast
Recht Saarland online - "Unzulässigkeit von Telefonwerbung - im Zusammenhang mit der Veranstaltung eines Gewinnspiels im Internet erteilte Einwilligung; Nachweislast"
https://recht.saarland.de/bssl/document/MWRE210000721
Rechte der Betroffenen bei Datenverarbeitung
Adresshandel & Recht online - "Unwirksames Opt-In bei Internet-Gewinnspiel"
https://www.adresshandel-und-recht.de/urteile/Unwirksames-Opt-In-bei-Internet-Gewinnspiel-Oberverwaltungsgericht-Saarlouis-20210216/
Cyberwar im Unternehmen
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen. Erfolgreiche Angriffe auf die IT-Systeme nicht nur einen herben Datenverlust zur Folge. Geschäftsaktivitäten kommen zum Stillstand, doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können.
-ck-
Trojaner-Angriff auf Medienkonzern
WinFuture online - "Zeitungen mit Wochenend-Notausgaben: Ransomware befällt Madsack" https://winfuture.de/news,122579.html
Gesamter Konzern der Mediengruppe betroffen
Heise online - "Landeskriminalamt ermittelt zu "Cyberangriff" bei Madsack Mediengruppe"
https://www.heise.de/news/Landeskriminalamt-ermittelt-zu-Cyberangriff-bei-Madsack-Mediengruppe-6028526.html
Cyberangriff: Unternehmen musste Großteil der IT-Systeme abschalten
T-Online online - "Waren könnten knapp werden: Lebensmittelhändler Tegut meldet Hackerangriff"
https://www.t-online.de/digital/sicherheit/id_89921530/lebensmittelhaendler-tegut-meldet-hackerangriff-waren-koennten-knapp-werden.html
Softwareentwickler bestätigt Cybereinbruch in seine IT-Systeme
Silicon online - "Neuer Angriff auf die Lieferkette betrifft Passwort-Manager Passwordstate"
https://www.silicon.de/41683916/neuer-angriff-auf-die-lieferkette-betrifft-passwort-manager-passwordstate
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. SMS-Spamnachrichten breiten sich aus
Netzwelt online - Gefälschte Paket-SMS: So schützt ihr euch vor Smishing-Attacken
https://www.netzwelt.de/news/185459-paket-wurde-verschickt-vorsicht-sms-update260421.html
2. Problematische Updates manuell entfernen
T-Online online - "Probleme bei Nutzern: Microsoft veröffentlicht Notfallupdate für Windows 10"
https://www.t-online.de/digital/software/id_89917656/nach-problemen-microsoft-veroeffentlicht-notfallupdate-fuer-windows-10.html
3. Schwere Sicherheitslücke in AirDrop
Chip online - "iPhone-Nutzer gefährdet: Forscher warnen vor Sicherheitslücke bei beliebtem Apple-Feature"
https://www.chip.de/news/iPhone-Nutzer-gefaehrdet-Forscher-warnen-vor-Sicherheitsluecke-bei-beliebtem-Apple-Feature_183583582.html