Letzte Änderung: 21.03.2024

Datenschutz - Nachrichten 47. Kalenderwoche 2021

.

Anspruch auf Schadenersatz nach Artikel 82 Abs.1 der DSGVO
Personen haben nach Artikel 82 Abs. 1 der EU-Datenschutzgrundverordnung einen Anspruch auf Schadenersatz, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist. Betroffene haben somit das Recht Schadensersatz gegenüber dem Verursacher einzufordern, wenn ihnen ein materieller und auch immaterieller Schaden entstanden ist. In den letzten Monaten wurden immer mehr Gerichtsurteile zum Schadenersatzanspruch nach Ar. 82 DSGVO bekannt. Die unten aufgeführten Medienberichte enthalten eine Übersicht zur aktuellen Rechtsprechung.
-ck-

Aktuelle Rechtsprechung zu Art. 82 DS-GVO – Schadensersatzforderungen bei DS-Verstößen Daatagenda und wp-Content online - "DS-GVO-Schadenersatztabelle" (pdf)
https://dataagenda.de/wp-content/uploads/2021/10/DataAgenda_Schadensersatztabelle_Stand_Oktober_2021.pdf

Datenverarbeitung ohne Rechtsgrundlage
Datenschutz-Praxis online - "300 € Schadensersatz für eine einzige unerlaubte E-Mail"
https://www.datenschutz-praxis.de/pleiten-pech-pannen/300-e-schadensersatz-unerlaubte-e-mail/?newsletter=ds/i/urteil-der-woche/9100/2021/47/2101ED19/Artikel_1&va=2101ED19&chorid=2101ED19&vkgrp=354

Verstöße nach Art. 82 DSGVO: Verletzung datenschutzrechtlicher Vorschriften
Datenschutz-Praxis online - "Schadenersatz nach DSGVO: Das zeigen aktuelle Urteile"
https://www.datenschutz-praxis.de/pleiten-pech-pannen/schadenersatz-nach-dsgvo-das-zeigen-aktuelle-urteile/?newsletter=ds/i/urteil-der-woche/9100/2021/47/2101ED19/Artikel_2&va=2101ED19&chorid=2101ED19&vkgrp=354


Risiko Cyberware
Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung, um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen. Oft benötigen Firmen nach einem heftigen Angriff wesentlich länger als einen ganzen Arbeitstag um die IT-Systeme wiederherzustellen.
Wie die Medien in dieser Woche berichteten, hatten Hacker bei einen Cyberangriff beim dänischen Windturbinenhersteller Vestas Zugriff auf Daten erlangt. Einige IT-Systeme in mehreren Orten wurden heruntergefahren. Laut Medienberichten arbeitet der Windturbinenhersteller derzeit noch an der Wiederherstellung seiner IT.
Des Weiteren berichteten die Medien über einen Cyberangriff samt Lösegeldforderung auf das Unternehmen Attensam Wien - Hausbetreuung. Hier wurden sämtliche 42 Server und die Sicherheitssysteme lahmgelegt. Weder Telefon, Internet, Rechnungswesen oder Zutritt funktionierte nach dem Angriff. Das IT-System des Unternehmens stand für Wochen still.
-ck-

Erfolgreicher Cyberangriff: IT-Systeme in mehreren Orten heruntergefahren
Der Standard online - "Windturbinenhersteller Vestas: Zugriff auf Daten: Dänischer Hersteller arbeitet derzeit noch an der Wiederherstellung seiner IT"
https://www.derstandard.de/story/2000131331009/hacker-hatten-bei-windturbinenhersteller-vestas-zugriff-auf-daten

Cyberangriff legte sämtliche Server und Sicherheitssysteme lahm
Kurier at - "Cyberangriff auf Attensam: "Haben das Risiko total unterschätzt""
https://kurier.at/wirtschaft/cyberangriff-auf-attensam-haben-das-risiko-total-unterschaetzt/401809477


Datenschutzverletzungen aus dieser Woche
Die unten aufgeführten Medienberichte über Datenpannen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. All diese Fälle sorgten für Schlagzeilen und allgemeiner Entrüstung mit gleichzeitiger Besorgnis um die persönlichen Daten der Bevölkerung. Doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Image dauerhaft schaden können. Nicht nur große, auch kleine und mittelständische Unternehmen unterschätzen in der Regel die realen Gefahren im Umgang mit ihren Daten. Dabei lässt sich das Risiko einer Datenpanne oft mit einfachen Mitteln auf ein Minimum senken.
-ck-

Webhosting-Plattform GoDaddy erleidet Datenpanne
Ecin online - "Datenpanne bei Webhoster GoDaddy: Über eine Million Nutzer betroffen"
https://www.ecin.de/aktuell/24146-datenpanne-bei-webhoster-godaddy-ueber-eine-million-nutzer-betroffen.html

Hunderte sehr sensible Daten von IFD-Soldaten irrtümlich veröffentlicht
RT-DE online - "Interne Daten vom israelischen Geheimdienst versehentlich auf Webseite der Regierung veröffentlicht"
https://de.rt.com/der-nahe-osten/127221-interne-daten-vom-israelischen-geheimdienst/

Absicherung der USB-Schnittstelle
Anhand der Sicherheitsproblemen durch die Nutzung und Datenübertragung mittels USB-Massenspeichern ist der Einsatz von mobilen Datenträgern in vielen Unternehmen auf spezielle Anwendungsgebiete beschränkt oder ganz verboten worden. Wechseldatenträger wie externe Festplatten, Speicher-Sticks oder Universal Bus (USB)-Geräte wie Drucker, Tastatur, Digitalkameras, MP3-Player, usw. – alle diese Technik läuft über die USB-Schnittstelle. Sicherheitsforscher haben schon vor Jahren schwere Schwachstellen bei Benutzung der USB-Schnittstellen aufgedeckt - die Gefahr ist viel größer als bislang bekannt. Alles was einen USB-Stecker hat, kann zur Cyber-Waffe werden, deren Abwehr praktisch unmöglich ist, so die Warnung der Sicherheitsforscher. Virenscanner könnten dieses umfassende Angriffskonzept nicht auffinden und selbst eine Neuinstallation aller Software auf den betroffenen Systemen würde nicht helfen, da der Schadcode nicht im Speicher, sondern in der Firmware des jeweiligen USB-Gerätes abgelegt wird. Ob Drucker im Büro oder USB-Tastaturen - jedes USB-Gerät könnte somit betroffen sein – eine Horrorvorstellung für jeden IT-Sicherheits-Experten.
Gerade deshalb sollten die Sicherheitsrichtlinien jedes Unternehmens die Nutzung mobiler Endgeräte für Firmenzwecke von Anfang an in das unternehmensweite Sicherheitskonzept integrieren.
-ck-

Nur ein striktes Sicherheitskonzept schützt das Firmennetz
Mobil CNS online – "Mobilgeräte als Einfallstor"
https://mobil.cns-gmbh.de/news/aktuelles/209-mobilgeraete-als-einfallstor

Risiko USB
Privacy-Handbuch online – "Privacy-Handbuch – Nutzung der USB-Schnittstelle"
https://www.privacy-handbuch.de/handbuch_91.htm#:~:text=Ein%20besonderes%20Risiko%20sind%20USB-Sticks%20oder%20USB-Festplatten%2C%20die,Woche%20lang%20jeden%20Tag%20den%20gleichen%20Virus%20gejagt.

Security-Risiko USB
b2b Cyber-Security online – "Sicherheits-Risiko USB-Massenspeicher" 
https://b2b-cyber-security.de/sicherheits-risiko-usb-massenspeicher/#:~:text=%20Sicherheits-Risiko%20USB-Massenspeicher%20%201%20Grundlagen%3A%20USB-Kontrolle%20und,erspart%20erheblichen%20logistischen%20Aufwand.%20Ein%20Unternehmensnetzwerk...%20More%20


Passwortverhalten der Mitarbeiter weltweit geradezu fahrlässig
Trotz aller Warnungen benutzen viele Mitarbeiter immer noch die gleichen, einfachen Passwörter. Oft loggen sie sich mit ein und demselben Passwort für mehrere Accounts ein oder benutzen die Zugangsdaten privat und vielleicht auch beruflich für die Firmen-E-Mail-Adresse.
Dieser laxe Umgang mit dem Thema Authentifizierung stellt ein hohes Sicherheitsrisiko im Unternehmen dar und lädt unweigerlich zu Cyberkattacken ein. Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
Ein perfekt ausgeklügeltes Sicherheitssystem kann durchaus nicht greifen, solange die Nutzer dieser Techniken es nicht unterstützen.
-ck-

Ein starkes Passwort zu benutzen wird immer noch ignoriert
Winfuture online – "Beliebteste Passwörter 2021: Top-Liste lässt am Verstand zweifeln"
https://winfuture.de/news,126509.html

Beliebtes Passwort des Jahres 2021: "123456"
Nordpass com – "Topp 200 most common passwords"
https://nordpass.com/most-common-passwords-list/?utm_medium=affiliate&utm_term&utm_content=7988998&utm_campaign=off490&utm_source=aff34741&aff_free


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Gefährlicher Trojaner über Huawei
App-Gallery auf die Geräte gelangt
Chip online - "90 Millionen Android-Geräte bereits infiziert: 190 Apps mit Schad-Software befallen"
https://www.chip.de/news/Millionen-Android-Geraete-in-Gefahr-190-Apps-mit-Schad-Software-befallen_183962054.html

2. Polizei warnt vor neuer Betrugsmasche
In Franken online - "Betrugsversuch über WhatsApp-Dreister Betrug über WhatsApp: Wenn du diese Nachricht bekommst, solltest du aufpassen"
https://www.infranken.de/lk/rhoen-grabfeld/betrug-ueber-whatsapp-wenn-du-diese-nachricht-bekommst-solltest-du-hellhoerig-werden-art-5334100

3. Backup überträgt den QR-Code nicht auf ein neues Handy
Techbook online – "Plötzlich ungeimpft! Wenn der digitale Impfnachweis weg ist"
https://www.techbook.de/mobile-lifestyle/digitaler-impfnachweis-weg

 


Datenschutz - Nachrichten 46. Kalenderwoche 2021

.

