Grafik

 

Blossey & Partner

Schloss Dürrwangen
Hauptstraße 3
91602 Dürrwangen

Großraum Berlin
Berliner Straße 9
06886 Wittenberg

Telefon:
+49 98 56 - 92 19 991
Kontakt | Impressum | Datenschutz

 

 


© Blossey & Partner Datenschutzberatung

Grafik

Datenschutz - Nachrichten 45. Kalenderwoche 2013

.

Fehlende Sicherungsmaßnahmen in Unternehmen
Aufgedeckte Datenschutzpannen, Enthüllungen über US-Spähprogramme zeigen wie sich die Risiken für Unternehmen auswirken können. Oftmals sind die Sicherheitslücken im eigenen Unternehmen zu suchen. In dieser Woche geriet laut Medienberichten ein Unternehmen mit einer massiven Datenpanne in die Schlagzeilen. Per Newsletter waren vertrauliche Kundendaten versandt worden. Private Kundenadressen, Telefonnummern, einschließlich einer detaillierten Auflistung welche Kundin welches Kleid zu welchem Preis gekauft hat, sowie die interne Preiskalkulation des Unternehmens, wurde scheinbar für die Newsletter-Abonnenten einsehbar.
Solch eine Datenpanne zeigt, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente nicht an die Öffentlichkeit gelangen. Abhilfe schafft eine Sensibilisierung des Personals und sorgt für den Schutz personenbezogener und unternehmenssensibler Daten.
Auch sind die Gefahren durch einen Angriff auf das Firmennetzwerk des Unternehmens nicht zu unterschätzen. Geübte Hacker durchbrechen sämtliche Sicherheitsmechanismen und sind in der Lage durch diese Sabotagemöglichkeit betriebsinterne Informationen abzufischen. Als Beispiel: In dieser Woche berichteten die Medien, dass ein Pay-TV-Sender scheinbar Opfer eines Daten-Diebstahls geworden ist. Sensible Kundendaten (Adressen und Kontonummern von Kunden des Bezahlsenders) wurden entwendet und scheinbar finden schon Betrugsversuche mit diesen geklauten Nutzerdaten statt.
Geschäftsinformationen sind in IT-Systemen oft unzureichend geschützt und die Gefahr von Datenklau wird selten ernst genommen. Netzwerke von Firmen trifft es genauso wie die von Behörden.
-ck-

Kundendaten per Newsletter versandt
Textil Wirtschaft online - "Datenpanne bei Talbot Runhof"
http://www.textilwirtschaft.de/business/Datenpanne-bei-Talbot-Runhof_88967.html?utm_source=RSS&utm_medium=RSS-Feed

Aufsichtsbehörde eingeschaltet
Heise online – "Datenleck bei Sky: Betrüger nutzen bereits Kundendaten"
http://www.heise.de/newsticker/meldung/Datenleck-bei-Sky-Betrueger-
nutzen-bereits-Kundendaten-2041336.html

Datenbank entwendet
DiePresse.com. - "Rotes Kreuz Salzburg: Angst um Daten nach Hackerangriff"
http://diepresse.com/home/techscience/internet/sicherheit/1471855/Rotes-Kreuz-Salzburg_Angst-um-Daten-nach-Hackerangriff?from=gl.home_panorama

Wirtschaftskriminalität

Frankfurter Allgemeine online – "Studie: Cyberattacken kosten börsennotierte Firmen Milliarden"
http://www.faz.net/aktuell/finanzen/aktien/studie-cyberattacken-kosten-
boersennotierte-firmen-milliarden-12645390.html

Personaldaten verkauft?
Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz - "Presseartikel: Illegaler Datenhandel bei der Debeka?"
http://www.datenschutz.rlp.de/de/presseartikel.php?pm=pm2013110401

Ernste Sicherheitslücken

Heise online – "Viele Finanzämter mit unsicheren Websites"
http://www.heise.de/newsticker/meldung/Viele-Finanzaemter
-mit-unsicheren-Websites-2039317.html




Nachrichtenticker:

Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "BadBIOS – Ein neuer Superschädling?"
http://www.ceilers-news.de/serendipity/413-BadBIOS-Ein-neuer-Superschaedling.html

2. Sicherheitsrisiko Router-Zwang
Welt online – "Internet-Zugang: Routerzwang – was dürfen DSL-Provider?"
http://www.welt.de/wirtschaft/webwelt/article121604472/Routerzwang-
was-duerfen-DSL-Provider.html

3. Angriff auf Betriebssystem

Unternehmen Heute.de – "Smartphones: Android-Trojaner stiehlt Finanzdaten"
http://unternehmen-heute.de/news.php?newsid=202473



Datenschutz - Nachrichten 46. Kalenderwoche 2013

.

Kriminalpolizei warnt vor neuer Betrugsmasche
Mit Anrufen von einer angeblichen Bankmitarbeiterin versuchen dreiste Betrüger an das Geld von Internetbanking-Kunden zu gelangen. Eine Frau aus Nürnberg vertraute auf einen Anruf einer angeblichen Bankmitarbeiterin und führte ein "Konto-Update" mittels EC-Karte und TAN-Generator durch. Nach der Testüberweisung musste sie feststellen, dass sie durch diese betrügerische Masche über 7.000 € von ihrem Konto auf eine ausländisches Bankkonto verloren hatte.
Die Kriminalpolizei warnt vor dieser neuen Masche und rät zur Vorsicht. Bankkunden sollten in jedem Fall bei Ungereimtheiten zum Konto den Sachverhalt immer persönlich mit der entsprechenden Bank oder Sparkasse klären. Denn Banken führen weder telefonisch Konto – Updates durch, noch werden Testüberweisungen angefordert.
-ck-

Nürnberger Kriminalpolizei warnt vor Konto-Update
Radio 8 online – "Betrug per Telefon"
http://www.radio8.de/nc/nachrichten/details/artikel/betrug-per-telefon.html

Bargeld erbeutet
Radio 8 online – "Dreiste Manipulation"
http://www.radio8.de/nc/nachrichten/details/artikel/dreiste-manipulation.html




Ausgereiftes Sicherheitsmanagement
Als erstes Bundesland schließt Rheinland–Pfalz eine Verbindung mit T-Systems für Cloud-Dienstleistungen ab. Vertraglich wurde festgelegt, dass sämtliche Daten die Bundesrepublik nicht verlassen dürfen und somit den strengeren deutschen Datenschutzbestimmungen unterliegen. Kriminelle Angriffe auf die Cloud-Plattform werden durch die ausgeklügelte Sicherheitsarchitektur blockiert, demzufolge ist ein hohes Maß an Datensicherheit gewährleistet, zudem können alle gespeicherten Daten im Falle eines Verlustes, durch ein durchdachtes Backup-System hinter der Cloud-Plattform, wiederhergestellt werden.
Im selben Zeitraum ist das EU-Projekt „Cloud for Europe“ gestartet. Ziel des Projektes ist eine vertrauenswürdige Nutzung von Cloud Computing im öffentlichen Sektor zu entwickeln und zu testen. 22 Partner aus zehn europäischen Staaten haben sich an dem Projekt beteiligt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das Fraunhofer Institut Fokus beteiligt sich für Deutschland mit an diesem Projekt.
Der Bundesdatenschutzbeauftragte Peter Schaar bewertete schon seit Mitte dieses Jahres Cloud Computing als nicht sicher und warnte: "Sensible Daten gehören nicht in die Cloud"
-ck-

Neue Prioritäten zum Schutz sensibler Daten
Silicon.de - "Rheinland-Pfalz verwendet T-Systems für Cloud Computing"
http://www.silicon.de/41591883/rheinland-pfalz-verwendet-
t-systems-fuer-cloud-computing/

