Archive

Home » News » Security Newsletter 10/2021

Security Newsletter 10/2021

Home » News » Security Newsletter 10/2021
alle News
WEBINAR
Angriffsziel Active Directory - so sichern Sie Ihr AD effizient ab

Das Active Directory ist das Herz der IT-Infrastruktur. Für Angreifer reicht schon die Kompromittierung nur eines Clients, um weiter in Ihr Netzwerk vorzudringen und sogar die ganze Domäne unter seine Kontrolle zu bringen.

Wir zeigen Ihnen am Donnerstag, den 18.11.21 um 10 Uhr, in unserem Webinar:

  • über welche Wege Angreifer versuchen, in Ihr Active Directory einzudringen,
  • wie Sie (versuchte) Angriffe erkennen können und
  • mit welchen Härtungsmaßnahmen bereits große Einfallstore geschlossen werden können.
IT-INFRASTRUKTUR & INFORMATIONSSICHERHEIT
Microsoft implementiert im neuesten Update Exchange Mitigation Tool als Antwort auf die aufgetretenen Sicherheitsvorfälle

In diesem Jahr sind mehrfach gravierende Sicherheitslücken in Exchange Servern aufgetreten, die für Ausfälle und sogar Einbrüche in Unternehmensnetzwerke verantwortlich waren. Als Antwort auf die Sicherheitsvorfälle ist im neuesten CU für Exchange Server standardmäßig ein Exchange Emergency Mitigation Tool aktiviert. Wir haben für Sie die wichtigsten Fakten zum neuen Tool zusammengefasst.

DATENSCHUTZ
Neue Standardvertragsklauseln für Übermittlungen personenbezogener Daten in ein Drittland

Am 29.09.2021 sind die neuen Standardvertragsklauseln in Kraft getreten. Dabei handelt es sich um gesetzliche Musterverträge, die unverändert im Zusammenhang mit Drittlandsübermittlungen von personenbezogenen Daten zum Einsatz kommen, beispielsweise bei Datenverarbeitungen gegenüber der USA. Durch die Standardvertragsklauseln verpflichtet sich das Drittlandsunternehmen das EU-Datenschutzniveau einzuhalten.

Zusätzlich muss durch das EU ansässige Unternehmen geprüft werden, ob dieses in den Verträgen zugesicherte Datenschutzniveau eingehalten wird bzw. welche Maßnahmen dieses Niveau garantieren. Bei dieser Prüfung geht es vor allem darum, den Zugriff auf die Daten durch Akteure in Drittstaaten zu verhindern z.B. durch Verschlüsselung oder Verwendung von Rechenzentren in der EU. Neue Verträge müssen bereits die aktuellen Standardvertragsklauseln verwenden. Für Altverträge gilt eine Übergangsfrist von 18 Monaten - Stichtag ist der 27.12.2022.

INFORMATIONSSICHERHEIT
Lage zur IT Sicherheit – BSI verzeichnet angespannte bis kritische Bedrohungslage

Das BSI hat am 21. Oktober seinen neuen Lagebericht 2021 vorgelegt, in dem das Bundesamt insgesamt eine kritische Bedrohungslage feststellt: Cyberangriffe führten zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachten zum Teil erhebliche wirtschaftliche Schäden und bedrohten existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und ihre Kundschaft. Der neue Lagebericht macht auch deutlich, dass die erfolgreiche Digitalisierung unseres Landes zunehmend gefährdet ist.

Als Konsequenz aus der Bedrohungslage fordert das BSI, der Informationssicherheit einen höheren Stellenwert beizumessen. Im Rahmen von Digitalisierungsprojekten sollte die Cyber-Sicherheit fest verankert werden sowie die gesamte Lieferkette umfassen.

INFORMATIONSSICHERHEIT
Angriffe auf kommunale Einrichtungen

Die Verwaltung der Stadt Witten ist von einem Cyberangriff betroffen. Als Folge war die Stadtverwaltung weder per E-Mail noch telefonisch zu erreichen. Auch Termine in der Bürgerberatung, beim Standesamt und den weiteren Ämtern waren nicht bzw. nur eingeschränkt möglich. Etwa 1000 Rechner unter anderem des Kulturforums Witten, Stadtmarketing Witten, der VHS und des Stadtsportverbands Witten sind von dem Angriff betroffen.

Ein weiterer Angriff auf kommunale IT Systeme hat sich bei den Stadtwerken Schwerin ereignet. Die Systeme mussten auf Notbetrieb gefahren werden, nach dem eine Schadsoftware den Datenbestand verschlüsselt hatte

INFORMATIONSSICHERHEIT
Öffentliche Netze sicher nutzen

Kostenloses öffentliches WLAN ist heutzutage vielerorts vorhanden und erfreut sich großer Beliebtheit. Bei der Nutzung gibt es allerdings eine enorme Anzahl von Risiken. Eine Schwachstelle der meisten Hotspots ist die unverschlüsselte Übertragung von Daten, wodurch Angreifer zum Beispiel vertrauliche Daten einsehen oder Schadsoftware auf Ihr Gerät einschleusen können. Die Übertragung vertraulicher Daten wie Kontoinformationen, Passwörter etc. über ein offenes WLAN sollte grundsätzlich vermieden werden. Falls dies nicht möglich ist, ist es wichtig, sich über eine verschlüsselte Verbindung (z. B. VPN) einzuwählen. Bei Tablet oder Smartphone Nutzung im öffentlichen Netz sollten Sie die Datei- und Verzeichnisfreigabe deaktivieren. Dadurch ist das Gerät nicht mehr für andere im Netzwerk sichtbar. In der Regel werden die Netzwerkdaten/-einstellungen im Gerät abgespeichert. Daher sollte man die automatische Anmeldung deaktivieren und die WLAN-Funktion des Gerätes nur dann aktivieren, wenn man diese auch benötigt.

Außerdem sollten Sie beachten, dass jeder Betreiber den Namen seines Hotspots immer frei wählen kann. Die Gefahr dabei ist, dass Betrüger ihrem Hotspot einen bekannten Namen vergeben, um an die Daten von Unwissenden zu gelangen. Informieren Sie sich daher immer zuerst beim Betreiber des Netzwerks über das Sicherheitsniveau.

INFORMATIONSSICHERHEIT
Cyberangriff auf SRH Holding

Die SRH Holding, die deutschlandweit mehrere Kliniken und Bildungseinrichtungen betreibt und fast 17.000 Mitarbeiter beschäftigt, fiel Mitte September einer Cyberattacke zum Opfer. Dabei standen vor allem die Bildungseinrichtungen und Hochschulen der SRH im Fokus der Angreifer, die Kliniken waren größtenteils unbetroffen. Bei Hackerangriffen wie diesem werden die Daten oder Systeme von Unternehmen blockiert und anschließend von Kriminellen Lösegeld erpresst.

Entdeckt wurde der Angriff, als Mitarbeiter nicht mehr auf E-Mails und Laufwerke zugreifen konnten. Die SRH Holding ist den Lösegeldforderungen nicht nachgekommen und ist gerade noch dabei ihre Betriebsfähigkeit wieder komplett herzustellen. Wer hinter dem Angriff steckt und welche Kosten entstanden sind ist nicht bekannt. Allerdings wurden eine vergleichsweise geringe Anzahl von Dateien im Darknet veröffentlicht. Darunter waren sehr wenige Einzelfälle, in denen personenbezogene Daten veröffentlicht wurden. Die Betroffenen werden von der SRH Holding kontaktiert und beim Eingreifen von Maßnahmen zum Schutz unterstützt.

DATENSCHUTZ
1 Mrd. Bußgeld der Datenschutz-Behörden in nur einem Quartal

Die Aufsichtsbehörden für den Datenschutz innerhalb der EU haben von Juli bis einschließlich September 2021 Bußgelder in einer Gesamthöhe von knapp 1 Milliarde Euro verhängt. In den ersten beiden Quartalen des Jahres wurden gerade mal nur etwa 50 Millionen Euro Bußgeld verhängt. Die Bußgelder im 3. Quartal haben sich damit fast verzwanzigfacht. Erklärung für die enorme Steigung ist, dass es zwei hohe Einzelstrafen gegeben hat. Allein 746 Millionen € gingen an Amazon Europa in Luxemburg. Weitere 225 Millionen € hat WhatsApp in Irland zu verantworten. Um solch hohe Kosten zu vermeiden, sollte jedes Unternehmen die Datenschutzrichtlinien ernst nehmen.

