sicherheit

Kritische Schwachstelle in log4j
veröffentlicht (CVE-2021-44228)

Log4j ist eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performantenAggregation von Protokolldaten einer Anwendung.Das Blog eines Dienstleisters für IT-Sicherheit [LUN2021] berichtet über die Schwachstelle CVE-2021-44228[MIT2021] in log4j in den Versionen 2.0 bis 2.14.1, die es Angreifern gegebenenfalls ermöglicht, auf demZielsystem eigenen Programmcode auszuführen und so den Server zu kompromittieren. Diese Gefahrbesteht, wenn log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette wie beispielsweiseden HTTP User Agent die Felder in einer Webanwendung zu protokollieren.Ein Proof-of-Concept (PoC) zur Ausnutzung der Schwachstelle wurde auf Github veröffentlicht [GIT2021a]und auf Twitter geteilt [TWI2021]. Neben dem PoC existieren auch Beispiele für Skripte, die Systemestichprobenartig auf Verwundbarkeit hin untersuchen [GIT2021b]. Skripte solcher Art können zwarAdministratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristigrudimentäre Scans nach verwundbaren Systemen. Quelle: BSI

Weiterlesen
Aktuelles_datenschutz

Geschäftsführer einer GmbH ist neben der Gesellschaft Verantwortlicher im Sinne der DSGVO

Das Oberlandesgericht (OLG) Dresden entschied in seinem Urteil vom 30. November 2021, dass der Geschäftsführer einer GmbH neben der Gesellschaft Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist und demnach als Gesamtschuldner haftet (Az.: 4 U 1158/21). Der SachverhaltDas Oberlandesgericht Dresden hatte über die Haftbarkeit einer GmbH und insbesondere von deren Geschäftsführer zu entscheiden. Der zugrunde liegende Sachverhalt war die Mitgliedsanfrage eines Autohändlers (Kläger) bei einer GmbH. Bevor über diese Mitgliedsanfrage entschieden wurde, beauftragte der Geschäftsführer der beklagten GmbH einen Privatdetektiv, Hintergrundrecherchen zu möglichen strafrechtlich relevanten Handlungen des Autohändlers durchzuführen. Dabei handelte der Geschäftsführer im Namen der beklagten Gesellschaft. Die Recherche des Detektivs kam schließlich zu dem Ergebnis, dass der Kläger tatsächlich in der Vergangenheit an strafrechtlich relevanten Sachverhalten beteiligt war. In dieser Erhebung von Daten sah der Kläger einen Datenschutzverstoß, der nicht durch Art. 6 Abs. 1 lit f. DSGVO zu rechtfertigen sei sowie einen Verstoß gegen Art. 10 DSGVO. Der Kläger verlangte sowohl von der Gesellschaft als auch von dem Geschäftsführer Schadensersatz in Höhe von 21.000 Euro. Die Beklagte dagegen sah keinen Grund für eine Haftung und ging ebenfalls mit dem Ziel einer Klageabweisung in Berufung. Der UrteilsspruchDas Oberlandesgericht sah einen Verstoß gegen die DSGVO als erwiesen an und

Weiterlesen
Aktuelles_datenschutz

Worauf Berufsgeheimnisträger bei E-Mails achten müssen

Die Kommunikation von Berufsgeheimnisträgern erfolgt heute zu einem großen Teil per E-Mail: Sie schreiben E-Mails und empfangen sie. Berufsgeheimnisträger sind etwa Rechtsanwälte, Steuerberater, Ärzte, Psychotherapeuten, Apotheker, Mitarbeiter staatlich anerkannter Beratungsstellen, Sozialarbeiter sowie Mitarbeiter privater Kranken-, Unfall- oder Lebensversicherungen. Regelmäßig wird die E-Mail-Kommunikation personenbezogene Daten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) enthalten. Damit spielen datenschutzrechtliche Anforderungen an die Datensicherheit eine Rolle, über die jedoch vielfach Unsicherheit besteht. Art. 32 DS-GVO führt diesbezüglich aus, dass für die Datenverarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen haben, um ein angemessenes Schutzniveau zu gewährleisten. Nach Art. 5 Abs. 1 lit. f DS-GVO müssen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.  Hierzu gehören etwa der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen. In der Konsequenz müssen Berufsgeheimnisträger daher E-Mail-Kommunikation, die personenbezogene Daten enthält, dem Stand der Technik entsprechend datensicher organisieren, um sich keines Verstoßes gegen die genannten Normen vorwerfen lassen zu müssen. Grundsätzlich sollten E-Mails mit personenbezogenen Daten, sofern diese nicht pseudonymisiert werden, mindestens mit einer „Transportverschlüsselung“ versendet werden. Bei  besonders sensiblen Daten sollte eine „Inhaltsverschlüsselung“ das Mittel der Wahl darstellen“. Ein Unterschreiten

Weiterlesen

KRITISCHE SICHERHEITSLÜCKE IM MICROSOFT-DRUCKSYSTEM

es gibt eine kritische Sicherheitslücke im Microsoft-Drucksystem, welche aktuell auch aktiv ausgenutzt wird. Durch die Sicherheitslücke ist es den Angreifern möglich, die Kontrolle über das komplette System zu erlangen. Das betrifft sowohl Client-PCs als auch Server-Systeme! Nähere Infos zur der Sicherheitslücke erhalten Sie z.B. unter: https://www.heise.de/news/Notfallpatch-Microsoft-schliesst-PrintNightmare-Luecke-in-Windows-6130503.html Microsoft hat dazu gestern kritische Notfall-Patches zur Verfügung gestellt. Da das Sicherheitspatch auch für Systeme mit Windows 7 Pro (Support-Ende: 14.01.2020)  vorliegt, können Sie erkennen, wie wichtig für die Sicherheit des Systems die Installation des Sicherheitspatch ist! Nach der Installation auf den Servern und Clients ist jeweils ein Neustart notwendig. Das Sicherheitspatch wird über den normalen Windows-Update-Dienst bereitgestellt (es ist kein separater Download notwendig). Welche Möglichkeiten haben Sie? Installieren Sie schnellst möglich die aktuellen Sicherheitsupdates.

Weiterlesen
virus

Corona – Arbeitsschutz – Datenschutz

Aktuell bereiten sich viele Unternehmen auf die zweite Welle der Corona-Epidemie vor. Die wieder ansteigenden Zahlen machen es erforderlich, bestehende Konzepte zu prüfen, getroffenen Maßnahmen anzupassen und arbeitsvertragliche Regelungen zu erweitern. Datenschutz auch in Zeiten von Band pandemischen Epidemien gelten die Datenschutzrichtlinien. Private Kontaktdaten von Mitarbeiterinnen und Mitarbeitern sowie deren Gesundheitsdaten sind sensibel und können nur mit Einwilligung des Mitarbeiters, oder wenn der Schutz der anderen Beschäftigten es gebietet, erhoben und verarbeitet werden. Dabei ist zu beachten, dass die Verarbeitung nur so lange erlaubt ist, wie die Situation dieses erfordert. Wenn Behörden das Unternehmen um Auskunft bitten, z.B. im Zusammenhang mit einem infizierten Beschäftigten, darf und muss der Arbeitgeber die gewünschten Daten übermitteln. In der Regel erfolgt diese Meldung jedoch nicht durch die Unternehmen, sondern durch die Gesundheitsbehörden, die mit der Testung und Auswertung beauftragt sind. Im Falle eines positiven Corona-Infekts im Unternehmen, sind jedoch weiterführende Maßnahmen erforderlich, um den Schutz weiterer Personen zu gewährleisten. Gerade diese Situation erfordert es, eine Dokumentation anzulegen, in der auch personenbezogene Daten gespeichert sind. Da diese Dokumentation sensible Daten enthält, muss über ein Berechtigungssystem festgelegt sein, wer Zugriff auf diese Daten hat. Der Zugriff muss auf die minimale Anzahl an Personen beschränkt sein. Was

Weiterlesen
virus

SARS-CoV-2-Arbeitsschutzregel

Die neue SARS-CoV-2 Arbeitsschutzregel wurde unter Koordination der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) gemeinsam von den Arbeitsschutzausschüssen beim Bundesarbeitsministerium erstellt. Die SARS-CoV-2 Arbeitsschutzregel trat am 20.08.2020 durch Veröffentlichung im Gemeinsamen Ministerialblatt in Kraft. Die SARS-CoV-2 Arbeitsschutzregel konkretisiert für den Zeitraum der epidemischen Lage von nationaler Tragweite gemäß § 5 Infektionsschutzgesetz die Anforderungen an den Arbeitsschutz. Die Regel stellt Maßnahmen für alle Bereiche des Wirtschaftslebens vor, mit denen das Infektionsrisiko für Beschäftigte gesenkt und auf niedrigem Niveau gehalten werden kann. Dabei bleiben Abstand, Hygiene und Masken die wichtigsten Instrumente, solange es keinen Impfschutz für CoViD-19 gibt. Betriebe, die die Regel anwenden, können davon ausgehen, dass sie rechtssicher handeln. Gleichwertige oder strengere Regeln, zum Beispiel aus der Biostoffverordnung oder aus dem Bereich des Infektionsschutzes, müssen jedoch weiterhin beachtet werden. Die Empfehlungen der Berufsgenossenschaften zur SARS-CoV-2, die sich ebenfalls am Arbeitsschutzstandard des BMAS orientieren, werden zusätzlich für branchenspezifische Konkretisierungen empfohlen. Quelle: https://www.baua.de/DE/Angebote/Rechtstexte-und-Technische-Regeln/Regelwerk/AR-CoV-2/AR-CoV-2.html

Weiterlesen