Archive

Home » News » Security Newsletter 06/2022

Security Newsletter 06/2022

Home » News » Security Newsletter 06/2022
alle News
DATENSCHUTZ
Verbesserungen des Datenschutzes in der Urlaubszeit

Für viele von uns steht der Sommerurlaub vor der Tür. Damit der Schritt in die schönste Zeit des Jahres aus Sicht des Datenschutzes und der Informationssicherheit so entspannt wie möglich verläuft, haben wir für Sie einige wichtige Anregungen in diesem Artikel zusammengefasst. 

INFORMATIONSSICHERHEIT
IT in der Produktion – Top 10 Bedrohungen

Fast alle Infrastrukturen, die physische Prozesse steuern, setzen Systeme zur Fertigungs- und Prozessautomatisierung (kurz ICS) ein. Diese ICS sind immer häufiger Cyberangriffen ausgesetzt. Da das Risiko weiter steigt und immer mehr Schwachstellen entdeckt werden, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuellen Bedrohungen für ICS mit der höchsten Kritikalität zusammengestellt. Das Dokument “ICS Security: Top 10 Bedrohungen und Gegenmaßnahmen” gibt einen Überblick über die Top 10 Bedrohungsszenarien für industrielle Anlagen und beschreibt geeignete Gegenmaßnahmen zur Abwehr und Schadenseingrenzung.

DATENSCHUTZ
Orientierungshilfe - Das Recht auf Löschung nach der DSGVO

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine neue Orientierungshilfe „Das Recht auf Löschung nach der DSGVO“ veröffentlicht. Die Orientierungshilfe erläutert anhand der gesetzlichen Regelungen des Art. 17 DSGVO das Recht auf Löschung und soll Auslegungs- und Anwendungshilfen für die Praxis der bayerischen öffentlichen Stellen bieten.

Werden durch Aufsichtsbehörden neue Dokumente veröffentlicht oder überarbeitet, lassen sich daraus in der Regel Interpretationen für die Praxis ableiten. Deshalb möchten wir Sie an dieser Stelle auf die Änderungsliste des BayLfD hinweisen.

INFORMATIONSSICHERHEIT
Hackerangriff auf die Grünen

Die Partei “Die Grünen” ist Opfer eines Hackerangriffes geworden. Die Angreifer haben sich Zugang auf das parteiinterne IT-System verschafft und konnten somit auf E-Mails der Bundesvorsitzenden und das Intranet der Grünen zugreifen. Dabei haben die Hacker ein Administrationskonto gehackt und dann E-Mails, die von Außenstehenden an Grünen-Mitglieder adressiert waren, an einen Server in Moldau weitergeleitet. Als prominenteste Zielpersonen gelten die beiden Parteivorsitzenden Ricarda Lang und Omid Nouripour.

Bemerkt wurde der Angriff, nachdem die Grünen-Mitglieder Fehlermeldungen bekamen, dass weitergeleitete Mails nicht zugestellt werden konnten, obwohl von diesen keine Weiterleitung eingerichtet worden war. Wer die Angreifer sind und inwiefern die Hacker an sensible Informationen gekommen sind, ist derzeit noch unklar. Das LKA sowie das Bundeskriminalamt ermitteln nun.

DATENSCHUTZ
Aktion des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA)

Anfang Juni wurde durch das BayLDA eine Pressemitteilung „E-Mail-Accounts im Visier von Cyberkriminellen – Hilfestellung für bayerische Unternehmen“ veröffentlicht. Bereits im Mai 2022 wurde mit Stichprobenprüfungen eine Präventionskampagne eingeleitet, um verantwortliche Stellen für Cyberangriffe auf E-Mail Accounts zu sensibilisieren.

Im Rahmen der Prüfung werden Sicherheitsmaßnahmen bei zufällig ausgesuchten Unternehmen abgefragt und müssen gegenüber dem BayLDA beantwortet werden. Jede Organisation kann von dieser Prüfaktion profitieren, da alle Prüfunterlagen durch das BayLDA zur Verfügung gestellt werden.

INFORMATIONSSICHERHEIT
Landesregierung Kärnten wird von Hackern erpresst

Nach einem Angriff der Hackergruppe BlackCat auf die österreichische Landesregierung Kärnten wurden die IT-Systeme der Landesverwaltung, der Bezirkshauptmannschaften, des Landesrechnungshofes und des Verwaltungsgerichtes lahmgelegt. Durch eine Phishing-Mail, die mit einer Schadsoftware infiziert war, konnten die Angreifer in die IT-Systeme eindringen, Daten stehlen und verschlüsseln. Die Hacker drohten mit der Veröffentlichung der erbeuteten Daten und fordern Lösegeld in Höhe von fünf Millionen Euro in Bitcoin. Da die Landesregierung diesen Forderungen nicht nachgeht, üben die Hacker mit Überlastungsangriffen weiter Druck aus. IT-Experten des Landes sowie externe Experten arbeiten mit Hochdruck daran, weitere Angriffe abzuwehren und die Systeme wiederherzustellen.

Obwohl die Landesregierung Kärnten über ein ausgereiftes Sicherheitssystem sowie eine Zertifizierung zur IT-Sicherheit verfügt, konnten die Hacker anscheinend frei agieren. Gerade deswegen wird deutlich, wie wichtig geschultes Personal sowie die Stärkung von präventiven Maßnahmen sind.

DATENSCHUTZ
Google Fonts – Schreiben mit Schadensersatzforderung werden versendet

Mit Urteil vom 20.01.2022 Az. 3 O 17493/20 hat das Landgericht München I die Betreiberin einer Webseite auf Unterlassung und Zahlung eines Schadensersatzes in Höhe von 100€ verurteilt. Wir berichteten hierzu im Newsletter 02/2022.

Dieses Urteil hat Menschen dazu motiviert, Abmahnschreiben an Webseitenbetreiber zu verfassen, die Google Fonts immer noch dynamisch implementiert haben. Diese enthalten einen Verweis auf das Urteil und dem zugefügten Schaden bei Besuch der Website sowie der damit verbundenen Verletzung der Persönlichkeitsrechte durch Übermittlung der IP-Adresse an Google. Die Schreiben fordern in einer freundlichen Schreibweise zur Zahlung von 100€ innerhalb einer definierten Frist an den Absender auf und werden mittlerweile per Post oder E-Mail zugestellt.

Wie sollte man sich am besten verhalten? 
Klar ist, dass Webseitenbetreiber die Google Fonts dynamisch einsetzen, gegen Datenschutzbestimmungen verstoßen und Google Fonts kurzfristig lokal einbinden sollten. Klar ist aber auch, dass der Versand massenhafter Abmahnbriefe mit dem Ziel, sich selbst zu bereichern als juristisch äußerst fragwürdig bezeichnet werden kann. 

Wir raten Organisationen, nicht zu zahlen und den Vorgang mit dem Justiziar oder einem Rechtsbeistand zu besprechen. Das Risiko einer Beschwerde gegenüber einer Aufsichtsbehörde oder der Beschreitung des gerichtlichen Wegs ist auf Grund der massenhaften Zustellung mit Selbstbereicherungsabsicht vermutlich sehr gering. 

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News
Kontakt und mehr