Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat Mai zusammengefasst.
DATENSCHUTZ
Rechte von Betroffenen auf immateriellen Schadensersatz wurden enorm gestärkt
Am 04. Mai 2023 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-300/21 entschieden, dass der Anspruch auf immateriellen Schadenersatz nach Art.82 DSGVO nicht davon abhängt, dass der entstandene Schaden eine gewisse Erheblichkeit beinhaltet. Vielmehr sollen die nationalen Gerichte einen “vollständigen und wirksamen Schadenersatz für den erlittenen Schaden” sicherstellen. Dies erleichtert es für Betroffene erheblich, für erlittene Nachteile entschädigt zu werden und die aus der DSGVO abgeleiteten Rechte geltend zu machen. Nicht jeder Verstoß gegen die DSGVO unterliegt dieser Auslegung für einen immateriellen Schadenersatzanspruch, ein kausaler Schaden muss vorliegen. Beispielsweise könnte im Falle eines Cyberangriffs mit Abfluss von personenbezogenen Daten das betroffene Unternehmen auf Schadensersatz verklagt werden. Erwägungsgrund 85 beschreibt, dass bereits “der Verlust der Kontrolle über personenbezogene Daten” einen Schaden nach der DSGVO darstellt. Betroffene müssen damit nicht mehr nachweisen, dass Sie aufgrund des Cyberangriffs Phishing Angriffen ausgesetzt waren, da der Schaden nach dieser Auslegung des EuGH bereits darin liegt, dass sich die personenbezogenen Daten im Zugriff Dritter befinden. Es bleibt weiterhin Sache der nationalen Gerichte, Kriterien für die Ermittlung des Schadenersatzes festzulegen. Der EuGH betonte hierzu aber, dass die DSGVO eine Ausgleichsfunktion innehat und einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll. Mit diesem Urteil wurden die Rechte Betroffener deutlich gestärkt. Es bedeutet aber auch, dass Betroffene darin bestärkt werden, Klage zu erheben. Es wird für verantwortliche Stellen umso wichtiger, Abweichungen zu beheben und Fehler im Vorfeld zu vermeiden.
INFORMATIONSSICHERHEIT
Umsetzung der Whistleblowing Richtlinie entschieden – Hinweisgeberschutzgesetz kommt
Das Hinweisgeberschutzgesetz wurde am 11. Mai 2023 vom Bundestag beschlossen und am darauffolgenden Tag durch den Bundesrat verabschiedet. Damit hat das ewige Hin und Her um die Umsetzung der EU Whistleblowing Richtlinie ein Ende. Nach aktueller Planung soll das Gesetz nach Unterzeichnung durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt, Mitte Juni 2023 in Kraft treten. Verantwortliche Stellen mit mehr als 250 Beschäftigten müssen bis 3 Monate nach Inkrafttreten des Gesetzes eine Hinweisgeberschutz-Lösung implementieren. Organisationen zwischen 50 und 250 Beschäftigten haben für diese Umsetzung bis 17. Dezember 2023 Zeit.
INFORMATIONSSICHERHEIT
Hacker setzen auf KI
Hacker setzen verstärkt auf die Vorteile von KI um Ihre Angriffe zu beschleunigen und zu variieren. KI kann genutzt werden, um personalisierte Phishing-Mails mit unendlich vielen Variationen zu erstellen. Grundlage für die KI generierten Textnachrichten können dabei gestohlene E-Mail-Verläufe aus erfolgreichen Angriffen bei Geschäftspartnern sein, aber einfach auch Informationen, die sich aus den Webauftritten von Organisationen abgreifen lassen. Konnte man einen Großteil der Schad-E-Mails an der holprigen Aufmachung erkennen, wird diese Erfolgsrate zurückgehen. Es wird also noch wichtiger, den Mitarbeiterstamm zu sensibilisieren. Als eines der geeignetsten Mittel dienen hierzu Phishing-Kampagnen und adaptierte Schulungskonzepte mit dem Wissen um KI unterstütze Angriffe. KI eignet sich für Angreifer aber nicht nur um Phishing-Mails zu erstellen – die digitale Intelligenz wird auch verwendet, um endlose Schadcode-Varianten zu kreieren. Damit steigen die Erfolgsaussichten den Malware-Erkennungsprogrammen einen Schritt voraus zu sein. Diese Erkenntnisse müssen verantwortliche Stellen nutzen, um selbst den Einsatz von einem KI unterstützen Abwehrsystem abzuwägen, das die Aufdeckung von Anomalien, Bedrohungen und Betrugsversuchen steigert. Zudem müssen Maßnahmen, die heute als Stand der Technik gelten und bisher hinter den Komfort gestellt wurden, als verpflichtender Standard verstanden werden (z.B. Zwei-Faktor-Authentifizierung). Denn eines ist klar: die gewonnene Geschwindigkeit durch KI-Einsatz werden kriminelle Akteure nutzen, die Rate von Cyberangriffen zu erhöhen. Wenn Sie Unterstützung bei der Konzeptionierung von Cyberabwehr technisch und/oder organisatorisch wünschen, kommen Sie jeder Zeit auf uns zu.
INFORMATIONSSICHERHEIT
Cyberangriffe im Mai
Die Bilstein Group (ein deutscher Autoersatzteilespezialist) und die Lux Automation GmbH wurden Opfer eines Cyberangriffs. Bei beiden Unternehmen flossen große Mengen an internen Daten ab und kursieren nun im Darknet rum. Es wird angeben, dass die Angriffe sonst keine großen Auswirkungen auf die Prozesse hat.
Des Weiteren wurde die Verwaltung des Landkreises Ludwigsburg, der Bundesverband der Pharmazeutischen Industrie und das Lebensmittelunternehmen Sysco getroffen.
Beim Landkreis Ludwigsburg mussten die IT-Systeme heruntergefahren werden und werden nun analysiert.
Bei BPI und Sysco wurden diverse Unternehmensdaten über einen längeren Zeitraum wegen einem Phishing Angriff eingesehen. Hierbei werden nun einige Spam-Mails oder -Anrufe erwartet.
Ebenfalls befinden sich persönliche Daten von Schülern aus Basel im Darknet wegen einem damaligen Angriff im Januar. Die Daten wurden weder verschlüsselt noch beschädigt. Die Lösegeldforderung der Angreifer wurde zudem nicht bezahlt. Zugang auf die Systeme konnte sich der Angreifer vermutlich durch ein kompromittiertes Passwort verschaffen.
Wir empfehlen ein starkes Passwort und auch bei verschiedenen Diensten, verschiedene Passwörter zu verwenden, um solche Fälle zu minimieren.
Unsere Passwortkarte kann beim Erstellen eines sicheren Passwortes helfen, die Sie auch hier auf unserer Webseite finden können.
Zudem gab es Angriffe auf den Kassensystem-Hersteller NCR, den IT-Dienstleister Bitmarck und Toyota. Bei NCR gab es in den USA Funktionsausfälle die letztendlich im EU-Raum zu Performance-Problemen führte. Bitmarck hingegen betreut mehrere Krankenkassen und hat nun durch den Cyberangriff Einschränkungen im Betrieb. Und Toyota hat mit einem Datenleck in der Cloud zu kämpfen bei dem Fahrzeugdaten von über 2 Millionen Kunden in Japan öffentlich zugänglich waren.