Letzte Änderung: 15.11.2024
Hessischer Datenschutzbeauftragter in den Ruhestand verabschiedet
Am vergangenen Donnerstag wurde der hessische Landesbeauftragte für den Datenschutz, Professor Dr. Michael Ronellenfitsch, im Landtag in Wiesbaden in den Ruhestand verabschiedet worden. Er hatte das Amt des obersten hessischen Datenschützers seit dem Jahr 2003 ausgeübt. Corona bedingt wurde die Abschiedsfeier digital im Internet gezeigt. Professor Dr. Michael Ronellenfitsch war seit mehr als 17 Jahren hessischer Datenschutzbeauftragter und damit der Dienstälteste in Deutschland, so eine Sprecherin.
Sein Nachfolger, der Kasseler Juraprofessor Alexander Roßnagel, tritt sein Amt im März an. Er gilt als Experte für Datenschutz in der digitalen Welt, so die Medienberichte.
-ck-
Verabschiedung in den wohlverdienten Ruhestand
Zeit online - "Datenschützer Ronellenfitsch in Ruhestand verabschiedet"
https://www.zeit.de/news/2021-02/25/datenschutzbeauftragter-ronellenfitsch-geht-in-ruhestand?utm_referrer=https%3A%2F%2Fwww.google.com%2F
Biografie: Prof. Dr. Michael Ronellenfitsch
Datenschutz Hessen online – "Der Hessische Beauftragte für Datenschutz und Informationsfreiheit: Prof. Dr. Michael Ronellenfitsch"
https://datenschutz.hessen.de/ueber-uns/biografie-der-hessische-datenschutzbeauftragte
Datenleck per Überwachungskamera
Laut Medienberichten musste ein Überwachungskamerasystem für Kindergärten in Großbritannien abgeschaltet werden. Ein schweres Datenleck in dem System gefährdete die Vertraulichkeit der Daten und legte die Kontoinformationen wie zum Beispiel Klarnamen, Nutzernamen, E-Mail-Adresse und Passwort der teilnehmenden Eltern offen. Die Betroffenen wurden informiert und die Server abgeschaltet. Immerhin nutzen das Überwachungskamerasystem 40 Kindergärten in Großbritannien.
Die britische Datenschutz-Aufsichtsbehörde (Information Commissioner's Office, ICO) wurde über den Vorfall informiert. Laut Medienberichten war die Sicherheit des Kamerasystems schon seit 2015 scheinbar nicht gegeben. Anhand zugehöriger Mobil-App konnte sich jeder per Administratorenzugriff als Nutzer anmelden. Diese Lücke aus dem Jahr 2015 wurde später durch das Unternehmen geschlossen. Jetzt bleibt abzuwarten, wie die britische Datenschutz-Aufsichtsbehörde, Information Commissioner's Office, das Datenleck bewertet.
-ck-
Data leak webcam
BBC com - "Parents alerted to NurseryCam security breach"
https://www.bbc.com/news/technology-56141093
White-Hat-Hacker weist auf Sicherheitslücke in Überwachungskameras hin
Behörden Spiegel online - "Datenpanne bei Überwachungssystem"
https://www.behoerden-spiegel.de/2021/02/24/datenpanne-bei-ueberwachungssystem/
Sicherheits-Schwächen in der kritischen Infrastruktur
Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen - die Bevölkerung. Darunter zählen Unternehmen in den Bereichen Gefahrenstoffe, Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheitsversorgung, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen.
-ck-
US-Behörde für Cyber- und Infrastruktursicherheit (Cisa) stuft Hackerangriff als ernste Gefahr für die kritische Infrastruktur ein
Computerworld online - "USA bei Aufarbeitung des Hackerangriffs noch am Anfang"
https://www.computerworld.ch/security/hacking/usa-aufarbeitung-hackerangriffs-am-anfang-2635748.html
Energieversorger zunehmend ins Fadenkreuz der Cyberkriminalität
Ener Gate Messenger online – "Cybersicherheit: "Zunehmende Vernetzung macht Versorger angreifbarer""
https://www.energate-messenger.de/news/209888/-zunehmende-vernetzung-macht-versorger-angreifbarer-
Hochsensible Gesundheitsdaten von ca. dreißig medizinischen Medizinlabors veröffentlicht
Heise online – "Frankreich: Medizinische Daten von 500.000 Personen im Netz"
https://www.heise.de/news/Frankreich-Medizinische-Daten-von-500-000-Personen-im-Netz-5065985.html
IT-Sicherheits-Dienstleister entdeckt über 500.000 französische Krankenhausunterlagen im Darkweb
Behörden – Spiegel online - "Krankenhäuser immer häufiger von Cyber-Angriffen betroffen"
https://www.behoerden-spiegel.de/2021/02/25/krankenhaeuser-immer-haeufiger-von-cyber-angriffen-betroffen/
Wirtschaftskriminalität und Spionage
Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe. Oftmals sind Geschäftsinformationen in IT-Systemen unzureichend durch Zugriffs- und Berechtigungsmanagement geschützt und die Gefahr von Datenklau zum Beispiel per E-Mail, USB-Stick oder Handy wird selten ernst genommen, was ein erhebliches Sicherheitsrisiko darstellt. Der Diebstahl von unternehmerischem Know-how, Datendiebstahl, Verletzung von Betriebsgeheimnissen, ist auch von Tätern im eigenen Unternehmen zu finden.
Wie zum Beispiel der kürzlich bekannt gewordene Datendiebstahl eines Mitarbeiters von einer für das Parlament tätigen Firma. Statt nur die gesetzlich vorgeschriebenen Überprüfungen von elektrischen Geräten in den Liegschaften des Bundestags vorzunehmen, zog der Mann auch sensible PDF – Dateien mit den Grundrissen der Liegenschaften des Bundestages auf einen Datenträger. Laut Medienberichten schickte er die sensiblen Daten an einem Mitarbeiter in der russischen Botschaft in Berlin, der hauptamtlich für den Militärgeheimdienst GRU tätig ist. Wegen dem Spionageverdacht ermittelt nun die Bundesstaatsanwaltschaft.
-ck-
Bundestagsdaten kopiert und weitergegeben
Tagesschau online - "Weitergabe von Bundestags-Grundrissen: Deutscher wegen mutmaßlicher Spionage angeklagt
https://www.tagesschau.de/inland/innenpolitik/anklage-spionage-103.html
Statt Hardware zu prüfen – sensible Daten kopiert
Spiegel online – "Grundrisse des Bundestags weitergegeben: Mutmaßlicher Russland-Spion soll Stasi-IM gewesen sein"
https://www.spiegel.de/politik/deutschland/spionage-fuer-russland-im-bundestag-verdaechtiger-soll-stasi-im-gewesen-sein-a-b7cea002-81b3-4e55-b199-8437814e1716
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Scheinbar kann es zu Mailverlusten kommen
Heise online - "Störung: T-Online schränkt Gmail-Zustellung ein"
https://www.heise.de/news/Stoerung-t-online-schraenkt-Gmail-Zustellung-ein-5062588.html
2. Schadsoftware "Silver Sparrow" in Zehntausenden Macs entdeckt
Mac Tech News online - "Geheimnisvolle Malware befällt Tausende von Macs – Absichten der Angreifer sind noch unklar"
https://www.mactechnews.de/news/article/Geheimnisvolle-Malware-befaellt-Tausende-von-Macs-Absichten-der-Angreifer-sind-noch-unklar-177080.html
3. Keine Datensicherung durch manipulierte Datenträger
T-Online online - "Fakes erkennen: Vorsicht vor gefälschten USB-Sticks und SD-Karten"
https://www.t-online.de/digital/hardware/id_89540116/fake-hardware-vorsicht-vor-gefaelschten-usb-sticks-und-sd-karten.html
Verwendung von Videokonferenzsysteme: Rechtslage beachten
Weit verbreitete Videokonferenzsysteme wie zum Beispiel Skype, Microsoft Teams, Zoom, Cisco Web EX usw. können von Unternehmen, Behörden und weiteren Organisationen nicht so ohne Weiteres verwendet werden. Diese einschlägigen Dienste von US-Anbietern sollten vor ihrem Einsatz sorgfältig geprüft werden, gerade nachdem der Europäische Gerichtshof (EUGH) den transatlantischen Privacy Shield für ungültig erklärt hat. Zusätzliche Maßnahmen sind im Hinblick bei festgestellten Defiziten erforderlich, notfalls müsse der Transfer unterbleiben, so die Datenschutzbeauftragten von Bund und Ländern.
Maja Smoltczyk, die Landesbeauftragte für den Datenschutz in Berlin, rät nach einem wiederholten Test von führenden Videokonferenzsystemen wie zum Beispiel Skype, Microsoft Teams, Zoom usw. ab. Laut Medienberichten lägen bei diesen Systemen Mängel vor, welche eine rechtskonforme Nutzung nicht ermöglichen.
-ck-
Neuer Prüfbericht von Videodienstsystemen
Handelsblatt com - "Microsoft Teams, Zoom, WebEx: Berliner Behörde warnt vor gängigen Videosystemen"
https://www.handelsblatt.com/politik/deutschland/datenschutz-microsoft-teams-zoom-webex-berliner-behoerde-warnt-vor-gaengigen-videosystemen/26929216.html?ticket=ST-1190449-EwpvewG5tgccmLRpYWh2-ap3
In vielen Fällen keine ausreichende Verbesserung der Systeme
Datenschutz Berlin online – "Mehr Ampeln auf Grün"
https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen#c116
Aufsichtsbehörden verhängen mehr Sanktionen: Telemarketing nicht datenschutzkonform durchgeführt Telefonwerbung ist seitdem im Sommer 2009 in Kraft getretenen Gesetz (§ 7 Abs. 2 Nr. 2 UWG) nur noch bei ausdrücklicher vorheriger Einwilligung durch den Verbraucher zulässig. Die Verschärfung der Regelungen schließt auch Werbeanrufe von Telefoncomputern und Anrufe mit unterdrückter Telefonnummer mit ein. Als zuständige Regulierungsbehörde teilte die Bundesnetzagentur eine Nachbesserung des Gesetzes im Jahr 2013 mit, das Unternehmen für unerlaubte Telefonwerbung (nach § 20 UWG) höhere Bußgelder von bis zu 300.000 € zu erwarten haben und nicht mehr wie bisher 50.000 €. Seit Inkrafttreten der Datenschutzgrundverordnung können Datenschutzaufsichtsbehörden ein Bußgeld bis zu 20 Millionen Euro oder 4% des weltweiten Jahresgesamtumsatzes auferlegen, wenn zu Werbezwecken unerlaubt personenbezogene Daten verarbeitet werden.
Laut Medienberichten hat in dieser Woche die Bundesnetzagentur gegen ein Call-Center eine Geldbuße in Hohe von 260.000 € verhängt. Das betroffene Telefonberatungszentrum hatte im Auftrag von Unternehmen aus der Telekommunikations-, Energie- und Versicherungsbranche Werbeanrufe durchgeführt. Scheinbar wurden die Werbeeinwilligungen der angerufenen Verbraucher gar nicht oder nur ungenügend geprüft. Auch nachdem sich zahlreiche Verbraucher über die Werbeanrufe beschwerten, wurden die Kontaktaufnahme fortgesetzt. Bisher wurde in einem Fall auch wegen rechtswidrigen Werbeanrufen gegen die beauftragenden Unternehmen, ein hohes Bußgeld verhängt. Die Sanktion gegen das Call-Center ist noch nicht rechtskräftig. Eine gerichtliche Entscheidung ist nach Einspruch des Unternehmens, noch offen.
-ck-
Call-Center führte unerlaubt Telefonwerbung ohne Werbeeinwilligungen durch
Bundesnetzagentur online - "Bußgeld gegen Call-Center wegen unerlaubter Telefonwerbung"
https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2021/20210217_UnerlaubteTelefonwerbung.html?nn=265778
Meldung unerlaubter Telefonwerbung
Bundesnetzagentur online – "Beschwerde einreichen"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/UEW/beschwerde/start.html
Datenschutz - Sanktionen
Seit Einführung der anwendungspflichtigen DSGVO (25. Mai 2008), ist die Liste aller Bußgelder und Strafen, die an Firmen von Datenschutzbehörden innerhalb der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt wurden, sukzessive gewachsen.
Laut einer Umfrage des Handelsblatts unter den Datenschutzbeauftragten des Bundes und der Länder, wurden mehr Datenpannen registriert und ca. 301 Sanktionen verhängt. Insgesamt wurden Bußgelder in Höhe von rund 48 Millionen Euro im vergangen Jahr verhängt, so die Medienbericht.
-ck-
Drastischer Anstieg von Datenpannen und Bußgelder
Golem online - "DSGVO-Verstöße: Datenschützer verhängen deutlich mehr Bußgelder"
https://www.golem.de/news/dsgvo-verstoesse-datenschuetzer-verhaengen-deutlich-mehr-bussgelder-2102-154205.html
Bußgeld wegen mangelhafter Datenschutz- Informationen
Internet World Security online – "Italienische Kartellbehörde – Datenschutz: Millionen-Strafe gegen Facebook"
https://www.internetworld.de/security/datenschutz/datenschutz-millionen-strafe-facebook-2634445.html
Steigende Cyberkriminalität
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Ein Grund für die rasante Verbreitung von Cyberkriminalität ist immer noch die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht oder öffnen unbedarft Anhänge von Spam-Mails. Die Folgen sind nicht unerheblich. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können.
Hilfreiche Informationen zum datenschutzrechtlichen Umgang mit Schadcode-Vorkommen sind zum Beispiel auf der Homepage des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) zu finden.
-ck-
Ransomware RYUK – Alle Daten verschlüsselt – Wiederherstellung unmöglich
Förde News online – "Cyberkriminalität: Breit angelegter Hacker-Angriff auf die Mürwiker-Gruppe"
https://www.foerde.news/news/cyberkriminalitaet-breit-angelegter-hacker-angriff-auf-die-muerwiker-gruppe.html
Systeme verschlüsselt und Daten kopiert?
Silicon online - "20 Millionen Dollar Lösegeld: Kia Motors America erleidet angeblich Ransomware-Angriff"
https://www.silicon.de/41682809/20-millionen-dollar-loesegeld-kia-motors-america-erleidet-angeblich-ransomware-angriff
Informationshilfe zur Einhaltung gesetzlicher Anforderungen
BayLDA online - "Informationen zum datenschutzrechtlichen Umgang mit Schadcode-Vorkommen bei Verantwortlichen"
https://www.lda.bayern.de/de/thema_schadcode.html
Gebrauchte Datenträger und die vertraulichen Daten vom Vorbesitzer
Unternehmen die ihre gebrauchte Hardware wie Festplatten, Drucker, Kopierer oder Handys entsorgen möchten, können diese nicht einfach wegwerfen, verkaufen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten. Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung, kann nach der aktuellen DSGVO hohe Strafzahlungen nach sich ziehen. Deshalb erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen welche die sensiblen Unternehmensdaten schützen und um jegliche Art von Datenschutzvorfällen vorzubeugen.
-ck-
Gebrauchte Hardware: Persönliche Daten nicht gelöscht
IT-Daily net - "Unfreiwillig entblößt: Login-Daten, Ausweisdokumente auf gebraucht-gekauften Geräten"
https://www.it-daily.net/it-sicherheit/mobile-security/26954-login-daten-ausweisdokumente-auf-gebraucht-gekauften-geraeten
Nicht aktualisierte IT-Sicherheitsrichtlinien und die Gefahr von Compliance-Verstößen
All-About-Security online - "Studie: Aufschieben der Datenlöschung von Altgeräten führt in rund zwei Drittel der Unternehmen in Deutschland zu einer Gefährdung sensibler Daten"
https://www.all-about-security.de/studie-aufschieben-der-datenloeschung-von-altgeraeten-fuehrt-in-rund-zwei-drittel-der-unternehmen-in-deutschland-zu-einer-gefaehrdung-sensibler-daten/
Datenlöschrichtlinien im Unternehmen richtig umsetzen
Storage-Insider online - "Daten richtig speichern – und richtig löschen: Altgeräte beherbergen Unmengen persönlicher Daten"
https://www.storage-insider.de/altgeraete-beherbergen-unmengen-persoenlicher-daten-a-993362/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Updatefehler bei Windows 10: Kontoanmeldung nicht möglich
Computer Bild online - "Keine Anmeldung beim Konto möglich: Neues Update lässt Daten verschwinden"
https://www.computerbild.de/artikel/cb-News-Windows-10-Keine-Anmeldung-beim-Konto-moeglich-25329789.html
2. Cyberkriminelle fluten App-Stores mit potenziell gefährlichen Anwendungen
Süddeutsche online – "Scanner-Apps können Malware enthalten"
https://www.sueddeutsche.de/wissen/technik-scanner-apps-koennen-malware-enthalten-dpa.urn-newsml-dpa-com-20090101-210217-99-480834
3. Patch entfernt Software aus System – scheinbar im Edge und anderen Browsern nicht
PC-Welt online – "Zwangsupdate entfernt Flash Player"
https://www.pcwelt.de/news/Windows-10-Zwangsupdate-entfernt-Flash-Player-10979606.html
Wirtschaftskriminalität durch eigene Mitarbeiter
Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe. Oftmals sind Geschäftsinformationen in IT-Systemen unzureichend durch Zugriffs- und Berechtigungsmanagement geschützt und die Gefahr von Datenklau zum Beispiel per E-Mail, USB-Stick oder Handy wird selten ernst genommen, was ein erhebliches Sicherheitsrisiko darstellt.
Der Diebstahl von unternehmerischem Know-how, Datendiebstahl, Verletzung von Betriebsgeheimnissen, ist auch von Tätern im eigenen Unternehmen zu finden.
Wie zum Beispiel der kürzlich bekannt gewordene interne Datendiebstahl eines ehemaligen Mitarbeiters. Laut Medienberichten soll ein Ingenieur Geschäftsgeheimnisse auf zwei USB-Laufwerke geladen haben, bevor er zu einem anderen Unternehmen wechselte. Die sensiblen Unternehmens - Informationen seines vorherigen Arbeitgebers brachte er zu seinem neuen Arbeitsplatz mit. Als er die Datenträger in den Firmen - Notebook seines neuen Arbeitgebers anschloss, war sein illegales Handeln durch die Techniker des Unternehmens aufgeflogen.
Mitarbeiter sollten ausschließlich nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
-ck-
Datendiebstahl anhand eigenen Mitarbeiters
Win Future online – "Schnapsidee: Ex-Intel-Mitarbeiter bringt Daten zu neuem Microsoft – Job"
https://winfuture.de/news,121140.html
Beispiele für Innentäterschaft
Computerwoche online - "Mitarbeiter, die zu Innentätern wurden"
https://www.computerwoche.de/a/mitarbeiter-die-zu-innentaetern-wurden,3544625
Ohne Zugriffsberechtigung Patientendaten auf einen USB-Stick geladen und die so gespeicherten Daten verloren
BNN online - "Patientendaten auf USB-Stick: In Ulmer Uniklinik kommt es zur Datenpanne"
https://bnn.de/nachrichten/baden-wuerttemberg/in-ulmer-uniklinik-kommt-es-zur-datenpanne
Kritische Infrastruktur erfolgreich angegriffen
Laut Medienberichten hatten Cyberkriminelle im US-Bundesstaat Florida versucht, das Wasser im öffentlichen Versorgungsnetzwerk zu vergiften. Der erfolgreiche Angriff gelang über einen TeamViewer-Fernwartungszugang. Sie erlangten Zugriff auf die Steuerungssysteme und erhöhten die Zufuhr des voreingestellten Natriumhydroxids – Wert auf das Hundertfache der üblichen Menge.
Ein IT-Spezialist der Wasserwerke hat den Cyberangriff noch vor Auslösung des Wassernetz - Sicherheitsalarms bemerkt und abgewehrt. Die Bundespolizei FBI und der nationale Sicherheitsdienst Secret Service wurden eingeschaltet.
Zum Schutz der kritischen Infrastrukturen (KRITS) wie zum Beispiel Kraft – und Wasserwerke, Katastrophenschutz, Produktionsanlagen usw. hatte die Bundesregierung das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind.
-ck-
Cyberkriminelle versuchen Leitungswasser zu vergiften
Spiegel online – "Cyberangriff auf Versorgungsnetz: Hacker wollte Wasser in Florida vergiften"
https://www.spiegel.de/netzwelt/florida-hacker-greift-oeffentliche-wasserversorgung-an-a-696425a7-5ea4-4b7a-9c69-38016e09a5ae
Hacker erlangen Zugriff über TeamViewer App Computer im Netzwerk der Wasseraufbereitungsanlage
ZDNet online - "FBI warnt vor Windows 7 und TeamViewer"
https://www.zdnet.de/88393353/fbi-warnt-vor-windows-7-und-teamviewer/
Computersystem des städtischen Wasserwerks in Florida gehackt
IT-Administrator – "Hacker versuchen Trinkwasser zu vergiften"
https://www.it-administrator.de/themen/sicherheit/345650.html
Erhebliche Defizite beim Schutz vor Cyberangriffen
Deutschlandfunk online - "Cyberkriminalität: Chaos Computer Club sieht auch Wasserwerke in Deutschland gefährdet"
https://www.deutschlandfunk.de/cyberkriminalitaet-chaos-computer-club-sieht-auch.1939.de.html?drn:news_id=1225609
Bedrohung Ransomware
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit in allen Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen.
Ransomware, diese Schadprogramme verschlüsseln die kompletten Daten und geben diese eventuell nach Zahlung eines Lösegeldes wieder frei. Die Zahl der Ransomware – Infektionen steigt rasant und Behörden, Krankenhäuser, Unternehmen oder wie jetzt der erfolgreiche Cyberangriff auf eine Spielefirma, dessen Daten (Code) mittlerweile schon im Internet zum Kauf in Höhe von 7 Millionen Dollar angeboten werden. Viele Unternehmen sind geneigt auf die Forderungen der Kriminellen einzugehen, Sicherheitsexperten raten davon ab. Anhand der zunehmenden IT-Sicherheitsvorfälle mit Verschlüsselungs-Trojaner hatte der BSI ein Themenpapier (pdf) mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht.
-ck-
Zugriff auf Daten und Systeme einschränken
Security Insider online - "Security-Insider Deep Dive zu Sophos Intercept X Advanced with EDR Ransomware-Attacken erkennen und abwehren"
https://www.security-insider.de/ransomware-attacken-erkennen-und-abwehren-a-994068/
Erfolgreicher Cyber-Angriff: Ransomware verschlüsselt Festplatten im internen Netzwerk
Spiegel online – "Hackerangriff auf Spielefirma: Die Macher von "Cyberpunk 2077" werden erpresst"
https://www.spiegel.de/netzwelt/games/cyberpunk-2077-entwicklerstudio-cd-projekt-wird-erpresst-a-caa91111-a4f0-4df7-80d2-af3c0b7310ea
"SIM-Swapping"-Angriffe: Zugriff und Kontrolle von Mobiltelefonen
WiWo online - "Europol: Handyhacker sollen 100 Millionen Dollar an Kryptowährung erbeutet haben"
https://www.wiwo.de/finanzen/boerse/europol-handyhacker-sollen-100-millionen-dollar-an-kryptowaehrung-erbeutet-haben/26903040.html
IT-Grundschutz als Maßstab
Um ein Mindestniveau an IT-Sicherheit zu erreichen, müssen eine Reihe von sorgfältig geplanten technischen und organisatorischen Maßnahmen umgesetzt werden. Die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellen den meistgenutzten Standard in Deutschland für die Informationssicherheit in Behörden und Unternehmen da.
Das BSI hat eine neue Edition des IT-Grundschutz-Kompendiums mit 97 IT-Grundschutz-Bausteinen veröffentlicht, diese löst damit die Edition 2020 ab. In der neuen Edition 2021 wurden mehrere Bausteine überarbeitet und die IT-Grundschutz-Bausteine CON.10 Entwicklung von Web-Anwendungen und INF.11 Allgemeines Fahrzeug neu hinzugefügt. Auf der Internetpräsenz des BSI stehen die überarbeitete Version des IT-Grundschutz und weitere Veröffentlichungen zum kostenlosen Download bereit.
-ck-
Zwei neue Bausteine im neuen IT-Grundschutz-Kompendium
Heise online - "IT-Grundschutz-Kompendium: Web-Anwendungs- und Fahrzeug-IT-Sicherheit"
https://www.heise.de/news/Neues-IT-Grundschutz-Kompendium-Web-Anwendungs-und-Fahrzeug-IT-Sicherheit-5051743.html
Schutzbedarf: Maßnahmen mit Umsetzungshinweisen
BSI – Bund online - "IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit Edition 2021"
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Sicherheitsforscher warnen vor Barcode-Scanner-App
Techbook online – "10 Millionen Mal heruntergeladen: Sofort löschen! Beliebte Android-App installiert Schadsoftware per Update"
https://www.techbook.de/mobile/android/barcode-scanner-app-malware
2. Zweifel an der kostenlosen Anwendung
Chip online - Malware-Verdacht: Wenn Sie dieses Chrome-Addon haben, sollten Sie jetzt reagieren
https://www.chip.de/news/Great-Suspender-Google-schmeisst-beliebtes-Add-on-raus_183226261.html
3. Nach Update Probleme mit WPA3-Verschlüsselung: Notfall-Patch soll helfen
Chip online - "Windows 10 crasht besonders sichere WLANs: Microsoft verteilt Notfall-Patch"
https://www.chip.de/news/Windows-10-crasht-besonders-sichere-WLANs-Microsoft-verteilt-Notfall-Patch_174974199.html
Fehlende Daten - Sicherungsmaßnahmen im Unternehmen
Große wie auch kleine Firmen haben immer wieder damit zu kämpfen, dass vertrauliche interne Dokumente an die Öffentlichkeit gelangen und dadurch ein wirtschaftlicher Schaden verursacht wird. Trotz allen Vorkehrungen in Puncto Datenschutz unterschätzen viele Unternehmen noch immer die Gefahr von Datenmissbrauch. Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung, kann nach der aktuellen EU-Datenschutzverordnung hohe Strafzahlungen nach sich ziehen. Deshalb erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen welche die sensiblen Unternehmensdaten schützen und um jegliche Art von Datenschutzvorfällen vorzubeugen.
-ck-
Mitgliederdaten unrechtmäßig weitergegeben? - Ermittlungen durch den Landesbeauftragten
ZVW online - "VfB Stuttgart; Aufklärung der Daten-Affäre: Der Landesdatenschutzbeauftragte leitet ein Bußgeldverfahren gegen den VfB Stuttgart ein"
https://www.zvw.de/aufkl%C3%A4rung-der-daten-aff%C3%A4re-der-landesdatenschutzbeauftragte-leitet-ein-bu%C3%9Fgeldverfahren-gegen-den_arid-312752
Bug?: Daten aller bisher getesteter Personen als Excel-Tabelle frei zugänglich
Wien orf.at - "Grobe Datenschutzpanne in CoV-Teststraße"
https://wien.orf.at/stories/3088000/
Personenbezogene Nutzerdaten zahlreicher Kunden frei einsehbar
Stiftung Warentest online - "Datenleck bei voelkner.de: Onlineshop verriet Adressen und Bestellungen von Nutzern"
https://www.test.de/Datenleck-bei-voelknerde-Onlineshop-verriet-Adressen-und-Bestellungen-von-Nutzern-5711516-0/
Kunden- und Kommunikationssysteme gehackt
Heise online - "Cyberangriff auf Netcom Kassel: Kundendaten zu Erpressungszwecken veröffentlicht"
https://www.heise.de/news/Cyberangriff-auf-Netcom-Kassel-Kundendaten-zu-Erpressungszwecken-veroeffentlicht-5044236.html
Fax-Versand: Übermittlung personenbezogener Daten
Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen. Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Am 22.07.2020 hatte das Oberverwaltungsgericht Lüneburg entschieden, das der unverschlüsselte Versand sensibler Informationen per Fax durch eine Behörde gegen die Datenschutzregeln verstößt. Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post oder per Boten genutzt werden.
Trotz der Sicherheitsbedenken und Meldepflicht von Datenpannen, ergab eine vor kurzem veröffentlichte Umfrage des Digitalverbands Bitkom, welche gemeinsam mit dem Ärzteverband Hartmannbund mit mehr als 500 Ärzten durchgeführt wurde, dass Klinik-Ärzte eher digital kommunizieren und immer noch jede fünfte Arztpraxis überwiegend per Fax oder Brief Kontakt halte.
E-Mails würde nur jeder 20. Arzt nutzen und 22 % der Arztpraxen bevorzugen laut der Umfrage immer noch die Kommunikation per Fax.
-ck-
Faxversand im Gesundheitswesen: Fehlerquote viel zu hoch
Badische Zeitung online - "Bitkom-Umfrage: Jeder fünfte Arzt setzt noch auf das Fax"
https://www.badische-zeitung.de/jeder-fuenfte-arzt-setzt-noch-auf-das-fax--199839774.html
Urteil: Personenbezogene Daten per Faxversand
Niedersachsen online - "Rechtsprechung der niedersächsischen Justiz: Feststellung der Rechtswidrigkeit der Übermittlung personenbezogener Daten per Fax"
http://www.dbovg.niedersachsen.de/jportal/portal/page/bsndprod.psml;jsessionid=C1302093386E6C2B570FB43CB57F8A34.jp14?doc.id=MWRE200002923&st=null&doctyp=juris-r&showdoccase=1¶mfromHL=true#focuspoint
Umfrage zu digitalen Technologien im medizinischen Alltag
Bitkom org - "Corona beschleunigt die Digitalisierung der Medizin – mit unterschiedlichem Tempo"
https://www.bitkom.org/Presse/Presseinformation/Corona-beschleunigt-die-Digitalisierung-der-Medizin-mit-unterschiedlichem-Tempo
Datenschutzkonformes Telefonmarketing
Telefonwerbung ist seitdem im Sommer 2009 in Kraft getretenen Gesetz (§ 7 Abs. 2 Nr. 2 UWG) nur noch bei ausdrücklicher vorheriger Einwilligung durch den Verbraucher zulässig. Die Verschärfung der Regelungen schließt auch Werbeanrufe von Telefoncomputern und Anrufe mit unterdrückter Telefonnummer mit ein. Als zuständige Regulierungsbehörde teilte die Bundesnetzagentur eine Nachbesserung des Gesetzes im Jahr 2013 mit, das Unternehmen für unerlaubte Telefonwerbung (nach § 20 UWG) höhere Bußgelder von bis zu 300.000 € zu erwarten haben und nicht mehr wie bisher 50.000 €. Seit Inkrafttreten der Datenschutzgrundverordnung können Datenschutzaufsichtsbehörden ein Bußgeld bis zu 20 Millionen Euro oder 4% des weltweiten Jahresgesamtumsatzes auferlegen, wenn zu Werbezwecken unerlaubt personenbezogene Daten verarbeitet werden.
Sollte ein Werbeanruf ohne ausdrückliches Einverständnis des Betroffenen erfolgen, kann Beschwerde per im Internet abrufbaren Formblatt bei der Bundesnetzagentur einreichen.
Im vergangenen Jahr (2020), sind laut Medienberichten 63.273 Beschwerden über unerlaubte Werbeanrufe registriert worden, so die Bundesnetzagentur. Zahlreiche Ermittlungsverfahren wurden eingeleitet und Bußgelder von knapp 1,4 Millionen verhängt.
-ck-
Werbeanrufer benötigen eine ausdrückliche Einwilligung
Bundesnetzagentur online – "Unerlaubte Telefonwerbung"
https://www.bundesnetzagentur.de/DE/Vportal/DigialtesTelekommunikation/Aerger/Faelle/UEW/start.html
Regeln für die Verwendung von personenbezogenen Daten verletzt
Datenschutz – Notizen online - "Unerwünschte Anrufe Episode III – italienischer Telefonkonzern WIND Tre muss 17,8 Mio. Euro Bußgeld bezahlen: Das Imperium schlägt (schon wieder) zurück"
https://www.datenschutz-notizen.de/unerwuenschte-anrufe-episode-iii-italienischer-telefonkonzern-wind-tre-muss-178-mio-euro-bussgeld-bezahlen-0526551
Unerlaubte Anrufe zur Neukundengewinnung
Hallanzeiger online - "Unerlaubte Telefonakquise bei Strom- und Gasverträgen"
https://www.hallanzeiger.de/aktuelle_informationen_verbraucherzentrale/02-02-2021-unerlaubte-telefonakquise-bei-strom-und-gasvertraegen
Werbeanrufe: Anrufer geben sich fälschlicher Weise als Regionalversorger aus
Kinzig News online - Gelnhausen: Kreiswerke Main-Kinzig warnen vor unerlaubter Telefonakquise
https://kinzig.news/9976/kreiswerke-main-kinzig-warnen-vor-unerlaubter-telefonakquise
Pressemitteilungen: Höchstmögliches Bußgeld von 300.000 Euro verhängt
Bundesnetzagentur online - "Homann: "Werden Kampf gegen telefonische Belästigung weiter intensivieren"
https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2017/02082017_Bussgeld.html?nn=265778
Wettbewerbs- und datenschutzrechtliche Verstöße
E Rech 24 online - "E-Mails an Warenkorb-Abbrecher: Sind Erinnerungs-Mails rechtlich erlaubt?"
https://www.e-recht24.de/artikel/ecommerce/11015-warenkorbabbrecher-erinnerungsmail-erlaubt-oder-nicht.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Betrugsversuche: Meldungen der Behörden
Presseportal online - "Meldungen zum Thema Computerkriminalität"
https://www.presseportal.de/blaulicht/st/Computerkriminalit%C3%A4t
2.Angreifer können Orion-Lücken missbrauchen und aus der Ferne manipulieren
Heise online - "Alert! SolarWinds Orion & Serv-U FTP: Dringende Updates schließen gefährliche Lücken"
https://www.heise.de/news/SolarWinds-Orion-Serv-U-FTP-Dringende-Updates-schliessen-gefaehrliche-Luecken-5045648.html
3. Vorsicht vor angeblichen Facebook-Freunden
Fränkische online - Mittelfranken: +++ Phishing-Mail mit Fake-Video im Umlauf +++
https://fraenkischer.de/mittelfranken-phishing-mail-mit-fake-video-im-umlauf-2/