datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 14 Jan 2025 09:55:00 +0000 de hourly 1 Neue Angriffskampagne per E-Mail: Youtube-Influencer im Visier Cyber-Krimineller https://www.datensicherheit.de/neuheie-angriffskampagne-e-mail-youtube-influencer-visier-cyber-kriminelle https://www.datensicherheit.de/neuheie-angriffskampagne-e-mail-youtube-influencer-visier-cyber-kriminelle#respond Tue, 14 Jan 2025 09:55:00 +0000 https://www.datensicherheit.de/?p=45954 knowbe4-martin-j-kraemer-2024Um geeignete Opfer aufzuspüren, deren Daten zu extrahieren und E-Mail-Adressen zu sammeln, setzen die Angreifer Multi-Parser-Tools auf „YouTube“ an.]]> knowbe4-martin-j-kraemer-2024

In den Köder-E-Mails geben sich Angreifer als Mitarbeiter bekannter, angeblich an einer Kooperation interessierter Marken aus

[datensicherheit.de, 14.01.2024] Vor Kurzem haben Sicherheitsexperten von CloudSEK in einem Blog-Beitrag (s.u.) eine neue Angriffskampagne Cyber-Krimineller per E-Mail vorgestellt: Deren primäre Zielgruppe seien „YouTube-Influencer“. Unter Vorspiegelung falscher Tatsachen würden diese dazu verleitet, Malware zu installieren, welche es den Angreifern dann entweder ermögliche, sich Zugriff auf deren Systeme zu verschaffen oder vertrauliche Daten zu entwenden. „Um geeignete Opfer aufzuspüren, deren Daten zu extrahieren und E-Mail-Adressen zu sammeln, setzen die Angreifer Multi-Parser-Tools auf ,YouTube’ an“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Dann komme ein Browser-Automatisierungs-Tool zum Einsatz, mit dem die E-Mails über SMTP-Server via Massenversand an ihre Opfer verschickt würden.

knowbe4-martin-kraemer

Foto: KnowBe4

Dr. Martin J. Krämer rät zu regelmäßigen Phishing-Tests

Auch gefälschte und kompromittierte E-Mail-Adressen kommen zum Einsatz

In den E-Mails gäben sich die Angreifer als Mitarbeiter bekannter Marken aus, welche an einer Zusammenarbeit interessiert seien. Um möglichst glaubwürdig zu erscheinen, kämen hierbei auch gefälschte und kompromittierte E-Mail-Adressen zum Einsatz. Den Opfern werde für eine Werbekooperation ein lukratives Angebot, basierend auf der Anzahl ihrer Abonnenten, unterbreitet. Diese E-Mails seien überzeugend und in einem professionellen Stil gehalten.

Die Malware sei nun entweder in den Anhängen der E-Mail, in „Word“-Dokumenten, PDF- oder „Excel“-Dateien, oder in einer verlinkten ZIP-Datei auf „OneDrive“ versteckt – getarnt als Geschäftsangebot, Vertrag, oder Werbematerial. In letzterem Fall befänden sich am Ende der E-Mail ein „OneDrive“-Link für den Zugriff auf eine mit einem Passwort gesicherte Zip-Datei. „Klickt das Opfer auf den Link, wird es auf die ,OneDrive’-Seite weitergeleitet.“

Verhängnisvolle E-Mail-Anhänge

„Lädt sich ein Opfer nun die Zip-Datei herunter und extrahiert sie – oder lädt sich einen der Anhänge herunter – wird Malware auf seinem System installiert.“ Um deren Erkennung durch gängige Sicherheitsfilter und Antiviren-Lösungen zu umgehen, sei die bösartige Nutzlast dabei in zwei komprimierte Dateien eingebettet. „Sobald das Archiv extrahiert ist, wird die Malware bereitgestellt und beginnt, das System des Empfängers zu kompromittieren.“

Diese Malware sei dabei in der Regel darauf ausgelegt, dem Angreifer Fernzugriff zu gewähren oder vertrauliche Daten, wie Anmeldedaten, Finanzinformationen und Geistiges Eigentum, zu entwenden. „Gestohlene Daten, wie Browser-Anmeldeinformationen, Cookies und ,Clipboard’-Daten, werden hierbei an einen Command-and-Control-Server (C2), der sich unter Kontrolle des Angreifers befindet, weitergeleitet.“

Eingehenden E-Mails wird immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet

Hauptzielgruppe der Angriffskampagne seien sogenannte Content-Kreatoren und Online-Influencer – vor allem auf „YouTube“ operierende. Zwei Opfergruppen also, die eigentlich gut mit dem Internet, seinen derzeitigen Risiken und Gefahren vertraut sein sollten. „Der Umstand, dass Cyber-Kriminelle sich dennoch gerade diesen Personenkreis zur Zielgruppe genommen haben, lässt dementsprechend tief blicken“, kommentiert Dr. Krämer. Auch hier werde eingehenden E-Mails immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet, fielen Online-Nutzer immer noch viel zu leicht auf „Social Engineering“-Angriffe herein.

Das Beispiel der neuartigen Angriffskampagne auf „Youtube“-Influencer zeigt laut Dr. Krämer, dass „noch mehr getan“ werden müsse: „Privatpersonen müssen sich mehr über aktuelle Risiken und Gefahren des ,World Wide Web’ auf dem Laufenden halten, Unternehmen mehr tun, mehr investieren, um die Sicherheitskultur ihrer Belegschaft zu erhöhen, das Sicherheitsbewusstsein ihrer Mitarbeiter zu verbessern!“ Neben einem Mehr an Fortbildungen und Trainings würden sie dabei auch an regelmäßigeren Phishing-Tests nicht herumkommen. „Anders wird sich die stetig wachsende Gefahr erfolgreicher Phishing-, Spear Phishing- und Social Engineering-Angriffe nicht in den Griff bekommen lassen!“

Weitere Informationen zum Thema:

CloudSEK, Mayank Sahariya, 16.12.2024
How Threat Actors Exploit Brand Collaborations to Target Popular YouTube Channels

]]>
https://www.datensicherheit.de/neuheie-angriffskampagne-e-mail-youtube-influencer-visier-cyber-kriminelle/feed 0
Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch https://www.datensicherheit.de/rat-verbraucherzentrale-epa-aktivitaet-pflege-grundsatz-widerspruch https://www.datensicherheit.de/rat-verbraucherzentrale-epa-aktivitaet-pflege-grundsatz-widerspruch#respond Tue, 14 Jan 2025 09:47:05 +0000 https://www.datensicherheit.de/?p=45951 vzhh empfiehlt Verbrauchern, sich umfassend zu informieren und eine „bewusste Entscheidung zum Einsatz der ePA“ zu treffen

[datensicherheit.de, 14.01.2025] Die Verbraucherzentrale Hamburg (vzhh) weist in ihrer aktuellen Stellungnahme darauf hin, dass ab dem 15. Januar 2025 gesetzlich Krankenversicherte in Hamburg, die vorher nicht widersprochen haben, eine sogenannte elektronische Patientenakte (ePA) haben werden, „die befüllt und benutzt werden kann“. Die vzhh empfiehlt nach eigenen Angaben den Verbrauchern, sich umfassend zu informieren und eine „bewusste Entscheidung zum Einsatz der ePA“ zu treffen. Hamburg ist demnach neben Franken und Teilen von Nordrhein-Westfalen eine Modellregion, in der die ePA in einer Pilotphase im Praxisbetrieb getestet wird.

Verbraucher können jederzeit Läschung der ePA beantragen

„Es ist wichtig, sich spätestens jetzt zu überlegen, ob und wie man die ePA nutzen will“, betont Dr. Jochen Sunken von der vzhh. Er führt weiter aus: „Wer die elektronische Patientenakte nicht möchte, kann jederzeit deren Löschung beantragen, selbst wenn die ursprüngliche Frist der Krankenkasse für einen Widerspruch bereits abgelaufen ist. Ob elektronisch, telefonisch oder per Post, für den Widerspruch ist jeder Kommunikationsweg zulässig.“

Verbraucher mit ePA sollten diese aktiv pflegen

Wer seine ePA behält, profitiert laut Dr. Sunken am meisten davon, wenn diese aktiv gepflegt wird: „Nur wer sorgfältig abwägt und steuert, welche Daten eingestellt werden und wer Zugriff auf welche Dokumente haben soll, hat wirklich eine ‚versichertengeführte Akte‘, wie es das Gesetz vorsieht!“ Am besten lasse sich die elektronische Patientenakte mit der „ePA“-App verwalten. „Menschen, die Bedenken deswegen haben oder sich nicht für ausreichend technisch versiert halten, können bis zu fünf Personen benennen, die die Pflege mittels App für sie übernehmen oder sich an die Ombudsstellen der Krankenkassen wenden“, so Dr. Sunken.

Verbraucherzentrale warnt vor unerwünschten Befundberichten und Arztbriefen in der ePA

Werde die ePA nicht bewusst gepflegt, könnten beispielsweise unerwünschte Befundberichte und Arztbriefe eingestellt werden und einsehbar sein. „Wer das nicht möchte, muss sich aktiv darum kümmern und dem widersprechen oder diese Dokumente vor dem Zugriff anderer in der ePA verbergen beziehungsweise sie im Nachhinein löschen. Sonst wird die ePA nach und nach mit medizinischen Dokumenten gefüllt“, erklärt Dr. Sunken. Die Praxen seien nicht verpflichtet, extra bei jedem Arztbesuch auf die Nutzung des digitalen Systems hinzuweisen. Ein einfacher Aushang im Wartezimmer genüge, der Informationspflicht nachzukommen.

Verbraucher-Hintergrundinformationen zur elektronischen Patientenakte (ePA):

  • Die ePA ist ein digitales System, in dem Befunde, Diagnosen und weitere medizinische Daten gespeichert werden können.
  • Ziel ist es, den Austausch von Gesundheitsinformationen zwischen mehreren behandelnden Personen zu erleichtern.
  • Versicherte der gesetzlichen Krankenkassen können der Nutzung der ePA widersprechen.

Weitere Informationen zum Thema:

verbraucherzentrale Hamburg
Arzt und Krankenhaus / Elektronische Patientenakte ohne ePA-App nutzen

datensicherheit.de, 21.11.2024
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient / Elektronische Patientenakte (ePA) kommt nun 2025 – Risiken und Nebenwirkungen werden nicht thematisiert, weshalb Datenschützer empfehlen sich zu informieren und zu widersprechen

datensicherheit.de, 10.11.2022
EPA: Freie Ärzteschaft unterstreicht Kritik an Elektronischer Patientenakte / Ärztliche Schweigepflicht droht durch EPA-Paradigmenwechsel zum störenden Auslaufmodell zu werden

datensicherheit.de, 29.11.2021
Freie Ärzteschaft zur ePA: Geplante elektronische Patientenakte führt in die Sackgasse / Ampel-Koalitionäre zur Rücknahme der geplanten, viel kritisierten Opt-out-Option der ePA aufgefordert

]]>
https://www.datensicherheit.de/rat-verbraucherzentrale-epa-aktivitaet-pflege-grundsatz-widerspruch/feed 0
Praxistipps: Wie Datenschutz im Alltag funktionieren kann https://www.datensicherheit.de/praxistipps-datenschutz-alltag-funktion https://www.datensicherheit.de/praxistipps-datenschutz-alltag-funktion#respond Mon, 13 Jan 2025 19:24:24 +0000 https://www.datensicherheit.de/?p=45945 initiative-mit-sicherheit-gut-behandeltDie Praxistipps sollen auf der Website der Initiative jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vorstellen.]]> initiative-mit-sicherheit-gut-behandelt

Initiative „Mit Sicherheit gut behandelt“ zur Umsetzung des Datenschutzes mit zwölf monatlichen Praxistipps gestartet

[datensicherheit.de, 13.01.2025] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) meldet, dass ab sofort die Initiative „Mit Sicherheit gut behandelt“ auf ihrer Website monatlich Praxistipps veröffentlicht, um Ärzten und Psychotherapeuten bei der Umsetzung des Datenschutzes in ihrem Praxisalltag bedarfsgerecht zu unterstützen. Zusätzlich zum Web-Angebot sollen sie von den Mitgliedern der Initiative über weitere Kommunikationskanäle wie Newsletter und „Social Media“ zur Verfügung gestellt werden. Insgesamt sind demnach zwölf Praxistipps geplant.

initiative-mit-sicherheit-gut-behandelt

Abbildung: Initiative „Mit Sicherheit gut behandelt“

Ärzte und Psychotherapeuten sollen bei ihrer Verpflichtung, die Vorgaben der Ärztlichen Schweigepflicht auch im 21. Jahrhundert zu gewährleisten, nicht alleine gelassen werden!

Datenschutz ein zentrales Thema in Arzt- und Psychotherapiepraxen

Datenschutz sei ein zentrales Thema in Arzt- und Psychotherapiepraxen. Mit ihren Praxistipps möchte die rheinland-pfälzische Initiative „den Behandelnden konkrete und aktuelle Hilfestellung geben, wie sie die gesetzlichen Vorgaben in ihren Arbeitsalltag integrieren können“.

Die Praxistipps sollen auf der Website „www.mit-sicherheit-gut-behandelt.de“ jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vorstellen. Zusätzlich erhielten die Adressaten Hinweise zu Rechtsgrundlagen und weiterführende Links – dies alles kompakt auf einer Seite und zum Herunterladen als druckbare PDF-Dateien.

Auskunftsanspruch der Patienten hinsichtlich der zu ihnen gespeicherten Daten

Der erste Praxistipp sei dem Thema „Auskunftsanspruch nach der DSGVO“ gewidmet: Patienten hätten einen umfassenden Auskunftsanspruch über die zu ihrer Behandlung gespeicherten, sie betreffenden Daten. „So haben sie das Recht, eine vollständige Kopie der Behandlungsdokumentation zu erhalten.“ Die Patienten könnten die Form der Auskunftserteilung – Papierform oder elektronisch – selbst bestimmen. Die erste Kopie sei kostenfrei auszuhändigen.

Die nächsten Praxistipps beschäftigten sich etwa mit der Zulässigkeit einer E-Mail-Nutzung im Praxisalltag, dem Umgang mit Einwilligungen und Informationspflichten, den Anforderungen an eine „Cloud“-Speicherung von Patientendaten und Informationen zum Umfang des Auskunftsanspruchs beim Praxiswechsel oder im Fall von Minderjährigen.

Verantwortliche in Heilberufen sollen für das wichtige Thema Datenschutz sensibilisiert werden

Die Initiative „Mit Sicherheit gut behandelt“ setzt sich nach eigenen Angaben dafür ein, Verantwortliche in Heilberufen für das wichtige Thema Datenschutz zu sensibilisieren und über bestehende Anforderungen und Vorgaben zu informieren. Dazu organisiere sie Veranstaltungen und stelle geeignete Instrumente wie Handlungsempfehlungen und Checklisten zur Sicherstellung des Datenschutzes im Praxisbetrieb online zur Verfügung.

Die Initiative „Mit Sicherheit gut behandelt“ werde getragen vom rheinland-pfälzischen Landesbeauftragten für den Datenschutz und die Informationsfreiheit, von der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer Rheinland-Pfalz und der Landespsychotherapeutenkammer Rheinland-Pfalz.

Weitere Informationen zum Thema:

Mit Sicherheit gut behandelt.
Über die Initiative

Mit Sicherheit gut behandelt.
Datenschutz in der Praxis # 1 / Auskunftsanspruch nach der DSGVO

]]>
https://www.datensicherheit.de/praxistipps-datenschutz-alltag-funktion/feed 0
Cyber-Kriminellen bevorzugen Login statt Einbruch https://www.datensicherheit.de/cyber-kriminelle-bevorzugung-login-einbruch https://www.datensicherheit.de/cyber-kriminelle-bevorzugung-login-einbruch#respond Mon, 13 Jan 2025 19:13:51 +0000 https://www.datensicherheit.de/?p=45939 varonis-report-cyber-attacks-2024Bei 57 Prozent der erfolgreichen Angriffe haben Cyber-Kriminelle nach Erkenntnissen der Varonis Systems Inc. ein kompromittiertes Nutzerkonto missbraucht.]]> varonis-report-cyber-attacks-2024

Personenbezogene Daten Hauptziel der Cyber-Angreifer

[datensicherheit.de, 13.01.2025] Bei 57 Prozent der erfolgreichen Angriffe haben Cyber-Kriminelle nach aktuellen Erkenntnissen der Varonis Systems Inc. ein kompromittiertes Nutzerkonto missbraucht, um Zugang auf die Systeme zu erhalten. Dies habe die Analyse von 35 der US-amerikanischen Börsenaufsicht gemeldeten Cyber-Vorfälle zwischen Januar und August 2024 ergeben, welche von Varonis nach eigenen Angaben in dem Report „The Identity Crisis: An in-depth report of cyberattacks in 2024“ vorgestellt wird. Das Ziel der meisten Vorfälle seien dabei die wertvollen Unternehmensdaten gewesen – allen voran personenbezogene Daten (54%) gefolgt von Gesundheitsinformationen (23%).

varonis-report-cyber-attacks-2024

Abbildung: Varonis Systems Inc.

„The Identity Crisis: An in-depth report of cyberattacks in 2024“ steht zum Download bereit (s.u.)

Untersuchungen der Cyber-Angriffe dauern oft Wochen und Monate an

Die Analyse habe zudem ergeben, dass auch Wochen und Monate nach dem Vorfall 85 Prozent der Angriffe noch untersucht würden. Dies deute zum einen auf die Komplexität der Untersuchungen gepaart mit mangelnden Forensik-Möglichkeiten hin, zum anderen bedeute dies auch, dass weitaus mehr als jeder zweite Angriff über ein kompromittiertes Konto erfolgt sein könnte.

Cyber-Kriminelle verschaffen sich mittels ergaunerter Anmeldeinformationen Zugang

„Die Zahlen unterstrichen einen Trend, den unser ,Incident Response Team’ schon seit geraumer Zeit beobachtet: Cyber-Kriminelle brechen immer seltener ein, stattdessen nutzen sie ergaunerte Anmeldeinformationen, um sich in die Systeme ihrer Opfer einzuloggen“, berichtet Volker Sommer, „Regional Sales Director DACH“ von Varonis.

Ohne intelligente Analyse des Nutzerverhaltens kaum eine Chance, sich cyber-krimineller Angriffe zu erwehren

Dies mache ihre Entdeckung prinzipiell schwieriger, da es sich ja um scheinbar legitime Insider handele, welche sich mit gewissen Rechten ausgestattet in der Infrastruktur bewegten. Sommer warnt abschließend: „Ohne eine intelligente Analyse des Nutzerverhaltens hat man kaum eine Chance, diesen Kriminellen schnell auf die Schliche zu kommen.“

Weitere Informationen zum Thema:

VARONIS
THE IDENTITY CRISIS / An in-depth report of cyberattacks in 2024

]]>
https://www.datensicherheit.de/cyber-kriminelle-bevorzugung-login-einbruch/feed 0
Aufbewahrungsfristen genau beachten: Welche Unterlagen 2025 DSGVO-konform entsorgt werden dürfen https://www.datensicherheit.de/aufbewahrungsfristen-genauigkeit-beachtung-unterlagen-2025-dsgvo-konformitaet-entsorgung https://www.datensicherheit.de/aufbewahrungsfristen-genauigkeit-beachtung-unterlagen-2025-dsgvo-konformitaet-entsorgung#respond Thu, 09 Jan 2025 16:15:56 +0000 https://www.datensicherheit.de/?p=45935 softwarebuero-krekeler-harald-krekeler-2023Zum Jahresbeginn 2025 biete sich nun wieder einmal die Gelegenheit, Aktenordner und digitale Archive von Altlasten-Unterlagen zu befreien.]]> softwarebuero-krekeler-harald-krekeler-2023

Unterlagen mit einer Aufbewahrungsfrist von zehn Jahren aus dem Jahr 2014 und mit einer Frist von sechs Jahren aus dem Jahr 2018 dürfen nun vernichtet werden

[datensicherheit.de, 09.01.2025] Zum Jahresbeginn 2025 biete sich nun wieder einmal die Gelegenheit, Aktenordner und digitale Archive von Altlasten zu befreien. Viele Unternehmen und Privatpersonen stellten sich indes die Frage, welche Dokumente entsorgt werden könnten, bei denen die gesetzliche Aufbewahrungsfrist abgelaufen ist: „Unterlagen mit einer Aufbewahrungsfrist von zehn Jahren aus dem Jahr 2014 und mit einer Frist von sechs Jahren aus dem Jahr 2018 dürfen nun vernichtet werden – vorausgesetzt, es bestehen keine anderen Aufbewahrungsgründe“, erläutert Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler, in seiner Stellungnahme. Er betont: „Genauso wichtig wie eine rechtssichere Aufbewahrung ist aber auch eine rechtssichere Dokumentenvernichtung, bei der vor allem der Datenschutz nach DSGVO im Fokus steht!“

softwarebuero-krekeler-harald-krekeler-2023

Foto: Softwarebüro Krekeler

Harald Krekeler: Die Unterlagen- bzw. Datenträger-Vernichtung sollte lückenlos dokumentiert werden!

Fristende für viele Unterlagen aus dem Jahr 2014

In Deutschland regelten vor allem die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) die Aufbewahrungspflichten von geschäftlichen Unterlagen. Je nach Art der Dokumente gälten dabei unterschiedliche Fristen, wobei die häufigsten Zeiträume sechs Jahre und zehn Jahre seien. Nach Ablauf dieser Fristen dürften die entsprechenden Unterlagen datenschutzkonform vernichtet werden. Es sei jedoch entscheidend, den Stichtag korrekt zu berechnen.

Krekeler stellt klar: „Die Aufbewahrungsfrist beginnt immer mit dem Ende des Kalenderjahres, in dem das jeweilige Dokument erstellt wurde. Ein Beleg, der beispielsweise im Mai 2014 erstellt wurde, ist ab dem 31. Dezember 2014 aufbewahrungspflichtig. Die Aufbewahrungsfrist von zehn Jahren für dieses Dokument endet somit am 31. Dezember 2024 und es darf ab Januar 2025 vernichtet werden.“

Vorzeitige Vernichtung von Unterlagen kann schwerwiegende Konsequenzen haben

Doch Vorsicht: Die richtige Berechnung des Fristbeginns und -endes sei wichtig, da eine vorzeitige Vernichtung von Dokumenten schwerwiegende Konsequenzen haben könne. Denn im Falle einer Betriebsprüfung oder bei Rechtsstreitigkeiten könnten fehlende Unterlagen erhebliche finanzielle oder rechtliche Nachteile nach sich ziehen.

Nämlich: „Wenn an einem Dokument aus 2014 im Jahr 2015 noch einmal eine nachträgliche Änderung erfolgte, dann beginnt die Aufbewahrungsfrist für dieses Dokument erst im Dezember 2015 und es darf folglich auch erst im Januar 2026 vernichtet werden“, unterstreicht Krekeler.

Folgende Unterlagen können laut Krekeler ab Januar 2025 vernichtet werden:

Unterlagen mit zehn-jähriger Aufbewahrungsfrist
Unterlagen aus dem Jahr 2014 – mit Fristbeginn 31. Dezember 2014 – könnten ab dem 1. Januar 2025 datenschutzgerecht vernichtet werden. Hierzu zählten vor allem steuerrechtlich relevante Dokumente, wie Jahresabschlüsse und Eröffnungsbilanzen, Buchungsbelege, Steuerbescheide und Steuererklärungen, Handelsbücher und Rechnungen (Ein- und Ausgang).

Unterlagen mit sechs-jähriger Aufbewahrungsfrist
Für Geschäftsbriefe und andere steuerlich weniger relevante Dokumente gelte eine kürzere Frist. So könnten Handels- und Geschäftsbriefe – dazu zählten zum Beispiel Angebote, Bestellungen und Schriftverkehr – sowie Lohnunterlagen aus dem Jahr 2018 ab Januar 2025 entsorgt werden.

Aber bloß nicht einfach in den Müll: DSGVO-konforme Entsorgung der Unterlagen bzw. Datenträger!

Schriftverkehr und Dokumente nach ihrer Aufbewahrungsfrist einfach in den Müll oder den digitalen Papierkorb zu entsorgen, funktioniere jedoch nicht. Die Vernichtung von Unterlagen erfordere stattdessen besondere Sorgfalt, insbesondere im Hinblick auf den Datenschutz. Unternehmen wie Privatpersonen müssten sicherstellen, dass Daten vollständig und unwiderruflich vernichtet werden.

„Nach der Datenschutz-Grundverordnung müssen personenbezogene Daten so vernichtet werden, dass sie nicht mehr rekonstruierbar sind. Für Papierdokumente bedeutet es, dass sie durch einen geeigneten Aktenvernichter vernichtet werden müssen, der den Anforderungen nach DIN 66399 entspricht. Für personenbezogene Daten gilt dabei mindestens die Sicherheitsstufe P-4, nach der die Papierstreifen so klein sind, dass eine Rekonstruktion praktisch unmöglich ist.“ Bei sensiblen Daten, wie Gesundheitsdaten, sei eine noch höhere Sicherheitsstufe erforderlich. Hierbei sollten Unternehmen erwägen, einen zertifizierten Aktenvernichtungsdienstleisters zu beauftragen, denn diese erfüllten die hohen Datenschutzstandards.

Vernichtung digitaler Unterlagen durch nicht-reversible Löschung oder physische Zerstörung der Datenträger

Die Vernichtung digitaler Unterlagen erfolge durch Löschung oder physische Zerstörung der Datenträger. Eine einfache Löschung, beispielsweise durch Verschieben in den Papierkorb, reiche nicht aus. „Die Daten müssen durch spezielle Software unwiderruflich gelöscht werden, etwa mit Programmen wie ,Eraser’ oder ,DBAN’, die mehrfaches Überschreiben der Speicherbereiche ermöglichen.“ Bei Datenträgern wie Festplatten, CDs oder USB-Sticks sei die physische Zerstörung eine weitere Option. Hierfür kämen Schreddergeräte für digitale Medien oder spezialisierte Dienstleister zum Einsatz. „Allerdings muss auch hier die Vernichtung nach DIN 66399 erfolgen“, sagt Krekeler.

Abschließend rät Krekeler noch: „Die Dokumenten-Vernichtung sollte lückenlos dokumentiert werden. Das schützt nicht nur vor Datenschutzverstößen, sondern ist auch ein Nachweis für die ordnungsgemäße Entsorgung. Zudem sollte vor der Entsorgung überprüft werden, ob es besondere Gründe gibt, bestimmte Unterlagen über die gesetzlichen Fristen hinaus aufzubewahren.“ Beispiele hierfür seien laufende Prüfungen durch das Finanzamt oder Rechtsstreitigkeiten – in solchen Fällen sei eine längere Aufbewahrung ratsam.

Weitere Informationen zum Thema:

datensicherheit.de, 18.12.2023
Tipp zu Archivierungsfristen: Welche Unterlagen ab Januar 2024 vernichtet werden dürfen / Geschäfts- und Buchhaltungsunterlagen müssen unabhängig von ihrer Form über einen festgelegten Zeitraum aufbewahrt werden

datensicherheit.de, 20.10.2010
Datenlöschung durch Vernichtung des Datenträgers: Die oft unterschätzten Aktenvernichter / Ein Praxisbericht auf der it-sa 2010 über die Brisanz von Zufallsfunden sensibler Altpapiere

datensicherheit.de, 27.07.2009
Das ds Interview: „Skandal-Prävention durch sichere Daten-Löschung“ / Carsten Pinnow im Gespräch mit Hanno Fischer

]]>
https://www.datensicherheit.de/aufbewahrungsfristen-genauigkeit-beachtung-unterlagen-2025-dsgvo-konformitaet-entsorgung/feed 0
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz https://www.datensicherheit.de/e-mail-sicherheitsloesungen-doppelnutzen-minimierung-risiken-maximierung-effizienz https://www.datensicherheit.de/e-mail-sicherheitsloesungen-doppelnutzen-minimierung-risiken-maximierung-effizienz#respond Thu, 09 Jan 2025 16:05:11 +0000 https://www.datensicherheit.de/?p=45927 check-point-pete-nicolettiFortschrittliche E-Mail-Sicherheitslösungen nutzen KI und ML, um Bedrohungen in Echtzeit zu erkennen und unschädlich zu machen.]]> check-point-pete-nicoletti

Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 09.01.2025] Die Check Point Software Technologies Ltd. erläutert in einer aktuellen Stellungnahme, wie fortschrittliche E-Mail-Sicherheitslösungen nicht nur Unternehmen helfen können, sich vor Cyber-Bedrohungen zu schützen, sondern auch die Produktivität der Mitarbeiter zu steigern und IT-Ressourcen zu optimieren. Die Auswahl der richtigen Sicherheitslösung sei dabei entscheidend. Unternehmen sollten auf Anbieter setzen, welche kontinuierlich neue Funktionen entwickelten und benutzerfreundliche Systeme anböten, um sowohl Mitarbeiter als auch IT-Teams zu entlasten.

check-point-pete-nicoletti

[chck-point-pete-nicoletti.jpg]

Pete Nicoletti rät für den Fall der Fälle, das „Incident Response Team“ und den eigenen Anwalt auf der Kurzwahl berücksichtigt zu haben

Unangenehme Folgen schwacher E-Mail-Sicherheitsmaßnahmen

Täglich verbrächten Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – einem gleichwohl unverzichtbaren Kommunikationsmittel, welches jedoch auch eine erhebliche Schwachstelle darstelle. Schwache E-Mail-Sicherheitsmaßnahmen führten nicht nur zu einer höheren Anfälligkeit für Phishing-Angriffe und Malware, sondern auch zu:

Zeitverlust
Mitarbeiter würden durch verdächtige Nachrichten abgelenkt und müssten diese manuell melden.

Erhöhtem Risiko
Verzögerungen beim Erkennen schädlicher Nachrichten könnten zu Datenverlust oder Compliance-Verstößen führen.

Überlastung der IT
Sicherheitsabteilungen verbrächten wertvolle Zeit mit der Analyse von falschem Alarm und der Behebung von Sicherheitsvorfällen.

Bösartige E-Mails: Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhinden

„Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhindern. Es gibt über 300 Merkmale, die vor der Zustellung überprüft werden müssen, und die Mitarbeiter haben weder das Wissen noch die Fähigkeiten oder die Zeit, diese zu analysieren“, führt Pete Nicoletti, „CISO“ von Check Point Software Technologies, aus.

Er ergänzt: „Außerdem hat Ihr Sicherheitsprogramm versagt, wenn Sie bösartige E-Mails versenden oder Ihre Endpunkt-Tools nicht verhindern können, dass eine bösartige Datei von einer angeklickten URL heruntergeladen wird!“ Zudem seien Mitarbeiterschulungen bloß ein „Sicherheitstheater“„und wenn Sie sich darauf verlassen, dass sie eine Verteidigungslinie darstellen, sollten Sie Ihr ,Incident Response Team’ und Ihren Anwalt auf der Kurzwahl haben.“

Dringende Empfehlung zur Nutzung fortschrittlicher E-Mail-Sicherheitslösungen

Fortschrittliche E-Mail-Sicherheitslösungen nutzten Künstliche Intelligenz (KI) und Maschinelles Lernen (ML), um Bedrohungen in Echtzeit zu erkennen und unschädlich zu machen. Mit verschiedenen Funktionen, wie dem automatisierten Entfernen schädlicher Links oder dem Verschieben verdächtiger Nachrichten in Quarantäne, schützten solche Lösungen nicht nur die Organisation, sondern verbesserten auch die Effizienz der Arbeitsabläufe.

Unternehmen, welche in bewährte E-Mail-Sicherheitslösungen investierten, profitierten von:

Gesteigerter Produktivität
Mitarbeiter könnten sich auf ihre Kernaufgaben konzentrieren, ohne durch Sicherheitsrisiken abgelenkt zu werden.

Erhöhtem Schutz
KI-gestützte Systeme verhinderten das Eindringen schädlicher Inhalte.

Optimierter IT-Nutzung
Automatisierte Prozesse reduzierten den manuellen Aufwand der Sicherheits-Teams.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 06.09.2024
Unterschätztes Problem: Datenverluste durch fehlgeleitete E-Mails / Irrläufer legitimer E-Mails in Großbritannien die am häufigsten gemeldeten Vorfälle im Zusammenhang mit der DSGVO

]]>
https://www.datensicherheit.de/e-mail-sicherheitsloesungen-doppelnutzen-minimierung-risiken-maximierung-effizienz/feed 0
Unsichtbare Augen und Ohren daheim: IoT und Datensicherheit austarieren https://www.datensicherheit.de/unsichtbarkeit-augen-ohren-heim-iot-datensicherheit-ausbalancierung https://www.datensicherheit.de/unsichtbarkeit-augen-ohren-heim-iot-datensicherheit-ausbalancierung#respond Wed, 08 Jan 2025 20:20:22 +0000 https://www.datensicherheit.de/?p=45923 check-point-lothar-geuenich-2024Viele Verbraucher denken kaum darüber nach, wie viele intime und sensible Daten sie über jede Anwendung auf ihrem Smartphone oder über IoT-Geräte preisgeben.]]> check-point-lothar-geuenich-2024

Smarte Geräte als Datensammler und Bedrohung für Privatsphäre und Sicherheit

[datensicherheit.de, 08.01.2025] Der Schutz der Privatsphäre werde im Allgemeinen als ein Grundrecht angesehen und die Bürger hätten oft hohe Erwartungen an den Schutz ihrer personenbezogenen Daten. Lothar Geuenich, „VP Central Europe“ bei Check Point Software Technologies, hebt in seiner aktuellen Stellungnahme indes hervor: „Sie protestieren, wenn sie befürchten, dass sich die Regierungen immer stärker in ihr privates Leben einmischen. Sie machen sich jedoch keine Gedanken darüber, wie viele intime und sensible Daten sie über jeder Anwendung, die sie auf ihrem Smartphone installieren, oder über intelligente Geräte in ihren Wohnungen preisgeben.“

check-point-lothar-geuenich-2024

Foto: Check Point

Lothar Geuenich: Datenschutzverletzungen machen deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen sind!

Sogenannte Wearables sammeln intime Details über Nutzer – z.B. erfassen sie Gesundheitsdaten

Große Technologie-Unternehmen und Anbieter von tragbaren Geräten wie „Wearables“, Smartphones und Sprachassistenten sammelten intime Details über ihre Nutzer – oft weit mehr als jeder Gesundheitsdienstleister oder jede Regierungsbehörde. Diese Geräte erfassten Daten über die körperliche Gesundheit (z.B. Herzfrequenz, Schlafverhalten und körperliche Aktivität), das geistige Wohlbefinden (durch Analyse von Sprache, Mimik und Online-Aktivitäten) und persönliche Vorlieben, „z.B. wonach wir suchen, was wir kaufen oder was wir hören“. Sprachassistenten lernten kontinuierlich aus den Interaktionen der Nutzer und erstellen Profile, welche Details über Routinen, Beziehungen und sogar die Stimmung enthalten könnten, welche aus dem Tonfall und der Sprache abgeleitet würden.

Diese Daten gingen über das hinaus, was ein einzelner Arzt wissen könnte, und stellten einen „digitalen Fingerabdruck“ der persönlichen Gesundheit und des Verhaltens dar. So zeichneten „Wearables“ beispielsweise die Herzfrequenz, den Stresspegel und die zurückgelegten Schritte auf und erstellten so eine umfassende Aufzeichnung des körperlichen und geistigen Zustands des Trägers. Online-Plattformen nutzten ausgeklügelte Algorithmen, um die Interessen und das Verhalten der Nutzer besser zu verstehen, als es viele Freunde oder Familienmitglieder könnten, und erfassten so alles – von den Kaufgewohnheiten bis zu den politischen Ansichten.

Zusammenfassung von Daten über Geräte, Apps und digitale Umgebungen hinweg

Diese Unternehmen erreichten eine solche Tiefe, weil sie Daten über Geräte, Apps und digitale Umgebungen hinweg zusammenfassten. „Die gewonnenen Erkenntnisse dienen nicht nur der Bereitstellung von Diensten, sondern werden auch für gezielte Werbung verwendet und können unter bestimmten Bedingungen an Dritte oder staatliche Stellen weitergegeben werden, manchmal ohne das ausdrückliche Wissen der Nutzer“, gibt Geuenich zu bedenken.

Anwendungen müssten die Nutzer zwar um ihre Zustimmung und Erlaubnis bitten, Sensoren in ihrem Gerät zu befragen, aber in der Regel gäben die Nutzer diese Zustimmung schnell und ohne weiteres Überlegen. Diese Daten hätten zwar einen immensen Wert für die Verbesserung von Produkten und die Personalisierung von Diensten, „werfen aber auch erhebliche Bedenken hinsichtlich des Datenschutzes auf, da sie weitgehend unkontrolliert verarbeitet werden und es Technologie-Unternehmen ermöglichen, einen beispiellosen Einblick in die intimen Details von Milliarden von Menschenleben zu erlangen“.

Öffentliche Debatte um Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen

Geuenich blickt zurück: „Im Jahr 2018 erfuhren wir vom Skandal um ,facebook’ und ,Cambridge Analytica’. Kurz gesagt: Ein Beratungsunternehmen sammelte personenbezogene Daten von Millionen von Nutzern ohne deren Zustimmung. Die Daten wurden verwendet, um psychologische Profile von Nutzern zu erstellen, die dann genutzt wurden, um gezielte politische Werbung zu schalten.“ Die Hauptsorge habe der Monetarisierung von Daten, der Erstellung von Werbeprofilen und gezielten Kampagnen gegolten.

Seitdem sei die Diskussion eskaliert und drehe sich nun um Innere Sicherheit, Beeinflussungskampagnen und Spionage durch ausländische Regierungen. So drehe sich eine aktuelle öffentliche Debatte um die Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen. Untersuchungen hätten ergeben, dass solche Apps umfangreiche Nutzerdaten sammelten, darunter Standort-, Kontakt- und Verhaltensdaten, was Bedenken hinsichtlich des Datenschutzes und des möglichen Zugriffs ausländischer Regierungen wecke. Während diese Unternehmen jeglichen unrechtmäßigen Zugriff abstritten, hätten die Regierungen strenge Überwachungsmaßnahmen eingeführt, um sicherzustellen, dass sensible Nutzerdaten nicht gefährdet würden. Dies habe weltweit Maßnahmen ausgelöst, da die Länder der Datensicherheit für ihre Bürger Vorrang einräumten.

Bedenken, dass ausländische Regierungen durch „Hintertüren“ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten

„Auch die Hersteller von Smartphones und IoT-Geräten aus verschiedenen Regionen stehen auf dem Prüfstand. Es wurden Bedenken geäußert, dass ausländische Regierungen durch ,Hintertüren’ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten.“ Dieses Problem trete besonders in Ländern mit unterschiedlichen Ansätzen zum Datenschutz auf, so Geuenich, „insbesondere in autoritären Regierungen, die der staatlichen Kontrolle Vorrang gegenüber der Privatsphäre des Einzelnen einräumen“. Diese Praktiken hätten zu einer verstärkten Besorgnis über den möglichen Missbrauch von Geräten für Spionage oder Überwachung geführt.

Die Datenschutzgesetze in den europäischen Ländern veranschaulichten das Engagement für den Datenschutz, indem sie dem Einzelnen die Kontrolle über seine Daten gäben und von den Unternehmen Transparenz bei der Datenerfassung und -weitergabe verlangten. Solche Rahmenwerke seien von kulturellen Werten beeinflusst, die individuelle Freiheiten und eine tief verwurzelte Abneigung gegen Überwachung, insbesondere im privaten Bereich der eigenen Wohnung, in den Vordergrund stellten.

Divergierende Datenschutzstandards mit Auswirkungen auf internationale Beziehungen und globalen IoT-Markt

Diese Divergenz präge nicht nur lokale Datenschutzstandards, sondern habe auch Auswirkungen auf internationale Beziehungen und den globalen IoT-Markt: „Viele Länder führen zunehmend Maßnahmen ein, um im Ausland hergestellte Geräte einzuschränken, die im Verdacht stehen, für staatliche Eingriffe anfällig zu sein, und verstärken damit den breiteren geopolitischen Wettbewerb zwischen offenen und geschlossenen Datenverwaltungsmodellen.“

Wie diese Fälle zeigten, sei die Bedrohung keine hypothetische Angelegenheit. Regierungen auf der ganzen Welt setzten sich mit den Auswirkungen von IoT-Geräten auf die Sicherheit und den Datenschutz auseinander, insbesondere von Anbietern mit potenziellen Verbindungen zur staatlichen Überwachung.

3 wesentliche Ansätze für mehr Datensicherheit

Als Reaktion darauf seien mehrere regulatorische und rechtliche Maßnahmen im Gange:

Verbote und Beschränkungen für „Hochrisiko-Lieferanten“
Einige Regierungen hätten Maßnahmen ergriffen, indem sie bestimmte, im Ausland hergestellte Geräte aus Kritischen Infrastrukturen verbannt hätten, insbesondere in Regierungsgebäuden und anderen sensiblen Bereichen. Dieser Ansatz sei zwar umstritten, werde aber als notwendiger Schritt zur Verringerung des Spionagerisikos angesehen.

Gesetze zum Schutz von Daten und Privatsphäre
Die europäische DSGVO und ähnliche Gesetze auf der ganzen Welt sollten den Verbrauchern mehr Kontrolle über ihre Daten geben. Diese Vorschriften verlangten, dass Unternehmen klare Zustimmungsoptionen anböten, die Datennutzung offenlegten und den Nutzern die Möglichkeit gäben, die von ihren Geräten erfassten Daten zu verwalten.
Die Durchsetzung dieser Gesetze gegenüber ausländischen Unternehmen bleibe jedoch eine Herausforderung. Aus diesem Grund habe die Europäische Kommission das neue Gesetz über die Widerstandsfähigkeit gegen Cyber-Angriffe (Cyber Resilience Act, CRA) verabschiedet, welches von den Herstellern verlange, bei allen vernetzten Geräten sowohl die Datenschutz- als auch die Sicherheitsanforderungen beim Vertrieb auf dem europäischen Markt einzuhalten.

Sicherheitsstandards für Geräte
Mehrere Länder hätten Gesetze erlassen, die Mindest-Sicherheitsstandards für von Behörden verwendete Geräte vorschreiben. Diese Gesetze förderten grundlegende Sicherheitsmaßnahmen – wie das Verbot von Standard-Passwörtern – und verringerten so das Risiko eines unbefugten Zugriffs.

IoT-Sicherheit als eigener Aspekt der Cyber- bzw. Datensicherheit

Die in den Zeitungen landenden Datenschutzverletzungen machten deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen seien. Geuenich betont abschließend: „Es geht darum, wie diese ,Smart Devices’ in den falschen Händen die Privatsphäre und Sicherheit von jedem gefährden könnten.“

„Wenn Regierungen, Aufsichtsbehörden und Verbraucher beginnen, sich mit dieser Tatsache zu befassen, werden Zusammenarbeit und Wachsamkeit der Schlüssel sein, um die Unantastbarkeit der Privatsphäre zu bewahren.“ Zudem werde dann das Bewusstsein für die IoT-Sicherheit als eigener Aspekt der Cyber-Sicherheit gestärkt werden, „damit die Geräte ab Werk und im Einsatz umfassend geschützt sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 29.08.2024
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht / Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

]]>
https://www.datensicherheit.de/unsichtbarkeit-augen-ohren-heim-iot-datensicherheit-ausbalancierung/feed 0
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 https://www.datensicherheit.de/meike-kamp-vorsitzende-datenschutzkonferenz-2025 https://www.datensicherheit.de/meike-kamp-vorsitzende-datenschutzkonferenz-2025#respond Wed, 08 Jan 2025 20:06:21 +0000 https://www.datensicherheit.de/?p=45920 Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

[datensicherheit.de, 08.01.2025] Laut einer eigenen Meldung übernimmt die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, für das Jahr 2025 den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Inhaltliche Schwerpunkte ihres Vorsitzes werden demnach die Themen Anonymisierung und Pseudonymisierung sein. Weitere Schwerpunkte seien die Wechselwirkung zwischen der Datenschutzgrundverordnung und den Europäischen Digitalrechtsakten in der Praxis sowie die Standardisierung von Prüfkriterien der Datenschutzaufsichtsbehörden.

Effektive Technologien zur Anonymisierung und Pseudonymisierung personenbezogener Daten gefordert

Kamp führt aus: „Die Europäische Datenstrategie ist darauf gerichtet, das Potenzial von Daten auszuschöpfen. ,Data Act’, ,Data Governance Act’ und weitere Rechtsakte fördern den Zugriff auf große Datenmengen und das Teilen von Daten. Gerade in der medizinischen Forschung, im KI-Bereich, in der Mobilität oder bei Handelsunternehmen besteht ein hoher Bedarf an der Nutzung von Daten.“

Um diese Ziele zu erreichen und gleichzeitig den Schutzstandard für die Rechte und Freiheiten von Menschen zu erhalten, brauche es effektive Technologien zur Anonymisierung und Pseudonymisierung personenbezogener Daten, welche den Vorgaben der Datenschutzgrundverordnung entsprechen müssten. „Hier möchte ich als Vorsitzende der Datenschutzkonferenz praktische Hilfestellungen für Unternehmen und Behörden erarbeiten, die auf den kommenden europäischen Leitlinien aufbauen.“

Datenschutzkonferenz hat vor allem die Aufgabe, das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen

Die DSK, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, hat die Aufgabe, das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Dazu arbeiteten die Aufsichtsbehörden auf verschiedenen Ebenen in der Datenschutzkonferenz selbst sowie in zahlreichen Arbeitskreisen und „Taskforces“ eng zusammen. Der jährlich wechselnde Vorsitz der DSK koordiniere die Zusammenarbeit und vertrete die DSK nach außen.

Weitere Informationen zum Thema:

DI Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

DSK
DATENSCHUTZKONFERENZ

]]>
https://www.datensicherheit.de/meike-kamp-vorsitzende-datenschutzkonferenz-2025/feed 0
it’s.BB e.V. lädt zum Jahresauftakt ein: Web-Seminar am 15. Januar 2025 https://www.datensicherheit.de/its-bb-e-v-einladung-jahresauftakt-webinar-15-januar-2025 https://www.datensicherheit.de/its-bb-e-v-einladung-jahresauftakt-webinar-15-januar-2025#respond Tue, 07 Jan 2025 20:38:52 +0000 https://www.datensicherheit.de/?p=45914 itsbb-webinar-151025Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness-Webinar“ ein.]]> itsbb-webinar-151025

IT-Sicherheit bei Implementierung „cloud“-basierter und hybrider Geschäftsprozesse im Fokus

[datensicherheit.de, 07.01.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness-Webinar“ mit dem thematischen Schwerpunkt „IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“ ein:

itsbb-webinar-151025

Abbildung: it’s.BB e.V.

Einladung des it’s.BB e.V. zum 15. Januar 2025

Wichtigste Aspekte der IT-Sicherheit bei Implementierung „cloud“-basierter und hybrider Geschäftsprozesse

In diesem Web-Seminar sollen die wichtigsten Aspekte der IT-Sicherheit bei der Implementierung von „cloud“-basierten und hybriden Geschäftsprozessen beleuchtet werden.

Erörtert werden demnach bewährte Methoden zur Risikominderung, Datenschutzmaßnahmen und Strategien zur Gewährleistung der „Compliance“ unter Berücksichtigung von Regularien wie ISO 27001 und BSI C5.

Zudem sollen praktische Tipps zur erfolgreichen Integration und Verwaltung von „Cloud“- und Hybridlösungen vorgestellt werden.

„IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen“

Web-Seminar am Mittwoch, dem 15. Januar 2025 von 16.00 bis 17.00 Uhr
in Kooperation mit der IHK Berlin
Teilnahme kostenlos – Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung

  • Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG
  • Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

  • Einführung
  • „Grundlagen der IT-Sicherheit in Cloud- und hybriden Umgebungen“
  • „Risikobewertung und Bedrohungsanalyse“
  • „IT-Sicherheitskonzept: Verantwortlichkeiten, Sicherheitsstrategien und Maßnahmen“
  • „Compliance und Regularien“
  • „Datenschutz und Datensicherheit“
  • „Praktische Tipps zur Integration und Verwaltung“
    Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
IT-Sicherheitsstrategie bei Cloud-basierten und hybriden Geschäftsprozessen

]]>
https://www.datensicherheit.de/its-bb-e-v-einladung-jahresauftakt-webinar-15-januar-2025/feed 0
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden https://www.datensicherheit.de/e-rechnungen-gesetzeskonformitaet-standard-gobd-archivierung https://www.datensicherheit.de/e-rechnungen-gesetzeskonformitaet-standard-gobd-archivierung#respond Mon, 06 Jan 2025 18:55:59 +0000 https://www.datensicherheit.de/?p=45905 dvelop-nico-baeumerd.velop macht einen Faktencheck und gibt Ratschläge für eine erfolgreiche Bewältigung der E-Rechnungs-Pflicht.]]> dvelop-nico-baeumer

Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

[datensicherheit.de, 06.01.2025] Während so mancher Solo-Selbstständige die Herausforderung im Herbst 2024 vielleicht noch eher verdrängen wollte, steckten einige Großunternehmen schon mitten in der Vorbereitung oder hatten bereits entsprechende Lösungen implementiert. Klar war indes: Die E-Rechnung kommt – und das schrittweise ab 2025. Doch längst nicht allen Betroffenen sei klar, „was genau eigentlich eine E-Rechnung ist und welche Fristen und Vorgaben es zu beachten gilt“. In seiner Stellungnahme adressiert Nico Bäumer, „Chief Technology Officer“ bei d.velop, die häufigsten Irrtümer und Fehlannahmen zu diesem Thema und gibt hilfreiche Tipps für einen erfolgreichen Start.

dvelop-nico-baeumer

Foto: d.velop

Nico Bäumer: Unstrukturierte und nicht maschinenlesbare Dateien gelten nicht als E-Rechnung!

1. Annahme: Eine PDF-Detei ist eine E-Rechnung

Bäumer: „Nein! Eine elektronische Rechnung muss im strukturierten und elektronischen Format ausgestellt, übermittelt und empfangen sowie elektronisch verarbeitet werden können!“ Reine PDF-Dateien gehörten ebenso wie Bilddateien (JPEG etc.) nicht dazu. Er stellt klar: „Alle Dateien, die nicht strukturiert und maschinenlesbar sind, gelten nicht als elektronische Rechnung!“

Stattdessen gebe es dafür spezielle, XML-basierte und damit maschinenlesbare Dateiformate. In Deutschland seien zukünftig „XRechnung“ und „ZUGFeRD“ (ab der Version 2.0.1) zugelassen. Durch individuelle Vereinbarungen könnten auch weitere Formate zum Einsatz kommen, „sofern sie mit der CEN-Norm EN 16931 interoperabel sind“.

2. Annahme: Die E-Rechnung wird bereits ab Januar 2025 für alle Pflicht

„Jein.“ Ab dem 1. Januar 2025 müsse indes jedes Unternehmen E-Rechnungen empfangen und archivieren können. Anschließend gebe es eine Übergangsregelung (bis zum 31.12.2026), während der alle Unternehmen weiterhin Papierrechnungen oder falls vereinbart, Rechnungen im sonstigen elektronischen Format (z.B. PDF) ausstellen dürften. Für Unternehmen mit einem Vorjahresumsatz unter 800.000 Euro gelte zudem eine verlängerte Übergangsfrist bis zum 31. Dezember 2027. Ab dem 1. Januar 2028 sei dann die Einhaltung der neuen Anforderungen aber für alle B2B-Transaktionen verpflichtend.

Für das Privatkundengeschäft gebe es keine Pflicht zum Versand elektronischer Rechnungen. Daneben gibt es noch weitere Ausnahmen: „So fallen umsatzsteuerbefreite Posten nicht unter die E-Rechnungspflicht, ebenso wie Transaktionen mit im Ausland ansässigen Unternehmen.“ Auch Rechnungen für Kleinbeträge unter 250 Euro oder für Fahrausweise fielen nicht unter diese Vorgabe.

3. Annahme: Die E-Rechnung kann per E-Mail verschickt werden

„Ja, aber unter der Voraussetzung, dass das Format der angehängten elektronischen Rechnung alle gesetzlichen Voraussetzungen erfüllt“, erläutert Bäumer und erinnert nochmals daran: „Eine einfache PDF-Datei im Anhang einer E-Mail ist keine E-Rechnung!“ Außerdem sei der Kommunikationskanal per E-Mail nicht besonders geschützt und Absender erhielten keinen Zustellnachweis.

Dies sei nun bei spezialisierten digitalen Zustelldiensten (wie z.B. „d.velop postbox“) anders. Dort handele es sich um einen hochsicheren, DSGVO-konformen Zustellweg für E-Rechnungen und andere wichtige Dokumente. Eine weitere Möglichkeit sei die Bereitstellung der E-Rechnung zum sicheren Download auf der eigenen Website.

4. Annahme: Für den Empfang und die Zustellung der E-Rechnung muss eine spezielle Software implementiert werden

„Jein: Die Implementierung einer speziellen Software ist nicht verpflichtend, dennoch müssen digitale Belege im E-Rechnungsformat im Eingangsformat GoBD-konform archiviert werden.“ Häufig erfüllten klassische E-Mail-Postfächer diese Anforderung bereits. Dennoch erleichtere eine spezialisierte Software die Umsetzung und sichere zudem die Einhaltung von gesetzlichen Vorgaben.

Ein Dokumentenmanagement-System (DMS) umfasse die Anzeige, Bearbeitung, Archivierung und Löschung von elektronischen Dokumenten und ermögliche damit effiziente und sichere Interaktion mit E-Rechnungen. Ein entscheidender Vorteil dabei sei, dass die Systeme auch E-Rechnungen verschiedener Formate automatisch auslesen und weiterverarbeiten könnten. Anschließend könnten die digitalen Dokumente direkt GoBD-konform archiviert werden. Dieses digitale Archiv sei jederzeit einfach zu durchsuchen und alle benötigten Rechnungen der Vergangenheit seien so schnell zur Hand.

5. Annahme: E-Rechnungen sind unsicherer als Rechnungen in Papierform

„Nein!“, so Bäumer. E- Rechnungen könnten gesetzeskonform gemäß GoBD archiviert werden und seien dadurch leicht auffindbar und nachvollziehbar. Ein Berechtigungsmanagement schaffe zudem Schutz vor unerlaubten Zugriffen, während Versionierung vor Verlust und Manipulation schütze.

Zusätzlich könnten in sensiblen Bereichen qualifizierte elektronische Signaturen oder Siegel genutzt werden, um die Authentizität von Rechnungen zweifelsfrei zu garantieren und maximalen Fälschungsschutz zu gewährleisten.

E-Rechnung-Einführung: In der Pflicht eine echte Chance für die Digitalisierung erkennen!

Bäumers Fazit: „Auch wenn die E-Rechnung für Selbstständige oder Unternehmen vielleicht zunächst als Herausforderung wahrgenommen wird, liegt in ihr auch eine echte Chance für die Digitale Transformation!“

Denn angefangen bei der Buchhaltung ließen sich auch weitere Prozesse und Abteilungen digitalisieren bzw. automatisieren – dies führe zu Zeitersparnis, Vereinheitlichung von Systemen und Produktivitätssteigerung. „Mit einem starken Partner an der Seite und entsprechender Software zum Umgang mit digitalen Rechnungen – und darüber hinaus – gelingt die Umstellung reibungslos.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

]]>
https://www.datensicherheit.de/e-rechnungen-gesetzeskonformitaet-standard-gobd-archivierung/feed 0