Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Lizenztausch von Kaspersky zu Bitdefender

Unentgeltlicher Lizenztausch von Kaspersky in Bitdefender bis zum 30.06.2022

Mit dem Angriffskrieg Russlands auf die Ukraine und der nicht auszuschließenden Einflussnahme russischer Sicherheitsorgane auf ortsansässige bzw. russische Unternehmen muss von der zukünftigen Verwendung des Virenschutzprogramms Kaspersky dringend abgeraten werden. Wir verweisen auch auf eine entsprechende Warnung des BSI vom 15.03.2022 und die zahlreichen Presseveröffentlichungen in diesem Kontext.

Bis zum 30.06.2022 können Sie die Laufzeit Ihrer Kaspersky-Lizenzen kostenlos in Bitdefender-Lizenzen umwandeln.

Wenn Sie bis zum 30.06.2022 eine Bitdefender GravityZone Business Security 12 Monats-Lizenz erwerben und aktuell noch eine Restlizensierungsdauer von x Monaten auf Ihrem Kaspersky-Produkt haben, so beträgt der tatsächliche Lizensierungszeitraum ohne zusätzliche Kosten nicht 12 sondern 12 + x Monate! Die Kaspersky Restlaufzeit bekommen Sie somit unentgeltlich von Bitdefender bereitgestellt. Die genauen Konditionen der Umstelllung besprechen Sie bitte mit unseren Lizenzspezialisten.

Es ist darauf hinzuweisen, dass der Wechsel von Kaspersky auf Bitdefender auf Ihren Windows-PCs einen Aufwand für Deinstallation, Installation, Konfiguration, Test und Inbetriebnahme abhängig von der Komplexität Ihres Umfeldes und dem möglichen Automatisierungsgrad bei diesem Migrationsvorgang verursacht. Nacharbeiten für einzelne Applikationen sind nicht wahrscheinlich, können aber nicht ausgeschlossen werden.

Gern tauschen wir Ihre Lizenzen. Sprechen Sie uns bitte an und bedenken Sie die befristete Laufzeit der Bitdefender-Aktion!

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Malware-Angriff auf Teams

Sicherheitsforscher berichten von einer Häufung an Angriffen über Microsoft Teams. Über kompromittierte Teams-Accounts werden Nachrichten verfasst, an die eine schädliche ausführbare Datei angehängt wird. Um an die Accounts zu kommen, nutzen Angreifer ein breites Repertoire an Phishing-Angriffen.

Der Angriffsweg über eine ausführbare Datei ist zwar nicht neu und von Mailangriffen bekannt, wird aber vom Endanwender (noch) nicht innerhalb Microsoft Teams erwartet. Den Vertrauensvorschuss, der Inhalten innerhalb Microsoft-Teams entgegengebracht wird, machen sich die Angreifer so zunutze.

Neben der allgemeinen Mitarbeitersensibilisierung schlagen die Sicherheitsforscher präventive Maßnahmen der IT-Abteilung vor, wie die standardmäßige Analyse von Downloads in einer Sandbox sowie den Einsatz von umfänglicher Schutzsoftware.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Versuchter Finanzbetrug mittels “Spear-Phishing”

Forscher des IT-Sicherheitsunternehmens Sophos berichten von gezielten E-Mail-Phishing-Angriffen auf Mitarbeiter einzelner Organisationen. Die Angreifer bedienten sich zuvor mittels der ProxyLogon-Sicherheitsslücke an Informationen vom Exchange-Server betroffener Organisationen, um Ihre E-Mails glaubwürdig zu gestalten. Um den Eindruck einer authentischen Absender-Adresse zu erwecken, nutzen Sie ähnlich klingende Domainnamen (Typosquatting).

Die Betroffenen sollten dazu bewegt werden, Geldzahlungen auf Konten der Betrüger zu veranlassen. Durch das Senden von Folgemails versuchten die Angreifer eine zeitkritische Drucksituation aufzubauen.

Das Patchen der Sicherheitslücke im eigenen Exchange-Server ist ein notwendiger Schritt, um die Angreifer vom Zugriff auf wertvolle Informationen abzuschneiden. Die Verwendung ähnlich klingender Domainnamen durch Angreifer lässt sich nicht mit klassischen Sicherungsmaßnahmen der eigenen E-Mail-Domain verhindern, da sich die Domains in den Händen der Angreifer befinden. Eine vorbeugende Registrierung ähnlich klingender Domains kann im Einzelfall sinnvoll sein.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

SMB-Lücke “Ghost”

Hinter dem Namen “SMB Ghost” verbirgt sich eine kritische Sicherheitslücke in Windows 10 und Windows Server, die aktiv von Kriminellen ausgenutzt wird. Betroffen ist das Netzwerksystem SMB in der aktuellen Version 3.0 – sowohl auf Seite des Clients, als auch in der Serverimplementierung.

SMB Ghost – genauer “CVE-2020-0796” ist zwar bereits seit Jahren bekannt, wird aber laut US-Behörde CISA noch immer aktiv genutzt, da viele Betroffene den am 12.05.2020 von Microsoft veröffentlichten Patch noch immer nicht eingespielt haben. SMB Ghost reiht sich damit in 14 weitere Sicherheitslücken ein, um welche die CISA ihren Sicherheitskatalog ergänzt hat und die auf ihrer Seite unter diesem Link einsehbar sind.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Log4j – Updates dringend geboten

Die Ende vergangenen Jahres bekannt gewordene Sicherheitslücke Log4j wird von einer wachsenden Zahl Angreifer ausgenutzt. In den USA drohen Firmen kostspielige Klagen, falls Verbraucherdaten aufgrund nicht geschlossener Log4j  Sicherheitslücken abfliessen.

Neben dem Verlust wertvoller Kundendaten besteht zusätzlich die Gefahr, dass sich Kriminelle Zugang zum Firmennetzwerk verschaffen. Nicht selten folgen Erpressungen nach dem Ransomware-Prinzip: Wer an seine Daten will, muss zahlen. Dazu werden häufig Verschlüsselungsalgorithmen verwendet.  Zuletzt teilte das BSI mit, das Potenzial der Schwachstelle werde zunehmend ausgereizt. Prominenter Fall in Deutschland war der Bundesfinanzhof, der nach einem Angriff seine Webseite vom Netz nahm.

Kategorien
Alle Datenschutz Senioreneinrichtungen Seniorenheim

Datenschutz in der Pflege

Oft wird die Bedeutung der DSGVO im Bereich der Pflege unterschätzt oder es herrscht Unklarheit, wie Datenschutz im Bereich der Pflege anzuwenden ist. 

Dabei sind die Anforderungen an den Umgang mit besonders sensiblen personenbezogenen Daten in jedem medizinischen Bereich dieselben – im Krankenhaus wie im Pflegeheim. Es handelt sich um Gesundheitsdaten, die stets der informationellen Selbstbestimmung unterliegen und vor dem Einblick Dritter bewahrt werden müssen. 

Hierbei gilt besonders, Folgendes zu berücksichtigen:

Zustimmung

Personenbezogene Daten dürfen nur mit Zustimmung der betroffenen Person gespeichert, verarbeitet oder weitergegeben werden. (vgl. Art. 6 DSGVO)

Richtigkeit & Speicherbegrenzung

Die gespeicherten Daten müssen sachlich richtig und auf dem neusten Stand sein. Zudem sollten nur dem Zweck angemessene Daten gespeichert sein (Datenminimierung).

Ist die Speicherung der sensiblen Daten nicht mehr erforderlich, müssen die Daten gelöscht werden (Speicherbegrenzung). 

Unbefugte Dritte

Die einfache Weitergabe von sensiblen Daten an unbefugte Dritte ist streng verboten. Hierbei ist besonders auf den Fassungsrahmen des Begriffs zu achten. Hierzu zählen bspw. auch Kollegen, dessen Zuständigkeitsbereich nicht ausreichend ist, Angehörige des Betroffenen (solange keine Zustimmung vorliegt) oder Organisationen wie die Krankenkasse, welcher nur beschränkt Informationen weitergegeben werden dürfen.

Fahrlässigkeit

Die sensiblen Daten dürfen nicht zugänglich für unbefugten Dritte sein. Liegt die Patientenakte aufgeklappt auf dem Küchentisch, sodass sie von jedermann eingesehen werden kann, ist das ebenfalls als fahrlässige Weitergabe von personenbezogenen Daten zu ahnden.

Schweigepflicht

Alle Mitarbeiter unterliegen dem Berufsgeheimnis und separat der allgemein geltenden Verschwiegenheitspflicht der Berufsgruppe.

Kategorien
Alle Datenschutz Sicherheit Systemtechnik

Spionagesoftware Pegasus

Eine israelische Spionagesoftware, die unter Experten als das leistungsfähigste Spähprogramm für Smartphones bekannt ist und ebenfalls als Cyberwaffe eingestuft wurde, macht zurzeit erneute Schlagzeilen.

Es handelt sich hierbei um die Spionagesoftware „Pegasus“ der israelischen Sicherheitsfirma NSO Group Technologies, mit welcher ein Kunde uneingeschränkten Zugang zu dem Smartphone seiner Zielperson genießt. Jegliche Chat-Nachrichten können mitgelesen werden, jede App kann geöffnet werden und das Mikrofon, wie auch die Kamera kann nach Belieben aktiviert werden.

