Archiv der Kategorie: Datenschutz

Händlerbund: nur zum Teil gelernt aus dem 2012er Chaos

Erinnern Sie sich noch was Sie am 1. August 2012 getan haben?  Okay, langsam verblassen die Erinnerungen daran. Bis ins Jahr 2015 hinein konnte man mit dieser Frage noch hämisches Gelächter ernten.

Zur Erinnerung: Der Gesetzgeber hatte 2012 die sogen. „Button-Lösung“ eingeführt – und eine Übergangsfrist schlicht vergessen. Quasi um Mitternacht mussten alle Händler ihren Shop umstellen und auch neue Rechtstexte einpflegen.

Nicht besonders hilfreich war hierbei, das der Händlerbund damals zwar alle Mitglieder aufforderte, sich einzuloggen und sich die neuesten Rechtstexte zu ziehen, der Server jedoch vor, am und direkt nach dem Stichtag völlig überlastet war und mehrfach gar nicht mehr erreichbar. Damals drehte sich unser internes Rad sehr zu Gunsten der IT Recht Kanzlei, die sogar noch ans Telefon ging und deren Server auch gut erreichbar war.

Heute ist nun der Tag vor der DSGVO.  Knapp 6 Jahre sind vergangen, beide Anbieter – Händlerbund und IT Recht Kanzlei – sind gefühlt gewachsen und so stellt sich die Frage: wer ist besser aufgestellt? Wir haben das getestet und uns bei der IT Recht Kanzlei in ein Mandantenkonto eingeloggt (natürlich mit Wissen des Mandanten). Der Login ist schnell, gut erreichbar und reagiert sofort. Auch innerhalb des Mandantenkontos konnten wir uns gut bewegen.

Beim Händlerbund: die Website selbst ist gut erreichbar, evtl hat der Händlerbund hier nachgesteuert. Man kann also zumindest Informationen lesen. Das Grauen hat aber einen Namen: Agenturlogin.  Die Subdomain mitglieder.hb-intern.de ist bei 10 Aufrufen nur in 7 Fällen überhaupt erreichbar, in 3 Fällen läuft sie direkt in einen Timeout. In den anderen 7 Fällen war 5x ein Login nicht möglich – Timeout. Nur zweimal war ein Login ohne Timeout möglich.
Immerhin – wenn man einmal eingeloggt ist, fliegt man anscheinend nicht mehr raus.  Wer Rechtstexte herunterladen will, braucht aber viel Geduld und kann in der Zwischenzeit einen Kaffee trinken.

Am Ende konnten wir von zwei Versuchen genau einmal einen Rechtstext heruntergeladen. Hätten wir mal gleich das ganz Komplettpaket heruntergeladen statt nur die Datenschutzerkärung: beim nächsten Klick war die Seite nämlich wieder nicht erreichbar.

Einen telefonischen Versuch haben wir dieses Jahr im Gegensatz zu 2012 nicht gestartet, weil es einfach keine akuten Fragen gibt und wir die Leute auch nicht unnötig nerven wollten.

Fazit: Der Händlerbund scheint seine Serverkapazitäten ausgebaut zu haben, die Anzahl seiner Mandanten aber auch, und kommt somit an solchen Tagen wieder hart an die Grenze des Erträglichen.
Die IT Recht Kanzlei hat ebenfalls die Anzahl der Mandanten ausgebaut, die Kapazitäten scheinen aber ganz fluffig Schritt zu halten, alles flutscht und ist wunderbar erreichbar.

DSGVO: Weitergabe E-Mail Adressen an DHL – Lösung

Viele Händler haben uns gefragt, wie man die Weitergabe der E-Mail Adressen des Kunden an DHL verhindern könnte.

Hier nun die Lösung: nutzen Sie das aktuell DHL Modul „dhlgkapi“ für Modified eCommerce, mit dem man auch Paketscheine direkt im Shop drucken kann. Hier gibt es bereits einen Knopf „DHL sendet Statusnachricht“. Dieser muss auf „FALSE“ stehen. In diesem Fall wird keine E-Mail Adresse an DHL weitergegeben, es sei denn es handelt sich um eine Packstation. Packstation Kunden haben aber bei DHL entsprechenden AGB zugestimmt.

#DSGVO Weitergabe von E-Mail Adressen an Versanddienstleister

Von mehreren Anwälten liegen uns Hinweise vor, das man im Rahmen der DSGVO auf die Weitergabe von E-Mail Adressen an Versanddienstleister verzichten sollte.

Prinzipiell scheint nun zu gelten, alles verboten, außer:  und dann kommt ein paar wenige Ausnahmen. Für alles Andere benötigt man jeweils die explizite Erlaubnis des Kunden.

Was den technischen Aspekt dieser Problematik  angeht, könnte man die Kaufabwicklung umprogrammieren und ein Kästchen hinzufügen „ich erlaube Ihnen, meine E-Mail Adresse an (…) weiterzugeben“, das der Kunde anhaken kann, aber nicht muss.  Das Problem besteht darin, das man das für jeden Shop einzeln machen müsst, weil jeder Händler andere Dienstleister benutzt.

Hinzu kommt – es liest sowieso keiner und im Alltag wird niemand  dieses Häkchen setzen.

Letztendlich wäre wohl die einfachste Lösung, es in Zukunft einfach zu lassen.

Joomla : entweder aktuell halten oder umsteigen auf WordPress

Joomla ist ein sehr beliebtes und weit verbreitetes „Content Management System“, also ein Programm mit dem man als Laie schnell und kostengünstig eine Internetseite erstellen und pflegen kann.

Leider werden beliebte und weit verbreitete Programme auch von Hackern geliebt. Denn die Masse an Verbreitung macht das Hacken erst lohnenswert. Und das funktioniert so:

  • der Hacker mietet für wenige Stunden einen Server mit ordentlicher Rechenpower, zB bei Amazon
  • der Hacker schreibt ein Programm, das sich automatisch in eine Sicherheitslücke von Joomla reinfrisst, und dann einen Virus in Joomla hinterlegt.
  • Nun drückt der Hacker quasi auf einen Knopf und sagt „Kopiere dieses Programm 10.000 Mal“. Einen Augenblick später stehen im 10.000 Programme zur Verfügung.
  • Nun startet der Hacker die Programme und sagt „geht ins Internet und sucht nach Internetseiten die Joomla benutzen“, also quasi wie eine Suchmaschine.
  • Die Programme liefern ihm nun innerhalb einer Stunde eine Liste mit, sagen wir einmal, einer halben Million Internetseiten auf Joomla-Basis.
  • Nun drückt der Hacker auf einen Knopf und sagt „hackt diese Seiten“ und seine Programme rennen los um die Seiten zu hacken.

Sie sehen – Automatisierung gibts heute überall, auch im Bereich von Angriffen. Was also tun wir dagegen?

  1. Möglichkeit: Joomla immer aktuell halten und immer informieren, welche Möglichkeiten zur Absicherung es gibt.
    Wann immer eine Sicherheitslücke entdeckt wird, gibt es ein Update. Updates sind also nicht zum Spaß da oder um den Betreiber der Website zu ärgern. Es ist WICHTIG sie zu installieren. Also sollten Sie sich immer darum kümmern.
  2. Möglichkeit: Umsteigen auf WordPress.
    Ja, WordPress ist auch weit verbreitet und ja, WordPress wird auch ständig angegriffen. Allerdings gibt es für WordPress mittlerweile extrem gute Sicherheitsprogramme. Und: bei Sicherheitslücken gibt es nicht nur innerhalb von Stunden ein Update, sondern – und jetzt kommts – WordPress lädt sich diese Updates mittlerweile von selbst herunter und installiert sie.
    Sofern Sie also Ihr WordPress nicht gerade vom selben PC aus pflegen, an dem Sie auch Ihre Pornos gucken, sollte Ihre WordPress Seite sicher vor Viren und Hackern sein.
    Wir können mit Stolz sagen: von den Kunden, die uns mit der Installation und Härtung von WordPress beauftragt haben, ist seitdem nicht ein einziger gehackt worden.

Sind Sie an einem Umstieg von Joomla auf WordPress interessiert?  Wir haben für Sie ein Festpreis Angebot für Ihre individuelle WordPress Seite, inklusive Härtung.

SSL Zertifikate nur noch mit 1 oder 2 Jahre Laufzeit

Neue maximale Gültigkeitsdauer von SSL-Zertifikaten

Aufgrund einer Entscheidung des CAB-Forums (Ballot 193) dürfen Zertifikate ab dem 1. März 2018 nur noch eine maximale Gültigkeitsdauer von 825 Tage (entspricht 27 Monaten) aufweisen.

Zertifikate mit einer längeren Laufzeit (3 Jahre und mehr) können damit ab sofort nicht mehr bestellt werden. Diese Entscheidung betrifft alle Zertifizierungsstellen.

 

Wurde Ihr Passwort gestohlen? Jetzt kostenlos testen!

Mindestens einmal im Jahr sollte man alle seine Passwörter ändern. Warum? Weil mindestens einmal im Jahr irgendein Dienst gehackt wird den man nutzt. Ob Amazon, Real oder das weiße Haus – niemand ist zu 100% sicher.

Forscher haben es sich zur Aufgabe gemacht, möglichst viele Informationen über gestohlene Passwörter zusammenzutragen: das Hasso-Plattner-Institut hat den HPI Identity Leak Checker onlinegestellt.
Grob gesagt, haben die Forscher möglichst viele im Darknet erhältliche Zugangsdaten zusammengetragen und in einer Datenbank gespeichert, aktuell über 3,5 Milliarden!

Diese Datenbank können Sie abfragen und nach Ihren eigenen Daten suchen – einfach und sicher:

  1. Besuchen Sie die Seite des HPI Identitiy Leak Checker
  2. Geben Sie Ihre E-Mail Adresse ein
  3. Sekunden später erhalten Sie eine E-Mail, ob diese den Forschern bekannt ist – mit anderen Worten ob sie bereits gestohlen wurde.

Falls ja ist sofortiges Handeln angesagt. Auf ALLEN Internetseiten, auf denen Sie diese E-Mail Adresse als Login benutzen, müssen Sie SOFORT Ihr Passwort ändern.  Als Hilfestellung wird Ihnen verraten, seit wann Ihr Passwort bei den Hackern im Umlauf ist. D.h Sie müssen alle Passwörter ändern, die älter sind als der in der E-Mail genannte Monat.

Falls nein – ok Sie dürfen sich zurücklehnen. Für heute. Und morgen schauen Sie mal, welche Passwörter älter als 1 Jahr sind. Nur für alle Fälle.

 

Ab 2017 verschärfte E-Mail Regeln – Shopumstellung empfohlen

Spam wird ein immer größeres Problem, und die E-Mail Anbieter müssen sich immer mehr einfallen lassen, um in dieser Flut nicht unterzugehen.

Bereits jetzt eine häufige Möglichkeit: Testen, ob es den Absender wirklich gibt.

Bereits jetzt ist es Standard, das der Empfänger-Server jede E-Mail beim ersten Mal IMMER ablehnt mit der Aufforderung, diese nochmal zu versenden. Spammer tun dies in der Regel nicht, reale Absender jedoch schon.   Dies findet automatisiert statt, davon bekommen Sie als Benutzer gar nichts mit.

Ab 2017 wird untersucht, ob der Absender ein Postfach hat.

Etwas vereinfacht dargestellt: wenn Ihr Shop eine E-Mail mit einer Bestellbestätigung versendet, dann geschieht das meistens über die Funktion „Mail“. Dies ist eine Funktion auf dem Server, die kein eigenes Postfach erfordert.  Der Shop kann also die Bestellbestätigung absenden mit „bestellung@mein-shop.de“, obwohl es diese E-Mail Adresse gar nicht oder nur als Weiterleitung gibt.

Damit wird ab 2017 Schluß sein. 

Alle großen Anbieter werden im Laufe des ersten Quartals 2017 beginnen, solche E-Mails abzulehnen oder als Spam einzuordnen. Wir empfehlen Ihnen daher, die E-Mail Einstellungen in Ihrem Shop zu verändern und ein real existierendes E-Mail Postfach zu benutzen. Da wir in der Regel Ihre E-Mail Passwörter nicht kennen, möchten wir Sie bitten die folgende Anleitung zur Kenntnis zu nehmen.

Shophelfer Shops: Besuchen Sie den Menüpunkt Konfiguration – Grundeinstellungen – E-Mail Optionen

Modified eCommerce Shops: Besuchen Sie den Menüpunkt Konfiguration – E-Mail Optionen

Empfohlene Einstellungen für Fishnet Hosting Kunden:

E-Mail Transport Methode: SMTP
Adresse des SMTP Servers: mail.ihre-domain.de
Adresse des Backup Servers: mail.ihre-domain.de
SMTP Port: 25
SMTP Username: ihre E-Mail Adresse
SMTP Passwort: das Passwort Ihres E-Mail Kontos
SMTH AUTH: JA


Empfohlene Einstellungen für Kunden bei anderen Hostern:

E-Mail Transport Methode SMTP
Adresse des SMTP Servers: smtp.ihre-domain.de
Adresse des Backup Servers: smtp.ihre-domain.de
SMTP Port: 25
SMTP Username: Benutzername wie in Ihrem E-Mail Programm, häufig ist das die E-Mail Adresse
SMTP Passwort: das Passwort Ihres E-Mail Kontos
SMTH AUTH: true

Klarer Nachteil des Ganzen:

Wenn Sie das Passwort Ihres E-Mail Kontos ändern, müssen Sie in Zukunft daran denken, es auch im Shop zu ändern.

#Onlinebanking Achtung neue Betrugsmasche

Im Bereich Onlinebanking gibt es eine neue Betrugsmasche. Mithilfe eines Trojaners wird auf den Browser zugegriffen und die Anzeige im Browser manipuliert. Die Ansicht des Onlinekontos zeigt nun einen Geldeingang an, mit dem Absender „Finanzamt“. Gleichzeitig wird darauf hingewiesen, das es sich um eine Fehlerüberweisung handelt und man das Geld zurücküberweisen soll.

Die hinterlegte Bankverbindung ist natürlich die der Betrüger. Erst wenn man die ausgedruckten Kontoauszüge bekommt wird klar, das es keinen Geldeingang gab – sondern nur die Rücküberweisung.

Schadsoftware jetzt auch über Facebook

Die Kriminellen lassen sich ständig etwas Neues einfallen: seit einiger Zeit kursieren auf Facebook Fake-Videos, über oder unter denen die User sogar namentlich angesprochen werden mit der Aufforderung, es anzusehen.
Klickt man das vermeintliche Video an, öffnet sich jedoch eine neue Seite. Mit einem YouTube Logo versehen, fordert sie den Benutzer auf, vor dem Betrachten des Users noch ein notwendiges Plugin zu installieren. Dieses „Plugin“ ist jedoch eine Schadsoftware, die dem Angreifer Zugriff auf den Browser des Betrachters gibt. Somit kann weitere Schadsoftware nachgeladen und zum Beispiel die Passworteingaben auf der Tastatur mitgelesen werden.

Auch hier gilt der gesunde Menschenverstand: bevor man sich etwas installiert das man nicht kennt, verzichtet man lieber auf das vermeintliche tolle Video.

Ist Ihre Datenschutzerklärung aktuell?

Die IT Rechtskanzlei weist darauf hin, dass am 24.02.2016 das neue Gesetz zur Verbesserung der zivilrechtlichen  Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft trat.  Das bedeutet, dass Webseitenbetreiber ohne vollständige Datenschutzerklärung ab sofort abgemahnt werden können.

Besucher Ihrer Seite müssen nach § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte aufgeklärt werden. Diese Informationen muss die neue Datenschutzerklärung enthalten.