Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440. Weitere Details und Link zum Microsoft Security Advisory 4053440 finden Sie im Blogbeitrag.
Emotet ist zur Zeit in aller Munde: Wer schon immer mal prüfen wollte, wie der eigene Mailserver auf risikoreiche Datei-Anhänge reagiert, kann dies mit einem Service von Heise nun testen. Zur Auswahl stehen verschiedene Arten von Bedrohungen, die man sich an die eigene Mail-Adresse schicken lassen kann. Doch Vorsicht: Bei dienstlich oder geschäftlich genutzten Email-Adressen sollten Sie das nicht ohne Rücksprache mit Ihrer IT machen. Mehr Infos und den Link zum Versand der Test-Emails im Blogbeitrag.
Das Prüfsiegel "Kommunale IT-Sicherheit" des Landesamt für Sicherheit in der Informationstechnik in Nürnberg kann mittels des ISMS Arbeitshilfe der Innovationsstiftung bayerische Kommune erworben werden. Gerne unterstützen wir als Autoren der Arbeitshilfe beim Erreichen der notwendigen Vorgaben für Ihre Organisation. Details zum Siegel und der Arbeitshilfe finden Sie im Blobeitrag.
Wieso das Verzeichnis von Verarbeitungstätigkeiten rein nach Art. 30 DSGVO in der Praxis wenig Sinn macht, lesen Sie in unserem Blogbeitrag. Wie haben ein Muster / eine Vorlage Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO erstellt und beigefügt, das weitere Anforderungen der DSGVO abdeckt wie Auftragsverarbeitung (Art. 28), Informationspflichten (Art. 13, 14), DSFA etc.
Checkliste / Vorlage / Formular / Muster Technische und organisatorische Maßnahmen (TOM) des Dienstleisters zur Auftragsverarbeitung Art. 28 + 32 DSGVO. Word-Formular (click & dirty) zum einfachen Ausfüllen und zur Dokumentation der Überprüfung. Neben der Dokumentation des Schutzniveaus des Dienstleisters kann dieses Formular auch die TOM der eigenen Organisation dokumentieren. Im Verzeichnis der Verarbeitungstätigkeiten muss diese Übersicht dann nur noch referenziert werden, statt dort alle Details konkret erneut für jedes Verfahren anzuführen. Kostenfreier Download, kostenfreie Nutzung. Viel Spaß damit.
Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. a.s.k. Datenschutz durfte den Prozeß als externer Berater begleiten. Jetzt heißt es, das Informationssicherheitskonzept zu betreiben und mit Leben zu erfüllen. Mehr im Blogbeitrag.
Microsoft meldet eine aktuelle Bedrohung mit Schwerpunkt Europa über eine ältere Schwachstelle CVE-2017-1182 in Microsoft Office. Ein präpariertes RTF Dokument infiziert das System mit einem Backdoor-Trojaner.
Art. 38 Abs. 6 DSGVO regelt, dass Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden sind. Wer darf zum Datenschutzbeauftragten bestellt werden? Lesen Sie die Details über die Vermeidung von Interessenskonflikten bei der Bestellung eines Datenschutzbeauftragten in unserem Blogbeitrag
Es ist ein Kreuz mit den Passwörtern. Kommt man langsam zwar von den unsicheren Komplexitätsregeln und Wechselintervallen - endlich - ab, so hat man als Anwender immer noch mit einer Vielzahl an Passwörtern zu kämpfen. Denn es ist schon was Wahres dran, wenn es heißt, nicht für alle Anmeldungen und Accounts das selbe Passwort zu verwenden. Ist nämlich einer gehackt, sind damit auch alle anderen Zugänge gefährdet, die das selbe Passwort verwenden. Und im Laufe seines digitalen Lebens sammelt ein Anwender Zugangsdaten wie früher andere Leute Briefmarken. Sich diese alle zu merken, mag dem einen oder anderen gelingen. Uns und wohl den meisten anderen Anwendern wird dies schwer fallen. Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass. Wie dieser zu installieren und zu bedienen ist, welche Einsatzmöglichkeiten ein solcher Tresor bietet und wieso man von Online-Diensten für die Passwort-Verwaltung besser die Finger lassen sollte, erfahren Sie in unserem Blogbeitrag inklusive ausführlicher PDF Anleitung zu Installation und Nutzung von Keepass. Feel free to download!
Meistgelesen
Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen 
Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster 
Rechnung per Email versenden und der Datenschutz 
Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren 
Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
