Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat September zusammengefasst.
BUSINESS BRUNCH
“Mit Managed Detection and Response (MDR) das Risiko von Cyberangriffen verringern”
Wir laden Sie herzlich zu unserem exklusiven und kostenlosen Business Brunch am Donnerstag, den 23. November 2023 in Zusammenarbeit mit Sophos, dem weltweit führenden Anbieter für Cybersecurity-Lösungen, ein.
Erfahren Sie bei leckerem Essen mehr über die spannende Welt der Managed Detection and Response (MDR) Lösungen, die entscheidend dazu beitragen, Ihre IT-Infrastruktur sicherer zu gestalten. Mehr Details zur Veranstaltung finden Sie hier.
Um einen Austausch zwischen den Teilnehmenden sicherzustellen, ist die Teilnehmerzahl begrenzt. Wir empfehlen daher eine frühzeitige Anmeldung. Wir freuen uns auf Ihre Teilnahme und eine informative sowie interaktive Veranstaltung.
RÜCKBLICK
Webinar “IT-Recht & Schutz vor Cyberangriffen”
Am Donnerstag, den 21. September 2023 fand unser Webinar „Schutz vor Cyberangriffen & IT-Recht“ in Zusammenarbeit mit LiiDu statt. Wir haben uns sehr über die zahlreiche Teilnahme und das hohe Interesse gefreut. Vielen Dank dafür!
Falls Sie nicht live mit dabei sein konnten, aber dennoch von unserem Wissen profitieren wollen, können Sie die Aufzeichnung des Webinars jederzeit und beliebig oft unter diesem Link aufrufen. Sollten Sie noch Fragen rund um das Thema NIS2 haben, wenden Sie sich an Informations- und Cybersicherheitsberater Florian Wiesenbauer (florian.wiesenbauer@ines-it.de) oder an Rechtsanwältin Sabine Sobola (info@liidu.de) .
Sichern Sie sich hier ein kostenloses 30-minütiges Kennenlern-Gespräch mit unseren Expert:innen.
DATENSCHUTZ
Hinweisgeberschutzgesetz (HinschG)
Das Hinweisgeberschutzgesetz (HinschG) entfaltet ab dem 17.12.2023 für die zweite Kategorie von Organisationen seine Wirkung. Dann müssen auch Unternehmen mit 50 bis 249 Mitarbeiter:innen die Anforderungen des HinschG umsetzen.
Bitte denken Sie daran, dass bereits im Auswahlprozess über das zukünftige Hinweisgebersystem der Datenschutzbeauftragte eingebunden wird. Sei es bei der Auswahl eines zuverlässigen Dienstleisters, den datenschutzrechtlichen Verträgen, einer Datenschutz-Folgenabschätzung oder notwendigen Verpflichtungen.
Ein weiterer Stichtag im Kontext des HinschG ist der 01.12.2023. Unternehmen ab 250 Mitarbeiter:innen bzw. Kommunen mit mehr als 10000 Einwohner:innen sind bereits seit 02.07.2023 verpflichtet ein Hinweisgebersystem zu betreiben. Die unzureichende oder fehlende Umsetzung wird erst ab Dezember 2023 sanktioniert.
DATENSCHUTZ
BInBDI – Organisation der Musterdokumente
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ihre Mustervorlagen übersichtlich im Downloadbereich des zentralen Webauftritts zusammengefasst. Die Musterschreiben können als Grundlage für Datenschutzbeauftragte, aber natürlich auch von Betroffenen verwendet werden: BlnBDI, Musterschreiben und Vorlagen.
Eine weitere Veröffentlichung der BlnBDI zeigt eine Übersicht von typischen Fehlern bei der Erstellung von Datenschutzerklärungen für Websites, mit Empfehlungen zur Richtigstellung. Eine konforme Datenschutzerklärung ist aufgrund der starken Außenwirkung des Webauftritts essenziell. Die Informationen können dabei helfen, die korrekte Umsetzung der eigenen Datenschutzerklärung zu überprüfen.
