Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat September 2024 für Sie zusammengefasst.
- Event | Save The Date: Cybersecurity im Jahr 2025
- Informationssicherheit | Manged Detection and Response (MDR): Ein Beispiel aus der Praxis
- Datenschutz | Neue BfDFI Prof. Dr. Louisa Specht-Riemenschneider tritt Amt an
- Informationssicherheit| Täuschend echte Phishing-E-Mails im Umlauf
- Informationssicherheit | Think Before You Click: Awareness-Plakat als Reminder im Büro
- Datenschutz | Cookie-Banner Verordnung
- Datenschutz | Fristlose Kündigung nach Weiterleitung dienstlicher E-Mails an privates Postfach
- Informationssicherheit | Gesetzgebungsprozess NIS2UmsuCG nimmt Fahrt auf
- Datenschutz | Nützliche Informationsquelle zur KI-Verordnung
- Datenschutz | BayLfD veröffentlicht Tätigkeitsbericht 2023
- Informationssicherheit | Cyberangriffe im September
EVENT
Save The Date: Cybersecurity-Event im Gasthof Raspl
Wir freuen uns, Sie herzlich zu unserem kostenlosen Cybersecurity-Event am Donnerstag, den 21. November 2024 im Gasthof Raspl von 9 bis 13 Uhr einzuladen. Anlässlich der akuten Bedrohungslage im Cyberraum und der Relevanz von NIS2 haben wir diese Veranstaltung für Sie geplant. Eine ausführliche Agenda und weitere Informationen folgen in Kürze in einem Sondernewsletter. Bleiben Sie gespannt!
Nutzen Sie die exklusive Gelegenheit, sich bei köstlichem Essen mit anderen Teilnehmenden aus der Region auszutauschen. Für Ihr leibliches Wohl ist bestens gesorgt. Gerade in der IT ist es essenziell, stets auf dem neuesten Stand zu bleiben - sei es hinsichtlich gesetzlicher Vorgaben oder effektiver Sicherheitsstrategien. Tragen Sie sich den Termin am besten gleich in Ihren Kalender ein & sichern Sie sich hier einen der limitierten Plätze. Wir freuen uns, Sie persönlich im Gasthof Raspl begrüßen zu dürfen!
INFORMATIONSSICHERHEIT
Managed Detection and Response (MDR): Ein Beispiel aus der Praxis
In unserem neuesten Artikel werfen wir einen Blick auf einen kürzlich aufgetretenen Sicherheitsvorfall bei einem unserer Kunden, der dank Sophos Managed Detection and Response (MDR) frühzeitig erkannt wurde und damit schwerwiegende Folgeschäden abgewendet wurden. Dieses Beispiel aus der Praxis zeigt, wie entscheidend im Ernstfall die 24/7 Überwachung des Unternehmensnetzwerks durch ein professionelles MDR-Team ist.
Dabei wird auch deutlich, dass Sensibilisierungsmaßnahmen der Belegschaft allein nicht ausreichen, da hier kein menschliches Fehlverhalten erkennbar war. Heutzutage sind moderne technische Sicherheitslösungen wie Endpoint-Security erforderlich, um sich wirksam vor den zunehmend ausgefeilteren Angriffstaktiken der Cyberkriminellen zu schützen.
DATENSCHUTZ
Neue BfDFI Prof. Dr. Louisa Specht-Riemenschneider tritt Amt an
Die im Mai gewählte neue Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider trat am 3. September 2024 die Nachfolge von Ulrich Kelber in Bonn an. In einer Pressemitteilung betonte die neue Behördenleiterin, dass sie sich für einen Datenschutz einsetzen möchte, der klare rote Linien aufzeigt, aber zugleich auch unterhalb dieser roten Linien konstruktive Lösungen im Rahmen des Möglichen bieten soll. Während ihrer Amtszeit stehen vor allem drei gesellschaftlich relevante und zukunftsorientierte Themen im Fokus: Gesundheit, Künstliche Intelligenz und Sicherheit.
INFORMATIONSSICHERHEIT
Täuschend echte Phishing-E-Mails im Umlauf
Aktuell sind mehrere Phishing-Kampagnen im Umlauf. Die Malware 'Voldemort' nimmt Unternehmen quer durch alle Branchen ins Visier. In den letzten Wochen wurden unzählige dieser betrügerischen E-Mails versendet. Die Empfänger werden dabei mit falschen Informationen zu Änderungen in der Steuererklärung von offiziellen Steuerbehörden in die Falle gelockt. Außerdem nutzt die Malware geltende Google-Dienste, um Schutzmechanismen zu umgehen. Das Ziel dieser Kampagne scheint Spionage zu sein.
Des weiteren werden Internetnutzer mit Phishing-E-Mails, die im Namen des BSI verschickt werden, geködert. Das BSI warnte in einem LinkedIn-Post explizit vor dem Täuschungsversuch und wies darauf hin, nicht auf den in der E-Mail enthaltenen Link 'Antivirus-Schutz jetzt aktivieren' zu klicken. Die E-Mail wirkt mit dem Betreff 'Ihre Sicherheit steht auf dem Spiel', einem relativ logischen, fehlerfreien Text sowie einem vermeintlich vertrauenswürdigen Absender täuschend echt.
Hilfreiche Informationen zum Enttarnen solcher Phishing-Mails finden Sie in diesem ausführlichen Artikel. Wir unterstützen Sie auch gerne bei Sensibilisierungsmaßnahmen der Belegschaft.
INFORMATIONSSICHERHEIT
Think Before You Click: Awareness-Plakat als hilfreicher Reminder im Büro
Betrügerische Kampagnen, wie die vorher genannten, sind inzwischen so professionell gestaltet, dass sie von ungeschulten Nutzern nur schwer als Betrugsmasche identifiziert werden können. Um sich vor solchen Attacken bestmöglich zu schützen, sollten Sie sich beim Öffnen einer E-Mail stets vier zentrale Fragen stellen - wir nennen es einen Quick-Check für sichere E-Mails. Wenn Sie diese Hinweise beherzigen, leisten Sie bereits einen wichtigen Beitrag zur Cybersicherheit in Ihrer Organisation.
Der Mensch ist nach wie vor das größte Einfallstor. Daher ist es essenziell, ein Bewusstsein für diese Problematik zu fördern. Aus diesem Grund haben wir für Sie ein A3-Poster erstellt, dass diese vier entscheidenden Fragen aufgreift und in den Büroräumen sichtbar platziert werden kann.
Falls Sie Interesse an einem oder mehreren Exemplaren unseres Posters haben, schreiben Sie uns eine E-Mail an marketing@ines-it.de. Gerne passen wir gegen einen Aufpreis dieses Poster an Ihr Corporate Design an. Wir würden uns freuen, wenn unser Poster schon bald auch in Ihren Geschäftsräumen hängt und zur Steigerung der Security-Awareness beiträgt.
DATENSCHUTZ
Cookie-Banner Verordnung
Am 1. Dezember 2021 trat das Telekommunikations-Telemedien-Datenschutz-Gesetz (TDDDG) in Kraft. §26 TDDDG eröffnet die Möglichkeit eines Regelungsdienstes, mit denen Verbraucher Einwilligungen zentral verwaltet werden können. Anbieter digitaler Dienste sollen diese zentrale Datenquelle abfragen und die Konstellation ihrer Dienste entsprechend der Einwilligungsentscheidung ausliefern. Damit könnte auf den Einsatz der zahlreichen individuellen Cookie-Banner verzichtet werden.
Rechtliche Grundlage hierfür ist ein Entwurf einer neuen Verordnung: der Einwilligungsverwaltungsverordnung (EinwV) des Bundesministeriums für Digitales und Verkehr (BMDV), den die Bundesregierung am 04. September beschlossen hat. Der Bundestag und der Bundesrat müssen jedoch noch zustimmen. Die praktische Umsetzung des Verordnungsentwurfs ist aber mehr als fraglich. Verschiedene Problematiken lassen sich erkennen, einige seien hier genannt:
- Die Verordnung gilt nur in Deutschland. Damit bleiben Cookie-Banner außerhalb der Landesgrenzen bestehen.
- Nach §19 EinwV müssen Anbieter digitaler Dienste sich nicht zwingend an die Einwilligungsentscheidung halten und können erneut Einwilligungsabfragen über ein Consent Tool ausspielen.
- Eine pauschale Zustimmung zu allen Cookies ist nicht möglich. Für jeden digitalen Dienst müsste eine individuelle Entscheidung getroffen werden.
- In der Regel ändern sich eingebundene Dienste häufig, weshalb es immer wieder zu neuen Consent-Tool abfragen kommen wird.
- Anbieter von Einwilligungsverwaltungsdiensten dürfen keine wirtschaftlichen Interessen haben. Damit scheiden zahlreiche namhafte Unternehmen aus.
Wir werden Sie über die weitere Entwicklung zum EinwV auf dem Laufenden halten.
DATENSCHUTZ
Fristlose Kündigung nach Weiterleitung dienstlicher E-Mails an privates Postfach
In einem aktuellen Urteil des OLG München (Az. 7 U 351/23 e) wurde entschieden, dass die Weiterleitung dienstlicher E-Mails an ein privates E-Mail Postfach einen Verstoß gegen die DSGVO darstellt und eine außerordentliche Kündigung rechtfertigen kann. In dem zugrundeliegenden Fall hatte ein Arbeitnehmer über einen längeren Zeitraum dienstliche E-Mails an ein privates Postfach übermittelt. Der Arbeitgeber erfuhr davon und kündigte das Arbeitsverhältnis außerordentlich.
Das OLG München entschied, dass die Kündigung des Arbeitnehmers rechtens sei. Die wiederholte und systematische Verletzung von datenschutzrechtlichen Vorgaben wie der DSGVO stellt einen schwerwiegenden Vertrauensbruch dar, der das Arbeitsverhältnis unzumutbar macht. Das Gericht stellte heraus, dass der betroffene Arbeitnehmer seine Pflicht zur Vertraulichkeit und den Schutz der ihm anvertrauten Daten schwer verletzt hat. Aus dieser Entscheidung lassen sich nützliche Lehren ableiten. Verantwortliche Stellen sollten klare Richtlinien in Bezug auf die Vertraulichkeit sensibler Daten veröffentlichen und diese im Rahmen des Schulungskonzeptes an die Mitarbeitenden vermitteln.
INFORMATIONSSICHERHEIT
Gesetzgebungsprozess des NIS2UmsuCG nimmt Fahrt auf
In den letzten Monaten hat der Umsetzungsprozess von NIS2 ins deutsche Recht deutlich an Dynamik gewonnen. Seit geraumer Zeit wird der 17. Oktober 2024 als Stichtag für die Umsetzung der erforderlichen Maßnahmen genannt. Dieses Stichdatum rückt nun in greifbare Nähe, aber das Gesetz wurde bisher noch nicht verkündet. Es zeichnet sich ab, dass sich das Inkrafttreten wohl vermutlich ins Frühjahr 2025 verschieben wird. Vor der Sommerpause hat das Kabinett den Referentenentwurf verabschiedet und eine endgültige Fassung des Gesetzesentwurfs erstellt. Dieser muss nun den Bundestag passieren. Experten gehen angesichts der sich wiederholenden Lesungen und üblichen Durchgänge davon aus, das ein Inkrafttreten des NIS2UmsuCG im März 2025 realistisch ist.
Trotz der Verschiebung ist es ratsam, sich bereits jetzt intensiv mit den Anforderungen der Richtlinie auseinanderzusetzen und frühzeitig mit den Vorbereitungen zu beginnen. Melden Sie sich gerne zu unserer Cybersecurity-Veranstaltung vor Ort an, um mehr über NIS2 zu erfahren. Oder buchen Sie hier einen kostenlosen Erstberatungs-Termin mit Florian Wiesenbauer und Rechtsanwältin Sabine Sobola.
DATENSCHUTZ
Nützliche Informationsquelle zur KI-Verordnung
Die KI-Verordnung wirkt auf alle Anbieter oder Nutzer von KI-Systemen. Es ist dabei unabhängig, ob sich der Sitz der Einrichtung in der EU befindet. Die KI-Verordnung entfaltet Ihre Wirksamkeit, sobald das Produkt oder die Anwendung in der EU eingesetzt bzw. angeboten wird.
Verantwortliche Stellen sollten deshalb großen Wert darauflegen, die Anforderungen der neuen Verordnung zu kennen. Als zentrale Wissensquelle inklusive FAQ und Checklisten empfehlen wir Ihnen den umfangreichen Ratgeber von Rechtsanwalt Thomas Schwenke, der in seinem Beitrag die wichtigsten Regelungen, Anwendungsbereiche und Ausnahmen der KI-Verordnung detailliert aufbereitet hat.
DATENSCHUTZ
BayLfD veröffentlicht Tätigkeitsbericht 2023
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Die Schwerpunkte des Berichts beziehen sich auf die Beratung in Gesetzgebungsverfahren auf Landesebene, zu Anfragen bayerischer öffentlicher Stellen, sowie Erkenntnissen aus Bürgerbeschwerden. Der 33. Tätigkeitsbericht kann über den Webauftritt des BayLfD bezogen werden.
INFORMATIONSSICHERHEIT
Cyberangriffe im September
Cyberangriffe führten im letzten Jahr zu Versicherungsschäden in Höhe von 180 Millionen Euro. Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) ist das ein Anstieg von rund 50 Prozent zum Vorjahr. Nicht nur die Zahl der Angriffe hat deutlich zugenommen, sondern auch deren Schadensausmaß. Im Durchschnitt beläuft sich ein Cyberschaden auf etwa 45.370 Euro. Vor allem im Mittelstand sind oft gravierende IT-Sicherheitslücken erkennbar. Bedenken Sie daher: Ein Mangel an grundlegenden Sicherheitsstandards erschwert die Gewährung eines Versicherungsschutzes!
WERTACHKLINIKEN BOBINGEN & SCHWABMÜNCHEN
In der Nacht auf Sonntag, den 1. September, wurde ein Cyberangriff auf die Wertachkliniken Bobingen & Schwabmünchen in der Nähe von Augsburg verübt. Bemerkt wurde die Attacke aufgrund weitreichender IT-Störungen. Die Kliniken arbeiteten im analogen, eingeschränkten Betrieb weiter. Bei rund 30 Patienten mussten geplante Operationen verschoben werden. Noch ist unklar, ob sensible Daten abgegriffen werden konnten.
RADIO GERETSRIED
Der bayerische Musiksender Radio Geretsried teilte Mitte des Monats auf seiner Webseite in einer Eilmeldung mit, dass es Angreifern gelungen sei, sämtliche Musikdaten ihres Senders zu verschlüsseln. Aufgrund dieser Attacke lief bei dem Radiosender eine Zeit lang nur ein Notband. Mitarbeitende versuchten noch Musiklisten und andere Daten zu retten. Wahrscheinlich führt kein Weg daran vorbei, alle Systeme neu aufzusetzen. Ein mühsames und zeitintensives Unterfangen.
CHECK24 & VERIVOX
Im September wurden Datenlecks bei der Kreditvermittlung der konkurrierenden Vergleichsportale Check24 und Verivox aufgedeckt. Zeitweise waren Darlehensverträge mit Einkommensauskunft und weitere heikle Daten im Internet öffentlich zugänglich und konnten heruntergeladen werden. Nachdem der Chaos Computer Club beide Unternehmen über diesen unprofessionellen Umgang mit Daten informiert hat, wurden die Lücken umgehend geschlossen. Es ist unklar, wie lange das Datenleck bestand.