• 0163 - 70 53 684
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Ein EU-Urteil zum Datentransfer in die USA sorgt für Unruhe in der deutschen Wirtschaft. Ziehen betroffene Firmen nicht die richtigen Konsequenzen, drohen harte Strafen.

Führende Vertreter der Digitalwirtschaft in Deutschland haben sich besorgt darüber gezeigt, dass im Fall der gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ deutschen Unternehmen Bußgelder drohen können.

„Das Quasi-Verbot vieler Datenübermittlungen wirkt sich auf zahlreiche etablierte Geschäftsmodelle aus und verkennt die Realität einer globalen Datenwirtschaft“, sagte Susanne Dehmel, Mitglied der Geschäftsleitung des IT-Verbands Bitkom, dem Handelsblatt. „Die betroffenen Unternehmen können nicht von heute auf morgen ihre Prozesse umstellen, gleichzeitig drohen Strafen von Aufsichtsbehörden – all das führt zu großer Verunsicherung.“

Auch der Verband der Internetwirtschaft Eco zeigte sich alarmiert. Für alle Unternehmen, die auf den freien Verkehr und Austausch personenbezogener Daten angewiesen seien, berge das Urteil des Europäischen Gerichtshofs (EuGH) von Mitte Juli, mit dem das „Privacy Shield“ für nichtig erklärt worden war, „enorme Risiken“, sagte Eco-Geschäftsführer Alexander Rabe dem Handelsblatt.

In dem EU-US-Abkommen wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Daten werden häufig in den USA gespeichert – selbst wenn es sich um Firmen aus Europa handelt. Diese greifen oft auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.

Die Luxemburger Richter begründeten ihr Urteil vor allem damit, dass Überwachungsbefugnisse der US-Behörden zu umfangreich seien. Aus ähnlichen Gründen hatte der EuGH 2015 bereits die Vorgängerregelung „Safe Harbor“ gekippt.

Verbände sehen EU am Zug

Der baden-württembergische Datenschutzbeauftragte Stefan Brink hält nach dem neuen EuGH-Urteil Bußgelder gegen deutsche Unternehmen für möglich. Die Aufsichtsbehörden versuchten derzeit, einen Ausweg aus einer „nahezu unlösbaren Situation“ zu finden, sagte Brink dem Handelsblatt. Andernfalls müsse jedes deutsche Unternehmen geprüft und mit Bußgeld belegt werden, wenn es seine Infrastruktur auf US-Datenverarbeiter aufgebaut habe.

Eco-Geschäftsführer Rabe sieht dringenden Handlungsbedarf. „Die EU muss deshalb möglichst rasch praktikable und nachhaltig verlässliche Lösungen für den Datentransfer in die USA präsentieren und so für Unternehmen wieder Rechtssicherheit schaffen“, sagte er. Dies sei im Interesse der gesamten Wirtschaft in Deutschland und Europa.

Bitkom-Expertin Dehmel appellierte ebenfalls an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen“. Von den Aufsichtsbehörden verlangte sie, die betroffenen Unternehmen jetzt zu beraten und praktische Hinweise zu geben.

 

Das EuGH-Urteil hat laut Dehmel für europäische Unternehmen mit einer Datenverarbeitung in den USA „massive“ Auswirkungen. „Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen“, erläuterte sie. „Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit“, fügte Dehmel hinzu. „Pauschale Lösungen sind bisher kaum in Sicht.“

Nur noch Einzelfall-Transfers auf Einwilligungsbasis möglich

Die EU-Kommission hatte indes betont, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei – denn es gebe noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten.

Der Datenschützer Brink wendet indes ein, dass die „Standard-Datenschutz-Klauseln“ laut EuGH alleine „keine hinreichende Grundlage sein könnten, sondern durch zusätzliche Garantien unterstützt werden müssten“. Das heißt: Es müsse sichergestellt sein, dass US-Behörden nicht im Rahmen ihrer gesetzlichen Befugnisse auf Daten von Europäern bei US-Unternehmen zugreifen.

Brink hält eine solche vertragliche Zusicherung für kaum vorstellbar. „Seit wann kann ein Unternehmen seinem Kunden den Bruch geltenden Rechts seines Landes vertraglich zusichern?“, fragte er. „Mehr als ein Feigenblatt sind auch die Standardverträge also nicht mehr.“

Somit wären nach den Regeln der EU-Datenschutz-Grundverordnung DSGVO nur noch Einzelfall-Transfers auf Einwilligungsbasis oder zur Erfüllung von Einzelverträgen möglich, wie Brink erklärt, also keine regelmäßige Kooperation mit US-Anbietern mehr.

Autor: Dietmar Neuerer, Handelsblatt

Angreifer können Medienberichten zufolge sensible Daten auf Tausenden Servern in Deutschland ausspionieren. Der Grund: Die Server seien fehlerhaft eingerichtet.

Tausende Server in Deutschland sind so fehlerhaft eingerichtet, dass Angreifer darauf sensible Daten ausspionieren können. Das berichten die Wochenzeitung „Die Zeit“ sowie das Computermagazin „c't“ in ihren aktuellen Ausgaben. „Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzerdaten abgreifen“, schreibt die „c't“.

Der Flensburger IT-Sicherheits-Unternehmer Matthias Nehls hatte zuvor rund 41.000 Systeme ermittelt, die fehlerhaft konfiguriert sind. Damit könne man ohne großen Aufwand Codearchive von Programmen auslesen lassen, in denen zum Beispiel Zugangsdaten zu Datenbanken mit sensiblen Daten von Kunden gespeichert sein können. Dabei handelt es sich im so genannte Repositories des Versionskontrollsystems Git.

Wie Recherchen der „Zeit“, der „c't“ und des NDR zeigen, waren von der Schwachstelle auch Server von Dax-Konzernen oder Hochschulen betroffen. Zudem fanden sich unter den betroffenen Systemen auch Server von Mittelständlern, Arztpraxen, Online-Shops und Stadtwerken - und das, obwohl die Problematik seit Jahren bekannt ist.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich davon nicht überrascht. „Viele kleine und mittelgroße Organisationen machen sich um ihre IT-Sicherheit keinen Kopf, da muss es erstmal knallen, bevor sie die richtigen Schutzmaßnahmen einleiten“, teilte Deutschlands Cybersicherheitsbehörde der „Zeit“ mit.

 Die „c't“ empfiehlt betroffenen Anwendern von Git, den Mangel in jedem Fall schleunigst zu beheben. „Wer sich nicht sicher ist, kann einfach http://meine­domain.de/.git/config im Browser aufrufen.“ Zeige der Browser eine Konfigurationsdatei an, sei der Server von dem Problem betroffen.
Autor: dpa, aus Handelsblatt

Wer für jedes Online-Konto ein eigenes Passwort verwendet, kann sich die vielen verschiedenen Kombinationen kaum merken. Passwortmanager helfen dabei, den Überblick zu bewahren. Stiftung Warentest prüft 14 Lösungen und findet auch einen kostenlosen Helfer gut.

Für die Sicherheit ist es wichtig, für jeden Internet-Zugang ein eigenes Passwort zu verwenden. Doch viele Nutzer tippen immer wieder die gleiche Kombination ein, weil sie den Aufwand scheuen oder befürchten, sich nicht alle Passwörter merken zu können. Das ist aber gar nicht nötig, wenn man einen Passwortmanager nutzt. Er verwahrt alle Kombinationen verschlüsselt in einem virtuellen Tresor und Nutzer müssen sich lediglich das Sesam-öffne-dich für die Software merken. Stiftung Warentest hat sich 14 Lösungen angesehen.

Ein guter Manager ist kostenlos

Drei Passwortmanager erhielten die Note "gut", sechsmal gab es ein "befriedigend" und zweimal das Urteil "ausreichend", berichtet die Stiftung in ihrer Zeitschrift "test" (Ausgabe 2/2020). Drei Browser-basierte Lösungen liefen außerhalb der Bewertung.

Den Testsieger Keeper Security (rund 30 Euro pro Jahr) und das zweitplatzierte 1Password (circa 38 Euro pro Jahr) gibt es auch kostenlos, dann allerdings mit eingeschränkten Funktionen. Ärgerlich fanden die Prüfer bei den Testsiegern, dass ihre Datenschutzerklärungen und AGB sehr deutliche Mängel aufweisen. Das führte zu Abwertungen.

Auf dem dritten Platz landete die kostenlose und datensparsame Open-Source-Software KeePass. Ihre Nutzung setzt allerdings etwas Technikwissen voraus. Unter anderem müssen Nutzer die Synchronisation über einen Cloud-Dienst selbst einrichten. Die Software gibt es zwar offiziell nur für Windows, unter keepass.info/download.html findet man aber Drittanbieter-Varianten für andere Betriebssysteme, die ebenfalls Open Source und damit vertrauenswürdig sind.

Am einfachsten zu handhaben ist nach Einschätzung der Warentester Dashlane (40 Euro pro Jahr). Auch das kostenlose Bitwarden erhielt eine Empfehlung. Beide Programme wurden mit "befriedigend" beurteilt.

Schwachstelle Master-Passwort

Der Vorteil eines soliden Passwortmanagers liegt auf der Hand: Er hilft beim Erstellen, Speichern und Verwalten komplexer und guter Passwörter. Bei immer mehr Online-Konten kann man sich schließlich kaum jedes einzelne Passwort merken. Über die Zwischenablage oder Browser-Erweiterungen werden die Anmeldedaten auf Wunsch auch beim jeweiligen Dienst eingegeben.

Die Passwortmanager bringen also mehr Sicherheit und weniger Stress - aber auch ein Risiko. Vergisst man sein Master-Passwort, mit dem die gesammelten Passwörter gesichert sind, ist guter Rat teuer. Da Hacker gewöhnlich nicht in Wohnungen einbrechen, ist es durchaus eine gute Idee, das Master-Passwort aufzuschreiben und an einem sicheren Ort aufzubewahren.

Wichtig ist, dass die Kombination für den Passwortmanager selbst nicht zu einfach zu erraten ist. Einige Testkandidaten erlauben Kennwörter mit weniger als fünf Zeichen. Das hat unter anderem KeePass den Testsieg gekostet, da Warentest solche Manager abwertete.

Browser-Lösungen erfüllen ihren Zweck

Die Tester untersuchten neben den Softwarepaketen auch die Passwortlösungen der Browser Firefox, Safari und Chrome. Alle drei bieten die Speicherung und Verwaltung von Zugangsdaten an.

Apples Safari nutzt dafür zum Beispiel den iCloud-Schlüsselbund und kann damit auf allen Geräten mit aktivem Nutzerkonto Zugangsdaten bereitstellen. Chrome verwendet das Google-Konto. Firefox nutzt den Firefox Account mit dem Synchronisierungsdienst Sync oder das Programm Lockwise.

Nach Ansicht der Tester erfüllen die Passwortmanager im Browser zwar ihren Zweck, sie haben aber einen Nachteil: Will man nicht dauernd zwischen den Browsern wechseln, muss man sich mehr oder weniger für alle Online-Tätigkeiten an einen Browser binden. Eine Note erhielten die Browser-Lösungen nicht. Die Passwortfunktionen ließen sich dafür nicht sauber genug vom Rest des Browsers trennen, so die Warentester.

Quelle: ntv.de, kwe/dpa

 

Wer Windows 10 nutzt, sollte sich unbedingt auch die Datenschutzeinstellungen des Betriebssystems anschauen. Vieles ist Geschmackssache, doch einige Anpassungen sind auf jeden Fall sinnvoll.

Windows 10 hat in Sachen Datenschutz einen fragwürdigen Ruf. Es gibt zwar spezielle Tools, um der Datensammelei von Microsoft beizukommen. Die simpelste Maßnahme ist aber, die entscheidenden Schalter direkt in den Windows-Einstellungen zu betätigen. Weil die Optionen verstreut sind, erklären wir hier einzelne Einstellungen für die Windows-10-Version 1903 und 1909.

Die ersten Maßnahmen führen in die Einstellungs-App von Windows 10, und dort ins Menü "Datenschutz". Die Einstellungen öffnen Sie per Klick auf das Zahnrädchen unten links im Startmenü. Im Prinzip können Sie hier alle Optionen in allen Untermenüs abschalten oder auf die niedrigste Einstellung reduzieren. Allerdings sind nur einige davon essenziell, denn nicht alle beziehen sich auf Datensammelei durch Microsoft.

Wichtig sind die Schalter in den Untermenüs "Allgemein" und "Spracherkennung": Hier können Sie abschalten, dass Ihre Aktivitäten im System von Windows analysiert und mit einer eindeutigen ID verknüpft werden, um Ihnen personalisierte Werbung anzeigen zu können.

Im Untermenü "Diagnose und Feedback" stellen Sie die Diagnosedaten auf "Standard". Sonst können bei Stabilitäts- oder Leistungsproblemen auch persönliche Daten an Microsoft gehen, etwa Dokumente, die beim Absturz geöffnet waren, oder deren Bearbeitung das System arg ausbremst. Zwar fließen auch auf der "Standard"-Einstellung noch Telemetriedaten nach Redmond, doch betreffen diese primär Infos zu Ihrem System und Programmen, und nicht zu Ihrer Person.

Deaktivieren Sie ebenfalls die Schalter vor "Freihand und Eingabe verbessern" und "Individuelle Benutzererfahrung" - sie beeinflussen die Übermittlung von Nutzungsgewohnheiten und Tastatureingaben. Setzen Sie außerdem die Feedbackhäufigkeit auf "Nie".

Im Untermenü "Aktivitätsverlauf" schauen Sie zudem, ob ein Häkchen vor "Meinen Aktivitätsverlauf an Microsoft senden" gesetzt ist - und ob Sie dieses dort gesetzt haben wollen. Dabei geht es um eine Komfortfunktion, die nur im Zusammenspiel mit einer Anmeldung an Windows per Microsoft-Konto funktioniert. Ist sie an, steht per Windows-Taste+Tab ein Aktivitätsverlauf zur Verfügung, der anzeigt, wann Sie was in welcher App getan haben, und zwar auf allen Geräten, die Sie mit demselben Microsoft-Konto nutzen. Dabei landen die Verlaufsdaten allerdings auch bei Microsoft.

Im selben Untermenü finden Sie auch die Option "Meinen Aktivitätsverlauf auf diesem Gerät speichern". Sie ist nicht entscheidend für den Datenschutz gegenüber Microsoft, denn hier geht es lediglich um einen lokalen Verlauf. Ähnliches gilt für das Untermenü "Freihand- und Eingabeanpassung": Ist die Funktion "Mich kennenlernen" an, ergänzt Windows das werksseitig mitgelieferte lokale Wörterbuch um individuelle Eingabedaten, die es aus Ihren Tastatur- und Stifteingaben zusammenstellt. Ob Sie das abschalten, sollten Sie dennoch genau abwägen, denn auch lokale Verlaufsdaten können problematisch sein, etwa wenn Sie bei der Arbeit von fremden Augen beobachtet werden.

Für die Untermenüs im Bereich "App-Berechtigungen" gilt: Schalten Sie es einfach alles ab - sollte eine App doch einmal Zugriff auf eine verweigerte Funktion brauchen, wird sie Sie darauf aufmerksam machen. Bedenken Sie, dass es hier um Store-Apps ("Kachel-Apps") geht; auf klassische Desktop-Programme haben die meisten Einstellungen keine Auswirkung.

Bei den meisten App-Berechtigungen können Sie auch auswählen, wie weitgehend Sie den Zugriff entziehen möchten: systemweit oder nur für Ihr angemeldetes Benutzerkonto. Zudem können Sie die Rechte auch gezielt für einzelne Apps steuern - praktisch, um etwa ausschließlich Skype den Kamera- und Mikrofonzugriff zu erlauben.

Im Untermenü "Hintergrund-Apps" steuern Sie, ob geschlossene Apps Daten übertragen dürfen. Deaktivieren Sie das, empfangen Apps wie Skype und Mail keine Nachrichten mehr, wenn sie zu sind. Datenschutzrelevant ist das allenfalls in ungesicherten WLANs; ansonsten dürfte es einen kleinen positiven Einfluss auf die Akkulaufzeit von Laptops haben.

Tipps und Werbung

Bei anderen Optionen geht es nicht direkt um Datenschutz, sondern um lose gestreute Tipps zu Windows 10, aber auch um Werbung. Um sie loszuwerden, deaktivieren Sie in den Einstellungen unter "System/Benachrichtigungen und Aktionen" die Optionen "Windows-Willkommensseite …anzeigen" und "bei der Nutzung von Windows Tipps …erhalten". Unter "System/Multitasking" schalten Sie "Vorschläge in der Zeitachse anzeigen" ab, sowie unter "System/Zwischenablage" den Zwischenablageverlauf (falls er überhaupt eingeschaltet ist). In "Personalisierung/Start" deaktivieren Sie den Schalter "gelegentlich Vorschläge im Startmenü anzeigen".

Unter "Personalisierung/Sperrbildschirm" können Sie zudem den Hintergrund auf etwas anderes als "Windows-Blickpunkt" umstellen. Diese Funktion versieht den Sperrbildschirm täglich mit schicken Hintergrundbildern, die hin und wieder Werbe-Links zu bestimmten Microsoft-Store-Aktionen mitbringen - ob Sie das abschalten, ist Geschmackssache.

Lokales Benutzerkonto

Sich mit einem Microsoft-Konto an Windows anzumelden, kann Vorteile haben. Die Nutzung über mehrere Geräte hinweg wird komfortabler, weil sich etwa Hintergründe, Ordneroptionen, der Inhalt der Zwischenablage und der Verlauf Ihrer App-Aktivitäten auf alle Geräte synchronisieren lassen. Aus Datenschutzsicht ist es aber bedenklich - die einfachste Methode, das abzustellen, ist ein Wechsel zum lokalen Benutzerkonto.

Sofern Sie nicht ohnehin schon mit einem solchen unterwegs sind, können Sie die Anmeldung ganz einfach umstellen. Öffnen Sie in den Einstellungen das Menü "Konten". Klicken Sie im Untermenü "Ihre Infos" auf "Stattdessen mit einem lokalen Konto anmelden". Dann bestätigen Sie Ihre Identität per Pin oder Kennwort und vergeben Benutzername, Kennwort und Kennworthinweis für den Betrieb als lokales Konto. Wenn Sie den Komfort doch vermissen, können Sie auf gleichem Wege jederzeit wieder auf den Login per Microsoft-Konto umstellen.

Apps, die ein Microsoft-Konto brauchen, können Sie weiterhin verwenden. Der Account bleibt im System hinterlegt. Das bedeutet auch, dass Sie aus Apps wie OneDrive nicht automatisch abgemeldet werden - erledigen Sie das daher im Zweifelsfall nachträglich von Hand.

Wenn Sie sich an Windows nie mit einem Microsoft-Konto angemeldet haben, aber Apps verwenden möchten, die eines voraussetzen, müssen Sie die Windows-Anmeldung nicht umstellen. Tipps dazu lesen Sie in unserer FAQ zum Microsoft-Konto.

Profi-Tipp: Websuche abschalten

Eine Unart, die Sie Windows 10 nur per Registry-Eingriff abgewöhnen können, ist die Websuche im Startmenü: Drücken Sie die Windows-Taste und tippen drauflos, landen Ihre Eingaben bei Microsofts Suchdienst Bing, um Web-Ergebnisse anzeigen zu können.

Um das zu ändern, starten Sie den Registry-Editor (Windows-Taste, regedit, Eingabetaste) und klicken Sie sich zum Schlüssel "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Search" durch. Klicken Sie mit der rechten Maustaste in einen leeren Bereich der rechten Fensterhälfte und wählen Sie "Neu/DWORD-Wert (32-Bit)". Nennen Sie den Eintrag "BingSearchEnabled"; der Wert muss auf Null stehen bleiben. Doppelklicken Sie dann den Eintrag "CortanaConsent" und geben Sie ihm den Wert 0. Nach einem Neustart sollte das Startmenü beim Suchen keine Web-Ergebnisse zeigen und das Cortana-Menü sollte aus den Einstellungen verschwunden sein.

Wer es einfacher haben möchte: Wir von der "c't" haben beide Registry-Schlüssel in eine REG-Datei verpackt, die Sie hier herunterladen können. Allgemein gilt: Bei Änderungen in der Registry sollten Sie sehr vorsichtig sein. Unbedachte Anpassungen hier könnten weitreichende Folgen für Ihr System haben.

Autor: Jan Schüßler (Spiegel)

Kontakt

Wir freuen uns über Ihre Kontaktaufnahme. Sie erreichen uns über das Kontaktformular oder unter der Telefonnummer 0163 - 70 53 684 sowie 040 - 69 70 26 50.

Mitgliedschaft

GDD Mitglied

Zertifizierung

Tüv Zertifikat