Autor: Online Redaktion

SIM-Swapping ist eine Methode, bei denen sich Betrüger eine neue SIM-Karte für einen bereits bestehenden Mobilfunkvertrag ausstellen lassen. Diese wird dann natürlich an die Adresse des Betrügers gesendet. Falls es sich um eine eSIM handelt, muss gar keine Post verschickt werden.

Der Zugriff, den Täter auf diesem Wege zum Handy haben, eröffnet dann weitere Zugänge zu Onlinekonten (etwa Banking-Konten), welche zur Authentifizierung SMS verschicken oder Bestätigungen über eine App senden.

Es ist dafür wichtig, dass Anbieter von Telekommunikationsdiensten, ob in Callcentern, Online-Accounts oder Handy-Shops angemessene Schutzmechanismen zur Authentifizierung einrichten, um nachzuvollziehen, ob es sich bei Änderungen auch tatsächlich um die betroffene Person handelt.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/14_Authentifizierung.html?nn=251928
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Positionen/Authentifizierung.html?nn=251928

Eine offen einsehbare Besucherliste mit Kontaktdaten sowie gesundheitsbezogenen Angaben kostet ein saarländisches Pflegeheim 9.500 Euro. Auf die Beschwerde einer Privatperson folgte das Urteil durch das Unabhängige Datenschutzzentrum Saarlands.

Das reine Erheben der Gesundheitsdaten wurde aufgrund der Corona-Pandemie als angemessen beurteilt. Jedoch hätten Maßnahmen ergriffen werden müssen, um Unberechtigten den Zugriff zu verwehren.

Weitere Informationen finden Sie hier:
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-pflegeheim-2023-06-21-DE-2983.php

Im Zeitraum vom 19. bis 21. Juni haben sich die Datenschutzbeauftragten und Privacy-Behörden der G7-Staaten zum dritten G7-Roundtable für Gespräche bezüglich der internationalen Datenschutzstandards getroffen. Das Treffen fand dieses Jahr unter dem Vorsitz der japanischen PPC (Personal Information Protection Commission) statt.

Die Diskussionen um den Angleich der Datenschutzstandards auf internationaler Ebene, welche im vergangenen Jahr begann, wurde fortgesetzt. Als Nächstes sollen konkrete Vorschläge für die Einrichtung eines DFFT (Data Free Flow with Trust – ein freier und vertrauensvoller Datenaustausch) durch die G7 vorgebracht werden.

Des Weiteren wurde zum sehr aktuellen Thema generativer KI betont, dass hier das bestehende Datenschutzrecht vollumfänglich gilt.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/13_G7-Japan.html?nn=251928

Nach zwei Jahren Beratschlagung wurde über die weltweit erste KI-Regulierung, den „AI-Act“, durch das Europäische Parlament abgestimmt. Bis zum Ende des Jahres wollen das Europäische Parlament, die Europäische Kommission und die Mitgliedstaaten über den Text zu einer Einkunft kommen, bevor der Beschluss in Kraft treten kann. Unternehmen bleiben nach dem Inkrafttreten zwei Jahre Zeit, um ihre Software an die neuen Rahmenbedingungen anzupassen.

Durch das Gesetz sollen alle als KI eingestuften Anwendungen in Risikoklassen kategorisiert und teilweise verboten werden. Biometrische Gesichtserkennung im öffentlichen Raum soll beispielsweise nur nachträglich unter Richtervorbehalt zur Aufklärung schwerer Verbrechen gestattet werden.

Der Digitalverband Bitkom begrüßt den Beschluss, warnt jedoch auch vor einer Überregulierung, bei der die Definition von KI nicht eindeutig genug sein könnte und die Regulierung „alle statistischen Systeme oder sogar nahezu jegliche Software regulatorisch erfasst“, so Achim Berg, Verbandschef der Bitkom.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/138307-europaeisches-parlament-beschliesst-ki-verordnung?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

58 Millionen Schwedischen Kronen (was etwa 5 Millionen Euro entspricht), muss Spotify nun für die mangelhafte Umsetzung des Auskunftsrechtes zahlen.

Mehrere Beschwerden über unvollständig beantwortete Auskunftsersuche wurden laut dem österreichischen Unternehmen Noyb, welche sich der Umsetzung des Datenschutzes verschrieben haben, erstmals 2019 vorgebracht. Daraufhin folgte eine Beschwerde an die schwedische Datenschutzbehörde IMY, da der Firmensitz von Spotify in Schweden liegt. Über die Beschwerde wurde jedoch vier Jahre lang nicht entschieden, woraufhin die Firma Noyb 2022 mit einer Klage wegen Untätigkeit gegen IMY vorging. Im Anschluss kam das Bußgeld für Spotify.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-commerce-trends/internationales/138291-spotify-dsgvo-strafe-millionenhoehe-zahlen?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Der Schaden durch Cyberangriffe auf Unternehmen in Deutschland belief sich laut Bitkom im letzten Jahr auf 203 Milliarden Euro. Im folgenden möchten wir uns den beliebten APT-Angriffen (Advanced Persistent Threats) widmen. Probleme dieser Angriffe sowie Gegenmaßnahmen wurden ursprünglich von der Kaspersky ICS CERT zusammengestellt.

• Fehlende Isolierung des OT-Netzwerks:
  Oftmals sind OT-Netzwerke (Operational Technology) nicht ausreichend getrennt und geschützt. Maschinen wie Workstations sind weiterhin mit sowohl dem regulären IT-Netzwerk als auch dem OT-Netzwerk verbunden. Angreifer können dies ausnutzen, indem sie Netzwerke als Proxy-Server verwenden, um den Malware-Verkehr zu kontrollieren und in vermeintlich isolierte Netzwerke einzudringen.
• Menschliches Fehlverhalten:
  Oftmals werden bei Mitarbeitern oder Auftragnehmern Zugriff auf OT-Netzwerke gewährt, ohne angemessene Sicherheitsvorkehrungen zu treffen. Fernverwaltungsprogramme wie TeamViewer oder Anydesk werden eingerichtet, bleiben aber unbemerkt aktiv und können von Angreifern ausgenutzt werden. Zero Trust, ein Sicherheitskonzept, das die Berechtigung automatisch überprüft, kann solche Szenarien abwehren.
• Unzureichender Schutz von OT-Ressourcen:
  Veraltete Datenbanken von Sicherheitslösungen, fehlende Lizenzschlüssel, deaktivierte Sicherheitskomponenten und zu viele Ausschlüsse von Scan- und Schutzfunktionen tragen zur Verbreitung von Malware bei. Aktuelle Datenbanken und automatische Aktualisierungen sind entscheidend, um fortschrittliche Bedrohungen einzudämmen.
• Unzureichende Konfigurationen von Sicherheitslösungen:
  Korrekte Konfigurationen von Sicherheitslösungen sind wichtig, um Deaktivierung oder Missbrauch zu verhindern. APT-Akteure können Netzwerkinformationen stehlen, um in andere Teile des Systems einzudringen. Sie widmen sich zunehmend Verwaltungsservern von Sicherheitslösungen, um Malware zu verbreiten.
• Fehlender Cybersicherheitsschutz in OT-Netzwerken:
  In einigen OT-Netzwerken fehlen Cybersicherheitslösungen. Selbst wenn das OT-Netzwerk vollständig von anderen Netzwerken getrennt und nicht mit dem Internet verbunden ist, können Angreifer über Wechsellaufwerke wie USB-Sticks Zugang erhalten.
• Herausforderungen bei Sicherheitsupdates für Workstations und Server:
  Industrielle Kontrollsysteme erfordern sorgfältig getestete Sicherheitsupdates, die aber oft nur während geplanter Wartungsarbeiten installiert werden können. Dies führt zu sporadischen Aktualisierungen und ermöglicht Angriffe auf bekannte Schwachstellen.

Weitere Informationen finden Sie hier:
https://www.secupedia.de/news/warum-apt-angriffe-auf-unternehmen-so-erfolgreich-sind/

In Belgien gab eine Privatperson eine Webseite in Auftrag. Im Rahmen der Planung der Webseite fanden mehrere Telefonate statt, die vom Geschäftspartner (und im Folgenden dem Beklagten) aufgezeichnet wurden.

Als der Kläger dies erfuhr, verlangte er Einsicht in die Aufzeichnungen, welche ihm der Beklagte verweigerte. Es folgte eine Beschwerde bei der Datenschutzbehörde, welche die mangelnde Einsicht mit einem Bußgeld in Höhe von 40.000 Euro quittierte.

