Gefährlicher Datenspeicher: Sicherheitslücke am Kopierer

Kopierer speichern auf der internen Festplatte alle kopierten Dokumente. Nach dem Verkauf können Fremde ganz leicht auf intime oder betriebsinterne Daten zugreifen. So schützen Sie sich.

Moderne Drucker und Kopierer speichern hochsensible Daten und Dokumente auf der eingebauten Festplatte. Werden diese Daten vor einem Verkauf nicht gelöscht, können sie später ganz einfach ausgelesen werden. Steuerbescheide, Kontoauszüge, Verträge etc. – intime und betriebsinterne Daten können somit schnell in die falschen Hände geraten.

Im schlimmsten Fall können diese Daten für Betrug, Erpressung oder Betriebsspionage genutzt werden.

So lösen Sie die Sicherheitslücke am Kopierer

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die folgenden Vorkehrungen zu treffen:

Schritt 1: Netzwerk überprüfen

Wer vom Arbeitsplatz Dokumente ausdruckt, überträgt über das Netzwerk die Daten vom Rechner zum Drucker. Bereits an dieser Stelle können Angreifer versuchen, Informationen abzufischen, warnt das BSI.

Deshalb ist es wichtig, Druckaufträge bei der Übertragung zwischen Rechner und Druckserver oder Netzdrucker zu schützen und zu verschlüsseln.

Schritt 2: Einstellungen des Druckers oder Kopierers

Viele Geräte verfügen über eine interne Festplatte. Je nach Einstellung werden die kopierten Dokumente nur temporär oder dauerhaft in dem Zwischenspeicher gespeichert. Das BSI rät, konsequent die temporäre Speicherfunktion in dem Gerät zu aktivieren, die die Daten nach dem Ausdruck sofort löscht.

Für besonders sensible Informationen gebe es laut BSI auch die Funktion „sicheres Löschen“: Dadurch werde sichergestellt, dass Daten nicht wiederhergestellt werden können. Die Löschfunktion beinhaltet zusätzlich ein Überschreiben der Daten.

Schritt 3: Schritte vor dem Verkauf des Gerätes

Die einfachste Lösung vor der Geräteabgabe stellt sicherlich der Ausbau der Festplatte dar. Ist das Gerät geleast, bieten die Leasingdienste ein Löschen der Festplatte an, bevor das Gerät einen neuen Besitzer findet.

Leider werden Daten jedoch nicht immer ordnungsgemäß gelöscht, sodass auch diese Daten wiederhergestellt werden können. Lassen Sie sich auf jeden Fall eine ordnungsgemäße Löschung bescheinigen. So können Sie darauf aufmerksam machen, dass Ihnen die Problemstellung bekannt ist.

 

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung!

 

 

 

 

 

 

 

Windows: Schwerwiegende Sicherheitslücke

Microsoft hat mit einem schweren Sicherheitsproblem in der eigenen Antiviren-Software zu kämpfen, welche alle Windows-Versionen sowie die Microsoft Security Essentials betrifft. Angreifer können sich über die Lücke in verschiedenster Form Kontrolle über das System verschaffen. Ein Notfall-Patch ist bereits erhältlich.

Um ein System zu infiltrieren reicht bereits eine E-Mail aus.. Dabei muss der Nutzer die Nachricht nicht einmal öffnen oder den Anhang herunterladen – es reicht das Abrufen im E-Mail-Client. Denkbar ist aber auch ein Angriff über eine präparierte Webseite. Betroffen sind auch Windows-Server, welche einfach über das Hochladen einer Datei verwundet werden können. Die Lücke bietet somit mannigfaltige Möglichkeiten für einen Angriff.

Alle aktuellen Windows-Systeme betroffen

Microsoft stuft die Lücke selbst als „kritisch“ ein, betroffen sollen folgende Systeme beziehungsweise Produkte sein:

  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Endpoint Protection
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center Endpoint Protection
  • Microsoft Security Essentials
  • Windows Defender for Windows 7
  • Windows Defender for Windows 8.1
  • Windows Defender for Windows RT 8.1
  • Windows Defender for Windows 10, Windows 10 1511, Windows 10 1607, Windows Server 2016, Windows 10 1703
  • Windows Intune Endpoint Protection

 

Nutzer sollten Update schnellstmöglich einspielen

Nutzer sollen das bereitgestellte Sicherheitsupdate unverzüglich einspielen bzw. darauf achten, dass dieses eingespielt wurde. Microsoft gibt zwar an, dass das Update automatisch eingespielt wird, dennoch empfehlen wir, auf eine Aktualisierung zu achten und diese notfalls per Hand anstoßen.

Um kein Risiko einzugehen, können Sie prüfen ob in den Einstellungen des „Windows Defenders“  die Modulversion 1.1.13704.0  oder höher steht. Dann ist alles in Ordnung.

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung!

 

 

 

 

 

 

 

Sind Sie sich sicher, ob Ihr Impressum den rechtlichen Anforderungen entspricht?

Bei falschen oder fehlenden Impressumangaben droht ein Bußgeld i.H.v. bis zu 50.000 €.

Außerdem ist mit einer Abmahnung durch die Aufsichtsbehörde zu rechnen.

Zuletzt kann sich durch die Gesetzesverletzung auch ein Unterlassungs- und Schadensersatzanspruch nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) – insbesondere § 1 UWG – ergeben.

 

Wir verraten Ihnen welche Angaben Sie genau machen müssen!

Der Impressumspflicht unterliegen grundsätzlich folgende Rechtsformen:

  • Offene Handelsgeselslchaft (OHG)
  • Kommanditgesellschaft (KG)
  • Gesellschaft bürgerlichen rechts (GbR)
  • Einzelkaufmann (e.K.)
  • Gewerbetreibender
  • Gesellschaft mit beschränkter Haftung (GmbH)

 

Folgende Angaben sind grundsätzlich im Impressum zu veröffentlichen:

1. Name und Anschrift des Diensteanbieters

Name und Anschrift sind nach § 5 Abs. 1 Nr 1 TMG anzugeben: 

  • bei Personen mindestens ein ausgeschriebener Vorname sowie der Nachname;
  • bei juristischen Personen (z.B. GmbH, AG) und Personengesellschaften, die mit der Fähigkeit ausgestattet sind, Rechte zu erwerben und Verbindlichkeiten einzugehen (z.B. GbR, OHG) die Firmenbezeichnung, die Rechtsformbezeichnung sowie mindestens ein ausgeschriebener Vorname sowie der Nachname des Vertretungsberechtigten;
  • Strasse, Hausnummer, Postleitzahl und Ort. Bei juristischen Personen oder ihnen gleichgestellten Personengesellschaften der Sitz.

Achtung: Ein Postfach genügt nicht, da dies keine ladungsfähige Anschrift darstellt. 

Angabe der Rechtsform:
Hierbei handelt es sich um die Zusätze wie „GmbH“ oder „AG“. Achtung, auch die Rechtsform der „GbR“ muss angegeben werden. Gerade dies wird oft unterlassen und stellt ein Abmahnrisiko dar.

2. Angaben zur schnellen Kontaktaufnahme 

Gemäß § 5 Abs. 1 Nr 2 TMG müssen angegeben werden:

  • die E-Mail-Adresse (nach § 5 Nr. 2 TMG vorgeschrieben)
  • die Telefonnummer / Faxnummer (soweit vorhanden)

3. Angaben zur Aufsichtsbehörde

Gemäß § 5 Abs. 1 Nr. 3 TMG sind, soweit der Dienst im Rahmen einer Tätigkeit angeboten oder erbracht wird, die der behördlichen Zulassung bedarf, Angaben zur zuständigen Aufsichtsbehörde zu machen.

4. Register und Registernummer

Bei Eintragung in ein öffentliches Register (z.B. Handelsregister, Vereinsregister, Partnerschaftsregister oder Genossenschaftsregister) den Ort des Registers und Registernummer (z.B. Amtsgericht München; HRB 1234).

5. Umsatzsteuer-Identifikationsnummer und Wirtschafts-Identifikationsnummer

In Fällen, in denen Sie eine Umsatzsteueridentifikationsnummer nach § 27 a des Umsatzsteuergesetzes besitzen, die Angabe dieser Nummer.

Achtung, es muss auch die Wirtschafts-Identifikationsnummer angegeben werden, wenn man diese nach § 139c der Abgabenordnung besitzt.

Die Steuernummer muss hingegen nicht ins Impressum aufgenommen werden.

6. Berufsspezifische Angaben

Bei den Freiberuflern, deren Berufsausübung und –bezeichnung besonders geregelt sind, müssen weitere Angaben gemacht werden. Insbesondere bei Rechtsanwälten, Wirtschaftsberatern und Steuerberatern sind daher noch folgende Angaben zu machen:

  • Angaben über die Kammer, welcher die Diensteanbieter angehören
  • Die gesetzliche Berufsbezeichnung und den Staat, in dem die Berufsbezeichnung verliehen worden ist
  • Die Bezeichnung der berufsrechtlichen Regelungen und dazu, wie diese zugänglich sind

7. Besondere Angaben bei AGs, KGaA und GmbHs

Bei Aktiengesellschaften, Kommanditgesellschaften auf Aktien und Gesellschaften mit beschränkter Haftung, die sich in Abwicklung oder Liquidation befinden, die Angabe hierüber.

8. Angaben bei journalistisch-redaktionell gestalteten Angeboten

Anbieter von Telemedien mit journalistisch-redaktionell gestalteten Angeboten, in denen insbesondere vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, haben nach § 55 Abs. 2 RStV zusätzlich einen Verantwortlichen mit Angabe des Namens und der Anschrift zu benennen. Werden mehrere Verantwortliche benannt, so ist kenntlich zu machen, für welchen Teil des Dienstes der jeweils Benannte verantwortlich ist. Als Verantwortlicher darf nur benannt werden, wer

  • seinen ständigen Aufenthalt im Inland hat,
  • nicht infolge Richterspruchs die Fähigkeit zur Bekleidung öffentlicher Ämter verloren hat,
  • voll geschäftsfähig ist und
  • unbeschränkt strafrechtlich verfolgt werden kann.

Um eine detaillierte Prüfung Ihres Impressum vorzunehmen, kommen Sie auf uns zu – wir beraten Sie gerne!

 

 

 

 

 

Ist Ihr Newsletter rechtmäßig?

Das Oberlandesgerichts Hamm hat entschieden, dass für das unerwünschte Zusenden einer E-Mail-Werbung unter Kaufleuten eine Vertragsstrafe von 3.000 Euro zu zahlen sein kann.

Verstößt der Newsletter gegen das BDSG und UWG könnte dies zu einer Abmahnung durch die Aufsichtsbehörde und ggf. zu hohen Anwaltskosten (die Sie übernehmen müssen) führen.

Newsletter dürfen grundsätzlich nur versendet werden, sofern der Empfänger hierzu gem. § 7 Abs. 2 Nr. 3 UWG per Double-Opt-In-Verfahrung die Einwilligung erteilt hat.

Sollte Ihnen diese Bestätigung nicht vorliegen, so ist der Versand auch möglich, sofern alle der vier folgenden Vorraussetzungen erfüllt sind:

  • Sie müssen die E-Mail-Adresse des Kunden im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten haben. Es dürfen also nur Bestandskunden beworben werden.
  • Es dürfen nur eigene Produkte beworben werden, die dem bereits verkauften ähnlich  Ergänzungsangebote (Up-Selling) sind grds. auch zulässig.
  • Der Kunde mussbereits bei der Eingabe seiner E-Mail-Adresse und in jedem Newsletter darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Ihm ist also jedes Mal eine Kontaktadresse anzubieten, an die er sich wenden kann, um den Newsletter abzubestellen. Daneben muss ein entsprechender Hinweis bereits bei Erhebung der E-Mail-Adresse erfolgen. Hieran scheitert es in der Praxis meistens, so dass die erhaltenen E-Mail-Adressen nicht ohne Einwilligung für Werbezwecke nutzbar sind.
  • Hat der Kunde von seinem Widerspruchsrecht Gebrauch gemacht (Opt-Out), indem er den Newsletter abbestellt hat, muss seine Adresse aus dem Verteiler genommen werden.

 

Wir beraten Sie, wie Sie Ihren Newsletter entsprechend der Gesetzlichen Vorgaben gestalten! Sprechen Sie uns an!

Vorsicht – Die Aufsichtsbehörden prüfen Kontaktformulare!

Was kann passieren?

Die Aufsichtsbehörden führen derzeit massenpürfungen durch. Ein Verstoß gegen § 13 Abs. 7 Satz 1 und Satz 2 Buchstabe a) TMG (Telemediengesetz) stellt gem. § 16 Abs. 2 Nr. 3 TMG eine Ordnungswidrigkeit dar, welche nach § 16 Abs. 3 TMG mit eine Geldbuße von bis zu 50.000,- EUR je Verstoß geahndet werden kann.

Warum kann das passieren?

Prinzipiel sind Sie als Webseitenbetreibers verpflichtet bei der Übertragung der Daten eines Kontaktformulars ein anerkanntes Verschlüsselungsverfahren zu implementieren.

Die Pflicht eines Webseitenbetreibers, der Diensteanbieter im Sinne des § 2 Nr. 1 TMG  ist, im Rahmen der Verwendung von Kontaktformularen zur Übertragung von personenbezogenen Daten ein anerkanntes Verschlüsselungsverfahren zu implementieren, ergibt sich direkt nunmehr aus § 13 Abs. 7 TMG, welcher im Zuge des Inkrafttretens des  IT-Sicherheitsgesetzes gilt.

Aus dieser gesetzlichen Anforderung ergibt sich aber, dass nicht nur Webseiten mit Kontaktformularen das Verschlüsselungsprotokoll verwenden müssen, sondern sämtliche geschäftsmäßig erbrachte Onlinedienste, über die Nutzer elektronisch personenbezogene Daten an den Dienstebetreiber übertragen. Dies kann neben Shops ebenso z.B. Blogs oder Jobportale etc. betreffen.

Wie empfehlen:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit der Technischen Richtlinie TR-02102-2, Kryptographisches Verfahren: Empfehlungen und Schlüssellängen, Teil 2 – Verwendung von Transport Layer Security (TLS), Version 2015-01 Empfehlungen für den Einsatz des kryptographischen Protokolls Transport Layer Security (TLS), welches der sicheren Übertragung von Informationen in Datennetzwerken und damit dem Schutz der Vertraulichkeit, Integrität und Authentizität der übertragenen Informationen dient.

Um hier nicht ins Visier zu geraten sollten Sie Vorsorgen!

Kommen Sie auf uns zu, wir beraten Sie gerne!

Nutzt Ihre Webseite Makros?

Fast alle Webseiten nutzen mitlerweile Makros.

Der § 15 Abs.3 Telemediengesetz (TMG) besagt, dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Dies kann auch in einer Datenschutzerklärung erfolgen. Die EU Cookie-Richtlinie wiederum sieht jedoch eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vor, beispielsweise wenn Ihre Webseite Google Analytics im Einsatz hat.

Auf Nachfrage bei der deutschen Bundesregierung sieht die EU-Kommission die gegenwärtige deutsche Rechtslage jedoch bereits im Einklang mit den Vorgaben aus der Cookie-Richtlinie. Auch das Oberlandesgericht Frankfurt entschied mit Urteil vom 17.12.2015, dass das Opt-Out-Verfahren ausreichend sei, um der EU Cookie-Richtlinie zu entsprechen.

Aktuell bestehen somit drei Möglichkeiten:

Der rechtlich sicherste Weg:
Seitenbetreiber sollten die Einwilligung der Nutzer einholen.

Der Mittelweg:
Sie informieren den Nutzer beim ersten Seitenaufruf über das Verwenden von Cookies,
verzichten aber auf eine Einwilligung durch Klicken.

Der unsichere Weg:
Seitenbetreiber können unter rein wirtschaftlichen Gesichtspunkten auch abwarten, ob und wie Deutschland die Richtlinie in den nächsten Monaten umsetzt und solange darauf vertrauen, dass es hier erst einmal nicht zu rechtlichen Auseinandersetzungen kommt.

 

Bei weiteren Fragen hierzu sind wir Ihnen gerne behilflich!

Achtung – Verschlüsselungsviren häufen sich!

In letzter Zeit werden immer mehr Vorfälle sogannter Verschlüsselungsviren bekannt. Hierbei wird die Festplatte einer Workstation oder sogar eines Servers verschlüsselt. Anschließend besteht die Mögliochkeit seine eigenen Daten wieder freizukaufen.

Aus diesem Grund weisen wir erneut auf folgende Empfehlung hin:

Bitte öffnen Sie grundsätzlich keine ausführbaren Dateien („.exe“), Excel- und Word-Dateien. Ausnahme bei Excel- und Word-Dateien: Die Dateien sind vom Absender angekündigt bzw. werden derzeit erwartet. Sollten unangekündigt solche Dateien zugesandt werden, sollte vorab der Absender telefonisch zu kontaktiert werden. Bei ganz und gar fremden Absendern sollten die Anlagen als pdf-Datei angefordert werden (z. B. bei Bewerbungen). Bitte bachten Sie, dass solche Betrüger immer profesionaller arbeiten und der Betrigsversuch in vielen Fällen der E-Mail nicht anzusehen ist!

Um sich nicht von kriminellen hinters Licht führen zu lassen, sollten Sie die Systemeinstellung dahingehen angepassen, dass die Dateiendungen immer angezeigt werden. Sollten Sie eine Datei empfangen, die über zwei Endungen verfügt, also z.B. „Bewerbung.pdf.doc“, öffnen Sie diese Datei bitte unter keinen Umständen!

Um den Schutz weiter zu erhöhen empfehlen wir außerdem Systemweit eingestellt, dass Makros in Word- und Excel-Dateien nicht automatisch ausgeführt werden. Beim Ausführen von Dateien, die gewollt Makros enthalten, müssen Sie in diesem Fall explizit beim Öffnen das Starten des Makros zulassen.

Sie haben noch Fragen – kommen Sie auf uns zu, wir beraten Sie gerne!

Vorsicht – Betrugsmasche „CEO-Fraud“

Seit einiger Zeit gehen vermehrt Hinweise auf eine unter dem Namen „CEO-Fraud“ bekannte Betrugsmasche beim Landeskriminalamt Baden-Württemberg ein. Um Sie bzw. Ihr Unternehmen hiervor zu schützen möchten wir Sie auf diesen, auszugsweise dargestellten, Warnhinweis des Landeskriminalamtes aufmerksam machen.

Die Täter nutzen dabei gezielt die Abwesenheit der Geschäftsführung aus, um mit gefälschten E-Mail-Absenderangaben oder auch telefonisch an Firmengelder zu gelangen. Mit dieser Masche versuchen die Betrüger Firmen zu täuschen, dabei kam es bereits zu Überweisungen und Schäden von bundesweit 125 Millionen Euro.

Die Kriminellen geben sich zuerst verstärkt als angebliche Kunden und Geschäftspartner aus und suchen den telefonischen Kontakt zum Unternehmen, um zunächst Informationen über interne Zuständigkeiten einzuholen. Besonders gefährdet sind dabei die Geschäftsführung und die Buchhaltung sowie Mitarbeiter mit Zahlungsberechtigung mittelständischer Unternehmen. Außerdem nutzen sie für ihre Tatvorbereitung gezielt Informationen aus sozialen Netzwerken und Karriereportalen. So verschaffen sie sich individuelle Informationen über Mitarbeiter der Firmen, die später angegriffen werden sollen. Durch das Sammeln personenbezogener Daten erlangen die Betrüger ein gefährliches Wissen, das sie später zur Manipulation ihrer Opfer nutzen. Wenn die Täter über genügend Informationen verfügen, nehmen sie telefonisch oder per E-Mail Kontakt mit dem Unternehmen auf. Ziel der Betrüger ist es zunächst, hausinterne Telefondurchwahlen oder die persönliche E-Mail-Adressen der Zahlungsberechtigten zu erfahren. Diese Daten nutzen sie anschließend, um sich gegenüber Zahlungsberechtigten als Geschäftsführer auszugeben und diese so zu einem Geldtransfer zu bewegen.

In der angeblich streng vertraulichen E-Mail werden Insiderinformationen im Zusammenhang mit einem Firmenkauf vorgegaukelt. Während sich der tatsächliche Geschäftsführer außer Haus befindet, teilt der vermeintliche Geschäftsführer mit, er sei telefonisch nicht erreichbar. Er kündigt auch einen dem Mitarbeiter bekannten Rechtsanwalt oder einen Vermittler an, der sich für weitere Anweisungen melden wird. Der vermeintliche Rechtsanwalt meldet sich daraufhin und gibt Anweisungen, auf welche Konten Geld für den Firmenkauf zu transferieren ist.

Wir raten Ihnen insbesondere Mitarbeiter der Buchhaltung und Mitarbeiter mit Zahlungsberechtigungen über diese Betrugsmasche zu informieren sowie die auf der Webseite zur Verfügung gestellten Informationen kritisch zu überprüfen.

Sie haben noch Fragen – kommen Sie auf uns zu, wir beraten Sie gerne!

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO)

Am 14. April 2016 wurde durch das Europaparlament die neue Datenschutz-Grundverordnung (EU-DSGVO) endgültig verabschiedet. Dadurch wird ein neues einheitliches Datenschutzrecht in der gesamten Europäischen Union etabliert.

Das bisherige Bundesdatenschutzgesetz (BDSG) wird somit mit Wirkung zum 25. Mai 2018 grundsätzlich abgelöst.

Selbstverständlich bleiben wir auch weiterhin Ihr kompetenter Partner in Sachen Datenschutz und Datensicherheit. Um die Umstellung möglichst effizient durchzuführen, bereiten wir uns schon heute darauf vor. Auch bei der Erstellung neuer Verfahrensverzeichnisse und sonstiger Dokumente orientieren wir uns bereits heute, so weit wie derzeit möglich, an den neuen Vorgaben, um damit optimal auf den Stichtag vorbereitet zu sein.

Fühlen Sie sich noch nicht auf die neue EU-Datenschutz-Grundverordnung vorbereitet – kommen Sie auf uns zu um die für Sie notwendigen Maßnahmen einleiten zu können.