ADMIN

2021

02

2021-02-01T12:00:00

Sichere Virtualisierung

RUBRIKEN

096

Bücher

Buchbesprechung Februar

DSGVO für Website-Betreiber und Hacking Multifactor Authentication

Veröffentlicht in Ausgabe 02/2021 - RUBRIKEN

Seit zweieinhalb Jahren ist die neue Datenschutz-Grundverordnung verbind- lich in Kraft: Bereits im Mai 2018 endete die Übergangsfrist zur Umsetzung und seitdem müssen sich Firmen an strenge Datenschutzregeln halten, gepaart mit hohen Strafen im Fall von Verstößen. An vorderster Front stehen dabei die Betreiber von Webseiten. So fallen bei deren Besuch bereits Daten wie IP-Adressen an. Auch möchten viele Seiten ihre Nutzer tracken oder erfassen gar personenbezogene Daten in Formularen. Um ihnen hier eine Orientierung zu geben, beleuchten Christian Solmecke und Sibel Kocatepe die Auswirkungen der DSGVO auf Website-Betreiber.
Der Rechtsanwalt beziehungsweise die Volljuristin führen dabei Schritt für Schritt auf, wie die Leser ihre Webauftritte rechtskonform ausgestalten. Denn die Abmahnindustrie weiß selbt kleine Verfehlungen für sich zu nutzen. Zunächst geben die Autoren hierfür einen Überblick über die Datenschutz-Grundverordnung – für wen gilt sie, welche Daten sind betroffen und wie wirkt die DSGVO mit anderen rechtlichen Vorgaben zusammen. Nicht ganz die erste Hälfte des 275-seitigen Buches befassen sich die Autoren mit den Neurungen der Grundverordnung, etwa den Fragen, welche Grundsätze bei der Verarbeitung personen- bezogener Daten gelten und wie es mit einem Datentransfer in Drittstaaten aussieht. Auch die Themen Datenschutzbeauftragter sowie Meldepflichten bei Datenpannen bleiben nicht außen vor.
In der zweiten Hälfte münzen Solmecke und Kocatepe dieses Know-how dann auf Webseiten und Onlineshops um. Darin betrachten sie im "Praxischeck I" unter anderem die Möglichkeiten zur Webanalyse, den Newsletterversand sowie Social-Media-Komponenten. Im "Praxischeck II" geben sie dann Antworten auf die 30 häufigsten Fragen rund um das Thema – darunter etwa, welche Daten nicht erfasst werden dürfen, ob Unternehmen immer ein Sicherheitskonzept benötigen, wer Datenschutzbeauftragter werden kann oder wie man auf Abmahnungen richtig reagiert. Den Abschluss des Buchs bilden praktischerweise Mustertexte für Datenschutzerklärungen sowie Einwilligungserklärungen.
Seit zweieinhalb Jahren ist die neue Datenschutz-Grundverordnung verbind- lich in Kraft: Bereits im Mai 2018 endete die Übergangsfrist zur Umsetzung und seitdem müssen sich Firmen an strenge Datenschutzregeln halten, gepaart mit hohen Strafen im Fall von Verstößen. An vorderster Front stehen dabei die Betreiber von Webseiten. So fallen bei deren Besuch bereits Daten wie IP-Adressen an. Auch möchten viele Seiten ihre Nutzer tracken oder erfassen gar personenbezogene Daten in Formularen. Um ihnen hier eine Orientierung zu geben, beleuchten Christian Solmecke und Sibel Kocatepe die Auswirkungen der DSGVO auf Website-Betreiber.
Der Rechtsanwalt beziehungsweise die Volljuristin führen dabei Schritt für Schritt auf, wie die Leser ihre Webauftritte rechtskonform ausgestalten. Denn die Abmahnindustrie weiß selbt kleine Verfehlungen für sich zu nutzen. Zunächst geben die Autoren hierfür einen Überblick über die Datenschutz-Grundverordnung – für wen gilt sie, welche Daten sind betroffen und wie wirkt die DSGVO mit anderen rechtlichen Vorgaben zusammen. Nicht ganz die erste Hälfte des 275-seitigen Buches befassen sich die Autoren mit den Neurungen der Grundverordnung, etwa den Fragen, welche Grundsätze bei der Verarbeitung personen- bezogener Daten gelten und wie es mit einem Datentransfer in Drittstaaten aussieht. Auch die Themen Datenschutzbeauftragter sowie Meldepflichten bei Datenpannen bleiben nicht außen vor.
In der zweiten Hälfte münzen Solmecke und Kocatepe dieses Know-how dann auf Webseiten und Onlineshops um. Darin betrachten sie im "Praxischeck I" unter anderem die Möglichkeiten zur Webanalyse, den Newsletterversand sowie Social-Media-Komponenten. Im "Praxischeck II" geben sie dann Antworten auf die 30 häufigsten Fragen rund um das Thema – darunter etwa, welche Daten nicht erfasst werden dürfen, ob Unternehmen immer ein Sicherheitskonzept benötigen, wer Datenschutzbeauftragter werden kann oder wie man auf Abmahnungen richtig reagiert. Den Abschluss des Buchs bilden praktischerweise Mustertexte für Datenschutzerklärungen sowie Einwilligungserklärungen.
Fazit
Die Datenschutz-Grundverordnung wird auch zweieinhalb Jahre nach dem Ende der Übergangsfrist von vielen Firmen eher stiefmütterlich behandelt. Dabei setzen sich Unternehmen großen Risiken aus, sollten sie unwissentlich oder gar vorsätzlich gegen die DSGVO verstoßen. Wie sich Webseiten-Betreiber in dem Dschungel an Vorschriften orientieren können, zeigen Christian Solmecke und Sibel Kocatepe in ihrem Buch – und das auch für Nichtjuristen verständlich geschrieben.
Daniel Richey
Titel               DSGVO für Website-BetreiberAutoren         Christian Solmecke und Sibel KocatepeVerlag           Rheinwerk ComputingPreis              39,90 EuroISBN             978-3-8362-6712-0
Dass Passwörter zur Zugangskontrolle nicht mehr ausreichend sind, hat sich inzwischen herumgesprochen. Dementsprechend weit verbreitet in Firmen ist die Multifaktor-Authentifizierung (MFA), und das zu Recht. Dennoch gelingt es Hackern immer wieder, auch mit MFA geschützte Konten zu plündern. Tatsächlich lassen sich die meisten MFA-Umgebungen auf verschiedene Arten angreifen. In seinem 540-seitigen Buch "Hacking Multifactor Authentication" beleuchtet Roger A. Grimes diese Methoden. Dabei zeigt der Autor auf, wie MFA hinter den Kulissen funktioniert und welche Arten von Authentifizierung es gibt – etwa PINs, Einmal-Passwörter, FIDO-Systeme oder OAuth.
Anschließend behandelt der Autor mehr als zwei Dutzend Möglichkeiten, mit denen sich MFA hacken lässt. Während der direkte Angriff auf die Endpoints der Nutzer noch naheliegend ist, haben viele Nutzer SIM-Swap-Angriffe vermutlich nicht auf dem Radar. Natürlich lässt Grimes die Leser nicht im Dunkeln tappen, wenn es um die Abwehr der genannten Attacken geht. Hilfreich dabei: Auch ein einfaches Vefahren zur schnellen Bewertung der selbst genutzten MFA-Produkte ist enthalten. Als IT-Verantwortlicher erfahren Sie somit, welche technologischen Entscheidungen und Vorbereitungen Sie treffen müssen, um erfolgreiche Angriffe auf MFA zu vermeiden. Dass die Ausführungen des Autors Hand und Fuß haben, rührt nicht zuletzt daher, dass er sich als Sicherheitsexperte seit mehr als 30 Jahren einen Namen macht.
Fazit
Einfache Passwörter stellen gewiefte Angreifer kaum noch vor größere Hürden. Doch mit dem Einführen einer Multifaktor-Authentifizierung allein ist es auch nicht getan. Zwar ist selbst eine schlecht implementierte MFA besser als gar keine, doch lässt sich eine solche mit genügend Aufwand eben auch angreifen. Firmen sollten sich daher nicht zurücklehnen und darauf vertrauen, dass ihre MFA schon sicher genug sein wird. Vielmehr können IT-Verantwortliche nach der Lektüre des englischsprachigen Werks von Roger A. Grimes ihre Systeme einer kritischen Prüfung unterziehen.
Daniel Richey
Titel               Hacking Multifactor AuthenticationAutor             Roger A. GrimesVerlag           WileyPreis              26,72 US-DollarISBN             978-1119650799