Security-Check und Schwachstellenanalyse für die Chance auf mehr Sicherheit

Generell ist es gemäß Art. 32 DSGVO unabdingbar, ein entsprechend abgesichertes Active Directory (AD) vorweisen zu können, um ein angemessenes Sicherheitsniveau zu gewährleisten.

Ein Active Directory ermöglicht die Gliederung eines Netzwerks entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung.
Dazu werden Objekte im Netzwerk wie Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben sowie andere Geräte wie Drucker und Scanner verwaltet und deren Eigenschaften festgelegt.
Ein gut aufgebautes Active Directory ermöglicht es einem Administrator, die relevanten Informationen der Organisation bereitzustellen, diese einfach zu organisieren und zu überwachen.

Insbesondere angesichts der kontinuierlichen Zunahme von Cyberangriffen und der voraussichtlichen Fortdauer dieses Trends ist die Stärkung der IT-Sicherheit von entscheidender Bedeutung, was logischerweise auch im Interesse des Datenschutzes liegt.
Die Herausforderungen beginnen jedoch oft bereits aufgrund der enormen Datenmenge dabei, einen Bericht darüber zu erhalten, wo genau im eigenen System die Schwachstellen liegen und welche Prioritäten gesetzt werden sollten.
Gemäß Artikel 32 der DSGVO obliegt es den Verantwortlichen, einen angemessenen Sicherheitsstandard auf dem Stand der Technik herzustellen und aufrechtzuerhalten.

Die Unterstützung und Beratung in dieser Hinsicht zählt jedoch auch zu den Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO in Verbindung mit Art. 32 DSGVO und Art. 25 DSGVO.
Durch eine entsprechende Einbindung des Datenschutzbeauftragten ist es möglich, zahlreiche Risikofaktoren zu überprüfen und entsprechende Berichte zu erstellen, um potenzielle Schwachstellen gezielt zu beseitigen.

Kind-Hörgeräte: Cyberangriff verursacht Lieferchaos

Eine Ransomware-Attacke hat den deutschen Hörgerätehersteller Kind, mit Sitz in Großburgwedel, schwer getroffen, wodurch die Lieferkette zu Hunderten von Filialen deutschlandweit unterbrochen wurde. Der Cyberangriff, der am 6. Februar stattfand, hat die IT-Infrastruktur des Unternehmens stark beeinträchtigt, was zu erheblichen Betriebsstörungen führte. Trotz der unmittelbaren Reaktion des Unternehmens, die betroffenen Systeme zu isolieren, und der laufenden Bemühungen, den Schaden zu beheben, bleibt die Wiederherstellung der vollen Arbeitsfähigkeit eine Herausforderung.

Die Unternehmensgruppe, die seit 1952 besteht und mittlerweile auch in anderen Geschäftsfeldern wie Augenoptik und Arbeitsschutzkleidung tätig ist, beschäftigt über 3.500 Mitarbeiter und betreibt mehr als 700 Fachgeschäfte. Der Angriff hat nicht nur interne Prozesse gestört, sondern auch direkte Auswirkungen auf etwa 3.000 Mitarbeiter und den Service in rund 600 Geschäften in Deutschland, Österreich, der Schweiz und Luxemburg. Derzeit sind keine Lieferungen an diese Geschäfte möglich, was die Geschäftstätigkeit erheblich beeinträchtigt, obwohl die Filialen geöffnet bleiben und Kundenberatung weiterhin möglich ist.

Kritische Stimmen, wie die des IT-Experten Günter Born, hinterfragen die Einschätzung des Unternehmens bezüglich der Schadensbegrenzung, da der Betrieb immer noch nicht vollständig wiederhergestellt ist und Mitarbeiter in einigen Bereichen auf manuelle Arbeitsmethoden zurückgreifen müssen.

Dieser Vorfall unterstreicht die zunehmende Bedrohung durch Cyberkriminalität für Unternehmen in Deutschland, wie jüngste Angriffe auf andere bedeutende Firmen zeigen. Die Ermittlungen laufen, während Kind daran arbeitet, die Sicherheit zu erhöhen und die vollständige Betriebsfähigkeit wiederherzustellen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/keine-neuen-hoergeraete-kind-gruppe-kann-nach-cyberangriff-filialen-nicht-beliefern-2402-182251.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Datendiebstahl in Frankreich: Millionen Betroffene

Cyberangriffe haben die persönlichen Daten von mehr als 33 Millionen Menschen in Frankreich, also fast der Hälfte der Bevölkerung, kompromittiert. Dies stellt nach Angaben der französischen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) den größten Datendiebstahl in der französischen Geschichte dar. Die Angriffe richteten sich gegen Viamedis und Almerys, zwei Serviceanbieter des französischen Gesundheitsversicherungssystems, und resultierten in der unerlaubten Beschaffung von Daten wie Geburtsdaten, Familienstand, Sozialversicherungsnummern und weiteren Informationen. Bankdetails oder medizinische Daten wurden nicht entwendet.

Experte Yann Padova betrachtet diesen Vorfall als den signifikantesten Datendiebstahl in Frankreich. Die CNIL hat angekündigt, zu prüfen, ob die ergriffenen Sicherheitsmaßnahmen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Nach einem Bericht von Euronews nutzten die Hacker Phishing-Methoden, um sich Zugang zu den Systemen zu verschaffen. Die betroffenen Personen werden von ihren Krankenversicherungen über den Vorfall informiert. Die CNIL warnt vor der Möglichkeit, dass die gestohlenen Daten für zielgerichtete Phishing-Angriffe verwendet werden könnten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/cyberangriff-hacker-erbeuten-daten-von-jedem-zweiten-buerger-frankreichs-2402-182100.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Gerichtsurteil zu Call-ID-Spoofing im Online-Banking

Beim Online-Banking ist das sogenannte Spoofing, bei dem Betrüger eine falsche Identität vorspiegeln, eine verbreitete Masche. Beim Call-ID-Spoofing verwenden sie gefälschte Telefonnummern, um Vertrauen zu erschleichen. Ein Gerichtsurteil des LG Köln stellte klar, dass Kunden, die unter solchen Umständen handeln, nicht als grob fahrlässig gelten. In einem Fall verlor ein Sparkassenkunde 14.000 Euro durch einen solchen Betrug, nachdem er auf einen getarnten Anruf reagierte und unbewusst Transaktionen autorisierte.

Im spezifischen Fall erhielt der Kunde im September 2022 einen Anruf, bei dem die ihm bekannte Nummer seiner Bank angezeigt wurde. Der Anrufer behauptete, das Konto sei wegen Betrugsfällen gesperrt und könne durch Freigabe über die pushTAN-App entsperrt werden. Der Kunde folgte der Anweisung, nicht wissend, dass er einem Betrüger aufsaß, der Call-ID-Spoofing nutzte.

Das Gericht entschied, dass die Bank den vollen Betrag erstatten muss, da der Kunde nicht adäquat autorisiert hatte. Diese Entscheidung betont die Verantwortung der Banken, bei Betrugsfällen ihre Kunden zu schützen und stützt sich auf rechtliche Grundlagen, die eine solche Erstattung vorsehen. Das Urteil verdeutlicht zudem, wie wichtig es für Verbraucher ist, sich über die Risiken des Online-Bankings und die Betrugsmethoden wie Spoofing bewusst zu sein, um sich besser schützen zu können.

Dieser Fall wirft auch ein Licht auf die fortschrittlichen Methoden, die Betrüger nutzen, und die Notwendigkeit für Banken, ihre Sicherheitsmaßnahmen ständig zu aktualisieren, um ihre Kunden zu schützen. Es zeigt außerdem, dass Kunden bei verdächtigen Anrufen oder Aufforderungen, die ihre Finanztransaktionen betreffen, äußerst vorsichtig sein und die Echtheit der Anfragen kritisch überprüfen sollten. Die Rolle der Gerichte bei der Klärung solcher Fälle ist entscheidend, um Präzedenzfälle zu schaffen, die sowohl Verbrauchern als auch Finanzinstituten Orientierung bieten.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139492-bank-kundschaft-fehlbetraege-manipulation?utm_source=newsletter&utm_medium=email&utm_campaign=wee

EuGH klärt: Schadensersatz bei Datenpannen erfordert Beweis des Missbrauchs

Der Europäische Gerichtshof (EuGH) legte am 15. Januar 2024 in einem Urteil (Az. C-687/21) fest, dass bei Datenschutzverletzungen ein immaterieller Schadensersatz nur dann gerechtfertigt ist, wenn eindeutig ein Missbrauch personenbezogener Daten erfolgt. Diese Entscheidung folgte einem Vorfall, bei dem ein Saturn-Kunde fälschlicherweise Daten eines anderen erhielt, ohne dass diese missbraucht wurden.

Der EuGH erklärte, dass ein subjektives Unbehagen oder die Angst vor potenziellem Datenmissbrauch nicht ausreicht, um einen immateriellen Schaden anzuerkennen. Entscheidend ist der Nachweis, dass die Daten tatsächlich missbraucht wurden. Diese Klarstellung erschwert die Durchsetzung von Schadensersatzansprüchen bei Datenpannen, wenn kein konkret nachweisbarer Schaden entstanden ist.

Diese Rechtsprechung dient als Schutz für Unternehmen vor unbegründeten Klagen und trägt zur Rechtssicherheit bei. Sie zeigt auch die Grenzen des Schadensersatzrechts im Kontext der Datenschutz-Grundverordnung (DSGVO) auf und betont die Notwendigkeit eines nachweisbaren Schadens. Die Entscheidung wird als pragmatisch und unternehmensfreundlich betrachtet, da sie die Beweislast bei Datenschutzklagen klärt und potenzielle Massenklagen erschwert.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/c68721-eugh-dsgvo-schadensersatz-anspruch-immaterieller-schaden-personenbezogene-daten-datenschutz/

Rechtswidrige Cookie-Banner / Prüfen Sie Ihre Webseite

Datenschutzprobleme bezüglich Cookie-Hinweisen auf Webseiten sind ein anhaltendes Thema, das Datenschützer und deutsche Gerichte beschäftigt. Eine Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat gezeigt, dass viele Webseiten nicht den rechtlichen Anforderungen entsprechen, weil sie den Nutzern keine adäquate Möglichkeit bieten, Cookies abzulehnen. Dieses Problem wurde besonders deutlich durch einen Fall, in dem das Oberlandesgericht Köln WetterOnline wegen ähnlicher Verstöße verurteilte.

Die Datenschutzkonferenz betonte, dass Webseiten eine gleichwertige Option zum Ablehnen von Cookies bereitstellen müssen, neben der Möglichkeit, alle Cookies zu akzeptieren. Diese Anforderung entspricht den Vorgaben des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sowie der Datenschutz-Grundverordnung (DSGVO). Webseitenbetreiber sind nun aufgefordert, ihre Cookie-Hinweise entsprechend anzupassen, um rechtlichen Maßnahmen zu entgehen.

Darüber hinaus wurden nicht nur Webseiten, sondern auch Smartphone-Apps auf Datenschutzverstöße hin überprüft. Bei dieser Prüfung wurden fast durchgängig Verstöße bei den untersuchten Apps festgestellt, einschließlich der unerlaubten Erhebung sensibler Daten ohne vorherige Zustimmung der Nutzer. Diese Erkenntnisse verdeutlichen die dringende Notwendigkeit einer strengeren Überwachung und Durchsetzung der Datenschutzrichtlinien auf digitalen Plattformen.

Die Praxis zeigt, dass die Gestaltung von Cookie-Bannern oft darauf abzielt, Nutzer zur Zustimmung zu bewegen, indem Ablehnoptionen schwer auffindbar oder optisch weniger hervorgehoben sind. Dies wurde besonders im Fall von WetterOnline deutlich, wo das Oberlandesgericht Köln feststellte, dass die Gestaltung des Cookie-Consent-Tools nicht den rechtlichen Anforderungen entsprach. Die optische Hervorhebung des Akzeptieren-Buttons und das Fehlen einer gleichwertigen Ablehnoption führten dazu, dass Nutzereinwilligungen als nicht freiwillig angesehen wurden.

Diese Entscheidung unterstreicht die Bedeutung von Transparenz und informierter Zustimmung im digitalen Raum. Webseitenbetreiber müssen sicherstellen, dass ihre Cookie-Hinweise klar und verständlich sind und den Nutzern eine echte Wahlmöglichkeit bieten. Die Einhaltung dieser Prinzipien ist entscheidend, um das Vertrauen der Nutzer zu gewinnen und rechtliche Risiken zu minimieren. In diesem Zusammenhang spielen auch die Gerichte eine wichtige Rolle, indem sie durch ihre Urteile Maßstäbe für die rechtskonforme Ausgestaltung von Cookie-Hinweisen setzen und damit den Datenschutz im digitalen Zeitalter weiter formen.

Wir raten Ihnen Ihre Webseiten regelmäßig auf die Anforderungen zu überprüfen. Gerne können wir dies für Sie übernehmen und eine Webseiten-Sicherheitsprüfung erstellen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139540-hunderte-webseiten-mit-rechtswidrigen-cookie-bannern?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Morris II: Innovativer KI-Wurm setzt neue Maßstäbe in der Cybergefahr

Ein selbstverbreitender KI-Wurm namens Morris II wurde von Sicherheitsexperten entwickelt. Dieser Wurm hat die Fähigkeit, in GenAI-Ökosystemen zu navigieren, sensible Informationen zu erfassen und sich eigenständig zu verbreiten. Ben Nassi, einer der beteiligten Forscher, wies auf das Potenzial hin, dass dieser Wurm eine bisher unbekannte Form des Cyberangriffs darstellt.

Die Erprobung des Wurms erfolgte in einer kontrollierten Umgebung, wobei die Fähigkeiten des Wurms gegen KI-basierte E-Mail-Assistenten, einschließlich Googles Gemini Pro, OpenAIs ChatGPT 4.0 und Metas LLaVA, getestet wurden. Diese KI-Modelle wurden dahingehend manipuliert, dass sie selbstständig neue, potenziell schädliche Anweisungen generierten.

Laut einer Studie, die auf einer spezialisierten Website zusammen mit einem Demonstrationsvideo vorgestellt wurde, konnten die Forscher zeigen, dass der Wurm in der Lage ist, KI-Modelle zu veranlassen, schädliche Eingaben zu replizieren und weiterzuverbreiten, ähnlich klassischen Cyberangriffstechniken wie SQL-Injection oder Pufferüberlauf.

Obwohl die Schwachstelle im Design des GenAI-Ökosystems liegt und nicht direkt bei den KI-Diensten von Google oder OpenAI, wurden diese Unternehmen über die Entdeckungen informiert. Die Forscher erwarten, dass solche KI-Würmer in den nächsten Jahren auch außerhalb kontrollierter Umgebungen auftreten könnten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/gemini-chatgpt-und-llava-neuer-wurm-verbreitet-sich-in-ki-oekosystemen-selbst-2403-182790.html

Cyberattacke: Produktionsstopp bei Varta AG

Die Varta AG, ein namhafter Batteriehersteller, sah sich gezwungen, nach einem Cyberangriff ihre IT-Systeme und die gesamte Produktion temporär herunterzufahren. Der Vorfall, der diese Woche Dienstag eintrat, hat alle fünf Produktionsstätten sowie die Unternehmensverwaltung betroffen. Als Reaktion darauf wurden die Systeme als Vorsichtsmaßnahme vom Netz genommen und die Fertigung vorübergehend eingestellt, um den Angriff zu analysieren und zu bewältigen.

Obwohl die spezifische Art des Cyberangriffs noch untersucht wird, hat Varta AG bereits mit der Überprüfung der IT-Systeme begonnen, um die Auswirkungen zu bewerten und die Datenintegrität zu sichern. Unklar ist jedoch, ob Varta AG einem Ransomware-Angriff oder einer Lösegeldforderung ausgesetzt war. Bisher finden sich keine Informationen über einen Einbruch bei Varta auf den Darknet-Seiten bekannter Cyberkrimineller. Der Umfang des entstandenen Schadens ist momentan noch unbestimmt. Varta betont, dass eine Task-Force in Zusammenarbeit mit Cybersicherheitsexperten daran arbeitet, den regulären Betrieb so schnell wie möglich wieder aufzunehmen und den Vorfall aufzuarbeiten.

Dieser Sicherheitsvorfall unterstreicht die zunehmende Bedrohung durch Cyberangriffe auf Industrieunternehmen, wie kürzlich auch andere große Firmen betroffen waren. Ransomware-Angriffe zählen zu den vorherrschenden Risiken für die IT-Sicherheit. Zur Vorbeugung und effektiven Abwehr solcher Angriffe bieten wir Ihnen verschiedenste Schulungen u.a. die Security Awareness Schulung um Ihre Mitarbeiter zu sensibilisieren.

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Cybervorfall-Varta-AG-haelt-Produktion-an-9627488.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Vorsicht vor Deepfakes – Millionenschaden in Honkong

In einem internationalen Unternehmen aus Hongkong wurde ein Mitarbeiter durch Deepfake-Technologie dazu verleitet, rund 24 Millionen Euro an Betrüger zu überweisen, die sich als Finanzvorstand des Unternehmens ausgaben. Die Betrüger organisierten eine Videokonferenz, bei der der Mitarbeiter dachte, bekannte Kollegen würden teilnehmen, jedoch waren alle Teilnehmer Deepfake-Replikationen.

Die Replikationen wurden auf mithilfe von öffentlich zugänglichen Video- und Audiomaterialen erstellt. Somit sahen diese aus wie die Kollegen und klangen auch so. Obwohl der Mitarbeiter zunächst misstrauisch war, ließ er sich überzeugen und überwies schließlich das Geld. Der Betrug wurde erst entdeckt, als der Mitarbeiter den Vorfall bei der Firmenzentrale nachprüfte.

Dies ist einer von vielen Fällen, bei denen Betrüger Deepfake-Technologie nutzen, um Menschen zu täuschen. Behörden weltweit sind zunehmend besorgt über die fortgeschrittenen Möglichkeiten dieser Technologie und ihre schädlichen Auswirkungen.

Zudem wurden Ende Januar pornografische Bilder von der amerikanischen Sängerin Taylor Swift verbreitet, die von künstlicher Intelligenz generiert wurden. Die Bilder wurden Millionen Mal aufgerufen, bevor sie von den sozialen Plattformen entfernt wurden.

Wir raten Ihnen vorsichtig mit Ihren Daten und eingehenden Mails umzugehen. Halten Sie bei einem Verdacht, immer Rücksprache mit Ihrer IT-Abteilung oder Ihrem Datenschutzbeauftragten.

Weitere Informationen finden Sie hier:
https://www.businessinsider.de/leben/international-panorama/deepfake-unternehmen-ueberweist-23-millionen-an-betrueger/

DSGVO-Verstoß: Millionenstrafe für Uber

Die niederländische Datenschutzbehörde hat ein Bußgeld in Höhe von insgesamt 10 Millionen Euro gegen das US-amerikanische Unternehmen Uber verhängt, das seinen europäischen Hauptsitz in den Niederlanden hat. Der Vorwurf lautet, dass Uber die allgemeinen Auskunftsrechte, die sich aus der Datenschutzgrundverordnung (DSGVO) ergeben, nicht ausreichend für seine europäischen Fahrer:innen beachtet hat.

Die niederländische Datenschutzbehörde, die Autoriteit Persoonsgegevens (AP), hat Uber überprüft und festgestellt, dass das Unternehmen nicht ausreichend transparent darüber informiert hat, wie lange es die Daten seiner europäischen Fahrer speichert und in welche Drittländer sie übertragen werden.

In der von der AP veröffentlichten Entscheidung vom 11. Dezember 2023 wird darauf hingewiesen, dass es den Fahrer:innen schwer gemacht wurde, Anträge auf Einsicht oder Herausgabe ihrer persönlichen Daten zu stellen. Obwohl es in der von Uber bereitgestellten App ein digitales Formular zur Antragstellung gab, war dieses sehr gut versteckt. Selbst wenn Fahrer es schafften, dieses Hindernis zu überwinden, hatten sie Schwierigkeiten, die angeforderten Daten zu nutzen, da sie in schwer zugänglichen Formaten bereitgestellt wurden und nur auf Englisch zur Verfügung standen.

Bei der Bestimmung der Strafe wurden die Unternehmensgröße und die Schwere der Verstöße in Betracht gezogen. Gegenwärtig ist Uber nicht verpflichtet, das Bußgeld zu zahlen, da noch über die von Uber eingelegte Berufung entschieden werden muss. Die Behörde informierte jedoch, dass Uber bereits Schritte unternommen hat, um die Auskunftsrechte besser zu berücksichtigen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139487-millionenstrafe-uber-dsgvo-verstoss?utm_source=newsletter&utm_medium=email&utm_campaign=ohn