[datensicherheit.de, 13.08.2025] Coveware by Veeam® hat am 12. August 2025 seinen Ransomware-Bericht für das zweite Quartal 2025 veröffentlicht. Die Daten zeigten eine Eskalation bei gezielten Social-Engineering-Angriffen und einen Anstieg der Lösegeldzahlungen durch ausgeklügelte Taktiken für Datenexfiltration. „Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind“, kommentiert Bill Siegel, CEO von Coveware by Veeam. Er führt aus: „Die Angreifer haben es nicht nur auf Backups abgesehen, sondern auch auf Mitarbeiter, Prozesse und die Integrität der Daten. Unternehmen müssen die Sensibilisierung ihrer Belegschaft in den Vordergrund stellen, Identitätskontrollen verstärken und Daten-Exfiltration nicht als potenziellen ,Worst Case’, sondern als dringliches Risiko behandeln!“

Zentrale Erkenntnisse aus dem Ransomware-Bericht für das zweite Quartal 2025:

• Social-Engineering Vorhut größerer Bedrohungen
  Drei große Ransomware-Gruppen – „Scattered Spider“, „Silent Ransom“ und „Shiny Hunters“ – dominierten dieses Quartal, wobei jede von ihnen sehr gezieltes Social-Engineering einsetze, um in Unternehmen aus Branchen aller Art einzudringen.
  Diese Gruppen hätten opportunistische Massenangriffe zugunsten von Präzisionsangriffen aufgegeben und setzten neuartige Taktiken zur Nachahmung von IT-Helpdesks, Mitarbeitern und Drittanbietern ein.
• Lösegeldzahlungen auf neuem Höchststand
  Sowohl der Durchschnitt als auch der Median der Lösegeldzahlungen seien auf 1,13 Millionen US-Dollar (+104% gegenüber Q1 2025) bzw. 400.000 US-Dollar (+100% gegenüber Q1 2025) gestiegen.
  Dieser Anstieg sei darauf zurückzuführen, dass größere Unternehmen (mit entsprechend mehr Budget) nach Vorfällen von Daten-Exfiltration Lösegeld gezahlt hätten. Die Gesamtrate der Unternehmen, die Lösegeld zahlten, bleibe mit 26 Prozent konstant.
• Datendiebstahl überholt Verschlüsselung als vorrangige Erpressungsmethode
  Exfiltration sei in 74 Prozent aller Fälle eine Angriffsmethode, wobei viele Hacker-Kampagnen nun dem Datendiebstahl Vorrang vor der traditionellen Systemverschlüsselung einräumten.
  Multi-Erpressungstaktiken und verzögerte Bedrohungen seien auf dem Vormarsch und sorgten dafür, dass Unternehmen auch lange nach einem ersten „Breach“ noch gefährdet seien.
• Professionelle Dienstleistungen, Gesundheitswesen und Verbraucherdienste am stärksten betroffen
  Professionelle Dienstleistungen (19,7%), das Gesundheitswesen (13,7%) und Verbraucherdienste (13,7%) seien anteilig am meisten von Angriffen betroffen.
  Mittelgroße Unternehmen (11 bis 1.000 Mitarbeiter) machten 64 Prozent der Opfer aus.
  Viele Angreifer bevorzugen KMU, da diese wegen tendenziell weniger ausgereiften Verteidigungsmöglichkeiten womöglich eine höhere Zahlungsbereitschaft zeigten.
• Angriffstechniken entwickeln sich weiter – „Faktor Mensch“ bleibt größte Schwachstelle
  Die Kompromittierung von Zugangsdaten, Phishing und die Ausnutzung von Remote-Diensten seien dominierende Taktiken für den Erstzugriff, wobei Angreifer zunehmend technische Kontrollen durch Social-Engineering umgingen.
  Hacker-Gruppen nutzten regelmäßig Schwachstellen in weitverbreiteten Plattformen („Ivanti“, „Fortinet“, „VMware“) aus – und „Einzelkämpfer“-Angriffe erfahrener, generische „Toolkits“ verwendender Erpresser nähmen zu.
• Neue Marktteilnehmer verändern Ransomware-Rangliste
  Die aktivsten Ransomware-Varianten im zweiten Quartal 2025 seien „Akira“ (19%), „Qilin“ (13%) und „Lone Wolf“ (9%), während „Silent Ransom“ und „Shiny Hunters“ zum ersten Mal unter die „Top 5“ gelangten.

Coveware by Veeam bündelt Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen

Der vierteljährliche Bericht von Coveware by Veeam basiert demnach auf Daten aus Erster Hand. Das Unternehmen bündele Expertenwissen und Analysen von Ransomware- sowie Cybererpressungsfällen.

• Dabei würden Echtzeit-Ereignisreaktionen, firmeneigene forensische „Tools“ (einschließlich „Recon Scanner“) und eine umfassende Dokumentation des Verhaltens von Bedrohungsakteuren sowie Angriffsvektoren und Verhandlungsergebnisse verwendet.

Durch die Zusammenstellung und Analyse fallspezifischer Daten anstelle von Drittquellen sei Coveware by Veeam in der Lage, aufkommende Trends zu erkennen, Taktiken, Techniken und Verfahren (TTPs) zu verfolgen und umsetzbare, erfahrungsbasierte Informationen über die sich schnell entwickelnde Ransomware-Landschaft zu liefern.

Weitere Informationen zum Thema:

COVEWARE
About Coveware

COVEWARE
Ransomware Quarterly Reports / Ransomware threats are constantly evolving

COVEWARE, 23.07.2025
Quarterly Report / Targeted social engineering is en vogue as ransom payment sizes increase

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 13.07.2025
Check Point deckt neue Phishing-Domains von Scattered Spider auf / Warnung vor Zunahme der Phishing-Bedrohung für Unternehmen allgemein und speziell für die Luftfahrt

datensicherheit.de, 13.07.2025
Ambivalente Ransomware-Bedrohung: Sophos meldet weniger Attacken aber mehr Lösegeldzahlungen / Laut dem „Ransomware-Report 2025“ werden weltweit etwas weniger Unternehmen von Ransomware angegriffen, aber mehr Unternehmen zahlen Lösegelder, um ihre Daten zu entschlüsseln

[datensicherheit.de, 10.07.2025] Der Branchenverband Bitkom e.V. hat laut einer Stellungnahme vom 9. Juli 2025 als erster großer Wirtschaftsverband einen umfassenden Transparenzbericht veröffentlicht: Dieser enthält demnach unter anderem detaillierte Angaben zur internen Organisation, Entscheidungsprozessen, Mitgliederstrukturen, Finanzen und Beschäftigten, Kommunikation und den politischen Aktivitäten.

Foto: Bitkom

Dr. Ralf Wintergerst: Indem wir unsere Arbeit nachvollziehbar machen, wollen wir auch das Vertrauen in die Digitale Transformation insgesamt stärken

Der Bitkom-Transparenzbericht soll deutlich über gesetzlichen Vorgaben hinausgehen

Mit seinem Transparenzbericht möchte der Bitkom deutlich über die gesetzlichen Vorgaben hinausgehen.

• Transparenz sei eine zentrale Voraussetzung für Vertrauen – in die digitale Wirtschaft, in neue Technologien und in die Arbeit unseres Verbands.

„Mit unserem ersten Transparenzbericht wollen wir einen Einblick in unsere Aktivitäten und in die Strukturen und Entscheidungsprozesse dahinter geben“, erläutert hierzu der Bitkom-Präsident, Dr. Ralf Wintergerst.

Bitkom hat Selbstverpflichtung der Initiative Transparente Zivilgesellschaft unterzeichnet

Wintergerst betont: „Unser Ziel ist es, eine faktenbasierte und offene Debatte über die Digitalisierung zu fördern. Indem wir unsere Arbeit nachvollziehbar machen, wollen wir auch das Vertrauen in die Digitale Transformation insgesamt stärken.“

• Der Bitkom-Transparenzbericht solle regelmäßig aktualisiert werden. Zugleich habe der Bitkom die Selbstverpflichtung der Initiative Transparente Zivilgesellschaft (ITZ) unterzeichnet und sei von dieser Organisation entsprechend anerkannt worden.

Mit der Unterzeichnung der ITZ-Selbstverpflichtung reihe sich der Bitkom in einen Kreis von Organisationen ein, welche sich „für nachvollziehbare Strukturen, klare Entscheidungsprozesse und eine offene Kommunikation gegenüber der Öffentlichkeit einsetzen“.

Weitere Informationen zum Thema:

bitkom, 2025
Bitkom Transparenzbericht 2025

Initiative Transparente Zivilgesellschaft
Transparenz schafft Vertrauen

datensicherheit.de, 07.06.2024
BfDI-Forderung nach Transparenzgesetz auf Bundesebene als Update des bestehenden Informationsfreiheitsgesetzes / Deutschland als Gastgeber der „ICIC 2025“ in Berlin sollte dann sein neues Transparenzgesetz präsentieren können

datensicherheit.de, 13.09.2020
bitkom begrüßt geplantes Lobby-Transparenzregister / bitkom-Hauptgeschäftsführer Dr. Rohleder betont, dass für geheime Wahlen Lobbyismus transparent sein muss

[datensicherheit.de, 27.05.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, hat am 26. Mai 2025 im Abgeordnetenhaus von Berlin ihren Jahresbericht 2024 vorgestellt. Dieser behandelt unter anderem Datenschutzfragen bei der Nutzung Künstlicher Intelligenz (KI) sowie Prüfverfahren zur Videoüberwachung an der Polizeiwache Kottbusser Tor und zum Einsatz biometrischer Gesichtserkennung.

Biometrische Gesichtserkennung: BlnBDI sieht Verstoß der Staatsanwaltschaft gegen das Datenschutzrecht

Im Frühjahr 2024 wurde durch Medienberichte bekannt, dass die Berliner Staatsanwaltschaft in mehreren Verfahren ein Gesichtserkennungssystem im Öffentlichen Raum eingesetzt hat: Zur Anwendung kam demnach ein System von Kameras, welches Personen verdeckt aus der Ferne erfassen und identifizieren kann.

• „Es gleicht biometrische Merkmale wie Gesichtszüge automatisiert mit Bildern einzelner Personen ab. Die anschließende Prüfung ergab, dass die zugrundeliegende Rechtsgrundlage weder speziell den Einsatz solcher Systeme regelt noch die verfassungsrechtlichen Anforderungen erfüllt.“

Die BlnBDI hat die Staatsanwaltschaft gewarnt, dass ein zukünftiger Einsatz des Gesichtserkennungssystems gegen das Datenschutzrecht verstoßen würde. „Zudem hat die Staatsanwaltschaft gegen das Datenschutzrecht verstoßen, indem sie keine Datenschutzfolgenabschätzung für das System erstellt hat und unzureichend mit der BlnBDI zusammengearbeitet hat.“

BlnBDI: Einsatz von Gesichtserkennungssystemen greift intensiv in das Grundrecht auf Informationelle Selbstbestimmung ein

Kamp betonte: „Der Einsatz von Gesichtserkennungssystemen durch Strafverfolgungsbehörden greift intensiv in das Grundrecht auf Informationelle Selbstbestimmung ein. Biometrische Merkmale sind unveränderlich. Menschen können nicht einfach ihr Gesicht absetzen. Werden sie anhand ihrer biometrischen Merkmale in der echten Welt erfasst und identifiziert, schwinden jene Bereiche, in denen sie sich anonym und ohne Spuren zu hinterlassen bewegen können.“

• Beim Einsatz solcher Systeme im Öffentlichen Raum sei eine Vielzahl unverdächtiger Personen betroffen. „Die bestehenden gesetzlichen Regelungen bieten hierfür keine ausreichende Grundlage“, monierte Kamp.

Sie nahm sodann auch Stellung zu der von ihr 2024 geprüften „rechtswidrigen Videoüberwachung an der Polizeiwache Kottbusser Tor“. Diese Dienststelle befindet sich in einem Gebäuderiegel über der Adalbertstraße. Zur Sicherung der Wache werden in der Unterführung Videokameras eingesetzt, welche sowohl die Fußwege als auch die Fahrbahn der Adalbertstraße erfassen. Zusätzlich wird der Eingangsbereich auf der Fußgängerterrasse per Video überwacht.

BlnBDI-Forderung an die Polizei, alternative Konzepte zur Videoüberwachung zu nutzen

Kamp erläuterte, dass diese Videoüberwachung „ohne ausreichende Rechtsgrundlage“ erfolgt sei und unverhältnismäßig in die Grundrechte von Passanten und Verkehrsteilnehmern eingegriffen habe. Die Polizei habe bislang nicht ausreichend geprüft, ob die Sicherheit der Wache durch mildere Mittel wie baulichere Sicherungen oder den Einsatz von Personal erreicht werden könnte.

• „Bedenken habe ich insbesondere bei der Überwachung der Fußgängerterrasse, da sich dort auch Beratungseinrichtungen befinden. Den Hilfesuchenden muss ermöglicht werden, diese Angebote wahrzunehmen, ohne dass sie dabei gezwungen sind, sich der Videoüberwachung auszusetzen. Ich habe daher gegenüber der Polizei eine Mangelfeststellung ausgesprochen.“

Die Polizei sei aufgefordert, alternative Konzepte in Betracht zu ziehen, um einen „schonenden Ausgleich zwischen Sicherheitsinteressen und Freiheitsrechten“ zu ermöglichen.

BlnBDI-Verfahren wegen mangelnder Transparenz beim KI-Einsatz

Immer mehr Unternehmen setzten KI-Anwendungen ein. Inwiefern Berliner Unternehmen dabei die Datenschutzbestimmungen einhalten, prüfe die BlnBDI derzeit in mehreren Verfahren: Die jeweiligen Verfahren seien noch nicht abgeschlossen. Im Fokus stehe dabei auch die Transparenz:

• „Oftmals werden die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über die Verarbeitung ihrer Daten in KI-Systemen informiert.“ So habe ein Berliner Unternehmen seine gesamte Kundenkommunikation für das Training eines KI-Systems zur Bearbeitung von Kundenanfragen genutzt, ohne jedoch die Kunden auf diese Verarbeitung hinzuweisen.

In einem anderen Fall habe eine Fotoplattform bereits ins Internet hochgeladene personenbezogene Fotos gegen Bezahlung unter anderem für das Training von KI-Modellen angeboten, ohne darüber zu informieren.

BlnBDI warnt vor Verletzung der DSGVO-Informationspflichten beim KI-Einsatz

Kamp gab zu bedenken, dass wer seine Kunden oder Beschäftigten nicht darüber informiert, dass ihre Daten in ein KI-System fließen, gegen die Informationspflichten der Datenschutz-Grundverordnung (DSGVO) verstößt.

• „In den nächsten Jahren werden wir unsere Prüfungen von KI-Systemen verstärken. Dabei liegt ein besonderes Augenmerk auf den Technischen und Organisatorischen Maßnahmen, die die Risiken für Betroffene minimieren, sowie auf den Diskriminierungen, die durch Verzerrungen in den Daten entstehen können.“

Auch in der Berliner Verwaltung solle mehr KI genutzt werden. Die Berliner Datenschutzbeauftragte unterstützt bei der datenschutzrechtlichen Bewertung von KI-Anwendungen durch juristische und technische Expertise, zum Beispiel durch die Beteiligung an der „Taskforce KI“ der Senatskanzlei. Angesichts der hohen Datenschutzrelevanz des Einsatzes von KI-Anwendungen für Bürger und Beschäftigte setze man sich dafür ein, „dass der Schutz personenbezogener Daten von vornherein Berücksichtigung findet!“

Bußgeld-Verhängung der BlnBDI wegen Sicherheitslücken in Praxismanagementsoftware

Bei einer Praxismanagementsoftware habe die BlnBDI eine Reihe von Sicherheitslücken festgestellt, welche es unter anderem angemeldeten Patienten ermöglicht habe, auf umfangreiche Daten anderer Patienten zuzugreifen.

Durch einen weiteren Programmierfehler sei es unberechtigten Dritten potenziell möglich gewesen, medizinische Dokumente einzusehen, welche von den Arztpraxen an die Patienten übermittelt wurden. Infolge sei ein Bußgeld von 60.000 Euro gegen den Anbieter erhoben worden.

BlnBDI nimm auch Informationsfreiheit im Land Berlin unter die Lupe

Kamp ist auch die Beauftragte für die Informationsfreiheit im Land Berlin und unterstützt Personen, welche ihr Recht auf Akteneinsicht gegenüber öffentlichen Stellen wahrnehmen möchten. Im letzten Jahr, 2024, habe sich erneut gezeigt, „dass einige Verwaltungen der Informationsfreiheit noch immer eine geringe Bedeutung beimessen und sie nicht als eigenständige öffentliche Aufgabe verstehen“.

„25 Jahre nach Inkrafttreten des Berliner Gesetzes sollten Behörden die Informationsfreiheit nicht als Bürde, sondern als originäres Aufgabengebiet betrachten und behandeln“, unterstrich Kamp.

Datenschutz von Anfang an: Beratung und Bildungsangebote der BlnBDI

Um es erst gar nicht zu Datenschutzverstößen kommen zu lassen, wendet die BlnBDI nach eigenen Angaben „viel Zeit für die Beratung, Schulung und Sensibilisierung zum Datenschutz“ auf. 2024 habe sie sich beispielsweise an der Entwicklung des digitalen Datenschutzwegweisers für Kitas – „Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte“ – beteiligt und die Erarbeitung von verschiedenen Handlungsleitfäden zum Kinderschutz begleitet. „Mit den Materialien werden Fachkräfte unterstützt, die Datenschutzbestimmungen kompetent umzusetzen und die Rechte der Kinder konsequent zu wahren.“

Für Vereine, Startups und Kleinunternehmen habe sie die kostenlosen Schulungen der „Starthilfe Datenschutz“ angeboten, um die Grundlagen des Datenschutzes zu vermitteln. Auch an Schulen sei die Datenschutzbeauftragte 2024 wieder präsent gewesen und habe in knapp 40 Workshops an Grundschulen Schüler über ihre Rechte, den verantwortungsvollen Umgang mit Medien und die Auswirkungen der KI-Nutzung aufgeklärt.

BlnBDI meldet Höchststand an Eingaben und Datenpannen

Im Jahr 2024 habe die Behörde „ein neuer Höchststand“ an Eingaben von Bürgern erreicht: „In Summe wandten sich Betroffene in 6.063 Fällen mit einer Beschwerde oder Beratungsanfrage an die Berliner Datenschutzbeauftragte.“

Einen neuen Rekord gab es auch bei den Datenpannen: „Insgesamt meldeten private und öffentliche Stellen 1.262 Datenpannen – das sind mehr als drei am Tag.“ Die Behörde habe 104 Verwarnungen und 164 Geldbußen in Höhe von insgesamt 80.190 Euro erlassen.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 26.05.2025
Jahresbericht 2024

rbb 24, 26.05.2025
Kottbusser Tor in Berlin Videoüberwachung an Kotti-Wache laut Datenschutzbeauftragter rechtswidrig

Fokus Medienbildung
Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service: Schulungen für Vereine, Start-ups und Kleinunternehmen

BERLIN, Senatsverwaltung für Bildung, Jugend und Familie, 21.11.2024
Datenschutz im Kitaalltag – digitaler Wegweiser für Fachkräfte

NETZPOLITIK.ORG, Sebastian Meineck, 23.08.2024
Grundrechte in Gefahr: Datenschutz-Behörde prüft Gesichtserkennung durch Berliner Staatsanwaltschaft

[datensicherheit.de, 23.04.2025] Verizon Business hat heute seinen Data Breach Investigations Report (DBIR) 2025 veröffentlicht, der einen erheblichen Anstieg der weltweiten Datenschutzverletzungen aufzeigt, wobei die EMEA-Region eine besonders starke Zunahme von Systemverletzungen zu verzeichnen hat. Die Zahl der Datenschutzverletzungen in der EMEA-Region ist sprunghaft angestiegen und hat sich in nur einem Jahr auf 53 % der Verstöße fast verdoppelt.

Der DBIR analysiert mehr als 22.000 Sicherheitsvorfälle

Der DBIR 2025, der mehr als 22.000 Sicherheitsvorfälle, darunter 12.195 bestätigte Datenschutzverletzungen, analysiert, stellt fest, dass sich die Beteiligung Dritter im diesjährigen Bericht auf 30 % verdoppelt hat und die Ausnutzung von Sicherheitslücken weltweit um 34 % gestiegen ist. In der EMEA-Region wurde fast ein Drittel (29 %) der Sicherheitsverletzungen von internen Akteuren verursacht – ein deutlicher Unterschied zu APAC, wo nur 1 % der Bedrohungen von internen Akteuren ausging, und Nordamerika, wo interne Bedrohungen nur 5 % der Sicherheitsverletzungen ausmachten. Obwohl die EMEA-Region den höchsten Prozentsatz an Sicherheitsverletzungen durch interne Akteure verzeichnete, ging die Zahl der internen Bedrohungen bis 2025 um 41 % zurück. Dieser Rückgang ist auf einen schnelleren Anstieg anderer Arten von Sicherheitsverletzungen zurückzuführen.

DBIR: Lage in der EMEA-Region, Bild: Verizon

„Die alarmierende Zahl der von Mitarbeitern verursachten Sicherheitsverletzungen in der EMEA-Region unterstreicht die Notwendigkeit für Unternehmen, ihre interne Cybersicherheit zu verbessern. Unternehmen müssen über den Schutz vor externen Bedrohungen hinausgehen und eine Kultur des Sicherheitsbewusstseins und der Verantwortlichkeit innerhalb des Unternehmens fördern“, sagte Sanjiv Gossain, Group Vice President und Head of EMEA von Verizon Business. „Der Anstieg der Systemeinbrüche in der gesamten EMEA-Region ist eine deutliche Warnung an die Unternehmen, sowohl die externe Verteidigung als auch die internen Kontrollen durch umfassende Mitarbeiterschulungen, robuste Zugangskontrollen und Zero-Trust-Frameworks dringend zu verstärken.“

Die wichtigsten Erkenntnisse für die EMEA-Region:

• Bedrohungen durch Systemeinbrüche: Die Zahl der Angriffe auf Systeme ist auf 53 % gestiegen und hat sich damit gegenüber dem Vorjahr (27 %) fast verdoppelt.
• Insider-Leaks: 29 % der Sicherheitsverletzungen haben ihren Ursprung im eigenen Unternehmen, wobei 19 % auf unbeabsichtigte Fehler und 8 % auf Missbrauch zurückzuführen sind, z. B. die unbefugte Nutzung von Daten, die gegen die Unternehmensrichtlinien verstoßen.
• Social Engineering: Das zweithäufigste Angriffsmuster in der Region, wobei Phishing bei 19 % der Verstöße in der EMEA-Region ausmachte.

Die wichtigsten globalen Erkenntnisse:

• Ausnutzung von Schwachstellen: Für diesen Angriffsvektor wurde ein Anstieg von 34 % verzeichnet, wobei der Schwerpunkt auf Zero-Day-Exploits liegt, die auf Perimeter-Geräte und VPNs abzielen.
• Ransomware: Ransomware-Angriffe haben im Vergleich zum Vorjahr um 37 % zugenommen und machen nun 44 % aller Sicherheitsverletzungen aus, obwohl die durchschnittliche Höhe des gezahlten Lösegelds deutlich gesunken ist.
• Beteiligung Dritter: Der Anteil der Sicherheitsverletzungen durch Dritte hat sich verdoppelt, was die Risiken im Zusammenhang mit Lieferketten und Partner-Ökosystemen verdeutlicht.
• Menschliche Komponente: Die menschliche Beteiligung an Sicherheitsverletzungen ist nach wie vor hoch, wobei sich Social Engineering und der Missbrauch von Zugangsdaten deutlich überschneiden.

„Die Ergebnisse des DBIR unterstreichen die Bedeutung einer mehrschichtigen Verteidigungsstrategie“, so Chris Novak, Vice President, Global Cybersecurity Solutions, Verizon Business. „Unternehmen müssen in robuste Sicherheitsmaßnahmen investieren. Dazu gehören strenge Passwortrichtlinien, zeitnahes Patchen von Schwachstellen und umfassende Sicherheitsschulungen für Mitarbeiter.“

Branche im Mittelpunkt: Sechsfache Zunahme von Spionageangriffen auf das verarbeitende Gewerbe

Der DBIR 2025 zeigt beunruhigende Veränderungen im Bereich der Cybersicherheit auf, die weltweit wichtige Branchen betreffen. In der Fertigung hat sich die Zahl der Sicherheitsverletzungen aufgrund von Spionage dramatisch versechsfacht und ist von nur 3 % im letzten Jahr auf 20 % gestiegen. Auch der Gesundheitssektor sieht sich mit wachsenden Bedrohungen durch Spionage konfrontiert, während der Bildungs- und der Finanzsektor vor anhaltenden Herausforderungen im Bereich der Cybersicherheit stehen.

Im Einzelhandel ist die Zahl der Cybervorfälle seit 2024 um 15 % gestiegen, wobei sich die Angreifer von Zahlungskartendaten auf einfachere Ziele wie Kundendaten, Geschäftspläne und Berichte verlagert haben.

Sofort und entschlossen handeln

Die diesjährigen Ergebnisse sind eine wichtige Warnung für Unternehmen in der ganzen Welt – auch in der EMEA-Region –, sofortige und entschlossene Maßnahmen zu ergreifen. Unternehmen müssen ihre Cybersicherheitsmaßnahmen gegen diese sich entwickelnden Bedrohungen verstärken, um wichtige Ressourcen zu schützen, das Vertrauen ihrer Kunden zu erhalten und ihren nachhaltigen Erfolg in der heutigen digitalen Landschaft zu sichern.

„Die Ergebnisse des diesjährigen DBIR spiegeln eine Reihe unterschiedlicher Ergebnisse wider. Diejenigen, die das Glas halb voll sehen, können sich darüber freuen, dass die Zahl der Unternehmen, die kein Lösegeld gezahlt haben, gestiegen ist: 64 % haben nicht gezahlt, gegenüber 50 % vor zwei Jahren. Diejenigen, die das Glas halb leer sehen, werden im DBIR erkennen, dass Unternehmen, die nicht über die richtige IT- und Cybersicherheitsreife verfügen – oft kleine und mittelständische Unternehmen – den Preis für ihre Größe zahlen, da Ransomware in 88 % der Sicherheitsverletzungen vorhanden ist“, so Craig Robinson, Research Vice President, Security Services bei IDC. „Es gibt zwar keine Patentlösung für den Schutz vor Cyberangriffen, aber die führende Rolle von Verizon bei der Aufklärung der Öffentlichkeit über die Motive, Taktiken und Techniken von Angreifern ist ein wichtiger Schritt, um das globale Bewusstsein und die Cybersicherheit zu erhöhen.“

[datensicherheit.de, 13.11.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 12. November 2024 den Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ vorgestellt. Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro kommentiert: „Die Zahl der Cyber-Vorfälle in Deutschland hat erneut zugenommen. Dabei steht mit den kleinen und mittleren Unternehmen mithin das Rückgrat der deutschen Wirtschaft besonders im Fokus der Angreifer, ebenso wie IT-Dienstleister und Kommunen. Auch die Gefährdungslage für Kritische Infrastrukturen bleibt ‚angespannt‘. Angesichts einer instabilen politischen Weltlage wird deutlich, dass wir die Cyber-Sicherheit hierzulande dringend weiter ausbauen müssen.“

Foto: Trend Micro

Dirk Arendt fordert, auch die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen

Unternehmen benötigen auch in Fragen der Cyber-Sicherheit Planungssicherheit

Indes müsse bei allen innenpolitischen Unwägbarkeiten der Weg hin zur „Cybernation“ weiter konsequent verfolgt werden. Unternehmen brauchten Planungssicherheit – auch in der Cyber-Sicherheit. Deshalb sei die Politik gefordert, das deutsche NIS-2-Umsetzungsgesetz schnellstmöglich auf den Weg zu bringen.

Arendt führt hierzu aus: „Indem sie die Zahl der regulierten Unternehmen deutlich erhöht, auch kleinere Einrichtungen in den Blick nimmt und die Cyber-Risiken entlang von Lieferketten in den Fokus rückt, hat die NIS-2-Richtlinie das Potenzial, wichtige Impulse zur Erhöhung der Cyber-Resilienz, gerade in besonders von Angriffen betroffenen Bereichen, zu geben.“

Höchste Zeit, auch auf kommunaler Ebene die Cyber-Resilienz zu erhöhen!

Darüber hinaus sei es unabdingbar, die Cyber-Sicherheit der Kommunen endlich auf ein akzeptables Niveau zu bringen, „das ihrer Kritikalität für das Funktionieren des Gemeinwesens entspricht“. Könnten Kommunen ihre Aufgaben nicht erfüllen, habe dies unmittelbare Auswirkungen auf den Alltag der Bürger:

„Stehen sie längere Zeit still, kann dies das Vertrauen der Bevölkerung in die Leistungsfähigkeit des Staates empfindlich einschränken“, warnt Arendt. Gerade in solch unsicheren Zeiten könnten wir uns das nicht erlauben – es sei deshalb höchste Zeit, auch die kommunale Ebene entsprechend zu regulieren.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2024

datensicherheit.de, 31.10.2023
Hacker-Angriff auf Ämter und Kommunen in NRW unterstreicht Bedeutung der Cyber-Resilienz / Thomas Lo Coco nimmt Stellung zur Cyber-Attacke vom 30. Oktober 2023

datensicherheit.de, 20.10.2023
Weg in die Basis-Absicherung: BSI-Checklisten für Kommunen / BSI bietet ersten wesentlichen Schritt in Richtung systematischer Informationssicherheit

datensicherheit.de, 02.12.2021
DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen / IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim wurden mit Ransomware attackiert

[datensicherheit.de, 26.08.2024] KnowBe4 hat mit „Cyberangriffe auf Infrastrukturen: Die neue geopolitische Waffe“ seinen neuesten Bericht veröffentlicht – dieser beschreibt demnach die zunehmende Bedrohung durch Cyber-Angriffe auf Kritische Infrastrukturen (KRITIS) und soll Einblicke in Maßnahmen zum Schutz vor diesen potenziell verheerenden Attacken bieten.

Abbildung: KnowBe4

KnowBe4-Report „Cyber Attacks on Infrastructure – The New Geopolitical Weapon“

Cyber-Angriffe auf KRITIS hauptsächlich, um Kontrollsysteme zu stören oder auszuspionieren

In den letzten Jahren haben Cyber-Angriffe auf KRITIS weltweit offensichtlich stark zugenommen und stellen somit erhebliche Risiken für die Nationale Sicherheit und wirtschaftliche Stabilität dar. Im Gegensatz zu anderen Datenlecks zielten diese Cyber-Angriffe hauptsächlich darauf ab, Kontrollsysteme zu stören oder auszuspionieren.

Besonders betroffen sind laut KnowBe4 die Energie-, Transport- und Telekommunikationssektoren: „Dies ist wenig überraschend, da diese Sektoren, insbesondere in entwickelten Ländern, zunehmend digital vernetzt sind, wodurch neue Schwachstellen für Cyber-Angriffe entstanden sind. Die Konsequenzen solcher Angriffe können für Nationen verheerend sein, weshalb geopolitische Gegner diese Angriffe als mächtige Ergänzung ihres digitalen Waffenarsenals betrachten.“

Zu den wichtigsten Erkenntnissen des KnowBe4-Berichts gehören:

• Die Zahl der verwundbaren Punkte in den US-Stromnetzen wachse täglich um etwa 60, wobei die Gesamtzahl von 21.000 im Jahr 2022 auf heute zwischen 23.000 und 24.000 angestiegen sei.
• Weltweit habe sich die durchschnittliche Anzahl wöchentlicher Cyber-Angriffe auf Versorgungsunternehmen seit 2020 vervierfacht – mit einer Verdoppelung allein im Jahr 2023.
• Zwischen Januar 2023 und Januar 2024 seien weltweit über 420 Millionen Angriffe auf KRITIS verzeichnet worden – „das entspricht 13 Angriffen pro Sekunde – was einem Anstieg von 30 Prozent im Vergleich zu 2022 entspricht“.

Schwachstellen werden von Cyber-Kriminellen ausgenutzt, um Netzwerke und Systeme zu infiltrieren

Laut dem „Phishing Industry Benchmark Report 2024“ von KnowBe4 zählen KRITIS-Sektoren wie Gesundheitswesen und Pharma, Bildung sowie Energie und Versorgung zu den Hochrisikobereichen – „wenn es darum geht, dass Mitarbeiter auf Phishing-Taktiken hereinfallen“. Diese Schwachstellen würden von Cyber-Kriminellen ausgenutzt, um Netzwerke und Systeme zu infiltrieren.

„Die Ergebnisse unseres Berichts sind ein Weckruf für die Kritischen Infrastruktursektoren“, betont Stu Sjouwerman, „CEO“ von KnowBe4. Auch wenn der Anstieg der Cyber-Angriffe auf diese Sektoren äußerst besorgniserregend sei, sollte nicht vergessen werden, „dass wir nicht machtlos sind“. Er führt hierzu aus: „Durch die Förderung einer starken Sicherheitskultur, die Technologie, Prozesse und Menschen kombiniert, können wir diese Risiken erheblich mindern!“

Es gilt, Cyber-Sicherheit als grundlegenden Aspekt operativer Widerstandsfähigkeit und Nationaler Sicherheit zu verstehen

Jede Organisation, unabhängig von ihrer Größe oder ihrem Sektor, spiele eine Rolle beim Schutz unserer kollektiven Infrastruktur. „Es ist an der Zeit, Cyber-Sicherheit nicht nur als IT-Angelegenheit zu betrachten, sondern als einen grundlegenden Aspekt unserer operativen Widerstandsfähigkeit und Nationalen Sicherheit“, so Sjouwerman.

Der aktuelle KnowBe4-Bericht hebe jüngste hochkarätige Angriffe auf KRITIS weltweit hervor und zeige deren weitreichende Auswirkungen auf. Zudem biete er konkrete Empfehlungen für Organisationen und Institutionen, um ihre Cyber-Resilienz zu stärken.

Weitere Informationen zum Thema:

KnowBe4, 2024
Cyber Attacks on Infrastructure / The New Geopolitical Weapon

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

[datensicherheit.de, 12.01.2021] Das Analystenteam von CybelAngel hat nach eigenen Angaben seinen aktuellen Forschungsbericht „Full Body Exposure“ vorgestellt. Demnach sind im Internet weltweit mehr als 45 Millionen medizinische Bilddateien – darunter Röntgen-, CT- und MRT-Scans – auf ungeschützten Servern für jedermann frei zugänglich, so die Warnung.

In Deutschland auf 251 Servern 39.204 frei zugängliche medizinische Aufnahmen

Der Bericht „Full Body Exposure“ basiere auf Untersuchungen von „Network Attached Storage“ (NAS) und „Digital Imaging and Communications in Medicine“ (DICOM), die über sechs Monate hinweg weltweit durchgeführt worden seien. DICOM sei der De-facto-Standard, den Mediziner zum Senden und Empfangen medizinischer Daten verwendeten. Die Analysten hätten im Rahmen ihrer Recherche aufgedeckt, daDSGVOss Millionen sensibler Bilder und Patientendaten im Internet frei zugänglich seien – unverschlüsselt und ohne Passwortschutz.
Für den Bericht hätten CybelAngel-Tools auf mehr als 2.140 Servern rund 4,3 Milliarden IP-Adressen in 67 Ländern gescannt. Dabei seien mehr als 45 Millionen medizinische Bilder identifiziert worden, die für jedermann offen zugänglich gewesen seien. Allein in Deutschland hätten die Analysten in den letzten sechs Monaten auf 251 Servern 39.204 frei zugängliche DICOM-Aufnahmen gefunden. In Großbritannien seien im gleichen Zeitraum auf 90 Servern 23.238 solcher Bilder entdeckt worden. Die medizinischen Aufnahmen enthielten bis zu 200 Zeilen Metadaten mit persönlichen Informationen, die eine zweifelsfreie Identifizierung der betroffenen Patienten ermöglicht hätte. Die Daten ließen sich aus allen identifizierten Quellen problemlos ohne Benutzernamen oder Passwort abrufen. In einigen Fällen akzeptierten Login-Portale auch leere Benutzernamen und Passwörter.

Bessere Schutzvorkehrungen für medizinische Patientendaten notwendig

„Für unsere Untersuchung haben wir keine Hacking-Tools verwendet“, stellt David Sygula, „Senior Cybersecurity Analyst“ bei CybelAngel und Autor des Berichts „Full Body Exposure“, klar. Trotzdem sei es ihnen ein Leichtes gewesen, besagte Daten zu identifizieren und problemlos darauf zuzugreifen.
Diese besorgniserregende Entdeckung beweise, dass schnell deutlich strengere Sicherheitsprozesse eingeführt werden müssten, so der Analyst. „Die Art und Weise, wie Fachpersonal sensible medizinische Daten teilt und speichert, muss in Zukunft deutlich bessere Schutzmechanismen integrieren als bisher üblich.“ Er plädiert für ein „gesundes Gleichgewicht zwischen Sicherheit und bequemer Zugänglichkeit“, um Datenpannen in Zukunft zu verhindern.

Medizinische Einrichtungen arbeiten meist mit Netz von Drittanbietern

Die Brisanz des Themas liege unter anderem auch an der Komplexität der verwendeten IT-Umgebungen. „Medizinische Einrichtungen arbeiten meist mit einem Netz von Drittanbietern, die untereinander wiederum verknüpft sind“, erläutert Sygula. Die Cloud sei dabei Dreh- und Angelpunkt und damit eine wichtige Plattform für den Austausch und die Speicherung von Daten.
Sicherheitslücken stellten in einer solchen Umgebung ein enormes Risiko dar. Dies gelte einerseits für die Personen, deren Daten kompromittiert würden, also die Patienten. Andererseits seien auch Einrichtungen des Gesundheitswesens, welche den Vorschriften zum Schutz der Patientendaten unterlägen, durch die aufgedeckten Sicherheitsmängel gefährdet.

Medizinische Aufnahmen könnten im Darknet zu Höchstpreisen verkauft werden

„Gerade der Gesundheitssektor steht aktuell vor noch nie dagewesenen Herausforderungen. Die Sicherheit und die Privatsphäre der persönlichsten Daten der Patienten müssen daher deutlich besser geschützt werden, damit diese vertraulichen Informationen nicht in die falschen Hände geraten“, mahnt Sygula.
Der Bericht hebe die Sicherheitsrisiken von öffentlich zugänglichen Bildern mit sehr persönlichen Informationen hervor, einschließlich Ransomware und Erpressung. Betrug sei ein weiterer entscheidender Risikofaktor, da medizinische Aufnahmen im Darknet zu Höchstpreisen verkauft werden könnten.

Wenige Schritte zu mehr medizinischem Datenschutz

Compliance habe im Bereich des Gesundheitswesens einen besonders hohen Stellenwert. So seien europäische Gesundheitsdienstleister verpflichtet, die Vorschriften der DSGVO einzuhalten. Verstöße gegen die regelkonforme Sicherung sensibler Patientendaten seien sanktionspflichtig und könnten hohe Strafen nach sich ziehen.
Um die Sicherheit von Patientendaten aller Art zu garantieren, rät CybelAngel zu einigen grundlegenden Schritten. Damit könnten medizinische Einrichtungen ihre Workflows sowie die Art und Weise absichern, in der Daten geteilt und gespeichert werden. Die wichtigsten Maßnahmen seien:

• – Lecks bei Dritten identifizieren und stopfen.
• – Cloud-Zugriffe sperren, wo immer es angebracht ist.
• – Daten außerhalb des Netzwerks ausreichend überwachen.

Weitere Informationen zum Thema:

CybelAngel
Full Body Exposure / CybelAngel Analysis of Medical Data Leaks

datensicherheit.de, 21.08.2020
Stillgelegtes Krankenhaus in Büren: Patientenakten ohne Datenschutz / Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

[datensicherheit.de, 21.08.2020] Malewarebytes hat nach eigenen Angaben am 21. August 2020 seinen aktuellen Cyber-Sicherheits-Bericht 2020 veröffentlicht. Die Analysen der Sicherheitsforscher zeigten gravierende Sicherheitslücken und Gefahren für Unternehmen durch Mitarbeiter im Home-Office auf: „Ein Anstieg von 20 Prozent bei Sicherheitsverletzungen, gestiegene Kosten für die Behebung entstandener Schäden, 61 Prozent der befragten Organisationen haben kein Sicherheitskonzept für den Einsatz persönlicher Geräte im Home-Office – seit Beginn der ,Pandemie‘.“ Beispielhaft für die Gefahr für Unternehmen stehe die Zunahme der Verbreitung der Malware „AveMaria“ um über 1.200 Prozent im Vergleich zum Vorjahr, 2019.

Abbildung: Malwarebytes

Malwarebytes‘ neuer Cyber-Sicherheitsbericht „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“

Aktueller Cyber-Sicherheitsbericht kombiniert Telemetrie von Malwarebytes mit Umfrageergebnissen

Die Unternehmen seien nun unter Zugzwang, denn der neue Malwarebytes-Bericht offenbare massive Sicherheitslücken durch Mitarbeiter im Home-Office, so ein Ergebnis einer Umfrage unter Entscheidungsträgern im Bereich IT- und Cyber-Sicherheit – diese lasse auf einen Anstieg von 20 Prozent der Cyber-Sicherheitsverletzungen in Folge des verstärkten Einsatzes von Mitarbeitern im sogenannten Home-Office – „bedingt durch Covid-19“ – schließen.
Nach Angaben von Malwarebytes kombiniert der aktuelle Cyber-Sicherheitsberichts „Enduring from Home – Auswirkungen von Covid-19 auf die Unternehmenssicherheit“ die Telemetrie von Malwarebytes mit den Ergebnissen einer Umfrage unter 200 IT- und Cyber-Sicherheits-Entscheidungsträgern von kleinen Unternehmen bis hin zu Großkonzernen. Ziel sei es, Sicherheitslücken in der für viele Mitarbeiter ungewohnten neuen Arbeitssituation aufzudecken.

Malwarebytes warnt: 61% der Organisationen fordern Mitarbeiter nicht auf, Sicherheitslösungen auf persönlichen Geräten aufzuspielen

Die Daten zeigten, dass das Potenzial für Cyber-Angriffe und Sicherheitsverletzungen zugenommen habe, seit Organisationen auf ein „Work from Home“-Modell (WFH) umgestiegen sind. 20 Prozent der Befragten gäben an, dass sie seit Beginn der „Pandemie“ mit einer Sicherheitsverletzung durch einen Remote-Mitarbeiter konfrontiert gewesen seien. Das bringe Kosten mit sich: 24 Prozent der Befragten sagten, dass sie für unerwartete Kosten für die Behebung einer Cyber-Sicherheitsverletzung oder eines Malware-Angriffs aufkommen müssten.
Darüber hinaus gäben 28 Prozent der Befragten an, auch persönliche Geräte zu nutzen, was neue Möglichkeiten für Cyber-Angriffe eröffne. Diese Zahl werde noch problematischer beim Blick auf einen weiteren Umfragewert, „der zeigt, dass 61 Prozent der befragten Organisationen ihre Mitarbeiter nicht dazu auffordern, Sicherheitslösungen auf ihren persönlichen Geräten zu verwenden“.

Malwarebytes-CEO: Unternehmen noch nie einem größeren Risiko ausgesetzt als jetzt!

„Der grundlegende Wechsel zur Arbeit im Home-Office hat die Notwendigkeit eines umfassenden Sicherheitskonzepts sowie von IT-Anleitungen und Schulungen zur Vermeidung von Sicherheitsverletzungen dramatisch unterstrichen. Viele Organisationen haben die Lücken in ihren Cyber-Sicherheitsplänen nicht behoben, als sie zu einer Remote-Belegschaft übergingen und mit Sicherheitsproblemen als Folge“, berichtet Marcin Kleczynski, „CEO“ und Mitbegründer von Malwarebytes.
Die Verwendung von mehr, oft unautorisierten Geräten offenbare die „dringende Notwendigkeit“ nicht nur eines vollständigen, mehrstufigen Sicherheitsmodells, sondern auch neuer Richtlinien für die Arbeit von zu Hause aus. „Unternehmen waren noch nie einem größeren Risiko ausgesetzt als jetzt und Hacker werden immer aktiver“, warnt Kleczynski.

Malwarebytes-Sicherheitsforscher: Spezialisierung der Cyber-Kriminellen

In Bezug auf die Bedrohungslandschaft beobachten Sicherheitsforscher von Malwarebytes demnach, dass Cyber-Kriminelle sich darauf spezialisiert hätten, unsachgemäß gesicherte Firmen-VPNs, cloudbasierte Dienste und geschäftliche E-Mails auszunutzen. Auch die Zahl von Phishing-E-Mails, die „Covid-19“ als Köder benutzten, sei stark angestiegen. Diese E-Mails enthielten Malware wie „AveMaria“ und „NetWiredRC“, die einen Remote-Desktop-Zugriff, eine Steuerung der Webcam, Passwortdiebstahl und mehr ermöglichten.
Daten von Malwarebytes zeigten, dass „AveMaria“ von Januar bis April 2020 einen „enormen Anstieg von 1.219 Prozent“ verzeichne. Danach ziele „AveMaria“ vor allem auf große Unternehmen ab. „In ähnlicher Weise beobachten die Sicherheitsforscher bei NetWiredRC einen 99-prozentigen Anstieg von Januar bis Juni 2020, wobei hier in erster Linie kleine und mittelständische Unternehmen im Visier waren.“

Direktor der Malwarebytes Labs: Bedrohungsakteure passen sich schnell an

„Die Bedrohungsakteure passen sich schnell an, um neue Wege zu finden, aus der neuen Arbeitssituation Kapital zu schlagen“, führt Adam Kujawa, Direktor der „Malwarebytes Labs“, aus. Man habe einen erheblichen Anstieg von Angriffen auf Cloud- und Kollaborationstools beobachtet. Kujawa: „Dies zeigt uns, dass wir die Cyber-Ssicherheit in Bezug auf diese Tools sowie die Schwachstellen bei der Arbeit in verteilten Umgebungen neu bewerten müssen, um Bedrohungen wirksamer einzudämmen.“
Trotzdem schienen die Unternehmen ein hohes Maß an Vertrauen in den Übergang zur Heimarbeit zu haben, denn rund drei Viertel (73,2 Prozent) der Befragten bescheinigten ihren Organisationen bei der Vorbereitung auf den Übergang zum WFH eine Punktzahl von sieben oder mehr (Skala 1-10; 10 Maximalpunktzahl). Im Zuge der Verlagerung ins Home-Office allerdings führten 45 Prozent der Organisationen nicht die notwendigen Sicherheits- und Online-Datenschutzanalysen von Software-Tools durch. Zwar stellten 61 Prozent der Organisationen ihren Mitarbeitern bei Bedarf Geräte für die Arbeit zur Verfügung, allerdings hätten 65 Prozent keine entsprechende Virenschutzlösung für diese Geräte installiert.

Weitere Informationen zum Thema:

Malwarebytes, 21.08.2020
Enduring from home / COVID-19‘s impact on business security

datensicherheit.de, 19.08.2020
Mittelstand im Home-Office: 5 IT-Sicherheits-Tipps / Yuriy Yuzifovich gibt Hinweise, wie auch ohne eigene IT-Abteilung Sicher im Home-Office gearbeitet werden kann

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT / Laut neuer McAfee-Studie hat Cloud-Nutzung während der „Corona“-Krise um 50 Prozent zugenommen – damit wuchs auch Risiko der Schatten-IT

datensicherheit.de, 11.07.2020
Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken / Gerald Beuchelt plädiert für zielgruppenorientierte regelmäßige Vermittlung von Grundlagen der IT-Sicherheit

[datensicherheit.de 28.06.2020] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt nach eigenen Angaben den Evaluierungsbericht der Europäischen Kommission zur Datenschutz-Grundverordnung (DSGVO): Dieser Bericht sei ein wichtiger Schritt zur weiteren Vereinheitlichung und verbesserten Durchsetzung des Datenschutzes.

Foto: Bundesregierung/Kugler

Professor Ulrich Kelber: DSGVO weltweit als Vorbild für neue gesetzliche Regelungen etabliert

Wichtigste Zielsetzungen der DSGVO erreicht

„Die DSGVO ist ein großer Erfolg mit gleichzeitig weiterem Verbesserungspotenzial. Ihre wichtigsten Zielsetzungen wurden erreicht, wie beispielsweise ein gesteigertes Bewusstsein für den Datenschutz oder verbesserte Durchsetzung durch die Aufsichtsbehörden. Weltweit hat sich die DSGVO als Vorbild für neue gesetzliche Regelungen etabliert“, bilanziert Professor Kelber.

Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden

Wesentliche Kernaussagen ihrer eigenen Evaluierung und des Evaluierungsberichts der Datenschutzkonferenz fänden sich auch im Bericht der Kommission. „Das betrifft beispielsweise Defizite bei der Zusammenarbeit der europäischen Aufsichtsbehörden im Europäischen Datenschutzausschuss und mögliche bürokratische Entlastungen für kleine und mittelständische Unternehmen.“

Europäische Kommission äußert sich nicht zu Scoring und Profiling

Der BfDI führt weiter aus: „Es war abzusehen, dass der Gesetzestext der DSGVO nach derzeitigem Stand nicht geändert werden soll. Kritisch sehe ich hingegen, dass die Europäische Kommission sich zu einigen Herausforderungen für den Datenschutz nicht äußert, wie zum Beispiel zum Thema ,Scoring‘ und ,Profiling‘“.

Besondere Schutzmaßnahmen bei Datenübermittlung in Drittstaaten gefordert

Die Europäische Kommission fordere in ihrem Evaluationsbericht außerdem den Europäischen Datenschutzausschuss (EDSA) auf, die Arbeiten zu bestimmten Themen zu intensivieren. Dazu zählten beispielsweise die Leitlinien für besondere Schutzmaßnahmen bei der Datenübermittlung in Drittstaaten oder die inhaltlichen Abstimmung bei der Genehmigung sogenannter Binding Corporate Rules. Der EDSA habe bereits vor Veröffentlichung des Berichts und trotz der „Corona-Pandemie“ seine Arbeiten mit Nachdruck vorangetrieben.

Datenschutzaufsichtsbehörden müssen angemessen ausgestattet sein

Das Dokument enthält demnach auch eine der Kernforderungen des BfDI: „Die Datenschutzaufsichtsbehörden müssen finanziell, personell und technisch angemessen ausgestattet werden. Es ist Zeit, dass die verschiedenen Regierungen endlich handeln“, betont Professor Kelber.

Weitere Informationen zum Thema:

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt / Prof. Dr. Johannes Caspar kritisiert „verpasste Chance zum Nachsteuern“