Abmahnwelle wegen Google-Fonts Remote

Mit Urteil des Landgerichts München vom 20.01.2022 (Az: 3 O 17493/20) wurde die Rechtswidrigkeit der Einbindung von Google-Fonts durch Aufruf von externen Seiten festgestellt. Mit Aufruf der Website wird durch das Laden der Google-Fonts eine Verbindung zu US-Servern von Google aufgebaut und die IP-Adresse des Besuchers übermittelt.

Da eine Einbindung der Google Fonts oftmals auch bei der Anzeige des „Cookie-Banners“ und bei inhaltsleeren Fehlerseiten (z.B. gelöschte Seiten o.ä.) erfolgt, bleibt die Einbindung trotz Überprüfung gerne zunächst unentdeckt, womit die automatische Übermittlung der IP-Adresse des Besuchers daher gegen die DSGVO verstoßen kann. Details kann Ihnen hierzu ein Fachanwalt für IT-Recht oder Ihr Datenschutzbeauftragter erläutern.

Leider machen sich einige Abmahnanwälte diese Verstöße mit Massen-Abmahnungen zu Nutze und verschicken automatisiert Zahlungsaufforderungen in Höhe von rund 200 €.

Update 21.12.2022: Die beiden Abmahnanwälte, die mehr als 2.000 Abmahnungen verschickt haben, sind nun selbst angeklagt und verurteilt worden (wegen Abmahnbetrugs). In der Begründung der Staatsanwaltschaft Berlin wurde festgestellt, das die Suche nach Webseiten mit verlinkten Google Fonts durch eine Software durchgeführt werden. Da ein Datenschutz-Verstoß nicht gegen Programme, sondern nur gegen natürliche Personen wirksam sind, waren die Abmahnungen in betrügerischer Absicht.
Ungeachtet dieser Massenabmahnung sollten Sie Google Fonts und andere „Open-Source“ Bibliotheken ausschließlich auf dem eigenen Webauftritt betreiben (also keine externen Links setzen).

Schutz-Maßnahmen

Keine Befürchtungen im Fall einer entsprechenden Abmahnung müssen Sie haben, wenn Sie entweder keine externen Fonts in Ihrem Internetauftritt eingebunden haben oder die Google-Fonts lokal über ihren in Deutschland gehosteten Webserver mit ausliefern.

Das können Sie stichprobenartig einfach prüfen, indem Sie Ihre Internetseite aufrufen und dann im Chrome oder Edge die Taste {F12} drücken. Im Register „Quellcode“ erscheint dann links eine Liste der Quellen, aus denen Ihre Seiten die Daten beziehen. Taucht dort nur die eigene Domain auf, reduziert sich das Risiko einer Abmahnung signifikant. Alternativ rufen Sie von Ihren Seiten und Unterseiten „Seitenquelltext anzeigen“ auf und suchen darin nach „fonts“ oder „google“.

Auf diesen Seiten verwenden wir beispielsweise keine externen Quellen für Google-Fonts, Avatare, Emojis und andere Darstellungs- oder Programmcode-Elemente. Mehr dazu in unserer Datenschutzerklärung.

WordPress

Da mittlerweile rund 64,3% {Quelle: de.statista.com, Oktober 2022} aller Internet-Auftritte die Plattform „WordPress“ verwenden, gibt es zahlreiche empfohlene Maßnahmen, die externen Verbindungen zu kappen, bzw. auf die eigene Seite zu verlagern. Für mehr Details lassen Sie sich bitte von Ihrer Medienagentur oder Ihrem Webdesigner in Abstimmung mit Ihrem Datenschutzbeauftragten und Fachanwalt beraten.

Sicherheitslücken in veeam geschlossen

Veeam Backup & Replication Server können für Angriffe genutzt werden, wenn sie nicht auf die aktuelle Version gebracht wurden. Angreifer könnten Schadcode ausführen.

