CEO-Betrug: Akutes Risiko für Mitarbeiter und Unternehmen

Aktuell versuchen Betrüger wieder verstärkt, Mitarbeiterinnen und Mitarbeiter in zahlreichen Unternehmen durch gefälschte E-Mails dazu zu bringen, Geldbeträge vom Firmenkonto zu überweisen. Laut Heise Security geben sich die Kriminellen als Chef oder anderer Vorgesetzer aus. An die notwendigen Informationen gelangen die Betrüger, indem sie per Social Engineering so viele Informationen wie möglich über ein Unternehmen und einzelne Mitarbeiter zusammentragen. Dadurch wirken die E-Mails oft täuschend echt. Um nicht Opfer einer solchen Betrugsmasche zu werden, sollten Sie stets mit gesundem Menschenverstand agieren und außergewöhnliche Nachrichten und Aufträge hinterfragen. In Unternehmen sollten insbesondere Mitarbeiter mit Finanzverantwortung besonders achtsam sein. Der Drei-Sekunden-E-Mail-Check vom Bundesamt für Sicherheit in der Informationstechnik weißt Sie auf kritische Punkte hin.

Zum Artikel auf Heise Security: CERT Bund warnt gegenwärtig vor der „Chef-Masche“

Experteninterview mit Thomas Spaeing (Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt am 25.05.2018 in Kraft . Umfragen haben ergeben, dass viele Unternehmen noch nicht oder nicht genug mit der Verordnung vertraut sind und nicht den künftigen Anforderungen genügen. Herr Spaeing, warum meinen Sie ist das so?

Zum Interview im ByDE Magazine

LfDI Baden-Württemberg gibt Tipps zur Umsetzung der DSDVO in Sachen Beschäftigtendatenschutz

Der praxisbezogene Ratgeber des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, zum Beschäftigtendatenschutz hat allgemein großen Anklang gefunden. Der Zuspruch insbesondere durch Arbeitgeber, Interessenvertretungen und auch Arbeitnehmer selbst, aber auch von Seiten der Presse hat den Landesbeauftragten darin bestärkt, seine Beratungsangebote weiter auszubauen.

Der Countdown bis zur unmittelbaren Geltung der Datenschutz-Grundverordnung (DS-GVO) und dem In-Kraft-Treten des neugefassten Bundesdatenschutzgesetzes läuft. Von daher haben die Verantwortlichen verständlicherweise alle Hände voll zu tun. Der Beschäftigtendatenschutz darf hierbei jedoch nicht aus den Augen verloren werden! Auch wenn sich insoweit die materielle Rechtslage auf den ersten Blick nicht wirklich verändern wird, gelten die allgemeinen Anforderungen der DS-GVO auch im Arbeitsverhältnis. So sind die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DS-GVO auch im Beschäftigungsverhältnis zu wahren. Nicht nur den Kunden des Verantwortlichen stehen die umfangreichen Informations- und Betroffenenrechte zur Verfügung, sondern auch den eigenen Mitarbeiterinnen und Mitarbeitern. Das sollte von den Verantwortlichen nicht übersehen werden, wenn sie sich vor Schadensersatzforderungen oder Verbandsklagen schützen wollen.

Mit der 2. Auflage des Ratgebers gibt der LfDI, neben den aus der 1. Auflage bekannten praxisrelevanten Fallbeispielen und deren Lösungen, Tipps zur Umsetzung der DS-GVO in Sachen Beschäftigtendatenschutz. Der Wunsch nach einem eigenständigen Beschäftigtendatenschutzgesetz bleibt nämlich auch mit der Anwendung der Datenschutzgrundverordnung ab dem 25. Mai 2018 weiterhin unerfüllt. Ziel des Ratgebers ist es somit nach wie vor, die Öffentlichkeit für die Belange des Beschäftigtendatenschutzes zu sensibilisieren und den Verantwortlichen und betroffenen Personen Orientierung zu geben.

