Beiträge

Immer mehr Menschen arbeiten wegen dem Coronavirus, auch Covid-19 genannt, zu Hause, im Home-Office. Somit nutzen wir Daten im Home-Office auf dem Firmen PC, der Cloud oder über das Virtual Private Network und laden diese runter oder auf die Firmenserver hoch. Die Daten sind für uns sofort abrufbar.

Doch gelten Home-Office Mitarbeiter als besonders anfällig für Cyberangriffe.

Was kann man machen, wenn diese Daten auf einmal nicht mehr erreichbar sind? Wenn man keinen Zugriff mehr auf seine eigenen Daten hat? Dies könnte durch einen Angriff von Ransomware passieren. Hier erklären wir an zwei Beispielen, wie Sie sich auf ein Szenario mit Ramsonware oder einem Cyberattacke-Befall vorbereiten können.

Im Vorfeld muss eine Kosten-Nutzen Analyse feststellen, ob sich Vorbereitungsmassnahmen und ein Notfallplan lohnen. Wir denken ja, da praktische Hilfe im Falle eines Befalles Ransomware kaum auf die Schnelle gefunden werden kann.

1. Was ist Malware?

Der Ausdruck setzt sich aus den englischen Wörtern “malicious” (bösartig) und “software” zusammen und stellt den Sammelbgriff für alle virtuellen Bedrohungen.

  • Was ist ein Trojaner? Es ist ein getarntes Programm – ganz im Sinne eines trojanischen Pferdes – das tatsächlich aber dazu dient Schaden anzurichten. Diese Art der Malware kann Dateien, Programme und ganze Rechner-Systeme infiltrieren, manipulieren, löschen oder sperren.
  • Was ist ein Computer Virus? Ein aus Schadcode bestehendes Programm, das sich selber von Gerät zu Gerät kopieren kann.
  • Was ist ein Wurm? Eine sich selbst replizierende Malware (und eine Virusart). Jedoch hängt ein Wurm nicht an einer Datei, sondern schlängelt sich durch Sicherheitslücken, um in das Netzwerk einzudringen.
  • Was ist Ransomware? Eine Art Trojaner. Gelangt meist durch eine unbedachte Handlung des Nutzers – beispielsweise das Öffnen eines E-Mail-Anhangs – zunächst unbemerkt auf den Rechner. Alle dem Nutzer zur Verfügung stehenden Dateien werden verschlüsselt. Diese Daten können nur mit einem Passwort entschlüsselt werden, welches der Hacker zur Verfügung stellt, nachdem das Lösegeld bezahlt wurde.

Wenn mehr Bedarf an dem Thema Viren besteht, kann dies in unserem Buch nachgelesen werden, welches in über 17 Sprachen übersetzt wurde:

  • Harley, David, Slade, Robert & Gattiker, Urs E. (2002). Viruses revealed. New York: McGraw-Hill (Deutsche Ausgabe: Das Anti-Viren-Buch, Bonn: mitp Verlag) siehe  Amazon.de oder Amazon.com

2. Risiko Management und Digital Marketing: Malware

Heute ist jedes KMU im Digital Marketing tätig, sei es mit Email Newsletters, Webseiten oder Social Media Konten. Da ist eine Ransomware Attacke möglich und die Verteitigung viel Geld kostet. Dabei ist klar, dass Grossunternehmen dank interner Sicherheitsexperten diese Problemstellung anders angehen können.

Unser Fokus liegt auf KMU – Kleine oder mittlere Uunternehmen. Laut der Definition der Europäischen Union und dem statistischen Bundesamt (Deutschland) beschäftigen diese bis 249 Vollzeitbeschäftigte und haben bis €50 Mio Umsatz. In der Schweiz sind fast

  • 90% aller Unternehmen Mikrobetriebe mit bis zu 9 Vollzeitbeschäftigten und
  • 8.5% sind Kleine Unternehmen mit bis zu 49 Vollzeitbeschäftigten.

Man kann sich natürlich die Frage stellen, warum Firmen überhaupt für Schadsoftware – z.B. Ransomware – angreifbar sind. Ein Grund ist die Schwierigkeit, das fehlende Know-How um IT Systeme angemessen zu schützen. Oft laufen die Rechner mit veralteter, nicht gepatchter Software. Da kann Ransomware zum lukrativen Geschäft werden, da auch einige der Opfer einfach den verlangten Preis bezahlen.

Die Malware erreicht das Opfer meistens durch eine unbedeutend aussehende E-Mail, in der der Empfänger aufgefordert wird, auf einen bösartigen Link zu klicken oder einen infizierten Anhang zu öffnen. Sobald Ihr System kompromittiert ist, greift das Virus auf alle Dateien auf ihrem PC oder dem Server zu. Die Dateien werden verschlüsselt und können nur mit Hilfe eines Passwortes entschlüsselt werden.

Das entscheidende sind die schwächsten Links in der Kette, d.h. die Menschen. Manchmal kommen nämlich diese Viren ganz harmlos daher, wie das Image unten zeigt, in diesem Fall als eine Email mit der Aufforderung eine Rechnung zu bezahlen.

Unsere Buchhaltung war vorsichtig, da schon für Malware sensibilisiert. Neben einer ungewöhnlichen Absender-Email Adresse war auch der Text auffällig.

Von: Urs E. Gattiker mailoffice202@virginmedia.com 
 Gesendet: Freitag, 7. Februar 2020 12:05
 An: Franziska Stadler cccc@drkpi.com
 Betreff: AW: Beachtung
 Ok. Bitte zahlen aus 543.389.80;
 KONTOBEZEICHNUNG: Jozsef Jakab
 ADDRESSE: 226 High Street, Dudley DY1 1PQ, United Kingdom
 IBAN: GB60 HBUK 4009 0045 5977 65
 BIC: HBUKGB4193E
 BANKLEITZAHL: 400900
 KONTO NUMMER: 45597765
 BANK: HSBC BANK PLC
 ZWECK: Akquisitionen und Beratung
 REFERENZ: ADM/8304352/XTR
 48'720.12 CHF
 Senden mir den Überweisungsbeleg.
 Grüße;
 Urs E. Gattiker

Übrigens, wir haben die CHF 48’720 nicht bezahlt.

3. Vorbereitungsmassnahmen gegen Malware: Vorsicht ist die Mutter der Porzellankiste

In KMUs ist es eher nicht der Fall, dass Sicherheitsspezialisten wie Anti-Viren oder Malware Experten vor Ort sind. Doch 3 Dinge können wir auf jeden Fall tun, um die Risiken zu minimieren:

  • Backup machen: Ihre stärkste Waffe, um Lösegeldforderungen zu besiegen, ist eine regelmässig durchgeführte Sicherung von Daten. Das geschieht sinnvollerweise Offline, so dass diese Backups während eines Angriffs nicht kompromittiert oder gelöscht werden können. Diese Backups sollten regelmässig getestet werden um sicherzustellen, dass alles wie geplant funktioniert.
  • Patches/Sicherheit-Updates einspielen: Lösegeld-Angreifer verlassen sich häufig auf Systeme, die veraltete Software mit bekannten Schwachstellen nutzen, um schleichend in ein Netzwerk zu gelangen. Der Patching-Plan hilft Ihnen dabei, Ihre Systeme auf dem neuesten Stand zu halten und gibt Ihnen Einblick in die Lücken, die nicht gepatcht werden können.
  • Schwächstes Glied stärken: Das ist meistens der Mitarbeiter, der einer Phishing Email zum Opfer fällt (wie das Beispiel oben), auf einen URL klickt, der auf eine verseuchte Webseite führt, oder die angehängte verseuchte Datei anklickt, die den Virus freisetzt. Sensibilisierung und Vorbereitung der Mitarbeiter ist hier wichtig. Wir haben durch drkpi Academy für einige unserer Kunden solche Trainings erfolgreich angeboten.

Ressourcen: Weitere Informationen gibt es z.B. auch von z.B. Cisco.

PS. Sicherheitsexperten nennen Zoom ein “Datenschutz Disaster”. Hackers können in Video Konferenzen eindringen, rassistische oder sexuelle Bemerkungen und Drohungen aussprechen. Zoom hat fälschlicherweise seine Sicherheit mit A nach B (end-to-end) Verschlüsselung angepriesen.

4. Notfallplan erstellen

Dieser ermöglicht, im Ernstfall schnell koordinierte Massnahmen zu treffen. Für Ransomware deckt der Plan z.B. folgende Fragen ab:

  • Was ist bei einem Totalausfall der IT Infrastruktur, Email Kommunikation, usw. zu tun?
  • Wie können die Geschäftsprozesse trotzdem aufrechterhalten werden?
  • Wer ist für welche Prozesse verantwortlich?
  • Wie wird die Situation nach innen und aussen kommuniziert?

