Archive

Home » News » Security Newsletter 03/2022

Security Newsletter 03/2022

Home » News » Security Newsletter 03/2022
alle News
INFORMATIONSSICHERHEIT
Microsoft Teams als Angriffsziel für Hacker und wie wichtig Schutzmaßnahmen für Teams sind

Microsoft Teams wird von über 270 Millionen Usern eingesetzt – sei es in Unternehmen, in der Schule oder privat. In zahlreichen Organisationen ist Microsoft Teams mittlerweile ein zentrales Tool für die interne Kommunikation. IT-Sicherheitsforscher der Firma Avanan haben in diesem Jahr eine Häufung von Angriffen in Microsoft Teams bemerkt. Wir zeigen Ihnen, warum (auch „nur“) der Einsatz von Microsoft Teams unbedingt technische und organisatorische Maßnahmen zum Schutz Ihres Unternehmens benötigt und wie das Vorgehen bei einem Angriff in Microsoft Teams ist.

INFORMATIONSSICHERHEIT
Erneute Warnung vor russischen Hacks: Darauf sollten Sie achten

Das BSI mahnt deutsche Firmen und Behörden in einem Warnschreiben bereits zum dritten Male, sich auf Cyberattacken vorzubereiten. Die aktuelle IT-Bedrohungslage im Land wird mit der zweithöchsten Warnstufe »orange« bewertet. Besonders bei Unternehmen, welche IT-Netzwerkbeziehungen oder Kommunikationsverkehr mit ukrainischen Stellen haben oder Software nutzen, die in der Ukraine gängig oder ukrainischen Ursprungs ist, sieht das BSI eine erhöhte Gefahr durch sich selbst verbreitende Computerwürmer.

Kleinen und mittelständischen Unternehmen sowie Betreibern kritischer Infrastrukturen wird empfohlen, folgende Vorsichtsmaßnahmen einzuleiten:

  1. Schutzmaßnahmen stärken, Systeme härten und Backup-Strategie prüfen
  2. Verantwortlichkeiten im Sicherheitsbereich definieren und entsprechende (interne sowie externe) Anlaufstellen einrichten
  3. Beschäftigte sensibilisieren 
  4. Notfallplan erstellen
  5. Informationen öffentlicher Stellen beobachten
DATENSCHUTZ
Handreichung zum Drittstaatentransfer

Mitte 2020 hat der EuGH eine weitreichende Entscheidung zur Übermittlung personenbezogener Daten in Drittstaaten verabschiedet. Das bisher geltende Privacy Shield, dass Datenübermittlungen aus der EU in die USA rechtfertigte, wurde aufgehoben. Das Gericht begründete dies damit, dass durch weitreichende Zugriffsrechte von US-Behörden keine hinreichenden Rechtsschutzmöglichkeiten in Bezug auf die Daten vorliegen.

Für betroffene Unternehmen hat dieses Urteil viele Unsicherheiten mit sich gebracht. Mit der Handreichung zum Drittstaatentransfer der Stiftung Datenschutz wird die Thematik praxisbezogen dargestellt.

INFORMATIONSSICHERHEIT
Trojaner legt Stadt Dingolfing lahm

Das Dingolfinger Rathaus ist einem Hackerangriff zum Opfer gefallen. Ein Trojaner hatte sich in der EDV der Stadtverwaltung ausgebreitet und die Daten und alle Sicherungssysteme verschlüsselt. Davon betroffen seien auch Daten, welche außerhalb des Rathauses auf unterschiedlichen Speichermedien gesichert worden sind. Der Bürgermeister Armin Grassinger befürchtet, dass Daten verloren sind und geht von einem „sehr langen und sehr kostenintensiven Lösungsweg" aus. Eine Lösegeldforderung habe es allerdings bisher noch nicht gegeben. Ein Team aus internen und externen Experten arbeitet derzeit an der Wiederherstellung des EDV-Systems. Da die Stadtverwaltung lahmgelegt ist, bleibt das Rathaus vorerst bis 01. April geschlossen.

DATENSCHUTZ
Schmerzensgeld nach Datenschutzverstoß

Immer häufiger kommt es vor, dass Verstöße gegen die Europäische Datenschutz Grundverordnung (DSGVO) auch Schmerzensgeldforderungen nach sich ziehen. Grundlage hierfür ist Art.82 DSGVO. Demnach kann jeder, der durch einen Verstoß der DSGVO einen materiellen oder immateriellen Schaden (Schaden, der nicht zu einem Vermögensschaden führt = Schmerzensgeld) erlitten hat, einen Schadensersatz fordern. Es ist davon auszugehen, dass Betroffene, egal ob ein materieller Schaden vorliegt, auch einen Schmerzensgeldanspruch geltend machen werden.

In einem abgeschlossenen Fall vor dem LG München (31 O 16606/20) wurden dem Kläger 2500€ Schmerzensgeld zugesprochen. Ursache der Entscheidung war, dass sensible Daten des Klägers aus dem Datenarchiv eines Finanzdienstleistungsunternehmen gestohlen und im Darknet veröffentlicht worden sind und anschließend versucht wurde, mit den Daten Kredite zu erschleichen. Der Identitätsdiebstahl war dabei Folge eines Cyberangriffes auf das Finanzdienstleistungsunternehmen. Der Angriff erfolgte über den administrativen Zugang eines ehemaligen IT-Dienstleisters, welcher noch aktiv war, obwohl die gemeinsame Geschäftsbeziehung bereits 5 Jahre zurück lag. Aufgrund der vorhandenen Sicherheitslücke sah das LG München die Schmerzensgeldforderung des Klägers als gerechtfertigt an.

Auch wenn die Summe zunächst nicht allzu schmerzhaft scheint, ist in einem solchen Fall eine Sammelklage nicht auszuschließen, da in der Regel mehrere Personen von einem derartigen Vorfall betroffen sind. Zusätzlich ist davon auszugehen, dass das Wissen um eine erfolgreiche Schmerzensgeldforderung die Anzahl dieser Prozesse in die Höhe treiben wird.

DATENSCHUTZ
Bußgeld von 1,9 Millionen Euro gegen Wohnungsbaugesellschaft

Die Brebau GmbH hatte mehr als 9500 Daten von Mietinteressenten, die Hälfte davon besonders schützenswerte Daten, ohne Rechtsgrundlage verarbeitet. In den internen Abläufen (Verarbeitungen) wurden Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand erfasst. Daten wie beispielsweise Haarfrisuren, der Körpergeruch oder das persönliche Auftreten sind für den Abschluss eines Mietvertrags nicht erforderlich und dürfen laut DSGVO daher nicht verarbeitet werden. Darüber hinaus hatte das betroffene Unternehmen Auskunftsanfragen (Betroffenenrechte) gezielt ausgesetzt.

Die bemessene Geldbuße von 1,9 Millionen Euro wäre deutlich höher ausgefallen, hätte sich die Brebau GmbH nicht darum bemüht umfassend zu kooperieren.

INFORMATIONSSICERHEIT
Ransomware-Attacke auf Hamburger Müllentsorger

Das Hamburger Entsorgungsunternehmen Otto Dörner mit über 1200 Mitarbeitern wurde im Januar mit einem Verschlüsselungstrojaner infiziert und kämpft bis heute gegen die Auswirkungen an. Zahlreiche Daten der Firma sind von den Angreifern verschlüsselt worden und sämtliche Dienste der IT-Infrastruktur wie E-Mail-, Telefon- und IT-Systeme nach wie vor nur eingeschränkt nutzbar. Laut Geschäftsführer Oliver Dörner könne es noch Monate dauern bis das volle Ausmaß des Angriffs beseitigt sei. Die bisher noch unbekannten Täter fordern Lösegeld für die Freigabe der Daten und Systeme.

Cyberkriminelle können bei der Auswahl ihrer Opfer jedes Unternehmen ins Visier nehmen – unabhängig von Größe oder Branche. Daher ist es unabdinglich, Sicherheitsmaßnahmen als Prävention zu treffen und nicht erst auf einen Angriff zu reagieren, wenn dieser schon geschehen ist. Da die eigenen Mitarbeiter häufig das einfachste Einfallstor darstellen, sollten diese ausreichend geschult werden, um Social Engineering-Versuchen standhalten zu können.

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News
Kontakt und mehr