Der Ratgeber kann hier abgerufen werden:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/Ratgeber-ANDS-2.-Auflage.pdf#

Verbraucherzentrale Bundesverband – Facebook verstößt gegen deutsches Datenschutzrecht

  • Voreinstellungen im Privatsphäre-Bereich bedürfen einer informierten Einwilligung der Verbraucher.
  • Klausel zur Klarnamenpflicht und weitere AGB sind unzulässig.
  • Werbung „Facebook ist und bleibt kostenlos“ ist nicht irreführend.

Facebook verstößt mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Die Einwilligungen zur Datennutzung, die sich das Unternehmen einholt, sind nach dem Urteil teilweise unwirksam.

„Facebook versteckt datenschutzunfreundliche Voreinstellungen in seinem Privatsphäre-Center, ohne bei der Registrierung ausreichend darüber zu informieren“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Das reicht für eine informierte Einwilligung nicht aus.“

Kritische Voreinstellungen schon aktiviert

Nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten nur mit Zustimmung der Betroffenen erhoben und verwendet werden. Damit diese bewusst entscheiden können, müssen Anbieter klar und verständlich über Art, Umfang und Zweck der Datennutzung informieren.

Diese Anforderungen erfüllte Facebook nicht. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das persönliche Facebook-Profil für jeden schnell und leicht auffindbar. Die Richter entschieden, dass alle fünf vom vzbv monierten Voreinstellungen auf Facebook unwirksam sind. Es sei nicht gewährleistet, dass diese vom Nutzer überhaupt zur Kenntnis genommen werden.

Zu weit reichende Einwilligung zum Nutzen von Daten

Das Landgericht Berlin erklärte außerdem acht Klauseln in den Nutzungsbedingungen für unwirksam. Diese enthielten unter anderem vorformulierte Einwilligungserklärungen, wonach Facebook Namen und Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen und deren Daten in die USA weiterleiten durfte. Die Richter stellten klar, dass mit solchen vorformulierten Erklärungen keine wirksame Zustimmung zur Datennutzung erteilt werden könne.

Unzulässig ist auch eine Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, so Dünkel. „Das schreibt das Telemediengesetz vor.“ Nach Auffassung des Landgerichts war Klarnamenpflicht schon deshalb unzulässig, weil Nutzer damit versteckt der Verwendung dieser Daten zustimmten.

Werbung „Facebook ist kostenlos“ ist zulässig

Nicht durchsetzen konnte sich der vzbv gegen die Werbung, Facebook sei kostenlos. Der Werbespruch ist nach Ansicht des Verbands irreführend. „Verbraucher bezahlen die Facebook-Nutzung zwar nicht in Euro, aber mit ihren Daten. Und diese bringen dem Unternehmen viel Geld ein“, so Dünkel. Das Landgericht Berlin hält die Werbung dagegen für zulässig, immaterielle Gegenleistungen seien nicht als Kosten anzusehen. Die Richter lehnten außerdem mehrere Anträge des vzbv gegen Bestimmungen in der Facebook-Datenrichtlinie ab. Die Richtlinie enthalte fast nur Hinweise und Informationen zur Verfahrensweise des Unternehmens und keine vertraglichen Regelungen.

Soweit das Gericht die Klage abgewiesen hat, wird der vzbv Berufung zum Kammergericht einlegen.

Urteil des Landgerichts Berlin vom 16.01.2018, Az. 16 O 341/15 – nicht rechtskräftig

BITKOM: Herausforderung DSGVO – Datenschutz-Fachkräfte sind Mangelware

Die Umsetzung von Datenschutzregelungen in diesem Jahr stellt Unternehmen vor große Herausforderungen. Problematisch: Den meisten Firmen fehlt es an Fachkräften, um die häufig zeitaufwändigen Aufgaben zu bewältigen.

