Cyberangriffe und die DSGVO
Eine aktuelle Umfrage rund um das Thema Cyber-Attacken im Autrag von Bird & Bird zusammen mit dem Marktforschungsunternehmen YouGov ergab, das das Bewusstsein für die grundsätzlichen Pflichten des Datenschutzes recht hoch ist. Doch fast die Hälfte der Unternehmen die Meldepflichten, Haftungsfragen und Schadenersatzansprüche bei Cyberattacken falsch einschätzen. 60 Prozent der befragten Unternehmen sind der Meinung, vollständig über die rechtlichen Auswirkungen eines Cyber-Angriffs informiert zu sein.
Doch detaillierte Nachfragen bei den Umfrageteilnehmer ergaben, das noch viel Unkenntnis zu den rechtlichen und wirtschaftlichen Konsequenzen besteht.
-ck-

Cyberattacken: Rechtliche Konsequenzen unterschätzt
IT Sec City online – "DSGVO und Cyberattacken: Haftungsfragen"
http://www.itseccity.de/schwerpunkte/compliance-mit-der-eu-
datenschutz-grundverordnung-eu-dsgvo/bird-bird-sp-dsgvo-220618.html

Unternehmen reagieren zu spät
IT Sec City online – "Firmeninvestitionen in DSGVO-Compliance"
http://www.itseccity.de/schwerpunkte/compliance-mit-
der-eu-datenschutz-grundverordnung-eu-dsgvo/efficientip-sp-dsgvo-290618.html

Bösartige Software im Kundendienst-Tool
Computer Bild online - "Kundendaten geklaut? - Ticketmaster gehackt: Sind Ihre Daten in Gefahr?"
http://www.computerbild.de/artikel/cb-News-Internet-
Ticketmaster-Hacker-Angriff-Sicherheit-Daten-21959689.html

Bankenhaftung bei nicht autorisierten Überweisungen
LN Online – "Hacker: Sparkasse verurteilt"
http://www.ln-online.de/Nachrichten/Norddeutschland/
Hacker-Sparkasse-verurteilt



Schutz sensibler Unternehmensinformationen auf mobilen Endgeräten
Egal ob auf Geschäftsreise oder privat: Unterwegs kann kaum noch auf einen Internetzzugang verzichtet werden. Oft geschieht die Einwahl ins Netz über einen kostenlosen, offenen W-Lan-Hotspot. Doch Nutzer von freiem WLAN sollten bedenken: Ein Hotspot ist immer unsicher, er kann leicht abgefangen werden, da Funkwellen - anders als bei Kabel - nicht auf einen bestimmten Benutzer begrenzbar sind. Andere User haben dadurch grundsätzlich die Möglichkeit, den Datenverkehr mitzulesen oder diesen zu manipulieren. Daher ist es wichtig, das automatische Einwählen an mobilen Endgeräten zu deaktivieren und nur WLAN-Zugänge mit einer möglichst hohen Verschlüsselung (derzeit WPA2) zu nutzen. Gerade kostenfreie Zugänge in Hotels oder Geschäften sowie Bahnhöfen/Flughäfen sind oft unverschlüsselt und daher völlig unsicher. Hier sollte man nur dann geschäftsrelevante oder sensible Daten nutzen, wenn man eine gesicherte Leitung, etwa per Virtual Private Network (VPN), zur Verfügung hat. In der Öffentlichkeit ist außerdem auf ausreichenden Sichtschutz bei Laptops, Smartphone und Tablets zu achten, da neugierige Blicke von allen Seiten Unbefugten Informationen offenlegen könnten. Oft wird vergessen, dass sensible Unternehmensinformationen mit mobilen Endgeräten transportiert und verarbeitet werden, sich somit der Kontrolle der eigenen IT-Sicherheitsstrukturen des Unternehmens entziehen. Gerade deshalb sollten die Sicherheitsrichtlinien in jedem Unternehmen die Nutzung mobiler Endgeräte für Firmenzwecke von Anfang an in das unternehmensweite Sicherheitskonzept integrieren.
-ck-

Schutz der Unternehmerdaten
Wirtschaftsschutz Info online - "Geschäftsreisen - Schützen Sie Ihr Know-how!" https://www.wirtschaftsschutz.info/DE/Themen/SicherheitAufGeschaeftsreisen/sicherheit_auf_geschaeftsreisen_node.html

Tipps für Business Trips
ASW Bundesverband online - "Leitfaden: Sicherheit auf Geschäftsreisen – eine Checkliste (pdf)" https://www.aswnrw.de/fileadmin/user_upload/PDF-Dateien_Homepage/LF_Reisesicherheit_NEU.pdf

Cyber-Sicherheit auf Reisen
IT-Sicherheit online - "Tipps für den Sommerurlaub: Eine Cyber-Sicherheits-Checkliste" https://www.itsicherheit-online.com/news/tipps-fuer-den
-sommerurlaub-eine-cyber-sicherheits-checkliste

 

Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Mobile Security – Bluetooth-Sicherheit, aktuell – Teil 3"
https://www.ceilers-news.de/serendipity/970-Mobile-
Security-Bluetooth-Sicherheit,-aktuell-Teil-3.html

2. Brute-Force-Attacke entsperrt iOS-Geräte
Futurezone - "Hacker umgeht Passcode auf iPhones und iPads"
https://futurezone.at/digital-life/hacker-umgeht-auf-iphones-und-ipads/400056035

3. Sicherheitsfirmen warnen vor Router-Angriff
Heise online - "UPnP als Tarnung: Verwundbare Router helfen DDoS-Angreifern"
https://www.heise.de/security/meldung/UPnP-als-Tarnung-Verwundbare-
Router-helfen-DDoS-Angreifern-4094140.html

 

 

Datenverlust durch eigene Mitarbeiter
Datenschutzpannen, die durch die Medien gehen haben das Bewusstsein von datenschutzrechtlichen Anliegen sowie der Nachfrage nach fundierter Datenschutzschulungen der Arbeitnehmer im Unternehmen steigen lassen. Doch noch immer ist das schwächste Glied in der Kette meist der Mensch - Mitarbeiter. Ein Personal-Computer kann noch so sicher sein, mit den neusten Updates für die Software ausgestattet, einen Firewall als auch ein Virenprogramm, welches dem neusten Stand entspricht, installiert haben. Es bleibt der Endbenutzer, welcher zum Beispiel am Telefon sensible Daten weitergibt oder ein zu leichtes Passwort verwendet oder unabsichtlich sensible Informationen auf Laptops, USB-Sticks kopieren und diese meist unverschlüsselte mobilen Endgeräte wie Festplatten, Notebooks und Speicherstifte verloren gehen. Noch immer hat sich das Sicherheitsdenken in den Köpfen der Mitarbeiter, obgleich sensibilisiert in Sachen Datenschutz, bis dato nicht vollständig etabliert. Ein perfekt ausgeklügeltes Sicherheitssystem kann durchaus nicht greifen, solange die Nutzer dieser Techniken es nicht unterstützen.
-ck-

Leitender Mitarbeiter verliert Speicherstick: JVA-Insassen verteilen sensible Mitarbeiterdaten
WDR1 online - "Sensible Mitarbeiterdaten in JVA Euskirchen in Umlauf"
https://www1.wdr.de/nachrichten/rheinland/jva-gefaengnis-euskirchen-datenklau-100.html

Datenträger mit sensiblen Mitarbeiterdaten verloren
TAG 24 online - "Brisante Daten von Gefängnis-Wärtern gelangen in Häftlings-Hände"
https://www.tag24.de/nachrichten/usb-stick-verloren-adressen-von-gefaengnis-waertern-der-jva-euskirchen-gelangen-in-haeftlings-haende-669862



Datenschutz und die Pannen im Unternehmen
Wie die fast täglichen Schlagzeilen berichten, sind die Zahlen der Datenpannen und – Diebstähle in jüngster Zeit deutlich angestiegen. Um die gesetzlichen Anforderungen an den Datenschutz in Unternehmen weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann, wie die aktuelle Medienberichterstattung zeigt, erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
Die unten aufgeführten Medienberichte über Datenpannen in dieser Woche zeigen: Es lohnt sich, den Datenschutz nicht als lästige Pflicht zu betrachten. Es empfiehlt sich, statt zu hoffen, dass das eigene Unternehmen vom bekannt werden möglicher Datenschutzpannen verschont bleibt – Datenschutzmaßnahmen zu integrieren und als Wettbewerbsfaktor offensiv zu nutzen.
-ck-

Gravierende Probleme mit der Sicherheit einer Kundendatenbank
Spiegel online - "Datenpanne bei Kundenbildern: Ein riesiges Problem für Panini - und die Kunden"
http://www.spiegel.de/plus/panini-massive-datenpanne-betrifft-massenhaft-minderjaehrige-a-00000000-0002-0001-0000-000158147666

Wieder Opfer von Cyber-Kriminellen?
Welt online - "Adidas warnt US-Kunden vor möglichem Datenklau"
https://www.welt.de/regionales/bayern/article178441980/Adidas-warnt-US-Kunden-vor-moeglichem-Datenklau.html

Kundendaten anhand unerlaubten Backup-Zugriffs entwendet
COM-Magazin online - "Anbieter von Online-Formularen gehackt: Großer Datendiebstahl bei Typeform"
https://www.com-magazin.de/news/hacker/grosser-datendiebstahl-typeform-1550812.html

Daten im Visier der Angreifer
IT Finanzmagazin online - "Vectra-Report: Cyber-Angreifer nutzen versteckte Tunnel, um Finanzdienstleister auszuspionieren"
https://www.it-finanzmagazin.de/vectra-report-cyberangreifer-nutzen-versteckte-tunnel-um-finanzdienstleister-auszuspionieren-72974/



Albtraum Identitätsdiebstahl
Dritte eignen sich persönliche Daten anderer Personen in der Regel zu dem Zweck an, diese zu ihrem Vorteil – und damit meist zum Nachteil des Betroffenen – zu verwenden. Verwendet ein Täter widerrechtlich diese Daten, kann er sich mit dem Datensatz im Rechtsverkehr identifizieren, um zum Beispiel ein Konto zu eröffnen oder Bestellungen aufzugeben - nimmt somit die Identität des Betroffenen an.
Wie die Medien in dieser Woche berichteten, wurden persönliche Informationen von einen Verstorbenen gestohlen und mit diesen sensiblen Daten hat der Unbekannte in seinem Namen scheinbar fleißig im Internet eingekauft. Der Identitätsdiebstahl ist erst aufgeflogen, als die hinterbliebene Frau Mahnungen erhalten hatte. Dieser Vorfall ist noch nicht aufgeklärt.
Ermittlungen in solchen Fällen sind langwierig und ein Identitätsdiebstahl ist extrem schwierig aufzuklären– doch manchmal geht es gut aus, wie die gemeinsamen Pressemitteilungen von Staatsanwalt Göttingen und Polizeiinspektion Göttingen zeigen. In diesem Fall wurde ein 51- jähriger Göttinger, welcher bei verschiedenen Online-Versandhändlern Kundenkonten unter dem Namen seines Bekannten eröffnete und Waren unerlaubt bestellte, observiert. Bei der Übergabe eines Zustellvorganges wurde der Angeschuldigte durch die Ermittler der Task-Force-Cybercrime der Polizeiinspektion Göttingen auf frischer Tat ertappt.
Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit – Kostenaufwendig, sondern auch Rufschädigend. Für die Einführung geeigneter Schutzmaßnahmen besteht daher dringender Handlungsbedarf. Hier ist der Gesetzgeber gefragt um diese Lücke zu schließen.
-ck-

Einkaufen mit gestohlenen Daten eines Verstorbenen
Rhein – Zeitung online - "ID-Klau: Wie Betrüger an die Daten kommen"
https://www.rhein-zeitung.de/region/lokales/neuwied_artikel,-idklau-wie-betrueger-an-die-daten-kommen-_arid,1832314.html

Ermittlungsbeamte konnten Beschuldigten auf frischer Tat stellen
Focus online - "Polizeiinspektion Göttingen: Gemeinsame Pressemitteilungen von Staatsanwaltschaft Göttingen und Polizeiinspektion Göttingen - Identitätsdiebstahl: Anklage wegen mehrfachen Computerbetrugs unter Ausnutzung einer Notlage"
https://www.focus.de/regional/goettingen/polizeiinspektion-goettingen-gemeinsame-pressemitteilungen-von-staatsanwaltschaft-goettingen-und-polizeiinspektion-goettingen-identitaetsdiebstahl-anklage-wegen-mehrfachen-computerbetrugs-unter-ausnutzung-einer-notlage_id_9189750.html

Cyberkriminelle erhielten vom Opfer Kontoverbindung und eine Kopie des Personalausweises
HNA online - "Plötzlich war das Konto leer: Mann aus Hessisch Lichtenau wurde wohl Opfer von Datendiebstahl"
https://www.hna.de/lokales/witzenhausen/hessisch-lichtenau-ort62262/mann-hessisch-lichtenau-datendiebstahl-10003357.html

Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick


1. Carsten Eilers - IT-Sicherheit
Carsten Eilers - "Mobile Security – Bluetooth auf den Sicherheitskonferenzen 2016"
https://www.ceilers-news.de/serendipity/972-Mobile-Security-Bluetooth-auf-den-Sicherheitskonferenzen-2016,-Teil-1.html

2. Onlinehandel und die sensiblen Daten
Süddeutsche online – "Online-Handel Amazon will jetzt auch Apotheke sein
http://www.sueddeutsche.de/wirtschaft/online-handel-amazon-kennt-jetzt-auch-die-kranken-1.4037001

 

 

Online-Systeme im Fokus der Datenschutz-Pannen
Firmen müssen sich auf neue Gefahrenpotenziale anhand von Cyberattacken vorbereiten, somit die Infrastruktur und Industrieanlagen besser abschirmen. Allein in den vergangenen zwei Jahr hatte jedes dritte Unternehmen erfolgreiche IT-Sicherheitsvorfälle zu verzeichnen – Tendenz steigend. Fachwissen ist nicht mehr nötig, denn inzwischen kann jeder Kriminelle ohne fundiertes Expertenwissen im Darknet, beziehungsweise in der Underground Economy, Dienstleistungen als „Cyber Crime as a Service“ einkaufen. Somit steigt das Gefahrenpotenzial der Cybercrime-Delikte auf ein unbekanntes Höchstmaß an.
Beispiele aus dieser Woche: Laut Medienberichten mussten erneut Unternehmen schwerwiegende Datenschutz-Pannen einräumen. Das Ziel und Beute von Cyberattacken in dieser Woche waren sensible Informationen wie Gesundheitsdaten, Bewerberdaten, Kundendaten samt Zahlungsinformationen.
Die Vorfälle in dieser Woche zeigen einmal mehr, dass in vielen Bereichen geeignete technische und organisatorische Maßnahmen (TOMs) in den Unternehmen fehlen.
-ck-

Über Kunden-Portal Einsicht auf fremde hochsensible Gesundheitsdaten möglich
Nau Media ch - "CSS: Heikle Datenpanne"
https://www.nau.ch/politik-wirtschaft/wirtschaft/2018/07/04/heikle-datenpanne-bei-der-css-65362729

Datenpanne anhand Softwareproblem im Ratsinformationssystem
Kölner Stadt-Anzeiger online - "Datenpanne bei Stadt Overath Bewerberdaten für Amt des Kämmerers waren offen einsehbar"
https://www.ksta.de/region/rhein-berg-oberberg/overath/datenpanne-bei-stadt-overath-bewerberdaten-fuer-amt-des-kaemmerers-waren-offen-einsehbar-30919306

Systemumstellung: Kundendaten des Unternehmens für außenstehende im Netz frei verfügbar
Heise online - "Datenleck bei Domainfactory: Kunden sollen Passwörter ändern"
https://www.heise.de/newsticker/meldung/Datenleck-bei-Domainfactory-Kunden-sollen-Passwoerter-aendern-4104495.html

Zapfsäule gehackt
Die Presse com - "Hacker zapfen an Tankstelle 2300 Liter "Gratis"-Benzin"
https://diepresse.com/home/techscience/5461100/Hacker-zapfen-an-Tankstelle-2300-Liter-GratisBenzin

Massive Datenpanne bei Social-Media-Archiv-App
Timehay Data Breach - 21 Millionen Betroffene - Betroffene bis 4. Juli Hack
https://www.tekk.tv/welt/timehay-data-breach-21-millionen-betroffene-betroffene-bis-4-juli-hack/

Adressen von Soldaten und UR-Geheimdienstmitarbeitern öffentlich einsehbar
SWR online – "Neue Datenpanne bei Fitness-App"
https://www.swr.de/swraktuell/Neue-Datenpanne-bei-Fitness-App,kurz-datenpanne-100.html

Immer häufiger Mega-Datenpannen
Die Welt online - "So teuer sind Hackerangriffe für Unternehmen"
https://www.welt.de/wirtschaft/webwelt/article179145348/Hacker-Studie-So-teuer-wird-ein-Datenleck-fuer-Unternehmen.html

Unternehmen unterschätzen die Folgen einer Datenpanne
IT-Daily net - "Rechtliche Konsequenzen von Cyberattacken
https://www.it-daily.net/analysen/19036-rechtliche-konsequenzen-von-cyberattacken



Datenschutz: Hilfe durch Service beim Landesamt
Das Bayerische Landesamt für Datenschutzaufsicht in Ansbach hat eine Hotline für Vereine und ehrenamtlich Tätige aus Bayern eingerichtet, zwecks schnelle und unkomplizierte Hilfestellung zur Umsetzung des neuen europäischen Datenschutzrechts (Datenschutz-Grundverordnung – DS-GVO).
Die Hotline ist von Montag bis Freitag von 08:00 Uhr bis 19:00 Uhr unter der Telefonnummer: 0981-53-1810 erreichbar. Zudem werden zweimal in der Woche die 10 meistgestellten Fragen samt Antworten zur Umsetzung der DS-GVO auf der Homepage (www.lda.bayern.de) veröffentlicht. Zusätzlich hat das BayLDA einen E-Mail-Kontakt (vereine@lda.bayern.de) eingerichtet, um weitere Fragen zu den Datenschutz-Vorschriften zu beantworten.
-ck-

Service zur Umsetzung der europäischen DS-GVO
Bayerisches Landesamt für Datenschutzaufsicht – "Hotline"
https://www.lda.bayern.de/de/hotline.html

Veröffentlichung der meistgestellten Fragen zur DS-GVO
Bayerisches Landesamt für Datenschutzaufsicht – "Häufig gefragt"
https://www.lda.bayern.de/de/faq.html



Nachrichtenticker:
Weitere Nachrichten im Kurzüberblick

1. Carsten Eilers - IT-Sicherheit Carsten
Eilers - "Mobile Security – Bluetooth auf den Sicherheitskonferenzen 2016, Teil 2"
https://www.ceilers-news.de/serendipity/977-Mobile-Security-Bluetooth-auf-den-Sicherheitskonferenzen-2016,-Teil-2.html

2. Vorsicht Fälschung: Betrügerische SMS sofort löschen
Focus online - "GMX-Nutzer betroffen-Diese SMS sollten Sie löschen: Betrüger wollen Ihre E-Mail-Zugangsdaten erbeuten"
https://www.focus.de/digital/videos/gmx-nutzer-betroffen-betrueger-wollen-ihre-e-mail-zugangsdaten-erbeuten_id_7154766.html

3. Sicherste Zahlungsart: Keine Vorauskasse leisten
T-Online digital – "Landeskriminalamt: so erkennen Sie Fake – Shops im Netz
https://www.t-online.de/digital/sicherheit/id_84095462/landeskriminalamt-so-erkennen-sie-fake-shops-im-netz.html

− − −

Liebe Leser unserer Datenschutznachrichten

Unser Redaktionsteam befindet sich im Urlaub. Danach gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der 32. Kalenderwoche wieder bei uns begrüßen zu dürfen.
-ck -

− − −