Handreichung für EU Data Act, 2FA-Methoden und vieles mehr...

INFORMATIONSSICHERHEIT

Neue OneDrive-Funktion kann zur Compliance-Falle werden

Ab Mai 2025 führt Microsoft standardmäßig eine neue Funktion ein: Der OneDrive Sync Client unter Windows erkennt nun automatisch persönliche Microsoft-Konten auf Geschäftsgeräten und fordert Nutzer zur Synchronisierung ihrer privaten OneDrive-Daten ohne administrative Zustimmung auf. Werden keine Gruppenrichtlinien gesetzt, können private und geschäftliche Daten unkontrolliert miteinander vermischt werden - ein riskanter Blindspot, der zur Compliance-Falle werden kann.

In diesem Artikel unseres Partnerunternehmens finden Sie Maßnahmen die Sie ergreifen können und worauf es aus strategischer Sicht jetzt ankommt.

 

DATENSCHUTZ

EU Data Act: Hilfreiche Handreichung für Unternehmen

Ab dem 12. September 2025 tritt der europäische Data Act in Kraft. Dieser verpflichtet Hersteller internetfähiger Geräte wie beispielsweise Maschinen, Haushaltsgeräte oder Fahrzeuge dazu, die von diesen Geräten gesammelten Daten auch mit Dritten zu teilen. Für viele betroffene Organisationen stellt das eine Herausforderung dar. Einerseits muss ein Weg gefunden werden, sichere Schnittstellen zu schaffen, andererseits ist dafür Sorge zu tragen, dass Vorschriften in Bezug auf Datenschutz sowie Geschäftsgeheimnisse eingehalten werden.

Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine kompakte Handreichung mit dem Titel "Der Data Act als Herausforderung für den Datenschutz" veröffentlicht, die eine prägnante Zusammenfassung über die Thematik bietet.

 

INFORMATIONSSICHERHEIT

Zwei-Faktor-Authentifizierung und Phishing: Warum das richtige Verfahren zählt

Wir betonen immer wieder, dass Phishing nach wie vor zu den größten Bedrohungen im digitalen Raum zählt. Eine gut geschulte Belegschaft mit einem hohen Maß an Security-Awareness ist daher ein unverzichtbarer Bestandteil jeder IT-Sicherheitsstrategie. Doch Awareness allein reicht nicht aus, um dem allgegenwärtigen Risiko wirksam zu begegnen. Die Anwendung modernster technischer Maßnahmen wie die Nutzung von Passkeys ist entscheidend, um einen robusten technischen Schutz vor Phishing zu ermöglichen und Angriffsflächen einzuschränken.

Unser Partnerunternehmen hat dazu einen Artikel erstellt und sprechen eine Empfehlung für die Praxis aus.

 

DATENSCHUTZ

Verwarnung wegen Versendung einer ungeschützten Mail

Der hamburgische Beauftragte für Datenschutz und Informationssicherheit hat eine Verwarnung gegenüber einem Betreuer ausgesprochen, der eine E-Mail mit hochsensiblen Informationen versehentlich an eine gleichnamige Person zustellte. Das eigentliche Ziel wäre eine Ärztin in einer Gesundheitseinrichtung gewesen, in der die betroffene Person aktuell behandelt wurde.

Der E-Mail lagen eine Kopie eines Personalausweises, der Betreuerausweis, ein Notfallbericht eines Krankenhauses und ein Feststellungsbescheid zu einem Grad der Behinderung bei. Dem Notfallbericht war eine Diagnose zu einer schweren psychischen Erkrankung der betreuten Person zu entnehmen. Zudem wurden die schwierige aktuelle Situation und die prägende familiäre Geschichte dargelegt. Der Betreuer führte in der E-Mail selbst aus, dass für die betreute Person Grundsicherung beantragt werden soll.

Werden solche Daten verarbeitet, ist von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person auszugehen. Es gibt kaum Daten, die in ihrer Gesamtheit einen sensibleren Inhalt darstellen. Der E-Mail-Versand von streng vertraulichen Informationen verlangt einen hohen Schutzstandard und muss zwingend Ende-zu-Ende verschlüsselt oder postalisch erfolgen!

 

DATENSCHUTZ

LAG bestätigt Ausschluss aus dem Betriebsrat nach Weiterleitung dienstlicher E-Mails

Bereits in unserer Februar-Ausgabe haben wir auf das BFSG hingewiesen, das zum 28. Juni 2025 seine Wirkung entfalten wird. Neben der Bundesfachstelle Barrierefreiheit hat auch Rechtsanwalt Dr. Thomas Schwenke einen umfangreichen Ratgeber mit FAQ zum BFSG veröffentlicht. Falls Sie sich darüber informieren möchten, können wir Ihnen diese beiden Quellen empfehlen.

 
DATENSCHUTZ

Urteil des LAG Baden-Württemberg: Trendbegriff 'Digital Native' ist diskriminierend

Ein weiterer Vorfall in Zusammenhang mit dem E-Mail-Versand wurde durch das Landesarbeitsgericht Frankfurt bestätigt. Ein Betriebsratsvorsitzender eines Klinikträgers leitete in sein dienstliches E-Mail-Postfach eingehende Nachrichten automatisch an seine private E-Mail-Adresse weiter. Trotz bereits erfolgter Abmahnung setzte er die Nutzung privater Dienste fort.

Besonders schwer wog dabei ein Vorfall, bei dem eine vollständige Personalliste mit hochsensiblen Informationen zunächst an das private Postfach und erst nach Bearbeitung an das dienstliche Postfach zurückgesendet wurde. Das Arbeitsgericht Wiesbaden gab den Antrag in erster Instanz statt. Die hiergegen eingereichte Beschwerde wurde nun vom LAG Frankfurt zurückgewiesen.

 

 

INFORMATIONSSICHERHEIT

Cyberwarnung vor russischer GRU-Einheit 26165 - CSA warnt

Der Bundesnachrichtendienst (BND), das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das Bundesamt für Verfassungsschutz (BfV) haben gemeinsam mit internationalen Partnern einen Sicherheitshinweis (=gemeinsame Beratung zur Cybersicherheit (CSA)) veröffentlicht.


Darin warnen sie vor gezielten Cyberangriffen der russischen GRU-Einheit 26165, die insbesondere auf Unternehmen, die an der Koordinierung, dem Transport sowie der Lieferung von Hilfsgütern für die Ukraine eingebunden sind, zielt.

Verantwortlich für die Angriffe ist eine Einheit des russischen Militärgeheimdienstes GRU sowie die ihr zugehörige Cybergruppierung APT28, die auch unter den Namen Fancy Bear, Sofacy oder Forest Blizzard bekannt ist. Diese Gruppierung ist seit 2004 aktiv und hat bereits in der Vergangenheit Cyber-Angriffe, so z. B. auf den Deutschen Bundestag (2015), die demokratische US-Partei (2016) sowie die SPD (2023) vorgenommen.

Die aktuellen Aktivitäten zielen vor allem auf das Ausspähen strategisch wichtiger  Infrastruktur wie Flughäfen, Häfen, Bahnlinien und Grenzübergänge ab. So wurden beispielsweise IP-Kameras in der Ukraine und angrenzenden Staaten kompromittiert, um Hilfstransporte zu überwachen und potenzielle Sabotageakte vorzubereiten. Für einen Zugriff nutzte APT28 im Jahr 2023 vor allem Schwachstellen in Microsoft Outlook sowie Spear-Phishing-Mails. Im Jahr 2024 verlagerte sich der Fokus auf sogenannte Brute-Force-Angriffe.

Der veröffentlichte Sicherheitshinweis führt eingesetzte Techniken, Taktiken und Vorgehensweisen (TTPs) der GRU-Einheit 26165 auf und enthält konkrete Empfehlungen zur Absicherung von IT-Infrastrukturen, zur Abwehr möglicher Angriffe sowie zur Schadensbegrenzung.

 

DATENSCHUTZ

Urteil des ÖBVwG: Unzulässiger Einsatz von Google reCAPTCHA

Das österreichische Bundesverwaltungsgericht (ÖBVwG) entschied, dass der Einsatz von Google reCAPTCHA nur mit aktiver und informierter Einwilligung der Nutzer erlaubt ist. Auch wenn das Verhindern von Bot-Eingaben mittels reCAPTCHA für den Webseitenbetreiber vorteilhaft ist, stellt es keinen technisch zwingenden Bestandteil einer Webseite dar. Ein berechtigtes Interesse am Einsatz eines reCAPTCHA reicht hierfür nicht aus.

In diesem Zusammenhang weisen wir auf eine weitere praxisnahe Handreichung des HmbBfDI zu einem datenschutzkonformen Internetauftritt hin.

 

DATENSCHUTZ

Anstieg bei Datenschutzverstößen – Schadenspotenzial durch Cyberangriffe wächst

Im Tätigkeitsbericht des HBDI für das Jahr 2024 wird ein Anstieg der Meldungen von Datenschutzverletzungen um 11 % auf den Höchststand von 2.141 Fällen verzeichnet. Häufige Ursachen waren Fehlversand, ungeschützte E-Mail-Verteiler sowie Cyberangriffe. Zwar ging die Zahl der gemeldeten Cyberangriffe leicht auf 482 zurück, jedoch nehmen die daraus resultierenden Schäden zu – insbesondere, da vermehrt Auftragsverarbeiter und zunehmend auch Kommunen in Hessen erfolgreich attackiert wurden.

 

INFORMATIONSSICHERHEIT

Cyberangriffe im Mai

Hackern ist es gelungen, rund 180.000 Kundendaten der Berliner Verkehrsbetriebe (BVG) abzugreifen. Der Angriff auf einen externen Dienstleister erfolgte bereits im April. Die Betroffenen erfuhren aber erst Wochen später davon. Für die betroffenen Personen wurde ein E-Mail-Postfach und eine Hotline eingerichtet.

Auch einen deutschen Standort der global agierenden Molkerei Arla hat es diesen Monat getroffen. Die Produktion in Uphahl wurde durch einen Cyberangriff erheblich beeinträchtigt. Es kam zu Verzögerungen bei der Auslieferung und zu stornierten Bestellungen. Das dänisch-schwedische Großunternehmen arbeitet derzeit mit Hochdruck daran, den Normalbetrieb wiederherzustellen.

Die Sächsische Landesärztekammer gab Anfang Mai auf ihrer Webseite bekannt, dass sie einem Cyberangriff zum Opfer gefallen ist - ein Verschlüsselungstrojaner wurde angewandt. Die Angreifer nutzten dafür eine Schwachstelle auf einem Webserver aus, der von einem externen Dienstleister gehostetet wurde. Nach aktuellen Erkenntnissen wurden jedoch keine personenbezogenen Daten entwendet.

Cyberkriminellen gelang es, die Webseite der Stadtverwaltung Stuttgart durch eine DDoS-Attacke lahmzulegen. Daraufhin musste diese vorübergehend komplett vom Netz genommen werden. Die digitalen Services der Stadt standen den Bürgern währenddessen nicht zur Verfügung. Hinter der Attacke stecken wohl die selben Täter, die im Februar auch die Webseite der Stadt München attackiert haben.

Das bekannte Luxuskaufhaus Harrods in London sowie weitere große Einzelhandelsketten in Großbritannien sind Ziel einer Serie von Cyberangriffen geworden. Nachdem ein unautorisierter Zugriff auf die IT-Systeme festgestellt wurde, leiteten sie umgehend proaktive Schutzmaßnahmen ein. Infolgedessen war der Zugriff auf die Website des Kaufhauses eingeschränkt. Das stationäre Geschäft blieb aber weiterhin geöffnet.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 7 und 1.

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung