Archive

Home » News » Security Newsletter 04/2023

Security Newsletter 04/2023

Home » News » Security Newsletter 04/2023
alle News

Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat April zusammengefasst.

DATENSCHUTZ
DSK veröffentlicht eine Bewertung zu Pur-Abo-Modellen auf Website

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat einen Beschluss zur Bewertung von Pur-Abo-Modellen auf Webseiten veröffentlicht. Bei Pur-Abo-Modellen haben Nutzer:innen über den Einwilligungsbanner die Möglichkeit zwischen zwei Optionen: Das Pur-Abo-Modell wird abgeschlossen und die Website kann ohne individuelle Profilbildung oder personalisierte Werbung genutzt wird. Wenn das Pur-Abo-Modell nicht genutzt wird, wird automatisch die Einwilligung für die Nutzung der Daten erteilt.
Nach dem Beschluss der DSK ist das Modell grundsätzlich möglich, wenn Anforderungen aus dem Datenschutzrecht, wie die Einhaltung der Anforderungen an eine Einwilligung zur Verarbeitung personenbezogener Daten im “Trackingmodell” eingehalten werden. Parallel hat die trackingfreie Variante eine gleichwertige Leistung darzustellen, die ebenfalls über eine transparente Einwilligung geleistet wird.

DATENSCHUTZ
Millionen von Datensätzen österreichischer Bürger sind laut DSB zu löschen

Die österreichische Datenschutzbehörde DSB hat in einem Musterfall entschieden, dass die Verarbeitung von Datensätzen österreichischer Bürger durch die Kreditauskunftei CRIF GmbH (Pendant zur Schufa) nicht rechtens sei. Damit sind die Daten von Millionen von Bürgern zu löschen. Die DSB stellte fest, dass die CRIF jahrelang unrechtmäßig die Daten vieler Bürger für die Berechnung von Score-Werten verarbeitet hatte. Dies begründete sich darauf, dass CRIF die Informationen über den Adressverlag AZ Direct Österreich unrechtmäßig bezog. Die AZ Direct war laut der DSB-Entscheidung aber gar nicht befugt diese Daten für Zwecke der Bonitätsbeurteilung zu verkaufen. Die Beschwerde wurde mit Unterstützung der Bürgerrechtsorganisation Noyb (Max Schrems) geführt. 

INFORMATIONSSICHERHEIT
Missachtung der Clean-Desk-Policy rechtfertigt eine Kündigung

Das Landesarbeitsgericht Sachsen hat in seinem Urteil (9 Sa 250/21) festgestellt, dass ein wiederholter Verstoß gegen Informationssicherheitsrichtlinien eine Kündigung rechtfertigen kann. Im genannten Fall handelte eine Mitarbeiterin mehrfach gegen eindeutige, bekannte Dienstanweisungen und bewahrte sensible Daten unverschlossen in Ihrem Schreibtisch auf, während Sie selbst nicht im Büro anwesend war. Das LAG betonte, dass die Einhaltung von datenschutzrechtlichen Arbeitsanweisungen zu der auch die Clean Desk Policy gehört, als Hauptpflicht von Arbeitnehmern verstanden wird. Die Richtlinie weist organisatorisch an, dass sensible Informationen vor dem Zugriff “Dritter” zu schützen sind. Dritte sind dabei nicht nur Personen außerhalb der Belegschaft, sondern auch Kollegen, wenn diese im Rahmen ihrer Tätigkeit nicht Zugriff auf genau diese Informationen benötigen.

INFORMATIONSSICHERHEIT
Katalog über aktuell ausgenutzte Sicherheitslücken 

Oft sind bekannte Schwachstellen in IT-Produkten Einfallstore für Angreifer. Verantwortliche sollten deshalb bemüht sein, so schnell als möglich verfügbare Sicherheitspatche einzuspielen. Eine hilfreiche Übersicht bekannter Sicherheitslücken, die bereits von Angreifern aktiv ausgenutzt werden, bietet das Portal der US-Cybersicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA). Fortlaufend werden neue bekannte Schwachstellen in die Übersicht aufgenommen.

DATENSCHUTZ
FAQ Datenschutz in der Schwerbehindertenvertretung

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg hat auf seinem Internetauftritt eine FAQ zum Thema “Datenschutz in der Schwerbehindertenvertretung” veröffentlicht. Damit soll die wichtige Arbeit der Schwerbehindertenvertretung unterstützt werden, bei der die datenschutzkonforme Verarbeitung von besonders sensiblen Daten als elementar verstanden wird.

