Letzte Änderung: 19.07.2021

Datenschutz - Nachrichten 47. Kalenderwoche 2020

.

Datenlecks und ihre Folgen
In der vergangenen Woche wurde bekannt, das Daten von Millionen Hotelgästen ungeschützt im Netz frei einsehbar waren. Laut Medienberichten seien 180. 000 sensible Datensätze nicht nur bestehend aus Namen, Mail-Adresse, Telefon – und Ausweisnummer, sondern auch Kreditkartendaten samt dazugehörige Prüfzimmer aus den vergangenen sieben Jahren frei abgerufen werden konnten. Das Datenleck entstand laut Medienberichten anhand der Managementsoftware Cloud Hospitality, welche die Reisedaten in einem ungesicherten AWS-Bucket speicherte.
Das ein Datenleck auch etwas Positives haben kann, zeigt die Enthüllung, wie der Handel mit Bewertungen auf einer Onlineplattform läuft. Ein offener Server brachte Ordner zu Tage, in denen nur 5-Sterne-Bewertungen hinterlegt waren. Auch waren Bestellbestätigungen mit Klarnamen und Anschriften der Käufer ersichtlich, so die Medienberichte. Ein Apache-Webserver in Standardkonfiguration, ohne eingerichteten Zugriffsschutz brachte die 7000 fingierte Rezensionen zu Tage.
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Die unten aufgeführten Medienberichte über Datenpannen in dieser Woche zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck- 

Diverse große Reiseportale von Datenleck betroffen
Golem online – "Datenleck: Daten von Millionen Hotelgästen ungeschützt im Netz"
https://www.golem.de/news/datenleck-daten-von-millionen-hotelgaesten-ungeschuetzt-im-netz-2011-152005.html

Falsche Konfiguration des Cloud-Computing-Anbieters ermöglicht riesige Datenpanne
Inside Digital online - "Bist du betroffen? Datenleck enthüllt Millionen Kreditkarten-, Personalausweis- & Kontaktdaten"
https://www.inside-digital.de/news/hotel-sicherheitsluecke-10-millionen-nutzerdaten

Fake-Bewertungen: Betrugsmasche durch Datenleck öffentlich geworden
t3n Digital Pioneers online - "Datenleck enthüllt, wie der Handel mit Amazon-Bewertungen läuft"
https://t3n.de/news/amazon-marktplatz-gekaufte-bewertungen-1337128/


Rechtzeitige Prävention: Schutzvorkehrungen der IT-Systeme
Laut Medienberichten wurde in dieser Woche die Münchener GWG Wohnungsbaugesellschaft Opfer eines Cyber-Angriffs. IT-Systeme, auch Backup-Server und weitere Daten und Datensicherungen des Unternehmens wurden verschlüsselt. Die Entschlüsselung der Daten soll nur nach Zahlung eines Lösegelds an die Kriminellen stattfinden. Die Generalstaatsanwaltschaft Bamberg, Zentralstelle für Cybercrime-Fälle in Bayern, wurde eingeschaltet. Die Zahl der Ransomware – Infektionen steigt rasant - Behörden, Krankenhäuser, Unternehmen sind geneigt auf die Forderungen der Kriminellen einzugehen, Sicherheitsexperten raten davon ab. Für Unternehmen, Krankenhäuser, Behörden ist es oft schwierig, die DSGVO folgerichtig einzuhalten. Zigtausende Computer scheinen in ganz Deutschland mit Trojaner infiziert zu sein und ständig erscheinen neue Varianten. So geschehen bei einem chilenischen Handelskonzern.
Eine neue Variante der Erpressersoftware "Egregor-Ransomware" druckt auf alle für sie verfügbaren Druckern die Lösegeldforderungen aus, die im betreffenden Unternehmen eingesetzt sind. Laut Medienberichten wurden die Unternehmen Ubisoft und Crytek so angegriffen. Laut den Medien wurden auch mehrere Mitarbeiter mit Phishing-Mails hereingelegt.
Das Cyberkriminelle auch vor Angriffen auf viele Gesundheitseinrichtungen auf der ganzen Welt keinen Halt machen, haben die Medienberichten in den letzten Wochen bewiesen. Angesichts der ständig weiterentwickelnden Bedrohungen muss die Cybersicherheit in den Mittelpunkt der Gesundheitseinrichtungen gestellt werden.
Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter und die Geschäftsleitung über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Unternehmens - Daten im Zuge des Angriffs verschlüsselt
Presse Box online - "Ransomware-Angriff bei der GWG Wohnungsbaugesellschaft: Cybercrime kommt in der Mitte der Gesellschaft an"
https://www.pressebox.de/pressemitteilung/g-data-software-ag/Ransomware-Angriff-bei-der-GWG-Wohnungsbaugesellschaft-Cybercrime-kommt-in-der-Mitte-der-Gesellschaft-an/boxid/1033145

Kundendaten im Darknet veröffentlicht
Heise online - "Ransomware-Attacke auf Capcom: Bis zu 350.000 Nutzer betroffen"
https://www.heise.de/news/Ransomware-Attacke-auf-Capcom-Bis-zu-350-000-Nutzer-betroffen-4962681.html

Cyberkriminelle schicken Lösegeldforderungen an Drucker
ZDNet online - "Egregor-Ransomware bombardiert Nutzer mit gedruckte Lösegeldforderungen"
https://www.zdnet.de/88389908/egregor-ransomware-bombardiert-nutzer-mit-gedruckten-loesegeldforderungen/?utm_source=rss&utm_medium=rss&utm_campaign=rss

Ransomware: Ein Viertel der betroffenen Unternehmen trifft keine Vorkehrungen für zukünftige Angriffe
ZDNet online - "Ransomware-Studie: Ein Viertel aller Organisationen zahlt Lösegeld"
https://www.zdnet.de/88389901/ransomware-studie-ein-viertel-aller-organisationen-zahlt-loesegeld/?utm_source=rss&utm_medium=rss&utm_campaign=rss


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Neue Einstellung: Inhalte von Mails nicht mehr automatisch von Googles Software ausgewertet
Spiegel Netzwelt online – "Gmail: Google vereinfacht das Deaktivieren smarter Funktionen"
https://www.spiegel.de/netzwelt/web/gmail-google-nutzer-sollen-smarten-assistenten-leichter-dummschalten-koennen-a-3e283c6d-c79b-4021-9db0-836267c9837c#ref=rss

2. Smartphone – Hersteller möchte: Nutzer sollen bei Zugriff um Erlaubnis gefragt werdenSpiegel online – "Nach Kritik von Facebook: Apple will Maßnahmen für mehr Privatsphäre wie geplant umsetzen" 
https://www.spiegel.de/netzwelt/web/apple-will-massnahmen-fuer-mehr-privatsphaere-wie-geplant-umsetzen-a-a5ad92b7-606e-4941-b26b-7a9e2f4a0e55

3. Sicherheits- und Datenschutz-Risiko bei smarten Fernsehern
T-Online – online - "Bundeskartellamt warnt: Diese Daten sammelt Ihr Smart-TV"
https://www.t-online.de/digital/id_88966538/diese-daten-sammelt-der-smart-tv-von-ihnen-bundeskartellamt-warnt.html

4. Aufmerksame Bankmitarbeiterin verhinderte Betrug
T – Online online - "Betrug am Telefon: Vermeintlicher Arzt fordert 24.000 Euro für Corona-Spritzen"
https://www.t-online.de/region/hamburg/news/id_88968782/hamburg-arzt-fordert-24-000-euro-fuer-corona-spritzen.html

 


Datenschutz - Nachrichten 46. Kalenderwoche 2020

.

Kritische Infrastruktur attackiert
Digitale Angriffe werden deutlich ausgefeilter und aggressiver, doch Behörden und Unternehmen unterschätzen immer noch die Gefahren im digitalen Raum. Dazu gehört auch das Schwerpunktthema Cyber-Sicherheit von kritischen Infrastrukturen (KRITIS). Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zum Schutz der kritischen Infrastrukturen wie zum Beispiel Krankenhäuser, Kraft – und Wasserwerke, Katastrophenschutz, Produktionsanlagen usw. hatte die Bundesregierung das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind.
Einen Cyberangriff mit tragischen Folgen ergab sich in der Vergangenheit anhand lahmgelegter IT-Systeme des Universitätsklinikums in Düsseldorf. Laut Medienberichten wurde der Server der Uniklinik wurde durch einen Trojaner verschlüsselt. Aufgrund des lahmgelegten IT-Systems musste eine Patientin statt in das naheliegende Klinikum in ein einstündig entferntes Krankenhaus nach Wuppertal gebracht werden – die Patientin verstarb. Erst zwei Wochen später konnte das Universitätsklinikum die Notfallversorgung wieder aufnehmen.
Sicherheitsexperten schließen vermehrte Attacken auf Forschungszentren nicht aus. Mittlerweile warnt das Bundesamt für Verfassungsschutz vor Cyberspionage und Attacken alle Labore und andere Einrichtungen, die in Bezug auf die Corona-Pandemie arbeiten.
-ck-

Patientin starb aufgrund lahmgelegtem IT-Systems
Bochumer Stadt- und Studierendenzeitung online - "Nach Angriff auf Uni-Klinik: Forschungszentren vermehrt Ziel von Hacks"
https://www.bszonline.de/artikel/forschungszentren-vermehrt-ziel-von-hacks

Administratorkennwort im Klartext im Netz
Ärzteblatt online - Rettungsdienst¬infrastruktur IVENA angreifbar
https://www.aerzteblatt.de/nachrichten/118097/Rettungsdienstinfrastruktur-IVENA-angreifbar

DDoS-Attacke offenbar mithilfe sogenannter Bot-Netze
Spiegel online – "Cyberattacke legte Seite des Robert Koch-Instituts lahm: RKI-Website wurde angegriffen"
https://www.spiegel.de/netzwelt/web/rki-website-wurde-angegriffen-a-f152871f-9d11-489d-bd8c-9d8220789c14

Gefahr von Cyber – und Spionagerangriffen
Redaktionsnetzwerk Deutschland online - Verfassungsschutz warnt vor Cyberangriffen auf Corona-Forschungseinrichtungen"
https://www.rnd.de/digital/corona-forschung-verfassungsschutz-warnt-vor-cyberangriffen-XTCPGHLUDFD7XEFVEYI6CG5GGQ.html


Medienberichte über Datenschutzskandale
Die unten aufgeführten Beispiele zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom Bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren - als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Hochsensible Kundendaten jahrelang über fehlkonfigurierten AWS-Bucket offen gespeichert
Stadt Bremerhaven online - "Massives Datenleck betrifft Millionen von Hotelgästen"
https://stadt-bremerhaven.de/massives-datenleck-betrifft-millionen-von-hotelgaesten/

Verstoß gegen die DSGVO: Telekommunikationsdienstleister
WDR online - "Datenschutz: Bonner Landgericht urteilt gegen 1&1"
https://www1.wdr.de/nachrichten/rheinland/urteil-eins-und-eins-100.html


ePA: Digitalisierung im Gesundheitswesen
Die Elektronische Patientenakte (ePA) soll ab 1. Januar 2021 für alle Versicherten als freiwilliges Angebot starten. Doch der Datenschutz bei der ePA scheint nicht ausreichend gewährleistet zu sein. Denn erst Anfang 2022 könnten die Versicherten entscheiden, welcher Arzt auf ihre Gesundheitsdaten zugreifen darf und welche Befunde dieser nicht angezeigt bekommt. Diese dokumentengenaue Steuerung ist aber erst ein Jahr nach Einführung des Gesetzes möglich. Technische Probleme, Sicherheitslücken und die Gefahr einer doppelten Datenhaltung, Datenschutzverletzungen scheinen mit der Einführung der ePA vorprogrammiert.
Die geplante Einführung der elektronischen Patientenakte (ePA) mit den Auflagen des neuen Patientendaten-Schutzgesetzes (PDSG) werden von den Datenschutzbehörden von Bund und Ländern schon des Öfteren beanstandet. Der Bundesdatenschutzbeauftragte Ulrich Kelber hat nun ein Schreiben mit einer offenen Warnung an die gesetzlichen Krankenkassen für die er zuständig ist, versandt. Laut Medienberichten weist der Bundesdatenschutzbeauftragte in seiner Warnung darauf hin, dass die Regelungen zur Patientenakte nicht nur in Widerspruch zu europäischem, sondern auch zu nationalem Recht ständen. Darüber hinaus bestehe ein klarer Verstoß gegen die DSGVO-Grundsätze der Datenminimierung, Erforderlichkeit und Zweckbindung sowie Vertraulichkeit, so der Bundesdatenschutzbeauftragt.
-ck-

ePA: Warnung an gesetzliche Krankenkassen 
Medical Tribune online - "Bundesdatenschützer schickt Warnung an Krankenkassen: Elektronische Patientenakte nicht DSGVO-konform" 
https://www.medical-tribune.de/praxis-und-wirtschaft/praxismanagement/artikel/bundesdatenschuetzer-schickt-warnung-an-krankenkassen-elektronische-patientenakte-nicht-dsgvo-konfor/

Elektronische Patientenakte: BfDI übersendet Krankenkassen offizielle Warnung
Heise online - "Bundesdatenschützer: Offene Warnung zur elektronischen Patientenakte"
https://www.heise.de/news/Bundesdatenschuetzer-Offene-Warnung-zur-elektronischen-Patientenakte-4958656.html

Speicherung der ePA zu gefährlich: Risiken übersteigen den möglichen Nutzen bei Weitem
Open PR online - "Hilferuf: "Schützen Sie Patienten, Ärzte und Psychotherapeuten!"
https://www.openpr.de/news/1106759/Hilferuf-Schuetzen-Sie-Patienten-Aerzte-und-Psychotherapeuten.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. AVIRA stellt Business Sicherheitsprodukte ein
Chip online - "Das kommt unerwartet: Sicherheits-Unternehmen Avira stellt Produkte ein"
https://www.chip.de/news/Avira-stellt-unerwartet-Produkte-ein_183108432.html

2. Administratoren sollten handeln: Sicherheitslücken in verschiedenen Produkten
Security Insider online - "Microsoft Patchday November 2020: Microsoft schließt 112 Sicherheitslücken zum vorletzten Patchday 2020"
https://www.security-insider.de/microsoft-schliesst-112-sicherheitsluecken-zum-vorletzten-patchday-2020-a-978874/?cmp=nl-36&uuid=626F6839-2EFD-465E-AA0782FF3179597F

3. Datenfalle Betrugsnachrichten
T-Online online - "Vorsicht, Phishing!: Falsche Mail von "T-Online" führt in Abofalle"
https://www.t-online.de/digital/internet/id_88876826/aktuelle-phishing-warnungen-vorsicht-falsche-mail-von-t-online-fuehrt-in-abofalle.html

 


Datenschutz - Nachrichten 45. Kalenderwoche 2020

.

Verwendung von Videokonferenzsysteme: Rechtslage im Drittland beachten
Eine neue Orientierungshilfe für den Betrieb von Videokonferenzsysteme hat die Datenschutzkonferenz (DSK) von Bund und Ländern vor Kurzem herausgegeben. Weit verbreitete Videokonferenzsysteme wie zum Beispiel Skype, Microsoft Teams, Zoom, Cisco Web EX usw. können von Unternehmen, Behörden und weiteren Organisationen nicht so ohne Weiteres verwendet werden. Diese einschlägigen Dienste von US-Anbietern sollten vor ihrem Einsatz sorgfältig geprüft werden, gerade nachdem der Europäische Gerichtshof (EUGH) den transatlantischen Privacy Shield für ungültig erklärt hat. Zusätzliche Maßnahmen sind im Hinblick bei festgestellten Defiziten erforderlich, notfalls müsse der Transfer unterbleiben, so die Datenschutzbeauftragten von Bund und Ländern.
-ck-

Neue Orientierungshilfe für den Betrieb von Videokonferenz
TLfDI online - "Orientierungshilfe Videokonferenz-systeme(pdf)"
https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf

Videokonferenzdienste datenschutzkonform im Unternehmen einsetzen
t3n digital Pioneers online - "Datenschutz: Wenig Spielraum bei Videokonferenzdiensten aus den USA"
https://t3n.de/news/videokonferenz-datenschutz-zoom-skype-1332632/?utm_source=rss&utm_medium=feed&utm_campaign=news

Einhaltung von angemessener IT-Sicherheit
Heise online - "Datenschutzkonferenz: Hohe Anforderungen an Videokonferenzsysteme"
https://www.heise.de/news/Datenschutzkonferenz-Hohe-Anforderungen-an-Videokonferenzsysteme-4944596.html

Verstöße gegen das Datenschutzgesetz
Datenpannen sind längst kein Kavaliersdelikt mehr, wie jüngste Verfahren und Klagen belegen. Wenn personenbezogene Daten wie zum Beispiel Patienten- oder Kundendaten unbemerkt an Dritte gelangen, so müssen Unternehmen mit Bußgeldern oder anderen Maßnahmen nach der Datenschutz – Grundverordnung rechnen. Der mögliche Imageschaden kann jedoch deutlich schlimmer sein. Die unten aufgeführten Medienberichte über Datenpannen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. All diese Fälle sorgten für Schlagzeilen und allgemeiner Entrüstung mit gleichzeitiger Besorgnis um die persönlichen Daten der Bevölkerung. Doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Image dauerhaft schaden können. Nicht nur große, auch kleine und mittelständische Unternehmen unterschätzen in der Regel die realen Gefahren im Umgang mit ihren Daten. Dabei lässt sich das Risiko einer Datenpanne oft mit einfachen Mitteln auf ein Minimum senken.
-ck-

Online-Versandhändler kündigt Mitarbeiter wegen Datendiebstahl und Datenweitergabe
Der Standard online – "IT-Security: Amazon – Mitarbeiter haben Daten von Nutzern weiterverkauft"
https://www.derstandard.de/story/2000121245898/amazon-mitarbeiter-haben-daten-von-nutzern-weiterverkauft

Geschädigte Kunden erhielten Spam-Anrufen und Erpressermails
Business Insider online - "Insider-Angriff mit Erpressermails und Spam-Anrufen: Daten von 31.000 Scalable-Kunden waren über sechs Monate ungeschützt"
https://www.businessinsider.de/wirtschaft/finanzen/insider-angriff-mit-erpressermails-und-spam-anrufen-daten-von-31-000-scalable-kunden-waren-ueber-sechs-monate-ungeschuetzt-b/

Veraltete Methode MD5 verursachte Sicherheitslücken
Webserver der Landtagsfraktion - "Sicherheitslücke: Hunderte Daten von CSU-Politikern offen zugänglich"
https://www.focus.de/digital/webserver-der-landtagsfraktion-hunderte-daten-von-politikern-offen-zugaenglich-sicherheitsluecke-bei-csu-entdeckt_id_12622487.html 


Ersetzendes Scannen: Mehr Rechtsicherheit für papierlose Archive
Im Zuge der fortschreitenden Digitalisierung von Dokumenten und Prozessen werden immer mehr elektronische Dokumentenmanagement – und Vorgangsbearbeitungssysteme angewendet. Damit Prozesse für das ersetzende Scannen rechtssicher gestaltet und umgesetzt werden können, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Handlungshilfe für TR-RESICCAN veröffentlicht. Auf seiner Webseite stellt das BSI weitere technische Richtlinien und Anwendungshilfen zur Absicherung von IT-Systemen und Einhaltung von IT-Sicherheitsstandards bereit.
-ck-

Handlungshilfe zur Auswahl von Scan-Lösungen
BSI Bund online - "BSI TR-03138 Ersetzendes Scannen (RESISCAN)"
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03138/tr03138_node.html

IT-Sicherheitsstandards und veröffentlichte Richtlinien
BSI Bund online – "Publikationen: Technische Richtlinien"
https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/technischerichtlinien_node.html


Cyberwar im Unternehmen
Die Gefahren von klassischen Daten - Diebstahl über Phishing-Mails und die Möglichkeit den Rechner mit Viren, Trojanern und weiteren Computer-Schädlingen zu infizieren ist groß. Phishing, diese Betrugsmethode "fischt" gezielt elektronisch nach Benutzernamen, Passwörter, Online-Banking-Daten und weiteren nützlichen Informationen, um diese für illegale Zwecke zu missbrauchen. Häufig wird der User auf eine gefälschte Internetseite gelockt (z.B. per E-Mail), wo er seine personenbezogenen Daten eingeben soll. Diese werden dann aber nicht an den scheinbar offensichtlichen Empfänger übermittelt, sondern an den Angreifer. Solche Mails sollten sofort ungelesen gelöscht und auf keinen Fall darf der Dateianhang geöffnet oder leichtfertig ein Formular mit Zugangsdaten wie Passwörtern oder TAN -Nummern ausgefüllt werden.
Mitarbeiter sollten im Rahmen eines Security-Awareness-Trainings rund um die Computersicherheit im Unternehmen geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden.
-ck-


Informationen über neue Betrugsvarianten
Verbraucherzentrale online - "Phishing-Radar: Aktuelle Warnungen"
https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059

Aufklärung der Mitarbeiter über Phishings-Mails und weitere Cyberrisiken 
IT-Zoom online – "Unternehmen müssen IT-Sicherheit ganzheitlich betrachten"
https://www.it-zoom.de/it-director/e/unternehmen-muessen-it-sicherheit-ganzheitlich-betrachten-26958/


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Kritische Schwachstelle im Unternehmen: Verwundbar Exchange-Server
Heise Security online - "Exchange-Lücke: Immer noch viele Server offen"
https://www.heise.de/news/Exchange-Luecke-Immer-noch-viele-Server-offen-4947221.html

2. Windows Zero-Day - Schwachstelle wurde bereits aktiv ausgenutzt
T-Online online – "Angriff durch den Browser- Google: Sicherheitslücke bedroht Windows Rechner"
https://www.t-online.de/digital/software/id_88861610/google-sicherheitsluecke-bedroht-windows-rechner.html

3. Neue Technik häufig anfälliger für Ausfälle
IT-Daily net - "Wie smartes Out-of-Band die Schwächen beseitigt: Vor- und Nachteile von SD-WAN" 
https://www.it-daily.net/it-management/data-center/26025-vor-und-nachteile-von-sd-wan

 


Datenschutz - Nachrichten 48. Kalenderwoche 2020

.

Herausforderung: Cybersicherheit im Homeoffice
Weltweit ermöglicht der technische Fortschritt von hochkomplexen IT-Systemen die Mobilität und Kommunikation im elektronischen Geschäftsverkehr, gleichzeitig entstanden und entstehen ganz neue Formen der Wirtschafts- und Finanzkriminalität. Neben e-Commerce hat sich leider auch e-Crime ausgebreitet – eine Gefahr für die wichtigen Infrastrukturen in Gestalt von Computerkriminalität. Wirtschaftskriminelle Handlungen unter Einsatz von Computer- oder Kommunikationssystemen, auch als e-Crime bezeichnet, ist eins der häufigsten Delikte in den Unternehmen. Diebstahl von unternehmerischem Know-how, Datendiebstahl, Verletzung von Betriebsgeheimnissen sind unter anderem Delikte von Tätern, die auch im eigenen Unternehmen zu finden sind. Zurzeit werden massenhaft Betrugsmails mit schädlichen Links versandt, welche die User zu Malware oder Phishing-Webseiten führen.
Die unten aufgeführten Medienberichte zeigen einen Teil der Möglichkeiten von Betrugsversuche an. Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen. Denn nur wer in der Lage ist die Angriffsmethoden zu identifizieren, kann diese verhindern.
-ck-

Wichtiger denn je: Cybersicherheitsschulung der Mitarbeiter
IT-Zoom online – "In der Sicherheitskette: Der Mensch ist immer das schwächste Glied"
https://www.it-zoom.de/mobile-business/e/der-mensch-ist-immer-das-schwaechste-glied-26965/

Datenschutz bei dezentraler Arbeit
Datenschutz Praxis online – "Sicherheitslösungen für das Homeoffice"
https://www.datenschutz-praxis.de/fachartikel/sicherheitsloesungen-fuer-das-homeoffice/

Gefälschtes Antragsformular für Corona-Überbrückungshilfe
Ärztezeitung online - "EU-Kommission warnt: Betrügerische E-Mails zu Corona-Überbrückungshilfen im Umlauf"
https://www.aerztezeitung.de/Wirtschaft/Betruegerische-E-Mails-zu-Corona-Ueberbrueckshilfen-im-Umlauf-414979.html

Security-Strategie mit Notfall - Konzept
Security Insider online - "Home-Office-Security: Sicheres Homeoffice für die nächste Krise"
https://www.security-insider.de/sicheres-homeoffice-fuer-die-naechste-krise-a-981766/


Datenpannen und ihre Folgen
Meldungen über Datenpannen – das Spektrum ist weitreichen und weder Unternehmen oder Behörden sind davor gefeit. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Seit Mai 2018 kamen europaweit deutlich verschärfte Meldepflichten bei Datenpannen auf die Unternehmen zu: Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Panne/Sicherheitsvorfall muss ausnahmslos, insbesondere ohne Abwägung von Risiken für den Betroffenen, dokumentiert werden.
In dieser Woche berichteten die Medien von einer Datenpanne per SMS. Ein Salzburger erhielt ein Corona-Testergebnis auf seinem Handy samt Identifizierungscode und Link zur persönlichen Überprüfung, obwohl er gar nicht getestet wurde. Hier lag wohl ein Fehler bei der Eingabe der Telefonnummer vor. Das Amt der Tiroler Landesregierung wurde über den Eingabefehler durch den falschen Empfänger informiert.
Weitaus gravierender war der folgenschwere Fehler der niederländischen Verteidigungsministerin. Wie die Medien berichteten, hatte sie ein Foto von ihrer Teilnahme an einem Video-Treffen der EU-Verteidigungsminister auf Twitter veröffentlicht – dabei waren fünf der sechs Ziffern des geheimen Zugangscodes für das Treffen mit auf dem Bild. Anhand dieser Information, gelang es einem Journalisten sich in das Treffen zu hacken um an dem virtuellen Treffen teilzunehmen.
Wie die Medien berichteten, hat das Büro des bayerischen Landesbeauftragten für den Datenschutz, anhand unachtsames Handeln beim Mail –Versand, eine Datenpanne zu verzeichnen. Eine Mitteilung über Standardvertragsklauseln wurde so versandt, dass jeder Empfänger den kompletten Verteiler, also die Namen, Mailadressen einsehen konnte. Diese Panne wäre nicht entstanden, wenn die Adressdaten lediglich ins BCC-Feld (Blind Carbon Copy – Blindkopie), statt ins CC-Feld (Carbon Copy - Durchschlag/Kopie) eingetragen gewesen wären.
-ck-

Eingabefehler: Link zur persönlichen Überprüfung mit passenden Identifizierungscode versendet
Heute at - "Mann bekam Ergebnis, obwohl er nie beim Corona-Test war"
https://www.heute.at/s/mann-bekam-ergebnis-obwohl-er-nie-beim-corona-test-war-100114365

Ministerin veröffentlicht Foto mit Zugangscode auf Twitter
Welt online – "Während des Video-Treffens unterläuft der Ministerin ein peinlicher Fehler"
https://www.welt.de/politik/ausland/article220691382/EU-Konferenz-Peinlicher-Fehler-waehrend-des-Video-Treffens.html

Mail – Empfänger nicht als Blindkopie eingetragen
Süddeutsche Zeitung online - "Mitten in Bayern: Ausgerechnet der Datenschutz-Mann"
https://www.sueddeutsche.de/bayern/mitten-in-bayern-ausgerechnet-der-datenschutz-mann-1.5128298


Vermehrte Cyberangriffe zum Jahresende
Die IT-Sicherheitslage in den Unternehmen ist nach wie vor durch die Vielzahl der Cyber-Gefahren angespannt. Ob gezielte Wirtschaftsspionage, Konkurrenzausspähung oder allgemeine Cyber-Angriffe, es entstehen den Unternehmen jährlich finanzielle Schäden in Milliardenhöhe. Unternehmen müssen sich auf neue Gefahrenquellen von Internet- oder Cyberattacken vorbereiten, die Infrastruktur und Industrieanlagen besser abschirmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Hersteller von Antiviren-Software warnen jährlich vor der weihnachtlichen Hochsaison der Cyberkriminalität. Gerade in der Vorweihnachtszeit werden mehr Transaktionen im Internet getätigt, mehr Seiten aufgerufen und Apps geladen. Online-Kriminelle veröffentlichen präparierte Links, versenden Phishing-Mails um mit ihren Trojanern die PCs der Unternehmen auszuspionieren oder per CEO-Fraud (Cheftrick) Mitarbeitern – welche im Namen des Unternehmens transferieren dürfen - zu Überweisungen für ein angeblich dringendes und sehr geheimes Projekt zu bewegen. Im aktuellen Zeitalter sind schützenswerte Daten Bestandteil vieler betrieblicher Abläufe. Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter einschließlich der Geschäftsführung in Unternehmen - jeglicher Größe - durchgeführt werden.
-ck-

Unbekannte gaben sich als Geschäftsführer aus: Angestellte führte Überweisung vom Unternehmenskonto aus
In Franken online - "Um 100.000 Euro erleichtert - Betrüger kassieren bei fränkischer Firma"
https://www.infranken.de/lk/aschaffenburg/goldbach-ceo-fraud-betrueger-erbeuten-100000-euro-art-5113767

Cyberkriminalität: Online-Unternehmen sollten achtsam sein
IT-Daily net - "Threat Intelligence Report The State of Security for E-Commerce: Rekordverdächtiger Web-Traffic gefährdet Online-Shopping zum Black Friday" 
https://www.it-daily.net/it-sicherheit/cybercrime/26269-rekordverdaechtiger-web-traffic-gefaehrdet-online-shopping-zum-black-friday

Bericht über Bedrohungslandschaft (ETL)
Agentur der Europäischen Union für Cybersicherheit eu – "ENISA Bedrohungslandschaft – 2020"
https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends

Publikationen - Lageberichte
Bundesamt für Sicherheit in der Informationstechnik online – "Die Lage der IT-Sicherheit in Deutschland"
https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Warnung vor betrügerischen Anwendungen
IT-Sicherheit online – "Verseuchte QR-Codes infizieren Smartphones"
https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/5115

2. Empfehlung Aktualisierung von ENS 10.6.1 oder ENS 10.7.0 November
Heise online – "Alert!: Sicherheitslücken in McAfee Endpoint: Security machen Windows angreifbar"
https://www.heise.de/news/Sicherheitsluecken-in-McAfee-Endpoint-Security-machen-Windows-angreifbar-4970655.html