Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat April für Sie zusammengefasst.
- Informationssicherheit | Incident Handling im Kontext der NIS-2 Richtlinie
- Informatiossicherheit | Abschlussbericht: Cyberangriff auf Südwestfalen-IT
- Datenschutz | Entscheidung des OLG Stuttgart: Direktwerbung per Brief
- Datenschutz | Übersicht zu Schadensersatzurteilen nach der DSGVO
- Datenschutz | Messaging-App Signal
- Informationssicherheit | Cyberangriffe im April
INFORMATIONSSICHERHEIT
Incident Handling im Kontext der NIS-2 Richtlinie
Der Countdown läuft: Am 17. Oktober 2024 tritt das NIS-2 Umsetzungsgesetz in Deutschland in Kraft. Artikel 21 der EU-Richtlinie legt Vorgaben zum Risikomanagement fest und führt konkrete Maßnahmen auf, die von betroffenen Unternehmen bis zu diesem Stichtag umgesetzt werden müssen. Darunter auch Maßnahmen zur Bewältigung von Sicherheitsvorfällen, gemäß Absatz 2b (Incident handling).
In unserem neuesten Artikel werfen wir einen eingehenden Blick auf ein effektives Incident Response Management. Wir erläutern, was genau darunter zu verstehen ist und wie ein wohlstrukturierter Prozess Ihre Reaktionsfähigkeit auf Cyberangriffe optimiert.
Heutzutage ist es für Unternehmen essenziell, ein systematisches Vorgehen zur Bewältigung von Sicherheitsvorfällen zu entwickeln, um optimalen Schutz vor Cyberrisiken zu gewährleisten. Dies bildet nicht nur eine wichtige Säule des Schutzes vor Cyberbedrohungen, sondern ist auch unabhängig von gesetzlichen Vorgaben ein unverzichtbarer Bestandteil der strategischen Unternehmensausrichtung.
INFORMATIONSSICHERHEIT
Abschlussbericht: Cyberangriff auf Südwestfalen-IT (SIT)
In der Nacht vom 29. auf den 30. Oktober 2023 erfolgte ein massiver Cyberangriff auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT). Die Auswirkungen des Vorfalls waren verheerend. Die Bürgerservices von mehr als 70 Kommunen mit rund 1,7 Millionen Bürgern wurden lahmgelegt bzw. stark eingeschränkt. Zum Ende des ersten Quartals 2024 ist eine erste Auswahl an wichtigen Fachverfahren aus dem Melde-, Sozial-, und KFZ-Wesen freigegeben worden. An vielen kommunalen Stellen wird aber weiterhin mit manuellen Papierdokumenten oder Behelfslösungen gearbeitet. Die fehlenden Dienste sollen Schritt für Schritt wieder aufgebaut werden.
Mit dem forensischen Abschlussbericht ist die Fehleranalyse nun abgeschlossen. Danach sind keine Bürgerdaten der betroffenen Kreise, Städte und Gemeinden abgeflossen. Zudem blieben die Datensicherungen unbeschadet. Das Einfallstor war eine VPN-Verbindung, über die weitere Hürden genommen wurden. Der Wiederaufbau der IT-Infrastruktur wird bis Ende 2024 andauern.
DATENSCHUTZ
Entscheidung des OLG Stuttgart: Direktwerbung per Brief
Der Auslöser dieses Verfahrens war der Versand eines Werbebriefs über Lebensversicherungsprodukte durch die Beklagte an den Kläger. Die Adressdaten für die Zustellung wurden über einen Adressanbieter bezogen. Die Beklagte handelte im Rahmen einer Auftragsverarbeitung, als sogenanntes Lettershop-Verfahren und damit als Dienstleister eines Versicherers. Die Adressdaten selbst blieben ausschließlich auf der Infrastruktur des Dienstleisters und wurden nicht selbst an die Lebensversicherung übermittelt. Der Kläger hatte bisher keine Kundenbeziehung zur Beklagten oder deren Geschäftspartnern, eine Einwilligung lag nicht vor.
Der Beklagte machte daraufhin sein Auskunfts- und Löschungsrecht geltend und klagte auf immateriellen Schadensersatz in Höhe von 3.000 Euro nach Art. 82 DSGVO. Das Landgericht Stuttgart wies die Klage (Az. 17 O 807/21) ab. Die eingelegte Berufung wies das OLG Stuttgart als „offensichtlich unbegründet“ zurück.
Das OLG begründete dies damit, dass die Zusendung im Rahmen des berechtigten Interesses der Beklagten nach Art. 6 Abs.1 lit.f DSGVO erfolgte. Es ergeben sich aus den Rechtsgrundlagen keine Anhaltspunkte, dass Direktwerbung per Brief nur innerhalb einer Kundenbeziehung möglich sei. Werbebriefe sind ein legitimes Mittel, um Bestandskunden zu pflegen und Neukunden zu gewinnen. Durch Briefwerbung ist es erst möglich, überhaupt den Kontakt zu potenziellen neuen Kunden herzustellen.
DATENSCHUTZ
Übersicht zu Schadensersatzurteilen nach der DSGVO
Im Rahmen unserer Datenschutzberatung werden wir regelmäßig nach Bußgeldhöhen gefragt. In den ersten Jahren der DSGVO wurden diese zurückhaltend ausgesprochen, nun sind sechsstellige Beträge keine Ausnahme mehr.
Neben den Bußgeldern spielen Schadensersatzansprüche nach Art. 82 DSGVO durch natürliche Personen eine immer größere Rolle. Die verhängten Beträge der gerichtlichen Instanzen wirken auf den ersten Blick überschaubar. Sie können das Bußgeldrisiko aber sogar noch übersteigen, wenn Schadensersatzansprüche kumuliert und in Summe gesetzt werden. Nicht selten betreffen Datenschutzverstöße tausende Personen und werden dann im Rahmen eines Massenverfahrens verhandelt. Eine transparente Auflistung wird durch die Kanzlei CMS Hasche Sigle zur Verfügung gestellt und fortlaufend aktualisiert.
DATENSCHUTZ
Messaging-App Signal: eigene Telefonnummer nicht für alle sichtbar
Für viele Smartphone-Nutzer ist die Verwendung von Messenger-Diensten nicht mehr wegzudenken, allen voran WhatsApp. Es liegt auf der Hand, dass die schnelle Erreichbarkeit von Kontakten auch im dienstlichen Umfeld immer wieder angefragt wird, beispielsweise um beim Ausfall eines Mitarbeitenden im Nachtdienst kurzfristig Ersatz zu finden oder bei der Einbindung von ehrenamtlich Tätigen.
Aufgrund der intransparenten Datenverarbeitung im Meta-Konzern kann WhatsApp grundsätzlich nicht empfohlen werden. Im Rahmen unserer Datenschutzberatung empfehlen wir neben organisatorischen Regeln für den Umgang mit Messengern, die Verwendung datenschutzkonformerer Lösungen. Eine Alternative, die von Kunden hierbei eingesetzt wird, ist die App Signal.
Kürzlich hat der Messenger-Dienst Signal eine Funktion eingeführt, die die persönliche Telefonnummer besser schützen soll. Sie ist künftig nur noch für Nutzende sichtbar, die sie ohnehin in den eigenen Telefonkontakten gespeichert haben. Um mit weiteren Personen in Kontakt zu treten, kann ein (temporärer) Benutzername eingesetzt werden. Den entsprechenden Blogbeitrag von Signal zur neuen Einstellung finden Sie hier.
INFORMATIONSSICHERHEIT
Cyberangriffe im April
KINDERÜBERWACHUNGSAPP - KIDSECURITY
Im April wurde ein kritisches Datenleck bei der millionenfach heruntergeladenen Kinderüberwachungs-App KidSecurity aufgedeckt. Besorgte Eltern können damit ihre Kinder orten und deren Aktivitäten überwachen. Laut IT-Sicherheitsforschern waren über ein Jahr lang Millionen Datensätze online offen einsehbar, darunter GPS-Daten, Audioaufnahmen und private Chatverläufe der kontrollierten Kinder. Das Leck war auf eine fehlende Authentifizierung für einen Kafka-Broker-Cluster des App-Anbieters zurückzuführen. Generell ist die Verwendung von Tracker-Apps umstritten, da sie einen massiven Eingriff in das informationelle Selbstbestimmungsrecht der Kinder darstellen. Bisher hat sich die Entwicklerfirma aus Kasachstan noch nicht zu dem Vorfall geäußert.
GENIOS - DEUTSCHE WIRTSCHAFTSDATENBANK GMBH
Die Genios Deutsche Wirtschaftsdatenbank GmbH, ein Tochterunternehmen der FAZ und der Handelsblatt Media Group, ist auch Opfer eines massiven Ransomware-Angriffs geworden. Als Folge waren die Server nicht mehr erreichbar und der Webauftritt nicht mehr abrufbar. Der kommerzielle Anbieter ist bekannt für seine Volltextdatenbanken wissenschaftlicher Texte, die von zahlreichen Stadtbibliotheken und Hochschulen für Recherchezwecke genutzt werden. Laut Genios werden die zentralen Rechercheplattformen im Laufe der nächsten Wochen in einem eingeschränkten Basisbetrieb wieder ans Netz gehen.
MALWARE - KAMPAGNE: GEFÄLSCHTE METRO-RECHNUNGEN
IT-Sicherheitsforscher vom Datensicherheitsunternehmen Proofpoint deckten in diesem Monat eine neue Malware-Kampagne mit gefälschten offenen Metro-Rechnungen auf. Die Gruppe TA547 verschickte betrügerische Rechnungsdokumente im Namen des bekannten Großhandelskonzerns an Unternehmenskunden. Die vermeintliche Rechnung wurde von einer scheinbar legitimen E-Mail-Adresse als Zip-Datei verschickt und mit einem Passwort geschützt. Sobald die Empfänger die enthaltene LNK-Datei anklickten, wurde eine Schadsoftware heruntergeladen und die Infektionskette in Gang gesetzt. Das Besondere an dieser Kampagne ist, dass die Angreifer offenbar Teile der Malware mithilfe eines Large Language Models wie ChatGPT erstellt haben.
GEFAHR VOR PHISHING-ANGRIFFEN BEI DEUTSCHEN PARTEIEN
In diesem Monat hat das BSI vor einer erhöhten Gefahr staatlich gelenkter Phishing-Angriffe auf deutsche Parteien gewarnt. Die Bedrohungslage im Europawahljahr 2024 ist besorgniserregend. Cyberkriminelle setzen verstärkt auf sogenannte Hack-and-Leak Angriffe, bei denen sie nicht öffentliche Dateien und Dokumente stehlen und anschließend gefälscht veröffentlichen. Diese Desinformationskampagnen zielen darauf ab, die öffentliche Meinung zu manipulieren und das Vertrauen in die Demokratie zu untergraben. Darüber hinaus haben Sicherheitsbehörden wiederholt Angriffsversuche beobachtet, bei denen die Angreifer Domains registrierten, die den offiziellen Webmail-Domains ähnelten. Politiker erhielten E-Mails im Namen des IT-Supports, in denen sie aufgefordert wurden, sich auf der manipulierten Website mit ihren Zugangsdaten einzuloggen.
AUTOHERSTELLER VOLKSWAGEN
Außerdem wurde im April bekannt, dass der deutsche Autohersteller Volkswagen über mehrere Jahre hinweg (2010-2015) im Visier von mutmaßlich chinesischen Staatshackern war. Im Laufe der Jahre wurden ca. 19.000 Dokumente gestohlen, darunter vertrauliche Informationen zur Entwicklung von Ottomotoren, Getrieben und Elektromobilität. Die Angreifer nutzten dabei verschiedene Angriffsmethoden wie Schadsoftware, Phishing und Social Engineering, um in die IT-Systeme von Volkswagen einzudringen. Hinweise auf chinesische Hacker lassen sich durch den Einsatz von Spionagesoftware wie "PlugX" und "China Chopper" erkennen. Der finanzielle Schaden ist noch nicht genau bezifferbar, aber neben dem Diebstahl von Know-How, der sich wiederum negativ auf die Wettbewerbsfähigkeit des Unternehmens auswirken kann, entstehen enorme Kosten für die Aufklärung des Vorfalls. Volkswagen gibt an, dass die IT-Sicherheitsmaßnahmen als Reaktion auf den Vorfall erheblich verstärkt wurden.
HEINRICH-HEINE-UNIVERSITÄT IN DÜSSELDORF
Die Heinrich-Heine-Universität in Düsseldorf scheint ein attraktives Angriffsziel für kriminelle Aktivitäten zu sein, da sie erneut Opfer eines Cyberangriffs wurde, nur ein Jahr nach einem früheren Sicherheitsvorfall. Diesmal konnten Kriminelle über gestohlene Studierenden-Accounts Zugriff auf das Prüfsystem der Universität erlangen und Daten von 15.000 geprüften Studierenden entwenden. Neben E-Mail Adressen wurden auch Matrikelnummern und Studienfächer samt Prüfungsantworten und Bewertungen kompromittiert. Es gibt jedoch keine Hinweise darauf, dass Noten manipuliert und heruntergeladen wurden. Der Angriff wurde durch eine Sicherheitslücke innerhalb des E-Klausurensystems ermöglicht. Die Universität erkannte den Angriff jedoch schnell und sperrte die gehackten Studierendenkonten umgehend. Am nächsten Tag wurden alle betroffenen IT-Systeme heruntergefahren und die Betroffenen informiert.
Wir unterstützen Sie gerne
Und wieder zeigen die jüngsten Angriffe aus den unterschiedlichen Branchen, dass sich die digitale Bedrohungslage zunehmend verschärft. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. KI-Chatbots unterstützen Cyberkriminelle dabei, ihre Phishing-Angriffe noch ausgefeilter und strategisch gerissener zu erstellen. Es ist offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird. Unsere Experten unterstützen Sie gerne dabei, sich vor potenziellen Cyberangriffen bestens zu wappnen.
