Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Mai für Sie zusammengefasst.
- Informationssicherheit | Neuer Referentenentwurf des NIS2UmsuCG
- Informationssicherheit | Cyberhygiene im Kontext der NIS-2-Richtlinie
- Datenschutz | Luisa Specht-Riemenschneider als neue BfDI gewählt
- Datenschutz | Landesverwaltung Niedersachsen führt Microsoft Teams ein
- Datenschutz | Bußgeld in Millionenhöhe für griechische Post
- Datenschutz | Digitale-Dienste-Gesetz: möglicher Handlungsbedarf
- Datenschutz | Weitergabe von Adresse für Wahlwerbung durch Meldeamt
- Informationssicherheit | Cyberangriffe im Mai
INFORMATIONSSICHERHEIT
Bundesministerium des Innern und für Heimat veröffentlicht neuen Referentenentwurf des NIS2UmsuCG
Die NIS-2 Richtlinie zur Stärkung der europaweiten Cybersicherheit wurde bereits am 27. Dezember 2022 im Amtsblatt der EU publiziert und ist am 16. Januar 2023 in Kraft getreten. Laut Artikel 41 muss die europäische Richtlinie bis zum 17. Oktober 2024 von den Mitgliedstaaten ins nationale Recht umgesetzt werden, daran wird auch immer noch festgehalten. Das Bundesinnenministerium hat nun nach Verzögerungen am 7. Mai 2024 einen fünften Referentenentwurf zur Umsetzung der NIS-2 Richtlinie (NIS2UmsuCG) veröffentlicht. Auf der Website des BMI werden die Anpassungen des knapp 200 Seiten umfassenden Gesetzesentwurfs aufgeführt. Im nächsten Schritt soll der Regierungsentwurf verabschiedet werden.
Auch im Falle einer Verzögerung des Gesetzes ist es ratsam, sich jetzt schon mit der NIS-2 Konformität auseinanderzusetzen und rechtzeitig mit den Vorbereitungen zu beginnen. Eine möglicherweise komplexe Anpassung von Prozessen kann viel Zeit in Anspruch nehmen. Außerdem reduzieren Sie damit auch das Risiko, dass kurz vor Inkrafttreten des Gesetzes kein Beratungsdienstleister verfügbar ist. Wir unterstützen Sie ganzheitlich dabei: von der Überprüfung der Betroffenheit bis hin zur Umsetzung erforderlicher Maßnahmen.
INFORMATIONSSICHERHEIT
Cyberhygiene im Kontext der NIS-2 Richtlinie
Artikel 21 der veröffentlichten NIS2-Richtlinie führt zahlreiche Mindeststandards an Risikomanagementmaßnahmen auf, die von betroffenen Unternehmen bis zum 17. Oktober 2024 verpflichtend umgesetzt werden müssen. Wir haben Ihnen in unseren letzten Ausgaben bereits einige dieser grundlegenden IT-Sicherheitsmaßnahmen genauer vorgestellt.
In unserem neuesten Beitrag möchten wir Ihnen einen weiteren aus Absatz 2 aufgeführten Aspekt vorstellen: dieEinführung von grundlegenden Verfahren im Bereich der Cyberhygiene und Schulungen. Wir stellen in dem Artikel dar, was unter dem weit gefassten Begriff Cyberhygiene zu verstehen ist und welche Best Practices wir Ihnen, auch unabhängig von gesetzlichen Vorgaben, empfehlen möchten. Cyberhygiene-Praktiken bilden das grundlegende Fundament zum Schutz Ihrer IT-Infrastruktur und Ihrer wertvollen Daten.
DATENSCHUTZ
Luisa Specht-Riemenschneider als neue BfDI gewählt
Mitte Mai hat der Bundestag Prof. Dr. Luisa Specht-Riemenschneider zur neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewählt. Gut vier Monate nach dem offiziellen Ende der Amtsperiode des bisherigen BfDI Ulrich Kelber hat die Suche nun ein Ende. Frau Specht-Riemenschneider lehrte zuletzt als Juraprofessorin an der Universität Bonn und leitete dort auch die Forschungsstelle für Rechtsfragen neuer Technologien und Datenrecht. Sie war außerdem Partnerin einer Medienrechtskanzlei in Frankfurt am Main. Nach der CDU-Politikerin Andrea Voßhoff (2014-2019) ist Frau Specht-Riemenschneider die zweite Frau im Amt des BfDI.
DATENSCHUTZ
Landesverwaltung Niedersachsen führt Microsoft Teams ein
Das Bundesland Niedersachsen hat mit Microsoft einen Vertrag über den Einsatz von Microsoft Teams in der Behörde abgeschlossen, der die Bedenken der Datenschutzaufsichtsbehörde ausräumt. In einer Pressemitteilung vom 3. Mai 2024 äußerte sich der Landesbeauftragte für den Datenschutz Niedersachsen zu diesem Thema. Während der Verhandlungen mit Microsoft unterstützte die Aufsichtsbehörde mit datenschutzrechtlichen Einschätzungen und bewertete die Ausgestaltung des Datenschutzvertrags (Auftragsverarbeitungsvertrag) letztlich als akzeptabel. Nur wenige Wochen nachdem Schleswig-Holstein angekündigt hatte, auf Open-Source-Lösungen zu setzen, schlägt Niedersachsen nun den entgegengesetzten Weg ein und sieht die erzielten Rahmenbedingungen als Vorlage für die Nutzung von Microsoft Teams in öffentlichen Stellen. Diese werden wie folgt angesetzt:
Data Protection Addendum: Anforderung des Data Protection Addendums von Niedersachsen beim zuständigen Microsoft Account Manager. Aufgrund der Vollharmonisierung des Datenschutzrechts sollte der Vertrag auch für alle weiteren öffentlichen Stellen geeignet sein.
Datenschutz-Folgenabschätzung (DSFA): Beschreibung möglicher Risiken und deren Abhilfemaßnahmen in einer individuellen DSFA.
EU Data Boundary: Ausschließliche Datenverarbeitung durch Microsoft in Europa. Werden Daten in Drittländer übermittelt, ist ein Transfer Impact Assessment (TIA) zu erstellen.
Datenminimierung: Durch Konfigurationseinstellungen und Dienstanweisungen ist die Datenverarbeitung auf das unbedingt notwendige Maß zu begrenzen. Datenschutzmaßnahmen: Weitere technische und organisatorische Maßnahmen sollen für ein angemessenes Datenschutzniveau sorgen. Die Wirksamkeit der Maßnahmen ist regelmäßig zu prüfen.
Die Bereitstellung von Microsoft Teams ist für die zweite Jahreshälfte geplant und soll für rund 13.500 Arbeitsplätze ausgerollt werden. Es gibt aber auch zahlreiche kritische Stimmen zur Vorgehensweise von Niedersachsen. Solange die DSFA, der Vertrag und das Sicherheitskonzept nicht veröffentlicht werden, werden diese Diskussionen wohl auch nicht verstummen.
DATENSCHUTZ
Datenverstöße: Bußgeld in Millionenhöhe für griechische Post
Die griechische Aufsichtsbehörde hat gegen die landeseigene Post ELTA ein Bußgeld in Millionenhöhe verhängt. Der Anlass dafür waren zwei Meldungen über Datenschutzverstöße im Zusammenhang mit einem Ransomware-Angriff auf die Post. Zum einen meldete die griechische Post den Angriff selbst, zum anderen den Diebstahl und die anschließende Veröffentlichung von personenbezogenen Daten im Darknet.
Bei der forensischen Aufarbeitung des Vorfalls stellte sich heraus, dass die Angreifer über unzureichend gesicherte Systeme Zugriff erhielten. Sie konnten administrative Passwörter erbeuten und sich dadurch Zugang zu weiteren umfangreichen Informationen verschaffen. Diese Schwachstellen bewertete die Aufsichtsbehörde als Verstoß gegen die Pflicht zur Gewährleistung und den Nachweis ausreichender technischer und organisatorischer Maßnahmen. Die Schwere der festgestellten Datenschutzverstöße wurde von der Datenschutzaufsichtsbehörde als erheblich eingestuft. Aufgrund dieser Feststellungen wurde gegen die griechische Post ein Bußgeld in Höhe von 1 Prozent des letzten weltweit erzielten Jahresumsatzes verhängt, was 3 Millionen Euro entspricht. Die Höhe der Geldbuße bewegt sich damit am unteren Ende des Bußgeldrahmens für besonders schwere Verstöße.
DATENSCHUTZ
Digitale-Dienste-Gesetz: möglicher Handlungsbedarf auf Webseiten
Am 14. Mai 2024 ist das Digitale-Dienste-Gesetz (DDG) in Kraft getreten. Das Telemediengesetz (TMG) ist außer Kraft getreten und im DDG aufgegangen. Die Pflicht zur Anbieterkennzeichnung auf Webseiten (Impressum) ergab sich bisher aus §5 TMG und findet sich nun in §5 DDG. Inhaltlich ändert sich nichts, jedoch sollten Sie das Impressum Ihrer Webseite prüfen, ob hier auf Pflichtangaben nach §5 TMG verwiesen wird. Ist dies der Fall, aktualisieren Sie diese auf §5 DDG bzw. entfernen Sie die Gesetzesbezeichnung, denn dies stellt keine Pflichtangabe dar. Falls Sie bei der Prüfung Ihres Impressums feststellen, dass sie einen Verantwortlichen nach §55 Abs.2 Rundfunkstaatsvertrag (RfStV) genannt haben, passen Sie dies ebenfalls an. Bereits seit 2020 gilt hierfür §18 Medienstaatsvertrag (MStV).
Durch die Änderung von Telemediendienste zu digitale Dienste, wurde das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) zum Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) umbenannt. Eine inhaltliche Änderung ist mit der Umbenennung des Gesetzes nicht verbunden. Aber auch hier können sich Auswirkungen auf Ihre Informationspflichten auf der Webseite ergeben. Für das Setzen und Auslesen von Cookies war bisher §25 TTDSG maßgeblich, durch die Namensänderung ist es nun §25 TDDDG. Überprüfen Sie deshalb Ihre Datenschutzerklärung und Cookie-Policys, um die neue Bezeichnung zu aktualisieren.
DATENSCHUTZ
Darf das Meldeamt meine Adresse für Wahlwerbung weitergeben?
Am 9. Juni finden die Europawahlen statt und in der Regel landet bis dahin noch reichlich Wahlwerbung im Postkasten. Die Adressdaten für die Zustellung stammen von den zuständigen Meldeämtern. Aber ist die Herausgabe ohne meine Zustimmung überhaupt erlaubt?
Grundsätzlich dürfen Adressen für Werbezwecke nur mit Einwilligung der betroffenen Bürger weitergegeben werden. Parteien bilden hier aber eine Ausnahme. Da politische Parteien eine zentrale Rolle im demokratischen Gefüge bilden, werden diese privilegiert behandelt. Nach §50 Bundesmeldegesetz dürfen Meldeämter 6 Monate vor einer Wahl die Adressdaten von wahlberechtigten Bürgern an Wählergruppen und andere Träger von Wahlvorschlägen herausgeben. Die anfragende Partei muss das Alter der Personen, deren Adressdaten sie haben möchte, klar definieren, beispielsweise alle Erstwähler. Durch die Meldeämter werden dann Vor-, Nachname und Adresse zur Verfügung gestellt. Diese Informationen dürfen durch die Parteien dann für die anstehende Wahl verwendet werden und müssen spätestens einen Monat nach der Wahl gelöscht werden. Beantragt ein Bürger eine Auskunftssperre, werden diese Daten nicht übermittelt. Wer zukünftig keine Wahlwerbung mehr erhalten möchte, kann also ohne Begründung und kostenlos beim Meldeamt widersprechen. Der Widerspruch gilt für alle zukünftigen Wahlen und muss nicht erneuert werden.
INFORMATIONSSICHERHEIT
Cyberangriffe im Mai
HESSISCHE HOCHSCHULE FÜR ÖFFENTLICHES MANAGEMENT UND SICHERHEIT
In diesem Monat informierte die hessische Hochschule für öffentliches Management und Sicherheit Betroffene Beschäftige, Lehrbeauftragte und Student:innen über einen möglichen Datenabfluss nach einem Ransomware-Angriff im Februar 2024. Laut der Hochschule kann nicht ausgeschlossen werden, dass neben sensiblen Kontaktdaten auch Bankverbindungen, Steuernummern sowie Gesundheitsdaten gestohlen wurden. Die kompromittierten Daten reichen bis ins Jahr 2010 zurück. Ein Service-Postfach sowie eine Hotline für Betroffene wurde eingerichtet. Die Ermittlungen laufen.
EVENTIM
Momentan kommt man an der US-Sängerin Taylor Swift nicht vorbei. Konzertkarten für ihre Eras-Tour sind mehr als heißbegehrt. Dieser Hype hat aber auch dunkle Seiten: Cyberkriminelle wurden dadurch angelockt und versuchten über gehackte Eventim-Nutzerkonten an digitale Tickets zu gelangen und diese anschließend hochpreisig weiterzuverkaufen. Glücklicherweise halten sich laut Eventim die Fälle von unautorisierten Weiterverkäufen aber im niedrigen zweistelligen Bereich auf. Alle betrügerischen Transaktionen wurden umgehend rückgängig gemacht und der Weiterverkauf von Swift-Tickets vorübergehend gestoppt. Als Vorsichtsmaßnahme hat Eventim allen Nutzer:innen empfohlen, ihre Passwörter zurückzusetzen.
SALAMANDER
Aufgrund eines Cyberangriffs musste der deutsche Schuhhersteller Salamander, der vor allem für das Feuersalamander-Maskottchen "Lurchi" bekannt ist, Teile seines Internetauftritts herunterfahren. Auch der Betrieb in den über sechzig Filialen war dadurch beeinträchtigt. Seit Mitte April wird im Online-Shop nur eine Entschuldigungsseite angezeigt, auf der erläutert wird, dass die Plattform vorübergehend aus technischen Gründen nicht erreichbar ist und mit Hochdruck an einer Problemlösung gearbeitet wird.
COMPUTERHERSTELLER DELL
Kürzlich informierte der bekannte Computerhersteller Dell Millionen seiner Kund:innen über einen Datenschutzvorfall. Viele erhielten E-Mails mit einer Warnung, dass Cyberkriminelle in ein Kundenportal eingedrungen waren und Daten kopiert haben. Die verantwortliche Person mit dem Pseudonym "Menelik" meldete sich über US-Medien zu Wort und gab an, etwa 49 Millionen Kundendatensätze im Darknet veröffentlicht und zum Verkauf angeboten zu haben, nachdem Dell auf mehrere seiner E-Mails nicht reagiert hat. Der Angreifer nutzte eine Sicherheitslücke in einem Onlineportal für Vertriebspartner von Dell aus. Dank eines Incident-Response-Plans konnte Dell entsprechende Sicherheitsmaßnahmen schnell umsetzen. Obwohl Dell betont, dass für Kund:innen kein erhebliches Risiko besteht, ist es dennoch möglich, dass die abgeflossenen Informationen in Zukunft für gezielte Angriffe genutzt werden könnten.
LANDTECHNIK-SPEZIALIST LEMKEN
Der Landtechnik-Spezialist LEMKEN aus Niedersachsen ist Anfang Mai Opfer eines Ransomware-Angriffs geworden. Die Lahmlegung der weltweiten IT-Systeme des Unternehmens führte zu Produktionsstillständen an mehreren Standorten und Beeinträchtigungen im Bürobereich. Um weitere Zugriffe zu verhindern, wurden umgehend alle IT-Systeme abgeschaltet und externe IT-Experten hinzugezogen. Laut dem CEO laufen die internen Prozesse momentan nur im Notbetrieb, aber einzelne Systeme sollen in wenigen Tagen wieder hochgefahren werden. Bisher ist unklar, ob Kundendaten kompromittiert wurden.
MAX WILD GMBH & WEHRLE-WERK-AG
Auch zwei baden-württembergische Unternehmen hat es in diesem Monat getroffen. Zum einen das Bau- und Logistikunternehmen Max Wild GmbH aus Berkheim. Nach einem Cyberangriff mussten zahlreiche IT-Systeme herunterfahren werden. Es kam zu Einschränkungen in der telefonischen Erreichbarkeit und der digitalen Kommunikation. Geplant ist, Ende Mai in den Normalbetrieb mit Einschränkungen überzugehen. Außerdem wurde am 11. Mai 2024 auch der traditionsreiche Anlagenbauer Wehrle-Werk-AG aus Emmendingen angegriffen. Die Produktion und die Kommunikation des Unternehmens ist seither stark eingeschränkt. An einer Problemlösung und Systemwiederherstellung wird momentan intensiv gearbeitet.
LANDESREGIERUNG MECKLENBURG-VORPOMMERN
Ende des Monats waren mehrere Webseiten der Landesregierung Mecklenburg-Vorpommern, der Landespolizei und des Verfassungsschutzes aufgrund von DDos-Attacken nur eingeschränkt erreichbar. Betroffen war unter anderem die Onlinewache der Landespolizei zur Anzeigenerstattung. Ähnliche Angriffe hat es bereits im April und November letzten Jahres gegeben. Laut dem Digitalisierungsminister des Landes wird mit Hochdruck an einer Problemlösung gearbeitet. Es wurde versichert, dass die Polizeiarbeit jedoch zu keiner Zeit beeinträchtigt war. Die Verantwortlichen hinter den Angriffen sind weiterhin unbekannt.
Wir unterstützen Sie gerne
Und wieder zeigen die jüngsten Angriffe aus den unterschiedlichen Branchen, dass sich die Bedrohungslage im Cyberraum zunehmend verschärft. Kriminelle Vereinigungen organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Es ist offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird. Unsere Experten unterstützen Sie gerne dabei, sich vor den vielfältigen Bedrohungen bestmöglich zu schützen.
