Besorgniserregend, dass LastPass weiteren Sicherheitsvorfall hatte, nachdem bereits im August 2022 ähnlicher Fall bekannt wurde

[datensicherheit.de, 01.12.2022] Ein Datenleck bei LastPass, bei dem es zu einem weiteren Angriff auf persönliche Daten gekommen sein soll, kommentiert Chris Vaughan, „VP Technical Account Management, EMEA“ bei Tanium, in seiner aktuellen Stellungnahme:

Foto: Tanium

Chris Vaughan: Bei dem Angriff wurden Quellcode und technische Informationen durch unbefugten Zugriff auf den Cloud-Speicher eines Drittanbieters entwendet…

Angreifer konnten sich Zugriff zum System bei LastPass verschaffen

Es sei besorgniserregend zu hören, dass LastPass einen weiteren Sicherheitsvorfall erlebt habe, „nachdem bereits im August ein ähnlicher Fall bekannt wurde“. Er berichtet: „Bei dem Angriff wurden Quellcode und technische Informationen durch unbefugten Zugriff auf den ,Cloud’-Speicher eines Drittanbieters entwendet, den das Unternehmen nutzte.“

Er betont: „Der jüngste Angriff ist schwerwiegender als der vergangene Vorfall, da diesmal auf Kundeninformationen zugegriffen wurde, was zuvor nicht der Fall war.“ Die Angreifer konnten sich demnach Zugriff zum System verschaffen, indem sie die bei dem vorherigen Vorfall offengelegten Daten nutzten, um Zugang zur IT-Umgebung von LastPass zu erhalten.

Laut LastPass Passwörter weiterhin sicher verschlüsselt

„Das Unternehmen sagt, dass die Passwörter weiterhin sicher verschlüsselt sind und dass es daran arbeitet, den Umfang des Vorfalls nachzuvollziehen, um genau zu bestimmen, welche Daten entwendet wurden.“ Es ist laut Vaughan davon auszugehen, dass das IT-Sicherheitsteam rund um die Uhr an diesem Fall arbeitet und dass seine Sichtbarkeit des Netzwerks und der daran angeschlossenen Geräte auf eine harte Probe gestellt wird.

Die meisten Unternehmen verfügten nicht über einen vollständigen Überblick, der für die Aufarbeitung des Vorfalls – vom Angriffsvektor bis hin zur Schadensanalyse – zwingend erforderlich sei.

LastPass attraktives Ziel für Cyber-Kriminelle

Passwort-Manager seien ein schwer zu knackendes, aber attraktives Ziel für Cyber-Kriminelle, da sie im Falle eines Einbruchs im Handumdrehen eine „Schatztruhe“ mit Zugang zu Konten und sensiblen Kundendaten öffnen könnten. „Ich bin jedoch der Meinung, dass die Vorteile einer sicheren Kennwortverwaltungslösung die Risiken eines Vorfalls bei weitem überwiegen“, so Vaughan.

In Kombination mit den anderen Sicherheitsempfehlungen sei dies immer noch eine der besten Lösungen, um den Diebstahl von Zugangsdaten und damit verbundene Angriffe zu verhindern. „Wir können nur hoffen, dass das Vertrauen der Kunden durch diese jüngsten Angriffe nicht zu sehr erschüttert wurde.“

LastPass-Kunden sollten Website und offizielle Mitteilungen weiterhin auf neue Hinweise hin überprüfen

LastPass-Kunden sollten die Website und die offiziellen Mitteilungen weiterhin auf neue Hinweise hin überprüfen. Vaughan rät: „Wenn sich die Sicherheitslücke ausweitet, sollten die Nutzer ihre Sicherheitsvorkehrungen überdenken. Das könnte bedeuten, dass sie proaktiv ihre Passwörter ändern oder vorübergehend einen anderen Passwortmanager verwenden.“

Vaughan würde auch jedem empfehlen, eine Multi-Faktor-Authentifizierung für seine Passwortverwaltungslösung zu verwenden, da diese zusätzliche Sicherheitsebene bei Sicherheitsverletzungen entscheidend sein könne.

Weitere Informationen zum Thema:

heise online, Dirk Knop, 01.12.2022
Passwort-Manager: Einbruch bei LastPass, Bitwarden streitet ab / Unbefugte versuchten, auf Cloud-Systeme von LastPass zuzugreifen…

datensicherheit.de, 10.06.2021
Wert der Zwei-Faktor-Authentifizierung in vielen Unternehmen noch nicht erkannt / Auch mangelhafte Passwort-Hygiene ist ein Problem: 54 % aller Mitarbeiter verwenden die gleichen Passwörter für mehrere berufliche Konten, und 41 % der Firmeninhaber merken sich Passwörter immer noch durch Aufschreiben

Nach einem Jahr sieht Großteil der Deutschen noch nicht erhofften Digitalen Aufbruch

[datensicherheit.de, 30.11.2022] Der eco, Verband der Internetwirtschaft e.V., geht in seiner aktuellen Stellungnahme auf das Ergebnis einer von ihm beauftragten Umfrage ein: Demnach sieht nach einem Jahr „Ampel“-Regierung sieht ein Großteil der Deutschen nicht den erhofften Digitalen Aufbruch. Dies zeigt demnach eine repräsentative Umfrage des Meinungsforschungsinstituts Civey im eco-Auftrag von: Rund 72 Prozent der Befragten hätten angegeben, dass die „Ampel“-Koalition die Digitale Transformation in Deutschland entschiedener vorantreiben müsse. Civey habe in der Zeit vom 28. bis zum 29. November 2022 rund 2.500 Personen befragt – die Ergebnisse seien repräsentativ für die Einwohner der BRD ab 18 Jahren (der statistische Fehler liege bei 3,5 Prozent).

Bild: eco

Oliver Süme: Der erhoffte Turbo für die Digitale Transformation in Deutschland ist bislang ausgeblieben!

eco-Vorstandsvorsitzender fordert, dass Maßnahmen und Ressorts stärker ineinandergreifen sollten

Knapp 15 Prozent zeigten sich unentschieden. Nur 13 Prozent der Befragten hätten den Eindruck, „dass die ,Ampel’-Regierung die Digitalisierung entschieden vorantreibt“. Unter den Wählern der drei Koalitionsparteien wünschten sich vor allem Anhänger der Freien Demokraten mehr Fortschritt bei der Digitalen Transformation: Für 77,4 Prozent der FDP-Wähler gehe dieser Prozess noch nicht schnell genug.

„Der erhoffte Turbo für die Digitale Transformation in Deutschland ist bislang ausgeblieben, ein Paradigmenwechsel in der Digitalpolitik nicht erkennbar“, bilanziert der eco-Vorstandsvorsitzende, Oliver Süme. Grundsätzlich seien Wille und Anstrengung sichtbar, zentrale digitalpolitische Fragestellungen strategisch umzusetzen. Doch müssten hierfür verschiedene Maßnahmen und Ressorts stärker ineinandergreifen. „Die Zersplitterung der digitalpolitischen Zuständigkeiten in verschiedene Ressorts hat sich bereits in den letzten Wahlperioden als Bremsklotz bei zentralen Weichenstellungen für die Digitale Transformation am Standort Deutschland erwiesen“, unterstreicht Süme.

Leider habe es die „Ampel“-Regierung – wie auch schon die „Große Koalition“ vor ihr – verpasst, dem Thema Digitalisierung im Rahmen ihrer Ressortaufteilung eine strategische Schlüsselrolle beispielsweise in Form eines echten Digitalministeriums mit Budgetverantwortung und koordinierender Funktion für die Digitalpolitik, zuzuweisen.

Abbildung: eco

CIVEY-Umfrage: „Ampel“-Koalition und Digitale Transformation

eco moniert: Energieeffizienzgesetz kontraproduktiv für Digitalstandort Deutschland

Dieses Problem setze sich nun auch in dieser Legislaturperiode fort: „Zentrale Fragen für die Internetwirtschaft gehen im Streit verschiedener Ressorts unter“, moniert Süme und erläutert:. „Aktuell kann man das am Beispiel des Vorschlags für das neue Energieeffizienzgesetz sehen, das neue Regelungen für Rechenzentren aufgreift: Der jetzige Entwurf könnte sich mehr als schädlich für die Entwicklung des Digitalstandorts Deutschland erweisen und zur Abwanderung der Branche ins Ausland führen, da er technisch nicht machbare Anforderungen an Rechenzentrumsbetreiber formuliert.“

Mehr als die Hälfte der Deutschen (56,6%) forderten zudem, dass die Bundesregierung die Betreiber Kritischer Infrastruktur wie Rechenzentren im Zuge der Energiekrise stärker als bisher unterstützen sollte – so ein weiteres Ergebnis der aktuellen Civey-Umfrage.

Im Visier sind Fußballfans, um sie auf malware-infizierte Webseiten zu locken

[datensicherheit.de, 30.11.2022] Bereits wenige Tage nach Start der „FIFA Fußball WeltmeisterschaftTM 2022“ konnten Sicherheitsforscher der „Zscaler ThreatLabz“ nach eigenen Angaben eine Häufung gefälschter Streaming-Seiten verzeichnen. Ziel sind demnach Fußballfans, welche mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf malware-infizierte Webseiten gelockt werden sollen. „Darüber hinaus werden auch angebliche Eintrittskarten, Flugtickets sowie weitere Angebote als Lockmittel eingesetzt, die die Welle des Interesses für die WM ausnutzen, um Schadcode zu transportieren.“

Screenshot: Zscaler ThreatLabz

Falle für Fußballfans: Lotterie-Spiele auf malware-infizierte Webseiten

Ähnlich wie bei anderen großen Sport-Events nutzen Malware-Akteure Begeisterung der Fußballfans aus

Seit Beginn der WM 2022 habe ein signifikanter Anstieg in der Anzahl von Streaming-Transaktionen durch das „ThreatLabZ“-Team festgestellt werden können. Ähnlich wie bei anderen großen Sport-Events hätten Malware-Akteure die Sportbegeisterung der Fans für ihre Angriffe ausgenutzt.

Aktuell werde Schadcode über neu registrierte Webseiten mit Bezug zur Fußball-WM verbreitet. Nicht alle dieser neuen Domains seien bösartig. „Dennoch ist es wichtig, diese zunächst als verdächtig einzustufen, bis Analysen durchgeführt werden konnten, um versteckte Angriffe aufzuspüren.“

Für die meisten der von den Sicherheitsforschern beobachteten Malware-Kampagnen würden neu registrierte Domains verwendet, um Webseiten mit Schadpotenzial zu hosten. „In weiteren Beispielen hosten allerdings bekannte legitime Webseiten wie ,Xiaomi’, ,Reddit’, ,OpenSea’ und ,LinkedIn’ gefälschte Links, die zu den bösartigen Webseiten weiterleiten.“

ThreatLabz haben Fälle beobachtet, in denen SolarMarker es auf Fußballfans abgesehen hat, welche WM-Aufkleber kaufen

Die Bedrohungsakteure hinter diesen betrügerischen Aktivitäten versuchten in der Regel, gefälschte Ticketgebühren zu erheben oder Kredit- und Debit-Kartendaten zu stehlen. „In dem unten gezeigten Beispiel wurde eine verdächtige Pop-up-Seite aufgedeckt, die Tickets für die Fußballweltmeisterschaft anbietet und erst am 15. November registriert wurde. Aufgrund der hohen Anzahl von Betrügereien wie dieser entscheiden sich viele Unternehmen dafür, neu registrierte Domains, die weniger als zehn Tage alt sind, zu blockieren, einzuschränken oder zu analysieren.“

Das „ThreatLabz“-Team habe auch eine Betrugsmasche beobachtet, bei der den Benutzern Preisgelder und Flugtickets von Qatar Airways angeboten würden. Die Domain für die entsprechende Betrugsseite mit dem Screenshot unten sei am 11. November 2022 eingerichtet worden. „Dieser Zeitpunkt lässt die Forscher vermuten, dass die Akteure hinter dieser Webseite ebenfalls Fußballfans im Visier haben.“

Doch nicht nur gefälschte Domains kämen zum Einsatz, auch sogenannte Infostealer wie „SolarMarker“ seien beobachtet worden. Die Malware nutze Techniken zur Manipulation der Suchmaschinenoptimierung (SEO), um Opfer anzulocken und die erste „Payload“ abzuladen. In den meisten Fällen hätten die Sicherheitsforscher beobachtet, dass diese Angreifer die bösartigen PDF-Dateien auf kompromittierten „Wordpress“-Seiten mit auffindbaren URLs und Suchmaschinenergebnissen hosteten. „ThreatLabz“ hätten einige Fälle beobachtet, in denen „SolarMarker“ es auf Fußballfans abgesehen habe, die WM-Aufkleber auf kompromittierten E-Commerce-Seiten kaufen wollten. „Wenn der User zum Download auf ein gefälschtes PDF klickt, wird er automatisch auf eine von den Betrügern kontrollierte Webseite umgeleitet, die den schädlichen ,Microsoft Windows Installer’ (MSI)-Dienst liefert, um den Rest des Angriffs durchzuführen.“

Screenshot: Zscaler ThreatLabz

Gefälschte, erst am 15.11.2022 registrierte Webseite bietet Tickets für Fußballweltmeisterschaft an

Schutzmaßnahmen nicht nur für Fußballfans

Wie immer seien diese Beobachtungen nur die „Spitze des Eisbergs an Malware-Aktivitäten rund um einen Großevent“. Aus diesem Grund haben die Sicherheitsforscher die Tipps zusammengestellt, mit denen sich Fußballfans vor Betrug schützen könnten:

• Flugtickets und alle Services rund um die „FIFA Fußball-WeltmeisterschaftTM“ sollten nur bei autorisierten Anbietern und geprüften Webseiten gebucht werden.
• Für das Streamen der Spiele sei es ratsam, ausschließlich bekannte und vom Veranstalter genehmigte Seiten zu nutzen.
• Bei Lockangeboten in E-Mails sei immer Vorsicht geboten. Angeblich kostenlose Angebote seien nicht vertrauenserweckend und sollten nicht angeklickt oder heruntergeladen werden.
• Für alle Aktivitäten im Internet empfehle es sich, sichere Verbindungen wie HTTPs zu nutzen und eine Zwei-Faktor-Authentifizierung für die Konten zu verwenden.
• Alle Anwendungen und das Betriebssystem müssten immer auf dem aktuellen Stand gehalten werden.
• Eine Backup-Strategie mit externer Datensicherung sei darüber hinaus angebracht und schütze sensible Informationen vor Dritten.

Weitere Informationen zum Thema:

zscaler, Prakhar Shrotriya & Kaivalya Khursale, 22.11.2022
Surge of Fake FIFA World Cup Streaming Sites Targets Virtual Fans

Zweifel am Datenschutz der Unternehmen in Zeiten von Tele-Arbeit und Home-Office

[datensicherheit.de, 29.11.2022] Laut einer aktuellen OpenText-Studie sorgen sich insgesamt mehr als zwei Drittel (69%t) der Bundesbürger darum, wie ihre persönlichen Daten in der „postpandemischen Welt“ verwaltet und geschützt werden. Weitergabe oder fehlender Schutz persönlicher Daten wären für 33 beziehungsweise 32 Prozent der Befragten Gründe, die Geschäftsbeziehungen mit Unternehmen zu beenden. Die große Mehrheit (92%) der Deutschen gibt demnach an, dass sie sich gut oder einigermaßen mit den Gesetzen zum Datenschutz auskennen.

Abbildung: OpenText

OpenText-Datenschutz-Umfrage 2022: Schutz der Privatsphäre

Seit Beginn der Corona-Pandemie neue Bedenken in Sachen Datenschutz

„Seit dem Beginn der ,Corona-Pandemie’ sind neue Bedenken in Sachen Datenschutz bei deutschen Verbrauchern entstanden. Demnach ist die derzeit größte Sorge der Befragten, dass Daten, die zum Kampf gegen ,Corona’ erhoben wurden, möglicherweise nicht gelöscht werden, wenn diese nicht mehr benötigt werden (26%).“

Danach folge Skepsis ob der sicheren Datenspeicherung und möglichen Kompromittierung (22%). Ebenfalls 22 Prozent der Deutschen sorgten sich, dass ihre Daten für sachfremde Zwecke verwendet würden. Lediglich 31 Prozent hätten keinerlei neue Bedenken. Für 74 Prozent der Befragten gebe die neue Arbeitssituation mit hybrider Arbeit und Home-Office Anlass zur verstärkten Sorge um ihre persönlichen Daten.

Zeitalter beispielloser regulatorischer Veränderungen mit strengen, sich rasch weiterentwickelnden Datenschutzvorschriften

„Seit dem Ausbruch der ,Pandemie’ Anfang 2020 wächst die Sorge der Verbraucher verstärkt darüber, wo und wie ihre persönlichen Daten verwendet werden. Außerdem leben wir in einer Zeit beispielloser regulatorischer Veränderungen mit strengen Datenschutzvorschriften, die sich rasch weiterentwickeln“, so Werner Rieche, „Managing Director“ in Deutschland und „Vice President Sales DACH“ bei OpenText.

Die Notwendigkeit, personenbezogene Daten zu schützen, sei in allen Branchen zu einem entscheidenden Faktor geworden und bringe zahlreiche Herausforderungen mit sich. Durch den Schutz von Kundendaten könnten Unternehmen das Vertrauen ihrer Kunden sichern, eine anhaltende Markentreue gewährleisten und sich einen Wettbewerbsvorteil verschaffen.

Kritische Verbraucher: Datenschutz ist geschäftsrelevant

Mangelnder Datenschutz könne dazu führen, dass Kunden nicht mehr bei Unternehmen einkaufen oder aufhören, deren Services zu nutzen. Rieche berichtet: „Für ein Drittel der befragten Deutschen wäre die Weitergabe persönlicher Daten ein solcher Grund. Fehlender Schutz oder ein Leak persönlicher Daten wäre für 32 Prozent ein Anlass, die Geschäftsbeziehungen zu beenden.“ Für ein Viertel wäre bereits die unzureichende Bearbeitung einer Anfrage nach Art. 15 DSGVO Zugang zu ihren personenbezogenen Daten sowie deren Berichtigung oder Löschung zu erlangen, ein hinreichender Grund, um nicht mehr bei einem Unternehmen einzukaufen.

Auf der anderen Seite gäben 60 Prozent der Deutschen an, dass sie bei einem Unternehmen, das den Datenschutz ernst nimmt, mehr bezahlen würden. Zum Vergleich: „In einer früheren Umfrage im Jahr 2020 stimmten dieser Aussage nur 41 Prozent der Befragten zu.“ Diese Zunahme lasse eine steigende Zahlungsbereitschaft für Datenschutz vermuten.

Wachsendes Interesse für rechtliche Aspekte des Datenschutzes

In der deutschen Bevölkerung zeichne sich zudem ein wachsendes Interesse für die rechtlichen Aspekte des Datenschutzes ab. „So geben 56 Prozent der Befragten in Deutschland an, dass sie sich relativ gut mit der Gesetzgebung auskennen, die ihre Daten im Internet schützt.“ Dieser Wert repräsentiere eine deutliche Steigerung gegenüber dem Ergebnis von 2020 von 32 Prozent. „Damals gaben außerdem noch 24 Prozent an, dass sie gar kein Wissen über Datenschutzgesetze besitzen – dieser Wert reduziert sich in der aktuellen Erhebung auf nunmehr acht Prozentpunkte.“ Somit verfügten 92 Prozent der Befragten nun mindestens über vage Kenntnisse der Rechtslage.

„Die Anzahl derer, die angeben, sich sehr gut mit den entsprechenden Gesetzen auszukennen, ist allerdings ebenfalls gesunken, von 44 Prozent im Jahr 2020 auf 36 Prozent im Jahr 2022.“ Dies deute darauf hin, dass das allgemeine Wissen über Datenschutzgesetze besser werde, dass aber noch mehr Aufklärung über spezifische Regeln und Vorschriften erforderlich sei. Zudem könnte zunehmende Verunsicherung dazu führen, vermeintliche Gewissheiten zu hinterfragen.

Foto: OpenText

Bernd Hennicke: Nie war der Bedarf an Enterprise-Information-Management-Lösungen größer, die nicht nur die Einhaltung von Datenschutzgesetzen unterstützen!

Unternehmen sollten Informationsvorsprung für Datenschutz nutzen, um Bedenken zu zerstreuen ihr Vertrauen zu erhalten

Erfreulicherweise und eventuell aufgrund des wachsenden Bewusstseins wüssten knapp drei Viertel (73%) der Verbraucher, wie sie ihre Daten in den von ihnen genutzten Apps, E-Mail-Konten und Konten in Sozialen Medien schützen könnten. Trotzdem überprüften nur 30 Prozent regelmäßig, „ob sie die besten Vorgehensweisen zum Schutz und zur Sicherheit ihrer Daten befolgen, etwa indem sie die Datenschutzeinstellungen aktivieren oder die Geolokalisierung deaktivieren“.

Bernd Hennicke, „Vice President, Product Marketing“ bei OpenText, kommentiert: „Nie war der Bedarf an ,Enterprise Information Management’-Lösungen größer, die nicht nur die Einhaltung von Datenschutzgesetzen unterstützen, sondern auch Wettbewerbsvorteile und Differenzierung bieten, um auch kritische Kunden zu halten.“ Daher müssten Unternehmen einen integrierten, datenzentrierten Ansatz für „Information Governance“ und Datenschutzmanagement fördern – „indem sie Erkennungs- und Klassifizierungstools nutzen“. So könnten sie die Risiken im Umgang mit privaten und sensiblen Daten mindern und Inhalte mit stärkeren Klassifizierungs- und Aufbewahrungsfunktionen sichern. „In der heutigen ,postpandemischen Welt’ müssen Unternehmen ihren Informationsvorsprung nutzen, um die Daten ihrer Kunden zu schützen und so deren Bedenken zu zerstreuen und ihr Vertrauen zu erhalten“, betont Hennicke abschließend.

[datensicherheit.de, 29.11.2022] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die Lage des Datenschutzes in den USA ein. Mit der „Executive Order“ vom 7. Oktober 2022 habe der US-Präsident eine Antwort auf die „Schrems-II“-Entscheidung des Europäischen Gerichtshofs (EuGH) gegeben. Dieser Rechtsakt adressiere erkennbar die wesentlichen Kritikpunkte des Gerichts an der Rechtslage der USA. Ziel sei ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission. Transatlantische Datenübermittlungen würden damit sehr viel einfacher möglich als bislang. In den kommenden Monaten sei mit einem Entwurf der Kommissionsentscheidung zu rechnen. Vor dessen Finalisierung werde der Europäische Datenschutzausschuss eine in die Bewertung einfließende Stellungnahme abgeben.

Die aktuellen Auswirkungen der Executive Order

„Zum aktuellen Zeitpunkt hat sich an der Rechtslage in den USA noch nichts Entscheidendes geändert“, stellt der HmbBfDI fest. Die „Executive Order“ sehe eine Übergangsfrist von bis zu einem Jahr vor – so lange hätten die achtzehn Geheimdienste der USA Zeit, die im Rechtsakt vorgesehenen Garantien in die praktische Arbeit zu integrieren. Nach Informationen des HmbBfDI würden zahlreiche dieser Dienste für die Umsetzung noch mehrere Monate brauchen: „Dies betrifft insbesondere die neue Anforderung, Datenzugriffe auf das verhältnismäßige Maß einzugrenzen. Solange die Verhältnismäßigkeit nicht Einzug in die Geheimdienstpraxis gefunden hat, ist weiterhin von einer Datenauswertung auszugehen, die den Wesensgehalt des Datenschutzgrundrechts verletzt.“

Dasselbe gelte für die institutionellen Garantien durch Schaffung einer Beschwerdestelle und eines Datenschutzgerichts. Diese Gremien befänden sich noch im Aufbau. Die Arbeitsfähigkeit werde erst in mehreren Monaten gewährleistet sein. Derzeit verfasste „Transfer Impact Assessments“ müssten deshalb nach wie vor zu dem vom EuGH vorgezeichneten Ergebnis kommen. Die staatlichen Zugriffsbefugnisse in den USA gingen weiterhin über das in einer demokratischen Gesellschaft erforderliche Maß hinaus.

Inhalt der Executive Order – Garantien für europäischen Bürger

Die „Executive Order“ schafft demnach Garantien für europäischen Bürger gegenüber den US-amerikanischen Geheimdiensten. Die USA hätten sich damit weit auf die europäische Grundrechtstradition zubewegt. Die bisweilen zu lesende eher reflexartige und pauschale Kritik sei daher unangebracht. Ob der Rechtsakt letztlich den Anforderungen des EuGH genügt, werde von zahlreichen Details sowie der Umsetzung in der Praxis abhängen. Deswegen sei es jetzt wichtig, im dafür vorgesehenen Verfahren die rechtlichen Garantien gründlich zu prüfen. Zunächst sei der Entwurf der EU-Kommission für einen Angemessenheitsbeschluss abzuwarten. Zu diesem werde sich der Europäische Datenschutzausschuss dann äußern.

„Positiv ist hervorzuheben, dass erstmals geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt werden.“ Hier zeigten die USA Bereitschaft, den Umfang staatlicher Datenerhebungen zumindest einzugrenzen. „Der häufig zu lesende Einwand, dass die ,Proportionality’ nicht 1:1 der deutschen ,Verhältnismäßigkeit’ entspricht, wird der Bedeutung des Themas nicht gerecht.“ Die Begriffsdefinition in der „Executive Order“ lehne sich erkennbar an das europäische Verfassungsrecht an. Das einzelfallbezogene und überprüfbare Dokumentationserfordernis zwinge zudem zu einer jeweils sorgfältigen Abwägung. Ein Angemessenheitsbeschluss erfordere keine vollständig kongruenten Rechtssysteme, sondern lediglich ein dem Wesen nach gleiches Niveau. „Schon im Vorfeld zu unterstellen, dass Rechtsbegriffe in der Umsetzungspraxis unzureichend ausgelegt werden könnten, ist spekulativ.“

Problematisch sei hingegen, dass am Instrument der Massenüberwachung (bulk collection) ausdrücklich festgehalten werde. „Inwieweit die neue Verhältnismäßigkeitsanforderung konkret die Massenüberwachung verändert, ist dem Text der ,Executive Order’ daher nicht eindeutig zu entnehmen.“ Wichtig seien deshalb engmaschige Überprüfungen der künftigen Anwendung im Hinblick auf etwaige Fehlentwicklungen.

Erfreulich sei auch, dass ein weiterer wesentlicher Kritikpunkt des Gerichtshofs aufgegriffen worden sei, nämlich ein effektiver Rechtsschutz europäischer Bürger gegen sie betreffende geheimdienstliche Aktivitäten durch ein Gremium mit verbindlichen Entscheidungsbefugnissen: Der neu eingerichtete „Data Protection Review Court“ genieße eine Stellung wie ein Gericht, werde mit unabhängigen Richtern von außerhalb der Exekutive besetzt und könne unter anderem Datenlöschungen und Verarbeitungseinschränkungen anordnen. „Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die ,Executive Order’, diese zu beseitigen.“

Zu beachten sei jedoch, dass für die Kläger das Rechtsschutzverfahren in der Sache vielleicht effektiv, aber kaum transparent und nachvollziehbar sei. „So ist nicht vorgesehen, in den Urteilen darüber zu informieren, ob und welche Maßnahmen ergriffen wurden.“ Diese Handhabung des Spannungsfelds zwischen staatlichem Geheimhaltungsinteresse und Rechtsschutzinteressen der Betroffenen würden die Kommission und der Datenschutzausschuss gründlich zu beleuchten haben.

Die Rechtsform als „Executive Order“ sei das probate Regelungsinstrument in den USA für extraterritoriale Anordnungen – es handele sich nicht um ein Gesetz zweiter Klasse. Sie sei insofern nicht mit der eher schwachen deutschen „Verordnung“ zu vergleichen. Robuste Eingriffe wie Wirtschaftssanktionen und Terrorismusbekämpfung würden seit Jahrzehnten wirksam per Präsidentenanordnung durchgesetzt. „Dass sie z.B. nach einem Regierungswechsel zügig zurückgenommen werden kann, ist richtig. Dies gilt für parlamentarische Gesetze jedoch ebenfalls.“ Die EU werde darauf mit sofortiger Aberkennung des Angemessenheitsstatus reagieren können.

Executive Order hat fundierte, ergebnisoffene Prüfung verdient

Die „Executive Order“ habe eine fundierte, ergebnisoffene Prüfung verdient. Die Kommission werde bei der Prüfung der Angemessenheit vor der Herausforderung stehen, einen abstrakten, noch nicht in der Praxis gelebten Rechtstext zu bewerten. „Entscheidende Punkte wie die Interpretation der Verhältnismäßigkeit durch die Geheimdienste oder die Funktionsfähigkeit des Datenschutzgerichts werden von der tatsächlichen Anwendung abhängen.“

Vor diesem Hintergrund sei zu raten, die künftige Entwicklung vor Ort im Blick zu halten. Dies erfordere von europäischer Seite einzufordernde Transparenz. Entsprechende Bedingungen und Vorbehalte könnten in den Beschluss mit aufgenommen werden.

Weitere Informationen zum Thema:

THE WHITE HOUSE, 07.10.2022
Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities

datensicherheit.de, 02.06.2021
Schrems II: Koordinierte Prüfung internationaler Datentransfers gestartet / Länderübergreifende Kontrolle der Datenübermittlungen von Unternehmen in Staaten außerhalb der EU im Kontext des EuGH-Urteils Schrems II

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

it’s.BB-Kooperation mit der IHK Berlin

[datensicherheit.de, 28.11.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu seiner „Awareness“-Veranstaltung zum Thema „Flexible, sichere IT-Infrastrukturen für moderne Netze“ im Rahmen eines in Kooperation mit der IHK Berlin organisierten Web-Seminars.

Abbildung: it’s.BB e.V.

it’s.BB e.V.-Einladung zu Web-Seminar via „GoToMeeting“

it’s.BB plädiert für völlig neue Ansätze…

Die zunehmende Digitalisierung von Geschäftsprozessen bringe mehrere Veränderungen mit sich, wie z.B. „Cloud“-Architekturen, „Software-as-a-Service“ (SaaS), „Work-from-anywhere“ und das sogenannte Internet der Dinge und Dienste.

Mit den herkömmlichen, zum Teil sehr unflexiblen Lösungen zur Vernetzung und zur Gewährleistung der Cyber-Sicherheit ließen sich diese Anforderungen an flexible und sichere IT-Infrastrukturen nicht mehr in Einklang bringen und umsetzen: „Dies erfordert völlig neue Ansätze.“

Teilnahme kostenlos – it’s.BB bittet um Online-Anmeldung

„Flexible, sichere IT-Infrastrukturen für moderne Netze“
Mittwoch, 14. Dezember 2022, 16.00 bis 17.00 Uhr
online via „GoToMeeting“, kostenlos, Online-Anmeldung erforderlich

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Wolfgang Fritsche, „Head of Cyber Security“, IABG mbH
Andreas Polzer, IHK Berlin

16.10-16.45 Uhr

• Einleitung
• Anforderungen an moderne Netze
• Nachteile aktueller Architekturen
• Lösungsansätze für flexible und sichere IT-Infrastrukturen

Wolfgang Fritsche, „Head of Cyber Security“, IABG mbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Anmeldung:

eventbrite
Dez. 14 / Flexible, sichere IT-Infrastrukturen für moderne Netze

Alex Hinchliffe gibt Tipps, damit Online-Shopping nicht von Hackern ruiniert wird

[datensicherheit.de, 26.11.2022] Der Heiligabend 2022 ist ein guter Anlass, an einen „traurigen Dauerbrenner der letzten Jahre“ zu erinnern – die Warnung vor Cyber-Kriminalität, wenn Verbraucher ihr Shopping online tätigen. Alex Hinchliffe, „Threat Intelligence Analyst“ bei Palo Alto Networks, gibt in seiner aktuellen Stellungnahme einige praktische Ratschläge, „wie man sich bei Weihnachtseinkäufen am Arbeitsplatz und zu Hause schützen kann“.

Foto: Palo Alto Networks

Alex Hinchliffe: Ransomware stellt nach wie vor eine ernsthafte Sicherheitsbedrohung dar!

Vor Ransomware schützen: Arbeits- und Privatgeräte nicht nur beim Shopping voneinander trennen!

„Ransomware stellt nach wie vor eine ernsthafte Sicherheitsbedrohung dar!“ Palo Alto Networks habe beobachtet, dass Angreifer es auf Verbraucher abgesehen hätten, „die von zu Hause aus arbeiten und über ihre Arbeitsgeräte einkaufen“. Das Ziel der Angreifer sei es, das Arbeitsgerät des Verbrauchers zu kompromittieren, in das Unternehmensnetzwerk einzudringen und das Unternehmen mit Ransomware zu infizieren.

Verbraucher sollten daran denken, ihre beruflichen Angelegenheiten auf ihrem Arbeitsgerät und ihre privaten Angelegenheiten auf ihrem privaten Gerät zu erledigen.

So werde verhindert, dass Angreifer den Arbeitgeber eines Verbrauchers ins Visier nehmen könnten. „Es ist viel zu einfach für jemanden, einen Passwort-Tresor oder einen anderen Speicher für Zugangsdaten zu verwenden, um persönliche und Firmenpasswörter zu speichern.“ Durch den Diebstahl von Passwörtern könnten sonst beide Informationen gestohlen werden.

Ob Shopping, Lieferankündigungen, Auftragsbestätigungen oder Spendensammlung durch Wohltätigkeitsorganisationen – Phishing-Betrug droht

Die Risiken für Unternehmen durch Ransomware-Angriffe, „die wichtige Systeme lahmlegen und Daten stehlen“, seien enorm. Sowohl die Höhe der von Cyber-Kriminellen geforderten Lösegelder als auch die Höhe der gezahlten Beträge nehme stark zu, und kein Unternehmen, ob groß oder klein, sei vor einem Angriff gefeit. „Es wäre das schlimmste Weihnachtsgeschenk, wenn ein Mitarbeiter unbeabsichtigt einer Ransomware-Bande Zugang zu den Systemen des Arbeitgebers gewährt.“

Die häufigste Art für Angreifer auf fremde Computer zu gelangen, sei eine Phishing-E-Mail. Noch mehr als sonst sollten Verbraucher während der vorweihnachtlichen Einkaufszeit auf eine Vielzahl von Phishing-Betrügereien achten.

Hierzu zählten z.B. gefälschte Lieferankündigungen, Auftragsbestätigungen und Wohltätigkeitsorganisationen. „Denken Sie nach, bevor Sie klicken. Klicken Sie nicht auf Links aus unbekannten Quellen. Wenn ein Angebot zu gut erscheint, um wahr zu sein, ist es das auch.“

Cybersquatting: Betrüger besetzen Domains, um Shopping-Freunde auf Fälschung zu leiten

Beim „Cybersquatting“ registrierten Cyber-Kriminelle Website-Domainnamen, „die ähnlich wie bestehende Domains oder Marken klingen, mit der Absicht, von den Tippfehlern der Verbraucher zu profitieren“. Der Zweck dieser Domainbesetzungen bestehe darin, die Verbraucher zu verwirren, damit sie glaubten, dass diese ähnlich klingenden Domainnamen legitimen Marken gehörten.

Da die Verbraucher einen großen Teil ihrer Festtagseinkäufe online erledigten, würden Angreifer aktiv, „um Domains zu besetzen, die wie Online-Shops aussehen, in denen die Menschen gerne einkaufen“. So stelle Palo Alto Networks häufig fest, dass „Amazon“ eine der am häufigsten missbrauchten Domains sei.

Verbraucher sollten darauf achten, dass sie die Domainnamen richtig eingeben und sich vor dem Aufrufen einer Website vergewissern, dass die Eigentümer der Domain vertrauenswürdig sind. „Achten Sie auf das Schloss-Symbol oder das ,https’ im Browser!“

Formjacking stiehlt Kreditkartendaten und andere auf Checkout-Seiten von Shopping-Websites erfasste persönliche Informationen

Eine der größten Bedrohungen durch Cyber-Betrug sei „Formjacking“, bei dem Cyber-Kriminelle bösartigen Software-Code in eine von Verbrauchern zum Kauf oder zur Weitergabe persönlicher Daten genutzte Webseite einschleusten. Dieser Betrug ziele darauf ab, Kreditkartendaten und andere persönliche Informationen aus Zahlungsformularen – auf den „Checkout“-Seiten von Shopping-Websites erfasst – zu stehlen.

Die Herausforderung für die Verbraucher bestehe darin, „dass ,Formjacking’-Angriffe schwer zu erkennen sind“. Die Transaktion werde zwar durchgeführt, aber im Hintergrund würden die Hacker die Kreditkartendaten stehlen – und könnten sie möglicherweise im sogenannten DarkWeb verkaufen. Verbraucher sollten unbedingt ihre Kreditkartenabrechnungen überprüfen, „um sicherzustellen, dass keine verdächtigen Aktivitäten vorliegen“.

Generell – und nicht nur im Zusammenhang mit „Formjacking“ – sollten Verbraucher bei Online-Einkäufen immer eine Kreditkarte oder eine Prepaid-Geschenkkarte verwenden. Hinchliffe betont abschließend: „Dies gewährleistet eine schnelle Lösung, wenn ein Cyber-Krimineller die Kartendaten erhält und einen Kauf tätigt oder zu tätigen versucht. Vor allem bei Prepaid-Geschenkkarten wird dadurch auch der Geldbetrag begrenzt, den ein Cyber-Krimineller stehlen kann.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.12.2021
Ransomware-Angriffe zu Weihnachten: BKA und BSI geben gemeinsame Warnung heraus / Bevorstehende Feiertage bergen erhöhtes Risiko von Ransomware-Angriffen auf Unternehmen und Organisationen

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 22.12.2020
Oh, du betrügerische Weihnachtszeit: Cyber-Gefahren in Sozialen Medien / Verlagerung sozialer Kontakte ins Virtuelle locken Cyber-Kriminelle an

[datensicherheit.de, 26.11.2022] Laut Erkenntnissen der Technischen Universität München (TUM) planen viele Unternehmen gezielt, wann sie den Verlust sensibler Kunden-Daten veröffentlichen. Eine neue Studie zeigt demnach am Beispiel börsennotierter US-Firmen, dass Unternehmen Datenlecks bevorzugt an Tagen melden, an denen andere Nachrichten die Schlagzeilen in den Medien dominieren. „Damit vermeiden sie stärkere Kursverluste am Aktienmarkt, riskieren aber größere Schäden der Betroffenen.“

In der EU muss jedes signifikante Datenleck innerhalb von 72 Stunden gemeldet werden

Jedes Jahr gelangten Unbefugte durch Hacking oder Datenpannen von Unternehmen an persönliche Informationen von Millionen Menschen, etwa an Passwörter, Kreditkartendaten oder Gesundheitsinformationen. „Die Folgen für die Betroffenen können verheerend sein, von finanziellen Schäden bis hin zu Identitätsdiebstahl.“ Um ihre Kunden davor zu schützen, seien Firmen in vielen Ländern gesetzlich verpflichtet, den Vorgang den Aufsichtsbehörden zu melden und die Kunden zu informieren – „wodurch die Lecks meist auch öffentlich werden“.

In solchen Situationen sei eigentlich Eile geboten, um eine Verbreitung und möglichen Missbrauch der Daten einzudämmen. Allerdings böten Gesetze den Unternehmen zeitliche Freiräume. In der Europäischen Union (EU) müsse jedes potenziell zu einem Risiko für betroffene Personen führende Datenleck innerhalb von 72 Stunden gemeldet werden. In den USA variierten die Meldefristen je nach US-Staat zwischen 30 und 90 Tagen.

Mehr als 8.000 Datenlecks bei börsennotierten US-amerikanischen Unternehmen in zehn Jahren

Als sich Jens Förderer, TUM-Professor für Innovation und Digitalisierung (Forscher am Center for Digital Transformation auf dem TUM-Campus Heilbronn), und Sebastian Schütz, Professor für Wirtschaftsinformatik der Florida International University, mit solchen Vorfällen beschäftigten, hätten sie sich gewundert, dass die Veröffentlichung der Datenverluste relativ geringe Folgen für den Aktienkurs der Unternehmen gehabt habe. Dies habe sie überrascht, da Datenlecks für die Firmen ja einen Imageverlust und ein sinkendes Kunden-Vertrauen bedeuteten – „was ihren Wert am Aktienmarkt eigentlich stark belasten sollte“, so Professor Förderer. Ihre Hypothese war nach seiner Aussage, dass die Aufmerksamkeit der Anleger „abgelenkt“ gewesen sei.

Die Forscher identifizierten deshalb nach eigenen Angaben den Zeitpunkt der Veröffentlichung von mehr als 8.000 Datenlecks börsennotierter US-amerikanischer Unternehmen zwischen 2008 und 2018, hierfür Informationen der Non-Profit-Organisation Identity Theft Resource Center (ITRC) nutzend. Dann hätten sie die Zeitpunkte mit Tagen abgeglichen, „an denen viele Firmen ihre Quartalszahlen vorstellten“ – also Tage, von denen im Voraus klar gewesen sei, „dass eine Vielzahl an marktrelevanten Informationen publik werden würde“. Hierzu sei das „Wall Street Journal“, die größte Wirtschaftszeitung der USA, ausgewertet worden.

An Tagen mit dominierenden anderen Schlagzeilen bedeutend mehr Datenlecks veröffentlicht

Die Studie bestätige die Vermutung der Forscher: „An Tagen, an denen andere Meldungen die Schlagzeilen dominierten, wurden signifikant mehr Datenlecks veröffentlicht.“ Besonders deutlich sei der Zusammenhang zwischen Nachrichtenlage und Veröffentlichungstag bei schwerwiegenden Datenverlusten gewesen – „bei Pannen mit firmeninternen Ursachen und wenn Gesundheitsinformationen oder Ausweisdaten betroffen waren“.

An hektischen Tagen müssten sowohl Redaktionen als auch Analysten Prioritäten setzen, welche Informationen sie aufgreifen. „Unsere Ergebnisse legen nahe, dass Unternehmen die Bekanntgabe ihrer Datenlecks strategisch planen und gezielt auf eine geringere Aufmerksamkeit setzen“, berichtet Professor Förderer.

An nachrichtenstarken Tagen geringere Kursverluste nach Datenverlusten

In einem zweiten Schritt hätten die Forscher wissen wollen, „ob das Kalkül der Unternehmen aufgeht“. Dafür hätten sie die Aktienkurse der Firmen nach der Bekanntgabe der Datenverluste untersucht. Zwar hätten die Unternehmen im Durchschnitt einen Kursverlust verzeichnen müssen – dieser sei aber an nachrichtenstarken Tagen tatsächlich deutlich geringer ausgefallen.

„Unternehmen, die ihre Fehler im Umgang mit Daten im Schatten anderer Ereignisse verstecken, vermeiden so auch den öffentlichen Druck, dass sie selbst und andere Firmen stärkere Maßnahmen gegen Datenlecks ergreifen müssen“, erläutert Professor Schütz. Die beiden Wissenschaftler empfehlen daher, die Spielräume für die Bekanntgabe von Datenverlusten möglichst eng zu fassen: „Je länger die Meldefrist für einen Datenverlust ist, desto eher können Unternehmen die Bekanntgabe strategisch planen und den Zweck der Bekanntgabe unterlaufen“, unterstreicht Professor Förderer.

Weitere Informationen zum Thema:

InformsPubOnLine, 15.02.2022
Data Breach Announcements and Stock Market Reactions: A Matter of Timing? / Jens Foerderer & Sebastian W. Schuetz

TUM
Center for Digital Transformation / Prof. Dr. Jens Foerderer

13 Prozent der Nutzer laut DsiN-Sicherheitsindex Opfer von Shopping-Betrug

[datensicherheit.de, 23.11.2022] Auch der Deutschland sicher im Netz e.V. (DsiN) geht in seiner aktuellen Stellungnahme auf Aktionstage wie den „Black Friday“ und den „Cyber Monday“ ein – diese lockten Verbraucher mit günstigen Preisen zum Web-Shopping. Doch neben vielen Vorteilen gebe es auch potenzielle Risiken. So gibt der DsiN fünf Tipps für sicheres Online-Einkaufen (nicht nur am) „Black Friday“:

Abbildung: DsiN

DsiN gibt 5 Tipps (nicht nur) zum Black Friday 2022

Laut DsiN durchaus gute Gründe, online einzukaufen

In der Vorweihnachtszeit nutzten immer mehr Verbraucher das Internet, um dort ihre Online-Einkäufe zu tätigen. Ende November 2022 sollen Aktionstage wie „Black Friday“ und „Cyber Monday“ wieder Verbraucher mit günstigen Angeboten und „Schnäppchen“ anlocken.

Es gebe viele gute Gründe dafür, online einzukaufen: Große Auswahl, schneller Versand, einfacher Umtausch – „Einkaufen im Netz war noch nie so einfach und bequem“. Doch neben diesen vielen Vorteilen berge Online-Shopping auch potenzielle Risiken.

DsiN warnt vor Gefährdung durch Fake-Shops

Laut „DsiN-Sicherheitsindex“ halten 25 Prozent der Nutzer Online-Shopping für „gefährlich“, 13 Prozent wurden demnach in den vergangenen zwölf Monaten beim Einkaufen Opfer von Internetbetrügern. „Zwar achtet inzwischen eine Mehrheit auf Sicherheitsmaßnahmen wie Gütesiegel bei Online-Shops (53,6%). Auch bei der Auswahl von Zahlungsmethoden achten 73,1 Prozent auf sichere Bezahlsysteme für den Online-Einkauf.“ Dennoch sei die Zahl der vom Online-Betrug Betroffenen mit 13 Prozent über 1,6 Prozentpunkte zum Vorjahr gestiegen.

Besonders häufig fielen Internetnutzer auf sogenannte Fake-Shops rein, also auf von Betrügern betriebene gefälschte Internet-Shops. „Wer dort bestellt, bekommt nach geleisteter Zahlung entweder ein fehlerhaftes Produkt oder keine Lieferung. In vielen Fällen sehen Fake-Shops aus wie echte Online-Shops und sind nur schwer zu erkennen.“ Ein Indikator sei oftmals ein auffallend niedriger Preis.

DsiN gibt Verbrauchern fünf Tipps fürs Online-Shopping

Damit die Vorteile des Online-Shoppings etwa zur Vorweihnachtszeit nicht durch Cyber-Betrug ausgenutzt werden, gibt DsiN Verbrauchern fünf Tipps:

1. Starke Passwörter und zusätzlich die Zwei-Faktor-Authentifizierung nutzen!
„Passwörter sind der Schlüssel zu Ihren Online-Banking-Accounts, die sensible Daten enthalten.“ Diese Schlüssel sollten so sicher wie möglich sein und sich aus Buchstaben, Zahlen und Sonderzeichen zusammensetzen. Als zusätzliche Faustregel gelte: „2-Faktor-Authentifizierung nutzen, wo immer sie möglich ist.“ Durch die Kombination von zwei Faktoren sei diese natürlich sicherer als nur ein Passwort zu nutzen.

2. Bei Online-Shops auf Gütesiegel achten und diese auf Echtheit anhand der Platzierung auf der Shop-Webseite sowie der Verlinkung auf die Siegel-Webseite prüfen!
Gütesiegel und Zertifikate könnten Verbrauchern auf einen Blick Auskunft darüber geben, ob Web-Shops bestimmte Standards, Gesetze oder Ansprüche an den Kundenservice einhalten. „Wichtig ist dabei jedoch, nicht blindlings jedem Zertifikat zu vertrauen, sondern auch hier zu überprüfen, wie vertrauenswürdig die Gütesiegel sind.“

3. Bei der Abwicklung von Zahlungen im Internet immer auf eine sichere https-Verbindung in der Adresszeile des Browsers achten!
„Die Abkürzung HTTPS steht für ,Hypertext Transport Protocol Secure’ und ermöglicht das sichere Versenden von Daten im Internet.“ HTTPS sorge nicht nur dafür, dass Daten verschlüsselt übertragen würden, sondern auch dafür, dass die Korrektheit der übertragenen Daten gewährleistet werde und diese nicht unterwegs manipuliert werden könnten.

4. Impressum gründlich durchlesen und auf Fehler oder Ungereimtheiten prüfen!
In Deutschland gebe es eine Impressumspflicht für alle Online-Shops. „Sie dient dazu sicherzustellen, dass der Verantwortliche einer Webseite deutlich erkannt werden kann und kontaktierbar ist.“ Das heiße bei fehlendem Impressum: Die Webseite genau prüfen und gegebenenfalls den Shop-Anbieter kontaktieren.

5. Vorsicht vor der Abfrage von persönlichen Daten in E-Mails und SMS!
Angriffe über bösartige E-Mails oder SMS, die scheinbar von vertrauenswürdigen Absendern stammten, sei die häufigste Masche Cyber-Krimineller. „Daher ist bei unerwarteten Nachrichten stets besondere Vorsicht geboten.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.11.2022
Black Friday: Chris Harris gibt Sicherheitstipps / Vor dem Black Friday sollten Händler ihre Cyber-Sicherheitspraktiken prüfen – um sicherzustellen, dass sie robust und widerstandsfähig sind

DiF DIGITALFÜHRERSCHEIN, Johannes Wallat, 19.07.2022
Interview mit Karin Wilhelm vom BSI / Online-Shopping: „Fake-Shops sind ein wachsender Markt“

DiF DIGITALFÜHRERSCHEIN
F4 | Online-Shopping / Hier lernst du, wie du online sicher bezahlen und wie du dich vor Fake Shops schützen kannst

DsiN Deutschland sicher im Netz
Publikation / DsiN-Ratgeber: Online einkaufen und bezahlen – sicher shoppen

IT-Sicherheit für jedes Unternehmen, unabhängig von Branche und Geschäftsmodell, eine Herausforderung

[datensicherheit.de, 23.11.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur Auftaktveranstaltung zum Thema „Cyberangriffe: Wie gut sind die Führungs- und Fachkräfte in meinem Unternehmen geschult und welche Konsequenz haben Defizite?“ ein – in Kooperation mit der Berlin Partner für Technologie und Wirtschaft GmbH.

Abbildung: it’s.BB e.V.

it’s.BB: IT-Sicherheit für jedes Unternehmen eine Herausforderung!

Zunehmende Digitalisierung und wachsende Bedrohungen rücken IT-Sicherheit als Querschnittsthema in den Fokus

„Die Sicherstellung der IT-Sicherheit stellt für jedes Unternehmen, unabhängig von Branche und Geschäftsmodell, eine Herausforderung dar.“ Gerade in Zeiten zunehmender Digitalisierung und wachsender Bedrohungen dürfe IT-Sicherheit als Querschnittsthema nicht vernachlässigt werden.

Neues IT-Weiterbildungs- und -Coachingprogramm

„Cybersecurity-Kompetenzen von Führungskräften und Mitarbeitern sind zunehmend erforderlich, um Schäden im eigenen Unternehmen abwehren zu können.“ Abgeleitet u.a. aus den Ergebnissen und Handlungsempfehlungen der BMWK-Studie „IT-Dienstleister als Akteure zur Stärkung der IT-Sicherheit im Mittelstand“ sollen mit einem neuen „Weiterbildungs- und Coachingprogramm“ Unternehmen unterstützt werden.

Impuls zum Fachkräftebedarf, zur Nachfrage nach IT-Ausbildung und zu Herausforderungen an IT-Führungskräfte

Darüber hinaus werde Prof. Dr.-Ing. Jochen Schiller von der Freien Universität Berlin über Fachkräftebedarf, Nachfrage nach IT-Ausbildung und Herausforderungen von IT-Führungskräften berichten. Als „CIO“ der Freien Universität Berlin sei Professor Schiller den Anforderungen einer IT-Führungskraft ebenfalls permanent ausgesetzt.

it’s.BB-Einladung zur Präsenz-Auftaktveranstaltung

„Cyberangriffe: Wie gut sind die Führungs- und Fachkräfte in meinem Unternehmen geschult und welche Konsequenz haben Defizite?“
Auftaktveranstaltung am Mittwoch, dem 30. November 2022 von 16.00 bis 19.00 Uhr
betahaus GmbH, Rudi-Dutschke-Straße 23, 10969 Berlin

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Christian Köhler, Vorstandvorsitzender it’s.BB e.V., Geschäftsführer NKMG mbH

16.10-16.25 Uhr Einführungsvortrag
„Sicherheit – eine Herausforderung für IT-Führungskräfte in der Personalentwicklung“
Prof. Dr.-Ing. Jochen Schiller, Freie Universität, Leitung AG Technische Informatik, Vorstand Einstein Center Digital Future

16.25-16.35 Uhr Kurzvorstellung des Coaching-Programms
Hans-Peter Möschle, Vorstandsmitglied it’s.BB e.V., Geschäftsführer M&H IT-Security GmbH

16.35-17.15 Uhr Panel-Diskussion

17.15-17.45 Uhr Auftaktgespräche an „Info-Points“
it’s.BB-Coaches und Teilnehmer

17.45-19.00 Uhr „Get-Together“

Anmeldung:

eventbrite
Cyberangriffe: Wie gut sind die Führungskräfte im Unternehmen geschult