Wiesbadener-Kreis

Nachdem erst in der letzten Woche Daten von Politikern und anderen Prominenten veröffentlicht wurden, ist nun erneut eine riesige Menge an Nutzerdaten in einem weiteren Passwort-Leak aufgetaucht. Unter den 773 Millionen bestohlenen Nutzern befinden sich einige Datensätze aus Deutschland. Darüber hat der Betreiber und Sicherheitsforscher Troy Hunt auf seinem Internetdienst „Have I Been Pwned“ informiert. Diese von ihm „Collection #1“ genannte Sammlung, in der E-Mail-Adressen und die jeweiligen Passwörter zu finden sind, stammen aus einer Vielzahl von unterschiedlichen Passwort-Hacks. Aus welchen Kalenderjahren diese Daten allerdings sind, konnte noch nicht festgestellt werden.

Wenn Sie wissen wollen, ob Ihre Daten dabei sind, können Sie dies unter folgender Adresse herausfinden:
https://haveibeenpwned.com

Mehr zum Thema lesen Sie hier:
https://www.focus.de/digital/internet/gigantischer-leak-im-internet-gigantischer-leak-im-internet-773-millionen-passwoerter-veroeffentlicht_id_10197540.html

Nach Medieninformationen sind teilweise sensible Daten von Politikern auf Bundes- und Landesebene durch einen groß angelegten Hackerangriff gestohlen worden. Betroffen sind alle Parteien im Bundestag, mit Ausnahme der AfD. Unter den veröffentlichten Daten befinden sich Informationen wie Telefonnummern sowie Adressen der Politiker aber auch zum Teil persönliche Daten wie Kreditkartennummern, Ausweiskopien, Rechnungen oder Einzugsermächtigungen. Scheinbar wurde von den Angreifern alles veröffentlich, was ihnen in die Hände fiel. Denn selbst Chats mit Familienmitgliedern oder Bewerbungsschreiben für Parteitage wurden über einen Twitter-Account veröffentlicht. Obwohl bereits seit einiger Zeit über diesen Account Informationen über prominente Personen verbreitet wurden, beschäftigt sich erst jetzt die Partei- und Fraktionsführung mit diesem Fall.

Mehr zum Thema lesen Sie hier:
https://www.zeit.de/politik/deutschland/2019-01/hackerangriff-politiker-leak-daten-dokumente-twitter

Die Organisation für digitale Bürgerrechte Privacy International, hat in einer Studie 34 der beliebtesten Apps untersucht. Dabei stellte sich heraus, dass mehr als 20 Programme Informationen direkt nach der Installation an Facebook sendet, ohne das Nutzer ihr Einverständnis gegeben haben. Unabhängig davon, ob ein Konto bei Facebook besteht oder nicht. Eine Übertragung von Daten ohne Zustimmung des Anwenders und ohne den Zweck zu nennen, ist nach der DSGVO seit Mai 2018 nicht zulässig.
Zu den Apps gehören unter anderem der Musikdienst Spotify, das Spiel Candy Crush, die Reise-App Tripadvisor und Skyscanner, eine App, mit der sich Flüge finden lassen. Einige Anwendungen, wie etwa die Flugplattform Kayak, hätten noch weit mehr Daten geteilt. Darunter detaillierte Informationen zu Flugsuchen sowie Abflugort, Abflughafen, Abflugdatum, Ankunftsort, Ankunftsflughafen, Ankunftsdatum, Anzahl der Tickets einschließlich Anzahl der Kinder und Ticketklasse, teilte die Organisation in ihrer Studie mit.

Mehr zum Thema lesen Sie hier:
https://www.sueddeutsche.de/digital/app-tracking-facebook-1.4269556

Wieder gab es eine vermeidbare Sicherheitslücke bei Facebook. Wie der US-Konzern erst sehr viel später bekannt gab, betraf es diesmal mindestens 6,8 Millionen Nutzer des Sozialen-Netzwerks. Bei der Datenpanne, die zwischen dem 13. und 25. September aufgetreten ist, hatten Apps von Drittanbietern Zugriff auf private Bilder, obwohl diese nicht für die Öffentlichkeit freigegeben waren. Durch die Datenpanne konnten bis zu 1.500 Apps von 876 Entwicklern auf alle Nutzer-Bilder ohne jegliche Berechtigung zugreifen.

Mehr zum Thema lesen Sie hier:
https://www.datenschutz-praxis.de/fachnews/erneute-datenpanne-bei-facebook/

Der in München ansässige Hersteller von Maschinen und Anlagen KrausMaffei wurde von Cyberkriminellen angegriffen und erpresst. Einige Standorte des Unternehmens konnten nur mit reduzierter Leistung produziere, da viele Rechner durch einen Trojaner (Ransomware) lahmgelegt wurden. Nach Medienangaben gibt es eine Lösegeldforderung der Kriminellen, jedoch machte der Konzern keine Angaben zur Höhe der erpressten Summe. Alle elektronischen Verbindungen zu Kunden und Lieferanten wurden nach bekannt werden des Angriffs stillgelegt. Bisher ist nicht zuverlässig geklärt, ob Kunden oder Lieferanten in Mitleidenschaft gezogen wurden. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte in Presseberichten, dass es zwei aktuelle Fälle gäbe, bei denen versucht werde, durch Cyberangriffe Lösegeld von großen Unternehmen zu erpressen.

Mehr zum Thema lesen Sie hier:
https://www.faz.net/aktuell/wirtschaft/diginomics/cyberkriminelle-erpressen-krauss-maffei-f-a-z-exklusiv-15928434.html

Eine große Trojaner-Welle breitet sich rasant in Deutschland aus. IT-Sicherheitsexperten, darunter das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Landeskriminalämter warnen eindringlich vor der Schadsoftware „Emotet“. Die Behörden bezeichnen den Virus als eine der größten Bedrohungen bundesweit. Dieser kommt im Namen von z.B. Kollegen, Geschäftspartnern oder Bekannte als gefälschte E-Mail auf die Rechner. Diese Mails erwecken kein Misstrauen und erleichter es den Kriminellen, dass die Betroffenen ohne Bedenken die Anhänge in den Mails öffnen und ausführen. Emotet sammelt bei seinen Opfern Informationen wer mit wem und wie kommuniziert. Dadurch können von den Angreifern Phishing-Mails nachgebaut werden, die fast perfekt an die gängige Firmenkommunikation angepasst ist. Wer den eingefügten Link anklickt, lädt das Schadprogramm auf das eigenen System und infiziert im schlimmsten Fall das komplette Netzwerk der Firma. 

Geeignete Schutzmaßnahmen und weitere Informationen zum Thema finden Sie hier: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html

Wieder gab es einen Datendiebstahl in großem Umfang: Diesmal trifft es die Hotelkette Marriott, bei deren Tochtermarke Starwood über 500 Millionen Daten ihrer Hotelgäste gestohlen wurden. Bei 327 Millionen Gästen geht es neben Informationen wie Namen, Anschrift, E-Mail-Adresse, Geburtsdatum, Passnummer auch um verschlüsselte Kreditkartendaten. Das Unternehmen konnte bisher nicht ausschließen, dass möglicherweise auch die Dateien gestohlen wurden, die zur Entschlüsselung der entwendeten Daten nötig sind. Einen Angriff auf die Starwood-Datenbank gab es nach Angaben von Marriott bereits 2014. 

Mehr zum Thema finden Sie hier:
https://www.zeit.de/wirtschaft/unternehmen/2018-11/hackerangriff-marriott-hotelkette-personenbezogene-daten-diebstahl-cyberkriminalitaet

Google sammelt und verarbeitet offensichtlich Daten gegen den Willen seiner Nutzer, daher wollen sieben Staaten in Europa gegen möglichen Datenmissbrauch vorgehen. Verbraucherschutzverbände aus den Niederlanden, Polen, Norwegen, Griechenland, Tschechien, Slowenien und Schweden legen offiziell Beschwerde bei ihren jeweiligen Datenschutzbehörden wegen des Verstoßes gegen die europäische Datenschutz-Grundverordnung (DSGVO) ein. Der deutsche Verband (vzbv) strebt eine einstweilige Verfügung gegen den Internet-Konzern an.

Das Google Betriebssystem Android sowie diverse Apps sammelt mit verschiedenen Tricks von weltweit zwei Milliarden Smartphone Nutzern Standortdaten, um diese gezielt für individuelle Werbung zu nutzen. Dadurch könne der US-Konzern ebenso Aufschluss über Vorlieben oder Neigungen, wie zum Beispiel religiöse oder sexuelle und auch politische Orientierung seiner Nutzer herausfinden. Für diese Art von Datensammlung habe Google jedoch keine rechtlichen Grundlagen und verstoße damit massiv gegen EU-Recht.

Mehr zum Thema lesen Sie hier:
https://www.it-business.de/europas-verbraucherschuetzer-wollen-gegen-googles-datenhunger-vorgehen-a-779351

In jüngster Zeit erreichten uns Anfragen unserer Kunden, an einer vermeintlich behördlichen Erfassung ihres Unternehmens mitzuwirken. Auch unser Unternehmen erreichte dieses Fax.

In diesem Schreiben wird man aufgefordert, seine Unternehmensdaten zu ergänzen und zu korrigieren, um die Anforderungen der Datenschutzgrundverordnung zu erfüllen. Die Struktur erinnert an diverse Aufforderungsschreiben für vermeintliche Handelsregister-Eintragungen. Nur jetzt geht es eben um Datenschutz. Gleich geblieben ist allerdings das Ziel dieser Machenschaften: möglichst vom Kunden unbemerkt ein kostenpflichtiges Abo zu erwirken. Gebührenfrei – wie es in Fettschrift verkündet wird – wäre nämlich nur die Übersendung des Faxes geblieben. Mit Übersendung des Faxes hätte man nach Wunsch der Anbieter einen Vertrag abgeschlossen mit einer Gebühr in Höhe von 498 Euro/Jahr über drei Jahre.

Die Gegenleistung bleibt dabei höchst zweifelhaft. Es ist zu befürchten, dass man immer noch weit hinter den Anforderungen der Datenschutzgrundverordnung zurückbleiben würde. Denn diese wurden noch nicht einmal vom Verfasser selbst beherzigt.

Im Kleingedruckten steht dann auch der Hinweis, dass es sich hierbei um ein behörden- und kammerunabhängiges Angebot handelt. Dass es sich allerdings um eine Ltd. mit Sitz auf Malta handelt (siehedie online aufzurufenden AGB), wird im Schreiben besser nicht zu deutlich mitgeteilt, würde es doch zu sehr den Eindruck der behördlichen Aufforderung stören.

Für Sie als Unternehmer/in bleibt nichts anderes übrig als ganz genau hinzuschauen und zu lesen. In diesem Fall raten wir sehr deutlich dazu, dass Schreiben dahin wandern zu lassen, wo es hingehört: in den Mülleimer.

Für den korrekten Umgang mit der Datenschutzgrundverordnung kontaktieren Sie besser Ihren Datenschutzbeauftragten oder Ihren Landesbeauftragten für Datenschutz.