 |
| Die besten Shortcut für Ihren Büroalltag |
 |
| Spam Filter- richtig nutzen |
Erst vergangene Woche hatten wir wieder eine Anfrage nach einem "Pentest" auf dem Tisch. In solchen Fällen sprechen wir mit dem Kunden und erarbeiten als erstes gemeinsam mit diesem, was dieser (oder sein Auditor) unter einem "Pentest" genau versteht, wie der Umfang und was das genaue Ziel der Überprüfung sein soll (Definition & Scope).
 |
| Penetrationstest oder Schwachstellenanalyse? Wir klären auf. |
Dieses Vorgehen hat sich in den vergangenen Jahren aus drei Gründen bewährt:
 |
| yourIT warnt vor Phishing-Attacken im Corona-Umfeld |
Immer mehr Unternehmen aus Deutschland setzen Cloud-Dienste ein. Drei von vier Unternehmen nutzten im Jahr 2019 Rechenleistungen aus der Cloud, im Vorjahr waren es 73 Prozent und im Jahr 2017 erst 66 Prozent, so der Cloud-Monitor 2020 des Digitalverbands Bitkom. Gegen die Verwendung von Cloud-Services spricht, dass es zu unerlaubten Datenzugriffen in der Cloud kommen könnte. Außerdem besteht eine gewisse Rechtsunsicherheit, von der 60 Prozent der Unternehmen berichten, die sich bisher gegen Cloud-Lösungen entschieden haben.
Diese Unsicherheit hinsichtlich der Rechtslage erstreckt sich auch auf so beliebte Dienste wie Office-Lösungen aus der Cloud. Hier ist insbesondere Microsoft Office 365 zu nennen. Selbst Aufsichtsbehörden für den Datenschutz machen deutlich, dass es zum Datenschutz bei Office 365 Unklarheiten gibt. So lautete das Fazit des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen im Juli 2019: Microsoft Office 365 an Schulen einzusetzen, ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.
In einer zweiten Stellungnahme im August 2019 erklärte die Aufsichtsbehörde dann: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.
Auch im Jahr 2020 wurden die Fragen zum Datenschutz bei Office 365 nicht eindeutig geklärt. Die Aufsichtsbehörden in den Bundesländern haben dazu noch keine vollständig einheitliche Linie gefunden. Doch was bedeutet das für Unternehmen und für Nutzer?
Natürlich sollte es Unternehmen und Nutzer aufhorchen lassen, wenn sich die Aufsichtsbehörden für den Datenschutz so ausführlich und detailliert mit den Datenschutzfragen eines bestimmten Cloud-Dienstes befassen. Einerseits ist dies der hohen Verbreitung von Office 365 geschuldet, die die Relevanz der Datenschutzfragen erhöht. Andererseits gibt es nach Ansicht aller Aufsichtsbehörden für den Datenschutz in Deutschland ein „erhebliches datenschutzrechtliches Verbesserungspotenzial“ bei Office 365.
Die Nutzungsbedingungen von Microsoft machen demnach nicht ausreichend klar, welche nutzerbezogenen Daten Microsoft wie verarbeitet. Die Aufzeichnung und Nutzung der von Microsoft erhobenen Telemetriedaten weist Unklarheiten auf. Es ist für die Datenschützer unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange es diese Daten speichert. Die Weitergabe von Nutzerdaten an Unterauftragnehmer ist nicht ausreichend geregelt.
Die Aufsichtsbehörden haben deshalb beschlossen, eine Arbeitsgruppe einzurichten, die Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Unternehmen und Nutzer tun also gut daran, die Nutzungsbedingungen und die Datenschutzerklärung zu Office 365 im Auge zu behalten. Die Aufsichtsbehörden für den Datenschutz fordern hier viele Anpassungen und Klarstellungen, damit der Datenschutz-Grundverordnung (DSGVO) der EU Genüge getan wird.
Mit der Cloud kann sich vieles ändern
Office 365 ist ein wichtiges und gutes Beispiel, warum der Wechsel hin zu einem Cloud-Dienst nicht leichtfertig geschehen sollte, sondern Prüfungen vorab und auch während der Nutzungsphase nach sich ziehen muss. Denn der Datenschutz lässt sich nicht einfach als gewährleistet annehmen.
Die früher lokal installierten Office-Programme und eine Office-Lösung aus der Cloud mögen ähnliche oder die gleichen Funktionen haben. Für den Datenschutz jedoch und für die Nutzerdaten bedeutet es einen großen Unterschied, ob eine Anwendung lokal oder über eine Cloud genutzt wird.
Die DSGVO verlangt, dass Unternehmen nur solche Cloud-Anbieter beauftragen, die ausreichende Garan-tien bieten, dass sie den Datenschutz nach DSGVO einhalten. Dies zu überprüfen, muss vor der Ent-scheidung für einen Cloud-Dienst geschehen. Und da sich Cloud-Dienste schnell in Funktionen und Nut-zungsbedingungen verändern können, muss eine solche Prüfung auch während der Nutzung stattfinden.
Der Weg in die Cloud scheint einfach und bequem zu sein. Ein Webbrowser kann schon ausreichen. Doch die Folgen für den Datenschutz zu prüfen, ist komplex und nicht zu vernachlässigen. Das sollten Unternehmen beim Für und Wider von Cloud Computing stärker bedenken als bisher.
Bei Fragen zu diesem und vielen anderen Themen, kontaktieren Sie uns! Wir beraten Sie gerne!
 |
| yourIT informiert die Wirtschaftsministerin über den Genehmigungsstau bei der Digitalisierungsprämie Plus |
Die ersten Eingangsbestätigungen kamen kurz vor Weihnachten mit dem Hinweis: "Die Prüfung Ihres Antrags wird noch einige Zeit in Anspruch nehmen. Von Rückfragen bitten wir daher abzusehen ...". Das ist jetzt auch wieder über 2 Monate her - ohne dass sich irgendwas getan hat. So wird's nichts mit der Digitalisierung!
yourIT-Geschäftsführer Thomas Ströbele hat nun die Initiative ergriffen. Auf dem Politik-Talk zur Landtagswahl 2021 des BVMW - Bundesverband mittelständische Wirtschaft fragte er die sichtlich erstaunte Wirtschaftsministerin und Landtagskandidatin der CDU Frau Dr. Nicole Hoffmeister-Kraut nach Möglichkeiten, zum Genehmigungsstau bei den Anträgen. Wann erhalten die Unternehmen endlich ihre Zusagen?
Hier das Video, in dem die Moderatorin Katrin Plewka die Anfrage von yourIT der Wirtschaftsministerin vorliest.
Wir zitieren aus dem Artikel "Wenn's hakt und ruckelt" aus der heutigen Hohenzollerische Zeitung - Südwest Presse: "Unglaube bei der Wirtschaftsministerin, dann die Beteuerung: "Geben Sie mir die Anträge, ich werde mich darum kümmern, persönlich."
Vielen Dank für diese spontane Unterstützungs-Zusage. Wir fertigen eine Liste uns senden diese zu.
Am Donnerstag 25.02.2021 habe ich auf dem Politik-Talk des BVMW Region Neckar ALB die Wirtschaftsministerin Baden-Württemberg gefragt, weshalb wir und unsere Kunden bereits über 4 Monate (aktuell 19 Wochen!) auf die Genehmigung der vielgelobten Digitalisierungsprämie Plus warten müssen. Sie war darüber sichtlich erstaunt. Ich habe ihre Zusage erhalten, dass ich ihr eine Liste der wartenden Anträge senden darf. Sie würde sich persönlich darum kümmern.
Seit Freitag 26.02.2021 fragen wir bei unseren yourIT-Kunden, denen wir dieses Förderprogramm empfohlen haben, nach Antragsnummer und -datum. Diese sammeln wir auf der Liste an die Wirtschaftsministerin.
Der Fairness halber möchten wir Unternehmen, die (bisher) nicht zu unseren Kunden zählen, die aber auch seit mehr als 2 Monaten auf die Genehmigung der Digitalisierungsprämie Plus warten, die Chance bieten, ebenfalls mit auf die Liste zu gelangen.
Dazu unsere aktuellen Aufrufe über die Sozialen Medien, z.B.
Wer uns bis Freitag 05.03.2021 per E-Mail an digipraemie@yourit.de unter Angabe von Antragsnummer und -datum schreibt, kommt mit auf die Liste. Diese wird unser Geschäftsführer Thomas Ströbele persönlich am Samstag 06.03.2021 an die Wirtschaftsministerin versenden.
Flankierend haben wir am 02.03.2021 Gruppen mit dem Namen "Digitalisierungsprämie Plus" auf Facebook und LinkedIn eröffnet, um z.B. Umfragen starten, Fragen beantworten und weitere Infos zur Digitalisierungsprämie Plus darbieten zu können.
Wir freuen uns, wenn wir den augenscheinlichen Genehmigungsstau bei diesem für die Digitalisierung von kleinen und mittleren Unternehmen (KMU) aus Baden-Württemberg dringend erforderlichen Förderprogramm mithilfe der Wirtschaftsministerin dauerhaft lösen können.
Unserer Erfahrung nach sind das häufig Unternehmen, die durch Investitionen in Digitalisierungsmaßnahmen die Folgen der Corona-Krise abmildern möchten. Wichtige Info: Die Digitalisierungsprojekte dürfen nicht gestartet werden, bevor die L-Bank die Genehmigung erteilt hat. Da sind 4 Monate Wartezeit einfach nicht hinnehmbar.
Wir freuen uns über jegliche Unterstützung für diese Aktion!
Mit dem Beginn der SARS-Cov2-Pandemie vor nicht ganz 1 Jahr begann der Siegeszug der Videokonferenzlösungen. Viele Unternehmen schickten ihre Mitarbeiter ins Homeoffice und merkten erst dann, dass ihre Infrastruktur für die Online-Kommunikation zwischen Mitarbeitern und zwischen Mitarbeitern und Kunden überhaupt nicht ausgelegt war.
 |
| Oh, alles rot! Videokonferenztools zeigen Mängel beim Datenschutz |
Das von der Berliner Datenschutz-Aufsichtsbehörde benutzte Ampelsystem...
Von den Berufstätigen arbeitet mittlerweile fast jeder Zweite (49 Prozent) ganz oder zumindest teilweise im HomeOffice, so eine Umfrage des Digitalverbands Bitkom. Nicht alle Unternehmen und Beschäftigten haben sich aus freien Stücken dafür entschieden.
18 Prozent durften vor der Corona-Pandemie gar nicht im HomeOffice arbeiten und machen das jetzt zeitweise (15 Prozent) oder ganz (drei Prozent). Weitere 31 Prozent konnten bereits vorher im HomeOffice tätig sein und tun das jetzt häufiger (17 Prozent) oder ganz (14 Prozent). Nur 41 Prozent der Beschäftigten sagt, ihre Tätigkeit sei grundsätzlich nicht für HomeOffice geeignet.
Keine Frage: Arbeiten im HomeOffice ist eine Entwicklung, die weiter zunimmt und die auch nach den Krisenzeiten bestehen bleiben wird. Für den Datenschutz bleibt dies aber nicht ohne Folgen.
„Für viele Mitarbeiterinnen und Mitarbeiter heißt es gerade: Ab sofort HomeOffice! Viele Unternehmen und Behörden kannten dies bisher gar nicht oder nur in Ausnahmefällen. Deswegen wird vielerorts gerade improvisiert, um den Betrieb am Laufen zu halten und dabei die Bedürfnisse aller Beschäftigten möglichst gut zu erfüllen“, so Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein.
Doch technische und organisatorische Sicherheitsmaßnahmen sind wichtig für das Arbeiten am Computer, mit Papierdokumenten oder auch beim Telefonieren. Für den Fall, dass doch einmal eine Datenpanne passiert, müssen alle Beschäftigten wissen, wem sie dies melden.
Wie der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ermittelt hat, steht es um die Datensicherheit im HomeOffice nicht gut. So findet man wichtige Sicherheitsmaßnahmen bei Weiten nicht an allen heimischen Schreibtischen: Nur 65 % haben ihren Rechner passwortgeschützt, 63 % haben das WLAN passwortgeschützt, 61 % haben ein Virenschutzprogramm installiert, 41 % nutzen E-Mail-Verschlüsselung und 37 % eine VPN-Verbindung. 12 % sagen sogar, sie haben keine Datensicherheit im HomeOffice.
Der Digitalverband Bitkom hat Empfehlungen zusammengestellt, wie das Arbeiten am Schreibtisch daheim sicherer wird, darunter:
Ohne eine solche Datensicherheit kann eine datenschutzkonforme Arbeit im HomeOffice nicht gelingen. Aber selbst mit einer dem Risiko angemessenen IT-Sicherheit gibt es Einschränkungen für die Arbeit im HomeOffice: Nicht alle Tätigkeiten dürfen im HomeOffice geleistet werden, beispielsweise schließen dies einige Auftragsverarbeitungsverträge aus. Die Datenschutzvorgaben müssen weiter eingehalten werden, sie bleiben nicht zurück im Büro, sondern kommen mit ins HomeOffice.
Lösung: Die Antwort 1. ist richtig. Nur wenn das Firmen-Notebook keine Verbindung zum Internet oder ins Firmennetzwerk aufnimmt und keine Speichermedien oder weiteren Geräte angeschlossen werden, könnte man von einem sicheren Notebook ausgehen. Ansonsten müssen die Datenverbindungen und alle Schnittstellen zusätzlich abgesichert werden.
Lösung: Die Antwort 2. ist richtig. Es muss genau festgelegt und geregelt werden, welche personenbezogenen Daten das Unternehmen verlassen und im HomeOffice verarbeitet werden dürfen. Hierzu müssen Verträge und Rechtsgrundlagen überprüft werden. Ebenso muss bedacht werden, dass das HomeOffice mit zusätzlichen Risiken verbunden ist, die ohne entsprechende Gegenmaßnahmen eine Verarbeitung bestimmter Daten nicht möglich machen.
Ein Tipp der Aufsichtsbehörden: Die grundlegende Frage, die Sie sich stellen sollten, ist die, ob Sie überhaupt dringend an Aufgaben mit personenbezogenen Daten arbeiten müssen. Wenn Sie zunächst an Aufgaben ohne Personenbezug und ohne andere sensible Daten arbeiten, können Sie sich an die neue Situation gewöhnen und Erfahrungen sammeln. Dann gewinnen Sie auch Zeit für die Umsetzung der Regeln.
Jetzt Kontakt aufnehmen
Viele Internetnutzer und Betreiber von Webseiten sind genervt, berichtet der Digitalverband Bitkom. Betreiber von Webseiten müssen Prozesse und Formulare für ihre Webangebote einführen, um Cookies auch künftig nutzen zu dürfen. Der Grund: Webseitenanbieter dürfen alle Cookies, die als nicht unbedingt erforderlich gelten, nur mit aktiver Einwilligung setzen.
Für die Internetnutzer bedeutet das: Auf Webseiten erscheinen immer mehr Cookie-Banner, die Nutzerinnen und Nutzer können dort die Einwilligung zu Cookie-Einsätzen geben oder verweigern. Bei den Aufsichtsbehörden für den Datenschutz sind verstärkt Nachfragen von Bürgerinnen und Bürgern eingegangen, was es mit den Cookie-Bannern auf sich hat und wie sie sich verhalten sollen.
 |
| Cookie-Banner- wichtig für den Datenschutz |
 |
| Browser gespeicherte Passwörter - nicht sicher |