Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat August zusammengefasst.
EVENTS
ISMS-Kompakt Basisschulung
Die Einführung eines Informationssicherheits-Managementsystem (ISMS) ist vor dem Hintergrund der ständigen Bedrohung aus dem Cyberraum ein “must-have” für Unternehmen und Verwaltungen.
In Zusammenarbeit mit Heinz Krippel (IT-Sicherheitscluster) bieten wir Ihnen in unserem 3-tägigen Seminar “ISMS-Kompakt” vom 14.11.22 bis 16.11.22 eine umfängliche Einführung in das Thema Informationssicherheit und praktische Hinweise.
In unserem Training lernen Sie:
- welches Managementsystem für Ihre Organisation das Richtige ist,
- Schritt für Schritt, wie Sie ein ISMS einführen – von der Planung bis zur Umsetzung,
- und viele praktische Tipps und Fallbeispiele unter Einbezug des webbasierten ISMS Tools.
MITARBEITERINTERVIEW
Weiterbildung zum CISIS12 Berater: Josef Axthammer im Interview
Josef Axthammer hat im Jahr 2011 als IT-Consultant bei INES IT gestartet. Bei mittlerweile 11 Jahren Betriebszugehörigkeit hat sich auch der Tätigkeitsbereich erweitert. So hat Josef sich im Laufe der Jahre auf den Bereich Informationssicherheit spezialisiert und vor kurzem die Prüfung zum zertifizierten CISIS12 Berater erfolgreich abgeschlossen – was wir gerne zum Anlass für ein kleines Interview nehmen.
INFORMATIONSSICHERHEIT
Schwerer Cyberangriff auf die IHK
Die Industrie- und Handelskammern (IHK) sind einem massiven Cyberangriff zum Opfer gefallen. 63 von insgesamt 79 Industrie- und Handelskammern in Deutschland sind mutmaßlich betroffen. Aus Sicherheitsgründen wurden daher vorsorglich die IT-Systeme aller Stellen in Deutschland heruntergefahren. Sowohl die Websites als auch die Telefonsysteme der einzelnen Kammern waren vorübergehend nicht erreichbar – im Moment ist nur noch die Kontaktaufnahme per E-Mail nicht möglich. Zugang schufen sich die Angreifer wohl über einen IT-Dienstleister der Industrie- und Handelskammern. Derzeit ist noch unklar, ob die Angreifer erfolgreich gewesen sind und Daten abgreifen konnten. Einen Erpressungsversuch mit einer Ransomware gebe es bisher aber nicht. Die IHK arbeitet derzeit daran, die Systeme nach intensiven Prüfungen kontrolliert und sicher wieder hochzufahren.
DATENSCHUTZ
Privacy in Bavaria
Seit Juni 2022 stellt der Bayerische Landesdatenschutzbeauftragte Prof. Dr. Thomas Petri einen Newsletter „Privacy in Bavaria“ bereit. Dieser beinhaltet Informationen zu gerichtlichen Entscheidungen, Veröffentlichungen von Aufsichtsbehörden und weiteren Quellen, die für bayerische öffentliche Stellen relevant sind.
Die Beiträge können über die Webseite direkt eingesehen, oder als RSS-Feed abonniert werden. Eine personalisierte Zustellung als E-Mail ist aus Gründen der Datenminimierung nicht vorgesehen.
DATENSCHUTZ
900.000€ Bußgeld gegen Kreditinstitut
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt.
Hintergrund war eine massenhafte Auswertung von Daten aktiver sowie ehemaliger Kunden des Unternehmens, ohne dass hierfür eine Einwilligung vorlag. Mit Unterstützung eines Dienstleisters wurde dabei das digitale Nutzungsverhalten zu Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern, sowie die Gesamthöhe von Überweisungen im Online-Banking im Gegensatz zum Filialangebot analysiert. Die Ergebnisse der Analyse wurden zudem mit Daten einer Wirtschaftsauskunftei abgeglichen und angereichert. Ziel war es, Kunden mit einer erhöhten Nutzung von digitalen Medien zu identifizieren und verstärkt über elektronische Kommunikationswege anzusprechen.
Dem Unternehmen wird vorgeworfen, eine Auswertung von personenbezogenen Daten alleine auf Grundlage einer Interessenabwägung (Art.6 Abs.1 lit.f) durchgeführt zu haben, ohne dabei die Interessen der betroffenen Kunden ausreichend mit einzubeziehen. Der Bußgeldbescheid ist noch nicht rechtskräftig.
INFORMATIONSSICHERHEIT
Angriff auf den E-Mail-Marketinganbieter MailChimp & das unerkannte Risiko von Cloud-Anwendungen
Bei über 200 Benutzerkonten des Anbieters MailChimp wurden E-Mail-Adressen abgegriffen, die zum Versand von Marketing-Mailings in der Anwendung hinterlegt sind. Wie viele E-Mail-Adressen betroffen sind, ist nicht bekannt. Der Angriff richtete sich wohl gezielt auf Unternehmen aus der Krypto- und Cloud-Branche. Angriffe auf Krypto-Wallets sind ein lukratives Ziel für Angreifer. Um täuschend echte Phishing-Mails zu versenden, benötigen sie jedoch die E-Mail-Adresse von Besitzern bei der anvisierten Börse. Bereits im April dieses Jahres gab es zahlreiche Versuche, per Phishing-Mails Zugriff auf Krypto-Wallets von Kunden zu erhalten, nachdem Cyberkriminelle sich vorab Zugriff auf die Kundendaten über MailChimp verschafft haben. Mit einer offiziellen Stellungnahme und Screenshots zu den täuschend echten Phishing Mails warnte der Hardware Wallet Anbieter Trezor seine Kunden.
Der Angriff auf MailChimp verdeutlicht das Risiko von Cloud-Anwendungen, die keine Sicherheitsstandards wie Single-Sign-On (SSO) oder 2-Faktor-Authentifizierung unterstützen. Die IT konzentriert sich (verständlicherweise) meist auf die wichtigsten geschäftskritischen Anwendungen wie z. B. ERP- oder CRM-Systeme. Doch Cyberkriminelle wissen, dass es ein leichteres Spiel ist, durch die Hintertür in Unternehmen einzudringen. Wir empfehlen Ihnen, auch solche Cloud-Anwendungen im Blick zu haben und stets die Multifaktor-Authentifizierung zu aktivieren.
INFORMATIONSSICHERHEIT
80.000 Hikvision-Kameras weiterhin angreifbar trotz aktualisierter Firmware
Im September letzten Jahres hat der Hersteller Hikvision eine Sicherheitslücke in seinen Überwachungskameras mit einer aktualisierten Firmware geschlossen. Die Sicherheitsfirma Cyfirma hat nach Recherchen herausgefunden, dass weiterhin über 80.000 Überwachungskamera verwundbar im Netz sind. Es handelt sich dabei um eine kritische Sicherheitslücke, bei der Angreifer beliebige Befehle auf den Geräten ausführen können. Mindestens zwei Exploits sind öffentlich zugänglich. Die Rechercheergebnisse verdeutlichen, dass Überwachungskameras nicht immer in der regelmäßigen Wartung der IT-Systeme mitaufgenommen werden. Darüber hinaus empfehlen wir Ihnen regelmäßige Security Scans, die solche kritische Sicherheitslücken in Ihrer IT-Umgebung aufdecken