Zwei kritische Sicherheitslücken (CVE-2022-26500, CVE-2022-26501) sind genannt. Betroffen ist der „Veeam Distribution Service“ auf TCP-Port 9380. Ein Angreifer kann ohne Authentifizierung zugreifen.

Der Hersteller schreibt, dass Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen die Attacken sicher sind.
Wer noch die Ausgabe 9.5 (z. B. 9.5 Update 4) im Einsatz hat, muss auf eine aktuelle Version upgraden.

Die veeam-Version wird Ihnen beim Start der Konsole oder in der Systemsteuerung unter Programme und Funktionen angezeigt. Für ein Upgrade auf die aktuelle Version benötigen Sie einen aktiven Wartungsvertrag und gültige Zugangsdaten zum veeam-Portal.

Übrigens: Wer seine Server schon in die Microsoft Azure (IaaS) Cloud umgezogen hat, ist von den Problemen nicht mehr betroffen, denn der Einsatz einer Datensicherung für On-Premises entfällt mit 100% Cloud Migration. Natürlich kümmert sich Microsoft auch bei der SaaS Variante um eine Datensicherung.

Drucker mit 14.000 Seiten pro Minute

Mal wieder etwas zum Schmunzeln: Eine große Elektronik-Verbundgruppe vertreibt über Printmedien (Prospektbeilagen) und im Onlinehandel (auch hier ist der Fehler noch präsent) einen (äußerlich) unscheinbaren Tintenstrahldrucker, der es aber in sich hat:

Ein wenig kuriose Mathematik zu dem Rekord-Drucker: Ein Paket Papier enthält 500 Blatt, eine ganze Kiste davon 2.500 Blatt also knapp 6 Kisten pro Minute. Ein Papierfach von etwa 1,80m Höhe würde dann eine Minute reichen. Der sagenhafte Drucker zieht 233! Seiten pro Sekunde ein. Nicht einmal die Offset-Druckmaschine des Zeitungsverlags schafft das. und die ist mindestens 1.000x so teuer. Das Fassungsvermögen einer typischen Papierkassette von Tintenstrahldruckern ist 100 Blatt.

Der Bediener müsste also etwa 2x pro Sekunde Papier ins Papierfach nachlegen.

Übrigens: Die Tinte reicht für rund 3.600 Seiten (in diesem Fall keine Patronen, sondern nachfüllbar) und allein schwarze Farbe muss alle 90 Sekunden komplett nachgefüllt werden.

OpenAudit Classic unter Azure? Ja

Das Werkzeug #OpenAudit Classic ist ein GPL3 lizensiertes Open-Source Instrument zur Inventarisierung von Hardware, Software, Peripherie und Netzwerk-Komponenten. Es wird auf einem #Windows Server betrieben und zieht sich einmal pro Tag den aktuellen Stand der angeschlossenen und eingeschalteten Geräte. Dazu muss kein Client auf den Endgeräten installiert werden. Die Abfrage erfolgt per WMI oder/und SNMP vom Open-Audit Classic Server aus.

Anforderung von Amts wegen

Verbandsprüfer verlangen nach BSI Grundschutzkatalogen und IDW Prüfungsstandard 330 eine Dokumentation der oben genannten Komponenten einer IT-Umgebung. Diese Aufgabe erfüllt OAClassic weitgehend autark.

Mit dem Umzug oder der Neuinstallation von Servern in der Microsoft Azure Cloud, auch Iaas – Infrastructure as a Service genannt, bleibt die Verpflichtung und Pflege der Server bestehen. Viele Syskos haben die Frage gestellt, ob Open-Audit Classic auch unter Azure auf einem virtuellen Azure Server funktioniert und Inhalte bekommt.

auf Microsoft Azure VMs?

Mit Version 2020.12.30 verwendet Das Inventar-Tool aktuelle .net Framework Runtimes, Apache, MariaDB und PHP8, die von der jeweiligen Community allesamt für die Verwendung unter Azure Windows Servern 2019 und 20H2 angepasst wurden. Die Programmierung (in PHP) wurde ebenfalls an die neuen PHP8 Funktionen angepasst.