Weitere Informationen finden Sie hier:
https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-57-2023.pdf

Eine in Berlin ansässige Bank muss Bußgeld an die Datenschutzbehörde zahlen. Besagte Bank verwendet zur Vergabe von Kreditkarten einen Algorithmus, der u.a. aus einem auszufüllenden Online-Formular (welche Daten wie Beruf, Einkommen und Personalien einfordert) und weiteren Quellen festlegt.

Nachdem der Antrag auf eine Kreditkarte trotz guter Schufa-Auskunft und Einkommen abgelehnt wurde, wollte der Betroffene die Gründe für die Ablehnung erfahren. Auf die Nachfrage soll das Kreditinstitut nur pauschal und unspezifisch geantwortet haben.

Eine Bank ist jedoch verpflichtet, Informationen über die wesentlichen Ablehnungsgründe zu nennen, weshalb ein Bußgeld von immerhin 300.000 Euro für fehlende Transparenz verhängt wurde.

Weitere Informationen finden Sie hier:
https://www.datenschutz-berlin.de/pressemitteilung/computer-sagt-nein

Meta übermittelt nach wie vor Nutzerdaten an die USA. Damit haben sie gegen die DSGVO verstoßen, wofür dem Konzern nun eine Rekordstrafe in Höhe von 1,2 Milliarden Euro droht.

Die Strafe wurde durch die irische Datenschutzbehörde DCP verhängt, da der Konzern seinen europäischen Sitz in Dublin hat. Über Jahre hinweg ging die DCP nicht gegen Meta vor, wurde nun jedoch vom EDSA (Europäischer Datenschutzausschuss) zum Handeln genötigt und verhängte die Strafe in einer Höhe, die sogar die vergangene Rekordstrafe für Amazon in Luxemburg (immerhin 746 Millionen Euro) in den Schatten stellt.
Über die Geldstrafe hinaus hat Meta die Übersendung von personenbezogenen Daten aus Europa an die USA zu unterbinden.

Meta wird gegen das Verfahren in Berufung gehen, was den Prozess über mehrere Jahre strecken könnte. In der Zwischenzeit könnte zwischen EU und USA ein neuer Datenpakt zur Regulierung des Datentransfers beschlossen werden. Es sei also in den Raum gestellt, ob Meta dabei auf Zeit spielen will, denn in der Vergangenheit wurde mehrfach die Absicht bekundet, sich aus der EU zurückzuziehen, falls sich eine dauerhafte Unterbindung der Weitergabe personenbezogener an die Vereinigten Staaten abzeichnete.

Das Verfahren bezog sich dabei konkret auf Facebook, nicht etwa Instagram oder andere Dienste von Meta. Mit dem Beschluss summieren sich die Gesamtstrafen, die Facebook/Meta im Rahmen der DSGVO zahlen muss, auf 2,5 Milliarden Euro.

Weitere Informationen finden Sie hier:
https://www.zdf.de/nachrichten/wirtschaft/meta-milliarden-strafe-eu-datenschutz-verstoesse-100.html

Kürzlich wurde die generische Top-Level-Domain .zip zum Registrieren von Domains von Google freigegeben. Laut der ISC (Internet Storm Center) sind bereits rund 1200 Einträge registriert. Unter diesen Einträgen finden sich jedoch zahlreiche Domains für (potenzielle) Phishing-Angriffe.

Da es sich bei .zip zeitgleich um eine populäre Dateiendung handelt, können Links zu .zip-Domains genutzt werden, um Phishing-Seiten als Download von regulärer Software zu tarnen.
So wird bereits „microsoft-office.zip“ zum „phishen“ von Microsoft-Login-Daten genutzt. Zwar filtern die Webbrowser diverse betrügerische Seiten heraus und geben Warnhinweise, eine Garantie ist das jedoch nicht.

Aktuell ist es ratsam, dass IT-Verantwortliche den Zugriff auf .zip-Domains bis auf Weiteres grundsätzlich zu blockieren, um auf Nummer sicher zu gehen.

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Gefaehrliche-Top-Level-Domain-Phishing-von-Googles-zip-TLD-9052040.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn