Home / Aktuelles & Termine / it.sec blog

Die Bundesregierung will den verwundbaren Finanzsektor besser vor Cyberattacken schützen. Das Bundesfinanzministerium und die Deutsche Bundesbank haben ein Programm Namens TIBER-DE beschlossen, um die Widerstandsfähigkeit von Finanzunternehmen gegen Hackerangriffe zu stärken.

TIBER steht für „Threat Intelligence Based Ethical Red Teaming“ und unterscheidet sich von den üblicherweise durchgeführten Penetrationstests dergestalt, dass sie nicht nur auf Einzelsysteme abzielen, sondern szenariobasiert sind, weniger zeitlichen Restriktionen unterliegen, die reale Bedrohungslage berücksichtigen, Fachbereiche und teils auch Ländergrenzen überschreiten können - und damit realen Angreifern viel näher kommen.

TIBER ist zwar für den Finanzsektor geschaffen, kann aber auch für andere Branchen angewendet werden.

it.sec verfolgt die Entwicklung des Standards von Anbeginn und bietet TIBER Tests auf Basis jahrzehntelanger Erfahrung im Finanzsegment sowie bei Red-Team Assessments vollumfänglich (und mit Referenzen) an.

Mehr Informationen finden sich bei der FAZ und der Deutschen Bundesbank.

Holger Heimann

Geschäftsführer

it.sec GmbH & Co. KG

AppLocker ist eine geläufige Black- bzw. Whitelisting Technologie zur Zugriffsverwaltung auf Applikationen und Dateien durch Benutzer. Mittels AppLocker ist es beispielsweise möglich, den Zugriff auf ausführbare Dateien, Skripte, Windows Installer-Dateien, DLLs (Dynamic Link Libraries), o.ä. einzuschränken. In vielen Fällen wird AppLocker auf gehärteten Windows Systemen eingesetzt, um beispielsweise das Ausführen von Standardprogrammen wie cmd.exe oder powershell.exe zu unterbinden.

 

 

Mit einem einfachen Hack lassen sich AppLocker Einschränkungen jedoch unter gewissen Voraussetzungen umgehen. Dafür ist lediglich ein installiertes .NET Framework auf dem betroffenen System erforderlich. InstallUtil ist ein Tool, das Teil des .NET Frameworks ist und Benutzern die Installation und Deinstallation von Anwendungen über die Eingabeaufforderung ermöglicht. Da InstallUtil von Microsoft signiert ist und im Windows-Ordner vorgefunden wird, ist die Ausführung unter AppLocker standardmäßig erlaubt. Genau diese Tatsache ermöglicht schließlich die Umgehung von bestimmten AppLocker-Restriktionen, wie die Installation von ausführbaren Dateien.

 

 

Beispielsweise kann mit diesem Trick eine PowerShell-Umgebung auf einem System bereitgestellt werden, auf welchem PowerShell grundsätzlich von AppLocker blockiert wird. Der Security Spezialist Casey Smith veröffentlichte hierzu C#-Code (siehe: GitHub-Projekt InstallUtil-Powershell.cs), welcher auf dem betroffenen System mit dem im .NET-Framework enthaltenen Compiler in eine ausführbare Datei kompiliert werden muss. Um eine PowerShell-Umgebung zu schaffen, wird im C#-Code die DLL System.Management.Automation eingebunden. Diese DLL enthält eine Klasse Runspaces, welche die Interpretation und Ausführung von PowerShell-Instruktionen ermöglicht. Durch Überschreiben der Installationsroutine, welche bei Ausführung von InstallUtil aufgerufen wird, erfolgt die Instantiierung eines Objekts der Klasse Runspaces. Nebenbei wird in einer Endlosschleife Benutzereingaben von der von InstallUtil geöffneten Eingabeaufforderung gelesen. Diese Eingaben werden dabei als PowerShell-Befehle vom Runspaces-Objekt interpretiert und auf dem betroffenen System ausgeführt. Sollten auf dem System .exe-Dateien generell von AppLocker blockiert werden, kann der angegebene C#-Code auch als DLL kompiliert werden (siehe: GitHub-Projekt pshell.cs).

 

 

Mit der hier vorgestellten Methode ist es einem Angreifer möglich, beliebige DLLs als auch ausführbare Dateien zu laden und auszuführen. AppLocker-Restriktionen können damit effektiv ausgehebelt werden, was unter Umständen zu einer vollständigen Kompromittierung des betroffenen Systems führen kann. Um einen derartigen Angriff abzuwenden, können beispielsweise AppLocker-Pfadregeln definiert werden. Diese Regeln definieren Pfade, von welchen ausschließlich das Laden von DLLs sowie die Ausführung von ausführbaren Dateien erlaubt ist. Es sollten dabei nur Pfade erlaubt werden, die privilegierte Zugriffsberechtigungen für einen Schreibzugriff voraussetzen. Damit soll verhindert werden, dass Standardbenutzer DLLs oder ausführbare Dateien an definierten Pfaden ablegen und in weitere Folge für Angriffe verwendet werden können.

 

 

Dipl.-Ing. Christoph Leo Mahrl

 

IT Security Consultant

Am 26.07.2019 hat das Security Team der A1 Digital den ersten Hackathon in Wien veranstaltet und ein Team der it.sec Penetrationstester war zur Unterstützung dabei.

 

Ein Hackathon oder auch hack day / hackfest ist ein Event mit einem definierten Ziel bzw. Fokus und kann genutzt werden um verschiedene Projekte und Ziele zu bearbeiten. Hierbei kann der Fokus auf der Entwicklung einer bestimmten Anwendung liegen oder auch auf der Entwicklung verschiedener Anwendungen mit derselben Funktion.

 

Beim Hackathon der A1 Digital wurde jedoch ein anderer Fokus gesetzt. Ziel war es einen Tag lang Seiten aus dem DACH-Raum zu analysieren und Schwachstellen zu identifizieren. Hierbei wurden nur Seiten in den Scope aufgenommen, welche auch eine offizielle Freigabe in Form eines Bug-Bounty-Programms hatten.

 

Neben dem Identifizieren von Schwachstellen ging es natürlich auch um den Austausch von Techniken und Vorgehensweisen sowie das Socializing bei Mate und Pizza.
Der erste Hackathon kann durchaus als sehr erfolgreich gewertet werden. Es wurden sowohl von Mitarbeitern der A1 Digital als auch von Mitarbeitern der it.sec verschiedene Schwachstellen identifiziert. Einige konnten leider nicht ausgenutzt werden oder waren nicht im Scope der Bug-Bounty-Programme, andere jedoch warten aktuell auf eine Bewertung durch den jeweiligen Anbieter - hoffentlich dann auch mit der Auszahlung eines Bounties.

 

Da der erste Hackathon auf ganzer Linie ein Erfolg war, wird es sicher einen 2. Hackathon bei der A1 Digital geben und vielleicht auch einen weiteren bei der it.sec.

 

Wir bedanken uns bei allen Teilnehmern und freuen uns auf den nächsten Hackathon!

 

Michael Bieder, BSc
IT-Security Consultant

LfDI Baden-Württemberg verhängt Bußgeld gegen Polizeibeamten

 

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat ein Bußgeld von 1.400 Euro gegen einen Polizeibeamten verhängt. Damit wurde das erste Bußgeld nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gegen einen Mitarbeiter einer öffentlichen Stelle verhängt.

 

Der Polizeibeamte wollte die Daten einer privaten Zufallsbekanntschaft in Erfahrung bringen und nutzte dafür seine dienstliche Benutzerkennung, um über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten ihres Autos abzufragen. Diese Daten nutzte er wiederum, um bei der Bundesnetzagentur ihre Festnetz- und Mobilfunknummer zu erfragen. Anschließend kontaktierte er die Frau telefonisch. All das geschah ohne dienstlichen Bezug oder Einwilligung der Geschädigten, ausschließlich zu privaten Zwecken. Damit verarbeitete der Polizeibeamte die dienstlich erlangten personenbezogenen Daten rechtswidrig zu privaten Zwecken.

