don’t panic – Seite 6 – Datenschutz

Pilotbetrieb von BigBlueButton an der TU Berlin

Seit Semesterbeginn wird das Portfolio an Videokonferenzdiensten durch das Open Source Videokonferenztool BigBlueButton (BBB) ergänzt, welches von InnoCampus betrieben wird.

Damit steht ein leistungsfähiger Dienst zur Verfügung, der vollständig auf Servern der TU Berlin betrieben wird und deshalb den Anforderungen an einen datenschutzfreundlichen Betrieb in besonderem Maße genügen kann.

In Berlin wird -teilweise seit Beginn der Pandemie- BigBlueButton an den meisten Hochschulen von den Rechenzentren als Videokonferenztool betrieben, um nur einige zu nennen:

Alice-Salomon-Hochschule Berlin (ASH)
Berliner Hochschule für Technik (BHT, ehem. Beuth)
Hochschule für Technik und Wirtschaft Berlin (HTW)
Hochschule für Wirtschaft und Recht Berlin (HWR)
Humboldt-Universität (HUB)
Universität der Künste (UdK)

Weitere Informationen

Sicherheitslücke: 70.000 Datensätze von Nutzer*innen der Unibibliothek Leipzig waren online abrufbar

Eine Webanwendung gab zwei Wochen lang Zugriff auf den Datenbestand, der Namen, E-Mail-Adressen und Bibliothekskarten-Nummer von 70.000 Nutzer*innen enthielt.

Erstaunlicherweise war die Zahl an Datensätzen deutlich höher als die Zahl aktiver Nutzer*innen. Offenbar waren auch inaktive Nutzer*innen betroffen, so dass nunmehr sowohl an der Verbesserung der IT-Sicherheit als auch am Löschkonzept gearbeitet wird.

Weitere Informationen

Uni Leipzig – Sicherheitslücke in der Universitätsbibliothek
heise.de – Unibibliothek Leipzig meldet Sicherheitslücke (Hinweis: Die Webseite bindet Aktivitätenverfolgung und weitere externe Dienste ein)

Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”

Ein Kommentar zum aktuellen Positionspapier der Arbeitsgruppe Digitale Medien der Deutschen Gesellschaft für Hochschuldidaktik (dghd) in Kooperation mit der Gesellschaft für Medien in der Wissenschaft (GMW).

„Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”“ weiterlesen

IT-Sicherheit an brandenburgischen Hochschulen in Gefahr?

Im letzten Jahr hat der Landesrechnungshof Brandenburg (LRH BB) Untersuchungen zur IT-Sicherheit an den acht Hochschulen des Landes durchgeführt.

Unter dem Strich sind die Hochschulen dabei nicht besonders gut weggekommen, die Verbesserung der IT-Sicherheit sei in den letzten 30 Jahren trotz der bekannten Bedrohungen nicht ausreichend angegangen worden – was lt. LRH in nicht unwesentlichem Maße an den unzureichenden Mitteln und Maßnahmen durch das Wissenschaftsministerium lag.

Im Jahresbericht sind die Einschätzungen einschließlich der Stellungnahme des Ministeriums dokumentiert.

„IT-Sicherheit an brandenburgischen Hochschulen in Gefahr?“ weiterlesen

Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt

Die erste von 101 Beschwerden von Max Schrems‘ Organisation NOYB „None of Your Business“ wurde jetzt positiv beschieden:

Der Einsatz von Google Analytics ist illegal.

Alle wussten es, jetzt müssen die Aufsichtsbehörden aktiv werden: Die Einbindung von Google Analytics und die für die Nutzung vereinbarten Standardvertragsklauseln genügen nicht den Anforderungen der DSGVO und sind mithin nicht zulässig.

„Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt“ weiterlesen

EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten

Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.

Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.

Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.

„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen

Sicherheitslücke bei Komponente log4j gefährdet eine Vielzahl von Systemen

Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.

Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.

Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.

Weitere Informationen

heise.de – Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)
Offizielle Webseite der Apache-Foundation zum Logging-Framework Log4j 2
News der TU/ZECM zum Exploit

Nachtrag vom 15. Dezember

Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.

heise.de – Kommentar zu Log4j: Es funktioniert wie spezifiziert (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)

SMS mit Links auf Schadsoftware-Webseiten

Leider werden viele Phishing-Mails oder Links auf Schadsoftware-Webseiten versandt, die nicht so offensichtlich sind.

Nun häufen sich aber auch SMS und andere Nachrichten, die versuchen uns auf infizierte Webseiten zu lenken:

Ob sie gezielt an adressiert sind oder nur zufällig gesandt werden macht dabei keinen grundsätzlichen Unterschied. Da SMS-Benachrichtigungen oft ein Mittel der Wahl sind, sollte mensch darin ggf. enthaltene Links nur nach genauer Überprüfung aufrufen.

Darum:

Augen auf!
Ein Link auf eine infizierte Webseite in einer SMS oder E-Mail ist schnell geklickt.

Dabei kann sich ein Trojaner einnisten, der nicht nur abhören, sondern auch Bankgeschäfte tätigen oder Erpressungszahlungen fordern könnte.

Und leider sind viele Smartphones technisch nicht mehr sicher, da ältere Modelle keine Updates mehr erhalten (wir sprechen hier teilweise von ein Jahr alten Geräten!).

In manchen Fällen hilft dann nur ein Zurücksetzen auf die Werkseinstellungen…

Weitere Informationen

Universität Duisburg-Essen – ZIM: Hinweise zu Schadsoftware auf Mobiltelefonen

Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen

Ja!

Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.

Überprüfung der Sicherheitsgesetze in einer Überwachungsgesamtrechnung, die wissenschaftlich evaluiert wird
(statt wie bisher: massive Ausweitung der Befugnisse und Staatstrojaner-Einsatz)
Videoüberwachung und biometrische Identifizierungen sollen im öffentlichen Raum (weitgehend) unterbleiben
(statt wie bisher diskutiert: Digitale Kontrolle des öffentlichen Raumes ausweiten)
Meldepflicht von Sicherheitslücken an das BSI durch staatliche Stellen
(statt wie bisher: diese einzukaufen um sie für Onlinedurchsuchungen / Staatstrojaner zu nutzen oder als Angreifer Hackbacks vorzunehmen)
Neuausrichtung des BSI als unabhängigere IT-Sicherheits-Instanz
ein Recht auf sichere Verschlüsselung
(statt wie bisher: Aushöhlung und Hintertüren)
Legalisierung der Aufdeckung von Schwachstellen „responsible disclosure“
(statt wie bisher: Strafverfolgung)
Herstellerhaftung für Schäden, die fahrlässig durch IT-Sicherheitslücken verursacht werden
(statt wie bisher: Bitten um Produktverbesserung)
Ersatzteile und Updates sollen für die gesamte Lebenszeit von Produkten verfügbar sein
(statt wie bisher: Hoffen auf freiwillige Selbstverpflichtung)
Open Source und offene Standards sollen bei öffentlichen Softwareentwicklungsprojekten die Regel sein „public money for public code“
Anonyme / pseudonyme Nutzung von Diensten soll möglich sein
(statt wie bisher diskutiert: Klarnamenpflicht)
Regelungen zur Anonymisierung von Daten sowie Strafbarkeit von De-Anonymisierung

„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen

Vor – während – nach einem Cyberangriff: Wie am besten reagieren?

Zu den Erfahrungen mit den Folgen des Cyberangriffs seit April beantwortete Mattis Neiling als Datenschutzbeauftragter Fragen in einem Panel der 4. Jahrestagung Cybersecurity am 28.10.2021. Er stellte dabei einige auch aus Sicht des Datenschutzes wichtige Punkte in den Vordergrund, die in diesem Beitrag näher ausgeführt werden:

Bewährt haben sich Notfallpläne, die für die beteiligten Mitarbeiter*innen klare Handlungsstrategien aufzeigen.
Die umgehende Konstitution eines Krisenstabs ist sinnvoll für ein geordnetes Vorgehen, das alle Belange bedenkt
Die Wiederinbetriebnahme der Dienste berücksichtigt die IT-forensische Analyse, erfolgt umsichtig und mit Verbesserungen der Sicherheitsarchitektur

Antworten auf einige Fragen werden im Anschluss daran dargestellt, u.a. eine Chronologie der Ereignisse in Folge des Cyberangriffs seit Ende April.

„Vor – während – nach einem Cyberangriff: Wie am besten reagieren?“ weiterlesen