3-G am Arbeitsplatz

Corona beeinflusst seit nun fast 2 Jahren das tägliche Leben von uns allen.

Dies gilt auch oder besser gesagt gerade für den Arbeitsplatz. Der Arbeitsplatz ist ein Ort, an dem zwangsläufig Kontakte stattfinden und dies über längere Zeiträume hinaus.

Angesichts des sich beschleunigenden Infektionsgeschehens ist die Gefahr von Ansteckungen in Arbeitsstätten daher auch zwangsläufig größer geworden.

Dieser Gefahr soll jetzt die am 22.11.2021 vom Bundespräsidenten unterschriebene und am 23.11.2021 im Bundesanzeiger veröffentlichte Änderung am Infektionsschutzgesetz entgegenwirken.

Dies soll unter anderem durch die Einführung einer gesetzlichen Grundlage für 3G am Arbeitsplatz geschehen.

Rechtsgrundlage

Nach den datenschutzrechtlichen Regelungen gilt das Verbot mit Erlaubnisvorbehalt. Das heißt, dass jede Datenverarbeitung unzulässig ist, es sei denn es gibt eine gesetzliche Grundlage oder die betroffene Person willigt ein. Die Verarbeitung von Gesundheitsdaten, wozu der G-Status gehört, (geimpft, genesen oder getestet) ist nach der Systematik der DSGVO unerwünscht.

Obwohl der Artikel 9 Absatz 2 b DSGVO nach seinem Wortlaut die Verarbeitung sensibler Daten zur Erfüllung arbeitsrechtlicher Pflichten (z.B. die Gesundheit der Beschäftigten) dem Anschein nach zulässig ist, handelt es sich nur um eine sogenannte Öffnungsklausel, die es unter anderem dem deutschen Gesetzgeber erlaubt Rechtsgrundlagen zur Verarbeitung sensibler Daten schaffen.

Eine solche Rechtsgrundlage ist der § 26 Absatz 3 BDSG i.V.m mit dem neu geschaffenen § 28 b Absatz 1 Infektionsschutzgesetz (IfSG).

Der § 28 b IfSG verpflichtet nun  den Arbeitgeber zu Einführung und Überwachung der 3-G Regeln am Arbeitsplatz.

„Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten….. wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des ……. sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne …..mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben“.

Dem Arbeitgeber wird jetzt mit dieser Vorschrift ein Nachfragerecht bzgl. von 3-G-Nachweisen seiner Arbeitnehmer eingeräumt. Dies war vor dem § 28 b IfSG  nur unter sehr eingeschränkten Voraussetzungen möglich. Wollte man als Arbeitgeber nun wissen, ob die Beschäftigten geimpft, genesen oder getestet sind, so konnte man dies nur bewerkstelligen, indem man eine Einwilligung einholte.

(Eine Erläuterung zu dieser Problematik finden Sie in unserem Artikel unter der Überschrift „Dürfen Arbeitgeber den Impfstatus abfragen?“ https://www.gindat.de/news/detail///impfstatus.html )

Fraglich ist jetzt, ob der neue § 28 b IfSG die versprochen Abhilfe geschaffen hat.

Problem: Fragerecht

Leider ist der genaue Umfang der Rechte des Arbeitgebers bzgl. eines Nachfragerechts auch in der neuen Vorschrift nicht genau geregelt. So wird ein ausdrückliches Fragerecht in Bezug auf den Impfstatus seiner Arbeitnehmer dem Arbeitgeber auch weiterhin nicht zugesprochen.

Er muss die Einhaltung der 3-G Regeln anordnen und überprüfen, in welcher Form und im welchen Umfang dies zu erfolgen hat, lässt sich aus dem Gesetzestext nicht schließen.

Nach dem Wortlaut darf er personenbezogene Daten wie den Namen und das Vorliegen eines gültigen 3-G Nachweises abfragen und dokumentieren.

Bei Erfüllung der Nachweispflicht ist der datenschutzrechtliche Grundsatz der Datenminimierung (Ar. 5 Absatz 1 c DSGVO) zu beachten. Datenminimierung bedeutet, dass unter der Maßgabe gehandelt werden soll, nur so viele Daten zu verarbeiten, wie für den jeweiligen Zweck vonnöten sind. Für die Zutrittskontrolle reicht es unter diesem Gesichtspunkt aus, dass Arbeitgeber nachprüfbare Prozesse etabliert haben, auf welche Weise täglich der 3G-Status der Beschäftigten geprüft werden kann. So erfolgt auch keine Differenzierung zwischen Geimpften und Ungeimpften, die zur Ausgrenzung und Diskriminierung Ungeimpfter führen könnte. Ein möglicher Check-in kann z.B per Corona-Warn-App oder CovPassCheck App erfolgen, die Apps speichern keine Informationen ab, sondern verifizieren nur die Gültigkeit des QR Codes und das Vorliegen eines der 3 G’s.

Möchte der Arbeitgeber dagegen den Impf- oder Genesenenstatus speichern, ist das nicht mehr erforderlich, um die Pflicht aus dem § 28 Absatz 1 b Infektionsschutzgesetz zu erfüllen, da ein milderes datenschutzfreundliches Mittel zur Verfügung steht. Unerheblich ist dabei, dass der § 28 b IfSG es als zulässig erachtet, dass sogar der Impfnachweis hinterlegt werden kann. Denn durch das tägliche Kontrollieren ist es möglich, sowohl der Pflicht aus dem Infektionsschutzgesetz nachzukommen und die rechtlichen Regelungen des Datenschutzes zu beachten. Möchte man dennoch den Impf- oder Genesenenstatus speichern, so ist das nur mit einer Einwilligung nach Artikel 9 Absatz 2 DSGVO, § 26 Absatz 2 BDSG möglich.

(Eine Textvorlage bzgl. einer Einwilligung zum Abspeichern von Daten bzgl. der 3 –G Regel finden Sie unter MyGindat unter Punkt 31.).

Eine Abspeicherung der Daten sollte zumindest bis zum 19.03.2022 erfolgen, um nötigenfalls einer Nachweispflicht nachkommen zu können.

Technische und organisatorische Maßnahmen

Zusätzlich hat der Arbeitgeber geeignete technische und organisatorische Maßnahmen zu ergreifen (vgl. § 22 Absatz 2 BDSG). Das bedeutet insbesondere, dass der Arbeitgeber sicherstellen muss, dass unbefugte Personen keinen Einblick in den Impf- oder Genesenenstatus erhalten. Welche Maßnahmen zu ergreifen sind, hängt in erster Linie davon ab, wie die 3-G Kontrolle umgesetzt wird.

Bei der täglichen Kontrolle ist nur eine Person einzusetzen, die den G-Status prüft. Die Prüfung sollte entweder mittels Abhackens auf einer Liste erfolgen, aus der jedoch nicht hervorgeht, ob die Person geimpft, genesen oder getestet ist, oder durch eine App, die den Status nur prüft und nicht speichert (z.B. CovPassCheck App, Corona-Warn-App). Die Liste ist täglich datenschutzkonform zu entsorgen.

Entscheidet sich der Arbeitgeber dafür den G – Status zu speichern, so ist zu beachten, dass erhöhte Risiken für die Beschäftigten bestehen, weshalb andere Maßnahmen zu ergreifen sind (z. B. Verschlüsselung, Berichtigungskonzept, Löschkonzept, Pseudonymisierung).

Fazit

Leider bleibt die Änderung des Infektionsschutzgesetzes aus datenschutzrechtlicher Sicht hinter den Erwartungen zurück.

So wird dem Arbeitgeber zwar eine Pflicht zur Einführung und Überprüfung der 3-G-Regel auferlegt, jedoch nicht geregelt, wie er denn dieser Pflicht nachzukommen hat und im welchen Umfang ihm dafür Ansprüche zustehen.

So wird z.B. lediglich auf die Möglichkeit der Hinterlegung der Impf- oder Genesenennachweise verwiesen.

Eine Pflicht des Arbeitnehmers, seine Nachweise bei seinem Arbeitgeber zu hinterlegen, geht daraus jedoch nicht hervor.

Daher wären auch explizite Regelungen zum Datenschutz wünschenswert gewesen.

So lässt sich eine Schweigepflicht der kontrollierenden Personen gerade gegenüber dem Arbeitgeber nicht aus den Vorschriften entnehmen.

Auch wären Vorschriften für Pseudonymisierungsmaßnahmen hilfreich und wünschenswert gewesen.

Die Abfrage des G-Status ist dennoch begrüßenswert und ein Schritt in die richtige Richtung. Dennoch sind die datenschutzrechtlichen Stolperfallen zu beachten. Bei der datenschutzkonformen Umsetzung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Marc Gennat ( Diplomjurist)

Entwicklungskosten für Covpass-App verfünffacht

Die Kosten für die Entwicklung des digitalen Impfnachweises, auch bekannt als Covpass-App, wurde ursprünglich auf 2,7 Millionen Euro angesetzt. Zuständig waren die Firmen IBM, Bechtle und Ubrich. Mittlerweile beträgt die von der Regierung ausgegebene Summe rund 15,4 Millionen.

Nicht zuletzt die verzögerte Herausgabe der europäischen Vorgaben trieben die Kosten in die Höhe, aber auch die zusätzlichen Entwicklungsleistungen „im Sinne einer agilen Softwareentwicklung und aufgrund der Ergebnisse der Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie dem Bundesamt für die Sicherheit in der Informationstechnik“. Die Anforderungen beinhalteten, dass die App sich mit Programmen von Arztpraxen und einem Callcenter für Bürgeranfragen verknüpft, sowie ein Genesenenzertifikat integriert werden kann.

Zusätzlich wurden 50 Cent an die IBM für jedes ausgestellte Impfzertifikat gezahlt – eine stolze Summe, in Anbetracht von 23,5 Millionen Downloads und 114 Millionen verabreichten Impfungen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/schluessel-zur-generierung-von-impfzertifikaten-wurden-gestohlen-18190

Datenschutz per Fax

Derzeit wird vermehrt diskutiert, ob das Fax noch datenschutzkonform eingesetzt werden kann.

Insbesondere die Datenschutzbehörden in Bremen und Hessen sehen den Einsatz des Fax als kritisch ein.
(https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/zur-%C3%BCbermittlung-personenbezogener-daten-per-fax,
https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen-und-handlungshilfen/telefax-ist-nicht-datenschutz-konform-161119)

Die Behörden gehen davon aus, dass in vielen Fällen durch Nutzung von Faxgeräten der datenschutzrechtliche Grundsatz der Vertraulichkeit nicht mehr gewahrt werden kann.

Rechtliche Anforderungen
Die Vertraulichkeit stellt einen der wichtigsten Grundsätze in der DSGVO dar. Darunter versteht man, dass personenbezogene Daten nur von denjenigen eingesehen werden dürfen, die auch dazu berechtigt sind (Artikel 5 Absatz 1 f DSGVO). Die für die Datenverarbeitung verantwortliche Stelle (z.B. Unternehmen, Verein, Behörde) hat sicherzustellen, dass die Vertraulichkeit der Daten durch angemessene Maßnahmen auch gewährleistet wird (Artikel 5 Absatz 1 f DSGVO, Artikel 32 DSGVO).

Die Vertraulichkeit muss auch bei der Übertragung von Daten sichergestellt werden, z.B. beim Versand einer E-Mail, per Post. Oder eben auch per Fax.

Beim Versand von Daten per Fax kann die Vertraulichkeit z.B. in den folgenden Fällen verletzt werden:

  • Es wird versehentlich die falsche Zielfaxnummer eingegeben, sodass die Daten bei einer unbefugten Person landen.
  • Eine unbefugte Person nimmt Einsicht in die übermittelten Daten per Fax, da jeder Zugang zu dem Empfängergerät hat, was der Absender nicht wissen kann.

Technik
Das Fax galt früher als besonders datenschutzkonforme Methode, da die Daten über die Telefonleitung Ende-zu-Ende- übermittelt wurden. Das ist heute in der Regel nicht mehr der Fall, da die meisten Faxgeräte auf Internet-Technologie beruhen.

Die hessische Datenschutzbehörde stellt das Problem wie folgt dar:

Technologische Weiterentwicklungen im Bereich der Übertragungstechnik haben dazu geführt, dass seit einiger Zeit überwiegend die sogenannte Paketvermittlung als Grundlage der Datenübertragung auch beim Fax zum Einsatz kommt. Dabei werden die zu übertragenden Daten mittels des TCP/IP-Standards auf sogenannte „Pakete“ aufgeteilt und über eine Vielzahl von Verbindungen zwischen mehreren vermittelnden Punkten zwischen den Endstellen übertragen. Die genutzten Verbindungen und Punkte sind dabei – im Gegensatz zur früheren Leitungsvermittlung – nicht für die beiden Endstellen reserviert. Heutzutage ist es denkbar, dass die beteiligten Zwischenpunkte weltweit verteilt sind und von verschiedensten staatlichen oder privaten Akteuren betrieben werden. Diese Akteure haben hierbei grundsätzlich die Möglichkeit, auf die von ihnen vermittelten Pakete Zugriff zu nehmen. Dies wird insbesondere dann problematisch, wenn die beiden Endstellen die von ihnen versandten Pakete nicht verschlüsseln. Eine solche kommt üblicherweise nicht zum Einsatz.

Mit „nicht verschlüsselt“ meint die Behörde wohl, dass der Versand nicht Ende-zu-Ende-verschlüsselt erfolgt, da die sogenannte Transportverschlüsselung auch beim Fax zum Standard gehört.

Unter Transportverschlüsselung versteht man das unverschlüsselte Senden von Daten über einen verschlüsselten Kanal. Bei der Ende-zu-Ende- Verschlüsselung wird dagegen auch der Inhalt verschlüsselt, sodass nur der Berechtigte den Inhalt entschlüsseln und lesen kann.

Anforderungen an die Sicherheit
Wie beim Versand einer E-Mail müssen auch beim Fax geeignete Maßnahmen getroffen werden, um das Risiko zu minimieren, dass unbefugte Personen den Inhalt einsehen können. Es kommt dabei auf die Art der Daten an, die verschickt werden sollen.

Soweit keine sensiblen personenbezogenen Daten (z.B. Bankdaten, Finanzinformationen) oder personenbezogene Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten, politische Meinungen, religiöse Ansichten) an den Empfänger übermittelt werden oder andere sensible Daten (z.B.  personenbezogene Daten zu Schulden, Pfändungen, Höhe des Einkommens, Sozialleistungen), reicht die Transportverschlüsselung aus. Diese bietet einen Basisschutz und gilt als Mindestanforderung zur Sicherung der Vertraulichkeit personenbezogener Daten und sensibler Informationen.

Bei der Versendung von sensiblen Daten ist zusätzlich eine Inhaltsverschlüsselung (Ende-zu-Ende-Verschlüsselung) nach Art. 32 DSGVO verpflichtend, um das Risiko zu minimieren, dass eine unbefugte Person mitliest. Man kann als Absender jedoch nicht sicher sein, dass die Daten auch inhaltlich verschlüsselt ankommen, da man in der Regel nicht weiß, welche Technik der Empfänger nutzt und ob diese auch kompatibel ist.

Alternativen
Bei Versand von sensiblen Daten gelten der postalische Versand und die inhaltlich verschlüsselte Mail als datenschutzkonform. Besteht man dennoch auf die Nutzung des Fax, sollte man auf Ende-zu-Ende-Verschlüsselung setzen und mit dem Absender absprechen, ob eine geeignete und mit der eigenen Technik kompatible Verschlüsselung eingesetzt wird.

In bestimmten Situationen kann auch der Versand nicht inhaltlich verschlüsselter sensibler Daten per Fax rechtskonform sein, wenn es besonders wichtig und dringend ist, dass der Empfänger die Informationen enthält und keine geeignete Alternative zur Verfügung steht.

Auch das Fax kann noch datenschutzkonform eingesetzt werden, wenn die erforderlichen Verschlüsselungsmethoden eingesetzt werden.

Max Macht (Volljurist)

Schlüssel zur Generierung von Impfzertifikaten wurden gestohlen

Zurzeit werden sogenannte Green Passes – also COVID-19-Impfpässe – vielerorts benötigt, um beispielsweise zu Flügen, Restaurants oder Museen Eintritt erhalten zu können.

Laut Giampaolo Dedola vom Sicherheitsunternehmen Kaspersky werden für den Green Pass nötige Schlüssel allerdings von Cyberkriminellen gestohlen. Ebenjene damit generierten QR-Codes werden von offiziellen Apps als gültig eingestuft, selbst wenn der Code wie in einem demonstrativen Beispiel auf Adolf Hitler ausgestellt ist.

Das es somit nicht möglich ist, legitime und gefälschte Green Passes voneinander zu unterscheiden, zeigt den enormen Bedarf von Sicherheitsmaßnamen auf, die Infrastruktur vor Angriffen aus dem Cyberspace zu schützen.
Ein Widerrufen von Zertifikatsschlüsseln ist zwar denkbar, aber nicht ohne Konsequenzen für Sicherheit und Gesellschaft möglich.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/schluessel-zur-generierung-von-impfzertifikaten-wurden-gestohlen-18190

Innenministerium muss Twitter-DMs nicht herausgeben

Nachdem die Organisation FragdenStaat im Namen der Informationsfreiheit das Bundesministerium auf eine Herausgabe von Twitter-Nachrichten von 2016 bis 2018 verklagt hat, ist mittlerweile das Urteil beschlossen.

Während ursprünglich vom Verwaltungsgericht Berlin geurteilt wurde, dass Twitter-Nachrichten amtliche Informationen im Sinne des Gesetzes darstellten und somit herausgegeben werden müssen, wurde nach einer Revision das Bundesverwaltungsgericht eingeschaltet.
Argumentiert wurde u.a., dass Twitter ein informeller Kanal sei und das eine Veraktung von privaten Nachrichten einen hohen Verwaltungsaufwand bedeuten würde.

Beschlossen ist nun, dass Twitter-Direktnachrichten nicht transparent in Akten festgehalten werden müssen, wenn diese „aufgrund ihrer geringfügigen inhaltlichen Relevanz keinen Anlass geben, einen Verwaltungsvorgang anzulegen“. Gleichzeitig ist eine Transparenzpflicht „nicht grundsätzlich ausgeschlossen“.
Demnach müssten private Nachrichten nur herausgegeben werden, wenn das Ministerium sie als inhaltlich relevant betrachtet. In der Tat ist angesichts dieser Regelung zu befürchten, dass, so Arne Semsrott von FragdenStaat, „Behörden künftig alle möglichen wichtigen Informationen als nicht relevant einstufen, um sie dann nicht herausgeben zu müssen.“

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/informationsfreiheit-innenministerium-muss-twitter-dms-nicht-herausgeben/

Bundesverwaltungsgericht entscheidet, ob Ministerium Twitter-Direktnachrichten rausgeben muss

Dürfen Ministerien auch Kommunikation herausgeben, die auf privaten Plattformen wie Facebook, Twitter oder WhatsApp stattgefunden hat? Das verhandelt das Bundesverwaltungsgericht Leipzig am 28. Oktober im Rahmen der Klage der Informationsfreiheitsorganisation FragDenStaat. Erwartet wird ein Grundsatzurteil, an dem sich in Zukunft auch andere Behörden orientieren müssen, was insgesamt mehr Transparenz bedeuten würde.

Kommunikation von Mitarbeitern in Ministerien, die über private Kanäle stattfand, musste bislang nie in Akten festgehalten werden und war infolgedessen nicht für die allgemeine Bevölkerung einsehbar. Unter der Voraussetzung, dass sie amtliche Informationen enthält, soll nach dem Urteil auch eine SMS oder eine WhatsApp-Nachricht herausgegeben werden.
Die grundlegende Frage, die bei dem Urteil im Raum steht, ist, ob amtliche Informationen an die Öffentlichkeit gebracht werden müssen, wenn sie in Akten oder auch in anderer Form auf den bereits erwähnten privaten Plattformen vorliegen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/informationsfreiheit-bundesverwaltungsgericht-entscheidet-ob-ministerium-twitter-direktnachrichten-rausgeben-muss/

Fertigung muss im Bereich der Datensicherheit nachbessern

Varonis Systems veröffentlichte den neuen Datenrisiko-Report für den Produktionssektor. Insgesamt wurden dabei 4 Milliarden Daten von 50 Firmen im Bereich der Produktion aus Deutschland, Frankreich, England, den USA und anderen Ländern auf Sensibilität und Sicherheit analysiert.
Dort zeigt sich die Angreifbarkeit von Fertigungsfirmen gegenüber gezielten Cyberangriffen, etwa mittels Ransomware.

  • Zugriffsrechte sind zu weit gefasst.
    Laut Report hat ein Mitarbeiter im Schnitt Zugang zu etwa etwa 6 Millionen Dateien bzw. 16% des Datenbestandes eines Unternehmens – davon etwa 27000 sensible Daten.
    Je weiter die Zugriffsrechte eines einzelnen Nutzers reichen, desto größer ist der Schaden im Falle einer Kompromittierung. Begrenzt man die Zugriffsrechte jedes Mitarbeiters auf das nötigste, begrenzt man auch den potenziellen Schaden.
  • Nutzerkonten und -daten werden nicht gelöscht, obwohl sie nicht mehr benötigt werden. 
    Gerade bei Unternehmen im Bereich der Fertigung werden viele sensible/wertvolle Daten gelagert. 78% aller gelagerten Dateien werden nicht mehr genutzt, steigern also das Risiko und bieten Cyberkriminellen ideale Einstiegspunkte, um sich im System des Unternehmens unbemerkt zu bewegen. 44% der Unternehmen haben über 1000 ungenutzte Konten.
  • Passwörter unterliegen keiner zeitlichen Beschränkung.
    Laut Report verwenden 56% der Firmen mehr als 500 unbefristete Passwörter. Kommen diese in die Hände von Hackern, steht ihnen unbegrenzt Zeit zur Verfügung, um einen Angriff durchzuführen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/fertigung-muss-im-bereich-der-datensicherheit-nachbessern-18168

So wird die Produktivität am Arbeitsplatz überwacht

Infolge der Corona-Pandemie boomte das Homeoffice. Ebenso erlebt Software zur Überwachung der Mitarbeiter einen Aufschwung. Microsoft liefert dabei ein besonders einschneidendes Produkt in Form des „Productivity Score“.
 
Es handelt sich dabei um ein Softwareprogramm für Unternehmen von kleiner bis mittelständiger Größe. Diese sammelt Daten von anderen Microsoft-Produkten, einschließlich Word, Excel, PowerPoint, Skype, Teams und OneNote, um einen Punktestand für die Produktivität eines Unternehmens zu ermitteln und mit anderen Betrieben von ähnlicher Größe zu vergleichen.
Der Punktestand wird in 8 Kategorien unterteilt und setzt sich aus umfassenden Bewertungen von Mitarbeitern und deren Gewohnheiten (etwa, wie lange der Chat genutzt oder wie oft E-Mails abgerufen werden).

Diese individuellen Daten können nur von Administratoren eingesehen werden. Als Kategorie „Mitarbeitererfahrung“ kann die Erhebung dieser Daten auch deaktiviert werden – sie stellen dennoch einen potenziellen Einschnitt in die Privatsphäre bzw. das Persönlichkeitsrecht der Mitarbeiter dar.
 
Es darf darüber hinaus auch infrage gestellt werden, ob mit dem Productivity Score nicht zusätzliche Abhängigkeit zu Microsoft geschaffen werden, denn die Software bewertet auch, wie viele andere Microsoft-Produkte von den Mitarbeitern eingesetzt werden.
Statista zufolge ist Microsoft mit 85% ohnehin bereits die deutschlandweit am häufigsten genutzte Bürosoftware.

Laut Microsoft sei der Productivity Score nicht zur Überwachung der Mitarbeiter gedacht, sondern soll Firmen helfen, die eigene Leistung zu optimieren. Diese Aussage stößt jedoch auf Kritik von Datenschützern.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/microsoft-365-so-ueberwachen-chefs-eure-produktivitaet-am-arbeitsplatz/?utm_source=pocket-newtab-global-de-DE

Nutzung von Google-Diensten an einer von 7 Schulen verboten

Laut einem Beschluss der Bezirksregierung Arnsberg darf ein Gymnasium in Dortmund Google Education, eine Lernplattform von Google, seit August nicht mehr nutzen.

Die Lernplattform, eine Cloud-Version von Googles Office-Umgebung, welche speziell auf Schulen angepasst ist, wurde von besagtem Gymnasium 2020 eingeführt, als die Coronapandemie den Distanzunterricht erforderlich machte.
Nachdem Eltern Datenschutzbedenken äußerten, wurde die Bezirksregierung hinzugezogen und der Einsatz der G-Suite untersagt.
Dabei handele es sich jedoch um eine Einzelfallsituation, denn diese Weisung gilt gegenwärtig für keine andere der (mindestens sieben) Schulen in Dortmund.

Dies macht deutlich, dass beim Datenschutz nicht ausreichend durchgegriffen wird. Für Plattformen wie Google Education mangelt es dabei nicht einmal an einer Alternative, da den Schulen die landesweite Lernplattform „Logineo“ zu Verfügung steht.

Weitere Informationen finden Sie unter:
https://www.golem.de/news/dortmund-nutzung-von-google-diensten-an-einer-von-7-schulen-verboten-2109-159792.html

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Im „SANS 2021 Top New Attacks and Threat Reports“ stellt das SANS Institute die aktuell entscheidendsten Bedrohungen aus der Cyberwelt vor.

Phishing in allen Formen (Spear Phishing, Business E-Mail Compromise, etc.) steht dabei an oberster Stelle, auch wenn Ransomware zunehmend mehr Unternehmen trifft und Supply-Chain-Attacken öfter in der Berichterstattung zu finden sind.

Laut John Pescatore, SANS Instructor und Autor der Studie, nehmen erfolgreiche Hackerangriffe auf Unternehmen zu, weil es für IT-Fachleute tendentiel schwerer wird, wirkungsvollen Schutz vor Angreifern zu etablieren. Dies begründet er mit den schnelllebigen Innovationszyklen der IT und der Arbeitswelt allgemein.
Denn bei der Entwicklung neuer Technologien stehen in der Regel Geschwindigkeit, Rentabilität und Nutzerfreundlichkeit im Vordergrund, nicht die Sicherheit. Unternehmen sind meist nicht gewillt, diese Technologien erst zu übernehmen, wenn die Sicherheit ausgereift ist, da sie in der Zwischenzeit einen Marktvorsprung einbüßen. Diese mangelnde Sicherheit der neuen Technologien wird wiederum von Hackern, Kriminellen und böswilligen Staaten ausgenutzt.

Folgende Sicherheitstipps werden vom SANS Institute empfohlen:

  • Wiederverwendbare Passwörter sollten durch mehrstufige Authentifizierung ersetzt werden.
  • Grundlegende Sicherheitshygiene, einschließlich Konfigurationsmanagement und rechtzeitiges Patchen, sollte eingehalten werden.
  • Netzwerke und Anwendungen sollten segmentiert und Privilegien minimiert werden.
  • Purple Teaming sollte regelmäßig genutzt werden, um Bedrohungen frühzeitig zu erkennen.
  • Nachrichtendienstliche Informationen sollten genau und zeitnah zur Verfügung gestellt werden.
  • Sicherheit sollte in alle Geräte und Workloads integriert werden, um große Sprünge beim Schutz von Endgeräten und Cloud-Systemen zu unterstützen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/cyberbedrohungen-2021-phishing-und-identitaetsdiebstahl-am-wichtigsten-18142