Monatliches Archiv:März 2020

31.03.2020

Älterer DSL-Modem-Router von D-Link vielfältig angreifbar

Der DSL-Router DSL-2640B ist über mehrere Schwachstellen attackierbar. Sicherheitsforschern zufolge wird es wohl keine Updates geben. Wer einen DSL-Anschluss hat und den Modem-Router DSL-2640B von D-Link nutzt, sollte das Gerät aus Sicherheitsgründen vom Internet abklemmen. Sicherheitsforscher von Raelize haben in der Software des Geräts fünf gefährliche Sicherheitslücken entdeckt. Ihnen zufolge wird es wohl keine Sicherheitsupdates mehr geben.Den DSL-Modem-Router gibt es bereits seit 2007. In einem Bericht schreiben die Sicherheitsforscher, dass das Geräts den End-of-Life-Status erreicht hat und dementsprechend keine Sicherheitsupdates mehr bekommt.

Fünf Sicherheitslücken

Setzen Angreifer an den Schwachstellen an, könnten sie sich unter anderem Admin-Rechte für das Gerät verschaffen. Doch für die Ausnutzung einer entsprechenden Lücke (CVE-2020-9275) müsste ein Angreifer auf das Router-Interface zugreifen können. Dafür ist beispielsweise der WLAN-Zugriff vonnöten. Ist das gegeben, soll das alleinige Versenden eines präparierte UDP-Paketes an den Port 65002 ausreichen, um an das Admin-Passwort zu gelangen. Noch schlimmer mutet eine weitere Schwachstelle (CVE-2020-9279) an: Hier könnten sich Angreifer einfach mit einem hard-codierten Admin-Account am Gerät anmelden. Durch das Ausnutzen der weiteren Lücken (CVE-2020-9276, CVE-2020-9277, CVE-2020-9278) könnten Angreifer die Konfiguration von Geräten zurücksetzen, Authentifizierungsmaßnahmen umgehen und einen Speicherfehler (buffer overflow) auslösen. So etwas lässt Geräte in der Regel abstürzen. In vielen Fällen erlauben solche Speicherfehler sogar die Ausführung von Schadcode. In ihrem Beitrag führen die Sicherheitsforscher im Details aus, wie Attacken funktionieren könnten. Die Sicherheitsforscher warnen davor, dass die Sicherheitslücken eventuell noch weitere Geräte betreffen könnten. Das haben sie aber nicht weiter geprüft. Ihnen zufolge ist D-Link in der Sache nicht hilfreich.

Gefährlichkeit

Eine Einstufung des Angriffsrisikos nennen die Sicherheitsforscher nicht. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT-Bund vergibt für die Lücken die höchstmögliche Gefahreneinstufung „sehr hoch“.

30.03.2020

Corona-Soforthilfe: Datenpanne bei der Investitionsbank Berlin

Die Investitionsbank Berlin hat die Datenschutzbehörde über einen schwerwiegenden Programmierfehler auf der Antragsseite für Soforthilfen informiert. Die Hilfsaktion des Landes Berlin für gewerbliche Solo-Selbständige und Kleinstunternehmen mit bis zu fünf Beschäftigten bei Liquiditätsengpässen aufgrund der Coronavirus-Krise kämpft mit Anlaufschwierigkeiten. Antragstellungen sollten ursprünglich von Freitag um 12 Uhr an möglich sein, doch die einschlägige Webseite der Investitionsbank Berlin (IBB) war erst Stunden später betriebsbereit. Allerdings wies sie dann zunächst einen „schwerwiegenden Programmierfehler“ auf, der eine nicht minder gravierende Datenpanne nach sich zog. Antragstellern, die an diesem Tag in der Zeit von etwa 15:30 Uhr bis 16:15 Uhr zum Zug gekommen waren, erhielten jeweils die Bestätigung des Eingangs der erforderlichen Angaben einer anderen Person, erklärte die Berliner Datenschutzbeauftragte Maja Smoltczyk am Montag. Damit seien persönliche Informationen wie Angaben zum Unternehmen, Ausweis-, Steuer- und Bankdaten in falsche Hände gelangt. Antragsteller müssten davon ausgehen, dass diese Kennungen an Dritte übermittelt worden seien. Nach derzeitigem Kenntnisstand gehe die Bank von bis zu 390 betroffenen Personen aus.

Fehlerbehebung

Die IBB hat den Vorfall am Montag fristgerecht bei der Aufsichtsbehörde gemeldet, heißt es dort weiter. Dazu sei sie nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) verpflichtet gewesen. Nachdem das Problem bekannt geworden war, habe das Finanzinstitut das Online-Antragsverfahren umgehend ausgesetzt und erst wieder in Betrieb genommen, nachdem der Fehler behoben gewesen sei. Die betroffenen Antragsteller werden derzeit ermittelt und von der IBB im Einklang mit Artikel 34 DSGVO informiert. Die Berliner Datenschutzbeauftragte wird diesen Prozess nach ihren Angaben „aufsichtsrechtlich begleiten“. Von möglichen Bußgeldern gegenüber der Bank ist noch keine Rede. Zugleich fordert Smoltczyk alle Betroffenen, die im Zuge der Panne unrechtmäßig Zugang zu den Daten anderer Personen erhalten haben, dazu auf, „diese unverzüglich datenschutzgerecht zu löschen“ und auch eventuell angefertigte entsprechende Ausdrucke „zu vernichten“. Die Informationen, die nicht allgemein zugänglich seien, dürfen „keinesfalls dauerhaft gespeichert oder auf andere Weise weiterverarbeitet werden“. Die IBB hat die „Warteschlangen-Software“ Queue-it der gleichnamigen dänischen Firma eingeführt, um den Ansturm der Hilfesuchenden halbwegs zu bewältigen. Es soll einige Stunden oder Tage dauern, bis tatsächlich Anträge innerhalb eines recht kurzen Zeitfensters eingereicht werden können. Mehrere Verbände von Freischaffenden hatten ihre Mitglieder auf den Service aufmerksam gemacht. Zunächst war von Hackerangriffen auf die Seite die Rede, inzwischen berichtet die Bank von „einer Reihe mutmaßlicher Betrugsversuche“. Offenbar versuchten auch Unberechtigte, an die Corona-Hilfsmittel in Höhe von 5000 Euro pro Firma vom Land Berlin heranzukommen, sagte ein Sprecher dem rbb. Samstagabend seien rund 46.000 von mehr als 150.000 eingegangenen Anträge bearbeitet gewesen, derzeit werde pro Stunde bis zu 6000 Ersuchen abgeholfen. Hilfsbedürftige müssen das Geld nicht zurückzahlen, prüfen sollen die Berechtigungen wohl erst die Finanzämter im Rahmen der Steuererklärungen.

Die anderen Bundesländer bieten ähnliche Unterstützungsangebote an.

26.03.2020

Datenschutz und Home Office – was ist trotz Corona zu beachten?

Auf den ersten Blick erscheint „Home Office“ eine einfache und schnelle Lösung zu sein, um das Ansteckungsrisiko mit Corona zu verringern. Das Ansteckungsrisiko sinkt, während das Risiko für personenbezogene Daten steigt: Mitarbeiter bleiben zu Hause und nutzen ihren privaten PC, drucken auf dem privaten Drucker. Die Ausdrucke werden in der blauen Tonne entsorgt. Bei näherer Betrachtung wird deutlich, dass Home Office zusätzlicher Datenschutzregelungen bedarf. Private Geräte aber auch Familienangehörige stellen ein zusätzliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten dar. Der Arbeitgeber darf nicht über die private Wohnung oder private Geräte bestimmen, ist aber für die datenschutzkonforme Verarbeitung verantwortlich.

Wir helfen Ihnen gerne bei Fragen zu dieser aktuellen Problematik und beleuchten exemplarisch, welche zusätzlichen Regelungen sinnvoll sind, um in diesem Spannungsfeld zu bestehen.

11.03.2020

Populäre VPN-Apps verraten Nutzerdaten an Analytics-Firma

Die Smartphone-Apps versprechen erhöhten Datenschutz, sammeln jedoch heimlich Daten für eine Analytics-Firma. Apple und Google schreiten ein. Der App-Analyse-Dienst Sensor Tower steht offenbar hinter einem ganzen Netz an VPN-Apps, die umfassende Daten über die Smartphone-Verwendung ihrer Nutzer sammeln. Über die vergangenen fünf Jahre hat die Firma einem Bericht zufolge mindestens 20 Apps für Android und iOS entwickelt, die als VPN-Dienste sowie Werbe-Blocker vermarktet werden und unter anderen Anbieternamen zum Download in den App-Läden standen und stehen.

Tiefer Einblick in App- und Browser-Nutzung

Diese Apps versprechen gewöhnlich einen erhöhten Datenschutz, Anti-Tracking-Funktionen und etwa auch einen niedrigeren Datenverbrauch bei mobilen Verbindungen – sammeln dabei aber selbst detaillierte Informationen über App-Verwendung und Surfverhalten ihrer Nutzer, wie Buzzfeed News berichtet. Die Apps seien insgesamt über 35 Millionen Mal heruntergeladen worden.

Apple hat nach eigener Angabe im Laufe der Zeit bereits 12 dieser Apps wegen verschiedener Regelverletzungen aus dem App Store geworfen und in Reaktion auf den Bericht mit „Adblock Focus“ eine dreizehnte App entfernt. Das derzeit noch erhältliche „Luna VPN“ werde „untersucht“. Auch Google hat eine Datenspar-App mit Verbindungen zu Sensor Tower rausgeworfen, andere weiter verfügbare Apps seien noch in der Prüfung. Bei der Verwendung eines VPNs läuft der komplette Traffic zwangsläufig über Server des Anbieters. Luna VPN bietet dem Nutzer zudem an, einen Werbeblocker zu installieren und erfordert dafür die Installation eines Root-Zertifikats auf dem Smartphone, das dann selbst Einblick in verschlüsselte Datenverbindungen ermöglicht, führt Buzzfeed aus. Auch andere der VPN-App des Anbieters hätten auf diese Taktik gesetzt. Der Datenschutzrichtlinie der App zufolge leitet diese den „Ad Traffic“ des Nutzers über eigene Server um.

Datenanalyse rund um App-Economy

Sensor Tower gibt Investoren und App-Anbietern Einblick in App-Nutzungsverhalten und veröffentlicht regelmäßig Analysen, etwa über App-Umsätze und Veränderungen im milliardenschweren Geschäft mit mobilen Apps. Man sammle keine sensiblen Daten und erhebe keine Daten, die eine persönliche Identifikation einzelner Nutzer ermöglichen würden, betonte die Firma in einer Stellungnahme gegenüber Buzzfeed. Daten Schnüffelei bei kostenlosen VPN-Apps ist seit langem an der Tagesordnung. Für Aufsehen sorgte etwa der von Facebook zugekaufte VPN-Dienst Onavo, der dem Konzern umfassenden Einblick in Smartphone-Nutzungsgewohnheiten ermöglichte – bis hin zu Details wie dem An- und Abschalten des Displays. Auf Druck von Apple stellte Facebook die App schließlich ein.

06.03.2020

Masern-Schutzimpfung in sozialen Einrichtungen seit 01.März Pflicht

Sicherlich besteht weitestgehend Einigkeit darüber, dass Schul- und Kindergartenkinder wirksam vor Masern geschützt werden müssen. Diesbezüglich hat der Bundestag im November vergangenen Jahres das sogenannte „Gesetz für den Schutz vor Masern und zur Stärkung der Impfprävention“ (oder kurz: Masernschutzgesetz) beschlossen – es gilt seit dem 01. März 2020.

Was muss getan werden?

Alle Kinder ab dem vollendeten ersten Lebensjahr müssen beim Eintritt in die Schule oder den Kindergarten die erfolgte Masern-Impfung vorweisen. Dasselbe gilt in der Regel ebenfalls bei einer Betreuung durch eine Kindertagespflegeperson.

Darüber hinaus müssen auch Personen, die in Gemeinschafts- oder medizinischen Einrichtungen tätig sind, wie Erzieher, Lehrer, Tagespflegepersonal und medizinisches Personal (sofern dieser Personen nach 1970 geboren sind) die Masern-Impfung nachweisen.

Wie soll der Nachweis erbracht werden?

Ein entsprechender Nachweis kann durch den Impfausweis, das gelbe Kinderuntersuchungsheft oder ein ärztliches Attest (insbesondere bei bereits erlittener Krankheit) erbracht werden. Zu erbringen ist dieser Nachweis in der Regel gegenüber der Leitung der Einrichtung.

Was gilt es datenschutzrechtlich zu beachten?

Dort wo Nachweise erbracht werden müssen, bedeutet es ebenfalls, dass Nachweise vorgehalten werden müssen. Für die Einrichtungen sollte sich daher über die Rechtmäßigkeit sowie die sichere Verfahrung Gedanken gemacht werden. Der Nachweis einer Impfung oder einer bereits erlittenen Krankheit stellt ein Gesundheitsdatum gem. Art. 9 DSGVO da – damit scheidet zumindest im Beschäftigungskontext § 26 BDSG als Rechtsgrundlage aus.

Art. 9 Abs. 2 lit. i) DSGVO scheint als Rechtsgrundlage maßgebend – dementsprechend dürfen besondere Kategorien personenbezogener Daten (sogleich auch Gesundheitsdaten), die aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erhoben werden auch verarbeitet werden. Hierbei ist Art. 9 Abs. 2 lit. i) DSGVO als Öffnungsklausel zu verstehen und bedarf einer weiteren, nationalen Rechtsprechung – das Masernschutzgesetz.

Wie kann der Nachweis dokumentiert werden?

Das Dokumentieren eines Nachweises ist bereits aus anderen Fallbeispielen, wie z.B. der Vorlage eines Führungszeugnisses oder des Personalausweises, bekannt und wird hitzig debattiert.

Grundsätzlich ist von einer bloßen Kopie z.B. des Impfnachweises abzuraten.

Insbesondere bei einer Kopie des Impfpasses sind unter Umständen weitere Impfnachweise zu entnehmen, die für die Einrichtung nicht von Belang sind – somit würde das Ziel der Datenminimierung unterwandert werden. Vielmehr sollten sich die entsprechenden Einrichtungen den entsprechenden Nachweis vorzeigen lassen und einen entsprechenden Aktenvermerk tätigen. Um nicht in Beweisnöte zu kommen bietet es sich zudem an, den Aktenvermerk mittels des 4-Augen-Prinzips durchzuführen.

Weitere Informationen

Wer sich tiefergehend mit dem Thema beschäftigen möchte, dem empfehlen wir einen Blick auf die Seite des Bundesministeriums für Gesundheit: https://www.bundesgesundheitsministerium.de/impfpflicht.html