Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat August zusammengefasst.
WEBINAR
“IT-Recht & Schutz vor Cyberangriffen”
IT-Sicherheit schützt alle vorhandenen Assets eines Unternehmens. Sie stellt sicher, dass Daten jederzeit fehlerfrei zur Verfügung stehen und vor unbefugtem Zugriff geschützt sind. Der Gesetzgeber hat auf die zunehmende Bedrohungslage reagiert, indem er zahlreiche Gesetze und Richtlinien verabschiedet hat, die auch kleinere Unternehmen zwingen, sich mit der IT-Sicherheit ihres Unternehmens auseinanderzusetzen.
In unserem kostenlosen Live-Webinar in Zusammenarbeit mit LiiDU am Donnerstag, den 21. September 2023 um 13:30 Uhr, erfahren Sie:
- Hilfreiche Informationen zur NIS2-Richtlinie (ehemals IT-Sicherheitsgesetz 3.0), das für Unternehmen ab 50 Mitarbeitenden in bestimmten Sektoren verpflichtend ist und im Oktober 2024 in Kraft tritt
- Rechtliche Vorgaben in der IT-Sicherheit und wegweisende Gerichtsurteile
- Präventive Maßnahmen und wertvolle praxiserbrote Tipps, um Ihr Unternehmen vor Cyberangriffen zu schützen
DATENSCHUTZ
Hohes Bußgeld für Unternehmen durch Berliner Datenschutzaufsicht
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen ein Bußgeld in Höhe von insgesamt 215.000 Euro verhängt.
Die BlnBDI wurde durch Medienberichte sowie eine persönliche Beschwerde auf das Unternehmen aufmerksam und leitete eine Prüfung ein. Hierbei wurde festgestellt, dass durch eine Vorgesetzte auf Weisung der Geschäftsführung eine Liste geführt wurde, um mögliche Kündigungen zum Ende der Probezeit vorzubereiten. Elf Personen wurden als “kritisch” oder “sehr kritisch” aufgeführt. In einer Tabellenspalte namens “Begründung“ wurde dies noch näher erläutert. Es wurden Angaben zu persönlichen Äußerungen, gesundheitlichen Aspekten, außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen oder das mögliche Interesse an einer Betriebsratsgründung gemacht. In den meisten Fällen hatten die Beschäftigten die Informationen für die Dienstplanung selbst mitgeteilt. Die Datenverarbeitung in der Liste war ihnen aber nicht bekannt.
Neben diesem Hauptaspekt wurden auch noch drei weitere Bußgelder in Höhe von insgesamt 40.000 Euro gegen das Unternehmen verhängt. Die Gründe dafür waren: fehlende Einbindung des Datenschutzbeauftragten bei der oben beschriebenen Liste, fehlende Aufführung der Liste im Verzeichnis von Verarbeitungstätigkeiten, sowie die verspätete Meldung einer Datenpanne.
DATENSCHUTZ
Verordnung über die Organisation der externen Meldestelle des Bundes für Hinweisgeber
Das Hinweisgeberschutzgesetz (HinSchG) ist am 02. Juli 2023 in Kraft getreten. Es enthält die Verpflichtung zur Einrichtung einer externen Meldestelle für Hinweisgeber, die beim Bundesamt für Justiz eingerichtet wurde.
Am 10. August 2023 wurde die Verordnung über die Organisation der externen Meldestelle des Bundes (Hinweisgeberschutzgesetz-Externe-Meldestelle-des-Bundes-Verordnung – HEMBV) im Bundesgesetzblatt verkündet. Mit der HEMBV wird die Ausgestaltung der Organisation und des Verfahrens der externen Meldestelle des Bundes geregelt.
Grundsätzlich sollte für Unternehmen ein hohes Interesse daran bestehen, dass Hinweisgeber die internen Meldewege verwenden. Wichtige Voraussetzungen hierfür sind, dass die Meldewege den Beschäftigten bekannt sind, sie transparent beschrieben werden und so vertraulich wie möglich angeboten werden.
INFORMATIONSSICHERHEIT
BKA Statistik zur Cyberkriminalität 2022 wurde vorgestellt
Das Bundeslagebild zur Cyberkriminalität 2022 wurde im Rahmen einer Pressekonferenz Mitte August 2023 durch das Bundeskriminalamt (BKA) und den Digitalwirtschaftsverbands Bitkom (Bitkom) vorgestellt. Trotz eines Rückgangs um 6,5 Prozent gegenüber dem Jahr 2021, wurden im Berichtszeitraum 136.865 Fälle von Cyberkriminalität beim BKA registriert. Damit bleibt die Anzahl von Cyberangriffen weiterhin auf einem sehr hohen Niveau. Das BKA betont ausdrücklich, dass leider kein Zeichen für eine Trendwende zu erkennen ist.
Wir haben das Wichtigste zum Lagebild 2022 in einem Artikel für Sie zusammengefasst.
INFORMATIONSSICHERHEIT
Cyberangriffe im August
In diesem Monat haben Hacker die IT-Systeme des Trinkwasserverbands Stader Land (TWV) lahmgelegt. Es handelte sich offenbar um einen Ransomware-Angriff. Die Wasserversorgung war davon aber zu keinem Zeitpunkt betroffen. Der Verband arbeitet mit externen Experten an der Wiederherstellung der betroffenen IT-Systeme.
Auch die Münchner Verlagsgruppe, Deutschlands größter Sachbuchverlag, ist einem Hackerangriff zum Opfer gefallen. Sensible Daten wurden gelöscht und verschlüsselt, darunter auch Adressen, Bankdaten und Verträge zwischen Verlag und Autor:innen. Es tauchten Erpresserschreiben auf den PC-Bildschirmen der Mitarbeitenden auf. Die Täter nannten sich “Metaencrypter” und verlangten Lösegeld, das jedoch nicht bezahlt worden ist.
Cyberkriminelle haben am 11. August 2023 die Webseite der S-Bahn Hannover angegriffen. Die Webseite blieb über den gesamten Vormittag hin offline und lud anschließend weiterhin zögerlich. Das Ziel des Angriffs konnte schnell lokalisiert werden. Bei dem Angriff wurden keine Daten kompromittiert.
Das Unternehmen EcoReporter hat am 7. August 2023 bekannt gegeben, dass es erneut Ziel von Cyberkriminellen geworden ist. Laut der Mitteilung des Unternehmens versuchten die Hacker die Webseite des Verlagshauses lahmzulegen und somit den Zugriff zu redaktionellen Inhalten einzuschränken. EcoReporter reagierte umgehend darauf. Die Nutzer mussten auf der Webseite vor dem Zugriff auf Artikel verifizieren, dass es sich bei ihnen um Menschen handelt. Es ist aufgrund der Sicherheitsvorkehrungen wahrscheinlich, dass es sich bei dem Angriff um einen DDoS-Angriff handelte. Um den Dritten innerhalb von fünf Wochen.
Ein massiver Ransomwareangriff hat sich Mitte August beim Clouddienstleister CloudNordic ereignet. Ein Zugriff und damit ein Verlust der Vertraulichkeit bei Kundendaten konnte ausgeschlossen werden. Die Informationen sind aber vollständig verloren und lassen sich nicht wiederherstellen. Das bedeutet, dass die meisten Kunden alle Daten beim Clouddienstleister verloren haben. CloudNordic ist bewusst, dass der Angriff für viele Kunden kritisch sei. Aktuell sind Systeme, wie Web- oder Mailserver, ohne Daten wiederhergestellt. Zur vollständigen Restaurierung verweist das Unternehmen auf lokale Datensicherungen bei den Kunden.
Verfügen Sie über ein Offline-Backup Ihrer Daten, die Sie bei Clouddienstleistern ausgelagert haben? Der Angriff zeigt, wie wichtig es ist, sich mit dieser Thematik auseinanderzusetzen.