Letzte Änderung: 15.11.2024
--------------------------------
Liebe Leser unserer Datenschutznachrichten
Vielen Dank für Ihr Interesse an unseren wöchentlichen Datenschutznachrichten!
In der Zeit vom 18.12.2023 - 12.01.2024 halten wir Betriebsklausur. Aus diesem Grund werden die Datenschutznachrichten in dieser Zeit nicht erscheinen. Das Redaktionsteam bedankt sich für Ihr Verständnis und freut sich darauf, Sie in der 03. Kalenderwoche 2024 wieder bei uns begrüßen zu dürfen.
Bemerkenswerte und unvergessliche Augenblicke in der Adventszeit und den Festtagen, viel Gesundheit Zufriedenheit und Erfolg für das kommende Jahr wünscht Ihnen
Ihr Redaktionsteam von Blossey & Partner Datenschutzberatung
--------------------------------
Datenschutz-Aufsichtsbehörden verhängen Sanktionen
Seit Einführung der anwendungspflichtigen DSGVO, ist die Liste aller Bußgelder und Strafen, die an Unternehmen von Datenschutzbehörden innerhalb der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt wurden, sukzessive gewachsen. Die unten aufgeführten Medienberichte über Datenschutz-Vorfälle und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Datenschutz-Sanktion: Britisches Verteidigungsministerium muss 408.000 Euro Geldstrafe zahlen, Mitarbeiter vom Dienst suspendiert
Spiegel online – "Geldstrafe gegen britisches Verteidigungsministerium wegen Afghanistan-Datenpanne"
https://www.focus.de/panorama/welt/in-der-hoehe-von-408-000-euro-geldstrafe-gegen-britisches-verteidigungsministerium-wegen-afghanistan-datenpanne_id_259493545.html
Bußgeld 1.706.994 Euro: Personenbezogene Daten nicht datenschutzkonform verarbeitet und technische und organisatorische Maßnahmen nicht eingehalten
Datatilsynet no – "Endelig tilsynsrapport" (pdf)
https://www.datatilsynet.no/contentassets/470d824962e949ccacdf776d425bc27d/endelig-tilsynsrapport.pdf
Bußgeld von 30.000 €: Keine ausreichende Information über die Datenverarbeitung und zu lange Datenspeicherung
Autoriteit Persoonsgegevens n – "Onderwerp: Besluit tot het opleggen van een bestuurlijke boete" (pdf)
https://autoriteitpersoonsgegevens.nl/uploads/2023-11/Boete%20Voorschoten%20afval.pdf
Täter im eigenen Unternehmen: Wirtschaftskriminalität und Spionage
In vielen Unternehmen, Behörden und Organisationen sind sensible Daten und Geschäftsinformationen anhand fehlerhaftem Zugriffs- und Berechtigungsmanagement unzureichend geschützt. Studien ergaben, dass in jedem zweiten Unternehmen herumgeschnüffelt und auf vertrauliche und sensible Informationen zugegriffen wird. Die Studien zeigen auch auf, dass selbst IT-Sicherheitsexperten anhand der privilegierten Zugriffsberechtigungen selbst auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, dass verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden. Mitarbeiter sollten anhand Zugriffsberechtigung nur auf solche Daten zugreifen können, die zur Erfüllung ihrer Aufgaben tatsächlich benötigt werden, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Damit ausscheidende Beschäftigte nicht weiterhin auf personenbezogene Daten und Geschäftsgeheimnisse des Unternehmens zugreifen können, müssen die Zugriffsrechte bei Austritt entzogen werden.
Gravierende Folgen, falls die Zugriffsrechte nicht korrekt vergeben wurden, sind in den unten aufgeführten Medienberichten dargestellt.
-ck-
Sensible Informationen über Beschäftigte landeten offenbar im Postfach einer ehemaligen Angestellten
Golem online – "Ex-Tesla-Mitarbeiterin erhält Gehaltsinfos von Kollegen"
https://www.golem.de/news/e-mail-ex-tesla-mitarbeiterin-erhaelt-gehaltsinfos-von-kollegen-2312-180352.html
IT-Spezialist benutzt nach Entlassung Firmenlaptop weiter
Heise online – "Zwei Jahre Haft: Entlassener Cloud-Admin sabotiert Ex-Arbeitgeber"
https://www.heise.de/news/Zwei-Jahre-Haft-Entlassener-Cloud-Admin-sabotiert-Ex-Arbeitgeber-9573371.html
"Wenn ein Verstoß eines einzelnen Mitarbeiters Ihr Netzwerk verletzt, machen Sie etwas falsch"
ars-Technica com - "No, Okta, senior management, not an errant employee, caused you to get hacked"
https://arstechnica.com/information-technology/2023/11/no-okta-senior-management-not-an-errant-employee-caused-you-to-get-hacked/
Fahrlässiger Umgang mit gebrauchten Datenträgern
Immer wieder gelangen hochsensible Daten in falsche Hände, wie wir fast täglich in einschlägigen Nachrichtendiensten lesen können. Als Beispiel: Fehlerquelle Mensch, welcher nicht mehr benötigte Festplatten, Drucker, Kopierer und auch Handys mit hochsensiblen Daten nicht korrekt oder gar nicht löscht. Wird die Hardware für den Eigengebrauch weiterverwendet spricht auch nichts dagegen, doch sobald diese verkauft oder verschenkt werden soll, sieht es anders aus. Denn auch auf bereits formatierten Festplatten können mit spezieller Software erstaunliche Funde ans Tageslicht gebracht werden.
Unternehmen, die ihre gebrauchte Hardware entsorgen möchten, können diese nicht einfach verkaufen, wegwerfen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten. Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung, kann nach der aktuellen DSGVO hohe Strafzahlungen nach sich ziehen. Deshalb erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen welche die sensiblen Unternehmensdaten schützen und um jegliche Art von Datenschutzvorfällen vorzubeugen.
-ck-
Mitarbeiter verwendet externe Festplatte aus dem Laden und stellt diese, ohne Löschung der Daten, wieder in den normalen Verkauf
BlueWin ch - "Sensible Daten eines 80-Jährigen: Fust-Kunde kauft neue Festplatte – und findet darauf Nacktfotos"
https://www.bluewin.ch/de/news/fust-kunde-kauft-neue-festplatte-und-findet-darauf-nack-fotos-2005145.html
Mitarbeiter verwendet Festplatte zur Datensicherung und verkauft diese ungelöscht weiter
Züri-Today ch – "Informatiker kauft Festplatte bei Fust – und findet Nacktbilder drauf"
https://www.zueritoday.ch/zuerich/stadt-zuerich/informatiker-kauft-festplatte-bei-fust-und-findet-nacktbilder-drauf-155731791
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Fehlerhaftes Update legt System lahm
PC-Tipp ch – "Windows-10- und Windows-11-PCs sind betroffen! - Avira-Update legt Windows-Systeme lahm"
https://www.pctipp.ch/news/software/avira-update-legt-windows-systeme-lahm-2900016.html
2. Bald keine neuen Drucker-Treiber per Windows Updates mehr
Chip online – "Aufgepasst beim Drucken: Microsoft ändert die Spielregeln für Windows-Nutzer"
https://www.chip.de/news/Aufgepasst-beim-Drucken-Microsoft-aendert-die-Spielregeln-fuer-Windows-Nutzer_184944980.html
3. Sicherheitswarnung: Schnellstens Webframework Apache Struts aktualisieren
Heise Security online – "Jetzt patchen! Attacken auf kritische Lücke in Apache Struts beobachtet"
https://www.heise.de/news/Jetzt-patchen-Attacken-auf-kritische-Luecke-in-Apache-Struts-beobachtet-9574299.html
4. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell
Liebe Leserinnen und Leser unserer Datenschutznachrichten
Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten. Entsprechende datenschutzrelevante Aspekte werden in den nächsten Datenschutznachrichten mit einbezogen. Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der 50. Kalenderwoche wieder bei uns begrüßen zu dürfen.
-ck-
----------------------
Social Engineering: Sicherheitsrisiko Mensch
Cyber-Kriminelle setzen verstärkt auf Social Engineering: Sie probieren sich Zugang zu hochsensiblen Informationen zu verschaffen, indem sie Mitarbeiter und Führungskräfte geschickt manipulieren. Sie geben sich als vermeintliche weisungsbefugte Vorgesetzte aus, setzen verstärkt auf CEO Fraud (Geschäftsführer Betrug) oder per oder Business Email Compromise (BEC), um an Unternehmens-Informationen oder an das Geld der Firmen zu gelangen.
Es gibt keine technische Möglichkeit, sich vor solchen Methoden zu schützen. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche immer ausgefeilten Methoden und Tricks zurzeit angewandt werden und somit achtsam mitwirken können.
-ck-
Kontinuierliche Aufklärung über die Mechanismen des Social Engineering
B2B Cyber Security online – "Cyberrisiko Social Engineering fordert Unternehmen"
https://b2b-cyber-security.de/cyberrisiko-social-engineering-fordert-unternehmen/
Unternehmen sind zu besonderer Wachsamkeit aufgerufen
NRWZ online – "IHK warnt vor betrügerischen Mails: Phishing-Kampagne greift gezielt Mitgliedsunternehmen der IHK Schwarzwald-Baar-Heuberg an"
https://www.nrwz.de/wirtschaft/ihk-warnt-vor-betruegerischen-mails/432287
Unternehmensinhaber: Ein attraktives Ziel
B2B Cyber Security online – "Führungskräfte: schlechteres Bewusstsein für Cybersicherheit"
https://b2b-cyber-security.de/fuehrungskraefte-bewusstsein-fuer-cybersicherheit-waechst/
Handlungsempfehlungen für den Fall eines IT-Notfalls
Eine erfolgreiche Cyber-Attacke kann enorme Schäden anrichten, wenn die IT stillsteht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte dazu eine IT-Notfallkarte "Verhalten bei IT-Notfällen" veröffentlicht. Das Hinweisschild soll Mitarbeitern Verhaltensweisen bei IT-Notfällen, sowie eine individuelle Notfall-Rufnummer als Unterstützung und schnelles Handeln aufzeigen. Es ist wichtig, diese Informationen auch den Mitarbeitern zu Verfügung zu stellen, die außerhalb des Unternehmens arbeiten. Auch das BSI hat einen Maßnahmenkatalog zum Notfallmanagement – Fous IT-Notfälle – mit realisierbaren IT-Sicherheitsmaßnahmen zum Schutz von Unternehmensdaten herausgegeben. Nachfolgenden Medienberichte belegen eine Reihe erfolgreicher Ransomware - Attacken aus der letzten Woche. Um das Bewusstsein für Cyberrisiken zu stärken, ist die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, eine unverzichtbare Präventionsmaßnahmen in jedem Unternehmen.
-ck-
IT-Ausfall: Für den Ernstfall vorbereiten
BSI-Bund online – "Technische Richtlinien: Liste der Technische Richtlinien und Anhänge aufgelistet nach Änderungsdatum"
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/Liste-TR-nach-Aenderungsdatum/traenderungen_node.html
Richtig handeln bei IT-Notfällen
Bundesamt für Sicherheit in der Informationstechnik online – "Maßnahmenkatalog zum Notfallmanagement - Fokus IT-Notfälle"
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/Massnahmenkatalog/massnahmenkatalog_node.html
Ransomware-Gruppe versteigert die gestohlenen sensiblen Daten
Heise online – "London: Ransomware-Gruppe Rhysida wohl im Besitz von Patientendaten"
https://www.heise.de/news/London-Ransomware-Gruppe-Rhysidia-droht-Krankenhausdaten-zu-versteigern-9545660.html
Cyberangriff auf Städte und Gemeinden
SWR online – "Cyberkriminelle legen Rathäuser lahm: Staatsanwaltschaft ermittelt: Hacker-Angriff auf elf Kommunen im Kreis Neu-Ulm"
https://www.swr.de/swraktuell/baden-wuerttemberg/ulm/hackerangriff-cyberangriff-neu-ulm-elf-kommunen-roggenburg-100.html
Identitätsdiebstahl: Missbrauch personenbezogener Daten
In der Regel nutzen Dritte persönliche Informationen von anderen Personen zur Bereicherung und somit häufig zum Nachteil des Betroffenen. Ein Täter kann sich mit dem Datensatz im Rechtsverkehr identifizieren, um zum Beispiel ein Konto zu eröffnen oder Bestellungen aufzugeben. Dadurch nimmt er die Identität des Betroffenen an. Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit- und Kostenaufwendig, sondern auch Rufschädigend.
Die Sicherheit von Verbrauchern, die online Dienste nutzen, sollte von den Behörden, Firmen und weiteren Organisationen gewährleistet werden, um das Grundvertrauen in das jeweilige Unternehmen zu stärken. Doch noch immer besteht dringender Handlungsbedarf für die Einführung geeigneter Schutzmaßnahmen.
-ck-
Täter stehlen Jobsuchenden ihre Identitäten
Netz-Trends online – "Jobs.ch mit Warnung vor Job Scamming - Gefälschte Stellenangebote in den sozialen Medien"
https://www.netz-trends.de/id/4912802/Jobsch-mit-Warnung-vor-Job-Scamming---Gefalschte-Stellenangebote-in-den-sozialen-Medien/
Dringende Warnung vor unseriösen Anzeigen
Amtsgericht Bielefeld nwr online – "Warnung vor gefälschten Stellenanzeigen"
https://www.ag-bielefeld.nrw.de/beh_toppmeldungen/Warnhinweis-Job-Scamming/index.php
Schnelle Reaktion und weitere Schadensbegrenzung
Westdeutsche Zeitung – "Sparsam mit Daten : Identitätsdiebstahl: Legen Sie Betrügern 7 Steine in den Weg"
https://www.wz.de/digital/identitaetsdiebstahl-legen-sie-betruegern-7-steine-in-den-weg_aid-102275983
Identitätsdiebstahl mit Hilfe von Fake-Accounts
Katholisch online - "Falsche Profile: Forderten zu Geldzahlungen an vermeintliche Stiftungen auf: Bischof Oster warnt vor Fake-Accounts unter seinem Namen"
https://www.katholisch.de/artikel/48952-bischof-oster-warnt-vor-fake-accounts-unter-seinem-namen
Derzeitige Warnungen
eb-Webdesingn online – "Phishing I Aktuelle Warnungen vor Identitätsdiebstahl"
https://ebblogs.de/allgemein/phishing-warnungen-infos/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Google Drive-Dateien plötzlich verschwunden
Chip online - "Fotos und Daten plötzlich weg: Nutzer klagen über Datenverlust bei Google Drive"
https://www.chip.de/news/Probleme-bei-Google-Drive-Nutzer-klagen-ueber-Verlust-von-Fotos-und-Daten_185046923.html
2. iPhone-Update iOS 17.1.1: Bug friert Bildschirm ein
Future Zone – "Phone-Update: Neue iOS-Version verursacht schwere Fehlfunktion"
https://www.futurezone.de/produkte/article507438/iphone-update-neue-ios-version-verursacht-schwere-fehlfunktion.html
3. Clear-Fake-Kampagne bringt Trojaner Atomic Stealer auf Mac-Computer
t3n online – "Auch Macs betroffen: Trojaner will mit Fake-Updates an deine Daten"
https://t3n.de/news/macs-trojaner-fake-update-daten-atomic-stealer-1592622/
4. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell