Letzte Änderung: 02.10.2024
Security-Risiko Zugriffsverwaltung
Unternehmer sehen IT-Risiken häufig an der falschen Stelle und verbinden Datensicherheit nur mit Viren- und Hacker-Angriffen. Doch sie verursachen nicht unbedingt den größten Schaden, laut IT-Sicherheitsexperten. Demnach wird in jedem zweiten Unternehmen auf vertrauliche und sensible Informationen zugegriffen. Studien zeigen, dass selbst IT-Sicherheitsexperten aufgrund der privilegierten Zugriffsberechtigungen auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, dass verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden und von ihnen weiterhin unbefugt genutzt werden.
Um sensible Daten vor unerlaubten Zugriffen zu schützen, ist es für Unternehmen von großer Bedeutung, ihr Berechtigungsmanagement sorgfältig zu prüfen. Dies nicht nur einmalig, sondern kontinuierlich.
Mitarbeiter sollten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
-ck-
Admin-Rechte auch nach Kündigung
Der Standard online – "IT-Security: Wütender Ex-Mitarbeiter einer IT-Firma löschte aus Rache 180 Server"
https://www.derstandard.de/story/3000000224280/wuetender-ex-mitarbeiter-einer-it-firma-loeschte-aus-rache-180-server
Ehemaliger IT-Mitarbeiter richtet anhand Admin-Anmeldedaten ca. 632.000 Euro Schaden an
Golem online – "Nach Kündigung: Wütender Ex-IT-Mitarbeiter löscht 180 virtuelle Server"
https://www.golem.de/news/nach-kuendigung-wuetender-ex-it-mitarbeiter-loescht-180-virtuelle-server-2406-186041.html
Sicherheitsrisiko Mensch im Unternehmen
Storage-Insider online – "Datensicherheit in Unternehmen Sensible Daten, unsensible Mitarbeiter"
https://www.storage-insider.de/sensible-daten-unsensible-mitarbeiter-a-1092070/
Richtlinien und Praxisleitfaden zur Nutzung von Künstlicher Intelligenz
Vielen Unternehmen fehlen Informationen zum Einsatz der Künstlichen Intelligenz (KI) und auch über die rechtlichen Risiken und Folgen besteht Unklarheit. Dies soll sich mit dem ersten umfassenden Rechtsrahmen zur Regulierung von der Künstlichen Intelligenz in der gesamten EU ändern. Dazu hatte die Europäische Union (EU) den EU AI Act (auch KI-Verordnung oder KI-Gesetz) verabschiedet. Anhand der Verordnung werden spezifische verpflichtende Regeln für KI-Systeme festgelegt, abhängig von möglichen Risiken und Auswirkungen.
Eine neue Orientierungshilfe für KI-Anwendungen hat die Datenschutzkonferenz (DSK) veröffentlicht. Die von der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erstellte Richtlinie, dient als Leitfaden für den datenschutzkonformen Einsatz von KI-Anwendungen.
Auch der deutsche Digitalverband Bitkom hatte zum Thema einen aktuellen Praxisleitfaden (pdf) mit dem Titel "Generative KI im Unternehmen – rechtliche Fragen zum Einsatz generativer Künstlicher Intelligenz im Unternehmen" veröffentlicht.
Die Richtlinien richteten sich an Unternehmen, die generative KI nutzen und befassen sich mit rechtlichen Herausforderungen und den Aspekten im Umgang mit generativer künstlicher Intelligenz.
Vor kurzem hat auch die österreichische Datenschutzbehörde DSB einen Leitfaden für KI-Technologien erstellt, der die Position der Datenschutzbehörde bezüglich der Verwendung von KI-Technologien beschreibt.
-ck-
Leitlinien mit Checklisten zum datenschutzkonformen Einsatz von KI-Anwendungen
Datenschutzkonferenz online – "Orientierungshilfe: Künstliche Intelligenz und Datenschutz: Version 1.0"
https://www.datenschutzkonferenz-online.de/media/oh/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz.pdf
Datenschutzkonformer Einsatz der Künstlichen Intelligenz im Unternehmen
Bayerisches Landesamt für Datenschutzaufsicht online – "Datenschutzkonforme Künstliche Intelligenz: Checkliste mit Prüfkriterien nach DS-GVO (pdf)"
https://www.lda.bayern.de/media/ki_checkliste.pdf
Report von IT-Experten
IT-Sicherheit com – "KI im Wandel: Experten skeptisch, sehen aber Potenzial"
https://www.itsicherheit-online.com/news/cybersecurity/report-emea-it-experten-unterstuetzen-ki-einfuehrung-unter-vorbehalt/?utm_source=Maileon&utm_medium=email&utm_campaign=ISI+NL+12-2024+-+20.06.2024_KW_25&utm_content=https%3A%2F%2Fwww.itsicherheit-online.com%2Fnews%2Fcybersecurity%2Freport-emea-it-experten-unterstuetzen-ki-einfuehrung-unter-vorbehalt%2F
Ernstes Problem: Cyberkriminalität
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – sensible Gesundheitsdaten, personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Um das Bewusstsein für Cyberrisiken zu stärken, ist die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, eine unverzichtbare Präventionsmaßnahme in jedem Unternehmen.
-ck-
Aktuelle Karte mit Aufstellung der betroffenen Städte, Gemeinden, Organisationen und Unternehmen
kon Briefing com – "IT-Sicherheit: Ransomware & Cyberangriffe aktuell heute 2024 / 2023 - Hackerangriffe auf Unternehmen, Firmen, Organisationen und Behörden - Österreich, Schweiz & weltweit"
https://konbriefing.com/de-topics/cyber-angriffe.html#month2024-03
IT-Sicherheitsvorfall: Kundendaten abgegriffen
Onlinehändler-News online – "Paketdienst: Unautorisierter Zugriff auf Daten: Hackerangriff auf DPD-Mutter Geopost"
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/140233-hackerangriff-dpd-mutter-geopost
Warnung: Gestohlenen Daten könnten für Spam oder Phishing verwendet werden
DPD com - "Servicetipps: Geopost informiert über IT-Sicherheitsvorfall"
https://www.dpd.com/de/de/news/geopost-informiert-ueber-it-sicherheitsvorfall/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Fehler nach Installation der Windows Sicherheitsupdates
Heise online – "Windows-Updates: Server-Störungen und irritierendes App-Verhalten"
https://www.heise.de/news/Windows-Updates-Server-Stoerungen-und-irritierendes-App-Verhalten-9767348.html
2. Microsoft: Windows App wird ab Mitte Juli in Lesemodus versetzt
Chip online – "Microsoft macht ernst: Wer bei Windows nicht umsteigt, schaut bald in die Röhre"
https://www.chip.de/news/Windows-Nutzer-muessen-umsteigen-Microsoft-macht-weiter-Druck_185328049.html
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell
Datenschutzaufsichtsbehörden prüfen Websites
Seit Jahren überprüfen deutsche Aufsichtsbehörden Online-Angebote auf die rechtskonforme Einbindung von Tracking-Technologien. Im Mai dieses Jahres hat die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), Dr. Juliane Hundert, ungefähr 30.000 Webseiten aus Sachsen auf Datenschutzverstöße überprüft. 2.300 Website-Betreibende hatten bei ihrem Internetauftritt das Webanalyse-Tool Google Analytics eingesetzt, waren aber nicht der Pflicht, einer freiwilligen und eindeutigen Einwilligung von Websitebesuchern einzuholen, nachgekommen.
Eine Einwilligung zu Google Analytics über ein vorab aktiviertes Kästchen (Opt-Out-Verfahren), bei dem für einen Widerspruch das Häkchen entfernt werden muss, ist nicht zulässig und somit keine wirksame Einwilligung. Es muss die Einwilligung durch eine aktive Zustimmung (Opt-In) erfolgen. Vor einer aktiven Einwilligung des Website-Besuchers, etwa durch Setzen eines Häkchens, darf keine Datenverarbeitung erfolgen, auch wenn der Internetnutzer einfach weitersurft. Sollte keine datenschutzrechtlich wirksame und freiwillige Einwilligung durch den Nutzer erteilt werden, ist eine Verarbeitung der Daten (Speichern und Auslesen von Informationen auf dessen Hardware) rechtswidrig.
Bei einer nicht datenschutzkonformen Datenverarbeitung müssen Webseitenbetreiber nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Bußgelder vorsieht. Zudem ist darüber ausführlich in einer Datenschutzerklärung zu informieren, welche personenbezogene Nutzerdaten erhoben und gespeichert werden. Zum Beispiel Namen, E-Mail-Adressen, IP-Adressen oder Standortdaten, vom Website-Betreiber oder durch Drittanbieter wie Google Maps zu welchem Zweck, sowie die Information über das Widerrufsrecht der Einwilligung.
-ck-
Sächsische Datenschutz- und Transparenzbeauftragte prüft Einsatz des Webanalyse-Dienstes Google Analytics
Datenschutz Sachsen online – "SDTB kontrolliert 30.000 Websites und weist 2.300 Verantwortliche auf Datenschutzverstöße hin"
https://www.datenschutz.sachsen.de/sdtb-kontrolliert-30-000-websites-und-weist-2-300-verantwortliche-auf-datenschutzverstoesse-hin-7239.html"
Orientierungshilfe für Verantwortliche
Datenschutz-Sachsen online – "Cookies und Tracking"
https://www.datenschutz.sachsen.de/cookies-und-tracking.html
Pressemitteilung des BayLDA bezüglich Tracking
LDA Bayern online - "Pressemitteilung: Google Analytics nur mit Einwilligung (pdf)"
https://www.lda.bayern.de/media/pm/pm2019_14.pdf
Gesetzeskonforme Videoüberwachung
Viele Unternehmen und Privatpersonen vergessen bei der Anbringung ihrer Videoüberwachungsanlagen die deutsche Rechtslage des allgemeinen Persönlichkeitsrechts. Wenn nicht deutlich auf Videoüberwachung hingewiesen wird, unzulässige Videoüberwachungsanlagen verwendet werden und Videoaufnahmen mit personenbezogenen Daten – Gesichter von Personen zu sehen sind – und der Videoüberwachung keine schlüssigen Konzepte zugrunde liegen, muss mit einem entsprechend hohen Bußgeld gerechnet werden.
Auf der Homepage der Sächsischen Datenschutz- und Transparenzbeauftragten, Frau Dr. Juliane Hundert, steht nicht nur der neue Leitfaden "Achtung Kamera", sondern auch zahlreiche weitere Publikationen zu diesem Thema stehen zum Download bereit.
-ck-
Ausführlicher Leitfaden erklärt die rechtlichen Anforderungen und Grenzen der Videoüberwachung
Datenschutz-Sachsen online - "Achtung Kamera!: "Hinweise zur Videoüberwachung für Bürgerinnen und Bürger, Wirtschaft und Behörden (pdf)"
https://www.datenschutz.sachsen.de/download/Achtung_Kamera.pdf
Überwachungsdruck rechtfertigt Rechtsanspruch auf Unterlassung
Datenschutz–Praxis online – "Überwachungsdruck durch Videokamera"
https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/ueberwachungsdruck-durch-videokamera/
Urteil zur Videoüberwachung: Aktenzeichen 52 C 76/24
RV-Hessenrecht online - "Kamerabetrieb schon bei theoretischer Möglichkeit der Erfassung des Nachbargrundstücks unzulässig"
https://www.rv.hessenrecht.hessen.de/bshe/document/LARE240000636
Imageverlust anhand Datenverlust
Die Folgen einer Datenpanne sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
Die unten aufgeführten Medienberichte über Datenpannen zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-
Technische Störung im ZKB-Mobile-Banking führte zur Einsicht von Kontoständen fremder Kunden
Neue Züricher Zeitung ch – "Datenpanne beim Mobile-Banking der ZKB: Namen und Kontostände fremder Personen sichtbar"
https://www.nzz.ch/wirtschaft/datenpanne-beim-mobile-banking-der-zkb-namen-und-kontostaende-fremder-personen-sichtbar-ld.1834543
Sämtliche Adressen an alle Empfänger
Saarbrücker-Zeitung online - "Es geht um Spendenbetrug mit Tieren: E-Mail-Adressen von 825 Zeugen sichtbar – Polizei in Saarlouis entschuldigt sich"
https://www.saarbruecker-zeitung.de/saarland/landespolitik/datenschutz-panne-polizei-in-saarlouis-entschuldigt-sich_aid-114389793
Bewerberliste mit 4.870 Vor- und Nachnamen tagelang öffentlich einsehbar
Golem online – "Datenleck bei der CDU: Tausende von Bewerbernamen waren wohl frei zugänglich"
https://www.golem.de/news/datenleck-bei-der-cdu-tausende-von-bewerbernamen-waren-wohl-frei-zugaenglich-2406-185746.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Fehlerhaftes HP Bios-Update: Nach Installation schwarzer Bildschirm
PC-Welt online – "Warnung: BIOS-Update macht HP-Laptops unbrauchbar – Hersteller antwortet nicht"
https://www.pcwelt.de/article/2364675/warnung-hp-bios-update-crashed-laptops.html
2. Sicherheitslücken: Updates stehen für Confluence Data Center und Server zur Verfügung
Security-Insider online - "Schwachstelle in Confluence gefährdet tausende Unternehmen: Angreifer greifen Confluence-Systeme an"
https://www.security-insider.de/sicherheitsluecken-confluence-data-center-server-a-800d5fcf395ffb8d39bc90786ab9fdbe/?cmp=nl-dd8677e7-3d55-4684-9757-84c3e76ddfb1
3. Ohne Support: Nicht geschlossen werden Schwachstellen auf ältere Geräte
Security-Insider online - "18 Schwachstellen in Access Points von Aruba ArubaOS und InstantOS sind durch Malware eingreifbar
https://www.security-insider.de/arubaos-instantos-schwachstellen-updates-2024-a-09fbf74e0c6c31ac323c3f4773ad3ccf/
4. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell
Tätigkeitsbericht über Entwicklungen und Fragen des Datenschutzes
Die Datenschutz-Grundverordnung erfordert ein aufeinander abgestimmtes und einheitliches Vorgehen der Datenschutz – Aufsichtsbehörden. Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, welche an Parlament, Regierung, Behörden übermittelt und auch der Öffentlichkeit zugänglich gemacht wird.
In dieser Woche stellte Denis Lehmkemper, der Landesbeauftragte für den Datenschutz Niedersachsen (LfD), seinen Tätigkeitsbericht für das Jahr 2023 vor. Im aktuellen Berichtszeitraum der Behörde wurden 2.207 Datenschutz-Beschwerden bearbeitetet und 1.302 Datenschutzverletzungen gemeldet. Insgesamt wurden Sanktionen in Höhe von ca. 5,3 Millionen Euro im Jahr 2023 gegen Unternehmen und Privatpersonen verhängt.
Auch Dr. Dominika Blonski, die Datenschutzbeauftragte des Zürcher Kantons, hat ihren Tätigkeitsbericht für 2023 veröffentlicht.
In ihrem aktuellen Berichtszeitraum stieg die Anzahl der Beratungen auf 793 und die Kontrollen bei der Datenbearbeitungen stark auf 60 an. Sehr erfreulich war die Zunahme der Websitezugriffe auf die Website www.datenschutz.ch, welche eine Vielzahl an konkreten Hilfestellungen bereitstellt.
Alle Tätigkeitsberichte der Datenschutzbehörden hält die Bundesstiftung - Stiftung Datenschutz auf der Informationsplattform ZAfTDa (Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten) im PDF-Format zum Download bereit.
-ck-
LfD Niedersachsen zieht insgesamt eine positive Bilanz
LfD Niedersachsen online – "Tätigkeitsbericht 2023: Der Landesbeauftragte für den Datenschutz Niedersachsen: Pressemitteilung Nr. 10/2024"
https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/tatigkeitsbericht-2023-232717.html
Mangelhafter Datenschutz in Zürcher Alters- und Pflegeheimen
Netzwoche ch – "Tätigkeitsbericht 2023: Zürcher Datenschutzbeauftragte lobt "Zürikonto" und kritisiert Pflegezentren"
https://www.netzwoche.ch/news/2024-06-06/zuercher-datenschutzbeauftragte-lobt-zuerikonto-und-kritisiert-pflegezentren
Tätigkeitsbericht mit weiteren ausführlichen Hinweisen
Datenschutz ch – "Datenschutzbeauftragte des Kantons Zürich ch – Tätigkeitsbericht 2023"
https://www.datenschutz.ch/tb/2023
Sicherheitsdefizite in der kritischen Infrastruktur
Cyberkriminelle interessieren sich vermehrt für kritische Infrastrukturen. Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen, die für das staatliche Gemeinwesen von großer Bedeutung sind. Zu diesen Bereichen gehören unter anderem medizinische Einrichtungen zur Gesundheitsversorgung.
Ein erfolgreicher Cyberangriff, insbesondere im Sektor Gesundheit, kann schnell verheerende Folgen nach sich ziehen, wie zum Beispiel eine lahmgelegte Kommunikations- und IT-Infrastruktur, der Verlust wichtiger Gesundheitsdaten verbunden mit Lösegeldforderungen.
-ck-
Nach Cyberangriff alle Systeme heruntergefahren
Golem online – "Deutsches Rotes Kreuz im Visier: DRK-Kreisverband Mannheim bestätigt Cyberangriff"
https://www.golem.de/news/deutsches-rotes-kreuz-im-visier-drk-kreisverband-mannheim-bestaetigt-cyberangriff-2403-182901.html
Fehlkonfiguration ermöglichte freien Zugriff auf sensible Daten
Sentiguard eu – "Datenleck beim Roten Kreuz Berlin: Passwörter und private Nachrichten veröffentlicht"
https://www.sentiguard.eu/wissen/datenleck-beim-roten-kreuz-berlin-passwoerter-und-private-nachrichten-veroeffentlicht/
Steigende Cyberkriminalität
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per Internet. Ein Grund für die rasante Verbreitung ist immer noch die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht oder öffnen unbedarft Anhänge von Spam-Mails. Die Folgen sind nicht unerheblich. Die unten aufgeführten Medienberichte zeigen einen Teil der der Möglichkeiten von Betrugsversuchen auf. Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung durch ihren Datenschutzbeauftragten zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen.
-ck-
Kreditkartendaten einer Ikea-Family-Card in Phishing-E-Mail bestätigt
Blick ch – "Diebe kapern Kreditkarte – Markus Burri schlägt vergebens bei Interdiscount und Post Alarm:2000 Franken Schaden – weil alle gepennt haben"
https://www.blick.ch/news/diebe-hacken-kreditkarte-markus-burri-schlaegt-vergebens-bei-bank-interdiscount-und-post-alarm-2000-franken-schaden-weil-alle-gepennt-haben-id19814203.html
Zugangsdaten vermutlich über Phishing abgegriffen
Heise online – "Erpresser übernehmen GitHub-Repositories, greifen Daten ab und löschen Inhalte"
https://www.heise.de/news/Erpresser-uebernehmen-GitHub-Repositories-greifen-Daten-ab-und-loeschen-Inhalte-9751516.html
Bundesministerium für Finanzen (BMF) und Bundesschatz warnen aktuell vor geklonter Webseite
Mein Bezirk at – "Deep-Fake von Minister Brunner: Ministerium warnt vor Phishing-Webseite"
https://www.meinbezirk.at/c-lokales/ministerium-warnt-vor-phishing-webseite_a6728847
Verbesserung der Sicherheitskultur: Mitarbeiter-Sensibilisierung
IT-Daily net – "E-Mails und SMS im Namen verschiedener Banken: Phishing-Angriffe in Deutschland weiterhin ein Problem"
https://www.it-daily.net/it-sicherheit/cybercrime/phishing-angriffe-in-deutschland-weiterhin-ein-problem
Uchter Verwaltung warnt
Die Harke online – "Besonders aufmerksam sein: Dreiste Betrugsmasche: Samtgemeinde Uchte warnt vor Phishing-Mails"
https://www.dieharke.de/lokales/nienburg-lk/uchte/uchte-betruegerische-phishing-mails-werden-im-namen-der-samtgemeinde-verschickt-22HFUUHNBNFFTGW44O3JX7LVIY.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Sicherheitsproblem: Noch gibt es keine Lösung
Heise online – "Kritische Azure-Lücke: Patch-Status derzeit unklar"
https://www.heise.de/news/Kritische-Azure-Luecke-Patch-Status-derzeit-unklar-9751850.html
2. Recall deaktivieren um Speicherplatz zu sparen und Daten abzusichern
Giga online – "Windows 11: Recall deaktivieren (Dauer-Snapshots ausschalten)"
https://www.giga.de/tipp/windows-11-recall-deaktivieren-dauer-snapshots-ausschalten/
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell