Können Sie sich noch erinnern, als Sie MS 365 (früher O365) bei sich im Unternehmen eingerichtet haben? Der erste und einer der wichtigsten Schritte hierbei ist die Einrichtung des Tenant (deutsch: Mandanten). Auf diesem laufen sämtliche MS 365-Dienste. Beim Anlegen des Tenants wird unter anderem auch festgelegt, wo die Daten, die bei der Nutzung von […]
Microsoft

Hacker-Angriff auf Microsoft Exchange-Installationen – ProxyLogon
Am 2. März hat Microsoft in seinem Security-Blogbeitrag „HAFNIUM targeting Exchange Servers with 0-day exploits“ bekannt gegeben, dass vier gravierende Schwachstellen in Microsoft Exchange-Servern aktiv ausgenutzt werden und daraufhin Updates bereitgestellt. Tätern ermöglicht die Kombination der vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) zielgerichtete Angriffe auf die weitverbreitete Groupware, um Daten abzugreifen und weitere Schadsoftware zu […]

Datentransfer in die USA – Microsoft integriert zusätzliche Garantien in die Kundenverträge, aber es besteht trotzdem Handlungsbedarf
Mit dem als Schrems-II bekannten Urteil vom 16.07.2020 (Rechtssache C-311/18) erklärte der EuGH zum einen den Angemessenheitsbeschluss der Europäische Kommission für die USA (sog. EU-US Privacy Shield) für ungültig. Zum anderen stellte der Gerichtshof zusammenfassend fest, dass der Abschluss der grundsätzlich weiterhin wirksamen Standarddatenschutzklauseln ohne die Umsetzung zusätzlicher Maßnahmen kein effektives Mittel darstellt, um Datentransfers […]

„Und nun zum Wetter … die Microsoft Cloud im Nebelmeer“
Seit der Entscheidung des Europäischen Gerichtshofs “Schrems II“ und dem damit gekippten EU-US Privacy Shield hat sich eine graue Nebelwolke der Rechtsunsicherheit um die Zulässigkeit von Drittstaatentransfers entwickelt. Unternehmen und Einrichtungen in Europa wandern langsam halb blind und tastend durch die Nebelschwaden, alle auf der Suche nach einem Ausweg. So oder so ähnlich ergeht es […]

Conseil de’etat ruling on the Data Health Hub: The start of Schrems III or rather a turning point?
The derogation to the restriction to transfer data to the USA on the basis of the Covid-19 pandemic. Introduction On 23 October 2020 the Conseil d’etat, a French public institution with the primary role of giving administrative judicial rulings, (‘the Conseil’) ruled on the issue whether the use of Microsoft to host the Health Data […]

Schrems II – erste gerichtliche Anwendung in Frankreich
Das oberste Verwaltungsgericht (Conseil d´État) äußert sich im Verfahren des vorläufigen Rechtsschutzes sog. „Référé-Liberté“ zu einem mit der irischen Tochtergesellschaft von Microsoft abgeschlossenen Vertrag über das Hosting von Gesundheitsdaten in der EU Verbände, Gewerkschaften und Einzelkläger in Frankreich haben im Verfahren „Référé-Liberté“[i] beantragt, die Datenverarbeitung von Gesundheitsdaten über die Plattform „Health Data Hub“ einzustellen. Die […]

Office 365 darf nun doch an hessischen Schulen eingesetzt werden
Der Hessische Beauftragten für Datenschutz und Informationsfreiheit (HBDI) erklärt die Nutzung von Office 365 durch hessische Schulen überraschend bis auf weiteres für zulässig. Zur Erinnerung Am 9. Juli hatte Der Landesdatenschutzbeauftragte in seiner Stellungnahme den Einsatz von Office 365 an hessischen Schulen für unzulässig erklärt. Begründet wurde dies mit der besonderen Verantwortung von öffentlichen Einrichtungen […]

Office 365 macht Schule – vorerst nicht!
Alles hätte so einfach sein können. Die FWU Institut für Film und Bild in Wissenschaft und Unterricht gGmbH (FWU) schließt mit Microsoft einen Rahmenvertrag (FWU-Vertrag), der es erlaubt, die Softwareanwendungen des Unternehmens kostenlos oder sogar kostenfrei zu nutzen. Auf den FWU-Vertrag können sich neben anderen Einrichtungen sämtliche allgemein- und berufsbildenden Schulen unabhängig ob in privater […]

Login with Google & Co.
Wie in unserem Beitrag vom 12.06.19 angekündigt, wollen wir uns nun mit weiteren Authentifizierungssystemen befassen. Denn auch Google, Microsoft, Facebook und Instagram bieten die Möglichkeit, sich über ihre API mit deren Log-In-Daten auf fremden Websites anzumelden. Aus datenschutzrechtlicher Sicht stellt sich dabei die Frage, wer nach der Anmeldung über welche Nutzerdaten verfügt. Technische Umsetzung: OAuth […]

Schutz in Zeiten von Emotet und Co.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Empfehlungen zur sicheren Konfiguration von Microsoft-Office-Produkten veröffentlicht. Nicht zuletzt aufgrund der Emotet-Welle (wir berichteten) gibt das BSI Interessierten eine konkrete Hilfestellung an die Hand, wie Standardanwendungen aus der Microsoft-Office-Familie sicherer konfiguriert werden können. Aufgrund der hohen Verbreitung von Microsoftprodukten sind diese bei Cyberkriminellen immer wieder gerne […]

Emotet – Windows-Systeme noch immer extrem gefährdet
Das US-CERT bezeichnet Emotet als die aktuell wohl zerstörerischste und ruinöseste Schad-Software. Wer sich jetzt noch nicht gegen die möglichen Gefahren abgesichert hat, bringt sich und verbundene Unternehmen in höchstes Risiko. Weiterhin deuten alle Zeichen darauf hin, dass Emotet seine Aktivitäten in den nächsten Monaten noch stärker ausweiten wird. Das von Emotet erfundene sogenannte „Dynamit-Phishing“ […]

Fast 1 Million Computer noch anfällig für Windows BlueKeep RDP-Fehler
Fast 1 Million Windows-Systeme (Errata Security) sind immer noch nicht gepatcht und wurden zwei Wochen nach der Veröffentlichung des Sicherheits-Patches durch Microsoft für anfällig bei der Ausführung von Remote-Code im Windows Remote Desktop Protocol (RDP) befunden. Die als „BlueKeep“ bezeichnete und als CVE-2019-0708 verfolgte Sicherheitslücke betrifft die Editionen von Windows 2003, XP, Windows 7, Windows […]

Kritische Schwachstelle bei Microsoft
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP) einiger Windows-Versionen. Die Schwachstelle, die ohne Zutun des Nutzers ausnutzbar ist, ermöglicht einen Angriff mit Schadsoftware, die sich wurmartig ausbreitet. „Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen, wie wir sie 2017 mit WannaCry erleben mussten.“, so der […]

Office 365 ProPlus – Update zur Erfassung von Diagnosedaten
Im November letzten Jahres veröffentlichte die Privacy Company B.V. die Ergebnisse einer im Auftrag des niederländischen Ministeriums für Sicherheit und Justiz durchgeführten Datenschutz-Folgenabschätzung (wir berichteten). Danach sammelt Microsoft zur Verbesserung der eigenen Dienste unter anderem über eine in die Office-Programme integrierte separate Software (ohne das Wissen der Administratoren) regelmäßig und in großem Umfang Telemetriedaten über […]

Office 16 und Office 365 – Datenschutz-Handlungsbedarf im Unternehmen?
Office 365 Datenleck Im November 2018 wurde bei einer Untersuchung in den Niederlanden aufgedeckt, dass aus Microsoft-Anwendungen in Office 16 und Office 365 in erheblichem Umfang verschlüsselte Telemetrie-Daten an eine Datenbank für Microsoft-Entwicklerteams gesendet werden, die zum Teil personenbezogene Daten sind. Sie sollen dazu dienen, die Anwendungen zu verbessern. Diese Datenübermittlung kann vom Benutzer nicht […]