Emojis? Übertragen Benutzerdaten!

Die Datenschutz-Grundverordnung EU-DSGVO bringt viel Positives mit sich. Doch es gibt auch Klärungsbedarf. Eine Problematik, derer sich Betreiber oder Designer von Websites möglicherweise nicht bewusst sind: Die Übertragung von Nutzerdaten an Google und Co. in Momenten, in denen man dies am wenigsten vermutet.

Bedingt durch das Inkrafttreten der Verordnung im Mai dieses Jahres hat sich herausgestellt, dass diverse Vorgehensweisen im Web Design rechtlich zumindest fragwürdig sind. Dies, weil Besucherdaten zu den Anbietern von Online-Diensten übertragen werden, beispielsweise bei der Nutzung von Google Maps.

Aber auch bei der Nutzung von Google Fonts oder den Einsatz eines simplen WordPress Emoji werden sensible Daten zu den jeweiligen Anbietern übertragen. Diese Übertragung geschieht zunächst automatisch, wenn die entsprechenden Dienste auf der Seite genutzt werden. Vor allem beim Thema Google Fonts ist dies kritisch zu betrachten – viele Seiten nutzen diesen Dienst (die Schriftart Open Sans ist ein bekannter Vertreter), um sich im Design von den wenigen verfügbaren Standard-Schriften abzusetzen.

Eine technisch wirklich plausible Begründung für die Übertragung der IP-Adressen gibt es nicht – schließlich gäbe es die Möglichkeit, genutzte Fonts ebenso wie Emoji-Bilddateien lokal zu speichern. Fakt ist: Aufgrund der neuen Verordnung ist diese Übertragung genau genommen unzulässig.

Das fatale daran: Der Seitenbetreiber ist mitverantwortlich und muss sich entsprechend verhalten.

Natürlich gibt es Möglichkeiten, die Übertragung der Informationen zu unterbinden. Diese sind jedoch grundsätzlich mit Aufwand verbunden – oder für den Laien ohne weiteres nicht durchführbar (Änderungen am Seiten-Quellcode, im CSS etc.).

Bei Missachtung besteht die Gefahr einer Abmahnung. Denn: Nachdem zum Thema Abmahnwelle zunächst der Tenor ‚Abwarten und Tee trinken‘ vorherrschte, gibt es mittlerweile Meldungen über Dienstleister oder Anwaltskanzleien, die dies tatsächlich tun. Ob diese erfolgreich sein werden, steht auf einem anderen Blatt; ein rechtskräftiges Gerichtsurteil gibt es noch nicht.

Glücklicherweise gibt es Menschen, die Anwendern Werkzeuge zur Verfügung stellen, um solche Themen auch ohne Einarbeitung umzusetzen. Im Fall ‚Google Fonts und WordPress Emojis‘ sind wir auf die Erweiterung Autoptimize gestoßen. Sie schlägt zwei Fliegen mit einer Klappe: Zum einen optimiert sie die generelle Leistung einer WordPress Website, zum bietet sie diverse Möglichkeiten zur rechtskonformen Verwendung von Google Fonts sowie WordPress Emojis.

Bewahren Sie einen kühlen Kopf – auch wenn Sie bezüglich möglicher Auswirkungen der neuen Datenschutzgrundverordnung verunsichert sein sollten. Denn wie Sie sehen, gibt es immer einen Weg.

Fragen zum Thema beantworten wir Ihnen gerne unter 0800 4883 338.

/von

Warum der Pentest auch mal schmerzen darf

Wem bei Pentest nur der Kugelschreiber einfällt, sollte jetzt genau lesen. Denn hierbei geht es um ein wichtiges Thema. Ein Pentest oder Penetrationstest (vom englischen ‚penetration testing‘) ist tatsächlich ganz bewusst penetrant und führt deshalb oft zu eindeutig schmerzlichen Erkenntnisgewinnen, am Schluss aber zu Ergebnissen, die die Sicherheit erhöhen können.

Sicherheitslücken entlarven mit dem Pentest

Solche Pentests sollten vor allem KMUs nicht mit einem Lächeln ausschlagen und davon ausgehen, dass die eigene Website oder IT natürlich nicht angreifbar ist – IT-Sicherheit lässt sich nur dann auf Dauer bewahren, wenn sie von professionellen Augen, Köpfen und Händen überwacht wird.

Ein Pentest ist in der Praxis ein Test eines Computersystems, Netzwerks oder einer Web-Applikation, um Verwundbarkeiten aufzuspüren, bevor dies ein fremder Angreifer macht. Pentests können mithilfe von Software automatisiert oder auch manuell durchgeführt werden. So oder so – der Prozess dreht sich immer darum, Informationen über das Ziel zu sammeln, bevor man den Test startet. Dann geht es darum, mögliche Angriffspunkte, Einbruchs- oder Manipulationsversuche – real oder virtuell – zu enttarnen und die Ergebnisse an den Auftraggeber zu berichten. Pentests werden mitunter auch ‚white hat attacks‘ genannt, weil in einem Pentest die ‚guten Jungs‘ die Einbruchsversuche unternehmen – und nicht die Bösen. Wenn man in einem mittelständischen Unternehmen sein Kerngeschäft auf anderen Gebieten hat, sollte man die Pentests ruhig dem IT-Dienstleister überlassen, weil der bestenfalls viel Erfahrung damit hat.

Zu den Pentest-Strategien gehört meistens:

Geplanter Test | Hier weiß die KMU, dass der IT-Dienstleister einen Test durchführen wird und die Teams arbeiten auf beiden Seiten zusammen. Manche nennen das auch den ‚Tageslicht‘-Test, weil jeder mitbekommt, was da passiert.

Externer Test | Dieser Pentest zielt auf die externen Server oder Geräte ab, inklusive des Domain Name Servers (DNS), der Mail Server, Web Server oder Firewalls. Das Ziel ist es, herauszufinden, ob ein externer Angreifer ins System komm und wie weit er kommt, wenn er Zugriff bekommen hat.

Interner Test | Dieser Test stellt einen Angriff nach, der von innen – also nach der Firewall – passiert. Es wird getestet, was ein autorisierter Benutzer mit Standardrechten in der Lage ist, zu tun. Denn Angestellte könnten der eigenen Firma auch einmal Schaden zufügen wollen.

Blindtest | Ein Blindtest simuliert Handlungen und Abläufe eines reellen Angreifers, der nur wenige bis gar keine internen Informationen hat.

Doppelblindtest | Ein erweiterter Blindtest, über den nur ein bis zwei Angestellte des Unternehmens informiert sind.

Solche Tests können hilfreich sein, um das Sicherheits-Monitoring und Reaktionsverhalten bei Schwachstellen im Unternehmen zu prüfen.

Wenn Sie jetzt noch mitlesen, dann haben Sie das Richtige getan, denn Sie haben sich mit den Problemen und den Testmöglichkeiten beschäftigt. Sie sollten auch den zweiten Schritt tun und Ihrem IT-Dienstleister die Durchführung von Pentests in Ihrem Unternehmen beauftragen.

Mit den Nachwirkungen eines Pentest arbeiten ist in jedem Fall besser, als auf die Auswirkungen eines wirklichen Angriffs reagieren … Möglicherweise bescheinigen wir ja auch, dass in Ihrem Unternehmen derzeit sicherheitstechnisch alles in bester Ordnung ist.

Kontaktieren Sie unsere Kundenbetreuer über die 0800 4883 338 (kostenfrei innerdeutsch), wenn Sie Fragen zum Pentest haben.

/von