Letzte Änderung: 15.11.2024

Datenschutz - Nachrichten 34. Kalenderwoche 2023

.

LfDI Rheinland-Pfalz zieht Bilanz der vergangenen Monate
In dieser Woche präsentierten Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, und seine Stellvertreterin Dr. Daniela Franke die spannendsten Datenschutzvorfälle aus den Jahren 2022 und 2023. Zum Beispiel: Meldung einer kuriosen Videoüberwachung durch eine Nachbarkatze, die mit einer Videokamera (Animal Cams - für das Tragen am Halsband) ausgestattet und vom Fensterbrett aus, das gegenüberliegende Wohnzimmer eines Bürgers ausspähte.
Oder die Panne mit den Informationen über bevorstehende Preiserhöhungen der Stadtwerke Speyer. Diese wurden in einem Waldstück, verpackt in einem Müllsack, gefunden. Viele Tausend weitere nicht zugestellten Info-Briefe der Stadtwerke wurden in einem privaten Kellerraum entdeckt. Insgesamt machten 10.000 nicht zugestellte Briefe die Preiserhöhungen des örtlichen Gas- und Stromversorgers unmöglich. Dies führte zu weitreichenden Konsequenzen: Die Stadtwerke mussten ihre geplante Preiserhöhungen zurücknehmen und den entstandenen wirtschaftlichen Schaden übernehmen.
Des Weiteren wurden von Spaziergänger in einem Gebüsch bei Andernach interne Unterlagen aus einem Bewerbungsverfahren einer öffentlichen Stelle gefunden. Das Amt konnten jedoch den Verlust der Unterlagen nicht erklären. In diesem Fall wurde eine förmliche Beanstandung des LfDI ausgesprochen.
-ck-

"Best of Datenschutz" vorgestellt
Datenschutz RLP online – "Pressegespräch: Best of Datenschutz –Spannende Datenschutzfälle aus 2022 und 2023"
https://www.datenschutz.rlp.de/fileadmin/lfdi/Bilder_News/Handout_PK_Best_of_Datenschutz.pdf

Spektakuläre Fälle für den LfDI Rheinland-Pfalz
Tagesschau online – "Besondere Datenschutzfälle in RLP: ChatGPT, Handy-Blitzer und Hacker-Angriff"
https://www.tagesschau.de/inland/regional/rheinlandpfalz/swr-besondere-datenschutzfaelle-in-rlp-chatgpt-handy-blitzer-und-hacker-angriff-100.html


Microsoft warnt vor massiven Social Engineering-Angriffen
Cyber-Kriminelle setzen verstärkt auf Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie Mitarbeiter geschickt manipulieren. Sie geben sich als vermeintlich weisungsbefugte Vorgesetzte aus und setzen verstärkt auf CEO Fraud (Geschäftsführer Betrug) oder per oder Business E-Mail Compromise (BEC), um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen. Social Engineering ist seit einigen Jahren eine zunehmende Bedrohung für viele Unternehmen, nicht zuletzt, da menschliches Fehlverhalten das größte Sicherheitsrisiko für Unternehmen darstellt.
Aktuell warnt Microsoft vor sehr gezielten Social Engineering-Angriffen auf Microsoft Teams. Cyber-Kriminelle versuchen unter anderem, über Phishing an die Anmeldedaten von Nutzern zu gelangen. Dies ermöglicht es den Hackern, sich auf lokale Umgebungen oder in Microsoft 365 - Ressourcen anzumelden.
Bereits im Juni 2023 entdeckten Sicherheitsexperten der Firma Jumptec eine Sicherheitslücke in Teams, durch die Angreifer auf Anmeldedaten von Nutzern zugreifen konnten. Es gibt keine technischen Möglichkeiten, sich vor solchen Methoden zu schützen. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind und wissen, welche immer ausgefeilten Methoden und Tricks derzeit angewendet werden und somit achtsam mitwirken können.
-ck-

KMU und Behörden werden von Hacker-Gruppen über Microsoft Teams angegriffen
IT-Security-Insider online – "Microsoft warnt vor massiven Social-Engineering-Angriffen Hackerangriffe auf Microsoft Teams"
https://www.security-insider.de/hackerangriffe-auf-microsoft-teams-a-41095ff746cd55e1523bce5de20e7604/

Verantwortliche im Unternehmen sensibilisieren
Difue online - "Interview mit Sandra Balz von TISiM: "Social Engineering: "Irgendwer fällt immer drauf rein""
https://difue.de/news/gefahrenschutz/social-engineering-irgendwer-faellt-drauf-rein/

Unentdeckt in der Microsoft-Cloud
FAZ net - "Cybersicherheit : Wie Microsoft einen Daten-GAU vertuscht"
https://www.faz.net/aktuell/technik-motor/wie-microsoft-einen-daten-gau-vertuscht-chinesische-hacker-in-der-cloud-19116033.html


Behörden warnen vor gefälschten Zahlungsaufforderungen
Derzeit werden offiziell wirkende Anschreiben, die das Wappen des jeweiligen Bundeslandes tragen, an Unternehmen versandt. Die Anschreiben sind nicht nur glaubwürdig, sondern enthalten auch die korrekten Daten, wie zum Beispiel das Veröffentlichungsdatum, das zuständige Amtsgericht oder die Handelsregisternummer des Unternehmens. Die entsprechenden Informationen können über das Handelsregister oder vergleichbare Portale abgerufen werden. Die Eintragung eines neuen Rechtsträgers auf derartigen Seiten erfolgt in der Regel über das Amtsgericht. Betrüger nutzen diese Möglichkeit aus, um gefälschte Rechnungen zeitnah nach einer dortigen Veröffentlichung zu versenden.
Diese Rechnungen wirken auf den ersten Blick absolut authentisch, doch solche oder ähnliche Mails und Briefe und Rechnungen stammen nicht von den Behörden. Laden Sie auf keinen Fall eine Datei herunter, füllen Sie nicht leichtfertig Formulare aus und antworten Sie nicht auf solche Mails. Mitarbeiter sollten auf Gefahrenquellen hingewiesen werden, um ihr Sicherheitsbewusstsein und –Verhalten zu stärken.
-ck-

Falsche Rechnungen beinhalten sensiblen Informationen
Justizportal des Bundes und der Länder online – "Wichtiger Hinweis"
https://justiz.de/onlinedienste/index.php#hinweis

Gefälschte Rechnungen an Firmen-Ansprechpartner
Fränkischer online – "+++ Vorsicht vor Internetbetrügern! – speziell für Firmengründer bei Handelsregistereintragungen +++"
https://fraenkischer.de/vorsicht-vor-internetbetruegern-speziell-fuer-firmengruender-bei-handelsregistereintragungen/



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Patches bislang noch nicht für alle betroffenen Versionen bereit gestellt
BSI online – "Proof-of-Concept Exploit veröffentlicht für Schwachstellen in Juniper Firewalls und Switches"
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-258036-1032.pdf?__blob=publicationFile&v=3

2. Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle

3. Aufzählungen der Warnungen von aktuellen Betrugsmaschen
GMX net – "Aktuelle Betrugsmaschen: Phishing-Angriff auf Kunden der Commerzbank"
https://www.gmx.net/magazine/ratgeber/finanzen-verbraucher/aktuelle-betrugsmaschen-commerzbank-fokus-phishing-mails-kuendigen-unterhaltsamen-vorgang-34288658

4. Kriminelle nutzen Google Ads um Nutzer auf schadhafte Webseiten zu locken
Chip online – "Wer Google nutzt, sollte bei diesen Suchergebnissen besonders aufpassen
https://www.chip.de/news/Wer-Google-nutzt-sollte-bei-diesen-Suchergebnissen-besonders-aufpassen_184915792.html


− − − − − −

Liebe Leser unserer Datenschutznachrichten
Unser Redaktionsteam nimmt eine kurze Auszeit. In der 38. Kalenderwoche gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie wieder bei uns begrüßen zu dürfen.
-ck-

− − − − − −


Datenschutz - Nachrichten 33. Kalenderwoche 2023

.

Einheitlicher Rechtsrahmen zur verantwortungsvollen Digitalisierung
Das EU-Parlament hat sich am 14. Juni 2023 auf eine Position zur Regulierung über künstliche Intelligenz geeinigt. Die Abgeordneten des Europäischen Parlaments haben den EU AI Act (Artificial Intelligence Act) verabschiedet, welcher in den nächsten Monaten mit allen Mitgliedstaaten und der EU-Kommission weiter verhandelt werden muss und daher noch Anpassungen erfordert.
Laut dem Bundesdatenschutzbeauftragten Prof. Ulrich Kleber ist die Umsetzung der DSGVO im Zusammenhang mit der künstlichen Intelligenz eine große Herausforderung. Es bedarf strengere Regeln, um Daten eindeutig pseudonymisieren oder anonymisieren zu können, so die Medienberichte.
-ck-

Herausforderung Künstliche Intelligenz
Spiegel online – "Bundesdatenschutzbeauftragter will klare Regeln: Was ChatGPT alles NICHT wissen soll"
https://www.spiegel.de/netzwelt/netzpolitik/was-chatgpt-alles-nicht-wissen-soll-a-5b0737ba-dfa4-4936-ae3d-90f5c5674e4c

Suche nach geeigneten Richtlinien für KI-Systeme
Spektrum online – "KI-Regulierung: Wie Staaten weltweit KI in Schach halten wollen"
https://www.spektrum.de/news/wie-nationen-vorhaben-kuenstliche-intelligenz-in-schach-zu-halten/2171376

Welche Regeln sollen für die künstliche Intelligenz gelten?
Spektrum online – "KI-Regulierung: Was sollen künstliche Intelligenzen dürfen?"
https://www.spektrum.de/news/ki-regulierung-was-soll-kuenstliche-intelligenz-duerfen/2165157

Sensible und persönliche Daten sollten nicht in den entsprechenden Dienste eingegeben werden
Security-Insider online – "ChatGPT im Unternehmenseinsatz Lässt sich ChatGPT datenschutzgerecht nutzen?"
https://www.security-insider.de/laesst-sich-chatgpt-datenschutzgerecht-nutzen-a-8db9b6e37c1762d7135dd06c5e61b6bf/

Voice Cloning: KI-gesteuerte Stimmenimitation
Duisburg Polizei NRW online - "Schockanrufe im Zeitalter künstlicher Intelligenz"
https://duisburg.polizei.nrw/schockanruf20

Gefahrlose Nutzung von Künstlicher Intelligenz möglich?
Handelsblatt com – "KI-Chatbot Drogeriemarkt dm führt eigenes ChatGPT ein"
https://www.handelsblatt.com/unternehmen/handel-konsumgueter/ki-chatbot-drogeriemarkt-dm-fuehrt-eigenes-chatgpt-ein/29340604.html


Schwachstellen bei der Identitäts- und Zugriffsverwaltung
In vielen Unternehmen, Behörden und Organisationen sind sensible Daten und Geschäftsinformationen anhand fehlerhaftem Zugriffs- und Berechtigungsmanagement unzureichend geschützt. Studien ergaben, dass in jedem zweiten Unternehmen herumgeschnüffelt und auf vertrauliche und sensible Informationen zugegriffen wird. Die Studien zeigen auch auf, dass selbst IT-Sicherheitsexperten anhand der privilegierten Zugriffsberechtigungen selbst auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, dass verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden. Mitarbeiter sollten anhand Zugriffsberechtigung nur auf solche Daten zugreifen können, die zur Erfüllung ihrer Aufgaben tatsächlich benötigt werden, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Damit ausscheidende Beschäftigte nicht weiterhin auf personenbezogene Daten und Geschäftsgeheimnisse des Unternehmens zugreifen können, müssen die Zugriffsrechte bei Austritt entzogen werden.
-ck-

100 GByte internen Unternehmensdaten an die Redaktion des Handelsblatts weitergegeben
Golem online – "Datenleck bei Tesla war ein Insider-Job"
https://www.golem.de/news/tesla-files-datenleck-bei-tesla-war-ein-insider-job-2308-176958.html

Je größer der Kreis mit Zugangsrechte, desto höher das Missbrauchsrisiko
Netzpolitik org – "Tausende Landesangestellte mit Berechtigung: Zugriffe auf Meldedaten werden kaum kontrolliert"
https://netzpolitik.org/2023/tausende-landesangestellte-mit-berechtigung-zugriffe-auf-meldedaten-werden-kaum-kontrolliert/

Unrechtmäßig angeeignete Daten
Datenschutz-Praxis online – "Was Sie über das Ausspähen von Daten wissen sollten"
https://www.datenschutz-praxis.de/grundlagen/wer-ohne-erlaubnis-des-betroffenen-daten-ausspaeht-macht-sich-strafbar/


Regelmäßige Datenschutz-Schulungen sensibilisiert Mitarbeiter und Geschäftsleitung
Der Mensch ist die größte Schwachstelle im Unternehmen. Gefahren drohen ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen zu schnell und unüberlegt freigeben, noch schnell einen Empfänger in eine E-Mail hinzufügen oder ohne Prüfung einen E-Mail-Anhang öffnen. Ein Klick und schon ist die Datenpanne passiert, oder noch schlimmer, das Computersystem des gesamten Unternehmens wird mit Schadsoftware verseucht.
Derzeit werden vermehrt betrügerische E-Mails mit schädlichen Links versandt, die die User zu Malware oder Phishing-Webseiten führen. Die unten aufgeführten Medienberichte geben einen Einblick in die Möglichkeiten von Betrugsversuchen. Zur Stärkung des Bewusstseins für Cyberrisiken ist die professionelle und nachhaltige Mitarbeiter-Sensibilisierung durch ihren Datenschutzbeauftragten eine unverzichtbare Präventionsmaßnahme in jedem Unternehmen.
-ck-

Gefälschte Anwalts-Mails
Die Glocke online – "Unechte E-Mails eines echten Rechtsanwalts im Umlauf"
https://www.die-glocke.de/kreis-warendorf/warendorf/artikel/unechte-e-mails-eines-echten-rechtsanwalts-im-umlauf-1692623883?bo_pwl=1&cHash=8d0c759e4542ebf50634c63e00cb2046

Verlust sensibler Daten: Bewusstsein für Datensicherheit schärfen
Presseportal online – "Cyberrisiko, Datensicherheit und Wissenslücken: wie Unternehmer sich schützen können"
https://www.presseportal.de/pm/107805/5577404

Gefälschte E-Mails: Landeskriminalamt Niedersachsen warnt
Chip online – "Polizei warnt: Kriminelle versenden falsche Steuermails"
https://www.chip.de/news/Polizei-warnt-Kriminelle-versenden-falsche-Steuermails_184915613.html

Phishing-Mails an Bankkunden
Chip online – "Gefahr für Commerzbank-Kunden: Verbraucherzentrale warnt vor "ungewöhnlichem" Betrug"
https://www.chip.de/news/Neue-Betrugsmasche-bedroht-Commerzbank-Kunden_184914960.html


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Sicherheitshinweise für WinRAR Bug
Heise online – "Alert: WinRAR-Lücke weitreichender als gedacht"
https://www.heise.de/news/WinRAR-Luecke-weitreichender-als-gedacht-9283622.html

2. Forscher finden Sicherheitslücken in smarten Glühbirnen
Chip online – "Damit rechnet niemand: Schwachstelle in Glühbirnen verrät Ihr WLAN-Passwort"
https://www.chip.de/news/Damit-rechnet-niemand-Schwachstelle-in-Gluehbirnen-verraet-WLAN-Passwort_184916011.html

3. Aufzählungen der Warnungen von aktuellen Betrugsmaschen
GMX online – "Aktuelle Betrugsmaschen: Phishing-Angriff auf Kunden der Commerzbank"
https://www.gmx.net/magazine/ratgeber/finanzen-verbraucher/aktuelle-betrugsmaschen-phishing-angriff-kunden-commerzbank-34288658


Datenschutz - Nachrichten 32. Kalenderwoche 2023

.

DSGVO - Verstöße und ihre Folgen
Die Auswirkungen von mangelhaftem Datenschutz sind nahezu täglich zu sehen, insbesondere aufgrund zahlreicher Berichte über Datenschutzverletzungen und der bereits verhängten Sanktionen gemäß EU Datenschutz-Grundverordnung (DSGVO) Seitdem die DSGVO in Kraft getreten ist, kann ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
Die unten aufgeführten Medienberichte zeigen, wie große Konzerne und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – personenbezogene Gesundheit - und Kundendaten, nicht an die Öffentlichkeit gelangen.
Die Sicherheit personenbezogener Daten hängt nicht nur von den technischen Sicherheitsvorkehrungen ab, sondern auch von der professionellen und nachhaltigen Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten. Diese ist ein wichtiger Bestandteil der Präventionsmaßnahmen in jedem Unternehmen.
-ck-

Updates aufgespielt ohne Sicherheitseinstellungen zu kontrollieren
Zollernalbkreis: "Panne im Landratsamt: Welche Daten vom Leck betroffen sind und was Betroffene tun können"
https://www.zak.de/Nachrichten/Panne-im-Landratsamt-Welche-Daten-vom-Leck-betroffen-sind-und-was-Betroffene-tun-koennen-157623.html

Hochsensible Daten von Verbrechensopfern, Tatverdächtige und Zeugen versehentlich preisgegeben
N-TV online – "Freedom of Information Request Datenpanne: Englische Polizei gibt Infos zu Verbrechensopfern heraus"
https://www.n-tv.de/ticker/Datenpanne-Englische-Polizei-gibt-Infos-zu-Verbrechensopfern-heraus-article24327339.html

Name, Dienstgrad und Einsatzort von 10.000 Polizeibeschäftigten weitergegeben
ZDF online – "Nordirland: Datenpanne bei der Polizei"
https://www.zdf.de/nachrichten/heute-in-europa/nordirland-datenpanne-bei-der-polizei-100.html

Aufsichtsbehörden und ihre Sanktionen
Heise online – "Datenschutz-Strafen: DSGVO-Bußgelder überschreiten 4 Milliarden Euro"
https://www.heise.de/news/Datenschutz-Strafen-DSGVO-Bussgelder-ueberschreiten-4-Milliarden-Euro-9242298.html

Vertraulichkeit sämtlicher Unternehmensdaten bedroht
IT-Service Network online – "Passwort-Diebstahl durch Lücke in AMD-Prozessoren möglich"
https://it-service.network/blog/2023/08/14/schwachstelle-inception-amd/


Datenschutz bei ortsungebundenen Arbeiten
Schutzmaßnahmen für Geräte wie Smartphone oder Laptop, die mit auf die Reise gehen, muss oberste Priorität haben. Es sollte nur die Hardware mitgenommen werden, die dringend benötigt wird, da Diebe von teuren Laptops und Handys magisch angezogen werden. Nicht nur der materielle Verlust, sondern auch die sensiblen Daten gehen bei Diebstahl verloren. Bei mitgeführten Geräten ist es wichtig, diese vor Fremdzugriff zu schützen. Dies kann sowohl per Passwort oder PIN-Eingabe erfolgen. Drahtlose Schnittstellen wie zum Beispiel Infrarot oder Bluetooth sollten nach Gebrauch sofort wieder deaktiviert werden.
Bei Einreise in vielen Ländern sind die Kontrollen elektronischer Geräte, insbesondere von Laptops, durch den Zoll und andere Einreisebehörden streng geregelt. Doch Behörden haben nicht nur das Recht, Handy- oder Laptop und sonstige Datenträger zu untersuchen, sondern können diese auch beschlagnahmen - Gründe müssen sie nicht nennen. Möglichkeiten sich dagegen zu wehren sind sehr gering. Weitere Informationen zur Datensicherheit im Urlaub finden Sie auf unserer Seite unter: Blossey beobachtet.
-ck-

Datenschutz auf Geschäftsreisen
ASW-Bundesverband online – "Leitblatt: Informationsschutz auf Reisen"(pdf)
https://asw-bundesverband.de/wp-content/uploads/Leitblatt_Informationsschutz-auf-Reisen.pdf

Datenschutzrisiken im Urlaubsland
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg online – "Ab in den Urlaub – aber sicher!"
https://www.baden-wuerttemberg.datenschutz.de/ab-in-den-urlaub-aber-sicher/

Reisetipps für digitale Technik
IT-Daily net – "Datensicherheit unterwegs – 7 Tipps für Geschäftsreisende und Urlauber"
https://www.it-daily.net/it-sicherheit/mobile-security/datensicherheit-unterwegs-7-tipps-fuer-geschaeftsreisende-und-urlauber

Elektronische Datenträger können durchsucht und Daten zwecks Überprüfung einbehalten werden
BMeiA gv.at – "Reiseinformation: Vereinigte Staaten"
https://www.bmeia.gv.at/suche/?L=0&id=17&tx_solr%5Bq%5D=Elektronische+Datentr%C3%A4ger+wie+Laptops%2C+Notebooks


Phishing-Angriffe im Arbeitsalltag
Zu einem der größten Einfallstore für Schädlinge gehören immer noch die E-Mails. Per Phishing - Mails versuchen Online-Kriminelle unerfahrenen Usern einen Trojaner unterzujubeln. Wird eine gefälschte PDF-Datei im Zip-Archiv des Anhangs geöffnet, befällt die Malware das System. Diese Schadsoftware verschlüsselt nicht - sondern zerstört sämtliche Daten der Festplatte. Unter Umständen sind sämtliche Unternehmensdaten weg. Die Gefahren von klassischen Daten - Diebstahl und die Möglichkeit den Rechner mit Viren, Trojanern und weiteren Computer-Schädlingen Beispiel Malware, zu infizieren, sind groß.
Mitarbeiter sollten im Rahmen eines Security-Awareness-Trainings rund um die Computersicherheit im Unternehmen geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden.
-ck-

Sicherheitsrisiko Mensch
Security-Insider online – "Von Sensibilisierungsmaßnahmen zur Sicherheitskultur Security Awareness mit Herz und Verstand"
https://www.security-insider.de/security-awareness-mit-herz-und-verstand-a-cfbe26bc47b3037c278dd5a578d594a2/

Cyber-Resilienz hängt auch von den Mitarbeitern ab
Csoonline com - "Schwachstelle E-Mail: "Phishing bleibt Haupteinfallstor für Hacker""
https://www.csoonline.com/de/a/phishing-bleibt-haupteinfallstor-fuer-hacker,3681047

Studie: Phishing-Bedrohungsbericht 2023
Cloudflare com –"Introducing Cloudflare's 2023 phishing threats report"
https://blog.cloudflare.com/2023-phishing-report/

Erst überlegen dann handeln
MimiKama org – "Identitätsdiebstahl per Klick: Vom falschen Bundesadler und vermeintlichen Behördenmails. Phishing!"
https://www.mimikama.org/identitatsdiebstahl-phishing/

Microsoft Sharepoint wird von Hackern missbraucht
Finanznachrichten online – "Phishing über Microsoft Share Point"
https://www.finanznachrichten.de/nachrichten-2023-08/59831984-phishing-ueber-microsoft-sharepoint-007.htm



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Monate altes Problem: Behebung einer Sicherheitslücke im Kernel
Chip online – "Nach Sicherheitsupdate: Sicherheitslücken bei Windows"
https://www.chip.de/news/Microsoft-Probleme-durch-eigenes-Windows-Update-hervorgerufen_184907457.html

2.. Aktuelle Warnungen und Maßnahmen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html

 


Datenschutz - Nachrichten 31. Kalenderwoche 2023

.

Pflichten beim E-Mail-Versand im Geschäftsverkehr
Mangelhafte Sicherheitsmaßnahmen bei der Versendung von geschäftlicher E-Mails können Schadenersatzansprüche auslösen, so hat das Oberlandesgericht (OLG) Karlsruhe am 27.07.2023 (Urteil 19 U 83/22) entschieden. Verschlüsselungstechniken sind nicht verpflichtend, so die gerichtliche Entscheidung.
-ck-

Sicherheitsmaßnahmen sind nicht verpflichtend
Heise online – "Urteil: Kunde muss zahlen, wenn er auf E-Mail mit gefälschter Rechnung reinfällt"
https://www.heise.de/news/Urteil-Kunde-muss-zahlen-wenn-er-auf-E-Mail-mit-gefaelschter-Rechnung-reinfaellt-9235755.html

Keine Verletzung der IT-Sicherheitspflichten
LR-BW Juris online – "OLG Karlsruhe Urteil vom 27.7.2023, 19 U 83/22: Zur Frage, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind"
https://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&Art=en&sid=42ea6b1714829a55844773c4c5210494&nr=39004&pos=0&anz=1


Sicherheitsdefizite in der kritischen Infrastruktur
Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen, die für das staatliche Gemeinwesen von großer Bedeutung sind. Darunter zählen Unternehmen in den Bereichen Gefahrstoffe, Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheitsversorgung, Wasser, Ernährung und Finanz- und Versicherungswesen.
Bei Ausfall oder Beeinträchtigung kritischer Infrastrukturen können erhebliche Störungen wie Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen entstehen.
-ck-

Löschfahrzeuge des Militärs und Wasserwerfer der Polizei auf der ganzen Welt betroffen
ZDF online – "Sicherheitslücke in Tracker-App: Wenn Hacker die Feuerwehr orten können"
https://www.zdf.de/nachrichten/wirtschaft/daten-hacker-feuerwehr-app-rosenbauer-100.html

Cybersicherheit: Zwei Richtlinien für mehr Cyber-Sicherheit verabschiedet
IT-Finanzmagazin online – "Neue EU-Richtlinie NIS2: Cyber-Sicherheit muss zur Chefsache werden"
https://www.it-finanzmagazin.de/cyber-sicherheit-chefsache-156372/

Bundesregierung will physischen Schutz sowie die IT-Sicherheit vereinheitlichen
TAZ online – "Gesetzentwurf für kritische Infrastruktur: Kritis kriegen Schutzpanzer"
https://taz.de/Gesetzentwurf-fuer-kritische-Infrastruktur/!5944966/


Ernstes Problem: Cyberkriminalität
Die Angriffe auf Computersysteme haben in den letzten Jahren an Häufigkeit und Intensität deutlich zugenommen. Themen wie Basisschutz der Hard- und Software stehen in allen Unternehmen an der Tagesordnung, um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen.
Erfolgreiche Angriffe auf die IT-Systeme nicht nur einen herben Datenverlust zur Folge. Die unten aufgeführten Medienberichte zeigen, dass erfolgreiche Angriffe auf die IT-Systeme nicht nur einen herben Datenverlust zur Folge haben, sondern auch zu einem wirtschaftlichen Stillstand führen können. Viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können. Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen.
-ck-

Unbekannten hatten ca. 14 Monate Zugriff auf personenbezogene Daten
Heise online – "Über ein Jahr im System: Daten zu 40 Millionen britischen Wählern kompromittiert"
https://www.heise.de/news/Exchange-als-Einfallstor-Daten-zu-40-Millionen-britischen-Waehlern-einsehbar-9240071.html

Kontaktdaten von Firmen- und Privatpersonen öffentlich auf der Homepage einsehbar
Badische Zeitung online – "Datenpanne beim Studierendenwerk Freiburg: Persönliche Daten waren öffentlich einsehbar"
https://www.badische-zeitung.de/datenpanne-beim-studierendenwerk-persoenliche-daten-waren-oeffentlich-einsehbar--279078641.html

Rat nach Hackerangriff: Kontoauszüge regelmäßig überprüfen
Abendzeitung München online - "Hacker erpressen Münchner Verlagsgruppe: "Wir verhandeln nicht mit Kriminellen"
https://www.abendzeitung-muenchen.de/muenchen/hacker-angriff-auf-verlag-in-muenchen-den-schaden-koennen-wir-noch-nicht-beziffern-art-920272

Ab der 33. KW 2013: Personalisierte Werbung kostet Meta 90.000 Euro Strafe pro Tag
Heise online – "Datenschutzverletzung: Meta muss in Norwegen täglich Strafe zahlen"
https://www.heise.de/news/Datenschutzverletzung-Meta-muss-in-Norwegen-Millionen-Strafe-zahlen-9237864.html



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Schwachstelle anhand Speicheroptimierungsfunktionen
Der Standard online – "IT-Security: Schwere Sicherheitslücke bei Intel-Prozessoren entdeckt"
https://www.derstandard.de/story/3000000182531/schwere-sicherheitsluecke-bei-intel-prozessoren-entdeckt

2. Fehlgeschlagene Updates beeinträchtigen Systeme
Tecchannel online – "Absturz-Probleme: Microsoft zieht Sicherheits-Update zurück"
https://www.tecchannel.de/a/microsoft-zieht-sicherheits-update-zurueck,2067409

3. Support eingestellt: Aufstellung betroffener Intel-Prozessoren
Chip online – "Windows 11: Microsoft stellt Support für etliche Prozessoren ein"
https://www.chip.de/news/Windows-11-Microsoft-stellt-Support-fuer-etliche-Prozessoren-ein_184900211.html

 


Datenschutz - Nachrichten 30. Kalenderwoche 2023

.

Datenschutz-Aufsichtsbehörden verhängen Bußgeld
Seit Einführung der anwendungspflichtigen DSGVO, hat sich die Liste aller Bußgelder und Strafen, die an Unternehmen von den Datenschutzbehörden innerhalb der EU im Rahmen der allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt wurden, stetig erweitert. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-

Tabellarische Übersicht mit äußerst sensible Gesundheitsdaten über Beschäftigte
Onlinehändler News online – "Berliner Datenschutzbeauftragte: 215.000 Euro Bußgeld wegen Liste über Probezeit-Beschäftigte"
https://www.onlinehaendler-news.de/e-recht/rechtsfragen/138589-215-000-euro-bussgeld-liste-probezeit-beschaeftigte

Millionen-Bußgeld: Technischen Schutzmaßnahmen beim Einsatz von Google Analytics nicht ausreichend
IMY se – "Four companies must stop using Google Analytics"
https://www.imy.se/en/news/four-companies-must-stop-using-google-analytics/

Mitarbeiterüberwachung per Videoüberwachungssystem mit Ton und GPS
GPDP It – "IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI"
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9913830

1.000.000 Euro Bußgeld: DSGVO-Fehler bei Bestimmung der Verantwortlichkeit
GPDP It – "Il Garante per la protezione dei dati personali"
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9909702


Fahrlässiger Umgang mit ausrangierter Hardware
Unternehmen, die ihre gebrauchte Hardware entsorgen möchten, können diese nicht einfach verkaufen, wegwerfen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen (TOM), zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten. Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung, kann nach der Datenschutz-Grundverordnung (DSGVO) hohe Strafzahlungen nach sich ziehen.
Momentan warnt das Unternehmen Canon vor einer Schwachstelle in zahlreichen seiner Druckermodelle. Verschiedene Druckermodelle löschen im Rahmen des Initialisierungsprozesses nicht die gespeicherten WLAN-Verbindungsinformationen, so die Warnung des Herstellers. Bei Reparatur, Verkauf oder Entsorgung der ausrangierten Geräten, können Unbefugte somit an die gespeicherte WLAN-Daten wie Passwörter gelangen.
Das Unternehmen hat eine Aufstellung der betroffenen Druckermodelle veröffentlicht.
-ck-

Canon-Warnung: Einige Drucker legen sensible Netzwerkdaten offen
Future Zone online – "Canon-Drucker: Vor diesen Modellen warnt jetzt selbst der Hersteller"
https://www.futurezone.de/digital-life/article477818/canon-drucker-vor-diesen-modellen-warnt-jetzt-selbst-der-hersteller.html

Testergebnis ausrangierte Router: Über 56 % der getesteten Geräte enthielten Konfigurationsdetails und Daten der früheren Besitzer
ZDNET online – "Ausgemusterte Unternehmensrouter verraten Firmengeheimnisse"
https://www.zdnet.de/88408526/ausgemusterte-unternehmensrouter-verraten-firmengeheimnisse/


Herausforderung mobiles Arbeiten
Der Bundesverband der Deutschen Industrie e.V. Bitkom, hat auf seiner Homepage den Leitfaden "Remote Work aus dem Ausland“ und weitere hilfreichen Ratgeber mit praktischen Hilfestellungen veröffentlicht, um eigene Regelungen für das Mobiles und hybrides Arbeiten rechtssicher zu entwickeln. Häufige Fragen zum Thema Datenschutz und IT-Sicherheit werden zusammen mit Lösungsmöglichkeiten vorgestellt.
-ck-

Datenschutz bei Telearbeit : Schutz vor Cyber-Bedrohungen
Deutscher Presseindex Online – "Auch bei Remote Work ist ein umfänglicher Schutz gegen Hackerangriffe machbar"
https://www.deutscherpresseindex.de/2023/08/02/auch-bei-remote-work-ist-ein-umfaenglicher-schutz-gegen-hackerangriffe-machbar/

Praxishilfe für Mitarbeiter
Bitkom org – "Remote Work aus dem Ausland" (pdf)
https://www.bitkom.org/sites/main/files/2023-01/230127LFRemote-Work-aus-dem-Auslandv3.pdf

Lösungen für ungenutzte Möglichkeiten von Remote-Work-Konzepten
Mittelstand Digital online – "Remote Work Themenheft Mittelstand-Digital (PDF ist barrierefrei)"
https://www.mittelstand-digital.de/MD/Redaktion/DE/Publikationen/Themenheft/themenheft-remote-work.html

Praxisleitfaden zu hybriden oder ganz mobilen Arbeitsmodellen
Bitkom org - "Mobiles und hybrides Arbeiten: Arbeiten in und nach der Corona-Pandemie"
https://www.bitkom.org/sites/main/files/2021-03/210309_lf_mobiles-hybrides-arbeiten.pdf


Zunehmend Cyberangriffe
Die unten aufgeführten Medienberichte zeigen: Erfolgreiche Angriffe auf die IT-Systeme haben nicht nur einen herben Datenverlust zur Folge: Geschäftsaktivitäten kommen zum Stillstand, doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können.
-ck-

Cyberkriminalität: Firmenserver und Backup verschlüsselt
Radio Trausnitz online – "Hacker legen Firma aus dem Landkreis Landshut lahm"
https://www.radio-trausnitz.de/hacker-legen-firma-aus-dem-landkreis-landshut-lahm-265041/

Wechseldatenträger mit Wurm infiziert
Golem online – "Isolierte Systeme in Gefahr: Malware stiehlt Daten von Rechnern ohne Internet"
https://www.golem.de/news/isolierte-systeme-in-gefahr-malware-stiehlt-daten-von-rechnern-ohne-internet-2308-176382.html

Schäden von 202,7 Milliarden Euro im vergangenen Jahr
Frankfurter Rundschau online – "Hackerangriffe auf deutsche Unternehmen: Bedingt abwehrbereit"
https://www.fr.de/wirtschaft/cyberkriminalitaet-bedingt-abwehrbereit-92435634.html

Microsoft Warnung vor Midnight Blizzard
Heise online – "Kriminelle Hacker haben es auf Teams abgesehen – Microsoft warnt"
https://www.heise.de/news/Midnight-Blizzard-Microsoft-warnt-vor-Hackern-die-Anmeldedaten-erbeuten-wollen-9233919.html

Tätigkeitsbericht über Entwicklungen und Fragen des Datenschutzes
Nach und nach wurden und werden die Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz für das Jahr 2022 veröffentlicht.
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Herr Dr. Lutz Hasse, präsentierte Ende Juli 2023 seinen "5. Tätigkeitsbericht zum Datenschutz DS-GVO" für das Jahr 2022 und seinen "3. Tätigkeitsbericht zum Thüringer Transparenzgesetz".
Im aktuellen Berichtszeitraum (2022) der Behörde sind ca. 20.600 Datenschutzvorfälle eingegangen, ungefähr so viele wie im Vorjahr. Insgesamt wurden 55 Bußgeldbescheide erlassen und 112 Bußgeldverfahren eingeleitet. Zusammenfassend wurden im vergangenen Jahr Bußgelder von rund 31.000 Euro verhängt , hauptsächlich wegen unbefugter Videoüberwachung.
-ck-

Verstöße gegen den Datenschutz in Thüringen
TLfDI online – "5. Tätigkeitsbericht zum Datenschutz nach der DS-GVO"
https://www.tlfdi.de/fileadmin/tlfdi/Infothek/Taetigkeitsberichte/5._Taetigkeitsbericht_2022.pdf

"Spannende Einzelfälle sowie interessante Entscheidungen der Gerichte zum Nachlesen"
TLfDI online – "3. Tätigkeitsbericht zum Thüringer Transparenzgesetz
https://www.tlfdi.de/fileadmin/tlfdi/info/taetigkeitsberichte_if_ab_2020/3._Taetigkeitsbericht_2022.pdf

"Zentralarchiv für Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz - ZAfTDa"
Stiftung Datenschutz online – "Tätigkeitsbericht Bundesländer"
https://www.zaftda.de/tb-bundeslaender



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

 

1. Support ausgelaufen - es gibt kein Sicherheitsupdate
Heise online - "Alert! - Upgrade nötig: Kritische Lücke bedroht ältere MobileIron-Ausgaben von Ivanti"
https://www.heise.de/news/Upgrade-noetig-Kritische-Luecke-bedroht-aeltere-MobileIron-Ausgaben-von-Ivanti-9233587.html

2. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle