Sicherheitsvorfall aus der Praxis, NIS2-Registrierungsportal online, Cyberfestung Bayern und vieles mehr...

INFORMATIONSSICHERHEIT

Microsoft 365: Neuer Baseline Security Mode optimiert Sicherheitsarchitektur

Microsoft setzt neue Maßstäbe für die Sicherheit in der Cloud: Mit dem neuen Mode wird Anfang 2026 ein zentraler Sicherheitsstandard für Microsoft 365 eingeführt, der bewährte Schutzmechanismen für Exchange, SharePoint, Teams und Entra ID bündelt.

Neu ist ein zentrales Dashboard, dass Administratoren einen umfassenden Überblick über den aktuellen Sicherheitsstatus verschafft. Ergänzt wird dies unter anderem durch Risikoeinstufungen und Impact-Analysen, die zeigen, welche Auswirkungen geplante Änderungen haben, bevor sie umgesetzt werden.

Für Anwender bleiben Änderungen zunächst ohne direkte Auswirkungen. Erst wenn Administratoren Maßnahmen aktivieren, greifen die neuen Sicherheitsstandards.

Was bedeutet das für Unternehmen?

Der Baseline Security Mode ermöglicht es, Microsoft 365 mit minimalem Aufwand deutlich besser abzusichern, denn zentrale Best Practices werden systemseitig bereits berücksichtigt. Dennoch gilt: Jede Umgebung ist anders. Vor der Aktivierung sollte sorgfältig geprüft werden, wie sich die Einstellungen auf den Tenant auswirken.

 

INFORMATIONSSICHERHEIT

Wenn KI-Nutzung Vertrauen kostet

Künstliche Intelligenz bringt Tempo in Prozesse, aber auch neue Risiken für Vertrauen und Glaubwürdigkeit. Ein aktueller Fall beim ZDF zeigt dies deutlich. In einem Beitrag im "heute journal" wurde eine KI-generierte Sequenz ohne Kennzeichnung ausgestrahlt.

Der Vorfall zeigt, wie schnell aus einem Technikfehler ein Reputationsrisiko wird.

 

DATENSCHUTZ

Brasilien erhält EU-Angemessenheitsabschluss für den Datenschutz

Die Europäische Kommission hat am 26. Januar 2026 einen Angemessenheitsbeschluss nach Art. 45 DSGVO für Brasilien erlassen. Damit gilt das Datenschutzniveau in Brasilien aus EU-Sicht als im Wesentlichen gleichwertig.

Grundlage ist vor allem das brasilianische Datenschutzgesetz LGPD. Für Unternehmen bedeutet das mehr Rechtssicherheit bei Datenübermittlungen nach Brasilien und weniger Aufwand bei der vertraglichen Absicherung.

 

INFORMATIONSSICHERHEIT

Bundestag beschließt neues KRITIS-Dachgesetz

Der Bundestag hat am 29. Januar 2026 das KRITIS-Dachgesetz verabschiedet und damit die CER-Richtlinie (EU) 2022/2557 in deutsches Recht umgesetzt. Das Gesetz legt den Schwerpunkt auf die physische Sicherheit und Widerstandsfähigkeit kritischer Anlagen.

Die Anforderungen an die Cybersicherheit werden dagegen im Gesetz zur Umsetzung der NIS-2 Richtlinie (NIS2UmsuCG) geregelt. Beide Regelwerke greifen ineinander und gelten parallel für Betreiber kritischer Infrastrukturen.

 

DATENSCHUTZ

FAQ zum Data Privacy Framework (DPF)

Der Europäische Datenschutzausschuss hat eine aktualisierte FAQ zum Data Privacy Framework veröffentlicht. Sie richtet sich an europäische Unternehmen sowie betroffene Personen und bietet eine kompakte Orientierung zu Datentransfers in die USA.

 
KÜNSTLICHE INTELLIGENZ (KI)

Deutschlands erste KI-Fabrik für die Industrie eröffnet

Die Deutsche Telekom hat in München zusammen mit Nvidia eine Industrial AI Cloud eröffnet. Das neue Rechenzentrum zählt zu den größten KI-Infrastrukturprojekten Europas und stellt leistungsstarke Rechenkapazitäten für Industrie und Forschung bereit. Ziel ist es, die digitale Souveränität in Deutschland und Europa zu stärken.

In der KI-Fabrik arbeiten rund 10.000 spezialisierte KI-Chips mit etwa 20 Petabyte Speicher. Die Kapazitäten richten sich vor allem an große Unternehmen und an den Mittelstand. Laut Telekom steigt die verfügbare KI-Rechenleistung in Deutschland damit um rund 50 Prozent.

DATENSCHUTZ

reCAPTCHA: Google wird zum Auftragsverarbeiter

Google ändert zum 2. April 2026 die datenschutzrechtliche Rolle von reCAPTCHA grundlegend. Statt selbst Verantwortlicher zu sein tritt Google künftig als Auftragsverarbeiter nach Art. 28 DSGVO auf. Verantwortlich im Sinne der DSGVO sind dann ausschließlich die Webseitenbetreiber, die reCAPTCHA einsetzen. Die Änderung ist für die rechtliche Einordnung relevant, nicht für die technische Umsetzung.

Bisher hatte Google einen erheblichen Gestaltungsspielraum bei Zweck und Nutzung der über reCAPTCHA erhobenen Daten. Mit der neuen Rollenverteilung wird die Zweckbindung klarer: Google darf die Daten nur noch zur Bereitstellung und Absicherung des Dienstes verarbeiten, nicht mehr für eigene Zwecke. Hierzu wurden die Google Cloud Platform Service Specific Terms aktualisiert, die unter anderem die Nutzung von Google reCAPTCHA regeln.

 

INFORMATIONSSICHERHEIT

Consenter von BfDI offiziell anerkannt

Cookie-Banner sind der sichtbare Beweis für überformalisierte Datenschutzanforderungen. Der positive Zweck dahinter steht im Alltag oft im Konflikt mit genervten „Alles Akzeptieren-Klicks“.

Mit der Einwilligungsverwaltungsverordnung (EinwV) hat der deutsche Gesetzgeber den Weg zu Personal Information Management Systems (PIMS) geöffnet. Diese Dienste sollen Einwilligungen zentral verwalten und für Nutzer deutlich vereinfachen.

Mit Consenter wurde erstmals ein solcher Dienst offiziell von der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) anerkannt. Mit dem Browser-Plugin werden festgelegte Cookie-Präferenzen automatisch an Webseiten übermittelt. Cookie-Banner sollen dadurch stark reduziert werden.

Der Haken an der Sache: Webseiten sind nicht verpflichtet PIMS zu unterstützen und müssen weiterhin Cookie-Banner anzeigen, solange Nutzer keinen Einwilligungsagenten einsetzen. Es ist zu hoffen, dass eine breite Marktdurchdringung erreicht wird und somit Cookie-Banner irgendwann der Vergangenheit angehören werden.


DATENSCHUTZ

KDG Novelle - Was ändert sich?

Mit der Novelle des Gesetzes über den Kirchlichen Datenschutz (KDG) und der überarbeiteten KDG-DVO wird das kirchliche Datenschutzrecht strukturell modernisiert. Ziel ist eine stärkere Angleichung an die DSGVO und das Bundesdatenschutzgesetz – bei gleichzeitiger Wahrung kirchlicher Besonderheiten. Die Neufassung ist zum 1. Mai 2023 in Kraft getreten. Inhaltlich wurden insbesondere Begriffsdefinitionen, Rechtsgrundlagen sowie Regelungen zu Einwilligungen und zum Beschäftigtendatenschutz präzisiert. Zudem sind die Anforderungen an technische und organisatorische Maßnahmen (TOM) klarer gefasst worden. Damit wird die Verzahnung von Datenschutz und Informationssicherheit weiter gestärkt.

Handlungsbedarf konkret für Auftragsverarbeiter: Dienstleister, deren Kunden dem KDG unterliegen, sollten prüfen, ob ihre Auftragsverarbeitungsverträge (AVV) ausdrücklich auf die aktuelle KDG-Fassung Bezug nehmen. Bei Verträgen mit Verweisen auf frühere Fassungen empfiehlt sich eine rechtliche und formale Überprüfung und – falls erforderlich – eine entsprechende Anpassung.

INFORMATIONSSICHERHEIT

Cyberangriffe im Februar

Eine ungeschützte Datenbank mit rund 149 Millionen Zugangsdaten lag frei im Netz. Ein Sicherheitsforscher entdeckte diese kürzlich mit gestohlenen Logins aus Infostealer Malware. Betroffen sind große Dienste wie Gmail und Meta. Der Hoster hat die Daten inzwischen offline genommen. Das Risiko für Credential Stuffing ist hoch.

Die Werkstatt Bremen, ein Eigenbetrieb der Stadt, wurde diesen Monat mit Ransomware attackiert. Die IT der Werkstatt fiel weitgehend aus, viele Rechner ließen sich nicht mehr starten und die Kommunikation war stark eingeschränkt. Da der Betrieb auch die Computertechnik der polizeilichen Beweisstückstelle betreut, war diese auch indirekt betroffen.

Auch der Mineralwasserabfüller Romina in Reutlingen wurde Ziel einer Cyberattacke. Die Produktion stand mehrere Tage still, täglich konnten Hunderttausende Flaschen nicht abgefüllt werden. Anlagen wurden heruntergefahren und mussten vor dem Neustart aufwendig gereinigt werden. Außerdem war die Kommunikation stark eingeschränkt, sodass die Buchhaltung zeitweise manuell abgewickelt werden musste.

Mitte Februar kam es beim Anbieter für Mitarbeiter Benefits SpenditCard zu einem IT-Sicherheitsvorfall. Unbefugte verschafften sich Zugriff auf Teile der IT-Infrastruktur. Nach aktuellem Stand sind ausschließlich Daten im Zusammenhang mit SpenditCard betroffen. Die Karten; PINs; Mobilnummern und App-Passwörter sollen nicht abgeflossen sein. Es ist jedoch möglich, dass einzelne Basisdaten nun für gezielte Social Engineering-Angriffe genutzt werden.

Auch die Deutsche Bahn hat es im Februar getroffen. Ein Cyberangriff legte zeitweise die Auskunfts- und Buchungssysteme lahm. Laut der Deutschen Bahn handelte es sich um eine DDoS-Attacke, die in mehreren Wellen ablief und sowohl die App als auch Website betraf. Nutzer konnten zeitweise keine Verbindungen abrufen oder Tickets buchen. Die Bahn hat die Systeme stabilisiert, meldete aber zwischenzeitlich weitere Störungen.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Was ist die Summe aus 3 und 8?

Copyright 2026. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung