Sicherheitsvorfall aus der Praxis, NIS2-Registrierungsportal online, Cyberfestung Bayern und vieles mehr...

INFORMATIONSSICHERHEIT

Social Engineering: Täuschend echt und hochgefährlich

Ein aktueller Vorfall aus unserem Beratungsalltag zeigt, wie professionell Social-Engineering-Angriffe inzwischen umgesetzt werden. Mit glaubwürdiger Sprache, realistischen Szenarien und subtilen psychologischen Tricks versuchen Angreifer, interne Sicherheitsprozesse zu umgehen.

Ausgangspunkt war eine E-Mail von einem privaten Account, die unter dem Namen eines Mitarbeiters an die Personalabteilung gesendet wurde. Inhalt: Eine vermeintlich dringende Anfrage zur Änderung der Bankverbindung für die Gehaltsabrechnung. Tonfall, Ansprache und Firmensprache wirkten absolut authentisch – genau das machte den Angriff so gefährlich.

Erst die direkte Rückfrage über einen internen Kommunikationskanal brachte Klarheit: Die Anfrage war gefälscht. Der Betrugsversuch wurde sofort dokumentiert, das HR-Team sensibilisiert und der Vorfall zur Anzeige gebracht. Bereits am nächsten Tag folgte eine weitere betrügerische E-Mail mit angeblich neuen Bankdaten.

Fazit: Der Mensch ist der wichtigste Schutzfaktor!

Technische Maßnahmen allein reichen nicht aus. Entscheidend sind Wachsamkeit, interne Rückfragen über bekannte Kanäle und klar definierte Prozesse – besonders bei sensiblen Änderungen. Angriffe zielen heute weniger auf Systeme, sondern auf menschliche Routinen.

Dieser Fall zeigt, wie subtil und professionell moderne Betrugsversuche heute aufgebaut sind und warum Wachsamkeit und ein gesundes Misstrauen im Alltag oft den entscheidenden Unterschied machen.

 

INFORMATIONSSICHERHEIT

Neues BSI-Portal für NIS-2-Betroffene ist freigeschaltet

Seit dem Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 gelten für rund 30.000 Unternehmen in Deutschland neue gesetzliche Pflichten in der IT-Sicherheit. Darunter auch die Registrierung als NIS-2-Einrichtung sowie die Meldung erheblicher Sicherheitsvorfälle an das BSI. Beides erfolgt in einem zweistufigen Verfahren über "Mein Unternehmenskonto" (MUK) und das neue BSI-Portal, das jetzt seit Beginn des Jahres verfügbar ist.

NIS-2 fordert aus unserer Sicht nichts, was nicht ohnehin zur Basis moderner Cyberresilienz zählen sollte. Wir unterstützen Sie ganzheitlich, von der Einordnung Ihrer Betroffenheit über die fristgerechte Registrierung bis hin zur pragmatischen Umsetzung der Anforderungen.

INFORMATIONSSICHERHEIT

Vernichtung von Datenträgern: ISO/IEC21964 ersetzt DIN66399

Die bisherige DIN6639 zur Vernichtung von Datenträgern wurde zurückgezogen und durch den internationalen Standard ISO/IEC 21964 abgelöst.

Wir empfehlen Ihnen, Ihre bestehenden Unterlagen zu prüfen und Verweise auf die bisherige DIN6699 im Zuge der Umstellung zu aktualisieren.

 

DATENSCHUTZ

BayLDA ruft zur Prävention auf: Cyberfestung Bayern

Die Cybercrime-Szene ist auch in Bayern aktiv und gefährlich. Täglich erreichen das BayLDA zahlreiche Meldungen über Phishing-Attacken, kompromittierte Systeme und gezielte Erpressungsversuche.

 

Als Antwort darauf möchte das BayLDA das Präventionsprogramm konsequent ausbauen. Inspiriert vom Bild der uneinnehmbaren Festung zeigt die Behörde, wie sich durch gezielte technische und organisatorische Maßnahmen die Widerstandsfähigkeit deutlich erhöhen lässt.

 

Konkret stellt die Aufsichtsbehörde eine praxisnahe 10-Punkte-Checkliste zur Verfügung und in Kürze auch ein Kompakthandbuch für Datenschutzbeauftragte sowie ein Self-Assessment-Tool, mit dem Unternehmen ihren Sicherheitsstand selbst prüfen und Empfehlungen erhalten können. Ein Besuch der Seite lohnt sich!

 

KÜNSTLICHE INTELLIGENZ

Peinliche KI-Panne: Fehlerhafte Quellen bei EU-Behörde ENISA

Im Netz macht gerade eine peinliche KI-Panne die Runde: Ausgerechnet die EU-Cybersicherheitsbehörde ENISA hat in einem Bericht vor den Risiken von KI gewarnt und soll beim Schreiben jedoch offenbar selbst KI-Tools genutzt haben. Dabei sind wohl Fehler reingerutscht, unter anderem Links zu Quellen, die es gar nicht gibt. Laut Berichten gab es in dem Report insgesamt 496 Quellen, davon führten 26 ins Leere, weil die Seiten nie existiert haben sollen.

Das eigentliche Problem liegt weniger in der „bösen KI“, sondern darin, dass grundlegende Prüfungen versäumt wurden. Dadurch verlieren Warnungen vor Risiken wie KI-Betrug und Social Engineering an Glaubwürdigkeit.

ENISA hat inzwischen Mängel eingeräumt und sagt, KI sei nur für kleinere redaktionelle Überarbeitungen genutzt worden sei. Trotzdem bleibt ein unangenehmer Beigeschmack: Wenn sogar bei einer Behörde, die für Vertrauen und Standards stehen soll, die Quellenprüfung nicht sitzt, ist das ein echtes Signal, wie wichtig klare Regeln und menschliche Kontrolle beim KI-Einsatz sind.

 
INFORMATIONSSICHERHEIT

Allianz Risikobarometer: Cyberangriffe und KI ganz oben

Das neue Allianz Risikobarometer zeigt klar: Cybervorfälle bleiben weltweit das größte Risiko für Unternehmen und erstmals reiht sich auch Künstliche Intelligenz unter die größten Geschäftsrisiken ein. Auf den weiteren Plätzen folgen Betriebsunterbrechungen, gesetzliche Änderungen und Naturkatastrophen.

Das Ergebnis zeigt klar, dass Cybersicherheit längst zur strategischen Kernaufgabe gehört. Risiken lassen sich nicht vermeiden aber Resilienz lässt sich aufbauen.

DATENSCHUTZ

BGH: Kontrollpflichten bei Auftragsverarbeitung – Löschung muss nachweisbar sein

Mit Urteil vom 11.11.2025 (VI ZR 396/24) hat der BGH ein Thema aufgegriffen, das in vielen Unternehmen unterschätzt wird: die fortbestehenden Pflichten des Verantwortlichen beim Ende einer Auftragsverarbeitung. Wer personenbezogene Daten an einen Auftragsverarbeiter übermittelt, bleibt auch nach Vertragsende in der Verantwortung – insbesondere, wenn es um Löschung oder Rückgabe der Daten geht. Bloßes Vertrauen auf Zusagen des Dienstleisters reicht nicht; erforderlich sind aktive Kontrolle und Dokumentation.

Ein Anspruch nach Art. 82 Abs. 1 DSGVO setzt kumulativ voraus:

  • DSGVO-Verstoß
  • Schaden (materiell oder immateriell)
  • Kausalität zwischen Verstoß und Schaden

 

Was der BGH konkret fordert

Im entschiedenen Fall bejahte der BGH einen eigenen DSGVO-Verstoß der Beklagten (u. a. Art. 5 und Art. 32 DSGVO), weil:

  • Verantwortliche müssen tatsächlich sicherstellen, dass der Auftragsverarbeiter löscht/zurückgibt.
  • Eine vertraglich vorgesehene Löschbestätigung ist aktiv einzufordern.
  • Eine späte Nachfrage (erst Jahre später) beseitigt die Pflichtverletzung nicht.
  • Unterlassene Löschung kann als unrechtmäßige Verarbeitung gelten und Art.-82-Ansprüche auslösen.

 

Eine Entlastung nach Art. 82 Abs. 3 DSGVO gelingt nicht, wenn ein eigener fahrlässiger Verstoß vorliegt.

Das Urteil macht deutlich: Auftragsverarbeitung ist kein „Outsourcing“ der Verantwortung.
Unternehmen müssen Löschpflichten organisatorisch und technisch absichern, Nachweise aktiv einfordern und Kontrollen dokumentieren. Wer diese Nachweis- und Kontrollpflichten vernachlässigt, erhöht das Risiko, dass bereits die fortgesetzte Speicherung als unrechtmäßige Verarbeitung bewertet wird – mit möglichen Schadensersatzfolgen nach Art. 82 DSGVO.

INFORMATIONSSICHERHEIT

Cyberangriffe im Januar

Beim Telemedizin-Anbieter Dr. Ansay führte eine Sicherheitslücke dazu, dass rund 1.7 Millionen Rezepte einsehbar waren. Betroffen sind vor allem Cannabis-Verordnungen mit Kontakt- und Gesundheitsdaten sowie Medikationsdetails. Ursache war eine fehlerhafte Konfiguration der Datenbank-Zugriffsrechte. Ob und seit wann Daten abgeflossen sind, bleibt weiterhin offen.

 

Die Notaufnahme der Kreisklinik Roth musste aufgrund eines Cyberangriffs kurzzeitig geschlossen werden. Die Notfälle wurden auf die umliegenden Krankenhäuser umgeleitet. Bei der Übermittlung von Laborergebnissen griff man wieder auf Faxgeräte zurück. Auch eine Woche nach dem Angriff waren die Auswirkungen noch zu spüren.

 

Ein Sirenenalarm versetzte Halle (Saale) in diesem Monat für rund zehn Minuten in Angst: 16 Sirenen heulten mit einer englischen Durchsage über einen angeblichen Amoklauf. Stadt, Land und Bund schließen eine offizielle Auslösung aus, vieles deutet auf einen unautorisierten externen Zugriff und damit auf einen möglichen Cyberangriff hin. Eine Entwarnung per Sirene oder Warn-App fand nicht statt, da die Ursache zunächst unklar war.

 

Mitte Januar legte ein Ransomware-Angriff auf den IT-Dienstleister Conceptnet die Websites und E-Mail-Dienste von rund 500 Kunden lahm, darunter Stadtwerke Regensburg und der SSV Jahn Regensburg. Experten warnen nun vor einer akuten Phishing-Welle. Der betroffene Dienstleister zeigt sich offen und transparent und informiert auf seiner Website fast täglich über den Vorfall und die ergriffenen Maßnahmen.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Was ist die Summe aus 9 und 9?

Copyright 2026. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung