Das Schadsoftware über Word- und Office-Dokumente auf den eigenen Computer gelangen kann, ist mittlerweile bekannt. Doch wie genau findet eine solche Infektion statt? Wir haben eine aktuelle E-Mail an uns zum Anlass genommen, dies genauer zu analysieren. Die verdächtige E-Mail mit dem Betreff „in Rechnung gestellt“ enthielt nicht viel mehr als einen Link (geändert) auf […]
IT-Sicherheit
IT-Sicherheit
Was entspricht dem Stand der Technik?
Diese Frage muss sich jeder stellen, der den Anforderungen der Datenschutzgrundverordnung (DSGVO) nachkommen will. Ständig ist in der DSGVO vom „Stand der Technik“ die Rede. So bereits in den Erwägungsgründen, wenn es beispielsweise um den Schutz personenbezogener Daten bei deren Verarbeitung geht (Erwägungsgrund 78) oder um Verschlüsselung (Erwägungsgrund 83) oder um die Datenschutz-Folgenabschätzung (Erwägungsgrund 91) […]
Erste Lösungsvorschläge im Streit um die Whois-Datenbank
Die Internet Corporation for Assigned Names and Numbers (ICANN) behält ihre Ansicht im Streit mit der EPAG Domain Services GmbH bei. Letzte Woche legte die ICANN sofortige Beschwerde gegen die Entscheidung des Landgerichts Bonn vom 30. Mai 2018 ein. Das LG Bonn hatte der deutschen Domainvergabestelle EPAG Recht gegebenen und die Klage der ICANN zurückgewiesen. […]
Update im Streit um die Whois Datenbank
Am vergangenen Mittwoch haben wir über die die datenschutzrechtliche Perspektive der Whois -Datenbank berichtet. Nur wenige Tage später hat sich das Landgericht Bonn der Ansicht von EPAG angeschlossen und den Antrag von ICANN als unbegründet zurückgewiesen. Hintergrund Das Whois-Protokoll stellt Daten zur Verfügung, die in den Anwendungsbereich der DSGVO fallen (z.B. Eigentümer, Name, Adresse, E-Mail-Adresse oder Telefonnummer […]
Whois Geolokalisierung nach den Regeln der DSGVO
Nachdem wir bereits in früheren Beiträgen (hier und hier) die Funktionsweise der Geolokalisierung und den Ursprung der dafür erforderlichen Daten aus der Whois-Datenbank betrachtet haben, wollen wir uns in diesem Beitrag der datenschutzrechtlichen Perspektive der Whois-Datenbank widmen. Schließlich kann es sich auch bei den Kontaktinformationen des Besitzers einer IP-Adresse um personenbezogene Daten handeln, welche im […]
E-Mail für mich – äh, dich!
Die Standards OpenPGP und S/MIME sicherten eine verschlüsselte E-Mail-Kommunikation, die selbst die NSA nicht umgehen konnte – bis heute. Dass eine normale E-Mail hinsichtlich ihrer Sicherheit mit einer Postkarte gleichzusetzten ist, stellt schon lange kein Geheimnis mehr dar. Dass jedoch auch E-Mails, die mit den o.g. Standards verschlüsselt wurden unsicher sind ist neu. Es gelang […]
Wo steht der Server? – Whois Geolokalisierung
In unserem ersten Beitrag dieser Reihe haben wir bereits kurz auf das Problem der potentiellen Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland im Rahmen des Einsatzes von Auftragsverarbeitern aufmerksam gemacht. In diesem Zusammenhang haben wir auch auf die Möglichkeit der Überprüfung von Standorten des Empfängers durch Online Tools mittels Geolokalisierung hingewiesen. Geolokalisierung In […]
ZITiS – die Kritiker werden lauter
Die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“, kurz ZITiS sieht sich vermehrter Kritik ausgesetzt. Die ZITiS ist eine durch Erlass des ehemaligen Bundesinnenministers Thomas de Maizière entstandene Bundesbehörde, die ihre Arbeit im letzten Jahr aufgenommen hat. ZITiS soll Überwachungstechniken entwickeln und diese quasi als Dienstleister der Bundespolizei, dem Bundeskriminalamt und dem Verfassungsschutz zur Verfügung stellen. […]
Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
Viele Unternehmen in der EU betreiben Webseiten oder stellen Dienstleistungen im Internet zur Verfügung, welche die Verarbeitung von personenbezogenen Daten umfassen. Selbst für Unternehmen aus Drittstaaten gelten in den meisten Fällen aufgrund des Marktortprinzips für diese Datenverarbeitungen die Vorgaben der DSGVO. Eine große Rolle spielt in diesem Zusammenhang die Übermittlung von Daten in Drittländer außerhalb […]
TOM und die Datenschutzgrundverordnung
In der Fachzeitschrift Datenschutz und Datensicherheit (DuD 3/2018, Seite 174 – 177) geht unser Mitarbeiter Thomas Wennemann auf die Neuerungen der Datenschutz-Grundverordnung (DSGVO) zum Thema technische und organisatorische Maßnahmen (TOM) ein. Neben einer Beschreibung der Anforderungen der DSGVO an zu treffende TOM wird ein möglicher Lösungsansatz für eine risikoorientierte Betrachtung zur Ermittlung der erforderlichen TOM […]
Ein sicheres Startup
Egal ob Blockchain, Internet of Things oder AI – viele gute Ideen werden von Startups an den Markt gebracht. Doch während die Unternehmen sich bemühen möglichst schnell ein Produkt auf den Markt zu bringen, bleibt die IT-Sicherheit dabei häufig auf der Strecke. Das kann sowohl die Sicherheit des Produkts als auch die Sicherheit des Startups […]
Cryptomining und wie man sich schützt
Der Missbrauch von Browsern, um Cryptowährungen zu erzeugen, ist ein scheinbar wachsender Trend. Zuletzt war es Angreifern gelungen, ein entsprechendes Programm auf 4275 Webseiten, darunter auch US-Regierungs-Webseiten, zu installieren. Auch sind es nicht nur Angreifer, die sich Zugriff auf eine Webseite verschafft habe, die solche Programme in Webseiten einbinden. Auch die Betreiber der Webseiten haben […]
What’s new in Microsoft Edge? Heute (und bereits seit einigen Tagen) eine kritische Zero-Day Lücke.
Die Forschungsgruppe von Google namens „Projekt-Zero“ hat eine kritische Zero-Day Sicherheitslücke im Microsoft Edge Browser entdeckt. Welche, auch nach einer 104-tägigen Karenzphase noch nicht mit einem Update versehen werden kann, da, so Microsoft (siehe den Kommentar 1), der Umfang der Lücke zu komplex sei, um diese in so kurzer Zeit zu beheben. Angesichts dieser Sicherheitslücke […]
Geschichte der Quellen
Wie wir im Artikel „Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?“ vom 18.12.2017 beschrieben haben, bietet die Seite keylength.com eine recht aktuelle Übersicht über Schlüssellängen. Ein etwas tieferer Blick in die Quellenangaben der Seite enthüllt zum einen das Kürzel „ECRYPT“ und zum anderen die Autoren Lenstra und Verheul. […]
Nach dem Firefox nun auch der Flash Player von Adobe – Kritische Zero Day Lücke
Jede Desktoplösung ist von dieser Schwachstelle betroffen, ein Update ist aber in Sicht: „Adobe will address this vulnerability in a release planned for the week of February 5.“ [1] Im Vergleich zur Firefox Lücke muss der Anwender hier selber „aktiv“ werden, damit er erfolgreich angegriffen werden kann. Dem Angriff geht eine Übertragung eines Office-Dokumentes voraus, […]