Daten in der Wolke
Golem.de - "NSA-Skandal Projekt "Cloud for Europe" gestartet"
http://www.golem.de/news/nsa-skandal-projekt-cloud-for-
europe-gestartet-1311-102764.html

Sicheres Cloud Computing?
Cloudcomputing-insider.de - "Bundeswirtschaftsministerium startet Pilotprojekt: Datenschutz-Zertifizierung von Cloud-Diensten"
http://www.cloudcomputing-insider.de/sicherheit/recht-und-datenschutz/articles/424817/

Strenger Datenschutz gleich Wettbewerbsvorteil
News Republic - "Europas IT profitiert von NSA-Skandal"
http://www.news-republic.com/Web/ArticleWeb.aspx?regionid=9&articleid=15390383




Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Ist BadBIOS möglich? Teil 1: – Die Infektion des BIOS?"
http://www.ceilers-news.de/serendipity/416-Ist-BadBIOS-moeglich-
Teil-1-Die-Infektion-des-BIOS.html

2. Großangelegter Cyber-Angriff

Spiegel online - "Snowden-Dokumente: Britischer Geheimdienst greift über gefälschte LinkedIn-Seiten an"
http://www.spiegel.de/netzwelt/netzpolitik/britischer-gchq-nutzt-
gefaelschte-linkedin-seiten-a-932714.html

3. Windows Schwachstellen ermöglicht Angreifer sämtliche Systemrechte
Heise online - "Zero-Day-Lücke im Internet Explorer für Angriffe ausgenutzt"
http://www.heise.de/newsticker/meldung/Zero-Day-Luecke-im-Internet-
Explorer-fuer-Angriffe-ausgenutzt-2043329.html

4. Neuen Trojaner wird nicht von allen Virenscannern erkannt

Computerbetrug.de - "Fax von 04589016238: Neuer Trojaner tarnt sich als Textnachricht"
http://www.computerbetrug.de/2013/11/fax-von-04589016238-
neuer-trojaner-tarnt-sich-als-textnachricht-7994



Datenschutz - Nachrichten 47. Kalenderwoche 2013

.

SEPA-Umstellung: Herausforderung für Unternehmen und Betrüger
Ab 1. Februar 2014 dürfen Unternehmen oder Vereine den Zahlungsverkehr per Überweisungen, Lastschriften nicht mehr im bisherigen Format mit Kontonummer und Bankleitzahl tätigen, sondern nur noch das europaweit einheitlichen Euro- Zahlungssystem SEPA (Single Euro Payments Area) verwenden. Die bisher verwendeten nationalen Kontonummern und Bankleitzahlen wurden durch einheitliche Formate ersetzt. Die IBAN wurde als neue europäische Kontonummer eingeführt und anstelle der bisherigen Bankleitzahlen die BIC (Bank Identifier Code = internationale Bankleitzahl).
Durch die Umstellung des Zahlungsverkehrs auf das SEPA-Verfahren können zum Beispiel Bankgeschäfte ins Ausland günstiger und binnen eines Arbeitstages abgewickelt sowie Lastschriften auch grenzüberschreitend eingezogen werden. Laut einer Umfrage der Fachhochschule des Mittelstands (FHM) sowie das "PwC SEPA Readiness Thermometer" scheinen viele deutsche Unternehmen noch nicht auf das europäische Zahlungssystem SEPA vorbereitet zu sein. Die Umfrage ergab, dass Notfallpläne zur Vermeidung einer technischen Zahlungsunfähigkeit in den meisten Unternehmen nicht vorhanden sind, somit könnten Aussetzer im europaweiten Zahlungsverkehr entstehen.
Während Unternehmen die Umstellung auf den neuen Zahlungsverkehr vornehmen, versuchen Internetbetrüger durch Phishing-Mails oder über gefälschte Seiten mit Trojaner und Viren ihren Nutzen aus dieser Umstellung zu ziehen. Der Bundesverband deutscher Banken (BdB) warnt vor dieser neuen Betrugsmasche und rät zu besonderer Vorsicht im Umgang mit Kontodaten.
-ck-

Bankenverband warnt
Finance.jahoo.com – "E-Mails von Betrügern zur SEPA-Umstellung: dpa"
http://de.finance.yahoo.com/nachrichten/e-mails-von-betr-gern-
zur-sepa-umstellung-113323265--finance.html

Betrüger nutzen SEPA-Umstellung
Spiegel online - "Phishing-Mails: Banken warnen vor Betrug bei Sepa-Umstellung"
http://www.spiegel.de/wirtschaft/service/banken-warnen-vor-betrug-bei-sepa-
umstellung-a-934538.html

Chaos bei Umstellung

Welt online – "Umfrage: Mittelstand nicht auf Sepa-Umstellung vorbereitet"
http://www.welt.de/newsticker/dpa_nt/infoline_nt/wirtschaft_nt/
article122121695/Mittelstand-nicht-auf-Sepa-Umstellung-vorbereitet.html

Unternehmen nicht vorbereitet?

Handelsblatt – "Geldverkehr: Mittelstand bei SEPA-Überweisungen konzeptlos"
http://www.handelsblatt.com/unternehmen/mittelstand/geldverkehr
-mittelstand-bei-sepa-ueberweisungen-konzeptlos/9108020.html

Anforderungen für Unternehmen

Deutsche Bundesbank - "Sepa für Unternehmen und Handel"
https://www.sepadeutschland.de/sepa-fuer-unternehmen-und-handel




Datenskandale im Unternehmen
Durch medienwirksame Enthüllungen von Datenskandalen hat sich das Bewusstsein in Unternehmen und der Bevölkerung für den Datenschutz gestärkt, doch nach wie vor fehlt in vielen Firmen eine effektive Datenschutzkultur. Oft weist die IT-Infrastruktur Mängel auf oder die Arbeitnehmer sind im Umgang mit personenbezogenen Daten nicht sensibilisiert. In dieser Woche gerieten laut Medienberichten die Heidelberger Stadtwerke mit vertauschten Kundendaten und das Jobcenter Mansfeld-Südharz mit einer Namensverwechselung in den Negativ-Schlagzeilen.
Solche massiven Datenpannen sorgen nicht nur für allgemeine Entrüstung und Besorgnis um die persönlichen Daten der Bevölkerung, schlimmer sind die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können. Nicht nur große, auch kleine, sowie mittelständische Unternehmen und Behörden unterschätzen in der Regel die realen Gefahren im Umgang mit ihren Daten. Dabei lässt sich das Risiko einer Datenpanne oft mit einfachen Mitteln auf ein Minimum senken.
-ck-

Kundendaten vertauscht

Rhein-Necker-Zeitung – "Datenpanne bei den Heidelberger Stadtwerken"
http://www.rnz.de/heidelberg/00_20131122060030_109366377_
Datenpanne_bei_den_Heidelberger_Stadtwerken.html

Namensverwechslung durch falschen Datensatz

mz.web.de - "Jobcenter Mansfeld-Südharz: Sangerhäuserin hat Ärger mit Datenpanne"
http://www.mz-web.de/sangerhausen/jobcenter-mansfeld-suedharz-sangerhaeuserin-hat-aerger-mit-datenpanne,20641084,25081532.html

Datensätze entwendet
Heise online - "Hacker entwenden Benutzerdaten bei vBulletin.com"
http://www.heise.de/security/meldung/Hacker-entwenden-Benutzerdaten-bei-vBulletin-com-2048182.html




Nachrichtenticker:

Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit

Carsten Eilers - "Ist BadBIOS möglich? Teil 2 – USB-Manipulation"
http://www.ceilers-news.de/serendipity/420-Ist-BadBIOS-moeglich
-Teil-2-USB-Manipulationen.html

2. Automatische Kennzeichenüberprüfung
Heise online – "Bayern verteidigt Kfz-Kennzeichen-Scanning"
http://www.heise.de/newsticker/meldung/Bayern-verteidigt-Kfz-Kennzeichen-Scanning-2050276.html



Datenschutz - Nachrichten 48. Kalenderwoche 2013

.

Gerichtsurteil: Unternehmen dürfen Pässe weder kopieren noch speichern
Um den Transport seiner Autos zu überwachen hatte ein Unternehmen aus dem Landkreis Diepholz die Ausweise der Fahrer von den Spediteuren eingescannt. Der Landesdatenschutzbeauftragte Joachim Wahlbrink hatte daraufhin die Unternehmerin aufgefordert, die bisher gespeicherten Daten zu löschen und das Scannen einzustellen. Die Unternehmerin hatte dagegen geklagt.
Jetzt hat das Verwaltungsgericht Hannover am vergangenen Donnerstag entschieden, das Unternehmen den Personalausweis zum Beispiel von Kunden, Personal, oder Lieferanten nicht einscannen oder kopieren dürfen. Das unbeschränkte erfassen der Daten sei unzulässig, denn einmal erfasste Daten könnten leicht missbräuchlich verwendet werden, so die Begründung der Richter (Urt. v. 28.11.2013, AZ: 10 A 5342/11).
Gleichzeitig hat das Verwaltungsgericht eine Berufung gegen das Urteil abgelehnt.
-ck-

Kopieren der Pässe nicht zulässig
Op-online.de - "Urteil gegen Datenmissbrauch: Firma darf Personalausweise von Kunden nicht einscannen"
http://www.op-online.de/nachrichten/wirtschaft/urteil-firmen-duerfen-personalausweis
-kunden-nicht-einscannen-zr-3245329.html

Kopieren verboten
Ferner-alsdorf.de – "Datenschutz: Personalausweise dürfen nicht gescannt, kopiert und gespeichert werden"
http://www.ferner-alsdorf.de/2013/11/datenschutz-personalausweise-duerfen-
nicht-gescannt-kopiert-und-gespeichert-werden/




Nachholbedarf in Punkto IT-Sicherheit
Cyber-Angriffe betreffen weltweit mehr als die Hälfte der kleinen und mittelständischen Unternehmen - so das Ergebnis einer Studie des Symantecs Internet Security Reports. Beispiel: IT-Sicherheit der geschäftlichen Rechner oder die eigenen Firmenwebsites – in den meisten Betrieben bestehen oft gravierende Sicherheitslücken. Das Bundesministerium für Wirtschaft und Technologie stärkt den Einsatz für mehr IT-Sicherheit und fördert die Initiative-S im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ um kleinen und mittelständischen Unternehmen unterstützende Hilfe im Bereich IT-Sicherheit zu bieten. Mit einem kostenlosen Webseiten-Check können Unternehmen überprüfen, ob über ihren Internetseiten Schadprogramme verteilt werden, zudem unterstützen Experten die Unternehmen auch telefonisch bei der Beseitigung von Schadprogrammen.
-ck-

IT-Sicherheit für den Mittelstand

Verband der deutschen Internetwirtschaft e. V. – "eco: Handwerker sind im Internet stärker gefährdet als gedacht"
http://www.eco.de/2013/pressemeldungen/eco-handwerker-sind-im-internet-staerker-gefaehrdet-als-gedacht.html

Schützenswerte Informationstechnik

Bundesministerium für Wirtschaft und Technologie - "Task - Force "IT-Sicherheit in der Wirtschaft""
http://www.it-sicherheit-in-der-wirtschaft.de/IT-Sicherheit/Navigation/task-force.html

Unternehmen stark gefährdet

Heise online – "Befragung: Handwerksbetriebe wiegen sich in falscher IT-Sicherheit"
http://www.heise.de/newsticker/meldung/Befragung-Handwerksbetriebe-wiegen
-sich-in-falscher-IT-Sicherheit-2056008.html

Angst vor möglichen Imageschäden
Universität Lichtenstein online – "Social Media kein Erfolgsfaktor für KMU"
http://www.uni.li/Universit%C3%A4t/Medien/tabid/1522/articleType/ArticleView/articleId/2198/Social-Media-kein-Erfolgsfaktor-fur-KMU.aspx?articleType=ArticleView&articleId=2198




Datendiebstahl
Die Netzkriminalität nimmt zu und es entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen, sowie für Privatnutzer. Zu einem der größten Einfallstore für Schädlinge gehören immer noch die E-Mails. Per Phishing - Mails versuchen Online-Kriminelle unerfahrenen Usern einen Trojaner unterzujubeln.
Ob ein angeblicher Datenabgleich bei der Sparkasse Günzburg-Krumbach, oder versuchte Abzocke bei der Postbank anhand der SEPA (Single Euro Payments Area) Umstellung, die Absicht ist immer die Gleiche: Diese Absender solcher fingierten Spam-Mails haben es immer auf die hochsensiblen Kontodaten wie Kreditkartennummer und dem dazugehörigen Sicherheitscode des Users abgesehen.
Um glaubhaft zu wirken, sind der Betreff und Text der Nachricht mit der Adresse des Empfängers versehen. Oft geben sich die Urheber der Spam-Mails mit gefälschten Namen, kopierten Logos und Websites als seriöse Unternehmen oder Kreditinstitute aus. Solche Nachrichten wirken auf den ersten Blick absolut authentisch und versetzen verständlicherweise so manchen Nutzer in Angst und Schrecken, damit dieser leichtfertig Formulare ausfüllt oder den Anhang öffnet. Doch im Anhang befindet sich meist eine virenverseuchte Datei und diese ist brandgefährlich. Die darin verborgenen Computer-Schädlinge sind so genannte Downloader. Schadsoftware, die es den Computerkriminellen erleichtert den PC nach sensiblen Daten wie zum Beispiel PINs und TANs zu durchsuchen.
Solche E-Mails sollten sofort ungelesen gelöscht und auf keinen Fall darf der Dateianhang geöffnet oder leichtfertig ein Formular mit Zugangsdaten wie Passwörtern oder TAN Nummern ausgefüllt werden. Zudem sollte jeder User die Sicherheitssoftware (Virenscanner) immer auf den neusten Stand halten.
-ck-

Warnung vor Online-Betrug
Augsburger Allgemeine – "Landkreis Günzburg: Sparkasse warnt vor Phishing-Mails: Betrüger wollen Bankkonten Plündern"
http://www.augsburger-allgemeine.de/guenzburg/Sparkasse-warnt-vor-Phishing-Mails-id27843752.html

Druck mit vermeintlichen Kosten erzeugt?

ht4u.net – "Postbank warnt vor SEPA-Phishing"
http://ht4u.net/news/28654_postbank_warnt_vor_sepa-phishing/

Gefälschte Bank-Webseiten

Banktip.de – "Weiter Phishing bei SEPA"
http://www.banktip.de/News/28497/weiter-phishing-bei-sepa.html

Betrügerische Webseiten - Mails erkennen
schwäbische.de – "Landeskriminalamt gibt Tipps zum Schutz vor Phishing"
http://www.schwaebische.de/region/bodensee/lindau/stadtnachrichten-lindau_artikel,-Landeskriminalamt-gibt-Tipps-zum-Schutz-vor-
Phishing-_arid,5540167.html




Nachrichtenticker:

Weitere Nachrichten im Kurzüberblick

1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Ist BadBIOS möglich? Teil 3 – Angriffe auf mehrere Systeme und mehr"
http://www.ceilers-news.de/serendipity/422-Ist-BadBIOS-moeglich-Teil-3-Angriffe-auf-mehrere-Systeme-und-mehr.html

2. Auffällige Zugriffsberechtigungen
Netzwelt online – "Facebook 4.0 - Neue Android-App liest SMS und MMS aus"
http://www.netzwelt.de/news/110751-facebook-4-0-neue-android-app-liest-sms-mms.html