Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat März für Sie zusammengefasst.
- Event | Rückblick: Webinar “NIS2 & IT-Sicherheitsrecht”
- Informationssicherheit | Risikomanagement im Kontext der NIS2-Richtlinie
- Datenschutz | Veröffentlichung des Tätigkeitsberichts des BayLDA
- Datenschutz | Datenschutzerklärung unterliegt Urheberrecht
- Datenschutz | Datenschutz als Kriterium im Vergabeverfahren – OH BayLfD
- Datenschutz | Newsletter der österreichischen Datenschutzbehörde 1/2024
- Informationssicherheit | Cyberangriffe im März
Rückblick
Webinar “NIS2 & IT-Sicherheitsrecht”
Am Dienstag, den 19. März 2024 fand unser Webinar “NIS-2 & IT-Sicherheitsrecht” in Zusammenarbeit mit LiiDU statt. Wir haben uns sehr über die zahlreiche Teilnahme und das Interesse Ihrerseits gefreut. Vielen Dank dafür!
Falls Sie nicht live dabei sein konnten, aber dennoch mehr über NIS-2 und die aktuelle IT-Sicherheitsgesetzgebung erfahren wollen, dann steht Ihnen die Aufzeichnung des Webinars jederzeit unter diesem Link zur Verfügung.
Zögern Sie nicht, uns bei offenen Fragen rund um NIS-2 zu kontaktieren. Unser Vorstand und Cybersicherheitsberater Florian Wiesenbauer sowie Rechtsanwältin Sabine Sobola helfen Ihnen mit geballtem IT-Wissen und rechtlichem Know-How gerne weiter.
Verpassen Sie auch nicht die Gelegenheit, sich hier ein kostenloses NIS-2 Beratungsgespräch mit unseren beiden Experten zu sichern.
INFORMATIONSSICHERHEIT
Risikomanagement im Kontext der NIS-2 Richtlinie
Der Countdown läuft: Am 17. Oktober 2024 tritt das NIS-2 Umsetzungsgesetz in Deutschland in Kraft. Dieses Gesetz legt unter anderem Vorgaben zum Risikomanagement fest und führt konkrete Maßnahmen auf, die von betroffenen Unternehmen bis zu diesem Stichtag umgesetzt werden müssen.
In unserem neuesten Artikel werfen wir einen eingehenden Blick auf ein effektives Risikomanagement. Dabei erläutern wir, was darunter zu verstehen ist und welche Maßnahmen in der NIS-2 Richtlinie aufgeführt werden. Heutzutage ist ein strukturiertes Risikomanagement für Unternehmen jeder Größe unerlässlich, um sich bestmöglich vor Cyberrisiken zu schützen – auch unabhängig von gesetzlichen Vorgaben.
DATENSCHUTZ
Veröffentlichung des Tätigkeitsberichts des BayLDA
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat den Tätigkeitsbericht für das Berichtsjahr 2023 veröffentlicht. Gleichzeitig wurde in Kooperation mit der Hochschule Ansbach ein Podcast zum dreizehnten Tätigkeitsbericht eingestellt. Beide Formate sind über die Webseite des BayLDA zugänglich.
DATENSCHUTZ
Datenschutzerklärung unterliegt Urheberrecht
Das OLG München hat im Fall (Az. 6 W 1491/22) entschieden, dass eine Datenschutzerklärung als geschütztes Werk nach §2 Abs.1 Nr.1 des Urheberrechtsgesetzes anzusehen ist. Inhalte von Datenschutzerklärungen sollten deshalb nicht einfach von anderen Auftritten kopiert und in die eigene Webseite eingefügt werden. Es ergeben sich daraus in der Regel zwei Probleme. Zum einen die angesprochene Urheberrechtsverletzung und zum anderen ist der Inhalt nicht auf den eigenen Auftritt abgestimmt. Idealerweise erfolgt vor der Erstellung eine Prüfung der beinhalteten Dienste und Datenverarbeitungen. Basierend darauf werden dann die Datenschutzinformationen erstellt. Wenn Sie hierzu Unterstützung benötigen, kommen Sie gerne auf uns zu.
DATENSCHUTZ
Datenschutz als Kriterium im Vergabeverfahren – OH BayLfD
Der Landesbeauftragte für Datenschutz in Bayern hat seine Orientierungshilfe
Datenschutz als Kriterium im Vergabeverfahren aktualisiert. Ziel dieses Dokuments ist es, Datenschutzaspekte bereits in der Konzeptions- und Planungsphase entsprechend zu berücksichtigen. Damit soll vermieden werden, dass neue Produkte nicht rechtskonform eingesetzt werden können bzw. im Nachgang aufwändige Anpassungen notwendig sind.
DATENSCHUTZ
Newsletter der österreichischen Datenschutzbehörde 01/2024
Die österreichische Datenschutzbehörde (DSB) hat ihren Newsletter 1/2024 veröffentlicht. In dem Newsletter sind ausgewählte Entscheidungen der Datenschutzbehörde enthalten, unter anderem zu einer Geldbuße über 50.700 Euro gegenüber einer politischen Partei, aufgrund des Versands von zwei E-Mails mit einem offenen Verteiler.
INFORMATIONSSICHERHEIT
Cyberangriffe im März
Laut dem Report des amerikanischen Analyseunternehmens Chainalysis schossen die Lösegeldzahlungen nach Ransomware-Angriffen im Jahr 2023 auf einen Rekordwert und überstiegen erstmals die Marke von 1,1 Milliarden US-Dollar, nachdem im Vorjahr ein Rückgang verzeichnet worden war. Dies ist zum einen auf die steigende Zahl von Angriffen auf kritische Infrastrukturen oder bedeutende Einrichtungen zurückzuführen und zum anderen auf die effektivere Vorgehensweise der Cyberkriminellen. Obwohl die Anzahl der Lösegeld zahlenden Opfer zurückgegangen ist, bleibt ein Ransomware-Angriff weiterhin äußerst rentabel. Es bleibt abzuwarten, ob sich im Jahr 2024 der rückläufige Trend, kein Lösegeld zu zahlen, fortsetzt und die Finanzierung von Ransomware beeinträchtigt. Nach dieser kurzen einleitenden Betrachtung werfen wir nun einen Blick auf die Cyberangriffe im März 2024.
UNIVERSITÄTSKLINIKUM BRANDENBURG AN DER HAVEL
Am 1. März 2024 veröffentlichte das Universitätsklinikum Brandenburg an der Havel eine Pressemitteilung, in der sie Patienten, Mitarbeitende und Partner darauf hinwiesen, dass sie Ziel eines Hackerangriffs geworden sind. Die Ursache des Angriffs waren geöffnete Phishing-Mails, die einen Fremdzugriff ermöglichten. Es wurde in dem Statement betont, dass die klinischen Systeme sowie der Datenschutz personenbezogener Informationen aber sichergestellt und nicht gefährdet waren. Das Klinikum entschuldigte sich, dass durch diesen IT-Sicherheitsvorfall ungewollte Spam-Nachrichten aus ihrem System versendet wurden.
STADT FÜRTH
Am 11. März 2024 gab die fränkische Stadt Fürth auf ihrer eigenen Facebookseite bekannt, dass sie Opfer einer DDoS-Attacke geworden ist. Die Internetseite der Stadt war stark eingeschränkt oder gar nicht erreichbar, da von verschiedenen IP-Adressen aus unterschiedlichen Ländern zur gleichen Zeit Anfragen gesendet wurden. Dies führte zu einer erheblichen Überlastung des Servers. Die Bürger konnten dadurch keine Online-Formulare oder Anträge nutzen. Trotz dieses Vorfalls blieb die Stadt weiterhin telefonisch und per E-Mail erreichbar.
BÜNDNIS SAHRA WAGENKNECHT (BSW)
In diesem Monat gerieten Informationen von rund 35.000 Unterstützern der Partei Bündnis Sahra Wagenknecht (BSW) in unbefugte Hände. Neben den vollständigen Namen wurden auch genaue Zahlungsdetails preisgegeben, die bis zum 13. Januar 2024 in einem Formular auf der Website des BSW eingegeben wurden. Doch nicht nur Spendeninformationen waren betroffen. Auch die E-Mail-Adressen von 30.000 Newsletter-Empfängern wurden öffentlich gemacht. Die Partei hat dieses potenzielle Datenleck beim Landesdatenschutzbeauftragten gemeldet und bereitet eine Strafanzeige gegen unbekannt vor. Bisher bleibt unklar, wer hinter diesem Vorfall steckt. Die Partei strebt eine Verbesserung ihrer IT-Abwehrmechanismen an, um solche Vorfälle in Zukunft zu verhindern.
APP STAYINFORMED
Im Verlauf dieses Monats kam es bei der App StayInformed, die in über 11.000 Kitas, Schulen und Horten genutzt wird, zu einem massiven Datenleck. Zahlreiche Nutzerdaten, insbesondere von Minderjährigen, waren für jedermann abrufbar. Darunter fielen Namen, Geburtsdaten, Herkunftsländer, Konfessionen, Notfallkontakte und Informationen zu Impfungen. Grund dafür war ein frei zugänglicher Webserver, der unverschlüsselt über HTTP erreichbar war und den Besuchern durch ein Directory Listing auch Inhalte angezeigt hat. StayInformed veröffentlichte eine Mitteilung zur Datenpanne auf ihrer Website, in der sie betonten, dass die betroffenen Server am gleichen Tag sofort geschlossen wurden. Inzwischen hat der Anbieter eine Informationsseite mit FAQ für Betroffene eingerichtet.
NEUE ZÜRCHER ZEITUNG (NZZ)
Jeden Monat berichten wir in unserem Newsletter über Cyberangriffe, die stattgefunden haben. Die meisten betroffenen Unternehmen oder Organisationen halten sich aber bedeckt hinsichtlich der genauen Geschehnisse und den ergriffenen Gegenmaßnahmen, was wiederum den Erpressern in die Hände spielt. Es herrscht große Angst davor, dass ein Angriff als eigenes Versagen interpretiert werden könnte. Anders handhabte es die Neue Zürcher Zeitung (NZZ), die mit diesem öffentlichen Verlaufsprotokoll anderen Firmen helfen möchte, sich besser vor Cyber-Banden zu schützen. Ein Journalist aus den eigenen Reihen berichtete ausführlich über die Geschehnisse im Medienzentrum während des Ausnahmezustands.
Wir unterstützen Sie gerne
Und wieder zeigen die jüngsten Angriffe aus den unterschiedlichen Branchen, dass sich die digitale Bedrohungslage zunehmend verschärft. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Es ist offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird. Unsere Experten unterstützen Sie gerne dabei, sich vor potenziellen Cyberangriffen bestens zu wappnen.
