Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat September zusammengefasst.
EVENTS
ISMS-Kompakt Basisschulung
Die Einführung eines Informationssicherheits-Managementsystems (ISMS) ist vor dem Hintergrund der ständigen Bedrohung aus dem Cyberraum ein “must-have” für Unternehmen und Verwaltungen.
In Zusammenarbeit mit Heinz Krippel (IT-Sicherheitscluster) bieten wir Ihnen in unserem 3-tägigen Seminar “ISMS-Kompakt” vom 14.11.22 bis 16.11.22 eine umfängliche Einführung in das Thema Informationssicherheit und praktische Hinweise.
In unserem Training lernen Sie:
- welches Managementsystem für Ihre Organisation das Richtige ist,
- Schritt für Schritt, wie Sie ein ISMS einführen – von der Planung bis zur Umsetzung,
- und viele praktische Tipps und Fallbeispiele unter Einbezug eines webbasierten ISMS Tools.
COMPLIANCE
Wie sich die Haftung der obersten Leitung aufgrund fehlender Compliance-Strukturen vermeiden lässt
Die oberste Leitung einer Organisation hat entsprechend geltender Gesetze Zuverlässigkeitspflichten in Bezug auf Compliance Anforderungen einzuhalten. Dies bedeutet, dass technische und organisatorische Regeln verabschiedet werden und die Einhaltung dieser Regeln kontrolliert werden muss. In unserem Artikel haben wir für Sie die wichtigsten Informationen zusammengefasst.
INFORMATIONSSICHERHEIT
Phishing-Attacken aufgrund hoher Energiepreise
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer Phishing Welle im Zusammenhang mit den stark gestiegenen Energiepreisen aufgrund des Ukraine-Kriegs.
Angreifer nutzen besonders gerne Krisen und die sich daraus ergebenden Herausforderungen, um die Wahrscheinlichkeit zu erhöhen, dass auf Links in Betrugsmails geklickt wird.
Seien Sie besonders vorsichtig bei E-Mails mit Betreffzeilen wie: „Jetzt Energiepauschale sichern!“, „Wir überweisen die Energiepauschale!“, „Bereit für Ihren Energiebonus?“, oder vergleichbare Texte. In der Regel werden hierfür seriöse Absender wie beispielsweise Banken verwendet.
Prüfen Sie den Wahrheitsgehalt dieser E-Mails genau und geben Sie keinesfalls persönliche Daten auf Webseiten ein, die in den Phishing Mails verlinkt wurden.
INFORMATIONSSICHERHEIT
Cyberangriff auf die Caritas
Der Caritasverband der Erzdiözese München und Freising ist einem Cyberangriff zum Opfer gefallen. Dabei wurden zahlreiche Störungen im IT-System verzeichnet. Trotz diverser Sicherheitsvorkehrungen ist es den Angreifern gelungen, Daten aus den Systemen abzugreifen und im Nachgang interne Daten zu verschlüsseln. Das konkrete Ausmaß des Angriffes ist aktuell noch nicht bekannt. Da durch die Lahmlegung des digitalen Systems die Prozesse analog durchgeführt werden müssen, kann es zu Einschränkungen in der Erreichbarkeit kommen. Caritas hat bereits Anzeige erstattet und ein eigens eingerichteter Krisenstab arbeitet an der Behebung des Problems.
Erst kürzlich hat sich eine internationale Gruppe von Cyberkriminellen zu dem Angriff bekannt. Für die Freigabe der verschlüsselten Daten haben die Angreifer Lösegeld in einer Kryptowährung gefordert. Die Caritas hat sich allerdings gegen eine Zahlung entschieden und möchte stattdessen eine alternative IT-Infrastruktur aufbauen.
DATENSCHUTZ
Microsoft aktualisiert Auftragsverarbeitungsvertrag
Microsoft haben eine neue Version ihres Auftragsverarbeitungsvertrags – Microsoft Products and Services Data Protection Addendum (DPA) – veröffentlicht. (Die deutsche Version des DPA wird in der Regel 5-10 Tage nach der englischen Version eingestellt.) Dieser richtet sich vor allem auch an Anwendungen in Microsoft 365. Die wichtigsten Aktualisierungen beziehen sich auf:
- Die Einbindung der neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) aus dem Jahr 2021. Damit werden die alten SCCs gestrichen, deren Gültigkeit nur noch bis Ende Dezember 2022 gegeben war.
- Präzisierung der Datenverarbeitung zu eigenen Zwecken z.B. für Statistiken. Microsoft sichert dabei zu, weder auf Inhaltsdaten zuzugreifen noch diese zu analysieren.
- Eine Offenlegung von Daten gegenüber staatlichen Stellen erfolgt nach den Maßstäben der Europäischen Datenschutzgrundverordnung (DSGVO). Damit erfolgen Offenlegungen im Rahmen des europäischen Rechts.
- Das notwendige Transfer Impact Assessment (TIA) im Rahmen von Drittlandsübermittlungen erfolgt durch Microsoft als Datenexporteur. Damit liegt die Verantwortung für die Gewährleistung eines angemessenen Datenschutzniveaus in erster Linie bei Microsoft.
Ein datenschutzkonformer Einsatz von M365 ist unter den Voraussetzungen der DSGVO und dem Maßstab der Datenschutzaufsichtsbehörden eine Herausforderung. Neben einer Datenschutzfolgenabschätzung und risikominimierenden technischen und organisatorischen Maßnahmen, stellt das neue Vertragswerk einen weiteren Baustein für eine datenschutzfreundliche Verwendung dar.
INFORMATIONSSICHERHEIT
IT-Dienste des Wasserzähler-Anbieters Ista lahmgelegt
Sowohl die deutsche als auch die österreichische Niederlassung der ISTA-Gruppe ist von einem Cyberangriff betroffen. Der Anbieter ist vielerorts für Wasserabrechnungen und Wasserzähler zuständig. Um Schäden an der IT-Infrastruktur zu vermeiden, wurden alle potenziell betroffenen IT-Systeme des Unternehmens vom Netz genommen. Daher sind einige Funktionen und Serviceangebote nur eingeschränkt nutzbar.
Bisher ist unklar, auf welche Daten die Angreifer zugegriffen haben und ob es sich dabei um Kundendaten handelt. Zum eigenen Schutz sollten Kunden jedoch alle Kennwörter ändern, die in Verbindung mit Ista und anderen Online-Diensten genutzt werden.
Aufgrund der Häufung von Cyberangriffen auf Unternehmen und Organisationen schreiben Cyberversicherer nun erstmals rote Zahlen. Im Jahr 2021 mussten die Versicherer knapp 3700 Cyberangriffe regulieren – ein Plus von 56 Prozent gegenüber dem Vorjahr. Dafür leisteten sie etwa 137 Millionen Euro – fast dreimal so viel (+187,6 Prozent) wie 2020. Da die Aufwendungen die Einnahmen übersteigen, rutschen die Unternehmen damit erstmals in die Verlustzone.
INFORMATIONSSICHERHEIT
Abmahnungen zu Google Fonts
Wegen einer dynamischen Einbindung von Google Fonts im Webauftritt werden aktuell massenhaft Abmahnungen versendet. Prüfen Sie deshalb Ihre Webseite auf konforme Umsetzung. Hierzu können Sie ein Testtool verwenden wie z.B. den Google-Fonts-Checker.
Um das Risiko einer Abmahnung auszuschließen, ist der geeignetste Weg, die Schriften lokal zu implementieren. Damit erfolgt keine Datenübermittlung von IP-Adressen der Webseitenbesucher an Google ohne deren Einwilligung.
Wenn wir Sie hierzu oder allgemein zur konformen Umsetzung Ihres Webauftritts unterstützen dürfen, kommen Sie gerne jeder Zeit auf uns zu.