[datensicherheit.de, 07.05.2024] Mehr als die Hälfte (54%) der Automobil-, Transport- und Logistikunternehmen in Deutschland sollen im Jahr 2023 von Phishing-Angriffen betroffen gewesen sein – dies zeigt demnach die aktuelle Kaspersky-Studie zur Cyber-Sicherheit in der Automobilbranche unter IT-Entscheidungsträgern auf. Für 19 Prozent der Unternehmen stelle Phishing entsprechend auch die aktuell größte Sorge dar – noch vor mit vernetzten Fahrzeugen verknüpften Gefahren wie schlüssellosem Zugang und Diebstahl (11%).

Phishing größte Sorge der Automobilbranche

Laut einer Statista-Prognose soll die Anzahl täglich versendeter und empfangener E-Mails bis zum Jahr 2026 auf 392,5 Milliarden E-Mails pro Tag ansteigen. „Dies eröffnet Cyber-Kriminellen eine ständig wachsende Angriffsfläche – zumal die Effektivität von Phishing-E-Mails durch KI-Tools zunimmt.“

Die aktuelle Kaspersky-Studie zeige auf, dass Phishing mit 19 Prozent die größte Sorge der Automobilbranche bilde – gefolgt von Schadsoftware (17%). Erst dahinter folgten Bedenken zum schlüssellosen Zugang und Diebstahl vernetzter Fahrzeuge (12%) sowie deren Überwachung und Datendiebstahl (11%). „Diese Sorgen decken sich mit den tatsächlich erfolgten und entdeckten Angriffen im vergangenen Jahr, von denen 54 Prozent auf Phishing zurückgingen.“

42% der Automobil-Unternehmen beklagen Angriffe mit Malware

Weiterhin beklagten mehr als vier von zehn Unternehmen der Kaspersky-Studie Attacken mit Schadsoftware (42%) und jeweils rund ein Viertel Angriffe auf die Lieferkette (26%) sowie Ransomware (24%). Erst dahinter folgten Angriffe auf vernetzte Fahrzeuge über WLAN oder Bluetooth (18%), in Form von schlüssellosem Zugang und Diebstahl (17%) oder durch Überwachung und Datendiebstahl (15%).

„Einige dieser Angriffe, gerade Spam und Phishing oder der Klick auf eine Datei, die beispielsweise Ransomware installiert, ließen sich erfolgreich abwehren, wenn Mitarbeiter die Methoden und Techniken der Cyber-Kriminellen kennen würden und dafür sensibler wären.“ Wie die aktuelle Kaspersky-Studie zeigt, sei das Bewusstsein in der Automobil-, Logistik- und Transportbranche für adäquate Cyber-Sicherheitsschulungen und -trainings durchaus vorhanden. Denn immerhin 42 Prozent betrachteten die Weiterbildung von Mitarbeitern als zweitwichtigsten Faktor für die Cyber-Sicherheit des Unternehmens.

Unternehmen der Automobil-, Logistik- und Transportbranche zum Schutz vor Phishing aufgerufen

„Unternehmen der Automobil-, Logistik- und Transportbranche sollten schnellstmöglich in ihren Phishing-Schutz investieren“, unterstreicht Marco Preuß, „Deputy Director“ des „Global Research & Analysis Team“ bei Kaspersky. Er führt aus: „Neben moderner Software und Schutztechnologien, die auch durch Regularien wie NIS-2 vorgeschrieben sind, ist die Schulung und Sensibilisierung der Mitarbeiter diesbezüglich die wirksamste Maßnahme.“

Kaspersky-Empfehlungen für mehr Schutz in der Automobilbranche:

1. Vorsicht bei Nachrichten, die den Eindruck von Dringlichkeit erwecken!
2. Kein seriöses Unternehmen fordert per E-Mail persönliche Informationen oder Kontodaten an!
3. Nur auf Links in E-Mails klicken oder Anhänge öffnen, wenn der Absender wirklich vertrauenswürdig ist!
4. Ist ein Absender seriös, aber der Inhalt einer Nachricht erscheint seltsam, sollten sich Nutzer über einen alternativen Kommunikationskanal (zum Beispiel telefonisch) beim Absender der E-Mail Gewissheit über die Authentizität der erhaltenen Nachricht verschaffen!
5. In Nachrichten auf verdächtige Anzeichen wie fehlende persönliche Anrede, Rechtschreibfehler, seltsamen Satzbau oder einen schlechten Schreibstil achten!
6. Die Schreibweise der URL einer Webseite überprüfen und dabei auf Buchstaben beziehungsweise Zahlen achten (eine Eins {1} ersetzt beispielsweise oft den kleinen Buchstaben l, oder eine Null den Buchstaben O)!
7. Updates und Patches zeitnah installieren, da damit Sicherheitslücken geschlossen werden!
8. Grundlegende Cyber-Sicherheitsschulungen (wie z.B. „Kaspersky Security Awareness“) oder eine Simulation eines Phishing-Angriffs durchführen, um sicherzustellen, dass Mitarbeiter wissen, wie sie Phishing-E-Mails von echten E-Mails unterscheiden können! Eine umfassende Sicherheitslösung mit Anti-Phishing-Funktionen (wie z.B. „Kaspersky Endpoint Security for Business“) verwenden, um vor Phishing zu schützen!
9. Dedizierte E-Mail-Schutzlösungen (wie z,B. „Kaspersky Secure Mail Gateway“) implementieren, die Phishing-Nachrichten automatisch herausfiltern!
10. Unternehmen sollten möglichst auf eine Kombination aus technischen Lösungen, die sowohl IT als auch OT schützen, und Mitarbeiterschulungen setzen („Kaspersky Industrial CyberSecurity“ z.B. bietet hier den effektivsten Schutz vor Angriffen dieser Art)!

Weitere Informationen zum Thema:

kaspersky
Cybersicherheit in der Automobilbranche

statista
Prognose zur Anzahl der täglich versendeten und empfangenen E-Mails weltweit von 2021 bis 2026

Je mehr Menschen vor dem Öffnen einer E-Mail nachdenken, desto geringer das Cyber-Infektionsrisiko für die gesamte Organisation

[datensicherheit.de, 02.05.2024] „Der Mensch bleibt nach wie vor der am häufigsten genutzte Angriffsvektor“ – dies ist laut Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4, eine der wichtigsten Erkenntnisse des am 1. Mai 2024 veröffentlichten „Data Breach Investigations Reports 2024“ von Verizon: 68 Prozent der für den Bericht ausgewerteten Sicherheitsverletzungen gehen demnach auf das Konto des Menschen ohne böswilligen Missbrauch von Berechtigungen.

Foto: KnowBe4

Dr. Martin Krämer: Der Missbrauch von Zugangsdaten bleibt ein Problem!

Durchschnittliche Zeit für Menschen zum Hereinzufallen auf Phishing liegt unter 60 Sekunden

Die allgemeine Melderate für Phishing habe in den letzten Jahren zugenommen. Die von den Partnern der Studie im Jahr 2023 zur Verfügung gestellten Daten hätten bestätigt, „dass 20 Prozent der Mitarbeiter Trainings mit simuliertem Phishing durchlaufen hatten und elf Prozent sich bei der IT-Abteilung meldeten, nachdem sie auf eine E-Mail geklickt hatten“. Dies sei grundsätzlich eine erfreuliche Nachricht.

Dr. Krämer erläutert: „Im Durchschnitt vergehen nach dem Öffnen einer E-Mail 21 Sekunden, bis ein bösartiger Link angeklickt wird, und dann nur noch 28 Sekunden, bis die Person, die in die Falle des Phishings getappt ist, ihre Daten eingibt.“ Die durchschnittliche Zeit, um auf Phishing hereinzufallen, betrage also weniger als 60 Sekunden. „Daraus folgt, dass Zeit wirklich von entscheidender Bedeutung ist“, betont Dr. Krämer. Er stellt klar: „Je mehr Menschen vor dem Öffnen einer E-Mail überlegen, desto geringer das Infektionsrisiko für die gesamte Organisation.“

Mittels Pretexting versuchen Angreifer über ins Visier genommene Menschen Informationen, Zugang oder Geld zu erlangen

Er berichtet weiter: „Die weiteren Ergebnisse zeigten auf, dass 32 Prozent der Sicherheitsverletzungen die Folge von Ransomware oder Erpressung und 28 Prozent auf Software- oder Konfigurationsfehler zurückzuführen waren.“ Beachtliche 15 Prozent seien auf Dritte, also Software-Supply-Chain-Infektionen zurückzuführen. Finanziell motivierte Bedrohungsakteure seien weiterhin erfolgreich, denn 59 und 66 Prozent der Ransomware- und anderen Erpressungsangriffe seien finanziell motiviert.

Weitere 25 Prozent der finanziell motivierten Sicherheitsverstöße seien sogenannte Pretexting-Angriffe. „Bei Pretexting handelt es sich um eine Social-Engineering-Taktik, bei der ein Angreifer versucht, Informationen, Zugang oder Geld zu erlangen, indem er ein Opfer dazu verleitet, ihm zu vertrauen.“ Bekannte Formen seien CEO-Fraud, Business-E-Mail Compromise (BEC), IT-Support-Anfragen oder aber angebliche Außendienstmitarbeiter.

IT-Schwachstellen haben konkret erhebliche Auswirkungen auf Menschen

Zu den Schwachstellen mit den größten Auswirkungen habe „MOVEit“ gezählt: „Dabei handelte es sich um einen Zero-Day-Angriff, der zu nachfolgenden Erpressungsangriffen durch Cyber-Kriminelle führte.“ Die Schwachstelle habe enorme Auswirkungen gehabt, wie es ebenfalls im „Security Culture Report“ von KnowBe4 hervorgehoben werde. „Die russischsprachige Hacker-Gruppe ,Clop’ war für die Ausnutzung verantwortlich und war in 2023 besonders aktiv. Ihr Fokus lag auf Unternehmen der IT-Branche, die sie mit Erpressungsversuchen ins Visier nahmen.“

Inzwischen werde vermutet, dass die Angriffe auf diese Unternehmen zu einer weiteren Kompromittierung von über 2.000 Organisationen geführt habe. „Wenig war in der damaligen Berichterstattung über die etwa 900 betroffenen Schulen und die kompromittierten sensiblen Daten von über 51.000 Personen zu lesen. Die IT-Schwachstelle hatte also erhebliche Auswirkungen.“

Security-Awareness-Training muss konsequent auf den Faktor Mensch abzielen

Daraus folgte, dass Security-Awareness-Training weiterhin auf den menschlichen Faktor abzielen müsse. Nur dann werde es Organisationen gelingen, die im Report genannten 68 Prozent aller Angriffe wirksam zu bekämpfen. Das beliebteste Einfallstor sei die E-Mail, aber auch Soziale Plattformen würden von Cyber-Kriminellen immer häufiger genutzt.

„Der Bericht unterstreicht darüber hinaus die Bedeutung einer sorgfältigen Verwaltung von Anmeldeinformationen“, so Dr. Krämer abschließend. Der Missbrauch von Zugangsdaten bleibe also ein Problem, dass sich trotz aller Technischen und Organisatorischen Maßnahmen (TOM) eher vergrößere.

Weitere Informationen zum Thema:

verizon
2024 Data Breach Investigations Report

KnowBe4
SECURITY CULTURE REPORT 2024

datensicherheit.de, 29.10.2022
Den menschlichen Faktor verstehen, um Datenverlusten vorbeugen / IT-Abteilungen müssen vorbeugend aktiv werden, um Datenabflüsse zu unterbinden

datensicherheit.de, 02.06.2022
Der Faktor Mensch: Proofpoint stellt diesjährigen Report vor / Laut Report 2022 100.000 Smartphone-Angriffe täglich und Verdoppelung der Smishing-Versuche

CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 25.04.2024] Laut einer aktuellen Meldung von Check Point soll es in den letzten sechs Monaten weltweit 36 Wahlen gegeben haben. „Check Point Research“ (CPR) hat diese nach eigenen Angaben beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren. In seinem Kommentar fasst Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, die Erkenntnisse kurz zusammen und geht auf die Frage ein, was dies für die deutschen Wahlen im Jahr 2024 bedeutet.

Foto: Check Point

Marco Eggerling warnt: Auch Hacker-Banden könnten mittels KI versuchen, eine Wahl technisch zu attackieren!

Einsatz generativer KI zur Verbesserung der eigenen Kampagne oder Diskreditierung der gegenerischen

„Unsere Sicherheitsforscher haben weltweit viele Wahlen der letzten Monate beobachtet und den Einsatz von KI im Zusammenhang mit selbigen ausgewertet. Dabei kam heraus, dass generative KI von Kandidaten zur Verbesserung der eigenen Kampagne angewendet wurde, oder von gegnerischen Kandidaten (oder Gruppierungen), um bestimmte Kandidaten oder Parteien zu diskreditieren“, berichtet Eggerling.

Das Spektrum habe dabei Bilder, Videos und Tonaufnahmen umfasste – „sogar ganze Bücher, die in Gänze mit KI erstellt wurden, um eine strategisch kalkulierte Wirkung bei Wählern zu erzielen“. Gemeinsam sei fast allen solchen Aktionen gewesen, dass diese „auf den letzten Drücker“, kurz vor dem Wahltag, lanciert worden seien, um einen Skandal auszulösen – „kaum zu verhindern, zeitlich schwer für Wahlberechtigte zu prüfen und für die Betroffenen so gut wie nicht zu berichtigen“.

In Deutschland auf Schmutzkampagnen mittels KI-Inhalten vorbereiten!

Eggerling rät: „Entsprechend sollten auch wir Deutschen, mit drei Landtagswahlen und der Europawahl vor den Augen, uns auf dergleichen Schmutzkampagnen mittels KI-Inhalten vorbereiten!“ Aufklärung werde hierzu am meisten helfen, „damit die Bürger besser in der Lage sein werden, solche Inhalte zu erkennen und dadurch Fakt von Fiktion trennen zu können“. Daneben sollten Sicherheitslösungen installiert werden, „welche KI-Inhalte erkennen und blockieren, um die Verbreitung gefälschter Informationen jeder Art zu vermindern“.

Außerdem helfe es sicherlich, davon auszugehen, dass manche Hacker-Banden mit KI versuchen könnten, eine Wahl technisch zu attackieren und die Systeme dann entsprechend geschützt sein müssten. Andernfalls drohe missbrauchte generative KI direkten Einfluss auf die hiesige Demokratie zu nehmen.

Zwar nutzen Finanzinstitute KI-Werkzeuge zur Cyber-Verteidigung – aber auch KI-gestützte Angriffe nehmen weiter zu

[datensicherheit.de, 24.04.2024] Eine eigene aktuelle Umfrage zeigt laut BioCatch einen „erschreckenden Trend“ auf: Zwar nutzten Finanzinstitute Werkzeuge der Künstlichen Intelligenz (KI) zur Cyber-Verteidigung, aber auch KI-gestützte Angriffe nähmen weiter zu. BioCatch hat nach eigenen Angaben seinen ersten jährlichen Bericht über Betrug und Finanzkriminalität mit KI-Schwerpunkt veröffentlicht. Hierzu seien 600 Experten in elf Ländern auf vier Kontinenten – unter anderem aus den Bereichen Betrugsmanagement, AML (Anti-Money Laundering) und Compliance – befragt worden.

Abbildung: BioCatch

BioCatch: „2024 AI, Fraud, and Financial Crime Survey / AI’s Role in Perpetrating and Fighting Financial Crime“

Künstliche Intelligenz kann jeden erdenklichen Finanz-Betrug optimieren

Der Bericht zeige eine beunruhigende Entwicklung: „Cyber-Kriminelle nutzen KI und können bessere, umfassendere und erfolgreichere Betrugsversuche auf Banken und die Finanzbranche durchführen. Dafür benötigen sie kaum Bankexpertise oder technisches Know-how.“ Fast 70 Prozent gäben an, dass die Angreifer KI geschickter einsetzten als Banken ihrerseits bei der Bekämpfung der Attacken. Ebenso besorgniserregend sei, dass etwa die Hälfte der Befragten mehr Angriffe im letzten Jahr – 2023 – festgestellt hätten oder für 2024 erwarteten.

„Künstliche Intelligenz optimiert jeden erdenklichen Betrug“, warnt daher Tom Peacock, „Director of Global Fraud Intelligence“ bei BioCatch. Er erläutert: „Sie lokalisiert Sprache und Eigennamen perfekt, so dass für jedes Opfer personalisierte Betrugsversuche entstehen – mit Bildern, Videos oder Audio-Inhalten.“ Somit ermögliche KI „grenzenlose Betrügereien“ – „und das erfordert neue Strategien und Technologien der Finanzinstitute, um Kunden zu schützen“, betont Peacock.

Finanz-Betrugsfälle durch synthetische Identitäten

Überraschend sei besonders ein Ergebnis: „91 Prozent der Befragten geben an, dass ihr Unternehmen bei wichtigen Kunden die Sprachverifizierung überdenkt. Der Grund hierfür ist die Stimmerzeugung durch KI.“ Bei 70 Prozent hätten Finanzinstitute im letzten Jahr die Verwendung synthetischer Identitäten bei der Neukundenakquise identifiziert. Die Federal Reserve (FED) schätzt, „dass bisher eingesetzte Betrugsmodelle bis zu 95 Prozent der synthetischen Identitäten nicht erkennen, die für die Beantragung neuer Konten verwendet werden“. Demnach wachse die Finanzbetrugszahl durch synthetische Identitäten am schnellsten in den USA – „und sie kostet Unternehmen jedes Jahr Milliarden von Dollar“.

„Wir dürfen uns nicht mehr nur auf unsere Sinne verlassen, um digitale Identitäten zu überprüfen“, unterstreicht Jonathan Daly, „CMO“ von BioCatch. Das KI-Zeitalter erfordere neue Methoden zur Authentifizierung. „Bei unserer Arbeit haben wir gesehen, dass wir Signale der Verhaltensintention nutzen sollten. Dieser Ansatz hilft Finanzinstituten dabei, Deepfakes und Stimmklone in Echtzeit zu erkennen. Und so lässt sich das hart verdiente Geld der Kunden besser schützen.“

Weitere zentrale Ergebnisse der Umfrage zur Bedrohung der Finanzinstitute:

KI sei eine teure Bedrohung
Mehr als die Hälfte der befragten Banken gäben an, im Jahr 2023 zwischen fünf und 25 Millionen US-Dollar durch KI-gestützte Angriffe verloren zu haben.

Finanzinstitute nutzten ebenfalls KI
Bei drei Viertel der Befragten verwende der Arbeitgeber bereits KI zur Erkennung von Betrug oder Finanzkriminalität. 87 Prozent berichteten, dass die Technologie die Reaktionsgeschwindigkeit auf potenzielle Bedrohungen erhöht habe.

Kommunikation sei essenziell
Mehr als 40 Prozent der Befragten sagten, dass ihr Unternehmen Betrug und Finanzkriminalität in getrennten Abteilungen behandele und diese nicht zusammenarbeiteten. 90 Prozent der Befragten seien der Meinung, dass Finanzinstitute und Regierungsbehörden mehr Informationen austauschen müssten, um Betrug und Finanzkriminalität zu bekämpfen.

KI zur Unterstützung beim Informationsaustausch
Fast jeder Befragte vermute, dass er in den nächsten zwölf Monaten KI einsetzen werde, um Informationen über Hochrisikopersonen („high-risk individuals“) zwischen Banken auszutauschen.

„Heutzutage sind Betrüger organisiert und clever“, so Gadi Mazor, „CEO“ von BioCatch. Er kommentiert: „Sie arbeiten zusammen und tauschen Informationen aus. ,Fraud Fighter’ – einschließlich Banken, Regulierungs- sowie Strafverfolgungsbehörden und Lösungsanbieter wie wir – müssen genauso handeln. Nur so können wir die steigenden Betrugszahlen weltweit wieder umkehren.“

Weitere Informationen zum Thema:

BioCatch
2024 AI, Fraud, and Financial Crime Survey / AI’s Role in Perpetrating and Fighting Financial Crime

THE FEDERAL RESERVE
PAYMENTS FRAUD INSIGHTS OCTOBER 2019 / Detecting Synthetic Identity Fraud in the U.S. Payment System

Der diesjährige Report enthält Trends zu Phishing-Aktivitäten und -Taktiken sowie Best Practices zur Steigerung der Sicherheit von Unternehmen

[datensicherheit.de, 23.04.2024] Der jährliche „ThreatLabz Phishing“-Report soll die Evolution der Phishing-Landschaft enthüllen und die Notwendigkeit einer „Zero Trust“-Architektur unterstreichen: Zscaler, Inc. hat nach eigenen Angaben den jährlichen „Zscaler ThreatLabz 2024 Phishing“-Report veröffentlicht, für den zwei Milliarden blockierte Phishing-Transaktionen in der „Zscaler Zero Trust Exchange“-Plattform zwischen Januar und Dezember 2023 analysiert worden seien. Demnach haben die weltweiten Phishing-Angriffe im Jahresvergleich um fast 60 Prozent zugenommen. Dieser Anstieg sei unter anderem auf den Einsatz von generativer KI in Angriffstechniken wie Voice-Phishing (Vishing) und Deepfake-Phishing zurückzuführen. Der diesjährige Report enthalte Trends zu Phishing-Aktivitäten und -Taktiken sowie „Best Practices“ zur Steigerung der Sicherheit von Unternehmen.

Foto: Zscaler

Deepen Desai warnt: Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung!

Robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombinieren!

„Phishing ist nach wie vor eine hartnäckige und oft unterschätzte Bedrohung, die zunehmend mit ausgefeilteren Methoden aufwartet, da zur Intensivierung von Angriffen auf generative KI und die Manipulation vertrauenswürdiger Plattformen gesetzt wird”, berichtet Deepen Desai, „CSO“ und Leiter der Sicherheitsforschung. Er führt aus: „In diesem Zusammenhang sind die neuesten Ergebnisse des ,ThreatLabz’-Reports wichtiger denn je, um Strategien zu entwickeln und die Phishing-Abwehr zu stärken.“

Diese Erkenntnisse unterstrichen die Notwendigkeit eines proaktiven, mehrschichtigen Sicherheitsansatzes, „der eine robuste Zero-Trust-Architektur mit fortschrittlicher, KI-gestützter Phishing-Prävention kombiniert, um diesen Bedrohungen wirksam zu begegnen“.

Mehr als die Hälfte aller Phishing-Angriffe in Nordamerika – gefolgt von EMEA und Indien

2023 seien die Vereinigten Staaten (55,9%), das Vereinigte Königreich (5,6%) und Indien (3,9%) die Hauptziele von Phishing-Betrug gewesen. Das häufige Auftreten von Phishing in den USA sei auf die digitale Infrastruktur, die große Anzahl von Internet-Anwendern und die intensive Nutzung von Online-Finanztransaktionen zurückzuführen.

Kanada (2,9%) und Deutschland (2,8%) vervollständigten die „Top Five“ der Länder mit den meisten Phishing-Versuchen. Die meisten Phishing-Angriffe gingen demnach von den USA, Großbritannien sowie Russland aus und auch Australien sei in die „Top Ten“ aufgestiegen, da das Volumen der in diesem Land gehosteten Phishing-Inhalte im Vergleich zum Vorjahr um 479 Prozent gestiegen sei.

Finanzbranche erlitt Anstieg der Phishing-Angriffe um fast 400 Prozent

Der Finanz- und Versicherungssektor habe die höchste Zahl von Phishing-Versuchen verzeichnet, die im Vergleich zum Vorjahr um 393 Prozent zugenommen hätten. Die Abhängigkeit von digitalen Finanzplattformen biete Bedrohungsakteuren reichlich Gelegenheit für die Durchführung ihrer Phishing-Kampagnen – aufbauend auf Schwachstellen in diesem Sektor.

Die Fertigungsindustrie habe von 2022 bis 2023 ebenfalls einen deutlichen Anstieg von 31 Prozent an Phishing-Angriffen verzeichnet, was die Anfälligkeit der Branche unterstreiche. „Da Fertigungsprozesse immer stärker von digitalen Systemen und vernetzten Technologien wie IoT/OT abhängen, steigt auch das Risiko von unbefugten Zugriffen oder Störungen, die von Bedrohungsakteuren ausgehen.“

Microsoft bleibt am häufigsten von Phishing-Angriffen ausgenutzte Marke

Die „ThreatLabz“-Forscher hätten festgestellt, dass Unternehmensmarken wie Microsoft, OneDrive, Okta, Adobe und SharePoint ein bevorzugtes Ziel für Imitationen darstellten. Die weite Verbreitung dieser „Brands“ gehe mit einem hohen Wert von gestohlenen Anmeldedaten für diese Plattformen einher und lasse sie zum lohnenden Ziel werden.

Microsoft (43%) sei im Jahr 2023 die am häufigsten imitierte Unternehmensmarke gewesen, wobei die Plattformen OneDrive (12%) und SharePoint (3%) ebenfalls unter den ersten fünf Plätzen rangierten und ein lukratives Ziel für Cyber-Kriminelle darstellten.

Zero-Trust-Architektur kann Phishing-Angriffe entschärfen

Eine „Zero Trust“-Architektur mit moderner, KI-gestützter Phishing-Prävention biete Schutz gegen die sich ständig weiterentwickelnde Bedrohungslandschaft. Die „Zero Trust Exchange“-Plattform helfe dabei, konventionelle und KI-gesteuerte Phishing-Angriffe in mehreren Stufen der Angriffskette zu unterbinden:

Verhindern der Kompromittierung
Skalierbare TLS/SSL-Prüfung, KI-gestützte Browser-Isolierung und richtliniengesteuerte Zugriffskontrollen verhinderten den Zugriff auf verdächtige Websites.

Eliminieren von Seitwärtsbewegungen
Nutzer würden sich direkt mit Anwendungen verbinden und nicht mit dem Netzwerk, während die KI-gestützte App-Segmentierung den Aktionsradius eines potenziellen Vorfalls begrenze.

Abschalten von kompromittierten Usern und Insider-Bedrohungen
Die Inline-Inspektion verhindere Versuche, private Anwendungen auszunutzen, und die integrierten Täuschungsfunktionen würden auch raffinierteste Angreifer erkennen.

Stoppen von Datenverlusten
Die Inspektion von Daten in Bewegung und im Ruhezustand verhindere den potenziellen Diebstahl durch einen aktiven Angreifer.

Weitere Informationen zum Thema:

zscaler
Zscaler ThreatLabz 2024 Phishing Report / Phishing attacks surged by 58% last year

Die schleswig-holsteinische Behörde hatte 2023 den DSK-Vorsitz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

[datensicherheit.de, 22.04.2024] Keeper hat in einer Stellungnahme von Mtte März 2024 vor Cyber-Risiken gewarnt, welche insbesondere die Online-Sicherheit von Reisenden gefährden können und gibt folgenden Rat: „In Zeiten der umfassenden Digitalisierung und Vernetzung gilt es auch während eines Urlaubs oder einer Reise verantwortungsvoll mit der eigenen digitalen Sicherheit umzugehen.“ Dies sei nun im Prinzip keine neue Botschaft – allerdingshabe eine aktuelle Studie von Keeper bestätigt, „dass viele Nutzer von Computern, Tablets oder Mobilgeräten noch keinen genügenden Schutz für ihre Passwärter etabliert haben, um den digitalen Zugang zu sensiblen privaten und geschäftlichen Applikationen und Daten sicherzustellen“. Weltweit 64 Prozent der Befragten nutzten entweder nur schwache Passwörter oder Variationen von Passwörtern zum Schutz ihrer Online-Konten. Gleichzeitig seien aber 80 Prozent der Datenschutzverletzungen auf kompromittierte Anmeldeinformationen zurückzuführen. Um die digitale Sicherheit auch auf Reisen und in ungeschützten Umgebungen aufrecht zu erhalten, gibt Keeper hilfreiche Tipps – denn die bevorstehenden Pfingst- und Sommerferien seien u.a. auch „Hochsaison für Cyber-Kriminelle“.

Reiselust statt Cyber-Frust

„Laut einer aktuellen Untersuchung der Stiftung für Zukunftsfragen nimmt die Reiselust der Deutschen weiter zu: Mehr als sechs von zehn Bundesbürgern planen bereits ihren nächsten Urlaub und die Reisefrequenz hat inzwischen das Vor-,Corona’-Niveau von 61 Prozent erreicht und liegt sogar drei Prozentpunkte über dem Vorjahresniveau.“

Egal, aus welchem Grund man reist – in jedem Fall komme der Sicherheit von Online-Konten, persönlichen sowie Finanzdaten eine große Bedeutung zu. Scheinbar harmlose Gewohnheiten wie schlechte Passwörter, das Speichern von Passwörtern in unsicheren Dokumenten oder „Tools“ oder etwa das Veröffentlichen eines Reiseziels in Sozialen Medien könnten nun dazu führen, dass sensible Informationen oder wichtige Kontendaten von versierten Cyber-Kriminellen missbraucht werden.

5 Tipps zur Cyber-Sicherheit, um sich vor -angriffen zu schützen:

1. Gerätesicherheit steht an erster Stelle
Stellen Sie sicher, dass alle elektronischen Geräte mit den neuesten Sicherheitsupdates und Patches ausgestattet sind. Achten Sie auf wichtige Benachrichtigungen und installieren Sie Updates möglichst umgehend.
Am einfachsten ist es, wenn man die automatische Update-Funktion aktiviert. Mit Software-Updates werden nicht nur bestehende Funktionen verbessert, Fehler behoben und die Leistung erhöht, sondern auch Sicherheitslücken geschlossen und neue Sicherheitsmaßnahmen hinzugefügt – deshalb sind sie wichtiger Bestandteil einer Sicherheitsstrategie.

2. Online-Konten bestmöglich schützen
Legen Sie sichere und eindeutige Passwörter fest, die mindestens 16 Zeichen lang sind – welche keine gängigen Wörter, Muster oder fortlaufende Zahlen enthalten, sondern aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen.
Die Sicherheit eines Kontos lässt sich außerdem durch eine Zwei-Faktor-Authentifizierung (2FA) deutlich verbessern. Diese zusätzliche Schutzebene stellt sicher, dass selbst bei einer Kompromittierung des Passworts ein unbefugter Zugriff verhindert wird. Erleichterung bietet an dieser Stelle ein Passwort-Manager. Er kann sichere Passwörter erstellen, speichern und automatisch ausfüllen.

3. VPN first – öffentliche Ladestationen und Wi-Fi meiden
Vermeiden Sie öffentliche USB-Ladestationen, um „Juice Jacking“-Angriffe zu verhindern. Denn Cyber-Kriminelle können Malware auf diese Ladestationen laden und damit auf fremde Geräte zugreifen. Zudem sollte das automatische Verbinden von WLAN- und „Bluetooth“-Verbindung ausgeschaltet sein und öffentliche WLAN-Netzwerke vermieden werden, weil sie meist ungesichert und anfällig für Angriffe sind.
Verwenden Sie stattdessen die Hotspot-Funktion Ihres Telefons und nutzen Sie ein virtuelles privates Netzwerk (VPN), um Ihre Verbindung zu verschlüsseln und sich vor Cyber-Bedrohungen zu schützen, wenn Sie von unterschiedlichen Standorten aus auf Ihre Konten zugreifen.

4. Achtsamer Umgang mit den Sozialen Medien
Im Umgang mit den Sozialen Medien sollte man vorsichtig sein und keine Reisepläne und Urlaubsinformationen veröffentlichen. Die Bekanntgabe eines Standorts in Echtzeit kann Sie zur Zielscheibe von Cyber-Angriffen und physischen Straftaten machen:
Sie geben nicht nur Ihren Standort und Ihre persönlichen Daten preis, sondern machen Diebe auch darauf aufmerksam, dass Sie nicht zuhause sind. Am besten ist es, wenn Sie diese Informationen nur mit vertrauenswürdigen Kontakten austauschen und Reisedetails erst nach der Rückkehr posten.

5. Für den Notfall: Zugriff auf wichtige Dokumente einrichten
Das Risiko, dass wichtige Finanz-, Ausweis- und andere Dokumente verloren gehen oder gestohlen werden, ist auf Reisen besonders hoch. Reisende sollten sich deshalb Sicherheitskopien wichtiger Karten und Dokumente machen und diese in einen sicheren Passwort-Manager hochladen.
Alternativ kann auch ein verschlüsselter Dienst (wie z.B. „One Time Share“) genutzt werden, um wichtige Informationen sicher an ein Familienmitglied oder eine vertrauenswürdige Person weiterzugeben, damit diese im Notfall darauf zugreifen kann.

Umsetzung robuster Cyber-Sicherheitspraktiken auch auf Reisen unerlässlich

„Da die Cyber-Kriminalität immer und überall präsent ist, ist die Umsetzung robuster Cyber-Sicherheitspraktiken auf Reisen unerlässlich“, betont Darren Guccione, „CEO“ und Mitbegründer von Keeper. Daher möchte Keeper den Menschen „Tools“ an die Hand zu geben, welche ihre digitale Widerstandsfähigkeit erhöhen. „Mit einem sicheren Passwort-Manager können sich Reisende auf ein unbeschwertes und sicheres Reiseerlebnis freuen“, so Gucciones Rat.

Keeper kenne die dynamische Natur von Cyber-Bedrohungen und empfiehlt deshalb „zusätzlich zur Einhaltung von ,Best Practices’ auch die Förderung der digitalen Kompetenz und Bereitschaft, sich mit den Herausforderungen der Cyber-Kriminalität auseinander zu setzen“. Keeper bietet deshalb nach eigenen Angaben „zahlreiche Wissensbeiträge zu Cyber-Sicherheitsthemen, die von Tipps zu Reisevorbereitungen bis hin zu Cyber-Angriffen reichen.“

Weitere Informationen zum Thema:

KEEPER
Passwortverwaltungsbericht: Wahrnehmung und Realität

KEEPER
What To Look for in a Password Manager

Stiftung für Zukunftsfragen, 06.02.2024
Stiftung für Zukunftsfragen stellt 40. Deutsche Tourismusanalyse vor / Deutsche Tourismusanalyse 2024: Die Reisewelle rollt

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

Sicherheit digitaler Infrastrukturen gewährleisten und grenzüberschreitende Cyber-Kriminalität effektiv bekämpfen

[datensicherheit.de, 20.04.2024] Die Kriminalität verlagert sich in unserer Zeit offensichtlich zunehmend ins Digitale, wobei laut einer aktuellen Stellungnahme von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, „die Zahl der Cyber-Bedrohungen in den letzten Jahren dramatisch angestiegen ist“. Zur Identifikation der Länder mit dem höchsten Niveau an Cyber-Kriminalität wurde demnach nun von einem Forschungsteam der erste „World Cybercrime Index“ entwickelt.

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt einen ganzheitlichen Ansatz für Cyber-Sicherheit, um die -Resilienz zu stärken

Deutschland sollte Strategie zur Cyber-Sicherheit überprüfen und gegebenenfalls anpassen

Dr. Krämer erläutert: „An der Spitze dieses Indexes, der Länder mit dem höchsten Niveau an Cyber-Kriminalität identifiziert, stehen Länder wie Russland, die Ukraine, China, die USA und Nigeria. Überraschenderweise befindet sich auch das Vereinigte Königreich unter den ersten zehn.“

Für Deutschland und andere europäische Länder bedeute dies, dass sie ihre Strategien zur Cyber-Sicherheit überprüfen und gegebenenfalls anpassen müssten, um sich gegen mögliche Bedrohungen aus eben diesen Ländern wirksam zu schützen.

Die Präsenz mehrerer europäischer Länder in dieser Liste verlange nach einer „koordinierten Antwort auf europäischer Ebene“, um die Sicherheit digitaler Infrastrukturen zu gewährleisten und grenzüberschreitende Cyber-Kriminalität effektiv zu bekämpfen.

Index unterstützt strategische Zuweisung von Ressourcen im Kampf gegen Cyber-Bedrohungen

„Der Index erweist sich insbesondere als entscheidend für die strategische Zuweisung von Ressourcen im Kampf gegen Cyber-Bedrohungen. Durch die Identifikation der Hauptzentren der Cyber-Kriminalität können sowohl öffentliche als auch private Akteure ihre Sicherheitsmaßnahmen gezielt anpassen, sich auf die am stärksten betroffenen Regionen konzentrieren und gleichzeitig Ressourcen in weniger gefährdeten Bereichen einsparen.“

Für diese Einschätzungen seien insgesamt 92 Experten für Cyber-Kriminalität weltweit befragt worden, welche verschiedene Länder nach fünf Hauptkategorien der Cyber-Kriminalität bewertet hätten – „nicht nur basierend auf dem Umfang, sondern auch auf der Raffinesse und den Fähigkeiten der Cyber-Kriminellen“. Da sich böswillige Akteure oft hinter gefälschten Online-Profilen verbergen würden, stelle dieser Index ein „wertvolles Werkzeug zur Durchbrechung dieser Anonymität“ dar und biete ein klareres Bild der „Landschaft der Cyber-Kriminalität“.

„Zudem ermöglicht es der Index, aufkommende Hotspots der Cyber-Kriminalität frühzeitig zu erkennen“, unterstreicht Dr. Krämer. Dies führe dazu, dass präventive Maßnahmen in gefährdeten Ländern ergriffen werden könnten, „bevor sie ernsthafte Probleme mit Cyber-Kriminalität entwickeln“. Dieser proaktive Ansatz ermögliche es Unternehmen, einen entscheidenden Schritt zu machen, um auf den weltweiten Anstieg von Cyber-Bedrohungen mit wirksamen Verteidigungsstrategien zu reagieren.

Regelmäßige Security-Awareness-Trainings schärfen Bewusstsein für Cyber-Bedrohungen

Der „World Cybercrime Index“ repräsentiere einen entscheidenden Fortschritt im Verständnis und in der Bekämpfung der Cyber-Kriminalität auf globaler Ebene. „Indem er präzise aufzeigt, welche Länder als Hotspots gelten, ermöglicht der Index Cyber-Sicherheitsexperten, sich gezielter auf die Bekämpfung dieser sich rasch entwickelnden Bedrohungen vorzubereiten“, so Dr. Krämer.

Diese Erkenntnisse seien von unschätzbarem Wert, da sie nicht nur zur Entwicklung effektiverer Cyber-Sicherheitsstrategien beitrügen, sondern auch dazu, die digitale Welt insgesamt sicherer zu gestalten.

Um das Risiko von Cyber-Angriffen zu minimieren, sei es zudem entscheidend, „dass Unternehmen weltweit nicht nur in technologische Lösungen investieren, sondern auch in die Schulung ihrer Mitarbeiter“. Regelmäßige Security-Awareness-Trainings schärften das Bewusstsein für Cyber-Bedrohungen bei jedem einzelnen und stärkten somit die Sicherheitskultur innerhalb des ganzen Unternehmens. Abschließend betont Dr. Krämer: „Dieser ganzheitliche Ansatz ist essenziell, um die Cyber-Resilienz zu stärken und eine robuste menschliche Verteidigungslinie als notwendige Ergänzung zu technischen Sicherheitsmaßnahmen zu etablieren.“

Weitere Informationen zum Thema:

PLOS ONE, Miranda Bruce & Jonathan Lusthaus & Ridhi Kashyap & Nigel Phair & Federico Varese, 10.04.2024
Mapping the global geography of cybercrime with the World Cybercrime Index

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit übergab den Report an die Bürgerschaftspräsidentin

[datensicherheit.de, 16.04.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat laut einer eigenen Meldung vom 15. April 2024 seinen „Tätigkeitsbericht Datenschutz 2023“ vorgestellt: Die Beschwerden nähmen zu – die Unternehmen vernachlässigten häufig die Löschpflichten. Im Hamburger Rathaus übergab der HmbBfDI, Thomas Fuchs, seinen Tätigkeitsbericht an die Bürgerschaftspräsidentin, Carola Veit.

Abbildung: HmbBfDI

„Tätigkeitsbericht Datenschutz 2023“ in Hamburg vorgestellt

KI-Verordnung: Aufsicht sollte bei Datenschutzbehörden liegen

Zur kürzlich verabschiedeten KI-Verordnung (KI-VO) behandelt der Tätigkeitsbericht 2023 demnach eine entscheidende Frage in der Einleitung: „Wer wird in Deutschland die Aufsicht über deren Einhaltung übernehmen?“

Fuchs benennt hierzu eine klare Zuständigkeit:„Meines Erachtens kommen für die Aufsicht über die Anwendung von KI-Systemen nur die Datenschutzaufsichtsbehörden in Betracht. Wir kennen die IT-Systeme der Behörden und Unternehmen, insoweit sie personenbezogene Daten verarbeiten.“ Er warnt: „Neue Aufsichtsstrukturen führen nur zu mehr Bürokratie für die Anwender.“

Bei wichtigen politischen Themen sind Datenschutzbehörden laut KI-VO ohnehin zuständig

Bei wichtigen politischen Themen würden die Datenschutzbehörden nach der KI-VO ohnehin zuständig sein. „Wenn KI zur Strafverfolgung oder in Migrationsfragen eingesetzt wird oder Wahlen beeinflussen könnte, werden Datenschutzbehörden die Aufsicht führen.“

Fuchs fordert: „Diese Aufsicht sollte zu einer allgemeinen Zuständigkeit vervollständigt werden: So würden konkrete Risiken beim Einsatz von KI-Produkten, wie Gefährdungen für Gesundheit, Sicherheit und Grundrechtsschutz aus einer Hand kontrolliert werden.“

Zunahme der gemeldeten Datenschutz-Verletzungen…

Die Zahl der Beschwerdeverfahren habe wieder zugenommen und liege mit 2.537 Fällen knapp 20 Prozent über dem Vorjahreswert von 2.160. Dieser Anstieg sei größtenteils auf eine wachsende Zahl von Beschwerden im Zusammenhang mit Produkten von „Meta“ und „Google“ und die federführende Rolle des HmbBfDI in Deutschland für diese Unternehmen zurückzuführen.

Weiter ansteigend seien auch die gemeldeten Datenschutz-Verletzungen: „Nach 859 Fällen im Vorjahr stieg die Zahl der Data-Breach-Meldungen auf insgesamt 925, die Zahl gemeldeter Hacker-Angriffe auf 235 (im Vorjahr 227). Nur zur Erinnerung: Im Jahr 2019 gab es in Hamburg nur 74 gemeldete Hacker-Angriffe.“ Zudem habe der HmbBfDI 20 Bußgeldverfahren im Jahr 2023 eingeleitet.

Unternehmen vernachlässigen Löschpflichten für nicht mehr genutzte Datenbestände mit Personenbezug

Zahlreiche, auch aktuelle, Verfahren des HmbBfDI beträfen gravierende Fehler von Unternehmen im Umgang mit veralteten Datenbeständen. „So werden nicht mehr genutzte Datenbestände mit Personenbezug, wie etwa Ausweiskopien oder Finanzdaten, nicht gelöscht, obwohl der Zweck der Datenverarbeitung schon lange entfallen ist.“ Dies sei nicht nur eine Verletzung der DSGVO, sondern auch Ausdruck eines mangelhaften Datenmanagements, welches der HmbBfDI in den verschiedensten Branchen, von Inkasso-Diensten bis zum Gastgewerbe, beobachtet habe.

Ein Löschkonzept gehöre zur datenschutzrechtlichen Grundausstattung jeder datenverarbeitenden Stelle. Dafür brauche es bereits vor der Erhebung eine Bestandsaufnahme, „welche Daten überhaupt gesammelt werden und wie lange sie voraussichtlich benötigt werden“. Eine weitere Aufbewahrung ohne konkreten Zweck verletze die Rechte der Betroffenen. Fuchs kommentiert: „,Old Data’ ist nicht ,Big Data’: Wenn die Kundenbeziehung endet, sind die erhobenen Daten je nach Typ sofort oder nach festgelegten Fristen zu löschen.“

Datenschutzaufsicht übernimmt gestaltende Rolle

Immer stärker komme die gestaltende Rolle der Datenschutzaufsichtsbehörden zum Tragen und lasse sich an konkreten Projekten ablesen: „So konnte Google im Jahr 2023 seinen Dienst ,Street View’ durch neue Aufnahmen aktualisieren. Aufgrund großen Widerstands gegen die Aufnahmen im Jahr 2010 war der Dienst in Deutschland seitdem nicht mehr erneuert worden, so dass Gebäude jüngeren Datums, wie beispielsweise die Elbphilharmonie, nicht auffindbar waren.“

Der HmbBfDI habe für diese Aktualisierung frühzeitig klare Regeln vereinbart, welche das Recht der Bürger auf Informationelle Selbstbestimmung – in diesem Fall die Weigerung, das eigene Haus abbilden zu lassen – durch ein umfassendes Widerspruchsrecht gesichert hätten, aber „dem Unternehmen zugleich die Nutzung der geduldeten Bilder ermöglichten“. Auch in anderen Fällen, etwa bei der Ausgestaltung von sogenannten Pur-Abo-Modellen, hätten mit betroffenen Unternehmen datenschutzkonforme Lösungen gefunden werden können.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
TÄTIGKEITSBERICHT DATENSCHUTZ 2023

Der „Security Culture Report 2024“ beschreibt, wie sich Sicherheitsmaßnahmen tatsächlich auf Organisationen sowie die Art und Weise auswirken, wie Menschen bei der Arbeit handeln und fühlen

[datensicherheit.de, 15.04.2024] KnowBe4 hat am 27. März 2024 die Veröffentlichung des „Security Culture Report 2024“ bekanntgegeben. Dieser Bericht dokumentiert demnach die Untersuchungsergebnisse, wie sich Sicherheitsmaßnahmen tatsächlich auf Organisationen sowie die Art und Weise auswirken, wie Menschen bei der Arbeit handeln und fühlen. Er liege in einer globalen und einer regionalen Version für Nordamerika, Südamerika, Europa, Afrika, Asien und Ozeanien vor und berücksichtige die regionalen Nuancen, Verhaltensweisen und Einstellungen zur Cyber-Sicherheit am Arbeitsplatz.

Foto: KnowBe4

Dr. Martin J. Krämer rät, Cyber-Sicherheit als abteilungsübergreifende gemeinsame Anstrengung wahrzunehmen…

Erfüllung der Compliance-Anforderungen wird allmählich als strategische Initiative zur Förderung starker Sicherheitskultur begriffen

Die Ergebnisse zeigten, „dass Organisationen in ganz Europa im Allgemeinen verstehen, dass der Mensch Bestandteil ihrer Verteidigungsstrategie sein müssen, um das Niveau der Widerstandsfähigkeit zu erhöhen“. „Social Engineering“ bleibe darüber hinaus eine der größten Bedrohungen.

Unternehmen betrachteten „Security Awareness“ nicht mehr als eine Checkbox-Übung zur Erfüllung der Compliance-Anforderungen, sondern zunehmend als eine strategische Initiative zur Förderung einer starken Sicherheitskultur. Allerdings werde das Thema Cyber-Sicherheit oft noch als Aufgabe eines einzelnen Teams oder einer Abteilung betrachtet – „und nicht als gemeinschaftliche Anstrengung, was es schwierig macht, sich durchzusetzen“.

Der Bericht beschreibt u.a. den unterschiedlichen Reifegrad der Cyber-Sicherheit in Europa

Darüber hinaus zeige der Bericht, dass die Europäische Union (EU) zwar bei der Gestaltung globaler Cyber-Sicherheitsstandards durch strenge Gesetze und Vorschriften eine Vorreiterrolle einnehme, „dass jedoch eine schnellere Annahme und Umsetzung erforderlich ist, um sie für Unternehmen wirksam zu machen“. Der Bericht untersuche Themen wie den unterschiedlichen Reifegrad der Cyber-Sicherheit in Europa – „und was dies für Unternehmen bedeutet“. Er verdeutliche den Mangel an Kommunikation in Unternehmen und wie dieser eben Cyber-Angriffe begünstige sowie die Gesetzgebung und ihre Umsetzung.

Er befasse sich auch mit der prognostizierten Zunahme der Qualität und Quantität der Cyber-Angriffe und der Frage, wie diese bekämpft werden könnten. „Darüber hinaus befasst er sich mit dem großen Problem der sprachlichen Lokalisierung spezifischer Compliance- und rechtlicher Anforderungen auf dem gesamten Kontinent.“ Untersucht worden sei zudem der Einfluss der Künstlichen Intelligenz (KI) auf die Zunahme von Desinformation und Fehlinformation sowie ausgefeilterer und effektiverer Cyber-Angriffe.

Aus- und Weiterbildung auf dem Gebiet der Cyber-Sicherheit in Unternehmen eine Notwendigkeit

„Social Engineering“ sei nach wie vor eine der drei größten Bedrohungen in Europa. Aus- und Weiterbildung im Bereich der Cyber-Sicherheit in Unternehmen sei eine Notwendigkeit, um den sich ständig weiterentwickelnden Strategien und Taktiken der Cyber-Kriminellen einen Schritt voraus zu sein. „Während es in den am stärksten digitalisierten Sektoren Europas einen bemerkenswerten Aufwärtstrend bei ,Security Awareness’ gibt, unterscheiden sich das Verständnis und die Umsetzung der Sicherheitskultur in den verschiedenen Branchen stark“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4.

Dennoch sei es offensichtlich, dass viele Organisationen bei der Einführung einer proaktiven Sicherheitskultur noch hinterherhinkten. Dr. Krämer kommentiert: „Wir beobachten jedoch, dass europäische Organisationen beginnen, die entscheidende Rolle der Integration der ,Security Awareness’ in ihre Unternehmenskultur zu erkennen und anzuerkennen.“ Sie hätten verstanden, dass sie damit die Widerstandsfähigkeit stärkten. Sein abschließender Rat: „Dennoch müssen wir die fortbestehenden Hürden in Sektoren angehen, in denen Cyber-Sicherheit nicht als abteilungsübergreifende gemeinsame Anstrengung wahrgenommen wird.“

Weitere Informationen zum Thema:

KnowBe4, 27.03.2024
SECURITY CULTURE REPORT 2024