Cyberangriffe im Oktober, DSK veröffentlicht Statement
DATENSCHUTZ
DSK veröffentlicht Statement gegen die Chatkontrolle
Die unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wenden sich mit deutlichen Worten gegen die sogenannte Chatkontrolle. Der Hintergrund dafür sind die aktuellen Diskussionen im Rat der Europäischen Union über die Überwachung der elektronischen Kommunikation im Internet. Demnach sollen Anbieter von E-Mail, Messenger- und Chat-Diensten verpflichtet werden, die Kommunikation auf Darstellungen sexualisierter Gewalt gegen Kinder zu prüfen. Bereits im Mai 2022 wurde ein entsprechender Vorschlag durch die EU-Kommission eingebracht. Die Ziele der geplanten Verordnung stehen außer Frage. Kinder sollen vor sexuellem Missbrauch geschützt und entsprechende Straftaten aufgedeckt werden. Diese geplante Vorgehensweise würde aber zu einer einheitlichen und verdachtsunabhängigen Überwachung aller Nutzenden führen. Die Anbieter wären zudem verpflichtet, technisch sichere Kommunikation mit Hintertüren zu versehen. Zusammenfassend kann man sagen, dass die DSK die geplante Verordnung als nicht vereinbar mit der EU-Grundrechtecharta ansieht.
DATENSCHUTZ
Erinnerung Hinweisgeberschutzgesetz
Seit dem 2. Juli 2023 ist das neue Hinweisgeberschutzgesetz in Kraft. Das Gesetz gilt für alle Unternehmen, wobei Unternehmen mit mehr als 50 Beschäftigten verpflichtet werden, ein internes Hinweisgebersystem einzurichten. Für Unternehmen mit weniger als 250 Beschäftigte gilt eine „Schonfrist“ bis zum 17. Dezember 2023 für die Umsetzung der neuen gesetzlichen Vorgaben.
Meldungen, die das Hinweisgeberschutzsystem auslösen, können zum Beispiel strafbewehrte oder bußgeldbewehrte Verstöße wie etwa im Bereich des Datenschutzes, des Arbeitsschutzes, Gesundheitsschutzes oder des Umweltschutzes sein.
Viele von Ihnen haben nach Verabschiedung des neuen Gesetzes bereits damit begonnen, ein Hinweisgeberschutzsystem zu implementieren. Bei vielen anderen von Ihnen ist dies noch in Planung.
Daher müssen auch die Vorgaben des Datenschutzes beachtet werden, wozu u.A. gehören:
- ggf. Abschluss von Auftragsverarbeitungsverträgen
- die besondere Verpflichtung von eingesetzten Mitarbeitenden
- Erstellung von Datenschutzhinweisen
- usw.
Im Optimalfall sollten diese Maßnahmen bereits vor der aktiven Nutzung eines neuen Meldesystems durchgeführt werden.
Wir unterstützen Sie bei der Umsetzung dieser sehr wichtigen Punkte sehr gerne, sprechen Sie uns bitte direkt an.
DATENSCHUTZ
Beseitigung von Rechtsverletzungen während des Verfahrens möglich - BVwG Österreich
Im österreichischen Datenschutzrecht ist es möglich, während eines laufenden Verfahrens die behauptete Rechtsverletzung noch nachträglich zu beseitigen (§ 24 Abs. 6 DSG). Die Voraussetzung dafür ist, dass den Anträgen des Beschwerdeführers entsprochen wird und die Datenschutzaufsicht die Beschwerde damit als gegenstandslos einstuft. Diese Vorgabe hat das Bundesverwaltungsgericht (BVwG) in einem Urteil um unzureichende Informationen nach Art. 13, 14 DSGVO bestätigt. Die entsprechende Passage finden Sie ab Ziffer 3.3.3 in der Urteilsbegründung.
INFORMATIONSSICHERHEIT
Ende des Supports für Windows Server 2012
Das Ende des Mainstream-Supports erreichte Microsoft Windows Server 2012 & 2012R2 bereits am 9. Oktober 2018, vor über 5 Jahren. Am 10. Oktober 2023 ist nun auch der Extended Support ausgelaufen. Microsoft stellt somit keine Sicherheitsupdates mehr zur Verfügung, abgesehen vom kostenpflichtigen ESU-Programm (Extended Security Update). In Deutschland sind aber immer noch zahlreiche Microsoft Windows Server 2012 & 2012R2 im aktiven Einsatz. Dies birgt ein erhebliches Risiko. Angreifer suchen gezielt nach weit verbreiteten, veralteten Systemen, um sich über nicht mehr geschlossene Sicherheitslücken Zugang zum Unternehmensnetz zu verschaffen. Um derartige Angriffe zu vermeiden, sollte eine Migration auf ein neues Betriebssystem so schnell wie möglich durchgeführt werden.
INFORMATIONSSICHERHEIT
Selbsteinschätzungstest des Cyber-Sicherheitsnetzwerk (CSN)
Mithilfe des Selbsteinschätzungstests des CSN können Organisationen die eigene IT-Sicherheitspraxis evaluieren. Die Durchführung des Tests beansprucht nur wenige Minuten und erfolgt anonym. Sie erhalten im Test bei der jeweiligen Frage außerdem nützliche Informationen und wertvolle Hinweise des BSI. Falls Sie Fragen zur Umsetzung einer dieser empfohlenen Maßnahmen haben, dann zögern sie nicht, sich jederzeit an uns zu wenden.
INFORMATIONSSICHERHEIT
Branchenlagebild Automotive 2022/23
Das Branchenlagebild Automotive 2022/2023 bietet in seiner dritten Ausgabe einen Überblick über die Cybersicherheitslage in der Automobilindustrie und im Straßenverkehr. In diesem ausführlichen Bericht werden unter anderem die Themen Cyberkriminalität, IT- Sicherheit in der Lieferkette und den Produktionsprozessen sowie Schwachstellen in digitalen Komponenten beleuchtet. Zudem werden die vielfältigen und komplexen Herausforderungen in der Branche aufgezeigt.
NFORMATIONSSICHERHEIT
Cyberangriffe im Oktober
Im Laufe des Oktobers gab es erneut zahlreiche Angriffe. Hacker legten mit Distributed Denial-of-Service (DDoS) Angriffen die Webseiten mehrerer deutscher Städte (Dresden, Hannover, Nürnberg, Köln, Dortmund, Frankfurt) lahm. Unter DDoS versteht man das verteilen eines Angriffsprogramms auf eine Vielzahl von gekaperten Systemen. Auf Befehl des Angreifers bombardieren diese Systeme ein bestimmtes Ziel mit gefälschten Anfragen und bringen es damit zum Absturz. Beliebte Wirtsysteme sind PCs im Universitätskontext, da diese in der Regel rund um die Uhr in Betrieb sind.
Leider wurde in dieser Umgebung die Hochschule Karlsruhe am ersten Oktoberwochenende Opfer eines Cyberangriffs. Nur wenige Tage vorher musste auch die Gesellschaft für wissenschaftliche Datenverarbeitung einen Cyberangriff melden. Es gelang den Hackern Daten zu stehlen, unter anderem verschlüsselte Anmeldedaten von Mitarbeitern der Universität Göttingen, dem Max-Planck-Institut und der Göttinger Universitätsmedizin.
Außerdem meldeten die beiden Kommunalunternehmen "Hochsauerland Wasser" und "Hochsauerland Energie", dass durch einen Angriff, Teile der IT-Infrastruktur durch Schadsoftware beeinträchtigt worden sind. Mehrere Systeme wie die Kundenserviceportale, der Abrechnungsservice und die Finanzbuchhaltung wurden aus Sicherheitsgründen deaktiviert.
Einen weiterer Cyberangriff traf den Fußballclub 1. FC Lokomotive Leipzig. Hier waren der Onlineshop und die Webseite betroffen. Nach eigenen Angaben sollen im Shop betrügerische Handlungen durch die Angreifer ausgeführt worden sein. Die betroffenen Kunden wurden direkt durch den Verein informiert.
Kurz nach den hessischen Landtagswahlen erfolgte ein Cyberangriff auf die Gemeindeverwaltung Grasellenbach. Dabei wurden die E-Mailkonten des Bürgermeisters und seiner Sekretärin kompromittiert. Über die Zugänge verschickten die Angreifer E-Mails mit schadhaften Links und Dokumenten. Es muss auch davon ausgegangen werden, dass die Inhalte aus den E-Mail- Accounts abgezogen wurden.
In der ersten Oktoberwoche kam es zu einem Angriff auf den Versicherungsdienstleister Degenia. Auf der Webseite wurde mitgeteilt, dass die IT-Systeme heruntergefahren wurden. Kunden können im Mitgliedsbereich aktuelle Informationen zur Wiederherstellung des Normalbetriebs nachlesen.
Beim Angriff auf die Hotelkette "Motel One" wurden 6 Terabyte Daten gestohlen. Dadurch sind Millionen von Kundendaten online zu finden, unter anderem Adressen, Rechnungsdaten und auch vereinzelt Kreditkarteninformationen. Bei der Auswertung der veröffentlichten Daten im Darknet wurden auch sogenannte Notfalllisten gefunden. Diese Listen wurden erstellt um auch bei einem Systemausfall einen Check-In anbieten zu können. Nachdem ihr Zweck erfüllt ist, sollten diese Listen unverzüglich vernichtet werden und nicht über Jahre gespeichert werden.
Auch der Krankenhausbetreiber Maternus meldete Mitte Oktober, dass es bei einem Cyberangriffs zu einem Datenabfluss gekommen sei. Es wird versucht zu ermitteln, welche Daten von dem Vorfall betroffen sind.
Hilfe bei Cyberangriffen
Die digitale Bedrohungslage verschärft sich zunehmend. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann! Bei Fragen stehen Ihnen das Floß Team beratend zur Seite.