Die wichtigsten Fragen und Antworten zum Gesundheitsnachweis
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat für Fragestellungen im Zusammenhang mit der Coronapandemie allgemeine Hinweise zum Datenschutz bereitgestellt. Hiermit wird ersichtlich, was darf der Arbeitgeber fragen und welche Daten er speichern darf.
-ck- 

Arbeitnehmer – Auskunftspflicht zum Impfstatus
Datenschutz–Praxis online - "Von 2G bis 3G plus: Was dürfen Arbeitgeber fragen und speichern?"
https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/von-2g-bis-3g-plus-was-duerfen-arbeitgeber-fragen-und-speichern/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2021/46/2101ED18&va=2101ED18&chorid=2101ED18&vkgrp=354

Wann darf ein Arbeitgeber den Impfstatus der Beschäftigten verarbeiten?
lda Bayern online - "FAQ-Sammlung zur Verarbeitung von 3G/3G plus/2G im Beschäftigtenverhältnis (Stand 11.11.2021) pdf"
https://www.lda.bayern.de/media/veroeffentlichungen/FAQ-Sammlung_zur_Verarbeitung_von3G-3G_plus-2G.pdf

Impfstatus-Abfrage durch den Arbeitgeber
LfDI Baden-Württemberg online - "Abfragen von Gesundheitsdaten durch Arbeitgeber_innen? (Stand 16.11.2021) "
https://www.baden-wuerttemberg.datenschutz.de/abfrage-gesundheitsdaten-arbeitgeber/


Phishing: Gefährliche Malware
Zu einem der größten Einfallstore für Schädlinge gehören immer noch die E-Mails. Per Phishing - Mails versuchen Online-Kriminelle unerfahrenen Usern einen Trojaner unterzujubeln. Wird eine gefälschte PDF-Datei im Zip-Archiv des Anhangs geöffnet, befällt die Malware das System. Diese Schadsoftware verschlüsselt nicht - sondern zerstört sämtliche Daten der Festplatte. Unter Umständen sind sämtliche Unternehmensdaten weg. Die Gefahren von klassischen Daten - Diebstahl und die Möglichkeit den Rechner mit Viren, Trojanern und weiteren Computer-Schädlingen zu infizieren, sind groß.
Mitarbeiter sollten im Rahmen eines Security-Awareness-Trainings rund um die Computersicherheit im Unternehmen geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden.
-ck-

Phishing-Welle: Angebliche Prüfung der Kundendaten
PC-Welt online - "Vorsicht: Sparkassen-Kunden sollen Daten überprüfen"
https://www.pcwelt.de/news/Vorsicht-Sparkassen-Kunden-sollen-Daten-ueberpruefen-11133861.html

Abgeflossene Daten im Darknet veröffentlicht
eGovernment-Computing online - "Bürgermeister warnt: Hacker veröffentlichen Wittener Daten"
https://www.egovernment-computing.de/hacker-veroeffentlichen-wittener-daten-a-1076499/

Sensible Daten zum Verkauf: Personenbezogene Daten aus Moskau und Umgebung
Der Standard online - "Anbieter gefälschter Impfzertifikate verkauft Daten von 500.000 russischen Kunden"
https://www.derstandard.de/story/2000131149197/anbieter-gefaelschter-impfzertifikate-verkauft-daten-von-500-000-russischen-kunden

Angebot im Netz: Umfangreiche persönliche Informationen samt Kontodaten
Golem online - "Datenleck: Daten von 7 Millionen Robinhood-Kunden stehen zum Kauf"
https://www.golem.de/news/datenleck-daten-von-7-millionen-robinhood-kunden-stehen-zum-kauf-2111-161108.html

Hacker können Multi-Faktor-Authentifizierung von Smartphones auszutricksen oder Phishing-Nachrichten von fremden Geräten zu versenden
t3n online - Robinhood: Hacker stehlen „mehrere Tausend“ Telefonnummern
https://t3n.de/news/robinhood-hacker-stehlen-tausende-telefonnummern-1429078/

Angriffe auf kritische Infrastrukturen
Digitale Angriffe werden deutlich ausgefeilter und aggressiver, doch Behörden und Unternehmen unterschätzen immer noch die Gefahren im digitalen Raum. Dazu gehört auch das Schwerpunktthema Cyber-Sicherheit von kritischen Infrastrukturen (KRITIS). Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zum Schutz der kritischen Infrastrukturen wie zum Beispiel Krankenhäuser, Kraft – und Wasserwerke, Katastrophenschutz, Produktionsanlagen usw. hatte die Bundesregierung das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken.
Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen. Der neue BSI-Lagebericht 2021 macht deutlich: Cyber-Angriffe gefährden zunehmend eine erfolgreiche Digitalisierung. Sicherheitsexperten schließen vermehrte Attacken auf Forschungszentren nicht aus.
Seit längerem warnt das Bundesamt für Verfassungsschutz vor Cyberspionage und Attacken alle Labore und andere Einrichtungen, die in Bezug auf die Corona-Pandemie arbeiten. Allein im vergangenen Jahr hat es mehr als 170 Angriffe auf kritische Infrastruktur in Deutschland gegeben.
-ck-

Kritische Infrastruktur verstärkt gefährdet
Frankfurter Rundschau online - Israel: Mysteriöse Attacken auf Krankenhäuser - China im Verdacht
https://www.fr.de/politik/israel-cyber-attacke-krankenhaus-mysterioeser-angriff-tel-aviv-verdacht-china-91120221.html

Vermehrte Angriffe auf systemrelevante Computernetze
Frankfurter Allgemeine online - "Hacker greifen Kliniken an"
https://www.faz.net/aktuell/wirtschaft/digitec/mehr-hacker-angriffe-auf-kliniken-und-kritische-infrastruktur-17062421.html

Gesundheitsbranche weiterhin ein Hauptziel
Presseportal online - "82 Prozent der Gesundheitssysteme berichten von IoT-Cyberangriff in den letzten 18 Monaten"
https://www.presseportal.de/pm/158531/5074911


Digitaler Auto-Lebenslauf und die Anforderungen des Datenschutzes
Bei etwa jedem dritten Gebrauchtwagen der verkauft wird, sei der Tacho manipuliert, so eine aktuelle Studie des ADAC. Damit entstehen allein in Deutschland jährlich Schäden von sechs Milliarden Euro. Eine EU-Verordnung aus dem Jahr 2017, nach der der Kilometerstand geschützt werden muss besteht, doch laut dem ADAC mangelt es an Kontrollen.
Um die Biographie eines Autos unverwechselbar nachvollziehen zu können, wird die Fahrzeugidentifikationsnummer (FIN) benötigt. Die Fahrzeug-Identifikationsnummer (FIN) und die Kilometerstände sind personenbezogene Daten, die dem Halter des Autos gehören.
Laut Dr. Thilo Weichert, ehemaliger Datenschutzbeauftragter des Landes Schleswig-Holstein, hat der Halter eines Fahrzeuges das Recht, seine personenbezogenen Daten in einer Selbstauskunft anzufragen, so die Medienberichte. Diese Daten müssen vom TÜV, dem Autohersteller usw. dem Halter zur Verfügung gestellt werden.
Mit CarCert, dem digitalen Auto-Lebenslauf für Gebrauchtwagen, kann nun endlich der weit verbreitete Betrug mit Tachometer-Manipulation datenschutzkonform aufgedeckt werden. In der digitalen Biographie des Autos werden dann die wirklichen Daten des Kfz wie: Erstzulassung, Hauptuntersuchungen und Kilometerstände, Import – Check, Rückrufe des Herstellers, Neu- und Restwert, sowie viele weitere Daten angegeben und mit den Referenzwerten verglichen.
-ck-

Laut ADAC: Auch aktuelle Autos sind manipulierbar
ADAC online - "Tachomanipulation: Betrug beim Gebrauchtwagenkauf bleibt ein Problem"
https://www.adac.de/rund-ums-fahrzeug/auto-kaufen-verkaufen/gebrauchtwagenkauf/tacho-manipulation/

Datenschutz nach der DSGVO - Rechtsgutachten von Dr. Weichert
Finanznachrichten online - "Endlich auch in Deutschland – der digitale Auto-Lebenslauf/ CorCert schütz Verbraucher vor Betrug beim Gebrauchtwagenkauf"
https://www.finanznachrichten.de/nachrichten-2021-11/54536257-endlich-auch-in-deutschland-der-digitale-auto-lebenslauf-carcert-schuetzt-verbraucher-vor-betrug-beim-gebrauchtwagenkauf-007.htm


Kfz-Lebensläufe in Deutschland
Business Insider online - "Wegen manipulierter Tachos werden Autos fast 3000 Euro zu teuer verkauft — dieser Gründer will euch mit einem digitalen Auto-Lebenslauf davor bewahren"
https://www.businessinsider.de/wirtschaft/mobility/tacho-manipulation-carcert-bietet-zertifikat-fuer-auto-lebenslauf-an-b/



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Fake-Job Betrügereien
Chip online - "WhatsApp-Nutzer aufgepasst: Vorsicht vor diesen Job-Angeboten"
https://www.chip.de/news/WhatsApp-Nutzer-aufgepasst-Vorsicht-vor-diesen-Job-Angeboten_183947559.html

2. Entwickler Hinweis: Auf der Apple Watch funktioniert der Datenschutz nicht in der Mail-App
Macwelt online – "Unerkannt im Internet: Nicht mit der Apple Watch"
https://www.macwelt.de/news/Unerkannt-im-Internet-Nicht-mit-der-Apple-Watch-11136334.html

3. SharkBot umgeht auch Zwei-Faktor-Authentifizierung
Chip online - "Android-Nutzer in Gefahr: Trojaner stiehlt Bankdaten - so schützen Sie sich"
https://www.chip.de/news/Gefahr-fuer-Android-Nutzer-Trojaner-hat-es-auf-Bankdaten-abgesehen_183945656.html

 


Datenschutz - Nachrichten 45. Kalenderwoche 2021

.

Geschickte Manipulation der Mitarbeiter
Cyber-Kriminelle setzen verstärkt auf CEO Fraud (Geschäftsführer Betrug) und Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie die Mitarbeiter geschickt manipulieren, um illegal an sensible Unternehmensdaten zu gelangen. Zielgerichtet werden menschliche Reaktionen wie zum Beispiel: Hilfsbereitschaft, Neugierde, Gutgläubigkeit, Respekt vor Autoritäten oder Konfliktvermeidung von den Angreifern ausgenutzt, um die IT-Sicherheitskette im Unternehmen zu hintergehen. Vertrauliche Informationen werden auf vielerlei Wege von den gutgläubigen Mitarbeitern entlockt, ob im Sozialen Netzwerk oder mit fingierten Telefonanrufen. Ahnungslose Firmenmitarbeiter werden anhand Vertraulichkeit oder falschen Identitäten getäuscht. Betrüger geben sich zum Beispiel als vermeintliche weisungsbefugte Vorgesetzte aus, um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen.
Eine technische Möglichkeit sich vor solchen Methoden des Social Engineerings zu schützen, gibt es nicht. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können.
-ck-

Social Engineering: Vertrauen eines Mitarbeiters des Kundensupports erschlichen
Crypto news flash com - "Datenleck bei Robinhood – 5 Millionen offengelegte Kunden-E-Mails"
https://www.crypto-news-flash.com/de/datenleck-bei-robinhood-5-millionen-benutzer-e-mails-kompromittiert/

Taktiken und Methoden von Social Engineers erkennen
Informatik Aktuell online - "Social-Engineering-Angriffe und die Psychologie dahinter"
https://www.informatik-aktuell.de/betrieb/sicherheit/social-engineering-angriffe-und-die-psychologie-dahinter.html

