Home / Aktuelles & Termine / it.sec blog

Anfang Januar 2018 wurden drei erhebliche Schwachstellen in den meisten modernen Prozessoren veröffentlicht. Diese wurden von drei unterschiedlichen Forscherteams entdeckt (Google Project Zero, Cyberus Technology, Graz University of Technology) und sind unter den zwei Namen

  • Meltdown (CVE-2017-5754 Rogue Data Cache Load) und
  • Spectre (CVE-2017-5715 - Branch Target Injection und CVE-2017-5753 - Bounds Check Bypass)

bekannt geworden. Sie betreffen nicht nur Desktop- und Serverrechner, sondern auch Mobilgeräte. [1] [2]

Diese Schwachstellen ermöglichen es einem Angreifer potenziell den gesamten Arbeitsspeicher eines Systems auszulesen - inklusive beispielsweise Passwörtern, Krypto-Schlüsseln oder persönlichen und vertraulichen Daten.

Bei den drei Sicherheitslücken handelt es sich um Designprobleme in den Prozessoren. Daher sind sie praktisch für alle Betriebssysteme (Windows, MacOS, Linux, AIX, Android, iOS, etc.) relevant. Meltdown kann zwar durch Softwarepatches vollständig behoben werden, Spectre jedoch – zumindest mit Stand heute – nicht. Ein vollständiger Schutz vor Spectre ist durch die jetzigen Patches nicht gegeben, der Angriff wird nur erschwert, bzw. die Erfolgsquote reduziert.

Wording in Veröffentlichungen

Man liest sehr oft, dass durch aktuelle Patches ein Spectre-Angriff erschwert würde. Diese Aussage ist zwar richtig, man muss sie aber richtig lesen. Leider bleibt dann nicht mehr viel an Sicherheit davon übrig:

Ein einzelner Angriff zielt darauf ab, einen Datenblock aus dem CPU-Speicher auszulesen, der einem nicht gehört. Das dauert vielleicht einige Millisekunden. Der Erfolg eines einzelnen Angriffs ist nicht garantiert, man kann es aber immer wieder probieren, irgendwann klappt es.

Nach dem Patch sinkt die Chance, dass es klappt, was aber leider nicht mehr heisst, als dass ein Angreifer es halt ein paar mal mehr versuchen muss, bis es klappt.

Die Folge ist nur, dass man es nur schwer schaffen wird sich in kurzer Zeit (Sekunden oder Minuten) ein zusammenhängendes, vollständiges und zeitlich integres Speicherabbild des Hosts zusammenzubauen. In längerer Zeit bekommt man aber trotzdem alle möglichen Speicherfragmente zu sehen - und das kann reichen. Es ist ein wenig wie Fliegen fangen. Es ist schwer, aber irgendwann kriegt man sie schon.

Zur Darstellung der möglichen Auswirkungen haben wir verschiedene Szenarien unterschieden:

- Einzelplatz-PC bzw. Smartphones

Mit Hilfe einer der Schwachstellen kann ein Angreifer Zugriff auf Daten erhalten, auf die er sonst keinen Zugriff hätte. Hierzu muss er Code auf dem System ausführen dürfen ohne besondere Rechte dafür haben zu müssen, was im Grunde überall, z.B. durch JavaScript, oder durch eine präparierte App auf einem Smartphone, möglich ist. Dabei können Datenfragmente auch aus Speicherbereichen anderer Prozesse oder virtueller Maschinen ausgelesen werden und zu einem Gesamtbild zusammengesetzt werden. Aber auch schon einzelne Speicherfragmente können Informationen wie Passwörter, Verschlüsselungs-Keys, E-Mails oder dergleichen enthalten.

- Client-Server Architektur

Mit Hilfe von Meltdown & Spectre können nur Daten aus dem Speicher des physischen Servers ausgelesen werden, auf dem der Angriffscode ausgeführt wird. Somit besteht bei physisch dedizierten Systemen keine direkte Gefahr für Angriffe vom Client aus, solange kein Code vom Client aus auf dem Server ausgeführt werden kann. Dies ist zumindest bei Fileserver Anwendungen i.d.R. nicht der Fall. Anders sieht es aus, wenn man RDP oder Citrix (oder ssh oder anderen interaktiven) Zugriff auf einen Rechner hat.

- Virtualisierte Systeme

Bei virtualisierten Systemen muss zwischen voll-virtualisierten Systemen (z.B. VMware, Hyper-V) und para-virtualisierten (bei der Para-Virtualisierung steht dem Gastsystem lediglich ein API-Zugriff auf die Host-Hardware zur Verfügung, z.B. Xen) bzw. Betriebssystemvirtualisierung (hierbei teilen sich das Gastsystem und das Hostsystem den Kernel, z.B. Docker, Linux Container LXC) unterschieden werden.

Para-Virtualisierung und Betriebssytemvirtualisierung können sowohl durch Meltdown als auch durch Spectre angegriffen werden. Hierbei kann u.U. der gesamte Arbeitsspeicher des Hosts ausgelesen werden - und damit auch der aller virtuellen Maschinen.

Voll-virtualisierte Systeme sind für Meltdown nur dahingehend verwundbar, dass innerhalb eines virtuellen Systems Daten ausgelesen werden können, innerhalb von diesem aber wiederum aus dem gesamten dieser virtuellen Maschine zugeordneten Speicher - also auch der anderer Prozesse und Benutzer oder des Kernels.

Spectre kann theoretisch auch hier die Grenzen zwischen den virtuellen Systemen überwinden und von anderen Systemen und dem Host Daten auslesen. Google hat nach eigenen Angaben in einem PoC bereits gezeigt, dass bei einer virtuellen Maschine Daten aus dem Kernelspeicher des Hosts ausgelesen werden konnten. [2]

- Cloud

Für Cloud Anbieter, welche (Para-)Virtualisierung nutzen, gelten die gleichen Aussagen von oben für virtualisierte Systeme. Allerdings ist der Impact möglicherweise noch größer als innerhalb einer Institution: es können unter Umständen Daten von anderen Kunden ausgelesen werden. Wirklich wirksame Gegenmaßnahmen gibt es derzeit nicht.

Diesen Aspekt darf man sich getrost auf der Zunge zergehen lassen und das erste Aha-Erlebnis noch ein wenig mit Risiko- und Compliance-Aspekten nachwürzen.

Komplexität eines Angriffs

Die Schwachstellen können ausgenutzt werden, wenn ein Angreifer irgendwelchen Code auf einem System ausführen kann, ohne besondere Rechte. Dies ist aber immer der Fall (er benutzt ja Programme) und kann z.B. auch schon über den vorhandenen Webbrowser geschehen, z.B. durch JavaScript. Bei Meltdown sind nicht einmal genaue Kenntnisse des angegriffenen Prozesses notwendig, bei Spectre hingegen sind tiefgründige Kenntnisse über den eingesetzten Prozessor, dessen Branch Prediction Unit, sowie den anzugreifenden Prozess notwendig. Dieses Wissen ist derzeit nicht öffentlich verfügbar. Die vorgestellten Proof-of-Concepts wurden bisher nur unter Laborbedingungen durchgeführt. Aber eben nur "bisher".

Bis heute sind offenbar keine Exploits (Ausnutzen der Schwachstellen von einem Angreifer) in Umlauf. Da der Angriff jedoch keine Spuren hinterlässt, kann nicht mit Sicherheit gesagt werden, dass keine Angriffe stattfanden. Insbesondere durch das Bekanntwerden des Angriffs ist mit Sicherheit davon auszugehen, dass früher oder später neue Exploits entwickelt und verbreitet werden.

Das Szenario, dass nach und nach immer bessere Angriffswerkzeuge („Exploits“) öffentlich verfügbar sein werden und der Werkstudent oder die Sekretärin in ihrer Citrix-Sitzung den Serverspeicher des Virtualisierungs-Hosts per Skript in einer E-Mail auslesen können, ist nicht so sehr weit hergeholt. Aber auch Remote Angriffe per Web-Seite sind möglich.

Antivirus

Virenscanner werden vermutlich nur eingeschränkt - wenn überhaupt - in der Lage sein, Angriffe zu erkennen, da diese weitgehend dem normalen Verhalten von Programmen entsprechen. Klar es wird Heuristiken geben, aber auch klar, die kann man austricksen.

Datenschutzaspekte

Wie weit kann virtuellen oder Multiuser-Systemen überhaupt noch vertraut werden und wie teuer kann es unter der DSGVO werden, wenn man sich nicht ernsthaft mit der Lösung beschäftigt hat? Man kann die Situation durchaus so bewerten, dass ohne weitere Maßnahmen, die über bloßes Patchen hinausgehen, die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO nicht mehr überall gewährleistet ist. Über den Art. 83 DSGVO kann man dann erahnen, wie teuer es werden könnte (nämlich bis zu theoretischen 10Mio. € oder 2% des weltweiten Vorjahresgesamtumsatzes des Unternehmens).

Andererseits wird kein Datenschutzbeauftragter seinen Mandanten raten können, die Datenverarbeitung vorübergehend auszusetzen, bis man alles umgebaut und die Daten nach Hardware sortiert getrennt verarbeiten kann.

Wir werden diese Frage der Einschätzung daher an die Aufsichtsbehörden für den Datenschutz richten und weiter berichten!

Fazit

Durch die Bemühungen der verschiedenen Soft- und Hardwarehersteller wurde in der Vergangenheit die Sicherheit stetig verbessert. Nun zeigen Meltdown und Spectre, dass sich die Risikolage von jetzt auf gleich ändern kann.

Meltdown und Spectre zeigen sehr grundlegende Schwachstellen auf, die auf Hardwaredesignproblemen beruhen. Wodurch, zumindest bei Spectre, das Patchen deutlich erschwert, wenn nicht gar unmöglich wird. Somit ist die eigentliche Herausforderung, das Risiko entsprechend (neu) zu bewerten und wie in einem Unternehmen alternative, kompensatorische Maßnahmen umgesetzt werden können. Spectre-Patches können u.E. derzeit nicht als wirksam angesehen werden.

Die Auswirkungen sind im Grunde so gewaltig, dass man gerne dazu tendiert sie nicht wahrhaben zu wollen. Bringt aber nix.

Aktuelle Empfehlungen

  • Die Schwachstellen sind im Rahmen des regulären Schwachstellen Managements zu bewerten und zu behandeln, also im Rahmen des jeweiligen Verfahrensrisikos. Wichtig: Rosa Brille weg und Risiken realistisch einschätzen! Wie Sie handeln bleibt immer noch Ihnen überlassen, aber machen Sie sich nichts vor!
  • Nach erfolgreichem Test sollten die vorhandenen Patches (Betriebssystem und Mikrocontroller) ausgerollt werden. Tests sind wichtig, da die Hersteller in der Eile auch schon nicht-funktionale Patches verteilt haben.
  • Im Rahmen des Risikomanagementprozesses sollten die Schwachstellen bzw. Patches zumindest für absehbare Zeit, in kurzen Abständen, etwa wöchentlich, neu bewertet werden.
  • Aktuell hilft wohl nur die hardwarebasierte Trennung von wirklich relevanten Daten. Wer bisher Medizindaten und die Parkplatzverwaltung auf derselben Hardware hatte, sollte umdenken!
  • Vendor Management: fordern Sie von Ihrem Cloud Anbieter Aussagen ein, wie er gedenkt Ihre Daten vor anderen zu schützen! Hier wird es auch rechtlich spannend, denn was er tun muss und was nicht, und was dann davon ihr Problem bleibt oder seins, das hängt von Ihrem Vertrag ab.
  • Wenn Sie personenbezogene oder hochsensible Daten bearbeiten, empfehlen wir einen noch strengeren Blick. Noch gibt es keine aufsichtsbehördliche Stellungnahme wie mit einer Situation umzugehen ist, in die man durchaus interpretieren kann, dass viele Verfahren auf absehbare Zeit nicht weiter betrieben werden dürften. Unter der Strafandrohung des BDSG war das nicht weiter schlimm. Die DSGVO wartet da mit ganz anderen Geschützen auf.

Autoren: Florian Franke, Holger Heimann, Christian Stehle

[1] https://meltdownattack.com/

[2] https://googleprojectzero.blogspot.de/2018/01/reading-privileged-memory-with-side.html

Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:

  • Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
  • Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
  • Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
  • Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).

Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.

Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:

  • Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
  • Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
  • Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Mit Art. 3 Abs. 2 DSGVO tritt das Marktortprinzip in Kraft. Damit gilt die Datenschutzgrundverordnung (DSGVO) zwingend auch für jedes außereuropäische Unternehmen, wenn es Waren und Dienstleistungen betroffenen Personen innerhalb der EU anbietet. Die Zahlung eines Entgelts spielt dabei keine Rolle. Daher fallen auch Anbieter Sozialer Netzwerke (= Plattformbetreiber) hierunter (vgl. unter https://www.lda.bayern.de/media/dsk_kpnr_7_marktortprinzip.pdf).

Bisher ist unklar, inwieweit neben den Plattformbetreibern auch Unternehmen und Behörden (= Inhalteanbieter), die sich auf diesen Plattformen präsentieren und hierüber Inhalte anbieten, als Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO hinsichtlich der damit einhergehenden Datenverarbeitung anzusehen sind.

Die deutschen Aufsichtsbehörden haben bisher zumindest für öffentliche Stellen eine "datenschutzrechtliche Mitverantwortung" angenommen (vgl. unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/11/2017.11.02._Richtlinie-zur-Nutzung-sozialer-Netzwerke-durch-%C3%B6ff.-Stellen.pdf#). Denn auch die Inhalteanbieter leisten „einen wesentlichen Beitrag zur Realisierung des Geschäftsmodels" der Plattformbetreiber (vgl. unter https://www.datenschutzzentrum.de/artikel/983-.html).

Das Bundesverwaltungsgericht legte am 25.02.2016 dem EuGH in einem Verfahren, bei dem die Aufsichtsbehörde in Schleswig-Holstein beteiligt ist, u.a. die Frage zur diesbezüglichen datenschutzrechtlichen Verantwortung vor (vgl. unter https://www.datenschutzzentrum.de/artikel/1013-.html).

Der Generalanwalt hat in seinen Schlussanträgen zu dieser Rechtssache am 24.10.2017 festgestellt (vgl. unter https://www.datenschutzzentrum.de/artikel/1171-EuGH-Generalanwalt-Keine-Verantwortungsluecken-im-Datenschutz-bei-dem-Betrieb-von-Facebook-Fanpages.html), dass auch ein Inhalteanbieter, der solche Plattformen Sozialer Netzwerke nutzt, sich dabei nicht einfach „seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten (…) entziehen“ darf. Dies solle auch dann gelten, wenn der Inhalteanbieter selbst „keinen Zugang zu den Daten hat“ und auch die „Geschäftsbedingungen im Vorhinein vom [Plattformbetreiber] vorbereitet werden und nicht verhandelbar sind“.

Folgt der EuGH dieser Einschätzung, dann werden sich die Inhalteanbieter die Datenverarbeitungen durch die Plattformbetreiber, die in den wenigsten Fällen datenschutzrechtlichen Vorgaben entsprechen (so hatte bspw. die französische Aufsichtsbehörde im Mai 2017 ein Bußgeld gegen Facebook verhängt, https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act), zurechnen lassen müssen.

Angesichts der Bußgelder, die sich durch die Datenschutzgrundverordnung (DSGVO) drastisch erhöhen, würden Unternehmen mit der Nutzung solcher Plattformen ein hohes Risiko eingehen, wenn sie mit dem Plattformbetreiber als „gemeinsam für die Verarbeitung Verantwortliche“ auftreten. Daher bliebe wohl am Ende nur die Möglichkeit, sich gegen die Nutzung solcher Plattformen zu entscheiden, sofern die Plattformbetreiber ihre Datenverarbeitungen nicht an gesetzliche Vorgaben anpassen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Das anstehende Inkraft-Treten der DSGVO im Mai 2018 hat die Bedeutung des Datenschutzes als unternehmenskritische Thematik in den Vordergrund gerückt.

Insbesondere für Unternehmen aus der Software-Branche ergeben sich daraus zahlreiche neue Herausforderungen. Bestehende Software muss im Hinblick auf die datenschutzrechtlichen Anforderungen der DSGVO evaluiert und ggf. angepasst werden; Kunden verlangen Compliance in Bezug auf abgebildete Prozesse und insbesondere die Verarbeitung personenbezogener Daten in der Software. Und nicht zuletzt – Software, die keine gesetzeskonforme Datenverarbeitung ermöglicht ist mangelhaft.

Art. 25 DSGVO fordert weiterhin explizit Datenschutz durch Technikgestaltung (‚Privacy by Design‘) sowie datenschutzfreundliche Voreinstellungen (‚Privacy by Default‘).

All diese Anforderungen gilt es, bereits im Software-Entwicklungsprozess nachhaltig zu verankern, um sowohl Qualität sicher zu stellen als auch um teure Nachbesserungen zu vermeiden.

Wie eine solche Implementierung aussehen kann, wird exemplarisch anhand der 5 Phasen des agilen Projektzyklus dargestellt:

1. Schritt: Erkennen. Verantwortlich: Product Owner, Projekt-Manager

Datenschutzrelevanz erkennen, Indikatoren hierfür sind bspw.

  • Personenbezogene Daten sind Bestandteil der User Story
  • Personenbezogene Daten werden an Dritte übermittelt
  • Big Data / Smart Data Bezug

2. Schritt: Beschreiben. Verantwortlich: Product Owner, Projekt-Manager, Datenschutzbeauftragter

Teil der User Story werden zwingend die datenschutzrechtlichen Anforderungen, bspw.

  • Datenschutzfreundliche Voreinstellungen
  • Datenverschlüsselung muss vorgesehen werden
  • Festlegung von Speicherfristen
  • Protokollierung von Zustimmungen
  • Rechte- / Rollenkonzept
  • Folgenabschätzung soweit erforderlich

3. Schritt: Umsetzen. Verantwortlich: Software-Developer

Die dem Stand der Technik entsprechende Umsetzung ist zu gewährleisten, bspw.

  • Anerkannte Richtlinien zur sicheren Software-Entwicklung (bspw. OWASP) werden berücksichtigt
  • Echtdaten müssen anonymisiert werden, bevor sie in Test- und Entwicklungssysteme gelangen
  • Einsatz anerkannter Verschlüsselungsverfahren

4. Schritt: Abnehmen. Verantwortlich: Product Owner, Projekt-Manager

Teil des Akzeptanz-Prozesses ist auch die Prüfung, ob die datenschutzrechtlichen Anforderungen korrekt umgesetzt wurden. Zusätzlich ist zu prüfen, ob das Verzeichnis der Verarbeitungstätigkeiten ergänzt oder modifiziert werden muss.

5. Schritt: Betreiben. Verantwortlich: IT-Operations, Kunde

Soweit die Software selbst betrieben wird, ist insbesondere zu beachten:

  • Sicherstellung von Verfügbarkeit und Belastbarkeit der Systeme
  • Definition eines Desaster Recovery Prozesses
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen technischen und organisatorischen Schutzmaßnahmen
  • Definition Backup-Prozess

Eine Umsetzung dieser Vorgehensweise hat sich in der Praxis als zuverlässige Methodik bewährt, setzt allerdings voraus, dass bei den Projektbeteiligten bereits eine Sensibilisierung für die Themen Datenschutz und Datensicherheit vorhanden ist. Insofern bietet es sich an, den Prozess im Rahmen einer Awareness-Kampagne zu etablieren.

Stephan A. Klein
Rechtsanwalt, Senior Consultant Datenschutz

2 AZR 342/20 20 Mitarbeiter 20.04.2021 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD ähnliche Betrugsmaschen Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsschutzverordnung Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto Base64 Decodierer BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Corona Testangebot Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Keule Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverordnung Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSV DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot erhöhter Kundenkontakt Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GCP GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics Google IAP GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Incident Response Incident Response Modus Infektionsrisiko Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Manipulation von Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer organisatorische Absicherung Original oder Betrug Österreich Pandemie Pandemiebekämpfung Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schnelltest Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstelle in Google Cloud Plattform Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Self-XSS Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Testangebot Testpflicht Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil Urteil BAG 27.04.2021 - 2 AZR 342/20 US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virtual Private Network Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 26 Bundesdatenschutzgesetz § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31