Von mir durchgeführte Praxistests belegen, dass Open-Audit Classic auch auf Azure Servern genutzt werden kann.

Wichtige Voraussetzungen

• Azure AD Connect bzw. das VPN zu Azure ist so eingerichtet, dass innerhalb der VPN-Tunnel keine Ports gesperrt sind
• Sowohl die Maschinen im lokalen Netz, als auch die Server in Azure können sich „untereinander und gegenseitig anPINGen und auch die Namensauflösung (DNS) funktioniert
• Die Leitungsbandbreite ist ausreichend (wobei für Open-Audit pro inventarisiertem Gerät im Durchschnitt nur 50 KiloByte als XMLHTTP-Posting übertragen werden – jede Webseite hat heutzutage rund 500 KB und mehr)
• Es sind noch mindestens 2 GB oberhalb der 15% Mindestplatz auf Laufwerk C: des Azure Inventarservers frei
• In der Praxis ist bisher (auch On-Premises) Open-Audit Classic auf dem Archiv-Server (s.dok) installiert. Diese Einordnung gilt auch für die Azure Cloud VMs

Ich möchte Open-Audit einsetzen. Was tun?

Sie können Open-Audit in der Azure-Cloud oder On-Premises (auf einem Server in Ihrem Hause) einsetzen. Nehmen Sie mit mir über das Kontaktformular (oder die gängigen Wege) Kontakt auf und wir installieren gemeinsam per Fernwartung das Werkzeug auf Ihrem Server und nehmen es in Betrieb.

Neulich bei Junk-Mail: 1.5mio geschenkt

glücklicherweise nerven solche E-Mails in der Regel nicht, wenn man einen effizienten SPAM-Filter einsetzt. Dennoch fallen immer wieder Personen auf solche E-Mails herein:

Hallo,
Ich bin Frau Maria Elisabeth Schaeffler, eine deutsche Wirtschaftsmagnatin,
Investorin und Philanthropin. Ich bin der Vorsitzende von Wipro Limited, 25
% meines persönlichen Vermögens werden für wohltätige Zwecke ausgegeben und
ich habe auch versprochen, die restlichen 25 % in diesem Jahr 2022 an
Privatpersonen zu verschenken. Ich habe beschlossen, 1.500.000,00 Euro an
Sie zu spenden, wenn Sie es sind an meiner Spende interessiert sind,
kontaktieren Sie mich bitte für weitere Informationen.
Unter folgendem Link können Sie auch mehr über mich lesen {wikipedia-Link}
Grüße
Direktor Wipro Limited
Maria Elisabeth Schaeffler
E-Mail: mariaelisabethschaeffler85@gmail.com

SPAM-Mail von Zufallsalias@gmail.com oder @outlook.com

Hier mal ein schlecht gemachtes Beispiel, das im Moment aber als wahre Massen-E-Mail das Netz überschwemmt. Man macht sich nicht mal die Mühe, den Empfänger mit seinem Namen anzureden, oben steht eine deutsche Frau als Absender, der Mustertext bezieht sich aber auf einen Mann, der Vorsitzender einer ausländischen GmbH (Limited – kürzt man das nicht generell als Ltd. nur ab? Und hat eine GmbH nicht einen Geschäftsführer und Gesellschafter statt einem Vorsitzenden?) ist. Schade auch, dass „Frau“ sich nicht mal eine eigene E-Mail-Adresse/Domain leisten kann. Die Absendeadresse ist darüberhinaus eine andere als zum Antworten angegeben. Und 2x 25% sind 100% laut der oben stehenden Rechnung.

Die Masche ist schon Jahrzehnte alt und wurde m. E. von der Nigeria Connection erfunden. Wer drauf reinfällt, muss erstmal jede Menge Geld überweisen, um dann nichts zu bekommen. Falls Ihr Spamfilter mal eine solche E-Mail durch lässt – die Entf-Taste ist die richtige Wahl. Zusätzlich hilft bei solch schlecht gemachten Mail ein einfacher Absenderfilter, der E-Mail-Aliase mit Zahlen direkt löscht.

Chrome und Edge nur noch ab Windows 10

Mit der Version 110 endet für Chromium-basierte Browser (Google #Chrome, Microsoft #Edge, Vivaldi und weitere) die Aktualisierung mit #Sicherheitsupdates für alte Windows und Windows Server Versionen.

Betroffen sind ab Februar 2023: Windows Server 2012 R2 und Windows 8.1. Wer diese Betriebssysteme dann noch einsetzt, wird keine sichere Verbindung mehr zum Internet aufbauen können. Das Risiko eines Angriffs beim Surfen steigt damit signifikant an.

Unterstützt werden dann nur noch Windows Server 2016, Windows Server 2019, Windows Server 2022 sowie Windows 10. Windows 11 wird zwar auch unterstützt, die Redaktion hält aber an ihrer Empfehlung, Windows 11 Pro/Enterprise NICHT einzusetzen, fest.

Für ältere Betriebssysteme (Server 2008 R2 und Server 2012, sowie Windows Vista, Windows 7, Windows 8) gibt es bereits jetzt keine Aktualisierungen mehr.

2Jahre 4Monate 1Woche 1Tag
seit Di. 07. Feb. 2023 859 Tage

Fotos

Neueste   fotos

 9 M  216,5K 50 s1,5K

Hardware   Fotos Hardware Tablets

Fotos: Hardware

Werfen Sie einen Blick auf #Fotos von #Hardware, Rechner, Notebooks und #Tablets von innen und außen und auf andere Elektronik-Komponenten, die ich schon mal in den Händen hatte.…

Anzahl Dateien: 112   Gesamt Dateigröße: 13,4M

 9 M 19s  219,3K 13 m2,1K

Server   Azure BSI Cloud Fotos

Fotos: Serverräume

Sehen Sie #Fotos von Serverräumen oder Räume, wo Server untergebracht sind. Teilweise kurios oder historisch bedingt. Viele dieser Serverstandorte erfüllen nicht oder nur teilweise die Vorgaben des Bundesamtes für Sicherheit……

Anzahl Dateien: 144   Gesamt Dateigröße: 20,0M

 4 J  24,9K 1 h866

Unterhaltung   Fotos Quiz

Quiz: Bilderraten

Rätseln Sie mit. In diesem #Quiz aus #Fotos werden nach und nach Teile des Bildes freigelegt. Sobald Sie raten können, drücken Sie die Taste 3 und notieren die Punktzahl.…

ODBC: Fehler im Windows-Treiber

Viele von Ihnen nutzen Microsoft Query oder Microsoft Access, um eigene Auswertungen über die ODBC-Schnittstelle zu ziehen. Wer nicht den „ODBC Treiber 17.x“ verwendet, sondern den Treiber, der bei Windows 10 bzw. Server 2016-22 mitgeliefert wird, hat mit dem November kumulativen Update das Problem, dass keine ODBC-Verbindungen mehr aufgebaut werden können.

Ob Sie den Betriebssystemtreiber verwenden, können Sie bei aufgetretener Fehlermeldung in einer administrativen Eingabeaufforderung mit dem Befehl: tasklist /m sqlsrv32.dll feststellen.

Wenn ja, gibt es derzeit von Microsoft keine Lösung für das Problem. Mit dem #ODBC Treiber 17 ist es mir bisher nicht aufgetreten. Damit könnte ein Workaround (der Treiber ist ohnehin der empfohlene Weg – auch nicht die Version 18 des Treibers, sondern die aktuelle Version 17.10.2.1) die Installation und Einrichtung der Datenquellen mit dem 17er Treiber sein. Dieser verwendet die Bibliothek: mssqlodbc17.dll.

Nutzer des 17er Treibers sollten ebenfalls diesen auf die aktuelle Version von Ende November 2022 bringen, um potentielle #Sicherheitslücken zu schließen.

https://go.microsoft.com/fwlink/?linkid=2217421&clcid=0x407

Microsoft Download-Link deutscher Treiber 17

Erneut Sicherheitslücke in d.3 Server geschlossen

d.velop, der Hersteller von d.3 Produkten (unser Archivsystem s.dok basiert darauf) weist in seinem aktuellen Sicherheits-Bulletin DV-SEC-2022-09 darauf hin, dass Sicherheitslücken in den Produkten (und Versionen):

Current 2022.Q3 Patch 3 (beinhaltet d.3 server 8.21.4)
Current 2022.Q3 Patch 4 (beinhaltet d.3 server 8.21.5)

geschlossen wurden. Betroffen sind Sie nur, wenn Sie eine der genannten Versionen einsetzen. Die Software-Versionen sollten daher auf:

Current 2022.Q4 (beinhaltet d.3 server 8.25.2)
oder Annual 2022 (beinhaltet d.3server 8.21.6)
oder Current 2022.Q3 Patch 5 (beinhaltet d.3 server 8.21.6)

aktualisiert werden. Bei Fragen wenden Sie sich bitte an unser DMS-Team.

Hardware-Test: Jabra Evolve2 75

Etwa drei Jahre nach Inbetriebnahme des #Jabra Evolve 65 Headsets (und dessen nachlassender Akkuleistung) steht eine neue Kommunikationshardware bereit: Das Modell Jabra Evolve2 75 hat eine Menge zusätzlicher Features und Verbesserungen erhalten. Der Straßenpreis (Quelle: Bechtle, 28.11.2022) liegt bei etwa 206 € netto.

Highlights

• Tragekomfort verbessert – die Ohrmuscheln decken nun das ganze Ohr ab und liegen so besser an (on-Ear). Der Bügel ist ebenfalls gepolstert
• ANC (Active Noise Cancelling). Umgebungsgeräusche werden durch Amplitudenverschiebung weggerechnet. Man hört keine Umgebungsgeräusche und konzentriert sich ganz auf das Gesprächsaudio. Sagenhafte 8 Mikrofone sind dazu im Geräte eingebaut.
• Tonqualität stark verbessert. Das mag mit an den größeren Ohrmuscheln liegen, ist aber auch dem Soundprozessor geschuldet, der Musik von Sprache unterscheiden kann und optimiert.
• Mikrofonbügel: Dieser ist kürzer als beim 65er. Es lässt sich konfigurieren, dass das Mikro stummgeschaltet wird, wenn man ihn hochklappt. Ist er hochgeklappt verschwindet er besser im Ohrmuschelgehäuse als sein Vorgänger. Im Gegensatz zum Vorgänger lässt sich der Bügel allerdings nur in einer Richtung bewegen, nicht dreidimensional. Da das Mikrofon aber auch mit dem so größeren Abstand zum Mund eine hervorragende Qualtät hat, ist das aus meiner Sicht kein Nachteil
• USB-Anschluss. Ist nun der allgemeinen Norm entsprechend eine USB-C Buchse am Gerät, kein Mikro-USB mehr
• USB Dongle (wahlweise als USB-C oder USB-A erhältlich): Braucht man nicht wirklich, denn über Bluetooth lassen sich bis zu zwei Geräte parallel koppeln und verbinden. Audio und Mikro funktionieren dann auf dem Gerät, das sich zuletzt gemeldet hat (Also Teams Sitzung und ein Anruf kommt = Headset funktioniert mit dem Handy.
• Trageerkennung: Ein Gyro Sensor ist im Gerät eingebaut. Setzt man das Headset auf, fängt beispielsweise die Musik vom Smartphone an zu spielen, legt man das Headset ab, stoppt die Musik.
• Akkulaufzeit: Noch nicht getestet. Da ein größerer Akku zu erwarten ist, wird die Laufzeit bei ca. 10 Stunden Dauerbetrieb liegen (so die zusätzlichen Features nicht mehr Energie brauchen)
• App: Neben der Windows-Anwendung gibt es nun auch eine Android-App im Google Playstore. Auch damit können viele Einstellungen und Firmware-Updates gemacht werden.

Technisches Datenblatt zum Evolve2 75

Fazit

Hervorragendes Gerät, bei dem der Straßenpreis nur rund 50 € über dem Evolve 65 liegt. Anmerkung: Jabra ruft als Listenpreis stattliche 435 € brutto dafür auf.

Mehrwersteuer! Ergreift Maßnahmen jetzt!

Neues aus dem Phisherei-Hafen. Zwar sind aktuelle Phishing-E-Mails häufiger ohne eklatante Rechtschreib- oder Grammatikfehler (bis auf das fehlende „t“ in Mehrwersteuer), aber etwas mehr Mühe hätte man doch erwarten können:

• Adresse liegt in einer Wohnung in einem Plattenbau in Berlin (hier keine gewerbliche Nutzung erlaubt)
• Die „Firma“ nennt sich DeutschePostDe (endlich weiß ich was „DPD“ bedeutet)
• Mein Name ist „Hallo“ – so zumindest die Anrede (also wie in der US-Version von Hallo Spencer, wo man Hallo zum Vornamen machen musste, damit das Video nicht verändert werden musste).
• Es geht um 1,12 EUR Zollgebühren (Zollgebühren unter 5 € werden nicht erhoben und Bisher musste der Zoll die Gebühren selbst erheben, die Abholung musste persönlich durch den Empfänger erfolgen)

Scheinbar fallen gerade in der Black Week bzw. zum Black Friday, den viele Unternehmen nutzen, viele Anwender auf solche Sachen rein. Gleichzeitig flutet aktuell eine riesige Anzahl von Fake-Shops das Internet, wo nicht existente Waren zum Abgreifen von Zahlungsinformationen angeboten werden. Sollte Ihr SPAM-Filter solche E-Mails durchlassen, schärfen Sie bitte die Regeln und löschen sie ansonsten unverzüglich.

Ihr Pa­ket wi­rd ge­rade vom Zo­ll abge­fertigt

Ha­llo,

Ihr Pa­ket MDFX22323234KK sollte he­ute ankommen. Aufg­rund eines Zwischenfalls während des Vers­ands mus­sten wir die Lief­erung auf morgen zwischen 9:00 und 13:00 Uhr vers­chieben.

Ihr Pa­ket wur­de vom Zo­ll aufg­rund des unbezahlten Mehrwe­rsteue­rbet­rags von 1,­12 E­UR zurückgehalten.

Um Ihr Pa­ket in Übereinstim­mung mit den akt­uellen Zo­llbestimmungen zuz­ustellen, muss die Mehrwertsteuergebühr inner­halb von 7 Wer­ktagen beza­hlt wer­den. Nach Ablauf dieser Frist wird das Pa­ket an den Ab­sender zurückgeschickt.

Ergreift Maßnahmen jetzt *kryptischer Phisching-Link“

Originalmeldung

OpenAudit Classic RDG-Export

Mit dem nächsten Release von #OpenAudit Classic können aus den Hardwarelisten auch RDG-Dateien erstellt werden. Remote Desktop Groups (.rdg) werden vom Microsoft Remote Desktop Connection Manager gelesen. Das Sysinternals Werkzeug bietet Zugriff auf alle Server (und per RDP erreichbare Sitzungen) unter einer Oberfläche.

Einstellungen können dort zentral oder pro Untergruppe getätigt werden, die Hashwert-Ablage zum Kennwort wird mit dem Benutzerprofil verknüpft, so dass Dritte die Kennwörter nicht benutzen können.

Wenn Sie nicht auf das kommende Release warten möchten – oder Ihre vorhandene Installation ohne Neuinstallation auf den aktuellen Stand bringen möchten, laden Sie sich den Quellcode über „Code/Download ZIP“ bei Github.com herunter und tauschen die Inhalte des /htdocs/openaudit Ordners und des Unterordners ./lang und ./javascript aus.

OpenAudit Classic auf Github

Quellcode zum Projekt. Das SETP-Paket mit den aktuellen Releases finden Sie später im Download-Bereich.

To come: Mit einem der nächsten Releases wird auch ein direkter Export nach Excel (im XLSX-Format) möglich sein. Das spart den Umweg über die CSV-Datei, die in Excel dann wieder als XLSX gespeichert werden musste.

Microsoft Azure Rechenzentren

Sie wollten schon immer wissen, welche Zertifizierungen Microsoft für ihre deutschen Rechenzentren in Frankfurt/Main und in der Nähe von Berlin in Brandenburg hat und wie die Standard SLAs für virtuelle Server (IaaS) sind? Welche Sicherheitsmechanismen stehen zur Verfügung?

Wir haben für Sie die wichtigsten Informationen mit Links zu Microsoft-Seiten als #FAQ für Sie zusammengestellt:

Warum BYOD in Deutschland nicht funktioniert

Private Geräte dienstlich nutzen?

Während BYOD (bring your own device) in vielen außereuropäischen Ländern beliebt ist, verhindern Bundesdatenschutzgesetz (die deutsche Anwendung der EU-DSGVO) und Sicherheitsaspekte nicht nur die Verwendung von privaten Mobilgeräten, sondern auch von Laptops, Tablets und PC-Hardware mit Anbindung an dienstliche Quellen wie E-Mail, M365, AVD und Azure.
Neben den gesetzlichen Aspekten steigen auch die Risiken signifikant (im zweistelligen Prozentbereich), da privat eingebrachte, nicht verwaltete Geräte keine Mindestanforderungen erfüllen und keinem Monitoring unterliegen.
Viele Cyber-Versicherungen schließen daher grundsätzlich auch BYOD aus oder weigern sich, Zahlungen im Schadenfall zu leisten. Die Beweispflicht liegt dann beim Versicherungsnehmer, was den Anspruchnachweis zusätzlich erschwert.

Dienstliche Hardware und Mobilgeräte auch privat nutzen?

Die private Nutzung von dienstlichen Mobilgeräten (Smartphones, Tablets) kann hingegen gesetzlich vereinbart werden.

Hierzu müssen die technischen Maßnahmen eines Mobile Device Managements wie Intune genutzt werden (oder MDM-Software eines anderen Anbieters).
Effektiv lässt sich das nur mit Endgeräten von Samsung (Galaxy A50 und S20 oder neuer) realisieren, denn nur dort gibt es einen Bereich für private Apps wie Whatsapp, Gmail etc. und den geschäftlichen Bereich mit Outlook, M365 und anderen Dienst-Apps.
Auch die dienstlichen Daten liegen in einem verschlüsselten Bereich des Speichers und können vom Admin gelöscht werden. Die privaten Daten hingegen bleiben erhalten. (nur bei den Samsung Geräten ist das so, bei apple wird meines Wissens das Gerät komplett gelöscht).

In jedem Fall müssen auch die Nutzung der dienstlichen Mobiltarife und das Datenvolumen so organisatorisch geregelt werden, dass die private Nutzung erlaubt ist (Achtung! Nur risikoarm bei Flatrate-Tarifen, die nicht automatisch Volumen dazubuchen, sondern drosseln) und einer All-Net-Flatrate für Telefonie.

Die außereuropäische Nutzung solllte bei Verwendung der dienstlichen SIM komplett untersagt sein.

Zuletzt bietet sich noch die Möglichkeit, mit DUAL-SIM zu arbeiten und die private SIM dann dem privaten Bereich fest zuzuordnen und die dienstliche SIM nur im dienstlichen Bereich des verwalteten Mobilgeräts.

Zeiterfassungspflicht neu aufgewärmt

Bereits im Mai 2019 wurde vom Europäischen Gerichtshof beschlossen, eine Verpflichtung zur #Zeiterfassung für Unternehmen einzuführen. Im September 2022 stützte das Bundesarbeitsgericht diese Entscheidung, indem zur Zeiterfassungs-Pflicht ein eigenes Urteil aussprach.

Grundsätzlich besteht die Pflicht also schon ab 2019, wurde aber jetzt erst in nationales Recht umgesetzt. Viele von Ihnen setzen Software oder Web-Lösungen (und Stempelterminals) zur Zeiterfassung bereits ein, es gibt aber viele Fälle, insbesondre im KMU (kleine und mittelständische Unternehmen), deren Mitarbeitende noch keine Zeiten erfassen.

Zur Einführung (bzw. generell) gilt: Stimmen Sie die weitere Vorgehensweise mit einem Fachanwalt, Ihrem Datenschutzbeauftragten und – sofern vorhanden – Ihrem Betriebsrat ab.

Die einfachste Methode (sofern die o.g. Bedingungen das erlauben) sind „Stundenzettel“, die monatsweise händisch erfasst und dann von der Personalabteilung bzw. den Personalverantwortlichen archiviert werden. Im Zeitalter der Digitalisierung nicht empfehlenswert.

Die (nur) für zertifizierte Syskos kostenlos herunterladbare Excel-Vorlage ermöglicht das Erfassen der Zeiten über ein ganzes Jahr hinweg. Zusätzlich können (müssen aber nicht) Urlaubstage und Gleitzeittage eingetragen werden. Mit Excel-Formeln wird berechnet, wie der Gleitzeitsaldo ist und farblich markiert, wenn gegen gesetzliche Vorgaben verstoßen wird (>10 Stunden etc.). Verwenden Sie dazu bitte dasselbe Kennwort wie für den Zugriff auf Ihre Unterlagen.
Das Plugin bietet Ihnen zusätzlich die Möglichkeit hausinterne Veranstaltungen oder ein eigenes #Desksharing mit Buchungsmöglichkeit für Schreibtische/Arbeitsplätze zu realisieren.

  Mo. 26. Sep. 2022 11:55 vor 3 Jahren570 kB 0s@300MBit6

Programme  

Zeiterfassung – Stempelvorlage/Rechner

Datei herunterladen Mo. 26. Sep. 2022 11:55 vor 3 Jahren

Neu! Jetzt auch als Wordpess Plugin zur Online-Erfassung von Zeiten und Auswertung in Ihrem Intranet. Den Quellcode und den Code-Download finden Sie hier.

HP-Drucker: Kritische Sicherheitslücken

Viele von Ihnen verwenden Drucker von Hewlett-Packard. Moderne Drucker bieten dabei auch Zugriff auf Online-Dienste und nahezu alle Drucker mit Netzwerkfunktionalität haben ein Web-Interface. Bereits vor 8 Monaten waren kritische Sicherheitslücken in vielen HP-Druckern entdeckt und Firmware-Updates bereitgestellt worden.

Nun sind zwei weitere kritische Sicherheitslücken geschlossen worden, mit denen Angreifer Codeschmuggel betreiben können. Sind die Online-Features (z. B. HP Smart) im Gerät aktiviert, ist der Angriff sogar über das Internet möglich.

Maßnahmen

Wenn Sie HP-Drucker im Einsatz haben, prüfen Sie bitte, ob Ihre Modelle betroffen sind. HP hat dazu einen CVE-Artikel veröffentlicht, in dem die Modelle aufgelistet sind.

HP-Security Bulletin zu den Sicherheitslücken

https://support.hp.com/us-en/document/ish_6839789-6839813-16/hpsbpi03810