Sign up to save your podcasts
Or
Share Sicherheitslücke in Wordpress - Datenschutz News KW 28/2024
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Sicherheitslücke in Wordpress - Datenschutz News KW 28/2024
Was ist in der KW 28 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/sicherheitslucke-in-wordpress-datenschutz-news-kw-28-2024
TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz,
Wir haben Freitag, den 12. Juli, unser Redaktionsschluss war wie immer um 1 Uhr und wir berichten auch in dieser Woche wieder über die aktuellen Datenschutzthemen. Mein Name ist Gregor Wortberg und bei mir ist.
Lothar Sumanowski, schönen guten Tag.
Hi Luther, welche Themen hast du in dieser Woche mitgebracht?
Lieber Gregor, heute habe ich mitgebracht den das große Komplex des Datenschutzes im Beschäftigungskontext. Wir schauen uns mal um bei einer Datenpanne von Sotec und ein Thema zum habe ich mitgebracht.
Wunderbar, von meiner Seite habe ich eine Meldung äh zur EU-Kommission und Microsoft, welche die in den europäischen Datenschutzbeauftragten verklagen, der KARS-Computerclub warnt vor Risiken im Kontext der Zwei-Faktor-Authentifizierung.
Und eine Sicherheitslücke in einem WordPress Plugin steht auch auf der Agenda. Lass uns starten!
Wir starten los. Gregor, wir haben uns vor ein paar Tagen mit dem Thema des Datenschutzes im Beschäftigungskontext auseinandergesetzt und zwar,
auch in Form eines Blogartikels nachzulesen auf unserer Homepage. Der Link äh selbstverständlich wieder in den Shownotes und zwar haben wir uns die Betrachtung mal angeschaut,
Welche Verantwortung es im Unternehmen gibt, natürlich nur für externe, personenbezogene Daten, also Kundendaten, gerade in äh B to C Geschäftsmodellen.
Dass Unternehmen die Verantwortung für die Daten, aber auch für die personenbezogenen Daten seiner Beschäft,
Wir haben dabei festgestellt, dass das Thema auch eine enorme betriebswirtschaftliche Bedeutung im Kontext des Fachkräftemangels hat und können somit für die, wenn man den Datenschutz richtig betreibt, auch schon gute Argumente für die Beschäftigung im Unternehmen.
Erzielen, ne. Das gilt sowohl bei,
Der Akquise von neuen Mitarbeiter bei der Mitarbeitergewinnung aber auch für die Motivation der Mitarbeiter im Unternehmen, im Unternehmen zu bleiben.
Ja, wir haben uns das angeguckt, wie Rechtsgrundlagen beispielsweise ausgestaltet sein können.
Natürlich Systeme, Verarbeitungen, die originär dem Vertrag oder der Vertragserfüllung im Beschäftigungskontext dienen, sowie,
Personalverwaltungssoftware, Lohn und Gehalt, Urlaub und Ähnliches. Das kann man als Rechtsgrundlage schon
Stellen auf die Vertragserfüllung. Ähm wir haben uns aber auch angeguckt, welche Neuerungen es gibt. Äh wir kennen die Rechtsgrundlage aus dem Artikel achtundachtzig, DSGVO ähm Beschäftigungskontext, der eine.
Öffnungsklausel enthält, die in Richtung des äh Bundesdatenschutzgesetzes und zwar zum,
Paragrafen 26 1 zielt. Da gibt es ja im vergangenen Jahr oder hat es im vergangenen Jahr eine Änderung gegeben. Das Bundesarbeitsgericht hat im März 2drei entschieden, dass originär der,
Entsprechende Paragraph im hessischen Datenschutzgesetz nicht angewendet werden kann aufgrund ja einer nicht Erfüllung, einer Spezifizierung dieses Gesetzes
der Öffnungsklausel,
Paragraph 23 ist wortgleich zum Paragraph 26 BDSG und somit durch das Normwiederholungsverbot nicht mehr zulässig.
Also da gibt es eine ja interessante Betrachtung, welche Rechtsgrundlage ich tatsächlich jetzt für andere Systeme, für andere Verarbeitung,
personenbezogene Daten der Mitarbeiter enthalten, ansetzen kann. Da diskutieren wir über,
Vereinbarung oder über berechtigte Interessen. Also eine spannende Diskussion, wie ich finde und wie gesagt
die Verlinkung zu diesem Artikel findet ihr in unseren Shownotes.
Vielen Dank. Der Artikel ist wirklich sehr lesenswert und auf unserer Homepage Migoset Punkt DE findet ihr ihn auch ganz unkompliziert. Die EU-Kommission,
und Microsoft verklagen den europäischen Datenschutzbeauftragten. Das hatte ich ja schon in der Themen, bis ich
angerissen und zum 1. Juli wurde nämlich im Amtsblatt der Europäischen Union, die bereits im Mai diesen Jahres eingereichten Klagen der beiden Parteien gegen den europäischen Datenschutzbeauftragten EDSB veröffentlicht
besondere fordert die EU-Kommission die Bewertung einer Nichtigkeitserklärung des Beschlusses des EDSB betreffend seiner Untersuchung der Nutzung von Microsoft dreihundertfünfundsechzig,
durch die EU-Kommission aus März diesen Jahres. Der DDSB hatte hier eine
Reihe von Maßnahmen angeordnet und mutmaßliche Datenschutzverstöße bei der Nutzung von M drei fünfundsechzig durch die E-Kommission bekanntgegeben,
insbesondere sei dies der Fall bei der Übermittlung von personenbezogenen Daten.
Drittländern, da im Kontext der Bestimmung personenbezogener Daten, welche da übermittelt werden dürfen. Und in diesem Kontext auch die Garantien für ein gleichwertiges Schutzniveau sein, in dem Kontext auch unzureichend,
Daher unterm Strich sei die Übermittlung von Daten in Drittländern grundsätzlich in dem Fall halt
unzulässig. Lauter Reise wäre sich die Kommission zudem auch noch gegen den Vorwurf in der Lizenzvereinbarung nicht fest
äh zu haben, welche Arten von gesundbezogene Daten zu welchen Zwecken verarbeitet bewerten dürfen und keine klar dokumentierten Anweisungen bereitgestellt zu haben.
Zudem werde laut EU-Kommission auch gegen den Grundsatz der Verhältnismäßigkeit im Kontext der verhängten Maßnahmen verstoßen
Dies ist insbesondere auch Teil der Klage von Microsoft, also sie tun sich ja nicht viel. Microsoft bezieht sich da neben Rechts und Tatsachenfehlern, insbesondere halt auch auf die unverhältnismäßigen Anordnungen.
Interessant könnte das werden, welche grundlegenden Bedeutungen äh in einem etwaigen Urteil dann natürlich auch zu erwarten sind und ähm was man da dann in Zukunft für die betriebliche Praxis
auch ableiten kann, nur das ganze Thema M drei fünfundsechzig, wir wissen’s ja, ist ja jetzt auch schon eher ein größeres umstrittenes in der.
Absolut, ich meine, wir kennen das ja aus der betrieblichen Praxis, ne, aus unserer Beratung heraus. Es ist ein gängiges Thema,
Wie kann ich O oder M drei fünfundsechzig so einsetzen, dass es datenschutzkonform ist,
der Meinung, dass man das äh ja gut hinbekommt und ich finde es aber auch spannend, dass genau auf dieser Ebene auch die Diskussion äh gestartet ist, ne, zwischen der EU-Kommission und dem Europäischen Datenschutzbeauftragten und noch mehr spannend finde ich es, dass da direkt äh mit der Klage einhergeht,
Diskussion nochmal wirklich Ausdruck verliehen wird, ne.
Der der wird nicht wie lang gefackelt, ne. Das ist kein Hinweis, keiner äh keine Anforderungen oder Aufforderungen, sondern direkt der Weg vor Gericht, ja.
Unsere nächste Meldung bringt uns zu einer Datenpanne und zwar zum,
So Tech, wir haben hier eine fehlerhafte Servereinstellung, die dazu führte, dass Google unzählige Dokumente von Sotec in den USA indizierte,
somit sind private Daten und Rechnungen an den Hersteller
öffentlich geworden. Sotec ist ein chinesischer Grafikkarten- und PC-Hersteller. Sehr bekannt in der Gaming-Szene. Die Datenpanne an sich fand, wie schon gesagt, in der US-Niederlassung,
Und zwar wurden Dokumente aus äh Garantiefällen und anderen Geschäftsvorgängen online verfügbar über einfache Suchmaschinenabfragen, zum Beispiel über Google-Ab,
Das waren Dokumente, die über das offizielle RMA-Formular, also Return Material Authorization, alles was so mit Gewährleistung zu tun hat äh und wo Dokumente eingereicht werden sollten
die wurden als Kaufnachweise über die Webseite hochgeladen,
und beinhalteten ja den Namen Wohn äh Städte, E-Mail-Adressen gegebenenfalls Telefonnummern und so weiter.
Das Ganze wurde bekannt und veröffentlicht über einen YouTube Kanal, wo ein Zuschauer darauf,
hinwies, dass er sich selbst mal gegoogelt hat und seine RMA-Dokumente gefunden hat äh an Sotec mit seinen personenbezogenen Daten
Bei der Suche hat er auch festgestellt, dass der seinen Vorgang schon gute zwölf Monate her war. Das heißt also, wir haben ja jetzt nicht einen einen kurzfristig aufgetretenes Problem.
Die Daten, die an die Garantieabwicklung weitergeleitet worden sind, sind vermutlich die,
Webseite hochgeladen worden in einem Bereich, der für Suchmaschinen als indizierbar gekennzeichnet
Und so richtig Bewegung ist in die Angelegenheit gekommen, nachdem auch Geschäftsunterlagen im B2B-Kontext
gefunden worden sind. Ähm es ging dabei um Rechnungen für Wiederverkäufer, aus denen letztendlich auch Konditionen ersichtlich war. Das heißt, wenn man sich Mühe gegeben hat
man äh relativ schnell ja äh Einkaufskonditionen, Preise von Wettbewerbern festgestellt. Das Ganze wurde SOTEC als Hersteller angezeigt,
Daraufhin wurde die Konfiguration ganz schnell repariert. Allerdings sind noch einige Daten,
von Suchmaschinen vorhanden. Also nach wie vor sind dort Unterlagen zu finden. Das Ganze wird wahrscheinlich auch nur so lange zu finden sein, bis die Cashews dann letztendlich.
Basis von Löschanfragen gelöscht werden sollten. Also, Fazit daraus ist aus Sicht des Verbrauchers. Äh wie soll ich damit umgehen, wenn Nachweisdokumente erforderlich sind? Sollten diese möglichst anonym und dann auf dediziertem Wege
zur Verfügung gestellt werden, beispielsweise als E-Mail an die Support-Abteilung, äh wenn es die Möglichkeit
Gibt sollte man das, sollte man das wählen und aus Sicht von Unternehmen, die selber Uploadmöglichkeiten für ihre Kunden anbieten äh und gerade im B2B-Kontext, bitte einmal mehr die Konfiguration von Webspace,
Services prüfen, als hinterher das Ganze zur Verfügung zu stellen.
Der Chaos-Computerclub warnt vor der Nutzung,
der Zwei-Faktor-Udentifizierung per SMS. Da haben die Zwei-Faktor-Authentifizierung kann ja in diversen Varianten durchgeführt werden, SMS, E-Mail
Codes authenticator Apps, ähm gibt’s viele Möglichkeiten, eine sehr verbreitete, ist nun mal aber auch die,
Audentifizierung per SMS. Äh in diesem Kontext hat der Computerclub jetzt auch noch mal auf die Risiken hingewiesen
insbesondere entstehen solche aktuell durch ähm sogenannte Simswapping-Attacken, die durchgeführt werden.
Im Rahmen dieser Versuchen Angreifer, Kontrolle über die SIM-Karte zu erlangen in Folge deren sie dann halt ähm SMS-Nachrichten,
Code abfangen können. Viele Anbieter oder Dienstleister, Online-Dienstleister, die auf die Authentifizierung per SMS zurückgreifen, setzen da wohl auf den Dienstleister Identify Mobile.
Und hier war es den Sicherheitsforscher nun gelungen, durch das Erraten von
Da das Unternehmen, die kurz live im Internet teilt, über 200 Millionen Audentifizierungscodes einzusehen. Ist auch schon mal eine ganz schöne Nummer, wie ich finde. Unter anderem konnten neben diesen Codes aber auch.
Rufnummern und Absendernamen eingesehen werden
Und daraus erschließen sich natürlich noch mehr Missbrauchspotenziale, weil wenn ich Name habe, Rufnummer kann ich natürlich auch schon selber vielleicht irgendwo eine Anmeldung anfordern,
Und ähm das Ganze vielleicht noch mal vereinfacht nachstellen. Der
Computerclub hat in diesem Zusammenhang auch noch mal auf das Ausmaß äh hingewiesen,
also durch 200 Millionen ist es natürlich einerseits schon klar, andererseits jetzt noch mal verstärkt, wenn man dann sieht, dass unter anderem Amazon, DHL und Facebook ähm den Anbietern nutzen, der da betroffen ist und da sieht man dann schon auch noch mal, wie verbreitet das Ganze ist. Fazit
sollte dann hier sein, grade auch nochmal im betrieblichen äh Kontext auf sichere Alternativen
wie er zum Beispiel aus Entikaterapps umzustellen und zu setzen, da diese ja die Codes lokal erzeugen auf dem Endgerät und da in diesem
dann hat auch keine Möglichkeit das Abfangen über das Internet besteht ähm was halt hier das Hauptproblem gewesen ist.
So fällt mir ein, dass man in dem kontinuierlichen Verbesserungsprozess, nur was man beim Datenschutzmanagementsystem auch immer anwenden soll, dass man da,
auch bei der Multifaktor Authentifizierung ähm auch noch nachbessert, ne, bei den Anforderungen jetzt nicht nur abzuhaken, ne, dass man eine hat, ne, sondern auch ein bisschen tiefer gehen.
Wie sieht es denn aus, ne, welches Verfahren haben wir denn da? Also ich das tut ganz gut, äh solche Dinge auch ein bisschen tiefer zu legen, ne.
Grundsätzlich ist es ja schon mal gut Pech zu haben und nicht nur auf eine normale Anmeldung zu vertrauen, ähm aber dann ähm wie du schon sagst, sollten da sollte da auch ein bisschen in die Tiefe geschaut werden.
Absolut,
Wir bleiben technisch ja ein wenig technisch und zwar geht es um das Thema Nudging. Die aktuelle Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg.
Berichtet die Behörde darüber, dass es eine weltweit koordinierte Überprüfung von Webseiten und mobilen Anwendungen gegeben hat.
