Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat März zusammengefasst.
IT-SICHERHEIT
Next Generation Firewalls für mehr Netzwerksicherheit
Eine Firewall ist ein unverzichtbares Instrument für die Netzwerksicherheit eines Unternehmens. Traditionelle Firewalls können jedoch nicht immer ausreichenden Schutz bieten. Hier kommt die Next Generation Firewall (NGFW) ins Spiel. In diesem Artikel werden wir Ihnen einen Überblick über die wichtigsten Funktionen und Vorteile einer NGFW geben und erklären, warum es sich lohnt, in diese modernere Form der Netzwerksicherheit zu investieren.
IT-SICHERHEIT
Mit Managed Detection and Response (MDR) die IT-Sicherheit in professionelle Hände geben
Die Bedrohungslage verschärft sich kontinuierlich, während zeitgleich der Fachkräftemangel Organisationen zu schaffen macht. Managed Detection and Response (MDR) setzt genau an dieser Herausforderung an. Bei MDR Services werden Aufgaben einer IT (Security) Abteilung an externe Experten ausgelagert. Weshalb immer mehr Organisationen MDR in Anspruch nehmen und wie es Ihnen hilft sich besser vor Cyberangriffen zu schützen, haben wir für Sie zusammengefasst.
DATENSCHUTZ
BayLDA beteiligt sich an europaweiten Prüfaktion
Mitte März 2023 veröffentlichte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Pressemitteilung zur Ankündigung einer Prüfaktion. Zum zweiten Mal nach Bestehen der DSGVO wird eine gemeinsame Aktion unter der Koordinierung des Europäischen Datenschutzausschusses durchgeführt. Ziel ist es die Ergebnisse zu analysieren, die Handlungsbedingungen in der betrieblichen Praxis sichtbar zu machen und darauf basierend Verbesserungen oder Abhilfemaßnahmen für die mehr als 36000 Datenschutzbeauftragten in Bayern bzw. europaweit zu schaffen. Sollten Sie sich bisher noch nicht mit den Bestellanforderungen eines Datenschutzbeauftragten (DSB) für Ihre Organisation auseinandergesetzt haben, unterstützen wir Sie gerne. Aber auch ohne Bestellpflicht kann die Stelle eines DSB sinnvoll sein, denn umgesetzt müssen geltende Datenschutzanforderungen in jeden Fall werden.
INFORMATIONSSICHERHEIT
Verbot von Facebook Fanpages
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Betrieb der Facebook-Fanpage des Bundespresseamts (BPA) in einem Bescheid vom 17.2.2023 untersagt. Grundsätzlich geht es im Kern der Anforderung darum, ob Betreiber einer Facebook-Seite für die durch Facebook vorgenommene Datenverarbeitung datenschutzrechtlich verantwortlich gemacht werden können.” Die Bundesregierung vertritt die Auffassung, dass alleine Facebook datenschutzrechtlich verantwortlich sei, der BfDI sieht eine gemeinsame Verantwortlichkeit. Diese kann aber durch das BPA nicht wahrgenommen werden, da die genauen Datenverarbeitungen von Facebook weitestgehend unbekannt sind. Vor Ablauf der Vierwochen Frist hat das BPA am 16.03.2023 Klage beim Verwaltungsgericht Köln eingelegt. Dieses Musterverfahren kann Rechtsklarheit schaffen und wirkt sich damit auf alle Organisationen aus. Der Diözesandatenschutzbeauftragte München/Freising lehnt sich an der Auslegung des BfDI an und setzt per Anordnung für die Dienststellen der katholischen Kirche in Bayern das Verbot zum Betrieb einer Facebookseite in Kraft. Die Umsetzungsfrist endet am 31.03.2023.
DATENSCHUTZ
Wechsel des Diözesandatenschutzbeauftragten für München Freising
Die bayerischen (Erz-) Bischöfe haben den bisherigen betrieblichen Datenschutzbeauftragten des erzbischöflichen Ordinariats München mit Wirkung zum 01.04.2023 zum Nachfolger des gegenwärtigen Amtsinhabers berufen, wie auf der Webseite berichtet wird. Dominikus Weise tritt die Nachfolge von Jupp Joachimski an, der mit 80 Jahren in den wohlverdienten Ruhestand wechselt.
INFORMATIONSSICHERHEIT
IT Sicherheit beginnt in der obersten Leitung – Update des Leitfadens “Management von Cyber-Risiken”
Aktuell befinden wir uns in einer Bedrohungslage auf Grund von Cyberangriffen wie nie zuvor. Durch den immer höher werdenden Grad an Digitalisierung, wird die Abhängigkeit funktionierender IT-Systeme höher und höher. Werden Standards zur Steigerung des IT-Sicherheitsniveaus eingeführt, ist allen Varianten eines gleich. Sie beginnen bei der obersten Leitung. Nur wenn die Managementebne ganzheitlich hinter dem Projekt steht und die notwendigen Ressourcen zur Verfügung stellt, ist ein Erfolg möglich. Das Handbuch “Management von Cyber-Risiken” adressiert dieses Prinzip und wurde in einer Neuauflage veröffentlicht. Neben den bisherigen fünf Prinzipien wurde ein sechstes Prinzip hinzugefügt. Es beschreibt eine Unternehmenskultur, die die IT-Sicherheit durchgehend berücksichtigt und somit die Widerstandsfähigkeit der Organisation steigert.
INFORMATIONSSICHERHEIT
Cyberangriffe im März
Eins der größten Krankenhäuser in Barcelona wurde Opfer eines Ransomware-Angriffs. Folge dessen mussten Hunderte Operationen sowie Tausende Untersuchungen abgesagt werden. Der Normalbetrieb sei bisher noch nicht absehbar. In erster Linie ging es dem Angreifer darum die Systeme lahm zu legen. Sensible Patientendaten sind ebenfalls verschlüsselt worden.
Ebenso gab es einen Cyberangriff auf die Stadtverwaltungen von Rastatt und Rodgau. Bei beiden waren die Servicesysteme ausgefallen und der Kontakt über E-Mail stark eingeschränkt.
Ähnlich wurde der Baustoffhersteller Steico und der Feuerwehraufrüster Rosenbauer getroffen. Bei beiden sind Teile der Produktion und IT-Infrastruktur betroffen. Das genaue Ausmaß und ob es sich hierbei um einen Ransomware-Angriff handelt, ist nicht bekannt.
Allerdings konnte ein Cyberangriff auf die Stadtwerke Karlsruhe als „erfolgreich abgewehrt“ deklariert werden. Hackern ist es gelungen, ins Netz der Stadtwerke einzudringen und Passwörter eines höherrangigen Angestellten auszulesen und damit Daten auszuspähen. Es wird vermutet, dass es sich hierbei um die Vorbereitung eines Ransomware-Angriffs handelte. Die Schadsoftware, die dabei installiert wurde, konnte allerdings eingedämmt werden und hat sich nicht weiter ausgebreitet.
DATENSCHUTZ
Angreifer verfolgen neue Erpressungstaktik
Zudem ist es erwähnenswert, dass eine Ransomware-Gruppe eine neue Erpressungstaktik verfolgt. Bei dieser verlangt der Angreifer die Versicherungsdaten des Opfers, um sich zu informieren, wie gut dieser versichert ist. Am Ende wird dann – je nachdem wie gut die Versicherung ist – ein entsprechendes Lösegeld gefordert, das davon gedeckt ist.
Ziel der Angreifer ist hierbei natürlich weiterhin das Geld. Es ist davon abzuraten die Versicherungsdaten preiszugeben, da die Offenlegung immer vertraglich abgeregelt ist (meist untersagt) und zu weiteren Dilemmas führen könnte.
Sollte ein Auskunftsersuchen oder eine Abmahnung vorliegen, ziehen Sie Ihren Datenschutzbeauftragten bzw. rechtlichen Beistand hinzu.