PSW GROUP rät zu mehr Awareness und Mitarbeitersensibilisierung

[datensicherheit.de, 20.04.2021] Cyber-Vorfälle gehörten zu den wichtigsten Geschäftsrisiken für Unternehmen weltweit und riefen die höchsten Verluste hervor – darauf machen IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf das „Allianz Risiko Barometer 2021“. Laut dieser Studie seien im Jahr 2020 Cyber-Risiken neben Betriebsunterbrechungen und dem „Pandemie“-Ausbruch als eine der wichtigsten Geschäftsrisiken betrachtet worden. Betriebsunterbrechungen seien 2020 an der Tagesordnung gewesen: „Zum einen aufgrund der ,Pandemie‘, die viele Unternehmen in die Zwangspause schickte. Zum anderen aber auch aufgrund von Cyber-Sicherheitsvorfällen“, erläutert Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: 60 Prozent aller Schäden durch digitale Probleme in Unternehmen

PSW Group identifizierte wesentliche Cyber-Risiken: Faktor Mensch und Unternehmensnetzwerk

Letztere seien dann auch am teuersten: „Aus ihnen entstehen 60 Prozent all jener Schäden, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Schäden sind auf menschliches Versagen sowie interne Systemausfälle zurückzuführen.“ Kriminelle Angriffe jedoch wie Ransomware oder Phishing riefen die höchsten Verluste hervor.
„Wir können heutzutage zwei wesentliche Cyber-Risiken identifizieren. Das sind der Faktor Mensch und das Unternehmensnetzwerk“, sagt Schrenk. Denn obwohl der sogenannte Faktor Mensch als Sicherheitsrisiko mehr ins Bewusstsein gerückt sei, werde noch zu wenig zur Senkung dieses Risikos unternommen, kritisiert die IT-Sicherheitsexpertin:
„Tatsächlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist deshalb von essenzieller Bedeutung, Mitarbeiter durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten.“

Faktor Mensch – Mitarbeiter sollten laut PSW Group Teil der Sicherheitsstrategie sein

Insbesondere Angriffe per „Social Engineering“ sowie Phishing funktionierten hervorragend auf jene Beschäftigte, die nicht gut auf diese Art eines Angriffs vorbereitet seien. Schrenk verdeutlicht dies anhand eines Beispiels: „Der Cyber-Kriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu benötigen. Das arglose Opfer glaubt an die Geschichte und möchte mithelfen, die Sicherheit zu erhöhen. In der Annahme das Richtige zu tun, macht das Opfer genau das Falsche, indem es das Passwort preisgibt.“
Eine andere Form eines „Social Engineering“-Angriffs sei Phishing: Auch hierbei werde dem Opfer etwas vorgetäuscht um Daten abzufischen, tarnten sich die Angreifer als vertrauenswürdige Quelle – beispielsweise als Hausbank eines Unternehmens, um das Opfer dazu zu bringen, sensible Informationen herauszugeben oder Malware zu installieren.
Nach wie vor sei die E-Mail beim Phishing der beliebteste Vektor. Doch auch gefälschte Websites seien denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per „Social Media“. Schrenk betont: „Es ist deshalb von höchster Wichtigkeit für eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeiter Teil dieser Sicherheitsstrategie sein müssen. Beschäftigte, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die Hände der Cyber-Kriminellen geben.“ Mitarbeiter, welche sich der Gefahren bewusst seien, agierten deutlich umsichtiger.

IT-Risiko Unternehmensnetzwerk: PSW Group warnt vor blinden Flecken in der Infrastruktur

Neben dem Faktor Mensch sei das Unternehmensnetzwerk der zweite relevante Aspekt in Bezug auf Cyber-Risiken. Zum Unternehmensnetzwerk gehörten auch alle damit gekoppelten Geräte. Hierbei gehe es nicht nur darum, Schatten-IT zu vermeiden, sondern auch darum, alle im Netzwerk befindlichen Geräte sowie deren Software aktuell zu halten, korrekt zu konfigurieren und zu überwachen. Neben der zeitnahen Einspielung von Patches gehörten dazu die Einrichtung einer Firewall gegen unerwünschte Netzwerkzugriffe sowie ein Netzwerk-Monitoring, welches darin unterstütze, in immer komplexer werdenden Netzwerkinfrastrukturen den Überblick zu behalten.
„Der Einblick ins gesamte Netzwerk einschließlich aller Schnittstellen sorgt dafür, dass keine blinden Flecken in der Infrastruktur auftauchen, die potenzielle Cyber-Risiken verursachen können“, so Schrenk und führt aus: „Cyber-Kriminelle setzen immer häufiger auf Multivektor-Angriffe. Sie suchen sich also nicht mehr einen Vektor, den sie konkret angreifen, sondern führen verschiedene Angriffsvektoren entweder abwechselnd oder auch gleichzeitig aus. Das bedeutet für Unternehmen, dass sich auch der Schutz auf alle möglichen Vektoren erstrecken muss.“
Eine wesentliche Rolle spiele auch die Cloud-Sicherheit: Die Auslagerung von Daten in die Cloud sei sinnvoll – auch, damit Informationen, die abteilungsübergreifend benötigt werden, immer und überall verfügbar seien. Schrenk mahnt jedoch zur Vorsicht: „Zum einen ist die Nutzung von US-Cloud-Anbietern nicht oder nur mit zusätzlicher Konfiguration DSGVO-konform. Zum anderen sollten auch die Zugriffe auf Cloud-Daten beschränkt werden. Denn der Vertrieb muss beispielsweise nicht auf Gehaltsabrechnungen eigener Kollegen zugreifen können. Wie immer gilt also, sinnvolle Zugriffsberechtigungen zu erteilen.“

IT-Sicherheit wird nach Einschätzung der PSW Group mehr individuell

Künstliche Intelligenz (KI) und damit zusammenhängend auch „Machine Learning“ (ML) seien ein Trend – sowohl in der Cybersecurity als auch bei Cyber-Kriminellen. Aufseiten der IT-Sicherheit trügen KI und ML dazu bei, etwaige Anomalien zügiger zu entdecken. Künstliche Intelligenz werde jedoch auch längst von Cyber-Kriminellen verwendet:
„Mit KI lassen sich beispielsweise Angriffsintensität und Erfolgsquote beim Spear-Phishing und sogenannter APT-Angriffe erhöhen, denn sie kann Aufgaben übernehmen, für die bis dahin menschliche Intelligenz nötig war.“ Ebenfalls könne KI auch eingesetzt werden, um Soziale Netzwerke, Business-Plattformen, Onlineshops und Foren zu durchforsten und künstliche Beziehungsnetzwerke aufzubauen, warnt Schrenk vor möglichen Einsatzszenarien.
Hinzu kommt laut Schrenk: Unser Arbeitsleben wandele sich. Mit „Corona“, dem Home-Office als neuem Arbeitsplatz, einer zunehmenden Angriffsfläche aufgrund neuartiger Technologien und voranschreitender Digitalisierung werde es nicht leichter, IT-Sicherheit umzusetzen. „Ganz im Gegenteil“, so Schrenk. IT-Sicherheit werde individueller. Letztlich müsse jedoch die Sicherheitsstrategie zur jeweiligen Organisation passen. „Nur wer die für sein Unternehmen relevanten Cyber-Risiken kennt, kann die entsprechenden Vorkehrungen treffen.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.03.2021
Vorsicht vor Ransomware-Mythen: Schutz muss realistisch angegangen werden

PSW GROUP, Bianca Wellbrock, 09.03.2021
IT-Security / Cyber-Risiken: Wie groß ist die Gefahr von Cyberangriffen?

Allianz, 19.01.2021
Allianz Risiko Barometer 2021: Covid-19-Trio an der Spitze der Unternehmensrisiken

GPA-Forderung nach Austausch sensibler Informationen unter Wahrung des Datenschutzes

[datensicherheit.de, 19.04.2021] Die Global Privacy Assembly (GPA), d.h. die internationale Vereinigung der Datenschutzbehörden, hat laut einer aktuellen Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine gemeinsame Erklärung (Joint Statement) zu der Verwendung von Gesundheitsdaten für inländische oder grenzüberschreitende Reisen angenommen. Hintergrund dieser Erklärung sei, dass in vielen Ländern und Regionen der Welt zur Zeit entsprechende Programme vorbereitet würden, z.B. das digitale geplante Impfzertifikat in der EU.

Abbildung: BfDI

GPA Joint Statement: Nicht offizielle Übersetzung des BfDI

GPA: Grundsätze des Datenschutzes bei Planung, Ausgestaltung und Umsetzung von Anfang an berücksichtigen!

Diese gemeinsame Erklärung der GPA rufe alle beteiligten Stellen auf, die Grundsätze des Datenschutzes bei Planung, Ausgestaltung und Umsetzung solcher Programme von Anfang an mitzuberücksichtigen – nur so könne eine grundrechtskonforme Funktionsweise erreicht werden. Der BfDI, Prof. Ulrich Kelber, habe in seiner Eigenschaft als Mitglied des „Executive Committee“ der GPA an Entstehung und Beschlussfassung dieser gemeinsamen Erklärung mitgewirkt.

Laut GPA winw noch nie dagewesene Situation

In der „Joint Statement“ wird betont: „Die potenzielle gemeinsame Nutzung dieser Gesundheitsdaten-Elemente in großem Umfang über Grenzen und über viele Organisationen hinaus ist eine noch nie dagewesene Situation.“ Die digitale Technologie ermögliche eine sehr schnelle, vollumfängliche Übermittlung. Zwar könnten solche Schritte möglicherweise aus Gründen der öffentlichen Gesundheit gerechtfertigt werden, doch könne und sollte der Austausch dieser sensiblen Informationen unter Wahrung des Datenschutzes erfolgen.

Laut GPA kann Innovation mit Datenschutz einhergehen

Die Technologie werde sowohl Risiken als auch Möglichkeiten bieten, Schutz für den Einzelnen zu schaffen: „Innovation kann mit Datenschutz einhergehen.“ Seit Beginn der „Pandemie“ hätten Mitglieder der GPA Regierungen, Privatunternehmen, Wohltätigkeitsorganisationen und Nichtregierungsorganisationen bei der Konzeption und Entwicklung von Systemen beraten, welche die Verarbeitung personenbezogener Gesundheitsdaten in einer Weise ermöglichten, „die den besten Schutz für die Privatsphäre bietet“.

GPA möchte positives, koordinierten Ergebnis für den Datenschutz auf internationaler Ebene

Diese Erklärung ziele darauf ab, die auf nationaler oder regionaler Ebene unternommenen Anstrengungen zu ergänzen und zu einem positiven, koordinierten Ergebnis für den Datenschutz auf internationaler Ebene beizutragen, das gemeinsame globale Grundsätze des Datenschutzes und des Schutzes der Privatsphäre, „einschließlich des Privacy by Design and Default (,eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen‘) widerspiegelt“.

Weitere Informationen zum Thema:

datensicherheit.de, 18.02.2021
BfDI-Kritik: 1.000 Tage DSGVO ohne Anpassung von TKG und TMG

BfDI, 31.03.2021
Gemeinsame Erklärung des Exekutivausschusses des Global Privacy Assembly zur Verwendung von Gesundheitsdaten für nationale und internationale Reisen

Global Privacy Assembly
Global Privacy Assembly Executive Committee joint statement ond the use of health data for domestic and international travel purposes

Forscher veröffentlichte PoC für One-Day-Schwachstelle in der von Google Chrome und Microsoft Edge (Chromium) verwendeten V8 JavaScript-Engine

[datensicherheit.de, 19.04.2021] Zum zweiten Mal innerhalb einer Woche sei ein Proof-of-Concept-Exploit (PoC Exploit) für eine Zero-Day-Schwachstelle in „Google Chrome“ veröffentlicht worden, meldet Tenable: „Anfang vergangener Woche veröffentlichte ein Forscher einen PoC für eine One-Day-Schwachstelle in der von ,Google Chrome‘ und ,Microsoft Edge (Chromium)‘ verwendeten ,V8 JavaScript‘-Engine.“ Hierzu habe sich Tenable bereits geäußert.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang: Beide öffentlich bekannt gemachten Schwachstellen für sich genommen nur von begrenztem Wert

Separate Sicherheitslücke erforderlich, um aus Chrome-Sandbox auszubrechen

„Was diese beiden öffentlich bekannt gemachten Schwachstellen ähnlich macht, ist, dass sie für sich genommen nur von begrenztem Wert sind. In diesem Fall ist eine separate Sicherheitslücke erforderlich, um aus der ,Chrome‘-Sandbox auszubrechen“, erläutert Satnam Narang, „Staff Research Engineer“ in seinem aktuellen Kommentar zum Bekanntwerden einer weiteren Schwachstelle in diesem Kontext.
Auch diese neueste Schwachstelle werde durch die Tatsache abgeschwächt, „dass sie nicht mit einer Schwachstelle gepaart ist, um der Sandbox zu entkommen“. Daher könne ein Angreifer das zugrundeliegende Betriebssystem nicht kompromittieren oder auf vertrauliche Informationen zugreifen, ohne diese Schwachstelle mit einer zweiten Schwachstelle zu kombinieren, um die Sandbox zu umgehen.

Browser wie Chrome und Edge so schnell wie möglich mit Patches versehen!

Sogenannte Zero-Days mögen die meiste Aufmerksamkeit auf sich ziehen – bekannte, aber ungepatchte Schwachstellen ermöglichten jedoch die meisten Sicherheitsverletzungen und würden von fortgeschrittenen Angreifern bevorzugt. Am 15. April 2021 habe die NSA (National Security Agency) gemeinsam mit dem FBI und der CISA (Cybersecurity and Infrastructure Security Agency) ein „Cybersecurity Advisory“ veröffentlicht, in dem eine Reihe von bekannten Schwachstellen aufgezeigt würden, „auf die angeblich russische Auslandsgeheimdienste zurückgreifen“.
Narang führt aus: „Trotz der begrenzten Auswirkungen der öffentlichen Bekanntgabe einer weiteren ,Google Chrome‘-Schwachstelle empfehlen wir Anwendern und Unternehmen weiterhin, ihre Browser wie ,Chrome‘ und ,Edge‘ so schnell wie möglich mit Patches zu versehen.“

Weitere Informationen zum Thema:

Tenable®
Blog

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe / Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren

[datensicherheit.de, 16.04.2021] Uniscon hat den dritten Jahrestag des sogenannten CLOUD Act der USA zum Anlass genommen, die rechtlichen Fallstricke für europäische Unternehmen genauer zu beleuchten. Am 23. März 2018 sei mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben worden. Dessen Ziel sei es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um Organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der CLOUD Act erlaube es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten, und solle es zudem erleichtern, diese Anfragen durchzusetzen.

Datenschützer äußern immer wieder Kritik am CLOUD Act

Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalteten, äußerten Datenschützer immer wieder Kritik am CLOUD Act. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne Anlass ins Fadenkreuz staatlicher Akteure geraten könnten, hinterlasse bis heute einen faden Beigeschmack an diesem Gesetzeswerk.
In Zeiten fortschreitender Digitalisierung könne sich kaum ein Unternehmen dem Gang in die Cloud erwehren. Da sich jedoch die meisten – und größten – Cloud-Provider in den USA befänden, sorgten sich viele in der EU ansässige Firmen um die Daten ihrer Kunden. Denn diese fielen auch dann in den Geltungsbereich des CLOUD Act, wenn sie in der EU lägen oder verarbeitet würden, solange der betreffende Server einem US-amerikanischen Anbieter oder einer Tochtergesellschaft gehöre.

Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?

Dieser Umstand sorge bei vielen Unternehmen für Fragen: „Mache ich mich strafbar, wenn ich die personenbezogenen Daten meiner Kunden und Geschäftspartner bei einem US-Dienst speichere oder verarbeiten lasse? Ist die DSGVO überhaupt mit dem CLOUD Act vereinbar?“ Diese Sorgen kämen nicht von ungefähr – denn mit dem Ende des „EU-US Privacy Shield“ fehle nun jede Rechtssicherheit beim Datenaustausch zwischen EU und den USA. Die Frage nach möglichen Compliance-Problemen sei somit berechtigt und sollte von jedem Datenschutzbeauftragten gestellt werden. Die Antwort indes sei nicht ganz so einfach und bedürfe einer Betrachtung, wie die US-amerikanischen Provider mit dieser Problematik umgehen.
„Wer nun befürchtet, dass jeder Datensatz auf Servern von Microsoft, Amazon, Apple oder Google automatisch in die Hände der amerikanischen Behörden gelangt, liegt daneben.“ Die Tech-Giganten nämlich wehrten sich mit allen ihnen zur Verfügung stehenden Mitteln, um die pauschale Herausgabe von Kundendaten an Strafverfolger zu verhindern. Eine Datenfreigabe erfolge nur, wenn die anfragende Behörde die geltenden rechtlichen Verfahren befolge und die Rechtmäßigkeit der Anfrage nachweisen könne. Erst dann könne der Cloud-Provider zu einer Datenherausgabe gezwungen werden.

Antwort auf CLOUD Act: Konkurrenzfähige und innovative IT-Industrie in Europa!

Erfreulicherweise sei die grundsätzliche Ablehnung von behördlichen Anfragen in jüngster Vergangenheit recht erfolgreich und lasse europäische Firmen und Privatnutzer optimistisch in die Zukunft blicken: „So konnten beispielsweise 42 von 91 Anfragen im ersten Halbjahr 2020 abgewiesen werden, nachdem Microsoft diese vor einem US-Gericht angefochten hatte.“
Doch wenn wir den Datenschutz unserer europäischen Mitbürger wirklich ernstnehmen, gelte es, die eigenen Strukturen und Märkte zu stärken. Dazu brauche es eine konkurrenzfähige und innovative IT-Industrie in Europa. Diese müsse sowohl innovative Start-Ups als auch etablierte Player umfassen, welche der US-Konkurrenz auf Augenhöhe begegnen könnten.

Confidential Computing – ein mächtiges Instrumente im Kampf gegen Industriespionage, Cyber-Kriminalität und Zugriff via CLOUD Act

Vielversprechende Projekte wie „GAIA-X“, welche als Gegengewicht zur US-Konkurrenz dienen solle, machten Hoffnung. Hinzu kämen Anbieter wie etwa die TÜV SÜD-Tochter Uniscon, die nach eigenen Angaben „effektiven Datenschutz in der Cloud mit Hilfe von ,Confidential Computing‘ bzw. ,Sealed Computing‘ umsetzt“. „Confidential Computing“ beschreibt demnach den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern auch während der Verarbeitung vor Angriffen zu schützen. Dazu erfolge diese innerhalb eines sicheren Bereichs, der sogenannten „Trusted Execution Environment“ (TEE).
Dies lasse sich sowohl auf Prozessorebene realisieren – wie es Google, Microsoft, Intel, IBM & Co. umsetzten – oder, wie im Falle des „Sealed Computing“, auf Server-Ebene. „Dort findet die Datenverarbeitung auf geschützten Server-Enklaven statt, die über reduzierte Schnittstellen verfügen und Eindringlinge konsequent aussperren. Ein widerrechtliches Abgreifen oder Manipulieren der Daten lässt sich so verhindern.“ Damit sei „Confidential Computing“ eines der mächtigsten Instrumente im Kampf gegen Industriespionage und Cyber-Kriminalität – und schütze auch vor dem Zugriff durch ausländische Behörden.

Am Ende entscheidet der Nutzer: CLOUD Act oder lieber DSGVO?

An Ideen und Konzepten mangele es in Europa wahrlich nicht. „Am Ende jedoch entscheidet der Nutzer über den Erfolg oder Misserfolg solcher Initiativen.“ Daher sei es von existenzieller Wichtigkeit, europäische Unternehmen und Mitbürger von den Vorteilen und der konkurrenzfähigen Qualität hiesiger IT-Produkte zu überzeugen.
Dafür gelte es noch viel Überzeugungsarbeit zu verrichten. „Sachverstand und Erfindergeist haben uns in Europa noch nie gefehlt; nun gilt es, die Fortschritte und Meilensteine der eigenen IT-Industrie gut und verständlich zu produktisieren und kommunizieren.“

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

Bundesministerioum für Wirtschaft und Energie
GAIA-X Eine vernetzte Datenstruktur für ein europäisches digitales Ökosystem

privacyblog, Eine Initiative von UNiSCON – A member of TÜV SÜD, 21.02.2020
Confidential Computing: Was hat das mit der Sealed Cloud zu tun?

Microsoft, 11.02.2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

LHR RECHTSANWÄLTE, Kevin Heitmeier, 21.07.2020
Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig

Ergebnis einer repräsentativen BSI-Umfrage unter 1.000 Unternehmen und Betrieben am 15. April 2021 vorgestellt

[datensicherheit.de, 15.04.2021] Nach aktuellen Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat die Home-Office-Situation in „Pandemiezeiten“ die Angriffsfläche für Cyber-Kriminelle vergrößert und nimmt demnach Einfluss auf die Informationssicherheit von Wirtschaftsunternehmen in Deutschland. Dies sei das Ergebnis einer repräsentativen Umfrage unter 1.000 Unternehmen und Betrieben, welche das BSI am 15. April 2021 vorgestellt habe.

Abbildung: BSI

BSI-Umfrage zur IT-Sicherheit im HOME-OFFICE…

Zentrale Erkenntnisse der BSI-Umfrage im Überblick:

• Durch „Corona“ habe sich das Angebot von Home-Office-Arbeitsplätzen mehr als verdoppelt. 58 Prozent der befragten Unternehmen wollten das Angebot auch nach der „Pandemie“ aufrechterhalten bzw. ausweiten.
• Die Unternehmen, welche Home-Office etablieren wollen, zögen Digitalisierungsprojekte vor.
• Zwei Drittel der Großunternehmen nähmen die „Pandemie“ als „Digitalisierungsturbo“ wahr.
• Angriffsfläche private IT: Nur 42 Prozent der Unternehmen nutzten ausschließlich eigene IT.
• Über 50 Prozent der Unternehmen investierten weniger als zehn Prozent der IT-Ausgaben in Cyber-Sicherheit. Das BSI empfiehlt, „bis 20 Prozent des IT-Budgets in Sicherheit zu investieren“.
• Je kleiner die Firma desto schwerwiegender die Folgen. Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitern habe eine von vier Cyber-Attacken existenzbedrohende Folgen.
• Obwohl kostengünstig, würden einfache Sicherheitsmaßnahmen wie „Mobil Device Management“, Notfallübungen oder der Grundsatz „IT-Sicherheit ist Chefsache“ nicht genügend umgesetzt.

BSI-Präsident fordert, Digitalisierung und IT-Sicherheit als Einheit zu sehen

Arne Schönbohm, Präsident des BSI, kommentiert: „Home-Office ist gekommen, um zu bleiben. IT-Sicherheit ist jedoch noch zu wenig in Budgets, Abläufen und Köpfen der Unternehmen angekommen.“ Der „Digitalisierungsturbo Corona“ treibe IT-Projekte in den Unternehmen voran, was vorliegende Umfrage bestätigt habe.
„Als die Cyber-Sicherheitsbehörde des Bundes drängen wir darauf, dass Digitalisierung und IT-Sicherheit als eine Einheit gedacht und umgesetzt werden“, betont Schönbohm. Wer jetzt die Weichen für eine solide Informationssicherheit seiner Infrastruktur stellt, der sichere seine Zukunft – „in schweren ,Pandemiezeiten‘ und darüber hinaus“.

Bitkom-Präsident kommentiert aktuelle BSI-Umfrage

Während der „Pandemie“ seien allein in Deutschland zwölf Millionen Berufstätige ins Home-Office gewechselt. „Das ist keine Momentaufnahme, sondern bestimmt dauerhaft die neue Normalität“, meint Achim Berg, Präsident des Bitkom e.V., und warnt: „Beim für viele spontanen Wechsel ins Home-Office spielte IT-Sicherheit zu oft keine Rolle.“
Für mobiles Arbeiten bedürfe es einer richtigen Balance zwischen dem benutzerfreundlichen Zugriff auf Unternehmensdaten und dem Schutz der IT. Gefordert seien ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte. „Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess“, hebt Berg hervor.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit im Home-Office im Jahr 2020 / Unter besonderer Berücksichtigung der COVID-19-Pandemie

datensicherheit.de, 15.03.2021
Home-Office: IT-Security grundlegend zu überdenken / Für IT-Security-Verantwortliche fühlt sich abrupter Wechsel in vollständigen Remote-Betrieb wie Umzug in den Wilden Westen an

datensicherheit.de, 13.10.2020
Home-Office: Arbeitnehmer weltweit in neue Routinen gedrängt / Paolo Passeri erklärt, wie sich die Cyber-Sicherheit durch Corona und Home-Office verändert hat

datensicherheit.de, 01.10.2020
Corona und Home-Office: Zunahme an Cyber-Attacken um 154 Prozent / Großflächige Umstellung aufs Home-Office begünstigt Cyber-Angriffe

datensicherheit.de, 29.09.2020
KMU: Home-Office als Einfallstor für Cyber-Kriminelle / Malwarebytes-Bericht offenbart massive Sicherheitslücken durch Mitarbeiter im Home-Office

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet

datensicherheit.de, 21.08.2020
Mitarbeiter im Home-Office: Malwarebytes warnt vor massiven Sicherheitslücken / Malwarebytes veröffentlicht aktuellen Cyber-Sicherheitsberichts zu den Auswirkungen von „Covid-19“ auf die Unternehmenssicherheit

Umsetzung des IT-Sicherheitsgesetzes 2.0 in der Praxis als Schwerpunkt am 24. September 2021

[datensicherheit.de, 15.04.2021] Der Bundesverband IT-Sicherheit (TeleTrusT) lädt ein: Am 24. September 2021 soll in Berlin der jährliche „IT-Sicherheitsrechtstag“ stattfinden, um die aktuelle Rechtslage bzw. Rechtsetzungsinitiativen vorzustellen und zu erörtern. Im Fokus 2021 stehe die praktische Umsetzung des IT-Sicherheitsgesetzes 2.0.

Abbildung: TeleTrusT

Einladung zum 6. IT-Sicherheitsrechtstag am 24.09.2021 (kostenpflichtig)

ITSIG 2.0 wirft bereits jetzt Reihe von Fragen politischer, rechtlicher und technischer Art auf

Das IT-Sicherheitsgesetz 2.0 (ITSiG) werfe bereits jetzt eine Reihe von Fragen politischer, rechtlicher und technischer Art auf, welche nach Kommentierung riefen. Der Rechtsmaterie entsprechend müsse die Analyse interdisziplinär, das heißt aus rechtlichem, politischem und technischem Blickwinkel erfolgen. Dieser Interdisziplinarität sei der Bundesverband IT-Sicherheit verpflichtet.
„Nicht nur Betreiber Kritischer Infrastrukturen, sondern auch Zulieferer werden vom IT-Sicherheitsgesetz 2.0 vor neue Anforderungen gestellt. Die Änderungen sind wesentlich – und ihre Umsetzung sollte rechtzeitig angegangen werden“, betont Rechtsanwalt Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG „Recht“.

6. IT-Sicherheitsrechtstag befasst sich mit Regulierung aus rechtlicher, aufsichtsrechtlicher und praktischer Sicht

Beim „6. IT-Sicherheitsrechtstag“ werde man sich deshalb mit der Regulierung aus rechtlicher, aufsichtsrechtlicher und praktischer Sicht befassen. Bartels: „Wir diskutieren hier sehr offen die Fragen und Erfahrungen aus der Umsetzungs-, Beratungs- und auch Prüfungspraxis.“
Die Veranstaltung sei praxisnah angelegt, um jedem Interessenten die Möglichkeit zu geben, sich über die aktuelle Gesetzeslage zu informieren, die Möglichkeiten der rechtskonformen Umsetzung kennenzulernen und dabei wertvolle Kontakte zu knüpfen. „Daher richtet sich die Veranstaltung an Interessierte aus Unternehmen und öffentlichen Einrichtungen und Behörden jeder Größe.“

Vorträge auf dem IT-Sicherheitsrechtstag 2021 (ohne Gewähr):

Die Moderation übernimmt Dr. Jana Moser, Akarion.

• „Allgemeine Einführung: IT-Sicherheitsgesetz 2.0“ – RAin Mareike Gehrmann, Taylor Wessing
• „Das IT-Sicherheitsgesetz aus aufsichtsbehördlicher Sicht / Prüfschwerpunkte für KRITIS“ – Isabel Münch, BSI
• „Rechtliche Herausforderungen des ITSiG 2.0 für Technologielieferanten“ – RA Karsten U. Bartels, LL.M., HK2 RAe
• „Praktische Herausforderungen des ITSiG 2.0 für Technologielieferanten“ – Armin Lehmann / Björn Huber-Puls, secunet
• „Das ITSiG 2.0 in der Anwendungspraxis am Beispiel eines Unternehmens der Automatisierungstechnik“ – Wolfgang Straßer, @-yet
• „Erfüllung von KRITIS-Anforderungen in der Praxis – Herausforderungen und ‚Lessons Learned‘ am Beispiel Lieferantenmanagement für die Verkehrssteuerungs-Infrastruktur“ – Volker Witt / Dr. Philipp Gerlach, Hamburg Verkehrsanlagen:

Weitere Informationen zum Thema:

datensicherheit.de, 26.02.2021
IT-Sicherheitsgesetz 2.0: Politik muss laut eco Reißleine ziehen

TeleTrusT
IT-Sicherheitsrechtstag 2021 / „IT-Sicherheitsgesetz 2.0“

Auch in Deutschland nutzten viele den Dienst von WeTransfer

[datensicherheit.de, 14.04.2021] Jelle Wieringa, „Senior Security Awareness Advocate“ bei KnowBe4, warnt in seiner aktuellen Stellungnahme: „Die aktuelle WeTransfer-Phishing-Kampagne kann die Daten von Empfängern gefährden!“

Foto: KnowBe4

Jelle Wieringa: Um sich gegen Betrügereien wie aktuell mit WeTransfer zu schützen, sollten Unternehmen „menschliche Firewall“ errichten!

