[datensicherheit.de, 21.10.2021] Die Global Encryption Coalition ruft die Öffentlichkeit nach eigenen Angaben dazu auf, „am heutigen ,Global Encryption Day‘ auf stark verschlüsselte Dienste umzusteigen und ihr Recht auf Privatsphäre und Sicherheit zu verteidigen“. Derzeit werde die Verschlüsselung von Regierungen auf der ganzen Welt bedroht, welche „Hintertüren“ für die Strafverfolgung schaffen wollten – dies könnte indes böswilligen Akteuren Zugang zu sensiblen Informationen verschaffen und die nationale und öffentliche Sicherheit gefährden. Hunderte von Technologieunternehmen und eine Zivilgesellschaft hätten sich aber bereits zur Verwendung einer starken Verschlüsselung verpflichtet.

Verschlüsselung schützt persönliche Sicherheit von Milliarden von Menschen…

Eine Gruppe von zivilen Organisationen und Technologieunternehmen aus der ganzen Welt hat sich demnach am ersten „Globalen Verschlüsselungstag“ zusammengeschlossen, um die Verwendung starker Verschlüsselung zu fördern und sich bedrohlichen Bemühungen von Regierungen und Strafverfolgungsbehörden zu widersetzen, diese zu untergraben.
Verschlüsselung schütze die persönliche Sicherheit von Milliarden von Menschen und die nationale Sicherheit von Ländern in aller Welt. Ausgegrenzte Gemeinschaften, Überlebende häuslicher Gewalt und Politiker, welche mit hochsensiblen Informationen arbeiteten, benötigten alle Verschlüsselung, um ihre Kommunikation privat und sicher zu halten.

Auch Strafverfolgungsbehörden nutzen Verschlüsselung

Selbst Strafverfolgungsbehörden nutzten verschlüsselte Kommunikationssysteme, „um sicherzustellen, dass organisierte Kriminelle und Terrororganisationen keinen Zugang zu ihren Ermittlungen erhalten“. Dank starker Verschlüsselung könnten die Menschen auf Online-Banking und Gesundheitsdienste zugreifen, „ohne befürchten zu müssen, dass ihre persönlichen Daten gestohlen werden“.
Die Verwendung starker Verschlüsselung sei dennoch von vielen Regierungen weltweit in Frage gestellt worden, weil sie befürchteten, dass Kriminelle die Verschlüsselungstechnologie ausnutzten, um illegale Aktivitäten im Internet zu verbergen. Diese Vorschläge zur Schwächung oder Aushöhlung der starken Verschlüsselung könnten Nutzer jedoch tatsächlich anfälliger für Cyber-Angriffe und Straftaten machen.

Wenn man die Verschlüsselung schwächt, werden Menschen sterben, warnt Edward Snowden

Edward Snowden, Vorstandsmitglied der Freedom of the Press Foundation und der „Whistleblower“ hinter den NSA-Überwachungsenthüllungen, kommentiert: „Wenn man die Verschlüsselung schwächt, werden Menschen sterben. Allein in diesem Jahr, nach dem Sturz der afghanischen Regierung, haben wir gesehen, wie wichtig Verschlüsselung für die Sicherheit der Menschen ist. Die ,Covid-Pandemie‘ hat uns vor Augen geführt, wie wichtig verschlüsselte Messaging-Apps auf unseren Smartphones sind, um mit unseren Angehörigen zu kommunizieren, wenn wir krank sind und Hilfe brauchen.“
Ärzte nutzten verschlüsselte Messaging-Apps, um mit ihren Patienten zu kommunizieren und persönliche Informationen sicher auszutauschen. Verschlüsselung mache uns alle sicherer: „Von Familien, die Fotos ihrer Kinder schützen, bis hin zu persönlichen Gesundheitsinformationen – Verschlüsselung schützt unsere privaten Daten.“

Ohne Verschlüsselung wäre es für Snowden unmöglich gewesen, Whistleblowing zu betreiben

Snowden betont: „Ohne Verschlüsselung wäre es für mich unmöglich gewesen, ,Whistleblowing‘ zu betreiben.“ Seine ersten Nachrichten an Journalisten seien verschlüsselt gewesen, und ohne eine sichere Ende-zu-Ende-Verschlüsselung sei es unmöglich, sich vorzustellen, wie investigativer Journalismus überhaupt stattfinden könnte.
„Trotzdem versuchen Regierungen auf der ganzen Welt, die Verschlüsselung zu schwächen, indem sie Plattformen auffordern, ,Backdoors‘ für die Strafverfolgung zu schaffen. Ich habe aus Erster Hand gesehen, wie Regierungen ihre Macht missbrauchen können, um im Namen der nationalen Sicherheit auf die persönlichen Daten unschuldiger Menschen zuzugreifen“, erläutert Snowden. Eine Schwächung der Verschlüsselung wäre ein kolossaler Fehler, der Tausende von Menschenleben gefährden könnte, so seine Warnung.

Schutz starker Verschlüsselung entscheidend für Schutz der Menschenrechte

„Der Schutz einer starken Verschlüsselung ist entscheidend für den Schutz der Menschenrechte von Millionen von Menschen auf der ganzen Welt“, unterstreicht Jimmy Wales, Gründer von Wikipedia. Jeder habe das Recht auf Privatsphäre und Sicherheit – das könne nur mit einer sicheren „End-to-End“-Verschlüsselung gewährleistet werden. Eine Schwächung der Verschlüsselung bringe uns alle in Gefahr.
Wales führt aus: „Als wir mit Wikipedia begannen, war es unerschwinglich, sichere Verschlüsselung für jede Seite der Website zu verwenden, aber es war immer eine unserer Prioritäten, und wir haben sie so bald wie möglich eingeführt.“ Es gebe keine Entschuldigung dafür, jetzt keine Verschlüsselung zu verwenden – Regierungen und Technologieplattformen hätten die Pflicht, die Öffentlichkeit zu schützen.

Weitere Informationen zum Thema:

Make the Switch
Global Encryption Day Statement / 153 organizations and businesses have signed our statement of support

[datensicherheit.de, 21.10.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 21. Oktober 2021 seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2021 veröffentlicht. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, geht in ihrer Stellungnahme auf die signifikante Bedrohung ein: „Cyber-Angriffe sind zu einer enormen Bedrohung für die deutsche Wirtschaft geworden. Jedes zehnte Unternehmen sieht deshalb laut unseren Erkenntnissen seine Existenz bedroht.“ Der diesjährige BSI-Lagebericht untermauere eindrucksvoll, „wie ernst die Lage für die deutsche Wirtschaft, aber auch für Privatpersonen, Behörden und andere Institutionen ist“.

Bitkom-Warnung: Ransomware-Angriffe auf unsere Wirtschaft besorgniserregend

Cyber-Angriffe hätten laut Bitkom-Studien bei 86 Prozent der Unternehmen in Deutschland zuletzt einen Schaden verursacht. Dehmel erläutert: „Die Wucht, mit der insbesondere Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Betriebe aller Branchen und Größen. Die Schäden durch Erpressung, verbunden mit dem Ausfall von Systemen oder der Störung von Betriebsabläufen, sind seit 2019 um 358 Prozent gestiegen.“
Auch Schutzgeld werde mittlerweile im Internet erpresst. Die Angreifer drohten damit, bestimmte Ressourcen gezielt zu überlasten und zum Beispiel Server mit massenhaften Anfragen in die Knie zu zwingen. „Zuletzt waren 27 Prozent der Unternehmen im Land von solchen DDoS-Attacken betroffen.“

Bitkom-Forderung nach zukunftsfähiger IT-Bildung aller Menschen

Dehmel betont: „Darauf müssen wir reagieren. Wir brauchen die Möglichkeit, dass sich jeder Mensch und jedes Unternehmen in Echtzeit über die Cyber-Bedrohungslage informieren kann.“ Dazu müssten wir „Echtzeit-Informationen nutzen und EU-weit in einem zentralen Dashboard sammeln“. Nur wenn Hinweise auf Gefahren sekundengenau gesammelt würden, könnten wir auch umgehend darauf reagieren und uns sowie unsere Wirtschaft besser schützen.
Wesentlich für mehr Cyber-Sicherheit sei auch die zukunftsfähige Bildung aller Menschen. Medienkompetenz und IT-Wissen müssten spätestens ab der Grundschule in die Bildungspläne integriert werden. „Wir brauchen deshalb unbedingt Informatik als Pflichtfach ab Sekundarstufe I“, fordert Dehmel abschließend.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2021

Vectra AI kommentiert Acer-Vorfall und rät Unternehmen, stets davon auszugehen, dass Angreifer bereits eingedrungen sind

[datensicherheit.de, 20.10.2021] Es gibt laut Vectra AI aktuelle Nachrichten, dass die After-Sales-Service-Systeme von Acer massiv von Hackern angegriffen worden seien. Cyber-Kriminelle haben demnach behauptet, mehr als 60 GB an Dateien und Datenbanken von den Servern von Acer gestohlen zu haben, darunter Kunden-, Händler- und Partnerdaten. Zu den gestohlenen Informationen gehörten Informationen zu Kunden, Anmeldeinformationen, welche von Tausenden Acer-Händlern und -Distributoren verwendet würden, sowie Unternehmens-, Finanz- und Prüfungsdokumente.

Foto: Vectra AI

Andreas Riepen: Wahrscheinlich bereits reichhaltige Daten genutzt, um anderen Cyber-Kriminellen Acer-Zugang zu verkaufen…

Acer und Partnerunternehmen könnten wiederholt angegriffen werden

„Ausgestattet mit einem Schatz an gestohlenen Informationen über Acer-Kunden, Einzelhändler und Distributoren haben die Angreifer wahrscheinlich bereits diese reichhaltigen Daten genutzt, um anderen cyber-kriminellen Gruppen den Zugang zu verkaufen“, kommentiert Andreas Riepen von Vectra AI.
Sie hätten auch die Logins betroffener Einzelhändler und Distributoren nutzen können, um gezielte Phishing-Angriffe durchzuführen und sich auf andere Organisationen auszubreiten. Je mehr Informationen gestohlen werden, desto einfacher sei es für Angreifer, Rechte zu eskalieren, sich seitlich durch Systeme zu bewegen und Schutzmaßnahmen zu umgehen.

Sicherheitsbewusste Unternehmen sollten Acer-Vorfall als Warnung annehmen

„Aber immer wieder sehen wir, wie Angreifer riesige Mengen an Kunden-, Unternehmens- und Finanzdaten absaugen und dabei um Präventionstools herumlaufen“, berichtet Riepen. Stattdessen müssten Unternehmen davon ausgehen, „dass es bereits einen erfolgreichen Angriff bzw. Eindringen gegeben hat oder bald geben wird“. Nur mit dieser Einstellung könnten sie eine ausreichende Widerstandsfähigkeit gegen diese Unvermeidlichkeit aufbauen.
Riepen führt aus: „Indem sie davon ausgehen, dass sie bereits kompromittiert sind und aktiv nach Anzeichen eines Angriffs suchen, sind sicherheitsbewusste Unternehmen in der Lage, alle Arten von Angriffen rechtzeitig zu erkennen und zu stoppen, bevor sie zu Sicherheitsverletzungen werden.“

Weitere Informationen zum Thema:

BLEEPINGCOMPUTER, Sergiu Gatlan, 14.10.2021
Acer confirms breach of after-sales service systems in India

[datensicherheit.de, 20.10.2021] BioCatch hat die Einführung des Webservices „Age Analysis“ bekanntgegeben: Mit dieser neuen Technologie lasse sich der Schutz vor Finanzbetrug bei der Kontoeröffnung erheblich verbessern. Sie biete vor allem Senioren Sicherheit, da sie besonders häufig ins Visier Cyber-Krimineller gerieten. „Age Analysis“ ist demnach bereits bei mehreren globalen Finanzinstituten im Einsatz. Neben der IT-Sicherheit stehe für Kunden auch ein positives Nutzererlebnis im Fokus der Lösung, welche Finanzunternehmen und deren Kunden davor schützen solle, „Opfer von Identitäts- und anderen Betrug zu werden, der bei einer Kontoeröffnung auftreten kann“.

Age Analysis zur Betrugs-Prävention für Senioren und Banken

„Age Analysis“ sei z.B. bereits bei einem großen globalen Kreditkarten-Unternehmen im Einsatz. Dort habe die Analyse des Kundenalters zunehmend an Relevanz gewonnen, um Betrugsversuche bei Kontoeröffnungen abzuwehren. „Vorangegangen war eine Erhebung, dass 40 Prozent der bestätigten betrügerischen Kreditkartenanträge von Personen mit einer Altersangabe von über 60 Jahren eingingen.“
Weiterhin habe die Untersuchung ergeben, dass viele Anträge von Kunden über 60 Jahren zur manuellen Überprüfung weitergeleitet worden seien. Dieser Schritt habe den Antragszeitraum verlängert und sich erheblich auf die Kundenzufriedenheit ausgewirkt. Das habe zu überdurchschnittlich vielen Stornierungen bei Anträgen geführt, „bei denen das angegebene Alter über 60 Jahre lag“. Im Vergleich zu anderen Altersgruppen deute dies auf ein unterdurchschnittliches digitales Kundenerlebnis hin.

Age Analysis bietet Finanzinstituten Verifizierungsschutz

„Bei der Entwicklung von ,Age Analysis‘ haben wir uns auf den Schutz und die Benutzererfahrung unserer Kunden konzentriert“, erläurtert Gadi Mazor, „CEO“ von BioCatch. Um die fortschrittlichsten biometrischen Verifizierungslösungen zu entwickeln, werde bei BioCatch eng mit den Kunden zusammengearbeitet. „Damit treten wir den sich ständig veränderten Herausforderungen bei der Betrugsbekämpfung entgegen“, betont Mazor. „Age Analysis“ biete Finanzinstituten den benötigten Verifizierungsschutz, um Betrug bei der Antragsstellung von Kreditkarten entgegenzuwirken.
Während Betrug und Cyber-Kriminalität aufgrund der „Pandemie“ ein Rekordniveau erreicht hätten, habe die Nutzung digitaler Kanäle stark zugenommen. Daher seien Unternehmen zunehmend gefordert, mit Technologie eine reibungslose „Customer Journey“ zu schaffen. Mehr als 50 Finanzinstitute weltweit nutzten bereits die Verhaltensbiometrie von BioCatch, um ihre Kunden vor Betrug und Identitätsdiebstahl zu schützen.

Age Analysis erkennt Unterschiede im Verhalten von autorisierten Nutzern und Kriminellen

Dank der eingesetzten BioCatch-Risikomodelle ließen sich die Unterschiede im physischen und kognitiven Verhalten von tatsächlich autorisierten Nutzern und Kriminellen unterscheiden. Dazu erstelle die BioCatch-Plattform Nutzerprofile – beispielsweise typische Mausbewegungen, Tipprhythmus, Wischmuster oder die übliche Ausrichtung des Endgerätes – und identifiziere mithilfe von Maschinellem Lernen (ML) betrügerische Absichten.
Durch „Age Analysis“ würden die Interaktionen zwischen Nutzer und Gerät mit den statistisch erfassten Verhaltensmustern von Nutzern abgeglichen und überprüft, „ob diese mit dem Verhalten einer bestimmten Altersgruppe übereinstimmen“. Bei Anomalien löse die Plattform einen Alarm aus.

Weitere Informationen zum Thema:

BioCatch
Major Card Issuers Partner with BioCatch to Protect Senior Citizens from Fraud and Save $3.5M

[datensicherheit.de, 19.10.2021] Check Point Research (CPR), die Sicherheitsforscher der Check Point® Software Technologies Ltd., hat nach eigenen Angaben den „Q3 Brand Phishing Report“ veröffentlicht, welcher demnach die führenden Marken in den Monaten Juli, August und September 2021 aufzeigt, „die von Hackern imitiert wurden, um Menschen zur Preisgabe persönlicher Daten zu verleiten“.

Check Point: amazon hat DHL vom zweiten Platz verdrängt

Im dritten Quartal 2021 sei Microsoft weiterhin die Marke gewesen, welche am häufigsten von Cyber-Kriminellen zur Täuschung genutzt worden sei, wenn auch mit einer etwas geringeren Rate: „29 Prozent aller Marken-Phishing-Versuche bezogen sich auf den Technologieriesen, ein Rückgang gegenüber 45 Prozent im 2. Quartal 2021, da die Betrüger während der ,COVID-19-Pandemie‘ weiterhin auf anfällige, verteilte Belegschaften abzielen.“
amazon habe DHL mit 13 Prozent aller Phishing-Versuche (gegenüber elf Prozent im Vorquartal) vom zweiten Platz verdrängt, da die Kriminellen das Online-Shopping im Vorfeld der Weihnachtszeit ausnutzen wollten. Der Bericht zeige auch, dass „Social Media“ in diesem Jahr – 2021 – zum ersten Mal unter den drei wichtigsten Sektoren gewesen sei, „die bei Phishing-Versuchen nachgeahmt wurden“. Dabei tauchten WhatsApp, LinkedIn und facebook alle in der „Top 10“-Liste der am häufigsten nachgeahmten Marken auf.

Soziale Kanäle laut Check Point eine der drei wichtigsten Kategorien, welche von Cyber-Kriminellen ausgenutzt werden

„Cyber-Kriminelle arbeiten beständig daran, persönliche Daten von Menschen zu stehlen, indem sie sich als führende Marken bzw. Unternehmen ausgeben. Zum ersten Mal in diesem Jahr sind Soziale Kanäle eine der drei wichtigsten Kategorien, die von Cyber-Kriminellen ausgenutzt werden. Sie versuchen, die steigende Anzahl von Menschen, die im Zuge der Pandemie aus der Ferne arbeiten und kommunizieren, für sich einzuspannen“, erläutert Omer Dembinsky, „Data Research Group Manager“ bei Check Point Software.
Leider könnten diese Marken nur sehr wenig zur Bekämpfung von Phishing-Versuchen beitragen. Oft sei es das menschliche Element, das eine falsch geschriebene Domain, ein falsches Datum oder ein anderes verdächtiges Detail in einem Text oder einer E-Mail nicht erkenne. Dembinsky: „Wie immer empfehlen wir unseren Nutzern, bei der Preisgabe ihrer Daten vorsichtig zu sein. Sie sollten zweimal nachdenken, bevor sie E-Mail-Anhänge oder Links öffnen, insbesondere bei E-Mails, die vorgeben, von Unternehmen wie Amazon, Microsoft oder DHL zu stammen. Diese Marken werden am ehesten nachgeahmt. In Anlehnung an die Daten aus dem 3. Quartal möchten wir die Nutzer auch dazu auffordern, bei E-Mails oder anderen Mitteilungen, die scheinbar von Social-Media-Kanälen wie facebook oder WhatsApp stammen, wachsam zu sein.“

Microsoft laut Check Point auf Platz 1

Bei einem Marken-Phishing-Angriff versuchten Kriminelle, die offizielle Website einer bekannten Marke zu imitieren, „indem sie einen ähnlichen Domainnamen oder eine ähnliche URL und ein ähnliches Design wie die echte Website verwenden“. Der Link zur gefälschten Website könne per E-Mail oder Textnachricht an die Zielpersonen geschickt werden, ein Benutzer könne während des Surfens im Internet umgeleitet werden, oder er könne von einer betrügerischen mobilen Anwendung ausgelöst werden. Die gefälschte Website enthalte oft ein Formular, mit dem die Anmeldedaten, Zahlungsdaten oder andere persönliche Informationen der Nutzer gestohlen werden sollten.
Die am häufigsten imitierten Marken im 3. Quartal 2021 (im Folgenden seien die Top-Marken nach ihrem Gesamtauftritt bei Phishing-Versuchen aufgelistet):

• Microsoft (in Verbindung mit 29% aller Phishing-Angriffe weltweit)
• amazon (13%)
• DHL (9%)
• BEST BUY (8%)
• Google (6%)
• WhatsApp (3%)
• NETFLIX (2,6%)
• LinkedIn (2,5%)
• PayPal (2,3%)
• facebook (2,2%)

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD
Social Now Among Top Three Sectors to be Imitated in Phishing Attempts in Q3 2021

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

datensicherheit.de, 09.12.2020
Cybereason: Neue Malware missbraucht facebook und Dropbox / Bislang unbekannte Malware-Varianten im Nahen Osten für Spionage eingesetzt

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels / Kriminelle geben sich in Phishing-E-Mails gerne als DHL aus und locken Nutzer auf ihre gefälschten Webseiten

[datensicherheit.de, 19.10.2021] Der Digitalcourage e.V. sieht im sogenannten Sondierungspapier vom 15. Oktober 2021 „noch viele offene Fragen und unkonkrete Absichtserklärungen“.

Sondierungspapier bleibt laut Digitalcourage in Fragen der Digitalpolitik leider vage

„Wir freuen uns, dass die von uns und vom Bundesverfassungsgericht angemahnte Überwachungsgesamtrechnung endlich umgesetzt werden soll, denn in den letzten 20 Jahren wurden Grundrechte immer wieder eingeschränkt und Überwachungsbefugnisse ohne rechtsstaatliche Kontrolle ausgebaut“. Kommentiert Julia Witte von Digitalcourage. Da gebe es eine „deutliche Schieflage“.
Ansonsten bleibe das Sondierungspapier in Fragen der Digitalpolitik leider vage. Dabei erwarteten eine neue Bundesregierung große Herausfordungen und Richtungsentscheidungen. Es müsse mehr kommen als bloße „Buzzwords“ wie „Blockchain-Strategie“ oder „Breitbandausbau“.

Digitalcourage fordert, dass Digitalisierung der Allgemeinheit dient

Digitale Entwicklung brauche keinen „Blockchain-Hype“, keine „Start-Up-Götter“ und kein „deutsches Google“ – sondern mutige politische Gestaltung, so eine ergänzende Klarstellung von padeluun. Der anstehende „Digital Markets Act“ und der „Digital Services Act“ böten die Möglichkeit einer „Weichenstellung für unsere Zukunft“.
padeluun: „Wir müssen weg vom System Überwachungskapitalismus und hin zu einer Digitalisierung, die der Allgemeinheit dient.“ Vom bevorstehenden Koalitionsvertrag erwarte die Zivilgesellschaft Gestaltungswillen und eine couragierte Digitalpolitik. Dafür hat Digitalcourage nach eigenen Angaben 15 Prioritäten formuliert. Dazu gehörten u.a.:

• Machtkonzentration der Internetmonopole brechen und Etablierung eines europäischen Suchindexes!
• Tracking, personalisierte Werbung und Dark Patterns verbieten!
• Nachhaltige digitale Bildung ermöglichen!
• Biometrische Überwachung verbieten!
• Digitales anonymes Bargeld schaffen!

Das gesamte Digitalcourage-Papier sei online verfügbar.

Weitere Informationen zum Thema:

digitalcourage, 30.09.2021
Koalitionsverhandlungen: Couragierte Digitalpolitik – jetzt!

FOCUS ONLINE, 19.10.2021
Das will die Ampel für DeutschlandKeine Steuererhöhungen, 12 Euro Mindestlohn, Bürgergeld statt Hartz IV: Hier lesen Sie das Sondierungspapier

DSGVO-Bußgelder könnten schnell existenzbedrohend werden

[datensicherheit.de, 18.10.2021] Wenn es um den Datenschutz geht, seien deutsche Behörden alles andere als zimperlich: Seit Inkrafttreten des Datenschutzgesetzes 2018 seien DSGVO-Bußgelder in Höhe von 69 Millionen Euro erlassen worden – Deutschland lande so im europäischen Vergleich direkt nach Italien auf Rang 2. „Ganz offensichtlich läuft auch drei Jahre nach Einführung der DSGVO noch längst nicht alles datenschutzkonform in deutschen Unternehmen“, sagt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Geschäftsführung oder Vorstand müssen Rechte r sowie Datenschutz-Vorschriften kennen!

Das Gros der DSGVO-Sanktionen im Jahr 2020 gegen den Mittelstand

Vor allem seit 2020 stiegen „Strafen und Sanktionen“ empfindlich – sowohl in ihrer Anzahl, als auch in der Höhe der verhängten Bußgelder. So seien – nach Informationen des Datenschutzbeauftragten der Länder und des Bundes – 2019 noch 187 Verstöße gezählt worden, 2020 hingegen bereits 301. Längst seien nicht nur Großkonzerne wie H&M, Google, oder jüngst Amazon, betroffen.
Das Gros der im drei- bis fünfstelligen Bereich liegenden DSGVO-Sanktionen im Jahr 2020 sei gegen kleine und mittlere Unternehmen (KMU) sowie Vereine und Solo-Selbstständige verhängt worden. „Die DSGVO wurde geschaffen, um Datenkraken das Handwerk zu legen. Doch sie gilt auch für Kleinstunternehmen, kleine und mittelständische Betriebe. Und gerade in dieser Unternehmensgröße kann ein DSGVO-Bußgeld schnell existenzbedrohend werden“, warnt Schrenk und mahnt zur Einhaltung des Datenschutzgesetzes. Ein DSGVO-Bußgeld könne für einen Mittelständler schnell existenzvernichtend werden.

Unzählige Gründe, welche zu DSGVO-Bußgeldern führen…

Es gebe unzählige Gründe, welche zu DSGVO-Bußgeldern führen könnten. Darunter befänden sich einige klassische „Fallstricke“, so Schrenk: „Beispielsweise setzt die Unternehmenswebsite Cookies, in die Nutzende nicht eingewilligt haben. Oder die Datenschutzerklärung auf der Website ist fehlerhaft oder fehlt ganz. Verpassen Unternehmen, in denen mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten zu stellen, kann auch das ein DSGVO-Bußgeld nach sich ziehen.“
Auch jedem Auskunftsersuchen müsse die notwendige Beachtung geschenkt werden, sollen keine Sanktionen der Aufsichtsbehörden drohen: Artikel 15 der DSGVO spendiere Betroffenen das Recht, über die zu ihrer Person gespeicherten Daten Auskunft zu verlangen. Unternehmen müssten diesem Auskunftsersuchen binnen eines Monats nachkommen.

Jeder DSGVO-Verstoß wird separat betrachtet

Die Höhe eines Bußgeldes werde übrigens von der zuständigen Datenschutzbehörde festgelegt. Feste Rezepte gebe es nicht – jeder Fall werde separat betrachtet. Artikel 83 der DSGVO nenne zwar die „allgemeinen Bedingungen für die Verhängung von Geldbußen“ und halte einen Katalog von Bemessungskriterien zur Kalkulation der Bußgeldhöhe bereit.
Die Datenschutzbehörden hätten aber einen großen Ermessensspielraum in ihrer Bewertung von Datenschutzvorfällen, so dass die Höhe der DSGVO-Bußgelder massiv variieren könne, erläutert Schrenk. Verschiedene Faktoren hätten dabei Einfluss auf die Höhe eines Bußgelds, darunter die Schwere der Datenschutzverletzung oder die Bereitschaft des Unternehmens, die Datenschutzverletzung abzustellen.

Korrekte Umsetzung der DSGVO-Vorschriften beachten, um Risiken zu minimieren

Das Bußgeld an sich sei jedoch nicht das Einzige, was es zu bedenken gelte. Hinzu kämen der Image-Verlust, der nach einem Datenskandal unvermeidbar sei, und der nicht konkret beziffert werden könne, sowie etwaige Schadenersatzansprüche. Auch strafrechtliche Konsequenzen seien denkbar. Es sei daher essenziell, die korrekte Umsetzung der DSGVO-Vorschriften zu beachten, um Risiken zu minimieren.
„Geschäftsführung oder Vorstand müssen die Rechte von Betroffenen sowie die Datenschutz-Vorschriften kennen und sich – falls erforderlich – qualifizierte Unterstützung ins Boot holen. Ich raten jedem, individuelle Anforderungen durch eine Ist-Analyse herauszuarbeiten. Erst dann zeigt sich, wo Lücken bestehen und wie diese sich schließen lassen. Hat das Unternehmen einen Datenschutzbeauftragten benannt, wird dieser helfen können“, so Schrenk. Auch externe Datenschutzbeauftragte seien in diesem Fall hilfreich, denn diese verfügten über das notwendige Know-how und böten transparente Kostenstrukturen, so dass Unternehmen gut planen könnten.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG
DSGVO-Bußgelder: Wie hoch sind die Strafen für Datenschutz-Verstöße?

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 18.02.2021
BfDI-Kritik: 1.000 Tage DSGVO ohne Anpassung von TKG und TMG / Prof. Ulrich Kelber, der BfDI, moniert Rechtsunsicherheit für Unternehmen und Verbraucher

[datensicherheit.de, 18.10.2021] „Derzeit erhalten Bürgerinnen und Bürger in Deutschland Anrufe – angeblich im Namen des Bundeskriminalamts“, warnt das Bundeskriminalamt (BKA) in eigener Sache. Am Telefon behauptet demnach eine automatische Stimme, dass der Personalausweis der Angerufenen überprüft werden müsse und sie den Anweisungen folgen sollen, um die Überprüfung zu ermöglichen.

BKA: Täter könnten mit persönlichen Daten Waren bestellen oder andere Straftaten begehen

Es folgten Anweisungen wie zum Beispiel „Drücken Sie die 1“, um Daten zum Personalausweis anzugeben und damit angeblich eine Strafe abzuwenden. Diese Anrufe kämen vorgeblich von Festanschlüssen aus Wiesbaden mit der Vorwahl „0611“. Es folgten unterschiedliche Rufnummern, häufig beginnend mit den Ziffern „916“.
„Wenn Sie den Anweisungen folgen, werden Sie möglicherweise unbemerkt auf kostenpflichtige Nummern weitergeleitet, bei denen für Sie hohe Gebühren anfallen.“ Außerdem könnten die Täter mit persönlichen Daten unter fremden Namen Waren bestellen oder andere Straftaten begehen.

BKA rät Angerufenen, sich nicht in ein Gespräch verwickeln zu lassen

Das BKA rät daher allen Angerufenen: „Folgen Sie nicht den Anweisungen, lassen Sie sich nicht in ein Gespräch verwickeln – legen Sie einfach auf!“ Das BKA fordere niemals dazu auf, persönliche Daten am Telefon preiszugeben.
„Sollten Sie nachträglich feststellen, dass Sie betrogen oder ihre Daten missbräuchlich benutzt wurden, erstatten Sie Strafanzeige bei Ihrer örtlichen Polizeidienststelle.“

Cyber-Sicherheit und -Verteidigung rücken zunehmend in das Zentrum der Politik und bei Akteuren Nationaler Sicherheit

[datensicherheit.de, 14.10.2021] Cyber-Sicherheit und -Verteidigung rücken offensichtlich zunehmend in das Zentrum der Politik und bei Akteuren Nationaler Sicherheit. Vor dem Hintergrund der Entwicklungen in den letzten Monaten hat die Stiftung Neue Verantwortung nach eigenen Angaben ihre Veröffentlichung zur staatlichen Cyber-Sicherheitsarchitektur aktualisiert und zusätzliche Akteure aufgenommen. Darüber hinaus sei in der aktuellen Version mit Aufnahme der Ebene der Vereinten Nationen (UN) ein neuer Bereich eingezogen worden. Das Dokument werde auch künftig periodisch aktualisiert, um den neuesten Entwicklungsstand abzubilden und zusätzliche Erweiterungen vorzunehmen. Die nächste Aktualisierung der Cyber-Sicherheitsarchitektur werde im März/April 2022 erscheinen.

Abbildung: Stiftung Neue Verantwortung

Screenshot (Detail): Staatliche Cyber-Sicherheitsarchitektur am Beispiel des Bundes

Strukturierte politische Herangehensweise zur effektiven und effizienten Aufstellung im Cyberspace

Für eine effektive und effiziente deutsche Aufstellung im sogenannten Cyberspace bleibt demnach – gerade auch vor dem Hintergrund begrenzter Ressourcen – eine strukturierte politische Herangehensweise unverzichtbar. Aus diesem Grund solle im Rahmen der Arbeit zur Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung hierzu ein Beitrag geleistet werden.
In der nun vorliegenden Publikation wird eine graphische Abbildung der staatlichen Cyber-Sicherheitsarchitektur inklusive ihrer internationalen Schnittstellen dargestellt – mit einem Abkürzungs- und Akteursverzeichnis sowie einer Erklärung der Verbindungen einzelner Akteure.

Fokus auf staatlichem Teil der Cyber-Sicherheitsarchitektur

Die Cyber-Sicherheitsarchitektur eines Landes beinhalte alle Akteure – Behörden, Plattformen, Organisationen usw. – die gemäß der nationalen Definition von Cyber-Sicherheit ein Teil des diesbezüglichen „Ökosystems“ sind. In der vorliegenden Veröffentlichung wird deshalb nur der staatlichen Teil der Cyber-Sicherheitsarchitektur aufgeführt – „das bedeutet alle staatlichen und die damit direkt verbundenen Akteure“.
Die identifizierten Verknüpfungen in der Visualisierung repräsentierten dabei unterschiedliche Beziehungsaspekte und rangierten von der Entsendung von Mitarbeitern in die verknüpfte Organisation über eine Mitgliedschaft im Beirat sowie finanziellen Zuwendungen bis hin zur Fach- und Rechtsaufsicht.

Wissenswerte Informationen rund um Cyber- und IT-Sicherheit in Deutschland

„In der aktuellen Version wurde die Ebene der Vereinten Nationen ergänzt.“ Darüber hinaus seien notwendige Anpassungen auf den anderen Ebenen durchgeführt worden. Weitere internationale Akteure, rein legislative und judikative Akteure auf allen Ebenen sowie Akteure aus Privatwirtschaft, Wissenschaft und Zivilgesellschaft seien bisher nicht berücksichtigt worden. Am Ende dieser Veröffentlichung finde sich zusätzlich eine Seite mit wissenswerten Informationen rund um Cyber- und IT-Sicherheit in Deutschland.
Basis dieser Veröffentlichung bildeten fast ausschließlich öffentlich verfügbare Informationen. „Wir freuen uns daher über jeden Hinweis. Änderungs- und Ergänzungsvorschläge nimmt Christina Rupp gerne entgegen. Korrekturen an der aktuellen Version werden auf der dieser Webseite in einer Art ,Bug Tracker‘ zeitnah veröffentlicht.“

Weitere Informationen zum Thema:

Stiftung Neue Verantwortung, 12.10.2021
Deutschlands staatliche Cybersicherheitsarchitektur / Impulse

Stiftung Neue Verantwortung, Dr. Sven Herpig & Christina Rupp, Oktober 2021
Deutschlands staatliche Cybersicherheitsarchitektur / 7. Auflage

[datensicherheit.de, 14.10.2021] Absolute Software, nach eigenen Angaben Anbieter von „Endpoint Resilience“-Lösungen, hat die wichtigsten Ergebnisse des eigenen dritten jährlich erscheinenden „Endpoint Risk Report“ bekanntgegeben. Die aktuelle Ausgabe beleuchtet demnach die wichtigsten Trends, welche sich auf die Sicherheit von Unternehmensdaten und -geräten auswirken.

2021 Endpoint Risk Report: Vollständige Bericht steht zum Download zur Verfügung

„Sie unterstreicht die Gefahren, die von unzureichenden Sicherheitskontrollen ausgehen, wenn sie die ohnehin schon große Angriffsfläche moderner Unternehmen erweitern.“ Der „2021 Endpoint Risk Report“ von Absolute sei auf der Grundlage anonymisierter Daten von fast fünf Millionen „Absolute-fähigen Geräten“ erstellt worden, welche in 13.000 Kundenunternehmen in Nordamerika und Europa aktiv seien. Der vollständige Bericht stehe zum Download zur Verfügung.
Forscher schätzten, dass die Zahl der Ransomware-Angriffe im Jahr 2021 um mehr als 150 Prozent zunehmen werde, angeheizt durch die „Pandemie“ und die massive „Disruption“ des IT- und Sicherheitsbetriebs. Laut „The Coveware Quarterly Ransomware Report“ hätten die häufigsten Software-Schwachstellen, welche von Ransomware-Angreifern im ersten Quartal 2021 ausgenutzt worden seien, „Virtual Private Networks“ (VPNs) betroffen. Weiter werde berichtet, dass die wirtschaftliche Lieferkette der Cyber-Erpressung gezeigt habe, wie eine Schwachstelle in weitverbreiteten VPN-Anwendungen von Ransomware-Hackern erkannt, ausgenutzt und zu Geld gemacht werden könne.

Absolute warnt: Komplexität in heutigen Endpunktumgebungen nur noch verschlimmert

Die Ergebnisse des „Endpoint Risk Report 2021“ von Absolute machten nun deutlich, dass die Notwendigkeit, Remote-Arbeitskräfte zu unterstützen und zu sichern, die bestehende Komplexität in den heutigen Endpunktumgebungen nur noch verschlimmert habe. „Mit zunehmender Komplexität steigt auch das Risiko von Reibungsverlusten, Fehlern und Compliance-Verstößen.“
Bei einem von vier untersuchten Geräten seien kritische Sicherheitskontrollen – wie Verschlüsselung, Virenschutz oder VPN – als „unzureichend“ oder „nicht effektiv funktionierend“ eingestuft worden. Wenn keine Maßnahmen ergriffen werden, könne fast jede auf einem Endgerät installierte Anwendung zu einem Angriffsvektor werden.

Für Unternehmen ist es laut Absolute an der Zeit umzudenken…

„Die Trends des diesjährigen Berichts sind nicht behobene Schwachstellen, ungeschützte Daten und unzureichende Sicherheitskontrollen. Dies sind eindeutige Indikatoren dafür, dass es für Unternehmen an der Zeit ist, umzudenken. Sie müssen konsequent dafür sorgen, dass die Endpunkt-Sicherheitstools, in die sie investiert haben, ihre wertvollen und gefährdeten Unternehmensgeräte und -daten effektiv schützen“, betont Christy Wyatt, „President“ und „CEO“ von Absolute.
Die Ergebnisse unterstrichen den entscheidenden Bedarf an resilienten Endgeräten und Anwendungen in der sich entwickelnden Ära des ortsunabhängigen Arbeitens. Die Fähigkeit, Risiken zu erkennen und zu mindern, hänge von der Fähigkeit ab, den Zustand jedes Geräts und jeder Anwendung zu überwachen, und zu erkennen, „wo etwas anfällig ist oder ausfällt, und es bei Bedarf selbstständig zu reparieren“.

Bemerkenswerte Erkenntnisse aus dem Absolute Endpoint Risk Report 2021:

Komplexität und Redundanz von Endgeräten für Unternehmen weiterhin ein Problem
„Die durchschnittliche Anzahl der Sicherheitskontrollen ist auf mehr als elf pro Unternehmensgerät gestiegen, wobei die Mehrheit der Geräte mehrere Kontrollen mit derselben Funktion enthält.“ Auf zwei von drei (60%) der analysierten Unternehmensgeräte seien zwei oder mehr Verschlüsselungsanwendungen installiert, während mehr als die Hälfte (52%) drei oder mehr Endpunktverwaltungsanwendungen installiert habe.

Sensible Daten weiterhin ungeschützt und gefährdet
Fast drei von vier (73%) der untersuchten Unternehmensgeräte enthielten sensible Daten wie geschützte Gesundheitsinformationen (Protected Health Information / PHI) oder persönlich identifizierbare Informationen (PII). Erschwerend komme hinzu, dass fast ein Viertel (23%) der Geräte mit einem hohen Anteil an sensiblen Daten auch unzureichende Verschlüsselungskontrollen aufweise.

Verzögerungen bei Patches lassen kritische Schwachstellen unbehandelt
Das durchschnittliche „Windows 10“-Unternehmensgerät sei bei der Anwendung der neuesten verfügbaren Betriebssystem-Patches 80 Tage im Rückstand, so die Studie. Mehr als 40 Prozent der „Windows 10“-Unternehmensgeräte liefen mit der Version „1909“, die über 1.000 bekannte Schwachstellen aufweise.

Weitere Informationen zum Thema:

ABSOLUTE
2021 Endpoint Risk Report / Critical gaps to assess and monitor for maximum impact