Archive

Home » News » Security Newsletter 11/2022

Security Newsletter 11/2022

Home » News » Security Newsletter 11/2022
alle News

Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat November zusammengefasst. 

WEBINAR
Webinar "Im Visier von Cyberkriminellen - So schützen Sie Ihr KMU"

Die Bedrohung im Cyberraum ist aktuell so hoch wie noch nie! Immer häufiger stellen besonders kleine und mittelständische Unternehmen ein beliebtes Angriffsziel für Hacker dar. 

In unserem kostenfreien Webinar am Donnerstag, den 01.12.22 um 10 Uhr, erfahren Sie:

  • aktuelle Informationen zur IT-Bedrohungslage für KMU,
  • welchen Herausforderungen sich KMU im Hinblick auf die steigende Digitalisierung stellen müssen,
  • mit welchen präventiven, detektiven und reaktiven Maßnahmen Sie den Schutz Ihres Unternehmens erhöhen und
  • wertvolle Tipps, wie Sie das Thema Cyber Security in Ihrem Unternehmen angehen können.
MITARBEITERINTERVIEW
Wie Steffi Fath zu INES IT kam

Nach 20 Jahren Berufserfahrung in verschiedenen Office-Jobs hat Stefanie Fath sich mit fast 40 endlich getraut, mit einer Umschulung zum Fachinformatiker einen Karriereweg einzuschlagen, der sie insgeheim schon immer gereizt hatte. Rückblickend wollten wir gerne von Steffi wissen, warum sie sich für INES IT entschieden hat und was sie in ihrem Praktikum erleben durfte. 

DATENSCHUTZ
Einwilligung in eine unverschlüsselte E-Mail möglich

In einer Entscheidung des OLG Düsseldorf (Urteil vom 28.10.2021, Az. 16 U 275/20) wurde dargestellt, dass die Einwilligung in eine unverschlüsselte E-Mail möglich sei. Hintergrund des Urteils war, dass eine Versicherte um Zustellung ihrer Gesundheitsakte bat. Da die Zeit drängte, riet der Versicherungsmitarbeiter um Zustellung per E-Mail. 

Als die Frau nach mehreren Tagen immer noch keine E-Mail erhalten hatte, meldete sie sich erneut bei der Versicherung. Dabei wurde festgestellt, dass die Gesundheitsakte an eine falsche E-Mailadresse zugestellt wurde. Über einen Anwalt wurde die Versicherung auf 15.000€ Schmerzensgeld verklagt. In der Erstinstanz wurden der Frau 4.000€ Schmerzensgeld zugesprochen. Das LG unterstrich, dass der Schaden insbesondere dadurch entstanden sei, dass technische Sicherheitsmaßnahmen (z.B. verschlüsselte Übermittlung) fehlten. Beide Parteien gingen in Berufung und die Sache wurde dem OLG vorgelegt. Hier wurde die Berufung der Frau als unbegründet dargelegt und das Schmerzensgeld auf 2.000€ reduziert. 

Das Besondere in Bezug auf Art.32 und der Sicherheit der Datenverarbeitung: Es wurde nicht beanstandet, dass die E-Mail unverschlüsselt übermittelt wurde. Nach Ansicht des Gerichts hatte nämlich die Frau in den unverschlüsselten Versand der E-Mail im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO eingewilligt. Die Anforderungen an eine Einwilligung nach Art. 4 Nr. 11 DSGVO waren damit erfüllt.  Insbesondere hatte die Frau die Form der Versendung freiwillig akzeptiert; Druck wurde durch den Mitarbeiter der Versicherung nicht ausgeübt. Im Gegensatz zum LG ist das OLG der Auffassung, dass im Rahmen der Privatautonomie, sprich der persönlichen Entscheidungsfreiheit, auch ein Verzicht auf Verschlüsselung möglich ist. 

INFORMATIONSSICHERHEIT
BSI-Lagebericht 2022: Cyber-Raum Bedrohung so hoch wie noch nie 

Im aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland stellt das BSI fest, dass die Bedrohung im Cyber-Raum so hoch wie noch nie ist. Die Ursache dafür liegt besonders auch an den verschiedenen Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine und einem allgemein hohen Risiko durch Cybercrime. Als Top-Bedrohungen für unsere Gesellschaft listet das BSI den Identitätsdiebstahl, Sextortion, also die Erpressung mit Nacktbildern oder –videos, und Fake-Shops. Mit Blick auf die Wirtschaft sind die größten Gefahren unter anderem Ransomware-Schwachstellen, viel zu große Abhängigkeiten in den Lieferketten sowie offen bzw. falsch konfigurierte Online-Server. Laut Bericht sind von den Ransomware-Schwachstellen besonders Staat und Verwaltung betroffen.

Um genauere Zahlen zu erfahren können Sie sich hier selbst informieren. 

DATENSCHUTZ
Aktualisierung: die neue Norm ISO27001:2022

Am 25. Oktober 2022 veröffentlichte das Internation Accreditation Forum (IAF) eine neue Version des wichtigsten europäischen Standards für Informationssicherheit - die ISO/IEC 27001:2022. Sie löst die bisher geltende ISO 27001:2013 ab. Der Titel der neuen Norm wurde nicht aus der Vorgängerversion übernommen, sondern neu definiert: „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“.  

Die unter Anhang A aufgeführten Maßnahmen (Controls) wurden von 114 auf 93 reduziert und neu strukturiert. Die entsprechenden Controls sind nun anstatt 14 Abschnitte in 4 Abschnitte unterteilt worden.

  • Organisatorische Maßnahmen (37) 
  • Personelle Maßnahmen (8) 
  • Physische Maßnahmen (14) 
  • Technologische Maßnahmen (34) 

Trotz der Reduzierung auf 93 wurden keine Maßnahmen gestrichen, sondern 24 Maßnahmen aus mehreren Maßnahmen zusammengefasst. Neu hinzugekommen sind 11 Maßnahmen:

  • A.5.7         Bedrohungsintelligenz 
  • A.5.23       Informationssicherheit für die Nutzung von Cloud-Diensten 
  • A.5.30       IKT-Bereitschaft für Business Continuity 
  • A.7.4         Physische Sicherheitsüberwachung 
  • A.8.9         Konfigurationsmanagement 
  • A.8.10       Löschung von Informationen 
  • A.8.11       Datenmaskierung 
  • A.8.12       Verhinderung von Datenlecks 
  • A.8.16       Überwachung von Aktivitäten 
  • A.8.23       Webfilterung 
  • A.8.28       Sicheres Coding 

Welche Übergangsfristen sind zu beachten?
Aktuell kann noch kein Zertifikat zur ISO27001:2022 erworben werden, da die Zertifizierungsstellen noch nicht für die neue Norm akkreditiert wurden. Bis 31.10.2023 kann noch auf dem Standard ISO27001:2013 eine (Re)Zertifizierung erfolgen. Die Übergangsfrist wurde auf 36 Monate ab Veröffentlichungsdatum festgelegt. Damit muss bis spätestens zum 31.10.2025 das Managementsystem den neuen Standard transformiert sein. 

DATENSCHUTZ
LfD Bayern: Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle? 

Vom 10.-14. Oktober 2022 wurde unter der Leitung des Bayerischen Landesbeauftragten für Datenschutz eine Themenwoche auf dem Mastodon-Kanal der Behörde abgehalten. In diesen 5 Tagen erfolgte eine Einführung in die Thematik von Cookies, vertiefende rechtliche und technische Erläuterungen, insbesondere aber Handlungsempfehlungen gestützt auf praxisorientierten Checklisten. 

Die Inhalte aus diesem Workshop wurden nun über ein Tutorial veröffentlicht. 

INFORMATIONSSICHERHEIT
Cyberangriffe auf Metro, Aurubis und mehr

Der Großhändler Metro AG ist Opfer einer Cyber-Attacke geworden. Dabei wurde ein Teil der IT-Infrastruktur eingeschränkt, wodurch es zu einigen Verzögerungen und Störungen kommen könnte. Ein Totalausfall wurde anscheinend vermieden, weil die IT-Abteilung auf einen Angriff vorbereitet war.  

Auch der Kupfer-Konzern Aurubis meldete einen Angriff auf ihre IT-Systeme. Daraufhin wurden gezielt zahlreiche Systeme präventiv heruntergefahren und vom Internet getrennt, um weitere Gefahren zu vermeiden. Die Produktion konnte zwar weitestgehend aufrechterhalten werden, die Auswirkungen sind dennoch in Form der sinkenden Aktie (-3%) spürbar.  

Außerdem ist der IT-Dienstleister der Deutschen Presse-Agentur Ziel eines Ransomware-Angriffes geworden. Hierbei wurden die Server und Systeme des Dienstleisters verschlüsselt. Auch persönliche Daten der Angestellten wie Gehaltsabrechnungen könnten betroffen sein. Ob die Angreifer mit der Veröffentlichung der Daten drohen und Lösegeld fordern, ist derzeit noch nicht bekannt. 

DATENSCHUTZ
LfD Bayern: Versand von Hybridbriefen durch bayerische öffentliche Stellen

Unter einem Hybridbrief wird eine teilweise elektronische Postdienstleistung verstanden, in der elektronische und papierförmige Kommunikation verbunden werden. Das Dokument wird dabei vom Absender elektronisch verfasst und mitsamt den notwendigen Adressdaten elektronisch an einen Postdienstleister übermittelt. Dort wird der Brief ausgedruckt, kuvertiert, frankiert und an den Empfänger analog zugestellt.  In der aktuellen Kurz-Information 44 wird beschrieben, welche datenschutzrechtlichen Aspekte in der Prozesskette und zwischen den einzelnen Akteuren zu beachten sind. 

INFORMATIONSSICHERHEIT
Gehackte Daten im Darknet 

Bei dem Cyber-Angriff auf Continental im August hieß es noch, dass der Angriff erfolgreich abgewehrt wurde. Allerdings wurden nun gestohlene Daten des Automobilzulieferers im Darknet angeboten - und das sogar für 50 Millionen Dollar. Nun wurde doch offengelegt, dass ein Teilbestand an Daten entwendet werden konnte. Darunter zählen auch sensible Daten wie die von Kunden sowie Strategie- und Investitionspläne. Insgesamt sollen 40 Tb erbeutet worden sein, die Ransomware-Gruppe namens „Lockbit 3.0“ habe allerdings als „Vorgeschmack“ zunächst einmal knappe 8 Gb veröffentlicht. Der Vorfall wird momentan noch untersucht. 

Auch die Kreisverwaltung des Rhein-Pfalz-Kreises wurde von einer Ransomware-Gruppe lahmgelegt und zahlreiche Daten kopiert. Diese Daten wurden nun im Darknet veröffentlicht, da die Kreisverwaltung der Lösegeldforderung nicht nachgekommen ist. Unter den gestohlenen Informationen befinden sich unter anderem Daten von 54 Zensusverweigerern sowie Namen, Anschriften und Geburtsdaten von ukrainischen Geflüchteten, die in dem Landkreis untergebracht wurden.  Trotz hoher Sicherheitsmaßnahmen sei es zu einem Cyberangriff gekommen. 

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News
Kontakt und mehr