Home / Aktuelles & Termine / it.sec blog

Videokonferenzdienste erfreuen sich zur Zeit zunehmender Beliebtheit. Sie können helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten. Nicht alle Lösungen sind jedoch für den geschäftlichen Einsatz empfehlenswert.

Wir hatten bereits über den US-amerikanischen Anbieter Zoom berichtet. Wie sich nun herausstellt, wurden Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet angeboten. Dies berichten Mitarbeiter der IT-Sicherheitsfirma Cyble, die dort rund 530.000 Datensätze ankaufte. Laut Cyble bestehen die Datensätze aus E-Mail-Adressen, Passwörtern im Klartext sowie teilweise aus Meeting-URL und dem Zoom-Host-Key. Der Kaufpreis pro Satz soll weniger als einen US-Cent pro Stück betragen. Die Authentizität der Datensätze wurde nach Angaben von Cyble überprüft.

Das Raumfahrtunternehmen des Tesla-Gründers Elon Musk, SpaceX, hat sich ebenso wie die NASA frühzeitig entschieden, seinen Mitarbeitern die Verwendung von Zoom zu untersagen. Google hat sich mittlerweile ebenfalls entschieden, Zoom auf seinen Arbeitsrechnern zu blockieren. Zoom hatte bereits vor einer Woche den Ex-Sicherheitschef von Facebook engagiert, um die Probleme bei Datenschutz und Datensicherheit in den Griff zu bekommen.

Nicht alle Videokonferenzdienste sind unsicher. Achten Sie vor allem auf ausreichende Verschlüsselung und Verifikation der Nutzer bei der Anmeldung im Konferenzraum. Nicht alles, was kostenlos und nutzerfreundlich ist, erfüllt auch die Sicherheitsstandards für den kommerziellen Gebrauch.

Weiterhin gilt: Sprechen Sie möglichst vor der Einführung neuer Software mit Ihrem Datenschutz- und Informationssicherheitsbeauftragten! Nur auf diesem Weg erhalten Sie eine kompetente und unabhängige Einschätzung der Risiken von Datenverarbeitungsprozessen. Außerdem kann eine bestehende Lösung bei Bedarf besser abgesichert werden.

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Mit ihren Firmenwebseiten treten Unternehmen nach außen in Erscheinung, so dass diese ganz leicht Gegenstand sowohl von Prüfaktionen der Aufsichtsbehörden sein können, als auch von Kriminellen, die bekannte Sicherheitslücken ausnutzen.

Daher sollten Unternehmen im Impressum und der Datenschutzerklärung ihren Informationspflichten gegenüber den Webseitenbesuchern vollständig nachkommen, und Cookies sowie Trackingsoftware nur derart einsetzen, dass Rückschlüsse auf Webseitenbesucher nicht möglich sind.

Des Weiteren sollte dringend geprüft werden, ob die eingesetzten Webanwendungen abgesichert sind (Stichwort: HTTPS, HSTS, Secure-Cookie-Flag, Secure Coding Guideline usw.) und eine Verwundbarkeit der Webseiten durch Sicherheitslücken ausgeschlossen werden kann. Hintergrund ist, dass viele Webseiten heutzutage mit Content Management Systemen erstellt werden, die anfällig für Schwachstellen sind. Diese Schwachstellen ermöglichen es Angreifern, im schlimmsten Fall Datenbanken auszulesen, Schadcode auf der Webseite einzuschleusen oder gar die gesamte Anwendung, inklusive des Backends (CMS) zu kompromittieren. Um über derart anfällige Webserver bzw. Webseiten bspw. Zugangsdaten von Anwendern abzugreifen, ist unter Umständen auch schon ein unautorisierter Zugriff von außen ausreichend.

Ein großes Problem dabei sind häufig externe Plugins, die oftmals zahlreich in den CMS eingebunden werden können, um Webseiten entsprechend besser und mit mehr Funktionsumfang auszustatten. Ein Verzicht auf solche Plugins macht dann auch nicht nur aus Gründen der Datensicherheit Sinn, sondern auch in datenschutzrechtlicher Hinsicht; denn v.a. über Drittanbieter-Plugins werden oftmals allein durch deren Einbettung auch personenbezogene Daten (u.a. vollständige IP-Adresse, Klarnamen oder E-Mail-Adressen) an Dritte übermittelt, ohne die Einwilligung der betroffenen Webseitenbesucher eingeholt zu haben. Der Empfängerkreis erweitert sich, wenn Kriminelle solche Schwachstellen ausnutzen und dann ebenso Zugriff auf Daten erhalten.

An der Stelle sei nochmals darauf hingewiesen, dass solche Datenschutzverletzungen ab dem 25.05.2018 zukünftig innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden müssen.

Daher empfiehlt es sich, durch ein geeignetes Patch-Management alle Sicherheitslücken in dem verwendeten Content Management System zu schließen und über Penetrationstests die Wirksamkeit der getroffenen Sicherheitsmaßnahmen zu überprüfen.

Christopher Schöndube
IT Security Consultant, Penetrationstester

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Beim Aufbau einer geeigneten Infrastruktur zum IT Governance, Risk & Compliance Management (IT GRC Management) sollten folgende Schritte durchgeführt werden:

Aktivitäten in der Plan-Phase:

  1. Einbindung der zu beteiligenden Stellen ins Projekt:
    1. IT-Sicherheitsbeauftragter zur Projektsteuerung (dieser ist i.d.R. der Eigner der aufzubauenden IT GRC Infrastruktur)
    2. Datenschutzbeauftragter im Rahmen der durchzuführenden Datenschutz-Folgenabschätzung nach der EU-Datenschutzgrundverordnung, da im Zuge eines IT GRC Managements stets personenbezogene Profilingdaten verarbeitet werden
    3. Betriebsrat bzw. Personalrat im Rahmen betrieblicher Mitbestimmung, da im Zuge eines IT GRC Managements i.d.R. auch Verhaltenskontrollen unter Zuhilfenahme von technischen Einrichtungen durchgeführt werden
    4. Rechtsabteilung zur Bestimmung weiterer rechtlicher Anforderungen, die beim Aufbau der IT GRC Infrastruktur zu beachten sind (z.B. zur Revisionsfestigkeit von Protokollen und der Einhaltung bestehender Aufbewahrungs- und Löschungspflichten)
  2. Festlegung der einzuhaltenden Sicherheitsziele, die u.U. (z.B. aufgrund gesetzlicher Vorgaben) auch über die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen können, um z.B. die Authentizität (zusätzlich nach dem IT-Sicherheitsgesetz), die Nichtabstreitbarkeit von Aktionen (zusätzlich nach Basel II/III) oder die Belastbarkeit (zusätzlich nach der EU-Datenschutzgrundverordnung) nachweisen zu können – hier liefern internationale Standards wie z.B. die ISO/IEC 27001 eine strukturierte Vorgehensweise
  3. Bestimmung der zu schützenden Information Assets (darunter sind sowohl Informationen – inkl. personenbezogener Daten – als auch Prozessbeschreibungen – inkl. notwendiger Compliance-Prozesse – zu verstehen) und deren Kritikalität sowie Wertigkeit – dabei ist der Schutzbedarf ausschlaggebend und leiten sich daraus insbesondere datenschutzrechtliche Anforderungen bzw. für kritische Infrastrukturen auch Anforderungen aus dem IT-Sicherheitsgesetz ab
  4. Bestimmung der zu schützenden Supporting Assets (wie Hardware, Software, Netzwerkkomponenten, Personal, Gebäude, Räume und organisatorische Strukturen und der jeweiligen Abhängigkeiten der Assets untereinander). Deren Schutzbedarf leitet sich aus den Primary Assets ab, die durch diese Supporting Assets unterstützt werden.

Aktivitäten in der Do-Phase:

  1. Anwendung der festgelegten Sicherheitsziele auf die Gestaltung und Verwendung der Information Assets – dies erfordert eine umfangreiche Modellierung und geschieht zweckmäßigerweise unter Beachtung internationaler Standards
  2. Zusammentragung relevanter organisatorischer Anweisungen und deren (i.d.R. checklistenartige) Abbildung im Rahmen des einzusetzenden IT GRC Tools – ein entsprechender Transfer papierner Regeln und technischer Parametereinstellungen in entsprechende Tools erfordert i.d.R. nicht unerhebliche Anpassungsarbeiten
  3. Zusammentragung technischer Basisdaten (möglichst automatisiert!) ins IT GRC Tool – dabei ist darauf zu achten, dass die eingesetzten Tools erst mal eine einheitliche "Sprache" sprechen müssen, um überhaupt vergleichbare Ergebnisse liefern zu können.

Aktivitäten in der Check-Phase:

  1. Durchführung ergänzender Audits und automatisierter Tests. Um die Wirksamkeit der umgesetzten Maßnahmen innerhalb des IT GRC Tools bewerten zu können, sind ergänzende, i.d.R. semi-automatisierbare Prüfungen durchzuführen. Deren Ergebnisse sind ins IT GRC Tool einzuspeisen. Zusammen mit den automatisierten Prüfungen (durch Abgleich technischer Basisdaten mit Vorgaben aus dem umzusetzenden Regelwerk) dient dies als Beleg für die Wirksamkeit des verwendeten Rahmenwerks und damit der Haftungsentlastung.
  2. Bewertung der Ergebnisse unter Zuhilfenahme bereitgestellter Metriken (Key Risk / Goal / Performance Indicators) des IT GRC Tools – unter dem besonderen Fokus auf eine ganzheitliche Sicht. Hierbei wird insbesondere dargestellt, welchen Einfluss die aktuelle Ist-Lage auf die Primary Assets hat.

Aktivitäten in der Act-Phase:

  1. Report der Bewertung, Behebung festgestellter Mängel und Monitoring der Langzeitentwicklung – die eingesetzte Infrastruktur sollte hierzu möglichst zeitnahe Berichte "auf Knopfdruck" liefern. Diese müssen sowohl managementtauglich sein (Überblick zur Steuerung) als auch dem technischen Personal eine klaren Hinweis zur Mängelbeseitigung bzw. Administration liefern.
  2. Anpassung der bestehenden IT GRC Infrastruktur und ggf. geeignete Modifikation von deren Konfiguration – im Rahmen der kontinuierlichen Fortentwicklung

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

Sobald in einem Unternehmen oder einer Behörde eine Verletzung der Informationssicherheit vorliegt, kann es erforderlich sein, eine IT-forensische Untersuchung einzuleiten. Für das methodische Vorgehen derartiger Analysen bestehen zahlreiche Anforderungen, insbesondere zum Datenschutz. Wichtig ist aber auch, die Nachweispflichten im Blick zu haben.

Nachweispflichten bei IT-forensischen Untersuchungen

Zu jedem Zeitpunkt muss die mit der Durchführung der IT-forensischen Untersuchung beauftragte Stelle nachweisen können, dass die analysierten Datenbestände (inkl. Metadaten!) nicht manipuliert wurden bzw. werden konnten. Daher sichert diese Stelle stets zu Beginn Ihrer Tätigkeit relevante Datenbestände in einer Form (üblicherweise mittels bitweiser Imagesicherung und Angabe der zugehörigen Hashwerte), die eine Veränderung infolge von Analysearbeiten faktisch ausreichend ausschließt. Bei einer Post-Mortem-Analyse erfolgt die detaillierte IT-forensische Untersuchung im Labor, bei Live-Forensik muss dagegen direkt am System während der Laufzeit gearbeitet werden („Operation am offenen Herzen“). Deshalb werden bei der Live-Forensik vor allem flüchtige Statusdaten (zu Speicherinhalten, Netzwerkverbindungen und laufenden Prozessen) entsprechend (aber ohne Verwendung der üblichen Systembefehle) gesichert.

Jeder einzelne Analyseschritt muss nachvollziehbar dokumentiert werden. Die Dokumentationen selbst müssen allerdings datensparsam sein und dürfen nur dann personenbezogene bzw. ‑beziehbare Daten angeben, wenn dies für den zu erbringenden Nachweis erforderlich ist. Wenn also beispielsweise bei einem Screenshot ein Personenbezug entbehrlich ist, sind die irrelevanten Stellen, die personenbezogene bzw. ‑beziehbare Daten ausweisen, zu verpixeln. Aus der Dokumentation muss jederzeit zudem ersichtlich sein, dass die durchgeführten Analysen verhältnismäßig waren.

Grundsätzlich sind IT-forensische Untersuchungen ergebnisoffen durchzuführen, so dass sowohl nach belastenden als auch nach entlastenden Belegen zu suchen ist. Ergebnisse durchgeführter IT-forensischer Untersuchungen sind schließlich von dem durchführenden Spezialisten hinsichtlich ihrer Aussagekraft verständlich und für Dritte nachvollziehbar zu bewerten.

DOs and DON’Ts zur IT-Forensik

Zu den absoluten DOs zählen:
  • Vorfall dokumentieren: Was? Wann? Wer? Wie? Wo?
  • Vorfall gemäß Meldewege kommunizieren!
  • Alle Schritte dokumentieren!
  • Keine Daten verändern!
  • Kompetente Beweissicherung einleiten
Zu den absoluten DON’Ts zählen dagegen:
  • NIEMALS den Vorfall außerhalb der Meldewege kommunizieren
  • KEINE direkte Information des/der Betroffenen oder Verursachers
  • KEIN vorschnelles Abschalten von Systemen
  • KEIN zu langes Abwarten vor der Analyse
  • KEIN Zerstören von Beweisen durch gut gemeinte, aber unqualifizierte Handlungen

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Custom Audience Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Union europäischen Vorschriften Europäischer Gerichtshof EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Festplatte Finanzsektor Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Mieter Mietverhältnis Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadensersatz Schadprogramm Schadsoftware Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standardvertragsklauseln Standort Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unzulässig Update Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31