Liebe Leserin, lieber Leser,
wir haben das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Februar 2025 für Sie zusammengefasst.
- Informationssicherheit | KI-Verordnung der EU fordert KI-Kompetenz
- Datenschutz | Rechnungsbetrug: Schutz bei Standard E-Mails nicht ausreichend
- Informationssicherheit | Digitale Sicherheit beginnt bei starken Passwörtern
- Datenschutz | Umsetzung der Anforderungen des Barrierefreiheitsstärkungsgesetz
- Informationssicherheit | Cyberangriffe im Februar
INFORMATIONSSICHERHEIT
KI-Verordnung der EU fordert KI-Kompetenz: Wir unterstützen Sie dabei
Die am 1. August 2024 veröffentlichte KI-Verordnung der Europäischen Union schafft einen gesetzlichen Rahmen zur schrittweisen Regulierung des Umgangs mit KI-Technologien im EU-Raum. Seit dem 2. Februar 2025 gelten nun zwei zentrale Bestimmungen dieser neuen Verordnung, die für viele Organisationen relevant sein werden. Ein wesentlicher und bereits aktiver Bestandteil ist die Entwicklung einer sogenannten KI-Kompetenz der Belegschaft (Art.5 KI-VO).
In unserem neuen Artikel gehen wir auf die entscheidenden Schritte beim Vorgehen zur Erstellung eines KI-Strategiekonzepts und genau dieser KI-Kompetenzentwicklung ein.
DATENSCHUTZ
Rechnungsbetrug: Schutz bei Standard E-Mails nicht ausreichend
In einem Urteil vom 18. Dezember 2024 (Az.12U9/24) befasste sich das Oberlandesgericht (OLG) Schleswig-Holstein mit einem Rechnungsbetrug im digitalen Geschäftsverkehr.
Zum Hintergrund: Für ordnungsgemäß erbrachte Leistungen hat ein Bauunternehmer eine Abschlussrechnung in Höhe von 15.000 € per E-Mail an einen privaten Auftraggeber übermittelt. Auf dem Übertragungsweg wurde die E-Mail jedoch von Kriminellen abgefangen und die Bankverbindung geändert. Der Auftraggeber bemerkte die Manipulation nicht und überwies den Betrag auf das gefälschte Konto. Der Unternehmer forderte erneut die Zahlung des offenen Betrags. Der Auftraggeber weigerte die Begleichung mit der Begründung, dass die Rechnung lediglich per Standard E-Mail versandt wurde und somit nur mit einer Transportverschlüsselung geschützt war. Das OLG entschied, dass eine Transportverschlüsselung nicht ausreichend ist und sprach dem Auftraggeber einen Schadenersatz in Höhe von 15.000 € zu.
Nun stellt sich die Frage: Müssen künftig alle Rechnungszustellungen per E-Mail ausschließlich Ende-zu-Ende verschlüsselt werden? Nach juristischer Auffassung ist das Urteil auf den Einzelfall bezogen und muss nicht als generelle Pflicht zur Verschlüsselung verstanden werden. Das Urteil sollte aber trotzdem ernst genommen werden. Es lässt sich daraus auf jeden Fall ableiten, dass verantwortliche Stellen haftbar gemacht werden können, wenn fehlende Sicherheitsmaßnahmen zu einem tatsächlichen Schaden führen. Daher gilt es abzuwägen, wie der Aufwand einer Ende-zu-Ende Verschlüsselung im Verhältnis zu einem möglichen Schaden steht.
INFORMATIONSSICHERHEIT
Digitale Sicherheit beginnt bei starken Passwörtern
Am 1. Februar wurde durch den nationalen „Ändere dein Passwort“- Tag die Bedeutung von Passwörtern in den Fokus gerückt. Diesen Anlass möchten wir in dieser Ausgabe aufgreifen, um Sie nicht nur auf die Änderung von Passwörtern hinzuweisen, sondern vor allem die Signifikanz einer starken Passwortkombination zu betonen. Leider tauchen einfache Kennwörter wie "123456" oder "hallo" immer wieder auf TOP10 Listen für beliebte Passwörter auf - und das spielt Cyberkriminellen in die Karten.
Um Zugangsdaten bestmöglich zu schützen, empfehlen wir, schwache Passwörter gegen komplexe Kombinationen auszutauschen und diese nicht bei mehreren Konten gleichzeitig zu verwenden. Ein digitaler Passwortmanager kann Ihnen dabei helfen, Ihre komplexen Kennwörter sicher zu verwalten, sodass sie sich diese nicht einmal mehr merken müssen.
Für diejenigen, die es bevorzugen, gerne noch etwas in der Hand halten, ist unsere Passwortkarte, mit der Sie bis zu 8 Passwörter erstellen und sich merken können, eine gute Alternative. Diese lässt sich individuell an Ihr Corporate Design anpassen und eignet sich hervorragend für Sensibilisierungsmaßnahmen.
DATENSCHUTZ
Barrierefreiheit ist Pflicht: Anforderungen müssen bis Juni 2025 erfüllt werden
Bis zum 28. Juni 2025 müssen die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) umgesetzt werden. Das Gesetz betrifft Anbieter von Produkten wie Handys, Ticket- und Geldautomaten sowie von elektronischen Dienstleistungen, sofern diese in den Anwendungsbereich des Gesetzes fallen - beispielsweise Betreiber von Webseiten oder Onlineshops.
Eine transparente Übersicht des Geltungsbereichs und der Anforderungen finden Sie auf der Webseite der Bundesfachstelle Barrierefreiheit.
Im Rahmen unserer Datenschutzberatung unterstützen wir unsere Kunden bei der konformen Darstellung von Webseiten hinsichtlich Compliance- und Sicherheitsanforderungen. Hierzu bedienen wir uns mitunter einem Tool, dass um den Prüfbaustein Barrierefreiheit erweitert wurde. Dabei wird der HTML-Code des Webauftritts gegen die WCAG-Regeln geprüft. Der Bericht zeigt offensichtliche Fehler, die vor einer tiefgehenden Prüfung bereits beseitigt werden können. Setzen Sie sich jederzeit mit uns in Verbindung, wenn wir Ihnen hierbei weiterhelfen können!
INFORMATIONSSICHERHEIT
Cyberangriffe im Februar
Bonus-Apps zum Treuepunkte sammeln sind bei Kunden sehr beliebt, da diese in bares Geld umgewandelt werden können. Auch für Cyberkriminelle sind die Punkte anscheinend ein attraktives Ziel. Vor kurzem haben sie es auf die Guthaben der Rewe Bonus-App Nutzer abgesehen. Sie nutzten die "Gemeinsam sammeln"- Funktion, um die Bonuskonten der User mit einem unbekannten Konto zu verknüpfen. Die fremden Personen kassierten dann die Punkte ein und erwarben in den Filialen PaySafeCards, die nach dem Kauf nicht zurückverfolgt werden können. Rewe schloss auf Nachfrage eine Sicherheitslücke aus. Stattdessen sollen schwache Passwörter und Phishing den Punkteklau ermöglicht haben.
SEKRETARIAT DER DEUTSCHEN BISCHOFSKONFERENZ
Mitte Februar wurde das Sekretariat der Deutschen Bischofskonferenz in Bonn Opfer eines Cyberangriffs. Nach Kenntnisnahme des Vorfalls wurden die Notfallpläne umgehend aktiviert und die IT-Systeme vorsorglich vom Netz getrennt. Dies führte zu vorübergehenden Einschränkungen im E-Mail-Verkehr. Laut Pressemitteilung ist noch unklar, ob personenbezogene Daten entwendet wurden.
BREMER VERWALTUNG
Die Webseiten der Bremer Verwaltung wurden diesen Monat Ziel eines massiven DDoS-Angriffs und waren dadurch zeitweise nicht erreichbar. Der Angriff nahm seinen Anfang bei der Webseite der Polizei Bremen. Laut Angaben des Finanzressorts wurden bis zu 18.000 Anfragen pro Minute an die Server gesendet. Gegen Ende des Tages ließen die Angriffe nach. Eine russische Hackergruppe bekannte sich zu dieser Attacke. Inzwischen sind die Webseiten wieder erreichbar.
LUP-KLINIKEN
Zwei Standorte der LUP-Kliniken in Mecklenburg-Vorpommern hat es im Februar auch getroffen. Als Vorsichtsmaßnahme wurden beide Häuser vorsorglich vom Netz getrennt. Die medizinische Versorgung der Patienten war jederzeit gewährleistet. Die Täter versuchten, die Kliniken mit den verschlüsselten Daten zu erpressen. Der Schaden wird auf mehrere Millionen geschätzt und die Wiederherstellung der Systeme wird voraussichtlich Monate in Anspruch nehmen.
UNIVERSITÄT DER BUNDESWEHR MÜNCHEN
Bei einem Angriff auf die Universität der Bundeswehr München wurden erhebliche Datenmengen abgegriffen. Möglich war dies durch geleakte Zugangsdaten zu den zentralen IT-Services der Universität. Die gestohlenen Informationen wurden aber weder verschlüsselt noch gelöscht, es scheint daher, dass keine Ransomware zum Einsatz gekommen ist. Auch hochsensible Forschungsdaten zur Cybersicherheit und Verteidigungstechnologien könnten betroffen sein. Wer hinter dem Angriff steckt, ist bislang noch unklar.
LANDRATSAMT MÜNCHEN & STADT GARCHING
Die Webauftritte des Landratsamts München und der Stadt Garching waren diesen Monat auch aufgrund eines DDoS-Angriffs auf den Hosting-Dienstleister zeitweise nicht aufrufbar. Online-Dienstleistungen wie beispielsweise Autozulassungen oder Führerscheinausstellungen konnten dadurch nur eingeschränkt angeboten werden. Zur Überbrückung des Ausfalls richtete der Dienstleister kurzfristig eine Umleitung ein.