Monat: Juli 2022

Laut einer Umfrage von Delinea sehen Experten aktuell die größten Sicherheitsprobleme in der Cloud-Sicherheit. In der Umfrage wurden auch zahlreiche Fachleute zu ihren Sicherheitspraktiken befragt.

Da Unternehmen immer mehr Teile ihrer Infrastruktur auf die Cloud auslagern (und, entsprechend abhängiger von der Cloud sind), rückt der Schutz selbiger auch stärker in den Vordergrund. Zugriffe auf die Cloud müssen begrenzt und entsprechend gesichert werden.

Das Resümee ist dennoch ein positives, denn 80 Prozent der befragten Unternehmen gaben an, in den letzten 12 Monaten keinen Cyberangriff mehr erlebt zu haben.
Zurückzuführen dürfte das auf die Cyberhygiene-Praktiken der einzelnen Mitarbeiter sein. Hier wird zum Großteil angegeben, dass Passwörter nicht kontoübergreifend eingesetzt werden (59 %) und, wo möglich, Multifaktor-Authentifizierung beim Einloggen in kritische Systeme genutzt wird (66 %).

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/cloud-security-ist-hauptsorge-der-sicherheitsexperten-18510

Auch die GINDAT, hat von den scheinbar massenhaften E-Mails erfahren, in denen „besorgte Bürger“ oder Personen mit „gut gemeinten Ratschlägen“ Schadenersatzansprüche nach Art. 82 DSGVO als Privatperson geltend machen möchten.
Wir möchten Sie hiermit darüber informieren und zeitgleich vor den Mails warnen.

Zum Inhalt des Schreibens:
Besagte Personen möchten gerne Schadenersatz geltend machen, häufig in Höhe von 100,00 EUR. Als Grund dazu, dass die Webseite des Adressaten, den Drittanbieter „Google Fonts“ dynamisch eingebunden hat, wodurch bei Aufruf der Webseite automatisch und ohne Zustimmung des Besuchers eine Verbindung mit den Servern von Google hergestellt wird.
Mit Angaben, wie die Url Ihrer Homepage und die Angabe der eigenen IP-Adresse, sieht dieses Schreiben – zumindest augenscheinlich – für manche Empfänger vielleicht glaubhaft und am Ende auch etwas beängstigend aus. Zumal auch ein Urteil vom Landgericht München (Urteil v. 20.01.2022, Az. 3 O 17493/20) angegeben wird.
Scheinbar möchten sich besagte Personen dieses Urteil zu Nutzen machen und haben die Zeit und Lust, eine Abmahnwelle im eigenen Namen ins Rollen zu bringen.

Falls Sie ebenfalls ein solches Schreiben erhalten haben, sollten Sie es zwar nicht komplett ignorieren, jedoch empfehlen wir nicht den verlangten Betrag zu zahlen.

Google Fonts sollte natürlich lokal eingebunden werden, jedoch kann unserer Ansicht nicht ohne Umschweife ein Schadensersatzanspruch angenommen werden, wenn dies mal nicht der Fall ist.
Sollten Sie dies bzgl. Hilfe benötigen, können sie sich natürlich auch gerne an uns wenden.

Anbei haben wir Ihnen ein Massen-Schreiben angehängt, welches wir natürlich Datenschutz-konform geschwärzt haben. Die Schreiben, von denen die GINDAT bisher erfahren hat, sind vom Inhalt nahezu identisch.

Eine derartige Abmahnwelle, einer anderen Person, mit dem Betreff der Mail „Datenschutzverstoß, Unterlassung, Auskunft“, wird ebenfalls aktuell versendet.

Hier wird wieder die Webseite kritisiert, dass diese den Dienst „Google Fonts“, „Google Analytics“ oder „Typekit“ mit einbindet. Der Absender verlangt hier, dass die Einbindung ohne Einwilligung zu unterlassen ist und zudem möchte er auch noch, dass der Betreiber der Webseite eine Unterlassungserklärung unterschrieben zurück sendet. Diese sendet er „freundlicherweise“ direkt mit im Anhang, unter dem PDF „Auseinandersetzung“. Sollte man dieser, nach Unterzeichnung nicht nachkommen, so verlangt er einen Betrag in Höhe von 3.000,- EUR.

Bitte unterzeichnen Sie keinesfalls die beigefügte Unterlassungserklärung. Sollten Sie dahingehend weitere Unterstützung benötigen, melden Sie sich gerne bei uns per E-Mail oder telefonisch.

Surfen im Internet: Schnell und einfach soll es sein, wenn uns nicht immer wieder diese nervigen Cookie-Banner den Weg versperren. Hier werden wir nach einer evtl. Einwilligung gebeten, denn die Webseite verarbeitet und speichert während unseres Besuches allerhand Daten. Ohne den eigenständigen Klick auf „Akzeptieren“ / „Ablehnen“, wird uns der Weg auf die Webseite verwehrt.

Da uns diese Banner täglich im Netz begegnen, ist es sicherlich für eine Mehrheit von uns so, dass wir uns gar nicht mehr durchlesen, was denn überhaupt in den Cookie-Einstellungen voreingestellt ist. So wählen wir den für uns – meistens – einfachsten Weg – der Klick auf „Akzeptieren“.

In den Einstellungen des Cookie-Banners, dürfen jedoch nur die technisch notwendige Cookies aktiv voreingestellt sein. Alles andere, bedarf einer weiteren, aktiven Einwilligung durch uns Webseitenbesuchern. Daher sollte man bei fremden Webseiten einen kurzen Blick in die Einstellungen werfen und nicht gewünschtes deaktivieren.

I don’t care – mir ist es egal

Wem also diese lästigen Popups auch auf den Keks gehen, für den kann das Add-on „I don’t care about cookies“ sehr nützlich sein. Hier muss man sich aber im Klaren darüber sein, wie das Tool arbeitet.

Denn: Die Browser-Erweiterung versucht die Cookie-Banner in erster Linie von allen Webseiten zu entfernen oder zu verstecken. Ist dies jedoch nicht möglich, so akzeptiert das Add-on die Cookie-Richtlinie automatisch. Hier kann es dann auch dazu kommen, dass nicht nur die technisch notwendigen Cookies, sondern auch Cookies aller Art, akzeptiert werden.
Wer sich auch da weiterhin sagt – „I don’t care“ –  für den lohnt es sich, das Tool zu nutzen.

Das Add-on gibt es u.a. für Firefox, Chrome, Edge und Opera.
Das Tool wird einfach und schnell über die Webseite https://www.i-dont-care-about-cookies.eu/de für den jeweiligen Browser heruntergeladen. Das Add-on installiert sich von alleine und erscheint, wie in unserem Beispiel, unter Microsoft Edge oben rechts in der Statusleiste, in Form eines Cookies.

Ist das Add-on installiert, so ist es bereit zum Einsatz und verbergt die Cookie-Popups, bzw. stimmt automatisch der Cookie-Richtlinie zu, ohne dass wir davon etwas bemerken. Sollte es hier doch einmal dazu kommen, dass ein Cookie-Banner den Weg zu uns findet, dann lässt sich die Webseite bei dem Entwickler melden.

Indem man auf das Cookie-Icon klickt, haben wir die Möglichkeit, bestimmte Webseiten zu whitelisten, d.h. dass das Tool für diese Webseiten deaktiviert wird und wir den Banner angezeigt bekommen, um so unsere eigene Einwilligung geben zu können.

Die Whitelist lässt sich entweder für die aktive Webseite erstellen, oder auch manuell, unter dem Punkt „Einstellungen“:

In unserem Beispiel, würden wir nun weiterhin den Cookie-Banner unserer Webseite www.gindat.de eingeblendet bekommen.

Ein kurzer Test hat gezeigt, dass tatsächlich die Cookie-Banner geblockt werden, bzw. wir diese nicht mehr angezeigt bekommen. Der Besuch von Webseiten gestaltet sich angenehmer, der Klick bleibt uns erspart. Nur ist auch dieses Tool mit einer gewissen Vorsicht zu genießen, wenn man die Kontrolle über seine Privatsphäre im WWW nicht komplett aus der Hand geben möchte.

Messenger wie WhatsApp, Signal und Telegram müssen Nachrichten untereinander austauschen können – diese Interoperabilität wurde vom Europaparlament über das Digitale-Märkte-Gesetz 2021 beschlossen.

Ziel des Beschlusses war es, „das Internet aufzuräumen und digitale Monopole zu bekämpfen„. Der Teil des Beschlusses, dass Messenger interoperabel funktionieren müssen, stieß bereits zuvor auf Kritik, denn man muss sich am kleinsten gemeinsamen Nenner orientieren, um einer solchen Verpflichtung nachzukommen. Das dürfte sich negativ sowohl auf Innovation wie auch auf Datensicherheit auswirken.

Die Betreiber von Signal erklären dazu: „Die Zusammenarbeit mit iMessage und WhatsApp würde letztendlich die Privatsphäre von Signal und seinen Benutzern verschlechtern.“
Nicht alle Apps haben dieselben Datenschutzstandarts. So nutzt Signal etwa eine Ende-zu-Ende-Verschlüsselung, welche von Facebook Messenger nur optional und bei Telegram begrenzt zur Verfügung steht.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dma-signal-sieht-in-interoperabilitaet-gefahr-fuer-die-sicherheit-2207-166744.html

Die Arbeitsumgebung von Mitarbeitern wird zunehmend dezentraler, wodurch die Bedeutung einer cybersicheren Belegschaft und engagierter Sicherheitskultur wichtiger den je ist.

Das SANS-Institut hat in ihrem jährlichen Security Awareness Report Daten von mehr als 1000 Experten ausgewertet.

Die wichtigsten Ergebnisse:

• Es werden zu viele Mitarbeiter (über 69%) zu Fachleuten für Security Awareness gemacht, die zwar technisches Wissen aber zu wenig Kenntnisse in der Thematik haben bzw. dieses Wissen nicht vermitteln können.
• Die häufigste Herausforderung ist Zeitmangel, wodurch Awareness-Programme nicht angemessen vermittelt und/oder umgesetzt werden können.
• Gerade im Rahmen der Pandemie war das größte Problem, dass Cyberangriffe durch abgelenktes und überfordertes Personal begünstigt wurden.

Die wichtigsten Tipps:

• Generell sollten nicht einfach nur Regeln aufgestellt und deren Einhaltung durchgesetzt werden. Es muss auch ein Verständnis vermittelt werden, warum Schritte mit welcher Priorität durchzuführen sind.
• Es sollte klar dokumentiert werden, wie viele Mitarbeiter im Sicherheitsteam für welche Aufgabe (z. B. Konzentration auf Technologie oder menschliches Risiko) benötigt werden und ggf. andere Abteilungen mit einbeziehen.
• Mindestens einmal im Monat sollte eine Schulung oder eine vergleichbare Kommunikation stattfinden, um die Mitarbeiter in das Thema Sicherheit zu integrieren.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/der-menschliche-risikofaktor-bleibt-die-groesste-bedrohung-fuer-die-cybersicherheit-von-unternehmen-18511

In der japanischen Stadt Amagasaki hat ein Mann nach einer durchzechten Nacht einen USB-Stick verloren.
Der um die 40-jährige Mitarbeiter eines Unternehmens, das steuerbefreite Haushalte mit Leistungen versorgt, hatte zum Feierabend die persönlichen Daten der gesamten Einwohner Amagasakis auf den Stick kopiert, bevor er mit Arbeitskollegen trinken ging.

Der USB-Stick enthielt streng vertrauliche Informationen von beinahe einer halben Millionen Menschen, einschließlich Namen, Geburtsdaten und Adressen, sowie Steuerdetails, Kontonummern und Angaben zum Empfang von Sozialhilfe.

Die gute Nachricht ist, dass die Daten des USB-Sticks verschlüsselt und passwortgeschützt waren wodurch ein tatsächlicher Missbrauch der Daten scheinbar unterbunden wurde.
Eine Entschuldigung von Bürgermeister und Behörden gab es dennoch.

Weitere Informationen finden Sie hier:
https://www.bbc.com/news/world-asia-61921222

„Die Datenverarbeitung beim Betrieb einer solchen Seite ist rechtswidrig“, so der hessische Datenschutzbeauftragte Alexander Roßnagel über den Facebook-Auftritt der Landesregierung. Aufgrund von Facebooks mangelhaften Datenschutzes sollen die Auftritte der Landes- und Bundesregierung jetzt deaktiviert werden.
Roßnagel verweist dabei auf einen Beschluss des Oberverwaltungsgerichts von Schleswig-Holstein, die im Betreiben einer Facebook-Fanpage (für Land oder Bund) einen „schwerwiegenden datenschutzrechtlichen Verstoß“ sieht.

Facebook sammelt das Surfverhalten der Nutzer zu Profilen zusammen, um anschließend gezielt Werbung zu schalten.

Hier steht die Pflicht zum Informieren der Pflicht zum Datenschutz gegenüber. Als Alternative schlägt Roßnagel vor, die existierende Internetseite hessen.de weiter auszubauen sowie eine neue Präsenz auf der (datenschutzkonformen) Alternativ-Plattform Mastodon aufzubauen.