 

Bei der Höhe des Bußgeldes wurde berücksichtigt, dass es sich um einen Erstverstoß handelte und nur eine Person betroffen war. Das Bußgeld ist mittlerweile rechtskräftig.

 

Das zeigt, dass auch für Mitarbeiter öffentlicher Stellen keine Ausnahmen gelten und sie sich genauso an den Datenschutz halten und Bußgelder bei rechtswidriger Datenverarbeitung zu privaten Zwecken befürchten müssen.

 

Britische Datenschutzbehörde kündigt Rekordstrafen an

 

Die britische Datenschutzbehörde will ein Bußgeld von 183,39 Millionen Pfund, das sind umgerechnet etwa 204 Millionen Euro, gegen British Airways wegen Verstoßes gegen die DSGVO verhängen. Das entspricht etwa 1,5 Prozent des weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr und wäre das bislang höchste Bußgeld seit Inkrafttreten der DSGVO.

 

Hacker verschafften sich 2018 Zugriff auf persönliche Daten und Kreditkarteninformationen mit CVV-Sicherheitsnummern von rund 500.000 Kunden, die in einem bestimmten Zeitraum Flüge mit ihrer Kreditkarte bezahlt hatten. Grund dafür waren nach Ansicht der Datenschutzbehörde gravierende Sicherheitsmängel bei British Airways.

 

Auch gegen die Hotelkette Marriott hat die britische Datenschutzbehörde ein hohes Bußgeld angekündigt – 99,2 Millionen Pfund, umgerechnet etwa 110 Millionen Euro. Das entspricht etwa 3 Prozent des weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr.

 

Auch hier wurden bei einem Hack 2018 Kundendaten abgegriffen. Betroffen waren rund 339 Millionen Gästeaufzeichnungen, davon waren allerdings „nur“ 30 Millionen Personen in Europa betroffen.

 

In beiden Fällen handelt es sich bisher nur um eine Ankündigung, d.h. die Unternehmen haben jetzt zunächst die Möglichkeit dazu Stellung zu nehmen. Beide Unternehmen haben bereits angekündigt von dieser Möglichkeit Gebrauch zu machen. Erst im Anschluss entscheidet die Datenschutzbehörde über die endgültige Höhe der Bußgelder. Es bleibt also abzuwarten, was am Ende von den Rekordstrafen übrigbleibt.

 

Datenpanne bei Meldebehörden

 

Parteien, Wählergruppen und andere Träger von Wahlvorschlägen können nach § 50 Abs. 1 BMG von der Meldebehörde Daten von Wahlberechtigten für personalisierte Wahlwerbung erhalten. Wenn man das nicht möchte, muss man dieser Übermittlung der Daten widersprechen, § 50 Abs. 5 BMG. Viele Bürger kennen diese Regelung jedoch nicht, weshalb bei den letzten Europa- und Kommunalwahlen zahlreiche Beschwerden beim LfDI Baden-Württemberg eingegangen sind.

 

In dem Zusammenhang gab es aber auch massive Datenpannen bei den Meldebehörden, die zu rechtswidrigen Datenübermittlungen führten. So wurden Daten von Nichtwahlberechtigten oder Personen, für die Auskunftssperren eingetragen sind, übermittelt. Eine Auskunftssperre kann beispielsweise eingetragen werden, wenn für eine Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann, § 51 Abs. 1 BMG. Durch diese Datenpannen erhielten dann beispielsweise auch Säuglinge und Kleinkinder personalisierte Wahlwerbung.

 

Solche Vorfälle können bereits durch einfache Maßnahmen vermieden oder jedenfalls reduziert werden – wie etwa durch Sensibilisierung und Schulung von Mitarbeitern oder durch Anwendung des Vier-Augen-Prinzips.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Dass Office-Dokumente, die per E-Mail eingehen, nicht vorbehaltlos vom Anwender geöffnet werden dürfen, da sie Schadsoftware beinhalten können, ist mittlerweile schon bekannt. Doch dieses Mal ist nicht die bei Hackern beliebte Makro-Funktion das Problem, sondern die sogenannte Power-Query-Funktion.

 

Mit dieser Power-Query-Funktion ist es nun möglich, dass Daten in dem Excel aus externen Quellen geladen werden. Dies klingt im Grunde nicht schlecht, da damit Preise oder sonstige Daten immer aktuell gehalten werden können. In den Einstellungen ist es auch möglich diese Aktualisierungsrate zu präzisieren. Dabei kann angegeben werden, ob die Datei nur beim Öffnen aktualisiert werden soll oder ob auch während des Bearbeitens der Datei eine Hintergrundaktualisierung laufen soll.

 

Die Sicherheitslücke der Power-Query-Funktion ist für einen Angreifer nicht schwierig auszunutzen. Beim Einbinden der externen Quellen, kann ein Angreifer einfach auf eine Schadsoftware verlinken. Je nach Schadsoftware oder Motiv könnte ein Angreifer versuchen, den Computer zu übernehmen, wichtige Daten zu löschen oder zu verändern.

 

Die Power-Query-Funktion basiert auf dem sogenannten Dynamic Data Exchange (DDE) Protokoll. Da Microsoft schon vor längerer Zeit bemerkte, dass DDE genutzt werden kann, um Schadsoftware zu übertragen, wurde Microsoft Excel 2016 mit einem Sicherheitsmechanismus versehen. Ab Excel 2016 muss der Benutzer einen Doppelklick auf die Zelle durchführen, um das Aktualisieren der externen Daten zu ermöglichen. Dieser Sicherheitsmechanismus konnte jedoch schon ausgehebelt werden. Ein Angreifer muss dafür eine ältere Excel-Version mit der schadhaften Power-Query-Funktion generieren und verschicken. Excel 2016 öffnet diese älteren Versionen ohne Probleme, jedoch ohne Sicherheitsmechanismus. Die Bestätigung bzw. der Doppelklick des Benutzers wird bei älteren Versionen nicht benötigt und die Aktualisierung bzw. die Ausführung der Schadsoftware wird automatisch vorgenommen.

 

Von Microsoft wird die Power-Query-Funktion nicht als Sicherheitslücke angesehen. Somit wird laut Mimecast derzeit kein Fix angeboten, sondern nur ein Workaround, um der potenziellen Schadsoftware aus dem Weg zu gehen.

 

Der Workaround von Microsoft empfiehlt die Deaktivierung der Power-Query-Funktion. Dafür gibt es zwei Möglichkeiten. Eine Möglichkeit wäre es die Funktion über die Benutzeroberfläche zu deaktivieren. Zweite Variante wäre die DDE-Funktion in der Registry zu deaktivieren. Genaue Vorgehensweise für die Deaktivierung kann direkt im offiziellen Workaround nachgelesen werden.

Kathrin Hufnagl

IT Security Consultant

Auch in Baden-Württemberg wurde nun das erste Bußgeld nach der Datenschutzgrundverordnung (DSGVO) verhängt. Ein Social-Media-Anbieter hat gegen die in Art. 32 DSGVO vorgeschriebene Datensicherheit verstoßen und soll nun eine Geldbuße von 20.000 Euro bezahlen.

Im September dieses Jahres hatte das Unternehmen bemerkt, dass durch einen Hackerangriff personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht wurden. Im Rahmen der Zusammenarbeit mit dem LfDI Baden-Württemberg wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext gespeichert hatte, um die Nutzer durch den Einsatz eines Passwortfilters besser zu schützen.

Dadurch verstieß das Unternehmen jedoch gegen Art. 32 Abs. 1 lit. a DSGVO und die sich daraus ergebende Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.

Die gute Kooperation des Unternehmens wirkte sich bei der Höhe des Bußgeldes positiv aus. Durch die Bereitschaft des Unternehmens bei der Umsetzung der Vorgaben und Empfehlungen konnte die Sicherheit der Nutzerdaten bereits deutlich verbessert werden.

Julia Eisenacher

Consultant für Datenschutz

Diplomjuristin

Das US-Justizministerium hat gegen den nordkoreanischen Staatsbürger Park Jin-hyok Anklage erhoben und veröffentlicht. Jin-hyok soll an mehreren sehr bekannten Cyberangriffen beteiligt gewesen sein. Unter anderem werden ihm ein Angriff gegen Sony, die Ransomware "WannaCry" und ein Angriff auf die Zentralbank Bangladeschs zur Last gelegt. Die Anklage lautet somit auf Verschwörung und elektronische Kriminalität (Wire Fraud).

Jin-hyok soll dabei im Auftrag der nordkoreanischen Regierung gearbeitet haben und Teil der Gruppe "Lazarus" sein. Dieser Gruppe werden die oben genannten Angriffe zur Last gelegt. Damit ist der angeklagte Jin-hyok möglicherweise nur ein Teil einer organisierten, im Regierungsauftrag handelnden, Gruppe. So wie es heutzutage in vielen Ländern gängige Praxis und damit ein offenes Geheimnis ist. Eine offizielle Bestätigung dieses Vorgehens hat bis dato aber noch keine Regierung verlauten lassen.

Jede dieser bekannten Attacken verursachte immense Schäden, nicht nur finanzieller Natur. Im Falle des Ransomware-Virus "WannaCry" wurden Hunderttausende Computer in über 150 Ländern lahmgelegt. Der verursachte Schaden wurde auf 4 Milliarden US-Dollar geschätzt und schon damals hat das FBI Nordkorea dafür verantwortlich gemacht. Das beispiellose Ausmaß dieser Attacke wurde sogar von der Europol anerkannt.

Gestoppt wurde „WannaCry“ von dem Briten Marcus Hutchins, der dadurch allerdings selbst verdächtigt und in Gewahrsam genommen wurde. Durch die Anklageerhebung gegen Jin-hyok sollte nun aber dieser Verdacht ausgeräumt sein.

Auch der Angriff auf das Filmstudio Sony Pictures im September 2014 wurde kurz vor einem geplanten Release einer Komödie um das nordkoreanische Staatsoberhaupt Kim Jong-un durchgeführt. Damals hatte Nordkorea gewarnt, die Veröffentlichung dieses Filmes als kriegerische Handlung anzusehen. Es wurden auch hier durch „WannaCry“ riesige Datenmengen vernichtet, vertrauliche Informationen gestohlen und veröffentlicht. Für Sony Pictures entstand gemäß eigenen Angaben ein Schaden von 35 Millionen US-Dollar.

Und auch die verwendete Malware für den Angriff auf die Zentralbank Bangladeschs im Februar 2016 weist genug technische Gemeinsamkeiten mit „WannaCry“ auf, um zu schlussfolgern, dass diese ebenfalls von der "Lazarus" Gruppe stammt. Dabei erlangten die Angreifer die Möglichkeit von der Bank aus Überweisungen zu tätigen. Es wurden 81 Millionen USD auf ihre Konten überwiesen und es hätten noch 850 weitere Millionen Dollar folgen können, wenn die Angreifer nicht einen Tippfehler beim Empfänger gemacht hätten.

Nordkorea streitet jegliche Beteiligung an allen Cyberangriffen ab, jedoch legt das FBI in der 180-seitigen Anklageschrift ihren Ermittlungsstand dar, in dem die Beteiligung der nordkoreanischen Regierung erläutert wird. Da der angeklagte Jin-hyok in Nordkorea lebt und sein Land ihn nicht ausliefern wird, wird er vermutlich nie vor einem amerikanischen Gericht landen. Dennoch setzt die USA ein Zeichen, dass sie hart gegen Cyberkriminalität vorgeht.

Wie groß die Gruppe "Lazarus" tatsächlich ist, ist unbekannt. Die Vermutung, dass Nordkorea nicht das einzige Land mit einer offensiv ausgelegten Hackergruppe ist, liegt nahe. Dass damit jedoch auch weit weniger aufmerksamkeitserregende Angriffe durchgeführt werden können, besser gesagt gemacht werden konnten, ist durchaus realistisch.

Christian Stehle

IT Security Consultant

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss-US Privacy Shield Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31