Es empfiehlt sich, die Szenarien im Notfallplan mit den verantwortlichen Personen durchzuspielen. So ist sichergestellt, dass dieser im Ernstfall auch umgesetzt werden kann. Der Plan kann auch weitere Szenarien wie Cyberangriffe oder Elementarschäden, abdecken.

Was passieren kann, wenn kein Notfallplan vorhanden ist, beschreibt die Situation eines unserer international tätigen Grosskunden. Zunächst kam eine WhatsApp Nachricht vom Kunden :

Lieber Urs, keine Email mehr möglich, wir sind ein Opfer einer Ransomware Attacke geworden. Nutze meine private email auf…..

Mitarbeiter mussten während gut zwei Wochen private Email Adressen benutzen um miteinander und mit Kunden kommunizieren zu können.

5. Was ist nach einem erfolgreichen Ransomware, Viren oder Trojaner Angriff zu tun?

Bei Verdacht sollten sie diese Schritte sofort tun, die einfach und auch ohne Techniker machbar sind:

  • Infizierten Computer oder Server runter fahren, vom Internet wegnehmen und auch
  • Backups sofort isolieren.
  • Shared Drives ebenfalls isolieren und die
  • Mitarbeiter über die Attacke informieren.

Natürlich sollten sie als verantwortungsbewusste Bürgerin in der Schweiz den Vorfall der lokalen Polizeidienststelle melden. Nichtdestotrotz, erwarten sie keine grosse Hilfe. Dies musste z.B. ein Freund von mir vor gut 3 Wochen erfahren. Sein Kommentar:

Ich ging zur lokalen Polizeistelle im Dorf, die hatten keine Ahnung. Bei der Kantonspolizei konnte ich es melden, aber mit wem ich reden sollte oder welche öffentliche Stelle was weiss, keine Ahnung… so ein Sch…!

Der Freund hat sich hilfesuchen an uns gewandt und wir konten ihm mithilfe unseres Netzwerkes und mit unseren Fähigkeiten helfen.

Was einem KMU auch Sorgen bereiten kann ist, dass im Rahmen eines Verfahrens die beschädigten Computer, Handys, usw. als Beweismaterial von der Polizei eingezogen werden. Somit sind diese dann für eine gewisse Zeit nicht verwendbar.

Rein pragmatisch können sie jedoch die folgenden Dinge tun, um den Schaden zu minimieren:

  • Monitoring der Dateierweiterung: Während des Verschlüsselungsvorgangs wird die Dateierweiterung mit einer neuen Art von Erweiterung geändert, die Sie noch nie zuvor gesehen haben. Daher können Sie die bekannte Ransomware-Dateierweiterung sammeln und die Erweiterungen überwachen. Dies wird Ihnen helfen, die Ransomware zu identifizieren, noch bevor der Vorfall eintritt.

6. Schlussfolgerungen: Wo es hapert

Es stellt sich für ein KMU die grosse Frage, wie es Hilfe für einen bezahlbaren Preis bekommen kann wenn es brennt. Gute Vorbereitungsmassnahmen und ein Notfallplan sind fast immer kostengünstiger, als im Falle einer Krise Experten hinzuziehen zu müssen. Auch wenn lange nichts passiert, weiss man nie, wann es einen treffen kann. Vorbeugen ist auch in diesem Falle besser als hinterher fieberhaft nach Hilfe zu suchen und womöglich Daten zu verlieren.

Praktische Hilfe im Falle eines Befalles von einem Netzwerk mit Ransomware kann kaum auf die Schnelle gefunden werden. Zur Illustration hier diese beiden Beispiele aus der Schweiz und Deutschland, dann verstehen Sie, was ich meine:

Die Angaben sind von der Melde- und Analysestelle Informationssicherung (MELANI) dürftig und rudimentär. Kurz, nicht sehr hilfreich, um die Ransomware Situation in ihrem Unternehmen erfolgreich zu managen.

Vorbereitungsmassnahmen (Sektion 3) und ein Notfallplan (Sektion 4 oben) sind sicherlich ein guter Ansatz, um sich auf den möglichen Fall einer Ransomware Attacke vorbereiten zu können.

Lösegeld bezahlen oder aber darauf verzichten? Was ist ihre Meinung? Haben Sie selber solche Erfahrung gemacht?

