Dienstag, 21. September 2021

3: Vorträge, Vorlesungen, Aufsätze

Pitch: IT-Sicherheit und Datenschutz by Design und by Default

Vortragsfolien im PDF-Format
Vortragsfolien im PDF-Format

 

Impulsvortrag von Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein

am 21.09.2021

bei der 24. Informatica Feminale der Universität Bremen

 

"Pitch: IT-Sicherheit und Datenschutz by Design und by Default" vollständig lesen
Samstag, 7. August 2021

IT-Sicherheit und Datenschutz by Design und by Default

Vortragsfolien im PDF-Format
Vortragsfolien im PDF-Format

Vortrag von Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein

am 07.09.2021

bei der 24. Informatica Feminale der Universität Bremen

 

"IT-Sicherheit und Datenschutz by Design und by Default" vollständig lesen
Mittwoch, 30. September 2020

3: Vorträge, Vorlesungen, Aufsätze

Web Event "Privacy in High Density Crowd Contexts"

Folien als PDF
Folien als PDF

Input from Marit Hansen and Bud P. Bruegger
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Germany

on 30 September 2020

organised from the Future of Privacy Forum (FPF) and Dataskydd.net

 

"Web Event "Privacy in High Density Crowd Contexts"" vollständig lesen
Freitag, 11. September 2020

Empfehlungen zur Regelung des Umgangs mit dienstlichen Mobiltelefonen

Vielfach stellen Arbeitgeberinnen oder Arbeitgeber ihren Beschäftigten ein Mobiltelefon oder ein Smartphone zur dienstlichen Benutzung bereit. Wie beim Festnetztelefon im Büro stellt sich dann häufig die Frage, ob und inwieweit eine private Nutzung zulässig ist und wie sie zu regeln ist.

"Empfehlungen zur Regelung des Umgangs mit dienstlichen Mobiltelefonen" vollständig lesen
Montag, 4. Mai 2020

Warnung vor Corona-SPAM

Die Corona-Pandemie wird mittlerweile auch als Vorwand für Phishingkampagnen und Betrugsversuche verwendet.

So sind derzeit E-Mails im Umlauf, die vermeintlich von Behörden und Banken, u.a. von der Investitionsbank Schleswig-Holstein, versendet werden. Sie fordern die Empfänger auf, Daten  (u.a. mittels eines  pdf-Formulars) zu Kontrollzwecken per E-Mail an die Behörden bzw. Banken zu übersenden.
 

"Warnung vor Corona-SPAM" vollständig lesen
Donnerstag, 9. April 2020

IT-Sicherheit auch in Krisenzeiten wichtig!

Bei den sich derzeit überschlagenden Ereignissen in der Corona-Pandemie treten Viren für die IT-Infrastruktur (Trojaner, Schadcode, Malware) schnell in den Hintergrund.

Dennoch ist es wichtig, auf die praktischen Aspekte der IT-Sicherheit zu achten – nichts könnten beispielsweise Krankenhäuser und Arztpraxis weniger gebrauchten als eine Infektion der Computer mit Schadsoftware, die den IT-Betrieb für Tage lahmlegt.

Ein praktisches Problem besteht darin, dass viele Dokumente schnell per E-Mail ausgetauscht werden. Dabei gibt es unkritische Dateiformate, aber auch solche, die Schadcode beinhalten können. Daher wurden im Rahmen der Emotet-Welle verstärkt gefährlichen Dateiformate herausgefiltert (etwa Dateien mit Makros), von Hand nachbearbeitet (kontrolliert, ggf. weitergegeben) oder sogar vollständig blockiert. Dies erfolgt meist pauschal am zentralen E-Mail-Eingang – unabhängig von Absenderadressen.

Weil Dokumente häufig zeitkritisch sind, werden sie jetzt teilweise wieder ungeprüft zugestellt oder wichtige Dokumente kommen wegen der notwendigen Prüfung verspätet an. Beides ist zu vermeiden.

Ein Beitrag zur Lösung des Problems ist, Dateien im richtigen Datenformat zu versenden. Dabei ist es zunächst wichtig zu verstehen, welche Unterschiede die Formate mit sich bringen. Sogenannte offene Formate wie .docx, .xlsx oder .odt enthalten bearbeitbare Dokumente. Wer eine solche Datei empfängt, kann sie zumeist problemlos bearbeiten. Häufig ist dies erwünscht oder sogar notwendig. Offene Dateien können jedoch oftmals auch problematische Inhalte wie Makros oder Scripte enthalten, also kleine Programme, die mitunter schadhafter Natur sein können. Daher werden sie teilweise automatisiert herausgefiltert.

Geschlossene Dateiformate wie .pdf bieten stark eingeschränkte Bearbeitungsmöglichkeiten und sind als Papier-Ersatz gedacht. Hier können sich auch weniger Schadfunktionen verbergen.

Vor diesem Hintergrund gibt es – je nach Anwendungszweck – mehr oder weniger geeignete Dateiformate.

  • Wenn Dateien nur Informationen (wie etwa Pressemitteilungen) transportieren, aber nicht weiterverarbeitet werden sollen, sind Dateiformate wie .pdf geeignet. Sie können mit typischer Bürokommunikationssoftware (z. B. MS Office, LibreOffice) direkt erzeugt werden (beim Speichern das Datenformat "pdf" wählen, oder als "pdf exportieren") – dies sind nur wenige Mausklicks.
    [Hinweis: Ebenso wie in Word-Dokumenten können in solchen PDF-Dateien weiterhin Metadaten enthalten sein, etwa Autorennamen, Überarbeitungen, Uhrzeiten, Versionsverläufe etc. Sie sind daher unter Umständen nicht für eine unmittelbare Veröffentlichung, etwa auf Webseiten, geeignet, sondern müssen entsprechend nachbearbeitet werden.]
  • Auch aus pdf-Dateien lässt sich Text wieder extrahieren – wer wenige Zeilen Text aus empfangenen Dokumenten kopieren muss, benötigt dafür keine Word/Writer-Datei.
  • Sollen die Empfangenden Dateien weiterverarbeiten und zurücksenden (etwa Ergänzungen vornehmen, Einträge hinzufügen, etc.), kann ebenfalls das PDF-Format geeignet sein. Anmerkungen lassen sich mit entsprechenden PDF-Betrachtern bereits in normalen PDF-Dokumenten hinterlassen. Sollen größere Datenmengen abgefragt werden, sind PDF-Formulare sinnvoll.
  • E-Mails als solche sind auch "bearbeitbar", etwa wenn es sich um Ergänzungen im Text handelt, die in eine Antwort eingefügt werden können. Angänge sind dann nicht erforderlich.
  • Vermieden werden sollten Dateien mit Makros, da solche Dateien aus gutem Grund herausgefiltert werden oder die Nutzung von Makros schlicht technisch unterbunden wird. Auch Tabellen lassen sich, wenn es nicht um automatische Auswertungen geht, in unkritischen Dateiformaten wie .csv abspeichern.
  • Sollte der Einsatz von Makros oder Scripten aus funktionalen Gründen notwendig sein, sollten der Einsatz und die zu treffenden Schutzmaßnahmen zwischen Absender und Empfänger abgesprochen werden (etwa Speicherung und Ausführung empfangener Dateien in bestimmten Unterordnern, Software-Signaturen, Passwortschutz von Dateien).
  • Alternativ zur E-Mail können auch gesicherte Datenaustauschportale (der Absendenden, der Empfangenden oder von ihnen beauftragter vertrauenswürdiger Dienstleister) genutzt werden, bei denen Dateien nach Nutzerüberprüfung per Upload/Download übertragen werden, etwa über Webportale: In diesem Fällen ist es unwahrscheinlich, dass es einem Angreifer gelingt, Dateien mit Schadcode dort abzulegen.
Dienstag, 24. März 2020

2: Pressemitteilungen

Plötzlich im Homeoffice - und der Datenschutz? Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert

Datenschutz: Plötzlich im Homeoffice – was nun?

Aufgrund der Corona-Pandemie sollen alle Menschen ihre direkten Kontakte einschränken. Das bedeutet auch, dass die meisten nun zu Hause bleiben. Wann immer es geht, schicken Unternehmen und Behörden ihre Mitarbeiterinnen und Mitarbeiter ins Homeoffice. Auf was muss man achten, um auch zu Hause die Datenschutzanforderungen zu erfüllen?

"Plötzlich im Homeoffice - und der Datenschutz? Die Landesbeauftragte für Datenschutz Schleswig-Holstein informiert" vollständig lesen
Mittwoch, 27. November 2019

3: Vorträge, Vorlesungen, Aufsätze

The Future of IoT: Toward More Secure and Human-Centered Devices

Folien als PDF
Folien als PDF

Talk from Marit Hansen
State Data Protection Commissioner Schleswig-Holstein, Germany

on 27 November 2019

at the Internet Governance Forum (IGF) 2019 in Berlin

 

"The Future of IoT: Toward More Secure and Human-Centered Devices" vollständig lesen
Freitag, 26. April 2019

Warnung vor betrügerischen E-Mails!

Aktuell kursiert eine Schadsoftware-Kampagne in Form von E-Mails mit Hyperlinkfälschungen. Dabei werden E-Mails mit glaubwürdig erscheinenden Betreffzeilen und Inhalten verschickt, die einen gefälschten Link zu vermeintlichen Seiten des Unabhängigen Landeszentrums für Datenschutz enthalten. Hinter diesem vertrauenswürdigen Anzeigenamen (www.datenschutzzentrum.de) versteckt sich ein Link auf eine Schadcodeseite.

Um die Echtheit eines Links zu prüfen, können Sie sich die echte Webadresse anzeigen lassen, indem Sie mit dem Mauszeiger über den Link gehen, ohne zu klicken. Damit können Sie überprüfen, ob dieser Link tatsächlich in Bezug zum ULD steht. In Zweifelsfällen empfehlen wir Ihnen, bei uns nachzufragen.

Donnerstag, 25. April 2019

Vorsicht: Yellow Dots! Versteckte Informationen in Farbkopien

Vorsicht: Yellow Dots! Versteckte Informationen in Farbkopien
PDF-Version des Reports

Yellow Dots, Tracking Dots oder Machine Identification Code – diese Begriffe bezeichnen
mikroskopisch kleine, für das bloße Auge nicht sichtbare und in einem Raster angeordnete
gelbe Punkte, die einen Ausdruck so eindeutig kennzeichnen, dass er bis zum Drucker
zurückverfolgbar ist.

Das Problem ist nicht neu, schon 2004 hat die Firma Canon für die Einbettung einer unsicht-
baren einmaligen Geräte-Kennung den Big Brother Award in der Kategorie Technik erhalten.
„Canon kann z. B. im Auftrag von staatlichen Stellen die Spur einer Fotokopie zu dem einzel-
nen Gerät zurückverfolgen, denn durch Serviceverträge oder Registrierung der Geräte sind
die Standorte dem Hersteller bekannt. […] Leider hat Canon vergessen, einen entsprechen-
den Hinweis auf den Geräten anzubringen. Der Kunde wird über diese Datenspur auf der
Kopie nicht informiert – nicht einmal der Käufer des Gerätes.“

Vierzehn Jahre später hat das Unabhängige Landeszentrum für Datenschutz Schleswig-
Holstein (ULD) das Thema im Zusammenhang mit der Beschaffung eines neuen Multifunk-
tionsgeräts erneut aufgegriffen. Besonders interessant ist die Fragestellung, inwieweit der
datenschutzrechtliche Grundsatz Datenschutz durch Technikgestaltung und durch daten-
schutzfreundliche Voreinstellungen (Artikel 25 DSGVO) in Verbindung mit dem Datenschutz-
grundsatz Transparenz (Artikel 5 Abs. 1 Buchst. a DSGVO) gewährleistet werden kann.

"Vorsicht: Yellow Dots! Versteckte Informationen in Farbkopien" vollständig lesen