Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.



Datenschutz Update


Warnung vor gefälschten SMS

Seit einigen Wochen erhalten Nutzer von Smartphones vermehrt SMS-Nachrichten auf Ihre Endgeräte, die von Dritten in betrügerischer Absicht zum Betätigen eines Links auffordern.
Dabei werden oftmals Betreffe wie anstehende Paketankündigungen oder mögliche Paketverfolgungen – in Teilen auch mit persönlicher Anrede - verwendet, um den Nutzer dazu zu bewegen den enthaltenen Link zu bedienen.

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mitgeteilt hat, handelt es sich hierbei um sogenannte Smishing-Fälle. (Wortzusammensetzung aus SMS und Phishing). Bei diesem Verfahren wird beim Ausführen des enthaltenen Links eine Schadsoftware auf dem Mobiltelefon installiert. Diese Schadsoftware fordert viele Berechtigungen ein und ist dann im Stande, im Hintergrund Daten des Endgerätes auszulesen und diese zu „ergaunern“. Dies könnten beispielsweise auch Zahlungsinformationen, Kreditkartendaten, Kontakte oder weitere sehr persönliche Informationen sein.

Das BSI rät bei Erhalt einer verdächtigen SMS dringend dazu, nicht auf den Link zu klicken und diese nach Erhalt direkt zu löschen. Sofern der vermeintliche Absender bekannt seien sollte (DHL/UPS oder ähnlich), sollte man diesen anrufen und sich die Richtigkeit bestätigen lassen.

Darüber hinaus ist es ratsam, den Absender direkt systemseitig zu sperren und die Installation von Apps aus unbekannten Quellen im Mobiltelefon zu deaktivieren.

Personen, die bereits auf den Link geklickt haben, empfiehlt das BSI das Telefon in den Flugmodus zu setzen und den Mobilfunkbetreiber zu informieren. Wichtige Daten sollten gespeichert - und das Mobiltelefon dann auf den Werkszustand zurückgesetzt werden.
Darüber hinaus sollten Betroffene auch Bewegungen auf ihrem Bankkonto im Auge behalten.

Statement
Stephan Kratzmann, Consultant Datenschutz
Die aktuelle Smishing-Welle zeigt auf, dass Dritte sich ständig neue Wege suchen, um unerkannt an persönliche Daten zu gelangen. Gerade aufgrund des Ideenreichtums und der Professionalität mit denen manche Nachrichten dargestellt werden, ist es in Teilen sehr schwierig, Originale von Fälschungen zu unterscheiden.
Jeder Nutzer sollte jedoch immer Vorsicht walten lassen, wenn bei SMS-Nachrichten oder Emails zur Betätigung eines Links oder zur Öffnung eines angehängten Dokumentes aufgefordert wird. Hier gilt es, dies nur zu tun, wenn der Empfänger tatsächlich bekannt ist und/oder die Echtheit der Nachricht auf anderem Wege bestätigt werden konnte.
Zudem sollten Nutzer sicherstellen, dass immer die neusten Updates für ihre Betriebssysteme installiert sind. Gegebenenfalls lohnt sich auch die Einrichtung einer Security Applikation auf dem Endgerät, die zum Beispiel auch von einigen Telekommunikationsprovidern angeboten wird. 


Top Company und Open Company - wir sind von kununu ausgezeichnet!

top company-open-company-migosens Anfang des Jahres haben wir bei der migosens das Arbeitgeber Gütesiegel „Top Company“ und „Open Company“ von kununu erhalten. Als „Top Company“ werden Firmen ausgezeichnet, die eine durchschnittliche Gesamtbewertung von 3 Punkten (max. 5 Punkte möglich) erreicht haben und von mindestens sechs Arbeitnehmern bewertet wurden.
Wir fühlen uns geehrt und freuen uns sehr, über die positiven Bewertungen unserer Mitarbeiter und Bewerber! An dieser Stelle nochmal ein ganz herzliches Dankeschön!
weiterlesen

Prüfung der Nutzung von US-Cloud-Diensten durch Aufsichtsbehörden

Nicht erst seit gestern ist bekannt, dass eine Datenübermittlung in die Vereinigten Staaten aus datenschutzrechtlicher Sicht als risikobehaftet und problematisch angesehen wird, denn der EuGH hat bereits im Juli vergangenen Jahres das EU-US-Privacy Shield mit seinem Urteil (Az: C‑311/18) für ungültig erklärt. Viele Unternehmen mussten sich seither mit der Frage beschäftigen, ob sie weiterhin Daten in die Vereinigten Staaten übermitteln bzw. auf welcher Übermittlungsgrundlage (gem. Art. 44 ff DSGVO) sie dies können. In Frage kommen dafür grundsätzlich die sog. Standardvertragsklauseln. Da die US-Behörden allerdings weiterhin durch Section 702 FISA und Executive Order 12333 ermächtigt sind, sämtliche Informationen im Rahmen ihrer geheimdienstlichen Tätigkeiten zu erlangen, sind bei einer Übermittlung in die Vereinigten Staaten ggf. zusätzliche technische und organisatorische Maßnahmen vom Verantwortlichen zu treffen.

Nun haben die deutschen Datenschutz-Aufsichtsbehörden angekündigt, Unternehmen bei der Nutzung von US-Clouddiensten, wie beispielsweise Amazon, Microsoft oder Google genauer ins Visier zu nehmen und stichprobenartig zu prüfen. Hierfür wird aktuell von einer Taskforce der Datenschutzkonferenz (DSK) ein Fragenkatalog erstellt. Die Aufsichtsbehörden wollen mit diesem aktiv an Unternehmen herantreten und laut Stefan Brink (Landesbeauftragter Datenschutz Baden-Württemberg) nicht wie zuvor erst auf Beschwerden hin tätig werden. Bei der Beantwortung des Fragenkatalogs soll u.a. auch die Übermittlungsgrundlage der Unternehmen angegeben werden. Falle die Antwort nicht zufriedenstellend aus, würde den Unternehmen untersagt werden, den Dienstleister weiterhin einzusetzen. Sofern Unternehmen keine konkreten Schritte unternähmen, seien außerdem laut Prof. Dr. Johannes Caspar (Landesdatenschutzbeauftragter in Hamburg) auch Bußgelder möglich. Eine extreme Herausforderung könnte damit auf Unternehmen zukommen, wenn der eingesetzte US-Cloud-Dienst eine Monopolstellung hat.
Brink sieht die Verantwortung bei der Politik, eine rechtssichere Lösung hierfür zu finden. Einerseits müsse ein neues Abkommen mit den Vereinigten Staaten schnellstens erzielt werden und andererseits Alternativangebote innerhalb der EU/des EWR gefördert werden.

Statement
Hannah Peun, Consultant Datenschutz
Es ist in naher Zukunft davon auszugehen, dass die Aufsichtsbehörden mit diesem Fragebogen an Unternehmen herantreten werden. Es ist daher zu empfehlen, spätestens an dieser Stelle eine Prüfung von Alternativdienstleistern ohne Transferproblematik vorzunehmen. Falls das Ergebnis negativ ausfallen sollte, sollte dies vorab schriftlich dokumentiert und begründet werden.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hatte bereits in seiner Orientierungshilfe vom 25.08.2020 betont, dass bei zumutbaren Alternativen ein Einsatz untersagt werden würde.
Zuletzt hatte außerdem das Bayerische Landesamt für Datenschutz (BayLDA) einem Unternehmen aus München Ende März 2021 den Einsatz des E-Mail-Anbieters Mailchimp untersagt (LDA-1085.1-12159/20-IDV). Dies wurde damit begründet, dass das Unternehmen neben dem Abschluss von Standardvertragsklauseln zuvor hätte prüfen müssen, ob "zusätzliche Maßnahmen" im Sinne der EuGH-Entscheidung "Schrems II" (EuGH, Urt. v. 16.7.2020, C-311/18) notwendig sind, um die Übermittlung datenschutzkonform zu gestalten. Eine solche Prüfung hatte das Münchener Unternehmen nicht durchgeführt.

Die Prüfungen der Aufsichtsbehörden in Bezug auf die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten häufen sich aktuell.
Aus diesem Grund ist es empfehlenswert, dass Unternehmen bei einer Übermittlung personenbezogener Daten in ein Drittland zum einen prüfen, ob
  1. der Wechsel zu Dienstleistern, die die personenbezogenen Daten in der EU/im EWR verarbeiten, kurzfristig nicht zumutbar ist
  2. falls es keine Alternativen gibt, ob zumindest zusätzliche Maßnahmen notwendig sind um die Übermittlung datenschutzkonform zu gestalten.
Diese Prüfung sollte schriftlich dokumentiert werden. Ob die Aufsichtsbehörden dann tatsächlich den Einsatz von US-Cloud-Diensten bzw. US-Dienstleistern im Allgemeinen untersagen, bleibt abzuwarten.


Aktuelle Seminare in unserer Akademie


Grundlagen des Datenschutzbeauftragten mit DEKRA Zertifizierung
Der Datenschutz ist für Sie ein wichtiges Thema und dies vermitteln Sie auch anderen!

07.06. - 11.06.2021

zur Anmeldung
_______________________________________________

Datenschutzmanagement basierend auf der ISO 27701
Die Erweiterung der ISO 27001 und ISO 27002 hinsichtlich eines Datenschutzmanagementsystems.

28.06. - 30.06.2021

zur Anmeldung
________________________________________________

Technische und organisatorische Maßnahmen für DSB
Lernen Sie technische und organisatorische Maßnahmen (TOM) datenschutzkonform zu implementieren und somit Bußgelder zu vermeiden.

14.07. -16.07.2021

zur Anmeldung


Mehr Datenschutz für Apple-Nutzer

Mit dem Ausrollen der neuen Firmware-Updates für iPhone, iPad und den Mac möchte Apple den Datenschutz – zum Leidwesen der Werbeindustrie - stärker in den Fokus rücken.
Wer mindestens IOS 14.5 oder macOS 11.3 verwendet wird zukünftig häufiger um Erlaubnis gebeten bzw. gefragt, ob er seine Daten wie beispielsweise sein Nutzungsverhalten oder Aktivitäten auf Internetseiten tatsächlich mit Unternehmen wie Google oder Facebook teilen möchte.

Hintergrund dieser sogenannten Tracking-Erlaubnis ist das Auswerten von Daten im Hintergrund, um dem Nutzer in erster Linie sehr zugeschnittene Werbung ausspielen zu können, oder gegebenenfalls sogar Profile über den Nutzer anlegen zu können.

Bei Apple funktioniert das Tracking mithilfe einer individuellen IDFA-Nummer (Identifier for Advertisers), die jedes iPhone besitzt.  Damit können die Vorlieben, das Surfverhalten und spezifische Interessen der Nutzer über die installierten Apps von den Werbekonzernen verfolgt werden. Die installierten Apps senden die Daten an Konzerne, wie etwa Facebook, Google oder TikTok, die diese wiederum dann an die Werbeindustrie weiterleiten.

Sobald eine App nach dem Apple-Firmware-Update zum ersten Mal geöffnet wird, überprüft Apple von nun an die Datenschutzeinstellungen und fragt den Nutzer bei Bedarf, ob sein Nutzungsverhalten mit Dritten geteilt werden darf.

Die Möglichkeit, das Tracking nutzerseitig einzuschränken, bestand zwar auch schon bei früheren Versionen der Betriebssysteme – hier musste jedoch recht umständlich über die Einstellungen das Teilen des Nutzerverhaltens (welches per Default aktiviert war) ausgeschaltet werden.

Durch die aktive Nachfrage bei den Nutzern und die damit voraussichtlich einhergehende Auseinandersetzung mit dem Thema, wird es der Werbeindustrie nicht mehr so einfach möglich sein, das Nutzerverhalten auszuwerten und personalisierte Werbung auszuspielen. Allgemeine Werbeanzeigen wird der Nutzer weiterhin erhalten.

Statement
Stephan Kratzmann, Consultant Datenschutz
Auch wenn Apple diesen Schritt mit Sicherheit nicht vollkommen uneigennützig begeht - dem Vernehmen nach möchte Apple durch den Fokus auf datenschutzfreundliche Voreinstellungen (Privacy by default) seine Stellung im Premium-Mobilgeräte-Markt stärken und zudem sein datenschutzorientiertes Werbegeschäft ausbauen – ist dieses Vorgehen aus unserer Sicht eine gute Gelegenheit, dem Nutzer mehr Möglichkeiten zu geben über die Verarbeitung seiner Daten selbst zu entscheiden. Auch wenn er dafür „nur“ aktiv darauf hingewiesen wird.
Die durch die Datenschutzgrundverordnung vorgegebenen Grundsätze „Privacy by default“ und „Privacy by design“ werden durch diese Umstellung jedenfalls gestärkt. Der Nutzer kann so wesentlich transparenter entscheiden, wer seine Daten erhalten soll und muss dies nicht umständlich in den Geräteeinstellungen anpassen.



Datenschutzverletzung und Meldung an die Aufsichtsbehörde

datenschutzverletzung-und-meldung-an-die-aufsichtsbehoerde Gerade in den letzten Wochen hat das Thema der Meldung von Verletzungen des Schutzes personenbezogener Daten besondere Aufmerksamkeit erfahren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Anfang März bekannt gemacht hatte, konnten Hacker durch die Ausnutzung einer Schwachstelle bei dem Microsoft Produkt „Exchange-Server“ über 10.000 Server angreifen und mit Schadsoftware infizieren. Dabei wurden die Angriffe nicht ausschließlich durch die chinesische Hafnium-Gruppe ausgeführt. Auch andere Angreifer waren auf den Zug aufgesprungen, um die Exploits auszunutzen.
weiterlesen


Team Insights mit Jürgen Thöne

team-insights-jürgen-thöne Wer sind eigentlich die Gesichter hinter migosens? Wer arbeitet in welchem Tätigkeitsbereich? Unsere Kolleginnen und Kollegen melden sich zu Wort und berichten über ihren Weg zur migosens, geben einen Einblick in ihre Aufgaben, was ihnen an migosens besonders gefällt und verraten, wie sie privat ticken.
Als nächstes in der Runde möchten wir gerne unseren Kollegen Jürgen Thöne vorstellen.
weiterlesen

Implementierung eines ISMS und Unterstützung bei der Zertifizierung eines SMGWA

implementierung-eines-isms Als Anbieter von Smart Metering Lösungen ist die Discovergy GmbH im Energieversorgungsumfeld der Zukunft tätig, bei dem intelligente Netze zum Einsatz kommen, die Energieerzeugung und -verbrauch effizient verknüpfen und ausbalancieren. Kernbausteine eines solchen Netzes sind intelligente Messsysteme, auch „Smart Meter“ genannt. Sie sorgen für eine aktuelle Verbrauchstransparenz und eine sichere Übermittlung von Messdaten. Beim Aufbau und der Nutzung eines intelligenten Netzes werden personenbezogene Daten verarbeitet, deren Sicherheit und Schutz eine zentrale Voraussetzung für die öffentliche Akzeptanz intelligenter Messsysteme ist.

Lesen Sie hier die Erfolgsgeschichte von Discovergy und migosens zur erfolgreichen Implementierung eines Informationssicherheitsmanagementsystems und der Zertifizierung des Smart Meter Gateway Administrators nach der Technischen Richtline TR-03109-6.
weiterlesen

der-datenschutz-talk
Kennen Sie schon unseren „Datenschutz Talk", den Podcast der migosens zu den Themen Datenschutz und Informationssicherheit?


Hören Sie doch mal rein! www.migosens.de/podcast
Auch auf
Spotify, iTunes und Deezer zu finden.

Wenn Sie diese E-Mail (an: unknown@noemail.com) nicht mehr empfangen möchten, können Sie diese hier kostenlos abbestellen.

 Impressum | Datenschutz

migosens GmbH

Wiesenstr. 35, 45473

Mülheim an der Ruhr, Deutschland