Hierfür war die Leitlinie des äh europäischen Data Protection Board, EDP, ähm wo es darum ging, genau festzustellen, welche,
irreführenden Webseiten es gibt und wie ähm ja die Irreführungen tatsächlich ausgestaltet sind. Die ähm Prüfung, ob und wie Webseiten irreführende Gestaltungsmuster, also verwendet,
um äh Nutzer zu einem bestimmten Verhalten zu verbleiben, wurde auch aufgegriffen in Deutschland. Die ähm Aufsichtsbehörde in Baden-Württemberg hat,
letztendlich dort auch äh mitgewirkt. Ähm Professor Doktor Tobias Keber,
beauftragt äh des Landes überprüfte insgesamt siebzehn Webseiten und stellte bei allen Seiten ein gewisses Fest. Die häufigsten Feststellungen, die er getroffen hat, waren, dass
es mehrere Schritte bedarf, um ähm ja Datenschutzinformationen zu finden und sich
zu melden beziehungsweise das Konto zu löschen oder die Anzeige von wiederholten Aufforderungen, um die Nutzenden zu frustrieren und letztlich dazu zu bringen, mehr personenbezogene Daten als erforderlich preiszugeben.
Des Weiteren gab’s sehr häufig, ich glaube, fast in allen Fällen irreführenden Design bei den.
Der Landesbeauftragte Professor Doktor Keber sagte dazu, dass bei den Prüfungen festgestellt worden wäre, dass viele Webseiten, die Nutzerinnen und Nutzer zu einem,
für sie nachteiligen Verhalten verleihen,
und das Datenschutz durch Technikgestaltung und datenschutz-freundliche Voreinstellung, also Artikel fünfundzwanzig, Privacy Bodysign und Bodyfalld sieht eher als kein freiwilliges Angebot des Verantwortlichen, sondern als Voraussetzung.
Im nächsten Schritt hat die Behörde schon angekündigt, dass sie auf die geprüften Webseiten-Betreiber zugehen und auf datenschutzfreundliche Lösungen,
hinwirken.
Wir bleiben im Kontext der Webseite, meine nächsten Nachrichten und zwar ist ein ähm dieser Woche durch ähm in Folge eines Berichts von Heise eine Sicherheitslücke in einem WordPress Plug-Ebende bekannt geworden, ähm wodurch
der Upload-Beliebige Dateien auf der Webseite ermöglicht wir betroffen ist das Plug-in Modern Eventskalender, welches unter anderem zu Terminen und Veranstaltungsbuchungen
auf Webseiten eingesetzt werden kann und immerhin 15.000 Installationen auf Webseiten aufwei
und durch die Sicherheitslücke ist es möglich in den dargestellten Kalendern auch ohne atmenberechtigung neue Events zu kreieren und zu erstellen und in diesem Zuge, in diesen Events beliebige Dateien eben auch Schadsoftware hochzuladen
Die gute Nachricht ist, zumindest auf dieses Plug-in äh bezogen, ähm dass Anfang der Woche da jetzt auch schon ein Update veröffentlicht worden ist durch den Anbieter, welches diese Lücke schließt.
Grundsätzlich kann diese Meldung aber auch einfach zum Anlass genommen werden, die auf der eigenen Unternehmenswebseite eingesetzten Plugins,
zu prüfen, auch auf Updates zu überprüfen. Da ist zuletzt häufiger vorgekommen ist, dass Chart-Codes über Plugins ausgespielt werden.
Wir sind durch mit den Nachrichten.
Genau, wir haben noch.
Noch. Genau Hinweise zu Veröffentlichungen und Veranstaltungen.
Der EDSB und die Universität in Karlstadt. Ähm also in Schweden haben eine Veranstaltung zum Thema der menschlichen Kontrolle der automatisierten Entscheidungsfindung. Details und äh Links zur Veranstaltung,
findet ihr wie immer in unseren Shownotes
und die zweite Veröffentlichung beziehungsweise die Veröffentlichung in dieser Rubrik geht in Richtung der Landesbeauftragten für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen die ihren Tätigkeitsbericht
äh veröffentlicht hat,
Also der steht auf den Seiten vom LDI als Download zur Verfügung. Asche auf mein Haupt, ich hab’s schon downgeloadet, aber gelesen noch gar nichts,
ist was fürs Wochenende, ne? So wenn ich so aus dem Fenster schau äh ja das Wetter gibt’s her, ne? Also ich denke wir werden viel lesen können.
Hast du mich jetzt eigentlich nach Schweden eingeladen oder kann ich da auch online teilnehmen?
Gerne nach Schweden. Gerne nach.
Oh, danke.
Wunderbar. Wie du schon gesagt hast, äh das war’s für diese Woche. Wir haben alle Nachrichten zusammengefasst, äh die in dieser Woche im Wesentlichen passiert sind. Am Wochenende steht das nächste Highlight an, ganz aus dem Kontext gerissen. England oder Spanien?
Gregor ganz spontan, wer wird.
England,
Und in diesem Sinne so, wir werden gucken, was uns unser Typ geworden ist. Äh wir wünschen euch ein schönes Wochenende, wenn ihr uns am Freitag hört und einen guten Start in die Woche, falls heute Montag ist. Danke, die Lothar, es hat wie immer sehr viel Spaß gemacht.
Danke dir Gregor und äh bei der nächsten Podcast-Aufnahme sind wir schlauer. Ich meine, unsere Tipps sind eh alle kaputt. Ja, also wir haben ja auf Deutschland, wir haben ja auf Deutschland gesetzt und äh ja, ganz anders das Endspiel gesehen.
Der Schmerz, der Schmerz äh halt ab. Ein schönes Wochenende. Bis dann.
Vielen Dank. Bis dann.
