Archive for März, 2021

Achtung: Cyberangriff auf Microsoft Exchange Server

Posted by Erich von Maurnböck

Haben Sie einen Microsoft Exchange Server in Verwendung? Falls ja – dann sind Sie möglicherweise von einem schweren Hackerangriff betroffen! Wir haben für Sie in diesem Beitrag die wichtigsten Facts und Tipps zur Sofortumsetzung zusammengefasst.

Sicherheitslücken im Microsoft Exchange Server

Schwerwiegende IT-Sicherheitslücken im Microsoft Exchange Server haben dazu geführt, dass der Dienst für Cyberkriminelle besonders attraktiv geworden ist. Microsoft stellte zwar vor Kurzem Updates, in der IT-Sprache als Patches bezeichnet, zur Verfügung, mit denen die Lücken geschlossen werden können, der Exchange Server war jedoch bereits zuvor im hohen Maß zur Zielscheibe von Hackern geworden. Drei der Sicherheitslücken wurden mit dem Bedrohungsgrad „kritisch“ bewertet.

Betroffene der Angriffe auf den Microsoft Exchange Server

Microsoft bietet Administratoren die Möglichkeit, anhand eines PowerShell-Skripts zu überprüfen, ob es bereits zu einem Angriff auf einen Exchange Server gekommen ist. Das Skript sucht dabei nach typischen Angriffsmerkmalen.
Zu den Opfern des Cyberangriffs zählt neben einigen Organisationen weltweit auch die europäische Bankenaufsichtsbehörde „European Banking Authority (EBA)“.
Eine genau Anzahl an Opfern kann kaum festgestellt werden, fest steht jedoch, dass die Zahlen laufend steigen. Alleine in Deutschland sind bereits zehntausende Systeme betroffen.

Mögliche Schäden durch die Angriffe auf den Microsoft Exchange Server

Da der Microsoft Exchange Server der zentralen Ablage, Verwaltung und Organisation von Emails, Kontakten, Aufgaben, Terminen sowie anderen Diensten dient, wird für Hacker eine große Angriffsfläche aufbereitet, die durch die Großzahl an dort gespeicherten Daten schwere Schäden für Betroffene mit sich bringen kann. Schließlich können anhand der gehackten Dienste personenbezogene Daten Dritten zugänglich gemacht und missbraucht werden.

Microsoft Exchange Server Patchen

Um sicher zu stellen, dass Ihr Microsoft Exchange Server nicht (mehr) angegriffen werden kann, und falls Sie dies noch nicht erledigt haben, sollten Sie unbedingt sofort patchen! Das bedeutet, die wichtigen Sicherheitsupdates von Microsoft downzuloaden und umzusetzen. Mit der Installationen der Updates bzw. Patches können Administratoren die Server vor (weiteren) Cyberangriffen schützen.

Datenpannen-Meldepflicht nach Microsoft Exchange Server Hack?

Zu den Meldepflichten in Bezug auf Datenpannen haben wir in unserem Blog schon mehrmals berichtet, zum Beispiel in diesem Beitrag. In diesem Fall herrscht jedoch bei den Datenschutzbehörden Unklarheit darüber, ob die Vorfälle gemeldet werden müssen. Aus einigen Entscheidungen in den letzten Jahren seit Inkrafttreten der DSGVO verstehen wir aber, dass die Voraussetzungen für eine verpflichtende Meldung einer Datenpanne recht gering sind. So kann bereits ein einziges, falsch adressiertes Email zu einer Datenschutzverletzung werden, die der zuständigen Datenschutzbehörde gemeldet werden muss.
Die Datenschutzbehörden appellieren an die Nutzer von Exchange Servern, anhand des beschriebenen PowerShell-Skripts zu überprüfen, ob sie von den Angriffen betroffen sind, und die zur Verfügung gestellten Sicherheitsupdates unverzüglich zu installieren.
Kann bereits ein eindeutiger, nachweisbarer Angriff bzw. Zugriff auf personenbezogenen Daten nachgewiesen werden, so muss dieser gemäß Artikel 33 DSGVO gemeldet werden.

Unsere Praxistipps

 

ePrivacy-Verordnung: Land in Sicht?

Posted by Erich von Maurnböck

Bereits seit vier Jahren wird an der ePrivacy-Verordnung, die eigentlich gleichzeitig mit der DSGVO in Kraft treten sollte, gefeilt. Nun soll nach langem Hin und Her endlich eine Lösung in Aussicht sein, die allerdings schon jetzt heftig kritisiert wird. In diesem Beitrag haben wir für Sie die wichtigsten Informationen dazu zusammengefasst.

Problematik der ePrivacy-Verordnung

Wieso hat es so lange gedauert, bis nun schließlich eine Einigung über die ePrivacy-Verordnung in Aussicht ist?
Einen besonderen Diskussionspunkt stellten einige praxisbezogene Punkte zum Thema Cookies dar. Aus diesem Grund konnte in den vergangene Jahren keine Mehrheit für diverse Entwürfe erzielt werden. Nun ist dies aufgrund einer Kombination mehrerer Vorschläge endlich gelungen.

Der Entwurf der neuen ePrivacy-Verordnung

Im vorgelegten Entwurf wird beschrieben, dass eine Speicherung von Daten zur Verteidigung der öffentlichen Sicherheit sinnvoll sein kann. Dies entspricht einer aktuellen Entscheidung des EuGH.

Ebenso achtet die Verordnung darauf, Kommunikationsdaten und gespeicherte Endnutzer-Informationen rechtskonform und datenschutzsicher – also im Sinne der DSGVO – zu verarbeiten und weiterzugeben.

Der aktuelle Entwurf sieht vor, dass Daten unter bestimmten Voraussetzungen auch zu anderen als den vorgesehenen Zwecken verarbeitet werden dürfen. Davon sind jedoch alle Verarbeitungen ausgeschlossen, die auf Einwilligungen basieren. Auch dieser Punkt der neuen Verordnung steht in Einklang mit der DSGVO.

Die Möglichkeit, Cookie-Paywalls zu implementieren, wird ebenso in der ePrivacy-Verordnung festgehalten. Hierbei ist jedoch zu beachten, dass Usern die Wahl ermöglicht wird, den gewünschten Dienst auch ohne Cookies zu beziehen. Ebenso müssen am Markt auch Alternativen zu dem jeweiligen Dienst zur Verfügung stehen.

Kritik an der neuen ePrivacy-Verordnung

Eines ist jedoch sicher – wo etwas Neues verkündet wird, lässt Kritik nicht lange auf sich warten.

Besonders Datenschützer sehen im vorgelegten ePrivacy-Entwurf eine Verringerung der durch die DSGVO gewährleisteten Datensicherheit. Diese Besorgnis bezieht sich zum einen auf die Wiedereinführung der Vorratsdatenspeicherung und zum anderen auf die Überlegungen bezüglich der Überwachung von Plattformen. Vor dem Begriff der Vorratsdatenspeicherung fürchten sich viele, obwohl eine solche grundsätzlich harmlos ist. Im Grunde geht es dabei bloß darum, dass Strafverfolgungsbehörden auf Internet- und Telefonkommunikations(meta)daten zugreifen können, die private Anbieter zu diesem Zweck auf Vorrat bereithalten müssen. Beispiele dafür wären, die Bekämpfung von Terrorismus oder Kinderpornographie.

Auch die erwähnte Überwachung von Plattformen bezieht sich lediglich, beispielsweise, auf Uploadfilter im Sinne des Schutzes von Personen. 

Ebenso kritisiert wird die Erlaubnis der Pay or OK“-Cookie-Paywalls.

Hierzu muss allerdings erwähnt werden, dass einige Kritikpunkte häufig aus dem Kontext gerissen wurden und dass der Entwurf sämtliche Entscheidungen und Richtlinien der europäischen Datenschutzbehörden respektiert.

Unser Fazit

Mit der ePrivacy-Verordnung kann endlich ein sinnvoller rechtlicher Rahmen für den Einsatz von Cookies sowie für die Verarbeitung von elektronischen Kommunikationsdaten geschaffen werden. Bis der Entwurf endgültig abgesegnet wird und die Verordnung tatsächlich in Kraft treten kann, liegt wohl noch ein langer Weg vor uns, der vor allem viele rechtliche Schritte beinhaltet.

Wann wir uns also schlussendlich auf die ePrivacy-Verordnung verlassen können, bleibt offen. Wir halten Sie jedoch selbstverständlich am Laufenden.

IT-Sicherheit im Homeoffice

Posted by Erich von Maurnböck

Die Arbeit im Homeoffice stellt meist eine gute Möglichkeit dar, den Beruf weiter auszuüben und dabei zur Eindämmung der Coronavirus-Verbreitung beizutragen. Wobei natürlich die Kombination Homeoffice mit anwesenden Kindern ein besonderer Balanceakt ist – Hut ab vor allen, die das nervlich gut durchhalten! Studien haben schon gezeigt: Im Homeoffice arbeitet man produktiver, die Arbeitgebenden müssen nur Vertrauen aufbringen.

Herausforderungen für die Arbeitgebenden im Homeoffice

Für Arbeitgebende stellt das Arbeiten lassen im Homeoffice jedoch auch eine Herausforderung dar, die einige technische und datenschutzrechtliche Risiken birgt. Wird zuhause gearbeitet, verlieren die Arbeitgebenden die unmittelbare Kontrolle über Daten und IT. Zudem haben unberechtigte Personen, auch Mitbewohner oder Familienmitglieder genannt, leichter Zugriff auf vertrauliche Dokumente und Informationen. Was muss also besonders beachtet werden, um im Homeoffice Sicherheit gewährleisten zu können?

Häufig werden die Endgeräte vom Arbeitgebenden zur Verfügung gestellt. Auf diese Weise können zumindest einige technische Vorkehrungen getroffen werden, um technischen Datenschutz zu gewährleisten. Die Mitarbeitenden müssen sicherstellen, dass die Mitbewohner das Gerät nicht benützen und auch nicht auf Firmendaten zugreifen.

Etwas komplizierter ist es, wenn eigene Endgeräte benutzt werden. Hier helfen nur Vorgaben wie beispielsweise, dass nur über VPN auf die Firmennetzwerke zugegriffen werden darf und die Mitbewohner KEINESFALLS die Passwörter erfahren dürfen.

Homeoffice-Vereinbarungen

Einen wichtigen Baustein zur Homeoffice-Arbeit stellen dafür entworfene Vereinbarungen dar. Dadurch werden die Beschäftigten zur Einhaltung spezieller technischer und organisatorischer Maßnahmen verpflichtet – dies schützt den Dienstgebenden einerseits, aber auch den Dienstnehmenden. Nur wenn ich weiß, wie ich mich verhalten soll, kann ich entspannt zuhause arbeiten.

Unsere Praxistipps

 

Das Auskunftsbegehren: So ist es rechtskonform!

Posted by Birgit von Maurnböck

Seit Inkraftreten der DSGVO vor mittlerweile beinahe drei Jahren erhalten Unternehmen eine Vielzahl an Anfragen von betroffenen Personen mit dem Wortlaut: Welche Daten haben Sie von mir in Verarbeitung? Wissen alle Personen in Ihrem Unternehmen Bescheid, wie auf eine solche Anfrage zu antworten ist?

Entscheidung über Auskunftsbegehren

In Deutschland gab es dazu im letzten Jahr eine wichtige und sehr relevante Entscheidung über das Auskunftsbegehren: Die Behörde äußerte, dass nicht nur die Datenquelle mitgeteilt, sondern zusätzlich auch angegeben werden muss, wann und mit welchem genauen Inhalt, personenbezogene Daten aus einer Quelle übermittelt werden.

Das ist besonders dann ein Thema, wenn man Daten nicht von der betroffenen Person direkt bekommt, sondern durch einen Dritten (Vermittler, Berater, Makler und ähnliches).  

Auskunftsbegehren: Das muss man laut DSGVO bekanntgeben

  1. Verarbeitungszwecke,
  2. Kategorien personenbezogener Daten, die verarbeitet werden,
  3. Empfänger oder Kategorien von Empfängern,
  4. Speicherdauer,
  5. Hinweis auf die Betroffenenrechte: Berichtigung, Löschung, Einschränkung, Widerspruch,
  6. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  7. Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, werden alle verfügbaren Informationen über die Herkunft der Daten gebraucht,
  8. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
  9. Geeignete Garantien bei Datenübermittlung in ein Drittland und
  10. Kopie der personenbezogenen Daten (Kopien dürfen aber die Rechte und Freiheiten anderer Personen nicht beeinträchtigen).

So weitreichend, wie die Behörde in ihrer Entscheidung, war die DSGVO davor nicht auszulegen. Die Nennung der Quelle hätte aus unserer Sicht ausreichen sollen. Nachdem sich die Behörden aller Länder an den Urteilen ihrer Kollegen EU-weit orientieren, ist also noch größere Sorgfalt und Detaillierung bei der Beantwortung in Zukunft geboten.

Unsere Praxistipps