Home / Aktuelles & Termine / it.sec blog

Videokonferenzdienste erfreuen sich zur Zeit zunehmender Beliebtheit. Sie können helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten. Nicht alle Lösungen sind jedoch für den geschäftlichen Einsatz empfehlenswert.

Wir hatten bereits über den US-amerikanischen Anbieter Zoom berichtet. Wie sich nun herausstellt, wurden Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet angeboten. Dies berichten Mitarbeiter der IT-Sicherheitsfirma Cyble, die dort rund 530.000 Datensätze ankaufte. Laut Cyble bestehen die Datensätze aus E-Mail-Adressen, Passwörtern im Klartext sowie teilweise aus Meeting-URL und dem Zoom-Host-Key. Der Kaufpreis pro Satz soll weniger als einen US-Cent pro Stück betragen. Die Authentizität der Datensätze wurde nach Angaben von Cyble überprüft.

Das Raumfahrtunternehmen des Tesla-Gründers Elon Musk, SpaceX, hat sich ebenso wie die NASA frühzeitig entschieden, seinen Mitarbeitern die Verwendung von Zoom zu untersagen. Google hat sich mittlerweile ebenfalls entschieden, Zoom auf seinen Arbeitsrechnern zu blockieren. Zoom hatte bereits vor einer Woche den Ex-Sicherheitschef von Facebook engagiert, um die Probleme bei Datenschutz und Datensicherheit in den Griff zu bekommen.

Nicht alle Videokonferenzdienste sind unsicher. Achten Sie vor allem auf ausreichende Verschlüsselung und Verifikation der Nutzer bei der Anmeldung im Konferenzraum. Nicht alles, was kostenlos und nutzerfreundlich ist, erfüllt auch die Sicherheitsstandards für den kommerziellen Gebrauch.

Weiterhin gilt: Sprechen Sie möglichst vor der Einführung neuer Software mit Ihrem Datenschutz- und Informationssicherheitsbeauftragten! Nur auf diesem Weg erhalten Sie eine kompetente und unabhängige Einschätzung der Risiken von Datenverarbeitungsprozessen. Außerdem kann eine bestehende Lösung bei Bedarf besser abgesichert werden.

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

In der aktuellen Situation müssen immer mehr Unternehmen ihre IT-Infrastruktur umstellen, indem sie in kurzer Zeit viele Home-Office-Arbeitsplätze schaffen. Die Ausweitung der digitalen Nutzung und die allgemeine Hektik wird derzeit leider vermehrt von Cyberkriminellen missbraucht. Gerade auch, weil anderen Themen – wie Datenschutz und Datensicherheit – nicht mehr die nötige Aufmerksamkeit geschenkt werden kann oder Mitarbeiter weniger achtsam sind und bspw. auf Phishing-Mails hereinfallen.

Daher sollten auch während der jetzigen Zeit Maßnahmen zur Abwehr von Cyber-Attacken getroffen werden:

Warnen Sie Ihre Mitarbeiter vor Phishing-Angriffen

Weisen Sie Ihre Mitarbeiter noch einmal darauf hin, dass vermehrt E-Mails, SMS und Chatnachrichten verschickt werden (insbesondere mit Infos zum Coronavirus, mit Angeboten von Atemschutzmasken oder Desinfektionsmitteln sowie Online-Formularen für Reiseverzichtserklärungen oder Spenden), die Schadsoftware in Anhängen oder Links enthalten, die dazu verleiten, sich auf eine kompromittierte oder gefälschte Website zu begeben; solche Phishing-Mails sind das erste Einfallstor in Ihr Unternehmensnetzwerk.

Verstärken Sie die Sicherheit Ihrer Informationssysteme und Unternehmensnetzwerke

Verstärken Sie gerade jetzt Ihre Sicherheitsmaßnahmen zur Erkennung oder Verhinderung von Cyber-Angriffen:

  • Inventarisierung der an Mitarbeiter ausgegebenen Arbeitsmittel (PC, Notebook, Smartphone etc.)
  • Zeitnahe Einspielung von Sicherheitspatches, insbesondere derzeit von den eingesetzten VPN-Lösungen
  • Verbesserung der Authentifizierungsverfahren, mit denen sich Benutzer, insbesondere von ihren Home-Office-Arbeitsplätzen an den Systemen anmelden.
  • Sicherheitsüberwachung, bspw. durch eine umfangreichere Auswertung der Protokolldaten.
  • Evaluierung, ob Ihre getroffenen Maßnahmen wirksam sind, bspw. durch IT Health Checks oder Penetration Tests.
Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!

Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.

  • Zugriffsrechte, Speicherdauer und Informationspflichten
  • Umgang mit Besucherdaten
  • Übermittlung von Betroffenendaten an Öffentliche Stellen
  • IT Health Checks und Penetration Tests

(Hier geht's zu Teil-2 des Blogbeitrags!)

Unsere Kontaktdaten für Ihre Datenschutz-Fragen:

Dr. Bettina Kraft

Tel. +49 731 20589-24

datenschutz@it-sec.de

Unsere Kontaktdaten für IT Health Checks und Penetration Tests:

Holger Heimann

Tel. +49 731 20589-0

E-Mail: pentests@it-sec.de

Bleiben Sie gesund!

Ihre it.sec GmbH

Das Landgericht Berlin verurteilte einen Pharmalobbyisten sowie einen Systemadministrator zu einer hohen Geldstrafe wegen Ausspähens von Daten (vgl. Redaktion beck-aktuell, Verlag C.H.BECK, 11. April 2019: LG Berlin: Geldstrafen wegen Ausspähens von Daten aus dem Bundesgesundheitsministerium; ebenso: rbb 24 online, 10.04.2019, Tagesspiegel online, 10.04.2019, Urteil vom 10.04.2019 - 501 – 39/13).

Der für das Bundesgesundheitsministerium zuständige Systemadministrator ermöglichte dem Pharmalobbyisten zwischen 2009 und 2012 immer wieder unbefugt Zugang zur E-Mail-Korrespondenz des Ministeriums; darunter E-Mails der damaligen Gesundheitsminister, Staatssekretäre und weiterer wichtiger Mitarbeiter. Der Pharmalobbyist wollte sich auf diese Weise noch vor etwaigen Konkurrenten und der Öffentlichkeit einen Informationsvorsprung verschaffen, um frühzeitig Einfluss auf Entscheidungen des Gesundheitsministeriums nehmen zu können.

Im Rahmen des Prozesses kam aber ebenso heraus, dass das Ministerium zum damaligen Zeitpunkt wohl nicht alle notwendigen technischen sowie organisatorischen Maßnahmen umgesetzt hatte, um einen solch unbefugten Zugang und Zugriff des IT-Administrators zu verhindern oder zumindest frühzeitig zu erkennen (Redaktion beck-aktuell). Dass dies jedoch kein Einzelfall ist, zeigen die verschiedenen Datenpannen, die immer wieder publik werden.

Das Thema Datensicherheit sollte jedoch bei allen öffentlichen Stellen und Unternehmen einen hohen Stellenwert haben, um Unbefugten sowohl von außen und als auch von innen den Zugriff zu verwehren. Denn Fälle wie dieser oder auch der von Cambridge Analytica zeigen sehr deutlich, wie schwerwiegend sich Datenschutzverstöße und die damit einhergehende ungleiche Verteilung von Informationsmacht auf Politik und Gesellschaft auswirken (können).

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Auch in Baden-Württemberg wurde nun das erste Bußgeld nach der Datenschutzgrundverordnung (DSGVO) verhängt. Ein Social-Media-Anbieter hat gegen die in Art. 32 DSGVO vorgeschriebene Datensicherheit verstoßen und soll nun eine Geldbuße von 20.000 Euro bezahlen.

Im September dieses Jahres hatte das Unternehmen bemerkt, dass durch einen Hackerangriff personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht wurden. Im Rahmen der Zusammenarbeit mit dem LfDI Baden-Württemberg wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext gespeichert hatte, um die Nutzer durch den Einsatz eines Passwortfilters besser zu schützen.

Dadurch verstieß das Unternehmen jedoch gegen Art. 32 Abs. 1 lit. a DSGVO und die sich daraus ergebende Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.

Die gute Kooperation des Unternehmens wirkte sich bei der Höhe des Bußgeldes positiv aus. Durch die Bereitschaft des Unternehmens bei der Umsetzung der Vorgaben und Empfehlungen konnte die Sicherheit der Nutzerdaten bereits deutlich verbessert werden.

Julia Eisenacher

Consultant für Datenschutz

Diplomjuristin

Das E-Government-Gesetz

 

Unscheinbar kam sie daher, die Richtlinie 2014/55/EU über die elektronische Rechnungsstellung bei öffentlichen Aufträgen im Jahre 2014. In formelles nationales Recht wurde sie erst im April 2017 umgesetzt, durch eine Änderung des E-Government-Gesetzes, doch nun geht es Schlag auf Schlag. Der Bund hat seine E-Rechnungs-Verordnung schon letztes Jahr verabschiedet und die Länder sollen noch in diesem Monat folgen. Der Bund will bereits in diesem Monat mit seinem zentralen E-Rechnungs-Portal online gehen. Doch was ist die Konsequenz?

 

Bis spätestens April 2020 müssen auch die Kommunen in Deutschland die Voraussetzung dafür schaffen, dass sie elektronische Rechnungen empfangen und weiterverarbeiten können. Wer sich bislang noch nicht damit beschäftigt hat, sollte dies schleunigst nachholen, wissen wir doch spätestens seit der Umsetzung der DSGVO, dass kleine Verordnungen durchaus große praktische Auswirkungen haben können und dass derartige Anpassungen nicht von heute auf morgen zu schaffen sind.

 

Konkret: Jede Kommune (und auch alle weiteren öffentlichen Einrichtungen der Länder und natürlich auch des Bundes) ist in Zukunft verpflichtet, E-Rechnungen zu empfangen und zu bearbeiten. Bei geschätzten 75,8 Millionen Rechnungen pro Jahr alleine auf kommunaler Ebene keine Kleinigkeit. Wo bislang Papierrechnungen von Schreibtisch zu Schreibtisch wandern, geprüft, freigegeben, gestempelt, gelocht und abgelegt werden, sollen nun durch den digitalen Workflow viel Arbeit, Zeit und Ressourcen eingespart werden.

 

Was ist eine X-Rechnung?

 

Der Empfang von E-Rechnung bedeutet nicht, dass die Kommune auch Rechnungen als PDF im digitalen Postfach akzeptiert. Es handelt sich bei der E-Rechnung um ein eigenes, maschinenlesbares Format, in Deutschland X-Rechnung genannt, welches ein auf XML basierendes semantischen Datenmodell darstellt und damit den für Deutschland verbindlichen Standard definiert. Zur Bearbeitung von E-Rechnungen werden seitens der KoSIT (Koordinierungsstelle für IT-Standards) kostenlose Tools sowohl für Unternehmen als auch für die Behörden bereitgestellt, mittels derer Rechnungen einerseits erstellt werden, dann aber auch durch die Behörden weiterverarbeitet werden können.

 

Der Vorteil für die Unternehmen? Jedem Lieferanten einer Kommune oder eines sonstigen öffentlichen Auftraggebers ist es dann erlaubt, seine Rechnungen online an die Kommunen zu übermitteln, wo sie schneller bearbeitet werden können, so dass die Lieferanten ihr Geld schneller bekommen. Die Kommunen erhalten durch E-Rechnungen den Überblick über eingegangene aber unbezahlte Rechnungen, es lässt sich nachvollziehen, auf welchem Schreibtisch sich welche Rechnung gerade zur Freigabe befindet und Vorgänge lassen sich elektronisch natürlich deutlich schneller suchen und nachvollziehen.

 

Was ist zu tun?

 

Die Herausforderung für die Kommunen ist es einerseits, ihre Arbeitsprozesse auch entsprechend anzupassen. Keinem ist geholfen, wenn die Rechnungen nur ausgedruckt und dann weiter „traditionell“ in Papierform bearbeitet werden. Das heißt, neue Workflows müssen definiert werden, um die digitale Bearbeitung sicherzustellen.

 

Im Sinne des Datenschutzes sollten dann Berechtigungskonzepte neu überdacht und implementiert werden, denn auch in den X-Rechnungen werden sich in Zukunft zahlreiche personenbezogen Daten finden, seien es Ansprechpartner, persönliche Telefonnummern von Sachbearbeitern aber vor allem die personenbezogenen Daten in den Buchungstexten sind trotz E-Rechnung durch die DSGVO geschützt.

 

Datenschutz und Datensicherheit

 

Weiß man, wer wem wann welche Rechnung gestellt hat, so sagt dies einiges über die beteiligten Parteien aus. Daher werden auch an die Ansprüche an die Datensicherheit in den Kommunen wachsen. Regelmäßige IT-Health-Checks und Pentests sollten auch in den Kommunen durchgeführt werden. Die Verzeichnisse für Verarbeitungstätigkeiten (ehemals Verfahrensverzeichnisse) sollten den neuen Prozessen angepasst werden bzw. neue Prozesse müssen definiert werden. Sofern Sie noch keine Projektgruppe gebildet haben, sollte dies umgehend passieren. Da es sich um eine gesetzliche Vorgabe handelt, müssen die entsprechenden Mittel zur Umsetzung eingeplant und bereitgestellt werden.

 

Wenn Sie bei der Umsetzung feststellen sollten, dass Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu.

 

Céline Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Wie ist die heutige Risikolage?

Die Risikolage bezüglich der im Unternehmen verarbeiteten Daten wird heute immer noch unterschätzt! Denn Informationen sind das heutige „Gold“ mit dem man schnell viel Geld machen kann. Sie finden sich überall wieder, auf unseren Tablets, auf unseren Smartphones und natürlich auf den Rechnern und anderen technischen Geräten, die in Unternehmen eingesetzt werden. Professionelle Hacker wissen wonach sie suchen müssen und sie wissen auch dieses „Gold“ zu verwerten.
Dadurch können hohe finanzielle Schäden für das Unternehmen entstehen und auch ein nicht zu unterschätzender Imageverlust kann für ein betroffenes Unternehmen die Folge sein.
Doch auch auf anderen Wegen, wie über Bußgelder können Unternehmen heutzutage sehr viel Geld verlieren. So gibt es seit dem 25. Mai 2018 Sanktionen, die durch die EU-DSGVO empfindlich geahndet werden. Sanktionen werden bei einem Sicherheitsvorfall nicht nur einmal erhoben, denn sollten mehrere Verstöße gegen die Vorgaben des Datenschutzes (persönliche Daten/Kundendaten) nachgewiesen werden, so wird jeder Verstoß einzeln geahndet.

Was investieren Unternehmen in den Schutz ihrer Daten?

Trotz der Bedrohung durch Hackerangriffe und der Selbstverständlichkeit, das eigene Unternehmen u.a. gemäß den Vorgaben der EU-DSGVO auszurichten, d.h. auch entsprechende Sicherheitsvorkehrungen zu treffen, sind viele Unternehmen eher bereit, einen Sicherheitsvorfall zu riskieren, als vorab in die IT-Sicherheit zu investieren. Dabei halten mehr als die Hälfte der Unternehmen ihre Unternehmensdaten für nicht sicher. Grund hierfür sind unter anderem die weiter sinkenden Investitionen in die IT-Sicherheit, welche in Deutschland und Österreich bei gerade einmal 13 Prozent liegen.
Daher gehen viele Unternehmen dazu über, Lösegeld für ihre Daten zu bezahlen oder auch die von der EU-DSGVO verhängten Sanktionen, welche mit 2 % bzw. 4% des globalen Umsatzes oder bis zu 10 oder 20 Mio. Euro pro Verstoß immense Kosten in einem Unternehmen verursachen.Dazu kommen natürlich noch die Kosten, um nach einem Angriff die betroffenen IT-Systeme und Infrastrukturen wiederherzustellen. Von dem Imageverlust des Unternehmens ganz zu schweigen, welcher sich nur schwer in Euros beziffern lässt. Auch das Vertrauen der Kunden zurückzugewinnen, ist natürlich ebenfalls nicht umsonst.
Nur wird noch häufig vernachlässigt, wenn das Opfer das Lösegeld bezahlt, wird auch nicht in allen Fällen die Daten wieder freigegeben und entschlüsselt. Und sollte ein Unternehmen attraktiv für Hacker sein, wird es auch nicht nur einem (erfolgreichen) Angriff standhalten müssen.

Muss das so sein?

Kurze Antwort: Nein. Lange Antwort: Es muss natürlich eine Abwägung zwischen den betriebenen Aufwänden und der Wahrscheinlichkeit eines Sicherheitsvorfalls geben. Aber mit rund 13 Prozent mehr oder weniger auf IT-Sicherheit zu verzichten, ist für ein wirtschaftlich handelndes Unternehmen keine akzeptable Lösung.
Denn wenn auch einigen Betroffenen die Sicherheitslücken in ihrer konfigurierten Verschlüsselung eher „esoterisch“ vorkommen und glauben, dass diese nicht wirklich ausnutzbar sind, der ist zumindest derzeit noch nicht ganz verkehrt, aber es wird hier mit einem offenen Einfallstor zu unbedacht umgegangen.Es ist zwar derzeit nur sehr schwer und nicht ohne hohen Aufwand möglich Verschlüsselungen zu brechen,vieles ist bisher „nur“ in Labor-Umgebungen erfolgreich gewesen, aber in der heutigen Zeit, wo die Entwicklung der Supercomputer immer mehr Auftrieb nimmt, sollten diese Schwachstellen auch nicht auf die „leichte Schulter“ genommen werden. Selbst heute sind Supercomputer in der Lage 93 PetaFlops (das entspricht Billiarden Gleitkommaoperationen in der Sekunde) auszuführen. Diese Leistung und der Fortschritt in der Entwicklung könnte dazu führen, dass derzeitige noch als sicher geltende Verschlüsselungsverfahren, wie RSA und ECC, ab 2031 geknackt werden könnten. Neben Supercomputern gibt es aber auch heute schon die Möglichkeiten der Nutzung von Bot-Netzen (Mirai & Co.), um die nötige Rechenleistung für solche Kollisionsverfahren oder das Faktorisieren von Schlüsseln zu erzielen.
Kennt man die Vorgehensweise und die Methoden von Hackern, kann ein Unternehmen dies bei der Planung der IT-Sicherheit durch Sicherheitsexperten einfließen lassen, aber es darf nicht die alleinige Bewertungsgrundlage sein.So sollten neben dem Fixen der kritischen und hoch eingestuften Schwachstellen auch auf das Fixen der eher „fiktiv erscheinenden“ Schwachstellen (wie bei der Verschlüsselung oder den SSL-Zertifikaten) Rücksicht genommen werden, da diese mit jedem Tag besser und schneller ausnutzbar sind.

Fazit

Unternehmen sollten ihre Investitionen in eine funktionierende IT-Sicherheit überdenken und den Stellenwert der Daten und Informationen, die sie schützen müssen. Sie sollten sich die Frage stellen, ob der Aufwand und die Investitionen dem Level der schützenswerten Daten auch entsprechen. Denn es ist die Grundlage all ihrer Arbeit. Ein professioneller Rennfahrer würde seinen Rennwagen schließlich auch nicht unverschlossen mit steckendem Schlüssel im Zündschloss auf der Straße stehen lassen.Für allen Planungen zur IT-Sicherheit sollte also neben dem Stellenwert der schutzbedürftigen Daten/Informationen auch immer die Frage berücksichtigt sein, wie geht ein Hacker vor, was für Hürden müssen wir ihm stellen, wie ist die Entwicklung der Technologie (Stichwort: Supercomputer) und wie verhalte ich mich datenschutzkonform?
Die Investitionen zur Umsetzung der vorab genannten Überlegungen und die Überprüfung durch IT-Sicherheitsexperten, die präventiv das Sicherheitslevel untersuchen, bewerten und Empfehlungen zur Verbesserung der IT-Sicherheit geben können, ist vergleichsweise für ein Unternehmen daher deutlich lukrativer, indem sie je nach Umfang und Tiefe einer Sicherheitsprüfung, einen vier- bis fünfstelligen Betrag zahlen, als mit sieben- bis achtstelligen Kosten- und Sanktionsbeträgen zu spekulieren und obendrein noch ihren „guten Ruf“ zu riskieren.

Chr. Schöndube
Senior IT-Security Consultant / Penetrationstester

Mit ihren Firmenwebseiten treten Unternehmen nach außen in Erscheinung, so dass diese ganz leicht Gegenstand sowohl von Prüfaktionen der Aufsichtsbehörden sein können, als auch von Kriminellen, die bekannte Sicherheitslücken ausnutzen.

Daher sollten Unternehmen im Impressum und der Datenschutzerklärung ihren Informationspflichten gegenüber den Webseitenbesuchern vollständig nachkommen, und Cookies sowie Trackingsoftware nur derart einsetzen, dass Rückschlüsse auf Webseitenbesucher nicht möglich sind.

Des Weiteren sollte dringend geprüft werden, ob die eingesetzten Webanwendungen abgesichert sind (Stichwort: HTTPS, HSTS, Secure-Cookie-Flag, Secure Coding Guideline usw.) und eine Verwundbarkeit der Webseiten durch Sicherheitslücken ausgeschlossen werden kann. Hintergrund ist, dass viele Webseiten heutzutage mit Content Management Systemen erstellt werden, die anfällig für Schwachstellen sind. Diese Schwachstellen ermöglichen es Angreifern, im schlimmsten Fall Datenbanken auszulesen, Schadcode auf der Webseite einzuschleusen oder gar die gesamte Anwendung, inklusive des Backends (CMS) zu kompromittieren. Um über derart anfällige Webserver bzw. Webseiten bspw. Zugangsdaten von Anwendern abzugreifen, ist unter Umständen auch schon ein unautorisierter Zugriff von außen ausreichend.

Ein großes Problem dabei sind häufig externe Plugins, die oftmals zahlreich in den CMS eingebunden werden können, um Webseiten entsprechend besser und mit mehr Funktionsumfang auszustatten. Ein Verzicht auf solche Plugins macht dann auch nicht nur aus Gründen der Datensicherheit Sinn, sondern auch in datenschutzrechtlicher Hinsicht; denn v.a. über Drittanbieter-Plugins werden oftmals allein durch deren Einbettung auch personenbezogene Daten (u.a. vollständige IP-Adresse, Klarnamen oder E-Mail-Adressen) an Dritte übermittelt, ohne die Einwilligung der betroffenen Webseitenbesucher eingeholt zu haben. Der Empfängerkreis erweitert sich, wenn Kriminelle solche Schwachstellen ausnutzen und dann ebenso Zugriff auf Daten erhalten.

An der Stelle sei nochmals darauf hingewiesen, dass solche Datenschutzverletzungen ab dem 25.05.2018 zukünftig innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden müssen.

Daher empfiehlt es sich, durch ein geeignetes Patch-Management alle Sicherheitslücken in dem verwendeten Content Management System zu schließen und über Penetrationstests die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen.

Christopher Schöndube
IT Security Consultant, Penetrationstester

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Auch die Hardware der Beschäftigten sollte mit Bedacht und Verstand ausgewählt werden. Hacker können nun auch die Verbindung zwischen Tastatur und Computer hacken und somit eigene Befehle an den Computer senden. Mit solchen MouseJack-Angriffen können nicht nur Programme am Computer gestartet werden, sondern auch Scripte geschrieben und ausgeführt, sowie Dateien ins Internet hochgeladen werden.

Ziel der Hacker ist es, sensible Daten zu entwenden oder Schadsoftware auf Ihrem Computer zu installieren. Es sind aktuell beinahe alle gängigen Funktastaturen im 2,4-GHz-Band anfällig für einen solchen Angriff. Mit Hilfe von Updates kann auf dieses Risiko reagiert werden. Idealerweise sollten zukünftig nur noch Tastaturen angeschafft werden, die über Bluetooth oder das alt bewerte Kabel funktionieren. Bluetooth ist durch die oben beschriebenen Angriffe nicht gefährdet.

Der Angriff ist schnell und einfach durchzuführen. Benötigt wird hierfür nur ein Empfänger und eine Antenne, mit denen dann die Funksignale der Tastatur abgefangen und so die Adressen aktiver Mäuse und Tastaturen ermittelt werden können. Die Reichweite des Empfängers liegt bei bis zu 1.000 m im Freien und 50 m in geschlossenen Räumen.

Vor allem in sensiblen Bereichen wie beispielsweise der Personalabteilung sollte auf solche Funktastaturen verzichtet werden.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

Beim Aufbau einer geeigneten Infrastruktur zum IT Governance, Risk & Compliance Management (IT GRC Management) sollten folgende Schritte durchgeführt werden:

Aktivitäten in der Plan-Phase:

  1. Einbindung der zu beteiligenden Stellen ins Projekt:
    1. IT-Sicherheitsbeauftragter zur Projektsteuerung (dieser ist i.d.R. der Eigner der aufzubauenden IT GRC Infrastruktur)
    2. Datenschutzbeauftragter im Rahmen der durchzuführenden Datenschutz-Folgenabschätzung nach der EU-Datenschutzgrundverordnung, da im Zuge eines IT GRC Managements stets personenbezogene Profilingdaten verarbeitet werden
    3. Betriebsrat bzw. Personalrat im Rahmen betrieblicher Mitbestimmung, da im Zuge eines IT GRC Managements i.d.R. auch Verhaltenskontrollen unter Zuhilfenahme von technischen Einrichtungen durchgeführt werden
    4. Rechtsabteilung zur Bestimmung weiterer rechtlicher Anforderungen, die beim Aufbau der IT GRC Infrastruktur zu beachten sind (z.B. zur Revisionsfestigkeit von Protokollen und der Einhaltung bestehender Aufbewahrungs- und Löschungspflichten)
  2. Festlegung der einzuhaltenden Sicherheitsziele, die u.U. (z.B. aufgrund gesetzlicher Vorgaben) auch über die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen können, um z.B. die Authentizität (zusätzlich nach dem IT-Sicherheitsgesetz), die Nichtabstreitbarkeit von Aktionen (zusätzlich nach Basel II/III) oder die Belastbarkeit (zusätzlich nach der EU-Datenschutzgrundverordnung) nachweisen zu können – hier liefern internationale Standards wie z.B. die ISO/IEC 27001 eine strukturierte Vorgehensweise
  3. Bestimmung der zu schützenden Information Assets (darunter sind sowohl Informationen – inkl. personenbezogener Daten – als auch Prozessbeschreibungen – inkl. notwendiger Compliance-Prozesse – zu verstehen) und deren Kritikalität sowie Wertigkeit – dabei ist der Schutzbedarf ausschlaggebend und leiten sich daraus insbesondere datenschutzrechtliche Anforderungen bzw. für kritische Infrastrukturen auch Anforderungen aus dem IT-Sicherheitsgesetz ab
  4. Bestimmung der zu schützenden Supporting Assets (wie Hardware, Software, Netzwerkkomponenten, Personal, Gebäude, Räume und organisatorische Strukturen und der jeweiligen Abhängigkeiten der Assets untereinander). Deren Schutzbedarf leitet sich aus den Primary Assets ab, die durch diese Supporting Assets unterstützt werden.

Aktivitäten in der Do-Phase:

  1. Anwendung der festgelegten Sicherheitsziele auf die Gestaltung und Verwendung der Information Assets – dies erfordert eine umfangreiche Modellierung und geschieht zweckmäßigerweise unter Beachtung internationaler Standards
  2. Zusammentragung relevanter organisatorischer Anweisungen und deren (i.d.R. checklistenartige) Abbildung im Rahmen des einzusetzenden IT GRC Tools – ein entsprechender Transfer papierner Regeln und technischer Parametereinstellungen in entsprechende Tools erfordert i.d.R. nicht unerhebliche Anpassungsarbeiten
  3. Zusammentragung technischer Basisdaten (möglichst automatisiert!) ins IT GRC Tool – dabei ist darauf zu achten, dass die eingesetzten Tools erst mal eine einheitliche "Sprache" sprechen müssen, um überhaupt vergleichbare Ergebnisse liefern zu können.

Aktivitäten in der Check-Phase:

  1. Durchführung ergänzender Audits und automatisierter Tests. Um die Wirksamkeit der umgesetzten Maßnahmen innerhalb des IT GRC Tools bewerten zu können, sind ergänzende, i.d.R. semi-automatisierbare Prüfungen durchzuführen. Deren Ergebnisse sind ins IT GRC Tool einzuspeisen. Zusammen mit den automatisierten Prüfungen (durch Abgleich technischer Basisdaten mit Vorgaben aus dem umzusetzenden Regelwerk) dient dies als Beleg für die Wirksamkeit des verwendeten Rahmenwerks und damit der Haftungsentlastung.
  2. Bewertung der Ergebnisse unter Zuhilfenahme bereitgestellter Metriken (Key Risk / Goal / Performance Indicators) des IT GRC Tools – unter dem besonderen Fokus auf eine ganzheitliche Sicht. Hierbei wird insbesondere dargestellt, welchen Einfluss die aktuelle Ist-Lage auf die Primary Assets hat.

Aktivitäten in der Act-Phase:

  1. Report der Bewertung, Behebung festgestellter Mängel und Monitoring der Langzeitentwicklung – die eingesetzte Infrastruktur sollte hierzu möglichst zeitnahe Berichte "auf Knopfdruck" liefern. Diese müssen sowohl managementtauglich sein (Überblick zur Steuerung) als auch dem technischen Personal eine klaren Hinweis zur Mängelbeseitigung bzw. Administration liefern.
  2. Anpassung der bestehenden IT GRC Infrastruktur und ggf. geeignete Modifikation von deren Konfiguration – im Rahmen der kontinuierlichen Fortentwicklung

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

Ein Passwort ist eines der wichtigsten Mittel, die eigenen oder betrieblichen personenbezogenen Daten zu schützen. Dabei steht doch aber immer auch die Frage im Raum, wie ein solches Passwort zu gestalten ist, damit es die Daten auch nachhaltig schützen kann.

Bisher waren die Vorgaben, was ein sicheres Passwort ausmacht, recht klar. Die Verwendung von Passwörtern mit mind. 8 Zeichen bestehend aus einer Kombination von Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sowie ein Passwortwechsel alle 90 Tage sollten einem Hacker die Arbeit besonders erschweren.

Vor Kurzem hat jedoch das National Institute of Standard and Technology (NIST), welches diese Regeln erst ins Leben rief, diese Annahme revidiert. Der ursprüngliche Autor dieser Vorgaben, Bill Burr, hatte dazu auch erklärt, dass die damaligen Annahmen ein Irrtum gewesen seien.

Dies ist nicht darauf zurückzuführen, dass die Vorgaben damals generell falsch waren, doch aber darauf, dass sich seit 2003, das Veröffentlichungsdatum der alten Passwort-Regeln, die Technik erheblich weiterentwickelt hat. Auch haben die zahlreichen Hackerangriffe der letzten Zeit dafür gesorgt, dass es ausführliche Wörterbücher von verwendeten Passwörtern gibt, in welchen Angreifer „nachschlagen“ können.

Es ist also in der heutigen Zeit um vieles einfacher als noch vor 14 Jahren, Passwörter mithilfe einer Software auszulesen.

Daher ist ein neues Herangehen an die Passworterstellung angebracht. Das NIST hat in seinem neu veröffentlichten Leitfaden festgestellt, dass besonders die Passwortlänge eine entscheidende Rolle bei der Sicherheit spielt.

Es wird geraten, möglichst lange Passwörter mit mindestens 12 Zeichen und einer zufälligen Zeichenabfolge zu vergeben, also z.B. eine Wortreihe, die logisch keinen Sinn ergibt, wie SchuhDatenschutzRegen. Sonderzeichen können ebenso nützlich sein, aber auch beim Einsatz dieser gilt, ein Muster bei der Passwortvergabe, das einfach zu identifizieren ist, sollte vermieden werden. Denn Software, welche versucht Passwörter auszulesen, kann dies schneller tun, wenn dem Passwort ein Muster zugrunde liegt.

Auch sollten zu jeder Zeit für unterschiedliche Portale oder Anwendungen verschiedene Passwörter verwendet werden. Denn sollte doch einmal ein Passwort in unbefugte Hände geraten, sind nicht auch noch alle anderen Anwendungen oder Benutzerkonten in Gefahr, ausgespäht zu werden.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Krankheit Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31