Mehr als jedes zweite Unternehmen (56 Prozent) in Deutschland hat weniger als eine Vollzeitstelle für Mitarbeiter eingeplant, die sich hauptsächlich mit Datenschutzthemen befassen. Zu diesem Ergebnis kommt eine repräsentative Bitkom-Umfrage. Die Zeit drängt, denn mit der ab 25. Mai 2018 gültigen Datenschutzgrundverordnung (DSGVO) ergeben sich viele neue Pflichten für die Firmen. »Der Arbeitsaufwand bei der Umsetzung der Datenschutzgrundverordnung ist enorm, gleichzeitig suchen Unternehmen händeringend nach passenden Fachkräften«, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit. In genau eine Vollzeitstelle für Datenschutzangelegenheiten investiert gut jedes vierte Unternehmen (27 Prozent). Mehr als eine Vollzeitstelle für Datenschutz-Fachkräfte gibt es in 14 Prozent der Unternehmen.

Ab Mai müssen alle Firmen die DSGVO beachten. Im Mittelpunkt steht dabei für viele Unternehmen, ein Verarbeitungsverzeichnis für Personendaten zu erstellen. Außerdem müssen sie Prozesse in der Produktentwicklung anpassen, um dem neuen Grundsatz des Privacy by Design gerecht zu werden. Darüber hinaus haben die Firmen zahlreiche Informationspflichten gegenüber ihren Kunden.

E-Privacy-Verordnung steht vor der Tür

Voraussichtlich in der zweiten Jahreshälfte 2018 will die EU über die sogenannte E-Privacy-Verordnung entscheiden. Ziel dieser Verordnung ist es zum einen, die Vertraulichkeit der Kommunikation zu schützen. Zum anderen formuliert die E-Privacy-Verordnung zusätzliche Datenschutzvorschriften, die besonders im Bereich der Verarbeitungs- und Speicherfunktion in Endgeräten wie PCs, Tablets oder Smartphones über die Datenschutzgrundverordnung hinausgehen. »Künftige Innovationen werden durch die E-Privacy-Verordnung bedroht«, kritisiert Dehmel den aktuellen Gesetzentwurf der EU-Kommission zur E-Privacy-Verordnung. So werde die bereits gefundene Balance zwischen dem Schutz der Privatsphäre einerseits und neuen Technologien andererseits wieder zerschlagen.

»Was die Datenschutzgrundverordnung erlaubt, darf die E-Privacy-Verordnung nicht wieder zurückdrehen«, fordert Dehmel. Bislang stellt die E-Privacy-Verordnung in mehreren Bereichen eine nach DSGVO erlaubte Datenverarbeitung entweder unter den Vorbehalt einer strengeren Form der Einwilligung oder untersagt sie sogar vollständig. Zudem würden durch den Kommissionsentwurf auch Vorgänge erfasst werden, bei denen die Verarbeitung von personenbezogenen Daten keine Rolle spielt.

Link zur BITKOM Pressemeldung

BDS Bayern: ein großer Wirtschaftsverband entdeckt den Datenschutz – doch etwas spät meine ich!!

Seit 2010 wird über ein Europäisches Datenschutzrecht diskutiert. Am 4. 5.2016 ist dann die EU-Verordnung 2016/79 „zum Schutz natürlicher Personen bei der der Verarbeitung personenbezogener Daten (DS-GVO)“ nach Veröffentlichung im Amtsblatt der EU am 25. 5. 2016 in Kraft getreten und wird Geltung haben ab dem 25. 5. 2018.

Seit 20 Monaten ist nun bekannt, dass sich im Datenschutz Wesentliches ändern wird. Sehr viele haben das einfach verschlafen – falsch, nehmen das Thema Datenschutz und die daraus resultierenden Pflichten einfach nicht Ernst. Und das seit Jahrzehnten. Bestellpflicht eines Datenschutzbeauftragten – pfeiff drauf, kontrolliert eh keiner. Kostet nur Geld.

Typisches Beispiel für diese Haltung zeigt sich auch in manchen Wirtschaftsverbänden. Dem BDS Bayern zum Beispiel. Mit rund 18.000 Mitgliedern die stärkste Vertretung des Mittelstands in Bayern. Starten am 31.1.2018 ihre „BDS Roadshow – neuer Datenschutz„. Es verbleiben also weniger als 4 Monate für Datenschutz von 0 auf 100. Wie soll das bitteschön gehen? Die, dies es bis heute sich nicht um das Thema gekümmert haben, fehlt doch das Verständnis und die Bereitschaft dazu. Und die notwendige Anzahl fachkundiger Datenschutzbeauftragte gibt es auch nicht. Ich jedenfalls nehme seit einiger Zeit keine neuen Mandate mehr an. Also wählt man einen armen Tropf aus der Mannschaft und drückt ihm den Stempel auf, spendiert vielleicht eine Schulung, aber keine Zeit und kein Budget. Arme Seele!

Lieber BDS-Bayern, in dem ich auch seit über 10 Jahren Mitglied bin, eine gute Gelegenheit verpasst, vom Zeitpunkt her ganz zu schweigen. Setzen – Sechs.

Intel AMT: Firmen-Notebooks in 30 Sekunden gehackt

F-Secure weist auf eine Sicherheitslücke in der Active Management Technology (AMT) von Intel hin, über die ein Angreifer mit Zugang zum Gerät sich binnen weniger Sekunden eine Hintertür einrichten kann.

Als hätte Intel mit »Meltdown« und »Spectre« aktuell nicht genug zu tun, lauert auf vielen Systemen mit Intel-Chips ein weiteres Sicherheitsproblem. Wie F-Secure vermeldet, ist die BIOS-Erweiterung für AMT – eine Fernwartungstechnologie, die von vielen Firmen genutzt wird – durch ein gesetztes BIOS-Passwort nicht geschützt. Ein Angreifer, der Zugang einem Gerät hat, kann es daher schnell booten und auf die AMT-Funktion zugreifen, etwa um den Rechner für einen späteren Fernzugriff zu konfigurieren. Dafür muss während der Boot-Sequenz nur [STRG] + [P] gedrückt werden. Anschließend kann man sich fast immer mit dem Standardpasswort »admin« bei der »Intel Management Engine BIOS Extension« (MEBx) anmelden, da die wenigsten Unternehmen dieses ändern. Nach dem Login ist es dann für den Angreifer möglich, ein neues Passwort zu vergeben, den Remote-Zugriff zu aktivieren und Funktionen wie »AMT User Opt-In« zu deaktivieren.

Das alles lässt sich F-Secure zufolge in weniger als 30 Sekunden durchführen. Die Empfehlung des Security-Herstellers an End User lautet daher auch, Notebooks in der Öffentlichkeit nicht einmal für kurze Zeit unbeaufsichtigt zu lassen – am besten nicht mal in Hotelzimmern. Harry Sintonen, der als Senior Security Consultant bei F-Secure das Sicherheitsproblem untersucht hat, bezeichnet einen derart durchgeführten Angriff als »fast schon lächerlich einfach«. Es stecke ein »enorm destruktives Potenzial« in der Schwachstelle: »In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeitslaptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden«, erklärt er.

In der Regel kann der Angreifer nach der Manipulation nur auf den Rechner zugreifen, wenn er sich im gleichen LAN befindet. In einigen Fällen sei es jedoch möglich, einen eigenen CIRA-Server (Client Initiated Remote Access) einzutragen, so F-Secure. Damit wäre dann sogar ein Zugriff von außerhalb des lokalen Netzwerks möglich.

F-Secure rät Unternehmen, starke Passwörter für AMT zu vergeben oder die Funktion zu deaktivieren, so sie nicht benötigt wird. Intel sah lange vor allem die Gerätehersteller in der Pflicht. Weil jedoch nur wenige der Anweisung des Chipproduzenten folgten, eine Aktivierung von AMT nur nach Eingabe des BIOS-Passworts zu ermöglichen, hatte das Unternehmen im vergangenen Dezember eigene Best Practices für Kunden zu dem Thema veröffentlicht (PDF).

 

Stiftung Datenschutz: Recht auf Datenübertragbarkeit bietet Chancen und Risiken

Ab 2018 können Nutzer ihre Daten von einem Anbieter zu einem anderen mitnehmen – von einem sozialen Netzwerk zum anderen; von einer Versicherung zur nächsten. Neben diesen naheliegenden Möglichkeiten sind auch noch viele andere Datentransfers denkbar. Was nach großer Freiheit für Verbraucher und nach einer Chance klingt, bestehende Monopole im Digitalmarkt aufzubrechen, kann allerdings auch Risiken mit sich bringen.

Zu diesem Ergebnis kommt eine aktuelle Studie der vom Bund gegründeten Stiftung Datenschutz. Denn für die Umsetzung des Rechts auf Datenübertragbarkeit brauchen Wirtschaft und Verbraucher noch Präzisierung und Aufklärung. Die Studienautoren zeigen auf, dass ansonsten Datenschutzrisiken drohen oder das neue Schutzinstrument ins Leere laufen kann.

Link zur Meldung

Kunden reagieren sofort auf Datenschutzverletzungen bei Firmen

70 Prozent der Anwender würden Firmen nach einem Datenschutzproblem durch Aufkündigung der Geschäftsbeziehung abstrafen. Das zeigen die Ergebnisse einer im Auftrag von Gemalto durchgeführten Umfrage unter rund 10.000 Anwendern weltweit, unter anderem auch aus Deutschland. Sieben von zehn der Befragten (69 Prozent) sind der Ansicht, dass Unternehmen die Sicherheit von Kundendaten nicht sehr ernst nehmen.

Trotz dieser Bedenken zeigen sich die meisten Anwender sehr sorglos in Bezug auf die Datensicherheit. Mehr als die Hälfte (56 Prozent) verwendet immer noch dasselbe Passwort für mehrere Online-Konten. Selbst wenn Unternehmen robuste Sicherheitslösungen wie die Zwei-Faktor-Authentifizierung anbieten, werden sie von deren Kunden offenbar häufig nicht genutzt. So geben 41 Prozent der Anwender zu, die Technologie nicht für die Sicherung von Konten in den sozialen Netzwerken zu verwenden, so dass sie dort anfällig für Datenschutzverletzungen sind.

62 Prozent der Befragten finden, dass die Unternehmen die Verantwortung für die Sicherheit der Daten tragen sollten. »Die Verbraucher geben offenbar gerne die Verantwortung für den Schutz ihrer Daten an ein Unternehmen ab, erwarten aber, dass diese ohne jeglichen Aufwand sicher aufbewahrt werden«, sagt Jason Hart, CTO im Bereich Identity and Data Protection bei Gemalto. Angesichts kommender Rechtsanpassungen, wie zum Beispiel der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union müssen die Firmen den Anwendern die richtigen Sicherheitsmechanismen vorgeben, um die Datensicherheit zu gewährleisten. »Es genügt nicht mehr, diese Lösungen als Option anzubieten. Diese Protokolle müssen von Anfang an obligatorisch sein – ansonsten drohen den Unternehmen nicht nur finanzielle Folgen, sondern auch rechtliche Schritte seitens der Verbraucher«, ist Hart überzeugt.

Trotz ihres Verhaltens sind die Sicherheitsbedenken der Kunden hoch. Zwei Drittel (67 Prozent) befürchten, dass sie in naher Zukunft Opfer einer Datenschutzverletzung werden. Die Verantwortung dafür liegt nach Ansicht der Nutzer beim Unternehmen. Wenn ihre Daten gestohlen würden, würde die Mehrheit (93 Prozent) der Verbraucher rechtliche Schritte gegen die kompromittierte Firma einleiten oder erwägen.

