Eine besonders „kritische“ Sicherheitslücke (CVE-2023-30839) ermöglicht Angreifern unberechtigten Zugriff auf die Datenbank. Bei einem Angriff können so einzelne Einträge manipuliert oder im schlimmsten Fall die gesamte Datenbank gelöscht werden. Dies ist jedoch nur möglich, wenn Zugriff auf das Admin-Panel besteht.
Zwei weitere Sicherheitslücken bestehen: Zum einen (CVE-2023-30545 „hoch“) kann ein Angreifer mit Zugriff auf den SQL-Manager auf gesicherte Daten zugreifen. Zum anderen könnte eine weitere Sicherheitslücke (CVE-2023-30838 „hoch“) zu einer XSS-Attacke (Cross-Site-Scripting) führen .
Nach Angaben der Entwickler sind die Sicherheitslücken in den Versionen 1.7.8.9 und 8.0.4 behoben.
Wichtig: Aktualisieren Sie Ihr System. Sichere Versionen stehen zur Verfügung.
Immer mehr Hochschulen und Forschungseinrichtungen setzen OpenProject ein.
OpenProject bietet zahlreiche Funktionen für ein hybrides Projektmanagement und steht zudem für Datensicherheit und Datenschutz.
Eine Studie des Vereins ZKI (Zentren für Kommunikationsverarbeitung in Forschung und Lehre) zu Softwarelösungen an Hochschulen zeigt, dass beim Einsatz von Projektmanagement-Software an Hochschulen OpenProject zu den Favoriten zählt. Die Hochschulen schätzen an der Open-Source-Anwendung vor allem die vollständige Datenhoheit und die Möglichkeit, die Software an die eigenen Bedürfnisse anzupassen.
Auch die B3 IT Systeme GmbH setzt seit Jahren auf OpenProject zur Projektplanung sowie als Ticketsystem für Kunden.
Seit dem 27.12.2022 müssen Datenübermittlungen in Drittstaaten ausschließlich auf Grundlage der neuen Standardvertragsklauseln erfolgen, die die Europäische Kommission im Juni 2021 verabschiedet hat. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vertraglich vereinbart. Bei Nichteinhaltung dieser Vorgaben drohen hohe Bußgelder und Schadensersatzforderungen. Unternehmen sollten daher dringend ihre bestehenden Verträge daraufhin überprüfen, ob diese noch alte Standardvertragsklauseln enthalten.
Datentransfer mit den USA: Der Datentransfer insbesondere in die USA ist nach wie vor ein schwieriges Thema, da die Befugnisse der US-Behörden sehr weitreichend sind. Neue Hoffnung gibt das transatlantische Datenschutzabkommen mit der EU. Am 7.10.2022 unterzeichnete US-Präsident Joe Biden eine Durchführungsverordnung, die sogenannte Executive Order, die einen neuen Rechtsrahmen für den Datentransfer mit den USA schaffen soll.
Inhalt der Executive Order Die Executive Order „on Enhancing Safeguards for United States Signals Intelligence Activities“ sieht Regelungen vor, mit denen die Vorgaben des Europäischen Gerichtshofs im sogenannten Schrems II-Urteil vom 16. Juli 2020 umgesetzt werden.
Die nachrichtendienstliche Tätigkeit soll auf ein bestimmtes Maß beschränkt werden. Auch der Zugriff auf personenbezogene Daten europäischer Bürgerinnen und Bürger soll nur möglich sein, wenn dies zur Wahrung der nationalen Sicherheit erforderlich ist. Verbindliche Verfahren für die amerikanischen Nachrichtendienste sollen die Einhaltung der neuen Standards sicherstellen.
Die Einführung eines neuen Rechtsbehelfssystems soll sicherstellen, dass EU-Bürger erstmals eine verbindliche und unabhängige Überprüfung ihrer Rechte erhalten. Das zweistufige Verfahren ermöglicht EU-Bürgern auf der ersten Stufe eine Beschwerde beim „Director of National Intelligence“, die auf der zweiten Stufe vom neu eingerichteten Datenschutzgericht, dem „Data Protection Review Court", überprüft werden kann.
Die Europäische Kommission muss nun entscheiden, ob die USA ein angemessenes Datenschutzniveau gemäß der Datenschutz-Grundverordnung bieten.
Die aktuelle Abmahnwelle stützt sich auf das Urteil vom Landgericht München vom Januar 2022. Darin wurde festgestellt, dass die dynamische Einbindung von Google Fonts ein Verstoß gegen den Datenschutz darstellt, wenn der Seitenbesucher vorher keine Einwilligung gegeben hat.
Wir als B3 IT prüfen die Website unserer Kunden und binden Google Fonts und ggf. weitere Ressourcen lokal ein.
Es gibt die Möglichkeit, selbst zu überprüfen, ob Google Fonts auf der eigenen Website ordnungsgemäß eingebunden sind. Mit Hilfe des Google Fonts Scanners, kann man überprüfen, ob die Google Fonts remote oder lokal eingebunden sind.
Laut einem Urteil des Landgerichts München vom 20.01.2022 ist die Verwendung von Google Fonts über die Fonts API nicht mehr datenschutzkonform. Das bedeutet, dass ohne Einwilligung der Besucher, die dynamische Einbindung von US-Webdiensten (wie z. B. Google Fonts oder Google Analytics) datenschutzwidrig ist,
Die USA erfüllen nicht die europäischen Datenschutzrichtlinien, da beim Einbinden der Schriften über den Google-Server die IP-Adressen der Besucher in die USA gesendet werden. Den Betreibern von Webseiten droht nun die Zahlung von Schadensersatz.
Alternative: Alternativ kann man die Google Fonts lokal auf seiner Webseite einbinden. Somit werden die Google Fonts direkt vom eigenen Server und nicht mehr über die Fonts API geladen. Vorausgesetzt, dass sich der Server-Standort der Webseite in der EU befindet.