DATENSCHUTZ
Auswerten von Nachrichten auf Dienstgeräten bei erlaubter Privatnutzung
Im Rahmen eines arbeitsrechtlichen Kündigungsschutzprozesses hatte das Landesarbeitsgericht (LAG) Stuttgart zu entscheiden, inwieweit Inhalte dienstlicher Kommunikationsgeräte bei erlaubter Privatnutzung vom Arbeitgeber verwertet werden dürfen (Urt. v. 27.01.2023, Az. 12 Sa 56/21).
Hintergrund war die außerordentliche Kündigung eines Arbeitnehmers, der dagegen klagte. Im Gerichtsprozess legte der Arbeitgeber Informationen vor, die er aus dem dienstlichen Handy des gekündigten Arbeitnehmers ausgewertet hatte, unter anderem WhatsApp Nachrichten an den Bruder. Damit sollte die Kündigungsentscheidung begründet werden.
Das Gericht sah darin eine Datenschutzverletzung, die ein Beweisverwertungsverbot begründete. Es stellte zudem klar, dass bei der Auswertung von Nachrichten eine verschärfte Verhältnismäßigkeitskontrolle anzuwenden sei, wenn der Arbeitgeber die Privatnutzung dienstlicher Kommunikationsmittel erlaube. Weiter darf auch eine verdachtsunabhängige Kontrolle eines dienstlichen E-Mail Accounts grundsätzlich nicht verdeckt erfolgen. Arbeitnehmer müssen darüber informiert werden, aus welchem Grund eine Auswertung der E-Mails erfolgen soll. Arbeitnehmer:innen muss die Chance eingeräumt werden, private Nachrichten in einem gesonderten Ordner abzulegen.
Aus der Sicht des Gerichts spricht vieles dafür, dass bei unterbliebener ausdrücklicher Regelung, Arbeitnehmer:innen grundsätzlich von einer erlaubten Privatnutzung ausgehen können. Das bezieht neben E-Mail-Verkehr weitere Kommunikationsmittel wie dienstliche Handys mit ein.
3000 € Schadensersatz sah das Gericht für die Auswertung der WhatsApp Nachrichten und des E-Mail Accounts als angemessen. Fazit: Bitte prüfen Sie, ob die Nutzung dienstlicher Kommunikationsmittel in Ihrem Unternehmen geregelt ist und die Vorgaben den Mitarbeitenden entsprechend bekannt sind.
DATENSCHUTZ
Österreich: Datenschutzprüfungen im Finanzbereich
Die Datenschutzbehörde der Republik Österreich hat vertiefte Datenschutzprüfungen im Finanzsektor angekündigt. Im Rahmen der Schwerpunktverfahren 2023 werden mehrere Kreditinstitute in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen in der Regel mit der Anweisung, das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Versendung eines Fragebogens, in welchem der Verantwortliche aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch Einschauen und mündliche Verhandlungen möglich. Dabei wird auch die Rolle des Datenschutzbeauftragten des jeweiligen untersuchten Finanzunternehmens auf Basis des Fragebogens des sogenannten „Coordinated Enforcement Framework“ (CEF) genauer betrachtet.
INFORMATIONSSICHERHEIT
Achtung! – Vertragsfalle per Post
Ein Schreiben von „International Fairs Directory“ richtet sich an die Aussteller einer Messe und fordert dazu auf, die Firmendaten mittels des beiliegenden Formulars zu aktualisieren und mit dem ebenfalls beiliegenden Freiumschlag zurückzusenden. Dabei wird suggeriert, dass die Aktualisierung der Daten unbedingt notwendig ist, um den Kontakt zu interessierten Messebesuchern gewährleisten zu können.
Im Kleingedruckten verbirgt sich aber eine versteckte Auftragserteilung. Wird das Formular unterschrieben zurückgesendet, schließt man einen Dreijahresvertrag für eine Online-Werbeanzeige ab. Die Kosten dafür: 3636 Euro.
Wir weisen auf diese Betrugsmasche hin, da wir selbst Post von „International Fairs Directory“ im Rahmen unserer Teilnahme an der Bildungsmesse Burghausen erhalten haben. Unsere Empfehlung: Hören Sie auf Ihr Bauchgefühl und recherchieren Sie zur jeweiligen Thematik, sollte Ihnen die Anfrage ungewöhnlich erscheinen.
INFORMATIONSSICHERHEIT
Microsoft warnt vor massiven Social-Engineering-Angriffen auf Microsoft Teams
Microsoft hat vor massiven Angriffen auf die beliebte Videokonferenzlösung Teams gewarnt. Vermeintlich aus Russland stammende Cyberkriminelle versuchen an Anmeldedaten von Teams-Benutzer:innen zu gelangen. Per Social-Engineering, der sozialen Manipulation von Betroffenen mit dem Ziel vertrauliche Inhalte zu recherchieren, werden Mitarbeiter:innen ausgespäht. Mithilfe der erhaltenen Informationen können Phishing-E-Mails authentischer aufbereitet und zugestellt werden. Ziel ist es, an Zugangsdaten zu gelangen, die sie dann zur Kompromittierung von Microsoft-Abos, der Übertragung von Ransomware und zum Datendiebstahl nutzen können. Auch für geschulte Anwender:innen sind die Angriffe nur schwer zu erkennen.
Zur besseren Absicherung wird empfohlen, eine Multi-Faktor-Authentifizierung (MFA) einzurichten. Diese bietet einen guten, aber nicht umfänglichen Schutz vor massiven Phishing-Attacken. Besonders MFA-Bombing, bei dem durch Angreifer immer wieder MFA Anfragen zugestellt werden bis der Anwender einknickt und die Anfrage akzeptiert, zielt darauf ab, Zugang auf ein System zu erhalten.
Neben der technischen Weiterentwicklung sollten Mitarbeitende für MFA-Bombing sensibilisiert werden und vordefinierte IT-Kontaktstellen für Rückfragen kennen.
INFORMATIONSSICHERHEIT
Vorfall beim ZDF zur Selbstreflexion
Mitte September wurde bei Bauarbeiten in der Nähe des ZDF in Mainz, eine Haupt-Internetleitung durchtrennt. Aufgrund des Vorfalls konnten Sendungen gar nicht oder nicht über die regulären Übertragungskanäle angeboten werden. Zusätzlich war der Webauftritt des ZDF für mehrere Stunden offline und die Mediathek stand Nutzer:innen nicht zur Verfügung.
Aufgrund der immer höheren Abhängigkeit einer funktionierenden Internetverbindung sollten Organisationen solche Vorfälle auch zur Selbstreflexion nutzen und sich diese Fragen stellen:
- Gibt es eine Backupleitung?
- Liegt eine Dokumentation vor, die es einem ausgebildeten Dritten möglich macht, die Backupleitung kurzfristig in Betrieb zu nehmen?
- Wurden Notfalltests durchgeführt, die die Funktion der Backupleitung und der Kernprozesse sicherstellen?
Gerade auch in Bezug auf die kommenden Landtagswahlen sollten Kommunen eine funktionierende Backupmöglichkeit besitzen.
INFORMATIONSSICHERHEIT
Schweizer Super-Daten-Gau
In der benachbarten Schweiz hat sich ein massiver Sicherheitsvorfall ereignet. Im Mittelpunkt steht ein IT-Dienstleister, der Opfer eines Cyberangriffs wurde. Das IT-Unternehmen speicherte laut Medien, mutmaßlich illegal und unverschlüsselt, hochsensible Daten des Bundesamts für Polizei und des Zolls. Im Kontext der Cyberattacke wurden zahlreiche Daten gestohlen und sind nun im Darknet frei zugänglich.
Darunter befinden sich Sicherheitsmaßnahmen für ausländische Staatsgäste, Magistratspersonen, ranghohe Verwaltungsangestellte des Bundes sowie Dokumentationen zur Sicherung von Gebäuden und anderen Objekten. Außerdem beinhalten die gestohlenen Daten sogenannte Red Notices von Interpol. Diese geben Auskunft zu Haft- und Auslieferungsversuchen, aber auch Fahndungsausschreibungen an die Schweizer Behörden in Bezug auf Schwerverbrecher. Besonders sensible Informationen finden sich in einer weiteren Excel-Datei. Diese beinhaltet Strafverfahren in Verbindung mit ausländischen Staaten inkl. Namen der ermittelnden Beamten, ihrer Methodik sowie die Identität und Adressen der Beschuldigten.
Es wird vermutet, dass die hochsensiblen Daten im Rahmen eines Softwaretests in den Zugriff des IT-Dienstleisters kamen.
INFORMATIONSSICHERHEIT
Cyberangriffe im September
In diesem Monat sind persönliche Daten von rund 2,6 Millionen Duolingo-Nutzer:innen gestohlen und in einem Hackerforum veröffentlicht worden. Darunter Namen und E-Mail-Adressen von Kund:innen sowie interne Daten des Freemium-Onlinediensts zum Erlernen von Sprachen. Diese Informationen können Cyberkriminelle nun nutzen, um gezielte Phishing-Angriffe zu starten. Die Schnittstelle zu den Daten scheint immer noch angreifbar zu sein.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit den Folgen einer DDos-Attacke zu kämpfen. Die Website war Anfang September nicht oder nur eingeschränkt erreichbar. Die Finanzaufsicht teilte mit, dass Sicherheitsvorkehrungen getroffen und unmittelbar nach dem Angriff Gegenmaßnahmen in Gang gesetzt wurden, um die Erreichbarkeit der Website zu garantieren.
Außerdem meldete am 13. September 2023 ein Holzverarbeitungsbetrieb im Landkreis Deggendorf einen Angriff auf ihre Firmenserver. Cyberkriminelle konnten mittels Ransomware mehrere Server verschlüsseln, sodass für kurze Zeit nur noch ein Arbeiten im Notbetrieb möglich war. Es wurde kein Kontakt zu den Tätern aufgenommen und bisher kein Lösegeld gefordert. Der Betrieb konnte nach dem Einspielen eines Backups wieder schrittweise ohne Datenverlust hochgefahren werden.
Bei einem Cyberangriff auf einen Dienstleister der Verkehrsbetriebe Bielefeld kam es zwischen dem 11. und 12. September 2023 zu Ausfällen der Anzeigetafeln für den ÖPNV, sodass Pendler:innen keine korrekten Fahrtzeiten angezeigt werden konnten. Auch die moBiel-You-App mit digitalen Informationen zum Fahrplan war nicht erreichbar.
Hackern ist es zudem gelungen in das E-Mail-Postfach des Helmholtz-Gymnasiums in Zweibrücken einzudringen. Dabei verfassten sie betrügerische E-Mails mit der Bitte um eine Geldüberweisung an rund 400 E-Mail-Kontakte der Schule. Es wurde umgehend reagiert und ein vorläufiges, neues Postfach eingerichtet. Es ist laut Schulleiterin Kerstin Kiehm niemand auf den Betrugsversuch hereingefallen.
Auch bei dem österreichischen Weinhändler Wein & Co konnten Cyberkriminelle personenbezogene Daten von Webshop-Kunden stehlen. Kunden, mit einer Kundenkarte für die Filialen oder Bars waren nicht betroffen. Der Angriff wurde gestoppt und der österreichischen Datenschutzbehörde gemeldet.
Die größte österreichische und europäische Schule, die HTL Mödling, wurde wenige Tage vor Schulbeginn auch Opfer eines Cyberangriffs. Laut des Direktors wurden Daten verschlüsselt und alle Systeme sofort vom Netz genommen. Es kam zu keinem Abfluss personenbezogener Daten. Die Bildungseinrichtung war aber aufgrund der Notabschaltung temporär weder telefonisch noch per E-Mail erreichbar. Auch die Website konnte nicht aufgerufen werden. Der Schulbetrieb war jedoch durch den Angriff nicht eingeschränkt.
Hilfe bei Cyberangriffen
Die digitale Bedrohungslage verschärft sich zunehmend. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!
Das LDI NRW hat einen Leitfaden zusammengestellt, der aufzeigt, was Sie im Falle eines Angriffs beachten müssen und wie Sie vorgehen sollten.
Auch wir unterstützen Sie gerne dabei Ihr Cybersicherheitsniveau zu verbessern, um potenzielle Angriffe zu vermeiden. Erfahren Sie mehr darüber in unserem Business Brunch im November.