Sinnhaftigkeit von Cyberversicherungen, Rekordbußgeld wegen Videoüberwachung, Cyberangriffe im Januar
INFORMATIONSSICHERHEIT
TOP 10 der beliebtesten Passwörter in Deutschland 2023
Wie jedes Jahr hat der Fachbereich "Cybersecurity-Enterprise Security" am Hasso-Plattner-Insititut in einer Studie ausgewertet, welche Passwörter im letzten Jahr bei Internetnutzer:innen am beliebtesten waren. Das Ergebnis ist ernüchternd. Für verschiedene Dienste werden oft dieselben und extrem einfache Passwörter verwendet. Dadurch haben immer professioneller organisierte Cyberkriminelle beim Datendiebstahl ein leichtes Spiel. Das Ergebnis zeigt deutlich, dass die Nutzer:innen bei ihrer Passwortwahl nicht besonders kreativ vorgehen, und das, obwohl die Anforderungen bei vielen Online-Diensten verschärft worden sind. Es ist heutzutage essentiell, ein tiefgehendes Bewusstsein dafür zu entwickeln, dass das Passwort als der Schlüssel zur digitalen Welt fungiert. Dieses Bewusstsein trägt maßgeblich zur allgemeinen Datensicherheit bei.
INFORMATIONSSICHERHEIT
Über die Sinnhaftigkeit von Cyberversicherungen
Eine Variante in der Risikobehandlung ist die Auslagerung von verbleibenden Risiken an eine Cyber-Versicherung. In der täglichen Kundenberatung werden wir regelmäßig nach der Sinnhaftigkeit gefragt.
In diesem kurzen Artikel werfen wir einen Blick auf die Relevanz von Cyberversicherungen. Anhand eines Fallbeispiels eines Rechtsstreits verdeutlichen wir, warum es von enormer Bedeutung ist, Sicherheitsmaßnahmen kontinuierlich zu warten und zu verbessern. Unter folgendem Link finden Sie einen Artikel unseres Partnerunternehmes zu diesem Thema.
DATENSCHUTZ
Weiterleitung dienstlicher E-Mails an eine private E-Mail-Adresse rechtfertigt eine Kündigung
Wenn ein Mitglied des Betriebsrats eine Wählerliste an eine private E-Mail-Adresse weiterleitet, handelt es sich um einen schwerwiegenden Rechtsverstoß. Gemäß dem Urteil (Az.: 5 Ca 101/23) rechtfertigt ein derartiges Fehlverhalten eine außerordentliche Kündigung des Arbeitsverhältnisses.
Obwohl die Weiterleitung der Informationen dem Zweck der Ausübung seines Amtes als Wahlvorstand dienen sollte, zeigte das Betriebsratsmitglied eine gravierende Sorglosigkeit in dieser Angelegenheit. Die Sicherheitsvorkehrungen mit Zugangsschutz und Laufwerksverschlüsselung des privaten Equipments, sowie die Zutrittskontrolle in den privaten Arbeitsbereich, heben die berechtigten Vorwürfe des Arbeitgebers nicht auf. Durch das Senden der Wählerliste an die private E-Mail-Adresse wurde diese dem Schutz und der Kontrolle des Unternehmens entzogen, dass für den konformen Umgang mit diesen sensiblen Informationen verantwortlich ist.
Besonders prekär in diesem Fall ist, dass die Übermittlung der Wählerliste erst im Zuge eines Auskunftsersuchens des Betriebsratsmitglieds gegenüber dem Arbeitgeber ans Licht kam.
In der Praxis kommt es regelmäßig vor, dass die Weiterleitung dienstlicher Informationen an private Postfächer - meist aus besten Absichten - stattfindet. Aber auch wohlwollende Absichten ändern nichts an einem Regelverstoß.
Unser Tipp: Bringen Sie Ihr Anliegen gegenüber internen Stellen vor, damit hierfür gemeinsam eine konforme dienstliche Lösung gefunden werden kann.
DATENSCHUTZ
Notebooksbilliger muss Rekordbußgeld wegen rechtswidriger Videoüberwachung zahlen
Die Datenschutzbeauftragte von Niedersachsen, Barbara Thiel, erhebt schwere Vorwürfe gegen den Onlinehändler Notebooksbilliger. Das Unternehmen soll seine Mitarbeitenden über zwei Jahre lang ohne rechtliche Grundlage per Video überwacht haben. Nicht nur Mitarbeitende sind in diesem Fall betroffen, sondern auch Kund:innen, da einige Kameras auch den Verkaufsraum aufgezeichnet haben. Als Konsequenz verhängt Thiel ihnen ein Bußgeld in Höhe von 10,4 Millionen Euro, den höchsten Betrag, der jemals in Niedersachsen für einen Datenschutzverstoß verhängt wurde.
Trotz dieser schwerwiegenden Vorwürfe hat Notebooksbilliger Einspruch eingelegt. Der Geschäftsführer Oliver Hellmold argumentiert, dass das Bußgeld völlig unverhältnismäßig ist und in keiner Relation zur Größe und Finanzkraft des Unternehmens steht. Vielmehr soll hier ein Präzedenzfall geschaffen werden. Außerdem bestreitet das Unternehmen die vorsätzliche Absicht, das Verhalten und die Leistungen seiner Mitarbeitenden zu überwachen. Die Aufzeichnungen sollten vielmehr der Warenverfolgung dienen und Aufschluss über verschwundene oder beschädigte Ware geben.
Die Datenschutzbeauftragte kontert, dass zur Verhinderung von Diebstählen auch mildere Maßnahmen wie beispielsweise Taschenkontrollen durchführbar gewesen wären. Notebooksbilliger spekuliert nun darauf, im laufenden Gerichtsprozess die Bußgeldhöhe reduzieren zu können.
DATENSCHUTZ
Arbeitsgericht stellt fest: Unverschlüsselte E-Mail verstößt gegen die DSGVO
Das Arbeitsgericht Suhl hat entschieden, dass die in der DSGVO geforderte angemessene Sicherheit personenbezogener Daten in einer unverschlüsselten E-Mail nicht gewährleistet ist (Az. 6 Ca 704/23). Wird eine Auskunftsanfrage per Standard-E-Mail beantwortet, handelt es sich um einen Verstoß gegen die Datenschutzgrundverordnung Art. 5 Abs.1 lit.f. DSGVO und vor allem dann, wenn um eine schriftliche Beantwortung gebeten wurde.
Der Hintergrund dieser Angelegenheit war dieser: Infolge einer Auskunftsanfrage seitens eines Arbeitnehmers antwortete der Arbeitgeber, indem er die Anfrage mittels einer Standard-E-Mail beantwortete und ein personenbezogenes Datenblatt als Anhang beifügte.
Eine Klage auf Schadensersatz in Höhe von 10.000 € wegen eines Kontrollverlusts der Daten wurde abgewiesen. Dies wurde damit begründet, dass der Betroffene seinen Schaden nicht hinreichend darlegen konnte. Damit lehnte sich das Gericht an das kürzlich veröffentlichte Urteil des EuGH C-340/21 an.
In der Praxis lässt sich beobachten, dass die Anzahl von Auskunftsersuchen stetig zunimmt. Wir beobachten hierbei zwei Personengruppen. Zum einen Betroffene, die Ihrem Recht auf informationelle Selbstbestimmung nachkommen möchten und Betroffene, die bei der verantwortlichen Stelle unnötigen Aufwand erzeugen möchten, beispielsweise auf Grund einer abgelehnten Stelle.
Unabhängig von den Hintergründen, sollten die Anfragen geprüft und bearbeitet werden. Auch wenn bisher keine Daten verarbeitet wurden, liegen mit der Anfrage zumindest die darin enthaltenen personenbezogenen Informationen vor. In jedem Fall gilt bei der Bearbeitung von Betroffenenrechten Gewissenhaftigkeit vor Schnelligkeit.
Sollten Sie bei der Bearbeitung von Betroffenenrechten unsicher sein, kommen Sie jeder Zeit gerne auf uns zu!
INFORMATIONSSICHERHEIT
Cyberangriffe im Januar
Zum Jahresbeginn warnt die Zentralstelle Cybercrime Bayern vor einer neuen aufkommenden Phishing-Welle. Cyberkriminelle versuchen vermehrt, Konten zu plündern, indem sie zunächst Zugangsdaten zu Bankkonten stehlen. Anschließend nehmen sie telefonisch Kontakt mit den Opfern auf und überzeugen sie, ihnen den PUSH-TAN zu übermitteln. Mithilfe der gesammelten Daten richten die Kriminellen dann virtuelle Debitkarten ein und aktivieren damit diverse Zahlsysteme. Diese perfide Vorgehensweise wurde erstmals im Sommer 2022 festgestellt und erreichte seine Hochphase im Winter 2023. Es kam bereits zu Festnahmen und Verurteilungen im Zusammenhang mit diesen kriminellen Machenschaften.
In diesem Monat ist die bekannte Fast-Food-Kette Subway Ziel eines Cyberangriffs geworden. Die gefährliche Ransomwaregruppe Lockbit behauptet, Hunderte von Gbytes an Firmendaten gestohlen zu haben, darunter auch sensible Informationen zu Mitarbeitergehältern, Umsatzzahlen und Lizenzzahlungen. Bisher scheint Subway nicht auf die Forderungen zu reagieren. Die Hackergruppe hat dem Unternehmen eine Frist bis zum 2. Febuar 2024 gesetzt, andernfalls drohen sie damit, die gestohlenen Daten an Konkurrenten zu verkaufen.
Zu einem umfangreichen Nutzerdatendiebstahl kam es im Januar bei dem beliebten Aufgabenverwaltungsonlinedienst Trello. Mithilfe von Scraping-Techniken gelang es Cyberkriminellen, Daten von mehr als 15 Millionen Nutzern zu kopieren. Diese gestohlenen Informationen sind nun im Darknet zum Verkauf verfügbar. Über den genauen Hergang des Datenlecks ist bisher noch nichts bekannt. Trello-Nutzer:innen haben jedoch die Möglichkeit, auf der Website Have-I-Been-Pwned.com zu prüfen, ob sie von diesem unbefugten Datendiebstahl betroffen sind.
Mitte des Monats fiel der schwäbische Lokalradiosender Donau 3 FM einer Ransomware-Attacke zum Opfer. Die unbekannten Angreifer legten sämtliche digitalen Geräte lahm und sperrten auch die Rechner des Radiosenders. Trotz dieser technischen Herausforderung ließ sich der Radiosender nicht daran hindern, weiterhin zu senden. Es wurde kreativ improvisiert und auf klassische Methoden wie Schallplatten, CDs und Live-Musik zurückgegriffen. Seit einigen Tagen laufen nun die wichtigsten Systeme des Senders wieder und die Kriminalpolizei Ulm ermittelt in diesem Sachverhalt.
Mitte Januar hatten viele Handwerkskammern in Bayern und anderen Bundesländern mit erheblichen IT-Ausfällen zu kämpfen. Der IT-Dienstleister ODAV aus Straubing hat nun bestätigt, dass ein Malware-Angriff Anfang Januar die Ursache dafür war. Internetauftritte waren nicht erreichbar und an einigen Standorten war sogar der E-Mail Verkehr eingeschränkt. Mit Hochdruck wird daran gearbeitet, alle Systeme wieder vollständig in Betrieb zu nehmen. Ein Datenabfluss kann leider nicht ausgeschlossen werden.
Auch der Instagram-Account der Polizei Braunschweig ist Opfer eines Hacks geworden. Offenbar handelte es sich um eine Attacke von Scammern, die darauf abzielen, zahlreiche Accounts übernehmen. Mit den erlangten Konten versuchen sie, ahnungslose Follower:innen auf unseriöse Seiten weiterzuleiten. Kurzzeitig wurde auf dem Profil der Polizei sogar Werbung für ein Weingeschäft in Boston geschaltet. Inzwischen hat die Braunschweiger Polizei die Kontrolle über ihren Instagram-Account zurückerlangt.
Einer der größten IT-Serviceprovider Europas, Tietoevry aus Finnland, hat auch mit den Folgen eines Ransomware-Angriffs zu kämpfen. Die betroffene Plattform in einem Rechenzentrum in Schweden wurde umgehend isoliert. Die Auswirkungen für die schwedischen Kund:innen sind aber verheerend. Die größte Kinokette des Landes konnte plötzlich keine Tickets mehr verkaufen, das Lohnbuchhaltungssystem Primula stand nicht mehr zur Verfügung, und in einer Region ist sogar das Gesundheitssystem betroffen. Es gibt Anzeichen dafür, dass die Hackergruppe Akira hinter diesem Vorfall steckt, dieselbe Gruppe, die auch für den prominenten Angriff auf Südwestfalen IT verantwortlich gemacht wurde.
WIR UNTERSTÜTZEN SIE GERNE
Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!
Kleiner Hinweis, auch im Datenschutz und der IT-Sicherheit gibt es Ehrentage.
Wussten Sie schon das heute am 01.02.2024 Ändere-dein-Passwort Tag in den USA ist? Dieser Ehrentag sollte auch bei uns in Deutschland grade im Bezug auf die Bedrohunglage genutzt werden.
Ebenso ist jedes Jahr am 28.01. der europäische Datenschutztag besser bekannt als Data Protection Day! |