Stellenauschreibung – IT-Hilfskraft – Psychotherapeutenkammer des Saarlandes (verlängert!)

Die Psychotherapeutenkammer des Saarlandes (PKS) sucht zum nächstmöglichen Zeitpunkt eine (studentische) Hilfskraft (m/w) für die Betreuung der IT-Infrastruktur im Umfang von ca. 5 Wochenstunden auf Minijob-Basis.

Aufgabenbereich

  • Betreuung der IT-Infrastruktur der Geschäftsstelle der PKS (2 Rechner-Arbeitsplätze) und gegebenenfalls der Geräte der Vorstandsmitglieder
  • Unterstützung bei der Verwaltung der Webseite (Typo3)
  • Beratung bei technischen Fragen und Problemstellungen
  • Allgemeine Rechercheaufgaben und Unterstützung bei Veranstaltungen

Anforderungsprofil

  • Gute IT-Kenntnisse, insbesondere Microsoft Access und Outlook sowie Windows
  • Bereitschaft, während der Öffnungszeiten der Geschäftsstelle von Montag bis Donnerstag auch kurzfristig Probleme telefonisch, per Remote-Zugriff oder vor Ort zu beheben
  • Fähigkeit, auch komplexe IT-Sachverhalte in einfachen Worten zu erklären
  • Angemessenes Kommunikationsverhalten sowie mindestens gutes Deutsch in Wort und Schrift

Was wir bieten

  • Flexible Arbeitszeiten sowie Vereinbarkeit mit dem Studium o.ä.
  • Angenehme Arbeitsatmosphäre und ein nettes Team
  • Einblick in die Arbeitsweise einer Berufskammer
  • Unterstützung durch die IT-Sicherheits- und Datenschutzexperten der Defendo GbR – Möllers & Hessel (Datenschutzbeauftragte der PKS)
  • Eine Vergütung von 11 € /Stunde
  • Das Bewerbungsverfahren läuft über die Defendo GbR – Möllers & Hessel.

Aussagekräftige Bewerbungsunterlagen (Lebenslauf und kurzes Anschreiben mit Nennung der Vorkenntnisse, speziell im IT-Bereich) sollten per E-Mail bis zum 27.07.2018 an gesendet werden. Reichen Sie die Bewerbungsunterlagen bitte als ein zusammenhängendes PDF-Dokument ein. Alle übermittelten Bewerberunterlagen werden nach Abschluss des Verfahrens gelöscht. Die Datenschutzerklärung der Defendo GbR – Möllers & Hessel finden Sie hier.

DSGVO-Konforme Webserver-Logs

In unserem heutigen Blog-Beitrag möchten wir uns einem Problem widmen, welches vor allem Betreiber kleiner Internet-Dienste betrifft. Gut sichtbar haben in den letzten Wochen und Monaten viele große Dienstleister die Datenschutzerklärungen auf ihren Webseiten angepasst. Bei einigen Anbietern wurden in diesem Zusammenhang auch mal kurzfristig die Speicherfristen für IP-Adressen in Webserver-Logs angepasst. In diesem Zusammenhang stellt sich vielleicht der ein oder andere Webseitenbetreiber die Frage: Wie steht es eigentlich um meine Webserver-Logs?

Die Defendo GbR – Möllers & Hessel hat sich diese Frage gleich zu Beginn gestellt. Ein Unternehmen, welches Datenschutz propagiert und auf diesem Gebiet Kunden berät, sollte schließlich mit gutem Beispiel voran gehen. Unsere Webseite wird auf einem eigenen Server betrieben. Ein einfaches Setup mit Debian Linux und dem Apache Webserver. Doch genau hier lauert der Fallstrick: In der Regel (und dies gilt nicht nur für Debian und Apache) werden Webserver nicht mit DSGVO-konformen Einstellungen ausgeliefert (die Einstellungen sind auch nach „altem“ deutschen Datenschutzrecht nicht konform, aber das nur am Rande). Das heißt: Wer einen Webserver installiert und damit eine Webseite betreiben will, muss (leider) selbst Hand anlegen. Denn oft speichern die Webserver IP-Adressen und Anfragen in ihren Log-Dateien, welche sie für lange oder gar unbegrenzte Zeiträume auf der Festplatte stapeln.

Dem Apache-Webserver ist beispielsweise das „Recht auf Vergessenwerden“ von Haus aus erst einmal ein Fremdwort. Log-Dateien werden unbegrenzt aufbewahrt und enthalten jede einzelne Anfrage inklusive der IP-Adresse, wie folgendes Beispiel zeigt:

192.168.0.1 - - [07/Jun/2018:12:27:59 +0200] "GET /index.html HTTP/1.1" 200 19810 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Erste Abhilfe schafft bspw. das Programm logrotate, welches in jeder gut sortierten Linux-Distribution aus den Paketquellen installiert werden kann. Bei der Standard-Einstellung unter Debian wird damit die Apache-Log-Datei jeden Tag „rotiert“ und Logs, die älter als 14 Tage sind, gelöscht. Die Maximaldauer lässt sich problemlos auf 7 Tage heruntersetzen. Wenn man aus einem bestimmten Grund (etwa einer großen Anzahl Angriffe auf die Webseite) IP-Adressen unbedingt speichern muss, genügt dieser Schritt bereits. Natürlich muss dann aber auch ein entsprechender Hinweis in die Datenschutzerklärung auf der Webseite!

Ganz nach dem Gedanken der Datensparsamkeit, welcher in der DSGVO Nennung findet, möchten wir aber einen Schritt weiter gehen. Wie verhindert man, dass Apache überhaupt IP-Adressen speichert? Hierfür muss man die Seiten-Konfiguration im Apache-Verzeichnis (bspw. /etc/apache2/sites-enabled/) anpassen. Die wichtigen Konfigurationsdirektiven hier sind LogFormat und ErrorLogFormat. Das folgende Beispiel zeigt, wie die beiden Formate angepasst werden, um die IP-Adressen aus dem Log herauszulassen.

{% highlight apache %}
ErrorLogFormat „[%{u}t] [%-m:%l] [pid %P] %7F: %E: %M% , referer %{Referer}i“
ErrorLog ${APACHE_LOG_DIR}/error.log
LogFormat „%t „%r“ %>s %b“ anonymised
CustomLog ${APACHE_LOG_DIR}/access.log anonymised
{% endhighlight %}

Sollten Sie noch Fragen zum datenschutzkonformen Betrieb einer Webseite haben, schreiben Sie uns einfach! Wir sind Ihnen gerne behilflich, Ihre Webseite DSGVO-konform zu gestalten.

Eine Woche bis zur DSGVO

In einer Woche, am 25. Mai 2018, wird die Datenschutzgrundverordnung (DSGVO) anwendbar sein. Doch längst nicht alle Unternehmen sind ausreichend vorbereitet. So zeigt eine aktuelle Umfrage des IT-Branchenverbands Bitkom, dass drei von vier Unternehmen die Frist verfehlen werden. Dies liegt nicht etwa daran, dass den deutschen Unternehmern die DSGVO egal wäre, sondern vielmehr daran, dass es sich um ein hochkomplexes Regelwerk handelt und für den Laien kaum zu durchdringen ist. So sind einige Fragen zur DSGVO selbst unter Experten umstritten. Dazu zählt etwa die Frage, ob eine juristische Person zum Datenschutzbeauftragten bestellt werden kann oder ob für ein Tracking von Nutzern zukünftig eine vorherige Einwilligung notwendig ist. Letzteres behauptete, allerdings mit fragwürdiger Begründung, die Konferenz der Datenschutzbehörden kürzlich in einem Positionspapier.

Angesichts dieser zahlreichen Unklarheiten raten wir Unternehmern daher zunächst dazu, Ruhe zu bewahren. Es ist nicht damit zu rechnen, dass die Datenschutzaufsichtsbehörden am 26. Mai die Bussgeldkeule auspacken und auf kleine und mittelständische Unternehmer losgehen werden. Gleichwohl sollten Unternehmer – auch im Hinblick auf die umstrittene Frage, ob Verstöße gegen die DSGVO zu Abmahnungen nach dem UWG berechtigen – spätestens jetzt aktiv werden und mit der Umsetzung der DSGVO beginnen. Dabei empfiehlt es sich, mit den Grundlagen – wie der Erstellung eines Verarbeitungsverzeichnisses oder der Datenschutzerklärung für die Unternehmenswebseite – zu beginnen. Gerade letztere wird, sofern es zu einer Abmahnwelle kommen wird, zu einem wesentlichen Punkt bei der Compliance mit der DSGVO werden.

Vor diesem Hintergrund bietet die Defendo GbR – Möllers & Hessel aktuell zwei spannende Last-Minute-Angebote zur Vorbereitung auf die DSVGO:

  1. Die Telefonberatung zur DSGVO in der wir umfassend und individuell zur DSGVO beraten zum Preis von 90€ pro Stunde.
  2. Die Erstellung von Datenschutzerklärungen für Webseiten kleinerer und mittlerer Größe mit einem Check, ob die jeweilige Webseite technisch überhaupt mit der DSGVO konform ist, zum Pauschalpreis von 200€ pro Erklärung.

Rückblick zum Seminar bei der LMS

Am 18.April 2018 veranstaltete die Defendo GbR – Möllers & Hessel gemeinsam mit der Landesmedienanstalt des Saarlandes (LMS) das Seminar „Vernetztes Kinderzimmer“. Inhaltlich stand dabei die Digitalisierung des Kinderzimmeres und damit einhergehende Chancen und Risiken im Mittelpunkt. Neben einer ausführlichen Darstellung möglicher Angriffsszenarien könnten wir dem interessierten Publikum zahlreiche Informationen und Handlungsstratgien beim Umgang mit vernetzten Spielzeugen und anderen IoT-Geräten geben.

Im Anschluss an den Vortrag gab es noch eine spannende Diskussion über die pädagogischen Auswirkungen vernetzter Spielzeuge, sowie zum Thema „IT-Sicherheit“ allgemein.

Die Defendo GbR – Möllers und Hessel dankt der LMS für die Kooperation.

Start der Legal Tech Initative Saarland

Mit der Freischaltung der Webseite legal-tech.saarland hat die Defendo GbR – Möllers & Hessel heute die Legal Tech Initative Saarland ins Leben gerufen. Ziel der Initative ist es alle Legal Tech Akteure im Saarland, in der Großregion, aber auch darüber hinaus zu vernetzen. Ein erstes Networking-Event soll bereits am kommenden EDV-Gerichtstag in Saarbrücken stattfinden.

Weitere Informationen werden wir in den kommenden Wochen und Monaten veröffentlichen.

Der Tag der IT-Sicherheit: Ein Rückblick

Heute fand in der Congresshalle in Saarbrücken der Deutsch-Französische Tag der IT-Sicherheit 2018 statt. 28 Aussteller sowie die Forschungsinstitute CISPA und INRIA stellten einem kleinen, aber interessierten Publikum ihr Portfolio vor.

Die Defendo GbR – Möllers & Hessel demonstrierte in der Startup-Area Angriffe auf den digitalen Arbeitsplatz: Keylogger, Man-in-the-Middle, Ransomware, Industriespionage, unsichere WLANs und Social Engineering führten den Besuchern vor Augen, wo Gefahren im Arbeitsalltag lauern können. Selbstverständlich gingen wir im Rahmen der Vorführungen auch auf Schutzmaßnahmen ein, mit denen sich derartige Angriffe abwehren lassen.

Die interessierten Gäste, die trotz (oder gerade wegen) des guten Wetters ihren Weg in die Congresshallte gefunden hatten, konnten außerdem bei unserem „Phishing“-Gewinnspiel Bücher von Kevin Mitnick und einen Gutschein für eine kostenlose Beratung durch unser Unternehmen gewinnen. Wir gratulieren den glücklichen Gewinnern und wünschen viel Spaß beim Lesen!

Zu guter Letzt konnten auch wir im Zuge der Messe interessante Gespräche mit anderen Ausstellern und möglichen Kooperationspartnern führen. Wir hoffen, dass dieser Austausch auch in Zukunft erhalten bleibt und freuen uns auf eine gute Zusammenarbeit in der IT-Sicherheitsszene der Großregion!

Ein besonderes Highlight stellte auch unser neues Firmenmaskottchen „Hector“ dar, der seinen ersten großen Auftritt hatte.

Impressionen vom Tag der IT-Sicherheit


 

Kurzbericht zum IRIS 2018

Vom 22. bis 24. Februar 2018 fand das Internationale Rechtsinformatik Symposion (IRIS) in Salzburg statt. Für die Defendo GbR fasst Stefan Hessel, der selbst „Zum Stand der vernetzten Dinge: Die Probleme mit der IT-Sicherheit bei Smart Toys“ referierte, einige wesentliche Erkenntnisse kurz zusammen:

Die Generalthemen des IRIS waren in diesem Jahr die Themen Datenschutz und Legal Tech, wobei beide Themen maßgeblich von der Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai anwendbar sein wird, geprägt waren. Ein herausragendes Beispiel dafür war der Vortrag von Christof Tschohl, Walter Hötzendorfer und Markus Kastelitz zum Thema „Systematisches Datenschutzmanagement“, der das nach der DSGVO erforderliche Verzeichnis der Verarbeitungstätigkeiten als zentrale Säule des Datenschutzmanagements identifizierte. Die Folien der Präsentation stehen hier zum Download bereit.

Ein weiterer spannender Beitrag stammte von Ralph Hecksteden und Michael Weller, die zum Thema „IT-gestütze Generierung von Datenschutzerklärungen für Webseiten“ referierten und den Prototyp einer Software vorstellten, die anhand des Quelltextes von Webseiten automatisch eine Datenschutzerklärung erstellt. Wir werden die Entwicklung der Software, die einen sehr vielversprechenden Ansatz verfolgt, für Sie im Auge behalten.

Aus Sicht der Defendo GbR handelte es sich nicht nur wegen der hier kurz vorgestellten Beiträge um eine erkenntnisreiche Tagung. Wir freuen uns daher schon auf das IRIS 2019, das unter dem Generalthema „Internet of Things“ stattfinden wird.

Weiterführende Links

Deutsch-Französischer Tag der IT-Sicherheit

Am 14.03.2018 wird in der Congresshalle in Saarbrücken der Deutsch-Französische Tag der IT-Sicherheit stattfinden. Zusammen mit dem französischen Forschungszentrum INRIA in Nancy wird der Tag der IT-Sicherheit vom CISPA Helmholtz-Zentrum i.G. sowie der IHK Saarland und dem Verein saar.is ausgerichtet.

Auf die Besucher der kostenlosen Fachmesse warten ein spannendes Vortragsprogramm sowie eine große Anzahl Aussteller. Die Defendo GbR – Möllers & Hessel ist selbstverständlich ebenfalls mit einem Stand vertreten. Sie finden uns in der Startup-Area in der Mitte der Halle. Für besonders kluge Köpfe werden wir an unserem Stand ein Gewinnspiel veranstalten. Kommen Sie also vorbei!

Im Folgenden haben wir für Sie noch einmal das Programm zusammengefasst. Unseren Stand können Sie übrigens den ganzen Tag – von 09:15 bis 18:00 – besuchen!

|09:15|Beginn der Messe|
|10:00|Eröffnung
Dr. Heino Klingen, Hauptgeschäftsführer der IHK Saarland|
|10:15|IT-Sicherheit als Game-Changer – Wie Forschungsexzellenz den Strukturwandel vorantreibt
Prof. Dr. Michael Backes, CISPA Helmholtz-Zentrum i. G.|
|10:45|Extracting cryptographic materials from a secure element
Prof. Dr. Jean-Louis Lanet, INRIA Nancy – Grand Est|
|11:15|Gesprächsrunde „Von der Forschung zum Produkt: Wie können wir den Transfer für die Großregion verbessern?“
Prof. Dr. Michael Backes, CISPA Helmholtz-Zentrum i. G.
Prof. Dr. Olivier Festor, Telecom Nancy/Université de Lorraine
Dr. Thomas Sinnwell, consistec GmbH
Prof. Dr. Jean-Yves Marion, Cyber Detect|
|12:00|Malware Analysis
Prof. Dr. Christian Rossow, CISPA Helmholtz-Zentrum i. G.|
|12:30|Mittagspause
|14:00|Desinformationsangriffe auf Unternehmen – Lage, Prognose und Abwehr
Uwe Heim, Deloitte GmbH Wirtschaftsprüfungsgesellschaft|
|14:45|IT-Sicherheit risikobasiert und betriebsverträglich steuern
aj:henke, enbiz gmbh|
|15:15|Sicheres und komfortables Arbeiten mit der Cloud
Heiko Passauer, DHC Business Solutions GmbH & Co. KG|
|15:45|Kaffeepause|
|16:15|Fragen und Antworten zur Europäischen Datenschutzgrundverordnung
Monika Grethel, Landesbeauftragte für Datenschutz und Informationsfreiheit|
|17:00|Browsersicherheit durch automatisiertes Testen
Christian Holler, Mozilla Corporation|
|17:30|Get together mit kleinem Imbiss|

Weiterführende Links

Vortrag „Wie sicher ist das beA?“

Heute haben wir einen Vortrag vor Mitglieder der saarländischen Rechtsanwaltskammer zum Thema „Wie sicher ist das beA? Das besondere elektronische Anwaltspostfach aus Sicht der IT-Sicherheit“ gehalten. Darin erläuterten wir die technische Funktionsweise des beA und klärten über die Hintergründe des Ausfalls um den Jahreswechsel auf.

An dieser Stelle möchten wir noch einmal den Hinweis aus dem Vortrag aufgreifen, die aktuellen Entwicklungen als Anlass zu nehmen um die eigene (Kanzlei-)IT-Infrastruktur kritisch zu begutachten. Ewaige Sicherheitsmängel an Endgeräten können die Sicherheit des beA sowie die Sicherheit anderer Anwendungen aushebeln. Eine Auseinandersetzung mit den Risiken und möglichen Maßnahmen ist daher ein essentieller Bestandteil eines tragfähigen Sicherheitskonzepts. Die Defendo GbR – Möllers & Hessel steht Ihnen selbstverständlich gerne mit Rat und Tat zur Seite, sollten Sie diesbezüglich Unterstützung benötigen.

Wir bedanken uns bei allen Teilnehmern für die angeregte Diskussion und bei der saarländischen Rechtsanwaltskammer für die Organisation der Veranstaltung!

Ein Video des Vortrags (im Vorhinein aufgezeichnet) finden Sie hier.

Am 15. Februar erschien außerdem in der Computer und Recht 2/2018 ein Beitrag zum Thema. Eine Zusammenfassung des Vortrags wird in Kürze im Saarländischen Anwaltsblatt veröffentlicht.