Letzte Änderung: 15.11.2024
Phishing-Mails und die Schwachstelle Mensch
Datenschutzpannen, die durch die Medien gehen, haben das Bewusstsein von datenschutzrechtlichen Anliegen sowie der Nachfrage nach fundierten Datenschutzschulungen im Unternehmen steigen lassen. Doch noch immer ist das schwächste Glied in der Kette meist der Mensch – Mitarbeiter und Unternehmer. Ein Personal - Computer kann noch so sicher sein, mit den neusten Updates für die Software ausgestattet, einen Firewall als auch ein Virenprogramm, welches dem neusten Stand entspricht, installiert haben. Es bleibt der Endbenutzer, welcher zum Beispiel eine Phishing-Mail übersieht und den Anhang leichtfertig öffnet.
Nie zuvor war das Risiko für Behörden und Unternehmen derart vieler digitalen Bedrohungen ausgesetzt, wie heute. Alle müssen sich auf neue Gefahrenquellen von Internet- oder Cyberattacken vorbereiten, die Infrastruktur und Industrieanlagen besser abschirmen. Allein in den vergangenen zwei Jahr hatte jedes fünfte Unternehmen erfolgreiche IT-Sicherheitsvorfälle zu verzeichnen – Tendenz steigend. Diese Problemstellung kann nur dann bewältigt werden, wenn alle Mitarbeiter und die Geschäftsleitung sensibilisiert sind, wissen, welche Tricks heute angewandt werden und somit achtsam mitwirken. Eine Serie von hilfreichen Beiträgen wie sich Betrugsmachen erkennen lassen, werden unter anderem auf der Homepage von Security – Insider veröffentlicht.
-ck-
Erfolgreiche Cyberattacken meist durch Fehler eines Angestellten ermöglicht
Security Insider online - "G Data Umfrage zu Security Awareness im deutschen Mittelstand Mitarbeiter stellen IT-Sicherheit auf die Probe"
https://www.security-insider.de/mitarbeiter-stellen-it-sicherheit-auf-die-probe-a-1017382/
Mitarbeiter-Sensibilisierung: Security Awareness Trainings
Security-Insider online - "Insider Research im Gespräch: Mehr Erfolg mit Security Awareness Trainings"
https://www.security-insider.de/mehr-erfolg-mit-security-awareness-trainings-a-1013823/
Mitarbeiter-Sensibilisierung Abwehr für Cyber-Gefahren"
Schwäbische online - "EIHK Schwaben schützt Unternehmen vor Netzattacken"
https://www.schwaebische.de/landkreis/landkreis-lindau/lindau_artikel,-ihk-schwaben-schuetzt-unternehmen-vor-netzattacken-_arid,11353267.html
Outlook - Spam per Termineinladung
Spiegel online - "Kalender-Spam in Outlook: Verbraucherschützer warnen vor kriminellen Termineinladungen"
https://www.spiegel.de/netzwelt/web/microsoft-outlook-verbraucherschuetzer-warnen-vor-fiktiven-kalender-eintraegen-a-cd360b36-1222-4d62-826c-56c0c0ba6d78
Korrekter Umgang mit personenbezogenen Daten
Arbeitnehmer werden im Umgang mit personenbezogenen Daten oft nicht sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein.
Wie die Medien berichteten, hatte die Zürcher Finanzdirektion, durch unachtsames Handeln beim Mail –Versand, eine Datenpanne zu verzeichnen. In einer Mail nennt der Kanton die Namen von über 100 Zürcher Unternehmen und publiziert dadurch versehentlich die Antragssteller der Covid-Nothilfe. Die Adressen der Härtefall-Gesuchsteller waren für alle Empfänger sichtbar, diese konnten also die Namen, Mailadressen einsehen. Für die betroffenen Unternehmen ist das ein ernstes Datenschutzproblem, kaum ein Unternehmen möchte freiwillig seine finanzielle Situation veröffentlichen. Diese Datenpanne wäre nicht entstanden, wenn die Adressdaten lediglich ins BCC-Feld (Blind Carbon Copy – Blindkopie), statt ins CC-Feld (Carbon Copy - Durchschlag/Kopie) eingetragen gewesen wären.
Weiterhin berichten die Medien in dieser Woche über eine peinliche IT-Datenpanne einer Berner Gemeinde. Bei der Umstellung der EDV der Gemeinde auf die Cloud eines externen Anbieters scheint die Back-up-Funktion für eine zusätzliche Sicherung nicht aktiviert worden sein. Als Folge sind sämtliche Daten der Verwaltung von ca. vier Monaten verloren. Weder Papierversionen oder ein Verzeichnis der verloren Daten seien vorhanden. Mittlerweile wurde mit der langwierigen Aufbereitung der verlorenen Daten begonnen.
-ck-
Menschlicher Fehler: Adressen standen im «Cc» statt im «Bcc»
Blick ch – "Datenschutz-Unfall: 105 Adressaten für Härtefall-Hilfe sichtbar für alle: Peinliche Datenpanne der Züricher Finanzdirektion"
https://www.blick.ch/schweiz/symptom-fuer-ueberforderung-peinliche-datenpanne-der-zuercher-finanzdirektion-id16460480.html
Fehler bei Cloud-Update und vergessenem Backup
Computerworld ch - "Datenverlust bei Cloud-Migration: IT-«Super-GAU» in Berner Gemeinde
https://www.computerworld.ch/software/cloud/it-super-gau-in-berner-gemeinde-2655011.html
Kommunikationsstrategie: Versehentlicher Falschversand
Spiegel online - "Interne Informationen Facebook will Aufregung um riesiges Datenleck aussitzen"
https://www.spiegel.de/netzwelt/web/facebook-will-aufregung-um-riesiges-datenleck-aussitzen-a-a51adeb1-20fb-449a-8ad7-c13bbbbb4f8e
Ausrangierte Hardware mit ungeschützten Firmengeheimnissen
Unternehmen die ihre gebrauchte Hardware entsorgen möchten, können diese nicht einfach verkaufen, wegwerfen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten. Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung, kann nach der aktuellen DSGVO hohe Strafzahlungen nach sich ziehen. Deshalb erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen welche die sensiblen Unternehmensdaten schützen und um jegliche Art von Datenschutzvorfällen vorzubeugen.
Wie die Medien berichteten, fand ein Käufer von gebrauchten Festplatten noch gespeicherte personenbezogenen Daten wie zum Beispiel Steuererklärung, Fotos usw. auf seiner erworbenen gebrauchten Hardware. Die Computer-Firma hatte fahrlässig gehandelt und die Daten vor dem Weiterverkauf der Altgeräte nicht gelöscht. Das AG Hildesheim verurteilte das Computer-Unternehmen, wegen nicht erfolgter Datenlöschung vor der Weiterveräußerung, zu einem DSGVO-Schadensersatz in Höhe von 800,- EUR.
-ck-
DSGVO-Schadensersatz für verkauftes doch nicht gelöschtes Altgerät
Onlinehändler News online - "Verpflichtung zur Löschung von Daten auf Altgeräten obliegt den Unternehmen"
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/134635-loeschung-daten-altgeraeten
Gebrauchte Festplatten mit gespeicherten personenbezogenen Daten veräußert
Dr-Bahr com - "AG Hildesheim: 800,- EUR DSGVO-Schadensersatz, wenn Computer-Firma Daten auf verkauften Altgeräten nicht löscht"
https://www.dr-bahr.com/news/800-eur-dsgvo-schadensersatz-wenn-computer-firma-daten-auf-verkauften-altgeraeten-nicht-loescht.html
Problem: Datenlöschung auf Altgeräten erfolgt nicht unmittelbar nach deren Ausmusterung
Datenschutz Praxis online - "Unternehmen sind nachlässig bei der Datenlöschung"
https://www.datenschutz-praxis.de/tom/unternehmen-sind-nachlaessig-bei-der-datenloeschung/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Achtung: Fake-Kopien spielen Adware auf Rechner, verändern Browsereinstellungen -greifen E-Mail-Adressen ab
Chip online - "Warnung vor VLC-Kopien: Download birgt Gefahren"
https://www.chip.de/news/Warnung-vor-VLC-Kopien-Download-birgt-Gefahren_183570035.html
2. Unternehmen und Anwender sollten schnellst möglichst Patchen
Datensicherheit online - "Tenable warnt vor weiterer Zero-Day-Schwachstelle in Google Chrome"
https://www.datensicherheit.de/google-chrome-zero-day-schwachstelle
3.Vorsicht: Phishing – Mails und Smishing-Attacken
PC Welt online - "Cybergangster greifen Sparkassenkunden per SMS an"
https://www.pcwelt.de/news/Cybergangster-greifen-Sparkassenkunden-per-SMS-an-11016326.html
4. Nachrichten von infizierten Kontakten mit Schad-App
IT-Sicherheit online - "WhatsApp-Wurm noch gefährlicher"
https://www.itsicherheit-online.com/news/endpointmobile-security-news/whatsapp-wurm-noch-gefaehrlicher
Späte Meldung einer Datenschutzverletzung
Trotz geänderter Gesetzeslage ist ein transparenter Umgang bei Datenmissbrauch nicht zu registrieren. Vorfälle werden so lange wie möglich verschwiegen und als harmlos dargestellt. Doch jede Verletzung des Schutzes personenbezogener Daten ist bei der zuständigen Aufsichtsbehörde zu melden. Darüber hinaus besteht gegebenenfalls auch eine Benachrichtigungspflicht gegenüber den betroffenen Personen.
Laut Medienberichten kam es bei dem in Frankreich ansässigen Hardware-Crypto-Wallet Anbieters zu Datenlecks. Mit unbekanntem Zugriff auf ca. eine Million personenbezogene Kundendaten. Daraufhin folgten noch weitere Datenlecks. Mittlerweile reichten die Betroffenen Klage wegen Fahrlässigkeit des Unternehmens ein. Mehr als 10 Monate lang wurde es den Hackern ermöglicht, Kunden-Daten von den Unternehmen zu stehlen und scheinbar sind diese schon auf den Schwarzmarkt verkauft. Scheinbar hatte das Unternehmen fahrlässig reagiert und auch nicht jeden betroffenen Kunden über den Datendiebstahl benachrichtigt, so die Medienberichte.
-ck-
Vertuschte Datenschutzverletzung?
Crypto News Flash online - "Hardware-Wallet-Hersteller Ledger wegen "Vertuschung" von Datenpanne verklagt"
https://www.crypto-news-flash.com/de/hardware-wallet-hersteller-ledger-wegen-vertuschung-von-datenpanne-verklagt/
Bildungsplattform der Schweizer Armee: 420.000 Accounts offen wie ein Scheunentor
Netzwoche ch - "Daten von Bundesräten einsehbar: Update: Armee wusste schon seit Wochen über Sicherheitslücke Bescheid"
https://www.netzwoche.ch/news/2021-03-05/sicherheitsluecke-in-der-lernplattform-der-armee-behoben
Ransomware scheinbar durch Öffnen eines schädlichen E-Mail-Anhangs auf die Server gelang
IT-Markt ch - "Ransomware kam wohl per E-Mail: Cyberangriff auf Gewerbeschule Basel"
https://www.it-markt.ch/cybersecurity/2021-04-12/cyberangriff-auf-gewerbeschule-basel
Ausnutzbare Schwachstellen vereinfachen Cyberattacken
Cybernews com - "95% der Websites laufen auf veralteter Software mit bekannten Schwachstellen"
https://cybernews.com/security/95-of-websites-run-on-outdated-software-with-known-vulnerabilities/
Datenschutzgerechte anonyme Kontaktdatenerfassung
Eine digitale Kontaktnachverfolgung um Infektionsketten zu unterbrechen soll die Luca-App erleichtern. Statt Kontakte aufwändig manuell zu erfassen, soll die kostenlose Luca-App als digitale Kontaktnachverfolgung eingesetzt werden um Infektionsketten zu unterbrechen. Sie kann zum Beispiel im Bereich von Pflegeheimen, Unternehmen, Restaurants, Cafés und vielen weiteren Institutionen eingesetzt werden um die Pflicht zur Erfassung und Speicherung der Kontaktdaten zu erleichtern. In vielen Bundesländern wird sie mittlerweile verwendet, einzelne Händler setzen bereits auf das Programm. Doch es gibt auch datenschutzrechtliche Bedenken. Erst vor kurzem ist eine Sicherheitslücke in Schlüsselanhängern der Luca-App für Kontakt-Tracking entdeckt worden. Nach Bekanntwerden dieser Sicherheitslücke forderte der Chaos Computer Club (CCC) wegen einer nicht abreißenden Serie von Sicherheitsproblemen, dass der Einsatz der App gestoppt wird und das nicht weitere Steuergelder dafür ausgegeben werden. Nun will der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern nach Kritik aus IT-Kreisen die Luca – App datenschutzrechtlich prüfen, so die Medienberichte.
-ck-
Offene Fragen zum technischen Datenschutz
Heise online - "Nach wachsender Kritik aus IT-Kreisen: Landesdatenschützer prüft Luca-App"
https://www.heise.de/news/Nach-wachsender-Kritik-aus-IT-Kreisen-Landesdatenschuetzer-prueft-Luca-App-6017564.html
Alternative: Kontaktdatenblatt vor Ort ausfüllen muss doch möglich sein
News online – "Corona-Regeln beim Einkaufen: Nur noch mit Luca-App zu Ikea? Kunden protestieren im Netz"
https://www.news.de/wirtschaft/855912499/corona-regeln-beim-ikea-einkauf-click-and-meet-aktuell-luca-app-pflicht-zur-kontaktverfolgung-alternative-zum-formular/1/
Bewegungshistorie der Nutzer: Kontakt-Tracking per Luca-Schlüsselanhänger
Zeit online - "Sicherheitslücke nährt weitere Zweifel an Luca-System"
https://www.zeit.de/digital/datenschutz/2021-04/luca-app-luecke-software-datenschutz-corona-kontaktverfolgung?utm_referrer=https%3A%2F%2Fwww.bing.com%2F
Identitätsdiebstahl mit weitreichende Folgen
Es bedarf oftmals nur wenige Informationen wie Geburtsdatum, Namen und Adresse, um einer anderen Person die Identität zu entwenden. Anhand dieser personenbezogenen Daten ist schon ein Warenkreditbetrug möglich. Kriminelle bestellen so Produkte auf den Namen der Person, deren Identität missbraucht wurde und der Betroffene erhält die Rechnung oder irgendwann steht der Gerichtsvollzieher vor der Tür. IT-Forscher warnten vor kurzem über Risiken von zu früh abgelegten E-Mail-Adressen, welche bei Nichtnutzung von einigen Anbietern wieder neu vergeben werden. Fremde, welche die abgelegte Adresse dann übernehmen, können auf Dienste und Konten zugreifen, die noch mit der Mail-Adresse verbunden sind. Ein offenes Tor für Angreifer zum Identitätsdiebstahl. Sehr einfach sind sensible Daten auch offline zu entwenden. An die personenbezogenen Daten eines Bürgers oder Unternehmen kommt man sehr leicht: Zum Beispiel durch Telefonumfragen, Entwendung einer Brieftasche, verlorene Smartphones oder Laptops, oder wie in die Medien in dieser Woche berichteten: Hochsensible Daten von Wohnungssuchenden für Warenbestellungen benutzt. Kriminelle fragen oft Dienstleister wie Postboote, Bekannte, Kollegen, Angehörige aus, um an Informationen über ihre Opfer zu kommen. Auch analoge Daten wie Kontoauszüge, Briefe, Werbung mit Anschrift und Kundennummer die nicht geschreddert in den Müll landen, sind für Kriminelle leichte Beute. Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit – Kostenaufwendig, sondern auch Rufschädigend. Für die Einführung geeigneter Schutzmaßnahmen besteht daher dringender Handlungsbedarf. Hier ist der Gesetzgeber gefragt um diese Lücke zu schließen.
-ck-
Computer-Kriminalität drastisch angestiegen
Mimikama online - "Über 18 Millionen Opfer von Cyberkriminalität im vergangenen Jahr"
https://www.mimikama.at/aktuelles/opfer-cyberkriminalitaet/
Unbekannter nutzte unerlaubt persönliche Daten
Fränkische online - "Burk: Daten missbräuchlich benutzt"
https://fraenkischer.de/burk-daten-missbraeuchlich-benutzt/
Online Straftaten drastisch gestiegen
BR24 online - "Pandemie-Folge: Mehr Online-Handel, mehr Online-Betrug"
https://www.br.de/nachrichten/netzwelt/folgen-der-pandemie-mehr-online-handel-mehr-online-betrug,SOSM4xy
Dringlichkeitsverfahren: Stopp für Zwangsupdate der Nutzungsbedingungen
Johannes Caspar, Hamburgs Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Dringlichkeitsverfahren gegen Facebook Ireland Ltd., in Zusammenhang mit den neuen WhatsApp - Datenschutzrichtlinien und Nutzungsbedingungen eröffnet. Anhand der neuen Bestimmungen räumt sich der WhatsApp-Mutterkonzern Facebook das Recht in Rund einem Monat ein, die personenbezogenen Nutzerdaten mit anderen Facebook-Unternehmen zu teilen. Der HmbBfDI will nun diese umstrittenen Änderungen, die massenhafte Datensammlung von WhatsApp-Nutzern per Verfahren stoppen.
-ck-
Erheben und Verarbeiten der persönlichen Daten von WhatsApp-Nutzern verhindern
Cybernews com - "Deutsche Regulierungsbehörde will "illegale" WhatsApp-Datensammlung stoppen"
https://cybernews.com/news/german-regulator-acts-to-halt-illegal-whatsapp-data-collection/
Neue Nutzungsbedingungen erneut im Fokus der Aufsichtsbehörde
Inside Digital online - "Verfahren gegen Facebook: Datenschützer will Nutzung von WhatsApp-Daten verhindern"
https://www.inside-digital.de/news/verfahren-facebook-whatsapp-datenaustausch
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Keine Sicherheitsupdates mehr für Windows 10 – Version 1909
Chip online - "Windows-10-Frist läuft in wenigen Tagen ab: Microsoft zwingt Nutzer zum Update"
https://www.chip.de/news/Windows-10-Frist-laeuft-in-wenigen-Tagen-ab-Microsoft-zwingt-Nutzer-zum-Update_165499872.html
2. Effektive Methoden anwenden plus Antivirus installieren
Chip online - "Fake-Apps bei Google Play erkennen: Einfache Methoden, um Malware zu vermeiden"
https://www.chip.de/news/Fake-Apps-erkennen-Einfache-Methoden-um-gefaehrliche-Malware-bei-Google-Play-zu-vermeiden_183533582.html
Tätigkeitsbericht über Entwicklungen und Fragen des Datenschutzes
Die Datenschutz - Grundverordnung erfordert ein aufeinander abgestimmtes und einheitliches Vorgehen der Datenschutz – Aufsichtsbehörden. Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, welche an Parlament, Regierung, Behörden übermittelt und auch der Öffentlichkeit zugänglich gemacht wird.
In dieser Woche veröffentlichte die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, ihren Jahresbericht für das Jahr 2020. Ihr vorgelegter Bericht ist zugleich ihr letzter Jahresbericht, sie gibt ihr Amt ab bzw. will sich nicht erneut in diesem Amt wählen lassen.
Laut Medienberichten wäre ihre Amtszeit eine herausfordernde Zeit gewesen, geprägt von großen Umbrüchen im Datenschutz und in der Gesellschaft, angefangen vom Inkrafttreten und Wirksamwerden der EU-DSGVO bis hin zur andauernden Corona-Pandemie mit ihren immensen Auswirkungen auf unser aller Zusammenleben, so die Berliner Datenschutzbeauftragte. Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden zeigen, dass das Interesse am Datenschutz seit Einführung der europäischen Datenschutz-Grundverordnung auch im Bewusstsein vieler Bürger angekommen ist. Im vergangenen Jahr wurden der BlnBDI ca. 925 Datenschutzverstöße gemeldet, darunter besonders häufig aus dem Medizinsektor sowie Banken und Gewerkschaften.
Das Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutz-Beauftragten und der Aufsichtsbehörden für den Datenschutz (ZAfTDa) stellt der Öffentlichkeit alle seit 1971 erschienen Tätigkeitsberichte des Bundes- und der Landesdatenschutz-beauftragten zum Abruf zur Verfügung.
-ck-
Presseberichte - Medien/ Jahresbericht 2020
Datenschutz Berlin online – "Infothek/Service Pressemitteilungen–Jahresbericht 2020"
https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen#c123
Datenschutz in der Pandemie
Tagesspiegel online - "Maja Smoltczyk hört auf: Die Coronakrise fordert den Datenschutz heraus – Berlins Beauftragte geht"
https://www.tagesspiegel.de/berlin/maja-smoltczyk-hoert-auf-die-coronakrise-fordert-den-datenschutz-heraus-berlins-beauftragte-geht/27076424.html
EU-DSGVO: Meldepflicht von Datenpannen innerhalb von 72 Stunden
Seit Mai 2018 kamen europaweit deutlich verschärfte Meldepflichten, bei einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, auf die Unternehmen zu: Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Panne/Sicherheitsvorfall muss ausnahmslos insbesondere ohne Abwägung von Risiken für den Betroffenen dokumentiert werden.
Trotz geänderter Gesetzeslage ist ein transparenter Umgang mit Datenmissbrauch nicht zu registrieren. Vorfälle werden so lange wie möglich verschwiegen und als harmlos dargestellt.
Laut Medienberichten muss die Reiseplattform Bookin.com, wegen eines zu spät gemeldeten Sicherheitsvorfalls, ein DSGVO-Bußgeld in Höhe von 475.000 € zahlen. Das Unternehmen hatte einen Sicherheitsvorfall erst nach über 3 Wochen gemeldet, anstatt die zuständige Datenschutzbehörde innerhalb von 72 Stunden zu informieren.
Weiter berichteten die Medien über einen US-amerikanischen Netzwerkgerätehersteller, bei dem es im letzten Jahr zu einer Sicherheitslücke kam. Scheinbar hat das Unternehmen den Vorfall heruntergespielt, denn die Panne scheint auf einen Erpresser zurückzuführen und nicht wie vom Unternehmen bekannt gegebenen Drittanbieter. Momentan bleibt nur abzuwarten, welche Daten wirklich gestohlen wurden und der Netzwerkgerätehersteller mit dem Vorfall umgehen wird.
-ck-
Datenschutzbehörde erst nach 25 Tage informiert
Heise online - "Datenverlust zu spät gemeldet: Booking.com muss Strafe zahlen"
https://www.heise.de/news/Datenverlust-zu-spaet-gemeldet-Booking-com-muss-Strafe-zahlen-6004800.html
Verspätete Datenverlust – Meldung: Betroffene Kunden wurden erst nach 22 Tagen informiert
T-Online online - "Datenleck zu spät gemeldet: Booking.com muss Strafe zahlen"
https://www.t-online.de/digital/sicherheit/id_89777404/datenleck-zu-spaet-gemeldet-booking-com-muss-strafe-zahlen.html
Sicherheitslücke durch Drittanbieter oder Unternehmen selbst gehackt?
msn com - "Bekannter Netzwerk-Ausrüster laut Whistleblower von «katastrophalem» Vorfall betroffen"
https://www.msn.com/de-ch/finanzen/top-stories/bekannter-netzwerk-ausr-c3-bcster-laut-whistleblower-von-c2-abkatastrophalem-c2-bb-vorfall-betroffen/ar-BB1ffg37?ocid=BingNewsSearch
Unternehmen kann nicht beweisen oder widerlegen, worauf zugegriffen worden sei?
Golem online - "Sicherheitslücke: Datenleck bei Ubiquiti war deutlich umfassender"
https://www.golem.de/news/sicherheitsluecke-datenleck-bei-ubiquiti-war-deutlich-umfassender-2104-155440.html
Datenschutz im Unternehmen
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld jedes Unternehmens haben. Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – sensible Gesundheitsdaten, personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen.
Die Sicherheit sensibler Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch die Sensibilisierung aller Mitarbeiter und der Geschäftsleitung in Unternehmen - jeglicher Größe - durchgeführt wird.
-ck-
Sicherheitslücke vom IT-Kollektiv "Zernforschung" aufgedeckt
Radio Lokalfunk Dortmund online – "Datenpanne bei Dortmunder IT-Firma"
https://www.radio912.de/artikel/datenpanne-bei-dortmunder-it-firma-917248.html
Website mit Sicherheitslücke: Sensible Daten ungeschützt im Netz
Tagesschau online - "Tausende Menschen betroffen: Datenleck bei Corona-Tests"
https://www.tagesschau.de/investigativ/ndr/datenleck-corona-test-101.html
Logins ohne Erlaubnis weitergegeben
20Min.ch – "Daten von 800.000 Swisscom-Kunden wurden in Tunesien geklaut"
https://www.20min.ch/story/daten-von-800000-swisscom-kunden-wurden-in-tunesien-geklaut-552320307120
Irische Datenschutzbehörde untersuchen Facebook-Leak
BR 24 online – "Datensätze im Netz: Welche Gefahr geht vom Facebook-Leak aus?" https://www.br.de/nachrichten/netzwelt/datensaetze-im-netz-welche-gefahr-geht-vom-facebook-leak-aus,STnmX5q
Datensätze von Facebook-Nutzer im Netz
Süddeutsche Zeitung online - "Daten von 533 Millionen Facebook-Nutzern geleakt"
https://www.sueddeutsche.de/digital/facebook-sicherheitsluecke-leak-1.5254803
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Cyberkriminelle senden sms mit Code – Nicht weiterleiten!
Netzwelt online - "WhatsApp: Vorsicht vor dieser Nachricht vom technischen Support!"
https://www.netzwelt.de/news/187839-whatsapp-vorsicht-nachricht-technischen-support.html
2. Malware auf Smartphones anhand Kompromittierung des Update-Servers
Notebook check com - "Gigaset: Smartphones wurden vom Hersteller mit Malware beliefert"
https://www.notebookcheck.com/Gigaset-Smartphones-wurden-vom-Hersteller-mit-Malware-beliefert.531163.0.html
3. Infotainment-System auf Werkseinstellungen zurücksetzen
Berliner Zeitung online – "Fremdes Auto: Gekoppeltes Smartphone hinterlässt Spuren"
https://www.berliner-zeitung.de/zukunft-technologie/fremdes-auto-gekoppeltes-smartphone-hinterlaesst-spuren-li.151230
Ersetzendes Scannen: Mehr Rechtsicherheit für papierlose Archive
Im Zuge der fortschreitenden Digitalisierung von Dokumenten und Prozessen werden immer mehr elektronische Dokumentenmanagement – und Vorgangsbearbeitungssysteme angewendet. Damit Prozesse für das ersetzende Scannen rechtssicher gestaltet und umgesetzt werden können, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Handlungshilfe für TR-RESICCAN veröffentlicht. Auf seiner Webseite stellt das BSI weitere technische Richtlinien und Anwendungshilfen zur Absicherung von IT-Systemen und Einhaltung von IT-Sicherheitsstandards bereit.
-ck-
Umstieg auf elektronische Aktenführung
IT-Daily net - "Papierdokumente rechtssicher scannen"
https://www.it-daily.net/it-management/business-software/27951-papierdokumente-rechtssicher-scannen
Handlungshilfe zur Auswahl von Scan-Lösungen
BSI Bund online - "BSI TR-03138 Ersetzendes Scannen (RESISCAN)"
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03138/tr03138_node.html
IT-Sicherheitsstandards und veröffentlichte Richtlinien
BSI Bund online – "Publikationen: Technische Richtlinien"
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr-nach-thema-sortiert_node.html
Rechtskonforme Digitalisierung
LAN Line online - "Bundesdruckerei erhält BSI-Zertifizierung für ersetzendes Scannen: E-Akte soll Kosten und Platz sparen"
https://www.lanline.de/kommunikation/e-akte-soll-kosten-und-platz-sparen.252901.html
Die unterschätzte Art der Firmenspionage
Um an sensible Unternehmensdaten zu gelangen, zielen Cyberkriminelle zunehmend auf den App-Bereich ab, ein ideales Einfallstor für kriminelle Angriffe. Dieser gezielte Datendiebstahl auf sensiblen Informationen, wie zum Beispiel Finanz- und Geschäftsdaten stellt ein großes Problem für die meisten Firmen dar. Unternehmensnetze vieler Firmen sind in Gefahr, da die Bedrohung durch Malware per Anwendungen von den Unternehmen noch nicht als hoch eingestuft – erkannt wurde. Das fehlerhafte oder unsichere Software nicht nur die eigenen Daten, sondern auch die der Geschäftspartner und Kunden in Gefahr bringt, wird oft unterschätzt.
Die Sicherheit der sensiblen Daten sollte an erster Stelle stehen - die Installation der Apps wohlüberlegt - denn meist ist längst nicht erkennbar, inwiefern eines dieser Programme auf das Datenmaterial zugreift um nicht nur Benutzerdaten, sondern auch sensible Unternehmensinformationen abzugreifen. Gerade deshalb sollten die Sicherheitsrichtlinien jedes Unternehmens die Nutzung mobiler Endgeräte für Firmenzwecke von Anfang an in das unternehmensweite Sicherheitskonzept integrieren.
-ck-
IT-Sicherheit: MDM hilft Unternehmen und Organisationen
IT - Daily net - Mobile Device Management: So machen Sie Ihre Mobilgeräte sicher
https://www.it-daily.net/it-sicherheit/cloud-security/27978-mobile-device-management-so-machen-sie-ihre-mobilgeraete-sicher
Scam-Software so gestaltet wie offizielle Anwendung anhand "Bait-and-switch"-Strategie
Mac Tech News online - "Betrugssoftware im App Store: iPhone-Nutzer verliert über 600.000 Dollar – Apple reagiert"
https://www.mactechnews.de/news/article/Betrugssoftware-im-App-Store-iPhone-Nutzer-verliert-ueber-600-000-Dollar-Apple-reagiert-177338.html
Mehrheit der Apps enthält bekannte Sicherheitslücken
IT-Daily net - "Erhebliche Sicherheitslücken in beliebten mobilen Apps"
https://www.it-daily.net/it-sicherheit/cloud-security/27960-erhebliche-sicherheitsluecken-in-beliebten-mobilen-apps
Fernzugriff auf Nutzerdaten
Focus online - "Gefährliche Schadsoftware: Trojaner tarnt sich als Android-Update und gibt Angreifern Zugriff auf Ihre Daten"
https://www.focus.de/digital/handy/handyviren/gefaehrliche-schadsoftware-android-gefaehrliche-malware-tarnt-sich-als-update-das-muessen-nutzer-beachten_id_13144865.html
Mobile Endgeräte: Zunahme von Datenlecks
Kaspersky online - "Top 7 der mobilen Cyberbedrohungen: Smartphones, Tablets und mobile Internetgeräte – ein Ausblick"
https://www.kaspersky.de/resource-center/threats/top-seven-mobile-security-threats-smart-phones-tablets-and-mobile-internet-devices-what-the-future-has-in-store
Folgeangriffe nicht ausgeschlossen: Handlungsbedarf für Unternehmen
In den vergangenen Wochen informierte Microsoft über die gefährliche Sicherheitslücken in Microsoft Exchange (wir berichteten in der 10. KW 2021).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte eindringlich vor der Schwachstellen in Microsoft Exchange und hatte eine IT-Bedrohungslage 4/rot ausgerufen. Doch immer noch haben nicht alle Unternehmen und Institutionen bisher nicht gehandelt, ignorieren die Gefahr und werden wohl mittlerweile unbemerkt ausgespäht.
Laut Microsoft und BSI wurden bei 92 Prozent der anfälligen Server gepatcht, die restlichen Unternehmen haben nicht reagiert und diese Lücken geschlossen - ihre Rechnernetze stehen offen dar – wahrscheinlich sind diese auch schon von der Schadsoftware betroffen und Kriminelle nutzen die Lücke fleißig aus. Aufgrund der akuten Bedrohungslage haben die bayerischen Datenschutzaufsichtsbehörden eine Praxishilfe zu Microsoft Exchange Sicherheitslücken veröffentlicht.
Heinz Müller, der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern mit Sitz in Schwerin, weist darauf hin, dass immer noch nicht auf allen Servern die notwendigen Sicherheitsupdates eingespielt worden sind. Angreifer können in vielen Fällen sensible Daten abgreifen. Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne, so das BSI. "Diejenigen, die noch nicht gehandelt haben, verhalten sich grob fahrlässig", so der LfDI.
Sollte bereits ein Angriff stattgefunden haben und wurde ein Zugriff auf Daten festgestellt – das System kompromittiert, besteht eine Meldepflicht gegenüber der Datenschutzbehörde. Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche binnen 72 Stunden, nachdem die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Die Datenschutzbehörden in Bayern und Niedersachsen sehen eine Meldepflicht schon dann gegeben, wenn die bereitgestellten Sicherheitsupdates verspätet eingespielt werden.
-ck-
Akute Datenschutzrisiken: Nicht eingespielte Sicherheitsupdates in Servern
Schwerin Lokal online - "Schwerin: Landesdatenschützer warnt nochmals vor laufenden Hackerangriffen"
https://schwerin-lokal.de/schwerin-landesdatenschuetzer-warnt-nochmals-vor-laufenden-hackerangriffen/
Systemadministratoren müssen Maßnahmen ergreifen
Presse Box online - "Microsoft Exchange Server: Nach dem Angriff ist vor dem Angriff"
https://www.pressebox.de/pressemitteilung/8com-gmbh-co-kg-neustadt-an-der-weinstrasse/Microsoft-Exchange-Server-Nach-dem-Angriff-ist-vor-dem-Angriff/boxid/1052284
Wurm verbreitet sich selbständig
WinFurture online - "Vorsicht: Der wurmartige WannaCry-Trojaner feiert sein Comeback"
https://winfuture.de/news,122070.html
Bildungs- und Forschungsstätte im Visir von Cyberkriminellen
All About Security online - "Behörden schlagen Alarm"
https://www.all-about-security.de/news/behoerden-schlagen-alarm/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Digitale Schnitzeljagd zum Thema "sichere Passwörter"
Verbraucherzentrale Sachsen online - "Auf der Suche nach dem verlorenen Passwort: Die digitale Osterrallye"
https://www.verbraucherzentrale-sachsen.de/digitale-osterrallye
2. Smartphone-Betriebssysteme: Studie zu Umgang mit Nutzerdaten
Ars Technica com - "Big Data Collectors - Android sends 20x more data to Google than iOS sends to Apple, study says"
https://arstechnica.com/gadgets/2021/03/android-sends-20x-more-data-to-google-than-ios-sends-to-apple-study-says/
3. Sicherheitsmaßnahmen zum Schutz vor gezielter Werbung, unberechtigten Zugriffen sowie Datendiebstahl
Mac Life online - "Reichlich Privatsphäre und besserer Datenschutz Schluss mit Datendiebstahl: 9 Tricks für ein sicheres iPhone"
https://www.maclife.de/news/sicheres-iphone-tricks.html