Geschickte Manipulation erkennen
Bundesamt für Sicherheit in der Informationstechnik online - "Social Engineering – der Mensch als Schwachstelle"
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html


Ransomware: Effektive Handlungsanweisungen im Falle eines IT-Notfalls
Gefährliche Ransomware-Angriffe gehören zurzeit zu den beliebtesten Methoden der Cyberkriminellen. Beispiel: Mithilfe von verschlüsselten E-Mail-Anhängen dringt Malware in die Unternehmens-Systeme ein. Ob Spam-Mails, Phishing, Viren oder Spionageprogramme – erfolgreiche Cyberattacken verursachen Schäden in Millionen Höhe sobald ein Schadprogramm ins IT-System eines Unternehmens gelangt. Die Schad-Software Emotet stellte in den vergangenen Jahren eine der größten Gefahren da. In Deutschland waren die IT-Systeme mehrerer Kliniken, Gerichte, Behörden und Unternehmen betroffen und für längere Zeit lahmgelegt. Momentan ist die besonders bösartige Version REvil-Ransomware aktiv.
Erfolgreiche Cyber-Attacken können immense Schäden anrichten, wenn die IT stillsteht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte schon im vergangenen Jahr dazu eine IT-Notfallkarte "Verhalten bei IT-Notfällen" veröffentlicht. Das Hinweisschild soll Mitarbeitern Verhaltensweisen bei IT-Notfällen, sowie eine individuelle Notfall-Rufnummer als Unterstützung und raschem Handeln aufzeigen. Diese Informationen sollten auch den Mitarbeitern, die außerhalb des Unternehmens arbeiten, zu Verfügung stehen.
Angesichts der aktuellen Situation um das Corona – Virus, arbeiten viele Mitarbeiter zunehmend vom Home-Office aus und das hat auch Einfluss auf die Methoden der Cyberkriminellen. Auch hierzu hat der BSI vor längerer Zeit Maßnahmen empfohlen.
Zudem hat das BSI einen Maßnahmenkatalog zum Notfallmanagement – Fous IT-Notfälle – mit realisierbaren IT-Sicherheitsmaßnahmen zum Schutz von Unternehmensdaten veröffentlicht.
Die unten aufgeführten Medienberichte zeigen einen Teil von erfolgreichen Ransomware - Attacken an. Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen. Denn der Faktor Mensch ist das schwächste Glied in jeder Sicherheitskette.
-ck-

Ransomware-Angriff: Ca. 3.100 Server befallen, Dateien verschlüsselt
Br 24 online - "Hacker in Netzwerke von Media Markt und Saturn eingedrungen"
https://www.br.de/nachrichten/netzwelt/hacker-in-netzwerke-von-media-markt-und-saturn-eingedrungen,SoBkuRF

Software-Haus ruft zur unverzüglichen Passwortänderung von Arztpraxen, Ärzten und Praxismitarbeitern auf
Süddeutsche online - "Hack gegen Software-Firma Medatixx: Warum Tausende Ärzte ihre Passwörter ändern müssen"
https://www.sueddeutsche.de/wirtschaft/sicherheit-hacker-praxen-aerzte-ransomware-1.5459693

Neun deutsche Fertigungs-Standorte standen vorübergehend still
Automobil-Industrie Vogel online - "Automobilzulieferer: Nach Hackerangriff: Eberspächer fährt wieder hoch
https://www.automobil-industrie.vogel.de/nach-hackerangriff-eberspaecher-faehrt-wieder-hoch-a-1073483/

US-Außenministerium: Belohnung für Informationen zu den REvil-Ransomware-Angriffen
Heise online - "10 Millionen US-Dollar Kopfgeld auch auf Verantwortlichen für REvil-Ransomware"
https://www.heise.de/news/10-Millionen-US-Dollar-Kopfgeld-auch-auf-Verantwortlichen-fuer-REvil-Ransomware-6264289.html


Handlungsbedarf bei Online-Präsenz
Keine Cookies ohne aktive Zustimmung des Internetnutzers, so lautet das Urteil des Gerichtshofs der Europäischen Union (EuGH- Gerichtsurteil C-673/17). Bei Cookies handelt es sich um kurze Textdateien, die von den Webservern auf die Endgeräte der Nutzer abgelegt werden. Sie speichern Informationen über das Nutzungsverhalten und dienen hauptsächlich zur Identifikation der Seitenbesucher. Eine Datenverarbeitung ist nur zulässig, wenn anhand einer vorgeschalteten Abfrage - Cookie-Banner - beim ersten Aufrufen der Homepage eine aktive und freiwillige Einwilligung der Nutzer eingeholt wird.
Folgerung des EuGH- Gerichtsurteils C-673/17: Eine Einwilligung zu Analyse - Cookies über ein voraktiviertes Kästchen (Opt-Out-Verfahren), bei dem für einen Widerspruch das Häkchen entfernt werden muss, ist nicht zulässig und somit keine wirksame Einwilligung. Es muss die Einwilligung durch eine aktive Zustimmung (Opt-In) erfolgen. Bis zur aktiven Einwilligung des Website-Besuchers, etwa durch Setzen eines Häkchens, darf keine Datenverarbeitung erfolgen, auch wenn zur der Internetnutzer einfach weitersurft.
Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) tritt ab Dezember 2021 in Kraft.
Mit dem neuen TTDSG Gesetz wurden die Datenschutzbestimmungen von TKG und TMG in einem Gesetz zusammengefasst. Insbesondere betrifft dies auch den Umgang mit Cookies.
Der Bayerische Landesbeauftragte für den Datenschutz informiert auf seiner Homepage über Cookie-Einwilligungen.
-ck-

Gesetzliche Ausgangslage und Neuregelung
Datenschutz Bayern online - "Aktuelle Kurz-Information 36: Cookie-Einwilligungen auf Webseiten bayerischer öffentlicher Stellen (pdf)"
https://www.datenschutz-bayern.de/datenschutzreform2018/aki36.html

Wettbewerbsverstoß: Setzen von Cookies ohne erforderliche Einwilligung
Shop Betreiber Blog online – "LG Frankfurt a.M. : Erfolgreiche Abmahnung bei technisch fehlerhaftem Cookie-Banner"
https://shopbetreiber-blog.de/2021/11/10/lg-frankfurt-a-m-erfolgreiche-abmahnung-bei-technisch-fehlerhaftem-cookie-banner/?print=print

Bundesgesetz tritt in Deutschland am 1. Dezember 2021 in Kraft
Gesetze online – "TTDSG: Telekommunikation-Telemedien-Datenschutz-Gesetz
https://gesetz-ttdsg.de/


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Nutzer werden ohne ihr Wissen für einen teuren Premium-SMS-Service angemeldet
Computerbild online – "Ultima SMS: 151 gefährliche Apps fliegen aus dem Play Store"
https://www.computerbild.de/artikel/cb-News-Sicherheit-UltimaSMS-151-gefaehrliche-Apps-fliegen-aus-dem-Play-Store-31006355.html

2. Infizierte App rootet die Geräte
Computerbild online – "Abstract EMU: Malware rootet Android-Smartphones"
https://www.computerbild.de/artikel/cb-News-Sicherheit-AbstractEmu-Malware-rootet-Android-Smartphones-31013609.html

3. Schwachstellen mit Bedrohungsgrad "hoch" eingestuft
Heise Security online - "Alert! - Kernel-Lücken in AMD-Grafikkartentreibern bedrohen Windows-PCs"
https://www.heise.de/news/Kernel-Luecken-in-AMD-Grafikkartentreibern-bedrohen-Windows-PCs-6265348.html

 


Datenschutz - Nachrichten 44. Kalenderwoche 2021

.

Aufsichtsbehörden verhängen mehr Sanktionen: Telemarketing nicht datenschutzkonform durchgeführt
Telefonwerbung ist seitdem im Sommer 2009 in Kraft getretenen Gesetz (§ 7 Abs. 2 Nr. 2 UWG) nur noch bei ausdrücklicher vorheriger Einwilligung durch den Verbraucher zulässig. Die Verschärfung der Regelungen schließt auch Werbeanrufe von Telefoncomputern und Anrufe mit unterdrückter Telefonnummer mit ein. Als zuständige Regulierungsbehörde teilte die Bundesnetzagentur eine Nachbesserung des Gesetzes schon im Jahr 2013 mit, das Unternehmen für unerlaubte Telefonwerbung (nach § 20 UWG) höhere Bußgelder von bis zu 300.000 € zu erwarten haben und nicht mehr wie bisher 50.000 €.

Seit Inkrafttreten der Datenschutzgrundverordnung können Datenschutzaufsichtsbehörden ein Bußgeld bis zu 20 Millionen Euro oder 4% des weltweiten Jahresgesamtumsatzes auferlegen, wenn zu Werbezwecken unerlaubt personenbezogene Daten verarbeitet werden.
Laut Medienberichten verhängte vor Kurzem die italienische Datenschutzbehörde gegen Sky Italia S.r.I. wegen unzulässiger Werbeanrufe ein Bußgeld in Höhe von 3,2 Millionen Euro. Das betroffene Unternehmen führte ohne die Einwilligung der Betroffenen die Werbeanrufe durch. Auch nachdem sich zahlreiche Verbraucher über die Werbeanrufe beschwerten, wurden die Kontaktaufnahme fortgesetzt. Zudem verwendete das Unternehmen Kontaktdaten, die von anderen Unternehmen erworben wurden, ohne diese Listen zu prüfen.
Seit dem 1.10.2021 besteht eine fünfjährige Dokumentationspflicht – eine Einwilligung zur Telefonwerbung muss ab Erteilung nun fünf Jahre aufbewahrt werden. Mit jeder Werbeansprache lebt die fünfjährige Frist erneut auf. Auf Verlangen haben die werbenden Unternehmen die Nachweise der zuständigen Verwaltungsbehörde unverzüglich vorzulegen.
-ck-

Aufbewahrungspflicht der Telefon-Werbeeinwilligungen
Bundesnetzagentur online - "Nachweis von Telefon-Werbeeinwilligungen"
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Unternehmenspflichten/Telefonwerbung/start.html

Aktuelle Hinweise und Maßnahmenliste der Bundesnetzagentur
Bundesnetzagentur online - "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#A

Rufnummernmissbrauch zu unerlaubter Telefonwerbung
MDR online - "Rufnummermissbrauch: Bundesnetzagentur geht gegen Tausende Telefonnummern wegen Abzocke vor"
https://www.mdr.de/nachrichten/deutschland/panorama/bundesnetzagentur-telefonwerbung-abzocke-100.html

Unerlaubte Werbeanrufe: Italienische Aufsichtsbehörde verhängte Bußgeld von fast 3,3 Mio. Euro
Gpdp.it - "Ordinanza ingiunzione nei confronti di Sky Italia S.r.l."
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9706389


Schutz der kritischen Infrastruktur
Digitale Angriffe werden deutlich ausgefeilter und aggressiver, doch Behörden und Unternehmen unterschätzen immer noch die Gefahren im digitalen Raum. Dazu gehört auch das Schwerpunktthema Cyber-Sicherheit von kritischen Infrastrukturen (KRITIS). Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Zum Schutz der kritischen Infrastrukturen wie zum Beispiel Krankenhäuser, Kraft – und Wasserwerke, Katastrophenschutz, Produktionsanlagen usw. hatte die Bundesregierung das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken.
Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen.
Der neue BSI-Lagebericht 2021 macht deutlich: Cyber-Angriffe gefährden zunehmend eine erfolgreiche Digitalisierung. 
Sicherheitsexperten schließen vermehrte Attacken auf Forschungszentren nicht aus. Seit längerem warnt das Bundesamt für Verfassungsschutz vor Cyberspionage und Attacken alle Labore und andere Einrichtungen, die in Bezug auf die Corona-Pandemie arbeiten.
-ck-

BSI zentrale Meldestelle für IT-Sicherheitsrisiken
Zeit online - "BSI – Lagebericht 2021: Kritische Infrastruktur"
https://www.zeit.de/digital/2021-10/bsi-lagebericht-2021-it-sicherheit-cyberattacken-hackerangriffe?utm_referrer=https%3A%2F%2Fwww.bing.com%2F

Risiken der Digitalisierung: Cyberangriffe auf sensible Infrastrukturen
Netzwoche ch - "Für die Zukunft gewappnet: Smart City und das Sicherheitsdispositiv für kritische Infrastrukturen"
https://www.netzwoche.ch/news/2021-11-01/smart-city-und-das-sicherheitsdispositiv-fuer-kritische-infrastrukturen

Geltungsbereiche des IT-Sicherheitsgesetzes 2.0
Security Insider online - "Verschärftes IT-Sicherheitsgesetz vom Bundestag beschlossen:
IT-SiG 2.0 sorgt für Handlungsbedarf bei Unternehmen!"
https://www.security-insider.de/it-sig-20-sorgt-fuer-handlungsbedarf-bei-unternehmen-a-1068914/


Schwachstelle Mensch
Arbeitnehmer werden im Umgang mit personenbezogenen Daten oft nicht sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein.
Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen.
Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter und der Geschäftsleitung in Unternehmen - jeglicher Größe - durchgeführt wird.
-ck-

Adressdaten lediglich ins BCC-Feld
Inside Paradeplatz.ch - "Peinliche Mail-Panne bei Postfinance"
https://insideparadeplatz.ch/2021/10/05/peinliche-mail-panne-bei-postfinance/

Offener Verteiler: Prüfung durch die Berliner Datenschutzbeauftragte
RTL online - "Datenpanne bei Berliner Behörde: Bei anonymer Sexparty mit Corona infiziert! Amt schickt versehentlich Namen per Mail rum"
https://www.rtl.de/cms/berghain-berlin-amt-outet-alle-teilnehmer-von-anonymer-sex-party-4857045.html

LfDI Prüfung: Besonders schutzwürdigen Gesundheitsdaten
Schwäbische online - "Stadt Stuttgart veröffentlicht versehentlich mehr als 400 private E-Mail-Adressen" https://www.schwaebische.de/sueden/baden-wuerttemberg_artikel,-datenpanne-stadt-stuttgart-veroeffentlicht-mehr-als-400-private-e-mail-adressen-_arid,11420004.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. Problem mit digitalem Zertifikat: Windows-11-Programme starten nicht
Giga online - "Windows 11 blamiert sich: Viele Programme lassen sich nicht öffnen"
https://www.giga.de/news/windows-11-blamiert-sich-viele-programme-lassen-sich-nicht-oeffnen/

2. Neue Rooting-Malware identifiziert
Chip online - "Bei Samsung, Huawei und Co.: Diese gefährlichen Malware-Apps sollten Sie sofort löschen"
https://www.chip.de/news/Bei-Samsung-Huawei-und-Co.-Diese-gefaehrlichen-Malware-Apps-sollten-Sie-sofort-loeschen_183924630.html

3. Aktuelle Warnungen
Verbraucherzentrale online – "Alle Warnungen der Marktbeobachtung"
https://www.verbraucherzentrale.de/warnungen

 


Datenschutz - Nachrichten 43. Kalenderwoche 2021

.

Cyberrangriffe: Steigende Bedrohung anhand Sicherheits-Schwächen
Unternehmerdaten sind ein wichtiges Wirtschaftsgut, doch vielen Unternehmen fehlt eine umfassende Datenabsicherung. Datenklau und – Sabotage ist ein stetig wachsendes und immer noch unterschätztes Problem – viele Firmen wiegen sich in falscher Sicherheit und so entstehen für Unternehmen jährlich finanzielle Schäden in Milliardenhöhe. Know-how ist gerade in Zeiten der Wirtschaftskrise sehr viel Geld wert, doch durch vernachlässigte Sicherheit sehr gefährdet. Aufgedeckte Datenschutzpannen zeigen wie sich die Risiken für Unternehmen auswirken können. Gefahren durch einen Angriff auf das Firmennetzwerk des Unternehmens sind nicht zu unterschätzen.
Vor Kurzem wurde der Bericht zur Lage der IT-Sicherheit in Deutschland 2021 durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) vorgestellt. Die Bedrohungslage ist angespannt bis kritisch, im Vergleich zum Vorjahr wurden 22 Prozent mehr neue Schadprogramm-Varianten registriert. Oftmals haben kleine und mittlere Unternehmen kein eigenes IT-Sicherheitsteam und sind somit besonders für Cyberangriffe gefährdet.
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei einem erfolgreichen Hackerangriff nicht nur ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
Einer der wichtigsten Schritte zur Abwehr möglicher Angriffe ist: Alle Mitarbeiter und die Geschäftsleitung über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, welcher über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

IT-Sicherheit: Bedrohungslage auf hohem Niveau
Security Insider online - "Bedrohungslage angespannt bis kritisch: Lage der IT-Sicherheit in Deutschland 2021"
https://www.security-insider.de/lage-der-it-sicherheit-in-deutschland-2021-a-1069755/

Erhebliche wirtschaftliche Schäden anhand Cyberangriffe
BSI Bund online - "Die Lage der IT-Sicherheit in Deutschland 2021" 
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf?__blob=publicationFile&v=3

Rasant wachsende Cyber-Bedrohungslage
Tagesspiegel online - "144 Millionen neue Schadprogramme: Bundesamt legt dramatischen Bericht zur IT-Sicherheit vor"
https://www.tagesspiegel.de/politik/144-millionen-neue-schadprogramme-bundesamt-legt-dramatischen-bericht-zur-it-sicherheit-vor/27725988.html

Cyberattacken: Strafverfolgung anhand Russlandaufenthalt schlecht möglich
T-Online online - "Gefährliche Angriffe: Deutsche Ermittler finden Drahtzieher der Cyberattacken"
https://www.t-online.de/digital/sicherheit/id_100003054/lka-spuert-hintermann-von-ransomware-gruppe-revil-auf-und-ist-machtlos.html

Systemausfälle sorgen für immensen Schaden bei betroffenen Unternehmen
T-Online online - "Microsoft: Hacker nehmen Dutzende Tech-Firmen ins Visier"
https://www.t-online.de/digital/id_91029934/kriminalitaet-microsoft-hacker-nehmen-dutzende-tech-firmen-ins-visier.html


Regelmäßige Datenschutz-Schulungen sensibilisiert Personal und Geschäftsleitung
Der Mensch im Unternehmen stellt mit der größten Schwachstelle dar. Gefahren drohen ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen zu schnell und unüberlegt freigeben, noch schnell einen Empfänger in eine E-Mail hinzufügen oder ohne Prüfung einen E-Mail-Anhang öffnen. Ein Klick und schon ist die Datenpanne passiert, oder noch schlimmer, das Computersystem des gesamten Unternehmens mit Schadsoftware verseucht.
Zurzeit werden massenhaft Betrugsmails mit schädlichen Links versandt, welche die User zu Malware oder Phishing-Webseiten führen. Die unten aufgeführten Medienberichte zeigen einen Teil der Möglichkeiten von Betrugsversuche an.
Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen. Denn nur wer in der Lage ist die Angriffsmethoden zu identifizieren, kann diese verhindern.
-ck-

Präventionsmaßnahme: Bewusstsein für Cyberrisiken stärken
Infopoint Security online - "KnowBe4 veröffentlicht globalen Phishing-Bericht für Q3 2021 mit den am häufigsten verwendeten Phishing-Ködern"
https://www.infopoint-security.de/knowbe4-zunehmend-gefaehrliche-phishing-angriffe-auf-unternehmen-it-und-hr/a29366/

Warnung des BZSt: Link in der Mail nicht öffnen
Bundeszentralamt für Steuern online - "Betrugs-E-Mails im Namen des BZSt" 
https://www.bzst.de/SharedDocs/Kurzmeldungen/DE/2021_Kurmeldungen/20201229_betrug_email.html

Täuschend echte Phishing-Mails
Ruhr 24 online - "Bei solchen E-Mails sollten Sparkassen-Kunden gewarnt sein – Verbraucherzentrale erklärt Betrugsmasche"
https://www.ruhr24.de/magazin/geld/sparkasse-bank-kunden-email-mails-verbraucherzentrale-warnung-betrugmails-pishing-zr-91066516.html

Erhöhte Aufmerksamkeit gefordert: Mails vom kompromittierten Benutzerkonto versandt
Universität Hamburg online - "Achtung! Interne Phishing-Mails mit PDF-Dokument von einem kompromittierten UHH-Account"
https://www.rrz.uni-hamburg.de/ueber-uns/aktuell/2021/2021-10-25-sicherheitswarnung-phishing-uni.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Schadsoftware aufspüren
Chip online - "Pegasus-Schadsoftware für iOS: So prüfen Sie, ob Sie betroffen sind" 
https://www.chip.de/news/Spionage-Tool-Pegasus-So-finden-Sie-heraus-ob-Sie-betroffen-sind_99040166.html

2. Sicherheitslücken: Webbrowser updaten
Chip online - "Schwerwiegende Sicherheitslücken in Google Chrome: Nutzer müssen den Browser umgehend aktualisieren"
https://www.chip.de/news/Schwerwiegende-Sicherheitsluecken-in-Google-Chrome-Nutzer-muessen-den-Browser-umgehend-aktualisieren_182701344.html

3. PINs erkennen: Jede Taste prodoziert unterschiedliches mechanisches Geräusch 
Computer Bild online - "Gefahr am Geldautomaten: KI errät PIN-Codes"
https://www.computerbild.de/videos/cb-News-Sicherheit-Gefahr-am-Geldautomaten-KI-erraet-PIN-Codes-30983965.html