Microsoft: Warnung vor kritischer DNS-Lücke — Privacy Shield: Datenschutzabkommen zwischen USA/EU ungültig

Microsoft: Warnung vor kritischer DNS-Lücke — Privacy Shield: Datenschutzabkommen zwischen USA/EU ungültig

Aktuelle Sicherheitswarnung!
Microsoft warnt vor Problemen bei DNS-Servern (CVE-2020-1350)

Am 14.07.2020 hat Microsoft eine aktuelle Sicherheitswarnung veröffentlicht, die eine sofortige Reaktion auf Administrator-Ebene erfordert. Die Risikoeinstufung erfolgte mit einem CVSS Base score von 10.

Microsoft-Artikel (in englischer Sprache)

Die Sicherheitslücke liegt im Windows DNS-Server, der mit entsprechend präparierten Anfragen dazu gebracht werden kann, beliebigen Code als „Local System“ auszuführen. Es entsteht ein klassisches „Buffer Overflow“-Szenario, bei dem der Server-Prozess extrem große Datenpakete im Speicher ablegt.

Das Problem betrifft alle Windows DNS-Server von Windows 2008 bis 2019.

Es existieren zwei Szenarien:

  1. Externe DNS-Server auf Basis von Windows, die im Internet direkt erreichbar sind, können von anonymen Angreifern gekapert werden.
  2. Interne DNS-Server, die bei den meisten Firmen für den Betrieb des Active Directory erforderlich sind und häufig auf dem Domain Controller laufen, werden zum Ziel von Schadcode. So könnte z.B. die Payload einer neuen Malware eine DNS-Anfrage an einen internen DNS-Server senden und in der Folge großen Schaden anrichten.

Handeln Sie jetzt und schützen Sie die Sicherheit Ihrer IT-Systeme!

Ihr Vertriebsservice bei abakus it:

vertriebsservice@abakus.de
Tel. +49 7529 83100

Auf einen Blick: PRIVACY SHIELD
Der Datenverkehr zwischen Europa und den USA auf Grundlage des Privacy Shields ist vom EuGH für ungültig erklärt worden.

Jedoch besteht weiterhin die Erlaubnis zur Datenübertragung …

  • nach Artikel 49 DSGVO (besondere Ausnahmetatbestände zur Datenübermittlung in Drittländer)
  • bei freiwilliger Datenübertragung (z.B. einer direkten Hotelbuchung oder E-Mail)
  • auf der Grundlage von EU-Standardvertragsklauseln

Problem: Die Datenschutzbehörden sind nun verpflichtet, Übermittlungen von Daten auszusetzen oder zu verbieten, wenn die entsprechenden Vertragsklauseln im Empfängerland nicht eingehalten werden können.

Empfehlung: Daten europäischer Bürger müssen auf europäischen Servern gespeichert werden.

Fazit: Die Datenverarbeitung mit Microsoft ist demnach mit europäischen Servern und auf der Grundlage von EU-Standardvertragsklauseln möglich.

Sie haben Fragen zu den Folgen des EuGH Urteils zum Datenverkehr zwischen Europa und den USA?

Ihr Vertriebsservice bei abakus it:

vertriebsservice@abakus.de
Tel. +49 7529 83100

© Photo by Ian Battaglia on Unsplash