[datensicherheit.de, 07.11.2025] Laut einer neuen Studie von NordPass zeigen sich arge Sicherheitsprobleme im Internet auf: Demnach wird selbst bei den am meisten besuchten Websites der Welt viel zu nachlässig mit schwachen Passwörtern umgegangen. Für die Studie seien die 1.000 der weltweit meistbesuchten Websites analysiert worden: Die meisten setzten nicht einmal die einfachsten Passwortregeln durch – und keine halte die Sicherheitsstandards von NIST oder NordPass vollständig ein. Karolis Arbačiauskas, „Head of Product“ bei NordPass, nennt dies „einen stillen Designfehler, der die Ansichten von Milliarden von Menschen beim Thema Sicherheit prägt“. Die vorliegende Studie zeige, dass Behörden- und Gesundheitswebsites am schlechtesten abschnitten – und bei lediglich einem Prozent von 1.000 Web-Plattformen lange, komplexe Passwörter verlangt würden. Da indes Cyberangriffe durch „Tools“ auf Basis Künstlicher Intelligenz (KI) immer effektiver würden, warnt NordPass, dass ein reiner Fokus auf Benutzerfreundlichkeit bei großen Websites weltweit die Passwort-Gewohnheiten verändere – und damit die Sicherheitsstandards für alle senke. Insgesamt seien für die Studie 1.000 der meistbesuchten Websites ausgewählt – basierend auf dem Ranking „Top 1000 Most Visited Websites in the World“ von Ahrefs und den Schätzungen zum organischen Suchdatenverkehr vom Februar 2025. Dieses Ranking spiegele die geschätzte Anzahl monatlicher Besuche wider, welche jede Website über organische Suchanfragen erhält. Anschließend sei überprüft worden, welche Authentifizierungsmethoden und Passwortanforderungen diese Websites zum jeweiligen Zeitpunkt boten. Die Datenerhebung habe im Zeitraum vom 26. Februar bis 6. März 2025 stattgefunden.

Abbildung: NordPass

NordPass kritisiert den „stillen Designfehler“, welche die Ansichten von Milliarden von Menschen beim Thema Passwort-Sicherheit auf Websites unvorteilhaft prägt

Beliebteste Websites der Welt fördern stillschweigend schlechte Passwortgewohnheiten

Eine neue Studie von NordPass zeige, dass die beliebtesten Websites der Welt stillschweigend schlechte Passwortgewohnheiten förderten – „nicht mit ihren Inhalten, sondern mit dem, was sie von den Nutzern nicht verlangen“.

• Bei der Analyse der 1.000 meistbesuchten Websites weltweit habe das Expertenteam von NordPass herausgefunden, dass es auf bei den meisten immer noch viel zu einfach sei, schwache Passwörter zu erstellen. Von Shopping-Plattformen bis hin zu Portalen von Behörden: Selbst die wichtigsten Online-Präsenzen ignorierten oft die Grundprinzipien für das Erstellen sicherer Passwörter.

Arbačiauskas kommentiert und kritisiert: „Das Internet macht vor, wie man sich einloggen soll – und das schon seit Jahrzehnten auf die falsche Weise. Wenn eine Website ‚Passwort123‘ akzeptiert, denken die Nutzer, es sei in Ordnung, solche schwachen Passwörter zu verwenden. So hat sich eingebürgert, mit minimalem Aufwand ein maximal großes Risiko einzugehen.“

Websites derzeit mit Passwort-Paradoxon

Beim Thema „grundlegende Sicherheit“ würden die meisten Websites also immer noch hinterherhinken. Wie NordPass herausgefunden hat, „gibt es viele Unstimmigkeiten dabei, wie Plattformen mit dem Passwortschutz umgehen“. Einige Websites setzten ein paar grundlegende Anforderungen durch, während andere überhaupt keine festlegten. Zudem folgten nur einige wenige einem klaren, standardisierten Ansatz.

• 61 Prozent der Websites setzten ein Passwort voraus – aber keine erfülle die Sicherheitsstandards von NIST oder NordPass vollständig.
• 58 Prozent erforderten keine Sonderzeichen und 42 Prozent erzwängen keine Mindestlänge.
• Elf Prozent hätten überhaupt keine Anforderungen an Passwörter.
• Nur ein Prozent der in der Studie geprüften Websites fordere alle wichtigen Punkte – nämlich lange, komplexe Passwörter mit Großbuchstaben, Symbolen und Zahlen.

Dadurch stünden Nutzer je nach Web-Plattform vor ganz unterschiedlichen Anforderungen. Auf der einen Website müssten sie vielleicht ein langes und komplexes Passwort erstellen, während auf einer anderen ein einfaches Kennwort wie „123456“ akzeptiert werde. Diese Inkonsistenz sorge nicht nur für Verwirrung – sie senke auch stillschweigend den weltweiten Standard für Online-Sicherheit.

Website-Anbieter sollten gezielt sichereres Verhalten fördern

Jene Branchen, die mit den sensibelsten Daten arbeiten – Behörden, das Gesundheitswesen und die Lebensmittel- und Getränkeindustrie –, hätten am schlechtesten abgeschnitten.

• „Es reicht nicht, die Nutzer einfach nur darauf hinzuweisen, vorsichtiger zu sein. Sicherheit muss als eine gemeinsame Aufgabe gesehen werden! Webseiten können sichereres Verhalten fördern, indem sie beispielsweise klare Regeln vorgeben, visuelle Hinweise bieten oder moderne Anmeldemethoden wie Passkeys einführen“, erläutert Arbačiauskas.

Die Studie habe sich jedoch nicht nur mit Passwörtern beschäftigt, sondern auch einen Blick darauf geworden, wie Websites generell mit dem Thema „Authentifizierung“ umgehen. Die Zahlen belegten nun, wie langsam sich Innovationen etablierten.

Auf zu vielen Websites geht Benutzerfreundlichkeit vor Sicherheit

Während einige wenige Websites mit strikten Passwortrichtlinien als positive Beispiele herausstechen würden, gäben die meisten jedoch immer noch der Benutzerfreundlichkeit gegenüber der Sicherheit den Vorzug.

• 39 Prozent der Websites ließen Nutzer per „Single Sign-On“ (SSO) einloggen, meistens über „Google“.
• Nur zwei 2 Prozent unterstützten Passkeys – „die moderne passwortlose Technologie, die von der FIDO-Allianz unterstützt wird“.
• Nur fünf Websites – „bahn.de“, „cuisineaz.com“, „fedex.com“, „interia.pl“ und „ups.com“ – erfüllten die strengen Passwortkriterien von NordPass und NIST.

„Die allgemeine Nachlässigkeit beim Umgang mit Passwörtern ist also nicht verwunderlich. Wenn Websites keine starken Anmeldedaten mehr voraussetzen, erstellen die Nutzer auch keine mehr. Was wir hier beobachten, ist ein besorgniserregender Wandel, sowohl bei den Internetnutzern als auch bei den Webseiten-Entwicklern – ein Wandel, den wir dringend umkehren müssen!“, fordert Arbačiauskas.

Passwort-Qualität auch bei Websites erste Verteidigungslinie gegenüber Cyberkriminellen

In einer Zeit zunehmender Datenlecks und automatisierter Hacking-Tools sei die Passwort-Qualität längst kein nebensächliches Detail – sie sei die erste Verteidigungslinie. Schwache Vorgaben bei der Passwortvergabe hätten weitreichende Folgen: Wenn selbst die größten Websites keine hohen Standards setzten, machten das auch kleinere Websites immer seltener.

• Unzureichende Passwortrichtlinien gefährdeten dabei nicht nur einzelne Nutzer, sondern wirkten sich auch auf Unternehmen, Branchen und sogar Behörden aus. Jedes Mal, wenn eine große Plattform ein schwaches Passwort akzeptiere, bremse dies die Einführung weltweit einheitlicher Sicherheitsstandards aus.

Cyberkriminelle nutzten diese Lücke gezielt aus. Einfache Passwörter, kombiniert mit neuen Technologien wie KI, machten „Brute Force“- und „Credential Stuffing“-Angriffe so einfach wie nie zuvor – und setzten Millionen Nutzerkonten branchenübergreifend erheblichen Risiken aus.

Weitere Informationen zum Thema:

NordPass
NordPass: A password manager designed to make online security as easy as it gets — for individuals and companies of all sizes. With a global team of experts dedicated to our customers‘ safety, we prove that cybersecurity can be exceptional and effortless at the same time.

NordPass
Minimum password requirements met: Top 1,000 most-visited websites

Linkedin
Karolis Arbaciauskas: Head of Product & Business Development | Cyber Security

datensicherheit.de, 04.05.2025
Chester Wisniewski: Weltpassworttag sollte überflüssig werden / Als nächster Schritt werden phishing-resistente MFA wie „FIDO2“ und Passkeys empfohlen

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 13.05.2024
Passkeys statt Passwörter – Passwörter nicht mehr zweckmäßig / Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

[datensicherheit.de, 09.05.2025] Laut Medienberichten sind vor Kurzem mehrere deutsche Städte Ziel massiver Cyber-Angriffe geworden, die offenbar zu erheblichen Einschränkungen ihrer digitalen Angebote führten. Besonders betroffen waren demnach die Stadtportale von Dresden, Stuttgart, Berlin und Nürnberg. Die Attacken erfolgten laut einer aktuellen Stellungnahme von NETSCOUT in Form von Distributed-Denial-of-Service-Angriffen (DDoS), bei denen Server durch eine Flut automatisierter Anfragen gezielt überlastet werden.

Berlin und Nürnberg: DDoS-Angriffe führten zu Ausfällen und eingeschränktem Betrieb

Die Hauptstadtportale „berlin.de“ und „service.berlin.de“ gehörten zu den ersten Zielen der Angriffswelle in Deutschland: „Die Attacken begannen am Abend des 25. April und führten zu mehrtägigen Beeinträchtigungen.“ Während diese Websites inzwischen wieder erreichbar seien, könnte es jedoch weiterhin zu vereinzelten Beeinträchtigungen kommen.

Ein Datenabfluss wurde laut Behörden nicht festgestellt. Bereits am Morgen desselben Tages soll dann auch die Website der Stadt Nürnberg betroffen gewesen sein: Nach Angaben der Stadt richtete sich der Angriff ausschließlich gegen die Website selbst und nicht gegen die interne IT-Infrastruktur.

Stuttgart und Dresden: Schwerwiegende DDoS-Angriffe auf Stadtportale

Die Stadtverwaltung Stuttgart war dann ab dem 29. April 2025 von derartigen Attacken betroffen. „Ihre Website musste zeitweise vollständig offline genommen werden und war erst am Nachmittag des folgenden Tages wieder weitgehend stabil erreichbar – es kam jedoch vereinzelt zu kleineren Ausfällen.“

Dresden verzeichnete am 30. April 2025 den bisher schwerwiegendsten Cyber-Angriff auf die Stadt. Auch am darauffolgenden Tag war das Stadtportal weiterhin nicht erreichbar.

DDoS-Angriffe aus international verteilten Quellen

Deutschland sei aktuell nicht nur ein bevorzugtes Ziel solcher Cyber-Attacken, sondern auch ein zentraler Standort, von dem Angriffe ausgingen. „Eine DDoS-Aktivitätsanalyse von NETSCOUT aus dem März zeigt, dass Deutschland und die USA die häufigste Länderkombination bei multinationalen Angriffen bildeten – beide Länder waren gemeinsam an über 600 dokumentierten Attacken beteiligt.“

Dies lasse sich darauf zurückführen, dass Angreifer bevorzugt auf zuverlässige Infrastrukturen wie „Cloud“-Server oder Unternehmensgeräte in diesen Ländern zugriffen, während sie gleichzeitig weniger gesicherte Netzwerke in anderen Regionen missbrauchten.

NETSCOUT-Fazit zu aktuellen DDoS-Angriffen auf kommunale Websites

„Die Angriffe der vergangenen Tage verdeutlichen die anhaltende Verwundbarkeit kommunaler IT-Infrastrukturen gegenüber DDoS-Attacken.“ Vor dem Hintergrund zunehmend geopolitisch motivierter Cyber-Attacken steige der Handlungsdruck auf öffentliche Einrichtungen.

Um die digitale Handlungsfähigkeit von Verwaltungen und Unternehmen nachhaltig zu sichern, sind laut NETSCOUT „robuste, skalierbare und anpassungsfähige Abwehrmechanismen unerlässlich“.

Weitere Informationen zum Thema:

NETSCOUT, Christopher Conrad, 29.04.2025
Arbor Networks – DDoS Experts DDoS / Botnets and Familiar Foes Drive DDoS Attack Activity / March 2025 DDoS Attack Activity Review

SWR» AKTUELL, Bettina Gall, 08.05.2025
Nach Hackerangriff auf Stadt Stuttgart / Sind die Behörden in BW ausreichend gegen Cyberattacken geschützt?

Dresden., 30.04.2025
Cyberangriff auf die Landeshauptstadt Dresden dauert an / Keine Schäden zu erwarten

heise online, Nico Ernst, 29.04.2025
Hauptstadtportal berlin.de nach DDoS-Attacke wieder online / Am vergangenen Freitag begann ein umfassende DDoS-Angriff auf Portal der Hauptstadt. Betroffen waren Bürgerdienste und auch das Intranet der Verwaltung.

it-daily.net, 28.04.2025
Massen-Anfragen als Grund / Nach DDoS-Attacke: Nürnbergs Website wieder online

[datensicherheit.de, 25.04.2025] Der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat in Hamburg betriebene Websites darauf geprüft, ob beim Einsatz von Drittdiensten die Datenschutzvorgaben eingehalten wurden. In der Vergangenheit haben demnach zahlreiche beim HmbBfDI bearbeitete Beschwerdeverfahren gezeigt, dass auf manchen Websites Tracking durch Drittdienste ohne Einwilligung der Nutzer durchgeführt wird. Deshalb hat der HmbBfDI Mitte April 2025 eine große automatisierte Prüfaktion gestartet.

Abbildung: HmbBfDI

Der HmbBfDI fand bei 185 Websites o.g. Dienste falsch eingebunden

Datenschutzvorgaben: Bei 185 Hamburger Websites wurden Mängel festgestellt

„Die meisten der insgesamt 1.000 Websites, die nach dem Zufallsprinzip ausgewählt wurden, erfüllen die Datenschutzvorgaben; bei 185 Hamburger Websites wurden aber auch Mängel festgestellt.“ Webdienste werden dort laut HmbBfDI unmittelbar bei Aufruf der Seite aktiviert – mit der Folge, dass Nutzer getrackt werden, ohne die dafür gesetzlich geforderte Einwilligung erteilt zu haben.

Die Betreiber sollen nun per Brief über die Mängel informiert werden und Gelegenheit erhalten, diese zu beheben. Ziel der Prüfaktion sei es, Betreiber von Websites mit Sitz in Hamburg für Tracking zu sensibilisieren und die „Compliance“ ihrer Web-Auftritte zu verbessern. Dazu begleitet der HmbBfDI die Prüfung mit einem Beratungsangebot und einer Telefonsprechstunde für die angeschriebenen Betreiber.

Websites binden oftmals Dienste externer Anbieter ein – z.B. für statistische Analysen

Websites binden oftmals die Dienste externer Anbieter ein, um statistische Analysen zu erhalten, Werbung zu schalten oder den Unternehmensstandort auf einer Landkarte anzeigen zu lassen. Durch solche Drittdienste könnte das Surfverhalten der Nutzer getrackt werden – deshalb dürfen sie nur nach Einwilligung der Seitenbesucher eingesetzt werden.

Oft ist es Betreibern von Websites jedoch weder bewusst, welche Drittdienste in ihren Angeboten eingebunden sind, noch welche datenschutzrechtlichen Anforderungen bei deren Einsatz erfüllt werden müssen. Dies habe sich in zahlreichen Beschwerdeverfahren gezeigt.

Prüfungsgegenstand: Tracking des Nutzungsverhaltens beim Aufruf der Websites

„Geprüft wurde, ob Drittdienste das Nutzungsverhalten beim Aufruf der Website tracken. Solche Drittdienste sind zum Beispiel Kartendienste, ,Social Plugins’ und ,Analytics’-Dienste. Konkret haben wir solche Dienste ausgewählt, die nach den Erfahrungen des HmbBfDI in der Praxis besonders häufig eingesetzt werden.“

Abschließend äußert sich der HmbBfDI zum rechtlichen Hintergrund: „Es werden sowohl die Vorgaben nach dem ,Telekommunikation-Digitale-Dienste-Datenschutz’-Gesetz (TDDDG) als auch die nach der ,Datenschutz-Grundverordnung’ (DSGVO) geprüft.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit, 24.04.2025
Fragen und Antworten zum Tracking durch Drittdienste auf Websites

datensicherheit.de, 19.05.2020
Adblocking bietet Schutz vor Tracking und Malvertising / Till Faida kommentiert BSI-Empfehlung

datensicherheit.de, 12.03.2014
Web-Tracking-Report 2014: Lagebericht des Fraunhofer SIT / Risiken und technische Schutzmöglichkeiten für Verbraucher

datensicherheit.de, 21.06.2013
Europarat bezieht Stellung gegen Tracking und Überwachung im Internet / Bundesbeauftragter für den Datenschutz und die Informationsfreiheit unterstützt Datenschutzforderungen

datensicherheit.de, 08.11.2012
Fraunhofer SIT veröffentlicht Tracking Protection List / Trackingschutzliste für den Microsoft Internet Explorer soll ungewollte Überwachung verhindern

datensicherheit.de, 12.06.2012
Wieso Webtracking zur Zeit ein Risiko darstellen kann / Ein Gastbeitrag von Sascha Kuhrau, Inh. a.s.k. Datenschutz

[datensicherheit.de, 23.11.2024] Auch 2024 lockt der „Black Friday“ zur Vorweihnachtszeit offensichtlich wieder mit zahlreichen Angeboten und Rabatten. „Check Point Research“ (CRP), die Forschungsabteilung der Check Point® Software Technologies Ltd., warnt in diesem Zusammenhang: „Wie die alljährliche Schnäppchenjagd, sind jedoch auch die immer neuen Betrugsmaschen Cyber-Krimineller, die aus der gesteigerten Konsumbereitschaft Kapital schlagen wollen, zur bedauerlichen Gewohnheit geworden.“ Damit das Weihnachtsgeschäft keine bösen Überraschungen bereithält, hat CRP nach eigenen Angaben frühzeitig die Augen nach betrügerischen Websites, Markenimitation und Phishing-Methoden offengehalten, „damit Verbraucher die hinterhältigen Nachahmungen frühzeitig erkennen ihre Geldbörse schützen können“.

89 Prozent mehr Websites in Verbindung mit „Black Friday“ als 2023

Ein Vergleich mit den Vorjahren zeige einen auffälligen Trend: „In den Wochen vor dem ,Black Friday’ ist die Zahl der neu registrierten Websites enorm gestiegen.“ Das laufende Jahr, 2024, sei dafür exemplarisch: „Zwei Wochen vor dem ,Black Friday’ sind im Vergleich zu 2023 satte 89 Prozent mehr Websites registriert worden, die thematisch mit dem ,Black Friday’ in Verbindung stehen.“ Noch beeindruckender sei, dass sich diese Zahl im Vergleich zu den Zahlen aus dem Jahr 2022 mehr als verdreifacht habe – ein Zeugnis dafür, dass Cyber-Kriminelle mit ihren Operationen erfolgreich seien und sich das finstere Geschäft mit dem Shopping-Rausch rasant herumgesprochen habe.

Obwohl nicht alle dieser Websites mit böswilliger Absicht erstellt worden seien, zeige die CPR-Analyse eine besorgniserregende Statistik: „Etwa drei Prozent werden als riskant oder geradezu böswillig eingestuft, während praktisch keine als ,sicher’ eingestuft werden konnte.“ Beim Großteil dieser Websites sei das Motiv hinter der Erstellung nicht klar identifizierbar – in der Regel handele es sich um standardmäßige „geparkte“, mit Werbung und Links überladene Webseiten. Dieses harmlose Erscheinungsbild könne sich jedoch schnell ändern und aus diesen Websites Plattformen für Phishing-Angriffe machen.

„Die eindeutig bösartigen Websites, die CPR beobachtet hat, deuten auf einen weiteren beunruhigenden Trend hin.“ Diese Websites gäben sich nicht nur als bekannte globale Marken (auch „Brand Spoofing“ genannt) aus, sondern zielten auch auf kleinere, möglicherweise weniger bekannte Boutique-Marken. Viele dieser betrügerischen Websites wiesen ähnliche Designelemente und Formatierungen auf – „was darauf hindeutet, dass hinter diesen betrügerischen Praktiken möglicherweise eine koordinierte Aktion steckt“.

Für den „Black Friday 2024“ wurden Phishing-Kampagnen recycelt

Die Hauptmethode, um Opfer zu erreichen, bestehe darin, betrügerische Phishing-E-Mails zu versenden, „in denen erhebliche Rabatte und exklusive Angebote angeboten werden“. Diese E-Mails sollten Benutzer verleiten, auf einen Link zu klicken, „der sie auf eine gefälschte Website weiterleitet“. Ein bemerkenswerter, von CPR in diesem Jahr beobachteter Trend sei, dass Angreifer immer wieder fast identische E-Mails sowie Websites verwendeten und nur die E-Mail-Absender und Links änderten.

CPR erwähnt in der aktuellen Stellungnahme beispielhaft Nachahmungen der Luxusmarken Rolex und Louis Vuitton, welche von den Drahtziehern fast 1:1 vom Vorjahr übernommen worden seien – lediglich mit neuen Absender-Adressen und URLs. Obwohl diese Phishing-Mails leichte Unterschiede aufwiesen, bleibe das allgemeine Angriffsformat sehr ähnlich. „Dies zeigt, dass Angreifer nur minimale Änderungen vornehmen müssen, um ihre groß angelegten Operationen fortzusetzen.“

CPR-Tipps für Verbraucher während der Weihnachtseinkäufe (nicht nur am „Black Friday“):

Um Online-Käufer auch in diesem Jahr effektiv zu schützen, hat CPR einige praktische Sicherheits- und Schutztipps zusammengestellt:

URL prüfen und auf das Vorhängeschloss-Symbol achten!
Konsumenten sollten es vermeiden, ihre Zahlungsdaten bei einem Kauf auf einer Website ohne SSL-Verschlüsselung (SSL: „Secure Sockets Layer“) einzugeben. Um zu erkennen, ob die Website über SSL verfügt, sollten sie auf das „S“ in „HTTPS“ anstelle von „HTTP“ achten. Ein Symbol eines geschlossenen Vorhängeschlosses erscheine normalerweise links neben der URL in der Adressleiste oder in der Statusleiste unten. „Ist es nicht zu sehen, ist das ein ernstes Warnzeichen!“

Die Weitergabe persönlicher Informationen stark beschränken!
Kunden sollten darauf verzichten, ihren Geburtstag oder ihre Sozialversicherungsnummer weiterzugeben. „Je mehr Hacker über eine Person wissen, desto leichter können sie Ihre Identität missbrauchen!“

Vorsicht bei Angeboten, welche „zu schön, um wahr zu sein“ erscheinen!
Dieser Warnhinweis sei bekannt und intuitiv: „Wenn etwas zu günstig ist, um glaubwürdig zu sein, ist es das vermutlich auch!“ Oft reichten ein scharfer Instinkt und gesunder Menschenverstand, um verdächtige Angebote zu entlarven und zu meiden.

Kreditkarten statt Debitkarten!
Kreditkarten böten besseren Schutz und verringerten die Haftung im Falle eines Diebstahls als es Debitkarten tun.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Team, 16.11.2024
November Shopping Schemes: Check Point Research Unveiling Cybercriminal Tactics as Luxury Brands Become Pawns in Email Scams

datensicherheit.de, 13.11.2024
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe / E-Mails zum „Black Friday“ sind oft perfekt gestaltet – mit offiziellem Logo, persönlicher Anrede und Call-to-Action-Button

datensicherheit.de, 24.11.2023
Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle / Datensicherheit gilt es auch im Schnäppchen-Rausch am Black Friday und an anderen saisonalen Sonderverkaufstagen zu beachten

datensicherheit.de, 17.11.2023
Black Friday: Proofpoint rät zur Vorsicht vor betrügerischen E-Mails / Nur sieben der 20 größten Händler in Deutschland schützen laut Proofpoint-Analyse Verbraucher ausreichend vor Betrügereien in ihrem Namen

datensicherheit.de, 23.11.2022
5 DsiN-Tipps zum Black Friday / 13 Prozent der Nutzer laut DsiN-Sicherheitsindex Opfer von Shopping-Betrug

datensicherheit.de, 21.11.2022
Black Friday: Chris Harris gibt Sicherheitstipps / Vor dem Black Friday sollten Händler ihre Cyber-Sicherheitspraktiken prüfen – um sicherzustellen, dass sie robust und widerstandsfähig sind

[datensicherheit.de, 17.06.2024] Die Verbraucherzentrale NRW hat am 14. Juni 2024 vor sogenannten Fakeshops mit Produkten rund um die Fußball-EM gewarnt. Nun hat Proofpoint nach eigenen Angaben eine betrügerische Website identifiziert, welche sich als offizielle Ticketverkaufsstelle für die Olympischen Sommerspiele 2024 in Paris ausgegeben habe: „Die Website ,paris24tickets[.]com’ tarnte sich als sekundärer Marktplatz für Sport- und Live-Event-Tickets und erschien bei ,Google’-Suchen nach ,Paris 2024 Tickets’ direkt als zweites gesponsertes Suchergebnis.“ Proofpoint habe mit dem Registrar zusammengearbeitet, um diese Domain schnell zu sperren.

Abbildung: Proofpoint

Startseite der Betrugs-Website für Olympia-Tickets 2024

In Zusammenarbeit mit Partnern der Olympischen Spiele 2024 insgesamt 338 zweifelhafte Websites identifiziert

Diese betrügerische Website sei nur eine von vielen. In Zusammenarbeit mit den Partnern der Olympischen Spiele seien insgesamt 338 solcher Websites identifiziert worden – „von denen 51 geschlossen und 140 formell gewarnt wurden“. Die Cyber-Kriminellen hinter diesen Websites versuchten vermutlich, Geld von Personen zu stehlen, die Olympia-Tickets kaufen oder verkaufen wollten. Zudem gehe es ihnen wahrscheinlich darum, persönliche Daten zu sammeln.

Die einzige sichere Möglichkeit, Tickets für die Olympischen und Paralympischen Spiele 2024 in Paris zu erwerben, sei über die offizielle Ticket-Website der Organisation. Die vollständigen Untersuchungsergebnisse von Proofpoint ist im aktuellen „Security Brief“ (s.u.) zu finden.

Auf Startseite zahlreiche olympische Veranstaltungen 2024 aufgelistet…

Auf der von Proofpoint-Forschern identifizierten Website seien auf der Startseite zahlreiche olympische Veranstaltungen aufgelistet worden. „Sobald der Nutzer auf eines der Sportsymbole klickte, wurde er zu einer Ticketverkaufsseite weitergeleitet, auf der er Tickets auswählen und Zahlungsinformationen eingeben konnte.“ Auf dieser Website habe der Nutzer offenbar auch Konten für den Kauf und Verkauf von Eintrittskarten einrichten können. Das Design dieser Website habe dem anderer bekannter Ticketverkaufsseiten geähnelt, „mit denen die Besucher vertraut waren, um die Website legitim aussehen zu lassen“.

Es sei wahrscheinlich, dass die cyber-kriminellen Betreiber dieser Website versucht hätten, „Geld von Personen zu stehlen, die Olympia-Tickets kaufen oder verkaufen wollten“. Es sei auch möglich, dass die Website persönliche Daten von Personen gesammelt habe, die versuchten hätten, Tickets zu kaufen – so zum Beispiel Namen, Kontaktinformationen wie E-Mail- und Postadressen, Telefonnummern und Kreditkarteninformationen.

Noch weitere Website mit selber Infrastruktur und selbem Design wie der zu Olympia 2024 identifizierte betrügerische Web-Shop

Wahrscheinlich sei diese Domain hauptsächlich über Anzeigen in Suchergebnissen verbreitet worden. „Die Domäne wurde zwar nicht in weitreichenden E-Mail-Kampagnen, jedoch in einer kleinen Anzahl von E-Mails beobachtet.“ In einigen Fällen hätten die Täter E-Mails verschickt, in denen vorgegeben worden sei, „Rabatte“ auf Tickets anzubieten, welche für den Empfänger von Interesse sein könnten. „Obwohl die Security-Experten nicht bestätigen können, wie die Täter an die E-Mail-Adressen der Zielpersonen gelangt sind, ist es möglich, dass die Benutzer ihre E-Mail-Adressen bei der Registrierung auf der Website oder beim Versuch, Tickets zu kaufen, angegeben haben.“

Proofpoint ordne diese Aktivität keiner bekannten Kriminellengruppe zu. Bei der Untersuchung dieser Website hätten Proofpoint-Sicherheitsforscher eine weitere Website identifiziert, welche dieselbe Infrastruktur und dasselbe Design wie die betrügerische Olympia-Website aufweise: Diese Website – „seatsnet[.]com“ – habe Hunderte von Beschwerden auf verschiedenen Betrugsmeldeseiten erhalten, in denen behauptet werde, dass die Nutzer die bezahlten Tickets nie erhalten hätten.

Betrüger missbrauchen stets aktuelle Ereignisse – bevorstehende Olympische Spiele 2024 keine Ausnahme

„Betrüger nutzen stets aktuelle Ereignisse aus, und die bevorstehenden Olympischen Spiele bilden keine Ausnahme. Ahnungslose Nutzer haben wahrscheinlich die Website besucht, weil sie den Anschein erweckte, ein seriöses Unternehmen zu sein, das sich auf den Verkauf von Olympia-Tickets spezialisiert hat.“ Die Platzierung der Website in der Suchmaschine unter der offiziellen Website für den Verkauf von Eintrittskarten für die Olympischen Spiele in Paris dürfte die vermeintliche Legitimität der Website noch verstärkt und die Nutzer davon überzeugt haben, dass es sich um eine autorisierte und sichere Quelle gehandelt habe.

Auch wenn diese spezielle Domain nicht mehr aktiv sei, stehe zu befürchten, dass andere böswillige Akteure das Ereignis ausnutzen würden, um neue betrügerische Olympia-Websites zu erstellen. „Die einzige Möglichkeit, Tickets für die Olympischen und Paralympischen Spiele 2024 in Paris zu erwerben, ist die offizielle Ticket-Website der Organisation!“

Weitere Informationen zum Thema:

proofpoint, 13.06.2024
Security Brief: Scammers Create Fraudulent Olympics Ticketing Websites

verbraucherzentrale Nordrhein-Westfalen, 14.06.2024
Vorsicht vor Fakeshops mit Produkten um die Fußball-EM / Auffällig günstige und sofort verfügbare Trikots und Grills: Vor der Fußball-EM in Deutschland fallen im Fakeshop-Finder der Verbraucherzentralen Shops auf, die nun besonders häufig von Verbraucher:innen gemeldet werden

datensicherheit.de, 23.05.2024
Olympia 2024 droht zum Spielfeld für Cyber-Angriffe zu werden / Böswillige Akteure werden Cyber-Bedrohungen zu nutzen versuchen, um die Integrität der Veranstaltung zu stören und zu untergraben

datensicherheit.de, 09.04.2024
Olympische Sommerspiele 2024 in Paris: Vorbereitung auf Cyber-Angriffe / Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass diesjährige Olympische Sommerspiele ein Ziel Cyber-Krimineller sind

[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

• Name und Kontaktdaten des/der Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
• Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?

[datensicherheit.de, 09.06.2021] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben seine Homepage vollständig überarbeitet: „Die Artikel wurden so umgeschrieben, dass ganz verschiedene Zielgruppen angesprochen werden.“ Durch das neue Design sollen demnach Bürger einen besseren Zugriff auf die verfügbaren Informationen bekommen. Zusätzlich sei ein neues Datenschutzforum aktiviert worden. Prof. Ulrich Kelber, der BfDI, erläutert: „Unser Informationsangebot soll insbesondere eines sein: Zugänglich für alle. Dafür haben wir Hunderte Artikel überarbeitet, neu geordnet und ausgemistet. Es ist mir persönlich wichtig, dass alle, die auf unserer Homepage nach Informationen suchen, sie leicht finden können. Auch das gehört zur Transparenz.“

Abbildung: Screenshot BfDI-Homepage

BfDI-Homepage mit neuem Design

Im BfDI-Datenschutzforum Hinweise und Tipps für die Praxis miteinander austauschen

Neben den Informationen sollten Bürger sowie Journalisten schneller den richtigen Kontaktweg oder einen Ansprechpartner finden können. Für behördliche und betriebliche Datenschutzbeauftragte sowie weitere Experten werde außerdem das Datenschutzforum wieder aktiviert:
„Es ist mir eine besondere Freude, dass wir endlich wieder einen Raum haben, in dem diejenigen diskutieren können, die das Thema Datenschutz jeden Tag mit Leben füllen“, so Kelber. Noch viel wichtiger sei es, dass im Datenschutzforum die Nutzer Hinweise und Tipps für die Praxis miteinander austauschen könnten.

Website stellt Nutzern wie gewohnt Dokumente des BfDI, der DSK, des EDSA u.a. zu Verfügung

Alle Informationen seien nunmehr mit wenigen Klicks erreichbar. Die BfDI-Website stelle den Nutzern dabei wie gewohnt Dokumente des BfDI, der DSK, des EDSA und weiterer Gremien zu Verfügung. Darüber hinaus werde mit diesem Relaunch ein „Kontaktfinder“ eingeführt.
Mit diesem „Tool“ werde auf Grundlage einiger Fragen an den Nutzer die zuständige Stelle für ein datenschutzrechtliches Problem ermittelt. Die Homepage des BfDI bleibe weiterhin über die bisherige URL erreichbar.

Weitere Informationen zum Thema:

datensicherheit.de, 25.05.2021
Bundesfernstraßenmautgesetz: BfDI kritisiert Änderungen

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Homepage

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
BfDI-Datenschutzforum

[datensicherheit.de, 08.02.2021] In seiner aktuellen Meldung geht der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) auf die „auch über die Landesgrenzen von Rheinland-Pfalz hinaus beispielgebende Kooperation des Landesdatenschutzbeauftragen mit der rheinland-pfälzischen Kassenärztlichen Vereinigung, der Landespsychotherapeutenkammer und der Landesärztekammer“ ein. Laut LfDI RLP werden sie im Jahr 2021 ihre Unterstützungsangebote ausbauen. Auf der Website dieser Initiative seien weitere Inhalte aufgenommen und vorhandene Beiträge aktualisiert worden.

Praxisinhaber auf datenschutzrechtliche Bezüge des Digitalisierungsprozesses aufmerksam machen

Insbesondere der neu eingerichtete Themenblock zur Digitalisierung des Gesundheitswesens solle dazu beitragen, Praxisinhaber auf die datenschutzrechtlichen Bezüge des Digitalisierungsprozesses aufmerksam zu machen und neben allgemeinen Informationsmöglichkeiten auch die daraus resultierenden praxisbezogenen Auswirkungen darzustellen.
Der LfDI RLP, Prof. Dieter Kugelmann, führt aus: „Die langjährige Zusammenarbeit zwischen staatlicher Datenschutzaufsicht, einzelnen Heilberufskammern und der Kassenärztlichen Vereinigung ist ohne Übertreibung eine rheinland-pfälzische Erfolgsgeschichte. Mit der Initiative ist es uns gelungen, die Umsetzung des Datenschutzes im Bereich der niedergelassenen Ärzte und Psychotherapeuten auf die praktischen Anforderungen anzupassen.“
Damit sei im sensiblen Gesundheitsbereich die „Akzeptanz für den Datenschutz bei den Praxisinhaberinnen und Praxisinhabern deutlich erhöht werden“.

Interdisziplinäres Zusammenwirken der Einhaltung des Datenschutzes in Praxen

Professor Kugelmann zeigt sich „sehr dankbar für die nun auf der Website der Initiative veröffentlichten neuen Inhalte. Denn gerade im gegenwärtigen Digitalen Transformationsprozess ist ein aktives, interdisziplinäres Zusammenwirken aller übergeordnet tätigen Akteure zugunsten der für die Einhaltung des Datenschutzes verantwortlichen Praxen mehr denn je erforderlich“.
Peter Andreas Staub, Vorstandsmitglied der KV RLP, betont: Auch der KV RLP sei es „sehr wichtig, mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der Landespsychotherapeutenkammer und der Landesärztekammer diese langjährige, sehr gute und konstruktive Zusammenarbeit weiter auszubauen“. Insbesondere aufgrund des fortschreitenden Digitalisierungsprozesses und der aktuellen IT-Sicherheitsrichtlinie nach § 75b SGB V ergäben sich für Ärzte- und Psychotherapeuten immer mehr Fragen, für deren Beantwortung die gemeinsame Website eine immense Hilfestellung biete.
Neben der neu eingerichteten Rubrik „Digitalisierung im Gesundheitswesen“ seien, unter anderem Beiträge zu den digitalen Gesundheitsanwendungen, der Elektronischen Patientenakte und Videokonferenzsystemen enthalten. Zudem würden Informationen zum Datenaustausch mit Polizeibehörden, Staatsanwaltschaften, Gerichten und dem MDK sowie bei vermuteter Kindeswohlgefährdung bereitgestellt.

Weitere Informationen zum Thema:

datensicherheit.de, 17.12.2020
Rheinland-Pfalz: LfDI nutzt Medienmix zur Bürgerinformation

Mit Sicherheit gut behandelt.
Startseite

[datensicherheit.de, 04.04.2020] Die Diskussionen um die optimale Gültigkeitsdauer von SSL-Zertifikaten gehen in die nächste Runde. „Kürzlich hat Apple seine Position zu den 1-Jahres-Zertifikaten deutlich gemacht. Am 19. Februar kündigte das Unternehmen an, ab dem 01. September 2020 ausschließlich SSL-Zertifikate mit einer Gültigkeitsdauer von maximal 398 Tagen zu akzeptieren“, informiert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Als Hauptgrund gab Apple den verbesserten Schutz der Internet-User an. „Apple erhofft sich, Webseiteninhaber zu einer häufigeren Validierung zu zwingen und damit die Anzahl von Fake-Seiten zu vermindern“, bringt es Tulinska auf den Punkt.

Es ist zu erwarten, dass es einige Browser Apple gleichtun werden

Für Website-Betreiber heißt es nun konkret: Der Apple-eigene Browser Safari akzeptiert bei ab dem 01. September 2020 ausgestellten Zertifikaten nur noch eine Maximal-Laufzeit von 398 Tagen. „Wer noch vor diesem Stichtag ein Zertifikat mit längerer Gültigkeitsdauer erworben hat, muss sich keine Gedanken machen. Dieses wird bis zum Laufzeit-Ende korrekt in Safari angezeigt. Ab 1. September sollten dann aber nur 1-Jahres Zertifikate erworben und verwendet werden, damit die eigene Webseite in allen Browsern optimal dargestellt wird“, so Tulinska über die Folgen. Weiterhin ist zu erwarten, dass es einige Browser Apple gleichtun werden. Vor allem Google hatte die Initiative der 1-Jahres-Zertifikate bereits selbst unterstützt und wird vermutlich ähnliche Änderungen vornehmen.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„In Zeiten der immer kürzer werdenden Laufzeiten wird ein optimaler Kundenservice und die Vereinfachung der Zertifikatsverwaltung immer bedeutender werden. Wir bieten beispielsweise bereits heute unseren Kunden ein System für die eigene Zertifikatsverwaltung – die PSW Konsole – an, um Bestellungen so einfach wie möglich zu machen“, so Patrycja Tulinska. Die PSW GROUP sieht diese neuerliche Branchen-Änderung zudem als Anlass, den Bestellprozess weiterhin maximal zu optimieren und arbeitet bereits an Möglichkeiten, ihren Kunden die zusätzlichen Aufwände, die aus den Änderungen der Zertifikatsverwaltung und Gültigkeitsdauer resultieren, abzunehmen.

Erlaubte Gültigkeit von SSL-Zertifikaten hat sich in den letzen Jahren immer wieder geändert

Bereits in den vergangenen Jahren hat sich die erlaubte Gültigkeit von SSL-Zertifikaten immer wieder geändert. So dürfen auf Beschluss des CA/Browser Forums, seit März 2018 SSL-Zertifikate nur noch eine maximale Gültigkeit von 2 Jahren besitzen. Im August letzten Jahres hatte Google den Vorschlag einer weiteren Verkürzung der Gültigkeitsdauer auf nur 1 Jahr eingereicht. Dies lehnte die Mehrheit des CA/Browser Forums jedoch ab. Die Gründe gegen eine weitere Verkürzung liegen auf der Hand: Mit dem Erwerb von SSL-Zertifikaten mit einer längeren Gültigkeitsdauer ist natürlich verminderter Aufwand verbunden. Bei Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten muss mehr Kosten und Mühen in die korrekte Einbindung eines Zertifikats gesteckt werden.

Weitere Informationen zum Thema:

PSW Group
Apple senkt Gültigkeitsdauer von SSL-Zertifikaten

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 24.07.2019
Neuer BSI Community Draft fordert EV-SSL-Zertifikate

datensicherheit.de, 13.04.2016
Integration von SSL-Zertifikaten wird künftig zur Pflicht

[datensicherheit.de, 20.07.2018] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat am 20. Juli 2018 gemeldet, dass die neue Website der Datenschutzkonferenz (DSK) online gestellt wurde. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder – ihre Aufgabe ist es, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Aktuelle Entschließungen, Orientierungshilfen und Kurzpapiere der DSK

Die DSK-Website „datenschutzkonferenz-online.de“ ist seit dem 19. Juli 2018 online – somit ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit einer eigenen Präsentation im Internet vertreten.
Auf dieser zentralen Informationsplattform sollen aktuelle Entschließungen, Orientierungshilfen und Kurzpapiere der DSK abrufbar sein, des Weiteren Verweise zu den Datenschutzgesetzen des Bundes und der Länder sowie deren Internet-Angeboten. Neue Inhalte könnten über einen RSS-Feed bezogen werden.

Zentraler Zugang zu datenschutzrelevanten Informationen

„Die Umsetzung der Datenschutz-Grundverordnung führt erkennbar zu einer Vielzahl von Auslegungsfragen“, so der LfDI RLP Prof. Dr. Dieter Kugelmann.
Um der von der Grundverordnung vorgesehenen einheitlichen Anwendung Rechnung zu tragen und den Verantwortlichen Handlungssicherheit zu geben, sei es unverzichtbar, die Positionen der deutschen Aufsichtsbehörden sowie die Entscheidungen des Europäischen Datenschutzausschusses zu kommunizieren. Die DSK-Website ergänze insoweit die vorhandenen Informations-Angebote der Datenschutzaufsichtsbehörden und schaffe einen zentralen Zugang zu datenschutzrelevanten Informationen.

Weitere Informationen zum Thema:

DSK
Datenschutzkonferenz

datensicherheit.de, 26.05.2018
Datenschutz-Grundverordnung seit 25. Mai 2018 geltendes Recht

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

datensicherheit.de, 02.05.2017
Dieter Kugelmann kritisiert sicherheits- und datenschutzrechtlichen Rundumschlag mit Folgen