Beispiele von Malware oder Cyberattacken 2017, 2019…

MalwareBeschreibung von 3 Cyberattacken in einem Jahr
TritonAugust 2017 drangen Hacker in die System eines Gaskraftwerks in Saudiarabien vor. Die Hacker wollten das Sicherheitssystem lahmlegen um möglicherweise eine Explosion auslösen zu können.
Der Versuch schlug fehl.
WannaCryMay 2017 infiszierte diese Erpressungssoftware mehr als 200’000 Computer von Unternehmen, Privatpersonen und der öffentlichen Verwaltungen. Das betraff 150 Länder und hatte fatale Auswirkungen. Beispielsweise in Grossbritannien waren Kliniken betroffen. Das Russische Innenministerium war betroffen und in Deutschland fielen die digitalen Anzeigetafeln und Ticketautomaten an den Bahnöfen aus.
Franreichs Autohersteller Renault war sogar gezwungen seine Produktion in mehreren Werken zu stoppen.
Der verdacht viel auf Nordkorea als Verurschaer der WannaCry Software.
NotPetyaJuli 2017 befiel die Erpressungssoftware NotPetya die Computer in der Ukraine. Von dort bereitete sich diese dann auf Rechner in ganz Europa aus. Auch Nord Amerika und Asien waren davon betroffen.
Doch ging es hier den Angreigern – vermutlich aus Russland – nicht um Geld sondern möglicherweise um die weitere Destabilisierung der Ukraine.
Coronavirus
Warnung
2020-04-08: Grossbritannien’s National Cyber Security Centre — eine Abteilung der “signals intelligence agency GCHQ” sowie die “Cybersecurity and Infrastructure Security Agency” — eine Abteilung von Homeland Security — wiesen auf die erhöhte Gefahr von COVID-19 Typ Attacken von staatlichen Stellen hin.
Vom Staat unterstützte Hacker verwenden ähnliche E-Mail-“Lockmittel”, um Regierungsbeamte, Akademiker und Mitarbeiter von Gesundheitsbehörden dazu zu verleiten, auf Links zu klicken, die Zugang zu den Netzwerken ihrer Organisationen bieten.

2019 Liste von Cyberattacks und Datenschutzverletzung

Wir besuchen einander und reden Angesicht zu Angesicht, spart Zeit | Urheber Death to Stock

Was nützt mir die beste Social Media Marketing Strategie? Was bringt mehr Earned Media oder Word-of-Mouth dank eines Influencers, wenn alles im Datengau endet wie bei Facebook und Cambridge Analytica?
Den derzeitigen Status meiner Beziehung mit dem sozialen Netzwerk Facebook, WhatsApp, Instagram, usw. könnt man nur als “es ist kompliziert” umschreiben.
Ich brauche den WhatsApp Messenger Service. Doch Mark Zuckerbergs Besuch vor den Gremien im amerikanischen Senat flösste mir kein Vertrauen ein. Die Datenschutz Grundverordnung (DSGVO) wird auch in Zukunft dieses Unternehmen kaum daran hindern, die Privatsphäre seiner Kunden zu missachten.
John Edwards, Neuseelands Datenschutzbeauftragter beschreibt dies sehr genau in einem Artikel. Er wies Neuseelands 2.5 Mio Facebook Nutzer nach dem Cambridge Analytica Fall darauf hin, dass ein NZ Nutzer sein Recht auf Auskunft welche Daten Facebook über ihn speichert nicht einfordern könne.
Er hatte versucht dies für einen NZ Nutzer zu tun, war aber bei Facebook auf Granit gestossen. Auch der USA Regulator, die Federal Trade Commission, hat sich  Facebook, Dr. Kogut und Cambridge Analytica Datengau angenommen.
Der australische Datenschutzbeauftragte hat nachgefragt “please explain“.  Wie kompliziert der Fall ist und wieviele Firmen involviert sind wird hier im Register sehr gut beschrieben.

Non-Compliant

Aus den obigen Gründen macht es Sinn, die Whats App oder auch Facebook Messenger Service App nicht mehr zu nutzen.
Betriebe dürfen dies sowieso nicht. Facebook wie auch WhatsApp erlauben nur die private Nutzung.
Facebook bietet keinen Auftragsverarbeitungsvertrag an, somit kann ein Unternehmen weder Facebook Messenger noch WhatsApp nutzen.
Ohne Auftragsverarbeitungsvertrag ist die Nutzung einer solchen App auf dem Handy des Unternehmens oder zu Kommunikationszwecken im Betrieb nicht DSGVO compliant.
Aus diesem Grunde stellen wir Ihnen Alternativen vor.  1 Gewinner mit einem Auftragsverarbeitungsvertrag gibt es ebenso!

Update gefällig?

Tragen Sie sich in unseren Verteiler ein, bleiben Sie auf dem Laufenden und erhalten Sie jeweils eine Reminder-Mail, sobald ein neues Thema zum EU Datenschutz, Marketing und Compliance veröffentlicht wird.
[su_box title=”Weitere wichtige News zum EU Datenschutz” box_color=”#86bac5″ radius=”9″ class=”alignlcenter max-width: 700px”]
2018 EU Datenschutz: Marketing aufgepasst
2018 EU Datenschutz: Personalrekrutierung oder kostenlose Pizza gefällig?
2018 EU Datenschutz: KMU, was nun?
2018 EU Datenschutz Ratgeber: Facebook Likes und DSGVO: Ist der Bewerber drogensüchtig?
2018 EU Datenschutz Compliance mit Google Analytics 
5 Alternativen zu Facebook Messenger und WhatsApp  (sie sind hier)
#MCLago 2018 EU Datenschutz: Marketing – September 2017
#MCLago 2018 EU Datenschutz: Marketing Trends – März 2018
#MCLago 2018 EU Datenschutz: Compliance Ressource Seite – Tools, Checklisten (April 2018 regelmässige Updates)
MC Stuttgart-Heilbronn – DSGVO: Tipps
#MCLago 2018 EU Datenschutz: Workshop für Marketing Fachleute – 8. März 2018
[/su_box]
Punkte einfach anklicken und Sie kommen sofort zur Antwort weiter unten.

Digital Online FAQs: So helfen wir dem Nutzer.

Digital Online FAQs: So helfen wir dem Nutzer.

1. Welche WhatsApp Alternativen stehen zur Diskussion?

Hier 5 häufig genutzte Alternativen zum WhatsApp Messenger. Wir empfehlen aber keine von diesen. Wir erklären auch kurz warum.
[su_box title=”Tabelle 1: 5 WhatsApp Chat Alternativen die wir nicht empfehlen ” box_color=”#86bac5″ radius=”9″ class=”aligncenter max-width: 700px”]

SIMSme

Grundsätzlich muss man die Datenschutzregeln dieser Services genau studieren.
Dies hat die Verbraucherzentrale NRW getan. Z.B. bei der SIMSme App der Deutschen Post.
Nicht ideal: Die SIMSm verlangt die Verbindung mit der Telefonnummern und weiteren Angaben des Nutzers.
Auch die von David Snowden oder Bruce Schneier gepriesenen Signal App funktioniert auf diese Weise, d.h. in beiden Fällen ist die Nutzung nur bei einer Verknüpfung mit der Telefonnummer möglich.
Gut ist, dass bei fast allen Messenger Apps die Ende-zu-Ende-Verschlüsselung Standard ist.

Surespot

Die Applikation Surespot bietet ebenfalls End-to-End-Verschlüsselung an und basiert auf Open Source Code. Sie wird als sicher eingestuft.
Gut: Open Source.

Kik

Diese Messenger App wurde für die Nutzergruppe Teenagers entwickelt und ist für Chatting. Diese App gibt es auch auf dem Google Play Store und der iApp Plattform
Der Service hat neben der Sicherheit den Vorteil, dass keine Telefonnummer angegeben werden muss. Man nutzt einen Username.
Nicht ideal: Keine End-to-End-Verschlüsselung außer im Secret Chat Modus.
Beide oben aufgeführten Messenger Apps sind nicht mit dem Telefon des Nutzers verbunden. D.h. die Registrierung kann ohne Telefonnummer erfolgen.

Persönliche Daten müssen angegeben werden

Signal

Die App Signal von Open Whisper Systems besitzt eine Ende-zu-Ende-Verschlüsselung. Mit dem Messenger können Nutzer Textnachrichten und abhörsichere Telefonate führen. Auch für den Desktop wird ein Client angeboten.
Sicherheit ist natürlich wichtig. WhatsApp wie auch die Nachrichten-Option auf Google Allo-Messenger basieren auf der Open Source Verschlüsselung, die von Signal genutzt wird.

Telegram

Verschlüsselt Daten auf dem Handy, zentral wird kein Schlüssel gespeichert. Das hat dem Service mit dem russischen Inlandgeheimdienst FSB Probleme eingehandelt. Hier findest du Telegram Messenger App für Android, iPhone und Windows.
Der Service wird vor allem in Kriegsgebieten und in totalitären Staaten wie z.B. Syrien und Iran von Bürgern für Informationszwecke genutzt.  [/su_box]
Viele Messenger Applikationen sind über die letzten 3 Jahre verschwunden.
Swisscom lancierte 2013 deren io App für Chat und Telefonie. Aber nicht einmal ein Video mit Tina Turner verhinderte die Einstellung der App im August 2017.
Laut Swisscom Corporate Communication war der Grund mangelnde Marketakzeptanz der io App.
Doch mit ein bisschen mehr Geduld und der Swisscom PayApp integriert, wäre das sicherlich was geworden. Aber das braucht Geduld und eine Vision, um den Walk durch das Valley of Death durchzuhalten. Das scheint der Swisscom sowie auch bei anderen abhanden gekommen zu sein.
Die 10 Vollzeit Mitarbeiter wurden anderweitig eingesetzt.

2.  3 tolle Alternativen für WhatsApp

Noch bessere Alternativen finden Sie hier.
[su_box title=”Tabelle 2: Zwei WhatsApp Chat Alternativen die wir empfehlen ” box_color=”#86bac5″ radius=”9″ class=”aligncenter max-width: 700px”]

Threema

Den Service für Google Android, iPhone und Windows kann hier runtergeladen werden. Threema Web auf dem PC gibt es auch. Auch verschlüsselte Internet Telefonie ist möglich. Die Anmeldung kann anonym, ohne Telefonnummer oder E-Mail-Adresse bewerkstelligt werden.
Kontakte werden in drei Sicherheitsstufen dargestellt. Um die sicherste Stufe zu erreichen, müssen beide Gesprächspartner deren Identitäten über das Scannen eines QR-Codes bestätigen.
2014 hat die Stiftung Warentest diesen aus 5 Services als den einzig sicheren klassifiziert.

Hoccer

Auch dies ist ein Service, der die anonyme Registrierung wie bei Kik und Threema zulässt. Auch dieser ist sicher wie Threema laut Stiftung Warentest.

Teamwire

Diese App bietet eine Enterprise Solution an. DSGVO konform mit Checkliste, d.h. dieses System ist nicht für den privaten Gebrauch konzipiert. Inwiefern die Datenauftragsverarbeitung festgelegt ist, konnten wir auf der Webseite aber nicht eruieren.

Fazit

Threema und Hoccer verlangen keine Daten bei der Registrierung und halten sich an die DSGVO Datenschutzrichtlinien.
Wichtig ist auch, dass das Adressbuch nicht synchronisiert wird. D.h. es wird nicht mit bereits vorhandenen Messenger-Nutzern abgeglichen. Wenn Daten anfallen, werden diese umgehend wieder gelöscht.
Threema und Teamwire bieten eine Work oder Enterprise Solution an.

Die Threema und Teamwire kann DSGVO konform aufgesetzt werden.  Threema empfiehlt sich im Enterprise wie auch privaten Umfeld.

[/su_box]
Ich habe auch einige Fragen an Threema gestellt, denn ich wollte wissen, inwiefern die Applikation DSGVO compliant ist.
Vor allem ging es mir auch darum, welche Art von Vertrag Threema offeriert, damit die Auftragsverarbeitung von persönlichen Daten wie z.B. Telefonnummern von Mitarbeitern, klar festgelegt ist.
Das heisst, als Unternehmen kann ich die Work Threema Lösung kaufen. Um diese jedoch DSGVO compliant einzusetzen, brauche ich einen Auftragsverarbeitungsvertrag mit Threema. Das ist die erste Hürde auf dem Wege zur Erreichung der DSGVO Compliance.
Die Antwort, welche ich erhielt ist unten:

From: “Threema Support” <support@threema.ch>
Subject: [#544459] Datenverarbeitung
Date: 10 April 2018 at 16:35:18 CEST
To:
— write your reply above this line —
Ihre Supportanfrage #544459 wurde untenstehend beantwortet. Bitte lassen Sie die
Ticketnummer im Betreff stehen, wenn Sie auf diese E-Mail antworten.
———-

Guten Tag

Grüezi Herr Gattiker

Vielen Dank für Ihre Anfrage und Ihr Interesse an Threema Work. Gerne gehe ich nachfolgend
auf Ihre Fragen ein:

1. Informationen zur DSGVO-Konformität
Bei Threema stehen Sicherheit und Schutz der Privatsphäre der Nutzer seit jeher im
Zentrum. Um den Anforderungen der DSGVO zu genügen, waren keinerlei technische Anpassungen
nötig. Der Konformität mit der DSGVO liegen formale Aspekte zugrunde. Zwei Beispiele: Das
Gesetz gibt Eckpunkte vor, die in einer Datenschutzerklärung vorhanden sein müssen. Die
Zustimmung zur Datenschutzerklärung ist Voraussetzung zur Nutzung unserer Dienstleistung,
was auf eine Vorgabe der DSGVO zurückgeht. Die Vorgaben der DSGVO finden Sie unter

2. Vereinbarung zur Auftragsdatenverarbeitung
In der Regel senden wir ein solsches Dokument kurz vor der eigentlichen Beschaffung zu.
Daher möchten wir Sie gerne bitten, nähere Angaben zu Ihrem Use-Case zu notieren:

• Erwartete Anzahl Nutzer nach Abschluss der Testphase (sofern nicht die verbandsweite
Verteilung greift)
• Betriebssysteme der mobilen Endgeräte
• Skizzierung der wichtigsten Kommunikationsszenarien
• Eingesetzte MDM Lösung, falls vorhanden
• Vorgesehener Zeitraum für das POC, aktueller Stand der Evaluation
• Anforderungen / Vorgehen bei Fluktuation der Mitglieder in Bezug auf Chat-Inhalte und
App-Zugang

Unser Merkblatt Sicherheit und Datenschutz enthält übrigens alle wichtigen Punkte:
https://work.threema.ch/de/docs/resources.

Weitere nützliche Links:
– Ratgeber zu Bestellprozess, Rollout, Konfiguration etc.: https://work.threema.ch/hilfe
– Details zu App Funktionen, Sprachanrufen und Desktopverwendung: https://threema.ch/faq

Mit freundlichen Grüssen,
Threema Support

———-

Die Antwort zeigt, dass wir noch einiges an Arbeit vor uns haben, wenn wir dies DSGVO compliant mit Threema Support umsetzen wollen. Ich hätte die Informationen gerne vorher eingesehen, bevor ich anfange, die App als Unternehmen oder Verein zu testen.
Aber Kundenservice ist eine hohe Kunst…

Threema App: DSGVO konform/compliant.

Threema App: DSGVO konform/compliant.

3. Was ist Ihre Meinung?

Die neue  EU Datenschutz Grundverordnung (EU DS-GVO oder DSGVO) wie auch die ePrivacy-Verordnung stellen neue Anforderungen an die Compliance.
Wir haben hier auf die Herausforderung in Sachen Compliance und Messenger Apps hingewiesen.
Was sich nicht empfiehlt, ist die WhatsApp Messenger App oder auch die weiteren in Tabelle 1 oben aufgelisteten Apps zu nutzen. Da keine Vereinbarung für die Verarbeitung der Daten mit dem Provider gemacht werden kann, sind die Dinge nicht DSGVO compliant.
Aber was uns natürlich brennend interessieren würde, wäre Ihre Meinung:

  • Haben Sie schon überprüft, ob Ihre Messenger App DSGVO compliant ist?
  • Wie werden Sie diese Herausforderung angehen?
  • Haben wir eine wichtige Messenger App hier vergessen welche Sie kennen?  Weisen Sie uns auf diese unten hin.
  • Nutzen Sie WhatsApp oder Skype auf dem Firmenhandy?

Obwohl Threema für Firmen eine gute Lösung ist, ist es schwierig die notwendigen Dokumente online zu finden inklusive Auftragsverarbeitungsvertrag.
Wie diese letztendlich aussehen, müsste Threema den Kunden Online zum Download anbieten. Das machen andere Firmen wie Salesforce oder Amazon Cloud Services schon lange.
Offenlegung: Der Autor / Blogger weist darauf hin, dass einige der erwähnten Unternehmen Kunden von CyTRAP Labs GmbH sind und / oder DrKPI® Services und Produkte abonniert haben / beziehen.

4. Weitere Ressourcen

Hier noch weitere Informationen, die wichtig sind.
[su_box title=”Tabelle 3: Weitere interessante Häppchen zur Problematik Datenschutz ” box_color=”#86bac5″ radius=”9″ class=”aligncenter max-width: 700px”]
Es gibt mehr zum Thema Influencer Marketing, Measurement und Word-of-Mouth Marketing und nochmals mehr zu Word-of-Mouth Marketing.
Der Datenschützer für Neuseeland hat eine Seite, die erklärt, wie man seine Seite auf Facebook löscht.
Doch auch Daten wie Fotos und Likes von gelöschten Seiten auf Facebook sind hier noch erhältlich.

Risk Assessment in der Cloud

Der Fall Dr. Aleksandr Kogan, Facebook and Cambridge Analytics illustriert ebenfalls, dass ein Unternehmen kaum überprüfen kann, ob Facebook die notwendigen Vorkehrungen zur Datensicherheit vorgenommen hat. Das müsste die Firma, denn nur durch Überprüfung kann der Betrieb sicherstellen, dass der Datenschutz der persönlichen Daten seiner Fans von der Firmenseite auf Facebook nach der DSGVO genüge getan wird.
Ob ein Unternehmen in der Lage ist, die Einhaltung der Richtlinien oder der DSGVO für deren Cloud Computing bei Amazon, Dropbox, Google, Microsoft oder Salesforce zu überprüfen, darf hinterfragt werden.
Apple hat dies in den iCloud Nutzungsbedingungen gelöst, nur private Nutzer sind zugelassen. Unter “Ziffer IV. Nutzung des Dienstes durch dich.” Abschnitt A “Dein Account” schreibt Apple:
Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist (…) https://www.apple.com/legal/internet-services/icloud/de/terms.html
iCloud is not DSGVO compliant, nach Apple Nutzungsbedingungen [/su_box]

30 Jahre Chat Apps: Was hat sich geändert? Wenige sind erfolgreich, noch mehr wurden eingestellt. Noch weniger sind DSGVO compliant.

30 Jahre Chat Apps: Was hat sich geändert? Wenige sind erfolgreich, noch mehr wurden eingestellt. Noch weniger sind DSGVO compliant.

5. Facebook / Cambridge Analytica Datengau: Durch DSGVO /GDPR verhindert?

Das ist sicherlich eine interessante Frage, welche wir in 3 Punkten unten in der Tabelle beantworten.
[su_box title=”Hätte die DSGVO die Facebook Data Analytica Geschichte verhindern können? ” box_color=”#86bac5″ radius=”9″ class=”aligncenter max-width: 700px”]

1. Schritt: Dr. Aleksandr Kogan von der Cambridge Universität

Er würde unter der DSGVO oder GDPR von den Teilnehmern seiner kurzen Umfrage das Einverständnis benötigen, bevor er Zugang zu deren persönlichen Daten auf Facebook bekommt.

2. Schritt: Dr. Kogan braucht die Zustimmung von Facebook

Dr. Kogan müsste die Einwilligung von Facebook einholen, um diese Daten an Cambridge Analytica weiter geben zu können.
Dies hätte er auch nach den Facebook Bestimmungen tun müssen.

3. Schritt: Cambridge Analytica muss betroffene Facebook Nutzer informieren

Cambridge Analytica müsste alle betroffenen Nutzer informieren, d.h. laut Facebook wären dies 82 Mio. Nutzer auf der ganzen Welt, dass deren Informationen für politische Zwecke genutzt werden sollen.
Diese könnten aber nach DSGVO deren Zustimmung verweigern.
Laut DSGVO können Personendaten für politische Kampagnen genutzt werden, jedoch nur zur Zusammenstellung von Newsletters oder aber Wahllisten. Erwägungsgrund 56 der DSGVO sagt dazu:

Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden.

PS. Im Weiteren wäre Facebook unter der DSGVO verpflichtet gewesen, das Wissen zu diesem Datenmissbrauch dem für sie zuständigen Datenschutzbeauftragten in Irland innerhalb von 72 Std. zu melden.
Das gilt auch als Zeitfenster und innerhalb dieses Zeitfensters hätten die betroffenen Nutzer, d.h. Kunden von Facebook, informiert werden müssen.
Wohlgemerkt, Facebook wusste dies seit spätestens 2015!
[/su_box]
Bitte nicht vergessen: Wenn Sie ein Geschäftshandy nutzen, dann sollten Sie WhatsApp nicht nutzen.
Es kann okay sein, die App auf dem privaten Handy für private Chats nutzen.
Doch auch hier empfiehlt sich Threema.

Message auf dem Handy eingeben | Death to Stock, Wired9

Message auf dem Handy eingeben | Death to Stock, Wired9