Liebe Leserin, lieber Leser,
wir hoffen, dass Sie erholt und voller Energie ins Jahr 2025 gestartet sind. Für die kommenden Monate wünschen wir Ihnen beste Gesundheit und viel Erfolg bei all Ihren Projekten!
Auch in diesem Jahr versorgen wir Sie wieder mit aktuellen Informationen rund um den Datenschutz und die Informationssicherheit. Wir haben das Neueste im Monat Januar 2025 für Sie zusammengefasst.
- Support-Ende für Windows 10: Update erforderlich
- BayLDA schafft neue Anlaufstelle für KI
- Bundestagswahl 2025: Warnung und Infomaterial des BSI
- EuGH-Urteil zur Anrede: Auswirkungen auf Onlineformulare
- Deutsche Hochschulen: Unzureichender Schutz trotz hoher Bedrohungslage
- Handreichung für Kommunen bei IT-Krisen
- Neue Publikationen des BSI zur Informationssicherheit
- Cyberangriffe im Januar
- Quishing-Betrugsmasche im Umlauf
INFORMATIONSSICHERHEIT
Support-Ende für Windows 10: Millionen PCs benötigen 2025 ein Update
In Deutschland sind laut dem Sicherheitsunternehmen ESET derzeit noch 32 Millionen PCs mit dem Betriebssystem Windows 10 ausgestattet. Dieses wird aber nur noch bis zum 14. Oktober 2025 mit kostenlosen Sicherheitsupdates unterstützt. Mit dem Support-Ende steigt das Risiko für Cyberangriffe und Datenverluste enorm, da neue Sicherheitslücken nicht mehr geschlossen werden. Nutzer sollten daher umgehend einen Umstieg auf eine aktuellere Version planen oder alternative Lösungen in Betracht ziehen.
Verglichen mit dem Support-Ende von Windows 7 im Jahr 2020 verläuft nach Angaben von ESET der Umstieg diesmal deutlich langsamer. Alarmierend ist auch, dass heutzutage noch rund eine Million Rechner mit stark veralteten und unsicheren Systemen wie Windows 7, 8 und sogar XP laufen. Falls Sie Unterstützung bei der Planung und Umsetzung des Systemwechsels benötigen, stehen wir Ihnen gerne zur Verfügung!
DATENSCHUTZ
BayLDA schafft neue Anlaufstelle für KI
In einer Pressemitteilung vom 16. Januar 2025 informiert das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über eine neue Anlaufstelle für Künstliche Intelligenz (KI) in der Behörde. Damit soll eine zielgenaue Hilfestellung bei der alltagstauglichen Umsetzung des neuen Datenrechts geschaffen werden. Ergänzend dazu wird hier ein neu strukturierter Zugang zur individuellen Beratung angeboten.
INFORMATIONSSICHERHEIT
Bundestagswahl 2025: BSI warnt vor Desinformation und stellt Infomaterial bereit
Am 23. Februar 2025 steht die Bundestagswahl an. Experten warnen, dass sowohl ausländische als auch inländisch politisch motivierte Akteure möglicherweise versuchen werden, die Wahl auf unzulässige Weise zu beeinflussen. Um die Sicherheit zu gewährleisten, lässt sich beispielsweise die hessische Landeswahlleitung vom Cyber Competence Center (Hessen3C) des Innenministeriums unterstützen. Am Wahlabend selbst stehen IT-Experten mit Notfallkonzepten bereit.
Das BSI verfolgt zum Schutz ein gesamtgesellschaftliches Konzept und stellt Bundes- und Landeswahlleitern, Parteien und Kandidaten hilfreiche Informationen sowie Beratungsangebote zur Verfügung. Auf der Webseite des BSI sind hier nützliche Informationen für Bürger und Kandidierende zu finden.
DATENSCHUTZ
EuGH-Urteil zur Anrede: Auswirkungen auf Onlineformulare
Die Anrede "Herr" oder "Frau" ist seit jeher ein gängiger Bestandteil der höflichen Kundenkommunikation. Auf vielen Webseiten ist daher im Bestellvorgang oder Kontaktformular ein Anredefeld mit einer Auswahl des Geschlechts als Pflichtangabe vorgesehen. Das Urteil des EuGH (C394/23) vom 9. Januar 2025 bringt nun eine Änderung dieser Praxis mit sich. Es wurde entschieden, dass die Anrede von Kunden beim Erwerb von Fahrscheinen grundsätzlich weder unerlässlich noch wesentlich noch erforderlich oder notwendig ist.
Zum Hintergrund: Ein französischer Anbieter von Zugtickets verpflichtete Kunden beim Onlineerwerb zur Angabe einer Anrede ("Herr" oder "Frau"). Gegen diese Vorgehensweise legte Mousse Beschwerde bei der französischen Datenschutzaufsicht CNIL ein, die das Anliegen jedoch zurückwies. Letztlich wurde der Fall dem EuGH vorgelegt, der zugunsten des Klägers entschied. Verantwortlichen Stellen wird daher auf Grundlage des Urteils empfohlen, Onlineformulare zukünftig ohne zwingende Auswahl der Anrede anzubieten.
INFORMATIONSSICHERHEIT
Deutsche Hochschulen: Trotz hoher Bedrohungslage unzureichender Schutz
In den letzten Jahren erfolgten zahlreiche Hackerangriffe auf deutsche Hochschulen - oft mit erheblichen Folgen für die Einrichtungen. Eine kürzlich im Handelsblatt veröffentlichte Umfrage zeigt, dass Hochschulen mit Herausforderungen im Bereich der digitalen Sicherheit konfrontiert sind. Trotz der Bedrohungslage wird das Risiko von den Hochschulleitungen vielerorts nach wie vor unterschätzt. Es mangelt oft an klar definierten Verantwortlichen, allumfassenden Backup-Lösungen, gezielten Awareness-Schulungen für das Personal und Studierende sowie Notfallplänen. Die Nutzung privater Geräte macht die IT-Sicherheit aber besonders anfällig.
Grund für diese Defizite sollen fehlende finanzielle Unterstützung der Länder und ein Mangel an qualifiziertem Fachpersonal sein. Offensichtlich ist, dass hier Handlungsbedarf besteht. Die Umsetzung ganzheitlicher Sicherheitskonzepte ist entscheidend, um die immer größer werdenden Gefahren im Cyberraum wirkungsvoll abzuwehren.
INFORMATIONSSICHERHEIT
Kommunale IT-Krisen: Handreichung für Kommunen
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat gemeinsam mit dem BSI einen Wegweiser zur Bewältigung und Prävention kommunaler IT-Krisen veröffentlicht. Ziel ist es, Infrastrukturen und Daten effektiver vor Gefahren zu schützen und die Folgen von Cyberangriffen so gering wie möglich zu halten.
Ein fiktives Ransomware-Angriffsszenario führt als roter Faden durch das Dokument und sorgt für ein besseres Verständnis der zugrunde liegenden Prozesse.
INFORMATIONSSICHERHEIT
Neue Publikationen des BSI: Magazin 'Mit Sicherheit' und Blitzlicht 'Management Awareness'
Vor kurzem hat das BSI zwei interessante Broschüren veröffentlicht. Die neue Ausgabe des halbjährlichen Magazins 'Mit Sicherheit' widmet sich dem Cloud Computing, Cybersicherheitstrends von morgen und der Frage, wie cybersicher Deutschland wirklich ist.
Das neue Management-Blitzlicht 'Awareness stärken - Risiken minimieren' bietet auf drei Seiten einen kompakten Einblick in das immerzu zentrale Thema: Sicherheitsfaktor Mensch. Darin wird aufgezeigt, wie Security-Awareness nachhaltig in der Unternehmenskultur verankert werden kann. Ein Aspekt, den wir Ihnen immer wieder ans Herz legen, da er ein wesentlicher Eckpfeiler für eine starke Sicherheitskultur im Unternehmen ist. Wir unterstützen Sie gerne bei den Sensibilisierungsmaßnahmen!
INFORMATIONSSICHERHEIT
Cyberangriffe im Januar
Laut Recherchen des BR in Zusammenarbeit mit internationalen Partnern sind bei fast 40.000 Apps für Apple- und Android-Geräte Standortdaten an Datenhändler abgeflossen. Darunter auch bei einigen der Populärsten wie WetterOnline, Kleinanzeigen oder Focus Online. Aus diesen Daten lässt sich der ungefähre Standort des Nutzenden ableiten. Der Präsident des BayLDA bezeichnet dies als schwerwiegenden Vertrauensbruch und kündigt Untersuchungsprüfungen an. Die Ergebnisse zeigen auch, dass der Online-Werbemarkt weltweit ohne ausreichende Kontrolle agiert.
Das Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) aus Stuttgart gab in einer Pressemitteilung bekannt, dass es Opfer eines Ransomware-Angriffs geworden ist. Der Vorfall führte zur Beeinträchtigung von bestimmten Systemen und Daten. Der genaue Umfang des Schadens ist derzeit noch unklar. Es kann nicht ausgeschlossen werden, dass auch personenbezogene Daten abgeflossen sind.
Mitte Januar erfolgte ein nächtlicher Ransomware-Angriff auf die berufsbildenden und allgemeinbildenden Schulen in Speyer. Laut einer Pressemitteilung der Stadt wurde ein Verschlüsselungs-Trojaner in die betroffenen lokalen Schulserver eingeschleust. Als präventive Sofortmaßnahme kappte die städtische EDV-Abteilung am nächsten Morgen alle Verbindungen zu den Schulen umgehend.
Speyer war aber leider kein Einzelfall: Insgesamt 45 Schulen in Rheinland-Pfalz wurden im Januar von der Lockbit-Bande angegriffen - ein gravierender Vorfall in diesem noch jungen Jahr. Die Cyberkriminellen konnten sich Zugriff auf die IT-Systeme des externen IT-Dienstleisters der Schulen verschaffen. Nun droht Lockbit mit dem Verkauf der gestohlenen Daten.
Auch die Computersysteme eines Großarler Hotels im Salzburger Land wurden im Januar durch einen Ransomware-Angriff verschlüsselt. Die Täter forderten ein Lösegeld in Höhe von 14.000 € in Bitcoin. Trotz dieser Forderung, ging das Hotel nicht auf den Erpressungsversuch ein. Die genaue Schadenshöhe ist noch nicht absehbar.
INFORMATIONSSICHERHEIT
Quishing-Betrugsmasche im Umlauf
Abschließend möchten wir Sie noch auf die derzeit verbreitete Taktik des 'Quishings' aufmerksam machen. QR-Codes sind äußerst praktisch und werden oft ohne Bedenken gescannt. Dabei wird aber häufig vergessen, dass diese 'Links' auch von Kriminellen erstellt oder manipuliert werden können. Diese versuchen die Allgegenwärtigkeit der QR-Codes auszunutzen, in dem sie Original-Codes entweder mit Fälschungen überkleben oder bewusst schadhafte Codes bereitstellen. Besonders beliebt ist die Anbringung an Parkscheinautomaten oder E-Auto-Ladesäulen. In mehreren deutschen Städten wurden bereits manipulierte QR-Codes für Parkbezahl-Apps gefunden.
Die Täuschung ist perfide: Die gefälschten Dubletten leiten auf eine täuschend echte Fake-Webseite weiter. Dort werden die Nutzer aufgefordert, Kreditkarteninformationen preiszugeben - mit Folgen. Für 2025 wird ein weiterer Anstieg der Quishing-Masche prognostiziert. Bleiben Sie daher wachsam und scannen Sie keine QR-Codes an öffentlichen Orten oder auf Webseiten bedenkenlos!