Liebe Leser unserer Datenschutznachrichten

Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten. Entsprechende datenschutzrelevante Aspekte werden in den Datenschutznachrichten nächste Woche (23. KW) einbezogen.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der nächsten Woche wieder bei uns begrüßen zu dürfen.
-ck-

 

-----------------------

 

Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick

 

1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Die Entwicklung der Bluetooth-Sicherheit, Teil 5: Angriffe"
https://www.ceilers-news.de/serendipity/959-Die-Entwicklung-der-Bluetooth-Sicherheit,-Teil-5-Angriffe.html

2. Datenschutzeinstellungen können durch Update zurückgesetzt worden sein
T-online - "Nach dem Update: Windows-Nutzer sollten Datenschutzeinstellungen checken"
https://www.t-online.de/digital/software/windows/id_83843288/windows-10-warum-nutzer-nach-dem-update-die-datenschutzeinstellungen-pruefen-sollten.html

3. Warnung der Verbraucherzentrale: Keine Daten weitergeben
T3N online - "Vorsicht Phishing! Betrüger missbrauchen die DSGVO"
https://t3n.de/news/vorsicht-phishing-betrueger-1083038/

4. Großunternehmen automatisieren Auskunft
PC- Magazin online - "Gesammelte Nutzerdaten: Google-Daten herunterladen: So sehen Sie, was Google über Sie weiß"
https://www.pc-magazin.de/ratgeber/google-daten-einsehen-herunterladen-loeschen-anleitung-dsgvo-3199472.html

 

 

Identitätsklau: Unterschätzte Bedrohung
Im Internet kursieren immer mehr falsche und betrügerische Job-Angebote, meist mit Adressen von internationalen Unternehmen. Um an die personenbezogenen Daten und das Geld der Arbeits-Suchenden ranzukommen, werden mithilfe von gefälschten Stellenanzeigen in Internet-Börsen oder per E-Mail-Versand Arbeit angeboten. Die Dunkelziffer ist hoch, die Betrugsversuche werden nur selten angezeigt werden und falls doch, sind die Cyber-Täter so gut wie nicht zu greifen da die Kriminellen im Ausland sitzen. Der Betrug fällt den Unternehmen erst auf, nachdem sich Bewerber telefonisch nach den Stellen erkundigen. Millionen Menschen werden jedes Jahr Opfer eines Identitätsdiebstahls im Netz. Sie haben dort biografische Spuren hinterlassen wie zum Beispiel Name samt Adresse und Geburtstag. Anhand zunehmender Datenpannen und Datendiebstählen, sowie unkontrollierten Abflusses von personenbezogenen Daten aus Unternehmen und Behörden, ist die missbräuchliche Nutzung durch Dritte Tür und Tor geöffnet.
Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit – Kostenaufwendig, sondern auch Rufschädigend. Für die Einführung geeigneter Schutzmaßnahmen besteht daher dringender Handlungsbedarf. Hier ist der Gesetzgeber gefragt um diese Lücke zu schließen.
-ck-

Schwachstelle: Fingierte Stellenanzeigen
Welt online - "Jobbörse der Arbeitsagentur eine Plattform für Betrüger?"
https://www.welt.de/politik/deutschland/article176891218/Identitaetsdiebstahl-Jobboerse-der-Arbeitsagentur-eine-Plattform-fuer-Betrueger.html

Warnung vor gefälschten Internetprofilen
Wochenblatt Reporter online - "Gauner kopieren Internet-Profile: Landeskriminalamt warnt vor Identitätsdiebstahl"
https://www.wochenblatt-reporter.de/germersheim/c-ratgeber/landeskriminalamt-warnt-vor-identitaetsdiebstahl_a7994

Unternehmen haben die Kosten: Ware online oder analog auf fremde Namen bestellt
Welt online - "Massenphänomen Identitätsbetrug"
https://www.welt.de/wirtschaft/bilanz/article176869247/Die-Zahlenfrau-Massenphaenomen-Identitaetsbetrug.html

Sicherheitslücken und Angriffsmöglichkeiten
All – About Security - "IT-Forscher warnen vor Identitätsdiebstahl über ehemalige E-Mail-Adressen"
https://www.all-about-security.de/security-artikel/threats-and-co/single/it-forscher-warnen-vor-identitaetsdiebstahl-ueber-ehemalige-e-ma/

 

Datenschutz im Unternehmen ein Qualitätsmerkmal
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert.
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
-ck-

Sicherheitslücke technischer Datenschutz
Datenschutz-Praxis online - "Schwere Datenpanne bei Online-Apotheken"
https://www.datenschutz-praxis.de/fachnews/datenpanne-online-apotheken/

Führende IT-Firmen können keine sichere Auskunft über Datenpannen geben
Wallstreet online - "Umfrage von Sail Point zeigt, dass 44 Prozent der Unternehmen im letzten Jahr eine Datenpanne erlebt haben"
https://www.wallstreet-online.de/nachricht/10604391-umfrage-sailpoint-zeigt-44-prozent-unternehmen-jahr-datenpanne-erlebt

Genetische Daten auch entwendet?
Heise Security - "DNA-Webseite My Heritage: Hacker kopiert Daten von 92 Millionen Nutzern" https://www.heise.de/security/meldung/DNA-Webseite-MyHeritage-Hacker-kopiert-Daten-von-92-Millionen-Nutzern-4069752.html

IT-Sicherheit eine Herausforderung für jedes Unternehmen
Horizont at - "Bedrohungen durch Cyberkriminalität erreichen Rekordhöhe"
https://www.horizont.at/home/news/detail/bedrohungen-durch-cyberkriminalitaet-erreichen-rekordhoehe.html



Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Mobile Security – Bluetooth-sicherheit, aktuell – Teil 1"
https://www.ceilers-news.de/serendipity/964-Mobile-Security-Bluetooth-Sicherheit,-aktuell-Teil-1.html

2. Angriffe per Voice Fraud auf Unternehmen deutlich gestiegen
COM Magazin - "Die Kehrseite von All-IP: Hacker-Angriffe auf Telefonanlagen"
https://www.com-magazin.de/praxis/hacker/hacker-angriffe-telefonanlagen-1542964.html

3. Warnung vor gefälschten Facebook-Login-Seiten
N-TV online - "Vorsicht, Betrüger! Fiese Phishing-Falle bei Facebook"
https://www.n-tv.de/technik/Fiese-Phishing-Falle-bei-Facebook-article20468274.html

4. Neue Masche: Nachhaken per 2. Mail
Focus online - "Phishing, Trojaner und Spam: Betrügerische E-Mails im Umlauf"
https://www.focus.de/digital/computer/internet-phishing-trojaner-und-spam-betruegerische-e-mails-im-umlauf_aid_1152741.html

Datenpannen und ihre Folgen
Meldungen über Datenpannen – das Spektrum ist weitreichen und weder Unternehmen oder Behörden sind davor gefeit. In dieser Woche berichteten zum Beispiel die Medien über eine analoge Datenpanne: Ein Finanzamt hatte versehentlich hochsensible Steuerunterlagen an eine falsche Adresse per Post geschickt. Hochsensible Bescheinigungen und Belege die zur Prüfung einer Steuererklärung vom Finanzamt benötigt werden, sind scheinbar aufgrund eines menschlichen Fehlers, in fremde Hände gelangt.
Auch wurde über eine neue Datenpanne beim Online-Netzwerk Facebook berichtet: Mehrere Millionen Nutzer hatten ihre persönlichen Beiträge scheinbar mit der ganzen Welt geteilt, statt nur mit ihren Freunden. Ein Software-Fehler scheint der Grund für diesen Datenskandal zu sein.
Weiter berichteten die Medien über einen Sicherheitsvorfall der Kieler Polizei, indem es scheinbar um Datenweitergabe, Verletzung des Dienstgeheimnisses und anderen Vorwürfen gegen eine Kriminaloberkommissarin geht.
Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Seit Mai 2018 kamen europaweit deutlich verschärfte Meldepflichten bei Datenpannen auf die Unternehmen zu: Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Panne/Sicherheitsvorfall muss ausnahmslos insbesondere ohne Abwägung von Risiken für den Betroffenen dokumentiert werden. Durch eine qualifizierte und praxisorientierte Schulung sollten die Mitarbeiter sensibilisiert werden, denn Datensicherheit währt wirtschaftlichen Schaden, der bis hin zur Existenzbedrohung reichen kann, von den Firmen ab. Datenschutz ist kein Kostenfaktor, sondern ein Vertrauenselement.
-ck-

Ade Steuergeheimnis: Finanzamt sendet Post an falschen Empfänger
Westfälische Nachrichten online - "Finanzamt schickt Unterlagen an falschen Adressaten: Fremde Dokumente im Briefkasten"
http://www.wn.de/Muensterland/Kreis-Steinfurt/Greven/3334674-Finanzamt-schickt-Unterlagen-an-falschen-Adressaten-Fremde-Dokumente-im-Briefkasten

Verletzung des Dienstgeheimnisses und Datenweitergabe
NDR online - "Polizistin räumt Datenweitergabe an Rocker ein"
https://www.ndr.de/nachrichten/schleswig-holstein/Polizistin-raeumt-Datenweitergabe-an-Rocker-ein,prozess4514.html

Unternehmen und der laxe Umgang mit Kundendaten
It-Daily net – "Datenpanne bei Facebook - BSI fordert mehr Sorgfalt im Umgang mit Kundendaten"
https://www.it-daily.net/shortnews/18838-bsi-fordert-mehr-sorgfalt-im-umgang-mit-kundendaten

Hilfestellung anhand Info-Kompakt-Blätter des BayLDA
Bayerisches Landesamt für Datenschutzaufsicht online - "Informationsmaterialien"
https://www.lda.bayern.de/de/infoblaetter.html



Unterschätzte Gefahr: Cyberangriffe 
Internet – Kriminalität "Cybercrime" - eine Bedrohung für jedes Unternehmen. Angriffe gegen Computersysteme haben in den letzten Jahren auf deutsche Unternehmen drastisch zugenommen. Im Focus stehen mittlerweile nicht nur deutsche Großkonzerne – viele Cyber-Angriffe richten sich auch gegen kleine und mittlere Unternehmen. Dem BSI-Bericht zufolge, nutzen immer mehr Cyber-Kriminelle die Schwachstellen in Soft- und Hardware aus, auch die Anzahl der bekannten Schadprogrammvarianten – oft versendet per Mails - sowie Erpresserprogramme (Ransomware) sei dramatisch gestiegen. Zur wachsenden Gefahrenquelle wird vor allem das seit langem bekannte Angriffsziel: Das Internet der Dinge, da die IT-Sicherheit bei der Herstellung und von den Kunden bei den vernetzten Geräten zu wenig beachtet wird.
Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Laut den IT- Lageberichten sind bisher Meldungen aus dem Sektor Informationstechnik und Telekommunikation, Energie, Wasser und aus dem Sektor Ernährung beim BSI eingegangen.
-ck-

Zugriff auf Büro-Netzwerke der Unternehmen
EUWID online - "BSI warnt Energiewirtschaft vor Cyber-Angriffskampagne"
https://www.euwid-energie.de/bsi-warnt-energiewirtschaft-vor-cyber-angriffskampagne/

Starke Schutzmechanismen erforderlich
IT-Sicherheit online - "Nach BSI-Warnung vor russischen Hacker: KRITIS braucht Cyber-Resillence"

https://www.itsicherheit-online.com/blog/detail/sCategory/222/blogArticle/1917

Phishing-Angriffe auf Firmen
Tagesschau online - "Datenschutzgrundverordnung Cyberkriminelle nutzen Unsicherheit" https://www.tagesschau.de/ausland/phishing-datenschutz-101.html

Strengere IT-Maßstäbe zur Sicherheit
Sicherheit Info - "Sicherheitskonzepte in Rechenzentren Sichere Anbindung"
http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/2110053?Open



Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Mobile Security – Bluetooth-Sicherheit, aktuell – Teil 2"
https://www.ceilers-news.de/serendipity/967-Mobile-Security-Bluetooth-Sicherheit,-aktuell-Teil-2.html

2. Neue Strategie zum Schutz der Daten
Heise online - "Apple erschwert Adressbuchweitergabe für iOS-Apps"
https://www.heise.de/mac-and-i/meldung/Apple-erschwert-Adressbuchweitergabe-fuer-iOS-Apps-4077287.html

3. Malware: Sicherheitsforscher warnen
Heise online - "Mac-Malware kann Sicherheits-Tools austricksen"
https://www.heise.de/mac-and-i/meldung/Mac-Malware-kann-Sicherheits-Tools-austricksen-4077945.html

4. Programm für diesjährige Sicherheitskonferenz in Köln
Heise online - "Internet Security Days 2018: IT-Sicherheit im Unternehmensalltag praktizieren"
https://www.heise.de/ix/meldung/Internet-Security-Days-2018-IT-Sicherheit-im-Unternehmensalltag-praktizieren-4061819.html

 

Risikofaktor Mensch und der Datenverlust
Unternehmen sorgen noch immer nicht dafür, dass ihre Verfahren für den Datenschutz strikt konzipiert werden und das obwohl fast täglich hochbrisante Fälle von Skandalen und Betrug bekannt werden. Dabei entstehen Schäden oft durch unzureichend sensibilisierte oder unaufmerksame Mitarbeiter, wie bei einer Datenpanne in Florida geschehen.
Laut Medienberichten hatte eine Beamtin die Zugangsdaten einer FBI-Datenbank vergessen und handelte zwecks neuem Passwort erst 40 Tage später. Nachdem dieses neue Passwort die Datenbank auch nicht frei gab, verzichtete sie weiterhin auf die Abfrage der Datenbank und bearbeitete weiterhin Anträge. Gefährlich, denn somit erhielten hunderte Floridianer unzulässigerweise, für das versteckte Tagen von Schusswaffen in der Öffentlichkeit, ihre Lizenzen.
Gefahren drohen auch ohne bewussten Missbrauch, etwa dann, wenn Mitarbeiter unabsichtlich sensible Informationen auf ihre Laptops kopieren oder unverschlüsselte mobile Endgeräte wie Festplatten, Notebooks und Speicherstifte verloren gehen. Unachtsamkeit bei zu schnell und unüberlegte Datenfreigabe oder Dokumente die einfach im Papierkorb entsorgt werden, können das Image eines Unternehmens sehr schaden.
Einer der wichtigsten Schritte zur Abwehr möglicher Datenverluste ist: Alle Mitarbeiter und die Geschäftsleitung über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Zugangsdaten zur Datenbank vergessen – Beamtin arbeitet dann ohne Datenbank weiter
Heise online - "Beamtin vergisst Login: Waffenscheine ohne Backgroundcheck"
https://www.heise.de/newsticker/meldung/Beamte-vergisst-Login-Waffenscheine-ohne-Backgroundcheck-4075717.html

Mitarbeiter wegen Datenklau und Sabotage angeklagt
Handelsblatt online - "Tesla verklagt Ex-Mitarbeiter wegen angeblicher Sabotage" https://www.handelsblatt.com/unternehmen/industrie/elektroautopionier-tesla-verklagt-ex-mitarbeiter-wegen-angeblicher-sabotage/22717212.html?ticket=ST-4795292-L43FLeg6DLQhQf0J0XoN-ap2

Erfolgreicher Cyber-Angriff anhand Risikofaktor Mensch
SRF ch - "Cybersicherheit in Spitälern - Wenn Hacker mit Menschenleben spielen"
https://www.srf.ch/news/schweiz/cybersicherheit-in-spitaelern-wenn-hacker-mit-menschenleben-spielen



Stand der Technik im Zusammenhang mit der DSGVO
Zum Schutz personenbezogener Daten wurde mit der europäischen Datenschutz – Grundverordnung Vorgaben zur Datensicherheit festgelegt. Um ein angemessenes Schutzniveau zu erzielen, sind die Kriterien der technischen und organisatorischen Maßnahmen, mit dem unter anderem Artikel 32 zur Sicherheit der Verarbeitung festgelegt.
Datenverarbeitende Stellen sind gesetzlich unter anderem verpflichtet, Maßnahmen unter Berücksichtigung des Stands der Technik auszuwählen, um ein angemessenes Schutzniveau zu gewährleisten. Doch was bedeutet "Stand der Technik" überhaupt, die Gesetzgebung hat dazu keine klaren Vorgaben gegeben. Denn größere Unternehmen wie Konzerne haben gegenüber dem Mittelstand unterschiedliche Anforderungs- und Gefährdungsprofile was die IT-Sicherheit betrifft, zudem fehlt es beim Mittelstand oft an verfügbaren Ressourcen.
Der Bundesverband IT-Sicherheit (TeleTrusT) hat vor kurzem seinen bestehenden Leitfaden "Handreichung zum Stand der Technik" aktualisiert. Das Dokument gibt konkrete Hinweise und Handlungsempfehlungen zur Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen.
-ck-

Experten - Empfehlungen zum Stand der Technik
IT-Business online - Was ist "Stand der Technik" nach dem IT-Sicherheitsgesetz und DSGVO? - Teletrust aktualisiert Paper zum Stand der Technik
https://www.it-business.de/teletrust-aktualisiert-paper-zum-stand-der-technik-a-724568/

Handlungsempfehlungen und Orientierungshilfe
Teletrust Bundesverband IT-Sicherheit online – "IT-Sicherheitsgesetz"
https://www.teletrust.de/publikationen/broschueren/stand-der-technik/

Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Mobile Security – Bluetooth-Sicherheit, aktuell – Teil 3"
https://www.ceilers-news.de/serendipity/970-Mobile-Security-Bluetooth-Sicherheit,-aktuell-Teil-3.html

2. Cortana kann Sperrbildschirm umgehen
Security Insider online - "Sicherheitsrisiko durch Microsoft Cortana: Cortana erlaubt Unbefugten Zugriff auf Dateien"
https://www.security-insider.de/cortana-erlaubt-unbefugten-zugriff-auf-dateien-a-726082/?cmp=nl-36&uuid=F9E49D0D-965B-DBA4-728B6B7B8F189344

3. Wichtige Sicherheitspatches für Netzwerk-Betriebssystem
Heise Security online – "Sicherheitsupdates: Kritische Root-Lücken in Cisco FXOS und NX-OS" https://www.heise.de/security/meldung/Sicherheitsupdates-Kritische-Root-Luecken-in-Cisco-FXOS-und-NX-OS-4088573.html

4. Sicherheitslücke: Smarte Geräte verraten exakten Standort eines Nutzers
Spiegel online - "Google Home und Chromecast Sicherheitslücke gibt exakten Nutzer-Standort preis" http://www.spiegel.de/netzwelt/web/google-home-und-chromecast-sicherheitsluecke-gibt-exakten-standort-preis-a-1213715.html

5. Aus Angst vor persönlicher Haftung arbeiten Lehrer offline
RP online - "Datenschutz: Lehrer greifen wieder zum Stift"
https://rp-online.de/nrw/staedte/hilden/datenschutz-lehrer-greifen-wieder-zum-stift_aid-23505237