Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat Februar zusammengefasst.
IT-SICHERHEIT
Manipulierte OneNote Dateien als neues Einfallstor für Schadsoftware
Ein beliebtes Einfallstor für Cyberkriminelle sind E-Mails mit schadhaften Anhängen. Diese Anlagen lösen bei “Klick” Code aus, der über das Internet Schadsoftware auf den Opferrechnern installiert. Hierzu wurden in der Vergangenheit oft Office Dokumente wie Word- oder Exceldateien verwendet und die beinhalteten Makros als “Schadcodeträger” eingesetzt.
Sind Angriffswege nicht mehr lukrativ, suchen Cyberkriminelle neue Wege, Schadsoftware an die Endanwender auszuliefern. Aktuell warnen Sicherheitsforscher vor der Zustellung manipulierter OneNote-Anhänge.
In unserem Artikel haben wir für Sie die wichtigsten Informationen zusammengefasst.
DATENSCHUTZ
Datenpannen mit Microsoft Excel verursachen und vermeiden
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine neue Kurzinformation zum Thema “Datenpannen mit Microsoft Excel verursachen und vermeiden” veröffentlicht. Darin werden 5 Programmfeatures beschrieben, die bei unachtsamer Nutzung Datenpannen in Bezug auf die Vertraulichkeit auslösen können. Für jedes Beispiel wird aber anschaulich dargestellt, wie diese Fehler vermieden werden können. Die “Kurzinformation 46” bietet sich sehr gut für die interne Weitergabe zu Schulungszwecken an.
INFORMATIONSSICHERHEIT
Wichtige Erinnerung: Ändere-dein-Passwort-Tag!
Am 01. Februar eines jeden Jahres findet der traditionelle “Ändere-dein-Passwort-Tag” statt. Bislang stand man diesem Tag eher kritisch gegenüber: werden Nutzer nämlich “gezwungen” regelmäßig ihre Passwörter zu ändern, so führt dies häufig zu unsicheren Passwörtern, da meist einfache, leicht zu merkende Muster verwendet werden. Aufgrund von zahlreichen erfolgreichen Cyberangriffen, bei denen Zugangsdaten gestohlen wurden, und Passwort-Lecks im vergangenen Jahr, empfiehlt es sich jedoch, in diesem Jahr die Passwörter tatsächlich zu ändern und im Optimalfall einen Passwort-Manager zu verwenden. Passwort-Manager speichern Passwörter verschlüsselt und ermöglichen die automatische Generierung sicherer, zufälliger Passwörter. Achten Sie bei der Auswahl eines Anbieters darauf, dass die Datenbanken vor der Synchronisation verschlüsselt sind, um das Risiko eines Passwort-Manager-Hacks zu minimieren.
DATENSCHUTZ
TIA-Tool BiTAT
Über die Webseite www.bitkom.org/tia erhalten Mitglieder des bitkom Zugang auf ein neu entwickeltes Tool zur Erstellung von sogenannten Transfer Impact Assesments (TIA). Immer dann, wenn personenbezogene Daten in ein Drittland übermittelt werden, erfordert dies eine dokumentierte Analyse der Umstände der Übermittlung, der relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes.
Über BiTAT wird bitkom-Mitgliedern ein Tool angeboten, welches diese anspruchsvolle Aufgabe strukturiert abbildet. Weitere Informationen hierzu finden sich auf der Kampagnen-Webseite des bitkom.
INFORMATIONSSICHERHEIT
Cyberangriffe im Februar
Die Kapellmann und Partner Rechtsanwälte mbB ist Opfer eines Ransomware Angriffes geworden. Die IT-Systeme aller Standorte wurden blockiert und Unternehmensdaten verschlüsselt, die Täter fordern Lösegeld. Website und Telefonanlage sind nicht vom Angriff betroffen, lediglich die Kommunikation mittels E-Mail ist derzeit nicht möglich.
Ein ähnliches Schicksal trifft die Häfele SE & Co KG, ein international operierendes Unternehmen für Beschlagtechnik und elektronische Schließsysteme. Auch hier haben Hacker in Form eines Ransomware Angriffes die IT-Systeme des Unternehmens lahmgelegt. Aktuell ist die Website nur mit Einschränkungen nutzbar: Nutzer können weder auf den Online-Shop noch auf das persönliche Kundenkonto zugreifen. Die Annahme von Bestellungen ist daher aktuell nur telefonisch oder per E-Mail möglich.
Ebenso ist die EU|FH – Europäische Fachhochschule Rhein/Erft Ziel eines Hackerangriffs geworden. Aktuell sind noch keine Informationen zum Ausmaß und den Hintergründen des Angriffes bekannt. Der Studienbetrieb selbst ist wenig betroffen, jedoch wurden aus Sicherheitsgründen große Teile der internen internetbasierten Dienste vorübergehend eingestellt. Eine Erreichbarkeit über Mail und Telefon ist weiterhin möglich. In Zusammenarbeit mit der Polizei und der zuständigen Datenschutzbehörde wird derzeit mit Hochdruck an der Wiederbereitstellung der Dienste gearbeitet.
INFORMATIONSSICHERHEIT
Warum Universitäten immer beliebtere Angriffsziele sind
Im vergangenen Jahr kam es immer häufiger zu Sicherheitsvorfällen an deutschen Universitäten. Für viele Menschen stellt sich hier die Frage nach dem “Warum?”. Jürgen Schmidt, Leiter von heise Security, hat fünf Thesen aufgestellt, mit denen er versucht, diese Frage zu erklären.
- Universitäten sind einfache Ziele: Die Nutzer genießen in der Regel mehr Freiheiten als Angestellte, denen man vorschreiben kann, was er womit und wie zu erledigen hat.
- Cybercrime-Trends: Viele Angreifer stellten fest, dass lukrative Ziele aufgrund von besseren Sicherheitsvorkehrungen und sinkender Zahlungsbereitschaft weniger “lohnenswert” sind. Daher änderten sie ihre Strategie und bevorzugen derzeit eher weniger aufwendige Cybercrime-Angriffe.
- Es lohnt sich trotzdem: Auch wenn die meisten Universitäten Lösegeldforderungen nicht nachkommen, haben derartige Angriffe für Hacker etwas Lohnenswertes: von Ressourcen wie der guten Internet-Anbindung und leistungsfähiger Hardware bis hin zu aktuellen Forschungsergebnissen.
- Schlagzeilen machen keine gute Statistik: Durch die höhere Sichtbarkeit von Universitäten ist es schwieriger, IT-Sicherheitsvorfälle geheim zu halten.
- IT-Sicherheit verbessern: Ähnlich wie bei Unternehmen müssen auch Universitäten ihre IT-Sicherheit höher priorisieren und mit entsprechenden Ressourcen versehen.
DATENSCHUTZ
Kostenloser Leitfaden für die social Media Nutzung im öffentlichen Bereich
Die Technische Universität München (TUM) hat einen kostenlosen Leitfaden für die Nutzung von sozialen Medien für den öffentlichen Bereich publiziert. Darüber sollen Interessierte Antworten darauf erhalten, wie Social-Media-Plattformen z.B. Facebook, Instagram, TikTok oder Twitter, rechtskonform genutzt werden können.
Der Leitfaden kann als Grundlage für Schulungen verstanden werden und damit als ein Baustein, dem gesetzlichen Sensibilisierungsauftrag nachzukommen.
DATENSCHUTZ
Abmahnungen wegen US-Newsletter-Tools
Aktuell mehren sich Meldungen über Abmahnungen des Rechtsanwalts Philipp Brandt (brandt.legal) im Auftrag der Mandantschaft Maximilian G. aus Wien, in Bezug auf die US Newsletter Tools Klaviyo und Mailchimp. Die Masche erfolgt nach dem gleichen Muster. Maximilian G. meldet sich für die genannten Newsletter an und macht im Anschluss sein Auskunftsrecht nach Art. 15 DSGVO geltend. Wird eine Auskunft erteilt, folgt im nächsten Schritt die Abmahnung der Kanzlei “brandt.legal”.
Was präventiv getan werden kann: Prüfen Sie, ob eine Einwilligung für das Newsletter Tool mit Bezug auf die Drittlands Übermittlung eingeholt wird. Zudem, ob die Datenschutzhinweise auf der Webseite das Newsletter Abonnement ausreichend und aktuell beschreiben.
Sollte ein Auskunftsersuchen oder eine Abmahnung vorliegen, ziehen Sie Ihren Datenschutzbeauftragten bzw. rechtlichen Beistand hinzu.