Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat Juli zusammengefasst.
WEBINAR
“Schutz vor Cyberangriffen & IT-Recht”
IT-Sicherheit schützt alle vorhandenen Assets eines Unternehmens. Sie stellt sicher, dass Daten jederzeit fehlerfrei zur Verfügung stehen und vor unbefugtem Zugriff geschützt sind. Der Gesetzgeber hat auf die zunehmende Bedrohungslage reagiert, indem er zahlreiche Gesetze und Richtlinien verabschiedet hat, die auch kleinere Unternehmen zwingen, sich mit der IT-Sicherheit ihres Unternehmens auseinanderzusetzen.
In unserem kostenlosen Live-Webinar in Zusammenarbeit mit LiiDU am Donnerstag, den 21. September 2023 um 13:30 Uhr, erfahren Sie:
- aktuelle Informationen zu rechtlichen Vorgaben bei der IT-Sicherheit
- welchen Herausforderungen Sie sich 2023 mit dem IT-Sicherheitsgesetz 3.0 stellen müssen
- mit welchen präventiven Maßnahmen Sie häufig vorkommende Sicherheitsvorfälle verhindern und
- wertvolle Tipps, wie Sie Ihr Unternehmen vor Cyberangriffen schützen können.
DATENSCHUTZ
Zahlreiche Unternehmen weltweit von kritischer MOVEit-Sicherheitslücke betroffen
Derzeit sind weltweit zahlreiche Organisationen von der kritischen Sicherheitslücke der beliebten Datenübertragungssoftware MOVEit von Ipswitch, Inc. betroffen. Auch in Deutschland sind mehr als 100 Unternehmen zu Schaden gekommen, Tendenz steigend. Die Cybergang CI0p hat die Anfälligkeit des Produkts für SQL-Injection missbraucht, um massenhaft sensible Daten zu kopieren und die Opfer mit der Veröffentlichung von Gehaltsdaten zu erpressen. Inzwischen hat Progress, der Anbieter der Software, mehrere Sicherheitspatches veröffentlicht und bittet IT-Verantwortliche die bereitstehenden Aktualisierungen zügig anzuwenden.
Hierzulande ist das bekannte Preisvergleichsportal Verivox eines von unzähligen Opfern. Wie viele von den rund acht Millionen personenbezogenen Daten gestohlen worden sind ist noch unklar. Verivox empfiehlt ihren Kunden, die Kontobewegungen und Kreditkartenabrechnungen zu beobachten. Auch Kunden von großen Finanzinstituten wie die ING, Postbank und die zur Commerzbank gehörende Comdirect sind von dem Datenleak betroffen. In Großbritannien befinden sich unter den Betroffenen der öffentlich-rechtliche Sender BBC und die Fluggesellschaften British Airways sowie Aer Lingus.
DATENSCHUTZ
Tätigkeitsberichte der Bayerischen Aufsichtsbehörden
Das Bayerische Landesamt für Datenschutzaufsicht (Wirtschaft, Vereine) und der Landesbeauftragte für den Datenschutz Bayern (Kommunaler Bereich), haben ihre Tätigkeitsberichte für das Jahr 2022 veröffentlicht. Für Datenschutzbeauftragte und Datenschutz Interessierte bedeuten die Tätigkeitsberichte eine wichtige Wissensgrundlage. Sie zeigen die Sichtweise und die Auslegung der Behörden bei der Bearbeitung von Anfragen und Beschwerden. Diese Erkenntnisse aus den Berichten können zielführend in eigene, interne Fallbearbeitungen einfließen.
INFORMATIONSSICHERHEIT
Wichtiges Sicherheitsupdate für iPhones
Aktuell werden laut Apple iPhones, iPads aber auch Macs aktiv angegriffen. Mit einem wichtigen Sicherheitsupdate, Versionsnummer iOS 16.6, sollen die Browser- und Kernel-Schwachstellen geschlossen werden. Wir empfehlen Ihnen, das Update so schnell wie möglich herunterzuladen, um die missbräuchliche Verwendung von Daten zu verhindern.
DATENSCHUTZ
Neues Schweizer Datenschutzgesetz tritt in Kraft
Ab dem 1. September 2023 tritt das Schweizer Bundesgesetz über den Datenschutz“ (DSG) ohne Umsetzungsfrist in Kraft. Aufgrund des Marktortprinzips kann sich die Gesetzgebung auch auf deutsche verantwortliche Stellen auswirken. Das Marktortprinzip bedeutet, dass es nicht darauf ankommt, ob das Unternehmen selbst oder eine Niederlassung seinen Sitz in der Schweiz hat. Nach §3 Abs.1 DSG reicht es aus, dass es um Sachverhalte geht, die sich in der Schweiz auswirken, auch wenn diese im Ausland veranlasst wurden. Entgegen dem aktuellen DSG, werden ab 01.09. keine juristischen Personen mehr vom Anwendungsbereich erfasst. Grundsätzlich kann aber festgehalten werden, dass Unternehmen, die bereits nach den Vorgaben der DSGVO ihre Unternehmensprozesse ausgerichtet haben, nur punktuellen Anpassungsbedarf haben.
DATENSCHUTZ
Neuer Angemessenheitsbeschluss mit USA
Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für den Transatlantischen Datenschutzrahmen (Trans-Atlantic Data Privacy Framework TADPF oder nur DPF) angenommen. Damit ist das DPF der zweite Nachfolger des durch das Schrems-I Urteil ausgesetzte Safe Harbor Abkommen 2015 und dessen Nachfolger Privacy Shield, dass mit dem Schrems-II Urteil 2020 für ungültig erklärt wurde. Wir haben das Wichtigste für Sie in einem Artikel zusammengefasst.
DATENSCHUTZ
Angemessenheitsbeschluss mit USA wirkt sich auf Websites aus
Viele Organisationen binden in ihre Webauftritte US-Dienste ein und nahmen damit auch erweiterte Anforderungen in Kauf. Diese ergaben sich unter anderem auch auf Grund der fehlenden Rechtssicherheit bei Datenverarbeitungen in den USA. Durch den nun verabschiedeten Angemessenheitsbeschluss wird sich der Risiko-Score auf Webseiten mit eingebetteten US-Diensten verbessern. Diese erfolgen damit nicht mehr in unsicheren Drittstaaten.
Für Kunden deren Websites wir im Rahmen der Datenschutzberatung monitoren, werden wir den aktualisierten Stand im Laufe des Augusts neu bewerten und zustellen. Selbstverständlich werden dabei die Selbstzertifizierungen der IT-Dienstleister gegengeprüft. Falls Sie an einem Risiko-Score für Ihre Website interessiert sind, melden Sie sich gerne bei uns.
INFORMATIONSSICHERHEIT
Cyberangriffe im Juli
In diesem Monat gab es einen Hackerangriff auf die polnische Spionage-App LetMeSpy, mit der sich Smartphones aus der Distanz überwachen lassen. Der Angreifer hat sich unautorisierten Zugriff zu Nutzerdaten, die bis ins Jahr 2013 zurückreichen, verschaffen können und zahlreiche Daten gestohlen.
Zudem gab es aufgrund einer Sicherheitslücke von Microsoft einen Hackerangriff auf die E-Mail-Konten der SPD-Parteivorstände. Generalsekretär Kevin Kühnert teilte mit, dass der Angriff mutmaßlich aus Russland erfolgte. Die Sicherheitsbehörden hätten schon seit einiger Zeit vor der bestehenden Gefahr gewarnt, in Anbetracht der Haltung gegenüber dem russischen Angriffskrieg gegen die Ukraine. Ein Abfluss an Daten kann nicht ausgeschlossen werden.
Ähnlich ging es auch der Krankenkasse Barmer. Sie machte darauf aufmerksam, dass Cyberkriminelle bei ihrem externen Bonusprogramm-Dienstleister auf Kundendaten, darunter auch IBANs und Prämienbeiträge zugreifen konnten. Die Barmer meldete aber auch, dass kein unbefugter Zugriff auf ihre eigenen IT-Systeme stattgefunden hat. Das genaue Ausmaß des Diebstals ist noch nicht abschließend ermittelt.
Die Website der Europäischen Investitionsbank (EIB) war aufgrund einer Cyberattacke an einem Abend komplett offline. Genauere Details sind noch nicht bekannt, aber vermutlich handelte es sich um eine DDos-Attacke, bei der die Hacker die Server mit Datenanfragen bombardiert haben.
Auch die Saarland Versicherungen sind einem Angriff zum Opfer gefallen. Rund 17 700 Kunden sind betroffen, die dort Riesterverträge abgeschlossen haben. Ziel des Angriffs war der externe Dienstleister Majorel. Die Sicherheitslücke wurde sofort behoben, die betroffene Datenaustauschplattform außer Betrieb genommen und verdächtige Nutzerkonten gesperrt.
Außerdem ist das Gesundheits- und Sozialministerium in Dresden auf eine bekannte Betrugsmasche hereingefallen und hat dadurch mehrere Hunderttausend Euro verloren. Das Ministerium ist bei der Beschaffung von Schutzzäunen zur Eindämmung der Afrikanischen Schweinepest einem Phishing-Angriff aufgesessen. Den Betrügern ist es gelungen, ihnen eine falsche Kontonummer unterzuschieben. Das Risiko von Phishing-Angriffen steigt heutzutage rasant und betrifft mittlerweile jedes Unternehmen. Durch den Einsatz von generativen KI-Systemen wie WormGPT, nehmen Cyber- und Phishingattacken deutlich an Qualität und Quantität zu. Wenn wir Sie bei der Sensibilisierung Ihrer Mitarbeiter gegen Cyberangriffe mit Hilfe einer Phishing-Simulation unterstützen können, kommen Sie gerne jederzeit auf uns zu.