Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat Oktober zusammengefasst.
BUSINESS BRUNCH
“Mit Managed Detection and Response (MDR) das Risiko von Cyberangriffen verringern”
Wir laden Sie herzlich zu unserem exklusiven und kostenlosen Business Brunch am Donnerstag, den 23. November 2023 in Zusammenarbeit mit Sophos, dem weltweit führenden Anbieter für Cybersecurity-Lösungen, ein.
Erfahren Sie bei leckerem Essen mehr über die spannende Welt der Managed Detection and Response (MDR) Lösungen, die entscheidend dazu beitragen, Ihre IT-Infrastruktur sicherer zu gestalten. Mehr Details zur Veranstaltung finden Sie hier.
Um einen Austausch zwischen den Teilnehmenden sicherzustellen, ist die Teilnehmerzahl begrenzt. Wir empfehlen daher eine frühzeitige Anmeldung. Wir freuen uns auf Ihre Teilnahme und eine informative sowie interaktive Veranstaltung.
DATENSCHUTZ
DSK veröffentlicht Statement gegen die Chatkontrolle
Die unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wenden sich mit deutlichen Worten gegen die sogenannte Chatkontrolle. Der Hintergrund dafür sind die aktuellen Diskussionen im Rat der Europäischen Union über die Überwachung der elektronischen Kommunikation im Internet.
Demnach sollen Anbieter von E-Mail, Messenger- und Chat-Diensten verpflichtet werden, die Kommunikation auf Darstellungen sexualisierter Gewalt gegen Kinder zu prüfen. Bereits im Mai 2022 wurde ein entsprechender Vorschlag durch die EU-Kommission eingebracht. Die Ziele der geplanten Verordnung stehen außer Frage. Kinder sollen vor sexuellem Missbrauch geschützt und entsprechende Straftaten aufgedeckt werden. Diese geplante Vorgehensweise würde aber zu einer einheitlichen und verdachtsunabhängigen Überwachung aller Nutzenden führen. Die Anbieter wären zudem verpflichtet, technisch sichere Kommunikation mit Hintertüren zu versehen. Zusammenfassend kann man sagen, dass die DSK die geplante Verordnung als nicht vereinbar mit der EU-Grundrechtecharta ansieht.
DATENSCHUTZ
Beseitigung von Rechtsverletzungen während des Verfahrens möglich – BVwG Österreich
Im österreichischen Datenschutzrecht ist es möglich, während eines laufenden Verfahrens die behauptete Rechtsverletzung noch nachträglich zu beseitigen (§ 24 Abs. 6 DSG). Die Voraussetzung dafür ist, dass den Anträgen des Beschwerdeführers entsprochen wird und die Datenschutzaufsicht die Beschwerde damit als gegenstandslos einstuft. Diese Vorgabe hat das Bundesverwaltungsgericht (BVwG) in einem Urteil um unzureichende Informationen nach Art. 13, 14 DSGVO bestätigt.
Die entsprechende Passage finden Sie ab Ziffer 3.3.3 in der Urteilsbegründung.
INFORMATIONSSICHERHEIT
Ende des Supports für Windows Server 2012
Das Ende des Mainstream-Supports erreichte Microsoft Windows Server 2012 & 2012R2 bereits am 9. Oktober 2018, vor über 5 Jahren. Am 10. Oktober 2023 ist nun auch der Extended Support ausgelaufen. Microsoft stellt somit keine Sicherheitsupdates mehr zur Verfügung, abgesehen vom kostenpflichtigen ESU-Programm (Extended Security Update).
In Deutschland sind aber immer noch zahlreiche Microsoft Windows Server 2012 & 2012R2 im aktiven Einsatz. Dies birgt ein erhebliches Risiko. Angreifer suchen gezielt nach weit verbreiteten, veralteten Systemen, um sich über nicht mehr geschlossene Sicherheitslücken Zugang zum Unternehmensnetz zu verschaffen. Um derartige Angriffe zu vermeiden, sollte eine Migration auf ein neues Betriebssystem so schnell wie möglich durchgeführt werden.
INFORMATIONSSICHERHEIT
Selbsteinschätzungstest des Cyber-Sicherheitsnetzwerk (CSN)
Mithilfe des Selbsteinschätzungstests des CSN können Organisationen die eigene IT-Sicherheitspraxis evaluieren. Die Durchführung des Tests beansprucht nur wenige Minuten und erfolgt anonym. Sie erhalten im Test bei der jeweiligen Frage außerdem nützliche Informationen und wertvolle Hinweise des BSI. Falls Sie Fragen zur Umsetzung einer dieser empfohlenen Maßnahmen haben, dann zögern sie nicht, sich jederzeit an uns zu wenden.
INFORMATIONSSICHERHEIT
Unser Cybersecurity-Test mit gratis Whitepaper
Zusätzlich zu oder anstelle des Selbsteinschätzungstests des CSN laden wir Sie herzlich ein, unseren Cybersecurity-Selbsteinschätzungstest durchzuführen. Als kleines Dankeschön erhalten Sie ein kostenloses Whitepaper mit aktuellen Informationen rund um das Thema Cybersecurity.
In diesem Whitepaper finden Sie Informationen zur aktuellen Bedrohungslage, ein Beispiel-Szenario eines Cyberangriffs, empfohlene Maßnahmen zur Verbesserung Ihrer Cybersicherheit und einiges mehr.
INFORMATIONSSICHERHEIT
Branchenlagebild Automotive 2022/23
Das Branchenlagebild Automotive 2022/2023 bietet in seiner dritten Ausgabe einen Überblick über die Cybersicherheitslage in der Automobilindustrie und im Straßenverkehr. In diesem ausführlichen Bericht werden unter anderem die Themen Cyberkriminalität, IT- Sicherheit in der Lieferkette und den Produktionsprozessen sowie Schwachstellen in digitalen Komponenten beleuchtet. Zudem werden die vielfältigen und komplexen Herausforderungen in der Branche aufgezeigt.
INFORMATIONSSICHERHEIT
Cyberangriffe im Oktober
Im Laufe des Oktobers gab es erneut zahlreiche Angriffe. Hacker legten mit Distributed Denial-of-Service (DDoS) Angriffen die Webseiten mehrerer deutscher Städte (Dresden, Hannover, Nürnberg, Köln, Dortmund, Frankfurt) lahm. Unter DDoS versteht man das verteilen eines Angriffsprogramms auf eine Vielzahl von gekaperten Systemen. Auf Befehl des Angreifers bombardieren diese Systeme ein bestimmtes Ziel mit gefälschten Anfragen und bringen es damit zum Absturz. Beliebte Wirtsysteme sind PCs im Universitätskontext, da diese in der Regel rund um die Uhr in Betrieb sind.
Leider wurde in dieser Umgebung die Hochschule Karlsruhe am ersten Oktoberwochenende Opfer eines Cyberangriffs. Nur wenige Tage vorher musste auch die Gesellschaft für wissenschaftliche Datenverarbeitung einen Cyberangriff melden. Es gelang den Hackern Daten zu stehlen, unter anderem verschlüsselte Anmeldedaten von Mitarbeitern der Universität Göttingen, dem Max-Planck-Institut und der Göttinger Universitätsmedizin.
Außerdem meldeten die beiden Kommunalunternehmen “Hochsauerland Wasser” und “Hochsauerland Energie“, dass durch einen Angriff, Teile der IT-Infrastruktur durch Schadsoftware beeinträchtigt worden sind. Mehrere Systeme wie die Kundenserviceportale, der Abrechnungsservice und die Finanzbuchhaltung wurden aus Sicherheitsgründen deaktiviert.
Einen weiterer Cyberangriff traf den Fußballclub 1. FC Lokomotive Leipzig. Hier waren der Onlineshop und die Webseite betroffen. Nach eigenen Angaben sollen im Shop betrügerische Handlungen durch die Angreifer ausgeführt worden sein. Die betroffenen Kunden wurden direkt durch den Verein informiert.
Kurz nach den hessischen Landtagswahlen erfolgte ein Cyberangriff auf die Gemeindeverwaltung Grasellenbach. Dabei wurden die E-Mailkonten des Bürgermeisters und seiner Sekretärin kompromittiert. Über die Zugänge verschickten die Angreifer E-Mails mit schadhaften Links und Dokumenten. Es muss auch davon ausgegangen werden, dass die Inhalte aus den E-Mail- Accounts abgezogen wurden.
In der ersten Oktoberwoche kam es zu einem Angriff auf den Versicherungsdienstleister Degenia. Auf der Webseite wurde mitgeteilt, dass die IT-Systeme heruntergefahren wurden. Kunden können im Mitgliedsbereich aktuelle Informationen zur Wiederherstellung des Normalbetriebs nachlesen.
Beim Angriff auf die Hotelkette “Motel One” wurden 6 Terabyte Daten gestohlen. Dadurch sind Millionen von Kundendaten online zu finden, unter anderem Adressen, Rechnungsdaten und auch vereinzelt Kreditkarteninformationen. Bei der Auswertung der veröffentlichten Daten im Darknet wurden auch sogenannte Notfalllisten gefunden. Diese Listen wurden erstellt um auch bei einem Systemausfall einen Check-In anbieten zu können. Nachdem ihr Zweck erfüllt ist, sollten diese Listen unverzüglich vernichtet werden und nicht über Jahre gespeichert werden.
Auch der Krankenhausbetreiber Maternus meldete Mitte Oktober, dass es bei einem Cyberangriffs zu einem Datenabfluss gekommen sei. Es wird versucht zu ermitteln, welche Daten von dem Vorfall betroffen sind.
Hilfe bei Cyberangriffen
Die digitale Bedrohungslage verschärft sich zunehmend. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!
Wir unterstützen Sie gerne dabei Ihr Cybersicherheitsniveau zu verbessern, um potenzielle Angriffe zu vermeiden. Kommen Sie jederzeit gerne auf uns zu und erfahren Sie mehr darüber in unserem kostenlosen Business Brunch am 23. November 2023.