Liebe Leserin, lieber Leser,
wir haben das Neueste aus dem Datenschutz und der Informationssicherheit im Monat April 2025 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Die zunehmende Intensität und Professionalität von Cyberkriminalität erfordert ein entschlossenes und systematisches Handeln von Unternehmen aller Größenordnungen. Angesichts der Fülle an Informationen fällt es jedoch oft schwer, dabei den Überblick zu behalten und gezielt wirksame Maßnahmen umzusetzen.
Wir möchten Licht ins Dunkel bringen und laden Sie im Rahmen der Digitalen Woche und in Kooperation mit dem Regionalmanagement Inn-Salzach zum kostenlosen Cybersecurity-Event in Mühldorf ein:
Diese Themen stehen auf der Agenda:
Wenn Sie sich jetzt schon einen der limitierten Plätze sichern möchten, senden Sie uns einfach eine E-Mail an marketing@ines-it.de. Weitere Informationen mit einem Anmeldelink folgen in Kürze in einem Sondernewsletter.
DATENSCHUTZ
In unserem neuen Artikel erfahren Sie, warum ein klar vordefinierter und strukturierter Umsetzungsprozess für Betroffenenrechte entscheidend ist. Außerdem stellen wir Ihnen die Erkenntnisse der europaweiten Prüfaktion zum Auskunftsrecht aus dem Jahr 2024 vor – ergänzt durch unsere praktischen Handlungsempfehlungen.
DATENSCHUTZ
Bereits zum 14. Mal hat das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) seinen Tätigkeitsbericht veröffentlicht – in diesem Jahr erstmals ergänzt durch eine informative Podcastfolge. Im Mittelpunkt stehen aktuelle Entwicklungen im Datenschutz, darunter die Auswirkungen der KI-Verordnung, die zunehmende Cyberkriminalität und das Spannungsfeld zwischen Datenschutz und Digitalisierung.
INFORMATIONSSICHERHEIT
In einer Zeit, in der Daten zu den wertvollsten Gütern zählen, rückt die Nachfrage nach vertrauenswürdigen digitalen Dienstleistern immer stärker in den Fokus unternehmerischer Entscheidungen. Für viele ist der Schutz sensibler Informationen längst ein entscheidendes Kriterium bei der Auswahl eines Dienstleisters geworden. Aber gerade bei nicht-europäischen Anbietern bestehen häufig intransparente Datenverarbeitungsgesetze – und das ist problematisch. Der österreichische Softwareentwickler Constantin Graf möchte mit seiner Webseite ‘European Alternatives‘ genau hier ansetzen. Die Plattform bietet eine Übersicht mit EU-Alternativen zu gängigen US-Dienstleistern – von Cloud-Diensten bis hin zu KI-Chatbots. Das Datenarchiv ist eine nützliche Orientierungshilfe für all jene, die bewusst auf europäische Lösungen setzen wollen.
INFORMATIONSSICHERHEIT
Der Moment, in dem man auf Phishing hereinfällt, erschüttert das Vertrauen in die eigene Wachsamkeit. Diese Erfahrung machte kürzlich auch Troy Hunt, Gründer des Datenleck-Prüfdienstes ‘Have I Been Pwned’ (HIBP). Ausgerechnet er fiel auf eine Phishing-Mail herein, die den Abfluss seiner Mailchimp-Mailingliste zur Folge hatte. Trotz seines Fachwissens loggte er sich auf der täuschend echten Phishing-Seite ein. Im Nachhinein gab er Müdigkeit und Jetlag als Gründe für seine Unaufmerksamkeit an. In einem Blogbeitrag zeigt er sich bemerkenswert transparent und berichtet offen über den Angriff.
Gerade dieser ehrliche Umgang mit dem Vorfall zeigt, dass niemand vor Phishing gefeit ist. Ein kurzer Moment der Unachtsamkeit ist menschlich. Besonders dann, wenn man übermüdet oder gestresst ist. Genau auf solche Autopilot-Momente setzen Cyberkriminelle. Vermeiden Sie daher am besten das Öffnen von E-Mails in solchen Situationen.
Aber nicht nur Awareness schützt – sondern auch die richtige Technik. Moderne Authentifizierungsverfahren wie die passwortlose Anmeldung oder die Nutzung von FIDO2-Sicherheitsschlüsseln machen Cyberkriminellen das Leben deutlich schwerer. Diese Verfahren übertragen keine Passwörter, die abgefangen werden könnten und sind daher besonders resistent gegen Phishing.
Fordern Sie gerne unser kostenloses Phishing-Awareness-Poster im A3-Format für Ihre Büroräume an. Der Quick-Check zur Erkennung von verdächtigen E-Mails kann sichtbar am Arbeitsplatz platziert werden. So bleibt das Thema IT-Sicherheit auch immer im direkten Blickfeld.
INFORMATIONSSICHERHEIT
Ergänzend zum Phishing-Poster haben wir noch ein weiteres Awareness-Poster gestaltet – diesmal mit dem Schwerpunkt auf dem verantwortungsbewussten Umgang mit Künstlicher Intelligenz. Das Poster im A3-Format vermittelt auf anschauliche Weise, welche Fragen man sich im Arbeitsalltag bei der Nutzung von KI-Modellen stellen sollte. Auch dieses lässt sich hervorragend in Büros, Gemeinschaftsräumen oder überall dort platzieren, wo es sichtbar an die digitale Verantwortung des Einzelnen erinnert.
Schreiben Sie uns bei Interesse eine E-Mail an marketing@ines-it.de und wir lassen Ihnen das Poster gerne kostenlos zukommen.
DATENSCHUTZ
Bereits seit 2023 ist Meta AI in den USA im Einsatz – nun ist der KI-Assistent in Whatsapp, Facebook und Instagram auch in Europa angekommen. Diese neue Funktion stellt eine einschneidende Veränderung bei der Verarbeitung von Nutzerdaten dar. Der US-Konzern möchte in Zukunft die öffentlichen Inhalte europäischer Nutzer zur Weiterentwicklung seiner KI-Modelle nutzen. Datenschützer betrachten diese Entwicklung kritisch – vor allem mit Blick auf Unternehmen.
Im Gegensatz zu normalen Whatsapp-Nachrichten erfolgt die Interaktion mit Meta AI nicht über eine Ende-zu-Ende-Verschlüsselung, sondern zentral über Meta-Server. Das führt dazu, dass Unternehmensdaten auch außerhalb der EU gespeichert und analysiert werden können. Problematisch ist, dass sich die Funktion derzeit nicht vollständig deaktivieren lässt und die KI-Integration in vielerlei Hinsicht im Konflikt zu den Grundprinzipien der DSGVO steht.
Wir empfehlen daher, alle bestehenden Schnittstellen zu Meta-Diensten im Unternehmen zu prüfen und die Mitarbeitenden für den Umgang mit KI-Tools zu sensibilisieren. Gerne unterstützen wir Sie dabei, Ihre Datenschutzpraktiken gezielt weiterzuentwickeln und die Belegschaft über die Risiken aufzuklären.
INFORMATIONSSICHERHEIT
Die österreichische Prüfstelle hat kürzlich eine hilfreiche Dokumentenvorlage publiziert, die Verantwortliche bei der Umsetzung der Anforderungen zur technischen Dokumentation bei Hochrisiko-KI-Systemen nach Art. 11 KI-VO unterstützen soll. Die Vorlage bietet eine praxisnahe und klare Struktur, um alle relevanten technischen Informationen systematisch zu erfassen.
DATENSCHUTZ
Bereits in unserer Februar-Ausgabe haben wir auf das BFSG hingewiesen, das zum 28. Juni 2025 seine Wirkung entfalten wird. Neben der Bundesfachstelle Barrierefreiheit hat auch Rechtsanwalt Dr. Thomas Schwenke einen umfangreichen Ratgeber mit FAQ zum BFSG veröffentlicht. Falls Sie sich darüber informieren möchten, können wir Ihnen diese beiden Quellen empfehlen.
DATENSCHUTZ
Was gut klingt, kann teuer werden: Wer bei Stellenanzeigen auf Schlagworte wie ‘Digital Native’ setzt, begibt sich auf juristisch dünnes Eis und riskiert einen Verstoß gegen das Diskriminierungsverbot des Allgemeinen Gleichbehandlungsgesetzes (AGG). Das zeigt ein aktuelles Urteil des Landesarbeitsgerichts (LAG) Baden-Württemberg (Az.17 Sa 2/24). Ein abgelehnter Bewerber des Jahrgangs 1972 klagte dagegen und bekam recht. Das Gericht sprach ihm eine Entschädigung in Höhe von 7.500 Euro zu.
Die Begründung: Dem beklagten Unternehmen fehlten stichhaltige Argumente dafür, dass das Alter im Auswahlverfahren keine Rolle gespielt hatte. Das LAG wertete ‘Digital Native’ als eine generationenbezogene Beschreibung und die damit suggerierte altersbezogene Ungleichbehandlung als Verstoß gegen das AGG.
Dieser Fall macht deutlich, wie schnell eine vermeintlich attraktive Stellenanzeige zur juristischen Stolperfalle werden kann. Arbeitgeber sollten daher bei der Formulierung von Anforderungsprofilen sprachlich sensibel vorgehen.
INFORMATIONSSICHERHEIT
Cyberkriminellen gelang es, rund 270.000 Tickets von deutschen Samsung-Kunden zu stehlen. Zugang verschafften sie sich über entwendete Anmeldedaten des Ticketing-Dienstleisters Spectos GmbH. Neben Support-Protokollen enthielten die Tickets auch weitere sensible Informationen. Das Datenleck könnte nun den Weg für gezielte Phishing-Angriffe ebnen.
Anfang April wurde die Heilbronn Marketing GmbH (HMG) Ziel einer Ransomware-Attacke. Die Täter legten Teile der IT-Infrastruktur lahm und hinterließen eine Lösegeldforderung, auf die jedoch nicht eingegangen wurde. In welchem Ausmaß Daten abgeflossen sind, ist derzeit noch unklar. Bereits zwei Tage nach dem Vorfall konnte der Geschäftsbetrieb wieder aufgenommen werden
Auch die Bundesagentur für Arbeit hat es getroffen. Hacker attackierten die Nutzerkonten von Klienten, mit dem Ziel, die hinterlegten Kontodaten in den Profilen zu ändern und so Sozialleistungen auf eigene Konten umzuleiten. Die Online-Beantragung von Geldleistungen war daher vorübergehend nicht möglich. Laut Angaben der BA entstand dank einer schnellen Reaktion aber kein finanzieller Schaden.
Die geschichtsträchtige bayerische Brauerei Oettinger ist Ende April auch einem Cyberangriff zum Opfer gefallen. Das Unternehmen ergriff umgehend Sicherheitsmaßnahmen. Ob Daten abgegriffen wurden, ist derzeit noch unklar. Die Produktion und Logistik sind nicht betroffen, sodass an den drei Standorten weiterhin Bier produziert und ausgeliefert werden kann.
Vor einer Woche fand ein nächtlicher Ransomware-Angriff auf einen Standort der Preisvergleichsplattform guenstiger.de statt. Daraufhin wurden alle Systeme vorsorglich vom Internet getrennt und das Rechenzentrum heruntergefahren. Von Datenverlusten kann trotz der schnellen Reaktion ausgegangen werden. Auch technische Einschränkungen auf der Webseite und in der Kommunikation gingen mit dieser Attacke einher.
Liebe Leserin, lieber Leser,
wir haben das Neueste aus dem Datenschutz und der Informationssicherheit im Monat März 2025 für Sie zusammengefasst.
DATENSCHUTZ
Aufgrund mangelnder Nachfrage wird die Europäische Plattform für Online-Streitbeilegung (OS-Plattform) eingestellt. Der Meldekanal zur Einreichung von neuen Beschwerden zwischen Onlinehändlern und Verbrauchern wurde am 20. März 2025 geschlossen. Die Nutzung der Plattform ist noch bis zum 19. Juli 2025 möglich, danach ist der Zugang endgültig abgeschaltet.
Verantwortlichen von Webseiten wird nun empfohlen, den Passus mit Link auf die Online-Streitbeilegung zu entfernen z.B. Plattform der EU-Kommission zur Online-Streitbeilegung. Der zweite Satz “Wir sind zur Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle weder verpflichtet noch bereit” kann unverändert bestehen bleiben. Der Verweis auf eine nicht mehr existierende Plattform auf der eigenen Webseite könnte als irreführend ausgelegt und damit abgemahnt werden. Passen Sie diese Textpassage am besten zeitnah an!
INFORMATIONSSICHERHEIT
Nach zwei Jahren schrittweisem Aufbau hat Microsoft die EU-Datengrenze nun offiziell abgeschlossen. Damit verpflichtet sich der Konzern, die Daten von Unternehmen und Organisationen ausschließlich innerhalb der EU und der Europäischen Freihandelsassoziation (EFTA) zu speichern und zu verarbeiten. Die Datengrenze betrifft Cloud-Dienste wie Azure, Microsoft 365 und Dynamics 365. Ziel ist es, die Transparenz und die Kontrolle über Unternehmensdaten zu stärken. Zudem soll die Lösung das Vertrauen der Anwender in das Unternehmen stärken.
Allerdings gibt es auch Ausnahmen: Bei bestimmten Azure-Diensten müssen Kunden zukünftig individuelle Vereinbarungen mit Microsoft abschließen. Und Microsoft behält sich vor, Daten auch in beliebige Rechenzentren außerhalb Europas zu übertragen, wenn dies aus Gründen der Cybersicherheit notwendig sein sollte.
DATENSCHUTZ
Mit dem Urteil vom 25. Februar 2025 entschied das LG München, dass eine automatisierte Antwort-E-Mail auf Anfragen an die im Impressum angegebene E-Mail-Adresse eine Irreführung durch Unterlassen nach § 5a UWG darstellt (Az. 33 O 3721/24, nicht rechtskräftig). Ein bekannter Anbieter von Internetdiensten für Performance und Cybersicherheit hatte die im Impressum angegebene E-Mailadresse mit einer Auto-Reply Antwort hinterlegt. In der automatischen Antwort wurde auf alternative Kontaktwege z.B. ein Online-Formular verwiesen. Dagegen klagte die Wettbewerbszentrale und bekam Recht.
Das Urteil verdeutlicht, dass die im Impressum angegebene E-Mail-Adresse stets eine direkte Kontaktaufnahme ermöglichen muss. Eine automatische Rückantwort, die auf andere Kommunikationskanäle verweist, reicht nicht aus.
INFORMATIONSSICHERHEIT
In dieser neuen Publikation präsentiert das BSI interessante Statistiken zum Verbrauchermarkt und legt dabei einen besonderen Fokus auf sichere Authentisierungslösungen für Onlinedienste. Die Relevanz der aufgegriffenen Themen ist enorm, ebenso wie der Handlungsbedarf: Allein im vergangenen Jahr verzeichnete das Service Center des BSI über 17.000 Anfragen zu Cybercrime von Verbrauchern. Phishing, Onlinebetrug und Accountmissbrauch waren dabei die häufigsten Anliegen. Einen Blick darauf zu werfen lohnt sich, da neben Zahlen auch praxisnahe Tipps für mehr digitale Sicherheit gegeben werden.
DATENSCHUTZ
Der Europäische Datenschutzausschuss (EDSA) hat Anfang März eine europaweit koordinierte Durchsetzungsmaßnahme gestartet, an der 32 Datenschutzaufsichtsbehörden teilnehmen. Aus Deutschland beteiligen sich die Aufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte.
Die Schwerpunktprüfung soll aufzeigen, wie gut das essenzielle “Recht auf Löschung” in der Praxis umgesetzt wird. Das zentrale Kerninstrument hierfür ist ein europaweit abgestimmter Fragebogen, der im Laufe des März an verantwortliche Stellen zugestellt wird. Die Ergebnisse werden im Rahmen der EDSA analysiert und nach Abschluss in einem Bericht veröffentlicht.
In der Praxis ist die Einführung eines Löschkonzepts für viele Organisationen besonders herausfordernd und wird daher gerne aufgeschoben. Diese Durchsetzungsmaßnahme unterstreicht den Stellenwert des “Rechts auf Löschung” nochmals. Organisationen sollten sich dieser Thematik annehmen und den eigenen Umsetzungsstand kritisch prüfen. Der erwähnte Fragenkatalog kann, sobald er verfügbar ist, als hilfreiche Orientierungsgrundlage dienen.
DATENSCHUTZ
Ein Polizeibeamter führte ohne dienstlichen Anlass eine Abfrage im Melderegister durch, um das Lichtbild einer zuvor bei einer Verkehrskontrolle angetroffenen Frau, einzusehen. Hintergrund dieser Abfrage war eine unvertretbare Praxis: Er bewertete im Dienst angetroffene Frauen regelmäßig auf einer Skala von 1 bis 10 und rief ab einem bestimmten Schwellenwert das Lichtbild ab.
Der Landesbeauftragte für Datenschutz aus Baden-Württemberg verhängte ihm für diesen eindeutigen Verstoß gegen Art.6 Absatz 1 und Art.5 Absatz 1 der DSGVO ein Bußgeld in Höhe von 3500 Euro. Besonders schwer wog hier der Vertrauensmissbrauch, da Polizisten leichten Zugang zu sensiblen Daten haben und verpflichtet sind, verantwortungsvoll damit umzugehen. In solchen Fällen – sogenannten Mitarbeiterexzessen – können Mitarbeitende daher auch als Privatpersonen zur Rechenschaft gezogen werden.
DATENSCHUTZ
In seinem Urteil in der Rechtssache C-149/23 verhängte der Europäische Gerichtshof kürzlich eine Strafe von 34 Millionen Euro gegen die Bundesregierung. Grund dafür ist die verspätete Umsetzung der EU-Richtlinie zum Schutz von Whistleblowern. Diese Richtlinie sollte Menschen, die Missstände in Unternehmen und Organisationen veröffentlichten wollen, besser vor Repressalien schützen und sichere Kanäle zur Meldung schaffen. Die deutsche Umsetzung – das Hinweisgeberschutzgesetz (HinSchG) – trat jedoch erst verspätet in Kraft und das hat nun erhebliche finanzielle Folgen.
Dieses Urteil lässt auch nichts Gutes für das laufende Vertragsverletzungsverfahren im Zusammenhang mit der NIS-2-Richtlinie erahnen. Auch hier wurde die von der EU vorgegebene Frist (Oktober 2024) zur Umsetzung in nationales Recht nicht eingehalten. Es droht die nächste Geldstrafe in Millionenhöhe…
INFORMATIONSSICHERHEIT
Cyberangriffe können Unternehmen so schwer treffen, dass sie in die Insolvenz geraten – so erging es dem Autohaus Bauer in Flensburg. 2022 gelang es Hackern, in nur anderthalb Stunden 25 Server zu zerstören und alle Daten zu löschen. Der Traditionsbetrieb erlitt einen Schaden von rund zwei Millionen Euro und stand vor dem Aus. Aufgeben war jedoch keine Option – stattdessen wagten sie einen kompletten Neustart. In einem aktuellen Video-Beitrag berichtet die Geschäftsführerin von dem Vorfall und den Folgen, mit denen das Unternehmen teilweise bis heute zu kämpfen hat.
Anfang März wurden die Stadtwerke Schwerte aus NRW Opfer eines Cyberangriffs. Bereits im Oktober 2023 hatte eine massive Attacke auf den Dienstleister Südwestfalen-IT die gesamte Stadtverwaltung Schwerte lahmgelegt. Jetzt führte eine Störung im internen Netzwerk dazu, dass das Online-Kundenportal nicht genutzt werden konnte. Auf der Webseite und Social Media informierten die Stadtwerke ihre Kunden transparent über den aktuellen Stand der Bewältigung.
Am 10. März hatten Nutzer des Kurznachrichtenonlinediensts X weltweit stundenlang mit Störungen beim Aufrufen der Plattform zu kämpfen. Verantwortlich dafür waren massive DDoS-Angriffswellen. Im Netz kursierte im Zusammenhang mit diesem Vorfall der Hashtag #TwitterDown.
Auch den großen Flugticket-Großhändler Aerticket hat es diesen Monat getroffen. Unter anderem war das Buchungssystem Cockpit aufgrund einer Cyberattacke nicht mehr nutzbar. Auf der Webseite des Unternehmens ist derzeit lediglich eine Pressemitteilung zum Vorfall zu sehen. Gut eine Woche nach dem Angriff führte Aerticket aber ein abgespecktes Ersatzbuchungssystem für ihre Kunden ein.
Durch einen Cyberangriff wurde auch die IT-Infrastruktur der Gemeinde Kirkel im Saarland schwer getroffen: Etwa 100 Geräte mussten nach der Infiltrierung durch Schadsoftware komplett neu aufgesetzt werden. Das Rathaus blieb daraufhin erstmal für unbestimmte Zeit geschlossen. Dank regelmäßigen Backups hielt sich der Datenverlust jedoch in Grenzen. Aktuell wird mit Hochdruck daran gearbeitet, die Verwaltung wieder vollumfänglich betriebsfähig zu machen.
Die Sozial-Holding der Stadt Mönchengladbach GmbH wurde durch eine Server-Verschlüsselung außer Betrieb gesetzt. Die Kommunikation per E-Mail und Telefon war daraufhin nicht mehr möglich. Sensible personenbezogene Daten sowie die Dokumentationen des Pflegepersonals sind jedoch nicht abgeflossen. Der Geschäftsführer wandte sich in einem Brief an die Hacker und machte darin auf die soziale Verantwortung des Unternehmens aufmerksam.
Liebe Leserin, lieber Leser,
wir haben das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Februar 2025 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Die am 1. August 2024 veröffentlichte KI-Verordnung der Europäischen Union schafft einen gesetzlichen Rahmen zur schrittweisen Regulierung des Umgangs mit KI-Technologien im EU-Raum. Seit dem 2. Februar 2025 gelten nun zwei zentrale Bestimmungen dieser neuen Verordnung, die für viele Organisationen relevant sein werden. Ein wesentlicher und bereits aktiver Bestandteil ist die Entwicklung einer sogenannten KI-Kompetenz der Belegschaft (Art.5 KI-VO).
In unserem neuen Artikel gehen wir auf die entscheidenden Schritte beim Vorgehen zur Erstellung eines KI-Strategiekonzepts und genau dieser KI-Kompetenzentwicklung ein.
DATENSCHUTZ
In einem Urteil vom 18. Dezember 2024 (Az.12U9/24) befasste sich das Oberlandesgericht (OLG) Schleswig-Holstein mit einem Rechnungsbetrug im digitalen Geschäftsverkehr.
Zum Hintergrund: Für ordnungsgemäß erbrachte Leistungen hat ein Bauunternehmer eine Abschlussrechnung in Höhe von 15.000 € per E-Mail an einen privaten Auftraggeber übermittelt. Auf dem Übertragungsweg wurde die E-Mail jedoch von Kriminellen abgefangen und die Bankverbindung geändert. Der Auftraggeber bemerkte die Manipulation nicht und überwies den Betrag auf das gefälschte Konto. Der Unternehmer forderte erneut die Zahlung des offenen Betrags. Der Auftraggeber weigerte die Begleichung mit der Begründung, dass die Rechnung lediglich per Standard E-Mail versandt wurde und somit nur mit einer Transportverschlüsselung geschützt war. Das OLG entschied, dass eine Transportverschlüsselung nicht ausreichend ist und sprach dem Auftraggeber einen Schadenersatz in Höhe von 15.000 € zu.
Nun stellt sich die Frage: Müssen künftig alle Rechnungszustellungen per E-Mail ausschließlich Ende-zu-Ende verschlüsselt werden? Nach juristischer Auffassung ist das Urteil auf den Einzelfall bezogen und muss nicht als generelle Pflicht zur Verschlüsselung verstanden werden. Das Urteil sollte aber trotzdem ernst genommen werden. Es lässt sich daraus auf jeden Fall ableiten, dass verantwortliche Stellen haftbar gemacht werden können, wenn fehlende Sicherheitsmaßnahmen zu einem tatsächlichen Schaden führen. Daher gilt es abzuwägen, wie der Aufwand einer Ende-zu-Ende Verschlüsselung im Verhältnis zu einem möglichen Schaden steht.
INFORMATIONSSICHERHEIT
Am 1. Februar wurde durch den nationalen „Ändere dein Passwort“- Tag die Bedeutung von Passwörtern in den Fokus gerückt. Diesen Anlass möchten wir in dieser Ausgabe aufgreifen, um Sie nicht nur auf die Änderung von Passwörtern hinzuweisen, sondern vor allem die Signifikanz einer starken Passwortkombination zu betonen. Leider tauchen einfache Kennwörter wie “123456” oder “hallo” immer wieder auf TOP10 Listen für beliebte Passwörter auf – und das spielt Cyberkriminellen in die Karten.
Um Zugangsdaten bestmöglich zu schützen, empfehlen wir, schwache Passwörter gegen komplexe Kombinationen auszutauschen und diese nicht bei mehreren Konten gleichzeitig zu verwenden. Ein digitaler Passwortmanager kann Ihnen dabei helfen, Ihre komplexen Kennwörter sicher zu verwalten, sodass sie sich diese nicht einmal mehr merken müssen.
Für diejenigen, die es bevorzugen, gerne noch etwas in der Hand halten, ist unsere Passwortkarte, mit der Sie bis zu 8 Passwörter erstellen und sich merken können, eine gute Alternative. Diese lässt sich individuell an Ihr Corporate Design anpassen und eignet sich hervorragend für Sensibilisierungsmaßnahmen.
DATENSCHUTZ
Bis zum 28. Juni 2025 müssen die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) umgesetzt werden. Das Gesetz betrifft Anbieter von Produkten wie Handys, Ticket- und Geldautomaten sowie von elektronischen Dienstleistungen, sofern diese in den Anwendungsbereich des Gesetzes fallen – beispielsweise Betreiber von Webseiten oder Onlineshops.
Eine transparente Übersicht des Geltungsbereichs und der Anforderungen finden Sie auf der Webseite der Bundesfachstelle Barrierefreiheit.
Im Rahmen unserer Datenschutzberatung unterstützen wir unsere Kunden bei der konformen Darstellung von Webseiten hinsichtlich Compliance- und Sicherheitsanforderungen. Hierzu bedienen wir uns mitunter einem Tool, dass um den Prüfbaustein Barrierefreiheit erweitert wurde. Dabei wird der HTML-Code des Webauftritts gegen die WCAG-Regeln geprüft. Der Bericht zeigt offensichtliche Fehler, die vor einer tiefgehenden Prüfung bereits beseitigt werden können. Setzen Sie sich jederzeit mit uns in Verbindung, wenn wir Ihnen hierbei weiterhelfen können!
INFORMATIONSSICHERHEIT
Bonus-Apps zum Treuepunkte sammeln sind bei Kunden sehr beliebt, da diese in bares Geld umgewandelt werden können. Auch für Cyberkriminelle sind die Punkte anscheinend ein attraktives Ziel. Vor kurzem haben sie es auf die Guthaben der Rewe Bonus-App Nutzer abgesehen. Sie nutzten die “Gemeinsam sammeln”- Funktion, um die Bonuskonten der User mit einem unbekannten Konto zu verknüpfen. Die fremden Personen kassierten dann die Punkte ein und erwarben in den Filialen PaySafeCards, die nach dem Kauf nicht zurückverfolgt werden können. Rewe schloss auf Nachfrage eine Sicherheitslücke aus. Stattdessen sollen schwache Passwörter und Phishing den Punkteklau ermöglicht haben.
Mitte Februar wurde das Sekretariat der Deutschen Bischofskonferenz in Bonn Opfer eines Cyberangriffs. Nach Kenntnisnahme des Vorfalls wurden die Notfallpläne umgehend aktiviert und die IT-Systeme vorsorglich vom Netz getrennt. Dies führte zu vorübergehenden Einschränkungen im E-Mail-Verkehr. Laut Pressemitteilung ist noch unklar, ob personenbezogene Daten entwendet wurden.
Die Webseiten der Bremer Verwaltung wurden diesen Monat Ziel eines massiven DDoS-Angriffs und waren dadurch zeitweise nicht erreichbar. Der Angriff nahm seinen Anfang bei der Webseite der Polizei Bremen. Laut Angaben des Finanzressorts wurden bis zu 18.000 Anfragen pro Minute an die Server gesendet. Gegen Ende des Tages ließen die Angriffe nach. Eine russische Hackergruppe bekannte sich zu dieser Attacke. Inzwischen sind die Webseiten wieder erreichbar.
Zwei Standorte der LUP-Kliniken in Mecklenburg-Vorpommern hat es im Februar auch getroffen. Als Vorsichtsmaßnahme wurden beide Häuser vorsorglich vom Netz getrennt. Die medizinische Versorgung der Patienten war jederzeit gewährleistet. Die Täter versuchten, die Kliniken mit den verschlüsselten Daten zu erpressen. Der Schaden wird auf mehrere Millionen geschätzt und die Wiederherstellung der Systeme wird voraussichtlich Monate in Anspruch nehmen.
Bei einem Angriff auf die Universität der Bundeswehr München wurden erhebliche Datenmengen abgegriffen. Möglich war dies durch geleakte Zugangsdaten zu den zentralen IT-Services der Universität. Die gestohlenen Informationen wurden aber weder verschlüsselt noch gelöscht, es scheint daher, dass keine Ransomware zum Einsatz gekommen ist. Auch hochsensible Forschungsdaten zur Cybersicherheit und Verteidigungstechnologien könnten betroffen sein. Wer hinter dem Angriff steckt, ist bislang noch unklar.
Die Webauftritte des Landratsamts München und der Stadt Garching waren diesen Monat auch aufgrund eines DDoS-Angriffs auf den Hosting-Dienstleister zeitweise nicht aufrufbar. Online-Dienstleistungen wie beispielsweise Autozulassungen oder Führerscheinausstellungen konnten dadurch nur eingeschränkt angeboten werden. Zur Überbrückung des Ausfalls richtete der Dienstleister kurzfristig eine Umleitung ein.
Liebe Leserin, lieber Leser,
wir hoffen, dass Sie erholt und voller Energie ins Jahr 2025 gestartet sind. Für die kommenden Monate wünschen wir Ihnen beste Gesundheit und viel Erfolg bei all Ihren Projekten!
Auch in diesem Jahr versorgen wir Sie wieder mit aktuellen Informationen rund um den Datenschutz und die Informationssicherheit. Wir haben das Neueste im Monat Januar 2025 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
In Deutschland sind laut dem Sicherheitsunternehmen ESET derzeit noch 32 Millionen PCs mit dem Betriebssystem Windows 10 ausgestattet. Dieses wird aber nur noch bis zum 14. Oktober 2025 mit kostenlosen Sicherheitsupdates unterstützt. Mit dem Support-Ende steigt das Risiko für Cyberangriffe und Datenverluste enorm, da neue Sicherheitslücken nicht mehr geschlossen werden. Nutzer sollten daher umgehend einen Umstieg auf eine aktuellere Version planen oder alternative Lösungen in Betracht ziehen.
Verglichen mit dem Support-Ende von Windows 7 im Jahr 2020 verläuft nach Angaben von ESET der Umstieg diesmal deutlich langsamer. Alarmierend ist auch, dass heutzutage noch rund eine Million Rechner mit stark veralteten und unsicheren Systemen wie Windows 7, 8 und sogar XP laufen. Falls Sie Unterstützung bei der Planung und Umsetzung des Systemwechsels benötigen, stehen wir Ihnen gerne zur Verfügung!
DATENSCHUTZ
In einer Pressemitteilung vom 16. Januar 2025 informiert das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über eine neue Anlaufstelle für Künstliche Intelligenz (KI) in der Behörde. Damit soll eine zielgenaue Hilfestellung bei der alltagstauglichen Umsetzung des neuen Datenrechts geschaffen werden. Ergänzend dazu wird hier ein neu strukturierter Zugang zur individuellen Beratung angeboten.
INFORMATIONSSICHERHEIT
Am 23. Februar 2025 steht die Bundestagswahl an. Experten warnen, dass sowohl ausländische als auch inländisch politisch motivierte Akteure möglicherweise versuchen werden, die Wahl auf unzulässige Weise zu beeinflussen. Um die Sicherheit zu gewährleisten, lässt sich beispielsweise die hessische Landeswahlleitung vom Cyber Competence Center (Hessen3C) des Innenministeriums unterstützen. Am Wahlabend selbst stehen IT-Experten mit Notfallkonzepten bereit.
Das BSI verfolgt zum Schutz ein gesamtgesellschaftliches Konzept und stellt Bundes- und Landeswahlleitern, Parteien und Kandidaten hilfreiche Informationen sowie Beratungsangebote zur Verfügung. Auf der Webseite des BSI sind hier nützliche Informationen für Bürger und Kandidierende zu finden.
DATENSCHUTZ
Die Anrede “Herr” oder “Frau” ist seit jeher ein gängiger Bestandteil der höflichen Kundenkommunikation. Auf vielen Webseiten ist daher im Bestellvorgang oder Kontaktformular ein Anredefeld mit einer Auswahl des Geschlechts als Pflichtangabe vorgesehen. Das Urteil des EuGH (C394/23) vom 9. Januar 2025 bringt nun eine Änderung dieser Praxis mit sich. Es wurde entschieden, dass die Anrede von Kunden beim Erwerb von Fahrscheinen grundsätzlich weder unerlässlich noch wesentlich noch erforderlich oder notwendig ist.
Zum Hintergrund: Ein französischer Anbieter von Zugtickets verpflichtete Kunden beim Onlineerwerb zur Angabe einer Anrede (“Herr” oder “Frau”). Gegen diese Vorgehensweise legte Mousse Beschwerde bei der französischen Datenschutzaufsicht CNIL ein, die das Anliegen jedoch zurückwies. Letztlich wurde der Fall dem EuGH vorgelegt, der zugunsten des Klägers entschied. Verantwortlichen Stellen wird daher auf Grundlage des Urteils empfohlen, Onlineformulare zukünftig ohne zwingende Auswahl der Anrede anzubieten.
INFORMATIONSSICHERHEIT
In den letzten Jahren erfolgten zahlreiche Hackerangriffe auf deutsche Hochschulen – oft mit erheblichen Folgen für die Einrichtungen. Eine kürzlich im Handelsblatt veröffentlichte Umfrage zeigt, dass Hochschulen mit Herausforderungen im Bereich der digitalen Sicherheit konfrontiert sind. Trotz der Bedrohungslage wird das Risiko von den Hochschulleitungen vielerorts nach wie vor unterschätzt. Es mangelt oft an klar definierten Verantwortlichen, allumfassenden Backup-Lösungen, gezielten Awareness-Schulungen für das Personal und Studierende sowie Notfallplänen. Die Nutzung privater Geräte macht die IT-Sicherheit aber besonders anfällig.
Grund für diese Defizite sollen fehlende finanzielle Unterstützung der Länder und ein Mangel an qualifiziertem Fachpersonal sein. Offensichtlich ist, dass hier Handlungsbedarf besteht. Die Umsetzung ganzheitlicher Sicherheitskonzepte ist entscheidend, um die immer größer werdenden Gefahren im Cyberraum wirkungsvoll abzuwehren.
INFORMATIONSSICHERHEIT
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat gemeinsam mit dem BSI einen Wegweiser zur Bewältigung und Prävention kommunaler IT-Krisen veröffentlicht. Ziel ist es, Infrastrukturen und Daten effektiver vor Gefahren zu schützen und die Folgen von Cyberangriffen so gering wie möglich zu halten.
Ein fiktives Ransomware-Angriffsszenario führt als roter Faden durch das Dokument und sorgt für ein besseres Verständnis der zugrunde liegenden Prozesse.
INFORMATIONSSICHERHEIT
Vor kurzem hat das BSI zwei interessante Broschüren veröffentlicht. Die neue Ausgabe des halbjährlichen Magazins ‘Mit Sicherheit’ widmet sich dem Cloud Computing, Cybersicherheitstrends von morgen und der Frage, wie cybersicher Deutschland wirklich ist.
Das neue Management-Blitzlicht ‘Awareness stärken – Risiken minimieren‘ bietet auf drei Seiten einen kompakten Einblick in das immerzu zentrale Thema: Sicherheitsfaktor Mensch. Darin wird aufgezeigt, wie Security-Awareness nachhaltig in der Unternehmenskultur verankert werden kann. Ein Aspekt, den wir Ihnen immer wieder ans Herz legen, da er ein wesentlicher Eckpfeiler für eine starke Sicherheitskultur im Unternehmen ist. Wir unterstützen Sie gerne bei den Sensibilisierungsmaßnahmen!
INFORMATIONSSICHERHEIT
Laut Recherchen des BR in Zusammenarbeit mit internationalen Partnern sind bei fast 40.000 Apps für Apple- und Android-Geräte Standortdaten an Datenhändler abgeflossen. Darunter auch bei einigen der Populärsten wie WetterOnline, Kleinanzeigen oder Focus Online. Aus diesen Daten lässt sich der ungefähre Standort des Nutzenden ableiten. Der Präsident des BayLDA bezeichnet dies als schwerwiegenden Vertrauensbruch und kündigt Untersuchungsprüfungen an. Die Ergebnisse zeigen auch, dass der Online-Werbemarkt weltweit ohne ausreichende Kontrolle agiert.
Das Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) aus Stuttgart gab in einer Pressemitteilung bekannt, dass es Opfer eines Ransomware-Angriffs geworden ist. Der Vorfall führte zur Beeinträchtigung von bestimmten Systemen und Daten. Der genaue Umfang des Schadens ist derzeit noch unklar. Es kann nicht ausgeschlossen werden, dass auch personenbezogene Daten abgeflossen sind.
Mitte Januar erfolgte ein nächtlicher Ransomware-Angriff auf die berufsbildenden und allgemeinbildenden Schulen in Speyer. Laut einer Pressemitteilung der Stadt wurde ein Verschlüsselungs-Trojaner in die betroffenen lokalen Schulserver eingeschleust. Als präventive Sofortmaßnahme kappte die städtische EDV-Abteilung am nächsten Morgen alle Verbindungen zu den Schulen umgehend.
Speyer war aber leider kein Einzelfall: Insgesamt 45 Schulen in Rheinland-Pfalz wurden im Januar von der Lockbit-Bande angegriffen – ein gravierender Vorfall in diesem noch jungen Jahr. Die Cyberkriminellen konnten sich Zugriff auf die IT-Systeme des externen IT-Dienstleisters der Schulen verschaffen. Nun droht Lockbit mit dem Verkauf der gestohlenen Daten.
Auch die Computersysteme eines Großarler Hotels im Salzburger Land wurden im Januar durch einen Ransomware-Angriff verschlüsselt. Die Täter forderten ein Lösegeld in Höhe von 14.000 € in Bitcoin. Trotz dieser Forderung, ging das Hotel nicht auf den Erpressungsversuch ein. Die genaue Schadenshöhe ist noch nicht absehbar.
INFORMATIONSSICHERHEIT
Abschließend möchten wir Sie noch auf die derzeit verbreitete Taktik des ‘Quishings’ aufmerksam machen. QR-Codes sind äußerst praktisch und werden oft ohne Bedenken gescannt. Dabei wird aber häufig vergessen, dass diese ‘Links’ auch von Kriminellen erstellt oder manipuliert werden können. Diese versuchen die Allgegenwärtigkeit der QR-Codes auszunutzen, in dem sie Original-Codes entweder mit Fälschungen überkleben oder bewusst schadhafte Codes bereitstellen. Besonders beliebt ist die Anbringung an Parkscheinautomaten oder E-Auto-Ladesäulen. In mehreren deutschen Städten wurden bereits manipulierte QR-Codes für Parkbezahl-Apps gefunden.
Die Täuschung ist perfide: Die gefälschten Dubletten leiten auf eine täuschend echte Fake-Webseite weiter. Dort werden die Nutzer aufgefordert, Kreditkarteninformationen preiszugeben – mit Folgen. Für 2025 wird ein weiterer Anstieg der Quishing-Masche prognostiziert. Bleiben Sie daher wachsam und scannen Sie keine QR-Codes an öffentlichen Orten oder auf Webseiten bedenkenlos!
Liebe Leserin, lieber Leser,
ein weiteres Jahr neigt sich langsam dem Ende zu, und wir möchten diese letzte Ausgabe nutzen, um Ihnen zunächst herzlich für Ihre Treue und Wertschätzung zu danken. Ihr reges Interesse am Security-Newsletter ist für uns eine wertvolle Motivation, Ihnen auch im kommenden Jahr wieder interessante und relevante Inhalte zu bieten.
Wir wünschen Ihnen an dieser Stelle schon mal frohe Weihnachten und einen guten Rutsch ins neue Jahr.
INFORMATIONSSICHERHEIT & DATENSCHUTZ
Die rasante Entwicklung der Künstlichen Intelligenz (KI) eröffnet Unternehmen in Zukunft neue Chancen und Potenziale. Statt der KI-Technologie lediglich mit Skepsis zu begegnen, sollten wir sie vielmehr auch als Möglichkeit begreifen, Fortschritt zu gestalten. Eine verantwortungsbewusste Integration von KI in den Arbeitsalltag kann in vielen Aufgabenbereichen einen spürbaren Mehrwert schaffen und auch die private Auseinandersetzung des Mitarbeitenden mit der Technologie anregen. Dadurch entstehen wertvolle Impulse für die eigenständige Weiterentwicklung zukunftsorientierter Kompetenzen.
Wir freuen uns Ihnen daher mitteilen zu können, dass wir ab dem 1. Quartal 2025 spezialisierte KI-Schulungen anbieten, die Ihnen dabei helfen sollen, KI sicher, datenschutzkonform und verantwortungsvoll im Betrieb einzusetzen. In unseren Schulungen lernen Sie, wie KI-Technologien als wertvolles Werkzeug genutzt werden können – vom Erkennen der Anwendungen in Ihren Systemen bis hin zur Einhaltung datenschutzrechtlicher Vorgaben und Sicherheitsstandards. So können Sie sicherstellen, dass Ihre KI-Nutzung den geltenden Datenschutzbestimmungen entspricht und Sie alle Vorteile optimal ausschöpfen.
Nutzen Sie schon jetzt die Möglichkeit in den Austausch mit uns zu gehen, damit wir Ihre Anforderungen und Herausforderungen in unserem Schulungsplan berücksichtigen können.
INFORMATIONSSICHERHEIT & DATENSCHUTZ
Wir möchten Ihnen mit unserem Security-Newsletter immer einen möglichst großen Mehrwert bieten und sind daher stets bestrebt, diesen kontinuierlich zu verbessern. Dabei benötigen wir Ihre Unterstützung.
In dieser kurzen Umfrage können Sie uns anonym Ihr ehrliches Feedback geben. Ihre Antworten helfen uns, unsere Inhalte noch gezielter auf Ihre Bedürfnisse abzustimmen und die Ausgaben zukünftig noch wertvoller zu gestalten. Wir freuen uns, wenn Sie sich ein bis zwei Minuten Zeit nehmen, um Ihre Gedanken mit uns zu teilen!
SPENDE FÜR EINEN GUTEN ZWECK
Weihnachten steht für uns ganz im Zeichen des Gebens und des Miteinanders. In diesem Sinne möchten wir uns besonders für jene einsetzen, die sich gerade in schwierigen Lebenslagen befinden oder weniger glückliche Umstände erleben. Es ist uns daher eine Herzensangelegenheit, jedes Jahr nachhaltig Gutes zu tun und soziale Einrichtungen und Projekte in der Region mit einer Spende zu unterstützen. In diesem Jahr freuen sich Christa und Willi Wiesenbauer Schutzräume Duda einen Scheck in Höhe von 1500 € zu überreichen.
Schutzräume Duda ist eine private sozialpädagogische Kinder- und Jugendhilfeeinrichtung, die den jungen Menschen in den Mittelpunkt stellt. Sie bietet Kindern und Jugendlichen im Alter von 1 bis 17 Jahren einen sicheren Zufluchtsort, wenn ihr Wohl akut gefährdet ist. In den drei Inobhutnahmen Litzelau (Unterwössen), Forsthaus (Reit im Winkl) und Hofanger (Übersee) finden sie durch ein engagiertes Fachkräfte-Team Geborgenheit, Schutz und Stabilität. Die Einrichtung hat es sich zur Aufgabe gemacht, den Kindern in dieser prägenden Lebensphase Orientierung zu geben und gemeinsam nachhaltige Perspektiven für die Zukunft zu entwickeln. Mit der Spende ermöglicht INES IT die Anschaffung eines Basteltisches mit Stühlen.
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat November 2024 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Am Donnerstag, den 21. November 2024 fand im Gasthof Raspl in Unterneukirchen unser Cybersecurity-Event statt. Die 23 interessierten Teilnehmer:innen erhielten wertvolle und umfassende Einblicke in die aktuellen Entwicklungen im Cyberraum. Im Fokus der Veranstaltung standen das deutsche Umsetzungsgesetz von NIS2, IT/OT/IOT Security sowie MDR/NDR/SOC-Sicherheitslösungen.
Herzlichen Dank an alle Referenten und Teilnehmer:innen, die dazu beigetragen haben, dass es ein rundum gelungenes Event war!
Auch wenn Sie leider nicht dabei sein konnten, beraten wir Sie gerne individuell und persönlich zu NIS2 und Ihrer IT-Sicherheitsstrategie. Vereinbaren Sie hier einen kostenlosen Erstberatungstermin.
INFORMATIONSSICHERHEIT
Auch in diesem Jahr gibt das BSI in seinem Lagebericht einen detaillierten Überblick über die aktuellen Entwicklungen und Bedrohungen im Cyberraum. Auf den über 100 Seiten wird deutlich, dass die Gefährdungslage in Deutschland besorgniserregend ist und auch in Zukunft bleibt. Laut BSI erfordert die zunehmende Digitalisierung umfassende Maßnahmen, um die dadurch entstandene wachsende Angriffsfläche zu schützen. Jede Organisation ist aufgefordert, ihre individuellen Schwachstellen zu identifizieren und entsprechende Sicherheitsvorkehrungen zu treffen. Wir haben die wesentlichen Erkenntnisse für Sie in einem Artikel zusammengefasst.
DATENSCHUTZ
Zum 1. Januar 2025 tritt das Bürokratieentlastungsgesetz IV in Kraft und schafft Erleichterung für Beherbergungsstätten in Deutschland. Bisher mussten auf Grundlage des Bundesmeldegesetzes die personenbezogenen Daten des Gastes via Meldeschein erhoben werden. Diese Meldepflicht für Gäste mit deutscher Staatsangehörigkeit entfällt im kommenden Jahr. Neben der bürokratischen Erleichterung müssen damit auch weniger personenbezogene Daten verarbeitet und fristgerecht vernichtet werden. Risiken durch herkömmliche “Zettelwirtschaft” entfallen damit für deutsche Staatsangehörige. Für Gäste aus dem Ausland bleibt die Pflicht aufgrund des Schengener Durchführungsübereinkommens bestehen.
INFORMATIONSSICHERHEIT
Eine zuverlässige und robuste IT-Infrastruktur ist in unserer digitalisierten Welt nicht mehr wegzudenken. Doch es geht längst nicht mehr nur um die Verfügbarkeit. Die IT-Landschaft muss auch effektiv vor den vielfältigen internen und externen Bedrohungen geschützt werden. Eine innovative Lösung hierfür bietet der Ansatz des Zero Trust Network Access (ZTNA). Damit lassen sich Zugriffe auf Unternehmensressourcen sicher, kontrolliert und präzise steuern. In unserem neuen Artikel erklären wir, was unter ZTNA zu verstehen ist, wie Unternehmen davon profitieren und welche Voraussetzungen notwendig sind, um diese Technologie erfolgreich zu implementieren.
INFORMATIONSSICHERHEIT
Der Gesetzesentwurf der Bundesregierung zum NIS2UmsuCG stieß bei einer öffentlichen Anhörung Anfang November auf Kritik. Die Sachverständigen waren sich einig, dass das Gesetz angesichts der hohen Bedrohungslage zügig umgesetzt werden muss. Auf Widerstand stießen jedoch vor allem die Ausnahmeregelungen für staatliche Verwaltungen, da gerade Bundesverwaltungen und politische Institutionen attraktive Angriffsziele sind und daher nicht von den Vorgaben ausgeschlossen werden sollten. Es wurde betont, dass Cybersicherheit eine gesamtgesellschaftliche Aufgabe sei.
Auch eine bessere Verzahnung des NIS2UmsuCG mit dem KRITIS-Dachgesetz sowie eine klare Definition der Rolle des BSI wurden von den Experten gefordert. Kritisiert wurde zudem die mangelhafte Kommunikation und Unterstützung für betroffene Einrichtungen. Die Regierungen in anderen Ländern informieren aktiv über die Betroffenheit, während Unternehmen in Deutschland diese selbst prüfen müssen. Professor Kipker von der Universität Bremen äußerte, dass der aktuelle Entwurf insgesamt noch zu viele Schwächen und Unklarheiten enthalte. Nachdem die ursprüngliche Umsetzungsfrist (17. Oktober 2024) verstrichen ist, wird nun mit einem voraussichtlichen Inkrafttreten im März 2025 gerechnet. Wir halten Sie im Newsletter auf dem Laufenden. Angesichts der möglichen Komplexität der Umsetzung sowie eines absehbaren Engpasses bei Beratungsunternehmen kurz vor Inkrafttreten, empfehlen wir Ihnen trotz der Terminverschiebung, sich frühzeitig mit den Anforderungen des NIS2UmsuCG vertraut zu machen.
DATENSCHUTZ
Auf der Webseite des Landesbeauftragten für den Datenschutz und die Informationssicherheit Rheinland-Pfalz wurde eine ausführliche Themensammlung “Datenschutz in der Kita” eingerichtet. Neben einer Sammlung von Fragen und Antworten für Erzieher:innen, stehen auch weiterführende Informationen zu Spezialthemen im Kontext von Kitas zur Verfügung. Mitunter kann die Aufzeichnung der Webinar-Reihe “Fotos, Portfolio, Einwilligung” abgerufen werden.
INFORMATIONSSICHERHEIT
Trotz modernster digitaler Sicherheitsvorkehrungen kann ein physischer Angriff einem Unternehmen die Kontrolle über seine IT-Systeme entziehen. Das zeigt dieses Fallbeispiel eindringlich:
Ein Mitarbeiter der Cyber-Security-Firma ProSec wurde von einem Kunden als White-Hat-Hacker engagiert, um potenzielle Sicherheitslücken vor Ort zu identifizieren. Nur der IT-Verantwortliche und der Hacker selbst waren eingeweiht, die Geschäftsleitung blieb uninformiert. Das Ergebnis seines Einsatzes war erschütternd.
Mithilfe von Satellitenaufnahmen verschaffte sich der vermeintliche Einbrecher detaillierte Kenntnisse über das Firmengelände. Selbstbewusst betrat er den Konferenzraum und täuschte vor, etwas überprüfen zu müssen. Seine Social-Engineering Taktik ging auf. Binnen Minuten war er mit dem Firmennetzwerk verbunden und begann erste Daten auf seinem Bildschirm zu sichten. Währenddessen beantwortete der ahnungslose Mitarbeiter seine Fragen und arbeitete arglos an seinem Laptop weiter. Schrittweise gelangte der Angreifer näher an sein Ziel: die vollständige Kontrolle über die IT des Unternehmens. Innerhalb kurzer Zeit hatte er sogar Domain-Admin-Rechte.
Am Ende des Tages konnten mehrere Dienstfahrzeuge gestohlen und die IT-Abteilung aus ihren eigenen Systemen ausgesperrt werden. Der Experte hatte die größte Schwachstelle des Unternehmens gezielt im Vorfeld identifiziert und dann rücksichtslos ausgenutzt. Digital war das Unternehmen durch implementierte Sicherheitsmaßnahmen gut geschützt, doch das Firmengelände selbst wies keinerlei Absicherung, zum Beispiel in Form eines Zauns, auf. Ein Angriff innerhalb des Gebäudes war für alle Beteiligten völlig unerwartet. Dieses Beispiel zeigt eindrucksvoll, wie wichtig ein ganzheitliches Sicherheitskonzept ist, das sowohl digitale als auch physische Maßnahmen umfasst. Zugangskontrollen, geschultes Personal mit einem gesundem Misstrauen sowie einfache, jedoch entscheidende Verhaltensweisen wie das Sperren von Bildschirmen können im Ernstfall von Bedeutung sein. Wir unterstützen Sie gerne auf dem Weg zu umfassender Sicherheit!
INFORMATIONSSICHERHEIT
Ein Systemadministrator der Stadt Dresden hat ohne Befugnis Daten von Hunderttausenden Wahlberechtigten auf einen externen Datenträger kopiert. Aufgefallen war das im Rahmen einer gezielten Kontrolle. Alle seine Zugriffsrechte wurden daraufhin umgehend gesperrt und es folgte eine Kündigung. Die Stadt kündigte an, den Zugangsschutz zu verschärfen und die Nutzung mobiler Datenträger zu untersagen. Da ein Admin in der Regel uneingeschränkten Zugriff auf sensible Daten hat, ist es essenziell, seine Vertrauenswürdigkeit im Vorfeld sorgfältig zu überprüfen – beispielsweise durch die Vorlage eines Führungszeugnisses.
Die AEP GmbH, Großhändler für Apotheken aus Unterfranken, wurde Opfer eines gezielten Cyberangriffs. Eine spezielle Schadsoftware führte zur teilweisen Verschlüsselung der IT-Systeme. Die internen Sicherheitsmechanismen schlugen Alarm, sodass umgehend notwendige Schutzmaßnahmen ergriffen werden konnten. Neun Tage später vermeldet AEP auf der Webseite, dass die Lieferfähigkeit wiederhergestellt sei.
Zahlreiche Mitarbeitende der Stadt Aschaffenburg standen am Morgen des 14. November vor einem Problem: sie konnten sich mit ihren Passwörtern nicht mehr an ihren PCs anmelden. Daraufhin wurde aus Sicherheitsgründen die gesamte IT-Infrastruktur vom Netzwerk getrennt. Weder telefonisch noch per E-Mail konnte kommuniziert werden. Das Rathaus blieb an diesen Tagen geschlossen. Nach einem intensivem Scan konnte das Rathaus eine Woche später seine Services wieder vollumfänglich anbieten.
Bei der Wirtschaftsauskunftei Infoscore, einem Schufa-Wettbewerber aus Baden-Baden, wurde ein gravierendes Datenleck aufgedeckt. Die Bonitätsdaten von knapp acht Millionen Verbrauchern waren ungeschützt im Internet zugänglich. Betroffen waren nicht nur die Bonitäts-Scores, sondern auch hochsensible Informationen zu Mahnverfahren und Privatinsolvenzen.
Auch das Berufsförderungswerk Oberhausen hat es diesen Monat getroffen. Auf der Webseite gab der Dienstleister für berufliche Rehabilitation von Erwachsenen bekannt, dass am zweiten November-Wochenende ein Cyberangriff identifiziert wurde. Daraufhin isolierte die Einrichtung umgehend alle Systeme und schaltete sie ab. Die Analyse des Vorfalls ist noch im Gange.
Einem Oberstufenschüler eines Berliner Gymnasiums gelang es, sich Zugang zum Schulrechner zu verschaffen und das Lehrerkollegium auszuspionieren. Durch eine Manipulation, die das Protokollieren des nächsten eingegebenen Passworts erlaubte, gelangte er an das Administratorpasswort und installierte anschließend einen Keylogger, der sämtliche weitere Passwort-Eingaben aufzeichnete. Der verantwortliche Schüler wurde daraufhin von der Schule verwiesen. Die Problematik mangelnder IT-Sicherheit an Schulen ist jedoch kein Einzelfall. Ende Oktober gelang es Hackern mithilfe von Ransomware an sieben weiterführenden Schulen im Landkreis Kitzingen Schul-Daten zu verschlüsseln.
Auch die Amtsverwaltung Bergen auf Rügen wurde Ziel eines Hackerangriffs. Unbekannten gelang es, sich mithilfe eines Schadprogramms Zugriff auf das IT-System zu verschaffen und sensible Daten zu verschlüsseln. Infolgedessen konnte nur eingeschränkt gearbeitet werden. Das Ausstellen von Personalausweisen, Reisepässen und Sterbeurkunden war nicht möglich. Die Verwaltung war lediglich telefonisch oder vor Ort erreichbar.
Der Ökostrom-Anbieter Tibber wurde im November auch gehackt. Über 50.000 Kundendaten aus Deutschland konnten entwendet werden und sind nun im Darknet käuflich. Diese Daten stammen aus dem Tibber Store, über den das Unternehmen Smart-Energy-Hardware vertreibt. Laut Tibber sind jedoch keine Zahlungs- und Verbrauchsdaten kompromittiert. Das Unternehmen weist auf ein erhöhtes Risiko von Spam-E-Mails hin.
Die Webauftritte mehrerer Bundesbehörden wurden laut einem vertraulichen Lagebericht Mitte November Ziel mehrerer Wellen von Cyberattacken. Das Informationstechnikzentrum Bund (ITZBund) verzeichnete dabei zahlreiche DDoS-Attacken, die auf das BKA, den BND und das Bundesamt für Verfassungsschutz abzielten. Die Hackergruppe ‘Mr Hamza’ versuchte, die Internetpräsenzen durch massenhafte Zugriffe zu überlasten und damit außer Betrieb zu setzen. Diese blieben aber weitgehend stabil und durchgehend verfügbar.
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Oktober 2024 für Sie zusammengefasst.
EVENT
Unser Event “Cybersecurity im Jahr 2025” am Donnerstag, den 21. November 2024 (9-13 Uhr) in Unterneukirchen steht kurz bevor und es sind nur noch wenige Plätze verfügbar. Sichern Sie sich am besten gleich noch einen der limitierten Plätze und profitieren Sie von unserem Cybersecurity-Wissen!
Darum sollten Sie teilnehmen:
DATENSCHUTZ
Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober 2024 neue Leitlinien angenommen und damit die Interessenabwägung nach Art.6 Abs.1 lit.f DSGVO festgelegt. Diese neuen Leitlinien der EDSA geben anhand konkreter Beispiele detaillierte Anleitungen, wie die Verarbeitung personenbezogener Daten von Kindern oder zum Zweck des Direktmarketings durchgeführt werden können. Zudem werden die Betroffenenrechte in Bezug auf Art.6 Abs.1 lit.f DSGVO beleuchtet.
INFORMATIONSSICHERHEIT
Das BSI hat die NIS2-Betroffenheitsprüfung auf seiner Webseite entsprechend dem aktuellen Stand des deutschen Gesetzesentwurfs (NIS2UmsuCG) angepasst. Sobald das finale Umsetzungsgesetz, voraussichtlich im März 2025, in Kraft tritt, wird eine weitere Anpassung und Aktualisierung erfolgen. Sie erhalten mit dem Checker eine erste Orientierungshilfe zur Feststellung der eigenen Betroffenheit.
Aufgrund der komplexen Vorgaben ist aber eine gründliche individuelle Betroffenheitsanalyse durch Experten unerlässlich, da häufig mehrere oder auch granulare Kriterien greifen. Gerne begleiten wir Sie von der Betroffenheitsüberprüfung bis zur gesetzeskonformen Umsetzung. Nehmen Sie auch gerne an unserem kostenlosen Event im November teil oder buchen Sie einen unverbindlichen Erstberatungstermin.
DATENSCHUTZ
Die beiden kürzlich veröffentlichten Entscheidungen der irischen Aufsichtsbehörde (DPC) zeigen, dass selbst die größten Unternehmen weltweit nicht vor Fehlern und Strafen gefeit sind. So muss Meta, Mutterkonzern von Facebook, für einen vermeidbaren Vorfall aus dem Jahr 2019 ein Bußgeld in Höhe von 91 Millionen Euro zahlen. Der Grund dafür ist eine unverschlüsselte Speicherung von Millionen von User-Passwörtern im Klartext. Die Entscheidung der Behörde beruhte auf einer Verletzung der Meldepflicht und einer nicht ausreichenden internen Dokumentation. Die DPC hätte umgehend über das Datenleck informiert werden müssen. Besorgniserregend ist hierbei, dass nicht nur tausende Meta-Mitarbeitende Zugriff auf die sensiblen Daten hatten, sondern das auch viele Nutzer andere Online-Dienste mit ihren Meta-Accounts verknüpft haben.
Außerdem verhängte die DPC eine 310 Millionen Euro Strafe gegen die Netzwerk-Plattform LinkedIn, da die Behörde verschiedene Verstöße gegen die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung festgestellt hat. Laut DPA wurden personenbezogene Daten ohne rechtmäßige Grundlage analysiert und mit Drittdaten zusammengeführt. Diese Datenverarbeitung wurde durch LinkedIn auf eine Einwilligung gestützt, die nach Auffassung der DPC weder freiwillig noch ausreichend informativ war. Auch die durch LinkedIn eingebrachte Berufung auf berechtigte Interessen und die notwendige Datenverarbeitung zur Erfüllung eines Vertrags, wurden als unzulässig eingestuft. Darüber hinaus sah die DPC Verstöße gegen die Informationspflichten gemäß Artikel 13 und 14 DSGVO sowie gegen den Grundsatz der Fairness. Die DPC ist die zuständige Aufsichtsbehörde, weil LinkedIn und Meta ihren europäischen Hauptsitz in Irland haben.
INFORMATIONSSICHERHEIT
Wir weisen immer wieder darauf hin, dass ein gutes Passwortmanagement heutzutage keine Kür sondern Pflicht ist. Leicht entschlüsselbare Nutzernamen-Passwort-Kombinationen sind ein einfaches Einfallstor für Cyberkriminelle. Auch eine aktuelle Verbraucherbefragung des BSI beschäftigte sich mit dem Thema Authentisierung. Die Umfrage beleuchtete die Bekanntheit und Akzeptanz einer alternativen Login-Methode: sogenannten Passkeys, die laut dem BSI ein deutlich höheres Sicherheitsniveau als herkömmliche Verfahren bieten. Wenn von Passkeys die Rede ist, ist damit ein modernes passwortloses Anmelden gemeint. Beim Login wird zunächst bestätigt, dass es tatsächlich Ihr Benutzerkonto ist, anstatt wie gewohnt das Passwort einzugeben. Der Passkey kann einmalig unkompliziert in den Sicherheitseinstellungen der Webseite oder der App eingerichtet werden.
Die Ergebnisse der Studie zeigen unter anderem, dass 18% der Befragten dieses Anmeldeverfahren bereits als nutzerfreundliche Alternative zu Passwörtern nutzen. Gleichzeitig offenbart die Studie aber auch, dass den meisten Verbrauchern die Vorteile von Passkeys noch nicht bekannt sind und der Begriff noch als fremdempfunden wird. Online-Dienste und Technologie-Anbieter sollten die Passkeys daher stärker bewerben. Bei Fragen rund um das Thema Passwortmanagement oder Passkeys können Sie jederzeit auf uns zukommen.
DATENSCHUTZ
In unserer Juni-Ausgabe haben wir Sie über die unangekündigte Prüfung von 30.000 Internetauftritten durch die Datenschutzaufsicht Sachsen informiert. Nun wurde Ende Oktober 2024 das Prüfergebnis veröffentlicht. Gerade die Information, dass zwei Drittel der betroffenen Webauftritte zukünftig auf Google Analytics verzichten bzw. den Dienst jetzt konform einbinden zeigt, dass die verantwortlichen Stellen bisher vermutlich nur unzureichend über den Status ihrer Analysedienste informiert waren. Ein zuverlässiger Report des eigenen Webauftritts ist ein wichtiger Baustein, um Risiken zu erkennen und bewusste Risikoentscheidungen zu treffen. Gerne können wir Sie hierzu beraten.
INFORMATIONSSICHERHEIT
Die neue Publikation des BSI fasst wissenswerte Informationen über den voraussichtlich Ende 2024 in Kraft tretenden “Cyber Resilience Act” prägnant auf drei Seiten zusammen. Häufig gestellte Fragen zur Betroffenheit und zur Vorgehensweise bei der Umsetzung werden darin – nicht nur für Führungskräfte – leicht verständlich beantwortet. Wir sprechen eine klare Empfehlung für diese Publikationsreihe aus, da sie diverse Aspekte aktueller Cybersicherheits-Themen kompakt auf den Punkt bringt.
DATENSCHUTZ
Mit seinem Urteil vom 4. Oktober 2024 bestätigt der EuGH in der Rechtssache Lindenapotheke das Recht von Wettbewerbern, Verstöße gegen die DSGVO abzumahnen und definiert zudem, was unter Gesundheitsdaten zu verstehen ist.
Zum Hintergrund dieses Falls: Eine Apotheke verkaufte rezeptfreie, aber apothekenpflichtige Medikamente über die Online-Plattform Amazon. Ein Wettbewerber reichte Klage ein, da nach seiner Auffassung ein Datenschutzverstoß vorlag. Die bei der Bestellung notwendigen Daten wie Name, Lieferadresse und Medikamente stellen aus Sicht der klagenden Apotheke Gesundheitsdaten im Sinne des Art.9 DSGVO dar, die ohne Einwilligung der Kunden verarbeitet wurden.
Der EuGH stellte klar, dass Wettbewerber, die durch einen Verstoß benachteiligt werden, gegen den mutmaßlichen Täter rechtliche Schritte einleiten können, auch wenn sie in Bezug auf die Verarbeitungsvorgänge Dritte sind. Neben Betroffenen und Aufsichtsbehörden können Wettbewerber damit zivilrechtliche Verfahren einleiten. Weiter stellte der EuGH fest, dass die beim Kauf von nicht verschreibungspflichtigen Medikamenten erhobenen Daten wie Name, Lieferadresse und Produktdetails im Sinne der DSGVO als Gesundheitsdaten nach Artikel 9 DSGVO gelten. Eine Rechtsgrundlage kann damit nur über eine ausdrückliche Einwilligung des Kunden geschaffen werden.
INFORMATIONSSICHERHEIT
Viele Internetnutzer vertrauen beim privaten E-Mailverkehr auf die Anbieter Web.de oder GMX.de. Die unerwünschte Spam-Flut hat auch bei diesen Portalen in den letzten Jahren enorm zugenommen. In einer Mitteilung gaben sie bekannt, dass mithilfe von KI im dritten Quartal 2024 wöchentlich rund 1,9 Milliarden potenziell gefährliche Mails aus dem Nachrichtenstrom herausgefiltert werden konnten. Die sogenannte verschärfte “Reject and Defer Policy” ermöglicht es, verdächtige E-Mails bereits beim Verbindungsaufbau abzulehnen. So gelingt es ihnen beeindruckende 99,9% Prozent der Spam-Mails im Vorfeld abzufangen.
Diesen Monat erfolgte ein Cyberangriff auf die Verbandsgemeinde Elbe-Heide im Landkreis Börde. Die Systeme der Verwaltung wurden umgehend vorsorglich heruntergefahren. Aufgrund des Offline-Modus waren die digitalen Dienste der Gemeinde nicht nutzbar. Es konnte nur telefoniert und Formulare analog ausgefüllt werden. Das Infrastrukturministerium Sachsen-Anhalt kündigte an, sich bei den Kosten zur Behebung des Problems zu beteiligen.
Ein Cyberangriff hat den weltweit bekannten Präzisionsteilhersteller Schumag AG aus Aachen in die Knie gezwungen. Das bereits angeschlagene Traditionsunternehmen musste Insolvenz anmelden, da es sich nicht mehr von dem Cyberangriff am 22. September 2024 erholen konnte. Die dadurch unerwarteten Produktionsausfälle und Verzögerungen bei den Einnahmen führten zu Liquiditätslücken, die in der kurzen Zeit neben den laufenden Reparaturprozessen nicht geschlossen werden konnten.
Die Johannisstift Diakonie, die deutschlandweit zahlreiche Gesundheits- und Sozialeinrichtungen betreibt, wurde diesen Monat auch Opfer eines Angriffs. Der Crypto-Überfall fand in den frühen Morgenstunden des 13. Oktober statt. Alle zentralen Server wurden dabei verschlüsselt. Dank der vorhandenen Notfallkonzepte konnte der Betrieb aber weitgehend weiterlaufen. Auf der eigenen Webseite informiert das Unternehmen detailliert und transparent über den aktuellen Stand der Bewältigung.
Auch den weltweit führenden Druckfarbenhersteller Hubergroup hat es diesen Monat getroffen. Der Malware-Angriff führte zu Beeinträchtigungen einzelner, regionaler IT-Systeme. Die vorhandenen Sicherheitssysteme konnten aufgrund sofortiger Reaktion schlimmeres verhindern. Zeitweise kommt es zu Einschränkungen und Verzögerungen bei der Produktion und der Auslieferung.
Ein Datenleck bei dem deutschen Online-Discounter Brillen.de führte dazu, dass europaweit mehr als 3,5 Millionen Kundendaten ungeschützt im Netz zugänglich waren. Die Ursache hierfür war eine unzureichende Authentifizierung für den Zugriff auf ein Elasticsearch-Cluster. Nach der Kenntnisnahme des Lecks sperrte das Unternehmen den Datenzugang sofort. Es bleibt aber unklar, wie lange die Daten allgemein zugänglich waren.
Bereits seit mehreren Wochen wird das Internet Archive, das kurzlebige Daten wie Webseiten oder Apps für die Nachwelt aufbewahrt, von Unbekannten attackiert. Diese konnten sich Zugriff auf die Systeme verschaffen und dadurch 30 Millionen Nutzerdaten entwenden sowie massenhaft E-Mails an die Kontakte versenden. Während das bekannteste Tool, die “Wayback Machine” inzwischen wieder verfügbar ist, sind andere Angebote weiterhin offline.
INES IT
Zum Abschluss unserer Oktober-Ausgabe möchten wir Sie noch auf unser Interview mit dem Gründerehepaar von INES IT anlässlich unseres 35-jährigen Firmenjubiläums aufmerksam machen. In dem Interview geben Christa und Willi Wiesenbauer Einblicke in die Firmengeschichte und ihre persönlichen Erlebnisse in den letzten Jahrzehnten. Auch wenn der Beitrag thematisch nicht ganz in den Themenbereich IT-Security fällt, könnte es für Sie dennoch interessant sein, mehr über unsere Entwicklung zu erfahren. Lesen Sie gerne rein!
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat September 2024 für Sie zusammengefasst.
EVENT
Wir freuen uns, Sie herzlich zu unserem kostenlosen Cybersecurity-Event am Donnerstag, den 21. November 2024 im Gasthof Raspl von 9 bis 13 Uhr einzuladen. Anlässlich der akuten Bedrohungslage im Cyberraum und der Relevanz von NIS2 haben wir diese Veranstaltung für Sie geplant. Eine ausführliche Agenda und weitere Informationen folgen in Kürze in einem Sondernewsletter. Bleiben Sie gespannt!
Nutzen Sie die exklusive Gelegenheit, sich bei köstlichem Essen mit anderen Teilnehmenden aus der Region auszutauschen. Für Ihr leibliches Wohl ist bestens gesorgt. Gerade in der IT ist es essenziell, stets auf dem neuesten Stand zu bleiben – sei es hinsichtlich gesetzlicher Vorgaben oder effektiver Sicherheitsstrategien. Tragen Sie sich den Termin am besten gleich in Ihren Kalender ein & sichern Sie sich hier einen der limitierten Plätze. Wir freuen uns, Sie persönlich im Gasthof Raspl begrüßen zu dürfen!
INFORMATIONSSICHERHEIT
In unserem neuesten Artikel werfen wir einen Blick auf einen kürzlich aufgetretenen Sicherheitsvorfall bei einem unserer Kunden, der dank Sophos Managed Detection and Response (MDR) frühzeitig erkannt wurde und damit schwerwiegende Folgeschäden abgewendet wurden. Dieses Beispiel aus der Praxis zeigt, wie entscheidend im Ernstfall die 24/7 Überwachung des Unternehmensnetzwerks durch ein professionelles MDR-Team ist.
Dabei wird auch deutlich, dass Sensibilisierungsmaßnahmen der Belegschaft allein nicht ausreichen, da hier kein menschliches Fehlverhalten erkennbar war. Heutzutage sind moderne technische Sicherheitslösungen wie Endpoint-Security erforderlich, um sich wirksam vor den zunehmend ausgefeilteren Angriffstaktiken der Cyberkriminellen zu schützen.
DATENSCHUTZ
Die im Mai gewählte neue Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider trat am 3. September 2024 die Nachfolge von Ulrich Kelber in Bonn an. In einer Pressemitteilung betonte die neue Behördenleiterin, dass sie sich für einen Datenschutz einsetzen möchte, der klare rote Linien aufzeigt, aber zugleich auch unterhalb dieser roten Linien konstruktive Lösungen im Rahmen des Möglichen bieten soll. Während ihrer Amtszeit stehen vor allem drei gesellschaftlich relevante und zukunftsorientierte Themen im Fokus: Gesundheit, Künstliche Intelligenz und Sicherheit.
INFORMATIONSSICHERHEIT
Aktuell sind mehrere Phishing-Kampagnen im Umlauf. Die Malware ‘Voldemort’ nimmt Unternehmen quer durch alle Branchen ins Visier. In den letzten Wochen wurden unzählige dieser betrügerischen E-Mails versendet. Die Empfänger werden dabei mit falschen Informationen zu Änderungen in der Steuererklärung von offiziellen Steuerbehörden in die Falle gelockt. Außerdem nutzt die Malware geltende Google-Dienste, um Schutzmechanismen zu umgehen. Das Ziel dieser Kampagne scheint Spionage zu sein.
Des weiteren werden Internetnutzer mit Phishing-E-Mails, die im Namen des BSI verschickt werden, geködert. Das BSI warnte in einem LinkedIn-Post explizit vor dem Täuschungsversuch und wies darauf hin, nicht auf den in der E-Mail enthaltenen Link ‘Antivirus-Schutz jetzt aktivieren’ zu klicken. Die E-Mail wirkt mit dem Betreff ‘Ihre Sicherheit steht auf dem Spiel’, einem relativ logischen, fehlerfreien Text sowie einem vermeintlich vertrauenswürdigen Absender täuschend echt.
Hilfreiche Informationen zum Enttarnen solcher Phishing-Mails finden Sie in diesem ausführlichen Artikel. Wir unterstützen Sie auch gerne bei Sensibilisierungsmaßnahmen der Belegschaft.
INFORMATIONSSICHERHEIT
Betrügerische Kampagnen, wie die vorher genannten, sind inzwischen so professionell gestaltet, dass sie von ungeschulten Nutzern nur schwer als Betrugsmasche identifiziert werden können. Um sich vor solchen Attacken bestmöglich zu schützen, sollten Sie sich beim Öffnen einer E-Mail stets vier zentrale Fragen stellen – wir nennen es einen Quick-Check für sichere E-Mails. Wenn Sie diese Hinweise beherzigen, leisten Sie bereits einen wichtigen Beitrag zur Cybersicherheit in Ihrer Organisation.
Der Mensch ist nach wie vor das größte Einfallstor. Daher ist es essenziell, ein Bewusstsein für diese Problematik zu fördern. Aus diesem Grund haben wir für Sie ein A3-Poster erstellt, dass diese vier entscheidenden Fragen aufgreift und in den Büroräumen sichtbar platziert werden kann.
Falls Sie Interesse an einem oder mehreren Exemplaren unseres Posters haben, schreiben Sie uns eine E-Mail an marketing@ines-it.de. Gerne passen wir gegen einen Aufpreis dieses Poster an Ihr Corporate Design an. Wir würden uns freuen, wenn unser Poster schon bald auch in Ihren Geschäftsräumen hängt und zur Steigerung der Security-Awareness beiträgt.
DATENSCHUTZ
Am 1. Dezember 2021 trat das Telekommunikations-Telemedien-Datenschutz-Gesetz (TDDDG) in Kraft. §26 TDDDG eröffnet die Möglichkeit eines Regelungsdienstes, mit denen Verbraucher Einwilligungen zentral verwaltet werden können. Anbieter digitaler Dienste sollen diese zentrale Datenquelle abfragen und die Konstellation ihrer Dienste entsprechend der Einwilligungsentscheidung ausliefern. Damit könnte auf den Einsatz der zahlreichen individuellen Cookie-Banner verzichtet werden.
Rechtliche Grundlage hierfür ist ein Entwurf einer neuen Verordnung: der Einwilligungsverwaltungsverordnung (EinwV) des Bundesministeriums für Digitales und Verkehr (BMDV), den die Bundesregierung am 04. September beschlossen hat. Der Bundestag und der Bundesrat müssen jedoch noch zustimmen. Die praktische Umsetzung des Verordnungsentwurfs ist aber mehr als fraglich. Verschiedene Problematiken lassen sich erkennen, einige seien hier genannt:
Wir werden Sie über die weitere Entwicklung zum EinwV auf dem Laufenden halten.
DATENSCHUTZ
In einem aktuellen Urteil des OLG München (Az. 7 U 351/23 e) wurde entschieden, dass die Weiterleitung dienstlicher E-Mails an ein privates E-Mail Postfach einen Verstoß gegen die DSGVO darstellt und eine außerordentliche Kündigung rechtfertigen kann. In dem zugrundeliegenden Fall hatte ein Arbeitnehmer über einen längeren Zeitraum dienstliche E-Mails an ein privates Postfach übermittelt. Der Arbeitgeber erfuhr davon und kündigte das Arbeitsverhältnis außerordentlich.
Das OLG München entschied, dass die Kündigung des Arbeitnehmers rechtens sei. Die wiederholte und systematische Verletzung von datenschutzrechtlichen Vorgaben wie der DSGVO stellt einen schwerwiegenden Vertrauensbruch dar, der das Arbeitsverhältnis unzumutbar macht. Das Gericht stellte heraus, dass der betroffene Arbeitnehmer seine Pflicht zur Vertraulichkeit und den Schutz der ihm anvertrauten Daten schwer verletzt hat. Aus dieser Entscheidung lassen sich nützliche Lehren ableiten. Verantwortliche Stellen sollten klare Richtlinien in Bezug auf die Vertraulichkeit sensibler Daten veröffentlichen und diese im Rahmen des Schulungskonzeptes an die Mitarbeitenden vermitteln.
INFORMATIONSSICHERHEIT
In den letzten Monaten hat der Umsetzungsprozess von NIS2 ins deutsche Recht deutlich an Dynamik gewonnen. Seit geraumer Zeit wird der 17. Oktober 2024 als Stichtag für die Umsetzung der erforderlichen Maßnahmen genannt. Dieses Stichdatum rückt nun in greifbare Nähe, aber das Gesetz wurde bisher noch nicht verkündet. Es zeichnet sich ab, dass sich das Inkrafttreten wohl vermutlich ins Frühjahr 2025 verschieben wird. Vor der Sommerpause hat das Kabinett den Referentenentwurf verabschiedet und eine endgültige Fassung des Gesetzesentwurfs erstellt. Dieser muss nun den Bundestag passieren. Experten gehen angesichts der sich wiederholenden Lesungen und üblichen Durchgänge davon aus, das ein Inkrafttreten des NIS2UmsuCG im März 2025 realistisch ist.
Trotz der Verschiebung ist es ratsam, sich bereits jetzt intensiv mit den Anforderungen der Richtlinie auseinanderzusetzen und frühzeitig mit den Vorbereitungen zu beginnen. Melden Sie sich gerne zu unserer Cybersecurity-Veranstaltung vor Ort an, um mehr über NIS2 zu erfahren. Oder buchen Sie hier einen kostenlosen Erstberatungs-Termin mit Florian Wiesenbauer und Rechtsanwältin Sabine Sobola.
DATENSCHUTZ
Die KI-Verordnung wirkt auf alle Anbieter oder Nutzer von KI-Systemen. Es ist dabei unabhängig, ob sich der Sitz der Einrichtung in der EU befindet. Die KI-Verordnung entfaltet Ihre Wirksamkeit, sobald das Produkt oder die Anwendung in der EU eingesetzt bzw. angeboten wird.
Verantwortliche Stellen sollten deshalb großen Wert darauflegen, die Anforderungen der neuen Verordnung zu kennen. Als zentrale Wissensquelle inklusive FAQ und Checklisten empfehlen wir Ihnen den umfangreichen Ratgeber von Rechtsanwalt Thomas Schwenke, der in seinem Beitrag die wichtigsten Regelungen, Anwendungsbereiche und Ausnahmen der KI-Verordnung detailliert aufbereitet hat.
DATENSCHUTZ
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Die Schwerpunkte des Berichts beziehen sich auf die Beratung in Gesetzgebungsverfahren auf Landesebene, zu Anfragen bayerischer öffentlicher Stellen, sowie Erkenntnissen aus Bürgerbeschwerden. Der 33. Tätigkeitsbericht kann über den Webauftritt des BayLfD bezogen werden.
INFORMATIONSSICHERHEIT
Cyberangriffe führten im letzten Jahr zu Versicherungsschäden in Höhe von 180 Millionen Euro. Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) ist das ein Anstieg von rund 50 Prozent zum Vorjahr. Nicht nur die Zahl der Angriffe hat deutlich zugenommen, sondern auch deren Schadensausmaß. Im Durchschnitt beläuft sich ein Cyberschaden auf etwa 45.370 Euro. Vor allem im Mittelstand sind oft gravierende IT-Sicherheitslücken erkennbar. Bedenken Sie daher: Ein Mangel an grundlegenden Sicherheitsstandards erschwert die Gewährung eines Versicherungsschutzes!
In der Nacht auf Sonntag, den 1. September, wurde ein Cyberangriff auf die Wertachkliniken Bobingen & Schwabmünchen in der Nähe von Augsburg verübt. Bemerkt wurde die Attacke aufgrund weitreichender IT-Störungen. Die Kliniken arbeiteten im analogen, eingeschränkten Betrieb weiter. Bei rund 30 Patienten mussten geplante Operationen verschoben werden. Noch ist unklar, ob sensible Daten abgegriffen werden konnten.
Der bayerische Musiksender Radio Geretsried teilte Mitte des Monats auf seiner Webseite in einer Eilmeldung mit, dass es Angreifern gelungen sei, sämtliche Musikdaten ihres Senders zu verschlüsseln. Aufgrund dieser Attacke lief bei dem Radiosender eine Zeit lang nur ein Notband. Mitarbeitende versuchten noch Musiklisten und andere Daten zu retten. Wahrscheinlich führt kein Weg daran vorbei, alle Systeme neu aufzusetzen. Ein mühsames und zeitintensives Unterfangen.
Im September wurden Datenlecks bei der Kreditvermittlung der konkurrierenden Vergleichsportale Check24 und Verivox aufgedeckt. Zeitweise waren Darlehensverträge mit Einkommensauskunft und weitere heikle Daten im Internet öffentlich zugänglich und konnten heruntergeladen werden. Nachdem der Chaos Computer Club beide Unternehmen über diesen unprofessionellen Umgang mit Daten informiert hat, wurden die Lücken umgehend geschlossen. Es ist unklar, wie lange das Datenleck bestand.
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat August 2024 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Am 14. Oktober 2025 endet der Support der aktuellen Versionen von Microsoft Exchange 2019 und 2016. Ab diesem Datum werden keine Updates mehr bereitgestellt und Sicherheitslücken nicht mehr behoben, was erhebliche Risiken im Bezug auf die Cybersicherheit mit sich bringt.
In unserem Artikel haben wir praxisorientiert zusammengefasst, was nach dem End of Life von Exchange 2019 & 2016 passiert, welche Lösungen zur Verfügung stehen und wie die Migration auf die neue Lösung gestaltet werden kann.
INFORMATIONSSICHERHEIT
Der Sommer lockt viele dazu, ihre Arbeit an andere Orte zu verlagern – sei es ins Homeoffice oder einer Workation in der Sonne. Diese flexible Arbeitsweise bringt jedoch auch erhöhte Risiken für die Cybersicherheit mit sich. Gerade in den Urlaubsmonaten ist es entscheidend, besonders wachsam zu sein.
In diesem Kontext bietet eine aktuelle Studie von Sopra Steria, einem führenden Technologie- und Managementberater, aufschlussreiche Einblicke. Die Studie, die unter dem Titel „Cybersecurity im Zeitalter von KI“ veröffentlicht wurde, zeigt, dass 45% der Befragten sich von ihrem Arbeitgeber gut informiert und vorbereitet fühlen. Dennoch wünschen sich 35% der Teilnehmer:innen präzisere Informationen über die Gefahren. Die Studie betont außerdem, dass Awareness-Maßnahmen individueller zugeschnitten, regelmäßig durchgeführt sowie saisonal an die gegenwärtigen Taktiken angepasst werden sollten. Ein weiterer Befund der Studie ist, dass 40% der Teilnehmer:innen heute deutlich mehr Phishing-Mails erhalten als noch vor einem Jahr.
In den Sommermonaten setzen Angreifer darauf, dass die Empfänger:innen unterwegs unachtsamer und abgelenkter sind als im Büro, und dadurch schneller auf Links klicken oder Anhänge herunterladen. Es ist somit entscheidend, sich kontinuierlich und gezielt mit den Maschen der Cyberkriminellen auseinanderzusetzen. Nur durch regelmäßige Sensibilisierungen und Schulungen können Unternehmen ihre Mitarbeitenden effektiv vor den Bedrohungen im Cyberraum schützen. Wir unterstützen Sie gerne dabei!
INFORMATIONSSICHERHEIT
Anfang August, rund drei Wochen nach dem massiven Windows-Ausfall durch die Crowdstrike-Sicherheitssoftware, hat das Unternehmen ein 12-seitiges Dokument mit einer ausführlichen Analyse der Ursachen veröffentlicht. Darin wird detailliert beschrieben, welche Fehler zu diesem Supergau führten. Crowdstrike räumt unter anderem ein, dass die verhängnisvolle Update-Datei vor dem Rollout nicht getestet wurde. Es wurden darüber hinaus auch Mängel in den Testabläufen anderer Komponenten der Falcon – Sicherheitssoftware identifiziert. Crowdstrike gelobt Besserung.
Als Reaktion auf diesen weltweiten Vorfall initiierten das BSI und der Digitalverband Bitkom eine Studie mit einer anonymen Umfrage für Unternehmen, die bis zum 21. August 2024 online ausgefüllt werden konnte. Erhofft wurden sich Informationen darüber, welche Firmen von dem Vorfall betroffen waren, ob sie über Notfallpläne verfügten und welche Maßnahmen bereits ergriffen wurden bzw. für die Zukunft geplant sind. Das BSI steht in engem Austausch mit Crowdstrike und Microsoft, um resilientere Vorkehrungen zu schaffen und Störungen dieser Art zukünftig zu vermeiden.
INFORMATIONSSICHERHEIT
Viele KMU wiegen sich immer noch in trügerischer Sicherheit, wenn es um ihre Cybersicherheit geht. Oftmals entsteht dieser Eindruck, weil sich die mediale Aufmerksamkeit nur auf Vorfälle bei Großkonzernen konzentriert. Diese Berichterstattung führt unter anderem dazu, dass sich KMU als zu “uninteressant” für Cyberkriminelle betrachten. Doch genau darin liegt die Gefahr. KMU verwalten hochsensible Daten sowohl des eigenen Unternehmens als auch von Geschäftspartnern.
In unserem neuesten Artikel entkräften wir diese weitverbreitete Fehleinschätzung und beleuchten spezifische Herausforderungen, denen sich KMU in der digitalen Welt stellen müssen. Wir zeigen außerdem exemplarisch auf, wie verheerend die Folgen eines Angriffs auf ein Maschinenbau-Unternehmen sein können und welche präventive Maßnahmen ergriffen werden können.
INFORMATIONSSICHERHEIT
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich diesen Monat dem brisanten Thema Cybersicherheit und KMU gewidmet und eine Broschüre mit dem Titel “Cybersicherheit für KMU veröffentlicht”. Darin werden vierzehn FAQs zu dieser Thematik beantwortet. Das BSI weist darin auf die hohe Bedrohungslage für kleine und mittlere Unternehmen (KMU) hin und appelliert an die Umsetzung von grundlegenden IT-Sicherheitsstandards. Ziel der Broschüre ist es, KMU leicht verständliche Empfehlungen zur Verbesserung der Cyberresilienz zu geben. Viele der aufgeführten Ratschläge decken sich in hohem Maße mit unseren empfohlenen Cyberhygiene-Maßnahmen in diesem Beitrag.
INFORMATIONSSICHERHEIT
Das Thüringer Finanzministerium warnt derzeit vor einer Phishing-Welle, bei der Cyberkriminelle gefälschte E-Mails im Zusammenhang mit der Elektronischen Steuererklärung ELSTER versenden. In den Posteingängen von Nutzer:innen tauchten vermehrt E-Mails im Namen der Steuerverwaltung mit dem Absender elstersportall@t-online und dem Betreff “Infosteuer 2023 Finanzamt” auf. Die Empfänger:innen werden aufgefordert, eine im Anhang befindliche Rechnung zu öffnen. Hinweise auf die Fälschung der E-Mail sind die Rechtschreibfehler sowie die Endung @t-online und nicht @elster.de. Das ELSTER-Portal warnt auf ihrer Webseite explizit vor dieser Phishing-Masche.
Während der Olympischen Spiele attackierten Cyberkriminelle rund 40 Museen in Frankreich. Darunter das Grand Palais, ein Austragungsort von Fecht-Wettkämpfen. Von der Ransomware-Attacke betroffen war das System zur Zentralisierung der Finanzdaten der Einrichtungen. Die Angreifer forderten Lösegeld und drohten mit der Veröffentlichung der gestohlenen Daten. Die Veranstaltungen konnten aber weiterhin durchgeführt werden.
Der Schweizer Milchviehhalter “Vital Bircher” konnte nach einem Angriff auf seine Rechner die Daten seines Melkroboters nicht mehr abrufen und verlor somit die Kontrolle über den Gesundheitszustand seiner Tiere. Er ignorierte die Lösegeldforderung von 10.000 Dollar und nutzte den Melkroboter offline weiter. Aufgrund der fehlenden Vitaldaten seiner trächtigen Tiere, wurde ein schwangerschaftsbedingter Notfall zu spät erkannt, der zum Tod der Kuh und ihres Kalbes führte.
Im August wurden mehrere Ingenieurbüros deutschlandweit angegriffen. Die Helldown-Hackergruppe listete das Ingenieurbüro Schlattner aus Osnabrück als eines ihrer neuesten Opfer auf ihrer Webseite im Darknet. Nach eigenen Angaben veröffentlichten sie dabei rund 5 GB sensibler Daten, darunter Firmenwagenkonditionen, Rechnungen und Kontoauszüge. Auch das SMK Ingenieurbüro aus Schleswig-Holstein blieb nicht verschont. Die Ransomware-Gruppe Dragonforce konnte offenbar über 500 GB Daten entwenden und setzte dem Unternehmen ein Ultimatum bis Ende August.
Auch einen der weltweit größten Automobilhersteller hat es diesen Monat getroffen. Toyota bestätigte, dass ein amerikanischer Zweig Opfer einer Cyberattacke geworden ist, nachdem ZeroSevenGroup die Beute von 240 GB Daten in einem Untergrund-Forum veröffentlichte. Das geleakte Datenarchiv soll neben E-Mails, Kontakten und Kundeninformationen auch Details zur Netzwerkinfrastruktur enthalten. Der Automobilgigant meldete, dass sie mit den Betroffenen in Verbindung stehen.
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Juli 2024 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
In diesem Beitrag erläutern wir, warum Angriffe auf die Lieferkette für Cyberkriminelle besonders lukrativ sind und wie Sie als Unternehmen der IT-Sicherheit in der Lieferkette praxisorientiert begegnen können, damit Ihre Lieferkette nachhaltig robust aufgestellt ist und funktionsfähig bleibt.
INFORMATIONSSICHERHEIT
Am 24.07.2024 wurde der von Innenministerin Nancy Faeser vorgelegte Entwurf für ein Gesetz zur Netzwerk- und Informationssicherheit beschlossen. Ein Vergleich des letzten Referentenentwurfs zum verabschiedeten Regierungsentwurf finden Sie hier. Das deutsche IT-Sicherheitsrecht wird damit umfassend modernisiert und neu strukturiert. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden neue Aufsichtsinstrumente und Unterstützungsangebote zugeteilt, um die Umsetzung so reibungslos als möglich zu gestalten.
Betroffenheitsprüfung
Über eine Zuordnung von Ja/Nein Fragen können Unternehmen die eigene Betroffenheit prüfen. Eine Einteilung erfolgt dann über 4 Kategorien: Betreiber kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen.
FAQ-Katalog
Fragen und Antworten zu den wichtigsten NIS2-Themen finden sich in einem neu veröffentlichten FAQ-Katalog.
INFORMATIONSSICHERHEIT
In der Rechtssache (Az. 5 O 128/21) vom 23. Mai 2024 entschied das Landgericht Kiel (LG), dass eine Cyberversicherung bei Falschangaben im Antragsformular, den Leistungsfall auf Grund arglistiger Täuschung abweisen kann. Zum Hintergrund.
Ein Holzgroßhandel mit 16 Standorten in Norddeutschland schloss im 1. Quartal 2020 eine Cyber-Versicherung ab. Im Rahmen der Antragstellung mussten Risikofragen beantwortet werden, die die Grundlage für den Vertragsabschluss bildeten. Die Fragen ob “alle stationären und mobilen Arbeitsrechner mit einer Antivirensoftware ausgestattet sind?” und “verfügbare Sicherheitsupdates ohne schuldhaftes Zögern eingespielt werden?” wurden mit “ja” und damit laut dem LG Kiel falsch beantwortet.
Im Moment des Angriffs waren mehrere zentrale Systeme wie Domain Controller (Auslieferungszustand) oder Webshopserver ohne Antivirensoftware und aktuelle Sicherheitsupdates in Betrieb.
Das LG bewertete dies als arglistige Täuschung mit der Begründung, dass entweder der Umstand der internen IT bekannt war oder ohne gründliche Überprüfung Angaben gemacht wurden. Fazit: Verantwortliche Stellen sollten sich kritisch mit der Beantwortung von Antragsformularen auseinandersetzen. Gerne unterstützen wir Sie bei diesen Aufgaben.
INFORMATIONSSICHERHEIT
Am 19. Juli 2024 sorgte ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike für den Ausfall von rund 8,5 Millionen Windows-Systemen weltweit und damit womöglich zum größten Ausfall aller Zeiten. Verstärkt wurde dies noch damit, dass ein großer Teil kritischer Infrastrukturen und rund 60% aller Fortune-500-Unternehmen CrowdStrike nutzen. Betroffen waren unter anderem Flughäfen, Krankenhäuser und Banken. Durch die bisherige Strategie das Update gleichzeitig an alle Kunden zu verteilen, wurde dieser extreme Impact zusätzlich befeuert. CrowdStrike hat bereits Verbesserungspotentiale angekündigt. Zukünftig sollen Updates einer umfassenden Prüfung unterzogen werden inkl. Stress- und Stabilitätstests einschließlich der Schnittstellen. Weiter werden Updates nun schrittweise ausgebracht, um einen vergleichbaren Massenausfall zu vermeiden. Kunden werden zukünftig entscheiden können, welche Updates wann auf den Systemen installiert werden sollen.
DATENSCHUTZ
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hat in Zusammenarbeit mit der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) die kostenfreie Praxishilfe Umgang mit Erlaubnistatbeständen bei der Verarbeitung von Gesundheitsdaten und genetischen Daten veröffentlicht.
DATENSCHUTZ
Nach der Veröffentlichung der KI-Verordnung am 12. Juli 2024 im Amtsblatt der Europäischen Union, gilt diese ab dem 2. August 2026. Sie tritt in mehreren Stufen in Kraft. Kapitel I und II gelten ab dem 2. Februar 2025. Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII und Artikel 78 gelten ab dem 2. August 2025, mit Ausnahme des Artikels 101; Artikel 6 Absatz 1 und die entsprechenden Pflichten gelten ab dem 2. August 2027.
Neben den Allgemeinen Bestimmungen in Kapitel 1 gelten damit als erstes Verbote für KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürger darstellen. KI-Systeme, die nur ein geringes Risiko mit sich bringen, sind von der KI-Verordnung nicht umfasst. Diese befinden sich damit aber nicht in einem rechtsfreien Raum. Die DSGVO ist technikneutral und gilt insbesondere auch für KI-Systeme. Durch die hohe Komplexität von KI-Systemen und der damit einhergehenden geringeren Transparenz, sind die KI-spezifischen Vorgaben aus der KI-Verordnung für den Schutz der Grundrechte wichtig. Neben anderen Aufsichtsstrukturen sind den Datenschutzaufsichtsbehörden Aufgaben im Rahmen der KI-Verordnung zugeteilt. Sie bleiben auch für Datenschutzverletzungen im Zusammenhang mit KI-Systemen die zuständigen Ansprechpartner. Weiter bieten Aufsichtsbehörden Informationen zum datenschutzkonformen Umgang mit KI-Systemen z.B. die KI-Checkliste des BayLDA oder den Orientierungshilfen-Navigator KI & Datenschutz der Datenschutzaufsicht Baden-Württemberg.
DATENSCHUTZ
In den zurückliegenden Wochen haben sich bei verantwortlichen Stellen bereits erste Fragen zur Umsetzung von Anforderungen aus dem BFSA ergeben. Um die Betroffenheit für die eigene Organisation zu prüfen, möchten wir auf den Webauftritt der Bundesfachstelle Barrierefreiheit und die Leitlinie für die Anwendung des BFSG vom Bundesministeriums für Arbeit und Soziales verweisen.
INFORMATIONSSICHERHEIT
Im Juni-Newsletter haben wir Sie darüber informiert, dass die Förderrichtlinie Digitalbonus Bayern zum 30. Juni 2024 ausläuft. Nun freuen wir uns, die Neuauflage ab dem 1. Juli ankündigen zu dürfen. Unternehmen mit weniger als 50 Mitarbeitenden und einer Jahresbilanzsumme oder einem Jahresumsatz von höchstens 10 Millionen Euro werden bei der Digitalisierung ihrer Prozesse und der Verbesserung der IT-Sicherheit unterstützt.
Durch das Inkrafttreten der NIS-2-Richtlinie ist zu erwarten, dass betroffene Unternehmen ihre Anforderungen in der Lieferkette weiterreichen. Dadurch müssen auch kleine Unternehmen in Zukunft höhere IT-Sicherheitsanforderungen erfüllen, um als Lieferant in Frage zu kommen. Bei dieser Herausforderung ist ein Zuschuss von bis zu 7.500 Euro eine wertvolle Unterstützung.
INFORMATIONSSICHERHEIT
Gleich zum 1. Juli kündigte die Ransomware-Gruppe Ransomexx einen Leak von TÜV Rheinland Akademie Daten an, sollte auf die Lösegeldzahlung nicht eingegangen werden. Die gestohlenen Daten
umfassen Schulungsinhalte, Raumbuchungen und auch Zugangsdaten. Der Datendiebstahl resultierte aus einem Angriff von Juni 2024. Das Netzwerk der Akademie selbst hat keine Verbindung in das Konzernnetzwerk, wurde deaktiviert und befindet sich im Neuaufbau.
Ein weiterer Cyberangriff traf Anfang Juli den deutschen Hersteller für Hochleistungskühler und Wärmetauscher AKG. Der Angriff führte zu Produktionseinschränkungen und Kommunikationsproblemen. Mitte Juli konnte AKG den Wiederanlauf der Produktion mitteilen.
Am 6. Juli wurde die Frankfurter University of Applied Sciences Opfer eines Cyberangriffs. Aufgrund des Angriffs wurden alle externen Systeme blockiert und mehrere abgeschaltet. Dadurch war die Online-Einschreibung nicht möglich und Kommunikation via Telefon und E-Mail eingeschränkt.
200 GB Daten sollen laut der Ransomware-Gruppe Akira von der Notarkammer-Pfalz gestohlen worden sein, darunter SQL-Datenbanken, Mitarbeiterdaten und sensible Finanzinformationen. Laut einer Mitteilung der Notarkammer, sollen auch die Notarkasse, die Landesnotarkammer Bayern und der Bayerische Notarverein betroffen sein.
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Juni 2024 für Sie zusammengefasst.
DATENSCHUTZ
Mitte Juli letzten Jahres hat die Europäische Kommission das sogenannte EU-US Data-Privacy-Framework (DPF) verabschiedet. Das Abkommen bestätigt zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Ein wesentlicher Bestandteil dieses Angemessenheitsbeschlusses ist ein neues Beschwerdeverfahren, das Betroffenen ermöglicht, die Verarbeitung ihrer personenbezogenen Daten durch US-Nachrichtendienste überprüfen zu lassen.
Um EU-Bürgern einen möglichst komfortablen und einfachen Zugang zu bieten, nehmen die Datenschutzbehörden der EU-Mitgliedsstaaten entsprechende Beschwerden entgegen. In Zusammenarbeit mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat der Europäische Datenschutzausschuss (EDSA) entsprechende Muster-Beschwerdeformulare entwickelt. Die Formulare stehen neben einem Kontaktfinder für die zuständige Datenschutzbehörde nun auch in deutscher Sprache zum Download zur Verfügung.
DATENSCHUTZ
Der datenschutzkonforme Einsatz von sozialen Medien wird im öffentlichen Bereich derzeit kritisch betrachtet. Immer mehr Behörden nutzen Social-Media-Kanäle wie TikTok, um möglichst nahbar zu wirken und am Puls der Zeit zu sein. Aus Datenschutzsicht stellen sich jedoch Fragen zur Einhaltung datenschutzrechtlicher Grundprinzipien, zur Zuordnung von Rechtsgrundlagen und zur Veröffentlichung von Informationspflichten.
Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Baden-Württemberg möchte mit einer Checkliste die Bewertung der Datenschutzkonformität beim Einsatz von TikTok durch öffentliche Behörden erleichtern.
INFORMATIONSSICHERHEIT
Zweimal jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Magazin “Mit Sicherheit”. Als Weiterentwicklung der früheren Jahresberichte des BSI bietet es neben dem Lagebericht zur IT-Sicherheit in Deutschland weitere interessante Einblicke in die Projekte und Angebote des BSI. Die erste Ausgabe des Jahres erschien am 12. Juni 2024 und befasst sich u.a. mit den Entwicklungen im Bereich Sicherheit und künstliche Intelligenz sowie die bevorstehende Umsetzung von NIS-2 in das nationale Recht. Ein besonderer Fokus liegt auf der strategischen Vision des BSI, Deutschland zu einer führenden Cybernation in Bezug auf Sicherheit und Digitalisierung zu machen.
DATENSCHUTZ
Die Datenschutzaufsichtsbehörde Sachsen wurde vor kurzem um ein IT-Labor verstärkt. Mit diesem Werkzeug hat die Behörde die Möglichkeit, tiefergehende und automatisierte technische Prüfungen durchzuführen. Im Mai 2024 wurden die Webauftritte von 30.000 verantwortlichen Stellen in Sachsen auf Datenschutzkonformität untersucht. Ein wichtiges Prüfkriterium war dabei die korrekte Einbindung von Analysediensten wie Google Analytics. Werden diese Art von Trackingdiensten eingebunden, muss vor Beginn der Datenverarbeitung eine eindeutige Einwilligung des Webseitenbesuchers eingeholt werden.
In 2.300 Fällen wurden die Anforderungen der Aufsicht nicht ausreichend erfüllt. Die betroffenen Unternehmen, Vereine und öffentlichen Stellen werden per Post aufgefordert, den Datenschutzverstoß zu beheben und die zu Unrecht generierten Daten zu löschen. Wenn dieser Aufforderung nicht nachgekommen wird, droht ein förmliches Verwaltungsverfahren. Diese Art der Massenprüfung ist besonders gut für Webseiten geeignet. Als verantwortliche Stelle sollten Sie daher stets auf einen konformen Webauftritt achten. Kommen Sie jederzeit auf uns zu, wenn wir Sie bei der Bewertung, der Fehlerbehebung und dem Monitoring unterstützen dürfen.
Diese Art der Massenprüfung ist besonders gut für Webseiten geeignet. Als verantwortliche Stelle sollten Sie daher stets auf einen konformen Webauftritt achten. Kommen Sie jederzeit auf uns zu, wenn wir Sie bei der Bewertung, der Fehlerbehebung und dem Monitoring unterstützen dürfen.
INFORMATIONSSICHERHEIT
Die zu Beginn des Jahres verlängerte Förderrichtlinie “Digitalbonus Bayern” wird nun zum 30. Juni 2024 auslaufen. Das Programm unterstützt Unternehmen finanziell bei Investitionen in Digitalisierungsprozesse oder in die IT-Sicherheit. Im Verlauf der zweiten Jahreshälfte plant das bayerische Staatsministerium für Wirtschaft, Landesentwicklung und Energie die Einführung eines überarbeiteten Programms. Wir halten Sie in unserem Newsletter auf dem Laufenden.
DATENSCHUTZ
Meta informierte kürzlich über Änderungen ihrer Datenschutzrichtlinien. Ab Ende des Monats sollen private Nutzerdaten zum Trainieren einer KI verwendet werden. Als Reaktion darauf gingen Anfang Juni zahlreiche Anfragen und Beschwerden bei den Aufsichtsbehörden ein. Der Tech-Gigant informierte seine Nutzer:innen per E-Mail, dass ab dem 26. Juni 2024 ihre Beiträge, Fotos und Bildunterschriften auf Facebook, Instagram und Threads zum Training der generativen Meta KI-Dienste verwendet werden. Meta berief sich dabei auf sein berechtigtes Interesse an der Weiterentwicklung und Verbesserung seiner Produkte. Wer dem nicht zustimmen wollte, konnte bis zum 26. Juni 2024 von seinem Widerspruchsrecht Gebrauch machen.
Aufgrund massiver Kritik hat Meta aber nun den Start seiner neuen KI-Software in Europa verschoben. Ein neues Datum für den Launch der KI-Anwendungen wurde bisher noch nicht bekannt gegeben. Ein Widerspruch ist weiterhin möglich. Eine Anleitung dazu finden Sie in diesem hilfreichen Beitrag der Verbraucherzentrale.
INFORMATIONSSICHERHEIT
In diesem Monat richteten sich die Cyberangriffe vor allem auf politische und staatliche Akteure sowie auf kritische Infrastrukturen wie Krankenhäuser. Hackerangriffe auf Krankenhäuser wurden nicht nur in Deutschland, sondern auch in anderen europäischen Ländern verübt. Diese Entwicklung ist besorgniserregend, da in diesem Sektor nicht nur sensible Daten gefährdet sind, sondern auch die lebenswichtige medizinische Versorgung beeinträchtigt werden kann.
In unserer April-Ausgabe berichteten wir bereits über eine Warnung des BSI vor einer erhöhten Gefahrenlage für deutsche Parteien im Vorfeld der Europawahlen. Und rund einen Monat später passierte es: Eine Woche vor der Wahl wurde die CDU Opfer eines schwerwiegenden Cyberangriffs. Teile der Infrastruktur wurden aus Sicherheitsgründen vom Netz genommen. Laut dem Sprecher des Innenministeriums wurden alle digitalen und hybriden Schutzmaßnahmen hochgefahren. Inzwischen wurde ermittelt, dass unter anderem Daten aus dem Kalender von Parteivorstand Friedrich Merz abgeflossen sind. Die Täter hatten zwei Wochen lang Zugriff auf das Netzwerk, indem sie eine Sicherheitslücke in den Network Security Gateways von Check Point ausnutzten.
Doch das ist noch nicht alles: Ein paar Tage nach dem Hackerangriff entdeckte die CDU noch ein gravierendes Datenleck. Aufgrund einer Fehlkonfiguration konnten laut neuesten Angaben zwischen 3.500 und 4.870 Bewerbernamen auf der Online-Plattform der Partei eingesehen werden, was einen erheblichen Verstoß gegen die DSGVO darstellt. Die Plattform wurde umgehend in den Wartungsmodus versetzt.
Am 11. Juni 2024 wurde das Bundesamt für Logistik und Mobilität sowie das Bundesministerium des Innern von der prorussischen Hackergruppe NoName057(16) mit einer DDos-Attacke angegriffen. Grund dafür war wohl der Besuch des ukrainischen Präsidenten Selenski in Deutschland. Das BKA wertet derzeit weitere Informationen aus. Es ist deutlich erkennbar, dass die Zahl und Bandbreite der Angriffe auf staatliche Akteure länderübergreifend stetig zunimmt.
Das Krankenhaus Agatharied im idyllischen Hausham im Landkreis Miesbach war in diesem Monat auch das Ziel eines Hackerangriffs. Bekannt gegeben wurde der Sicherheitsvorfall erstmals am Abend des 17. Juni bei der CSU-Kreisvertreterversammlung im Miesbacher Bräuwirt vom Landrat, in Absprache mit dem Klinikchef. Am nächsten Tag wurde eine Pressemitteilung veröffentlicht, in der mitgeteilt wurde, dass es Einschränkungen in der Kommunikation nach innen und außen gibt. Dank eines Notfallkonzepts und des Engagements der Mitarbeiter:innen konnte die Patientenversorgung aber stets gewährleistet werden. Weitere Auswirkungen sind bisher noch nicht bekannt.
Auch in England konnten in diesem Monat mehrere Londoner Krankenhäuser aufgrund eines Ransomware-Angriffs auf den Labordienstleister Synnovis nur im eingeschränkten Betrieb arbeiten. Mehr als 1.000 Operationen und Eingriffe mussten abgesagt werden, bei denen Bluttransfusionen erforderlich waren. Der britische Gesundheitsdienst NHS rief in dieser Notsituation Menschen zum Blutspenden auf. Hinter dem Angriff steckt die Hackergruppe Qilin. Inzwischen haben die Cyberkriminellen etwa 400 GByte an sensiblen Daten veröffentlicht. Gegenüber der BBC erklärte Qilin, dass der Angriff gezielt durchgeführt wurde, um Großbritannien für vermeintlich mangelnde Hilfeleistung in einem nicht näher erläuterten Konflikt zu bestrafen.
Wir betonen in unserem Newsletter immer wieder, dass sich die Bedrohungslage im Cyberraum zunehmend verschärft. Diesen alamierenden Trend unterstreicht auch eine kürzlich veröffentlichte Mitteilung des niedersächsischen Innenministeriums. Im Jahr 2023 kam es allein in Niedersachsen rein rechnerisch zu 36 Cybercrime-Fällen pro Tag. Das ist ein neuer Höchstwert. 13.218 Fälle wurden insgesamt registriert, dass sind rund 1.000 mehr als im Vorjahr. Vor allem der Online-Banking-Sektor war von der Internetkriminalität betroffen. Es ist also offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird. Unsere Experten unterstützen Sie gerne dabei, sich vor den vielfältigen Bedrohungen bestmöglich zu schützen.
Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Mai 2024 für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Die NIS-2 Richtlinie zur Stärkung der europaweiten Cybersicherheit wurde bereits am 27. Dezember 2022 im Amtsblatt der EU publiziert und ist am 16. Januar 2023 in Kraft getreten. Laut Artikel 41 muss die europäische Richtlinie bis zum 17. Oktober 2024 von den Mitgliedstaaten ins nationale Recht umgesetzt werden, daran wird auch immer noch festgehalten. Das Bundesinnenministerium hat nun nach Verzögerungen am 7. Mai 2024 einen fünften Referentenentwurf zur Umsetzung der NIS-2 Richtlinie (NIS2UmsuCG) veröffentlicht. Auf der Website des BMI werden die Anpassungen des knapp 200 Seiten umfassenden Gesetzesentwurfs aufgeführt. Im nächsten Schritt soll der Regierungsentwurf verabschiedet werden.
Auch im Falle einer Verzögerung des Gesetzes ist es ratsam, sich jetzt schon mit der NIS-2 Konformität auseinanderzusetzen und rechtzeitig mit den Vorbereitungen zu beginnen. Eine möglicherweise komplexe Anpassung von Prozessen kann viel Zeit in Anspruch nehmen. Außerdem reduzieren Sie damit auch das Risiko, dass kurz vor Inkrafttreten des Gesetzes kein Beratungsdienstleister verfügbar ist. Wir unterstützen Sie ganzheitlich dabei: von der Überprüfung der Betroffenheit bis hin zur Umsetzung erforderlicher Maßnahmen.
INFORMATIONSSICHERHEIT
Artikel 21 der veröffentlichten NIS2-Richtlinie führt zahlreiche Mindeststandards an Risikomanagementmaßnahmen auf, die von betroffenen Unternehmen bis zum 17. Oktober 2024 verpflichtend umgesetzt werden müssen. Wir haben Ihnen in unseren letzten Ausgaben bereits einige dieser grundlegenden IT-Sicherheitsmaßnahmen genauer vorgestellt.
In unserem neuesten Beitrag möchten wir Ihnen einen weiteren aus Absatz 2 aufgeführten Aspekt vorstellen: dieEinführung von grundlegenden Verfahren im Bereich der Cyberhygiene und Schulungen. Wir stellen in dem Artikel dar, was unter dem weit gefassten Begriff Cyberhygiene zu verstehen ist und welche Best Practices wir Ihnen, auch unabhängig von gesetzlichen Vorgaben, empfehlen möchten. Cyberhygiene-Praktiken bilden das grundlegende Fundament zum Schutz Ihrer IT-Infrastruktur und Ihrer wertvollen Daten.
DATENSCHUTZ
Mitte Mai hat der Bundestag Prof. Dr. Luisa Specht-Riemenschneider zur neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewählt. Gut vier Monate nach dem offiziellen Ende der Amtsperiode des bisherigen BfDI Ulrich Kelber hat die Suche nun ein Ende. Frau Specht-Riemenschneider lehrte zuletzt als Juraprofessorin an der Universität Bonn und leitete dort auch die Forschungsstelle für Rechtsfragen neuer Technologien und Datenrecht. Sie war außerdem Partnerin einer Medienrechtskanzlei in Frankfurt am Main. Nach der CDU-Politikerin Andrea Voßhoff (2014-2019) ist Frau Specht-Riemenschneider die zweite Frau im Amt des BfDI.
DATENSCHUTZ
Das Bundesland Niedersachsen hat mit Microsoft einen Vertrag über den Einsatz von Microsoft Teams in der Behörde abgeschlossen, der die Bedenken der Datenschutzaufsichtsbehörde ausräumt. In einer Pressemitteilung vom 3. Mai 2024 äußerte sich der Landesbeauftragte für den Datenschutz Niedersachsen zu diesem Thema. Während der Verhandlungen mit Microsoft unterstützte die Aufsichtsbehörde mit datenschutzrechtlichen Einschätzungen und bewertete die Ausgestaltung des Datenschutzvertrags (Auftragsverarbeitungsvertrag) letztlich als akzeptabel. Nur wenige Wochen nachdem Schleswig-Holstein angekündigt hatte, auf Open-Source-Lösungen zu setzen, schlägt Niedersachsen nun den entgegengesetzten Weg ein und sieht die erzielten Rahmenbedingungen als Vorlage für die Nutzung von Microsoft Teams in öffentlichen Stellen. Diese werden wie folgt angesetzt:
Data Protection Addendum: Anforderung des Data Protection Addendums von Niedersachsen beim zuständigen Microsoft Account Manager. Aufgrund der Vollharmonisierung des Datenschutzrechts sollte der Vertrag auch für alle weiteren öffentlichen Stellen geeignet sein.
Datenschutz-Folgenabschätzung (DSFA): Beschreibung möglicher Risiken und deren Abhilfemaßnahmen in einer individuellen DSFA.
EU Data Boundary: Ausschließliche Datenverarbeitung durch Microsoft in Europa. Werden Daten in Drittländer übermittelt, ist ein Transfer Impact Assessment (TIA) zu erstellen.
Datenminimierung: Durch Konfigurationseinstellungen und Dienstanweisungen ist die Datenverarbeitung auf das unbedingt notwendige Maß zu begrenzen. Datenschutzmaßnahmen: Weitere technische und organisatorische Maßnahmen sollen für ein angemessenes Datenschutzniveau sorgen. Die Wirksamkeit der Maßnahmen ist regelmäßig zu prüfen.
Die Bereitstellung von Microsoft Teams ist für die zweite Jahreshälfte geplant und soll für rund 13.500 Arbeitsplätze ausgerollt werden. Es gibt aber auch zahlreiche kritische Stimmen zur Vorgehensweise von Niedersachsen. Solange die DSFA, der Vertrag und das Sicherheitskonzept nicht veröffentlicht werden, werden diese Diskussionen wohl auch nicht verstummen.
DATENSCHUTZ
Die griechische Aufsichtsbehörde hat gegen die landeseigene Post ELTA ein Bußgeld in Millionenhöhe verhängt. Der Anlass dafür waren zwei Meldungen über Datenschutzverstöße im Zusammenhang mit einem Ransomware-Angriff auf die Post. Zum einen meldete die griechische Post den Angriff selbst, zum anderen den Diebstahl und die anschließende Veröffentlichung von personenbezogenen Daten im Darknet.
Bei der forensischen Aufarbeitung des Vorfalls stellte sich heraus, dass die Angreifer über unzureichend gesicherte Systeme Zugriff erhielten. Sie konnten administrative Passwörter erbeuten und sich dadurch Zugang zu weiteren umfangreichen Informationen verschaffen. Diese Schwachstellen bewertete die Aufsichtsbehörde als Verstoß gegen die Pflicht zur Gewährleistung und den Nachweis ausreichender technischer und organisatorischer Maßnahmen. Die Schwere der festgestellten Datenschutzverstöße wurde von der Datenschutzaufsichtsbehörde als erheblich eingestuft. Aufgrund dieser Feststellungen wurde gegen die griechische Post ein Bußgeld in Höhe von 1 Prozent des letzten weltweit erzielten Jahresumsatzes verhängt, was 3 Millionen Euro entspricht. Die Höhe der Geldbuße bewegt sich damit am unteren Ende des Bußgeldrahmens für besonders schwere Verstöße.
DATENSCHUTZ
Am 14. Mai 2024 ist das Digitale-Dienste-Gesetz (DDG) in Kraft getreten. Das Telemediengesetz (TMG) ist außer Kraft getreten und im DDG aufgegangen. Die Pflicht zur Anbieterkennzeichnung auf Webseiten (Impressum) ergab sich bisher aus §5 TMG und findet sich nun in §5 DDG. Inhaltlich ändert sich nichts, jedoch sollten Sie das Impressum Ihrer Webseite prüfen, ob hier auf Pflichtangaben nach §5 TMG verwiesen wird. Ist dies der Fall, aktualisieren Sie diese auf §5 DDG bzw. entfernen Sie die Gesetzesbezeichnung, denn dies stellt keine Pflichtangabe dar. Falls Sie bei der Prüfung Ihres Impressums feststellen, dass sie einen Verantwortlichen nach §55 Abs.2 Rundfunkstaatsvertrag (RfStV) genannt haben, passen Sie dies ebenfalls an. Bereits seit 2020 gilt hierfür §18 Medienstaatsvertrag (MStV).
Durch die Änderung von Telemediendienste zu digitale Dienste, wurde das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) zum Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) umbenannt. Eine inhaltliche Änderung ist mit der Umbenennung des Gesetzes nicht verbunden. Aber auch hier können sich Auswirkungen auf Ihre Informationspflichten auf der Webseite ergeben. Für das Setzen und Auslesen von Cookies war bisher §25 TTDSG maßgeblich, durch die Namensänderung ist es nun §25 TDDDG. Überprüfen Sie deshalb Ihre Datenschutzerklärung und Cookie-Policys, um die neue Bezeichnung zu aktualisieren.
DATENSCHUTZ
Am 9. Juni finden die Europawahlen statt und in der Regel landet bis dahin noch reichlich Wahlwerbung im Postkasten. Die Adressdaten für die Zustellung stammen von den zuständigen Meldeämtern. Aber ist die Herausgabe ohne meine Zustimmung überhaupt erlaubt?
Grundsätzlich dürfen Adressen für Werbezwecke nur mit Einwilligung der betroffenen Bürger weitergegeben werden. Parteien bilden hier aber eine Ausnahme. Da politische Parteien eine zentrale Rolle im demokratischen Gefüge bilden, werden diese privilegiert behandelt. Nach §50 Bundesmeldegesetz dürfen Meldeämter 6 Monate vor einer Wahl die Adressdaten von wahlberechtigten Bürgern an Wählergruppen und andere Träger von Wahlvorschlägen herausgeben. Die anfragende Partei muss das Alter der Personen, deren Adressdaten sie haben möchte, klar definieren, beispielsweise alle Erstwähler. Durch die Meldeämter werden dann Vor-, Nachname und Adresse zur Verfügung gestellt. Diese Informationen dürfen durch die Parteien dann für die anstehende Wahl verwendet werden und müssen spätestens einen Monat nach der Wahl gelöscht werden. Beantragt ein Bürger eine Auskunftssperre, werden diese Daten nicht übermittelt. Wer zukünftig keine Wahlwerbung mehr erhalten möchte, kann also ohne Begründung und kostenlos beim Meldeamt widersprechen. Der Widerspruch gilt für alle zukünftigen Wahlen und muss nicht erneuert werden.
INFORMATIONSSICHERHEIT
In diesem Monat informierte die hessische Hochschule für öffentliches Management und Sicherheit Betroffene Beschäftige, Lehrbeauftragte und Student:innen über einen möglichen Datenabfluss nach einem Ransomware-Angriff im Februar 2024. Laut der Hochschule kann nicht ausgeschlossen werden, dass neben sensiblen Kontaktdaten auch Bankverbindungen, Steuernummern sowie Gesundheitsdaten gestohlen wurden. Die kompromittierten Daten reichen bis ins Jahr 2010 zurück. Ein Service-Postfach sowie eine Hotline für Betroffene wurde eingerichtet. Die Ermittlungen laufen.
Momentan kommt man an der US-Sängerin Taylor Swift nicht vorbei. Konzertkarten für ihre Eras-Tour sind mehr als heißbegehrt. Dieser Hype hat aber auch dunkle Seiten: Cyberkriminelle wurden dadurch angelockt und versuchten über gehackte Eventim-Nutzerkonten an digitale Tickets zu gelangen und diese anschließend hochpreisig weiterzuverkaufen. Glücklicherweise halten sich laut Eventim die Fälle von unautorisierten Weiterverkäufen aber im niedrigen zweistelligen Bereich auf. Alle betrügerischen Transaktionen wurden umgehend rückgängig gemacht und der Weiterverkauf von Swift-Tickets vorübergehend gestoppt. Als Vorsichtsmaßnahme hat Eventim allen Nutzer:innen empfohlen, ihre Passwörter zurückzusetzen.
Aufgrund eines Cyberangriffs musste der deutsche Schuhhersteller Salamander, der vor allem für das Feuersalamander-Maskottchen “Lurchi” bekannt ist, Teile seines Internetauftritts herunterfahren. Auch der Betrieb in den über sechzig Filialen war dadurch beeinträchtigt. Seit Mitte April wird im Online-Shop nur eine Entschuldigungsseite angezeigt, auf der erläutert wird, dass die Plattform vorübergehend aus technischen Gründen nicht erreichbar ist und mit Hochdruck an einer Problemlösung gearbeitet wird.
Kürzlich informierte der bekannte Computerhersteller Dell Millionen seiner Kund:innen über einen Datenschutzvorfall. Viele erhielten E-Mails mit einer Warnung, dass Cyberkriminelle in ein Kundenportal eingedrungen waren und Daten kopiert haben. Die verantwortliche Person mit dem Pseudonym “Menelik” meldete sich über US-Medien zu Wort und gab an, etwa 49 Millionen Kundendatensätze im Darknet veröffentlicht und zum Verkauf angeboten zu haben, nachdem Dell auf mehrere seiner E-Mails nicht reagiert hat. Der Angreifer nutzte eine Sicherheitslücke in einem Onlineportal für Vertriebspartner von Dell aus. Dank eines Incident-Response-Plans konnte Dell entsprechende Sicherheitsmaßnahmen schnell umsetzen. Obwohl Dell betont, dass für Kund:innen kein erhebliches Risiko besteht, ist es dennoch möglich, dass die abgeflossenen Informationen in Zukunft für gezielte Angriffe genutzt werden könnten.
Der Landtechnik-Spezialist LEMKEN aus Niedersachsen ist Anfang Mai Opfer eines Ransomware-Angriffs geworden. Die Lahmlegung der weltweiten IT-Systeme des Unternehmens führte zu Produktionsstillständen an mehreren Standorten und Beeinträchtigungen im Bürobereich. Um weitere Zugriffe zu verhindern, wurden umgehend alle IT-Systeme abgeschaltet und externe IT-Experten hinzugezogen. Laut dem CEO laufen die internen Prozesse momentan nur im Notbetrieb, aber einzelne Systeme sollen in wenigen Tagen wieder hochgefahren werden. Bisher ist unklar, ob Kundendaten kompromittiert wurden.
Auch zwei baden-württembergische Unternehmen hat es in diesem Monat getroffen. Zum einen das Bau- und Logistikunternehmen Max Wild GmbH aus Berkheim. Nach einem Cyberangriff mussten zahlreiche IT-Systeme herunterfahren werden. Es kam zu Einschränkungen in der telefonischen Erreichbarkeit und der digitalen Kommunikation. Geplant ist, Ende Mai in den Normalbetrieb mit Einschränkungen überzugehen. Außerdem wurde am 11. Mai 2024 auch der traditionsreiche Anlagenbauer Wehrle-Werk-AG aus Emmendingen angegriffen. Die Produktion und die Kommunikation des Unternehmens ist seither stark eingeschränkt. An einer Problemlösung und Systemwiederherstellung wird momentan intensiv gearbeitet.
Ende des Monats waren mehrere Webseiten der Landesregierung Mecklenburg-Vorpommern, der Landespolizei und des Verfassungsschutzes aufgrund von DDos-Attacken nur eingeschränkt erreichbar. Betroffen war unter anderem die Onlinewache der Landespolizei zur Anzeigenerstattung. Ähnliche Angriffe hat es bereits im April und November letzten Jahres gegeben. Laut dem Digitalisierungsminister des Landes wird mit Hochdruck an einer Problemlösung gearbeitet. Es wurde versichert, dass die Polizeiarbeit jedoch zu keiner Zeit beeinträchtigt war. Die Verantwortlichen hinter den Angriffen sind weiterhin unbekannt.
Und wieder zeigen die jüngsten Angriffe aus den unterschiedlichen Branchen, dass sich die Bedrohungslage im Cyberraum zunehmend verschärft. Kriminelle Vereinigungen organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Es ist offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird. Unsere Experten unterstützen Sie gerne dabei, sich vor den vielfältigen Bedrohungen bestmöglich zu schützen.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen