Archive for August 2011

Ergänzung zum Artikel: „Hoffen, dass es keiner merkt…“

Samstag, 27. August 2011

Wie in einem Update auf Heise-Online zu lesen war, äußerte sich ein CDU-Sprecher im Gespräch mit heise online: „Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden.“

Leider macht diese Aussage die im Blogeintrag „Hoffen, dass es keiner merkt: Datenpanne bei der CDU“ geschilderte Situation in keiner Weise besser: Hackerangriffe können, wenn die passende Infrastruktur installiert ist, relativ einfach bemerkt werden. So treten z. B. Login-Versuche von unzulässigen IP-Adressen auf etc., Aktionen, die häufig auch von Kontrollsystemen außerhalb des angegriffenen Systems bemerkt werden können. Da Daten jedoch bei einem „Datendiebstahl“ nicht abhanden kommen, sondern überlicherweise kopiert werden, ist ein konkreter „Diebstahl“ erheblich schwerer festzustellen. Spuren des Kopierens finden sich häufig nur auf dem befallenen System selbst und sind dort durch Manipulation von Log-Datien und History-Dateien etc. durch den Angreifer verwischbar. Insofern wird man bei vielen Hackerangriffen zwar feststellen, dass diese stattgefunden haben, jedoch die genauen Tätigkeiten des Angreifers nicht nachvollziehen, sondern lediglich vermuten können.

Vor diesem Hintergrund, sehe ich eine Aussage, man habe den Angriff zwar registriert, aber keinen Datenverlust festgestellt, für leichtsinnig.

Hoffen, dass es keiner merkt: Datenpanne bei der CDU

Freitag, 26. August 2011

Leider kann man den Umgang der CDU mit der berichteten Datenpanne nur so beschreiben. Zwei Jahre nach einer Datenpanne wurden heute die betroffenen Mitglieder darüber informiert, dass Ihre Daten – Nachname, eine interne Nummer und die E-Mail-Adresse – beim IT-Dienstleister der CDU, der Union Betriebs-GmbH entwendet wurden. Aber die Information erfolgte nicht nur erst zwei Jahre nach der Entwendung, sondern auch 14 Tage nach der Veröffentlichung der Daten im Internet.

Die Begründung für die 2-Jahres-Verspätung:

„Durch die Logfiles hatten wir Anhaltspunkte für einen Hackerangriff, wir waren uns aber nicht ganz sicher.“

Natürlich ist es peinlich, wenn der eigene Server offensichtlich gehackt wurde. Aber die „Kopf-in-den-Sand-Methode“ und das Versuchen des Todschweigens ist nicht der richtige Umgang mit Datenpannen.

Die Daten sind in der Kombination auf Grund der Datenquelle und der damit verbundenen Zusatzeigenschaft „CDU-Mitglied“ sicherlich als personenbezogene Daten besonderer Art i.S.d. BDSG anzusehen. Somit wäre zu überprüfen, ob ein Verstoß gegen §42a BDSG (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) vorliegt. Wobei in der von der CDU verschickten E-Mail  steht: „Heute müssen wir Sie darüber informieren, dass im August 2009 ein Hackerangriff auf unseren Web-Server stattgefunden hat.“ Und der erwähnte §42a BDSG ist erst zum 1.9.2009 in Kraft getreten. Und am 27.10.2009 war Bundestagswahl – die Veröffentlichung der Datenpanne wäre sicherlich besonders unangenehm gewesen. Der Leser wundert sich und würde sicherlich gerne einen Blick in die erwähnte Log-Dateien werfen.

Ist dieses Vorgehen sinnvoll? Und ist es ethisch?

Datenschutz als Marketinginstrument

Freitag, 26. August 2011

Es ist erschreckend, wie wenig Firmen den Datenschutz als Marketinginstrument nutzen! Sucht man auf den Webseiten der Firmen nach Informationen über den Datenschutz findet man, überwiegend etwas versteckt, nichtssagende Aussagen wie

„Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und halten uns strikt an die Regeln der Datenschutzgesetze. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben. In keinem Fall werden die erhobenen Daten verkauft oder aus anderen Gründen an Dritte weitergegeben.“

Häufig gefolgt von Aussagen über Cookies etc. Sucht man bei Google nach der Kombination der Begriffe „Datenschutz nehmen sehr ernst“, so werden einem über 4,6 Millionen Ergebnisse präsentiert.

Schaut man sich dann einige dieser Webseiten oder der Firmen genauer an, so findet man normalerweise weder Angaben über einen Datenschutzbeauftragten noch über ein Verfahrensverzeichnis etc. Insbesondere Firmen, bei denen eine offensive Kommunikation Marktvorteile generieren würden, gegenüber Kunden oder Bewerbern, haben diese Chancen weitestgehend nicht erkannt. Nachfragen per E-Mail führen regelmäßig zu Techniken des „Erledigens durch Ignoranz“.

Auch in der physischen Welt erlebt man als Kunde vor allem Absurditäten: Ein Beispiel ist die inzwischen fast allgegenwärtige Videoüberwachung: Nahezu jeder Kunde fühlt sich durch die Kameras irgendwie beeinträchtigt und unwohl, aber wir haben diese Kameras „irgendwie“ vielfach akzeptiert. Es gibt ja auch gute Gründe, in denen der Einsatz der Videoüberwachung legal und legitim ist. Viele Firmen versuchen jedoch, diese Techniken unauffällig und verdeckt einzusetzen, „Dome-Kameras“ nehmen rasant zu. Dass dies in öffentlichen Bereich illegal ist, steht außer Frage. Aber warum arbeiten Firmen nicht offensiv, sondern verstoßen gegen Gesetze. Warum sagen Unternehmen nicht klar und gut sichtbar am Eingang, dass Sie eine Videoüberwachung durchführen, schreiben, warum sie das tun und schreiben, was sie mit den Bilden und Daten machen. Das Vertrauensverhältnis gegenüber dem Kunden wäre gestärkt!

Stattdessen erhält man auf Nachfrage Informationen der Art „Ich darf Ihnen nicht sagen, was wir mit der Videoüberwachung machen, das unterliegt dem Datenschutz.“ Absurd und ein Gesetzesverstoß. Wenige Firmen haben diese Problematik erkannt und agieren proaktiv: Ein deutlicher Hinweis am Eingang, klar erkennbare Kameras, auf Nachfrage freundliche Auskünfte, dass man nur live überwache und nicht aufzeichnet etc. – aber diese Geschäfte bilden die Ausnahme.

Machen Sie als Unternehmerin oder Unternehmer mehr aus de Thema Datenschutz! Gehen Sie offensiv mit dem Thema um, informieren Sie sich über Ihre Pflichten und kommunizieren Sie Ihre Handlungen nach außen: Sie setzen sich dadurch positiv von der Konkurrenz ab und schaffen sich so Marktvorteile. Sprechen Sie mich an! Wir finden gemeinsam innovative Lösungen, mit denen Sie

  • Ihr Unternehmen positiv präsentieren,
  • dem Datenschutz gerecht werden,
  • die Schutzbedürfnisse Ihres Unternehmens beachten.

 

Weitverbreitete Unwissenheit

Dienstag, 16. August 2011

Ein Kunde bekam heute einen Anruf eines Softwaredistributors. Im Gespräch kam heraus, dass dieser Distributor die Kontaktdaten, inklusive personenbezogener Daten, von seinem Hersteller bekommen hatte. Somit ein eindeutiger Fall der Datenweitergabe. Natürlich hatte mein Kunde dem Hersteller,  der bei der Nutzung der Produkte persönliche Daten verlangt, keine Einwilligung zur Datenübertragung gegeben.

Die Rückfrage bei dem Hersteller führte dann zu großem Erstaunen. Zum einen sei dafür Finnland zuständig, schließlich sei man ein finnisches Unternehmen (wohlgemerkt, eine deutsche GmbH mit 16 Mitarbeitern), und zum anderen habe man keinen Datenschutzbeauftragten.

Dies ist ein leider fast typischer Fall. Ob in dem Unternehmen ein Datenschutzbeauftragter vorhanden sein muss, kann aus der Ferne nicht überprüft werden – obwohl bei einem Vertriebsunternehmen mit 16 Mitarbeitern schon davon ausgegangen werden kann, dass mehr als 9 Personen ständig mit den personenbezogenen Daten umgehen. Sicher ist jedoch, dass die Mitarbeiter ungenügend informiert und damit ungenügend geschult sind. Und sicher ist damit auch, dass sich die Geschäftsleitung sich ihrer Aufgaben offensichtlich nicht bewusst ist.

Mein Rat an alle Unternehmen dieser Größenordnung: Lassen Sie sich kompetent beraten. Eine regelmäßige Unterstützung in Datenschutzfragen ist bereits ab 50 € / Monat realisierbar, eine sinnvolle Investition.

Geführter Datenschutzfragebogen zur Selbstinformation

Freitag, 12. August 2011

Gerade für die Verantwortlichen von mittelständischen und kleinen Unternehmen ist es sehr schwer, sich einen Überblick über die Notwendigkeiten des Datenschutzes zu machen. Man weiß, dass man was machen und sich informieren müsste – aber das Thema ist lästig und der Aufwand ist so ungewiss.

Gut wäre es, wenn man sich in wenigen Minuten über die wichtigsten Punkte informieren könnte, ohne sich mit überflüssigen Informationen zu beschäftigen. Am Ende sollte die Anleitunge stehen: So muss es gemacht werden.

Diese Aufgabe geht der Fragebogen „Informationen zum Datenschutz“ des Ingenieurbüros Dr. Martin H. Ludwig an: Der Besucher wird in wenigen Minuten durch wichtige Fragen zum Thema Datenschutz aus der Sicht des Unternehmens gelotst und erhält am Ende die zu den gegebenen Antworten passenden Hinweise. Natürlich kann der Fragebogen anonym ausgefüllt werden, Name und Adresse sind nur notwendig, wenn ein Kontakt gewünscht ist.

E-Mail-Kommunikation in Zeiten von Viren und Spam: Die Sichtweise des Datenschutzes – Teil 1

Montag, 1. August 2011

Datenschutzbeauftragte werden auch mit Fragen zur Verletzung des Post- und Fernmeldegeheimnisses nach §206 StGB konfrontiert, insbesondere mit Abs. 1 Nr. 2:

Ebenso wird bestraft, wer als Inhaber oder Beschäftigter eines in Absatz 1 bezeichneten Unternehmens unbefugt … eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrückt..

Ein einer kleinen Artikelserie soll hierzu Stellung bezogen werden. Nach diesem kleinen Artikel hier als Übersicht werden in einem zweiten  Teil technischen Grundlagen der E-Mail-Kommunikation beleuchtet. In einem dritten Teil werden dann Hinweise zum Umgang mit Malware – Spam und Virenmails – gegeben. In den dann folgenden Teilen werden praktische Szenarien aus dem Alltag beleuchtet, z. B.

  • Wie soll mit neuen E-Mails umgegangen werden, wenn ein Mitarbeiter das Unternehmen verlassen hat?
  • Wie soll mit virenverseuchten E-Mails umgegangen werden?
  • Wie soll mit Spams und Newslettern umgegangen werden?

Natürlich stehe ich Ihnen bei Fragen zu den einzelnen Themen gerne zur Verfügung: Sprechen Sie mich an!