Wie DSGVO umsetzen

Wie DSGVO umsetzen?

Die DSGVO – ein bürokratisches Monster?

An vielen Stellen herrscht momentan eine Art von Konfusion, wenn es um das Thema „DSGVO umzusetzen“ sowie um die Bedeutung der DSGVO geht. Während Portale wie heise.de kenntnisreich berichten, scheint anderenorts Verwirrung zu herrschen. Niemand scheint so recht zu wissen, was damit gemeint ist und was hiervon konkret auf die eigene Firma zutrifft. Die DSGVO wird teils als ein bürokratisches Monster dargestellt, welches mit Kanonen auf Spatzen schießt und nicht zwischen einem Großkonzern und einem Kleinbetrieb unterscheidet.

Bei der Umsetzung der DSGVO herrscht Verwirrung

Als Beispiel für die derzeit herrschende Verwirrung möchte ich auf einen Artikel von ZEIT Online eingehen, welcher am 12. Mai erschienen ist.
„Laut der Verordnung muss XXX jetzt einen Datenschutzbeauftragten für seine Sieben-Mann-Firma XXX benennen“, so ein Zitat und gleichzeitig eine Behauptung aus dem Artikel.
Doch: Stimmt dies? Bei XXX handelt es sich um einen kleinen Online-Shop, welcher hochwertige Drucke von Kundenbildern vertreibt. Schauen wir uns doch einmal die entsprechende Regelung der DSGVO über die Notwendigkeit eines Datenschutzbeauftragten an.
Weder sind in dem genannten Shop durchgängig mehr als 10 Personen mit der „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt, noch werden hier „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet. Ebensowenig treffen die in Artikel 35 der DSGVO „Datenschutz-Folgenabschätzung“ genannten Voraussetzungen zu, welche zu einem verpflichtenden Datenschutzbeauftragten führen würden. Sprich: die Angabe in dem ZEIT Online Artikel ist schlechterdings falsch und irreführend.

Viele Vorschriften der DSGVO gab es bereits vorher

Und weiter geht es in dem Artikel.
„Ein Versicherungsvertreter fragt sich zurzeit, ob er seine Kunden überhaupt noch mit Mailings anschreiben darf oder ob er von jedem einzelnen seiner 3.000 Kunden dafür eine Erlaubnis einholen muss.“
Selbstverständlich benötigt er hierfür eine Erlaubnis seiner Kunden – dies war jedoch bereits auch vor der DSGVO der Fall. Der einzige Unterschied ist, dass die Zustimmung zum Newsletterversand nicht mehr mit einem anderen Vertrag gekoppelt werden darf, sondern immer separat und freiwillig erfolgen muss. Wenn keine Zustimmung der Newsletterempfänger vorliegt, hätte der Versicherungsvertreter bereits vor Inkrafttreten der DSGVO abgemahnt werden können. Dem Versicherungsvertreter sei geraten, sich die entsprechende Erlaubnis einzuholen und Newsletter nur noch an die entsprechenden Kunden zu versenden. Und dies vollkommen unabhängig von der DSGVO.

Datenschutz als Firmeninteresse

Als dritter Fall wird in dem Artikel ein Spediteur genannt, welcher über eine entsprechende Software die Ortungsdaten sowie „Spritverbrauch und die Unfallhäufigkeit“ seiner LKW erfasst und auswertet.
„Jetzt aber muss er fragen: Wo dürfen diese Daten künftig gespeichert werden? Er muss Zugriffsrechte an einzelne Mitarbeiter vergeben, statt die Daten in Exceltabellen auf Firmenrechnern abzulegen.“
Auch dies hätte der entsprechende Betrieb schon lange vor der Einführung der DSGVO tun müssen. Der Schutz der hier beschriebenen personenbezogenen Daten war bereits vor der DSGVO im Bundesdatenschutzgesetz geregelt. Die Vergabe von verschiedenen Zugriffsrechten an Mitarbeiter hingegen sollte zum kleinen Einmaleins einer jeden Firmen-IT gehören.

Und auch in den Kommentaren zum Artikel wird fleißig diskutiert (Originalrechtschreibung übernommen): „Typisches EU mir kanonen auf spatzen schiessen.“, „Die Verordnung ist ganz klassisch ein Projekt der Heldenhaften Deutschen Grünen, „Die DSGVO ist genauso ein Skandal wie die EU-Pauschalreiserichtlinie.“, „Die DSGVO wäre für mich fast schon ein Grund für einen Dexit“, „Private Websites und alles was geht abschalten.“. Statt einer sachlichen Diskussion gibt es pauschalisierende Parolen.

DSGVO – viele Firmen sind nicht vorbereitet

Immerhin, eine einzige konkrete und bedenkenswerte Aussage ist in dem Artikel vorhanden:
„Laut einer Umfrage des Versichererverbands GDV von Ende April gaben sogar 56 Prozent der Firmen zu, die DSGVO sei ihnen gar nicht bekannt oder sie hätten sich noch nicht darauf eingestellt. Nur 22 Prozent sagten, sie hätten bereits Vorbereitungen getroffen.“

Dieser Artikel macht folgendes deutlich:

  • Die DSGVO trifft viele Firmen, Journalisten und auch Leser vollkommen unvorbereitet. Und dies, obwohl die DSGVO bereits im Mai 2016 veröffentlicht wurde.
  • Oftmals scheint nicht klar gewesen zu sein, dass auch vor dem Inkrafttreten der DSGVO in Deutschland mit dem Bundesdatenschutzgesetz umfangreiche Regelungen bzgl. des Datenschutzes bestanden. Durch die DSGVO wurde dies nun etwas ergänzt und durch die hohen Strafandrohungen wurden dem ganzen zusätzliche Zähne verliehen.
  • Die oben beschriebenen Punkte führen zu teils vollkommen übertriebenen Reaktionen. Wenn bereits vor der DSGVO Datenschutz gemäß des Bundesdatenschutzgesetzes betrieben wurde, wird sich nicht allzuviel ändern. Wenn dies nicht getan wurde, so lag bereits vor der DSGVO ein Gesetzesverstoß vor.

Was sind die Vorteile der DSGVO?

Überhaupt nicht in der Diskussion werden typischerweise die Vorteil der DSGVO. Dabei sind jene gerade für den Endverbraucher nicht zu mißachten:

  • Es herrscht in der gesamten EU ein einheitliches Mindestniveau im Datenschutz, Verbraucher besitzen EU-weit einheitliche Rechte.
  • Keine Firma kann sich mehr hinter einem außereuropäischen Firmensitz verstecken. Es gilt das Marktorprinzip: entscheidend für die Gültigkeit der DSGVO ist nicht der Firmensitz, sondern der Ort der Leistungserbringung. Auch facebook, google, amazon und co. müssen sich an die Regelungen der DSGVO halten.
  • Diverse Öffnungsklauseln sorgen dafür, dass die DSGVO an landestypische Gegebenheiten angepasst werden kann. In Deutschland ist die genaue Umsatzung beispielsweise der DSGVO beispielsweise im BDSG (neu) geregelt.
  • Es ist zu erwarten, dass die DSGVO – auch durch das Marktortprinzip – früher oder später auch in nicht-EU Ländern zum Standard wird, wenn diese Länder weiter mit der EU Handel treiben möchten.
  • Hackerangriff auf die Bundesregierung

    Cyberangriff auf Bundesregierung: Einfallstor Outlook?

    Lt. eines Berichts der Süddeutschen Zeitung und anderer Nachrichtenportale war wohl Outlook das Einfallstor für die Spionageattacke auf das Netz der Bundesregierung. Konkret wurde Outlook – lt. der in dem Artikel enthaltenen Informationen – wohl zur Steuerung der bereits infizierten Rechner genutzt.

    Outlook – wer liest meine Mails?

    Fernsteuerung von PCs über Outlook: Der Anhang von Mails enthielt in diesem Falle versteckte Steueranweisungen für den bereits auf den jeweiligen PCs aktiven Schadcode. Emails werden von Outlook standardmäßig automatisiert heruntergeladen, was in diesem Falle wohl bereits ausreichend war – ein Öffnen der Mail bzw. des Anhangs durch den Benutzer war wohl nicht erforderlich.
    Auf diese Art und Weise konnten die Angreifer die infizierten PCs „elegant“ (Zitat aus dem verlinkten Artikel) fernsteuern – sie mussten lediglich eine Email an die entsprechende Adresse senden.
    Um es nochmals zu wiederholen: Es reicht bereits aus, eine entsprechend präparierte Email an ein Outlook-System zu senden, um das zugehörige System fernzusteuern.
    Die zu stehlenden Dokumente wurden wohl ebenfalls über Outlook versendet, da die sonst übliche Methode des Datendiebstahls – Aufbau einer verschlüsselten Verbindung zum Empfänger – innerhalb des befallenen Informationsverbund Berlin-Bonn-Netzwerkes blockiert wird.

    Microsoft – ein „verdammtes Pulverfass“?

    Unklar ist wohl noch, wie die Erstinfektion der PCs stattfand. Lt einer anderen Quelle könnte dies über eine Phising-Mail mit einer gefälschten Absenderadresse geschehen sein, in welcher der Empfänger zum Öffnen eines (infizierten) Anhangs – konkret eines Excel-Dokuments – aufgefordert wurde.
    Weiterhin ist nicht bekannt, in welchem Umfang Datendiebstahlt stattfand, welche (auch internationalen) Institutionen betroffen waren und wann der Cyberangriff entdeckt wurde. Dies alles sei, lt. Aussage des Informanten der Süddeutschen Zeitung, „ein verdammtes Pulverfass“.

    Cyberangriffe: Fragen über Fragen

    Der oben beschriebene Ablauf wirft natürlich einige Fragen auf. Denn tatsächlich handelt es sich, sollte dies so stattgefunden haben, um ein „Pulverfass“. Wohlgemerkt: es handelt sich bei den betroffenen Daten nicht um Kochrezepte, Katzenbilder oder Geburtstagslisten, sondern um Staatsgeheimnisse.
    Die Cyberspione machten sich hier wohl eine simple Tatsache und weltweit vorhandene Schwachstelle bzgl. der IT-Sicherheit zunutze: das weltweit im Einsatz befindliche Office-Paket von Microsoft sowohl die Unmöglichkeit für einen Anwender, gut gemachte gefälschte Phishing-Mails zuverlässig und in allen Fällen zu erkennen. Wobei sich die Gefährlichkeit dieser Phishing-Mails erst durch die mangelhafte Sicherheit der verwendeten Microsoft-Produkte ergibt.

    Cyberangriff – was ist das?

    Bisweilen kann der Eindruck entstehen, dass genau diese Art von Frage an verantwortlichen Stellen immer noch gestellt wird. Die Digitalisierung ist in den Köpfen vieler ranghoher, in Regierungsverantwortung stehender Menschen immer noch nicht angekommen – werder deren Chancen, noch deren Risiken.
    Die Welt der Berliner Führungsriege ist großteils immer noch analog. So fallen der neuen Staatsministerin für Digitalisierung, Frau Dorothee Bär, in einem Interview des Heute-Journals beim Thema Digitalisierung beispielsweise als erstes die mittlerweile viel zitierten „Flugtaxis“ ein.

    Closed-Source Software: ein Sicherheitsrisiko

    Ein neutraler Beobachter kann es nur als grobe Fahrlässigkeit betrachten, innerhalb einer Sicherheitszone kommerzielle, weltweit verbreitete Closed-Source Software einzusetzen.
    Die Systemverantwortlichen haben bei einer solchen Closed-Source Software absolut keine Möglichkeit nachzuvollziehen, was innerhalb der Software vor sich geht, wo evtl. Sicherheitslücken bestehen und wie diese Sicherheitslücken zu schließen sind. Vielmehr sind sie auf Gedeih und Verderb dem jeweiligen Softwarehersteller geradezu ausgeliefert. Einem Softwarehersteller, welcher bei einem weltweit verbreiteten System wie dem Office-Paket von Microsoft zwangsweise überfordert ist, sämtliche denkbaren Sicherheitslücken und Cyberangriffsmöglichkeiten zuverlässig zu schließen.

    Nur noch zum Kopfschütteln

    Dies alles ist umso mehr zum Kopfschütteln, da bereits längst zuverlässig funktionierende Open-Source Alternativen zum Microsoft-Biotop bestehen. Thunderbird als Email-Client steht dem Mail-Client Outlook in nichts nach, und auch für die sonstigen Outlook-Funktionen gibt es – wenn sie denn überhaupt verwendet werden – zuverlässige Alternativen.
    Als Alternative für Word und Excel bietet sich die Open-Source Alternative Libre Office an – ein Infektionsweg wie der oben beschrieben wurde, wäre hier schlicht nicht möglich.

    Unternehmen sollten handeln

    Kommerzielle Anwender / Unternehmen sollten sich im Hinblick auf die oben beschriebenen Sicherheitslücken überlegen, ob sie tatsächlich weiterhin kommerzielle Closed-Source Software einsetzen möchten. Auch Firmen besitzen schützenswerte Daten, deren Diebstahl oder Offenlegung fatal wäre – auch wenn es keine Staatsgeheimnisse sind. Verantwortlichen Personen sei angeraten, sich selber einmal die Frage zu stellen was wäre, wenn Konkurrenzunternehmen oder Kriminelle Zugriff auf das Firmennetzwerk mit sämtlichen dort enthaltenen Informationen hätten? Was wäre, wenn Kriminelle alle in Ihrem Firmennetzwerk vorhandenen Daten löschen oder verschlüsseln würden, um hierfür ein Lösegeld zu erpressen? Wäre es nicht lohnend, zur wesentlichen Minderung dieses fatalen Risikos eine kleine Umgewöhnung hinsichtlich der verwendeten Software zu akzeptieren?
    Den ersten Schritt hierzu können Sie bereits heute tun: sprechen Sie uns an.

    Hackerangriff auf die Bundesregierung

    Wie gestern (28.02.2018) bekannt wurde, war das interne Netzwerk der Bundesverwaltung – der Informationsverbund Berlin-Bonn (IVBB) – über einen längeren Zeitraum hinweg (die Rede ist von bis zu einem Jahr) Opfer eines Hackerangriffs. Über das IVBB wird insbesondere die interne Kommunikation der Bundesbehörden abgewickelt. So sind an das IVBB beispielsweise diverse Sicherheitsbehörden, das Bundeskanzleramt, die Bundesministerien sowie der Bundesrechnungshof angeschlossen.
    Hauptziel der Ausspähaktion waren scheinbar das Außenministerium sowie (hier sind die Angaben widersprüchlich) das Verteidigungsministerium.
    Wie mittlerweile bekanntgeworden ist, waren wohl auch andere Staaten von der Ausspähaktion betroffen.
    Der Bundestag, die höchste gewählte demokratische Instanz, erfuhr übrigens aus der Presse von dem Vorfall. Auch das Parlamentarische Kontrollgremium, dessen Aufgabe die demokratische Legitimation und Überwachung der diversen Sicherheitsdienste des Bundes ist, war hiervon lt. Aussagen einiger Mitglieder nicht ausgenommen.
    Noch ist es unklar bzw. nicht veröffentlicht, welche Dokumente und welche Informationen die Angreifer erbeuten konnten.
    Über Identität und Hintergrund der Angreifer kann realistischerweise nur spekuliert werden. Für einen kompetenten IT-Spion dürfte es ein leichtes sein, die Spuren zu verwischen sowie falsche Hinweise zu legen. So ist auch die Vermutung es würde sich um die russische Gruppe APT28 handeln, nicht mehr als eine reine Spekulation.
    Dieser erneute Vorfall bringt die gesamte Misere europäischer IT-Politik zutage. In nahezu der gesamten öffentlichen Verwaltung werden nach wie vor Standardprodukte von der Stange eingesetzt, insbesondere aus dem Hause Microsoft und US-amerikanischen Netzwerkausrüstern wie beispielsweise Cisco. Diese Produkte bieten einem potentiellen Angreifer ein nahezu perfektes Biotop. Sie sind weit verbreitet, einfach zu beschaffen und zu analysieren und unterliegen zudem keinerlei öffentlicher Kontrolle, da der zugehörige Quellcode nicht offengelegt ist.
    Eine einmal entdeckte Sicherheitslücke – ein sog. Exploit – kann zunächst unbemerkt und ohne Abwehrmöglichkeit auf sämtlichen zugehörigen System eingesetzt werden. Bis zur Schließung einer solchen Lücke können wenige Tage bis hin zu mehreren Jahren vergehen, wenn die Lücke anderweitig unentdeckt bleiben sollte.
    Aufgrund der Struktur des Systems „Closed Source“ bleibt Öffentlichkeit bei der Entdeckung und der Behebung hiervon ausgeschlossen und kann nur auf die Kompetenz und Ehrlichkeit des jeweiligen Herstellers vertrauen.
    Um ein gesamtes Netzwerk zu infizieren kann es bereits ausreichen, einen sich innerhalb des Netwerkes befindlichen Anwender zum Öffnen einer zuvor entsprechend präparierten Email oder zum Aufruf einer zuvor entsprechend präparierten Netzseite zu bewegen. Auch eine Infektion über einen externen Datenträger (z.B. USB-Stick oder auch über eine angeschlossene Digitalkamera oder ein Smartphone) ist jederzeit denkbar.
    Ist dies einmal geschehen und der entsprechende Angriffscode im Sinne des Angreifers „gut“ verfasst, so besteht ab diesem Zeitpunkt auf Grund der Gleichartigkeit der innherhalb des Netzes vorhandenen Systeme für den Angreifer ein leichtes Spiel.
    Leider hat es die Europäische Union bis heute versäumt, entsprechende europäische Standards zu schaffen und gerade im öffentlichen Bereich konsequent auf Open Source Software zu setzen. Angefangen von der Office-Anwendung bis hin zum Sicherheitsbereich existieren bereits heute ausgefeilte Lösungen, welche ihren kommerziellen Gegenübern in nichts nachstehen und zudem bereits auf Grund ihres Konzepts ein wesentlich höheres Maß an Sicherheit bieten.
    Eine 100%ige Sicherheit kann und wird es auch hier natürlich niemals geben. Jedoch muss man einem evtl. Angreifer nicht auch noch einen Roten Teppich ausrollen, wie dies mit den derzeit eingesetzten Systemen teilweise geschieht.
    Die von der Fa. Laempe Riskmanagement vertriebenen Serversysteme setzen übrigens konsequent und von Grundauf – insbesondere bei der Sicherheitstechnik – auf Open Source Software. Und auch für Büroarbeitsplätze bieten wir interessante Alternativen auf Open-Source Basis an.

    DSGVO

    Wieso DSGVO?

    DSGVO – was bedeutet dies für Ihr Unternehmen?

    Die DSGVO (Hier die Verordnung) tritt europaweit am 25.05.2018 in Kraft. Viele Unternehmen sind sich unsicher: was bedeutet dies konkret und hat diese neue Verordnung auch Auswirkungen auf mein Unternehmen? Was muss beachtet werden?
    Herr H. ist Inhaber einer Firma für die Herstellung hochwertiger Möbel. Vor 30 Jahren hat er eine kleine Polsterei von seinem Vater übernommen und diese seitdem Schritt für Schritt weiter ausgebaut. Heute besitzt H. Niederlassungen in mehreren europäischen Ländern, auch Übersee in den USA wurde kürzlich eine Produktionsstätte eröffnet.
    Der Vertrieb findet sowohl über Wiederverkäufer als auch im Direktverkauf direkt von der Fabrik aus statt.
    Wichtigste Grundlage für den Erfolg des Unternehmens ist die Qualität. Noch heute hält sich Herr H. jeden Tag mehrere Stunden in der Produktion des Stammwerkes auf.
    Und auch die Kundenbindung wird bei H. großgeschrieben. Regelmäßig werden Gewinnspiele veranstaltet, Kunden erhalten Geburtstagsgrüße oder eine Gratulation zu besonderen Ereignissen wie etwa zur Silbernen oder – wenn auch selten – Goldenen Hochzeit.
    Kürzlich startete H. eine sehr erfolgreiche Aktion, in welcher Kinder selbstgemachte Fotos der von H. verkauften Einrichtungsgegenstände über eine spezielle Webseite hochladen und veröffentlichten konnten, die schönsten Fotos wurden prämiert.

    Viele Fragen zur DSGVO…

    Anfang Juni 2018 trifft in dem Stammwerk, welches zugleich die Hauptverwaltung ist, nun ein Schreiben mit einem für H. sehr ungewöhnlichen Inhalt ein.
    Die Absenderin des Schreibens, Frau Petersen aus Hamburg, bezieht sich auf Art. 15 DSGVO (Datenschutzgrundverordnung) und bittet um Auskunft darüber,

    • Welche personenbezogenen Daten über sie gespeichert sind
    • Zu welchem Zweck diese Daten gespeichert sind
    • Welche Kategorien von Daten gespeichert sind
    • An welche Empfänger die Daten weitergegeben wurden bzw. weitergegeben werden sollen
    • Über welchen Zeitraum die Daten gespeichert werden sollen und welches die Kriterien für eine Löschung der Daten sind
    • Über die Herkunft der personenbezogenen Daten
    • Ob die vorhandenen personenbezogenen Daten zur Entscheidungsfindung („Profiling“) verwendet werden und nach welcher Logik dies geschieht
    • Ob die personenbezogenen Daten an ein Drittland übermittelt wurden und welche geeigneten Garantien es diesbezüglich auf Einhaltung des Datenschutzes gibt

    Frau Petersen bittet um die kostenfreie Übermittlung der angefragten Informationen.
    Ferner fordert Frau Petersen H. dazu auf, sämtliche ihrer personenbezogenen Daten zu löschen und ihr dieses zu bestätigen – wobei sie sich auf Art. 17 der DSGVO bezieht.

    … welche beantwortet werden müssen: es drohen drastische Bußgelder

    Der Firma H. ist es nun dringend geraten, entsprechende Anfrage ernst zu nehmen und die geforderte Antwort innerhalb von 4 Wochen (in Ausnahmefällen innerhalb von 3 Monaten) zu geben.
    Die sich H. hieraus stellende Aufgabe kann, je nach der Struktur der Datenverarbeitung, von einfach zu erledigen bis „fast“ unmöglich erscheinen. Zudem drohen bei einer Nichteinhaltung der DSGVO drastische Bußgelder, welche bis zu 20 Millionen € bzw. 4% des weltweiten Jahresumsatzes gehen können.

    Welche Daten sind betroffen?

    Zunächst einmal sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Im genannten Fall sind dies beispielsweise Name, Anschrift, Familienstand, Geburtstag, die Bestell- und Zahlungshistorie jedoch auch die von den Kindern hochgeladenen Fotos, wenn hierauf das Umfeld des Kindes erkennbar ist.
    Relativ einfach ist die Anfrage zu beantworten, wenn es lediglich ein einziges zentrales IT-System gibt, welches zudem eine entsprechende Funktion zur Verfügung stellt. In der Praxis jedoch dürfte dieser Idealzustand eher die Ausnahme sein.
    In den meisten Firmen dürften entsprechende Daten über mehrere Systeme verstreut sein, wozu noch zahlreiche, von den jeweiligen Mitarbeitern selber erstellte, Excel-Dateien oder Access-Datenbanken kommen.
    Übrigens handelt es sich auch bei protokollierten IP-Adressen um personenbezogene Daten, da hiermit – zumindest während eines gewissen Zeitraums hinweg – eine Rückverfolgung bis hin zum Inhaber des zu der IP-Adresse gehörenden Anschlusses möglich ist.

    DSGVO: Was muss getan werden

    Alleinig hierüber eine Übersicht zu erhalten, dürfte vielen Firmen recht schwer fallen.
    Nachdem die Daten identifiziert wurden, müssen diese nun in einer für die anfragende Person verständlichen Form dokumentiert werden gemeinsam mit der Angabe, wofür genannte Daten verwendet werden. Auch diese Aufbereitung der Informationen stellt einen nicht zu unterschätzenden Aufwand dar, da die wenigsten Programme über eine solche Funktion verfügen dürften. Zudem dürfen auf der erstellten Dokumentation keine personenbezogenen Daten von Drittpersonen oder Informationen über vertrauliche betriebliche Abläufe erscheinen.
    Ein nächster wichtiger Punkt der Anfrage ist die Angabe, wie lange entsprechende Daten vorgehalten werden sollen und wovon die Aufbewahrungsdauer abhängig ist. Die Erstellung entsprechender Richtlinien und deren dokumentierte(!) Einhaltung dürfte hier für jede mit personenbezogenen Daten arbeitende Firma unumgänglich sein.
    Auch die Nachfrage über die Herkunft der Daten dürfte in vielen Fällen schwierig zu beantworten sein, da dies nur selten dokumentiert bzw. elektronisch erfasst sein dürfte.
    Ebenso muss über die Weitergabe personenbezogener Daten Auskunft erteilt werden. An wen genau wurden welche Daten geliefert? Dies kann beispielsweise ein Steuerberater, eine externe Marketingagentur, ein Abrechnungsbüro oder eine Niederlassung im Ausland sein.
    Zusätzlich wird dies kompliziert, wenn die Weitergabe der Daten an Organisationen in Nicht-EU Ländern erfolgt – in diesem Beispiel eine Niederlassung in den USA. Wie stellt die für die Daten verantwortliche Firma sicher, dass auch in Nicht-EU Ländern mindestens das in der DSGVO geforderte Datenschutzniveau eingehalten wird? Im Zweifelsfall müssen hier als Nachweis entsprechende Verträge mit der Nicht-EU Niederlassung vorliegen.
    Das „Recht auf Vergessen“ (= das Recht auf Löschen der Daten) ist eine weitere wichtige Anforderung der DSGVO. Bieten die von einem Unternehmen genutzte Sofwareanwendungen eine entsprechend Funktionalität oder zumindest eine Funktion zur Anonymisierung? Was ist mit in Papierform vorliegenden Dokumenten? Alleinig diese Anforderung stellt viele Firmen vor eine große Herausforderung.
    Ein weiteres „Fragezeichen“ ergibt sich aus dem oben genanten Fotowettbewerb, in welchem Kinder selbstgemachte Fotos einreichen können. Auch bei diesen Fotos kann es sich um personenbezogene Daten handeln, wenn diese dem einreichenden Kind zugeordnet werden können. Gemäß §8 DSGVO liegt jedoch das Mindestalter für eine Zustimmung zur Verarbeitung personenbezogener Daten bei 16 Lebensjahren. Liegt bei sämtlichen von jüngeren Kindern eingereichten Fotos eine Einverständniserklärung der Erziehungsberechtigten vor? Ist dies nicht der Fall, dürfen die Bilder nicht veröffentlicht werden.

