Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner bisherigen Empfehlung ab und hält den regelmäßigen Passwortwechsel nicht mehr für notwendig. In seinem Handbuch zum IT-Grundschutz strich das BSI eine entsprechende Textpassage.

Bereits seit vielen Jahren halten wir den erzwungenen Passwortwechsel aus Sicht der IT-Sicherheit für nicht zielführend und hilfreich. Passwortwechsel haben unserer Erfahrung nach dazu geführt, dass von Mitarbeitern genutzte Passwörter nicht mehr die notwendige Komplexität aufwiesen.

Passwortrichtlinien erhalten nun aber eine deutlich stärkere Bedeutung. Gerade vor dem Hintergrund der technisch-organisatorischen Maßnahmen des Datenschutzes und der IT-Sicherheit müssen Unternehmen nun geeignete Maßnahmen ergreifen. Hilfreich kann die Verwendung eines unternehmensweiten Passwort-Tresors sein. Als Lösung bieten wir unseren mehrbenutzerfähigen und vollverschlüsselten GfI-Tresor an. Eine Demo können Sie hier ausprobieren: https://www.gfi-tresor.de

Die Schadsoftware Emotet verbreitet sich noch immer. Sicherheitsexperten des japanischen CERT haben daher das Prüftool “EmoCheck” veröffentlicht. Mit diesem können von Emotet infizierte Dateien auf dem PC gefunden und beseitigt werden. “EmoCheck” ist u.a. kompatibel mit Windows 8.1. und 10 (64 Bit).

Emotet ist in der Lage, eigenständig gefälschte E-Mails mit schadhaften Anhängen oder Links zu versenden. Werden die Anhänge oder Links angeklickt, lädt Emotet weitere Schadsoftware nach, u.a. den Banking-Trojaner Trickbot. Diese können u.a. Zugangsdaten und Passwörter auslesen und so die IT-Sicherheit massiv gefährden.

EmoCheck kann kostenlos von GitHub heruntergeladen werden: https://github.com/JPCERTCC/EmoCheck/releases

Die Bundesrechtsanwaltskammer (BRAK) hat mit Hinblick auf die Nutzung von Microsoft Office 365 eine Handlungsempfehlung für Rechtsanwälte erstellt. Diese Handlungsempfehlung nimmt Bezug auf die vorangegangenen Hinweise verschiedener Datenschutzbeauftragter von Bund und Ländern. Genauso wie der Bundesdatenschutzbeauftragte, der hessische und der sachsen-anhalter Landesdatenschutzbeauftragte wird aktuell von einer Nutzung von Microsoft Office 365 abgeraten.

Mitarbeiter von Unternehmen erhalten in letzter Zeit Anrufe vom vermeintlichen Datenschutzbeauftragten des Unternehmens. In den Anrufen werden die korrekten Daten des Datenschutzbeauftragten den Mitarbeitern genannt und dann weitere Anweisungen erteilt, z. B. Programme von einer Internet-Seite herunterzuladen. Auf diesen Weg installieren die Mitarbeiter ungewollt eine Schadsoftware auf ihrem Computer und ermöglichen so einen Zugriff auf das Unternehmensnetzwerk. Natürlich war der Anrufer nicht der Datenschutzbeauftragte, sondern ein Hacker, der sich illegal Zugriff verschaffen wollte. Wie es sich herausgestellt hat, gelangen die Hacker an die notwendigen Daten über die Webseite der Unternehmen, auf der in der Regel alle Kontaktdaten des Datenschutzbeauftragten genannt sind.

Aus diesem Grund empfehlen wir allen unseren Kunden, zukünftig auf ihrer Webseite nur noch den Datenschutzbeauftragten mit einer E-Mail-Adresse datenschutz@ihr-unternehmen.de zu benennen. Diese Angabe erfüllt die gesetzliche Informationspflicht entsprechend Art. 14 Abs. 1 lit. a in ausreichender Form.

So gehen Sie vor:

1. Richten Sie eine neue E-Mail-Adresse datenschutz@ihr-unternehmen.de ein.
2. Leiten Sie diese E-Mail-Adresse auf edsb@gfi-sicherheit.de um.
3. Löschen Sie unsere Kontaktdaten und geben Sie stattdessen unter den Kontaktdaten des Verantwortlichen an:

„Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@ihr-unternehmen.de.“

Falls Sie Hilfe bei der Einrichtung benötigen, überstützen wir Sie gern.

Seit dem 1. März ist das Masernschutz-Gesetz in Deutschland in Kraft. Alle Personen, die nach 1970 geboren wurden und in einer Gemeinschaftseinrichtung betreut werden oder dort tätig sind, müssen ihren Impfschutz nachweisen. Gemeinschaftsrichtungen sind:

• Kindertageseinrichtungen, Kindertagespflege, Schulen, stationäre Kinder- und Jugendeinrichtungen, Tagesgruppen, sonstige Ausbildungseinrichtungen (hier: Internate), in denen überwiegend minderjährige Personen betreut werden.
• Gemeinschaftsunterkünfte für Asylbewerber und Flüchtlinge

Diese Regelung gilt auch für Praktikanten und Ehrenamtliche sowie Personen die in Gesundheitseinrichtungen wie Krankenhäusern oder Arztpraxen tätig sind.

Das Landesverwaltungsamt Sachsen-Anhalt hat eine Informationsseite für Kindertageseinrichten bereitgestellt: https://lvwa.sachsen-anhalt.de/das-lvwa/landesjugendamt/kinder-und-jugend/kindertageseinrichtungen/

In Anlage zu diesem Newsletter übersenden wir Ihnen einen Nachweisbogen für die Erfassung und Dokumentation des Impfschutzes.

Als Datenschutzbeauftragte weisen wir nachdrücklich darauf hin, dass mit der Dokumentation des Impfschutzes der Betroffenen Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO verarbeitet werden. Falls Sie den Impfschutz von Mitarbeitern erheben müssen, empfehlen wir diesen nicht in der Personalakte zu führen, sondern in einer separat geführten und verschlossenen Akte gesondert aufzubewahren.

Wenn Sie verpflichtet sind, den Impfstatus zu erheben, sprechen Sie uns bitte an, damit wir die notwendigen Verfahrensverzeichnisse mit Ihnen gemeinsam erstellen können.

Haftungsrechtliche Fragen für den Betrieb eines schulischen WLAN

1 Datei(en) 4.94 MB

Download

Im Jahr 2016 hat die Kultusministerkonferenz ihre Strategie zur „Bildung in der digitalen Welt“ vorgelegt. In diesem Strategiepapier werden sechs Handlungsschwerpunkte vorgegeben, die von den Bundesländern nun in curricularen Lehrplänen umgesetzt werden. Bund und Länder haben in diesem Jahr die Verwaltungsvereinbarung für den DigitalPakt Schule unterzeichnet, so dass dieser seit 17. Mai 2019 in Kraft trat. Zuvor haben Bundestag und Bundesrat Artikel 104c des Grundgesetzes geändert und damit die verfassungsrechtliche Grundlage für den DigitalPakt Schule geschaffen. Die neue Vorschrift ist seit 4. April 2019 in Kraft. Finanziert wird der DigitalPakt aus dem Digitalinfrastrukturfonds, einem sogenannten Sondervermögen, das Ende 2018 errichtet wurde.1 Insgesamt werden bis zum 31. Dezember 2024 den Bundesländern 5 Mrd. Euro bereitgestellt, die nach dem Königssteiner Schlüssel verteilt wurden. 

Aus dem DigitalPakt Schule werden prioritär Maßnahmen in digitale Infrastruktur gefördert, zu denen sowohl die strukturierte Verkabelung von Schulgebäuden als auch der Aufbau von schulischen WLAN-Netzen zählt. 

Für alle Beteiligten an Schule müssen die Rahmenbedingungen für den rechtssicheren Betrieb von WLAN-Netzen geklärt werden.

Auch wenn es immer wieder, gerade durch IT-Spezialisten, anders suggeriert wird, es gibt keine 100 %-ige Sicherheit für IT-Systeme. Der jährliche Schaden durch Cyber-Angriffe wird allein in Deutschland auf ca. 50 Mrd. € geschätzt. Fast jedes Unternehmen war bereits von einem Cyber-Angriff betroffen. Die amtliches Kriminalstatistik ist hier nicht sonderlich aufschlussreich, da fast alle Angriffe auf Unternehmen nicht polizeilich gemeldet werden. Aber warum? Die Antwort ist recht einfach und einleuchtend: Welches Unternehmen möchte, dass nach einem Angriff die Server von der Polizei zum Tatort erklärt werden und dann zu Ermittlungszwecken beschlagnahmt werden?

Die DSGVO sieht vor, dass personenbezogene Daten verschlüsselt übermittelt werden sollen. Mangels technischer Lösungen, wurde daher häufig ein PDF-Dokument mit einem Passwort versehen. Sicherheitsforscher der Ruhr-Universität Bochum haben nun herausgefunden, dass der PDF-eigene Passwort-Schutz sich mit einer Reihe von PDF-Readern aushebeln lässt, ohne dabei das Passwort zu knacken. Daher ist dieser Schutz im Sinne der DSGVO als nicht mehr sicher zu betrachten. Alternative können Verschlüsselung mit PGP oder VeraCrypt-Containern sein.

Ende November ist ein massives Datenleck in einer Arztpraxis aufgefallen. Im Internet waren sämtliche Patienten- und Stammdaten frei zugänglich, immerhin knapp 30.000 Betroffene. Dies ist natürlich unstreitig ein Datenschutz-Verstoß. Allerdings war dieser Verstoß nicht durch den Arzt begründet, sondern wurde durch einen technischen Fehler in seinem Telekom-Router verursacht. Der Arzt hatte eigentlich lediglich die Ports 80 und 443 für den Betrieb eines Webservers im Router weitergeleitet. Der Router aktivierte jedoch nicht nur diese beiden Ports sondern eine Port-Range von jeweils 10 Ports (80 – 89 sowie (440 – 449). Pikant daran ist, dass sich in letzter auch der Port 445 für die Windows-Dateifreigabe befindet. Über diese sollten eigentlich die Patientendaten nur innerhalb der Arztpraxis verfügbar sein und wurden durch den technischen Fehler auch in das Internet freigegeben. Die Telekom bestätigte mittlerweile, dass der Fehler bereits seit Mai 2019 bekannt war und die Router “Digitalisierungsbox Standard”, “Digitalisierungsbox Premium” und “Digitalisierungsbox Smart” betrifft. Sollten Sie diese Router nutzen, aktualisieren Sie bitte dringend die Firmware der Router.

Unstreitig ist, dass der Arzt als Verantwortlicher für die Patientendaten nun entsprechend der DSGVO in der Pflicht ist. Sicherlich wird und muss die Aufsichtsbehörde hier auch ein Bußgeld verhängen. Dieses Bußgeld muss der Arzt dann in einem Verfahren auf Schadenersatz gegen seinen IT-Dienstleister und die Telekom, vielleicht sogar in gesamtschuldnerischer Haftung geltend machen.

Das OLG Naumburg hat in seinem Urteil (Az. 9 U 6/19) entschieden, dass Verstöße gegen die DSGVO als wettbewerbswidrig einzustufen sind und auch abgemahnt werden können. Es kommt jedoch immer auf die im Einzelfall verletzte Norm an. Das OLG Naumburg befand, dass § 9 DSGVO eine Marktverhaltensregel gemäß §3a lit. a UWG darstelle und Verstöße hiergegen abgemahnt werden können.