Microsoft verliert einen „Cloud-Masterkey“ und niemanden interessiert es

Obwohl  Hacker einen Masterkey zum Zugriff auf die MS-Cloud ergattern konnten und so ab ca. Mitte Juli 2023 weitreichenden Zugriff auf Microsoft Cloudservices hatten, scheint es in der Geschäftswelt so weiterzugehen wie immer. Business as usual.

Ich mein: Wo bleibt bitte der Aufschrei!?

Sind wir wirklich schon so weit, dass hier keiner mehr versteht, worum es geht? Dass es eben „nicht geil“ ist, alles in die vermeintlich sichere Cloud zu bringen, weil man damit zumindest Anfangs eventuell eine „Geiz ist geil“ Mentalität verfolgen kann? Die reine Annahme, dass die MS-Cloud sicherer ist, wie andere Cloudlösungen und Cloudplattformen, ist ein massiver Trugschluss. Fehler werden immer auftreten, Sicherheitslücken immer ausgenutzt werden. Egal, ob da jetzt nun Microsoft drauf steht, oder nicht.

Kann es angesichts der Tatsache, dass die Hacker umfangreichen Zugriff auf viele Cloudservices der Firma Microsoft hatten – und dazu zählen zum Beispiel auch Exchange Postfächer und Postfächer bei www.outlook.com – sein, dass es kein offizielles Statement seitens des Großkonzerns gibt. Einzig der Heise-Verlag versucht ein wenig Licht ins Dunkel zu bringen. Nachdem es aber bislang keinerlei detailliertes Statement seitens MS gibt, tappen wir wohl alle mehr oder weniger im Dunkeln.

In der EU wäre jetzt eine Data-Breach-Meldung nötig (DSGVO). Ganz abgesehen davon, müssten betroffene Personen und Firmen informiert werden, wenn sensible Daten betroffen waren (davon gehe ich eigentlich aus). Meiner Meinung nach müsste Microsoft hier viel offener und pro-aktiv kommunizieren.  Es passiert aber nichts!

Ihr werdet sehen, es wird auch zukünftig nichts passieren. Alle werden weiterhin brav dem Industriestandard folgen, egal was da denn nun raus kommt. Niemand macht sich  Gedanken über ein „Exit-Szenario“. Exit -> wie komme ich wieder raus aus der Cloud?

Weiterlesen

Datenschutzgrundverordnung (DSGVO) ab 25.05.2018 – „Short“ facts

Mit Start der DSGVO stehen uns einige Änderungen bevor.

Ich möchte hier nur einige – meiner Meinung nach wichtige Aspekte – aufführen. Genaueres ist bitte der DSGVO zu entnehmen (Ausnahmen, Sonderregelungen etc.)

Allgemeines

Die DSGVO bezieht sich ausschließlich auf den Schutz personenbezogerner Daten natürlicher Personen. Die DSGVO bezieht sich NICHT auf juristische Personen!

Die bisher bekannte Meldung an das DVR fällt weg. Die DVR-Nummer wird obsolet.

Begriffsbestimmungen

  • Verantwortlicher = Verarbeiter von personenbezogener Daten natürlicher Personen
  • Auftragsverarbeiter = Verarbeiter von personenbezogenen Daten im Auftrag des Verantwortlichen
  • Betroffener = Natürliche Person, deren personenbezogene Daten verarbeitet werden.

Dokumentationspflicht (DSGVO Artikel 30)

Statt der Meldung an das DVR, hat man nun eine Dokumentationspflicht, die in Form eines Verzeichnisses von Verarbeitungstätigkeiten zu führen ist. Diese Dokumentation kann angelehnt an die bisherigen Meldungen an das DVR geführt werden und ist der Aufsichtsbehörde auf Wunsch vorzulegen.

Wichtig ist, dass die Verarbeitungstätigkeit nicht beschreibt welches Programm verwendet wird, sondern als Beschreibung des Vorganges der Datenverarbeitung zu sehen ist. Es ist jedoch naheliegend, dass man alle Programme erfassen muss, um in einem nächsten Schritt die verarbeiteten Daten (Felder, die erfasst werden) zu analysieren.

Informationspflicht (DSGVO Artikel 13, 14)

Der Betroffene ist zum Zeitpunkt der Datenerhebung über die Datenanwendung zu informieren. (Dies kann beispielsweise in Form einer Information auf der Homepage, oder auch in Form eines ausgedruckten Informationsblattes gelöst sein. Es ist anzuraten, dass der Betroffene dieses Informationsblatt unterschreibt. )

Achtung: Es macht einen Unterschied, ob die Daten direkt beim Betroffenen erhoben worden sind, oder nicht!

Einholung einer Einverständniserklärung (DSGVO Artikel 4/Z11, 7,8)

Basiert die Datenverarbeitung auf einer gesetzlichen Grundlage, so ist KEINE Einverständniserklärung des Betroffenen notwendig.

Ist keine rechtliche Grundlage für die Datenverarbeitung vorhanden, so muss eine Einverständniserklärung eingeholt werden. Die Erklärung sollte aus Beweisgründen immer in schriftlicher Form eingeholt werden. Im Falle der Datenverarbeitung über eine Homepage, wäre hier z.B. durch den Betroffenen ein Häkchen zu setzen. Eine andere (bessere Möglichkeit) ist das sogenannte Double-opt-in Verfahren. Hier wird beispielsweise nach einer etwaigen Datenerfassung per Webformular, zusätzlich ein Aktivierungslink per Email zugesandt. Erst nachdem der Betroffene diesen Link anklickt, wird dann z.B. ein Benutzerkonto aktiviert, ein Newsletterabo abgeschlossen usw.

In diese Bestätigungs-/Aktivierungsmail kann man dann auch noch weitere Informationen packen, die den Betroffenen über die Online-Datenverarbeitung informieren.

Durchführen einer Datenschutzfolgenabschätzung (DSGVO Artikel 35)

Werden sensible Daten verarbeitet und besteht für den Betroffenen durch die Datenverarbeitung ein hohes Risiko und ist keine Ausnahme anzuwenden, so ist eine Datenschutzfolgenabschätzung durchzuführen.

Bsp: Videoüberwachung, Profiling etc.

Auskunftsrecht (DSGVO Artikel 11, 12, 15, 23)

Betroffene haben ein Recht auf Auskunft.

Meldung von Datenschutzverletzungen (DSGVO Artikel  4/Z 12, Art 33, Art 34)

Bei Verletzung des Schutzes personenbezogener Daten besteht eine Meldepflicht gegenüber der Aufsichtsbehörde und ggf. gegenüber betroffener Personen.

Fazit

Wie man unschwer erkennen kann, ist die DSGVO ein weites Feld. Vor allem die hohen Bußgelder, im Falle einer Datenschutzverletzung, sollte Unternehmen hellhörig werden lassen.

Infomaterial

Disclaimer

Bei dieser Zusammenfassung handelt es sich um keine Rechtsauskunft, sondern um meine Interpretation und Zusammenfassung zum Thema DSGVO. Im Zweifelsfalle sollte auf jeden Fall juristischer Rat in Anspruch genommen werden. Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit.

 

 

 

Kostenloses Windows 10 Upgrade im Unternehmen

Gerade in Klein- und Mittelbetrieben hat man oft noch SB/OEM Lizenzen von Windows im Einsatz und kann nicht auf Volumenlizenzen mit Software Assurance zurückgreifen.

Macht es in diesem Zusammenhang Sinn, auf das bis Ende Juli 2016 kostenlose Windows 10 zu aktualisieren?

Der erste Impuls ist vermutlich „kostenlos“ – ja klar, warum nicht. Man spart dem Unternehmen Geld. (Natürlich nur, wenn die installierte Software auch unter Windows 10 läuft).

Hardwaretausch

Was man allerdings unbedingt im Hinterkopf behalten sollte ist, dass offenbar noch immer nicht geklärt ist was passiert, wenn man Windows 10 (per kostenlosem Upgrade) installiert hat und die Hardware tauscht.

Es ist nicht klar, ob Windows 10 in einem solchen Szenario auf der neuen Hardware überhaupt aktiviert werden kann!

Laut Gabe Aul (Tweet) wird man versuchen kulant vorzugehen.

Es gibt jedoch KEINE definitive Ausage darüber. Selbst ein Anruf bei der MS-Hotline hat mich nicht weiter gebracht:

…diese Information haben wir noch nicht. Die Leute, die das entscheiden, sind nicht per Telefon erreichbar… es wird gehofft, dass MS hier einen gangbaren Weg findet…

Nachgefragt bei einem großen österreichischen IT-Anbieter, der auch auf Lizenzierung spezialisiert ist:

…wird die Hardware getauscht, erlischt die Lizenz. Windows 10 muss gekauft werden.

Nach dem kostenlosen Upgrade auf Windows 10 wird ein generischer Productkey erstellt.

Dieser Key kann NICHT zur Neuinstallation verwendet werden.

Die Aktivierung von Windows 10 erfolgt mittels Hashwert, basierend auf der aktuell eingesetzten Hardware.

Tauscht man die Hardware (den ganzen PC, oder z.B.: das Mainboard), ist diese Aktivierung nicht mehr gültig. Windows 10 kann somit nicht mehr aktiviert werden.

Im Internet kursieren teilweise Berichte darüber, dass eine erneute Aktivierung per Hotline ab und zu möglich ist. (Je nachdem, ob man einen kulanten Hotline-Mitarbeiter erwischt).

Für mich ist das aber eher wie russisches Roulette…

Aus dem durchwegs nachvollziehbaren Gedankengang (s)einem Unternehmen durch das kostenlose Upgrade Geld zu sparen, könnte also nichts werden.

Was bringt es kostenlos zu aktualisieren, nur um dann bei späterem Austausch der Hardware festzustellen, dass man Windows 10 nicht installieren kann und eine neue Lizenz erwerben muss? Viel Arbeit, wenig Sinn…

Fazit

Wer in den Genuß des kostenlosen Upgrades kommen will, muss bis spätestens 29. Juli 2016 auf Windows 10 upgraden. Tauscht man allerdings die Hardware aus und muss Windows 10 neu installieren, ist nicht sichergestellt, dass eine erneute Aktivierung möglich ist.

Im worst-case muss man sich eine Windows 10 Lizenz kaufen.

Verschärfend kommt hinzu, dass MS unter Windows 7 und 8.1 die neuen Prozessorgenerationen (z.B. Skylake) ab Juli 2017 nicht mehr supported.

Man ist unter Zugzwang, sofern nicht auf alternative Betriebssysteme umsteigen kann.

 

Aus Acta mach IPRED/IPRED2?

Wenn man einem Artikel bei „Spiegel  Online“ glauben schenken kann ( und davon gehe ich aus) ist selbst das scheitern von Acta noch lange nicht das „Ende der Fahnenstange“.

Zitat aus dem Artikel von Spiegel Online:

Die EU-Kommission arbeitet derzeit an einer Neuauflage der Direktive zur Durchsetzung geistiger Eigentumsrechte (IPRED). Ein erster Anlauf zu IPRED2 war gescheitert, weil über die genauen Definitionen und Maßnahmen im Kampf gegen Raubkopierer keine Einigkeit bestand. Nun soll die Direktive aber an das Internet angepasst werden. Das umstrittene Acta-Internetkapitel, das aus der endgültigen Fassung geflogen ist, taucht nach einem Bericht des ORF in den IPRED-Entwürfen wieder auf. Provider sollen dann Einschreiten, wenn ihre Kunden Verbotenes tun, sie sollen abmahnen und sperren.

Aus Acta mach IPRED/IPRED2?

Quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,815011-6,00.html

Acta lässt die Wogen hoch gehen

Was ist ACTA? (Quelle: www.wikipedia.de)

Das Anti-Counterfeiting Trade Agreement (ACTA) ist ein multilaterales Handelsabkommen auf völkerrechtlicher Ebene. Die teilnehmenden Nationen bzw. Staatenbünde wollen mit ACTA internationale Standards in dem Kampf gegen Produktpiraterie und Urheberrechtsverletzungen etablieren[1]; in Deutschland wird es deshalb auch häufig als Anti-Piraterie-Abkommen bezeichnet.[2]

Das Ganze in Form eines Youtube Videos erklärt:

Verschiedene weitere Informationen aus diversen Quellen

Auszug aus einem Artikel: DerStandard.at

Jörg Leichtfried und Josef Weidenholzer. Auch der fraktionsfreie EU-Abgeordnete Martin Ehrenhauser sieht durch ACTA die „Grundrechte der österreichischen und europäischen Bürger bedroht“.

Leichtfried und Weidenholzer sowie einige SPÖ-Nationalratsabgeordnete bezeichneten ACTA als „massiven Eingriff in die digitalen Grundrechte“, hieß es in einer Aussendung. ACTA bringe zwar „Rechte für Unternehmen, aber nur Einschränkungen für Internetnutzer“, betonten Leichtfried und Weidenholz.

Auszug aus einem Artikel:  Golem

Scharfe Kritik an Acta

Zu den Kritikern von Acta zählen auch die europäischen Grünen. Sie haben kürzlich ein Rechtsgutachten präsentiert, das die Vereinbarkeit von Acta mit EU-Recht massiv infrage stellt. Die Gutachter, Douwe Korff von der Londoner Metropolitan-Universität und Ian Brown vom Internetinstitut der Universität Oxford, stellten dabei fest, dass „Acta in seiner vorliegenden Fassung die Grundrechte in der EU und in anderen Ländern ernsthaft und auf verschiedenen Ebenen gefährdet.“

Laut Gutachten schränkt die mit Acta vorgesehene Ausweitung der Strafbarkeit von Verletzungen geistiger Eigentumsrechte ohne Bagatellausnahmen „die Freiheit, nach Informationen und Ideen zu suchen, sie zu empfangen und mitzuteilen, unverhältnismäßig“ ein. Zudem würde der Schutz für digitales Rechtemanagement „den Zugang und die freie Verbreitung von Informationen unter Verletzung [der Europäischen Menschenrechtskonvention]“ einschränken. Die Acta-Bestimmungen würden zudem gegen europäisches Datenschutzrecht und das Recht auf ein faires Verfahren verstoßen.

„Diese Studie zeigt klarer als je zuvor, dass das Acta-Abkommen gegen verbindliche Grundrechte verstößt. Daher können die EU und ihre Mitgliedstaaten das Abkommen nicht ratifizieren und haben die Pflicht, das Abkommen, so wie es ist, zu verschrotten“, mahnte Jan Philipp Albrecht, grüner EU-Abgeordneter bei der Vorstellung des Gutachtens.

„ACTA ist falsch und muss abgelehnt werden“

Für Ehrenhauser ist ACTA „von Beginn an völlig schief gelaufen“. Das Abkommen müsse aufgegeben werden. Ähnlich lautete die Forderung Kellers: „ACTA ist falsch und muss abgelehnt werden“.

Die Unterzeichner des ACTA-Abkommens verpflichten sich zur Kooperation und zur Schaffung neuer Gesetze, die die Durchsetzung von Urheberrechten erleichtern sollen. Damit soll etwa der weltweite Kampf gegen gefälschte Arzneimittel oder Datenklau erleichtert werden. Die österreichische Regierung hatte die Unterzeichnung des umstrittenen Abkommens am Dienstag beschlossen. Vor dem In-Kraft-Treten von ACTA ist auch noch eine Zustimmung des EU-Parlaments erforderlich. Die Abstimmung wird voraussichtlich im April oder Mai stattfinden. Der EU-Ministerrat hatte bereits während des polnischen Vorsitzes in der zweiten Jahreshälfte 2011 den Beitritt zu ACTA beschlossen. (APA)

Hoffnung…

Ich hoffe, dass hier die Vernunft siegt und die EU-Parlamentarier dieses Gesetz in bestehender Form nicht „einfach“ durchwinken.

Aus vielen Quellen im Internet geht hervor, dass der Gesetzesentwurf zu Acta unausgegoren ist, Bürgerrechte verletzt etc.

Zitate von oben: „massiven Eingriff in die digitalen Grundrechte“, „von Beginn an völlig schief gelaufen“, „…Acta in seiner vorliegenden Fassung die Grundrechte in der EU und in anderen Ländern ernsthaft und auf verschiedenen Ebenen gefährdet.“, „… mehr Rechte für Unternehmen, aber nur Einschränkungen für Internetnutzer“, „Die Acta-Bestimmungen würden zudem gegen europäisches Datenschutzrecht und das Recht auf ein faires Verfahren verstoßen.“

Nachlese (Quelle derstandard.at)