    Wo gilt die DSGVO?

    Der Geltungsbereich der DSGVO ist sehr weit gefasst. Die Verordnung gilt für alle Firmen, wenn

    • die Firma in einem Staat der EU liegt bzw. eine dortige Niederlassung besitzt (Niederlassungsprinzip) oder
    • Daten von sich in der EU aufhaltenden Personen vorhält oder innerhalb der EU Güter vertreibt oder innerhalb der EU Dienstleistungen anbietet (Marktortprinzip) oder
    • die Datenverarbeitung in einem Drittstaat stattfindet, welcher sich zu einer Anwendung der DSGVO verpflichtet hat (Völkerrechtsprinzip)

    Welche Folgen hat die DSGVO konkret für meine Firma?

    Dies alles kann an dieser Stelle nicht mehr als einen kurzen Überblick darstellen.
    Fakt ist jedoch, dass die DSGVO in der gesamten EU am 25.05.2018 in Kraft tritt und sich die Firmen ab diesem Zeitpunkt und ohne eine Übergangsfrist an die Verordnung zu halten haben.
    Ein großer Fehler wäre es zu sagen „Schön und gut, mich selber betrifft dies jedoch nicht“ – dem ist nicht so. Personenbezogene Daten liegen in jeder Firma vor und seien es lediglich die Personaldaten und die Rechnungsadressen von Kunden. Falls noch nicht geschehen, sollte sich jede Firma, jeder Geschäftsführer und jede Geschäftsführerin einer Firma ein entsprechendes Konzept überlegen. Die Folgen bei Nichteinhaltung können drastisch sein und im schlimmsten Fall den Fortbestand der Firma in Frage stellen.

    DSGVO speziell für kleine und mittlere Unternehmen

    Falls Sie hierbei Unterstützung benötigen, wenden Sie sich gerne auch an uns – die Firma Laempe verfügt seit über 20 Jahren über große Erfahrungen in den Bereichen Datenschutz und Datensicherheit.

    Ein idealer Tag – dank der YPROjekte Compliance Appliance

    Herr K ist Geschäftsführer eines kleinen Unternehmens der Dienstleistungsbranche mit 15 Mitarbeitern. Ein typischer Ablauf eines Arbeitstages sah bis vor einem halben Jahr in etwa so aus:

    Um 8 Uhr morgens betritt Herr K gut gelaunt und voller Tatendrang das Büro. Bei einer Tasse Kaffee beginnt er mit dem allmorgendlichen Ritual: der Abarbeitung seiner EMails. In seinem Posteingang befinden sich ca. 150 neue Eingänge, darunter Werbung, Nachfragen des Steuerberaters, diverse Projektmails in welchen er von seinen Mitarbeitern auf CC gesetzt wurde, die Anfrage eines neuen potentiellen Großkunden, eine Nachricht seiner Tochter dass sie am gestrigen Abend später nach Hause kommt, die Bitte eines Mitarbeiters um ein persönliches Gespräch, eine Nachricht des Bankberaters, diverse Newsletter, Spam – und endlose Dinge mehr. Zudem noch 100 Einträge vom gestrigen Tag, welche er aus Zeitmangel noch nicht abarbeiten konnte.

    Herr K hat sich fest vorgenommen, zumindest heute im Emailpostfach aufzuräumen. Er liest die Projektmails seiner Mitarbeiter, löscht die Werbung, vereinbart mit dem nachfragenden Mitarbeiter einen Gesprächstermin, gibt dem Steuerberater die gewünschten Auskünfte. Zwischendurch erledigt er diverse Telefonate um nachzufragen und um auf den aktuellen Stand der Dinge zu gelangen. Zudem durchsucht er an diversen Orten alte Emails und sonstige Dokumente, um benötigte Informationen zusammenzutragen.

    Er schaut auf die Uhr und stellt überrascht fest, dass es schon 12.30 Uhr ist und er eigenlich noch überhaupt nichts erledigt hat. Zudem hat er versehentlich beim Aufräumen die Anfrage des potentiellen Großkunden gelöscht, so dass diese auf immer unbeantwortet bleiben wird und der Kunde ein anderes Unternehmen beauftragt.

    Nur wenige Monate später.

    Das Unternehmen von Herrn K hat die YPROjekte Compliance Appliance von Laempe Risk Management eingeführt. Herr K besorgt sich den morgendlichen Kaffee und startet das Programm. Mit einem Blick auf die Workflowübersicht ist er in kurzer Zeit über den aktuellen Stand der Projektabarbeitung, relevante eingehende Emails und deren Bearbeitungsstand informiert. Über die Auswertung der Zeiterfassung sieht er, welche Projekte innerhalb der Zeitvorgabe liegen und bei welchen Projekten die veranschlagte Zeit voraussichtlich nicht ausreichen wird – obgleich solche Projekte nach der Einführung von YPROjekte zunehmend weniger werden.

    Die eingehende Anfrage eines Kunden fällt sofort auf und mündet in ein entsprechendes Angebot, welches auf Grundlage der real für ein vergleichbares Projekt angefallenen Zeiten kalkuliert wird. Hierfür benötigte zusätzliche Informationen findet Herr K über die Volltextsuche per Mausklick, da sämtliche Informationen automatisch in der YPROjekte Compliance Appliance archiviert und volltextindiziert sind.

    Eine separate Emailanwendung hingegen setzt Herr K so gut wie überhaupt nicht mehr ein. Sämtliche ein- und ausgehenden Mails werden von der YPROjekte Compliance Appliance automatisiert verschlagwortet, den passenden Projekten / Vorgängen zugewiesen und archiviert. Postfachübergreifend und über alle Mitarbeiter hinweg – womit beispielseise auch die bisher obligatorischen CC-Angaben für die Projektbeteiligten entfallen. Da YPRPOjekte über ein umfangreiches Berechtigungssystem verfügt, braucht sich Herr K auch keine Gedanken über den Schutz vertraulicher Informationen zu machen. Lediglich für private Mails, welche über ein nicht in das System eingebundenes Postfach laufen, verwendet Herr K noch Outlook.

    Um 8.30 Uhr ist der Kaffee getrunken und Herr K auf dem aktuellen Stand der Dinge. Wichtige Aktionen hat er in YPROjekte mit einem konkreten Termin zur Abarbeitung eingeplant. Auch über evtl. Nachfragen des Finanzamtes muss sich Herr K. keine Gedanken mehr machen. Die YPROjekte Compliance Appliance archiviert automatisiert sämtliche ein- und ausgehenden Email auf eine GoBd konforme Art und Weise.

    Herr K kann sich nun um seine wirkliche Aufgaben eines Geschäftsführers kümmern und sich der Frage widmen „Welches ist die EINE Sache, die ich jetzt tun kann und die höchste Priorität hat?“

    180 Seiten Praxiswissen Troubleshooting Microsoft-Server

    Heute erhielt ich in einem von mir abbonierten Newsletter ein Angebot über ein Heft namens
    „180 Seiten Praxiswissen Troubleshooting Microsoft-Server“. Troubleshooting Microsoft-Server – Windows-, Exchange- und SQL-Server-Probleme erkennen und beheben.
    Das Angebot weckte mein Interresse. In einem bekannten Onlineshop gab ich in der Kategorie „Bücher“ den Begriff „Exchange“ ein und war gespannt auf das Ergebnis.
    Dieses lautete: 8933 deutschsprachige(!) Bücher, welche sich mit dem Exchange Server beschäftigen.
    Für ein System, welches in der überwiegenden Anzahl der Installationen genau für 2 Funktionen genutzt wird:
    – Emailserver
    – gemeinsam genutzter Kalender inkl. Termine
    Ausgelegt ist Exchange jedoch für wesentlich umfangreichere Einsatzszenarien. So ist es beispielsweise kein Problem, mehrere Niederlassungen eines Konzerns zentral und über mehrere Server hinweg zu verwalten, Rechte zu vergeben und zu synchronisieren. Ebenso bietet Exchange Schnittstellen zu zahlreichen anderen Microsofttechnologien und kann erst in einem solch großen Umfeld seine Stärken ausspielen.
    Der Nachteil hieran ist jedoch: dieser ganze, äußerst hardwarefordernde Funktions-Overkill wird von der Mehrzahl der Anwender nicht benötigt und muss dennoch administriert und gepflegt werden. Dies alles macht die fachlich korrekte Administration eines Exchange zu einer durchaus herausfordernden Tätigkeit, auch wenn dieser lediglich in einem Unternemen mit 15 Mitarbeitern eingesetzt wird. So gerät die Freigabe eines Postfachs für eine andere Person bisweilen zu einer umfassenden Aufgabe, von Datensicherung, Archivierung und dem riesigen Platzbedarf der Exchange-Datenbank ganz zu schweigen.
    Hinzu kommt: ist eine Exchange-Installation bechädigt, so ist eine Fehleranalyse bzw. Reparatur äußerst schwierig, ebenso die Datenübernahme in andere System ist sehr komplex. Grund hierfür ist die nicht offengelegte Struktur der Exchange-Datenbank, welche lediglich Microsoft bekannt ist.
    Gibt es hierfür nicht eine kleinere, pragmatischere Lösung, welche auf die Erfordernisse von kleineren Unternehmen perfekt maßgeschneidert ist?
    Gibt es.
    Die Antwort lautet: Linux. Auf Linux lassen sich maßgeschneiderte Mailserver konfigurieren, welche stabil und einfach administrierbar ihre Aufgabe erledigen. Der Ressourcenbedarf beträgt lediglich einen Bruchteil desjenigen eines Exchange Servers.
    Und auch Kalender und Aufgaben lassen sich ganz auf die individuellen Anforderungen hin einrichten und auf den angeschlossenen PCs einbinden.
    Verwendet werden ausschließlich offengelegte Standardformate, so dass Wartung, Datensicherung oder der Import und Export von Daten keinerlei Problem darstellen.
    So sind die Emails etwa jede einzeln für sich in einem offenen Format im Dateisystem abgelegt, während sie sich bei Exchange unauffindbar in den Tiefen der Datenbank verstecken.
    Ein Mailserver auf Linuxbasis bietet gerade kleineren Unternehmen die Möglichkeit, mit geringen Ressourcen ein sehr robustes, sicheres, wartungsfreundliches und nahezu beliebig skalierbares System zu erhalten.
    Ganz ohne zuvor 8933 Bücher zu studieren.

    Deutsche Post stellt 200.000 Kundendatensätze ins Internet

    Heute wurde veröffentlicht, dass die Deutsche Post  (bzw. die Deutsche Post Adress GmbH & Co. KG, ein Tochterunternehmen von Post und Bertelsmann) ca. 200.000 Datensätze ihrer Kunden ins Internet stellte – offen für Jedermann. Was war passiert? Betroffen sind bzw. waren Kunden, welche den Umzugsservice der Deutschen Post in Anspruch nahmen. Gegen eine Gebühr von 29 € besteht hier die Möglichkeit, beispielsweise eine Briefweiterleitung an den neuen Wohnort zu veranlassen.
    Bei einer Beauftragung werden etwa die alte Adresse, die neue Adresse, das Datum des Umzuges, persönliche Kontaktdaten sowie die Zahlungsinformationen erfasst.
    Die vom Kunden erfassten Daten werden zur weiteren Bearbeitung in einer sogenannten „mySQL“ – Datenbank abgespeichert.
    Jedes Unternehmen – so auch die Deutsche Post – verfügt über ein Konzept zur Sicherung der Daten, zumindest sollte dies so sein.
    Auch von den bei der Post erfassten Kundendaten fand nun eine Datensicherung statt.
    Dies geschah über eine in mySQL enthaltende Standardfunktionalität, genau wie in der Dokumentation von mySQL beschrieben. Standardmäßig erfolgt die Sicherung der Daten unverschlüsselt und im Klartext in eine Datei namens „dump.sql“, was auch die Post durchführte.
    Eben jene Datei wurde nun in das Hauptverzeichnis des Internetauftritts von umziehen.de geschrieben, wo sie von Jedermann über einen beliebigen Browser heruntergeladen werden konnte. Vollkommen unverschlüsselt und ohne jede Sicherheit standen somit für jeden zugänglich 200.000 Kundendatensätze im Netz.
    Hier wurde dieses Datenleck offengelegt
    Inkompetenz, einfache Fahrlässigkeit, grobe Fahrlässigkeit?
    Ich möchte mir hierüber kein Urteil erlauben.
    Jedoch ein eindeutiger Hinweis darauf, für solcherart von Tätigkeiten besser einen hierauf spezialisierten externen Partner zu beauftragen.
    Die Sicherung von mySQL-Datenbanken ist übrigens standardmäßig in unserem Datensicherungspaket SAVIA 3000 enthalten. Sicher, verschlüsselt und ohne Offenlegung der Daten. Garantiert.

    Bauen Sie sich Ihre eigene Daten-Botschaft auf

    Zum 01.07.2017 übernimmt Estland die Ratspräsidentschaft der EU.
    Ein zentrales Thema jener 6 Monate soll die Fortführung der europäischen Digitalisierung sein, welche sich in den verschiedenen Mitgliedsstaaten der EU noch auf einem recht unterschiedlichen Niveau befindet. Deutschland befindet sich hier auf einem Platz im vorderen Mittelfeld, was angesichts der wirtschaftlichen Kennzahlen sicherlich als verbesserungswürdig erscheint.
    Estland hat nun auf die zunehmenden digitalen Gefährdungen (kaum ein Monat vergeht mehr ohne eine neue Angriffswelle, beispielsweise durch Verschlüsselungsviren) reagiert.
    Daten sind die Grundlage einer jeden Verwaltungs- oder Geschäftstätigkeit, ohne ihre Daten kann keine Organisation und auch kein Staat bestehen.
    Als erstes europäisches Land richtet Estland nun eine sogenannte Datenbotschaft ein. In Luxemburg wird bis zum Jahr 2018 nun eine Serverfarm eingerichtet, welche quasi den Status einer Botschaft erhält und in welche für das Land Estland wichtige Daten regelmäßig ausgelagert werden.
    Selbst in einem Worst-Case Szenario wären die heute bereits als überlebenswichtig zu bezeichnenden Daten somit an einem sicheren Ort.
    Somit setzt der erste eurpäische Staat das Konzept um, welches Laempe Risk Mangement seit vielen Jahren erfolgreich seinen Kunden anbietet: die Auslagerung unternehmenskritischer Daten.
    Auch Sie besitzen mit dem SAVIA 3000 Konzept Ihre eigene Datenbotschaft: die Daten sind in einem Worst Case Fall sicher von Ihrem Unternehmen getrennt, zudem haben – durch starke Verschlüsselung auch während der Übertragung garantiert – auschließlich Sie selber und sonst niemand Zugriff auf Ihre Daten.

    49% aller Unternehmen wurden bereits Opfer von erpresserischer Datenverschlüsselung (Ransomware).

    Eine von Osterman Research neu veröffentlichte Studie befasst sich mit der immer weiter um sich greifenden Ramsomware-Problematik. Untersucht wurden Auftrittshäufigkeit, Folgen sowie Strategien zur Vermeidung in den 4 Ländern Großbritannien, Kanada, USA und Deutschland.

    Nach wie vor wird in vielen deutschen Firmen die von Ramsomware ausgehende Gefahr unterschätzt. In lediglich 19% der befragten Unternehmen wurde Ramsomware als konkrete Gefahr erkannt und Strategien zur Vermeidung festgelegt. Zum Vergleich: in den anderen untersuchten Staaten liegt diese Quote bei jeweils über 50%.

    Was ist Ramsomware?

    Ramsomware verschlüsselt auf einem betroffenen Gerät vorhandene Dateien, je nach Typ der Ransomware werden auch im Netzwerk befindliche Dateien verschlüsselt. I.d.R. erfolgt die Verschlüsselung mit einem Algorithmus, welcher eine Entschlüsselung der Daten ohne Kenntnis des Verschlüsselungskennwortes nicht zulässt. Nach durchgeführter Verschlüsselung wird das Opfer dazu aufgefordert, ein bestimmtes Lösegeld zu zahlen, um das Entschlüsselungskennwort bzw. ein Werkzeug zur Entschlüsselung zu erhalten.
    49 Prozent der in der Studie befragten Firmen waren in den vergangenen 12 Monaten mindestens 1mal Opfer eines diesbezüglichen Angriffs.

    Welche Auswirkungen kann Ramsomware haben?

    Hat das Opfer keine weiteren Vorkehrungen getroffen, so sind die verschlüsselten Daten verloren, solange nicht – mit ungewissen Ausgang – auf die Erpressung eingegangen wird. Ein vollständiger Verlust relevanter Daten kann bis zur Insolvenz der betroffenen Firma führen.
    In der Realität kommt es zu einem totalen Datenverlust eher selten, da bestimmte Schutzmaßnahmen (z.B. Datensicherung) gegen Datenverlust i.d.R. vorhanden sind.
    In 74% der deutschen Fälle waren Personen (z.B. Mitarbeiter des Unternehmens oder Kunden) untmittelbar (durch Datenverlust) betroffen.
    In 13% der deutschen Fälle kam es zu einem Stillstand der Geschäftstätigkeit / der Produktion, 22% der Angriffe hatten eine negative Auswirkung auf das Betriebsergebnis. In 4% der betroffenen Firmen war der Fortbestand des Unternehmens bedroht.

    Wie wird Ramsomware verbreitet?

    Hauptsächlicher Verbreitungsweg von Ramsomware sind Emails bzw. in Emails enthaltene Anlagen (zusammen 69%) oder infizierte Webseiten (23%).
    In zahlreichen Fällen ist die Herkunft der Ramsomware nicht zu klären.
    Ramsomware kann über Desktop PCs (49%), Notebooks (36%), Server (4%) oder auch Tablets/Smartphones (4%) in das Firmennetzwerk gelangen.
    Besonders schädlich ist eine Verbreitung über einen Server, da dieser i.d.R. auf sämtliche Netzwerkressourcen / Netzlaufwerke zugreifen kann.
    Hat eine Ramsomware das Firmennetzwerk befallen, so sind in >40% der Fälle mehrere Geräte (PCs, Notebooks, Server) betroffen

    Welche Strategien gibt es gegen Ramsomware?
    „Das eine“ Mittel gegen Ramsomware gibt es nicht, es ist eine mehrstufige Strategie erforderlich.
    Grundlage für eine Strategie gegen Ramsomware ist, dass sich das Management des Unternehmens des Risikos bewusst und bereit ist, entsprechende Maßnahmen zu ergreifen. Wozu auch die Bereitstellung eines entsprechenden Budgets gehört.
    Zunächst einmal ist es wichtig, die Mitarbeiter des Unternehmens entsprechend zu schulen – insbesondere im bedachten Gebrauch von Email und Internet. Nicht angeforderte Anlagen bzw. Anlagen unbekannter Herkunft sollten mit Vorsicht behandelt werden. Der Gebrauch des Internets ist möglichst sicher zu gestalten, Scriptblocker (z.B. NoScript) und Adblocker helfen, Quellen für Schadsoftware zu blockieren. Selbstverständlich sollte ein aktueller Virenscanner sein.

    Auch organisatorisch / netzwerktechnisch kann die Verbreitung von Ramsomware verhindert werden.
    Im Netzwerk angemeldete Benutzer sollten nach Möglichkeit nur eingeschränkte Schreibrechte auf das Netzwerk besitzen. Im vom Laempe Risk Management angebotenen Tool Y-TTT beispielsweise benötigt der Benutzer keine Schreibrechte auf das Netzwerk; entsprechende Verbindungen mit Schreibrechten werden softwareseitig ausschließlich aufgebaut und unmittelbar wieder getrennt, wenn auf eine Netzwerkdatei schreibend zugegriffen werden soll.
    Über Y-TTT verwaltete Dokumente sind somit wirksam vor Ransomware geschützt.
    Serverseitig sind bestimmte Vorkehrungen möglich, welche einen Befall von Ramsomware selbständig erkennen und die Netzwerkverbindung zum befallenen Gerät (z.B. PC oder Notebook) automatisch trennen. Auch hier bietet Laempe Risk Management eine erprobte Lösung.
    Grundlage für die Datensicherheit ist eine Datensicherung. Doch auch hier gibt es einige Dinge zu beachten: die ideale Datensicherung ist ausgelagert (wird beispielsweise auf eine angeschlossene USB-Festplatte gesichert, so wird bei einem Befall auch diese verschlüsselt -> die „Datensicherung“ ist ebenfalls zerstört), läuft automatisiert ab und wird täglich kontrolliert. Auch hier bietet Laempe Risk Management mit SAVIA 3000 ein Rundumsorglos Paket.

    Ich bin kein Terrorist

    Nein, ich bin kein Terrorist. Ich bringe keine unschuldigen Menschen um, ich bestelle mir keine Waffen über das Internet, ich suche auch nicht nach Anleitungen zum Bau von Bomben. Auch stehe ich in keinerlei Kontakt zu irgendeiner Organisation mit diesen Zielen. Ich telefoniere nicht mit Terroristen, noch schreibe ich diesen Emails.
    Auf die jüngsten Anschläge reagiere ich mit Abscheu und Entsetzen.
    Warum ich dies schreibe?
    Nun, weil ich trotzdem von meinem eigenen Staat bis ins Letzte ausgeschnüffelt werde.

    Es geht den Staat schlicht nichts an,

    • welche Webseiten ich aufrufe
    • mit wem ich telefoniere
    • wem ich Emails schreibe
    • wo ich mich wann aufhalte

    All diese Dinge werden nun jedoch für jeden einzelnen Bürger erfasst. Vollkommen unabhängig davon, ob die Person sich etwas hat zuschulden kommen lassen oder nicht. Jeder ist verdächtig, jeder wird ausgeschnüffelt. Die kürzlich eingeführte Vorratsdatenspeicherung macht es möglich.
    Neben diesen „legalen“, jeden einzelnen Bürger betreffenden Überwachungsmöglichkeiten, ist es absolut unüberschaubar, was abseits dieser Möglichkeiten noch geschieht.

    They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
    („Wer wesentliche Freiheit aufgeben kann, um eine geringfügige bloß vorübergehende Sicherheit zu bewirken, verdient weder Freiheit noch Sicherheit.“)

    (Benjamin Franklin)

    Für all jene, welche sich nicht jener allumfassenden Überwachung unterziehen möchten, gibt es jedoch Möglichkeiten, die Überwachung zumindest wesentlich zu erschweren. Einfache Methoden, von jedermann ohne größeren Aufwand einsetzbar.

    Verwenden Sie den TOR-Browser

    Nach der Installation ist nicht mehr nachvollziehbar, wann Sie welche Seite aufgerufen haben; Sie surfen weitestgehend anonym. Sie surfen ab sofort über das TOR-Netzwerk, nur mit einem äußerst hohen Aufwand wäre es für einen Dritten nachvollziehbar, welche Daten Sie im Internet aufgerufen haben.

    Verschlüsseln Sie Ihre Kommunikation

    Zum verschlüsselten Versenden Ihrer Emails bietet sich beispielsweise die PGP Verschlüsselung an.. Auch diese ist einfach einzurichten und bietet ein hohes Maß an Sicherheit, der Aufwand zur Entschlüsselung wäre auch hier sehr hoch.

    Auf beide Methoden werde ich in separaten Artikeln eingehen.

    Leider gibt es für das Smartphone keine einfache Möglichkeit einer anonymen Verwendung. Führen Sie ein Smartphone mit sich, werden ihre Standortdaten registriert und gemäß der Vorratsdatenspeicherung aufbewahrt. Auch eine anonyme SIM-Karte dürfte hier nicht weiterhelfen, da über Ihre Gesprächspartner Ihre Identität nachvollziehbar ist. Die sicherste Methode lautet hier wohl: Verzicht. Keinesfalls sollten Sie irgendwelche schützenswerten Daten auf Ihrem Smartphone oder in der „Cloud“ ablegen.