Category Archives: Security

968 Millionen Sicherheitslücken – Apps

Die Cyber Forensik und Ausbildungs Forschungsgruppe (Cyber Forensics Research and Education Group (UNHcFREG) der Universität New Haven hat Videos zu Anwendungen bei Youtube veröffentlicht, die die Gefahr mitbringen vertrauliche Daten und Passwörter zu verbreiten.

Die Studierenden um den Assistens-Professor Dr. Ibrahim (Abe) Baggili hatten eine experimentelle Testumgebung aufgebaut, um die Apps zu testen. Getestet wurden Android Apps, darunter befand sich Whats App oder auch Viber.

Obwohl Daten nur von einer zu anderen Person gehen sollten, wurde festgestellt, dass die private Kommunikation von anderen eingesehen werden kann, da die Daten nicht verschlüsselt sind.

Die Details können in den Videos angesehen werden: http://www.youtube.com/user/UNHcFREG

Quelle:
http://www.newhaven.edu/feature-stories/Cyber-Forensics-Group-Reveals-App-Issues-Affecting-968-Million/

USA machen Zugeständnisse – Datenschutz

Wie Viviane Redding, dies mal als Abgeordnete, auf dem Blog Ihrer Partei heute mitteilte, sollen die USA in Datenschutzfragen Zugeständnisse gemacht haben. In einer Besprechung zwischen EU Abgeordneten und dem amerikanischen Botschafter der USA bei der EU soll dieser gesagt haben, dass sich Obama für eine Gleichstellung des Datenschutz zwischen Amerikanern und Bürgern der EU einsetzen will.

Die EU Abgeordneten sollen ebenfalls klar gemacht haben, dass in allen Verhandlungen auch die zum TiSA das Datenschutzniveau der Europäer erhalten bleiben muss.

“Datenschutz sei für Europäer ein Grundrecht und nicht verhandelbar, so die Luxemburgische Abgeordnete.”

Quelle:

http://www.eppgroup.eu/de/press-release/EU-USA/-Datenschutz%3A-USA-macht-Datenschutz-Zugest%C3%A4ndnisse-

Apps zum Thema Sicherheit – Office 365

Mein Office 365 MVP Kollege Michael hat zwei Apps in die Stores gebracht. Wer sich gerne über Office 365 und das Thema Sicherheit informieren möchte, die oder der soll sich diese Apps laden:

Windows Phone:
http://www.windowsphone.com/de-de/store/app/sicherheit-durch-office-365/8ce4ad4b-44b2-48e1-9858-3d5ae60402ee

Windows 8.1 App:
http://apps.microsoft.com/windows/app/sicherheit-durch-office-365/ba51a7c3-d1f3-4cd0-a38d-fa8b88b31988

Kein Auskunftsanspruch gegen Betreiber eines Internetportals

Der VI. Zivilsenat des Bundesgerichtshofes hatte wieder einmal in Bezug auf ein Bewertungsportal vs. des Persönlichkeitsrechtes zu entscheiden. Bei dem vorliegenden Fall klagte ein frei praktizierender Arzt auf Auskunft der Daten eines Verletzenden von dem Bewertungsportal. Der Verletzter hatte auf dem Portal (Sanego) nach dem Kläger unwahre Tatsachenbehauptungen veröffentlicht. Der Portalbetreiber löschte die Bewertung, diese erschien aber erneut für einige Monate sichtbar.

Im zweiten Rechtszug entschied das OLG Stuttgart auf das Bestehen eines Auskunftsanspruch gemäß den allgemeinen Vorschriften §§ 242,259,260 BGB, denn § 13 VI Satz 1 TMG schließe den allgemeinen Auskunftsanspruch nicht aus, so das Gericht dogmatisch am Gesetz begründet.

Im dritten und letzten Rechtszug entschied der BGH abweichend vom OLG Stuttgart. Der BGH begründet dies mit der Aussage, dass in Ermangelung einer Ermächtigungsgrundlage nach § 12 II TMG Betreiber von Telemedien grundsätzlich nicht befugt “ohne Einwilligung des Nutzers dessen personenbezogenen Daten zur Erfüllung von Auskunftsansprüchen wegen einer Persönlichkeitsverletzung an den Betroffenen übermitteln darf”.
Weiter begründet er dies mit der Zweckbindung von § 12 II TMG, der für die Auskunft eine gesetzliche Schranke vorschreibt oder der Nutzer müsste einwilligen (vorher).

Der Zivilsenat urteile konkret laut Pressemitteilung:
“Der Betreiber eines Internetportals ist in Ermangelung einer gesetzlichen Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 Telemediengesetz grundsätzlich nicht befugt, ohne Einwilligung des Nutzers dessen personenbezogene Daten zur Erfüllung eines Auskunftsanspruchs wegen einer Persönlichkeitsrechtsverletzung an den Betroffenen zu übermitteln”, so die Begründung der Karlsruher Richter. Eine Vorschrift, die dies ermögliche, habe der Gesetzgeber “bisher – bewusst – nicht geschaffen.”

Rechtsschutz können Betroffene von persönlichkeitsrechtsverletzlichen Inhalten über einen “üblichen” Unterlassensanspruch ( z.B. § 1004 BGB) gegen den Dienstanbieter erhalten, den das OLG ebenfalls bejahte. “Darüber hinaus darf der Diensteanbieter nach § 14 Abs. 2, § 15 Abs. 5 Satz 4 Telemediengesetz (TMG) auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestands-, Nutzungs- und Abrechnungsdaten erteilen, soweit dies u. a. für Zwecke der Strafverfolgung erforderlich ist.”

Wichtig: Es handelt sich hier um ein zivilrechtliches Verfahren vor dem Bundesgerichtshof. Der Kläger hatte keine Strafanzeige gestellt und so nicht den Weg über die Strafgerichte eingeschlagen.

Quelle:
Urteil vom 1. Juli 2014 – VI ZR 345/13

Pressemitteilung des BGH Nr. 102/2014
http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2014&Sort=3&nr=68159&pos=0&anz=102

Rechtszug zum BGH:
LG Stuttgart – Urteil vom 11. Januar 2013 – 11 O 172/12

OLG Stuttgart – Urteil vom 26. Juni 2013 – 4 U 28/13

BGH – Urteil vom 1. Juli 2014 – VI ZR 345/13

Verschlüsselungstechniken – Outlook.com + OneDrive

Microsoft kündigte heute folgende Neuerrungen an und reagiert damit auf die erhöhten Bedürfnisse von Benutzern im Hinblick auf Datenschutz & Sicherheit.

Transport Layer Security (TLS) Verschlüsselung für ein- und ausgehende Emails bei Outlook.com
Forward Secrecy (PFS) – für die Versendung von Emails zwischen verschiedenen Anbietern.
“weite Partnerschaften mit der Deutschen Telekom, Yandex, Mail.Ru und vielen anderen sollen sicherstellen, dass Mails im Transit zwischen Microsoft und anderen großen Dienst-Providern verschlüsselt bleiben.”
Forward Secrecy (PFS) – für den OneDrive. Zur verschlüsselten Nutzung des OneDrive via Browser, App oder klassischem Client.

“Durch Forward Secrecy wird für jede Verbindung ein anderer Sitzungsschlüssel verwendet”, so Microsoft.

Quellen:

Deutsch:
http://blogs.technet.com/b/microsoft_presse/archive/2014/07/01/microsoft-baut-verschl-252-sselungstechniken-f-252-r-outlook-com-und-onedrive-aus.aspx

Englisch:
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/06/30/advancing-our-encryption-and-transparency-efforts.aspx

Office 365 Fort Knox Encrypted Storage

Das Thema Datensicherheit und damit auch die Datenverschlüsselung nimmt gerade bei Unternehmen, aber auch immer mehr bei Privatpersonen einen wichtigen Stellenraum ein.

Microsoft arbeitet diesbezüglich weiter und führt für Office 365 die “Fort Knox Encrypted Storage” ein. Als MVP habe ich diese Neuerung schon ersehnt.

Fort Knox Encryption: (Security by Design)
Bei dieser Form der Verschlüsselung werden die Daten verschlüsselt im Azure Blob-Speicher gespeichert. Der Zugriff erfolgt über den SharePoint. Wenn also eine Datei gespeichert wird, dann werden diese in mehrere Fragmente aufgeteilt und jedes mit einem eigenen AED 256-Bit-Verschlüssel verschlüsselt. Jedes Fragment wird in getrennten Azure Storages gespeichert, die bei Bedarf generiert werden.

Hauptschlüssel.. (folgt)
Video: “From Inside the Cloud: Is your Data Safe at Rest?”
https://www.youtube.com/watch?v=S4QqQG8tTSg

https://youtu.be/Jt3TYFOqEbI

Quelle:
http://www.microsofttrends.com/2014/05/26/technical-details-on-office-365-fort-knox-encrypted-storage/

[Nachlese] Office 365 Konferenz in Köln 25.04.2014

Am 25.04.2014 fand bei Microsoft in Köln eine Konferenz zum Thema Office 365 und New Era statt. Die rund 40 Teilnehmerinnen konnten im Laufe des Tages nicht nur verschiedene Sessions besuchen, sondern auch mehrere MVPs treffen.

MVPs bei der Begrüßung

Vor Ort waren folgende MVPs:

Kerstin Rachfahl und Carsten Rachfahl
Markus Widl
Michael Krist
Martin Geuss
Raphael Köllner

Damit waren alle 4 deutschen Office 365 MVPs vor Ort und zwei MVPs aus anderen Bereichen. Diese doch besondere Angebot nutzen die Teilnehmerinnen nicht nur in der FAQ-Session am Ende des Tages, sondern auch bei jeder Pause oder beim Catering aus.

Martin Geuss #Dr.Windows im Gespräch

Der Tag begann mit Martin Geuss Vorträgen zum Thema New Era.

Martin, alias Dr. Windows, übernahm die Einführung und auch die Keynote der Konferenz. Er berichtete über die aktuelle Situation am IT-Markt und in der Gesellschaft. So sprach er von Digital-Natives und Prosumern. Das Publikum beteiligte sich rege und lauschte bis zum Mittagessen gespannt dem sehr guten Vortrag.

Dr. Windows beim Vortrag

Im Anschluss übernahm Markus Widl das Zepter und hielt einen hervorragenden Vortrag zum Thema Better together: Microsofts Cloud-Dienste im kombinierten Einsatz und führte die Teilnehmer tiefer in die Welt der Cloud-Dienste und Office 365. Besonderen Augenmerk legte er auf die Zusammenarbeit der Dienste und nahm als Beispiel die massenweise Verteilung der Office Desktop Programme aus Office mit Intune über Clients hinweg.

Markus beim Vortrag

In direkter Übergabe übernahm Kerstin Rachfahl den Staffelstab und beeindruckte mit einem hervorragenden Vortrag zum Thema Office 365- aber sicher. Mit wenigen Schritten führte sie die Teilnehmerinnen am Beispiel der Email mit RMS zu einer Verschlüsselung einer versendeten Email. Hier wurde schnell klar, mehrere Browser mit mehreren Office365 Accounts führen bei Office365 Demos zum Ziel.

Fazit des Vortrages: Nicht nur die Artikel 28 Arbeitsgruppe hat die Verträge im Rahmen von Office 365 geprüft und für gut befunden, sondern auch wir haben gemeinsam alleine mit Boardmitteln eine verschlüsselte sichere Umgebung erschaffen.

Kerstin Rachfahl mit Office 365 aber sicher

Als letztes reihte ich mich ein und übernahm den verletzen Punkt der Tagesordnung. Ich konzentrierte meinen Vortrag auf den Punkt des Social Enterprise mit SharePoint Newsfeed und Yammer. Da bis auf eine Person im Publikum kein Social Enterprise Tool nutze übernahm ich spontan die Einführung in die Nutzung und gab Anregungen diese oder auch andere Tools einmal im Unternehmen zu testen. Das Thema Compliance wurde auch hier groß geschrieben. Ein Einsatz hat technische und juristische Hürden zu überwinden, aber mit einer guten Planung und guten Backup (Juristen, ITLer) kann eine Einführung zum Kinderspiel werden, welche hervorragende Ergebnisse in der Kommunikation und im Projektablauf zeigt.

Raphael Köllner mit Social Enterprise & Compliance im Unternehmen

Unsere FAQ – Session fand ebenfalls einen sehr guten Anklang. Hier konnten die Teilnehmerinnen allen 4 deutschen Office365 MVPs Fragen stellen und bekamen direkt eine Antwort. Die geballte Kompetenz zeichnete sich aus, so dass alle Fragen geklärt werden konnten.

deutsche Office 365 MVPs an einem Ort – FAQ Session

Zu guter Letzt haben wir noch ein kleines Gewinnspiel veranstaltet und neben Taschen und Kartenspielen (Tablets) auch fünf von Markus Widls Buch: Office 365 – Das Praxishandbuch verlost. Hier danken wir dem Verlag Galileo und Markus für das Sponsering!

Gewinner mit Markus Buch

Informationen:
Webseite: www.office365-on-tour.de
Twitter-Tag: #O365Tour

Fotos: Tim Dobrand

Umfrage Trusted Cloud Europe bis zum 02.05

Noch bis zum 02.05.2014 kann man an einer Umfrage/Diskussion der EU Kommission teilnehmen.

Teilnahme per:

on the web,
by email,
or join the online discussion

Über die Trusted Cloud Europa, welche durch die europäische Cloud -Partnerschaft ( ECP) vorbereitet wurde, sollen Optionen für die Europäische Kommission vorschlagen und erarbeitet werden. Ziel ist es, dass öffentliche und private Organisationen in Europa, die Cloud-Services nutzen oder vertreiben eine sichere und vertrauenswürdige Umgebung in Europa geschaffen wird.

Die Europäische Kommission will Europa als vertrauenswürdigen Bereich für Cloud Computing zu etablieren , aufbauend auf Europas Ruf für hohe Datenschutzstandards , die Sicherheit und für die Handhabung von öffentlichen Dienstleistungen und Transparenzfragen, so die Webseite.

Informationen:
Trusted Cloud Europe proposal
European Cloud Partnership (ECP) Steering Board
2012 European Cloud Strategy.

“Aber es könnte mehr getan werden, um die Voraussetzungen zu schaffen – rechtliche, technische am Markt, so dass das Cloud Computing in Europa gedeihen kann und die Bedenken zerstreut werden und Hindernisse für eine breite Cloud- Annahme entfernen werden. Das neue Trusted Cloud Europa als Vorschlag ist ein greifbares Ergebnis der europäischen Cloud- Partnerschaft ( ECP). Es ist ein Lenkungsausschuss, welches als ein Beratungsgremium der Kommission, eine Aktion der Umsetzung der 2012 European Cloud-Strategie vorschlägt und setzt.”, heißt es weiter auf der Webseite.

Quelle:
https://ec.europa.eu/digital-agenda/trusted-cloud-europe-survey

Call for Papers zum 14. Deutschen IT-Sicherheitskongress

Ich berichte Euch immer wieder über die verschiedensten Kongresse gerade aus dem Schwerpunkt IT Recht mit IT-Technik Bezügen , die ich entweder selber besuche, als Dozent auftrete oder sogar selber als Organisationsleiter beschäftigt bin.

Nun möchte ich gerne die Möglichkeit weitergeben:

Das Bundesamt für Informationstechnik (BSI) hat den Call for Paper für den 14. Deutschen IT-Sicherheitskongress gestartet. Einsendeschluss ist der 31. August 2014.
Email: papers2015@bsi.bund.de

Themengruppen:

Standards und Prüfverfahren (z.B. IT Zertifikate etc)
sichere Identität (z.B. De-Mail, Basistechnologien, IDM, etc)
Cyber-Security (z.B. Cyber-Angriffe, Schutz kritischer Infrastrukturen, Malware Protection, etc)
Sicherheit von Plattformen und Netzen (z.B. sichere Verschlüsselungen, Trusted Plattform module, etc)
Management von Informationssicherheit (z.B. IT-Sicherheitsteams, Benchmarking und Messbarkeit von Informationssichrheit, etc)
Industrielle Sicherheit (z.B. Sicherheit von Industrie 4.0, Embeeded Security etc)
Sichere mobile Kommunikation (z.B. Schutzmaßnahmen in mobilen Endgeräten, etc.)
Gewährleistung von Hochsicherheit (z.B. Anforderungen und Prüfmethoden, etc)
Sicherheitskultur in der digitalen Gesellschaft (z.B. IT Sicherheit für Bürgerinnen, Smart Home, etc – geht in die Richtung Digitale Agenda der EU Kommission)
IT-Sicherheit und Recht (z.B. rechtliche Anreize als Regelungsinstrument zur Förderung von IT Sicherheit, etc)
Sicheres Cloud Computing (z.B. Auditierung von Cloud-Anbietern, Best Practise und neue Ansätze, etc)

Die Konferenz findet vom 19. bis 23. Mai 2015 in Bad Godesberg bei Bonn statt. Diese richtet sich an ein breites Publikum von Fachbesuchern aus der IT-Welt und der juristischen Welt.

Alle Informationen, sowie genauere Inhalte findet Ihr hier:
https://www.bsi.bund.de/DE/Aktuelles/Veranstaltungen/IT-Sicherheitskongress/IT-Sicherheitskongress_node.html

Ich selber werde mich auch für drei Kategorien bewerben und hoffentlich sehen wir uns dann in Bad Godesberg und nicht nur als Besucher.

Google ändert Google Terms of Service – lesen aller Emails

Google hat deine Nutzungsrichtlinien geändert. Was von vielen schon vermutet wurde steht nun genau in den Nutzungsrichtlinien von Google.

Google scannt alle eingehenden und ausgehenden Emails sobald diese auf den Google Server gelangen. Das automatische System analysiert die Inhalte des Google-Accounts, um die persönlich relevanten Produkteigenschaften, wie individuelle Suchergebnisse, individuelle Werbung, Spam- und Malware- Erkennung zu schaffen.

Google-Mail Nutzer sehen in diesem Vorgehen einen Verstoß gegen das Bundes- und Landesdatenschutzgesetzes. Google reagierte damit, die Nutzungsbedingungen zu ändern und mit der Nutzung gleichzeitig eine Einwilligung für das Scannen einzuholen.

Laut SocialTimes wird in den USA aktuell eine Sammelklage von Hunderten/Millionen E-Mail Benutzern vorbereitet, die dies klären soll. Ein US Gericht soll dies bereits vorbereiten.

Zum Nachlesen:

Abschnitt 5 your Content in our Servics in der Mitte (3 Absatz)

“Our automated systems analyze your content (including emails) to provide you personally relevant product features, such as customized search results, tailored advertising, and spam and malware detection. This analysis occurs as the content is sent, received, and when it is stored.”

Quelle:
SocialTimes
http://socialtimes.com/google-updates-tos-inform-users-reads-email_b146859

Google Terms of Services
https://www.google.com/intl/en/policies/terms/