Datenschutz – Unter dem Radar – Seite 7 – Hier bloggt das Team Datenschutz der TU Berlin

Wo finde ich nützliche Hinweise zum Forschungsdatenschutz?

Neben dem Besuch vieler anderer mehr oder weniger informativen Web-Seiten lohnt sich für alle Forscher*innen und Interessierte auch ein Blick auf die Homepage https://www.forschungsdaten-bildung.de/ des Leibniz-Institut für Bildungsforschung und Bildungsinformation.

Dort findet mensch viele Hinweise und Downloads zum Thema Forschungsdaten und Forschungsdatenschutz.

Weitere Informationen

Verbund Forschungsdaten Bildung (am Leibniz-Institut für Bildungsforschung und Bildungsinformation)
beck-online – Rossnagel: Datenschutz in der Forschung(ZD 2019, 157)
Universität zu Köln, Datenschutz und IT-Sicherheit – Forschungsdatenschutz

Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”

Ein Kommentar zum aktuellen Positionspapier der Arbeitsgruppe Digitale Medien der Deutschen Gesellschaft für Hochschuldidaktik (dghd) in Kooperation mit der Gesellschaft für Medien in der Wissenschaft (GMW).

„Positionspapier “Datenschutzkonforme digitale Tools in der Lehre”“ weiterlesen

IT-Sicherheit an brandenburgischen Hochschulen in Gefahr?

Im letzten Jahr hat der Landesrechnungshof Brandenburg (LRH BB) Untersuchungen zur IT-Sicherheit an den acht Hochschulen des Landes durchgeführt.

Unter dem Strich sind die Hochschulen dabei nicht besonders gut weggekommen, die Verbesserung der IT-Sicherheit sei in den letzten 30 Jahren trotz der bekannten Bedrohungen nicht ausreichend angegangen worden – was lt. LRH in nicht unwesentlichem Maße an den unzureichenden Mitteln und Maßnahmen durch das Wissenschaftsministerium lag.

Im Jahresbericht sind die Einschätzungen einschließlich der Stellungnahme des Ministeriums dokumentiert.

„IT-Sicherheit an brandenburgischen Hochschulen in Gefahr?“ weiterlesen

Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt

Die erste von 101 Beschwerden von Max Schrems‘ Organisation NOYB „None of Your Business“ wurde jetzt positiv beschieden:

Der Einsatz von Google Analytics ist illegal.

Alle wussten es, jetzt müssen die Aufsichtsbehörden aktiv werden: Die Einbindung von Google Analytics und die für die Nutzung vereinbarten Standardvertragsklauseln genügen nicht den Anforderungen der DSGVO und sind mithin nicht zulässig.

„Erfolg von NOYB: Österreichs Datenschutzbehörde wird aktiv und bescheidet, dass Google Analytics gegen die DSGVO verstößt“ weiterlesen

EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten

Alle Strafverfolger wollen es, Apple hat bereits gezeigt, wie es geht.

Endgeräte scannen, bevor die Kommunikation verschlüsselt wird.

Die EU Kommission lanciert eine Verordnung, die Tech-Unternehmen und Telekommunikations-Anbieter dazu verpflichten soll, Endgeräte der Nutzer*innen und Kommunikation auf strafbare Inhalte zu scannen und diese automatisiert an die Behörden weiterzugeben.

„EU-Verordnung plant Scans von Nutzerinhalten auf Endgeräten“ weiterlesen

Sicherheitslücke bei Komponente log4j gefährdet eine Vielzahl von Systemen

Bei der weitverbreiteten Logging-Komponente log4j 2 ist am Freitag eine schwerwiegende Schwachstelle bekannt geworden, ein Zero-Day-Exploit. Das BSI hat am Wochenende die höchste Warnstufe rot dafür ausgerufen, da es vermehrt zu Angriffen kam.

Das log4j-Framework ist als Java-Bibliothek in viele Systeme integriert, insbesondere bei webbasierten Anwendungen, die dadurch angreifbar sein können.

Die Entwickler der Open Source Software haben umgehend einen Patch und Hinweise zur Abstellung der Schwachstelle veröffentlicht. Eine Anpassung der Systeme ist dringend geboten. An der TU wurden die zentralen Dienste bereits angepasst bzw. sind temporär nur eingeschränkt verfügbar.

Weitere Informationen

heise.de – Schutz vor schwerwiegender Log4j-Lücke – was jetzt hilft und was nicht (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)
Offizielle Webseite der Apache-Foundation zum Logging-Framework Log4j 2
News der TU/ZECM zum Exploit

Nachtrag vom 15. Dezember

Es ist wohl schlimmer als gedacht: Letztlich handelt es sich um ein grundsätzliches Problem der Spezifikation der Programmiersprache, da diese zur Laufzeit ein (Nach)laden von Variablen und ihren Werten aus externen Quellen erlaubt. Daher sind solche problematische Schwachstellen auch schwer im Code zu erkennen. Überdiese Art von Schnittstellen verfügt nicht nur Java, es ist ein gängiges Konzept. Leider kein Sicherheitskonzept. Zumindest bleibt zu hoffen, dass die log4j-Schwachstelle ein Umdenken anregt.

heise.de – Kommentar zu Log4j: Es funktioniert wie spezifiziert (Hinweis: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)

SMS mit Links auf Schadsoftware-Webseiten

Leider werden viele Phishing-Mails oder Links auf Schadsoftware-Webseiten versandt, die nicht so offensichtlich sind.

Nun häufen sich aber auch SMS und andere Nachrichten, die versuchen uns auf infizierte Webseiten zu lenken:

Ob sie gezielt an adressiert sind oder nur zufällig gesandt werden macht dabei keinen grundsätzlichen Unterschied. Da SMS-Benachrichtigungen oft ein Mittel der Wahl sind, sollte mensch darin ggf. enthaltene Links nur nach genauer Überprüfung aufrufen.

Darum:

Augen auf!
Ein Link auf eine infizierte Webseite in einer SMS oder E-Mail ist schnell geklickt.

Dabei kann sich ein Trojaner einnisten, der nicht nur abhören, sondern auch Bankgeschäfte tätigen oder Erpressungszahlungen fordern könnte.

Und leider sind viele Smartphones technisch nicht mehr sicher, da ältere Modelle keine Updates mehr erhalten (wir sprechen hier teilweise von ein Jahr alten Geräten!).

In manchen Fällen hilft dann nur ein Zurücksetzen auf die Werkseinstellungen…

Weitere Informationen

Universität Duisburg-Essen – ZIM: Hinweise zu Schadsoftware auf Mobiltelefonen

3G-Regeln für Beschäftigte (der TU Berlin)

Mit dem Inkrafttreten des

„Gesetz(es) zur Änderung des Infektionsschutzgesetzes und weiterer Gesetze anlässlich der Aufhebung der Feststellung der epidemischen Lage von nationaler Tragweite“

zum 24.11.2021 ist der § 28b neu ins Infektionsschutzgesetz eingefügt worden.

Danach müssen alle Arbeitgeber*innen ab sofort sicherstellen und nachweisen, dass ausschließlich geimpfte, genesene oder getestete Beschäftigte die Arbeitsstätte betreten.

Gleichzeitig sind alle Beschäftigten verpflichtet, einen Impfnachweis, einen Genesenennachweis oder einen tagesaktuellen Testnachweis innerhalb der Arbeitsstätte mit sich zu führen, zur Kontrolle zur Verfügung zu halten oder bei ihren Arbeitgeber*innen zu hinterlegen.

„3G-Regeln für Beschäftigte (der TU Berlin)“ weiterlesen

Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen

Ja!

Der gestern präsentierte Koalitionsvertrag von SPD, Grünen und FDP greift viele Forderungen aus der Zivilgesellschaft auf, u.a.

Überprüfung der Sicherheitsgesetze in einer Überwachungsgesamtrechnung, die wissenschaftlich evaluiert wird
(statt wie bisher: massive Ausweitung der Befugnisse und Staatstrojaner-Einsatz)
Videoüberwachung und biometrische Identifizierungen sollen im öffentlichen Raum (weitgehend) unterbleiben
(statt wie bisher diskutiert: Digitale Kontrolle des öffentlichen Raumes ausweiten)
Meldepflicht von Sicherheitslücken an das BSI durch staatliche Stellen
(statt wie bisher: diese einzukaufen um sie für Onlinedurchsuchungen / Staatstrojaner zu nutzen oder als Angreifer Hackbacks vorzunehmen)
Neuausrichtung des BSI als unabhängigere IT-Sicherheits-Instanz
ein Recht auf sichere Verschlüsselung
(statt wie bisher: Aushöhlung und Hintertüren)
Legalisierung der Aufdeckung von Schwachstellen „responsible disclosure“
(statt wie bisher: Strafverfolgung)
Herstellerhaftung für Schäden, die fahrlässig durch IT-Sicherheitslücken verursacht werden
(statt wie bisher: Bitten um Produktverbesserung)
Ersatzteile und Updates sollen für die gesamte Lebenszeit von Produkten verfügbar sein
(statt wie bisher: Hoffen auf freiwillige Selbstverpflichtung)
Open Source und offene Standards sollen bei öffentlichen Softwareentwicklungsprojekten die Regel sein „public money for public code“
Anonyme / pseudonyme Nutzung von Diensten soll möglich sein
(statt wie bisher diskutiert: Klarnamenpflicht)
Regelungen zur Anonymisierung von Daten sowie Strafbarkeit von De-Anonymisierung

„Koalitionsvertrag vereinbart Stärkung der Bürgerrechte im Digitalen“ weiterlesen

Vor – während – nach einem Cyberangriff: Wie am besten reagieren?

Zu den Erfahrungen mit den Folgen des Cyberangriffs seit April beantwortete Mattis Neiling als Datenschutzbeauftragter Fragen in einem Panel der 4. Jahrestagung Cybersecurity am 28.10.2021. Er stellte dabei einige auch aus Sicht des Datenschutzes wichtige Punkte in den Vordergrund, die in diesem Beitrag näher ausgeführt werden:

Bewährt haben sich Notfallpläne, die für die beteiligten Mitarbeiter*innen klare Handlungsstrategien aufzeigen.
Die umgehende Konstitution eines Krisenstabs ist sinnvoll für ein geordnetes Vorgehen, das alle Belange bedenkt
Die Wiederinbetriebnahme der Dienste berücksichtigt die IT-forensische Analyse, erfolgt umsichtig und mit Verbesserungen der Sicherheitsarchitektur

Antworten auf einige Fragen werden im Anschluss daran dargestellt, u.a. eine Chronologie der Ereignisse in Folge des Cyberangriffs seit Ende April.

„Vor – während – nach einem Cyberangriff: Wie am besten reagieren?“ weiterlesen