INFORMATIONSSICHERHEIT
Mehr als 100 GB an internen Daten von Twitch veröffentlicht

Unbekannte haben 135 Gigabyte interne Daten der bekannten Streaming-Plattform Twitch veröffentlicht. Diese Leaks umfassen unter anderem auch die Einnahmen der Streamer. Die veröffentlichten Auszahlungsdaten reichen bis in den August 2019 zurück. Allerdings handelt es sich angeblich bisher nur um den ersten Teil eines riesigen Leaks. Um Risiken zu verringern wird empfohlen, dass die Nutzer der Plattform ihr Passwort ändern und zusätzliche Schutzmaßnahmen - wie die 2-Faktor-Authentifizierung - zu ihrem Benutzerkonto hinzufügen.

DATENSCHUTZ
Gesetz für faire Verbraucherverträge

Im Artikelgesetz "zum Schutz von Verbrauchern" ergeben sich Anforderungen an den Datenschutz. Als Artikelgesetz werden Anpassungen zu einem Thema in mehreren Gesetzen bezeichnet. Im konkreten Fall geht es um Änderungen im BGB und UWG, die den Schutz von Verbrauchern beim Abschluss von Verträgen stärken sollen.

Im Zusammenhang mit dem Datenschutz geht es vor allem um Änderungen in Artikel 3 im Gesetz für faire Verbraucherverträge. Damit ergeben sich Anpassungen in Artikel 7 UWG - den Regelungen zu unzumutbaren Belästigungen. Dieser Paragraf enthält beispielsweise Anforderungen, unter welchen Umständen Werbung per Telefon oder E-Mail betrieben werden darf (vgl. § 7 Abs. 2 UWG). Ein wichtiger Aspekt ist etwa das Einwilligungserfordernis bei Telefon- und E-Mail-Werbung gegenüber Verbrauchern (Privatkunden).

Neu geregelt wird im UWG:

  • § 7a UWG-neu: Betreibt Ihr Unternehmen Werbung per Telefon bei Privatpersonen, muss es die vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form dokumentieren und die Dokumentation aufbewahren (§ 7a Abs. 1 UWG-neu). Nach § 7a Abs. 2 UWG-neu muss die Einwilligung nach deren Erteilung und bei jeder Verwendung für 5 Jahre aufbewahrt werden. Ggf. muss die Einwilligung auf Anfrage der zuständigen Behörde vorgelegt werden.
  • § 20 Abs. 1 Nr. 2 UWG-neu: Wird eine Einwilligung nicht oder falsch dokumentiert bzw. nicht für mindestens 5 Jahre aufbewahrt, kann dies zu einem Bußgeld von bis zu 50.000 € führen (§ 20 Abs. 2 UWG-neu).

Wo ergibt sich eine Datenschutzrelevanz?

Die bereits beschriebene Dokumentation zur Einwilligung von Telefonwerbung an sich, sowie die damit verbundene Verarbeitung von Daten. Weiter die vorherige ausdrücklichen Einwilligung des Adressaten für Werbung per E-Mail.
Der Schutz der Interessen der Betroffenen ist durch das Einwilligungserfordernis in § 7 Abs. 2 Nr. 3 UWG klar umrissen. Insofern kann bei einer Prüfung nie das an sich berechtigte Interesse Ihres Unternehmens überwiegen. Das ist nur dann anders, wenn die Anforderungen des § 7 Abs. 3 UWG vollständig umgesetzt wurden.
Da die Dokumentations- und Aufbewahrungspflicht im Rahmen von Telefonwerbung nur Verbraucher betrifft, reicht weiterhin die mutmaßliche Einwilligung des Angerufenen im B2B Umfeld aus.

Die Regeln sind zum 01.10.21 in Kraft getreten.

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News
Kontakt und mehr