E-Mail behauptet, einige wichtige Dateien über WeTransfer erhalten zu haben

Avanan habe aktuell eine Phishing-Kampagne beobachtet, welche sich als WeTransfer ausgebe, um die Anmeldedaten der Benutzer zu stehlen. In der Betreffzeile der E-Mail heißt es laut Wieringa: „Sie haben einige wichtige Dateien über WeTransfer erhalten!“
Im Hauptteil der E-Mail würden die Empfänger darüber informiert, dass sie drei Dateien über den Dienst erhalten hätten, mit einem Link zum „Abrufen Ihrer Dateien“. Auch in Deutschland nutzten viele den Dienst von WeTransfer. „Grund dafür ist, dass darüber Daten ausgetauscht werden, welche für eine einfache E-Mail zu groß sind.“

Gefälschten Version der Website von WeTransfer mit einem Popup

Der Text dieser E-Mail sei „unglücklich formuliert“, was Benutzer merken sollten:

„Sehr geehrter Herr/Frau,

im Anhang finden Sie unseren Bestellkatalog und PO-209-2021 sowie die Allgemeinen Geschäftsbedingungen, bitte prüfen Sie, ob Sie uns diese zur Verfügung stellen können, und erstellen Sie ein Angebot.

Ich freue mich auf eine Zusammenarbeit mit Ihnen, danke.“

In dieser E-Mail heiße es außerdem „Wird bis zum 5. April 2021 gelöscht“, um ein Gefühl der Dringlichkeit zu vermitteln und die Benutzer zu motivieren, auf den Link zu klicken. Dieser führe zu einer überzeugend gefälschten Version der Website von WeTransfer mit einem Popup, welches dem Benutzer eine Schaltfläche zum Herunterladen seiner neuen Dateien präsentiere. Deren Namen sind demnach „List of Items.pdf“, „Drawings and Specifications.zip“ und „Company Profile.mp4“.

Wer auf Schaltfläche klickt, wird zu Anmeldeseite weitergeleitet, um WeTransfer-Anmeldedaten zu überprüfen

Wieringa warnt: „Wenn der Benutzer auf die Schaltfläche klickt, wird er zu einer Anmeldeseite weitergeleitet, um seine WeTransfer-Anmeldedaten zu überprüfen. Wenn sie versuchen, sich anzumelden, werden ihre Anmeldedaten an den Angreifer gesendet.“ Dem Opfer werde mitgeteilt, dass ein technischer Fehler aufgetreten sei und die Webseite fordere ihn auf, sein Passwort erneut einzugeben. „Ein guter Tipp ist, die Seite WeTransfer eigens im Browserfeld einzutippen und keinem Link zu folgen“, rät Wieringa.
WeTransfer selbst biete auf seiner Website Tipps an, um beispielsweise gefährliche Dateien, welche über den Dienst gesendet werden, zu erkennen. Darin heiße es: „Wenn Sie die Datei versehentlich herunterladen und es sich um ein PDF- oder Word-Dokument handelt, werden Sie möglicherweise aufgefordert, Eingabeaufforderungen zu aktivieren. Dadurch geben Sie diesen Spammern möglicherweise Zugriff auf Ihre Daten. Geben Sie also bitte keine persönlichen Daten wie E-Mail-Passwörter ein.“

URL der Phishing-Site ähnelt eindeutig nicht der legitimen URL von WeTransfer

Obwohl dieser Phishing-Angriff nicht sehr ausgeklügelt sei, würden Nutzer darauf reinfallen. Avanan merke an, dass die URL der Phishing-Site eindeutig nicht der legitimen URL von WeTransfer ähnele, so dass aufmerksame Benutzer den Betrug hätten erkennen können. „Durch Schulungen zum Sicherheitsbewusstsein können Mitarbeiter lernen, die Anzeichen von Phishing-Angriffen zu erkennen.“
Grundsätzlich gelte, wie WeTransfer auf seiner Website schreibe, Folgendes zum Bemerken eines Phishing-Angriffs:

• Erwarten Sie eine Mail, oder ist diese aus dem Nichts in Ihrem Posteingang gelandet? Wenn die Mail unerwartet ist, gehen Sie mit Vorsicht vor!
• Sie haben keine Ahnung, wer der Absender ist. Seien Sie vorsichtig!
• Sie erkennen den Absender, aber die Adresse ist anders oder Sie haben nicht erwartet, Dateien von ihm zu erhalten. Fragen Sie immer zuerst bei Ihrem bekannten Kontakt nach!
• Die übertragenen Dateien sind verdächtig klein. Oft nicht größer als ein paar Hundert KB. In dieser kleinen Datei kann eine ziemlich große und böse Überraschung versteckt sein!
• Bezieht sich der Dateiname in der E-Mail auf eine Rechnung oder eine Zahlung? Oder werden Sie aufgefordert, ein „Angebot“ herunterzuladen? Oder irgendetwas Verdächtiges, das mit Geld zu tun hat?
• Das Nachrichtenfeld enthält eine URL, die Sie weg von Ihrem Posteingang und weg von unserer Homepage zu einer völlig anderen URL-Adresse mit Ihrer E-Mail-Adresse am Ende des Links führt. Öffnen Sie diese Seite nicht!
• Bei den übertragenen Dateien handelt es sich um .jpg-, .scr-, .exe-, .doc-, .html-Dateien, die wie eine harmlose JPG-Datei aussehen sollen, in Wirklichkeit aber mehr bösartigen Inhalt enthalten.

Nicht nur bei WeTransfer: Von unbekannten Absendern stammende E-Mails der IT-Abteilung melden!

Um sich gegen solche Betrügereien zu schützen, sollten Unternehmen dringend in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssten alle Mitarbeiter durch ein fortschrittliches „New-School-Security-Awareness“-Training und regelmäßig durchgeführte Phishing-Tests geschult werden, um Phishing zu erkennen. „Ein Plug-In namens ,Phish-Alert-Button‘ kann außerdem in das Firmen-,Outlook‘ installiert werden, um den Angestellten beim Umgang mit Phishing zu helfen“, so Wieringa.
Über diesen Knopf könnten die Mitarbeiter seltsam aussehende und von unbekannten Absendern stammende E-Mails, hinter denen sie Phishing vermuten, direkt und einfach an die IT-Abteilung melden. Wieringa unterstreicht: „Es lohnt sich also, in diese Maßnahmen zu investieren, denn niemand möchte in den Schlagzeilen wegen eines IT-Zwischenfalles landen und so das Vertrauen der Kunden und Partner einbüßen.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels

AVANAN, Jeremy Fuchs, 05.04.2021
We Shouldn’t Transfer: Getting End-Users to Give Over Credentials

WeTransfer Help Center
How to recognise malicious files which are spam

Experten raten abermals dringend zum Patchen, um Sicherheitslücken zu schließen

[datensicherheit.de, 14.04.2021] Zum „Patch Tuesday“ am 13. April 2021 habe es wieder einige kritische Updates für „Microsoft Exchange“ gegeben – ebenso wie bei „Hafnium“ rieten Experten dringend zur Installation der Patches. Anders als bei jener Sicherheitslücke sei die Warnung jedoch von der US-amerikanischen NSA gekommen.

Foto: G DATA

Tim Berghoff: Geschwindigkeit beim Patchen macht den Unterschied zwischen sicherem und unsicherem Netzwerk!

Patch Tuesday am 13. April 2021 betraf Sicherheitslücken in Exchange 2013, 2016 und 2019

„Am gestrigen ,Patch-Tag‘ hat Microsoft zwei kritische Sicherheitslücken geschlossen, die lokal installierte Instanzen von ,Exchange‘ 2013, 2016 und 2019 betreffen. Diese Sicherheitslücken ermöglichen das Ausführen von beliebigem Programmcode auf einem betroffenen System.“ Im Unterschied zu den Sicherheitslücken, welche die „Hafnium“-Gruppe genutzt habe, gebe es derzeit jedoch laut Microsoft keine Anzeichen dafür, dass die Lücken aktiv ausgenutzt würden.
Damit unterschieden sich diese beiden Sicherheitslücken von dem Vorfall Anfang März 2021. Damals habe sich herausgestellt, dass diese Lücken bereits seit Längerem bei Microsoft bekannt gewesen seien – habe sich jedoch dafür entschieden, sie erst später zu schließen. „Ein Plan, der schnell revidiert wurde, nachdem sich abzeichnete, dass weltweit Zehntausende ,Exchange‘-Server angegriffen und gezielt auf die Schwachstellen gescannt wurden.“

US-amerikanische National Security Agency gab Hinweis zu Sicherheitslücken

Laut „Release Notes“ für die vorliegenden Patches sei die Warnung diesmal von der US-amerikanischen National Security Agency (NSA) gekommen. Diese Information sei über den bei Microsoft vorhandenen „Vulnerability Disclosure“-Prozess geflossen.
„Ein zweites Mal ,Hafnium‘ ist uns zwar diesmal augenscheinlich erspart geblieben. Dennoch ist klar: Geschwindigkeit macht beim Patchen den Unterschied zwischen einem sicheren und einem unsicheren Netzwerk“, betont Tim Berghoff, „Security Evangelist“ bei G DATA.

Updates schnell installieren, um Sicherheitslücken zu schließen!

Knapp einen Monat nach dem Bekanntwerden von insgesamt sieben Sicherheitslücken in „Microsoft Exchange“ und eindringlichen Mahnungen, Updates zeitnah einzuspielen, könne von Entwarnung keine Rede sein. Im Gegenteil: Erst jetzt machten sich einige erfolgreiche Angriffe bemerkbar, etwa durch die Installation von Ransomware auf gekaperten Systemen.
Berghoff: „Was die Vorkommnisse aus dem März mit dem aktuellen ,Patchday‘ gemeinsam haben, ist, dass die Installation der Updates so schnell wie möglich erfolgen muss. Grund dafür ist, dass mit dem Verfügbarwerden eines Patches auch Kriminelle und andere Angreifer verstärkt damit beginnen, nach verwundbaren Systemen zu suchen, um dort ungepatchte Systeme gezielt angehen zu können.“

Weitere Informationen zum Thema:

G DATA Blog, Tim Berghoff, 14.04.2021
Microsoft Exchange: Neue Sicherheitslücken entdeckt und geschlossen

datensicherheit.de, 15.03.2021
Microsoft Exchange Server: Gefährdete Server und Patching-Tempo ermittelt / Palo Alto Networks bietet Expanse-Plattform zur Analyse von Angriffsflächen wie aktuell Microsoft Exchange Server an

datensicherheit.de, 12.03.2021
Microsoft Exchange Server: Zeitleiste der Cyber-Vorfalls rekonstruiert / Zehntausende anfälliger Exchange-Server innerhalb von drei Tagen gepatcht

datensicherheit.de, 11.03.2021
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz / Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten

datensicherheit.de, 08.03.2021
Erfolgreicher Angriff: Mehr als zehntausend lokale Microsoft Exchange Server betroffen / Exchange Online Service nicht betroffen – Thomas Jupe kommentiert Vorfall und gibt Tipps

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage / Lokal installierte Versionen von Microsoft Exchange betroffen

Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

[datensicherheit.de, 13.04.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, hat nach eigenen Angaben ein Dringlichkeitsverfahren gegen Facebook im Zusammenhang mit den neuen „WhatsApp“-Nutzungsbedingungen eröffnet. Das gegen die Facebook Ireland Ltd. eröffnete Verfahren zielt demnach darauf ab, eine sofort vollziehbare Anordnung mit dem Inhalt auszusprechen, keine Daten von „WhatsApp“-Nutzern zu erheben und zu eigenen Zwecken zu verarbeiten. Facebook werde zunächst im Rahmen einer Anhörung Gelegenheit zur Stellungnahme gegeben.

HmbBfDI

Prof. Dr. Johannes Caspar: Förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet…

WhatsApp-Bestimmungen enthalten Recht, Nutzer-Daten mit anderen Facebook-Unternehmen zu teilen

Hintergrund sind laut HmbBfDI die aktualisierten Nutzungsbedingungen und die Datenschutzrichtlinie von „WhatsApp“, mit denen die Nutzer seit Anfang des Jahres 2021 konfrontiert würden. „Diese werden aufgefordert, den neuen Bestimmungen bis spätestens Mitte Mai zuzustimmen. Andernfalls können sie ,WhatsApp‘ nicht mehr nutzen.“
Die „WhatsApp“-Bestimmungen enthalten indes umfangreiche Passagen, mit denen sich der Dienst das Recht einräume, Daten der Nutzer mit anderen Facebook-Unternehmen zu teilen. Auch Facebooks Datenschutzrichtlinie selbst sehe eine allgemeine unternehmensübergreifende Nutzung und Auswertung von Daten verbundener Unternehmen vor.

HmbBfDI Prof. Dr. Johannes Caspar in Deutschland für Facebook zuständig

Der HmbBfDI befürchtet, „dass ,WhatsApp‘ mit den neuen Bestimmungen neben den bereits bestehenden Austauschmöglichkeiten mit Facebook für die Bereiche Produktverbesserung, Analyse, Network/Security künftig weitere für Marketingzwecke und Direktwerbung schafft“.
Er sei in Deutschland für Facebook zuständig, da die deutsche Niederlassung von Facebook ihren Sitz in Hamburg habe. Daher könne er unter außergewöhnlichen Umständen, „die er hier gegeben sieht“, auf Grundlage von Art. 66 Datenschutzgrundverordnung (DSGVO) ein Verfahren auch gegen Facebook in Irland eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen. Entsprechende Maßnahmen seien auf drei Monate begrenzt, könnten aber durch einen Beschluss des Europäischen Datenschutzausschusses (EDSA) verlängert oder ergänzt werden.

Bereits vor viereinhalb Jahren hatte der HmbBfDI eine Anordnung gegen Facebook erlassen

Die Thematik der Weitergabe von „WhatsApp“-Nutzerdaten an Facebook stelle sich erneut. Bereits vor viereinhalb Jahren habe der HmbBfDI eine Anordnung gegen Facebook erlassen, welche einen solchen Massendatenabgleich untersagt habe. „Nachdem Facebook dagegen gerichtlich vorging, wurde die Anordnung durch zwei Instanzen bestätigt.“
„WhatsApp“ werde in Deutschland mittlerweile von fast 60 Millionen Menschen genutzt und sei die mit Abstand meistgenutzte Social-Media-Anwendung noch vor Facebook. Professor Caspar betont: „Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen ,WhatsApp‘ und Facebook gekommen.“

Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook lassen Freiwilligkeit und Informiertheit vermissen

Derzeit bestehe Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen „WhatsApp“ und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollten.
Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, sei nun „ein förmliches Verwaltungsverfahren zum Schutz Betroffener“ eingeleitet worden. Ziel sei es, vor dem 15. Mai 2021 zu einer Entscheidung im Dringlichkeitsverfahren zu kommen. „Über den Fortgang des Verfahrens wird zeitnah unterrichtet“, verspricht Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl

[datensicherheit.de, 13.04.2021] Der Rechtsausschuss im Bundestag befasst sich nach Angaben des Branchenverbands Bitkom e.V. mit der Urheberrechtsreform. Susanne Dehmel, Mitglied der Geschäftsleitung, kritisiert in ihrer aktuellen Stellungnahme die Beschädigung der Meinungsfreiheit: „Die Urheberrechtsreform ist ein Rückschlag für die Meinungsfreiheit im Netz. Nicht nur, weil faktisch Upload-Filter geschaffen werden und die Betreiber von bestimmten Online-Plattformen mit einer allgemeinen Überwachungspflicht ihrer Dienste belegt werden – sondern auch, weil die einzelnen Vorgaben zur Überwachung, Sperrung und Moderation von Nutzerbeschwerden technisch schlicht nicht umsetzbar sind“, so Dehmels Kommentar.

Rechtssichere Zitate aus fremden Medien laut Bitkom unangemessen schwer

Nutzern von Plattformen und Sozialen Netzwerken werde es künftig zudem unangemessen schwer gemacht, rechtssicher Schnipsel von Videos, Zitate oder Memes hochzuladen und zu teilen: „Bis zu 15 Sekunden Film oder Ton, 160 Zeichen Text und 125 Kilobyte einer Foto- oder Grafikdatei sollen als Grenzen einer geringfügigen Nutzung zu nicht-kommerziellen Zwecken erlaubt sein.“
Diese Werte seien aber deutlich zu gering bemessen, um urheberrechtliche Relevanz bewerten zu können. Dehmel: „So wird riskiert, dass Inhalte mit einer Länge von mehr als 15 Sekunden blockiert werden, obwohl sie eigentlich legal sind. 15 Sekunden bzw. 160 Zeichen sind eine weltfremde Begrenzung, die schlussendlich mehr schadet als nützt und dem Grundgedanken des freien Internet‘ diametral gegenübersteht.“

Web-Plattformen und Soziale Netzwerke künftig quasi in Richter-Rolle, moniert der Bitkom

Schwer wiege auch, dass die Web-Plattformen und Sozialen Netzwerke künftig in eine Art „Richter-Rolle“ gedrängt würden: Im Falle einer Urheberrechtsbeschwerde hätten sie lediglich sieben Tage Zeit zu entscheiden, ob eine Urheberrechtsverletzung vorliegt. Diese Vorgabe sei völlig utopisch, da selbst Richter für solche Entscheidungen viele Monate benötigten.
Es müsse außerdem klargestellt werden, dass der Anbieter auch nach diesen sieben Tagen nicht für eventuelle Fehlentscheidungen haftbar gemacht werden kann – „dies würde für die Anbieter, die in gewisser Weise als Richter fungieren sollen und ein solches Haftungsrisiko nicht tragen können, die falschen Anreize setzen“. Die Umsetzung der EU-Urheberrechtsrichtlinie in deutsches Recht sei eines der wichtigsten digitalpolitischen Projekte der letzten Jahre. Dehmels Fazit: „Sie enttäuscht in vielen Bereichen. Das ursprüngliche Ziel, ein modernes Urheberrecht für den digitalen Binnenmarkt zu schaffen, wird klar verfehlt.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2021
EU-Urheberrechtsreform: Bundesregierung lähmt laut eco Meinungsfreiheit / eco – Verband der Internetwirtschaft besorgt um Vielfalt auf Plattformen