Home / Aktuelles & Termine / it.sec blog

Die größten Browserhersteller Mozilla, Google, Apple und Microsoft haben angekündigt, dass ihre Browser ab 2020 die älteren Versionen von TLS, nämlich TLS 1.0 und TLS 1.1, nicht mehr unterstützen. Das bedeutet, dass Seiten, die nicht mindestens TLS 1.2 unterstützen, dann nicht mehr aufrufbar sein könnten, mindestens aber als unsicher markiert werden.

Dies wurde von den Browserherstellern zeitgleich bekannt gegeben. Nachdem nun von Chrome auch Seiten ohne HTTPS als "nicht sicher" klassifiziert werden, ist dies ein weiterer Schritt, um Benutzer sicherer surfen zu lassen.

Grund für die Abschaffung sind hauptsächlich schwache Hash-Verfahren wie beispielsweise MD5 und SHA1, welche momentan beide gebrochen werden können. Sollte ein Angreifer also lesend Zugriff auf Netzwerkverkehr erhalten, so kann er versuchen, die Verschlüsselung zu brechen. Hierdurch erhält er unter Umständen Zugriff auf sensible Informationen seines Opfers, beispielsweise die Zugangsdaten.

Außerdem bieten die alten TLS Versionen weitere Angriffsmöglichkeiten, wie z. B. BEAST oder POODLE.

Momentan stellen Verbindungen, welche mit TLS 1.0 und TLS 1.1 gesichert werden, allerdings nur einen verschwindend geringen Anteil dar: laut Google's Security Blog werden nur 0.5% aller HTTPS-Verbindungen mit TLS 1.0 oder TLS 1.1 aufgebaut. Da TLS 1.2 schon 2008 als Empfehlung galt, war genug Zeit, um auf die neueren Versionen umzustellen.

Tatsächlich spielt nicht nur die verwendete Version des TLS-Protokolls eine Rolle, sondern auch die angebotenen Cipher. Unter einem Cipher versteht man die bei SSL/TLS eingesetzte Kombination von Verschlüsselungs-, Signatur- und Hashverfahren. Werden diese zu schwach gewählt, kann die Verschlüsselung potenziell gebrochen werden. Zwar wird standardmäßig der stärkste verfügbare Cipher zwischen Client und Server ausgehandelt, jedoch kann ein Angreifer hier eingreifen und eine sehr schwache Verbindung zwischen seinem Opfer und dem Server erzwingen. Diese Attacken werden "TLS Protocol Downgrade Attacks" genannt.

Christian Stehle

IT Security Consultant

„Ransomware“ sollte auch durch die mediale Verbreitung niemandem mehr ein Fremdwort sein. Kurz erklärt ist Ransomware ein Schadprogramm, das eine kritische Lücke im System ausnutzt, um bspw. alle greifbaren Daten (lokal auf dem Rechner, aber auch auf Netzwerkfreigaben) zu verschlüsseln, die dann - laut Angreifer - nur gegen Bezahlung (vorwiegend in Bitcoins) wieder entschlüsselt werden. Dass Ransomware also keine leichtzunehmende Bedrohung ist, hat sich spätestens seit WannaCry & Co. gezeigt. Allein davon waren weltweit über 300.000 Geräte infiziert und der Schaden wird auf ca. 4 Milliarden US-Dollar geschätzt. Bei solch einem immensen Schaden blieben selbst deutsche Unternehmen nicht verschont. So war u.a. die Deutsche Bahn von der Ransomware betroffen. Damit wäre nun auch im globalen Maße bewiesen, dass ein Zusammenbrechen von realer Infrastruktur durch Software nicht mehr nur die Fantasie eines Hollywood-Films ist.

Ein weiteres erschreckendes Beispiel ist, dass eine Variante namens "SamSam", u.a. die komplette IT eines ganzen Krankenhauses in den USA lahm legte. Hier forderten die Angreifer 4 Bitcoins (zu dem damaligen Zeitpunkt umgerechnet ca. 55.000 US-Dollar). Das Krankenhaus war anfangs gegen eine Bezahlung und musste daher auf Papier und Stift umsteigen, entschied sich aber nach zwei Tagen das Lösegeld zu bezahlen. In diesem Fall kam der Erpresser seinem Versprechen nach und entschlüsselte die Dateien.

Doch ist dies immer der Fall? Leider nein!
Des Öfteren werden die Daten so verschlüsselt, dass ein Entschlüsseln nicht mehr möglich ist und auch gar nicht erst von den Angreifern eingeplant wird. Unzählige Opfer verfügen darüber nicht genügend Kenntnisse und wissen sich oft nicht anders zu helfen und greifen somit zur Geldbörse. Wie der "Telstra Security Report" zeigt, konnten in ca. 80 % der Vorfälle die Daten entschlüsselt werden.

Der Report enthält aber auch das erschreckende Ergebnis einer Umfrage, dass vier von fünf Ransomware-Opfer bei einer erneuten erfolgreichen Attacke den Erpresserbetrag wieder bezahlen würden, sofern keine Backups vorhanden sind. Das Signalwort hierbei ist "erneut". Bedeutet dies nun, dass diejenigen, die bereits einmal Opfer einer Ransomware-Attacke wurden, sich kaum bis keine Gedanken über die Sicherheit ihrer Daten machen und wie die Daten gegen Angriffe von außen besser geschützt werden können?!? Unserer Erfahrung nach leider ja!

Ob nun von Hand oder mittels Software, tägliche Backups von kritischen Daten sollten heutzutage zum Standard gehören. Dabei ist es wichtig mit Blick auf Ransomware, dass mindestens ein Backup-Medium offline ist, d.h. abgekoppelt von allen Verbindungen, z.B. eine externe und manuell abschaltbare Festplatte.

Neben dem Backup der Daten, empfiehlt es sich auch jegliche eingesetzte Software auf dem neuesten Stand zu halten, um sich gegen Ransomware zu schützen. Auch sollte das Bewusstsein der Mitarbeiter oder von Freunden und Verwandten geschult werden und lieber zweimal überlegt werden, bevor man Links oder Anhänge in E-Mails anklickt oder öffnet. Dadurch wird das Risiko eines erfolgreichen Ransomware-Angriffs deutlich verringert. Der damit einhergehende Imageverlust bei Unternehmen fällt weg und es spart eine Menge Geld (und Nerven).

Bitte bedenken Sie auch, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware weiter fördert.

Christian Stehle Junior IT Security Consultant und
Christopher Schöndube Senior IT Security Consultant

Wie ist die heutige Risikolage?

Die Risikolage bezüglich der im Unternehmen verarbeiteten Daten wird heute immer noch unterschätzt! Denn Informationen sind das heutige „Gold“ mit dem man schnell viel Geld machen kann. Sie finden sich überall wieder, auf unseren Tablets, auf unseren Smartphones und natürlich auf den Rechnern und anderen technischen Geräten, die in Unternehmen eingesetzt werden. Professionelle Hacker wissen wonach sie suchen müssen und sie wissen auch dieses „Gold“ zu verwerten.
Dadurch können hohe finanzielle Schäden für das Unternehmen entstehen und auch ein nicht zu unterschätzender Imageverlust kann für ein betroffenes Unternehmen die Folge sein.
Doch auch auf anderen Wegen, wie über Bußgelder können Unternehmen heutzutage sehr viel Geld verlieren. So gibt es seit dem 25. Mai 2018 Sanktionen, die durch die EU-DSGVO empfindlich geahndet werden. Sanktionen werden bei einem Sicherheitsvorfall nicht nur einmal erhoben, denn sollten mehrere Verstöße gegen die Vorgaben des Datenschutzes (persönliche Daten/Kundendaten) nachgewiesen werden, so wird jeder Verstoß einzeln geahndet.

Was investieren Unternehmen in den Schutz ihrer Daten?

Trotz der Bedrohung durch Hackerangriffe und der Selbstverständlichkeit, das eigene Unternehmen u.a. gemäß den Vorgaben der EU-DSGVO auszurichten, d.h. auch entsprechende Sicherheitsvorkehrungen zu treffen, sind viele Unternehmen eher bereit, einen Sicherheitsvorfall zu riskieren, als vorab in die IT-Sicherheit zu investieren. Dabei halten mehr als die Hälfte der Unternehmen ihre Unternehmensdaten für nicht sicher. Grund hierfür sind unter anderem die weiter sinkenden Investitionen in die IT-Sicherheit, welche in Deutschland und Österreich bei gerade einmal 13 Prozent liegen.
Daher gehen viele Unternehmen dazu über, Lösegeld für ihre Daten zu bezahlen oder auch die von der EU-DSGVO verhängten Sanktionen, welche mit 2 % bzw. 4% des globalen Umsatzes oder bis zu 10 oder 20 Mio. Euro pro Verstoß immense Kosten in einem Unternehmen verursachen.Dazu kommen natürlich noch die Kosten, um nach einem Angriff die betroffenen IT-Systeme und Infrastrukturen wiederherzustellen. Von dem Imageverlust des Unternehmens ganz zu schweigen, welcher sich nur schwer in Euros beziffern lässt. Auch das Vertrauen der Kunden zurückzugewinnen, ist natürlich ebenfalls nicht umsonst.
Nur wird noch häufig vernachlässigt, wenn das Opfer das Lösegeld bezahlt, wird auch nicht in allen Fällen die Daten wieder freigegeben und entschlüsselt. Und sollte ein Unternehmen attraktiv für Hacker sein, wird es auch nicht nur einem (erfolgreichen) Angriff standhalten müssen.

Muss das so sein?

Kurze Antwort: Nein. Lange Antwort: Es muss natürlich eine Abwägung zwischen den betriebenen Aufwänden und der Wahrscheinlichkeit eines Sicherheitsvorfalls geben. Aber mit rund 13 Prozent mehr oder weniger auf IT-Sicherheit zu verzichten, ist für ein wirtschaftlich handelndes Unternehmen keine akzeptable Lösung.
Denn wenn auch einigen Betroffenen die Sicherheitslücken in ihrer konfigurierten Verschlüsselung eher „esoterisch“ vorkommen und glauben, dass diese nicht wirklich ausnutzbar sind, der ist zumindest derzeit noch nicht ganz verkehrt, aber es wird hier mit einem offenen Einfallstor zu unbedacht umgegangen.Es ist zwar derzeit nur sehr schwer und nicht ohne hohen Aufwand möglich Verschlüsselungen zu brechen,vieles ist bisher „nur“ in Labor-Umgebungen erfolgreich gewesen, aber in der heutigen Zeit, wo die Entwicklung der Supercomputer immer mehr Auftrieb nimmt, sollten diese Schwachstellen auch nicht auf die „leichte Schulter“ genommen werden. Selbst heute sind Supercomputer in der Lage 93 PetaFlops (das entspricht Billiarden Gleitkommaoperationen in der Sekunde) auszuführen. Diese Leistung und der Fortschritt in der Entwicklung könnte dazu führen, dass derzeitige noch als sicher geltende Verschlüsselungsverfahren, wie RSA und ECC, ab 2031 geknackt werden könnten. Neben Supercomputern gibt es aber auch heute schon die Möglichkeiten der Nutzung von Bot-Netzen (Mirai & Co.), um die nötige Rechenleistung für solche Kollisionsverfahren oder das Faktorisieren von Schlüsseln zu erzielen.
Kennt man die Vorgehensweise und die Methoden von Hackern, kann ein Unternehmen dies bei der Planung der IT-Sicherheit durch Sicherheitsexperten einfließen lassen, aber es darf nicht die alleinige Bewertungsgrundlage sein.So sollten neben dem Fixen der kritischen und hoch eingestuften Schwachstellen auch auf das Fixen der eher „fiktiv erscheinenden“ Schwachstellen (wie bei der Verschlüsselung oder den SSL-Zertifikaten) Rücksicht genommen werden, da diese mit jedem Tag besser und schneller ausnutzbar sind.

Fazit

Unternehmen sollten ihre Investitionen in eine funktionierende IT-Sicherheit überdenken und den Stellenwert der Daten und Informationen, die sie schützen müssen. Sie sollten sich die Frage stellen, ob der Aufwand und die Investitionen dem Level der schützenswerten Daten auch entsprechen. Denn es ist die Grundlage all ihrer Arbeit. Ein professioneller Rennfahrer würde seinen Rennwagen schließlich auch nicht unverschlossen mit steckendem Schlüssel im Zündschloss auf der Straße stehen lassen.Für allen Planungen zur IT-Sicherheit sollte also neben dem Stellenwert der schutzbedürftigen Daten/Informationen auch immer die Frage berücksichtigt sein, wie geht ein Hacker vor, was für Hürden müssen wir ihm stellen, wie ist die Entwicklung der Technologie (Stichwort: Supercomputer) und wie verhalte ich mich datenschutzkonform?
Die Investitionen zur Umsetzung der vorab genannten Überlegungen und die Überprüfung durch IT-Sicherheitsexperten, die präventiv das Sicherheitslevel untersuchen, bewerten und Empfehlungen zur Verbesserung der IT-Sicherheit geben können, ist vergleichsweise für ein Unternehmen daher deutlich lukrativer, indem sie je nach Umfang und Tiefe einer Sicherheitsprüfung, einen vier- bis fünfstelligen Betrag zahlen, als mit sieben- bis achtstelligen Kosten- und Sanktionsbeträgen zu spekulieren und obendrein noch ihren „guten Ruf“ zu riskieren.

Chr. Schöndube
Senior IT-Security Consultant / Penetrationstester

In diesem Beitrag werden fünf in der Praxis oft anzutreffende Fallstricke benannt, die bei einem Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) einer kritischen Infrastruktur besser vermieden werden sollten.

Fehler Nr. 1: Das ISMS falsch ausrichten

Noch vor Inkrafttreten des IT-Sicherheitsgesetzes wurden insbesondere im Energiesektor zahlreiche Projekte ausgeschrieben, die faktisch zu einem ISMS führen, das nur bedingt mit dem IT-Sicherheitskatalog der Bundesnetzagentur im Einklang steht.

Hier ist der Fehler, zu Beginn eines ISMS-Projekts nicht präzise erhoben zu haben, welche Anforderungen tatsächlich zu erfüllen sind. Das ISMS ist jedoch nur so passgenau, wie in seiner Spezifikation angelegt. Eine fehlerhafte Spezifikation verschlingt unnötig viele Ressourcen. Ein ISMS ist ein fortlaufender Prozess und kein irgendwann mal abgeschlossenes Projekt.

Fehler Nr. 2: Das ISMS falsch steuern

Die Zielgenauigkeit und Wirksamkeit eines ISMS hängt maßgeblich davon ab, ob im Rahmen der Risikoanalyse die richtigen Risiken erkannt und anschließend verantwortungsgerecht behandelt werden. In der Praxis ist jedoch ausgerechnet die Risikoanalyse oft das ungeliebte Stiefkind:

  • Hier werden entweder solche Methoden verwendet, die ein bereits vorhandenes oder billig erwerbbares Tool unterstützt, unabhängig davon, ob das wirklich zu dem Kontext der kritischen Infrastruktur passt.
  • Oder es werden ausschließlich vordefinierte Gefährdungskataloge eingesetzt, ohne zu prüfen, ob kontextbezogen ggf. eine andere Gefährdung zusätzlich bzw. vorrangig betrachtet werden sollte.

Hier ist der Fehler, dass eine Risikoanalyse als lästige Übung angesehen wird. Ein ISMS wird aber tatsächlich im Wesentlichen über eine adäquate Betrachtung der Risiken gesteuert.

Fehler Nr. 3: Den falschen IT-Sicherheitsbeauftragten einsetzen

Die Güte eines ISMS steht und fällt in der Praxis mit dem IT-Sicherheitsbeauftragten bzw. Informations-Sicherheitsbeauftragten (SiBe). Doch gerade bei der Besetzung dieser Funktion werden besonders viele Zugeständnisse zugunsten des operativen Geschäfts gemacht oder Funktionsträger faktisch in operative Interessenskonflikte gebracht.

Hier ist der Fehler, die Aufgaben des SiBe zu unterschätzen. Die tatsächlich geforderte Aufgabenvielfalt erfordert erfahrene und für Informationssicherheit ausdrücklich ausgewiesene Spezialisten. Und die findet man oft nur bei externen Beratungshäusern.

Fehler Nr. 4: Die falschen Dinge regeln

Wohlklingende Regelungen in Sicherheitskonzepten oder Organisationsrichtlinien sind nutzlos, wenn diese nicht der Praxis entsprechen und/oder nicht effizient überprüfbar sind. Bei einem ISMS werden Schutzvorkehrungen im Rahmen der Risikobehandlung festgelegt. Simplifizierte Musterpolicies oder Dokumentationen „von der Stange“ helfen daher ebenso wenig, wie Regelungen, die für den Anwender nicht klar verständlich sind oder in der Praxis nicht umgesetzt werden.

Hier ist der Fehler, die organisatorischen Vorgaben als Zielsetzung und nicht als Beschreibung der Umsetzung anzusehen. Solche Inkonsistenzen führen in der Praxis dazu, dass vorgesehene Maßnahmen wirkungslos sind und der Eindruck entsteht, dass ja schon das Wesentliche mit der Festlegung des Ziels bei einem ISMS gemacht sei.

Fehler Nr. 5: Sicherheitsvorfälle falsch adressieren

Der Schutz kritischer Infrastrukturen hängt oft empfindlich vom Aufbau eines wirksamen Security Incident Response Managements ab. Dabei ist sowohl wichtig, wie man entsprechende Vorfälle einstufen und dementsprechend behandeln sollte als auch wie man aufgestellt sein muss, um mit Vorfällen adäquat umgehen zu können (Incident Response Readiness).

Hier ist der Fehler, das Vorfallmanagement erst damit beginnen zu lassen, wenn und wie ein Vorfall gemeldet wird. Im Zuge eines konsequenten Incident Response Managements ist dafür zu sorgen, dass nach einer Ausnahmeregelung wieder geordnet in den Regelbetrieb übergegangen wird.

Bernhard C. Witt

Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit

bcwitt@it-sec.de

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31