Letzte Änderung: 19.07.2021

Datenschutz - Nachrichten 12. Kalenderwoche 2021

.

Bundesbeauftragte für den Datenschutz stellt seinen aktuellen Tätigkeitsbericht vor
In dieser Woche übergab der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, seinen 29. Tätigkeitsbericht zum Datenschutz für das Jahr 2020 an den Präsidenten des Deutschen Bundestags Dr. Wolfgang Schäuble.
In seinem neusten Tätigkeitsbericht zieht der BfDI Ulrich Kleber eine überwiegend positive Bilanz zu der seit 25.Mai 2018 geltenden europäischen Datenschutzgrundverordnung (DSGVO). Anhand der Pandemie-Bekämpfung kamen viele Datenschutzfragen auf und nicht bei allen konnte sich der BfDI durchsetzen und manche wiederholten Änderungen zum Beispiel bei dem Infektionsschutzgesetz liefen offenbar holprig und mit einer Stellungnahmefrist von gerade mal vier Stunden, so bei der ersten Änderung. Auch für weitere Überarbeitungen kritisiert der BfDI in seinem Tätigkeitsbericht über viel zu kurze Prüfungsfristen und das hohe Gesetzestempo im Kampf gegen die Corona - Pandemie. Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden zeigen, dass das Interesse am Datenschutz seit Einführung der Verordnung auch im Bewusstsein vieler Bürger angekommen ist. Im vergangenen Jahr wurden dem BfDI ca. 10.000 Datenschutzverstöße gemeldet, darunter viele von Jobcentern, Finanzämtern und Telekommunikationsunternehmen.
-ck-

Behörde hat alle Hände voll zu tun - nicht nur anhand Corona-Krise
Behörden Spiegel online - "BfDI stellt Tätigkeitsbericht vor"
https://www.behoerden-spiegel.de/2021/03/25/bfdi-stellt-taetigkeitsbericht-vor/

Schutzmaskenausgabe gegen Daten
Deutsche Apotheker Zeitung online - "Tätigkeitsbericht des Bundesdatenschutzbeauftragten: E-Rezept und Schutzmaskenverteilung im Visier der Datenschützer"
https://www.deutsche-apotheker-zeitung.de/news/artikel/2021/03/25/e-rezept-und-schutzmaskenverteilung-im-visier-der-datenschuetzer/chapter:2


Identitätsdiebstahl und Datenmissbrauch
Im Internet kursieren immer mehr falsche und betrügerische Job-Angebote. Die Dunkelziffer ist hoch, Betrugsversuche werden nur selten angezeigt und falls doch, sind die Cyber-Täter so gut wie nicht zu greifen da diese oft im Ausland sitzen. Um an die personenbezogenen Daten und das Geld der Arbeits-Suchenden ranzukommen, werden mithilfe von gefälschten Stellenanzeigen in Internet-Börsen oder per E-Mail-Versand Arbeit angeboten. Solche Fake-Anzeigen werden auch mit bekannten Adressen von internationalen Unternehmen versehen. Momentan warnen Verbraucherzentralen vor gefälschte Stellenanzeigen, in dem die Bewerber im Rahmen einer Video-Legitimation während eines Bewerbungsverfahren dazu aufgefordert werden, sich zu identifizieren. Für die Identitätsüberprüfung verlangen die Kriminellen: Den Personalausweis und ein Foto von sich mit dem Ausweis in die Kamera zu halten und Fragen zu beantworten. In einem zweiten Schritt wird per Video-Ident-Verfahren bei einer angegebenen Bank ein Konto eröffnet. Versichert wird den Bewerben, dass das eröffnete Konto nur zur Feststellung ihrer Identität diene. Ab diesen Moment ist der Missbrauch von Bankkonto und Identität durch die Kriminellen Tür und Tor geöffnet.
Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit – Kostenaufwendig, sondern auch Rufschädigend. Behörden, Unternehmen und weitere Organisationen, die ihren Kunden Online-Dienste zur Verfügung stellen, sollten die Identität ihrer Kunden schützen um auch das Grundvertrauen der Kunden zu erhöhen. Doch immer noch besteht dringender Handlungsbedarf für die Einführung geeigneter Schutzmaßnahmen. Hier ist auch der Gesetzgeber gefragt um diese Lücke zu schließen.
-ck-

Auf gefälschter Webseite im Impressum: Namen einer Steuerfachwirtin wird für den Betrug missbräuchlich verwendet
Chip online - "Polizei warnt vor gefährlichen Online-Stellenangeboten"
https://www.pcwelt.de/news/Polizei-warnt-vor-gefaehrlichen-Online-Stellenangeboten-10999188.html

Im Namen des Unternehmens betrügerische Stellenangebote veröffentlicht
SGS Group online - "Betrügerische Stellenangebote: Warnung"
https://www.sgsgroup.de/de-de/our-company/careers/fraudulent-job-offers-warning

Massiver Videoident-Betrug
Polizei Prävention online - "Gefälschte Jobangebote – Täter eröffnen Bankkonten oder missbrauchen bestehendes Konto"
https://www.polizei-praevention.de/aktuelles/gefaelschte-jobangebote-taeter-eroeffnen-bankkonten.html

Professionell wirkenden Webseiten bieten falsche Stellenangebote zwecks Identitätsdiebstahl
Heise online - "Adressverlag gibt Daten an Auskunftei CRIF weiter – Noyb klagt"
https://www.heise.de/news/Adressverlag-gibt-Daten-an-Auskunftei-CRIF-weiter-Noyb-klagt-5991316.html


Datensicherheit gleich Wettbewerbsfaktor
Im Wettbewerb um Kunden ist es umso wichtiger, konsequent den Datenschutz einzuhalten und dies auch zu kommunizieren. Somit ist der Datenschutz zu einem Wettbewerbsfaktor und die Kommunikation der Datenschutzmaßnahmen zu einem Marketinginstrument geworden. Für Unternehmen heißt dieses – die gesetzlichen Vorgaben erfüllen und zusätzlich durch geschickte Vermarktung des gelebten Datenschutzes Imagegewinne und Wettbewerbsvorteile erzielen. Daher lohnt es sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom Bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
In dem von G DATA veröffentlichten Sicherheitsreport werden detaillierte Hintergründe zur Cyber-Kriminalität aufgeführt. Angriffs Trends, aktuelle Motive der Angreifer sowie besonders bedrohte Branchen Aus diesem Report lassen sich Schutz-Strategien gegen organisierte Cyber-Angreifer ableiten, mit denen Unternehmen und Privatanwender ihre Sicherheits-Risiken senken können.
-ck-

Vorgehensweise der Cyberkriminelle in Krisenzeiten
IT-Daily net - "1 Jahr Homeoffice: Die Erfahrungen von IT-Security-Unternehmen"
https://www.it-daily.net/it-sicherheit/cloud-security/27804-1-jahr-homeoffice-die-erfahrungen-von-it-security-unternehmen

Cybersicher - Sicherheitslösungen für Unternehmen
Neighbor WebSJ com - "Global Enterprise Cyber Security Solutions Market Report 2020: Symantec, McAfee, Trend Micro, Avast Software, ESET, Bitdefender, Fortinet, F-Secure, G DATA Software, Avira, etc."
https://neighborwebsj.com/uncategorized/5104022/global-enterprise-cyber-security-solutions-market-report-2020-symantec-mcafee-trend-micro-avast-software-eset-bitdefender-fortinet-f-secure-g-data-software-avira-etc-6/

Fehlende Updates und unvorsichtige Mitarbeiter
G DATA online - "G DATA Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt"
https://www.gdata.de/news/2021/02/36661-bedrohungsanalyse-2020-cyberattacken-im-sekundentakt


Opfer eines Ransomware-Angriffs "Cybercrime" - eine Bedrohung für jedes Unternehmen
Angriffe auf Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse und sensible Kundendaten vor fremden Zugriff zu schützen. Zurzeit werden weltweit explosionsartig Ransomware - Angriffe auf Computer-Netzwerke der Unternehmen gemeldet. Ransomware sind Schadprogramme, wie zum Beispiel der Erpressertrojaner "Emotet", „REvil“ oder die Variante "Robbin Hood" usw., welche die kompletten Daten verschlüsseln und diese eventuell nach Zahlung eines Lösegeldes wieder frei geben. Anhand der zunehmenden IT-Sicherheitsvorfälle durch Verschlüsselungs-Trojaner hat der BSI ein Themenpapier mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht.
Mitarbeiter sollten niemals Dateianhänge öffnen oder Links folgen, wenn der Urheber zweifelhaft oder beispielsweise eine Mail mit Schreibfehler versehen ist. Unternehmen können nur dann die Datensicherheit gewährleisten, wenn durch regelmäßige Datenschutz - Schulungen die Angestellten für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf eventuelle Gefahrenquellen hingewiesen werden.
-ck-

Interne Unternehmens – Systeme verschlüsselt
Spiegel online - "Ransomware REvil Computerhersteller Acer wird offenbar um Rekordsumme erpresst"
https://www.spiegel.de/netzwelt/gadgets/ransomware-revil-acer-wird-offenbar-um-rekordsumme-erpresst-a-17d2f92c-f74f-4c18-9cab-49ea5218d9a2

Scheinbar interne Acer-Dokumente in Form von Screenshots im Netz
T-Online online - "Nach Ransomware-Angriff: Hacker fordern von Acer 50 Millionen US-Dollar"
https://www.t-online.de/digital/sicherheit/id_89695576/nach-ransomware-angriff-hacker-fordern-50-millionen-us-dollar-von-acer.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Trojaner stiehlt Anmeldedaten aller Online-Dienste
Chip online - "WhatsApp-Daten in Gefahr: Sicherheitsexperten warnen vor dubioser Fake-App"
https://www.chip.de/news/Fake-App-im-Umlauf-Sicherheitsexperten-warnen-vor-Gefahr-fuer-WhatsApp-Daten_183374883.html

2. Schwachstellen schließen und auf neueste Version updaten
Chip online - "BSI warnt vor Firefox & Thunderbird: Updates stopfen gleich mehrere Sicherheitslücken"
https://www.chip.de/news/BSI-warnt-vor-Firefox-und-Thunderbird-Updates-stopfen-gleich-mehrere-Sicherheitsluecken_104405834.html

3. Fehler im Update einer System-App – Update auch manuell installieren
Handelsblatt online - "Android: Was gegen abstürzende Apps hilft"
https://www.handelsblatt.com/technik/it-internet/google-stoerung-android-was-gegen-abstuerzende-apps-hilft/27032322.html

 


Datenschutz - Nachrichten 11. Kalenderwoche 2021

.

Akuter Handlungsbedarf für Unternehmen 
Schon vor über zwei Wochen informierte Microsoft über die gefährliche Sicherheitslücken in Microsoft Exchange (wir berichteten in der 10. KW 2021).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte eindringlich vor der Schwachstellen in Microsoft Exchange und hatte eine IT-Bedrohungslage 4/rot ausgerufen. Doch viele Unternehmen und Institutionen haben bisher nicht gehandelt, ignorieren die Gefahr und werden wohl unbemerkt ausgespäht.
Laut BSI haben immer noch 10.720 Server diese Lücken nicht geschlossen und ihre Rechnernetze stehen offen dar – wahrscheinlich sind diese auch schon von der Schadsoftware betroffen und Kriminelle nutzen die Lücke fleißig aus.
Aufgrund der akuten Bedrohungslage haben die bayerischen Datenschutzaufsichtsbehörden eine Praxishilfe zu Microsoft Exchange Sicherheitslücken veröffentlicht.
-ck-

Pressemitteilung des BayLDA und des BayLFD zu kritischen Sicherheitslücken
Datenschutz Bayern online - "Sicherheitslücken bei Microsoft Exchange-Servern: Weiterhin akute Datenschutzrisiken – Gemeinsame Hilfestellungen der beiden bayerischen Datenschutzaufsichtsbehörden veröffentlicht"
https://www.datenschutz-bayern.de/presse/20210318_exchange.html

Frage- und Antwort-Bereich: Informationen und Praxishilfen des BayLDA und des BayLFD
BayLDA online - "FAQ: Sicherheitslücken bei Microsoft Exchange-Mail-Servern"
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Viele Unternehmen und Institutionen haben ihre Exchange-Server immer noch nicht gepatcht
Zeit online - "Microsoft Exchange Server: Die Tür steht offen und keiner kümmert sich"
https://www.zeit.de/digital/internet/2021-03/microsoft-it-sicherheit-bsi-schwachstelle-mail-server?utm_referrer=https%3A%2F%2Fwww.google.de%2F


Statt Microsoft-Produkte: Umstellung auf Open-Source-Produkte angeregt
Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern und der dortige Rechnungshof fordern von der Landesregierung, ab sofort keine Microsoft-Produkte mehr zu verwenden. Viele Anwendungen von Microsoft lassen sich in den Behörden nicht DSGVO-konform verwenden. Mit dem Urteil des Europäischen Gerichtshof (EuGH) im Juli 2020, zum so genannten Privacy Shield wurde eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt und somit eine rechtskonforme Nutzung der Produkte der Firma Microsoft nicht mehr möglich, so Mecklenburg-Vorpommerns Datenschutzbeauftragter Heinz Müller.
Um in der öffentlichen Verwaltung der Landesregierung den Datenschutz sowie die digitale Souveränität zu wahren, bliebe nur der Rückgriff auf Open-Source-Produkte.
-ck-

Schutz personenbezogener Daten
Datenschutz MV online - "Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern: Land muss Schutz personenbezogener Daten sicherstellen"
https://www.datenschutz-mv.de/presse/?id=168438

Einsatz der Microsoft-Produkte nicht rechtskonform?
Heise online - "Datenschutzbeauftragter: Behörden sollen unverzüglich auf Microsoft verzichten"
https://www.heise.de/news/Datenschutzbeauftragter-Behoerden-sollten-unverzueglich-auf-Microsoft-verzichten-5990886.html

Datenschutzrechtliche Bedenken bei der Nutzung von Microsoft-Produkten
Handelsblatt online - "Aufsichtsbehörden bringen Nutzungsstopp für Microsoft-Produkte ins Spiel"
https://www.handelsblatt.com/politik/deutschland/datenschutz-aufsichtsbehoerden-bringen-nutzungsstopp-fuer-microsoft-produkte-ins-spiel/27017116.html

Wichtiger denn je: Mitarbeitersensibilisierung 
Arbeitnehmer werden im Umgang mit personenbezogenen Daten oft nicht sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein.
Wie die Medien berichteten, hat das Impfzentrum Ennepe-Ruhr, durch unachtsames Handeln beim Mail –Versand, eine Datenpanne zu verzeichnen. Die Mitteilung mit Hinweis zur Aussetzung der Impfung wurde so versandt, dass jeder Empfänger den kompletten Verteiler, also die Namen, Mailadressen einsehen konnte. Diese Datenpanne wäre nicht entstanden, wenn die Adressdaten lediglich ins BCC-Feld (Blind Carbon Copy – Blindkopie), statt ins CC-Feld (Carbon Copy - Durchschlag/Kopie) eingetragen gewesen wären.
Weiterhin berichteten die Medien in dieser Woche über falschen Dokumentenversand mit einer nicht anonymisierten Aufstellung hochsensibler Mitarbeiter – Daten.
Auch verschickte ein Amt eine Namensliste gekündigter Hafenmitarbeiter ohne Prüfung und Schwärzung der nichtbetroffenen Mitarbeiter.
-ck-

BCC nicht genutzt: Sammel-Mail an 1.494 Empfänger verschickt
T-Online online – "Datenschutzverstoß: Impfzentrum packt 1.494 Empfänger sichtbar in Absagemail"
https://www.t-online.de/digital/internet/id_89662018/offener-verteiler-impfzentrum-ennepe-ruhr-packt-1-494-empfaenger-in-absage-mail.html

Falscher Dokumentenversand: Nicht anonymisierte Aufstellung mit hochsensiblem Mitarbeiter – Daten versandt
Westdeutsche Zeitung online - "Nocke hat Ärger wegen "Datenpanne""
https://www.wz.de/nrw/wuppertal/dezernent-verschickt-nicht-anonymisierte-mitarbeiterlisten-an-die-cdu_aid-56840245

Missachtung des Datenschutzes? - Erneut sensible Mitarbeiterdaten weitergeleitet
Wuppertaler Rundschau online - "Jusos: "Nocke sollte seinen Hut nehmen"
https://www.wuppertaler-rundschau.de/lokales/wuppertaler-jusos-dezernent-nocke-sollte-seinen-hut-nehmen_aid-56847093

Mitarbeiterdaten ohne Prüfung und Schwärzung der Nichtbetroffenen versandt
Buten un Binnen online - "Amt verschickt durch Datenpanne Namensliste gekündigter Hafenarbeiter"
https://www.butenunbinnen.de/nachrichten/gesellschaft/datenpanne-ghbv-bremerhaven-100.html


Schwere Sicherheitslücke anhand Updates: Hochsensible Daten seit Mitte Februar im Netz
In den zahlreichen Corona-Testzentren wird, so die Medien, eine Software namens "Safeplay" für die Terminvergabe und Übermittlung der Testergebnisse eingesetzt. Laut Medienberichten hat es bei der Software ein massives Datenleck gegeben und so landeten ca. 136.000 Datensätze der Corona - Getesteten ungeschützt im Netz.
Unbefugte hätten außer dem Testergebnis persönliche Daten wie Name, Geburtsdatum, vollständige Anschrift mit E-Mail-Adresse, Staatsbürgerschaft, Reisepass – und Ausweisnummer, Handynummer und andere persönliche Informationen der Getesteten einsehen und herunterladen können.
Die Schwachstellen in der Software wurde von den Fachleuten der Zerforschung - einem Kollektiv von IT-Experten - und dem Chaos Computer Club (CCC) aufgedeckt. Sie informierten das Bundesamt für Sicherheit in der Informationstechnik (BSI), den Bundesdatenschutzbeauftragten und die zuständigen Landesdatenschutzbeauftragten in Deutschland, sowie den Hersteller der Software über die Schwachstellen. Laut Medienberichten wurde die schwere Sicherheitslücke bei dem Hersteller der Software durch einem Update Mitte Februar ausgelöst und sei mittlerweile geschlossen.
Die zuständigen Datenschutzbehörden untersuchen den Datenschutz – Vorfall.
-ck-

Sicherheitslücke in Software: Autorisierungsprozesse mangelhaft
Süddeutsche Zeitung online - "Sicherheitslücke in Testzentren: Mehr als 130 000 Corona-Testergebnisse standen ungeschützt im Netz"
https://www.sueddeutsche.de/digital/luecke-corona-covid-testen-1.5239045

Personenbezogene Daten anderer Nutzer öffentlich im Netz
CCC online - "136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar"
https://www.ccc.de/de/updates/2021/corona-testergebnisse

Sicherheitsforscher entdecken Schwachstelle nach einem Besuch im Testzentrum
Zerforschung org - "Wir wissen, wie du diesen Winter getestet wurdest. Ein Corona-Drama in sechs Akten"
https://zerforschung.org/posts/medicus/


Datensicherheit: Herausforderung digitaler Arbeitsplatz
Netzwerke von Firmen und Behörden trifft es genauso wie Privatpersonen: Computerkriminalität und Spionage per WEB. Ein Grund für die rasante Verbreitung ist die Sorglosigkeit vieler Anwender. Trotz aller Warnungen benutzen viele Anwender immer noch die gleichen, einfachen Passwörter. Oft loggen sie sich mit ein und demselben Passwort für mehrere Accounts ein oder benutzen die Zugangsdaten privat und vielleicht auch beruflich für die Firmen-E-Mail-Adresse. Dieser laxe Umgang mit dem Thema Authentifizierung stellt ein hohes Sicherheitsrisiko im Unternehmen dar und lädt unweigerlich zu Cyberkattacken ein. Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
Angesichts der aktuellen Situation um die Corona – Pandemie arbeiten viele Mitarbeiter zunehmend vom Home-Office aus und das hat auch Einfluss auf den Umgang mit Videokonferenzen. Laut einer Umfrage  haben über 75 Prozent der Arbeitnehmer über Messaging - Tools sensible Unternehmensdaten weitergegeben und ca. 35 Prozent der Angestellten sind wegen des unsachgemäßen Datenaustausch von ihrem Chef verwarnt worden.
Der beste Schutz von sensiblen Unternehmensdaten besteht darin, bei den Mitarbeitern und dem Management ein entsprechendes Sicherheits-Bewusstsein zu wecken und mit qualifizierten IT-Fachkräften und professionellen Datenschutzberatern zusammenzuarbeiten.
-ck-

Hauptursache für Datenpannen im Unternehmen: Schlechte Passwortgewohnheiten
Ahadesign eu - "Passwörter von Fortune 500-Unternehmen in unter einer Sekunde gehackt"
https://www.ahadesign.eu/9-news/2682-passwoerter-von-fortune-500-unternehmen-in-unter-einer-sekunde-gehackt.html

Datenschutzverletzung und die weltweiten durchschnittlichen Gesamtkosten
IBM Security com – "Bericht über die Kosten einer Datenschutz-Verletzung 2020"
https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/de

Laxer Umgang mit sensiblen Unternehmensdaten
Wirtschafts-Woche online - "Ein Drittel der Mitarbeiter wegen Datenaustausch über Zoom, Teams & Co. vom Chef verwarnt"
https://blog.wiwo.de/look-at-it/2021/03/15/ein-drittel-der-mitarbeiter-wegen-datenaustausch-ueber-zoom-teams-co-vom-chef-verwarnt/

Unerlaubter Datenaustausch sensibler Unternehmensdaten über Zoom und Co
ZDNet online - "Angestellte sorglos bei Videokonferenzen"
https://www.zdnet.de/88393852/angestellte-sorglos-bei-videokonferenzen/


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. Massive Betriebssystem-Abstürze
Redaktionsnetzwerk Deutschland online - "Microsoft veröffentlicht fehlerhafte Updates zum Patchday: Windows 10 stürzt ab"
https://www.rnd.de/digital/patch-tuesday-microsoft-update-sorgt-fur-bluescreen-und-drucker-problem-26ZTVDYUHBHTXAU3DV5AVKRL3I.html

2. Achtung: Betrügerische E-Mails mit irreführender Betreffzeile
T – Online online - "QR-Code führt auf Fake-Seite: Polizei warnt vor falschen Sparkassen-Mails"
https://www.t-online.de/digital/sicherheit/id_89686978/warnung-vor-betrugsmail-pushtan-trick-soll-sparkassen-kunden-in-falle-locken.html


Datenschutz - Nachrichten 10. Kalenderwoche 2021

.

Meldepflichtige Datenschutzverletzung bei Kompromittierung des eingesetzten Servers
Die in der letzten Woche bekannt gewordene Sicherheitslücke auf Exchange-Servern von Microsoft betrifft Unternehmen, Organisationen und Behörden gleichermaßen. Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für Exchange-Server veröffentlicht, mit dem die bislang bekannten vier Schwachstellen geschlossen werden können. Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates („Patches“) unverzüglich installieren. Auch ein Prüfskript stellte Microsoft zur Verfügung, mit dem Exchange-Admins überprüfen können, ob ihr Server gehackt wurde.
Diese Schwachstellen werden derzeit aktiv von Angreifer Gruppen attackiert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte. Laut Medienberichten seien zehntausende Exchange-Server in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert.
Bisher gelten acht deutsche Behörden als betroffen. Zum Beispiel das Umweltbundesamt und auch das Bundesamt für Verwaltungsdienstleistungen mit Hauptsitz in Aurich. Laut Medienberichten gibt es allein in den USA mehr als 30.000 betroffene Unternehmen, weltweit sollen es Hunderttausende sein, die möglicherweise über die Schwachstellen gehackt wurden - die EU-Bankenaufsichtsbehörde in Paris musste ihr komplettes Mailsystem abgeschaltet.
Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne, so das BSI. Mittlerweile hat das Bundesamt für Sicherheit in der Informationstechnik begonnen, potentiell Betroffene Unternehmen per Briefpost zu informieren. Gleichzeitig hat es dazu eine IT-Bedrohungslage 4/rot ausgerufen.
Administratoren sollten die Exchange-Server-Versionen zügig prüfen und vorhandene Schwachstellen sofort mit Einspielen der neusten Updates schließen. Zudem müssen sie überprüfen, ob Angreifer nicht bereits im System eingedrungen sind oder waren.
Sollte bereits ein Angriff stattgefunden haben und wurde ein Zugriff auf Daten festgestellt – das System kompromittiert, besteht eine Meldepflicht gegenüber der Datenschutzbehörde.
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche binnen 72 Stunden, nachdem die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Die Datenschutzbehörden in Bayern und Niedersachsen sehen eine Meldepflicht schon dann gegeben, wenn die bereitgestellten Sicherheitsupdates verspätet eingespielt werden.
-ck-

Anzahl kompromittierter Exchange-Systeme steigt kontinuierlich – auch in Deutschland
N-TV online – "Angriff auf Microsoft-Programme: Auch Bundesbehörden von Hack betroffen"
https://www.n-tv.de/politik/Auch-Bundesbehoerden-von-Hack-betroffen-article22411143.html

Regelmäßig aktualisiertes PDF-Dokument zum Überblick der Schwachstellen in MS Exchange
Bundesamt für Sicherheit in der Informationstechnik online – "Mehrere Schwachstellen in MS Exchange"
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132_csw.html

MS Exchange Server-Schwachstellen
Tagesschau online - "Probleme mit Mail-Software BSI warnt Unternehmen"
https://www.tagesschau.de/inland/bsi-hacker-sicherheitsluecke-101.html

Sicherheitslücke im E-Mail-Dienst Exchange ausgenutzt
N-TV online - "E-Mails als Beute Hackerangriff auf 30.000 US-Einrichtungen"
https://www.n-tv.de/technik/Hackerangriff-auf-30-000-US-Einrichtungen-article22406668.html

Meldepflicht gegenüber der Datenschutzbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten
Heise online - "Exchange-Hack: Uneinheitliche Position der Datenschutzbehörden zur Meldepflicht"
https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

Empfehlungen des BayLDA zur Sicherheitslücken
Bayerisches Landesamt für Datenschutz Bayern online – "Pressemitteilung (pdf)"
https://www.lda.bayern.de/media/pm/pm2021_01.pdf


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Update beseitigt Abstürze und Browserhänger
Computer Bild online - "Firefox 86.0.1 verfügbar: Firefox 86.0.1: Update bereinigt nervige Fehler"
https://www.computerbild.de/artikel/cb-News-Software-Firefox-86.0.1-29910793.html

2. Etliche Smartphones mit Schadsoftware infiziert
Computerbild online - "Android-Banking-Trojaner: Schädliche Apps im Google Play Store entdeckt!"
https://www.computerbild.de/artikel/cb-News-Sicherheit-Schaedliche-Apps-Google-Play-Store-29901299.html

3. Sicherheitsupdates schließt vier kritische Lücken in verschiedenen BIG-IP-Systemen
Heise online – "Alert!: Angreifer könnten BIG-IP-Appliances von F5 vollständig kompromittieren"
https://www.heise.de/news/Angreifer-koennten-BIG-IP-Appliances-von-F5-vollstaendig-kompromittieren-5077526.html

 


Datenschutz - Nachrichten 9. Kalenderwoche 2021

.

Phishing – Mails im Unternehmen oft unterschätzt
Das Abfischen vertraulicher Daten sowie der Befall durch Computer-Viren und – Trojaner wird von vielen Nutzern – gerade auch am Arbeitsplatz – unterschätzt. E-Mails mit schädlichen Anhängen stellen immer mehr ein großes Problem dar. Phishing ist weltweit eine der größten Gefahren für Unternehmen und deren Kunden. Egal, ob Kriminelle die offizielle Website der Unternehmen nachahmen und diese für Phishing-Angriffe missbrauchen, oder ein raffinierter Angriff per echt wirkender Unternehmens-Mail vom Geschäftsführer an seine Mitarbeiter - keine Branche kann sich vor diesen Angriffen in Sicherheit wähnen.
Laut Medienberichten erhielt vor Kurzem ein Geschäftsmann eine täuschend echt aussehende Mail seines Geldinstituts, in der er über eine angebliche Aktualisierung seines Push-TAN-Verfahrens informiert wurde. Nachdem er den beigefügten Link angeklickt und auf einer gefälschten Website seine personenbezogene Daten preisgab sowie eine Verifizierung per zugesandter TAN abgeschlossen hatte, konnten die Kriminellen einen 6-stelligen Eurobetrag von seinem Konto abbuchen.
Ähnlich erging es einem älteren Herrn, von dessen Konto 30.000 Euro abgehoben wurden, so die Medienberichte aus dieser Woche.
Zurzeit ist Vorsicht geboten anhand Malware per E-Mails im Namen der Sparkasse und der ING-DiBa, so die Warnung der Verbraucherzentrale NRW. Auch hier versuchen Kriminelle an sensible Bankdaten der Kunden zu kommen.
Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können. Zudem haben erfolgreiche Angriffe auf die IT-Systeme nicht nur einen herben Datenverlust zur Folge. Geschäftsaktivitäten kommen zum Stillstand, doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können.
-ck-

Phishing-Mai: Unternehmer fiel auf angeblich Aktualisierung des Push-Tan-Verfahrens rein
Polizei Bayern online - "Enormer Vermögensschaden durch Phishing-Mail – Warnung des Polizeipräsidiums Niederbayern"
https://www.polizei.bayern.de/news/presse/aktuell/index.html/325282

Phishing: Technische Maßnahmen und Mitarbeitersensibilisierung
Bund Verlag online - "So warnen Sie Beschäftigte vor Phishing-Angriffen"
https://www.bund-verlag.de/aktuelles~So-warnen-Sie-Beschaeftigte-vor-Phishing-Angriffen~.html

30.000 € unberechtigt abgehoben: Zugangsdaten zum Onlinebanking auf gefälschter Webseite eingegeben
Polizei Bayern online - "Betrüger gibt sich als Bank-Mitarbeiter aus: Er kannte auch den Kontostand"
https://www.polizei.bayern.de/schwaben_sw/news/presse/aktuell/index.html/325360

Phishing: Zugriff auf Kunden - Bankdaten  
Chip online - "Angriff auf Kunden von Sparkasse und ING-DiBa: Verbraucherzentrale warnt vor Betrügern"
https://www.chip.de/news/Angriff-auf-Kunden-von-Sparkasse-und-ING-DiBa-Verbraucherzentrale-warnt-vor-Betruegern_183335518.html


DSGVO und die Unterschiede in der nationalen Umsetzung
Die Datenschutzstelle Liechtenstein hat ihren Judikaturspiegel zum europäischen Datenschutzrecht (2018-2020) veröffentlicht, um es Anwendern zu ermöglichen, die Unterschiede in der nationalen Umsetzung der Datenschutz – Grundverordnung festzustellen.
Die Datenschutzstelle Fürstentum Liechtenstein veröffentlicht auf ihrer Homepage ausgewählte Gerichtsentscheide aus den Mitgliedstaaten des EWR. Wesentliche Entscheidungen aus Deutschland, Frankreich und Österreich werden in Kurzfassung vorgestellt.
Eine weitere hilfreiche Publikation bietet der Europäische Gerichtshof für Menschenrechte (EGMR) an. Die Rechtsprechungs-Übersicht (pdf) ist in englischer Sprache abrufbar. Des Weiteren wurde eine detaillierte Entscheidungshilfe zum Thema Datenschutz (pdf) mit Stand Oktober 2020 zum in englischer Sprache veröffentlicht. 
-ck-

Umsetzung der Datenschutzgrundverordnung (DSGVO) 
Datenschutzstelle Fürstentum Liechtenstein online - "Judikaturspiegel zum europäischen Datenschutzrecht: Ausgewählte Entscheidungen Europäischer Gerichte und Höchstgerichte (2018 – 2020) (pdf)
https://www.datenschutzstelle.li/application/files/3316/0827/8380/Judikaturspiegel_2018_-_2020.pdf -


Datenpannen gleich Imageverlust
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
Die unten aufgeführten Medienberichte über Datenpannen zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Fehler beim Systemupdate: Kundendaten öffentlich zugänglich
Berliner Morgenpost online - "Datenpanne in Zoo und Tierpark: Kundendaten waren öffentlich"
https://www.morgenpost.de/berlin/article231697979/Datenpanne-in-Zoo-und-Tierpark-Kundendaten-waren-oeffentlich.html

Zehntausende Datensätze gelöscht
MDR Sachsen-Anhalt online - "Rund 40.000 Daten gelöscht: Fachliche Fehler im LKA führten zu Datenpanne
https://www.mdr.de/sachsen-anhalt/landespolitik/daten-panne-lka-landeskriminalamt-innenminister-richter-verspricht-aufklaerung100.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Datenschutzempfehlungen übernehmen
Chip online - "Windows 10 Privatsphäre verbessern: Kleines Tool stoppt Microsofts Neugier"
https://www.chip.de/news/Windows-10-Privatsphaere-verbessern-Kleines-Tool-stoppt-Microsofts-Neugier_144113164.html

2. Trojaner verschickt teure SMS an Sonder- und Premiumnummern nach außereuropäische Länder
T-Online online - "Trojaner-Gefahr: Falsche Paket-SMS infiziert Smartphones"
https://www.t-online.de/digital/internet/id_89575058/betroffene-sollten-handeln-trojaner-falsche-paket-sms-infiziert-smartphones.html