Liebe Leserin, lieber Leser,

wir hoffen Sie hatten einen guten Start ins neue Jahr und wünschen Ihnen für die nächsten zwölf Monate viel Glück, Erfolg und und vor allem beste Gesundheit. Auch in diesem Jahr informieren wir Sie in unserem monatlichen Security-Newsletter über die aktuellsten Entwicklungen und Ereignisse im Datenschutz und der IT-Sicherheit.

Wir haben wieder das Neuste im Monat Januar zusammengefasst.

1. Informationssicherheit | Neue EU-Richtlinie NIS-2 tritt im Oktober 2024 in Kraft
2. Informationssicherheit | TOP 10 der beliebtesten Passwörter in Deutschland 2023
3. Informationssicherehit | Über die Sinnhaftigkeit von Cyberversicherungen
4. Datenschutz | Weiterleitung dienstlicher E-Mails an eine private E-Mail-Adresse rechtfertigt eine Kündigung
5. Datenschutz | Notebooksbilliger muss Rekordbußgeld wegen rechtswidriger Videoüberwachung zahlen
6. Datenschutz | BayLDA-Prüfung der korrekten Bestimmung zur DSFA-Durchführung bei Hochrisikoverarbeitungen
7. Datenschutz | Arbeitsgericht stellt fest: Unverschlüsselte E-Mail verstößt gegen die DSGVO
8. Informationssicherheit | Cyberangriffe im Januar

INFORMATIONSSICHERHEIT

Neue EU-Richtlinie NIS2 tritt im Oktober 2024 in Kraft – warum Sie jetzt schon handeln sollten!

Der Countdown läuft: Am 17. Oktober 2024 tritt die neue EU-Richtlinie NIS2 in Kraft, mit dem Ziel ein europaweit einheitliches und hochwertiges Cybersicherheits-Niveau zu schaffen. Grund dafür ist, dass die Bedrohungslage durch Cyberkriminalität auf einem bisher nie dagewesenen Höchststand liegt. Viele Unternehmen werden nun gezwungen sein, vor diesem Stichtag zahlreiche Maßnahmen in Ihren Betrieben umzusetzen. Bei einem Verstoß drohen Bußgelder in Millionenhöhe. Sind Sie unsicher, ob Ihr Unternehmen möglicherweise von NIS2 betroffen sein wird? Dann können wir Ihnen mit unserer Expertise weiterhelfen. 

Wir bieten in Zusammenarbeit mit dem digitalen Unternehmen LiiDU aus Regensburg eine kompetente personelle, fachliche und technische NIS2-Beratung an. Rechtsanwältin Sabine Sobola und Cybersecurity-Experte Florian Wiesenbauer unterstützen Sie ganzheitlich bei der Überprüfung der Betroffenheit und der Umsetzung erforderlicher Maßnahmen. Erfahren Sie mehr zu unserer Vorgehensweise hier auf unserer Website und sichern Sie sich einen kostenlosen Erstberatungstermin mit unseren Expert:innen.

INFORMATIONSSICHERHEIT

TOP 10 der beliebtesten Passwörter in Deutschland 2023

Wie jedes Jahr hat der Fachbereich “Cybersecurity-Enterprise Security” am Hasso-Plattner-Insititut in einer Studie ausgewertet, welche Passwörter im letzten Jahr bei Internetnutzer:innen am beliebtesten waren. Das Ergebnis ist ernüchternd. Für verschiedene Dienste werden oft dieselben und extrem einfache Passwörter verwendet. Dadurch haben immer professioneller organisierte Cyberkriminelle beim Datendiebstahl ein leichtes Spiel.

INFORMATIONSSICHERHEIT

Über die Sinnhaftigkeit von Cyberversicherungen

Eine Variante in der Risikobehandlung ist die Auslagerung von verbleibenden Risiken an eine Cyber-Versicherung. In der täglichen Kundenberatung werden wir regelmäßig nach der Sinnhaftigkeit gefragt.

In diesem kurzen Artikel werfen wir einen Blick auf die Relevanz von Cyberversicherungen. Anhand eines Fallbeispiels eines Rechtsstreits verdeutlichen wir, warum es von enormer Bedeutung ist, Sicherheitsmaßnahmen kontinuierlich zu warten und zu verbessern. Ergänzend dazu führen wir praxisorientierte Empfehlungen im Zusammenhang mit dieser Thematik auf. 

DATENSCHUTZ

Weiterleitung dienstlicher E-Mails an eine private E-Mail-Adresse rechtfertigt eine Kündigung

Wenn ein Mitglied des Betriebsrats eine Wählerliste an eine private E-Mail-Adresse weiterleitet, handelt es sich um einen schwerwiegenden Rechtsverstoß. Gemäß dem Urteil (Az.: 5 Ca 101/23) rechtfertigt ein derartiges Fehlverhalten eine außerordentliche Kündigung des Arbeitsverhältnisses.

Obwohl die Weiterleitung der Informationen dem Zweck der Ausübung seines Amtes als Wahlvorstand dienen sollte, zeigte das Betriebsratsmitglied eine gravierende Sorglosigkeit in dieser Angelegenheit. Die Sicherheitsvorkehrungen mit Zugangsschutz und Laufwerksverschlüsselung des privaten Equipments, sowie die Zutrittskontrolle in den privaten Arbeitsbereich, heben die berechtigten Vorwürfe des Arbeitgebers nicht auf. Durch das Senden der Wählerliste an die private E-Mail-Adresse wurde diese dem Schutz und der Kontrolle des Unternehmens entzogen, dass für den konformen Umgang mit diesen sensiblen Informationen verantwortlich ist.

Besonders prekär in diesem Fall ist, dass die Übermittlung der Wählerliste erst im Zuge eines Auskunftsersuchens des Betriebsratsmitglieds gegenüber dem Arbeitgeber ans Licht kam.

In der Praxis kommt es regelmäßig vor, dass die Weiterleitung dienstlicher Informationen an private Postfächer – meist aus besten Absichten – stattfindet. Aber auch wohlwollende Absichten ändern nichts an einem Regelverstoß. Unser Tipp: Bringen Sie Ihr Anliegen gegenüber internen Stellen vor, damit hierfür gemeinsam eine konforme dienstliche Lösung gefunden werden kann. 

DATENSCHUTZ

Notebooksbilliger muss Rekordbußgeld wegen rechtswidriger Videoüberwachung zahlen

Die Datenschutzbeauftragte von Niedersachsen, Barbara Thiel, erhebt schwere Vorwürfe gegen den Onlinehändler Notebooksbilliger. Das Unternehmen soll seine Mitarbeitenden über zwei Jahre lang ohne rechtliche Grundlage per Video überwacht haben. Nicht nur Mitarbeitende sind in diesem Fall betroffen, sondern auch Kund:innen, da einige Kameras auch den Verkaufsraum aufgezeichnet haben. Als Konsequenz verhängt Thiel ihnen ein Bußgeld in Höhe von 10,4 Millionen Euro, den höchsten Betrag, der jemals in Niedersachsen für einen Datenschutzverstoß verhängt wurde.

Trotz dieser schwerwiegenden Vorwürfe hat Notebooksbilliger Einspruch eingelegt. Der Geschäftsführer Oliver Hellmold argumentiert, dass das Bußgeld völlig unverhältnismäßig ist und in keiner Relation zur Größe und Finanzkraft des Unternehmens steht. Vielmehr soll hier ein Präzedenzfall geschaffen werden. Außerdem bestreitet das Unternehmen die vorsätzliche Absicht, das Verhalten und die Leistungen seiner Mitarbeitenden zu überwachen. Die Aufzeichnungen sollten vielmehr der Warenverfolgung dienen und Aufschluss über verschwundene oder beschädigte Ware geben. Die Datenschutzbeauftragte kontert, dass zur Verhinderung von Diebstählen auch mildere Maßnahmen wie beispielsweise Taschenkontrollen durchführbar gewesen wären. Notebooksbilliger spekuliert nun darauf, im laufenden Gerichtsprozess die Bußgeldhöhe reduzieren zu können.

DATENSCHUTZ

BayLDA-Prüfung der korrekten Bestimmung zur DSFA-Durchführung (DSFA-Schwellenwertprüfung) bei Hochrisikoverarbeitungen

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine Prüfung zur Schwellwertanalyse bei Hochrisikoverarbeitungen eingeleitet. Diese richtet sich an datengetriebene und innovative Unternehmen im Freistaat Bayern. 

Verantwortliche Stellen, die Post vom BayLDA erhalten haben bzw. werden, sollen dem Landesamt alle Verarbeitungen mitteilen, bei denen die Schwellwertanalyse zur Datenschutzfolgenabschätzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ergeben hat. Außerdem wurden sie aufgefordert dem BayLDA mitzuteilen, welche Verarbeitungstätigkeiten unter die „Mussliste der DSK“ fallen (Art. 35 Abs.3 DSGVO). 

Nach dem letztem Stand wird die Dokumentation der durchgeführten Datenschutz-Folgenabschätzung oder die Gesamtübersicht des Verzeichnisses nach Art.30 DSGVO nicht eingefordert.  Verantwortliche Stellen können von den Rahmendokumenten zu diesem Prüfvorgang profitieren, um ihren eigenen Stand in Bezug auf Compliance zu prüfen oder um die Vorgehensweise der Behörde besser nachvollziehen zu können.

DATENSCHUTZ

Arbeitsgericht stellt fest: Unverschlüsselte E-Mail verstößt gegen die DSGVO

Das Arbeitsgericht Suhl hat entschieden, dass die in der DSGVO geforderte angemessene Sicherheit personenbezogener Daten in einer unverschlüsselten E-Mail nicht gewährleistet ist (Az. 6 Ca 704/23). Wird eine Auskunftsanfrage per Standard-E-Mail beantwortet, handelt es sich um einen Verstoß gegen die Datenschutzgrundverordnung Art.5 Abs.1 lit.f. Und vor allem dann, wenn um eine schriftliche Beantwortung gebeten wurde. 

Der Hintergrund dieser Angelegenheit war dieser: infolge einer Auskunftsanfrage seitens eines Arbeitnehmers antwortete der Arbeitgeber, indem er die Anfrage mittels einer Standard-E-Mail beantwortete und ein personenbezogenes Datenblatt als Anhang beifügte. Eine Klage auf Schadensersatz in Höhe von 10.000€ wegen eines Kontrollverlusts der Daten wurde abgewiesen. Dies wurde damit begründet, dass der Betroffene seinen Schaden nicht hinreichend darlegen konnte. Damit lehnte sich das Gericht an das kürzlich veröffentlichte Urteil des EuGH C-340/21 an. 

In der Praxis lässt sich beobachten, dass die Anzahl von Auskunftsersuchen stetig zunimmt. Wir beobachten hierbei zwei Personengruppen. Zum einen Betroffene, die Ihrem Recht auf informationelle Selbstbestimmung nachkommen möchten und Betroffene, die bei der verantwortlichen Stelle unnötigen Aufwand erzeugen möchten, beispielsweise auf Grund einer abgelehnten Stelle.

Unabhängig von den Hintergründen, sollten die Anfragen geprüft und bearbeitet werden. Auch wenn bisher keine Daten verarbeitet wurden, liegen mit der Anfrage zumindest die darin enthaltenen personenbezogenen Informationen vor. In jedem Fall gilt bei der Bearbeitung von Betroffenenrechten Gewissenhaftigkeit vor Schnelligkeit.  Sollten Sie bei der Bearbeitung von Betroffenenrechten unsicher sein, kommen Sie jeder Zeit gerne auf uns zu!

INFORMATIONSSICHERHEIT

Cyberangriffe im Januar

Zum Jahresbeginn warnt die Zentralstelle Cybercrime Bayern vor einer neuen aufkommenden Phishing-Welle. Cyberkriminelle versuchen vermehrt, Konten zu plündern, indem sie zunächst Zugangsdaten zu Bankkonten stehlen. Anschließend nehmen sie telefonisch Kontakt mit den Opfern auf und überzeugen sie, ihnen den PUSH-TAN zu übermitteln. Mithilfe der gesammelten Daten richten die Kriminellen dann virtuelle Debitkarten ein und aktivieren damit diverse Zahlsysteme. Diese perfide Vorgehensweise wurde erstmals im Sommer 2022 festgestellt und erreichte seine Hochphase im Winter 2023. Es kam bereits zu Festnahmen und Verurteilungen im Zusammenhang mit diesen kriminellen Machenschaften.

FAST-FOOD KETTE SUBWAY

In diesem Monat ist die bekannte Fast-Food-Kette Subway Ziel eines Cyberangriffs geworden. Die gefährliche Ransomwaregruppe Lockbit behauptet, Hunderte von Gbytes an Firmendaten gestohlen zu haben, darunter auch sensible Informationen zu Mitarbeitergehältern, Umsatzzahlen und Lizenzzahlungen. Bisher scheint Subway nicht auf die Forderungen zu reagieren. Die Hackergruppe hat dem Unternehmen eine Frist bis zum 2. Febuar 2024 gesetzt, andernfalls drohen sie damit, die gestohlenen Daten an Konkurrenten zu verkaufen.

PROJEKTMANAGEMENT-TOOL TRELLO

Zu einem umfangreichen Nutzerdatendiebstahl kam es im Januar bei dem beliebten Aufgabenverwaltungsonlinedienst Trello. Mithilfe von Scraping-Techniken gelang es Cyberkriminellen, Daten von mehr als 15 Millionen Nutzern zu kopieren. Diese gestohlenen Informationen sind nun im Darknet zum Verkauf verfügbar. Über den genauen Hergang des Datenlecks ist bisher noch nichts bekannt. Trello-Nutzer:innen haben jedoch die Möglichkeit, auf der Website Have-I-Been-Pwned.com zu prüfen, ob sie von diesem unbefugten Datendiebstahl betroffen sind.

LOKALRADIOSENDER DONAU 3 FM

Mitte des Monats fiel der schwäbische Lokalradiosender Donau 3 FM einer Ransomware-Attacke zum Opfer. Die unbekannten Angreifer legten sämtliche digitalen Geräte lahm und sperrten auch die Rechner des Radiosenders. Trotz dieser technischen Herausforderung ließ sich der Radiosender nicht daran hindern, weiterhin zu senden. Es wurde kreativ improvisiert und auf klassische Methoden wie Schallplatten, CDs und Live-Musik zurückgegriffen. Seit einigen Tagen laufen nun die wichtigsten Systeme des Senders wieder und die Kriminalpolizei Ulm ermittelt in diesem Sachverhalt.

HANDWERKSKAMMERN BAYERN UND DEUTSCHLANDWEIT

Mitte Januar hatten viele Handwerkskammern in Bayern und anderen Bundesländern mit erheblichen IT-Ausfällen zu kämpfen. Der IT-Dienstleister ODAV aus Straubing hat nun bestätigt, dass ein Malware-Angriff Anfang Januar die Ursache dafür war. Internetauftritte waren nicht erreichbar und an einigen Standorten war sogar der E-Mail Verkehr eingeschränkt. Mit Hochdruck wird daran gearbeitet, alle Systeme wieder vollständig in Betrieb zu nehmen. Ein Datenabfluss kann leider nicht ausgeschlossen werden. Auch der Instagram-Account der Polizei Braunschweig ist Opfer eines Hacks geworden. Offenbar handelte es sich um eine Attacke von Scammern, die darauf abzielen, zahlreiche Accounts übernehmen. Mit den erlangten Konten versuchen sie, ahnungslose Follower:innen auf unseriöse Seiten weiterzuleiten. Kurzzeitig wurde auf dem Profil der Polizei sogar Werbung für ein Weingeschäft in Boston geschaltet. Inzwischen hat die Braunschweiger Polizei die Kontrolle über ihren Instagram-Account zurückerlangt.

IT-SERVICEPROVIDER TIETOEVRY

Einer der größten IT-Serviceprovider Europas, Tietoevry aus Finnland, hat auch mit den Folgen eines Ransomware-Angriffs zu kämpfen. Die betroffene Plattform in einem Rechenzentrum in Schweden wurde umgehend isoliert. Die Auswirkungen für die schwedischen Kund:innen sind aber verheerend. Die größte Kinokette des Landes konnte plötzlich keine Tickets mehr verkaufen, das Lohnbuchhaltungssystem Primula stand nicht mehr zur Verfügung, und in einer Region ist sogar das Gesundheitssystem betroffen. Es gibt Anzeichen dafür, dass die Hackergruppe Akira hinter diesem Vorfall steckt, dieselbe Gruppe, die auch für den prominenten Angriff auf Südwestfalen IT verantwortlich gemacht wurde.

Wir unterstützen Sie gerne

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann! 

 

Bleiben Sie geschützt, Ihr INES-IT Team

---

Abonnieren Sie unseren Newsletter!