Alle Beiträge von admin

Gericht verbietet Einsatz von Like-Button. HUBIT hat eine Alternative

die Alternativ zum Like-Button
die Alternativ zum Like-Button

Datensammler Facebook und Co. – auch über die eigenen Seiten hinaus

Wissen wir eigentlich, wie Facebook so funktioniert? Klar, inzwischen navigieren wir uns alle relativ firm durch unsere Chronik, kommentieren, teilen und liken verschiede Beiträge. Nur so funktioniert Facebook, nur so macht es – auf eine zugegeben noch immer etwas beunruhigende Art – Spaß. Facebook und andere Social-Media-Kanäle gehören inzwischen so sehr zu der Online-Welt dazu, dass „Like“-Buttons auch auf anderen Webseiten eingebunden werden. Aber was passiert eigentlich, wenn wir dann auf „Like“ klicken? Innerhalb Facebooks wird das Surfverhalten der Nutzer analysiert. Auf Webseiten anderer Unternehmen sammelt Facebook, wir haben es bereits vermutet, ebenfalls Nutzerdaten. Und zwar bereits beim Aufrufen dieser Seiten – nicht erst dann, wenn es tatsächlich zu einem „Like“ kommt!

<h2>Problematisch: Datenweitergabe ohne ausdrückliche Zustimmung</h2>

Problematisch ist diese Situation deshalb, weil die Besucher einer Webseite der Weitergabe ihrer Daten an Social-Media-Kanäle nicht ausdrücklich zugestimmt haben, und oft nicht einmal davon wissen: Oder war Ihnen bewusst, dass beispielsweise sogar Ihre IP-Adresse, Ihr Betriebssystem, die Spracheinstellungen sowie der von Ihnen genutzte Browser und viele weitere Daten automatisch an Facebook übermittelt werden? Keine schöne Vorstellung, da wir ja wiederum wissen, dass wir eben nicht wissen, was Facebook mit den Daten so anstellt.

Verbraucherschutzzentrale NRW gegen „Peel & Cloppenburg“

Die Verbraucherzentrale NRW hat sich schließlich dieser Sache angenommen und insgesamt sechs Unternehmen angemahnt. Diese haben die Social-Media-Plugins auf Ihren jeweiligen Webseiten integriert, jedoch nicht darauf hingewiesen, dass die Nutzerdaten an die jeweiligen Anbieter übertragen werden. Gegen „Peek & Cloppenburg“ hat die Verbraucherzentrale außerdem Klage eingereicht – mit Erfolg! Das Landgericht Düsseldorf hat nämlich weitgehend für die Kläger entschieden. Unternehmen müssen nun diese Datenübertragung offenlegen. Auf Facebook verweisen und sich aus der Verantwortung zu ziehen, gilt nun nicht mehr. Im Falle „Peek & Cloppenburg“ können Nutzer jetzt auf der Webseite des Modeunternehmens die Social-Media-Dienste selbst aktivieren und damit bewusst der Weitergabe der Daten zustimmen.

<h2>Sicheres liken und teilen mit dem Datenschutz-Plugin von HUBIT!</h2>

Wer weiterhin Social-Media-Plugins auf seinen Webseiten anbieten möchte, den stetigen Datenaustausch mit Facebook und Co. aber nicht wünscht, sollte auf sichere Datenschutz-Plugins von HUBIT setzen. Dank des Plugins wird statt des „Like“-Buttons eine Ersatzgrafik dargestellt. Erst bei einem Klick auf diese Grafik werden die Inhalte der Social-Media-Kanäle geladen. Und erst dann werden die Daten an Facebook, Google+ oder Twitter übermittelt. Eine einfache Lösung für alle Seiten – und aus datenschutzrechtlicher Sicht wirklich sicher! Interessiert? Weitere Informationen finden sich unter http://www.mit-sicherheit-teilen.de.

 

Fiese Masche: Verschlüsselungstrojaner versteckt in Bewerber-E-Mails

Bewerbungen mit TrojanerEigentlich halten wir uns doch alle für relativ fähig, was die digitalen Herausforderungen unserer heutigen Zeit so angeht. Wir fallen nicht mehr auf jede Hoax-Nachricht bei Facebook herein, lassen uns nicht von einer Spam-Mail davon überzeugen, dass ein Astronaut im All vergessen wurde und nun Geld benötigt, sind meist skeptisch, was seltsame E-Mails von noch verrückteren Absendern mit kryptischen Inhalten angeht. Meist. Denn bei aller Vorsicht kommt es leider immer wieder vor, dass wir trotzdem auf die neueste Masche hereinfallen: Einige dieser Tricks sind einfach manchmal zu gut getarnt. Wenn wir beispielsweise gerade damit rechnen, von unbekannten Personen E-Mails zu bekommen, weil im Unternehmen eine freie Stelle ausgeschrieben ist.

Nach dem Klick keinen Zugriff mehr auf die eigenen Dateien

Bekommen wir also, wie in der Stellenanzeige gewünscht, Bewerbungen per E-Mail – warum sollten wir dann Verdacht schöpfen, wenn die Bewerbungsunterlagen beim Onlinespeicherdienst Dropbox hinterlegt werden? Ein solches Vorgehen ist ja nicht unüblich. Wer würde also nicht auf den in der E-Mail enthaltenen Downloadlink klicken? Sie ahnen es: Hier offenbart sich ein ganz neuer Verbreitungsweg einer Schadsoftware. Neu deshalb, weil solche Software sich bisher in infizierten E-Mail Anhängen oder auf präparierten Webseiten versteckt haben. Nach dem Klick wird das schädliche Programm zunächst völlig unbemerkt im Hintergrund installiert. Es verschlüsselt die Dateien auf dem Computer der Anwender – Sie können also nicht mehr auf Ihre eigenen Dateien oder sogar Ihre eingebundenen Netzlaufwerke zugreifen. Gut ist, dass die meisten Antiviren-Produkte Herr der Lage sind: Sie können die Schadsoftware enttarnen und daraufhin löschen – allerdings meistens erst dann, wenn die Daten bereits verschlüsselt worden sind. Das Problem liegt also woanders, nämlich in der Wiederherstellung der ursprünglichen Daten.

Wichtig: regelmäßige Backups auf externen Datenträgern

Schützen können Sie sich eigentlich nur, indem Sie vorbeugen und regelmäßige Backups auf externe (!) Datenträger kopieren. Wichtig: Diese sollten ausschließlich während des Backupvorgangs am Computer angeschlossen sein, damit sie im Fall der Fälle nicht ebenfalls verschlüsselt werden! Sollten Sie tatsächlich Opfer solcher Verschlüsselungstrojaner geworden sein, können Sie so auf die letztgesicherte Version Ihrer Daten zugreifen. Halten Sie zudem nicht nur Ihr Betriebssystem, sondern auch installierte Applikationen wie Adobe Reader, Adobe Flash oder Sun Java, Ihr Antivirenprogramm und Ihre Personal Firewall immer auf dem neuesten Stand – um ganz sicher zu gehen, am besten mit der automatischen Update-Funktion. Mit der Schadsoftware „TeslaCrypt“ verschlüsselte Daten lassen sich mit „TeslaDecoder“ kostenfrei wieder entschlüsseln, für andere Verschlüsselungstrojaner wie beispielsweise Chimera oder Cryptowall 3.0 gibt nicht so leicht Hilfe.

Bei aller Vorsicht kann es also durchaus passieren, dass sich auch bei Ihnen ein Verschlüsselungstrojaner einnistet – eben weil sie oben beschriebene E-Mails bearbeiten müssen. Tipp: Nutzen Sie hierfür einen Rechner, der nicht an das Unternehmensnetz angebunden ist und keine wichtigen Daten enthält. Wenn Sie zudem die Möglichkeit haben, Bewerbungsunterlagen über eine spezielle Plattform hochladen zu lassen: noch besser!

EUGH kippt Safe Habor Abkommen

Die Eu-Kommission sieht nach dem Urteil des europäischen Gerichtshofes keinen Grund, die Datenflüsse in die USA zu stoppen. Die Kommission sehe sich durch das Urteil in ihrem Handeln bestätigte, so war auf heise.de zu lesen.

Aber was war geschehen? Worum geht es?
Wir haben in Europa ein sehr hohes Datenschutzniveau. In den meisten Ländern außerhalb der Eu ist Datenschutz kein Thema oder ist nicht so geschützt. Ein Transfer von Daten in diese Drittländer ist nur gestattet, wenn bestimmte rechtliche Anforderungen eingehalten werden. Die USA und Europa hatten hierzu das Abkommen Safe Habor (sicherer Hafen) geschlossen. Unternehmen, die personenbezogene Daten in die USA übertragen, mussten einen dementsprechenden Vertrag schließen.
Der europäische Gerichtshof (EUGH) hat nun entschieden, dass Safe Habor nicht mehr safe ist. Das Gericht erachtet die Schutzrechte der Betroffenen als nicht ausreichend. Dies liegt zm Beispiel an dem Patriot-Act. Der erlaubt es amerikanischen Bundesbehörden, ohne richterlichen Beschluss Einsicht in die Daten von Unternehmen zu nehmen.
Ein solches Vorgehen ohne richterliche Entscheidung ist in unserem Rechtssystem undenkbar.
Die GDD (Gesellschaft für Datenschutz und Datensicherheit) geht in einer Stellungnahme davon aus, dass auch weiterhin Daten über den Atlantik in die USA übertragen werden könnten, wenn die Standardklauseln, Binding Corporate Rules oder die informierte Einwilligung des Betroffenen vorlägen. Dabei sollte in jedem Falle erwägt werden, ob zusätzlich Sicherheitstechniken, wie beispielsweise Verschlüsselung, zum Einsatz kommen müssten.

In jedem Falle sollte Sie einen Fachmann zu Rate ziehen. HUBIT Datenschutz berät Sie zu Safe Habor und Datenübermittlung in die USA und ins Ausland.

Wörterbuch-Attacke

Bei einer Wörterbuch-Attacke werden vielfach genutzte  Benutzernamen, wie zum Beispiel „Admin“, „administrator“ oder „ich“ getestet. Als Passwort werden die beliebtesten Passwörter getestet. Beliebte Passwörter sind: „test123“, „hallo“ oder „passwort“ und noch viele viele mehr. Weiterhin werden elektronische Wörterbücher genommen und jedes Wort wird als Passwort getestet. Auch eine Kombination von Wörter wird getestet.

Wie schützte ich mich gegen eine Wörterbuch-Attacke?

Benutzen Sie nur sichere Passwörter. Die Passwörter sollten mindestens 8 Zeichen lang sein – besser 12 Zeichen. Dass Passwort sollte nicht aus Wötern bestehen. Nutzen Sie Zahlen, Buchstaben (große und kleine) und Sonderzeichen.

Das ist unsicheres Passwort: P@ssw0rt

Das ist ein sicheres Passwort: MHsSigbuhma1V.

Wie kann man sich ein solches Passwort merken?
Ãœberlegen Sie sich einen Merksatz – zum Beispiel:
Mit HUBIT sind Sie immer gut beraten und haben mehr als 1 Vorteil.
Nehmen Sie immer den ersten Buchstaben und alle Zahlen und Sonderzeichen…. fertig ist das neue Passwort :-)

Hacker greifen Router an

Hackerangriff auf RouterÜber 50 verschiedene Router-Modelle wurden mit einem Exploit-Kid gehackt! Das Schadprogramm ist sehr komplex und geht in mehreren Phasen vor. Es nutzt Sicherheitslücken in der Routerfirmware und unsichere Passwörter aus.

Wie geht das Exploit Kid vor?
Wie kann ich mich schützen?

Wie geht das Exploit Kid vor?

Phase 1: Eindringen und Infiltrieren
Sie besuchen eine Internetseite, die bereits ge-hack-t wurde und eine schadhaften JavaScript-Code enthält. Der Code ist verschlüsselt, damit er nicht leicht erkannt werden kann.

Phase 2: Eckdaten ermitteln
Das kleine Programm versucht zunächst den Router zu finden und dann das Modell zu ermitteln.

Phase 3: Einbruch
Nachdem nun der Hersteller und das Modell des Routers bekannt ist, wird dieser gezielt angegriffen. Hierzu werden bekannte und neue Sicherheitslücken ausgenutzt. Teilweise wird auch nur eine Wörterbuch-Attacke gestartet.

Phase 4: DNS Manipulation
Nun werden die Einstellungen Ihres Routers geändert. Im speziellen werden die DNS-Einträge manipuliert. Somit ist es dem Angreifer möglich Sie auf andere Webseiten umzuleiten. Sie wollen beispielsweise www.web.de besuchen. Sie werden allerdings nicht auf die Webseite von web.de gelangen. Stattdessen werden Sie von dem Angreifer auf einen anderen Server umgeleitet. Dort ist vielleicht eine Webseite hinterlegt, die der von web.de ähnelt. Allerdings wird hier nun Werbung eingeblendet, mit der der Angreifer Geld verdienen kann oder er versucht Ihre Zugangsdaten für web.de abzu-phish-en oder Ihr Rechner wird auf dieser Webseite mit weiterer Malwar (Schadprogramme) infiziert.
Es ist auch möglich,, dass Ihr Rechner / Internetanschluss nun für DDOS-Attacken auf fremde Rechner genutzt wird.

Wie kann ich mich schützen?

  1. Ändern Sie das Passwort Ihres Routers
  2. Führen Sie ein Firmware-Update Ihres Routers durch
    Zuvor: Die Datensicherung nicht vergessen!!
  3. Prüfen bzw. korrigieren Sie die DNS-Einstellungen in Ihrem Router.

Wenn Sie sich nicht sicher sind, welche Schritte die richtigen sind, oder wie Sie zum Beispiel die Firmware Ihres Routers updaten, dann sprechen Sie uns gerne an. Wir (und unsere Partner) unterstützen Sie gerne und sorgen für eine sichere Internetverbindung in Ihrem Unternehmen.

Welche Router sind durch das Exploit-Kid betroffen?

ASUS AC68U
ASUS RTN56U & ASUS RTN10P & ASUS-RTN66U & ASUS-RT56-66-10-12
ASUS-RTG32
BELK-PHILIPS (?)
BELKIN F5D7230-4
BELKIN F5D8236-4V2
BELKIN F9k1105V2
BELKIN-F5D7231-4
BELKIN-F5D7234-4
D’LINK DIR-600
D’LINK DIR-604
D’LINK DIR-645
D’LINK DIR-810L & DIR-826L & DIR-615 & DIR-651 & DIR-601 & WBR1310 & D2760
D’LINK DSLG604T
D’LINK-DIR-2740R
EDIMAX BR6208AC
LINKSYS BEFW11S4 V4
LINKSYS L120
LINKSYS WRT54GSV7
LINKSYS-BEFW11S4 V4
LINKSYS-LWRT54GLV4
LINKSYS-WRT54GV8
LINKSYS-X3000
LINSYS L000
Medialink WAPR300N
Microsoft MN-500
NETGEAR DGN1000B & DG834v3 & DGN2200
NETGEAR WNDR3400
NETGEAR-DGN1000 & NETGEAR-DGN2200
NETGEAR-WNR834Bv2
NETGEAR-WPN824v3
NETIS WF2414
Netis WF2414
TENDA 11N
TPLI ALL
TPLI-WR940N & WR941ND & WR700
TRENDNET E300-150
TRIP-TM01
TRIP-TM04
Trendnet TW100S4W1CA
ZYXEL MVR102
ZYXEL NBG416
ZYXEL-NBG334W

Polizei und Politiker für die Vorratsdatenspeicherung

VorratsdatenspeicherungDer Anschlag auf die Redaktion der Satirezeitschrift Charlie Hebdo erschütterte Politiker und Polizei in Frankreich und Deutschland. Bereits kurz nach den Anschlägen wurden Forderungen nach der Vorratsdatenspeicherung wieder laut. Indem Sie Daten auf Vorrat speichern, wollen Politiker und Behörden einen solchen Anschlag verhindern können. Auch die Aufklärung soll mit diesen Daten beschleunigt und verbessert werden.

Unter Vorratsdatenspeicherung versteht man die Speicherung personenbezogener Daten für eventuelle Ermittlungen. Bei der Vorratsdatenspeicherung werden auf immer Daten vieler unbescholtener Bürger erfasst. Datenschützer sind gegen die massenhafte Speicherung von Daten die ohne Anlass erfolgt. Das Bundesverfassungsgericht und der Europäische Gerichtshof haben in der Vergangenheit mehrere Reglungen zur Vorratsdatenspeicherung für rechtswidrig erklärt.

Debeka verstößt gegen den Datenschutz

Logo Hubit-DatenschutzDie Debeka muss 1.3 Millionen Euro wegen eines Verstoßes gegen Datenschutz zahlen. In dem Vorfall hat die Debeka Datensätze von Angestellten des öffentlichen Dienstes erworben, und wollte diese als Klienten für sich gewinnen.

Die Debeka hat die Regeln intern überarbeitet. Die Koblenzer Staatsanwaltschaft ermittelt weiter in diesen Fall wegen des Verdachtes der Bestechung, der Anstiftung zur Verletzung von Dienstgeheimnissen und Verstößen gegen das Bundesdatenschutzgesetz.

iCloud speichert ungefragt Daten

Logo Hubit-DatenschutzDas Betriebssystem von Apple (Mac OS X) sichert Dokumente die noch nicht gespeichert wurden, nicht wie man erwarten sollte auf den Mac sondern auf den Servern der iCloud. Wenn Dokumente bearbeitet werden, werden diese automatisch gespeichert. Die Zwischenspeicherung erfolgt ebenfalls in der iCloud.
Um diese Einstellung zu ändern muss man unter „Programme/Dienstprogramme/Terminal“ dort defaults write NSGlobalDomain NSDocumentSaveNewDocumentsToCloud –bool false eingeben (diese Angabe ist ohne Gewähr und sollte nur von Fachleuten durchgeführt werden).

Hackerangriff auf Sony und Microsoft?

Logo Hubit-DatenschutzAngeblich soll ein Teenager aus Finnland mit zwei Freunden die Spiel-Netzwerke von Sony und Microsoft an Weihnachten 2014 sabotiert haben. Durch den Angriff wunden die Spielenetzwerke lahmgelegt.
Die Gruppe der Jugendlichen, „Lizard Squad“ prallten sofort nach dem Ausfall, dass es ihr Werk gewesen sei. Sie wollten mit der Aktion auf die schlechte Sicherheit in diesen Netzwerken aufmerksam machen.
Die Netzwerke sind wieder in Betrieb, waren jedoch tatsächlich zu Weihnachten defekt.