Erfolgloser Angriff auf TB Web & Consulting

Angriffswelle im September 2018
Angriffswelle im September 2018
Mit bis zu 5.394 Anfragen pro Stunde – und das ist eigentlich noch wenig – wurde im September 2018 versucht den Webserver von https://tb-webconsulting.de zu hacken (Siehe Bild). Der oder die Angreifer haben in der zweiten Septemberwoche versucht Schwachstellen des Servers und der Software zu finden und parallel dazu die Zugangsdaten zu hacken. Mehr als 45 % aller Anfragen in diesem Monat kamen von einer IP-Adresse aus Großbritannien, wobei die Spur nicht zwingend dort endet. Der Angreifer hat jedoch keine Schwachstelle finden können und die Passworte waren sicher genug für diesen Angriff. Außerdem zeigt die Vorgehensweise, daß der Angreifer anscheinend nicht sehr erfahren war.
 

Wie kann ich vorbeugen?

Dieser Angriff ist nichts Besonderes. Solche Angriffswellen sind Alltag im Internet! Egal ob es um die Webseite einer Regierungsbehörde, eines DAX-Konzerns oder des Handwerkers um die Ecke geht. Deswegen mein Rat: Halten Sie Ihre Software und deren Erweiterungen (Plugins) mit regelmäßigen und zeitnahen Updates aktuell, prüfen Sie auf zurückgezogene Plugins und verwenden Sie sichere Passworte, die für jedes System unterschiedlich sind. Dazu sind Sie übrigens gesetzlich verpflichtet.
 
Wissen Sie was Social Engineering ist? Falls nein, dann nehmen Sie sich die Zeit und lesen Sie diese Hinweise vom BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html
 

Sie haben doch ein Backup?

Und wenn alle Stricke reißen: Sie haben doch ein funktionierendes Backup und wissen, wie Sie ihre Daten zurückspielen, oder? 🙂
 
Die Ratschläge gelten natürlich nicht nur für den geschäftlichen Bereich, sondern auch für das private Umfeld.

Relaunch Terra Vino

Italienisches Restaurant Terra Vino. Powered by Thomas Blüm – Web & Consulting, Bonn
Italienisches Restaurant Terra Vino. Powered by Thomas Blüm – Web & Consulting, Bonn

Nachdem ich seit Februar 2018 die Facebook-Seite des Kult-Italieners Terra Vino in Bonn – Bad Godesberg betreute, hat das Restaurant nun auch eine neue Webseite von mir bekommen.

Die neue Seite wird den gewachsenen Anforderungen des Inhabers hinsichtlich Aktualität und Zielgruppe besser gerecht.

Update vom 10.07.2018: Das Terra Vino wird nicht weiter von mir betreut, der Vertrag wurde von meiner Seite aufgelöst.

Verstöße gegen DS-GVO wettbewerbswidrig?

Justitia, die Göttin der Gerechtigkeit. Foto: Pixel2013, Lizenz: CC0 1.0
Justitia, die Göttin der Gerechtigkeit. Foto: Pixel2013, Lizenz: CC0 1.0

Bevor ich auf die Frage eingehe, ob Verstöße gegen die DS-GVO wettbewerbswidrig sind, noch der Hinweis in eigener Sache, dass ich kein Rechtsanwalt bin und in keinem juristischen Beruf arbeite. Der Beitrag stellt also keine Rechtsberatung dar, sondern ist ein Hinweis auf vorhandene Texte von Rechtsanwälten. Wer konkrete Rechtsberatung benötigt sollte einen entsprechenden Rechtsanwalt konsultieren.

Die Ausgangssituation

Einige Gerichte vertreten in ihrer Rechtsprechung derzeit die Ansicht, daß Verstöße gegen einzelne datenschutzrechtliche Vorschriften (zum Beispiel des BDSG und bald DS-GVO) wettbewerbsrechtlich relevant seien und abgemahnt werden können. Dies wird auch vom Datenschutzexperten der Grünen, Jan Philipp Albrecht, öffentlich vertreten.

Andere Sicht der führenden Wettbewerbsrechtler

in einem Beitrag der Löffel Abrar Rechtsanwälte PartG mbB wird jedoch auf einen Standardkommentar zum UWG von Prof. Dr. Helmut Köhler, einem der bekanntesten Wettbewerbsrechtler verwiesen. Nämlich das die DS-GVO abschließende Regelungen enthält, wodurch nicht alle Verstöße nach § 3a UWG verfolgt werden können. Pikanterweise gehört Köhlers Mitkommentator Jörn Feddersen zum zuständigen Zivilsenat des BGH, der solche offenen Fragen letztendlich klären bzw. an den EUGH weiterleiten wird.

Recht kostet viel Zeit und Geld

Meiner Meinung nach wird es viel Zeit und Geld kosten, am Ende Recht zu bekommen. Der Weg zum BGH ist lang. Aber vielleicht kann der Hinweis auf den Artikel und den Kommentar zum UWG in einigen Fällen helfen, Ansprüche von Abmahnern abzuwehren. Gegebenenfalls kann auch den eigenen Anwalt auf den Artikel hinweisen, manchmal gibt es da doch Wissenslücken 😉

Zum vollständigen Beitrag von Löffel Abrar geht es hier: Link

 

 

EU DSVGO für Webworker

WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.
WordPress-Spezialist und Rechtsanwalt Udo Meisen beim 13 WordPress Meetup Bonn zum Thema EU Datenschutz Grundverordnung (DSGVO) für Webworker.

Am 4. April 2018 hielt der Bonner Anwalt und WordPress-Spezialist Udo Meisen einen Vortrag zum Thema EU DSGVO für Webworker. Der Vortrag fand bei CoWorking Bonn (Danke Ralph!) im Rahmen des monatlichen Bonner WordPress-Meetup statt.

Disclaimer

Den ganzen Vortrag von Udo kann ich an dieser Stelle nicht wiedergeben, aber einige wichtige Punkte  gebe ich hier wieder.

Vorab: Dieser Beitrag stellt keine Rechtsberatung dar! Ich übe keinen Rechtsberuf aus und kann und darf keine Rechtsberatung leisten. Wer mehr wissen will kann einen Fachanwalt befragen oder unter Wissensschmiede.online ein etwa sechsstündiges, ausführliches Seminar zu dem Thema buchen.

EU DSGVO betrifft nicht nur elektronische Daten und nicht nur Europäer

Eine Wichtige Änderung: Das deutsche BDSG befasste sich bisher nur mit der elektronischen Datenverarbeitung. Die EU DSGVO deckt nun jede Art der Datenverarbeitung ab. Auch der „Notizblock neben dem Telefon,“ so Udo.

Auch der Wirkungsraum wurde ausgedehnt: die EU DSGVO gilt für alle europäischen Unternehmen und für alle Unternehmen weltweit, die mit EU-Bürgern zu tun haben.

Fotografen brauchen Einverständniserklärung zur Datenverarbeitung

Gleich zu Beginn dann der Oberhammer, der alle Fotografen mit einer Fotografenwebseite betrifft: Bisher genügte der branchenübliche Model-Release-Vertrag. Mit der EU DSGVO benötigt der Fotograf nun zusätzlich (und auch rückwirkend für alte Fotos!) eine Einverständniserklärung zur Datenverarbeitung durch das Model.

Damit nicht genug: Das Model darf die Einverständniserklärung jederzeit zurückziehen! Das gilt natürlich nicht nur für Models, sondern für alle Betroffene von Datenverarbeitung.

Wenn man das mal extrem weiterspinnt gibt es bald keinen Film mehr der in der EU gedreht oder gezeigt wird: Wenn ein Komparse seine Einwilligung zurückzieht muss er eigentlich herausgeschnitten werden. Hat ein Hauptdarsteller mal keinen Bock mehr… uiuiuiuiui!

Vertrag zur Auftrags(daten)verarbeitung

Webworker, die an Kundendaten gelangen können, zum Beispiel im Rahmen von Webseitenwartung oder Facebook-Betreuung, zählen zu Auftragsdatenverarbeitern. Deren Kunden müssen mit Ihnen einen Vertrag zur Auftrags(daten)verarbeitung abschließen.

Bisherige ADV-Verträge, beispielsweise mit Google, Webhostern oder Newsletterdiensten, müssen jeweils neu abgeschlossen werden, da die EU DSGVO ausführlichere Angaben verlangt.

Webfonts/Google-Fonts

Das nächste Thema dürfte wieder 99% aller WordPress-Nutzer treffen: Webfonts, die durch Webseiten von externen Servern automatisch heruntergeladen werden fallen ebenfalls unter die EU DSGVO, da hier IP-Adressen und andere Informationen der Nutzer übertragen werden. Dementsprechend müsste der Nutzer sich vorher aktiv („Opt-in“) einverstanden erklären.

Eine einfache, für jeden WordPress Betreiber praktikable Lösung ist derzeit immer noch nicht in Sicht. Von Google ist keine Unterstützung zu erwarten, da man sich hier nicht von der DSGVO betroffen fühlt. Auch bei vielen, vorwiegend US amerikanischen WordPress Core-Entwicklern hat man teilweise wenig Verständnis für „europäische Probleme.“ America First ist ein übles Gift…

Datenschutz-Generatoren

Im Zusammenhang mit Google Webfonts kam Udo auch auf die, teils kostenpflichtigen, Generatoren für Datenschutzerklärungen zu sprechen. Grundsätzlich spricht nichts dagegen, da diese Generatoren einen Großteil der Fälle abdecken. Udo selbst bietet den Teilnehmern seines Vortrags eine kostenfreie Alternative.

Bei den Generatoren im Internet wird bei zumindest einem Anbieter (Ja, der dessen Agenturpartner ich bin) ein Passus verwendet, wonach es ein „berechtigtes Interesse“ zur Nutzung von  Google Webfonts gibt. Das legalisiert nach Art 6 Abs.1 lit.f DSGVO deren Einsatz. Dieses Interesse, nämlich die „einheitliche und ansprechende Darstellung des online Angebotes“ sieht Udo bedenklich, da es DSVGO-konforme Alternativen gibt. „Immerhin,“ so sagt er, „wird der Nutzer über den Einsatz von Google Webfonts informiert.“

Google Chome warnt vor nicht-SSL Seiten

Mit dem nächsten größeren Update wird Google in seinem Browser Chrome aktiv vor Webseiten warnen, die nicht komplett SSL-verschlüsselt sind. Die Maßnahme war schon länger bekannt und wird nun bald umgesetzt. Außerdem, und das ist schon lange umgesetzt, stehen unverschlüsselte Seiten im Ranking der Google-Suche schlechter da.

Viele deutsche Immobilienmakler betroffen

Betroffen von Googles Maßnahme werden unter anderem viele Immobilienmakler sein, die Ihre Webseite für viel Geld bei der Kölner Firma FlowFact beauftragt haben. FlowFact bietet meines Wissens derzeit keine Vollverschlüsselung der Makler-Seite an. Die Makler haben aber auch keine Möglichkeit andere Dienstleister einzusetzen, weil FlowFact alles abgeschottet hat.

Wenigstens ein Damokles-Schwert bleibt den meisten  Webworkern erspart

Solange ein Betrieb nicht mehr als 250 Mitarbeiter hat, keine sensiblen personenbezogene Daten verarbeitet oder die Datenverarbeitung nicht das Kerngeschäft ist, braucht dort kein Verfahrensverzeichnis geführt zu werden. Immerhin etwas, denn davor hat es mich echt gegruselt. Nichts desto trotz, ich nehme den Datenschutz ernst und werde meine Prozesse dementsprechend noch mal prüfen.

Konsequenz für mich

Kunden von Thomas Blüm – Web & Consulting müssen einen A(D)V-Vertrag mit mir abschließen. Das gilt auch für Bestandskunden mit Wartungsvertrag und Kunden, deren Facebook-Seiten ich betreue.

Meine AGB werde ich  kurzfristig dahingehend ändern, dass der Auftraggeber für Webseiten alle erforderlichen Angaben für das Impressum und die Texte für die Datenschutzerklärung liefern muss.

Google Webfonts bleiben vorerst leider ein ungelöstes Thema für mich. Mehrere Teilnehmer des Vortrages haben jedoch angeregt dies zu einem Thema für ein künftiges Meetup zu machen.

TB Web & Consulting ist Agenturpartner von eRecht24 – update

Thomas Blüm – Web & Consulting ist jetzt Agenturpartner von eRecht24. Als Agenturpartner kann ich für meine Kunden unter Anderem ab sofort DSVGO-konforme Datenschutzerklärungen für die Webseite erstellen – und zwar ohne Werbung für einen Generator oder eine Rechtsanwaltskanzlei!
 

Kleingedrucktes

Auch wenn eRecht24 von „rechtssicheren Webseiten“ spricht: Die Einbindung der von mir generierten Datenschutzerklärung erfolgt ausschließlich auf eigenes Risiko, eine Haftung kann nicht übernommen werden. Bei konkreten Fragen lassen Sie sich bitte von einem spezialisierten Rechtsanwalt beraten.

Update

Ich habe die Agenturpartnerschaft mit eRecht24 inzwischen beendet und arbeite im Bedarfsfall mit dem Bonner Rechtsanwalt Udo Meisen.

Neu: Drohne verstärkt Fotoausrüstung

DJI Spark Drohne. Foto DJI Pressefotos

Im Frühjahr werde ich meine Fotoausrüstung durch eine Drohne verstärken. Die DJI Spark ist ein nur 300 Gramm schwerer, leistungsfähiger und hochmobiler Multikopter, der Videos in Full-HD und Fotos mit knapp 12 Megapixeln aufnehmen kann. Einsatzzwecke sind zum Beispiel Aufnahmen von Gebäuden oder großen Objekten aus der Vogelperspektive. Für Immobilienmakler ist das besonders interessant und durchaus ein Wettbewerbsvorteil.

Sobald die Temperaturen es zulassen – LiPo-Flugakkus sind da relativ empfindlich – werde ich Bilder und Videos auf Facebook posten. Deswegen nutze ich die Zeit bis dahin für Fortbildung und Training.

Sie haben Bedarf? Nehmen Sie jetzt Kontakt auf!

Foto: DJI Pressefotos