Home / Aktuelles & Termine / it.sec blog

Am 02.03.2021 teilte Microsoft mit, dass Schwachstellen in Microsoft Exchange-Servern (=E-Mail Server) aktiv durch Hacker ausgenutzt wurden und werden. Daraufhin stellte Microsoft ein Update für die Nutzer bereit.

Was ist passiert?

Durch vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) wurde es Hackern ermöglicht, Daten abzugreifen (z.B. E-Mail-Kommunikation) und sich dadurch ggfs. Zugang zum gesamten Unternehmensnetzwerk zu verschaffen und Schadsoftware auf den Systemen zu implementieren.

Der Hackerangriff betrifft laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 9.000 in Deutschland ansässige Unternehmen. Das BSI schätzt die Bedrohung als sehr hoch ein und hat bereits damit begonnen, potenziell Betroffene zu informieren. Laut Microsoft sind von dem Hackerangriff keine Privatpersonen und deren Exchange Server betroffen.

Was ist jetzt zu tun?

Sofern noch nicht erfolgt, sollten Unternehmen umgehend die von Microsoft bereitgestellten Updates implementieren, um diese Schwachstellen zu schließen. Zudem sollte von den Systemadministratoren über das von Microsoft zur Verfügung gestellte Powershell-Skript geprüft werden, ob ein Exchange-Server bereits erfolgreich angegriffen wurde. Wenn bereits ein erfolgreicher Hackerangriff stattgefunden hat, muss das Unternehmen in den Incident Response Modus wechseln und entsprechende Nachforschungen betreiben.

Genauere Ausführungen zu den Schwachstellen und zum weiteren Vorgehen entnehmen Sie der: Sicherheitswarnung des BSI.

Laura Piater

Justiziarin
Consultant für Datenschutz

Videokonferenzdienste haben während der Corona-Krise an Bedeutung gewonnen. Der anfangs sehr beliebte US-amerikanische Anbieter Zoom, geriet dabei aufgrund diverser Sicherheits- und Datenschutzmängel zunehmend in die Kritik (wir berichteten).

 

Nach einem Sicherheitsvorfall an einer Schule, hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) im April eine Warnung vor der Nutzung des Dienstes ausgesprochen, die er nun nach Verbesserungen durch Zoom zurückgenommen hat.

 

In Zusammenarbeit mit dem LfDI BW hat Zoom mit der Version Zoom 5.0 folgende Verbesserungen vorgenommen:

 

  • Privacy by Default: Die Einrichtung eines Warteraums und die passwortgeschützte Einwahl ist nun voreingestellt.
  • Zoom schließt jetzt ausdrücklich die Verwendung von Nutzerdaten (einschließlich der Benutzer-IDs der Endgeräte) zu wirtschaftlichen Zwecken aus.
  • Die Video-Kommunikation wird künftig Ende-zu-Ende verschlüsselt sein – zumindest in der kostenpflichtigen Geschäftskunden-Version.
  • Außerdem hat Zoom nun einen Vertreter in der EU benannt, was für die Erreichbarkeit von Zoom durch seine Nutzer und die Durchsetzung von Betroffenenrechten wichtig ist, da Zoom als US-amerikanisches Unternehmen keine Niederlassung in Europa hat.

 

Der LfDI BW bewertete die Fortschritte bei Zoom als positiv, weswegen die Nutzungswarnung zurückgenommen werden konnte. Es sei jedoch noch zu klären, inwieweit Daten bei Zoom zu unternehmenseigenen Zwecken genutzt werden.

 

Der LfDI BW betonte aber auch, dass Verantwortliche weiterhin für die von ihnen initiierte Verarbeitung personenbezogener Daten verantwortlich und gegenüber den betroffenen Personen rechenschaftspflichtig seien. Aus datenschutzrechtlicher Sicht haben noch fast alle Videokonferenzsysteme Nachbesserungsbedarf.

 

Bei der Nutzung von Videokonferenzsystemen sollten Sie deshalb immer genau hinschauen, welche Daten durch deren Nutzung freigegeben werden.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Die iOS-App "Mail" enthält nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwerwiegende Sicherheitslücken. Angreifern ist es aktuell möglich, durch das Senden einer E-Mail an ein iPhone oder iPad, die darauf enthaltenen E-Mails zu Lesen, zu Verändern oder zu Löschen.

 

Dazu BSI-Präsident Arne Schönbohm:

 

"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet."

 

Aktuell wir das Löschen der App „Mail“ empfohlen. Zum Abrufen und Lesen von E-Mails sollte bis zur Schließung der Sicherheitslücke auf andere Apps oder Webmail zurückgegriffen werden.

 

Das angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es von Apple zur Verfügung gestellt wurde.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Videokonferenzdienste erfreuen sich zur Zeit zunehmender Beliebtheit. Sie können helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten. Nicht alle Lösungen sind jedoch für den geschäftlichen Einsatz empfehlenswert.

Wir hatten bereits über den US-amerikanischen Anbieter Zoom berichtet. Wie sich nun herausstellt, wurden Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet angeboten. Dies berichten Mitarbeiter der IT-Sicherheitsfirma Cyble, die dort rund 530.000 Datensätze ankaufte. Laut Cyble bestehen die Datensätze aus E-Mail-Adressen, Passwörtern im Klartext sowie teilweise aus Meeting-URL und dem Zoom-Host-Key. Der Kaufpreis pro Satz soll weniger als einen US-Cent pro Stück betragen. Die Authentizität der Datensätze wurde nach Angaben von Cyble überprüft.

Das Raumfahrtunternehmen des Tesla-Gründers Elon Musk, SpaceX, hat sich ebenso wie die NASA frühzeitig entschieden, seinen Mitarbeitern die Verwendung von Zoom zu untersagen. Google hat sich mittlerweile ebenfalls entschieden, Zoom auf seinen Arbeitsrechnern zu blockieren. Zoom hatte bereits vor einer Woche den Ex-Sicherheitschef von Facebook engagiert, um die Probleme bei Datenschutz und Datensicherheit in den Griff zu bekommen.

Nicht alle Videokonferenzdienste sind unsicher. Achten Sie vor allem auf ausreichende Verschlüsselung und Verifikation der Nutzer bei der Anmeldung im Konferenzraum. Nicht alles, was kostenlos und nutzerfreundlich ist, erfüllt auch die Sicherheitsstandards für den kommerziellen Gebrauch.

Weiterhin gilt: Sprechen Sie möglichst vor der Einführung neuer Software mit Ihrem Datenschutz- und Informationssicherheitsbeauftragten! Nur auf diesem Weg erhalten Sie eine kompetente und unabhängige Einschätzung der Risiken von Datenverarbeitungsprozessen. Außerdem kann eine bestehende Lösung bei Bedarf besser abgesichert werden.

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Videokonferenzdienste erfreuen sich zur Zeit zunehmender Beliebtheit. Sie können helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten. Nicht alle Lösungen sind jedoch für den geschäftlichen Einsatz empfehlenswert.

Insbesondere der US-amerikanische Anbieter Zoom fiel bereits mehrfach durch Sicherheits- und Datenschutzmängel auf. Sogar die New Yorker Generalstaatsanwaltschaft sah sich nach einigen unschönen Zwischenfällen gezwungen, Ermittlungen aufzunehmen. Mittlerweile hat man bereits Nachbesserungen in Aussicht gestellt. Es soll künftig nicht mehr möglich sein, als Außenstehender einfach an fremden Videokonferenzen teilzunehmen.

Wichtig für Unternehmen ist: Sprechen sie möglichst vor der Einführung neuer Software mit Ihrem Datenschutz- und Informationssicherheitsbeauftragten! Nur auf diesem Weg erhalten Sie eine kompetente und unabhängige Einschätzung der Risiken von Datenverarbeitungsprozessen. Außerdem kann eine bestehende Lösung bei Bedarf besser abgesichert werden.

Ansonsten können sich Schnellschüsse zum öffentlichkeitswirksamen Debakel entwickeln. Selbst das bayerische Innenministerium bot ungesicherte Zugänge zu Videokonferenzräumen an. Lassen wir uns dies eine Warnung sein und weiterhin besonnen auf die Herausfordeungen der Krise reagieren.

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Angesichts der Ausbreitung des Corona-Virus ist die momentane Lage vor allem durch Unsicherheit geprägt. Weltweit ergreifen Staaten alle sich bietenden Möglichkeiten, um ein besseres Bild der Situation zu bekommen. Einige Nationen, vor allem in Asien, setzen dabei auf das umfassende Tracking von Mobiltelefonen. Aus Sicht des Datenschutzes stellen sich hierzu verschiedene Fragen. Es mag sein, dass Bewegungsprofile generell Aufschluss über die Mobilität einer Gesellschaft geben können. In diesem Sinne hat auch der Bundesdatenschutzbeauftragte eine anonymisierte Auswertung von Mobilfunkdaten bereits durchgewunken. Wäre eine solche Maßnahme mit Personenbezug geeignet, um zuverlässig die Ausbreitung eines Virus in der physischen Wirklichkeit abzubilden? Schon aus technischen Gründen sind Zweifel angebracht. Erstens sind die Abfragen von Mobilfunkzellen in Bezug auf den Standort nicht ausreichend genau, um eine ansteckungsrelevante Distanz von 1,50 m abzubilden. Dies gilt wohl auch bei Nutzung von GPS, welches zwar im Meterbereich genauer arbeitet, aber dennoch nicht den physischen Kontakt zwischen zwei Personen abbilden kann, zumal es als satellitengestütztes System innerhalb von Gebäuden nicht zuverlässig funktioniert. Hinzu kommt die Frage, wie es sich bei Funklöchern, eingeschaltetem Flugmodus oder leerem Akku verhält.

Spätestens unter Berücksichtigung des damit verbundenen Aufwands stellt sich die Frage, ob es zur Zeit nicht sinnvollere, medizinische und hygienische Maßnahmen gibt, die den gewünschten Zweck besser erreichen können, als die Erstellung eingriffsintensiver Bewegungsprofile.

Gegen die freiwillige Installation einer entsprechenden App mit Personenbezug ist aus Sicht des Datenschutzes bei ausreichender Information der Nutzer nichts einzuwenden. Hierbei würde man versuchen, mittels (eingeschaltetem) Bluetooth-Nahbereichsfunk Aufschlüsse über Kontakte zu möglicherweise Infizierten zu erhalten. Diese könnten auch im Nachhinein genutzt werden, um gefährdete Kontaktpersonen ggf. in Quarantäne zu nehmen.

Fraglich ist aber, ob die technische Umsetzung in kurzer Zeit gut und sicher gelingen kann. In einem anderen Zusammenhang scheint dies nicht der Fall zu sein. Das Computermagazin c`t hat in der COVID-19-App der Telekom insbesondere in puncto Verschlüsselung schwerwiegende Sicherheitslücken aufgedeckt. Hierdurch waren unbefugte Zugriffe auf den Server möglich.

Gerade wenn es sich um sensible personenbezogene Daten handelt sind jedenfalls hohe Anforderungen an den Datenschutz und die informationstechnische Sicherheit von Apps zu stellen!

Auch die Aufsichtsbehörden haben hierzu bereits Stellung bezogen.

Wir wünschen allen direkt und indirekt von „Corona“ Betroffenen viel Kraft und Durchhaltevermögen!

Florian S.
Ass. Jur. | M.A.
Consultant für Datenschutz

In der aktuellen Situation müssen immer mehr Unternehmen ihre IT-Infrastruktur umstellen, indem sie in kurzer Zeit viele Home-Office-Arbeitsplätze schaffen. Die Ausweitung der digitalen Nutzung und die allgemeine Hektik wird derzeit leider vermehrt von Cyberkriminellen missbraucht. Gerade auch, weil anderen Themen – wie Datenschutz und Datensicherheit – nicht mehr die nötige Aufmerksamkeit geschenkt werden kann oder Mitarbeiter weniger achtsam sind und bspw. auf Phishing-Mails hereinfallen.

Daher sollten auch während der jetzigen Zeit Maßnahmen zur Abwehr von Cyber-Attacken getroffen werden:

Warnen Sie Ihre Mitarbeiter vor Phishing-Angriffen

Weisen Sie Ihre Mitarbeiter noch einmal darauf hin, dass vermehrt E-Mails, SMS und Chatnachrichten verschickt werden (insbesondere mit Infos zum Coronavirus, mit Angeboten von Atemschutzmasken oder Desinfektionsmitteln sowie Online-Formularen für Reiseverzichtserklärungen oder Spenden), die Schadsoftware in Anhängen oder Links enthalten, die dazu verleiten, sich auf eine kompromittierte oder gefälschte Website zu begeben; solche Phishing-Mails sind das erste Einfallstor in Ihr Unternehmensnetzwerk.

Verstärken Sie die Sicherheit Ihrer Informationssysteme und Unternehmensnetzwerke

Verstärken Sie gerade jetzt Ihre Sicherheitsmaßnahmen zur Erkennung oder Verhinderung von Cyber-Angriffen:

  • Inventarisierung der an Mitarbeiter ausgegebenen Arbeitsmittel (PC, Notebook, Smartphone etc.)
  • Zeitnahe Einspielung von Sicherheitspatches, insbesondere derzeit von den eingesetzten VPN-Lösungen
  • Verbesserung der Authentifizierungsverfahren, mit denen sich Benutzer, insbesondere von ihren Home-Office-Arbeitsplätzen an den Systemen anmelden.
  • Sicherheitsüberwachung, bspw. durch eine umfangreichere Auswertung der Protokolldaten.
  • Evaluierung, ob Ihre getroffenen Maßnahmen wirksam sind, bspw. durch IT Health Checks oder Penetration Tests.
Die Liste an Maßnahmen, sowohl für den Arbeitgeber als auch den Arbeitnehmer, ist sehr umfassend, kommen Sie bei Fragen dazu bitte direkt auf uns zu!

Gerne unterstützen und beraten wir Sie auch kurzfristig zu weiteren Themen wie z.B.

  • Zugriffsrechte, Speicherdauer und Informationspflichten
  • Umgang mit Besucherdaten
  • Übermittlung von Betroffenendaten an Öffentliche Stellen
  • IT Health Checks und Penetration Tests

(Hier geht's zu Teil-2 des Blogbeitrags!)

Unsere Kontaktdaten für Ihre Datenschutz-Fragen:

Dr. Bettina Kraft

Tel. +49 731 20589-24

datenschutz@it-sec.de

Unsere Kontaktdaten für IT Health Checks und Penetration Tests:

Holger Heimann

Tel. +49 731 20589-0

E-Mail: pentests@it-sec.de

Bleiben Sie gesund!

Ihre it.sec GmbH

Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.

Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.

Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.

Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.

Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.

S. Kieselmann

Senior Consultant Datenschutz

Dipl.sc.pol.Univ.

Wenn Unternehmen bei uns Penetrationstests beauftragen, kommt es vor, dass Web-Applikation-Firewalls (WAF) oder Intrusion-Prevention-Systeme (IPS) vorhanden sind, welche die eigentlichen Zielsysteme zusätzlich schützen. Diese Systeme greifen in den Datenstrom ein, versuchen Angriffe zu erkennen und blocken diese im Idealfall gleich ab, sodass die geschützten Systeme davon gar nichts mitbekommen. Oft haben wir Diskussionen darüber, ob diese Systeme für unsere Tests (zumindest für unsere Quell-IP-Bereiche) ausgeschaltet werden sollen oder nicht. Wir legen unseren Kunden im Normalfall nahe, die Systeme auszuschalten – warum, soll hier kurz beschrieben werden.

IDS und WAF Systeme aus Sicht des Sicherheitsmanagements

Intrusion Prevention Systeme (IPS) oder WAFs (Web-Applikation-Firewalls) werden i.d.R. (!) auf neudeutsch als „second line of defense“ oder „mitigierende Maßnahme“ betrachtet. Das bedeutet, dass sie unterstützend wirken, Risiken mindern, nicht aber die eigentliche Sicherheitsmaßnahme sind.

Bei „normalen“ IT-Systemen oder Web-Anwendungen gilt nach wie vor, dass diese dem „Stand der Technik“ entsprechend programmiert, gewartet und betrieben werden sollen. Dies umfasst beispielsweise eine sichere Programmierung, ein funktionierendes Patch- und Vulnerability Management (um bekannte Sicherheitslücken zu beseitigen), welches dazu führt, dass ausnutzbare Sicherheitslücken zeitnah beseitig werden und dadurch keine vermeidbaren Schwachstellen mehr vorliegen. Ein Penetrationstest dienst als sogenannte Wirksamkeitskontrolle. IPS und WAF Systeme sollten nicht dafür eingesetzt werden die Programmierfehler in der Web-Anwendung zu kaschieren oder sich den sicheren Betrieb von Serversystemen einzusparen.

IPS und WAF mindern also das Risiko, welches entsteht, wenn man Patches und Updates nicht zeitnah einspielen kann, Fehler bei der Wartung passieren, Sicherheitslücken übersehen wurden, irreparabel sind - oder neu eingebaut und noch nicht durch einen Penetrationstest aufgedeckt wurden. Diese Systeme funktionieren aber nur in engen Grenzen, auch daher stellen sie i.d.R. einen ZUSATZ-SCHUTZ dar, das Auffangnetz, wenn man so will.

Also an oder aus?

Für Penetrationstests schaltet man diese Systeme in aller Regel aus, um die Sicherheit der eigentlichen Systeme oder Anwendungen zu prüfen. Das ist ein wenig wie bei der Autoinspektion: nur weil der Airbag funktioniert, kann man nicht auf die Prüfung der Bremsen verzichten. Außerdem ist es schon deswegen notwendig die eigentlichen Sicherheitslücken zu kennen, weil IPS und insbesondere WAFs erst gut funktionieren können, wenn man sie konkret darauf adjustiert. Auch aus Compliance-Sicht ist dies üblicherweise das richtige Vorgehen.

Ausnahmen?

Ausnahmen sind gegeben, wenn man tatsächlich explizit die Funktion der IPS oder WAF testen will. Dies kann dann der Fall sein, wenn die eigentlichen Systeme schon geprüft wurden und man nun wissen möchte, ob der Zusatzschutz auch funktioniert. Oder aber – typischerweise – wenn die eigentlichen Zielsysteme sich einem normalen Sicherheitsmanagement entziehen, weil es sich z.B. um Embedded Devices, ICS oder Legacy Systeme handelt, die nicht gepatcht werden können aber Sicherheitslücken haben. Hier kann man in Ermangelung von Alternativen ein IPS oder eine WAF als erste Verteidigungslinie einsetzen.

Entscheidet man sich gegen eine Abschaltung, muss man bedenken, dass zeitlicher Mehraufwand beim Testen entsteht, da man nicht nur die eigentlichen Sicherheitslücken finden muss, sondern auch noch Wege die Schutzsysteme auszutricksen. Hierzu ist deutlich mehr Zeit erforderlich, oder die Ergebnisqualität leidet.

Daher ist es wichtig die Umstände, bzw. Zielsetzung des Tests vorab mit it.sec abzusprechen, damit Sie auch das bekommen, was Sie brauchen.

Holger Heimann

Geschäftsführer

20 Mitarbeiter 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD ähnliche Betrugsmaschen Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Incident Response Incident Response Modus Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer organisatorische Absicherung Original oder Betrug Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30