Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

​(hmbbfdi, 27.9.2016) Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden.

Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

„Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.

Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird.“

https://www.datenschutz.de/wp-content/uploads/kalins-pdf/singles/anordnung-gegen-massendatenabgleich-zwischen-whatsapp-und-facebook.pdf

BayLDA: Umgang mit Datenpannen – Art. 33 und 34 DS-GVO

Wenn sensible Daten im Unternehmen abhandenkommen, drohen meist schwer zu kalkulierende Auswirkungen – vom Vertrauensverlust bei Kunden, Image-Schäden gegenüber Geschäftspartnern bis hin zu großen finanziellen Einbußen, die sich auf das Jahresergebnis niederschlagen können. Schon heute zeigt sich, dass eine aktive und umfassende Zusammenarbeit mit der Aufsichtsbehörde nicht nur die Schäden hierbei besser einzugrenzen hilft, sondern auch geeignet ist, um die Betroffenen fachgerecht zu informieren. Welche neuen Anforderungen an die Meldung von Datenpannen in der Grundverordnung verankert sind, hat das BayLDA in einem neuen kurzen Papier zusammengefasst. Das Dokument kann nachfolgend heruntergeladen werden.

WIM September 2016: Datenschutz-Grundverordnung – Personen unter Schutz

WiM – Wirtschaft in Mittelfranken, Ausgabe 09|2016, Seite 20

​Die Datenschutz-Grundverordnung regelt ab 2018 die Verarbeitung von personenbezogenen Daten. Unternehmen sollten sich schon jetzt vorbereiten.

Gewaltige Lobby-Schlachten sind wegen der Datenschutz-Grundverordnung (DS-GVO) geführt worden. Sie wurde nun am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht und regelt insbesondere die Verarbeitung personenbezogener Daten. In Kraft treten wird sie zwar erst am 25. Mai 2018, aber diese zweijährige Übergangszeit sollten alle Unternehmen intensiv für die Vorbereitung nutzen.

Auch nach dem Abschluss des Gesetzgebungsverfahrens wird kontrovers über Ausgestaltung und Bedeutung des Regelwerks diskutiert, das folgende amtliche Bezeichnung trägt: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundordnung)“. Diese sperrige Bezeichnung könnte symbolisch stehen für die Unsicherheit, mit der Unternehmen, Behörden, Vereine, Verbände und Freiberufler den künftigen Vorschriften gegenüberstehen. Denn darüber, wie die neuen Normen im Detail wirklich zu verstehen bzw. zu vollziehen sein werden, wird vielfach spekuliert. Für mehr Klarheit sorgen dürften in den nächsten Monaten Verlautbarungen und Leitlinien der deutschen Aufsichtsbehörden und des neu geschaffenen Europäischen Datenschutzausschusses. Datenschutz-Experten sind sich aber einig, dass abschließende Klarheit in einzelnen Fragen – etwa bei den erheblich geänderten Normen im Bereich der Datensicherheit – wohl erst im Laufe der nächsten Jahre durch die Rechtsprechung des Europäischen Gerichtshofs geschaffen werden wird.

Dies bedeutet aber nicht, dass Unternehmen erst einmal abwarten sollten. Vielmehr sollten sie schon jetzt analysieren, in welchen Bereichen sie durch die DS-GVO betroffen sein könnten. Denn die wesentlichen Bestimmungen liegen fest: Die DS-GVO regelt vor allem die Art und Weise, wie jegliche personenbezogenen Daten verarbeitet werden dürfen. „Verarbeitung“ ist der neue Einheitsbegriff, der die bisherigen differenzierten Begriffe umfasst („Daten erheben, speichern, verändern, übermitteln, sperren, löschen oder nutzen“). Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifiziert werden kann eine Person laut DS-GVO, wenn ihr direkt oder indirekt ein Name, eine Kennnummer (z.B. Steuernummer), Standortdaten, eine Online-Kennung (E-Mail-Adresse) oder ein oder mehrere charakteristische Merkmale zugeordnet werden können. Die Verarbeitung der personenbezogenen Daten muss nicht zwingend in der EU selbst stattfinden. Vielmehr erfasst die DS-GVO auch die Datenverarbeitung außerhalb der EU, wenn sie durch einen Verantwortlichen oder einen Auftragsverarbeiter mit Sitz in der EU erfolgt.

Wie das bisherige Datenschutzrecht geht auch die DS-GVO davon aus, dass mit personenbezogenen Daten nur dann umgegangen werden darf, wenn eine Einwilligung des Betroffenen vorliegt oder wenn eine Rechtsgrundlage dies erlaubt oder anordnet.

Datenverarbeitung dokumentieren

Die Kenntnis dieser Regelungen der DS-GVO reicht für die Unternehmen aus, um sich schon jetzt an die wichtigsten Vorbereitungsarbeiten zu machen. Sie bilden die Basis, um später beurteilen zu können, ob der Betrieb die Vorschriften der DS-GVO einhält. Jedes Unternehmen sollte jetzt sehr genau prüfen, welche personenbezogenen Daten von Mitarbeitern, Kunden oder sonstigen Geschäftspartnern verarbeitet werden, auf welcher Rechtsgrundlage diese Verarbeitung erfolgt, zu welchem Zweck dies geschieht, an wen Daten übermittelt und wann diese Daten gelöscht werden. Eigentlich sind die verantwortlichen Stellen aufgrund des geltenden Bundesdatenschutzgesetzes schon jetzt verpflichtet, entsprechende Verfahrensverzeichnisse zu erstellen und zu führen. Aus der Prüfpraxis des Bayerischen Landesamtes für Datenschutzaufsicht ergibt sich, dass dies von vielen Unternehmen eher als eine lästige Formalie angesehen wird und deshalb als Dokumentation über die Datenverarbeitung im Unternehmen häufig nicht ausreichend ist. Nur wer eine derartige Verarbeitungsübersicht hat und Datenbestand und Datenflüsse im eigenen Unternehmen identifizieren kann, wird in der Lage sein, die datenschutzrechtlichen Vorgaben zu erfüllen. Ernst wird es spätestens mit der DS-GVO: Sie verpflichtet die Datenverarbeiter ebenfalls, derartige Verfahrensübersichten zu führen und die Folgen bestimmter Maßnahmen (z. B. Videoüberwachung) für den Datenschutz abzuschätzen und zu dokumentieren. Verstöße dagegen unterliegen extrem hohen Sanktionen.

Alle Unternehmen sollten deshalb für Transparenz über die Datenverarbeitung im eigenen Unternehmen sorgen. Nur wenn man weiß, welche Daten auf welche Art und Weise verarbeitet werden, wird man prüfen können, ob diese Verarbeitung in Zukunft unter den Voraussetzungen der DS-GVO noch so möglich ist bzw. was gegebenenfalls geändert werden muss. Die zweijährige Übergangsphase bis zum Inkrafttreten der Grundverordnung sollte intensiv genutzt werden. Diese Zeitspanne werden viele Unternehmen brauchen, um ihre Prozesse anzupassen und umzustellen. Eine weitere Übergangsphase nach dem 25. Mai 2018 bzw. eine Schonfrist bei der Prüfung durch die Aufsichtsbehörden wird es jedenfalls nicht geben.

Das Bayerische Landesamt für Datenschutzaufsicht informiert über alle Fragen zu den Vorschriften der neuen DS-GVO. Das Landesamt und alle anderen Aufsichtsbehörden sowie die Kammern und Verbände sind dankbar für Hinweise auf unklare Regelungen oder Umsetzungsprobleme. Sie helfen den Aufsichtsbehörden, offene Fragen und ungelöste Problemfelder zu erkennen und – auch in Zusammenarbeit mit den anderen zuständigen Behörden auf deutscher und europäischer Ebene – Klarstellungen vorzunehmen.

Autor:
Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) in Ansbach (www.lda.bayern.de).

BSI und Verbände initiieren Cyber-Sicherheits-Umfrage 2016

Im Rahmen der Allianz für Cyber-Sicherheit initiiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom), der Gesellschaft für Informatik e.V. (GI), dem Bundesverband der Deutschen Industrie (BDI), dem Verband Deutscher Maschinen- und Anlagenbau (VDMA), dem Bundesverband der IT-Anwender (VOICE) und dem Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI) die Cyber-Sicherheits-Umfrage 2016. Das BSI und die beteiligten Verbände rufen die IT-Sicherheitsverantwortlichen deutscher Unternehmen, Behörden und anderer Institutionen auf, sich an der anonymen Umfrage zu beteiligen.

Ziel der Umfrage ist es, Informationen zur tatsächlichen Betroffenheit durch Cyber-Angriffe, der subjektiven Gefährdungslage und dem Umsetzungsstand von Schutzmaßnahmen aus Sicht von Unternehmen, Behörden und anderen Institutionen zu erhalten. Aus den Ergebnissen der Umfrage lassen sich unter anderem praxisbezogene Lösungsansätze und Empfehlungen sowie Beratungsschwerpunkte ableiten, die das BSI im Rahmen der Allianz für Cyber-Sicherheit einbringen und auch anderen Unternehmen und Institutionen zur Verfügung stellen kann. Zudem fließen die Ergebnisse der Umfrage als weiterer Baustein in die Erstellung und kontinuierliche Pflege eines Lagebilds der Cyber-Sicherheit in Deutschland ein.
Teilnahme bis 7. Oktober 2016 möglich / Ergebnisse im Oktober 2016

Die Teilnahme an der Umfrage ist online ab sofort bis zum 7. Oktober 2016 möglich. Die Ergebnisse werden im Oktober 2016 veröffentlicht. Die Ergebnisse der Umfragen aus den Vorjahren sind auf der Webseite der Allianz für Cyber-Sicherheit verfügbar.

Über die Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit ist eine Initiative des BSI, die 2012 in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde. Die Allianz hat das Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Sie richtet sich vorrangig an Unternehmen und Behörden, darüber hinaus aber auch an sonstige Institutionen und Organisationen in Deutschland. Interessenten haben die Möglichkeit, sich in verschiedenen Rollen als Teilnehmer, Partner oder Multiplikator an der Allianz beteiligen. Weitere Informationen zur Allianz für Cyber-Sicherheit sowie zur Umfrage stehen unter https://www.allianz-fuer-cybersicherheit.de zur Verfügung.

Gesellschaft für Informatik veröffentlicht Social Media Leitlinie

Der Präsidiumsarbeitskreis (PAK) „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) hat eine Leitlinie zum verantwortungsbewussten Umgang mit Social Media veröffentlicht.

Soziale Medien liegen im Trend: sie sind gerade gut 10 Jahre alt und verbinden bereits weltweit mehr als 3 Mrd. Privatpersonen, Unternehmen und Behörden. Sie dienen zur Kommunikation und zum Austausch von Informationen – einzeln oder in selbstorganisierten Gruppen in weitgehender Eigenverantwortung.

„Aufgrund der nahezu flächendeckenden Nutzung und deren Bedeutung für den Alltag, die Vernetzung und die Privatsphäre der Bürgerinnen und Bürger halten wir eine Anleitung zu Bewertung und Umgang mit sozialen Medien für dringend geboten“, sagte PAK-Sprecher Hartmut Pohl. In den Leitlinien zeigt der Arbeitskreis die Chancen einer reflektierten und verantwortungsvollen Nutzung auf, warnt aber gleichzeitig vor einem leichtsinnigen Umgang mit den eigenen Daten. Darüber hinaus wendet sie sich an Entwickler sozialer Medien und appelliert an deren Verantwortung bei der Erstellung entsprechender Dienste.

Die Leitlinie ist in vier Kapitel gegliedert:

  •     Verständnis von Social Media
  •     Bewertungskriterien von Social Media
  •     Nutzung von Social Media
  •     Entwicklung von Social Media

Link zum Herunterladen.

Dropbox: Millionen Passwörter schon 2012 von Nutzern gestohlen

​Dropbox hat eingeräumt, schon 2012 gehackt worden zu sein. Dabei wurden über 68 Millionen Passwörter von Nutzern entwendet.

Dropbox hat bestätigt, bereits 2012 Opfer eines massiven Datenhacks geworden zu sein, bei dem über 68 Milionen Passwörter von Kunden gestohlen wurden. Für den Cloud-Speicherdienst stellt das Eingeständniss den PR-Supergau dar, schließlich führen Kritiker oft mangelnde Sicherheit als Argument gegen solche Cloudspeicher-Dienstleister ins Feld. Auch aus diesem Grund bemüht man sich bei Dropbox vor allem um Schadensbegrenzung und versucht, die eigenen Kunden zu beruhigen. Bisher gebe es keine Anzeichen für unberechtigte Zugriffe, ließ das Unternehmen in der Nacht zum Donnerstag verlauten. Der Dienstleister betont, dass die gestohlenen Passwörter nur verschlüsselt abgegriffen wurden. Bei der Verschlüsselung seien sowohl Hash- als auch Salt-Verfahren zum Einsatz gekommen.

Zudem habe man die Passwörter von Kunden, die dieses seit 2012 nicht mehr geändert hatten, zurückgesetzt. Allerdings gebrauchen viele Internetnutzer ähnliche oder gar gleiche Passwörter für unterschiedliche Dienste. Kriminelle könnten so von den Dropbox-Passwörtern auf andere Login-Daten schließen, wenn diese dasselbe Passwort wie Dropbox nutzen.

Dropbox: »Anmeldedaten sind dank Verschlüsselung unbrauchbar«

In einer aktuellen Stellungnahme betont Patrick Reim, Head of Trust and Security bei Dropbox, dass die erbeuteten Passwörter so verschlüsselt sind, dass sie für die Angreifer nicht nutzbar sind.

»Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur Annahme, dass sich Dritte unrechtmäßig Zugang zu Dropbox-Accounts verschafft haben. Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung „hashed and salted“ unbrauchbar sind.

Es sind ausschließlich Nutzer betroffen, die sich vor Mitte 2012 bei Dropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben. Dropbox hat in der vergangenen Woche als reine Vorsichtsmaßnahme diese betroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropbox bestätigt, dass das Zurücksetzen der Passwörter vergangene Woche abgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.

Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer, die möglicherweise ein identisches Passwort auch bei anderen Services nutzen, Vorsichtsmaßnahmen ergreifen. Idealerweise sollten diese Passwörter aktualisiert werden und Zwei-Faktor-Authentifizierung aktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung von Dropbox erhalten haben, wachsam vor Spam oder Phishing sein.«

Sicher und privat kommunizieren: BSI informiert über E-Mail-Verschlüsselung

Die Elektronikmesse IFA in Berlin steht kurz bevor und auch in diesem Jahr sind die Themen IT-Sicherheit und Cyber-Sicherheit bei vielen der vorgestellten vernetzten Geräte relevant – denn Schnittstellen werden abgesichert oder zusätzliche Sicherheitsfunktionen zur Verfügung gestellt. Dabei können Nutzer mit nur wenigen Klicks notwendige Schutzmaßnahmen selbst treffen: So verhindert beispielsweise die Verschlüsselung von E-Mails, dass versendete Informationen von Unbefugten mitgelesen werden können. Schlimmstenfalls gewinnen Hacker bei unverschlüsselten E-Mails Zugriff auf wertvolle Informationen wie Konto- und Benutzerdaten.

E-Mail-Nutzer können einiges tun, um sich vor ungewollten Mitlesern zu schützen. „Verschlüsselung ist ein absolutes Muss, wenn man sichergehen möchte, dass niemand anderes als der vorgesehene Empfänger die versendeten Daten erhält“, erklärt Arne Schönbohm, Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI). „Kaum jemand würde auf die Idee kommen, vertrauliche Informationen auf einer Postkarte zu verschicken. Tatsächlich ist eine unverschlüsselte E-Mail aber nichts anderes – jeder, dem sie in die Hände fällt, kann sie lesen. Verschiedene Provider bieten mittlerweile komfortable Lösungen zur Verschlüsselung an, diese sollte man nutzen.“

Sichere Kommunikation als Standard

Nutzer sollten, um ihre E-Mails effektiv zu schützen, diese verschlüsseln. Hierfür können entweder Verschlüsselungsfunktionen des E-Mail-Anbieters, Add-Ons für E-Mail-Programme oder Verschlüsselungs-Software genutzt werden. Diese müssen lediglich aktiviert beziehungsweise mit wenigen Klicks installiert und eingerichtet werden. Dabei wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren unterschieden. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln derselbe geheime Schlüssel verwendet, der nicht mit Dritten geteilt werden sollte. Sender und Empfänger kennen und benutzen denselben Schlüssel für die Ver- und Entschlüsselung von E-Mails. Das asymmetrische Verfahren setzt sich hingegen aus einem Schlüsselpaar zusammen, wobei ein Schlüssel zur Ver- und einer zur Entschlüsselung genutzt wird. Der so genannte öffentliche Schlüssel wird mit dem Kommunikationspartner ausgetauscht, der private Schlüssel bleibt geheim. Dieses Verfahren bietet einen besonders hohen Schutz, denn nur ein Empfänger, der im Besitz des zweiten, privaten Schlüssels ist, kann die E-Mail entschlüsseln.

Um den Einsatz von Ende-zu-Ende-Verschlüsselung – vom Postausgang des Senders bis zum Posteingang des Empfängers – in Deutschland zu fördern, haben sich Vertreter aus Politik, Forschung und IT-Wirtschaft zusammengeschlossen und sich zu einfachen, nutzerfreundlichen und transparenten Verschlüsselungslösungen verpflichtet. Unter Beteiligung des Bundesministeriums des Innern und des BSI wurde die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ auf dem IT-Gipfel 2015 unterzeichnet. Eine Initiative, die diese Forderungen erfüllt, ist die „Volksverschlüsselung“, für die sich Nutzer auf der IFA registrieren können. „Wir begrüßen solche Initiativen, die dazu beitragen, dass E-Mail-Kommunikation sicherer wird und die Verschlüsselung in der Breite genutzt wird“, erklärt Arne Schönbohm, Präsident des BSI.

Die Behörde befasst sich mit allen Themen rund um die IT-Sicherheit in Deutschland; hierzu entwickelt sie auch kryptografische Verfahren und Verschlüsselungslösungen. Unter anderem ließ das BSI die Software Gpg4win entwickeln, eine einfache, lizenzkostenfreie Verschlüsselungslösung für Windows-Betriebssysteme, die E-Mails, Dateien und Dateiordner verschlüsselt und in Outlook genutzt werden kann. Interessierte IFA-Besucher können vom BSI am Stand 101 in Halle 21a weitere Informationen rund um die Themen Verschlüsselung, IT-Sicherheit und Cyber-Sicherheit erhalten.

Weitere Informationen zum Thema „Verschlüsselung“ erhalten Sie unter:

Charta zur Stärkung der vertrauenswürdigen Kommunikation
BSI für Bürger: Verschlüsselung
Gpg4win: Sichere E-Mail- und Datei-Verschlüsselung

BSI: 12 Maßnahmen zur Absicherung gegen Angriffe aus dem Internet

​Viele Computer von Privatanwendern, die zum Internetsurfen verwendet werden, sind nicht ausreichend gegen die Risiken der Online-Welt geschützt. Kriminelle nutzen dies, indem sie solche Rechner mit Schadprogrammen infizieren und für ihre Zwecke missbrauchen. Dadurch können Ihnen erhebliche Schäden entstehen. Zum Beispiel können die Kriminellen Ihre Daten löschen oder ausspionieren, in Online-Shops Waren in Ihrem Namen und auf Ihre Kosten bestellen, Transaktionen beim Online-Banking manipulieren oder Ihnen den Zugang zu Ihrem Bankkonto sperren. Die Kriminellen können Ihren Rechner außerdem zum Teil eines Botnetzes machen und ihn so für Cyber-Angriffe auf Unternehmen oder andere Institutionen sowie zum Versand von Spam-E-Mails einsetzen.

Einen hundertprozentigen Schutz gegen diese Gefährdungen gibt es leider nicht. Um die Risiken jedoch weitgehend einzuschränken, können Sie selbst etwas tun. Wenn Sie die folgenden Maßnahmen umsetzen, dann erhöhen Sie die Sicherheit Ihres Rechners und Ihre Sicherheit im Internet bereits erheblich. Die ersten fünf Empfehlungen („Kernmaßnahmen„) sollten Sie dabei in jedem Fall umsetzen. Die weiteren Empfehlungen sind ergänzende Maßnahmen, mit deren Umsetzung Sie Cyber-Kriminellen weniger Angriffsfläche bieten und präventiv dafür sorgen können, Ihre Internet-Sicherheit zu verbessern und mögliche negative Folgen zu mindern.

Alle Maßnahmen sind in der Regel auch für Laien einfach umzusetzen. Wenn Sie sich dies dennoch nicht zutrauen, dann sollten Sie einen Internet-Profi oder den Hersteller Ihres IT-Systems zur Rate ziehen, der Sie dabei unterstützen kann.

Kernmaßnahmen

  • Installieren Sie regelmäßig von den jeweiligen Herstellern bereitgestellte Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen installierten Programme (zum Beispiel Internet-Browser, Office, Flash Player, Adobe Reader) – idealerweise über die Funktion „Automatische Updates“. Diese Funktion können Sie in der Regel im jeweiligen Programm einstellen, meist unter dem Menüpunkt „Optionen“ oder „Einstellungen“.
  • Setzen Sie ein Virenschutzprogramm ein und aktualisieren Sie dieses regelmäßig, idealerweise über die Funktion „Automatische Updates“
  • Verwenden Sie eine Personal Firewall. Diese ist in den meisten modernen Betriebssystemen bereits integriert und soll Ihren Rechner vor Angriffen von außen schützen. Dazu kontrolliert sie alle Verbindungen des Rechners in andere Netzwerke und überprüft sowohl die Anfragen ins Internet als auch die Daten, die aus dem Internet an Ihren Rechner gesendet werden.
  • Nutzen Sie für den Zugriff auf das Internet ausschließlich ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto. Alle gängigen Betriebssysteme bieten die Möglichkeit, sich als Nutzer mit eingeschränkten Rechten anzumelden. Wie Sie ein einfaches Benutzerkonto einrichten, ist hier erklärt: Microsoft Windows, Mac OS X, Linux, Linux Ubuntu
  • Seien Sie zurückhaltend mit der Weitergabe persönlicher Informationen. Seien Sie misstrauisch. Klicken Sie nicht automatisch auf jeden Link oder jeden Dateianhang, der Ihnen per E-Mail gesendet wird. Überprüfen Sie gegebenenfalls telefonisch, ob der Absender der Mail authentisch ist. Wenn Sie Software herunterladen möchten, dann sollten Sie dies möglichst ausschließlich von der Webseite des jeweiligen Herstellers tun.

Ergänzende Maßnahmen

  • Verwenden Sie einen modernen Internet-Browser mit fortschrittlichen Sicherheitsmechanismen wie etwa einer Sandbox. Konsequent umgesetzt wird dieser Schutz gegenwärtig zum Beispiel von Google Chrome. Zudem sollte der Browser über einen Filtermechanismus verfügen, der Sie vor schädlichen Webseiten warnt, bevor Sie diese ansurfen. Beispiele solcher Filtermechanismen sind der Smart Screen Filter beim Internet Explorer sowie der Phishing- und Malwareschutz bei Google Chrome und Mozilla Firefox. Darüber hinaus sollten Sie nur solche Browser-Zusatzprogramme „Plugins“ verwenden, die Sie unbedingt benötigen. Weitere Empfehlungen zur sicheren Konfiguration Ihres Browsers hat das BSI hier für Sie zusammengestellt.
  • Nutzen Sie möglichst sichere Passwörter. Verwenden Sie für jeden genutzten Online-Dienst – zum Beispiel E-Mail, Online Shops, Online Banking, Foren, Soziale Netzwerke – ein anderes, sicheres Passwort. Ändern Sie diese Passwörter regelmäßig. Vom Anbieter oder Hersteller voreingestellte Passwörter sollten Sie sofort ändern. Wie Sie ein sicheres Passwort erstellen können, haben wir hier für Sie beschrieben.
  • Wenn Sie im Internet persönliche Daten übertragen wollen, etwa beim Online Banking oder beim Online Shopping, dann sollten Sie dies ausschließlich über eine verschlüsselte Verbindung tun. Jeder seriöse Online-Dienst bietet eine solche Möglichkeit an, beispielsweise durch die Nutzung des sicheren Kommunikationsprotokolls „HTTPS“. Sie erkennen dies an der von Ihnen aufgerufenen Internetadresse, die stets mit „https://“ beginnt und an dem kleinen Schloss-Symbol in Ihrem Browserfenster.
  • Deinstallieren Sie nicht benötigte Programme. Je weniger Anwendungen Sie nutzen, desto kleiner ist die Angriffsfläche Ihres gesamten Systems.
  • Erstellen Sie regelmäßig Sicherheitskopien „Backups“ Ihrer Daten, um vor Verlust geschützt zu sein. Hierzu können Sie beispielsweise eine externe Festplatte nutzen.
  • Wenn Sie ein WLAN („Wireless LAN“, drahtloses Netzwerk) nutzen, dann sollte dies stets mittels des Verschlüsselungsstandards WPA2 verschlüsselt sein. Wie Sie ein sicheres WLAN einrichten können, erfahren Sie hier.
  • Überprüfen Sie in regelmäßigen Abständen den Sicherheitsstatus Ihres Computers. Eine schnelle Testmöglichkeit bietet die Initiative botfrei des eco-Verbands.

Die DS-GVO übersichtlich dargestellt

​Der genaue Wortlaut der DS-GVO steht nun schon seit geraumer Zeit fest. Dennoch ist bis jetzt keine Online-Version des Gesetzestextes zu finden, mit der man unkompliziert arbeiten kann. In dem offiziellen PDF ist die Schrift sehr gedrängt und man kann einzelne Artikel z.B. nicht verlinken. Aus diesem Grunde gibt es die Website www.dsgvo-gesetz.de.

Durch die folgenden Punkte wird das Nachschlagen, Zitieren oder Herumblättern in der Datenschutz-Grundverordnung angenehmer:Gesetzestext und die dazugehörigen Erwägungsgründe

  • einfache Navigation
  • Schnellzugriff
  • übersichtliche Formatierung
  • alle erwähnten Normen sind verlinkt
  • Suchfunktion

Viel Vergnügen beim Arbeiten mit der Datenschutz-Grundverordnung.

Aerticket: Millionen Daten von Fluggästen ungeschützt im Internet

News vom Virtuelles Datenschutzbüro, Veröffentlicht am 31. Juli 2016

Aufgrund einer Sicherheitslücke bei dem Berliner Flugticket-Großhändler Aerticket sollen seit 2011 Fluggastdaten ungeschützt im Internet einsehbar gewesen sein. Unter den Daten seien Informationen wie Name, Adresse, Flugticket, Rechnungen sowie zum Teil auch Bankdaten.

Das Unternehmen soll die Sicherheitslücke mittlerweile geschlossen haben. Nach Angaben von Aerticket seien die Daten von nur etwa ein Viertel der sechs Millionen Tickets zugänglich gewesen. Laut Sicherheitsexperten sei die Schwachstelle nicht von Kriminellen ausgenutzt worden. Zur Zeit laufe eine Überprüfung des Falles durch den Berliner Datenschutzbeauftragten.

Persönliche Anmerkung:

Dass eine so schwerwiegende Sicherheitslücke derart lange unentdeckt bleiben konnte, zeigt, welch geringe Rolle der Schutz von Kundendaten in vielen Branchen spielt – selbst, wenn viele Millionen Menschen betroffen sind. Erst vor wenigen Wochen hatte der Blog Netzpolitik eine ähnliche Lücke beim Berliner Putzkraftvermittler Helpling aufgedeckt. Diese betraf zwar weitaus weniger Kunden, der zugrunde liegende Fehler war technisch aber vergleichbar.