Laut NSO Group wurde diese Spionagesoftware zum Zwecke der Fernüberwachung der Smartphones von Terroristen und Kriminellen entwickelt. Des Weiteren wurde die Software angeblich nur an ausgewählte Staaten verkauft, wobei zwingend die Zustimmung des Verteidigungsministerium vorhanden war.

Jüngste Ergebnisse der internationalen Recherchegruppe erwiesen jedoch das Gegenteil.

Auf der Liste der Zielpersonen befanden sich forensisch nachgewiesen Journalisten meinungsbildender Publikationen, hochrangige Politiker, Oppositionelle, wie auch Menschenrechtsaktivisten. 

Es kam verteilt auf 40 Ländern seit 2016 zu ca. 50’000 nachgewiesenen Zielpersonen. 

Zu den Clients der NSO Group zählen unter anderem Mexiko, Marokko, Indien und Ungarn (als einziges Land Europas) – Länder, die häufig für mangelnde Meinungs- und Medienvielfalt kritisiert werden.

Wie kommt Pegasus aufs Smartphone?

Die Spionagesoftware kommt überwiegend über eine fingierte Nachricht inkl. eines korrumpierten Links auf das Smartphone. Allerdings ist es auch möglich das Schadprogramm unbemerkt auf das ausgewählte Smartphone zu laden –  vorausgesetzt es ist eingeschaltet und mit dem Internet verbunden.

Wie überprüft man ob man ein Teil der Pegasus-Attacke ist?

Bislang haben IOS-User einen gewissen Vorsprung im Kampf gegen Pegasus, da hier bereits ein Programm entwickelt wurde, welches Pegasus und andere Schadsoftware aufspüren soll.

Es handelt sich um die kostenlose App Lookout. Ist dies der Fall soll persönlicher Kontakt zu Lookout aufgenommen werden.

Kategorien
Alle Datenschutz Senioreneinrichtungen Sicherheit Systemtechnik

IT-Sicherheit im Gesundheitssektor ab 2022 verpflichtend

Betreiber sog. kritischer Infrastruktur (KRITIS) wie größerer Kliniken die mindestens 30.000 stationäre Patienten im Jahr behandeln sind bereits seit 2017 durch das IT-SIcherheitsgesetz (§ 8 BSI-Gesetz) verpflichtet, ihre IT-Systeme nach dem “Stand der Technik” abzusichern.

Im Oktober 2020 wurden die gesetzlichen Rahmenbedingungen erneut verschärft. Nach Sozialgesetzbuch (§ 75c SGB V) sind ab 01. Januar 2022 auch kleinere Kliniken in Deutschland verpflichtet, ihre IT-Sicherheit auf ein angemessenes Schutzniveau anzuheben. Der Gesetzgeber verpflichtet die Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. 

Organisatorische und technische Vorkehrungen gelten als angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Kategorien
Alle Datenschutz

Datenschutzkonforme Lead-Ads by Facebook

Schon seit längerer Zeit wird Facebook nicht mehr nur als einfache Social-Media-Plattform verwendet, sondern fungiert ebenfalls als Werbeplattform, indem den Usern (auf Facebook und Instagram) sog. Lead-Ads angeboten werden.

Eine Lead-Ad ist eine Art Landingpage – eine Website, auf welche ein potentieller Kunde mit einer Werbeanzeige geleitet wird, um bestimmte Informationen zu übermitteln. 

Landingpages sind interessant für Unternehmen, weil Zielgruppen spezifisch angesprochen werden können.

Funktionsweise 

Eine individualisierte Zielgruppe entsteht durch Einsatz von Tracking-Tools auf der eigenen Website des Unternehmens. Diese Tracking-Tools bewirken eine Analyse von Interessen und Gemeinsamkeiten der Websitebesucher, über welche Besucher gruppier- und damit ansprechbar werden.

Die Lead-Ads by Facebook unterscheiden sich von herkömmlichen Landingpages. Anstelle einer einfachen Website-Weiterleitung wird hier eine Befragung per Kontaktformular durchgeführt, wodurch jeweilige Interessen und Präferenzen noch konkreter erfasst werden können.

DSGVO-Konformität

Es ist sicherzustellen, dass die Erstellung von Zielgruppen, welche offensichtlich auf der Speicherung und Verwendung personenbezogener Daten basiert, den Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) entspricht.

Es ist zu prüfen, welche personenbezogenen Daten (Adressdaten, Emailadresse, etc.) der potentiellen Kunden gespeichert, verarbeitet und/oder an Dritte weitergegeben werden dürfen und inwiefern Verwendungszwecke, wie auch Speicherdauer der gewonnenen Daten transparent sind.

Um Lead-Ads datenschutzkonform auszugestalten, müssen einige wichtige Grundbedingungen vorausgesetzt sein. 

Gem. Art. 5 und 6 DSGVO bedarf die Speicherung und Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person, wobei der Einwilligungsempfänger (Sie) stets erkennbar sein muss, wie auch der Verwendungszweck aller erhobenen Daten. Die gewonnenen Kundendaten dürfen grundsätzlich nicht an Dritte übermittelt werden, es sei denn es liegt eine zusätzliche Einwilligung des Betroffenen i.S.d Art. 6 I DSGVO vor. 

Des Weiteren wird für Regelkonformität gesorgt, wenn das Unternehmen mit dem Dritten in einem Vertragsverhältnis steht und/oder es sich um ein verbundenes Unternehmen handelt (gem. § 15 AktG). Der Datenverantwortliche (Sie) trägt die Verantwortung für die rechtmäßige Verarbeitung der zur Verfügung gestellten Daten beim Auftragsverarbeiter (Dritter) (gem. § 11 BDSG).

Alle Datenempfänger müssen namentlich in den Datenschutzrichtlinien, die Detailangaben zu Ihrer Datenerhebung enthält, erwähnt sein.

Wir empfehlen:

Wir empfehlen die Verwendung von Opt-In i. S. e. eines ausdrücklichen Zustimmungsverfahren, in welchen der Link zu Ihren Datenschutzrichtlinien integriert ist. 

Eine weitere Verbesserung des Verfahrens ist durch ein Double-Opt-In zu erzielen. Dieses erfordert eine zusätzliche Bestätigung per Bestätigungsmail, um die Eintragung der persönlichen Daten auf ihre Richtigkeit zu überprüfen. Dies bietet Schutz vor Missbrauch der Daten, falls der User nicht die personeneigenen Daten verwendet hat, sondern sich als eine andere Person ausgegeben hat.

Dieser zusätzliche Schritt ist nicht gesetzlich verpflichtend, bietet jedoch zusätzliche Sicherheit, wenn dieses im individuellen Fall empfehlenswert scheint.

Sofern Lead-Ads nicht datenschutzkonform gestaltet werden, sind Sperrungen der Werbeanzeigen durch Facebook und Sanktionierungsmaßnahmen der Behörden nicht auszuschließen.

Kategorien
Alle Datenschutz Systemtechnik

Fernwartung datenschutzkonform durchführen

Fernwartung wird gerade in der heutigen Zeit als ein Segen empfunden, so denn sie es ermöglicht kurzfristig technische Probleme auf den Arbeitsrechnern der Mitarbeiter oder auch auf den hausinternen Servern schnell und qualifiziert beheben zu lassen. In Zeiten von Covid-19 ist dies durch weit verbreitete Homeoffice-Regelungen und die bestehenden Kontaktbeschränkungen oftmals die letzte Rettung zum Erhalt einer produktiven Arbeitsumgebung.

Nicht zu unterschätzen sind hier jedoch die Auswirkungen des BDSG auf solche Fernzugriffe. Selbstverständlich ist bei solchen Tätigkeiten es unablässlich einen Vereinbarung zur Auftragsdatenvereinbarung mit dem Dienstleister zu schliessen, aber es gibt noch einige technische und oranisatorische Regelungen, welche unbedingt beachtet werden müssen:

  • Individuelle Zustimmung des Auftraggebers/Mitarbeiters
    Vor jeder Fernwartung ist es unabdingbar, daß der Auftraggeber, bzw. der Mitarbeiter auf dessen Endgerät zugegriffen werden soll seine Zustimmung für den Zugriff gibt. Dies kann präferiert über ein Hinweisfenster der Fernwartungssoftware geschehen, oder anderweitig, dann aber dokumentiert und nachweisbar.
  • Sichtbarkeit der Fernwartung
    Ein gegenwärtiger Fernwartungszugriff muss jederzeit für den Auftraggeber/Mitarbeiter auf dem Endgerät erkennbar sein.
  • Unterbindung/Abbruch Fernwartung
    Der Auftraggeber/Mitarbeiter muss jederzeit in der Lage sein eine laufende Fernwartung zu beenden.
  • Protokollierung
    Fernwartungszugriffe müssen protokolliert werden. Es muss jederzeit ersichtlich sein welcher Benutzer in welchem Zeitraum auf das Endgerät zugegriffen hat und weshalb dieser Zugriff erforderlich war (Tätigkeitsbeschreibung).
  • Vernichtung personenbezogene Daten
    Sofern der Auftragnehmer während der Ferwartung personenbezogene Daten erhalten hat, so sind diese nach Beendigung der Arbeiten unverzüglich zu löschen, bzw. dem Auftraggeber zurückzugeben.
  • Zugriff auf produktive Daten (Wirkdaten)
    Sofern im Rahmen einer Fernwartung zum Zwecke der Fehlersuche auf Wirkdaten des Auftraggebers zugegriffen werden muss, so ist vorab die Einwilligung des Auftraggebers einzuholen.