Archiv der Kategorie: Datenschutz

DSGVO: Weitergabe E-Mail Adressen an DHL – Lösung

Viele Händler haben uns gefragt, wie man die Weitergabe der E-Mail Adressen des Kunden an DHL verhindern könnte.

Hier nun die Lösung: nutzen Sie das aktuell DHL Modul „dhlgkapi“ für Modified eCommerce, mit dem man auch Paketscheine direkt im Shop drucken kann. Hier gibt es bereits einen Knopf „DHL sendet Statusnachricht“. Dieser muss auf „FALSE“ stehen. In diesem Fall wird keine E-Mail Adresse an DHL weitergegeben, es sei denn es handelt sich um eine Packstation. Packstation Kunden haben aber bei DHL entsprechenden AGB zugestimmt.

#DSGVO Weitergabe von E-Mail Adressen an Versanddienstleister

Von mehreren Anwälten liegen uns Hinweise vor, das man im Rahmen der DSGVO auf die Weitergabe von E-Mail Adressen an Versanddienstleister verzichten sollte.

Prinzipiell scheint nun zu gelten, alles verboten, außer:  und dann kommt ein paar wenige Ausnahmen. Für alles Andere benötigt man jeweils die explizite Erlaubnis des Kunden.

Was den technischen Aspekt dieser Problematik  angeht, könnte man die Kaufabwicklung umprogrammieren und ein Kästchen hinzufügen „ich erlaube Ihnen, meine E-Mail Adresse an (…) weiterzugeben“, das der Kunde anhaken kann, aber nicht muss.  Das Problem besteht darin, das man das für jeden Shop einzeln machen müsst, weil jeder Händler andere Dienstleister benutzt.

Hinzu kommt – es liest sowieso keiner und im Alltag wird niemand  dieses Häkchen setzen.

Letztendlich wäre wohl die einfachste Lösung, es in Zukunft einfach zu lassen.

Joomla : entweder aktuell halten oder umsteigen auf WordPress

Joomla ist ein sehr beliebtes und weit verbreitetes „Content Management System“, also ein Programm mit dem man als Laie schnell und kostengünstig eine Internetseite erstellen und pflegen kann.

Leider werden beliebte und weit verbreitete Programme auch von Hackern geliebt. Denn die Masse an Verbreitung macht das Hacken erst lohnenswert. Und das funktioniert so:

  • der Hacker mietet für wenige Stunden einen Server mit ordentlicher Rechenpower, zB bei Amazon
  • der Hacker schreibt ein Programm, das sich automatisch in eine Sicherheitslücke von Joomla reinfrisst, und dann einen Virus in Joomla hinterlegt.
  • Nun drückt der Hacker quasi auf einen Knopf und sagt „Kopiere dieses Programm 10.000 Mal“. Einen Augenblick später stehen im 10.000 Programme zur Verfügung.
  • Nun startet der Hacker die Programme und sagt „geht ins Internet und sucht nach Internetseiten die Joomla benutzen“, also quasi wie eine Suchmaschine.
  • Die Programme liefern ihm nun innerhalb einer Stunde eine Liste mit, sagen wir einmal, einer halben Million Internetseiten auf Joomla-Basis.
  • Nun drückt der Hacker auf einen Knopf und sagt „hackt diese Seiten“ und seine Programme rennen los um die Seiten zu hacken.

Sie sehen – Automatisierung gibts heute überall, auch im Bereich von Angriffen. Was also tun wir dagegen?

  1. Möglichkeit: Joomla immer aktuell halten und immer informieren, welche Möglichkeiten zur Absicherung es gibt.
    Wann immer eine Sicherheitslücke entdeckt wird, gibt es ein Update. Updates sind also nicht zum Spaß da oder um den Betreiber der Website zu ärgern. Es ist WICHTIG sie zu installieren. Also sollten Sie sich immer darum kümmern.
  2. Möglichkeit: Umsteigen auf WordPress.
    Ja, WordPress ist auch weit verbreitet und ja, WordPress wird auch ständig angegriffen. Allerdings gibt es für WordPress mittlerweile extrem gute Sicherheitsprogramme. Und: bei Sicherheitslücken gibt es nicht nur innerhalb von Stunden ein Update, sondern – und jetzt kommts – WordPress lädt sich diese Updates mittlerweile von selbst herunter und installiert sie.
    Sofern Sie also Ihr WordPress nicht gerade vom selben PC aus pflegen, an dem Sie auch Ihre Pornos gucken, sollte Ihre WordPress Seite sicher vor Viren und Hackern sein.
    Wir können mit Stolz sagen: von den Kunden, die uns mit der Installation und Härtung von WordPress beauftragt haben, ist seitdem nicht ein einziger gehackt worden.

Sind Sie an einem Umstieg von Joomla auf WordPress interessiert?  Wir haben für Sie ein Festpreis Angebot für Ihre individuelle WordPress Seite, inklusive Härtung.

SSL Zertifikate nur noch mit 1 oder 2 Jahre Laufzeit

Neue maximale Gültigkeitsdauer von SSL-Zertifikaten

Aufgrund einer Entscheidung des CAB-Forums (Ballot 193) dürfen Zertifikate ab dem 1. März 2018 nur noch eine maximale Gültigkeitsdauer von 825 Tage (entspricht 27 Monaten) aufweisen.

Zertifikate mit einer längeren Laufzeit (3 Jahre und mehr) können damit ab sofort nicht mehr bestellt werden. Diese Entscheidung betrifft alle Zertifizierungsstellen.

 

Wurde Ihr Passwort gestohlen? Jetzt kostenlos testen!

Mindestens einmal im Jahr sollte man alle seine Passwörter ändern. Warum? Weil mindestens einmal im Jahr irgendein Dienst gehackt wird den man nutzt. Ob Amazon, Real oder das weiße Haus – niemand ist zu 100% sicher.

Forscher haben es sich zur Aufgabe gemacht, möglichst viele Informationen über gestohlene Passwörter zusammenzutragen: das Hasso-Plattner-Institut hat den HPI Identity Leak Checker onlinegestellt.
Grob gesagt, haben die Forscher möglichst viele im Darknet erhältliche Zugangsdaten zusammengetragen und in einer Datenbank gespeichert, aktuell über 3,5 Milliarden!

Diese Datenbank können Sie abfragen und nach Ihren eigenen Daten suchen – einfach und sicher:

  1. Besuchen Sie die Seite des HPI Identitiy Leak Checker
  2. Geben Sie Ihre E-Mail Adresse ein
  3. Sekunden später erhalten Sie eine E-Mail, ob diese den Forschern bekannt ist – mit anderen Worten ob sie bereits gestohlen wurde.

Falls ja ist sofortiges Handeln angesagt. Auf ALLEN Internetseiten, auf denen Sie diese E-Mail Adresse als Login benutzen, müssen Sie SOFORT Ihr Passwort ändern.  Als Hilfestellung wird Ihnen verraten, seit wann Ihr Passwort bei den Hackern im Umlauf ist. D.h Sie müssen alle Passwörter ändern, die älter sind als der in der E-Mail genannte Monat.

Falls nein – ok Sie dürfen sich zurücklehnen. Für heute. Und morgen schauen Sie mal, welche Passwörter älter als 1 Jahr sind. Nur für alle Fälle.

 

Ab 2017 verschärfte E-Mail Regeln – Shopumstellung empfohlen

Spam wird ein immer größeres Problem, und die E-Mail Anbieter müssen sich immer mehr einfallen lassen, um in dieser Flut nicht unterzugehen.

Bereits jetzt eine häufige Möglichkeit: Testen, ob es den Absender wirklich gibt.

Bereits jetzt ist es Standard, das der Empfänger-Server jede E-Mail beim ersten Mal IMMER ablehnt mit der Aufforderung, diese nochmal zu versenden. Spammer tun dies in der Regel nicht, reale Absender jedoch schon.   Dies findet automatisiert statt, davon bekommen Sie als Benutzer gar nichts mit.

Ab 2017 wird untersucht, ob der Absender ein Postfach hat.

Etwas vereinfacht dargestellt: wenn Ihr Shop eine E-Mail mit einer Bestellbestätigung versendet, dann geschieht das meistens über die Funktion „Mail“. Dies ist eine Funktion auf dem Server, die kein eigenes Postfach erfordert.  Der Shop kann also die Bestellbestätigung absenden mit „bestellung@mein-shop.de“, obwohl es diese E-Mail Adresse gar nicht oder nur als Weiterleitung gibt.

Damit wird ab 2017 Schluß sein. 

Alle großen Anbieter werden im Laufe des ersten Quartals 2017 beginnen, solche E-Mails abzulehnen oder als Spam einzuordnen. Wir empfehlen Ihnen daher, die E-Mail Einstellungen in Ihrem Shop zu verändern und ein real existierendes E-Mail Postfach zu benutzen. Da wir in der Regel Ihre E-Mail Passwörter nicht kennen, möchten wir Sie bitten die folgende Anleitung zur Kenntnis zu nehmen.

Shophelfer Shops: Besuchen Sie den Menüpunkt Konfiguration – Grundeinstellungen – E-Mail Optionen

Modified eCommerce Shops: Besuchen Sie den Menüpunkt Konfiguration – E-Mail Optionen

Empfohlene Einstellungen für Fishnet Hosting Kunden:

E-Mail Transport Methode: SMTP
Adresse des SMTP Servers: mail.ihre-domain.de
Adresse des Backup Servers: mail.ihre-domain.de
SMTP Port: 25
SMTP Username: ihre E-Mail Adresse
SMTP Passwort: das Passwort Ihres E-Mail Kontos
SMTH AUTH: JA


Empfohlene Einstellungen für Kunden bei anderen Hostern:

E-Mail Transport Methode SMTP
Adresse des SMTP Servers: smtp.ihre-domain.de
Adresse des Backup Servers: smtp.ihre-domain.de
SMTP Port: 25
SMTP Username: Benutzername wie in Ihrem E-Mail Programm, häufig ist das die E-Mail Adresse
SMTP Passwort: das Passwort Ihres E-Mail Kontos
SMTH AUTH: true

Klarer Nachteil des Ganzen:

Wenn Sie das Passwort Ihres E-Mail Kontos ändern, müssen Sie in Zukunft daran denken, es auch im Shop zu ändern.

#Onlinebanking Achtung neue Betrugsmasche

Im Bereich Onlinebanking gibt es eine neue Betrugsmasche. Mithilfe eines Trojaners wird auf den Browser zugegriffen und die Anzeige im Browser manipuliert. Die Ansicht des Onlinekontos zeigt nun einen Geldeingang an, mit dem Absender „Finanzamt“. Gleichzeitig wird darauf hingewiesen, das es sich um eine Fehlerüberweisung handelt und man das Geld zurücküberweisen soll.

Die hinterlegte Bankverbindung ist natürlich die der Betrüger. Erst wenn man die ausgedruckten Kontoauszüge bekommt wird klar, das es keinen Geldeingang gab – sondern nur die Rücküberweisung.

Schadsoftware jetzt auch über Facebook

Die Kriminellen lassen sich ständig etwas Neues einfallen: seit einiger Zeit kursieren auf Facebook Fake-Videos, über oder unter denen die User sogar namentlich angesprochen werden mit der Aufforderung, es anzusehen.
Klickt man das vermeintliche Video an, öffnet sich jedoch eine neue Seite. Mit einem YouTube Logo versehen, fordert sie den Benutzer auf, vor dem Betrachten des Users noch ein notwendiges Plugin zu installieren. Dieses „Plugin“ ist jedoch eine Schadsoftware, die dem Angreifer Zugriff auf den Browser des Betrachters gibt. Somit kann weitere Schadsoftware nachgeladen und zum Beispiel die Passworteingaben auf der Tastatur mitgelesen werden.

Auch hier gilt der gesunde Menschenverstand: bevor man sich etwas installiert das man nicht kennt, verzichtet man lieber auf das vermeintliche tolle Video.

Ist Ihre Datenschutzerklärung aktuell?

Die IT Rechtskanzlei weist darauf hin, dass am 24.02.2016 das neue Gesetz zur Verbesserung der zivilrechtlichen  Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft trat.  Das bedeutet, dass Webseitenbetreiber ohne vollständige Datenschutzerklärung ab sofort abgemahnt werden können.

Besucher Ihrer Seite müssen nach § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte aufgeklärt werden. Diese Informationen muss die neue Datenschutzerklärung enthalten.

Genauere #Werbung und weniger #Datenschutz durch hochfrequente Töne

Smartphones galten lange ans „2nd Screen“, also ein zweiter Bildschirm der nebenher läuft, während man Fernsehen guckt. Inzwischen sind Smartphones so wichtig geworden, das sie der 1st Screen sind und der Fernseher der nebenbei laufende 2nd Screen.

Nun ist ja aber Fernsehen immer noch größtenteils werbefinanziert, wie bekommt man nun die Werbung in das Blickfeld des Nutzers, wenn er die ganze Zeit nur auf sein Smartphone sieht ?

In den USA gibt es nun die ersten Apps, die im Hintergrund laufend auf bestimmte Signale lauschen. Diese Signale werden im Fernsehen hochfrequent gesendet, sind somit für den Nutzer nicht hörbar. Die App jedoch erkennt das Signal und schaltet auf dem Smartphone Werbung – passend zum aktuellen Fernsehprogramm.  Somit können Werbetreiber nunmehr erkennen, welcher Smartphonenutzer gerade welches TV Programm sieht, und ihm maßgeschneiderte Werbung präsentieren.

Das kann man auch noch weiterdenken: durch monatelanges Tracking wissen wir, das der Benutzer auf seinem Smartphone bei Krimis gerne Pizza isst. Was liegt da näher, als Sonntags beim Tatort ein „Soundbeacon“ auszuspielen, das auf seinem Smartphone Werbung eines örtlichen Pizzalieferanten schaltet? Durch die Verarbeitung großer Datenmengen, „Big Data“, technisch kein Problem mehr.

Darum schlagen Datenschützer auch Alarm. Durch das geräteübergreifende Nutzer-Tracking können Geräte bestimmten Personen zugeordnet werden.  Darum hat das amerikanische Center for Democracy and Technology (CDT) die Aufsichtsbehörde FTC vor dieser Technik gewarnt.

Marktführer ist die Firma Sliverpush, die bereits 2014 1,5 Millionen Dollar von Kapitalgebern einsammeln konnte.

CDT schreibt

there is no way for the user to opt-out of this form of cross-device tracking. SilverPush’s company policy is to not „divulge the names of the apps the technology is embedded,“

Silver Push bietet also nicht einmal ein Opt-Out aus dieser Werbung an – in Deutschland undenkbar.

Im April 2015 waren bereits 67 Apps mit Silver Push Software verseucht und kontrollierten über 18 Millionen Smartphones.