NIS-2, Produktsicherheitsverordnung und vieles mehr


INFORMATIONSSICHERHEIT

NIS-2 Regierungsentwurf vom Bundeskabinett beschlossen

 

Am 24.07.2024 wurde der von Innenministerin Nancy Faeser vorgelegte Entwurf für ein Gesetz zur Netzwerk- und Informationssicherheit beschlossen. Ein Vergleich des letzten Referentenentwurfs zum verabschiedeten Regierungsentwurf finden Sie hier.

Das deutsche IT-Sicherheitsrecht wird damit umfassend modernisiert und neu strukturiert. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden neue Aufsichtsinstrumente und Unterstützungsangebote zugeteilt, um die Umsetzung so reibungslos wie möglich zu gestalten.  

Betroffenheitsprüfung
Über eine Zuordnung von Ja/Nein-Fragen können Unternehmen die eigene Betroffenheit prüfen. Eine Einteilung erfolgt dann über 4 Kategorien: Betreiber kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen.

FAQ-Katalog
Fragen und Antworten zu den wichtigsten NIS-2-Themen finden sich in einem neu veröffentlichten FAQ-Katalog.

 


SONSTIGES

Produktsicherheitsverordnung

Um den stetig entwickelnden Gegebenheiten im Zusammenhang mit der Produktsicherheit und den damit verbundenen Herausforderungen gerecht zu werden, wurde seitens der Europäischen Union die „Verordnung über die allgemeine Produktsicherheit“ (EU 2023/988) erlassen. Sie ersetzt u. a. die allgemeine Produktsicherheits-Richtlinie (EG 2001/95). In Kraft getreten ist die Verordnung bereits am 13.06.2023, Ihre Geltung entfaltet Sie aber 18 Monate später, ergo am 13.12.2024.

So bringt die neue Verordnung einige neue Verpflichtungen für betroffene Unternehmen mit sich. Demnach wurde im Vergleich zur Vorgänger-Richtlinie der persönliche Anwendungsbereich des Gesetzes auf Anbieter von Online-Marktplätzen erweitert, diverse neue Kriterien zur Beurteilung der Sicherheit bei Produkten, eine Meldepflicht bei Unfällen, sofern diese in Kausalität mit der Sicherheit von Produkten stehen sowie die Durchführung einer internen Risikoanalyse für alle hergestellten Produkte.

So ist u. a. aus datenschutzrechtlicher Sicht die neue Vorgabe aus Art. 35 der Produktsicherheitsverordnung relevant. Demnach müssen die von der Verordnung betroffenen Unternehmen gewährleisten, dass im Falle von Produktsicherheitsrückrufen oder Sicherheitswarnungen alle ermittelbaren betroffenen Verbraucher unverzüglich informiert werden. Die hierzu erforderlichen Kontaktdaten stellen personenbezogenen Daten dar und müssen demnach im Einklang mit der DSGVO verarbeitet werden.

Im Allgemeinen ergeben sich durch die neue Verordnung folgende To-Do´s aus datenschutzrechtlicher Sicht:

  • Aktualisierung bestehender bzw. Erstellung neuer Datenschutzhinweise pro Verarbeitung
  • Aktualisierung bestehender bzw. Erstellung neuer Verarbeitungstätigkeitenverzeichnisse

Sollten Sie hierbei Unterstützung benötigen, kontaktieren Sie uns gerne!

 

INFORMATIONSSICHERHEIT

Versicherung muss nach Cyberangriff nicht zahlen

In der Rechtssache (Az. 5 O 128/21) vom 23. Mai 2024 entschied das Landgericht Kiel (LG), dass eine Cyberversicherung bei Falschangaben im Antragsformular den Leistungsfall aufgrund arglistiger Täuschung abweisen kann.

Zum Hintergrund:

Ein Holzgroßhandel mit 16 Standorten in Norddeutschland schloss im 1. Quartal 2020 eine Cyber-Versicherung ab. Im Rahmen der Antragstellung mussten Risikofragen beantwortet werden, die die Grundlage für den Vertragsabschluss bildeten. Die Fragen ob “alle stationären und mobilen Arbeitsrechner mit einer Antivirensoftware ausgestattet sind?” und “verfügbare Sicherheitsupdates ohne schuldhaftes Zögern eingespielt werden?” wurden mit “ja” und damit laut dem LG Kiel falsch beantwortet.   

Im Moment des Angriffs waren mehrere zentrale Systeme wie Domain Controller (Auslieferungszustand) oder Webshop-Server ohne Antivirensoftware und aktuelle Sicherheitsupdates in Betrieb.

Das Landgericht Kiel bewertete dies als arglistige Täuschung mit der Begründung, dass entweder der Umstand der internen IT bekannt war oder ohne gründliche Überprüfung Angaben gemacht wurden.

 

INFORMATIONSSICHERHEIT

Fehlerhaftes Update Crowdstrike Falcon

Am 19. Juli 2024 sorgte ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike für den Ausfall von rund 8,5 Millionen Windows-Systemen weltweit und damit womöglich zum größten Ausfall aller Zeiten. Verstärkt wurde dies noch damit, dass ein großer Teil kritischer Infrastrukturen und rund 60% aller Fortune-500-Unternehmen (umsatzstärkste Unternehmen) CrowdStrike nutzen. Betroffen waren unter anderem Flughäfen, Krankenhäuser und Banken. Durch die bisherige Strategie, das Update gleichzeitig an alle Kunden zu verteilen, wurde dieser extreme Impact zusätzlich befeuert.   

CrowdStrike hat bereits Verbesserungspotentiale angekündigt. Zukünftig sollen Updates einer umfassenderen Prüfung unterzogen werden inkl. Stress- und Stabilitätstests einschließlich der Schnittstellen. Weiter werden Updates nun schrittweise herausgebracht, um einen vergleichbaren Massenausfall zu vermeiden. Kunden werden zukünftig entscheiden können, welche Updates wann auf den Systemen installiert werden sollen.

 

INFORMATIONSSICHERHEIT

KI-Verordnung tritt in Kraft 

Nach der Veröffentlichung der KI-Verordnung am 12. Juli 2024 im Amtsblatt der Europäischen Union, gilt diese ab dem 2. August 2026. Sie tritt in mehreren Stufen in Kraft. Kapitel I und II gelten ab dem 2. Februar 2025. Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII und Artikel 78 gelten ab dem 2. August 2025, mit Ausnahme des Artikels 101; Artikel 6 Absatz 1 und die entsprechenden Pflichten gelten ab dem 2. August 2027.  

Neben den allgemeinen Bestimmungen in Kapitel 1 gelten damit als erstes Verbote für KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürger darstellen. KI-Systeme, die nur ein geringes Risiko mit sich bringen, sind von der KI-Verordnung nicht umfasst. Diese befinden sich damit aber nicht in einem rechtsfreien Raum. Die DSGVO ist technikneutral und gilt insbesondere auch für KI-Systeme. Durch die hohe Komplexität von KI-Systemen und der damit einhergehenden geringeren Transparenz sind die KI-spezifischen Vorgaben aus der KI-Verordnung für den Schutz der Grundrechte wichtig.   

Neben anderen Aufsichtsstrukturen sind den Datenschutzaufsichtsbehörden Aufgaben im Rahmen der KI-Verordnung zugeteilt. Sie bleiben auch für Datenschutzverletzungen im Zusammenhang mit KI-Systemen die zuständigen Ansprechpartner. Weiter bieten Aufsichtsbehörden Informationen zum datenschutzkonformen Umgang mit KI-Systemen z. B. die KI-Checkliste des BayLDA oder den Orientierungshilfen-Navigator KI & Datenschutz der Datenschutzaufsicht Baden-Württemberg.

 

INFORMATIONSSICHERHEIT

Cyberangriffe im Juli

Gleich zum 1. Juli kündigte die Ransomware-Gruppe Ransomexx einen Leak von TÜV Rheinland Akademie Daten an, sollte auf die Lösegeldzahlung nicht eingegangen werden. Die gestohlenen Daten umfassen Schulungsinhalte, Raumbuchungen und auch Zugangsdaten. Der Datendiebstahl resultierte aus einem Angriff von Juni 2024. Das Netzwerk der Akademie selbst hat keine Verbindung in das Konzernnetzwerk, wurde deaktiviert und befindet sich im Neuaufbau.  

Ein weiterer Cyberangriff traf Anfang Juli den deutschen Hersteller für Hochleistungskühler und Wärmetauscher AKG. Der Angriff führte zu Produktionseinschränkungen und Kommunikationsproblemen. Mitte Juli konnte AKG den Wiederanlauf der Produktion mitteilen.  

Am 6. Juli wurde die Frankfurter University of Applied Sciences Opfer eines Cyberangriffs. Aufgrund des Angriffs wurden alle externen Systeme blockiert und mehrere abgeschaltet. Dadurch war die Online-Einschreibung nicht möglich und Kommunikation via Telefon und E-Mail eingeschränkt.  

200 GB Daten sollen laut der Ransomware-Gruppe Akira von der Notarkammer-Pfalz gestohlen worden sein, darunter SQL-Datenbanken, Mitarbeiterdaten und sensible Finanzinformationen. Laut einer Mitteilung der Notarkammer, sollen auch die Notarkasse, die Landesnotarkammer Bayern und der Bayerische Notarverein betroffen sein

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Copyright 2024. Alle Rechte vorbehalten. By mayfeld.de