Archive for the ‘Datenschutz’ Category

Das (keineswegs einzigartige) Buchbinder-Desaster


Für Menschen, die schon mal beruflich oder privat irgendwo ein Auto gemietet haben, könnte sich eine E-Mail an die Firma Buchbinder lohnen. Nicht, weil es dort gerade wieder billiger Autos zu mieten gäbe, sondern, weil die Firma Buchbinder offensichtlich ihre Kunden- und Mietwagendatenbank für längere Zeit zum Download bereitgestellt hat. Nicht absichtlich vermutlich, aber gleichwohl für jedermann. Zehn Terrabyte Daten von rund drei Millionen Kunden, darunter auch Adressen und Telefonnummern von Politikern und Prominten standen wochenlang frei zugänglich im Netz, wie DIE ZEIT und HEISE ONLINE berichten. Wer davon betroffen sein könnte, sollte durch ein Auskunftsersuchen nach Artikel 15 der EU-DSGVO herausfinden, welche Daten von ihm verarbeitet wurden. Read On…

Was geht noch, wenn das Smartphone weg ist?

Vor ein paar Wochen hatte mich die Handwerkskammer Köln um einen Schulungstermin für Mitglieder in Sachen Datenschutz gebeten, der zu meiner Freude gut besucht war. Und wenn da schon jede Menge praxisnaher Anwender sitzen, teste ich natürlich auch gerne, wie gut die auf den Störungsfall vorbereitet sind.

Die meisten Besucher meiner Seminare erwarten, dass das Thema Datenschutz sich vor allem um die Vertraulichkeit von Daten und dem Schutz dieser Vertraulichkeit dreht. Dabei ist Vertraulichkeit nur ein (wenn auch großer) Schutzbereich der DSGVO. Die in der Praxis meistens völlig unterschätzten Themen „Verfügbarkeit“ und „Integrität“ betrachten offensichtlich viele eher als ihre Privatangelegenheit und irren damit gewaltig. Read On…

Kein Update, kein Mitleid (II)

Ja, richtig, wir hatten das Thema gerade erst. Aber wenn der amerikanische Geheimdienst NSA Sicherheitslücken in einem flächig verbreiteten Betriebssystem entgegen seiner täglicher Übung nicht gegen eigene und fremde Bürger einsetzt sondern an den Hersteller meldet, sollte einem das zu denken geben. Microsoft hat heute Patches gegen eine ziemlich üble Sicherheitslücke veröffentlicht, die offensichtlich schon länger in Windows zuhause ist.

"An attacker could exploit the vulnerability by using a spoofed code-signing certificate to sign a malicious executable, making it appear the file was from a trusted, legitimate source. The user would have no way of knowing the file was malicious, because the digital signature would appear to be from a trusted provider.
Microsoft

Ein ordentlich konfiguriertes Windows sollte den Patch automatisch ziehen aber eine manuelle Kontrolle dürfte in diesem Fall nichts schaden. Nicht nur in diesem Fall gilt zudem: Auf keinen Fall angebliche Patches von irgendwelchen Websites ziehen, sondern das Update ausschließlich über die normale Windows-Update-Funktion beziehen.

Kein Update, kein Mitleid.

Ab dem 14. Januar 2020 – also seit gestern – gilt: Kein Update, kein Mitleid. Microsoft hat final das letzte Sicherheitsupdate für Windows 7 verteilt, ab jetzt ist ein PC mit diesem Betriebssystem Freiwild in der Welt da draußen. Ich sage das insbesondere mit Blick auf die zahlreichen Windows-7-PCs, die ich immer noch jeden Tag bei Mandanten, Anwaltskollegen und Bekannten sehe.

Es gibt bekanntlich für alles eine passende Ausrede, im Falle von Windows 7 sind die aber seit gestern am Ende. Das gilt übrigens auch aus rechtlicher Sicht, denn jeder, der personenbezogene Daten verarbeitet — also jeder, der auch gewerblich oder freiberuflich einer Tätigkeit nachgeht — ist verpflichtet, dies nach dem aktuellen Stand der Technik zu tun. Spätestens seit gestern fällt ein PC mit Windows 7 nicht mehr unter diese Definition. Das kann, auch ohne konkreten Datenschutzvorfall, zu einem Bussgeld führen. In der Praxis relevanter dürfte aber das Risiko sein, dass ein solcher PC durch Schadsoftware aus dem Tritt gerät und die darauf gespeicherten Unternehmensdaten verlorengehen. In solchen Fällen kann man nur viel Glück bei der nächsten Steuerprüfung wünschen, denn die umfasst heutzutage auch den Einblick in die elektronischen Daten.

Bei Heise gibt es nochmal kompakt Tipps und Hinweise zum Umstieg auf ein aktuelles Betriebssystem. Wer die nicht beherzigt, kann im Schadensfall von mir Hilfe bekommen, aber ganz sicher kein Mitleid.

Can anyone hear me?

Der immer noch in Moskau festsitzende Edward Snowden hat den 36c3 für ein paar eindringliche Worte an seine eigene Generation genutzt. Mit ein paar Sätzen aus seinem sehr lesenswerten Buch „Permanent Record“ umriss er die Entwicklung des Internets von einem Community-Tool hin zu einem durch von Kommerzialisierung und Überwachung geprägten Netz der Konzerne und Regierungen. Das, so Snowden, hätten wir alle uns durch tatenloses Zusehen selbst eingebrockt.

Aber diese Entwicklung sei nicht unumkehrbar: Read On…

Worüber wir in den nächsten Monaten noch häufig sprechen werden

Der letztjährige Chaos Communication Congress (36c3) wird in den nächsten Wochen noch für etliche Beiträge hier gut sein, weil sich die besprochenen Themen vorhersehbar aktualisieren werden. Hier heute nur drei Highlights unter wirklich sehr, sehr vielen:

Wer gesetzlich versichert ist (und das sind rund 73.000 Millionen Menschen in diesem Land) darf durchaus schon mal Angst vor der elektronischen Patientenakte haben, wie der Vortrag von Martin Tschirsich, Christian Brodowski und André Zilch zeigte. Die von den Planern angelegte Sicherheit liegt in etwa auf dem Standard einer E-Mail, eines Telefaxschreibens oder eines Rezepts. Wenn Ihr also ab 2021 zufällig mehr medizinische Details über Ihren Nachbarn oder die Arbeitskollegin erfahren, könnt Ihr sicher sein: denen wird es genauso gehen. Read On…