Letzte Änderung: 15.11.2024
Zielgerichtete Cyberattacken
Derzeit dominieren Ransomware-Attacken das globale Cybercrime-Geschehen. Eine Ursache für die Verbreitung von Ransomware ist immer noch die Sorglosigkeit vieler Anwender. Viele User verwenden zu einfache Kennwörter, installieren einen wichtigen Patch nicht oder öffnen unbedarft Anhänge von Spam-Mails. Die Konsequenzen sind gravierend. Die unten aufgeführten Medienberichte zeigen, dass erfolgreiche Angriffe auf die IT-Systeme nicht nur einen herben Datenverlust zur Folge haben, sondern auch zu einem wirtschaftlichen Stillstand führen können. Viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können. Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen.
-ck-
Ob die verschlüsselten Daten jemals wieder zur Verfügung gestellt werden können, ist unklar
Tagesspiegel online – "Update - Hunderte Mitarbeitende seit fünf Wochen offline: Cyberangriff legt Berlins Naturkundemuseum lahm"
https://www.tagesspiegel.de/berlin/hunderte-mitarbeitende-seit-funf-wochen-offline-cyberangriff-legt-berlins-naturkundemuseum-lahm-10825915.html
Ransomware-Angriff legt gleich 12 Kommunen lahm
Heise online – "Cyberangriff: Zwölf Gemeinden in Schwaben betroffen, Erpresser fordern Geld"
https://www.heise.de/news/Cyberangriff-Zwoelf-Gemeinden-in-Schwaben-betroffen-Erpresser-fordern-Geld-9538902.html
Jahrelang weder Sicherheitsprüfungen oder Audits vorgenommen
Neue Zürcher Zeitung ch – "Bund hat den IT-Lieferanten Concevis nie auf IT-Sicherheit überprüft – dann wurde er gehackt"
https://www.nzz.ch/technologie/concevis-ransomware-phobos-bund-hat-it-lieferanten-nie-kontrolliert-jetzt-wurde-er-gehackt-ld.1766717
Angreifer Einfallstor war scheinbar Girocards mit Maestro-Funktion und Dienstleister der Bank
Handelsblatt com "Betrugsfall: Kriminelle räumen Konten von Commerzbank-Kunden leer"
https://www.handelsblatt.com/finanzen/banken-versicherungen/betrugsfall-kriminelle-raeumen-konten-von-commerzbank-kunden-leer/100001230.html
Systeme regelmäßig auf Schwachstellen checken
Spektrum der Wissenschaft online – "Ransomware-Angriffe: Wie man sich gegen automatisierte Erpressung wehrt"
https://www.spektrum.de/news/immer-mehr-angriffe-durch-ransomware-was-dagegen-hilft/2198962
Kritische Sicherheitslücke im Unternehmen: Server und Betriebssystem ohne Aktualisierung
Die Bedrohungen, die durch veraltete Windows Server, Software und Betriebssysteme entstehen, sind bereits seit geraumer Zeit bekannt und werden von dem BSI als besonders schwerwiegend eingestuft. Wer dennoch veraltete Server und Betriebssysteme weiterhin nutzt, gefährdet nicht nur sein eigenes Unternehmen, sondern auch die Datensicherheit der ihm anvertrauten sensiblen Daten.
-ck-
Betriebssystem lässt sich nicht mehr reaktivieren
t3n online - "Windows 10 und 11 Update-Drama: Diesen Nutzern droht die Deaktivierung des Betriebssystems"
https://t3n.de/news/update-windows-10-11-deaktivierung-betriebssystem-droht-1589598/
Ende für Microsofts Produkt Server 2012
Ninja-One com – "End of Life for Windows Server 2012: What You Need to Know"
https://www.ninjaone.com/blog/windows-server-2012-end-of-life-what-to-know/
Hohe Sicherheitsrisiken
Heise online – "Supportende von Windows Server 2012 R2"
https://www.heise.de/select/ix/2023/12/2326411222399202632
Datenschutz-Aufsichtsbehörden verhängen Sanktionen
Seit Einführung der anwendungspflichtigen DSGVO, hat sich die Liste aller Bußgelder und Sanktionen, die an Unternehmen von den Datenschutzbehörden innerhalb der EU im Rahmen der allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt wurden, stetig erweitert. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Gesundheitsdaten veröffentlicht: Datenschutz-Sanktion 10.000 € Strafe
Focus online – "Frau öffentlich bloßgestellt: Arzt rächt sich an Patientin nach Bewertung und kassiert dafür harte Strafe"
https://www.focus.de/panorama/welt/rechte-bei-online-bewertungen-arzt-raecht-sich-an-patientin-nach-negativer-bewertung-und-kassiert-nun-harte-strafe_id_250539445.html
Aktuelle Aufstellung der DSGVO-Sanktionen nach Ländern
DSGVO-Portal online– "Geldbußen für DSGVO-Verstöße"
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-morgan-stanley-2023-11-21-US-3271.php
Doxing – Die Gefahr von zu vielen öffentlichen Informationen
Doxing oder auch Doxxing, besteht aus einer systematischen, oft auch illegalen Suche von sämtlich verfügbaren personenbezogenen Informationen der Opfer, welche aus zahlreichen Internetquellen zusammengetragen und verstreut im Netz veröffentlicht werden. Die Opfer können dadurch erheblichen Schaden nehmen. Die Angreifer sind oft nicht auf Geld aus, sondern sie wollen den Opfern ideellen Schaden zufügen. Meistens sind die Hauptmotive zum Beispiel Rache, Selbstjustiz, persönliche Fehden oder um in entsprechenden Szenen Anerkennung zu erhalten. Es wird die Anonymität des Opfers aufgebrochen, indem durch die Veröffentlichung der Daten Druck auf die Opfer entsteht. Wenn vertrauliche Informationen wie zum Beispiel Telefonnummer, Privatadresse, Arbeitgeberinformationen, Namen von Familienmitgliedern oder sämtliche E-Mail-Adressen über eine Zielperson in öffentlichen Foren und weit verbreitet im Netz veröffentlicht werden, können diese personenbezogenen Daten für weitere Ausrichtungen verwendet werden – zum Beispiel für einen Identitätsdiebstahl. In diesem Zusammenhang ist es ganz wichtig, die Kontrolle über die eigenen Daten zu bewahren, indem positive digitale Gewohnheiten entwickelt und Online-Aktivitäten achtsam angegangen werden. -ck-
Weltweit nehmen Doxing-Angriffe auf Unternehmen zu
ISPIN ch – "Corporate Doxing ist auf dem Vormarsch, und Ihr Unternehmen könnte zum Opfer werden!"
https://www.ispin.ch/news-events/blog/corporate-doxing-ist-auf-dem-vormarsch-und-ihr-unternehmen-koennte-zum-opfer-werden/
Per ChatGPT: Persönliche Kundendaten gesammelt, gebündelt und veröffentlicht
Computerbild online – "Sicherheitslücke entdeckt: Bing-KI plaudert Kundendaten aus Bauhaus-Datenpanne aus"
https://www.computerbild.de/artikel/cb-News-Internet-Bing-KI-plaudert-Kundendaten-aus-Bauhaus-Datenpanne-aus-37144589.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Risikostufe hoch: BSI meldet mehrere Schwachstellen für ownCloud
News online – "ownCloud gefährdet: IT-Sicherheitswarnung vor neuer Schwachstelle"
https://www.news.de/technik/857407972/owncloud-gefaehrdet-it-sicherheitswarnung-vom-bsi-und-bug-report-bekannte-schwachstellen-und-sicherheitsluecken/1/
2. Sicherheitsproblem gelöst?
Heise Security online – "Alert! - Cloud-Computing-Software ownCloud und Nextcloud angreifbar"
https://www.heise.de/news/Cloud-Computing-Software-ownCloud-und-Nextcloud-angreifbar-9537650.html
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell
Hilfestellung für einheitlichen Datenschutz
Für alle EU-Mitgliedsstaaten gilt die Datenschutz-Grundverordnung (DS-GVO) mit einheitlichen Regelungen für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten. Alle, egal ob zum Beispiel Unternehmen, Krankenhäusern, Behörden benötigen eindeutige Hilfestellungen um die DSGVO datenschutzkonform umzusetzen.
Am 02.Juli 2023 ist das Hinweisgeberschutzgesetz in Kraft getreten. Seit der Einführung des HinSchG treten zahlreiche rechtliche Fragen auf. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden – Württemberg, Prof. Dr. Tobias Keber, hat dazu auf seiner Homepage ein FAQ zum Hinweisgeberschutzgesetz veröffentlicht. Die FAQ wird regelmäßig aktualisiert.
Des Weiteren hat der Landesbeauftragte ein Diskussionspapier "Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz" auf seiner Homepage on gestellt.
-ck-
Hilfestellung zur Beantwortung datenschutzrechtlicher Fragen
Baden-Württemberg online – "FAQ Hinweisgeberschutzgesetz"
https://www.baden-wuerttemberg.datenschutz.de/faq-hinweisgeberschutzgesetz/
Künstliche Intelligenz: Voraussetzung und Verarbeitung personenbezogener Daten
Baden-Württemberg online –"Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz - Diskussionspapier. Version 1.0 vom 07.11.2023 -"
https://www.baden-wuerttemberg.datenschutz.de/rechtsgrundlagen-datenschutz-ki/
Neues Datenschutzgesetz (DSG) in der Schweiz
Das nach eingehender Prüfung geänderte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) sowie die neue Verordnung über Datenschutzzertifizierungen (VDSZ) traten am 1. September 2023 offiziell in Kraft. Das revidierte Schweizer Datenschutzgesetz nähert sich teilweise der DSGVO an, doch weiterhin bestehen Unterschiede. Zum Beispiel ist eine Pflicht zur Einsetzung eines Datenschutzbeauftragten, im Gegensatz zur DSGVO, in der Regel nicht vorgesehen, freiwillig jedoch möglich und empfehlenswert.
Eine baldige Anpassung an das Schweizer Datenschutzgesetz wurde zum Stichtag notwendig, denn es sieht keine Übergangsfristen vor. Unternehmen sollten die Umsetzung der Gesetzesänderungen am 1. September 2023 abgeschlossen haben.
-ck-
Neuerungen für Unternehmen in und außerhalb der Schweiz
Handelskammerjournal online – "Das neue Schweizer Datenschutzgesetz – Was ist zu tun?"
https://www.handelskammerjournal.ch/de/das-neue-schweizer-datenschutzgesetz-was-ist-zu-tun
Grundlage des Konzepts: Sieben Ziele für den Datenschutz
Netzwoche ch – "Neues Datenschutzkonzept: Digitale Gesellschaft nimmt Datenbearbeitende in die Pflicht"
https://www.netzwoche.ch/news/2023-11-15/digitale-gesellschaft-nimmt-datenbearbeitende-in-die-pflicht
Bekanntgabe von Personendaten ins Ausland
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) ch – "Datenbekanntgabe ins Ausland"
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html
Datenschutzgesetz Schweiz
Fedlex: Die Publikationsplattform des Bundesrechts ch – "235.1:Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)"
https://www.fedlex.admin.ch/eli/cc/2022/491/de
Ernstes Problem: Cyberkriminalität
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – sensible Gesundheitsdaten, personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Um das Bewusstsein für Cyberrisiken zu stärken, ist die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, eine unverzichtbare Präventionsmaßnahme in jedem Unternehmen.
-ck-
In zwei Jahren wurden drei Datenlecks gefunden
Chip online – "Großer Datenklau bei Samsung: Das müssen Nutzer jetzt wissen"
https://www.chip.de/news/Grosser-Datenklau-bei-Samsung-Das-muessen-Nutzer-jetzt-wissen_185030072.html
Sensible Daten mit Nacktfotos von Patienten online gestellt
Heute at - "Landen im Internet: Hacker stehlen Nacktfotos vom Beauty-Doc"
https://www.heute.at/s/hacker-stehlen-nacktfotos-vom-beauty-doc-120004826
Daten unwiederbringlich gelöscht und keine Sicherungskopien der Nutzerdaten angelegt
Apfellike com – "Digitalstandort Deutschland: Schulverwaltung löscht Abi-Unterlagen von Schüler-iPads"
https://www.apfellike.com/2023/11/digitalstandort-deutschland-schulverwaltung-loescht-abi-unterlagen-von-schueler-ipads/
Verstoß gegen die Datenschutzvorschriften möglich
Nau ch – "Hacker-Angriff auf Bund: Datenschutzbeauftragter leitet Schritte ein"
https://www.nau.ch/news/schweiz/hacker-angriff-auf-bund-datenschutzbeauftragter-leitet-schritte-ein-66650632
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Fehler beim Verbindungsaufbau kann geheimen RSA-Schlüssel des Servers extrahieren
Heise Security online – "Computer-Fehler verraten geheime SSH-Schlüssel"
https://www.heise.de/news/Computer-Fehler-verraten-geheime-SSH-Schluessel-9528087.html
2. Sicherheitsupdate beseitigt gravierende Schwachstelle
Heise Security online – Alert! – "WordPress-Plug-in: Lücke in WP Fastest Cache gefährdet hunderttausende Websites"
https://www.heise.de/news/WordPress-Plug-in-Luecke-in-WP-Fastest-Cache-gefaehrdet-hunderttausende-Websites-9530618.html
3. Sicherheitslücke vom 10.08.2018: Jetzt hat der BSI Update veröffentlicht
News online – "cobbler: IT-Sicherheitslücke mit hohem Risiko! Warnung erhält Update"
https://www.news.de/technik/857273611/cobbler-gefaehrdet-it-sicherheitswarnung-vom-bsi-und-bug-report-update-zu-bekannten-schwachstellen-und-sicherheitsluecken-vom-15-11-2023/1/
4. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle
Sicherheitsdefizite in der kritischen Infrastruktur
Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen, die für das staatliche Gemeinwesen von großer Bedeutung sind. Darunter zählen Unternehmen in den Bereichen Gefahrstoffe, Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheitsversorgung, Wasser, Ernährung und Finanz- und Versicherungswesen. Bei Ausfall oder Beeinträchtigung kritischer Infrastrukturen können erhebliche Störungen wie Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen entstehen.
-ck-
Kritische Infrastruktur: Blackout vorbeugen
BMI-Bund online – "Deutsche Strategie zur Stärkung der Resilienz gegenüber Katastrophen"
https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/BMI22017-resilienz-katastrophen.pdf;jsessionid=9BFF744BB987EEEF25F141B688064F6F.1_cid373?__blob=publicationFile&v=1
Kritische maritime Infrastruktur muss stärker geschützt werden
Behörden Spiegel online – "Deutscher Marinebund fordert besseren Schutz kritischer maritimer Infrastruktur"
https://www.behoerden-spiegel.de/2023/11/07/deutscher-marinebund-fordert-besseren-schutz-kritischer-maritimer-infrastruktur/
Telefonverbindungen zu Krankenhäusern und Notdiensten ausgefallen
Focus online – "Historischer Großausfall: Halb Australien hat plötzlich kein Telefon mehr - Notdienste nicht erreichbar"
https://www.focus.de/panorama/welt/historischer-grossausfall-halb-australien-hat-ploetzlich-kein-telefon-mehr-notdienste-nicht-erreichbar_id_241805055.html
Auch Rettungsdienste zeitweise lahmgelegt
Kommunaler-Notbetrieb online - "Externer Angriff auf IT-Dienstleister mehrerer Kommunen in Südwestfalen"
https://kommunaler-notbetrieb.de/2023/10/30/externer-angriff-auf-it-dienstleister-mehrerer-kommunen-in-suedwestfalen/
Sicherheitslücken bei der Identitäts- und Zugriffsverwaltung
In vielen Unternehmen, Behörden und Organisationen sind sensible Daten und Geschäftsinformationen anhand fehlerhaftem Zugriffs- und Berechtigungsmanagement unzureichend geschützt. Studien ergaben, dass in jedem zweiten Unternehmen herumgeschnüffelt und auf vertrauliche und sensible Informationen zugegriffen wird. Die Studien zeigen auch auf, dass selbst IT-Sicherheitsexperten anhand der privilegierten Zugriffsberechtigungen selbst auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, dass verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden. Mitarbeiter sollten anhand Zugriffsberechtigung nur auf solche Daten zugreifen können, die zur Erfüllung ihrer Aufgaben tatsächlich benötigt werden, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Damit ausscheidende Beschäftigte nicht weiterhin auf personenbezogene Daten und Geschäftsgeheimnisse des Unternehmens zugreifen können, müssen die Zugriffsrechte bei Austritt entzogen werden.
-ck-
Dienstkonten nicht geschützt: Mitarbeiter legt Zugangsdaten in einem persönlichen Google-Konto ab
Heise online – "Okta-Einbruch: Angreifer griffen auf Daten von 134 Kunden zu"
https://www.heise.de/news/Okta-Einbruch-Angreifer-griffen-auf-Daten-von-134-Kunden-zu-9355398.html
"Wenn ein Verstoß eines einzelnen Mitarbeiters Ihr Netzwerk verletzt, machen Sie etwas falsch"
ars-Technica com - "No, Okta, senior management, not an errant employee, caused you to get hacked"
https://arstechnica.com/information-technology/2023/11/no-okta-senior-management-not-an-errant-employee-caused-you-to-get-hacked/
Vermehrte Cyber-Attacken auf staatliche Organisationen und Unternehmen
Die Zahl der Ransomware–Infektionen steigt rasant - Behörden, Krankenhäuser und Unternehmen sind geneigt auf die Forderungen der Kriminellen einzugehen, Sicherheitsexperten raten davon ab. Die Studie "2022 Ransomware Trends Report" zeigt, das betroffene Unternehmen doppelt so viel Lösegeld gezahlt haben, wie im Jahr zuvor. Die Studie ergab, dass zwei Drittel der deutschen Unternehmen von Ransomware betroffen sind. Um ein entsprechendes Sicherheits-Bewusstsein zu wecken, sollten alle Mitarbeiter und das Management im Rahmen eines Security-Awareness-Trainings rund um die IT-Sicherheit im Unternehmen geschult und für den Umgang mit personenbezogenen Daten sensibilisiert werden. Gleichfalls sind die technisch-organisatorischen Maßnahmen wie zum Beispiel Firewalls, durchgängige Multifaktor-Authentifizierungen, engmaschige Berechtigungskonzepte und Anti-Malware-Lösungen usw. wichtig. Eine unternehmensweite Datensicherungsstrategie oder Datenbackups sind für alle Unternehmen von entscheidender Bedeutung.
-ck-
Aktuelle Karte mit Aufstellung der betroffenen Städte, Gemeinden, Organisationen und Unternehmen
Kon Briefing com – "Ransomware & Cyberangriffe aktuell heute 2023: Hackerangriffe auf Unternehmen, Firmen, Organisationen und Behörden - Österreich, Schweiz & weltweit"
https://konbriefing.com/de-topics/cyber-angriffe.html
Städte und Gemeinden im Kreis Soest sind immer noch nicht online erreichbar
Soester-Anzeige online – "Cyberangriff auf Städte und Gemeinden im Kreis Soest: Bis Ende der Woche kein IT-Betrieb"
https://www.soester-anzeiger.de/lokales/kreis-soest/computer-blackout-viele-staedte-und-gemeinden-im-kreis-soest-offline-92644651.html
Betrieb laufe derzeit mit wenigen Beeinträchtigungen weiter
Tagesspiegel online – "Update: Erpressungsversuch mit Hacker-Angriff: Im Berliner Kaufhaus KaDeWe war zeitweilig nur Barzahlung möglich"
https://www.tagesspiegel.de/berlin/nach-mutmasslich-russischem-hacker-angriff-im-berliner-luxuskaufhaus-kadewe-ist-wieder-kartenzahlung-moglich-10741180.html
Über 70 Kommunen in NRW betroffen
Spiegel online – "Gehackter IT-Dienstleister: Kommunen wollen Online-Erpressern kein Lösegeld zahlen"
https://www.spiegel.de/netzwelt/web/suedwestfalen-it-kommunen-wollen-online-erpressern-kein-loesegeld-zahlen-a-038cf064-dc1d-47a1-bc99-38a1a2f9916d
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Mehrere Schwachstellen für Linux Kernel – Risikostufe 5
News online – "Linux Kernel: Update für IT-Sicherheitswarnung (Risiko: hoch)"
https://www.news.de/technik/857207643/linux-kernel-gefaehrdet-it-sicherheitswarnung-vom-bsi-und-bug-report-update-zur-sicherheitsluecke-cve-2023-5178-vom-07-11-2023/1/
2. Noch keine Bereitstellung von Patches in Sicht
ZDNet online – "Neue Zero-Day-Lücken in Exchange Server erlauben Datendiebstahl"
https://www.zdnet.de/88412750/neue-zero-day-luecken-in-exchange-server-erlauben-datendiebstahl/
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell