Digitale Ermächtigung bringt auch erhebliche Schwachstellen mit sich, wie jüngste Cyber-Angriffe auf Personen des öffentlichen Lebens zeigten

[datensicherheit.de, 26.04.2024] Die zunehmende Nutzung Sozialer Medien durch Staatsoberhäupter und prominente Persönlichkeiten habe die Art und Weise ihrer Kommunikation und Interaktion mit der Öffentlichkeit stark verändert. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4 erläutert hierzu: „Für Öffentlichkeitsarbeit, Engagement und sogar politische Ankündigungen sind Plattformen wie ,Twitter’, ,Instagram’ und ,WeChat’ zu wichtigen Instrumenten geworden. Diese digitale Ermächtigung bringt jedoch auch erhebliche Schwachstellen mit sich, wie die jüngsten Cyber-Angriffe auf Personen des öffentlichen Lebens gezeigt haben.“

Foto: KnowBe4

Dr. Martin J. Krämer rät zu Schulungen, um Anzeichen von Cyber-Sicherheitsverletzungen frühzeitig zu erkennen und angemessen darauf zu reagieren

Böswillige Akteure können Cyber-Plattformen für Manipulation missbrauchen

Der Hacker-Angriff auf das „Instagram“-Account der italienischen Premierministerin, Giorgia Meloni, sei ein aktuelles Beispiel, welches die potenziellen Cyber-Gefahren verdeutliche. „Dabei ist nicht nur der unberechtigte Zugriff ein Problem“, so Dr. Krämer. Er könne auch zu groß angelegten Desinformationskampagnen führen: „Böswillige Akteure können diese Plattformen zur Verbreitung von Unwahrheiten oder zur Manipulation der öffentlichen Meinung missbrauchen. Wie aktuell diese Bedrohungen auch in Deutschland sind, zeigt die Warnung des BSI und von Google-Sicherheitsforschern, dass Elite-Hacker mit Verbindungen zu russischen Geheimdiensten im vergangenen Monat mehrere deutsche Parteien ins Visier genommen haben, um in deren Netzwerke einzudringen und Daten zu stehlen.“

Für Staats- und Regierungschefs gehe das Cyber-Risiko über die persönliche Sicherheit hinaus und betreffe auch die Nationale Sicherheit und die internationalen Beziehungen. Ein gehacktes Social-Media-Account könne nicht nur zur Verbreitung von Desinformation, sondern auch zur Provokation internationaler Zwischenfälle oder zur Manipulation diplomatischer Beziehungen genutzt werden. „Die Sicherheit dieser digitalen Plattformen ist daher nicht nur ein persönliches oder unternehmerisches, sondern auch ein nationales und internationales Anliegen“, unterstreicht Dr. Krämer.

Entwicklung von speziellen Richtlinien zur Cyber-Sicherheit erforderlich

Die Entwicklung von Richtlinien zur Cyber-Sicherheit, um den besonderen Bedürfnissen und Risiken von Personen des öffentlichen Lebens gerecht zu werden, sei von entscheidender Bedeutung. „Diese Richtlinien sollten die Bedeutung einer umfassenden Sicherung sowohl der persönlichen Konten als auch der elektronischen Geräte deutlich hervorheben.“ Ein wirksamer Cyber-Sicherheitsansatz erfordere ständige Aufmerksamkeit und regelmäßige Anpassungen der Sicherheitspraktiken. Dazu gehörten die Verwendung starker Passwörter, der Einsatz von Multi-Faktor-Authentifizierung (MFA) und die konsequente Überwachung von Konto-Aktivitäten, um die digitale Sicherheit kontinuierlich zu gewährleisten.

„Bei der Sicherheit geht es jedoch nicht nur darum, unberechtigten Zugriff zu verhindern, sondern auch darum, die freigegebenen Inhalte zu verwalten“, betont Dr. Krämer. Die unbeabsichtigte Preisgabe sensibler Daten, wie die Veröffentlichung des Personalausweises des französischen Präsidenten, Emmanuel Macron, zeige, wie selbst scheinbar harmlose Informationen zu potenziellen Waffen werden könnten. „Dies macht deutlich, dass nicht nur Mitarbeiter und Sicherheitsteams, sondern auch der Einzelne selbst in digitaler Kompetenz und ,Awareness’ geschult werden muss.“

Digitale Hygiene mittels proaktiver Cyber-Schutzmaßnahmen

Auf dem Weg in die Zukunft brauchten Staats- und Regierungschefs und alle Personen mit Zugang zu kritischen Informationen robuste Sicherheitsprotokolle und einen umsichtigen Umgang mit digitalen Spuren. „In unserem Zeitalter steht unglaublich viel auf dem Spiel. Die Folgen eines mangelnden Schutzes digitaler Daten gehen weit über den Einzelnen hinaus und können die globale Stabilität und das Vertrauen in öffentliche Institutionen massiv beeinträchtigen.“

Durch die Förderung einer Kultur der „digitalen Hygiene“ und das Ergreifen proaktiver Maßnahmen, um Online-Plattformen zu schützen, könnten Einzelpersonen und Organisationen die Möglichkeiten, die Soziale Medien bieten, besser nutzen und gleichzeitig die damit verbundenen Risiken verringern. Dr. Krämer stellt klar: „So können Soziale Medien ein Instrument positiven Engagements bleiben, anstatt zu einer Belastung zu werden, die den Geschichtsverlauf negativ beeinflusst.“

Bewusstsein für Cyber-Sicherheitsbedrohungen schärfen!

Regelmäßige Sicherheitsschulungen spielten in diesem Zusammenhang eine entscheidende Rolle, indem sie das Bewusstsein für Cyber-Sicherheitsbedrohungen schärften und die erforderlichen Kenntnisse und Fähigkeiten vermittelten, um diesen Herausforderungen wirksam begegnen zu können.

Solche Schulungsprogramme böten den Teilnehmern praktische Erfahrungen mit den neuesten Sicherheitswerkzeugen und -verfahren: So könnten sie lernen, Anzeichen von Sicherheitsverletzungen frühzeitig zu erkennen und angemessen darauf zu reagieren. „Darüber hinaus fördern sie eine Atmosphäre der ständigen Wachsamkeit und des gegenseitigen Austauschs bewährter Sicherheitspraktiken, was die Widerstandsfähigkeit gegenüber Cyber-Angriffen erheblich stärkt“, so Dr. Krämer abschließend.

Weitere Informationen zum Thema:

news nine, Siddharth Shankar, 19.03.2024
Italian Prime Minister’s Instagram Hacked: Learn How to Protect Your Account

get tot text, 21.02.2024
Emmanuel Macron reveals his identity card and becomes the laughing stock of Internet users: Femme Actuelle Le MAG

Warnung des eco vor Gefährdung des Schutzes der persönlichen Daten jedes Einzelnen in Europa

[datensicherheit.de, 26.04.2024] Der eco – Verband der Internetwirtschaft e.V. betont in einer aktuellen Stellungnahme, dass ein Verschlüsselungsverbot praktisch nicht umsetzbar sei und gegen die Grundrechte verstoße. Europol hat demnach in einer am 18. April 2024 veröffentlichten Gemeinsamen Erklärung die Ende-zu-Ende-Verschlüsselung (E2EE) kritisiert und die Industrie dazu aufgerufen, dafür Sorge zu tragen, dass illegale verschlüsselte Inhalte kontrolliert werden können. In der Praxis bedeutet laut eco indes jeder ermöglichte Zugriff Dritter auf verschlüsselte Daten „eine Aufweichung der starken Verschlüsselung“. Diese gefährde den Schutz der persönlichen Daten jedes Einzelnen in Europa.

Foto: eco e.V.

Oliver Dehning, Leiter der eco-Kompetenzgruppe „Sicherheit“: Ohne Verschlüsselung lässt sich die Privatsphäre jedoch nicht wirksam schützen!

eco unterstreicht Schutz der Privatsphäre als Menschenrecht

„Die europäischen Polizeichefs sprechen sich in einer Gemeinsamen Erklärung gegen Ende-zu-Ende-Verschlüsselung aus“, berichtet Oliver Dehning, Leiter der eco-Kompetenzgruppe „Sicherheit“. Dies sei falsch und nicht im Interesse der europäischen Bürger: „Europol kritisiert in einer am 18. April veröffentlichten gemeinsamen Erklärung die Ende-zu-Ende-Verschlüsselung (E2EE) und ruft die Industrie auf, dafür zu sorgen, dass illegale verschlüsselte Inhalte kontrolliert werden können.“

Ohne Verschlüsselung lasse sich die Privatsphäre jedoch nicht wirksam schützen. Die Funktion der Verschlüsselung zum Schutz privater Daten komme der Funktion der verschlossenen Haustür zum Schutz privaten Eigentums gleich. Dehning betont: „Nicht umsonst gilt der Schutz der Privatsphäre als Menschenrecht. Ein Aufweichen von Verschlüsselung würde den Schutz privater Daten unmöglich machen und verletzt deshalb die Menschenrechte.“

eco-Fazit: Verschlüsselungsverbot praktisch nicht umsetzbar

Die von Sicherheitsbehörden immer wieder erhobene Forderung nach einer Schwächung von Verschlüsselung sei auch deshalb kontraproduktiv, „weil nicht anzunehmen ist, dass sich Terroristen und Verbrecher an das Verbot einer starken Verschlüsselung halten“. Wenn sie es geschickt anstellten, dann nutzten sie Methoden wie Steganographie, um die verschlüsselten Daten in anderen unverschlüsselten Nutzdaten zu verstecken.

Tatsächlich forderten gerade viele Behörden (BfDI, BNetzA, BSI, etc.) eine starke Verschlüsselung gespeicherter Daten, um diese vor Hackern und Cyber-Attacken zu schützen – also nicht nur bei Dienste-Anbietern, sondern auch bei Unternehmen oder auf privaten Devices. Dehning führt aus: „Europol fordert also, dass eine Entschlüsselung allein zum Zweck des Datenzugriffs der Sicherheitsbehörden im Fall der Übertragung der Daten an Dritte vorgenommen werden soll, während ebendiese Verschlüsselung bei gespeicherten Daten aufrechterhalten werden soll – das ist widersinnig.“ Sein Fazit: „Ein Verschlüsselungsverbot ist praktisch nicht umsetzbar, verstößt gegen die Grundrechte und kann die Sicherheit nicht wirklich verbessern.“

Weitere Informationen zum Thema:

EUROPOL, 21.04.2024
European Police Chiefs call for industry and governments to take action against end-to-end encryption roll-out

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

datensicherheit.de, 11.11.2020
DAV warnt vor Hintertüren: Schwächung der Ende-zu-Ende-Verschlüsselung droht / Rechtsanwalt Dr. Eren Basar, Mitglied des Ausschusses „Gefahrenabwehrrecht“ des Deutschen Anwaltvereins (DAV), nimmt Stellung

Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

[datensicherheit.de, 25.04.2024] Der „Digital Operational Resilience Act“ (DORA) soll ein wichtiges Problem bei der Regulierung von Finanzinstituten in der Europäischen Union (EU) lösen helfen: Diese neue Gesetzgebung soll als verbindliche Richtlinie für das Risikomanagement im Finanzsektor dienen und darauf abzielen, die digitale Widerstandsfähigkeit zu verbessern. Als Stichtag für alle betroffenen Organisationen zur Erfüllung der Vorschriften gilt der 17. Januar 2025. Um nun den Schutz ihrer eigenen IT-Infrastruktur zu gewährleisten und hohe Standards für die Verfügbarkeit von Daten und Diensten aufrechtzuerhalten, müssen viele Finanzorganisationen offensichtlich in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall (Disaster Recovery / DR). Reinhard Zimmer von Zerto fasst in seiner aktuellen Stellungnahme zusammen, wie Finanzinstitute moderne DR-Technologien nutzen können, um die operative Resilienz ihrer IT-Systeme zu verbessern und so die neue EU Gesetzgebung zu erfüllen.

Foto: Zerto

Reinhard Zimmer – „Regional Sales Manger“ bei Zerto, Spezialist für die Absicherung virtueller Infrastrukturen

DORA gilt allgemein für den EU-Finanzsektor sowie Anbieter von IT-Dienstleistungen für den Finanzbereich

„Der Digital Operational Resilience Act (DORA) löst ein wichtiges Problem bei der Regulierung von Finanzinstituten in der Europäischen Union und dient als verbindliche Richtlinie für das Risikomanagement im Finanzsektor“, betont Zimmer. Er ziele darauf ab, die digitale Widerstandsfähigkeit zu verbessern und auch für Drittanbieter – etwa „Cloud“-Service-Anbieter – verbindlich zu machen.

Diese neue Verordnung gelte allgemein für den EU-Finanzsektor sowie Anbieter von IT-Dienstleistungen für den Finanzbereich – „unabhängig davon, wo die Anbieter ihren Sitz haben“. Alle betroffenen Organisationen müssten die Vorschriften bis zum 17. Januar 2025 erfüllt haben.

EU-Finanzsektor: Verbesserung der IT-Resilienz zentrales DORA-Anliegen

Die DORA-Gesetzgebung gehe in fünf ihrer neun Kapitel detailliert auf die Verbesserung der IT-Resilienz ein: „Risikomanagement (Kapitel II), Incident Management (Kapitel III), Digital Operational Resilience Testing (Kapitel IV), Third-Party Management (Kapitel V) sowie Information Sharing (Kapitel VI).“ Dies bedeutet laut Zimmer, dass die Finanzinstitute ihre Widerstandsfähigkeit auf vielen miteinander verbundenen Ebenen gleichzeitig verbessern müssten.

Der Bereich, auf den sich die neue Gesetzgebung am meisten auswirkt, ist demnach die Wiederherstellung im Katastrophenfall, da „Disaster Recovery“ Kernanforderungen dreier Artikel dieser Verordnung erfüllen könne: „Konkret handelt es sich um Artikel 9 (Schutz und Prävention), Artikel 11 (Reaktion und Wiederherstellung) und Artikel 12 (Sicherungsstrategien und -verfahren).“ Finanzunternehmen, deren aktuelle Technologien nicht ausreichen, um die neuen Anforderungen von DORA zu erfüllen, würden daher gezwungen sein, nach geeigneteren Lösungen zu suchen.

DR-Technologie für Finanzinstitute: Aufrüstung mit Continuous Data Protection empfohlen

Um Ausfallsicherheit, Kontinuität und Verfügbarkeit zu verbessern, sollten Unternehmen modernere Disaster-Recovery-Lösungen in Betracht ziehen, welche auf „Continuous Data Protection“ (CDP) basieren. CDP verfolge und spiegele Datenänderungen nicht in vordefinierten Intervallen wie bei regulären Backups, sondern kontinuierlich. Dabei werde jede Version der Daten zwischen einem lokalen und einem entfernten Standort repliziert.

Diese journal-basierte Technologie protokolliere alle Änderungen und ermögliche eine punktgenaue Wiederherstellung in Schritten von Sekunden. Mit Tausenden von Wiederherstellungspunkten in der Historie des Journals minimiere CDP so das Risiko von Datenverlusten. „Die Technologie reduziert damit die Auswirkungen eines Ausfalls auf den Betrieb, unabhängig davon, ob die Ursache versehentlich oder absichtlich, natürlich oder vom Menschen verursacht wurde.“ Damit sei CDP ideal für die Erfüllung der Kernanforderungen von Artikel 9 (Belastbarkeit, Kontinuität und Verfügbarkeit von IT-Systemen).

DORA-Artikel 11 verlangt von Finanzorganisationen angemessene Kontinuitätspläne

DORA-Artikel 11 verlange von Finanzorganisationen, „dass sie angemessene Kontinuitätspläne einführen, aufrechterhalten und diese regelmäßig testen“. Nicht alle Disaster-Recovery-Lösungen böten jedoch angemessene Tests für Ausfallsicherung oder fortschrittliche Analysen. Finanzinstitute müssten daher sicherstellen, „dass ihre Disaster-Recovery-Lösungen vollautomatische, unterbrechungsfreie, skalierbare und granulare Failover-Tests in einer Sandbox-Umgebung bieten“.

Solche Testfunktionen sollten idealerweise eine Wiederherstellungsgarantie mit detaillierten Berichtsfunktionen ermöglichen, welche bei Audits und Inspektionen zum Nachweis der Sicherheit der Umgebung verwendet werden könnten. Zimmer: „Mit solchen Funktionen kann die Wiederherstellung innerhalb von Minuten von einer einzigen Person per Mausklick getestet werden, ohne die Produktion zu unterbrechen.“

Geo-Redundanz: DORA-Artikel 12 fordert, dass Finanzinstitute zweiten Standort betreiben müssen

Um sich gegen den Ausfall eines gesamten Standorts abzusichern, schreibe Artikel 12 vor, dass Finanzinstitute einen zweiten Standort betreiben müssten, welcher „mit angemessenen Ressourcen, Fähigkeiten, Funktionen und Personalkapazitäten ausgestattet ist, um die Geschäftsanforderungen zu erfüllen“. Zimmer kommentiert: „Das bedeutet, dass Organisationen Disaster-Recovery-Lösungen verwenden müssen, die eine One-to-many-Replikationsfunktion bieten, um replizierte Daten auf zwei oder mehr Cloud-Standorte zu verteilen.“

Mit einer One-to-Many-Replikation könnten Unternehmen Daten von einer einzigen Quelle auf mehrere Zielumgebungen replizieren und so Daten und Anwendungen auf flexible und effiziente Weise schützen. Mit dieser Funktion sei es möglich, lokal oder auf mehrere Ziel- oder Remote-Standorte zu replizieren, „Failover“ durchzuführen sowie bestimmte virtuelle Instanzen an einen anderen Standort zu verschieben. Im Gegensatz zur synchronen Replikation funktioniere die asynchrone Replikation auch zwischen weiter voneinander entfernten Standorten und vermeide dabei den Datenverlust, der normalerweise mit asynchronen Optionen verbunden sei. Auf diese Weise könnten Unternehmen ihre Ausfallsicherheit auf ein noch höheres Niveau heben und ganze Standorte vor regionalen Katastrophen schützen.

Erkennung in Echtzeit: Finanzorganisationen müssen über Mechanismen verfügen, um anomale Aktivitäten umgehend zu erkennen

Noch besser als die schnelle und einfache Wiederherstellung von Daten und Workloads nach einem erfolgreichen Angriff sei es, gar nicht erst Opfer eines Angriffs zu werden oder erfolgreiche Angriffe so früh wie möglich zu erkennen, bevor sie größeren Schaden anrichten. Artikel 10 von DORA ziele darauf ab, diese Erkennung zu verbessern: „Finanzorganisationen müssen über Mechanismen verfügen, um anomale Aktivitäten […] umgehend zu erkennen, einschließlich automatisierter Warnmechanismen für Mitarbeiter, die für die Reaktion auf IKT-bezogene Vorfälle zuständig sind.“ Präventive Cyber-Sicherheits-Tools seien ideal, um Angriffe zu erkennen und zu stoppen, wie zum Beispiel Ransomware-Angriffe.

Zimmer erläutert: „,Tools‘ zur Erkennung von Ransomware in Echtzeit nutzten algorithmische Intelligenz, um Unternehmen innerhalb von Sekunden vor einer Verschlüsselungsanomalie zu warnen. So verkürzt eine solche Lösung die Zeit, in der Cyber-Kriminelle Daten verschlüsseln können, um ein Vielfaches.“ In Verbindung mit den Wiederherstellungspunkten von CDP und dem Journal, „das diese Punkte automatisch sichert“, wird es einfacher, die vor der Anomalie erstellten Wiederherstellungspunkte von denen danach erstellten zu unterscheiden. „Das bedeutet, dass man nach einem Angriff genau weiß, wo sich der richtige Wiederherstellungspunkt befindet“, so Zimmer. Dadurch reduzierten sich Datenverluste und Ausfallzeiten nach einem Angriff drastisch.

Wiederaufnahme des Betriebs einer Finanzinstitution innerhalb von Minuten dank Applikations-Gruppen

Zimmer führt aus: „So wichtig CDP für einen geringstmöglichen Datenverlust ist, reicht es alleine nicht aus, um den Betrieb von komplexen, verteilten Applikationen schnell wieder aufzunehmen!“ Vielmehr würden hierfür „Virtual Protection Groups“ (VPGs) benötigt, welche es ermöglichten, verschiedene Komponenten einer Applikation (z.B. Datenbank sowie Applikations- und Web-Server) als eine einzige, absturzsichere Einheit zu gruppieren.

Anders als in dem zuvor beschriebenen Backup-Ansatz, bei dem jede Komponente einen anderen Zeitstempel habe und so die Wiederherstellung um ein Vielfaches länger dauere, hätten innerhalb einer VPG alle gruppierten VMs die gleichen konsistenten Zeitstempel. Mithilfe von Orchestrierung und Automatisierung lasse sich so mit wenigen Klicks ein Failover eines gesamten Standorts mit Tausenden von Applikationen durchführen – ohne eine längere Unterbrechung des Betriebs.

Fazit: DORA ist eine weitreichende EU-Verordnung, für die es keine Einheitslösung gibt

Zusammenfassend stellt Zimmer klar: „DORA ist eine weitreichende EU-Verordnung, für die es keine Einheitslösung gibt. Finanzinstitute werden zahlreiche Bereiche ihrer IT verbessern müssen, um alle Anforderungen zu erfüllen. Im Idealfall werden sie sich auf Lösungen verlassen wollen, die weite Bereiche der Gesetzgebung abdecken können.“

Die Wiederherstellung im Katastrophenfall sei einer der Bereiche, welcher mehrere Artikel und deren Anforderungen abdecken könne. Um dies zu erreichen, benötigten Organisationen Lösungen zur Wiederherstellung, welche über die begrenzten Möglichkeiten der meisten Backup-Lösungen hinausgingen. „Moderne DR-Lösungen mit ,Continuous Data Protection’ und ,Virtual Protection Groups’ bieten heute bereits viele fortschrittliche Funktionen, die zur Einhaltung der neuen DORA-Vorschriften beitragen können“, so Zimmers Fazit.

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 18.01.2024
DORA – Digital Operational Resilience Act

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cybersicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 25.04.2024] Laut einer aktuellen Meldung von Check Point soll es in den letzten sechs Monaten weltweit 36 Wahlen gegeben haben. „Check Point Research“ (CPR) hat diese nach eigenen Angaben beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren. In seinem Kommentar fasst Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, die Erkenntnisse kurz zusammen und geht auf die Frage ein, was dies für die deutschen Wahlen im Jahr 2024 bedeutet.

Foto: Check Point

Marco Eggerling warnt: Auch Hacker-Banden könnten mittels KI versuchen, eine Wahl technisch zu attackieren!

Einsatz generativer KI zur Verbesserung der eigenen Kampagne oder Diskreditierung der gegenerischen

„Unsere Sicherheitsforscher haben weltweit viele Wahlen der letzten Monate beobachtet und den Einsatz von KI im Zusammenhang mit selbigen ausgewertet. Dabei kam heraus, dass generative KI von Kandidaten zur Verbesserung der eigenen Kampagne angewendet wurde, oder von gegnerischen Kandidaten (oder Gruppierungen), um bestimmte Kandidaten oder Parteien zu diskreditieren“, berichtet Eggerling.

Das Spektrum habe dabei Bilder, Videos und Tonaufnahmen umfasste – „sogar ganze Bücher, die in Gänze mit KI erstellt wurden, um eine strategisch kalkulierte Wirkung bei Wählern zu erzielen“. Gemeinsam sei fast allen solchen Aktionen gewesen, dass diese „auf den letzten Drücker“, kurz vor dem Wahltag, lanciert worden seien, um einen Skandal auszulösen – „kaum zu verhindern, zeitlich schwer für Wahlberechtigte zu prüfen und für die Betroffenen so gut wie nicht zu berichtigen“.

In Deutschland auf Schmutzkampagnen mittels KI-Inhalten vorbereiten!

Eggerling rät: „Entsprechend sollten auch wir Deutschen, mit drei Landtagswahlen und der Europawahl vor den Augen, uns auf dergleichen Schmutzkampagnen mittels KI-Inhalten vorbereiten!“ Aufklärung werde hierzu am meisten helfen, „damit die Bürger besser in der Lage sein werden, solche Inhalte zu erkennen und dadurch Fakt von Fiktion trennen zu können“. Daneben sollten Sicherheitslösungen installiert werden, „welche KI-Inhalte erkennen und blockieren, um die Verbreitung gefälschter Informationen jeder Art zu vermindern“.

Außerdem helfe es sicherlich, davon auszugehen, dass manche Hacker-Banden mit KI versuchen könnten, eine Wahl technisch zu attackieren und die Systeme dann entsprechend geschützt sein müssten. Andernfalls drohe missbrauchte generative KI direkten Einfluss auf die hiesige Demokratie zu nehmen.

Beispielhafte Meldung dreier neuer, aggressiver DDoS-Wellen

[datensicherheit.de, 24.04.2024] Check Point warnt in einer aktuellen Stellungnahme abermals vor DDoS-Attacken und meldet beispielhaft drei neue, aggressive -Wellen: „Wellenartige DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und Raffinesse zugenommen und werden sowohl von staatlich gesponserten Akteuren als auch von ,Hacktivisten’ durchgeführt, die Botnets und modernste Tools einsetzen.“ Diese Cyber-Kriminellen entwickelten sich ständig weiter und nutzten fortschrittliche Techniken, um Schwachstellen auszunutzen, was die Angriffsfläche für Unternehmen weltweit vergrößere.

Massive Layer-7-Web-DDoS-Attacken mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert

Check Point® Software Technologies Ltd. hat nun nach eigenen Angaben „eine steigende Anzahl von Vorfällen beobachtet, bei denen massive Layer-7-Web-DDoS-Angriffe mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert werden“.

Derartig ausgeklügelte Angriffe zeichneten sich durch ihre Hartnäckigkeit und Dauer aus. Sie umfassten koordinierte Angriffe über mehrere Vektoren der Netzwerk- und Anwendungsebene. Anhand der folgenden von Check Point beobachteten Beispiele lasse sich ein Bild der aktuellen Bedrohungslage skizzieren.

1. Beispiel für abgewehrte DDoS-Tsunami-Angriffe: Nationalbank in EMEA-Region

Eine große Nationalbank mit Sitz in der EMEA-Region sei innerhalb weniger Tage mit mindestens zwölf separaten Angriffswellen konfrontiert gewesen – in der Regel zwei bis drei pro Tag. „Um darzustellen, wie massiv die Angriffe ausfielen, empfiehlt sich die Heranziehung des RPS (Request per Second). RPS ist ein wichtiger Parameter für die Bewertung von Schwere, Auswirkungen und Umfang von DDoS-Angriffen und bezeichnet die Anzahl der Anfragen pro Sekunde.“

Bei dieser Bank überschritten demnach mehrere Angriffswellen die Schwelle von einer Million RPS. „Eine erreichte einen Spitzenwert von fast drei Millionen RPS. Zum Vergleich: Diese Bank hat normalerweise einen Datenverkehr von weniger als 1.000 RPS.“

Gleichzeitig hätten die Angreifer mehrere volumetrische Angriffe auf der Netzwerkebene mit über 100 Gbit/s gestartet. Bei diesen Angriffen sei eine Vielzahl unterschiedlicher Angriffsvektoren verwendet worden, darunter HTTPS-Flood, UDP-Fragmentierungsangriffe, TCP-Handshake-Verletzungen, SYN-Floods und mehr.

2. Beispiel: DDoS-Angriffswelle auf Versicherungsgesellschaft

Eine Versicherungsgesellschaft sei innerhalb weniger Tage mit mehreren groß angelegten Angriffswellen konfrontiert worden, wobei mehrere Wellen Spitzenwerte von über einer Million RPS erreicht hätten. „Die größte dieser Wellen erreichte 2,5 Millionen Anfragen pro Sekunde. Der typische Datenverkehr für das Unternehmen liegt bei mehreren hundert Anfragen pro Sekunde, so dass diese Angriffe die Anwendungsinfrastruktur bei Weitem überfordern würden.“

Darüber hinaus hätten die Angreifer einige der Angriffswellen mit volumetrischen Angriffen auf der Netzwerkebene kombiniert, „die über 100 Gbit/s erreichten“. Die Angriffe hätten ausgeklügelte Angriffsvektoren wie Web-DDoS-Tsunami-Angriffe (HTTP/S-Floods), DNS-Floods, DNS-Verstärkungsangriffe, UDP-Floods, UDP-Fragmentierungsangriffe, NTP-Floods, ICMP-Floods und mehr umfasst.

Einer der Angriffe sei z.B. mit mehreren Wellen über einen Zeitraum von drei Stunden erfolgt, wobei mehrere Spitzen den Schwellenwert von einer Million Anfragen pro Sekunde (RPS) erreicht hätten und einige über 2,5 Millionen RPS gestiegen seien.

3. Beispiel für DDoS-Attacken: Europäisches Telekommunikationsunternehmen

Abbildung: Check Point

Visuelle Darstellung eines Angriffs mit einer Spitzenwelle von über 1,5 Millionen RPS

Ein europäisches Telekommunikationsunternehmen sei wiederholt das Ziel staatlich unterstützter Angriffsgruppen gewesen. „In dieser Woche wurde es mit einer anhaltenden Web-DDoS-Attacke von etwa einer Million RPS fast ununterbrochen für zwei Stunden angegriffen, wobei der Spitzenverkehr 1,6 Mio. RPS erreichte.“

Schutz vor aggressiven DDoS-Wellen

Moderne DDoS-Angriffsprofile hätten sich weiterentwickelt und kombinierten mehrere Vektoren, um sowohl die Netzwerk- als auch die Anwendungsebene anzugreifen. Diese ausgeklügelten Angriffe nutzten Verschlüsselung und innovative Techniken wie dynamische IP-Adressierung, um legitimen Datenverkehr zu imitieren, „was sie äußerst effektiv und schwer zu erkennen macht“. Herkömmliche Abwehrmethoden seien oft unzureichend, insbesondere bei Angriffen auf Layer 7, da sie verschlüsselten Datenverkehr nicht effektiv untersuchen könnten.

Eine „cloud“-basierte, automatisierte DDoS-Abwehrinfrastruktur sei daher unabdinglich. Sie zeichne sich dadurch aus, dass sie vielschichtige Angriffe dieser Art nahtlos abfange und Unterbrechung der Arbeitsprozesse verhindere. Da die Bedrohungen sehr vielfältig ausfielen, brauche es daher bestenfalls eine Reihe automatisierter Schutzmodule.

Diese neue Welle von Cyber-Bedrohungen unterstreiche die Notwendigkeit adaptiver und umfassender Verteidigungsstrategien, „die solche Angriffe antizipieren und entschärfen können, um ununterbrochene Dienste und den Schutz kritischer Infrastrukturen zu gewährleisten“.

Weitere Informationen zum Thema:

CHECK POINT, 23.04.2024
Protecting Against DDoS Tsunami Attacks

datensicherheit.de, 25.03.2024
Hacktivisten: Erfolgreiche DDoS-Attacken stärken Fan-Basis im CyberSpace / Zunahme des Hacktivismus im Namen von Ideologien und politischen Zielen

datensicherheit.de, 24.02.2023
DDoS-Attacken: Tipps zum Erkennen und Abwehren / Patrycja Schrenk erläutert, wie DDoS-Attacken erkannt werden können, und welche Möglichkeiten es zur Abwehr gibt

Zwar nutzen Finanzinstitute KI-Werkzeuge zur Cyber-Verteidigung – aber auch KI-gestützte Angriffe nehmen weiter zu

[datensicherheit.de, 24.04.2024] Eine eigene aktuelle Umfrage zeigt laut BioCatch einen „erschreckenden Trend“ auf: Zwar nutzten Finanzinstitute Werkzeuge der Künstlichen Intelligenz (KI) zur Cyber-Verteidigung, aber auch KI-gestützte Angriffe nähmen weiter zu. BioCatch hat nach eigenen Angaben seinen ersten jährlichen Bericht über Betrug und Finanzkriminalität mit KI-Schwerpunkt veröffentlicht. Hierzu seien 600 Experten in elf Ländern auf vier Kontinenten – unter anderem aus den Bereichen Betrugsmanagement, AML (Anti-Money Laundering) und Compliance – befragt worden.

Abbildung: BioCatch

BioCatch: „2024 AI, Fraud, and Financial Crime Survey / AI’s Role in Perpetrating and Fighting Financial Crime“

Künstliche Intelligenz kann jeden erdenklichen Finanz-Betrug optimieren

Der Bericht zeige eine beunruhigende Entwicklung: „Cyber-Kriminelle nutzen KI und können bessere, umfassendere und erfolgreichere Betrugsversuche auf Banken und die Finanzbranche durchführen. Dafür benötigen sie kaum Bankexpertise oder technisches Know-how.“ Fast 70 Prozent gäben an, dass die Angreifer KI geschickter einsetzten als Banken ihrerseits bei der Bekämpfung der Attacken. Ebenso besorgniserregend sei, dass etwa die Hälfte der Befragten mehr Angriffe im letzten Jahr – 2023 – festgestellt hätten oder für 2024 erwarteten.

„Künstliche Intelligenz optimiert jeden erdenklichen Betrug“, warnt daher Tom Peacock, „Director of Global Fraud Intelligence“ bei BioCatch. Er erläutert: „Sie lokalisiert Sprache und Eigennamen perfekt, so dass für jedes Opfer personalisierte Betrugsversuche entstehen – mit Bildern, Videos oder Audio-Inhalten.“ Somit ermögliche KI „grenzenlose Betrügereien“ – „und das erfordert neue Strategien und Technologien der Finanzinstitute, um Kunden zu schützen“, betont Peacock.

Finanz-Betrugsfälle durch synthetische Identitäten

Überraschend sei besonders ein Ergebnis: „91 Prozent der Befragten geben an, dass ihr Unternehmen bei wichtigen Kunden die Sprachverifizierung überdenkt. Der Grund hierfür ist die Stimmerzeugung durch KI.“ Bei 70 Prozent hätten Finanzinstitute im letzten Jahr die Verwendung synthetischer Identitäten bei der Neukundenakquise identifiziert. Die Federal Reserve (FED) schätzt, „dass bisher eingesetzte Betrugsmodelle bis zu 95 Prozent der synthetischen Identitäten nicht erkennen, die für die Beantragung neuer Konten verwendet werden“. Demnach wachse die Finanzbetrugszahl durch synthetische Identitäten am schnellsten in den USA – „und sie kostet Unternehmen jedes Jahr Milliarden von Dollar“.

„Wir dürfen uns nicht mehr nur auf unsere Sinne verlassen, um digitale Identitäten zu überprüfen“, unterstreicht Jonathan Daly, „CMO“ von BioCatch. Das KI-Zeitalter erfordere neue Methoden zur Authentifizierung. „Bei unserer Arbeit haben wir gesehen, dass wir Signale der Verhaltensintention nutzen sollten. Dieser Ansatz hilft Finanzinstituten dabei, Deepfakes und Stimmklone in Echtzeit zu erkennen. Und so lässt sich das hart verdiente Geld der Kunden besser schützen.“

Weitere zentrale Ergebnisse der Umfrage zur Bedrohung der Finanzinstitute:

KI sei eine teure Bedrohung
Mehr als die Hälfte der befragten Banken gäben an, im Jahr 2023 zwischen fünf und 25 Millionen US-Dollar durch KI-gestützte Angriffe verloren zu haben.

Finanzinstitute nutzten ebenfalls KI
Bei drei Viertel der Befragten verwende der Arbeitgeber bereits KI zur Erkennung von Betrug oder Finanzkriminalität. 87 Prozent berichteten, dass die Technologie die Reaktionsgeschwindigkeit auf potenzielle Bedrohungen erhöht habe.

Kommunikation sei essenziell
Mehr als 40 Prozent der Befragten sagten, dass ihr Unternehmen Betrug und Finanzkriminalität in getrennten Abteilungen behandele und diese nicht zusammenarbeiteten. 90 Prozent der Befragten seien der Meinung, dass Finanzinstitute und Regierungsbehörden mehr Informationen austauschen müssten, um Betrug und Finanzkriminalität zu bekämpfen.

KI zur Unterstützung beim Informationsaustausch
Fast jeder Befragte vermute, dass er in den nächsten zwölf Monaten KI einsetzen werde, um Informationen über Hochrisikopersonen („high-risk individuals“) zwischen Banken auszutauschen.

„Heutzutage sind Betrüger organisiert und clever“, so Gadi Mazor, „CEO“ von BioCatch. Er kommentiert: „Sie arbeiten zusammen und tauschen Informationen aus. ,Fraud Fighter’ – einschließlich Banken, Regulierungs- sowie Strafverfolgungsbehörden und Lösungsanbieter wie wir – müssen genauso handeln. Nur so können wir die steigenden Betrugszahlen weltweit wieder umkehren.“

Weitere Informationen zum Thema:

BioCatch
2024 AI, Fraud, and Financial Crime Survey / AI’s Role in Perpetrating and Fighting Financial Crime

THE FEDERAL RESERVE
PAYMENTS FRAUD INSIGHTS OCTOBER 2019 / Detecting Synthetic Identity Fraud in the U.S. Payment System

Der diesjährige Report enthält Trends zu Phishing-Aktivitäten und -Taktiken sowie Best Practices zur Steigerung der Sicherheit von Unternehmen

[datensicherheit.de, 23.04.2024] Der jährliche „ThreatLabz Phishing“-Report soll die Evolution der Phishing-Landschaft enthüllen und die Notwendigkeit einer „Zero Trust“-Architektur unterstreichen: Zscaler, Inc. hat nach eigenen Angaben den jährlichen „Zscaler ThreatLabz 2024 Phishing“-Report veröffentlicht, für den zwei Milliarden blockierte Phishing-Transaktionen in der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2023 analysiert worden seien. Demnach haben die weltweiten Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. Dieser Anstieg sei unter anderem auf den Einsatz von generativer KI in Angriffstechniken wie Voice-Phishing (Vishing) und Deepfake-Phishing zurückzuführen. Der diesjährige Report enthalte Trends zu Phishing-Aktivitäten und -Taktiken sowie „Best Practices“ zur Steigerung der Sicherheit von Unternehmen.

Foto: Zscaler

Deepen Desai warnt: Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung!

Robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombinieren!

„Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung, die zunehmend mit ausgefeilteren Methoden aufwartet, da zur Intensivierung von Angriffen auf generative KI und die Manipulation vertrauenswürdiger Plattformen gesetzt wird”, berichtet Deepen Desai, „CSO“ und Leiter der Sicherheitsforschung. Er führt aus: „In diesem Zusammenhang sind die neuesten Ergebnisse des ,ThreatLabz’-Reports wichtiger denn je, um Strategien zu entwickeln und die Phishing-Abwehr zu stärken.“

Diese Erkenntnisse unterstrichen die Notwendigkeit eines proaktiven, mehrschichtigen Sicherheitsansatzes, „der eine robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombiniert, um diesen Bedrohungen wirksam zu begegnen“.

Mehr als die Hälfte aller Phishing-Angriffe in Nordamerika – gefolgt von EMEA und Indien

2023 seien die Vereinigten Staaten (55,9%), das Vereinigte Königreich (5,6%) und Indien (3,9%) die Hauptziele von Phishing-Betrug gewesen. Das häufige Auftreten von Phishing in den USA sei auf die digitale Infrastruktur, die große Anzahl von Internet-Anwendern und die intensive Nutzung von Online-Finanztransaktionen zurückzuführen.

Kanada (2,9%) und Deutschland (2,8%) vervollständigten die „Top Five“ der Länder mit den meisten Phishing-Versuchen. Die meisten Phishing-Angriffe gingen demnach von den USA, Großbritannien sowie Russland aus und auch Australien sei in die „Top Ten“ aufgestiegen, da das Volumen der in diesem Land gehosteten Phishing-Inhalte im Vergleich zum Vorjahr um 479 Prozent gestiegen sei.

Finanzbranche erlitt Anstieg der Phishing-Angriffe um fast 400 Prozent

Der Finanz- und Versicherungssektor habe die höchste Zahl von Phishing-Versuchen verzeichnet, die im Vergleich zum Vorjahr um 393 Prozent zugenommen hätten. Die Abhängigkeit von digitalen Finanzplattformen biete Bedrohungsakteuren reichlich Gelegenheit für die Durchführung ihrer Phishing-Kampagnen – aufbauend auf Schwachstellen in diesem Sektor.

Die Fertigungsindustrie habe von 2022 bis 2023 ebenfalls einen deutlichen Anstieg von 31 Prozent an Phishing-Angriffen verzeichnet, was die Anfälligkeit der Branche unterstreiche. „Da Fertigungsprozesse immer stärker von digitalen Systemen und vernetzten Technologien wie IoT/OT abhängen, steigt auch das Risiko von unbefugten Zugriffen oder Störungen, die von Bedrohungsakteuren ausgehen.“

Microsoft bleibt am häufigsten von Phishing-Angriffen ausgenutzte Marke

Die „ThreatLabz“-Forscher hätten festgestellt, dass Unternehmensmarken wie Microsoft, OneDrive, Okta, Adobe und SharePoint ein bevorzugtes Ziel für Imitationen darstellten. Die weite Verbreitung dieser „Brands“ gehe mit einem hohen Wert von gestohlenen Anmeldedaten für diese Plattformen einher und lasse sie zum lohnenden Ziel werden.

Microsoft (43%) sei im Jahr 2023 die am häufigsten imitierte Unternehmensmarke gewesen, wobei die Plattformen OneDrive (12%) und SharePoint (3%) ebenfalls unter den ersten fünf Plätzen rangierten und ein lukratives Ziel für Cyber-Kriminelle darstellten.

Zero-Trust-Architektur kann Phishing-Angriffe entschärfen

Eine „Zero Trust“-Architektur mit moderner, KI-gestützter Phishing-Prävention biete Schutz gegen die sich ständig weiterentwickelnde Bedrohungslandschaft. Die „Zero Trust Exchange“-Plattform helfe dabei, konventionelle und KI-gesteuerte Phishing-Angriffe in mehreren Stufen der Angriffskette zu unterbinden:

Verhindern der Kompromittierung
Skalierbare TLS/SSL-Prüfung, KI-gestützte Browser-Isolierung und richtliniengesteuerte Zugriffskontrollen verhinderten den Zugriff auf verdächtige Websites.

Eliminieren von Seitwärtsbewegungen
Nutzer würden sich direkt mit Anwendungen verbinden und nicht mit dem Netzwerk, während die KI-gestützte App-Segmentierung den Aktionsradius eines potenziellen Vorfalls begrenze.

Abschalten von kompromittierten Usern und Insider-Bedrohungen
Die Inline-Inspektion verhindere Versuche, private Anwendungen auszunutzen, und die integrierten Täuschungsfunktionen würden auch raffinierteste Angreifer erkennen.

Stoppen von Datenverlusten
Die Inspektion von Daten in Bewegung und im Ruhezustand verhindere den potenziellen Diebstahl durch einen aktiven Angreifer.

Weitere Informationen zum Thema:

zscaler
Zscaler ThreatLabz 2024 Phishing Report / Phishing attacks surged by 58% last year

Die schleswig-holsteinische Behörde hatte 2023 den DSK-Vorsitz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

DSK bekräftigt Notwendigkeit einer Ständigen Geschäftsstelle der Bundesdatenschutzgesetz

[datensicherheit.de, 22.04.2024] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 19. April 2024 eine Stellungnahme zu dem von der Bundesregierung im Februar 2024 vorgelegten Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) [BT-Drs. 20/10859] abgegeben: Zu den relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf. Demnach gehören laut DSK zu den wichtigsten Punkten:

Abbildung: DSK

DSK-Stellungnahme zum Entwurf eines Ersten Gesetzes zur BDSG-Änderung

1. Institutionalisierung der Datenschutzkonferenz

Ein neuer § 16a im BDSG-Entwurf (BDSG-E) diene der gesetzlichen Verankerung der jetzt schon bestehenden DSK. In ihrer Stellungnahme weist die DSK darauf hin, „dass diese Regelung ausgebaut und zumindest die Ziele der DSK aufgenommen werden sollten“. Zudem bekräftigt die DSK die „Notwendigkeit einer Ständigen Geschäftsstelle“ und schlägt daher Änderungen am Gesetzestext vor.

2. Schutz von Betriebs- und Geschäftsgeheimnissen bei Auskunftsansprüchen

Die DSK bekundet Zweifel, ob die geplanten Regelungen (§ 34 Abs. 1 S. 2 BDSG-E und § 83 Abs. 1 S. 2 SGB-X-E) mit Art. 23 DS-GVO vereinbar sind, da die europarechtlichen Einschränkungen der Betroffenenrechte eng auszulegen seien.

3. Scoring:

Die DSK hält es für erforderlich, im weiteren Gesetzgebungsverfahren zu prüfen, „ob die Neuregelung in § 37a BDSG-E mit den Anforderungen des Art. 23 DS-GVO zur Einschränkung von Betroffenenrechten in Einklang steht“. Um eine rechtssichere Regelung von Kreditwürdigkeitsprüfungen durch Scoring-Verfahren zu erreichen, empfiehlt die DSK „eine Erörterung im Rahmen einer Sachverständigenanhörung“. Zudem weist sie auf „zahlreiche Unklarheiten in den Regeln“ hin und regt Nachbesserungen an.

4. Länderübergreifende Datenverarbeitungsvorhaben

Bei gemeinsamer Verantwortlichkeit (§ 40a, § 27 Abs. 5 BDSG-E) im nichtöffentlichen Bereich solle es den beteiligten Unternehmen ermöglicht werden, eine einzige Aufsichtsbehörde festzulegen. Die DSK hält es in solchen Fällen für notwendig, „zumindest eine vorgeschaltete Prüfung durch die beteiligten Aufsichtsbehörden zu den Fragen vorzusehen, ob überhaupt eine gemeinsame Verantwortlichkeit vorliegt und wie sich eine gemeinsam verantwortete Verarbeitung abgrenzen lässt“. Außerdem weist die DSK auf „mögliche Unklarheiten in Bezug auf das hoheitliche Tätigwerden in anderen Ländern“ hin.

5. Möglichkeit von Geldbußen auch gegenüber Behörden

Als zusätzlichen Punkt regt die DSK die Streichung des § 43 Abs. 3 BDSG an, „nach dem gegen Behörden und sonstige öffentliche Stellen keine Geldbußen verhängt werden können“. In der Praxis habe sich gezeigt, dass ein Bedarf für Geldbußen auch im öffentlichen Bereich bestehe, um die Schwere eines Verstoßes gegenüber der beaufsichtigten Stelle hinreichend deutlich zu machen und um als Anreiz zu dienen, Datenschutzverstößen aktiv vorzubeugen.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 12.04.2024
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. April 2024 zum Gesetzentwurf der Bundesregierung: Entwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes (BR-Drs. 72/24; BT-Drs. 20/10859)

DSK DATENSCHUTZKONFERENZ, 02.03.2021
Stellungnahme der DSK zur Evaluierung des BDSG

datensicherheit.de, 18.09.2023
Bundesdatenschutzgesetz: Novelle sieht Datenschutzkonferenz als etabliertes Format an / Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden soll gesetzlich anerkannt werden

datensicherheit.de, 20.07.2018
Datenschutzkonferenz mit eigener Website / Verantwortlichen soll Handlungssicherheit gegeben werden

[datensicherheit.de, 22.04.2024] Keeper hat in einer Stellungnahme von Mtte März 2024 vor Cyber-Risiken gewarnt, welche insbesondere die Online-Sicherheit von Reisenden gefährden können und gibt folgenden Rat: „In Zeiten der umfassenden Digitalisierung und Vernetzung gilt es auch während eines Urlaubs oder einer Reise verantwortungsvoll mit der eigenen digitalen Sicherheit umzugehen.“ Dies sei nun im Prinzip keine neue Botschaft – allerdingshabe eine aktuelle Studie von Keeper bestätigt, „dass viele Nutzer von Computern, Tablets oder Mobilgeräten noch keinen genügenden Schutz für ihre Passwärter etabliert haben, um den digitalen Zugang zu sensiblen privaten und geschäftlichen Applikationen und Daten sicherzustellen“. Weltweit 64 Prozent der Befragten nutzten entweder nur schwache Passwörter oder Variationen von Passwörtern zum Schutz ihrer Online-Konten. Gleichzeitig seien aber 80 Prozent der Datenschutzverletzungen auf kompromittierte Anmeldeinformationen zurückzuführen. Um die digitale Sicherheit auch auf Reisen und in ungeschützten Umgebungen aufrecht zu erhalten, gibt Keeper hilfreiche Tipps – denn die bevorstehenden Pfingst- und Sommerferien seien u.a. auch „Hochsaison für Cyber-Kriminelle“.

Reiselust statt Cyber-Frust

„Laut einer aktuellen Untersuchung der Stiftung für Zukunftsfragen nimmt die Reiselust der Deutschen weiter zu: Mehr als sechs von zehn Bundesbürgern planen bereits ihren nächsten Urlaub und die Reisefrequenz hat inzwischen das Vor-,Corona’-Niveau von 61 Prozent erreicht und liegt sogar drei Prozentpunkte über dem Vorjahresniveau.“

Egal, aus welchem Grund man reist – in jedem Fall komme der Sicherheit von Online-Konten, persönlichen sowie Finanzdaten eine große Bedeutung zu. Scheinbar harmlose Gewohnheiten wie schlechte Passwörter, das Speichern von Passwörtern in unsicheren Dokumenten oder „Tools“ oder etwa das Veröffentlichen eines Reiseziels in Sozialen Medien könnten nun dazu führen, dass sensible Informationen oder wichtige Kontendaten von versierten Cyber-Kriminellen missbraucht werden.

5 Tipps zur Cyber-Sicherheit, um sich vor -angriffen zu schützen:

1. Gerätesicherheit steht an erster Stelle
Stellen Sie sicher, dass alle elektronischen Geräte mit den neuesten Sicherheitsupdates und Patches ausgestattet sind. Achten Sie auf wichtige Benachrichtigungen und installieren Sie Updates möglichst umgehend.
Am einfachsten ist es, wenn man die automatische Update-Funktion aktiviert. Mit Software-Updates werden nicht nur bestehende Funktionen verbessert, Fehler behoben und die Leistung erhöht, sondern auch Sicherheitslücken geschlossen und neue Sicherheitsmaßnahmen hinzugefügt – deshalb sind sie wichtiger Bestandteil einer Sicherheitsstrategie.

2. Online-Konten bestmöglich schützen
Legen Sie sichere und eindeutige Passwörter fest, die mindestens 16 Zeichen lang sind – welche keine gängigen Wörter, Muster oder fortlaufende Zahlen enthalten, sondern aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen.
Die Sicherheit eines Kontos lässt sich außerdem durch eine Zwei-Faktor-Authentifizierung (2FA) deutlich verbessern. Diese zusätzliche Schutzebene stellt sicher, dass selbst bei einer Kompromittierung des Passworts ein unbefugter Zugriff verhindert wird. Erleichterung bietet an dieser Stelle ein Passwort-Manager. Er kann sichere Passwörter erstellen, speichern und automatisch ausfüllen.

3. VPN first – öffentliche Ladestationen und Wi-Fi meiden
Vermeiden Sie öffentliche USB-Ladestationen, um „Juice Jacking“-Angriffe zu verhindern. Denn Cyber-Kriminelle können Malware auf diese Ladestationen laden und damit auf fremde Geräte zugreifen. Zudem sollte das automatische Verbinden von WLAN- und „Bluetooth“-Verbindung ausgeschaltet sein und öffentliche WLAN-Netzwerke vermieden werden, weil sie meist ungesichert und anfällig für Angriffe sind.
Verwenden Sie stattdessen die Hotspot-Funktion Ihres Telefons und nutzen Sie ein virtuelles privates Netzwerk (VPN), um Ihre Verbindung zu verschlüsseln und sich vor Cyber-Bedrohungen zu schützen, wenn Sie von unterschiedlichen Standorten aus auf Ihre Konten zugreifen.

4. Achtsamer Umgang mit den Sozialen Medien
Im Umgang mit den Sozialen Medien sollte man vorsichtig sein und keine Reisepläne und Urlaubsinformationen veröffentlichen. Die Bekanntgabe eines Standorts in Echtzeit kann Sie zur Zielscheibe von Cyber-Angriffen und physischen Straftaten machen:
Sie geben nicht nur Ihren Standort und Ihre persönlichen Daten preis, sondern machen Diebe auch darauf aufmerksam, dass Sie nicht zuhause sind. Am besten ist es, wenn Sie diese Informationen nur mit vertrauenswürdigen Kontakten austauschen und Reisedetails erst nach der Rückkehr posten.

5. Für den Notfall: Zugriff auf wichtige Dokumente einrichten
Das Risiko, dass wichtige Finanz-, Ausweis- und andere Dokumente verloren gehen oder gestohlen werden, ist auf Reisen besonders hoch. Reisende sollten sich deshalb Sicherheitskopien wichtiger Karten und Dokumente machen und diese in einen sicheren Passwort-Manager hochladen.
Alternativ kann auch ein verschlüsselter Dienst (wie z.B. „One Time Share“) genutzt werden, um wichtige Informationen sicher an ein Familienmitglied oder eine vertrauenswürdige Person weiterzugeben, damit diese im Notfall darauf zugreifen kann.

Umsetzung robuster Cyber-Sicherheitspraktiken auch auf Reisen unerlässlich

„Da die Cyber-Kriminalität immer und überall präsent ist, ist die Umsetzung robuster Cyber-Sicherheitspraktiken auf Reisen unerlässlich“, betont Darren Guccione, „CEO“ und Mitbegründer von Keeper. Daher möchte Keeper den Menschen „Tools“ an die Hand zu geben, welche ihre digitale Widerstandsfähigkeit erhöhen. „Mit einem sicheren Passwort-Manager können sich Reisende auf ein unbeschwertes und sicheres Reiseerlebnis freuen“, so Gucciones Rat.

Keeper kenne die dynamische Natur von Cyber-Bedrohungen und empfiehlt deshalb „zusätzlich zur Einhaltung von ,Best Practices’ auch die Förderung der digitalen Kompetenz und Bereitschaft, sich mit den Herausforderungen der Cyber-Kriminalität auseinander zu setzen“. Keeper bietet deshalb nach eigenen Angaben „zahlreiche Wissensbeiträge zu Cyber-Sicherheitsthemen, die von Tipps zu Reisevorbereitungen bis hin zu Cyber-Angriffen reichen.“

Weitere Informationen zum Thema:

KEEPER
Passwortverwaltungsbericht: Wahrnehmung und Realität

KEEPER
What To Look for in a Password Manager

Stiftung für Zukunftsfragen, 06.02.2024
Stiftung für Zukunftsfragen stellt 40. Deutsche Tourismusanalyse vor / Deutsche Tourismusanalyse 2024: Die Reisewelle rollt

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone