Der Avast Antivirus hat nach eigenen Angaben weltweit 435 Millionen aktive Nutzer und zählt damit zu den am häufigsten installierten Schutz-Programmen. Auch in Deutschland ist die Gratis-Version der Software beliebt und erhielt auch von der Stiftung Warentest schon gute Bewertungen.

Recherchen ergaben nun, dass über den Virenscanner massenhaft Browserdaten von Nutzern gesammelt wurden und über die eigene Tochterfirma Jumpshot gewinnbringend an Kunden verkauft hat. Zu den gesammelten Daten gehören beispielsweise Sucheingaben, Standortdaten, LinkedIn-Besuche oder angeschaute Youtube-Videos. Bereits im Herbst fiel ein Browser-Plugin von Avast auf, das Nutzer vor schädlichen Webseiten warnen sollte und im Hintergrund Daten sammelte.

Übrigens gehört auch das kostenlose AVG Antivirus zu Avast und es ist nicht auszuschließen, dass dieses Programm nicht auch Daten für Jumpshot sammelt.

Wir empfehlen daher sowohl Avast Antivirus als auch AVG Antivirus zu deinstallieren.

Hierfür bietet sich beispielsweise eine zentrale Virenschutz-Software an. Wir beraten Sie hierzu.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW warnen vor aktuell gehäuften Phishing-Mails im Zusammenhang mit Corona.

So kursiert eine E-Mail, in der Sparkassen ihre Kunden darauf hinweisen, dass kleinere Filialen auf Grund von Corona geschlossen werden und man daher seine Kontaktdaten überprüfen und ggf. aktualisieren soll. Der Link führt jedoch zu gefälschten Seiten. Geben Nutzer dort Ihre Daten ein, landen diese bei Betrügern.

Allgemein sollte man jedoch bei allen E-Mails mit dem Kontext Corona vorsicht walten lassen. Die aktuellen Phishing-Mails sind sprachlich sehr gut und emotional adressiert. Dies ist eine neue Qualität und unterscheidet sich von bisherigen Phishing-Mails.

Aber auch Fake-Shops versuchen Kunden mit dem Thema Corona zu locken. Viele Fake-Angebote versuchen Kunden nun mit vermeintlich günstigen Artikeln, wie Desinfektionsmittel oder Atemmasken, in die Falle zu locken. Prüfen Sie daher, ob die Shops ein Impressum haben und telefonisch erreichbar sind. Achten Sie darauf, ob eine SSL-Verschlüsselung (Vorhängeschloss-Symbol in der Adressleiste) vorhanden ist. Mit einem Klick auf das Symbol können Sie sich weitere Daten zum Anbieter abrufen. Betrüger nutzen in der Regel keine SSL-Verschlüsselung. Suchen Sie nach Erfahrungsberichten anderer Nutzer im Internet. Achten Sie auf Gütesiegel und überprüfen Sie diese. Wenn Sie auf ein Gütesiegel klicken, öffnet sich eine Webseite, die über die Gültigkeit des Zertifikates und den Anbieter informiert. Ist das Gütesiegel nicht anklickbar, ist Vorsicht geboten. Zahlen Sie nicht per Vorkasse, wenn Sie den Anbieter nicht kennen.

Zur Filterung von Spam-, Phishing- und Viren-Mails bieten wir einen Mailfilter an, der nahtlos in ihre bestehende Infrastruktur integriert werden kann. Sprechen Sie uns hierzu an.

Die aktuelle Lage bringt es mit sich, dass auch wir uns nach Möglichkeiten umschauen weiterhin Beratungen durchzuführen und dennoch das Kontaktverbot oder Social Distancing einzuhalten. In diesem Zusammenhang nutzen wir nun für Meetings den US-Anbieter “zoom”, der Online-Meetings mit bis zu 100 Teilnehmern ermöglicht. In der kostenfreien Basic-Variante sind die Meetings auf 40 Minuten begrenzt, in der Pro-Version für 13 € im Monat ist die Begrenzung auf 24 Stunden angehoben – aber wer will schon so lange Meetings abhalten.

Wichtig für uns ist, “zoom” kann in Europa datenschutzkonform eingesetzt werden – so geht’s.

Vertrag zur Auftragsverarbeitung abschließen

1. Auf der Seite https://zoom.us/data-processing den “Data Processing Addendum” herunterladen.
2. Das Dokument auf Seite 7 unterzeichnen.
3. In den Exhibits A-C ist der Gegenstand der Datenverarbeitung sowie die technisch-organisatorischen Maßnahmen definiert.
4. In Exhibit C befinden sich die EU-Standardvertragsklauseln, die zusätzlich zum EU-US-Privacy-Shield ein angemessenes Datenschutzniveau garantieren sollen.
   Hier sind nun auf Seite 17 die eigenen Unternehmensdaten anzugeben als Datenexporteur und auf Seite 24 zu unterzeichnen.
5. Auf Seite 26 ist der Name des Daten-Exporteurs und die Unterschrift eines Vertretungsberechtigten erforderlich.
6. Der Vertrag ist nun fertig unterzeichnet und muss an “zoom” zurück gesendet werden. Hierfür ist die “zoom”-Account-Nummer notwendig, die im persönliche Meeting-ID.
7. Vertrag unter Angabe der Meeting-ID per E-Mail an dpa@zoom.us senden.

Mit Eingang des Vertrags bei “zoom” ist dieser gültig.

Datenschutzhinweise für Teilnehmende an “zoom”-Meetings

Die Teilnahme an einem “zoom”-Meeting erfolgt über eine E-Mail, in der ein Einladungslink enthalten ist. Der Einladungstext sollte wie folgt erweitert werden:
“Zur Durchführung von Online-Meetings verwenden wir “zoom”. Hinweise zur Datenverarbeitung finden Sie unter [Link einfügen].”

Ein angepasstes Muster für die Datenschutzhinweise stellen wir Ihnen im Rahmen unserer Tätigkeit als Datenschutzbeauftragte kurzfristig zur Verfügung. Sprechen Sie uns hierzu an.

Die Datenschutzkonferenz der Datenschutzbeauftragten der Länder hat sich in einem Schnellbrief zur Erhebung von Gesundheitsdaten im Zusammenhang mit der Corona-Pandemie geäußert.
Auch wenn die Verarbeitung von Gesundheitsdaten entsprechend Art. 9 DSGVO nur restriktiv möglich ist, können verschiedene Maßnahmen zur Eindämmung der Pandemie oder zum Schutz von Mitarbeiter*innen  datenschutzkonform Daten erhoben und verarbeitet werden.

Die DSK sieht folgende Maßnahmen für den vorliegenden Fall als legitimiert an:

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese

• selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
• sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Zusätzlich zu den bestehenden Rechtsgrundlagen für die Datenverarbeitung auf Seiten des Arbeitgebers ergeben sich aus dem Beamtenrecht, aus dem Tarifrecht bzw. dem Arbeitsrecht für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungspflichten gegenüber ihrem Arbeitgeber und Dritten. Vorliegend stellt nach Auffassung der Datenschutzaufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine Offenlegungsbefugnis gemäß Art. 6 Abs. 1 lit. c) und f) DSGVO bezüglich personenbezogener Daten der Kontaktpersonen folgt.

Microsoft hat den Funktionsumfang seiner Onlinedienste eingeschränkt. Den Anfang machte bereits Office 365, nun sollen weitere folgen. Microsoft kämpft aktuell mit einem Ansturm auf seine Cloud- und Online-Dienste. Bereits in der vergangenen Woche wurden nicht essentielle Funktionen, wie Videoauflösungen oder die Frequenz von Aktivitätsabfragen gesenkt. Am 24. März hat Microsoft weitere Maßnahmen angekündigt. Die OneNote-Integration in Teams wurde in einen Nur-Lese-Modus versetzt sowie die Download-Größe und Synchronisationsintervalle von Dateien geändert. Vollen Funktionsumfang erhalten Anwender nur noch in der Web-Variante.

Für uns ein weiterer Grund unseren Kunden zu empfehlen, den Einsatz unternehmenseigener Cloud-Dienste zu prüfen, bevor man sich in die Abhängigkeit Dritter begibt. Die datenschutzrechtlichen Problemen bei der Nutzung von Microsoft Office 365 bleiben weiterhin bestehen.

Die Entwicklung der Corona-Pandemie in den letzten Wochen hat in allen Unternehmen zur Überlegung geführt, wie Arbeitsprozesse ggf. auch im Homeoffice weitergeführt werden können. Fast alle unsere europäischen Nachbarn haben bereits restriktive Ausgangssperren verhängt und auch in Sachsen-Anhalt sind seit gestern die ersten beiden Gemeinden abgeriegelt. Vor diesem Hintergrund ist der Wunsch von Unternehmen nachvollziehbar, die Arbeitsfähigkeit auch unter diesen erschwerten Bedingungen aufrecht zu erhalten.

Dabei wird nun zum Teil, auch auf Grund der bereits erfolgten Schließung von Elektronikmärkten und der eingeschränkten Verfügbarkeit von Online-Lieferungen, auf private Geräte zurückgegriffen.

Für die Arbeit im Homeoffice müssen grundlegend dieselben datenschutzrechtlichen Bedingungen wie für einen Büro-Arbeitsplatz erfüllt werden. Diese lauten:

1. Sichere Aufbewahrungsorte

Das Prinzip der sicheren Aufbewahrungsorte gilt für Unterlagen und den im Homeoffice genutzten PC gleichermaßen. Ein abschließbarer Schrank und ein separates Arbeitszimmer gehören dazu, damit Ihnen niemand bei der Arbeit über die Schulter schauen oder sich unbefugt Zugang verschaffen kann.

2. Verschlüsselung

Mittlerweile Standard, aber immer noch einen Hinweis wert: Sowohl E-Mails, Festplatten als auch der Zugang zum Firmennetzwerk sollten verschlüsselt sein.

3. Firmen-Hardware statt Privatrechner

Im Homeoffice sorgen Sie stets für aktuelle Sicherheits- und Virensoftware, indem Mitarbeiter mit Firmen-Hardware ausgestattet werden. Das hat auch den Vorteil, dass Daten nicht auf privaten Datenträgern gespeichert werden.

Hierfür bietet sich beispielsweise eine zentrale Patchmanagement-Software an. Wir beraten Sie hierzu.

4. Trennung von privaten Daten

Wenn Ihr Mitarbeiter die Firmen-Hardware nutzt, sollten Sie darauf hinweisen, dass keine privaten Daten darauf gespeichert werden. Persönliche Daten und Software stellen immer ein Sicherheitsrisiko dar. Wird ein Privatrechner genutzt, dann gehören Firmendaten nicht gespeichert. Es empfiehlt sich ein rein browserbasierter Zugang zu E-Mail & Co.

5. Datenmüll vermeiden

E-Mail-Ausdrucke oder Notizen mit personenbezogenen Daten müssen auch datenschutzgerecht entsorgt werden. Das ist im Büro einfacher als im Homeoffice. Deswegen diesen Datenmüll direkt vermeiden!

6. Automatische Sperre des Computers

Der Computer sollte auch bei kurzem Verlassen immer gesperrt werden. Unser Tipp: den Bildschirm so einstellen, dass nach kurzer Inaktivität eine automatische Bildschirmsperre erfolgt.

7. Sichere Passwörter

Passwörter sollten besonders sicher sein, im besten Fall werden diese von der IT-Abteilung eingerichtet.

Zur Verwaltung von sicheren und komplexen Passwörtern bietet sich z. B. der GfI-Tresor an. Eine Demo-Version können Sie unter https://demo.gfi-tresor.de testen.

Aufgrund der vorliegenden Ausnahmesituation sind nicht mehr alle Punkte kurzfristig umsetzbar. Die DSGVO hilft hier im Art. 32 übergangsweise weiter: 

“Art. 32 Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: […]”

Die Pandemie-Sondersituation kann hier also durchaus als Umstand angesehen werden, der berücksichtigt werden soll. Nichtsdestotrotz hebt dieser nicht die gebotene Sorgfaltspflicht des Verantwortlichen auf.

Wir würden daher einen Mittelweg empfehlen, der zwar den Einsatz von privater Technik ermöglicht, aber dennoch ein Schutzniveau nach aktuellem Stand der Technik vorsieht. Unser Vorschlag sieht daher folgendermaßen aus:

1. Firmen-Hardware

Nutzen Sie nach Möglichkeit dienstliche und vom Unternehmen verwaltete Geräte auch im Homeoffice.

2. Private Geräte nur im Ausnahmefall

Sollten auf Grund der derzeit schwierigen Beschaffungssituation dies nicht sichergestellt werden, nutzen Sie private Geräte, bevorzugt Laptops, nur im Ausnahmefall.

3. Getrennte Nutzerkonten – Privates und berufliches trennen

Stellen Sie sicher, dass ihre Verwaltungsprogramme in einer separaten, ausschließlich dienstliche genutzten Benutzersitzung ohne Adminstratorenrechte ablaufen.

4. E-Mail-Weiterleitung

Leiten Sie keine dienstlichen E-Mail-Adressen auf private E-Mail-Konten um.

5. WLAN schützen

In der Regel werden die Zugangsdaten für das heimische WLAN nie geändert. Über Jahre wurden die Kennwörter an Gäste, Besucher und Freunde weitergegeben oder sind noch in alten, längst ausrangierten Geräten gespeichert. Spätestens jetzt ist es an der Zeit, das WLAN-Passwort zu aktualisieren. Prüfen Sie dabei auch, ob das WLAN den derzeit aktuellen Verschlüsselungsstandard WPA2 nutzt.

6. Sicherheitsupdate installieren / Virenschutz aktivieren

Installieren Sie die aktuellsten Sicherheitsupdates für das Betriebssystem und die Anwendungsprogramme. Kriminelle nutzen oft Schwachstellen aus, die gerade erst entdeckt wurden. Sie rechnen damit, dass viele Nutzer ihre Software noch nicht aktualisiert haben. Wer zum Update aufgefordert wird, sollte die Installation deshalb nicht hinauszögern. Vor allem Betriebssystem, Browser, Office-Software wie Microsoft Word oder der Acrobat Reader von Adobe sollten immer auf dem aktuellsten Stand sein. Das gilt auch für den Wlan-Router und andere IoT-Geräte, die mit dem Netzwerk verbunden sind. Dort finden sich die Firmware-Updates meist auf den Seiten der Hersteller. Oft lassen sich Updates auch automatisieren.

Hierfür bietet sich beispielsweise eine zentrale Virenschutz-Software an. Wir beraten Sie hierzu.

7. Arbeiten Sie weiterhin, auch aus der Ferne, im Büro

Am besten ist jedoch ein Fernzugriff auf den Unternehmensrechner über eine verschlüsselte Verbindung ins Unternehmensnetzwerk. Hierzu eignet sich besonders unter dem Kosten- und Leistungsaspekt OpenVPN für die Bereitstellung der verschlüsselten Verbindung und innerhalb der Unternehmens für den Fernzugriff die von Microsoft mitgelieferte Remotedesktop-Verbindung.

Für die VPN-Verbindung sollten Sie nach Stand der Technik 

• eine Schlüssellänge von mindestens 4096 bit, 
• als Verschlüsselungsalgorithmus AES 256 bit, 
• Authentifizierungsalgorithmus SHA 512

verwenden.

Aktuelle Computer-Prozessoren bieten standardmäßig eine Hardwarebeschleunigung für die AES-Verschlüsselung an, so dass hier keine Leistungsverluste bei der Ver- und Entschlüsselung der Daten zu erwarten sind.

Über diesen Fernzugriff arbeiten ihre Mitarbeiter*innen auch weiterhin auf dem Arbeitsplatz-PC im Büro, dieser muss natürlich eingeschaltet bleiben. Sensible Daten, egal ob Unternehmens- oder personenbezogene Daten werden nicht auf dem privaten Gerät im Homeoffice gespeichert.

In jedem Fall sollten Sie Ihre Mitarbeiter*innen nochmals schriftlich auf die Geheimhaltung von Unternehmens- und personenbezogenen Daten hinweisen, als Erinnerung auf Grund der besonderen Situation. Diese Regeln gelten natürlich auch im Homeoffice, bei denen der Zugang zu den genutzten Geräten nicht durch Sie als Verantwortlichen vollständig kontrolliert werden können.

Beispiele für eine Datenpanne sind (nicht abschließende Aufzählung):

• Gerät/ mobile Datenträger (Handy, USB-Stick etc.) verloren / gestohlen
• Unterlagen verloren, gestohlen oder an einem unsicheren Platz gelagert
• Versand von personenbezogenen Daten per E-Mail ohne angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung); für Mailserver von Unternehmen ist eine Transportverschlüsselung obligatorisch
• Postsendung verloren oder versehentlich geöffnet
• Hackerangriff, Schadsoftware, Phishing
• nicht datenschutzgerechte Entsorgung von Materialien (z. B. Akten, Bild- oder Tonträger) oder von Geräten (z. B. Festplatten)
• Personenbezogene Daten an falsche Empfänger gesendet
• Versand von E-Mail mit offenem Verteilerkreis
• Einbruch

Umgangssprachlich wird eine Datenschutzverletzung auch „Datenpanne“ genannt und unterliegt definierten Melde- und Anzeigepflichten. Die Datenschutzgrundverordnung (DSGVO) definiert eine Datenschutzverletzung als „Verletzung des Schutzes personenbezogener Daten“. Diese liegt vor, wenn es sich um

• „eine Verletzung der Sicherheit,
• die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
• die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

handelt (Art. 33 DSGVO und Art 4 Nr. 12 DSGVO).

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner bisherigen Empfehlung ab und hält den regelmäßigen Passwortwechsel nicht mehr für notwendig. In seinem Handbuch zum IT-Grundschutz strich das BSI eine entsprechende Textpassage.

Bereits seit vielen Jahren halten wir den erzwungenen Passwortwechsel aus Sicht der IT-Sicherheit für nicht zielführend und hilfreich. Passwortwechsel haben unserer Erfahrung nach dazu geführt, dass von Mitarbeitern genutzte Passwörter nicht mehr die notwendige Komplexität aufwiesen.

Passwortrichtlinien erhalten nun aber eine deutlich stärkere Bedeutung. Gerade vor dem Hintergrund der technisch-organisatorischen Maßnahmen des Datenschutzes und der IT-Sicherheit müssen Unternehmen nun geeignete Maßnahmen ergreifen. Hilfreich kann die Verwendung eines unternehmensweiten Passwort-Tresors sein. Als Lösung bieten wir unseren mehrbenutzerfähigen und vollverschlüsselten GfI-Tresor an. Eine Demo können Sie hier ausprobieren: https://www.gfi-tresor.de

Die Schadsoftware Emotet verbreitet sich noch immer. Sicherheitsexperten des japanischen CERT haben daher das Prüftool “EmoCheck” veröffentlicht. Mit diesem können von Emotet infizierte Dateien auf dem PC gefunden und beseitigt werden. “EmoCheck” ist u.a. kompatibel mit Windows 8.1. und 10 (64 Bit).

Emotet ist in der Lage, eigenständig gefälschte E-Mails mit schadhaften Anhängen oder Links zu versenden. Werden die Anhänge oder Links angeklickt, lädt Emotet weitere Schadsoftware nach, u.a. den Banking-Trojaner Trickbot. Diese können u.a. Zugangsdaten und Passwörter auslesen und so die IT-Sicherheit massiv gefährden.

EmoCheck kann kostenlos von GitHub heruntergeladen werden: https://github.com/JPCERTCC/EmoCheck/releases