INFORMATIONSSICHERHEIT
Jahresbericht des Katholischen Datenschutzzentrums Dortmund veröffentlicht 

Mitte April 2023 wurde der Jahresbericht der Erzdiözesen Köln und Paderborn, sowie der Diözesen Aachen, Essen und Münster veröffentlicht. Jahresberichte informieren über Entscheidungen und beschreiben auch Auszüge aus gemeldeten Datenschutzvorfällen, was sehr geeignet sein kann, interne Datenverarbeitungen entgegen diesen Informationen zu reflektieren. Zwei Beispiele hierfür:

Angriff auf Rechenzentrumsbetreiber
Die Angriffe mit Ransomware auf zwei Rechenzentrumsbetreiber zeigen die diffuse Situation, wenn verantwortliche Stellen sich zur Nutzung von Clouddiensten entscheiden. Zahlreiche Vorteile sprechen für Datenverarbeitung in der Wolke. In jeden Fall sollte dabei eine Risikoabwägung erfolgen, die in jeden Fall auch das Backup der Daten einbezieht. Sich uneingeschränkt auf den Dienstleister zu verlassen, ohne eine interne Datensicherung vorzuhalten, bedeutet ein bestimmtes Risiko einzugehen. Es sollte in jeden Fall abgewogen werden, ob interne Sicherungen einen spürbaren Mehrwert bedeuten.

Weiterleitung besonders sensibler Daten an einen privaten E-Mail-Account
In einem zweiten Fall wurden besonders sensible Daten durch eine Mitarbeiterin vom dienstlichen E-Mail-Account an einen privaten E-Mail-Account unverschlüsselt weitergeleitet und durch eine Schadsoftwareattacke kompromittiert. Oft werden diese Mitarbeitervorgänge durch Komfortprobleme begünstigt, wie eine bessere Internetanbindung im privaten Umfeld. Verantwortliche Stellen sollten diese Herausforderungen im Blick haben. Definieren Sie die private Nutzung und die Nutzung im privaten Umfeld, ansonsten könnte die ungeregelte Anforderung auch auf Sie zurückfallen.

INFORMATIONSSICHERHEIT
Cyberangriffe im April 

In diesem Monat gab es ein Datenleck bei einem Vertragspartner des Bike-Leasing-Anbieter Jobrad. Betroffen sind hiervon auch Endkunden. Ursache des Datenlecks ist ein Ransomware-Angriff bei dem persönliche Daten gestohlen und bereits im Darknet zum Kauf angeboten werden. Aufgrund der hohen Verbreitung von Jobrad muss in nächster Zeit mit Phishing-Angriffen gerechnet werden.

Zudem gab es Hacker-Angriffe auf den Bremer Werften-Konzern Lürssen und die Üstra in Hannover. Bei beiden Unternehmen kam es zum Erliegen von Betriebsabläufen. Beispielsweise konnten Kunden keine Tickets der Hannoverschen Verkehrsbetriebe erwerben.

Weiter gab es einen Ransomwareangriff auf die Schifffahrtsagentur Royal Dirkzwager. Die Betriebsabläufe kamen nicht zum Stehen, jedoch wurden Daten entwendet wie Verträge oder persönliche Informationen betroffener Parteien. Am Beispiel von Royal Dirkzwanger wird transparent, warum Angreifer ihre Taktik in den zurückliegenden Jahren angepasst haben. Es reichte nicht mehr aus IT-Prozesse zu blockieren. Durch rasche Widerherstellungsmechanismen standen Abläufe schnell wieder zur Verfügung. Durch das Stehlen von Informationen bleibt den Angreifern auch bei wenigen Einschränkungen auf die Betriebsfähigkeit ein starkes Druckmittel gegen das betroffene Unternehmen.

Ebenso waren die HAHN Group, das Münchner Helmholtz Zentrum und der internationale IT-Dienstleister Materna von Cyberangriffen in den zurückliegenden Wochen betroffen.

DATENSCHUTZ
Aktualisierung des IT-Grundschutz-Kompendiums  

Das IT-Grundschutz-Kompendium unterliegt einer jährlichen Aktualisierung und wird regelmäßig im Februar in der neuesten Version veröffentlicht. Ganzjährig werden durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt ganzjährig Entwurfsbausteine zur Verfügung, die von Anwendern kommentiert werden können.

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News

Newsletter Anmeldung

Mit dem INES IT Newsletter erhalten Sie jeden Monat die neuesten Infos.
INES IT  Informationssicherheit 




Kontakt und mehr