Was ist eine Vorabkontrolle?

Logo Hubit-DatenschutzEine Vorabkontrolle wird vor der Einführung eines Verfahrens durchgeführt. Eine Vorabkontrolle gem. Bundesdatenschutzgesetz (BDSG) ist durch einen Datenschutzbeauftragten durchzuführen.

Wann ist eine Vorabkontrolle erforderlich?
Das BDSG nennt nur zwei Sachverhalte, die eine Vorabkontrolle in jedem Falle erfordern. Die Verarbeitung von besonderen Arten personenbezogener Daten macht eine Vorabkontrolle erforderlich. Ebenso ist sie zwingend vorgeschrieben, wenn personenbezogene Daten dazu bestimmt sind, die die Persönlichkeit (Fähigkeiten, Leistung, Verhalten) des Betroffenen zu bewerten.

Zwei Paradebeispiele, die einer Vorabkotrolle erforderlich machen, sind Videoüberwachung und GPS-Ortung.
Grundsätzlich kann man sagen: Ist sich ein Unternehmen nicht sicher, ob eine Vorabkontrolle erforderlich ist, sollte der Datenschutzbeauftragte befragt werden. Ist kein Datenschutzbeauftragter in dem Unternehmen bestellt, sollten Sie sich Rat bei HUBIT holen. Wir beraten Sie zu datenschutzrechtlichen Fragen.

Was macht man, wenn keine Vorabkotrolle durchgeführt wurde?
In vielen Unternehmen ist nicht bekannt, dass eine Vorabkontrolle erforderlich, wenn z.B. Video- oder GPS-Technik eingesetzt wird. Erfolgte keine Vorabkontrolle (vor der Inbetriebnahme), so ist diese Datenverarbeitung illegal.
Eine nachträgliche Kontrolle ist möglich. So können Sie Ihre Datenverarbeitung (für die Zukunft) legalisieren.

56.000 Euro Bußgeld wegen GPS-Ortung

Logo Hubit-DatenschutzGPS-Module werden in immer mehr Geräte eingebaut. Die Beschaffungskosten sind mittlerweile gering und auch die technische Umsetzung ist mittlerweile einfach. Die Anwendungsmöglichkeiten sind vielfach. Doch nicht immer ist der Einsatz der Ortung rechtliche gestattet.

Wie im Weser Kurier am 18.07.2012 zu lesen war, hat Europcar einen Teil seiner Flotte mit GPS-Ortungssystemen ausgestattet. Die Autovermietung wollte mit diesem technischen Hilfsmittel Diebstähle leichter aufklären können. Weiterhin sollte mit den GPS-Geräten geprüft werden, ob sich die Kunden in dem vertraglich vereinbarten Gebieten aufhielten. Zusätzlich zum Standort wurden Datum und Uhrzeit sowie die Geschwindigkeit gespeichert.

Der Landesdatenschutzbeauftragte Hamburg, Herr Johannes Casper, hatte dem Artikel nach gestern mitgeteilt, dass die Autovermietung ein Bußgeld von 54.000,- Euro zahlen müsse. Die anlassbezogene Ortung im Falle eines Diebstahls sei rechtens. Allerdings wäre die heimliche Ortung (ohne Kenntnis der Mieter) der Mietfahrzeuge nicht mit dem Datenschutz vereinbar. Mit den gesammelten Daten könnten Bewegungsprofile der Mieter erstellt werden. Und dies stelle einen schweren Eingriff in das Persönlichkeitsrecht dar, so Caspar.

Unternehmen müssen vor dem Einsatz von Überwachungstechnik, wie GPS-Ortung, Videoüberwachung und ähnlichem, ihren betrieblichen Datenschutzbeauftragten Weitere Infos im Lexikon informieren. Dieser muss eine Vorabkontrolle Weitere Infos im Lexikondurchführen und die Rechtmäßigkeit des Einsatzes von Überwachungstechnik prüfen.

Handydaten millionfach abgefragt

Logo Hubit-DatenschutzDie Behörden in den USA haben im Jahr 2011 über eine Millionen Mal Daten, SMS und Aufenthaltsorte von Handybesitzer von den Telekommunikationsunternehmen abgerufen, wie Welt Online berichtete.

Der Kongress stellte eine entsprechende Anfrage, die diese enorme Zahl zu Tage brachte. Es seien große Telekommunikationsunternehmen wie AT&T und auch T-Online USA betroffen. Es ist kein Geheimnis, dass die USA andere gesetzliche Regelungen, wie z.B. den Patriot Act, haben als europäische Länder. Erschreckend ist hierbei, dass vielfach die Daten ohne richterliche Anordnung abgefragt würden. Dies sei möglich, wenn die Behörden „Gefahr im Verzug“ sehen und somit die Anfrage als Notfall deklarierten.

In Deutschland wäre ein solches Vorgehen undenkbar. Hier wird der Bürger durch das Bundesdatenschutzgesetz geschützt. Hier zulande würde es als Staatswillkür oder ähnlich bezeichnet werden. Hier ist in jedem Falle eine richterliche Anordnung erforderlich. Diese zusätzliche Hemmschwelle ist wichtig, damit die Daten der Bürger geschützt sind.

Interessant wäre hier die Fragestellung, wie häufig und in welchem Umfang T-Online USA bzw. T-Mobile USA und andere TK-Unternehmen Daten Deutscher Urlauber bereits übergeben hat.

Schaden für Unternehmen durch Social Media möglich?

Logo Hubit-DatenschutzSocial Media ist der Trend der letzten Jahre im Internet. Plattformen wie z.B. Twitter, Facebook, Google etc. bieten vielfältige Möglichkeiten zum Informationsaustausch. Viele Unternehmen nutzen mittlerweile diese Dienste für Marketing Kampagnen. Doch bringen diese Dienste nur Vorteile?

Es ist wie mit allen Dingen im Leben. Jede Sache hat zwei Seiten. Es gibt natürlich auch eine negative Seite. Aus technischer Sicht sind hierzu schon viele Artikel veröffentlicht worden, in den z.B. Facebook für das Auspionieren der Benutzer angeprangert wurde. Darum soll es in dieser Datenschutz-News nicht gehen.
Es geht um ansehensschädigende Beiträge und Industriespionage mittels Social Engineering. Beim Social Engineering Weitere Infos im Lexikon wird die größte Schwachstelle im System für die Informationsgewinnung genutzt.
Der Mensch.

Die Menschheit ist das, was sie ist, durch das Sprechen geworden. Das Austauschen von Informationen ist ein wichtiger Baustein in unserem Sein. So verwundert es nicht, dass alle gern über dies und das sprechen. In der Vergangenheit war es kein so großes Problem, wenn man seinen Freunden in geselliger Runde ein paar lustige Geschichten aus dem Geschäftsalltag erzählte oder sich negativ über seinen Arbeitgeber ausgelassen hat. Das meiste blieb in der Runde und die meisten Informationen gerieten mit der Zeit in Vergessenheit.

Heute sieht dies anders aus. Es gibt das Internet und eine Vielzahl an Möglichkeiten sich über Foren, Social Media Plattformen und andere Portale auszutauschen. Aber wo ist der Unterschied?
Es gibt zwei gravierende Unterschiede. Zum einen bleiben geschriebene Worte im Internet sehr lange gespeichert und werden selten gelöscht. Es ist sozusagen für die Ewigkeit geschrieben. Zum anderen wird selten darauf geachtet, dass nur eine bestimmte Personengruppe diese Beiträge liest.

Die Mitarbeiter müssen dafür sensibilisiert werden, dass sie nicht alles im Internet veröffentlichen. Auch das bayrische Landesamt für Verfassungsschutz warnt vor den Gefahren durch Internetplattformen.

Mitarbeiter sollten in Schulungen sensibilisiert werden. Weiterhin sollte ihnen vermittelt werden, wie sie ihre Privatsphäre-Einstellungen konfigurieren sollten. Schulungen von HUBIT zum richtigen Umgang mit sozialen Netzwerken, dem Internet und Unternehmensdaten können Sie individuell für Ihre Bedürfnisse durchführen lassen.

Dass sich Mitarbeiter negativ über Ihren Arbeitgeber auslassen ist sicherlich nicht angenehm. Aber auch hier sollte man sich der Kritik stellen und beurteilen, wieso der Mitarbeiter so unzufrieden ist, dass er (wissentlich oder unwissentlich) seinem Arbeitgeber Schaden zufügt.

Schlimmer ist hingegen, wenn unternehmensinterne Informationen im Internet veröffentlicht werden.
Zu Zeiten des Kalten Krieges wurde viel Wert auf Sicherheit und Schutz vor Industriespionage gelegt. Heute wird dieses Thema stiefmütterlich behandelt. Aber Industriespionage ist immer noch weit verbreitet. Jedoch wird sie heute mit ganz anderen Mitteln umgesetzt. Facebook, Google und andere Plattformen bieten genügend Raum für Klatsch und Tratsch. Jeder hat zig oder hunderte von Freunden, denen er alles mitteilt.

Aber sind das wirklich Freunde?
Wie gut kennt man seine „Freunde“ und „Follower“? Oder hat man sie nur seiner Liste hinzugefügt, weil sie nett waren, aussahen oder sich als Freund eines Freundes ausgaben?
Man sollte immer genau überlegen, wem man welche Informationen mitteilt – insbesondere im Internet.

Industriespionage hat mit den neuen Medien eine neue Grundlage gefunden, um einfach an Informationen zu gelangen. Social Engineering wird damit so einfach…!

Seien Sie zurückhaltend. Überlegen Sie sich genau, welche Information sie preisgeben möchten. Entscheiden Sie sich für einen sicheren Kanal. Es muss nicht immer jeder alles wissen.

Was ist Social Engineering?

Logo Hubit-DatenschutzEs gibt Hacker, die versuchen mit technischen Mitteln an Informationen zu gelangen. Das Social Engineering hat einen anderen Ansatzpunkt. Hier wird die größte Schwachstelle im System angegangen: der Mensch.

Social Engineering setzt sich aus vielen Einzelheiten und Möglichkeiten zusammen. So kann es auch mit technischen Mitteln, wie dem Phishing kombiniert werden.
Das Grundprinzip ist jedoch ganz einfach. Durch geschickte Gesprächsführung wird einem Mitarbeiter eine Information entlockt – vielleicht auch mehrere. Diese Informationen werden genutzt, um bei einem weiteren Mitarbeiter zusätzliche Informationen zu erschleichen oder diese zu manipulieren. Und so geht es immer weiter, bis sich der Angreifer genügt Wissen „zusammengefragt“ hat.

Das gesammelte Wissen wird nun gezielt eingesetzt, um die gewünschten Informationen oder Daten zu erlangen.

Andere Instrumente des Social Engineering setzen auf Vertrautheit, Zeitdruck oder ähnliche manipulativen Gesichtspunkte. Bei Social Engineering ist es nicht zwingend, dass der Angreifer schnell an die Informationen gelangt. Dieser Prozess kann sich über Tage, Wochen und Monate hinziehen.

Wenn Sie mehr erfahren möchten, besuchen Sie eine unserer Schulungen zu dem Thema. Wir kommen auch gern in Ihren Betrieb und schulen Sie und Ihre Mitarbeiter, wie Sie sich gegen Social Engineering schützen können.

Ich möchte hier nun nicht zu viele Details verraten, damit sich nicht jemand inspiriert fühlt. Aber Sie glauben gar nicht, was ein Anzug, ein Namensschild und sicheres Auftreten ausmachen kann. Oftmals reicht bereits sicheres Auftreten und eine gute Geschichte aus.

Es stellen sich Fragen, wie:
Wie komme ich in eine Kaserne ohne über den Zaun zu klettern und ohne Ausweis?
Wie gelange ich in den Personal- / Verwaltungsbereich einer Bank?
Wie komme ich an das Admin-Passwort?
Wie gelange ich zu den Server ohne eine Tür aufbrechen zu müssen?
Wie bekomme ich Informationen zu Kunden oder Lieferanten eines Unternehmens?

Sind Sie neugierig geworden? Möchten Sie wissen, wie sicher Ihr Unternehmen gegen Social Engineering ist?
HUBIT führt Social Engineering in Bremen und bundesweit durch. Sprechen Sie uns an.

Was ist Phishing?

Logo Hubit-DatenschutzPhishing ist ein Kunstwort, dass sich aus verschiedenen Wörtern ableitet. Hier ist zunächst fishing (das englische Wort für Angeln) zu nennen. Das P am Anfang steht für Password (zu deutsch: Passwort). Das erste H soll für Harvesting (auf deutsch: Ernte) stehen.

Das Prinzip ist relativ einfach. Der Phisher legt einen Köder aus. Dann wird versucht, dem geköderten Internetuser sensible Informationen zu entlocken, wie z.B. Zugangsdaten für Online Banking, Webserver oder Emailkonten.

Es ist somit eine Art des Social Engineering

In der Regel beginnt alles mit einer Email oder Nachricht über einen Messenger (Chatprogramm). Eine solche Email ist meist professionell aufgemacht und versucht das Erscheinungsbild, z.B. einer Bank, nachzuahmen. In der Email wird von einem Fehler oder einem wichtigen Ereignisse gesprochen, dass dem Leser vermittelt, dass er schnell handeln müsse, damit er diese Gefahr abwenden kann. Es wird bewusst Zeitdruck ausgeübt, damit der Betroffene nicht so viel Zeit zum Nachdenken hat. In der Email ist dann meist ein Link zu der vermeintlichen Bank (um bei dem Beispiel zu bleiben). Die Internetadresse sieht der echten Internetadresse meist ähnlich oder ist nicht sichtbar.

Klick nun der Betroffene auf diesen Link kommt er zu einer Webseite, die der echten Webseite der Bank sehr ähnlich sieht. Er wird auf der Webseite freundlichen Empfangen und gegebenenfalls nochmals auf die Gefahren hingewiesen, damit er weiterhin den zeitlichen Druck verspürt und nicht mit dem Denken beginnt.

Hier wird er nun aufgefordert seine Zugangsdaten einzugeben, damit er sich einloggen kann oder damit das Problem direkt behoben werden kann.

Die so abgefangenen Zugangsdaten werden später von dem Phisher verwendet, um Geld von dem Konto des Betroffenen auf eines seiner Konten zu übermitteln.

Es muss sich aber nicht zwingend um eine Bank handeln es gibt auch viele andere Beispiele, wie eine Phishing Attacke aussehen kann. So kann es auch sein, dass man aufgefordert wird, die vermeintliche Service Hotline anzurufen. In Wirklichkeit ist dies natürlich nicht die Service Hotline sondern der Phisher. Am Telefon werden dann ebenfalls sensible Informationen abgefragt. Es müssen nicht zwingend Zugangsdaten für eine Bank sein. Auch andere Zugangsdaten können interessant sein. Kreditkarteninformationen sind ebenfalls sehr beliebt.

Die Variationsmöglichkeiten beim Phishing sind vielfältig. Seien Sie in jedem Fall skeptisch. Wenn Sie sich nicht sicher sind, ob diese Email wirklich von Ihrer Bank, Kreditinstitut oder Geschäftspartner ist, dann fragen Sie dort nach. Aber bitte nehmen Sie nicht die Rufnummer aus der Email! Nehmen Sie die Rufnummer aus Ihrem Telefonbuch. Oder leiten Sie die Email an Ihren Sachbearbeiter weiter, damit der Ihnen die Echtheit bestätigen kann.

Was ist Clickjacking?

Logo Hubit-DatenschutzClickjacking ist eine ganz raffinierte Technik, die von Hackern eingesetzt wird, um das System zu manipulieren.
Im Prinzip werden die Klicks entführt. Der Benutzer denkt er würde sich auf einer Webseite befinden. Wenn er auf einen Link klickt, dann sieht es für ihn ganz gewöhnlich aus.

Aber was passiert nun wirklich?

Das Hackerprogramm legt (für den Benutzer unsichtbar) Schaltflächen hinter den Link. Das heißt, dass der Benutzer glaubt auf einen Link zu klicken, doch in Wirklichkeit wird diese unsichtbare Schaltfläche angeklickt.

Was sind das für Schaltflächen?

Das kann sehr unterschiedlich sein. Es kann sein, dass dadurch ein Programm installiert wird oder Einstellungen in der Systemsteuerung geändert werden. So kann z.B. das Mikrofon eingeschaltet werden oder das Antivirenprogramm deaktiviert werden.

Ein Schutz gegen Clickjacking ist für den Benutzer schwer umzusetzen. Das eigentliche Problem liegt in dem Aufbau von JavaScript.

Der mögliche Schutz kann eigentlich nur von Fachleuten umgesetzt werden. Hier sind zum einen die Hersteller von Browser, wie z.B. Internet Explorer, Firefox oder Opera gefordert und zum anderen die Entwickler von Webanwendungen.
Die Entwickler müssen den Header X-Frame-Option mit bestimmten Werten senden. Die meisten Browser unterstützen diesen Header mittlerweile. Doch leider nicht alle.

Dem Benutzer kann nur geraten werden, einen aktuellen Webbrowser zu verwenden.

Achtung: Phishing bei Strato-Kunden!

Logo Hubit-DatenschutzWie bei heise online zu lesen war, seien derzeit besonders Strato-Kunden von Phishing-Attacken betroffen.

Was bedeutet Phishing?
Beim Phishing Weitere Infos im Lexikonwird dem Internetbenutzer vorgegaukelt, er sei auf der Webseite eines seriösen Internetanbieters. Dort wird er meist aufgefordert, geheime oder sensitive Daten einzugeben.
Dies können Kreditkartendaten aber auch Login-Daten sein.

Phishing startet meist mit einer Email. In der Email wird dem „Opfer“ suggeriert es gebe ein Problem oder ein Sicherheitsproblem. Meist wird versucht zeitlichen Druck auszuüben, damit das Opfer sich gedrängt fühlt und sich nicht die Zeit nimmt, die Angaben zu prüfen. In der Email ist meist ein Link, der auf die oben beschrieben Webseite führt. Die Seite sieht optisch der des echten Anbieters sehr oder genau ähnlich. Farben sind dem Original nach empfunden. Aber auch der Aufbau der Webseite und selbst das Logo des echten Anbieters sind zu finden.

Mit Hilfe des Phishing wird in diesem Fall versucht die Login-Daten der strato-Kunden zu erlangen. Das dahinter steckende Ziel kann vielseitig sein.
Möglich wäre, dass man auf diese Weise Email-Konten anlegen möchte, über die Spam-Mails verschickt werden sollen. Möglich wäre aber auch eine Manipulation der Webseiten oder Server.

In jedem Falle gilt:
Seien Sie skeptisch. Wenn Ihnen etwas komisch vorkommt, dann rufen Sie Anbieter an und fragen dort nach, ob diese Email wirklich von ihm stammt.

Android-Handys sind nicht mehr sicher

Logo Hubit-DatenschutzEin Android-Handy ist nicht mehr so sicher, wie bislang geglaubt. Forscher der Universität North Carolina gelang es, ein Clickjacking-Rootkit zu entwickeln. Mit diesem kleinen Programm ist es möglich eine App zu infizieren und so das Handy zu infizieren.

Erschreckend ist, dass es derzeit keine Technik gibt, die eine solche Infizierung bzw. Sicherheitslücke erkennen kann. Glücklicherweise ist es Forscher und nicht Hackern gelungen ein solches Rootkit zu entwickeln. Die Forscher wollen sich nun daran machen, geeignete Erkennungsverfahren zu entwickeln. Das Clickjacking-Rootkit greift nicht den Kernel an sondern das Android-Framework.

Durch ein solches Clickjacking-Rootkit ist es möglich, Daten und Dateneingaben auszulesen bzw. abzufangen. Ein Beispiel zur Verdeutlichung:

Der Browser, mit dem die Internetseiten angesehen werden, hat immer noch den gleichen „Look and Feel“, aber alle Daten werden gesammelt und ausgewertet. Betroffen hiervon könnten zum Beispiel Zugangsdaten für das Onlinebanking, Kreditkarteninformationen und weitere sensible Daten sein.

Neues Meldegesetz ist ein datenschutzrechtlicher Rückschritt

Logo Hubit-DatenschutzViele Bürger wissen es vielleicht gar nicht. Die Meldeämter geben teilweise ihre Daten weiter. Bislang war dies auf bestimmte Zwecke limitiert. Das neue Gesetz zur Fortentwicklung des Meldewesens sollte den Datenschutz erhöhen. Dem Entwurf nach sollte eine Weitergabe der Daten nur noch mit der Einwilligung des Bürgers möglich sein. Das nun verabschiedete Gesetz ist aus Sicht des Datenschutzes ein Rückschritt.

Die Informationelle Selbstbestimmung des Bürgers wurde bereits durch das Bundesverfassungsgericht als wichtiges Gut ausgewiesen. Das sogenannte Volkszählungsurteil wurde 1983 gesprochen und war ein wichtiger Meilenstein im deutschen Datenschutz. Grundsätzlich sollte der Bürger selbst bestimmen, wer seine Daten verarbeitet.

Das Bundesdatenschutzgesetz nimmt sich genau dieser Grundlagen an und formulierte ein sogenanntes Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass prinzipiell jede Datenverarbeitung von personenbezogenen Daten verboten ist, es sei denn, dass ein Gesetz dies erlaubt bzw. vorschreibt oder die betroffene Person hierzu eingewilligt hat.

Das neue Meldegesetz soll das Meldewesen vereinheitlichen und so eine Harmonisierung zwischen den Ländern bewirken. Ebenfalls war es das ursprüngliche Ziel, das Datenschutzniveau anzuheben.

Bislang war es den Meldeämtern erlaubt, Daten für verschiedene Zwecke weiterzugeben. Der ein oder andere mag sich schon mal gewundert haben, warum er kurz vor der Wahl Werbung der einen oder anderen Partei in seinem Briefkasten hatte.

Im Rahmen von Wahlen, ist es gestattet die Meldedaten für Parteiwerbung weiterzugeben. Wussten Sie das?

Man konnte der Weitergabe der Daten schriftlich widersprechen (das sogenannt Opt-Out-Verfahren).

Das neue Meldegesetz sollte eine Verbesserung darstellen. Hier war ursprünglich von einem Opt-in-Verfahren die Rede. Dies bedeutet, dass die Daten nur mit Einwilligung des Bürgers weitergegeben werden dürfen.

Das Gesetz zur Fortentwicklung des Meldewesens wurde nun durch den Bundestag verabschiedet. Jedoch mit entscheidenden Änderungen. Von Opt-in ist nun keine Rede mehr. Der Bürger muss (wie in der Vergangenheit) der Weitergabe der Daten widersprechen. Das Gesetz ist nun aber noch weiter in „Datenschutz Vergangenheit“ abgerutscht. Es wurden weitere Lockerungen eingefügt, die nun auch Adresshändler und ähnlichen Werbetreibenden den Zugriff auf die Daten (zum Datenabgleich) erlaubt. Durch Widerspruch soll die Weitergabe zum Datenabgleich nicht betroffen sein. Laut Golem käme daher auch der Bundesbeauftragte für den Datenschutz und die Informationssicherheit zu der Einschätzung, in den meisten Fällen sei der Widerstand zwecklos.

Noch hat das Gesetz keine Rechtskraft. Es muss noch durch den Bundesrat bestätigt werden. Es bleibt also abzuwarten, ob der Bundesrat eine Änderung der Datenschutzbestimmungen fordert und das Gesetz blockiert.