Letzte Änderung: 02.10.2024
Emotet: Gefährlichste Malware-Infrastruktur zerschlagen
Internationale Strafverfolgungsbehörden und die Ermittler des Bundeskriminalamtes (BKA) sowie die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) ist die Zerschlagung von Emotet und Netwalker gelungen.
Weltweit gilt die Emotet-Malware als die gefährlichste Schadsoftwäre und versursachte allein in Deutschland bei großen und auch kleinen Unternehmen, sowie Privatpersonen erhebliche Schäden in Millionenhöhe.
In Deutschland waren die IT-Systeme mehrerer Kliniken, Gerichte, Behörden und Unternehmen betroffen und für längere Zeit lahmgelegt, wie zum Beispiel das Klinikum in Fürth, das Kammergericht Berlin und die Stadt Frankfurt am Main.
Jahrelang kam die Schadsoftware per E-Mail auf die Computer, als angehängte Word-Dokumente oder als ZIP-File und sorgte so für infizierte Netzwerke und erfolgreiche Cyberangriffe. Laut Schätzung, seien weltweit ca. Hunderttausende von Rechnern damit infiziert.
Das BSI hat damit begonnen, Betroffene in Zusammenarbeit mit den Providern zu informieren, damit diese ihre infizierten Systeme bereinigen können. Als Hilfestellung hat der BSI zahlreiche Empfehlungen und Checklisten auf seiner Webseite veröffentlicht.
-ck-
Emotet: Wesentliche Teile der Infrastruktur außer Gefecht gesetzt
Tagesschau online – "Bundeskriminalamt: Schadsoftware "Emotet" zerschlagen"
https://www.tagesschau.de/wirtschaft/emotet-bka-101.html
Wachsam bleiben
Netzpalaver online - "Emotet: "Wir haben nur eine Delle in ihre Rüstung der Cybercrime-Welt geschlagen""
https://netzpalaver.de/2021/01/28/emotet-wir-haben-nur-eine-delle-in-ihre-ruestung-der-cybercrime-welt-geschlagen/
Handlungsempfehlungen: Schutzmaßnahmen auf organisatorischer sowohl auf technischer Ebene
BSI Bund online - "Emotet-Infrastruktur zerschlagen – BSI informiert Betroffene"
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/210127_Emotet-Statement.html
Medienberichte über Datenschutzskandale
Die unten aufgeführten Beispiele zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom Bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren - als Wettbewerbsfaktor offensiv zu nutzen.
-ck-
Datenpanne bei Landesbehörde: Fremde Daten anhand Fehler beim Druck der Quarantäneanordnung
Radio Bonn online - "Datenschutz-Panne bei der Stadt Bonn"
https://www.radiobonn.de/artikel/datenschutz-panne-bei-der-stadt-bonn-846309.html
DSGVO Sanktion: Nutzerdaten ohne rechtliche Grundlage mit einer Reihe von Drittparteien geteilt
Handelsblatt com - "ROUNDUP: Norwegische Datenschützer kündigen Millionenstrafe gegen Grindr an"
https://www.handelsblatt.com/dpa/wirtschaft-handel-und-finanzen-roundup-norwegische-datenschuetzer-kuendigen-millionenstrafe-gegen-grindr-an/26853078.html?ticket=ST-10814415-SQN05jhTyKCAtpjgXOGt-ap2
Datensätze aller Steuerzahler Brasiliens stehen schon zum Verkauf
Heise online - "220 Millionen Datensätze geklaut: Gefahr für alle Steuerzahler Brasiliens"
https://www.heise.de/news/220-Millionen-Datensaetze-geklaut-Gefahr-fuer-alle-Steuerzahler-Brasiliens-5035563.html
Hacker stellt 1,2 GByte personenbezogene Daten zum kostenlosen Download zur Verfügung
Heise online - "Hacker veröffentlicht Daten von 2,28 Millionen Nutzern einer Dating-Plattform"
https://www.heise.de/news/Hacker-veroeffentlicht-Daten-von-2-28-Millionen-Nutzern-einer-Dating-Plattform-5034126.html
Meetmindful Mitteilung: Hacker konnte eine Schwachstelle im System ausnutzen
Meetmindful com – "Benutzersicherheitsbenachrichtigung"
https://www.meetmindful.com/user-security-notification/
PDF-Viewer: Zugangsdaten auch von Geschäftskunden gehackt und veröffentlicht
Future Zone online - "Passwörter gehackt: 77 Millionen Konto-Daten für PDF-Viewer geleakt" https://www.futurezone.de/digital-life/article231400401/Passwoerter-gehackt-77-Millionen-Konto-Daten-fuer-PDF-Viewer-geleakt.html
Bundestag verabschiedet Gesetz zu Bürger - Identifikationsnummer
In dieser Woche ebnete der Bundestag den Weg für eine einheitliche Bürger-Identifikationsnummer.
Um den Behörden den Zugriff auf schon vorhandene Personendaten bei einer anderen Behörde zu ermöglichen, soll die Steuernummer nun zu einer umfassenden Bürger – Identifikationsnummer werden. Somit sollten die Verwaltungsvorgänge erheblich vereinfacht werden, so die große Koalition. Zudem würde vermieden, das identische Dokumente mehrfach eingereicht oder vermehrte Datenabfragen von verschiedenen Behörden eingeholt werden müsse.
Diese gegenseitige Datenabfrage der Behörden ist allerdings nur dann erlaubt, wenn der betroffene Bürger zustimmt. Zudem soll über einem sicheren Zugang, einem "Daten-Cockpit", Bürgerinnen und Bürgern die Möglichkeit geben werden, digital nachzuvollziehen, welche Behörde wann und aus welchem Grund auf ihre Daten zugegriffen hat.
Sollte der Bundesrat zustimmen, wird die Steuer-ID der Bürger an ca. 50 Stellen gespeichert, zum Beispiel im Melde - Führerschein – und Waffenregister, bei der Rentenversicherung und den Krankenkassen.
Kritiker stufen die Nutzung der Steuer-ID als einheitliche Personenkennung als "verfassungsrechtlich hochbedenklich" ein, so die Medienberichte. Auch der Bundesrat gab eine kritische Stellungnahme ab.
Es bleibt abzuwarten, ob das neue Gesetzt die Länderkammer passieren wird.
-ck-
Bürokratieabbau oder der Weg zum gläsernen Menschen?
Die Welt online - "Bundestag beschließt einheitliche Bürger-Identifikationsnummer"
https://www.welt.de/politik/deutschland/article225253895/Bundestag-beschliesst-einheitliche-Buerger-Identifikationsnummer.html
Parlament beschließt einheitliche Bürger - Identifikationsnummer
Redaktionsnetzwerk Deutschland online - "Bundestag beschließt einheitliche Bürger-Identifikationsnummer – trotz Bedenken"
https://www.rnd.de/politik/bundestag-beschliesst-einheitliche-burger-identifikationsnummer-trotz-bedenken-SQ4VKIH5T64DONR4ABPLDSABH4.html
Datenabgleich zwischen Behörden
Bundestag online – "Beschlussempfehlung und Bericht (pdf)"
http://dip21.bundestag.de/dip21/btd/19/262/1926247.pdf
Bestandsdatenauskunft: Erweiterter Zugriff von Sicherheitsbehörden auf Kundendaten
Mit der Mehrheit der Großen Koalition hat in dieser Woche der Bundestag ein neues Gesetz nur Bestandsdatenauskunft verabschiedet. Das Gesetz regelt, wie deutsche Sicherheitsbehörden sogenannte Bestandsdaten wie zum Beispiel Namen und Adresse, E-Mail-Adressen von Nutzern zur Strafverfolgung und Terrorabwehr bei den Anbietern von Telekommunikation und Telemedien abfragen dürfen. Neben dem Bundeskriminalamt (BKA) dürfen künftig auch die Bundespolizei und die Zollfahndung bei Telemedienanbietern auch Passwörter, PINs und PUKS bei abfragen.
-ck-
Kritik an den Neuregelungen zur Bestandsdatenauskunft
RSW Beck online - "Experten mit Details der Neuregelung der Bestandsdatenauskunft unzufrieden"
https://rsw.beck.de/aktuell/daily/meldung/detail/experten-mit-details-der-neuregelung-der-bestandsdatenauskunft-unzufrieden
Unzufriedenheit bei der Zugriffs - Regelung von Sicherheitsbehörden
Heise online - "Bundestag beschließt neue Bestandsdatenauskunft trotz rechtlicher Einwände"
https://www.heise.de/news/Bundestag-beschliesst-neue-Bestandsdatenauskunft-trotz-rechtlicher-Einwaende-5040199.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Mehr Datenschutz beim online Surfen
Computerbase online - "Mozilla Firefox 85: Browser schützt jetzt noch besser vor Supercookies"
https://www.computerbase.de/2021-01/mozilla-firefox-85-supercookies-caching-tracking/
2. Datenschutz Option: Zugriff auf Standortdaten stoppen
Test online - "Datenschutz am Handy: Unnötigen Standortzugriff abstellen"
https://www.test.de/Datenschutz-am-Handy-Unnoetigen-Standortzugriff-abstellen-5709223-0/
Wachsende Wirtschaftskriminalität
Weltweit ermöglicht der technische Fortschritt von hochkomplexen IT-Systemen die Mobilität und Kommunikation im elektronischen Geschäftsverkehr, gleichzeitig entstanden und entstehen ganz neue Formen der Wirtschafts- und Finanzkriminalität. Phishing ist weltweit eine der größten Gefahren für Unternehmen und deren Kunden. Egal, ob Kriminelle die offizielle Website der Unternehmen nachahmen und diese für Phishing-Angriffe missbraucht, oder zum Beispiel ein raffinierter Angriff per echt wirkender Unternehmens-Mail vom Geschäftsführer an seine Mitarbeiter - keine Branche kann sich vor diesen Angriffen in Sicherheit wähnen. Ein Klick und schon ist die Datenpanne passiert, oder noch schlimmer, das Computersystem des gesamten Unternehmens mit Schadsoftware verseucht oder wie die unten aufgeführten Beispiele zeigten, stillgelegt. Im aktuellen Zeitalter sind schützenswerte Daten Bestandteil vieler betrieblicher Abläufe. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern Mitarbeiter und das Management sollten auf Gefahrenquellen hingewiesen und für den Umgang mit personenbezogenen Daten durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert werden.
-ck-
Unterschätztes Phishing: Sicherheitsbewusstsein der Mitarbeiter und CEO`s stärken
Wirtschafts - Woche online - "Top-Phishing-Marken im Weihnachtsquartal 2020: Microsoft vor DHL & LinkedIn"
https://blog.wiwo.de/look-at-it/2021/01/21/top-phishing-marken-im-weihnachtsquartal-2020-microsoft-vor-dhl-linkedin/
600`000 Franken mit Phishing ergaunert
SRF ch – "Bundesstrafgericht: 247 Bankkunden als Opfer: Frau wegen Voice-Phishing vor Gericht"
https://www.srf.ch/news/schweiz/bundesstrafgericht-247-bankkunden-als-opfer-frau-wegen-voice-phishing-vor-gericht
Outlook Zugangsdaten von über 1000 Angestellten verschiedener Unternehmen gestohlen
Infopoint Security online - "Phishing Maleur: Xerox-Phishing-Kampagne lässt tausende gestohlener Passwörter über Google finden"
https://www.infopoint-security.de/xerox-phishing-kampagne-laesst-tausende-gestohlener-passwoerter-ueber-google-finden/a26313/
Täuschung per abgewandelter Domainverlängerung
United – Domains online - "Sicherheitshinweis zu Fake-Rechnungen der United Hosting Deutschland"
https://www.united-domains.de/help/faq-article/taeuschung-als-rechnung-getarnte-angebote-fuer-domainregistrierungen
Öffnung manipulierter Zip-Datei führt zum Festplattendefekt
Chip online - "Windows-Nutzer aufgepasst: Diese kurze Zeichenfolge killt Ihre Festplatt"
https://www.chip.de/news/Achtung-Windows-Nutzer-Diese-Zeichenfolge-killt-Festplatten_183235807.html
Sanktionen gemäß der EU-Datenschutz-Grundverordnung (DSGVO)
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter und der Geschäftsleitung in Unternehmen - jeglicher Größe - durchgeführt wird.
-ck-
DSGVO Bußgelder: Zahl der Sanktionen drastisch gestiegen
Presseportal online - "Federprivacy-Datenschutzforschung: 2020 erreichen die Bußgelder in Europa 307 Millionen Euro"
https://www.presseportal.de/pm/140324/4814611
Aktuelle DSGVO Bußgeld-Datenbank
DSGVO Portal online - "Geldbußen für DSGVO-Verstöße und für Verletzungen anderer Datenschutzgesetze"
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php
Menschlicher Fehler: Tausenden versehentlich gelöschten Daten
Frankenpost online - "Protokolle gelöscht Britische Innenministerin nach Datenpanne unter Druck"
https://www.frankenpost.de/inhalt.protokolle-geloescht-britische-innenministerin-nach-datenpanne-unter-druck.fd096ced-fd42-4184-8b6a-581efddd8017.html
Telekommunikationsunternehmen: Wegen technischer Probleme keine Nutzungsdaten erfasst
Neues Deutschland online - "Datenpanne erläutert: BKA erklärt Lücken bei Spuren nach Attentat vom Breitscheidplatz"
https://www.neues-deutschland.de/amp/artikel/1147080.breitscheidplatz-untersuchungsauschuss-datenpanne-erlaeutert.amp.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Sicherheitstipps und Datenschutz – Einstellungen
Chip online - "WhatsApp weiter nutzen, aber sicher: Mit diesen Einstellungen bremsen Sie die Datenkrake"
https://www.chip.de/news/WhatsApp-So-laesst-sich-die-Datenkrake-sicher-nutzen_183245196.html
2. Zügige Aktualisierung empfohlen
Heise online – "Alert! - Schadcode-Schlupflöcher in VLC Player gestopft"
https://www.heise.de/news/Schadcode-Schlupfloecher-in-VLC-Player-gestopft-5031550.html
3. App sammelt personenbezogene Daten
Frankfurter Rundschau online - "Daten bei Clubhouse: Experten warnen vor den Risiken der App"
https://www.fr.de/wirtschaft/clubhouse-app-iphone-ios-apple-daten-datenschutz-audio-whatsapp-instagram-twitter-social-media-risiko-ltt-zr-90174907.html
Datenschutzkonformer Einsatz: Orientierungshilfen für die Praxis
Angesichts der datenschutzrechtlichen Herausforderungen, welche sich anhand der Corona-Pandemie für Unternehmen ergeben, wurden schon mehrere Hilfestellungen und Musterschreiben von den Aufsichtsbehörden und Datenschutz – Experten veröffentlicht. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) haben auf ihrer Homepage umfangreiche Informationen zu den jeweiligen Datenschutz-Themen auf ihrer FAQ-Seite on gestellt. Auch werden Handreichungen zu den Datenschutzvorgaben der DSGVO als Unterstützung für die Verantwortlichen sowie deren Datenschutzbeauftragen ständig ergänzt und veröffentlich.
Um die Arbeits- und Handlungsfähigkeit der Unternehmen sicherzustellen, arbeiten aufgrund der aktuellen Lage bezüglich der Corona – Pandemie, viele Mitarbeiter im Homeoffice. Bei der Verlagerung der Arbeiten ins Home-Office muss ein sorgsamer Umgang mit den sensiblen Daten sichergestellt und die datenschutzrechtlichen Vorgaben zum Schutz personenbezogener Daten gewährleistet sein. Zu diesem Thema wurde auf der Homepage des BayLDA eine Checkliste mit Prüfkriterien nach der DS-GVO veröffentlicht.
Auch eine Best-Practice-Checkliste zur Überprüfung der Cybersicherheit für medizinische Einrichtungen wurde on gestellt, um gerade in der aktuellen Corona-Pandemie Cyberattacken auf medizinische Einrichtungen vorzubeugen. Gleichzeitig wurde eine Handreichung (Patch Management im Alltag: Checkliste nach Art. 32 DS-GVO) zur Unterstützung bei der Durchführung von bedarfsgerechten Aktualisierungen der eingesetzten Softwaresysteme der Unternehmen veröffentlicht.
Als gute Unternehmens - Unterstützung hat das BayLDA vor kurzem die Checkliste „Good Practice bei technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO“ veröffentlicht. Eine Auswahl an TOMs können anhand dieser Checkliste bei alltäglichen Verarbeitungstätigkeiten innerhalb eines Unternehmens verwendet werden.
-ck-
Empfehlung zur Good-Practice: Auswahl an TOMs
Lda Bayern online - "Good Practice bei technischen und organisatorischen Maßnahmen: Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit (pdf)"
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf
Hilfestellung zur Umsetzung der Datenschutzvorschriften
BayLDA online – "Checklisten zum Datenschutz"
https://www.lda.bayern.de/de/checklisten.html
Verstöße gegen das
Datenschutzgesetz
Was mangelhafter Datenschutz bedeuten kann, wird anhand der zahlreichen Medienberichte über Datenschutzpannen und den bisher verhängten Sanktionen gemäß der europaweiten Datenschutz-Grundverordnung (DSGVO), fast jede Woche mehr sichtbar. Auch die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter und der Geschäftsleitung in Unternehmen - jeglicher Größe - durchgeführt wird.
-ck-
Angebliches Ableben über eigenen Kontoauszug erfahren
BZ – Berlin online - "Makabre Verwechslung: Das ist Herr Lehmann. Laut Rentenkasse ist er tot"
https://www.bz-berlin.de/berlin/das-ist-herr-lehmann-laut-rentenkasse-ist-er-tot
Nach Systemwartung: Unbefugte Zugriff- und Schreibrechte auf Prüfungsdaten
Netzpolitik org - "Datenschutz-GAU: Freie Universität Berlin gab Studierenden vollen Zugriff auf alle Prüfungsdaten [Update]"
https://netzpolitik.org/2021/datenschutz-gau-freie-universitaet-berlin-gab-studierenden-vollen-zugriff-auf-alle-pruefungsdaten-update/
Mitarbeiterfehler: Cloud-Zugriffsberichtigung unberechtigt weitergegen - 9.500 Patientendaten betroffen
Sumikai com - "Fehler wurde nicht gemeldet: Persönliche Daten von Coronavirus-Patienten in Japan versehentlich online gestellt"
https://sumikai.com/nachrichten-aus-japan/persoenliche-daten-von-coronavirus-patienten-in-japan-versehentlich-online-gestellt-286634/
Mehr erfolgreiche Cyberattacken auf Unternehmen
Die IT-Sicherheitslage in den Unternehmen ist nach wie vor durch die Vielzahl der Cyber-Gefahren angespannt. Ob gezielte Wirtschaftsspionage, Konkurrenzausspähung oder allgemeine Cyber-Angriffe, es entstehen den Unternehmen jährlich finanzielle Schäden in Milliardenhöhe. Unternehmen müssen sich auf neue Gefahrenquellen von Internet- Cyberattacken vorbereiten, die Infrastruktur und Industrieanlagen besser abschirmen.
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
-ck-
Fast 300.000 Kundendaten gestohlen – Callcenter versuchen diese zu verkaufen
Giga online - "Nach Ledger-Datenpanne: Spam-Anrufe von 032221094827"
https://www.giga.de/artikel/nach-ledger-datenpanne-spam-anrufe-von-032221094827/
Erbeutete Behördendokumente im Internet aufgetaucht
Redaktionsnetzwerk Deutschland online - "EMA: Gestohlene Impfstoff-Daten im Internet aufgetaucht"
https://www.rnd.de/digital/ema-gestohlene-impfstoff-daten-im-internet-aufgetaucht-MNYLDXQAYJMU2SUKEV7IBNLL6A.html
Unerlaubter Zugriff auf die IT-Systeme?
Heise online - "Netzwerktechnik-Hersteller Ubiquiti gehackt: Jetzt Passwort ändern!"
https://www.heise.de/news/Netzwerktechnik-Hersteller-Ubiquiti-gehackt-Jetzt-Passwort-aendern-5020809.html
Gekaperte Daten sollen US-Strafverfolgungsbehörden zur Verfügung gestellt werden
Golem online - "Hacker erbeuten 70 TByte Daten von Parler"
https://www.golem.de/news/rechtes-netzwerk-hacker-erbeuten-70-tbyte-daten-von-parler-2101-153287.html
Gemeinsame Verantwortung für digitale Sicherheit
bmi bund online - "Online Kompendium - Cybersicherheit in Deutschland (pdf)"
https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/it-digitalpolitik/online-kompendium-nationaler-pakt-cybersicherheit.pdf?__blob=publicationFile&v=4
Unberechtigte Videoüberwachung
Eine heimliche Videoüberwachung von Beschäftigten ist am Arbeitsplatz in der Regel nicht so einfach rechtens. Die Kameras müssen nicht nur sichtbar sein, sondern die Arbeitnehmer müssen eindeutig über deren Zweck informiert werden und diesbezüglich zustimmen. Eine widerrechtliche Videoüberwachung während der Arbeit, stellt einen deutlichen Eingriff in das Persönlichkeitsrecht der Mitarbeiter dar. Das allgemeine Persönlichkeitsrecht wird aus den Grundrechten der Unantastbarkeit der Würde des Menschen (Art. 1 Abs. 1 GG) und der freien Entfaltung seiner Persönlichkeit abgeleitet. Eine Verletzung des Persönlichkeitsrechts mittels einer heimlichen Videoüberwachung wird als Datenschutzverstoß gewertet. Nur unter bestimmten Umständen gilt eine Ausnahme, wenn die heimliche Videoüberwachung anlassbezogen eingesetzt wird. Zum Beispiel um einen erhärteten Diebstahlverdacht zu bestätigen. Der Arbeitgeber muss in erster Linie darauf achten, dass er die Videoüberwachung datenschutzkonform gestaltet.
Im Fall einer nicht datenschutzkonformen Videoüberwachung haben Arbeitnehmer gegen den Arbeitgeber einen Anspruch auf Zahlung einer Geldentschädigung, so lautet ein Urteil (2 SA 214/18) des LAG Mecklenburg-Vorpommern vom 24.05.2019.
In dieser Woche berichteten die Medien über einen Online-Elektronikhändler, welcher ohne Rechtsgrundlage über ca. Jahre seine Mitarbeiterinnen und Mitarbeiter gefilmt hatte. Die Kameras hätten Arbeitsplätze, Aufenthaltsbereiche des Personals erfasst. Auch das Lager und die Verkaufsräume, Wartebereiche in dem auch Kunden auf einigen Video - Aufnahmen zu sehen waren, wurden überwacht. Barbara Thiel, Niedersachsens Datenschutzbeauftragte, beanstandete die Praxis des Unternehmens und verhängte deshalb ein Bußgeld von 10,4 Millionen Euro gegen die Handelskette. Das Unternehmen legte gegen den Bußgelbescheid Einspruch ein.
-ck-
Eingriff in das Persönlichkeitsrecht: Videoüberwachung von Mitarbeitern und Kundinnen und Kunden
Niedersachsen online - "LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de "
https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html
Videoüberwachung ohne Rechtsgrundlage: LfD Niedersachen verhängt Bußgeld
ZDNet online - "notebooksbilliger.de muss 10,4 Millionen Euro Strafe zahlen"
https://www.zdnet.de/88391174/notebooksbilliger-de-muss-104-millionen-euro-strafe-zahlen/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Anspruch auf länger laufenden Sicherheitsupdates
Iphone ticker online - "Justizministerium: Update-Pflicht für Apps und Software rollt an"
https://www.iphone-ticker.de/justizministerium-update-pflicht-fuer-apps-und-software-rollt-an-168703/
2. Server und geltende Datenschutz-Gesetze nicht bekannt
Focus online - "Es gibt bessere Alternativen: Sie machen Schluss mit WhatsApp? Warum Sie auf keinen Fall zu Telegram wechseln sollten"
https://www.focus.de/digital/handy/handy-tipps/sie-suchen-whatsapp-ersatz-telegram-wieso-sie-auf-keinen-fall-zur-messenger-alternative-wechseln-sollten_id_12860770.html
3. Fernsehgeräte analysieren das Verhalten ihrer Nutzer und erfassen biometrische Daten
Inside Digital online - "Datenschutz beim Smart TV: So verhinderst du die Daten-Spionage"
https://www.inside-digital.de/ratgeber/smart-tv-datenschutz-so-verhinderst-du-daten-spionage
Gebrauchte Datenträger
Unternehmen die ihre gebrauchte Hardware wie Festplatten, Drucker, Kopierer oder Handys entsorgen möchten, können diese nicht einfach wegwerfen, verkaufen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten.
-ck-
Datenfunde auf gebrauchte Datenträger
Computer Bild online - "Alte Fotos auf Festplatten von Ebay"
https://www.computerbild.de/artikel/cb-News-Sicherheit-29598325.html
Medienpräsenz: Datenschutz und Datenpannen
Kaum hat das neue Jahr begonnen, häufen sich die Meldungen über Datenschutzverletzungen. Um die gesetzlichen Anforderungen an den Datenschutz weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Seit Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Fehlerhafte Berechtigungsvergabe: Sicherheitsrelevante Informationen der NRW-Staatskanzlei im Internet frei zugänglich
Süddeutsche Zeitung online - "Landesregierung veröffentlicht versehentlich geheime Dokumente"
https://www.sueddeutsche.de/politik/nrw-bauplaene-staatskanzlei-1.5165951
Fotos von Schülern: Eltern wurden nicht informiert oder um Erlaubnis gefragt
Kronen Zeitung at - "Eltern sind verärgert: In NÖ: Schüler wurden nach Gurgeltest fotografiert"
https://www.krone.at/2302705
Kritische Sicherheitslücke im Unternehmen: Betriebssystem ohne Aktualisierung
Bereits seit Januar vergangenen Jahres wurde die Unterstützung des offiziellen Supports für das Computerbetriebssystems Windows 7 eingestellt. Ab diesem Zeitpunkt erschienen keine Sicherheits-Updates mehr - eine weitere Nutzung des Betriebssystems birgt daher hohe Risiken für die IT-Sicherheit.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist schon länger auf die Gefahren hin und rät vor allem Unternehmen und Behörden auf ein neues Betriebssystem zu wechseln.
Neben dem BSI warnt nun auch das FBI ausdrücklich vor der Nutzung von Windows 7. Die US-Behörde weist in einem offiziellen Dokument (pdf) auf ein Ansteigen der Cyberattacken bei ungeschützten Computerbetriebssystemen hin. Nach Angaben der amerikanischen Sicherheitsbehörde nutzen über 70 Prozent der Geräte im öffentlichen Gesundheitssektor nach wie vor Windows 7 oder sogar ältere Betriebssysteme.
Wer dennoch veraltete Betriebssysteme weiterhin nutzt, gefährdet nicht nur sein eigenes Unternehmen, sondern auch die ihm anvertrauten sensiblen Daten.
-ck-
Veraltete Windows – Systeme im öffentlichen Gesundheitssektor
Chip online - "Vor diesem Windows warnt das FBI: Wer es nutzt, sollte dringend updaten"
https://www.chip.de/news/Nach-Windows-7-Support-Aus-FBI-warnt-vor-Nutzung_134504454.html
Cyberangriffe: Tickende Zeitbombe für Unternehmen
t3n Digital Pioneers online - "Windows 7 noch auf jedem fünften PC – obwohl der Support seit einem Jahr beendet ist"
https://t3n.de/news/windows-7-nutzer-support-ende-1347993/
Europäischer Datenschutztag am 28. Januar 2021
Um das Bewusstsein bei Unternehmen und Bürgern in Europa für den Datenschutz zu stärken, hat der Europarat alljährlich den 28. Januar zum Datenschutztag erklärt. Alle Stellen, die sich mit Datenschutz befassen, sollen sich durch eigene Aktionen an diesem Tag beteiligen. Der Europäische Datenschutztag mahnt zur Vorsicht im Umgang mit sensiblen personenbezogenen Daten und findet seit 2007 jedes Jahr am 28. Januar statt. Nehmen Sie sich doch vor, dass dieser Tag in Ihrem Unternehmen relevant wird. Zum Beispiel eine Auffrischungsschulung für alle Beschäftigten, Einführung eines passwortgeschützten Bildschirmschoners mit Datenschutztipps, oder ein Datenschutzartikel Ihres Datenschutzbeauftragten in Ihrem aktuellen Unternehmensmagazin. Sie haben keinen Datenschutzbeauftragten? Dann wäre der europäische Datenschutztag ein guter Grund, die gesetzliche Anforderung (DSGVO) nicht länger zu ignorieren und möglicherweise harten Konsequenzen in Form von Bußgeldern, Haftstrafen oder auch einem ernstzunehmenden Imageverlust zu vermeiden.
-ck-
Einladung zur Online-Veranstaltung am 28. Januar 2021, 13.00 Uhr - 16.30 Uhr
Bmi Bund online - "Transborder transfers: Herausforderungen des internationalen Datentransfers aus Sicht der Datenschutzkonvention 108+ und der DSGVO"
https://www.bmi.bund.de/SharedDocs/termine/DE/veranstaltungen/datenschutzkonvention-108/veranstaltung.html
Datenschutz geht jeden etwas an
Kleiner Kalender online – "Europäischer Datenschutztag 2021"
http://www.kleiner-kalender.de/event/europaeischer-datenschutztag/97395.html
Erfolgreiche Cyberangriffe
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit großen wie auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen.
Laut Medienberichten erfolgte in dieser Woche ein Cyberangriff auf das Thüringer Coronavirus-Impfportal. Die Cyberkriminellen fluteten mit fast 160.000 Anfragen (SYN-Flood Angriff) das Online Portal, so dass die Website nicht mehr korrekt funktionierte und hunderte Impftermine verfallen seien.
Ferner berichten die Medien, über einen erfolgreichen Cyberangriff auf Microsoft. Scheinbar konnten die Angreifer ein internes Konto hacken und somit den Programm-Quellcode in mehreren Source Code Repositories einsehen. Die Cyberkriminellen scheinen dieselbe Schwachstelle im Netzwerküberwachungsprodukt Orion von Solarwinds auszunutzen, mit der sie auch US-Behörden und den Security-Anbieter Fireeye im vergangenen Dezember angriffen.
Im Dezember vergangenen Jahres wurden auch die bundesweiten Systeme der Funke-Mediengruppe erfolgreich angegriffen. Die Cyberattacke war so massiv, dass es noch einige Wochen dauern werde, bist die komplette Neueinrichtung der IT-System für alle Bereiche erfolgt sei.
-ck-
Nach Cyberattacke: Komplette Neueinrichtung der IT-Systeme sowie wochenlanger Ausfall
Tagesspiegel online - "Cyber-Attacke auf Funke-Gruppe: „Wir betrachten den Angriff als weiterhin aktiv""
https://www.tagesspiegel.de/gesellschaft/medien/cyber-attacke-auf-funke-gruppe-wir-betrachten-den-angriff-als-weiterhin-aktiv/26769640.html
Cyberkriminelle konnten Quellcode von Microsofts Produkte einsehen
IT-Markt online - "Solarwinds-Attacke: Update: Hacker erlangen Zugriff auf Microsoft-Quellcode"
https://www.it-markt.ch/news/2020-12-10/hacker-erbeuten-hacking-tools-von-fireeye
Internetportal nach SYN-Flood Angriff geschlossen
MDR online - "Corona-Impfungen: Ministerium bestätigt Cyber-Attacke auf Thüringer Impfportal"
https://www.mdr.de/thueringen/cyberattacke-auf-thueringer-impfportal-100.html
Jährlicher Schaden über 100 Milliarden Euro: Weltweit mehr Cyber-Angriffe auf Unternehmen
The European online - "Cyber-Security: The Next Big Thing?"
https://www.theeuropean.de/the-european-redaktion/unternehmen-weltweit-verzeichnen-immer-mehr-cyber-angriffe/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Datenverlust: Nach Update werden betroffene Handys unbrauchbar
Inside Digital online - "Fataler Fehler: Android 11 Update macht Handys zu Elektroschrott"
https://www.inside-digital.de/news/xiaomi-mi-a3-android-11-update-fehler
2. Keine Sicherheits-Patches mehr für Flash Player
Inside Digital online - "Adobe rät Nutzern seinen Flash Player umgehend zu deinstallieren - das ist der Grund"
https://www.inside-digital.de/news/adobe-flash-player-deinstallieren-2021
3. Textverarbeitungsprogramm für Windows, Mac OS und Linux betroffen
Heise Security online – "Alert! Gefährliche Sicherheitslücken in Office-Anwendung Text Maker"
https://www.heise.de/news/Gefaehrliche-Sicherheitsluecken-in-Office-Anwendung-TextMaker-5005181.html