 

vzbv: Datenschutzeinwilligung ungenügend – Urteil gegen Facebook

  • Onlinespiele auf Facebook dürfen nicht so präsentiert werden, dass Verbraucher beim Anklicken des Buttons „Spiel spielen“ ohne nähere Informationen in die Weitergabe ihrer Daten einwilligen.
  • Die Berechtigung der Spiele-App-Betreiber zum „Posten“ eigener Inhalte über das Facebookprofil des Nutzers ist intransparent.
  • Ausschlaggebend dafür, welches Datenschutzrecht gilt, ist die Tätigkeit von Facebook in Deutschland.

Facebook darf personenbezogene Daten seiner in Deutschland lebenden Nutzer nicht ohne deren wirksame Einwilligung herausgeben. In Facebooks App-Zentrum, in dem Computerspiele von Drittanbietern angeboten werden, wurden Nutzer nicht ausreichend über Umfang und Zweck der Datenweitergabe informiert. Das hat das Kammergericht nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden.

„Facebook muss besser darüber informieren, was Drittanbieter auf seiner Webseite mit den Daten der Nutzerinnen und Nutzer anstellen“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Es kann nicht sein, dass Spieleanbieter ohne jegliche Einschränkung im Profil des Nutzers Beiträge posten können.“

In seinem App-Zentrum bietet Facebook seinen Kunden die Möglichkeit, kostenfreie Spiele von anderen Anbietern zu spielen. Dort war im November 2012 unter anderem das Spiel „The Ville“ verfügbar. Unter dem Button „Sofort spielen“ wurden Hinweise zur Weitergabe von personenbezogenen Daten des Nutzers angezeigt. So sollten mit Beginn des Spiels die E-Mail-Adresse, Statusmeldungen und weitere Informationen über den Nutzer an den Betreiber des Spiels übermittelt werden. Angaben über den Zweck der Datenverarbeitung fehlten. Bei drei weiteren Spielen wurden vergleichbare Informationen angezeigt. So hieß es beim Spiel „Scrabble“: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“

„Die bereitgestellten Informationen waren in keinem Fall geeignet, eine informierte und freiwillige Einwilligung der Nutzer in die Weitergabe ihrer personenbezogenen Daten einzuholen.“, so Dünkel. Damit verstoße Facebook gegen deutsches Datenschutzrecht.

Informationen für Datenweitergabe nicht ausreichend

Das Berliner Kammergericht stellte klar, dass deutsches Datenschutzrecht trotz des irischen Unternehmenssitzes anwendbar sei. Hierzu genüge, dass Facebook sein Angebot auch an deutsche Nutzer richte und in Hamburg eine für die Förderung des Anzeigengeschäfts zuständige Schwestergesellschaft der Beklagten unterhalte.

Die erforderliche Einwilligung in die durch Facebook angekündigte Weitergabe der Daten lag nach Auffassung des Gerichts nicht vor, denn die bereitgestellten Informationen reichten nicht aus, um eine freie und informierte Entscheidung der Nutzer über die begehrte Generaleinwilligung herbeizuführen. Die ebenfalls beanstandete Berechtigung zum Posten im Namen des Verbrauchers hielten die Richter für zu unbestimmt, denn die nach der Klausel möglichen Posts seien für Verbraucher in Zahl und Inhalt nicht absehbar. Selbst Werbung für sexuell anzügliche Produkte sei von der Formulierung abgedeckt. Die Vertragsbestimmung verstoße daher gegen das AGB-rechtliche Transparenzgebot sowie gegen Datenschutzvorschriften.

Mit seinem Urteil bestätigte das Kammergericht die Rechtsauffassung der Vorinstanz. Gegen die Entscheidung des Landgerichts Berlin hatte Facebook 2014 Berufung eingelegt. Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht die Revision zum Bundesgerichtshof zugelassen.