Der Beitrag Sicherheitslücke in WordPress – Datenschutz News KW 28/2024 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 28 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/sicherheitslucke-in-wordpress-datenschutz-news-kw-28-2024
TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz,
Wir haben Freitag, den 12. Juli, unser Redaktionsschluss war wie immer um 1 Uhr und wir berichten auch in dieser Woche wieder über die aktuellen Datenschutzthemen. Mein Name ist Gregor Wortberg und bei mir ist.
Lothar Sumanowski, schönen guten Tag.
Hi Luther, welche Themen hast du in dieser Woche mitgebracht?
Lieber Gregor, heute habe ich mitgebracht den das große Komplex des Datenschutzes im Beschäftigungskontext. Wir schauen uns mal um bei einer Datenpanne von Sotec und ein Thema zum habe ich mitgebracht.
Wunderbar, von meiner Seite habe ich eine Meldung äh zur EU-Kommission und Microsoft, welche die in den europäischen Datenschutzbeauftragten verklagen, der KARS-Computerclub warnt vor Risiken im Kontext der Zwei-Faktor-Authentifizierung.
Und eine Sicherheitslücke in einem WordPress Plugin steht auch auf der Agenda. Lass uns starten!
Wir starten los. Gregor, wir haben uns vor ein paar Tagen mit dem Thema des Datenschutzes im Beschäftigungskontext auseinandergesetzt und zwar,
auch in Form eines Blogartikels nachzulesen auf unserer Homepage. Der Link äh selbstverständlich wieder in den Shownotes und zwar haben wir uns die Betrachtung mal angeschaut,
Welche Verantwortung es im Unternehmen gibt, natürlich nur für externe, personenbezogene Daten, also Kundendaten, gerade in äh B to C Geschäftsmodellen.
Dass Unternehmen die Verantwortung für die Daten, aber auch für die personenbezogenen Daten seiner Beschäft,
Wir haben dabei festgestellt, dass das Thema auch eine enorme betriebswirtschaftliche Bedeutung im Kontext des Fachkräftemangels hat und können somit für die, wenn man den Datenschutz richtig betreibt, auch schon gute Argumente für die Beschäftigung im Unternehmen.
Erzielen, ne. Das gilt sowohl bei,
Der Akquise von neuen Mitarbeiter bei der Mitarbeitergewinnung aber auch für die Motivation der Mitarbeiter im Unternehmen, im Unternehmen zu bleiben.
Ja, wir haben uns das angeguckt, wie Rechtsgrundlagen beispielsweise ausgestaltet sein können.
Natürlich Systeme, Verarbeitungen, die originär dem Vertrag oder der Vertragserfüllung im Beschäftigungskontext dienen, sowie,
Personalverwaltungssoftware, Lohn und Gehalt, Urlaub und Ähnliches. Das kann man als Rechtsgrundlage schon
Stellen auf die Vertragserfüllung. Ähm wir haben uns aber auch angeguckt, welche Neuerungen es gibt. Äh wir kennen die Rechtsgrundlage aus dem Artikel achtundachtzig, DSGVO ähm Beschäftigungskontext, der eine.
Öffnungsklausel enthält, die in Richtung des äh Bundesdatenschutzgesetzes und zwar zum,
Paragrafen 26 1 zielt. Da gibt es ja im vergangenen Jahr oder hat es im vergangenen Jahr eine Änderung gegeben. Das Bundesarbeitsgericht hat im März 2drei entschieden, dass originär der,
Entsprechende Paragraph im hessischen Datenschutzgesetz nicht angewendet werden kann aufgrund ja einer nicht Erfüllung, einer Spezifizierung dieses Gesetzes
der Öffnungsklausel,
Paragraph 23 ist wortgleich zum Paragraph 26 BDSG und somit durch das Normwiederholungsverbot nicht mehr zulässig.
Also da gibt es eine ja interessante Betrachtung, welche Rechtsgrundlage ich tatsächlich jetzt für andere Systeme, für andere Verarbeitung,
personenbezogene Daten der Mitarbeiter enthalten, ansetzen kann. Da diskutieren wir über,
Vereinbarung oder über berechtigte Interessen. Also eine spannende Diskussion, wie ich finde und wie gesagt
die Verlinkung zu diesem Artikel findet ihr in unseren Shownotes.
Vielen Dank. Der Artikel ist wirklich sehr lesenswert und auf unserer Homepage Migoset Punkt DE findet ihr ihn auch ganz unkompliziert. Die EU-Kommission,
und Microsoft verklagen den europäischen Datenschutzbeauftragten. Das hatte ich ja schon in der Themen, bis ich
angerissen und zum 1. Juli wurde nämlich im Amtsblatt der Europäischen Union, die bereits im Mai diesen Jahres eingereichten Klagen der beiden Parteien gegen den europäischen Datenschutzbeauftragten EDSB veröffentlicht
besondere fordert die EU-Kommission die Bewertung einer Nichtigkeitserklärung des Beschlusses des EDSB betreffend seiner Untersuchung der Nutzung von Microsoft dreihundertfünfundsechzig,
durch die EU-Kommission aus März diesen Jahres. Der DDSB hatte hier eine
Reihe von Maßnahmen angeordnet und mutmaßliche Datenschutzverstöße bei der Nutzung von M drei fünfundsechzig durch die E-Kommission bekanntgegeben,
insbesondere sei dies der Fall bei der Übermittlung von personenbezogenen Daten.
Drittländern, da im Kontext der Bestimmung personenbezogener Daten, welche da übermittelt werden dürfen. Und in diesem Kontext auch die Garantien für ein gleichwertiges Schutzniveau sein, in dem Kontext auch unzureichend,
Daher unterm Strich sei die Übermittlung von Daten in Drittländern grundsätzlich in dem Fall halt
unzulässig. Lauter Reise wäre sich die Kommission zudem auch noch gegen den Vorwurf in der Lizenzvereinbarung nicht fest
äh zu haben, welche Arten von gesundbezogene Daten zu welchen Zwecken verarbeitet bewerten dürfen und keine klar dokumentierten Anweisungen bereitgestellt zu haben.
Zudem werde laut EU-Kommission auch gegen den Grundsatz der Verhältnismäßigkeit im Kontext der verhängten Maßnahmen verstoßen
Dies ist insbesondere auch Teil der Klage von Microsoft, also sie tun sich ja nicht viel. Microsoft bezieht sich da neben Rechts und Tatsachenfehlern, insbesondere halt auch auf die unverhältnismäßigen Anordnungen.
Interessant könnte das werden, welche grundlegenden Bedeutungen äh in einem etwaigen Urteil dann natürlich auch zu erwarten sind und ähm was man da dann in Zukunft für die betriebliche Praxis
auch ableiten kann, nur das ganze Thema M drei fünfundsechzig, wir wissen’s ja, ist ja jetzt auch schon eher ein größeres umstrittenes in der.
Absolut, ich meine, wir kennen das ja aus der betrieblichen Praxis, ne, aus unserer Beratung heraus. Es ist ein gängiges Thema,
Wie kann ich O oder M drei fünfundsechzig so einsetzen, dass es datenschutzkonform ist,
der Meinung, dass man das äh ja gut hinbekommt und ich finde es aber auch spannend, dass genau auf dieser Ebene auch die Diskussion äh gestartet ist, ne, zwischen der EU-Kommission und dem Europäischen Datenschutzbeauftragten und noch mehr spannend finde ich es, dass da direkt äh mit der Klage einhergeht,
Diskussion nochmal wirklich Ausdruck verliehen wird, ne.
Der der wird nicht wie lang gefackelt, ne. Das ist kein Hinweis, keiner äh keine Anforderungen oder Aufforderungen, sondern direkt der Weg vor Gericht, ja.
Unsere nächste Meldung bringt uns zu einer Datenpanne und zwar zum,
So Tech, wir haben hier eine fehlerhafte Servereinstellung, die dazu führte, dass Google unzählige Dokumente von Sotec in den USA indizierte,
somit sind private Daten und Rechnungen an den Hersteller
öffentlich geworden. Sotec ist ein chinesischer Grafikkarten- und PC-Hersteller. Sehr bekannt in der Gaming-Szene. Die Datenpanne an sich fand, wie schon gesagt, in der US-Niederlassung,
Und zwar wurden Dokumente aus äh Garantiefällen und anderen Geschäftsvorgängen online verfügbar über einfache Suchmaschinenabfragen, zum Beispiel über Google-Ab,
Das waren Dokumente, die über das offizielle RMA-Formular, also Return Material Authorization, alles was so mit Gewährleistung zu tun hat äh und wo Dokumente eingereicht werden sollten
die wurden als Kaufnachweise über die Webseite hochgeladen,
und beinhalteten ja den Namen Wohn äh Städte, E-Mail-Adressen gegebenenfalls Telefonnummern und so weiter.
Das Ganze wurde bekannt und veröffentlicht über einen YouTube Kanal, wo ein Zuschauer darauf,
hinwies, dass er sich selbst mal gegoogelt hat und seine RMA-Dokumente gefunden hat äh an Sotec mit seinen personenbezogenen Daten
Bei der Suche hat er auch festgestellt, dass der seinen Vorgang schon gute zwölf Monate her war. Das heißt also, wir haben ja jetzt nicht einen einen kurzfristig aufgetretenes Problem.
Die Daten, die an die Garantieabwicklung weitergeleitet worden sind, sind vermutlich die,
Webseite hochgeladen worden in einem Bereich, der für Suchmaschinen als indizierbar gekennzeichnet
Und so richtig Bewegung ist in die Angelegenheit gekommen, nachdem auch Geschäftsunterlagen im B2B-Kontext
gefunden worden sind. Ähm es ging dabei um Rechnungen für Wiederverkäufer, aus denen letztendlich auch Konditionen ersichtlich war. Das heißt, wenn man sich Mühe gegeben hat
man äh relativ schnell ja äh Einkaufskonditionen, Preise von Wettbewerbern festgestellt. Das Ganze wurde SOTEC als Hersteller angezeigt,
Daraufhin wurde die Konfiguration ganz schnell repariert. Allerdings sind noch einige Daten,
von Suchmaschinen vorhanden. Also nach wie vor sind dort Unterlagen zu finden. Das Ganze wird wahrscheinlich auch nur so lange zu finden sein, bis die Cashews dann letztendlich.
Basis von Löschanfragen gelöscht werden sollten. Also, Fazit daraus ist aus Sicht des Verbrauchers. Äh wie soll ich damit umgehen, wenn Nachweisdokumente erforderlich sind? Sollten diese möglichst anonym und dann auf dediziertem Wege
zur Verfügung gestellt werden, beispielsweise als E-Mail an die Support-Abteilung, äh wenn es die Möglichkeit
Gibt sollte man das, sollte man das wählen und aus Sicht von Unternehmen, die selber Uploadmöglichkeiten für ihre Kunden anbieten äh und gerade im B2B-Kontext, bitte einmal mehr die Konfiguration von Webspace,
Services prüfen, als hinterher das Ganze zur Verfügung zu stellen.
Der Chaos-Computerclub warnt vor der Nutzung,
der Zwei-Faktor-Udentifizierung per SMS. Da haben die Zwei-Faktor-Authentifizierung kann ja in diversen Varianten durchgeführt werden, SMS, E-Mail
Codes authenticator Apps, ähm gibt’s viele Möglichkeiten, eine sehr verbreitete, ist nun mal aber auch die,
Audentifizierung per SMS. Äh in diesem Kontext hat der Computerclub jetzt auch noch mal auf die Risiken hingewiesen
insbesondere entstehen solche aktuell durch ähm sogenannte Simswapping-Attacken, die durchgeführt werden.
Im Rahmen dieser Versuchen Angreifer, Kontrolle über die SIM-Karte zu erlangen in Folge deren sie dann halt ähm SMS-Nachrichten,
Code abfangen können. Viele Anbieter oder Dienstleister, Online-Dienstleister, die auf die Authentifizierung per SMS zurückgreifen, setzen da wohl auf den Dienstleister Identify Mobile.
Und hier war es den Sicherheitsforscher nun gelungen, durch das Erraten von
Da das Unternehmen, die kurz live im Internet teilt, über 200 Millionen Audentifizierungscodes einzusehen. Ist auch schon mal eine ganz schöne Nummer, wie ich finde. Unter anderem konnten neben diesen Codes aber auch.
Rufnummern und Absendernamen eingesehen werden
Und daraus erschließen sich natürlich noch mehr Missbrauchspotenziale, weil wenn ich Name habe, Rufnummer kann ich natürlich auch schon selber vielleicht irgendwo eine Anmeldung anfordern,
Und ähm das Ganze vielleicht noch mal vereinfacht nachstellen. Der
Computerclub hat in diesem Zusammenhang auch noch mal auf das Ausmaß äh hingewiesen,
also durch 200 Millionen ist es natürlich einerseits schon klar, andererseits jetzt noch mal verstärkt, wenn man dann sieht, dass unter anderem Amazon, DHL und Facebook ähm den Anbietern nutzen, der da betroffen ist und da sieht man dann schon auch noch mal, wie verbreitet das Ganze ist. Fazit
sollte dann hier sein, grade auch nochmal im betrieblichen äh Kontext auf sichere Alternativen
wie er zum Beispiel aus Entikaterapps umzustellen und zu setzen, da diese ja die Codes lokal erzeugen auf dem Endgerät und da in diesem
dann hat auch keine Möglichkeit das Abfangen über das Internet besteht ähm was halt hier das Hauptproblem gewesen ist.
So fällt mir ein, dass man in dem kontinuierlichen Verbesserungsprozess, nur was man beim Datenschutzmanagementsystem auch immer anwenden soll, dass man da,
auch bei der Multifaktor Authentifizierung ähm auch noch nachbessert, ne, bei den Anforderungen jetzt nicht nur abzuhaken, ne, dass man eine hat, ne, sondern auch ein bisschen tiefer gehen.
Wie sieht es denn aus, ne, welches Verfahren haben wir denn da? Also ich das tut ganz gut, äh solche Dinge auch ein bisschen tiefer zu legen, ne.
Grundsätzlich ist es ja schon mal gut Pech zu haben und nicht nur auf eine normale Anmeldung zu vertrauen, ähm aber dann ähm wie du schon sagst, sollten da sollte da auch ein bisschen in die Tiefe geschaut werden.
Absolut,
Wir bleiben technisch ja ein wenig technisch und zwar geht es um das Thema Nudging. Die aktuelle Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg.
Berichtet die Behörde darüber, dass es eine weltweit koordinierte Überprüfung von Webseiten und mobilen Anwendungen gegeben hat.
Hierfür war die Leitlinie des äh europäischen Data Protection Board, EDP, ähm wo es darum ging, genau festzustellen, welche,
irreführenden Webseiten es gibt und wie ähm ja die Irreführungen tatsächlich ausgestaltet sind. Die ähm Prüfung, ob und wie Webseiten irreführende Gestaltungsmuster, also verwendet,
um äh Nutzer zu einem bestimmten Verhalten zu verbleiben, wurde auch aufgegriffen in Deutschland. Die ähm Aufsichtsbehörde in Baden-Württemberg hat,
letztendlich dort auch äh mitgewirkt. Ähm Professor Doktor Tobias Keber,
beauftragt äh des Landes überprüfte insgesamt siebzehn Webseiten und stellte bei allen Seiten ein gewisses Fest. Die häufigsten Feststellungen, die er getroffen hat, waren, dass
es mehrere Schritte bedarf, um ähm ja Datenschutzinformationen zu finden und sich
zu melden beziehungsweise das Konto zu löschen oder die Anzeige von wiederholten Aufforderungen, um die Nutzenden zu frustrieren und letztlich dazu zu bringen, mehr personenbezogene Daten als erforderlich preiszugeben.
Des Weiteren gab’s sehr häufig, ich glaube, fast in allen Fällen irreführenden Design bei den.
Der Landesbeauftragte Professor Doktor Keber sagte dazu, dass bei den Prüfungen festgestellt worden wäre, dass viele Webseiten, die Nutzerinnen und Nutzer zu einem,
für sie nachteiligen Verhalten verleihen,
und das Datenschutz durch Technikgestaltung und datenschutz-freundliche Voreinstellung, also Artikel fünfundzwanzig, Privacy Bodysign und Bodyfalld sieht eher als kein freiwilliges Angebot des Verantwortlichen, sondern als Voraussetzung.
Im nächsten Schritt hat die Behörde schon angekündigt, dass sie auf die geprüften Webseiten-Betreiber zugehen und auf datenschutzfreundliche Lösungen,
hinwirken.
Wir bleiben im Kontext der Webseite, meine nächsten Nachrichten und zwar ist ein ähm dieser Woche durch ähm in Folge eines Berichts von Heise eine Sicherheitslücke in einem WordPress Plug-Ebende bekannt geworden, ähm wodurch
der Upload-Beliebige Dateien auf der Webseite ermöglicht wir betroffen ist das Plug-in Modern Eventskalender, welches unter anderem zu Terminen und Veranstaltungsbuchungen
auf Webseiten eingesetzt werden kann und immerhin 15.000 Installationen auf Webseiten aufwei
und durch die Sicherheitslücke ist es möglich in den dargestellten Kalendern auch ohne atmenberechtigung neue Events zu kreieren und zu erstellen und in diesem Zuge, in diesen Events beliebige Dateien eben auch Schadsoftware hochzuladen
Die gute Nachricht ist, zumindest auf dieses Plug-in äh bezogen, ähm dass Anfang der Woche da jetzt auch schon ein Update veröffentlicht worden ist durch den Anbieter, welches diese Lücke schließt.
Grundsätzlich kann diese Meldung aber auch einfach zum Anlass genommen werden, die auf der eigenen Unternehmenswebseite eingesetzten Plugins,
zu prüfen, auch auf Updates zu überprüfen. Da ist zuletzt häufiger vorgekommen ist, dass Chart-Codes über Plugins ausgespielt werden.
Wir sind durch mit den Nachrichten.
Genau, wir haben noch.
Noch. Genau Hinweise zu Veröffentlichungen und Veranstaltungen.
Der EDSB und die Universität in Karlstadt. Ähm also in Schweden haben eine Veranstaltung zum Thema der menschlichen Kontrolle der automatisierten Entscheidungsfindung. Details und äh Links zur Veranstaltung,
findet ihr wie immer in unseren Shownotes
und die zweite Veröffentlichung beziehungsweise die Veröffentlichung in dieser Rubrik geht in Richtung der Landesbeauftragten für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen die ihren Tätigkeitsbericht
äh veröffentlicht hat,
Also der steht auf den Seiten vom LDI als Download zur Verfügung. Asche auf mein Haupt, ich hab’s schon downgeloadet, aber gelesen noch gar nichts,
ist was fürs Wochenende, ne? So wenn ich so aus dem Fenster schau äh ja das Wetter gibt’s her, ne? Also ich denke wir werden viel lesen können.
Hast du mich jetzt eigentlich nach Schweden eingeladen oder kann ich da auch online teilnehmen?
Gerne nach Schweden. Gerne nach.
Oh, danke.
Wunderbar. Wie du schon gesagt hast, äh das war’s für diese Woche. Wir haben alle Nachrichten zusammengefasst, äh die in dieser Woche im Wesentlichen passiert sind. Am Wochenende steht das nächste Highlight an, ganz aus dem Kontext gerissen. England oder Spanien?
Gregor ganz spontan, wer wird.
England,
Und in diesem Sinne so, wir werden gucken, was uns unser Typ geworden ist. Äh wir wünschen euch ein schönes Wochenende, wenn ihr uns am Freitag hört und einen guten Start in die Woche, falls heute Montag ist. Danke, die Lothar, es hat wie immer sehr viel Spaß gemacht.
Danke dir Gregor und äh bei der nächsten Podcast-Aufnahme sind wir schlauer. Ich meine, unsere Tipps sind eh alle kaputt. Ja, also wir haben ja auf Deutschland, wir haben ja auf Deutschland gesetzt und äh ja, ganz anders das Endspiel gesehen.
Der Schmerz, der Schmerz äh halt ab. Ein schönes Wochenende. Bis dann.
Vielen Dank. Bis dann.
Der Beitrag Sicherheitslücke in WordPress – Datenschutz News KW 28/2024 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners