[datensicherheit.de, 25.01.2022] Die aktuelle Stellungnahme von BlackBerry bezieht sich auf die Anzahl der Attacken durch Ransomware, welche demnach täglich ansteigt – dies verdeutlichten aktuelle Zahlen des TÜV SÜD. Cyber-Kriminelle hätten längst florierende Geschäftsmodelle etabliert und vermarkteten Ransomware quasi als „Cybercrime-as-a-Service“ (CaaS). BlackBerry hat nach eigenen Angaben mit dem „Prevention First“-Ansatz eine Strategie parat, Unternehmen durch den Einsatz Künstlicher Intelligenz (KI) präventiv vor Cyber-Kriminellen zu schützen.

Ransomware-Attacken einer der entscheidenden Cybersecurity-Trends 2022

Die Gefährdung von Datenbeständen und Netzwerken in Unternehmen und Organisationen nimmt offensichtlich zu: „Laut TÜV Süd werden Attacken durch Ransomware einen der entscheidenden Cybersecurity-Trends des Jahres 2022 ausmachen – mit weitreichenden bis verheerenden Folgen für die Betroffenen, wenn ein solcher Angriff erfolgreich verläuft.“

In der aktuellen Entwicklung der allgemeinen IT-Bedrohungslandschaft werde Ransomware bisweilen als CaaS gelabelt. Der Hintergrund: „Cyber-Kriminelle vermarkten die Schadsoftware mittlerweile ähnlich wie reguläre Software und haben damit ein Geschäftsmodell geschaffen“ – Malware werde gegen Lizenzgebühren und inklusive technischem Support zum Kauf angeboten.

Dies sei „ein gefährlicher Schattenmarkt auf Wachstumskurs“. Auswege aus der Gefährdung versprächen folgende Tipps:

1. Tipp: Ransomware mit täglich fast 400.000 neuen Schadsoftware-Varianten – proaktiv agieren!

Über die Digitale Transformation zu reden sei eine Sache, sie in der Praxis umzusetzen eine andere. Genauso verhalte es sich mit dem Thema IT-Sicherheit. Vielerorts bestehe in Unternehmen und Organisationen Nachholbedarf hinsichtlich der Gefahrenabwehr. Allerdings reiche es keineswegs aus, den Rückstand aufzuholen und abzuwarten, wie potenzielle Angreifer ihre Strategie ausrichten.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sich Ransomware mit täglich fast 400.000 neuen Schadsoftware-Varianten zur größten Erpressungsmethode entwickelt.

Vor diesem Hintergrund seien Unternehmen gut beraten, proaktiv nach wirksamen Strategien zu suchen, qualifizierte Sicherheitspartner an Bord zu holen und gezielt Lücken in der eigenen Sicherheitsstrategie aufzuspüren und zu schließen.

2. Tipp: Ransomware unterstreicht Notwendigkeit, in die Schulung und Awareness der Mitarbeiter zu investieren!

Fehler seien typisch menschlich – „was wie ein Allgemeinplatz klingt, erhält besondere Brisanz im Kontext der IT-Gefahrenabwehr“.

Denn für Unternehmen empfehle es sich, nicht nur ihre Datenbestände und Systeme umfassend zu schützen, sondern auch bei der Belegschaft „Awareness“ für das Thema Sicherheit zu schaffen:

Hierzu sollten Mitarbeiter durch Schulungen und eine gelebte Sicherheitskultur im Unternehmen systematisch in die Security-Strategie mit einbezogen werden. Dabei sollte der Fokus darauf gelegt werden, jeden Endpunkt möglichst lückenlos abzusichern.

3. Tipp: KI zur Ransomware-Abwehr – technische Infrastruktur effektiv absichern!

Als besonders wirksam im Bereich technischer Maßnahmen erweise sich in der Praxis das „Zero Trust“-Prinzip: Vielerorts werde Mehr-Faktor-Authentifizierung um neue Entwicklungen aus dem KI-Segment ergänzt, um IT-Systeme von Unternehmen effektiv gegen Cyber-Angriffe abzusichern.

Beispiel „Prevention First“: Hierbei würden Angriffe nicht erst im Nachhinein bekämpft, sondern mithilfe von KI frühzeitig erkannt und gestoppt, bevor sie ausgeführt werden können. In einer eigens dafür entwickelten Lösung habe BlackBerry rund 1,5 Billionen Dateien in das System eingespeist und 20 Milliarden Dateimerkmale extrahiert.

Wie erfolgreich dieser Ansatz auch gegen Ransomware funktioniert, zeige ein simulierter Hacker-Angriff in der „Quantum Lab“-Testumgebung von BlackBerry. Dort zeige sich: Moderne Gefahrenabwehr profitiere von agilen Strukturen und weitsichtigen strategischen Entscheidungen für die geeignete Technologie – „und genau hier ist das Management eines jeden Unternehmens gefragt“.

Weitere Informationen zum Thema:

TÜV SÜD, 16.11.2021
TÜV SÜD: Das sind die Cybersecurity-Trends 2022

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland / IT-Sicherheitslage bleibt angespannt bis kritisch

[datensicherheit.de, 30.11.2021] Zum „Tag der Computersicherheit“ am 30. November 2021 fordert Rainer Seidlitz, Leiter „Produkt-Management Safety & Security“ bei der TÜV SÜD Akademie GmbH, in seiner Stellungnahme, die „menschliche Firewall“ zu stärken.

Foto: TÜV SÜD Akademie GmbH

Rainer Seidlitz: Ständig werden Netzwerke durch Angriffe auf eine harte Probe gestellt

Seidlitz warnt: Malware-Distributoren und Hacker professionalisieren sich – KMU-Gegenmaßnahmen hinken hinterher

„Die Bedeutung von Cybersecurity und eines sicheren digitalen Öko-Systems wächst weiter“, so Seidlitz. Ständig würden Netzwerke durch Angriffe auf eine harte Probe gestellt. Während Malware-Distributoren und Hacker sich professionalisierten und ihre Dienste mittlerweile „as-a-Service“ zur Miete anböten, hinkten jedoch besonders kleine und mittlere Unternehmen (KMU) bezüglich der Gegenmaßnahmen hinterher.
Seidlitz führt aus: „Zwar achten viele mehr auf die Absicherungen von Netzwerk- und Cloud-Infrastrukturen gegen externe Angriffe, doch sie versäumen es, ihre Mitarbeiter über die Bedrohungen und Gegenmaßnahmen zu unterrichten, um sie als menschliche Firewall zu stärken.“

E-Mails laut Seidlitz noch immer beliebteste Einfallstore

„Der beliebteste Weg, um sich unerlaubten Zutritt zu einem Unternehmensnetzwerk zu verschaffen, ist und bleibt die E-Mail, was diverse Studien zeigen“, berichtet Seidlitz. Die Nachrichten enthielten in der Regel eine mit Malware verseuchte Datei als Anhang oder den Link zu einer betrügerischen Internet-Seite, welche im Rahmen einer Phishing-Attacke die Zugangsdaten stehlen solle.
Besonders beliebt seien die digitalen Auftritte von Online-Versandhändlern, Banken und Paketdiensten – oftmals seien diese E-Mails sogar personalisiert. Auch vor dem Ausnutzen möglicher Ängste ihrer Opfer schreckten die Hacker nicht mehr zurück – von vermeintlichen Informationen rund um die „Corona-Pandemie“ bis zu Anträgen für dringend benötigte Sozialhilfen sei alles bereits missbraucht worden. „Wer bei solchen E-Mails nicht auf verdächtige Absenderadressen oder seltsame Webseiten-URLs achtet, der landet schnell in den Fängen von Kriminellen“, warnt Seidlitz.

Seidlitz betont: Mehr Home-Office verlangt mehr Verantwortung!

„Wie lange die Krise uns beschäftigen wird, lässt sich nicht bestimmen. Das Home-Office als Arbeitsweise ist nun allerdings in der Gesellschaft verankert.“ Mobiles Arbeiten bringe allerdings neue Herausforderungen für die IT-Sicherheit mit sich und fordere gleichzeitig von der Belegschaft, mehr Verantwortung für die Absicherung des Netzwerkes zu übernehmen.
Dabei reiche es nicht aus, die Mitarbeiter lediglich über die Bedrohungslage aufzuklären. Es gelte, im Unternehmen ein Bewusstsein für IT-Sicherheit bis hin zur Führungsebene zu etablieren und den Mitarbeitern zu vermitteln, „dass sie ein wichtiger Teil der Cyber-Abwehr sind“. Hierfür brauche es regelmäßige Übungen, wie Simulationen im Alltag, wenn die Mitarbeiter ihrer gewohnten Arbeit nachgehen. Dadurch sei man für den Ernstfall gewappnet und könne die Abläufe festlegen, um einen Krisenplan zu erstellen.

Seidlitz appelliert: Bewusstsein für IT-Sicherheit schaffen!

Alle Beteiligten eines Unternehmens müssten wissen, „wie bedroht ihre Firma ist und welche Rolle sie bei einem Angriff übernehmen sollen“. „Remote Work“ mit vielen Endgeräten und Zugangspunkten zum Unternehmensnetzwerk erhöhe den Druck.
Da es aber besonders den KMU oft an Fachkräften und Ressourcen fehle, um sich gut vorzubereiten, lohne sich die Einbindung externer Experten von unabhängiger Seite, „die bei entsprechender Ausbildung und Eignung gegebenenfalls auch als Informationssicherheits- oder Datenschutzbeauftragte benannt werden können“. IT-Sicherheit bestehe eben nicht nur aus Hard- und Software, sondern ebenso aus geschulten Mitarbeitern.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2021
Computer Security Day 2021: Check Point gibt fünf Tipps / Tipps für alle, die einen Computer, ein Smartphone oder ein IoT-Gerät besitzen

datensicherheit.de, 09.08.2021]
Der Mensch als größte Schwachstelle für die IT-Sicherheit / Cyber-Kriminelle nutzen Home-Office aus und fokussieren auf den Risikofaktor Mensch

[datensicherheit.de, 21.01.2021] Zum „Europäischen Datenschutztag“ am 28. Januar 2021 wirft Mareike Vogt, Fachexpertin für Datenschutz beim TÜV SÜD, einen Blick auf die größten Herausforderungen, welche das Thema Datenschutz im Jahr 2021 für kleine und mittlere Unternehmen (KMU) bereithält. Vor 40 Jahren sei die europäische Datenschutzkonvention unterzeichnet worden, weshalb jährlich am 28. Januar der „Europäische Datenschutztag“ begangen werde. Der Datenschutz stelle nun Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof (EuGH) in Sachen „Schrems II“ wachse der Druck auf KMU, ihre Prozesse und Abläufe neu zu evaluieren und den Regularien der EU-DSGVO anzupassen.

Foto: TÜV SÜD

Mareike Vogt: KMU müssen Prozesse sowie Soft- und Hardware schleunigst anpassen

Nachlässigkeit der Politik stellt jetzt besonders KMU vor große Schwierigkeiten

Die EU-DSGVO gebe vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb von EU/EWR unter anderem nur erlaubt sei, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur EU-DSGVO garantierten. Diese Anforderung erfüllten beispielsweise die USA nicht, weswegen der „EU Privacy Shield“ vom EuGH in der Klage „Schrems II“ gekippt worden sei.
„Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde.“ Die Nachlässigkeit der Politik stelle jetzt besonders KMU vor große Schwierigkeiten: „Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.“

KMU mit „as-a-Service“-Diensten müssen Verträge überprüfen

KMU griffen in ihrer täglichen Arbeit meist auf Software-Lösungen und „as-a-Service“-Dienste von größeren, etablierten Anbietern zurück oder sie richteten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicherzugehen, „dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden“. Sollten KMU nämlich Standardvertragsklauseln als Garantie mit den Anbietern der Dienste abgeschlossen haben, so könne es sein, dass diese ebenfalls durch „Schrems II“ beeinflusst würden.

Oftmals genügten diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssten ergriffen werden. „Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben.“ Vogt warnt: Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so seien auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise „on premise“, also über eigene Server.

KMU, welche DSGVO nicht nachkommen, drohen Bußgelder und Bloßstellung

Viele KMU seien mit großen Herausforderungen durch „Schrems II“ konfrontiert. „Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel ,NOYB‘, die sich dem Datenschutz verschrieben haben.“ Diese schreckten nicht davor zurück, Unternehmen auch einmal an einen „digitalen Pranger“ zu stellen.
Vielen Firmen mangele es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gebe jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: „Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage.“ Mit deren Hilfe könnten auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen, empfiehlt Vogt.

Weitere Informationen zum Thema:

edpb EUROPEAN DATA PROTECTION BOARD, 10.11.2020
Adopted -version for public consultations1Recommendations01/2020on measuresthat supplement transfer tools to ensure compliance with the EU level of protection of personal data

noyb
EU-US Transfers Complaint Overview

datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil

datensicherheit.de, 20.07.2020
TeleTrusT: Handlungsempfehlungen nach Aus für Privacy Shield / Stellungnahme des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zum Urteil des EuGH

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen

[datensicherheit.de, 08.10.2020] Das Arbeiten im sogenannten Home-Office während der „Corona-Pandemie“ hat Cyber-Kriminellen die Angriffsfläche offensichtlich spürbar vergrößert. Doch auch der Wechsel zurück vom Home-Office ins Büro birgt Risiken für die IT-Sicherheit. Experten von TÜV SÜD Sec-IT geben in einer aktuellen Stellungnahme einen Überblick zu den wichtigsten Regeln für die IT-Sicherheit insbesondere in dieser Phase.

Foto: TÜV SÜD

Stefan Vollmer: Bereits tickende Cyber-Bomben rechtzeitig entschärfen!

Im Home-Office unbemerkt Schadsoftware eingefangen

„Grundsätzlich besteht die größte Gefahr darin, dass sich Mitarbeiter im Home-Office unbemerkt Schadsoftware eingefangen haben. Diese bringen sie dann am ersten Arbeitstag unabsichtlich mit ins Büro und somit in das Firmennetzwerk“, warnt Stefan Vollmer, „CTO“ bei der TÜV SÜD Sec-IT GmbH.
Falls Mitarbeiter ihre Firmenrechner zudem auch für private Zwecke nutzen, könnten z.B. durch externe Speichermedien oder unerlaubt installierte Software zusätzliche Sicherheitsrisiken entstehen.

Checkliste zur IT-Sicherheit für die Rückkehr aus dem Home-Office:

• Schrittweise Rückkehr:
  Wenn alle Mitarbeiter gleichzeitig ins Büro wechseln, dann könnte das die IT-Abteilung überfordern. Ein handlungsunfähiges und überfordertes IT-Team aber birgt hohe Risiken, da im Ernstfall nicht schnell reagiert werden kann.
• Inventarisierung:
  Bei der Entscheidung, alle Mitarbeiter mit sofortiger Wirkung ins Home-Office zu schicken, blieb meist keine Zeit für ein geordnetes Vorgehen. Umso wichtiger ist es jetzt, dass Geräte, welche nun wieder in die Firma zurückgebracht werden, akribisch erfasst und inventarisiert werden. Damit ist man bei einem Zwischenfall in der Lage, sehr schnell Rückschlüsse auf den Ursprung zu ziehen.
• Verpflichtender Passwortwechsel:
  Bei der Rückkehr sollten alle Mitarbeiter dazu angehalten werden, die Passwörter ihrer Firmenzugänge und Hardware zu ändern. Es kann nicht ausgeschlossen werden, dass im Zuge eines Phishings die Zugangsdaten gestohlen wurden und somit nun ein Zugang zum Firmennetzwerk möglich ist.
• Verbot privater IT-Geräte:
  Zuhause wird gerne private Hardware für Geschäftszwecke genutzt. Die Gefahr besteht, dass diese Hardware nun auch ins Büro gebracht wird, um weiter – wie nun gewohnt – arbeiten zu können. Dies sollte im Zuge der zuvor angesprochenen Inventarisierung verhindert werden.
• „End Point Scan“:
  Falls eine phasenweise Rückführung der Mitarbeiter ins Büro möglich ist, sollte während und nach jeder Phase ein Scan der mitgebrachten Hardware durchgeführt werden. Dieser dient nicht nur der Erkennung von Schadsoftware, sondern auch der Validierung und Inventarisierung von selbst installierter Software, welche nicht zuvor vom Unternehmen freigegeben wurde.
• Patching:
  Bei allen Geräten, die in das Firmennetz eingebracht werden, müssen sofort und zwingend alle Updates eingespielt werden, ohne die Möglichkeit, diese zu verschieben oder abzubrechen.

Für Cyber-Risiken sensibilisieren und Verantwortungsgefühl beim Arbeiten im Home-Office stärken

„Wenn Unternehmen diese Punkte beachten, können sie die mitgebrachten, möglicherweise schon tickenden Cyber-Bomben rechtzeitig entschärfen“, so Vollmer.
Letztlich stelle die aktuelle Situation auch eine Chance dar, die Belegschaft besser für Cyber-Risiken zu sensibilisieren und ihr Verantwortungsgefühl beim Arbeiten im Home-Office zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office

[datensicherheit.de, 03.08.2020] In der aktuellen Podcast-Episode vom TÜV SÜD wirft der US-amerikanische Experte Matthew Rosenquist einen Blick auf das „New Normal“ in der Cybersecurity – insbesondere bei kleinen und mittleren Unternehmen (KMU). Diese seien noch allzu oft ein leichtes Ziel für Angreifer. Mit ein paar grundlegenden Maßnahmen könnten sich diese aber effektiver schützen, auch ohne dabei teure IT-Lösungen einzusetzen.

Abbildung: TÜV SÜD

Podcast „Folge #20 (Englisch): What’s next in Cybersecurity – and how SMEs can protect themselves“

Irrtum: KMU gehen davon aus, kein attraktives Ziel für Angreifer zu sein

Cyber-Sicherheit sei ein Thema, welches viele KMU oft leider immer noch verdrängten. Sie gingen davon aus, kein attraktives Ziel für Angreifer zu sein, oder glaubten, dass wirksame Schutzmaßnahmen zu komplex oder zu teuer für ihr Unternehmen seien.
„Aber wenn sensible Daten erst einmal in die Hände erpresserischer Cyber-Krimineller gefallen sind, dann ist es definitiv zu spät für Schutzmaßnahmen.“ Denn tatsächlich seien viele KMU gerade deshalb ein attraktives Ziel für Cyber-Kriminelle, „weil sie leicht angreifbar sind“.

Anregungen, wie sich KMU besser schützen können

Im aktuellen TÜV-SÜD-Podcast „Safety First“ wird den Fragen nachgegangen, was die Trends in der Cybersecurity sind und wie sich KMU besser schützen können.
„In dieser Episode spricht der international anerkannte Cyber-Sicherheitsexperte Matthew Rosenquist über das ,New Normal‘ in der Cyber-Ssicherheit nach ,Covid-19‘, über aktuelle Markttrends und darüber, wie KMU ihre Cyber-Sicherheit mit grundlegenden Schritten deutlich verbessern können.“

KMU helfen, Bedrohungen, Kosten und Benutzerfreundlichkeits-Faktoren auszubalancieren

Rosenquist ist laut TÜV SÜD „Chief Information Security Officer“ (CISO) bei Eclipz; er habe lange Jahre bei Intel Corp. gearbeitet, zuletzt als Cyber-Sicherheitsstratege, und verfüge über eine dreißigjährige Erfahrung in der Cyber- und IT-Sicherheit.
„Er etablierte und leitete Intels erstes globales ,24×7 Security Operations Center‘ und war Intels erster ,Incident Commander‘ für weltweite IT-Notfallreaktionen.“ Als Cyber-Sicherheitsstratege habe er aufkommende Risiken und Möglichkeiten identifiziert, um Unternehmen dabei zu helfen, Bedrohungen, Kosten und Benutzerfreundlichkeits-Faktoren auszubalancieren und so ein optimales Sicherheitsniveau zu erreichen.

Egal, ob privat, als Angestellter oder KMU: Risiken der Digitalisierung kennen!

Im Podcast „Safety First“ von TÜV SÜD geht es demnach um „Cybersecurity, Datenschutz und mehr“. Er erscheine zweimal im Monat mit einer neuen Episode.
Ob als Privatmensch, im Job oder als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können.“

Weitere Informationen zum Thema:

TÜV SÜD
Herzlich willkommen zu Safety First, dem Podcast zu Cybersecurity, Datenschutz und mehr von TÜV SÜD!

[datensicherheit.de, 12.07.2020] Das jüngste BGH-Urteil zum Thema Cookie-Banner zeigt laut TÜV SÜD auf, „dass viele Unternehmen noch große Lücken in ihren Datenschutzkonzepten haben“. Mareike Vogt, Datenschutz-Expertin der TÜV SÜD Sec-IT GmbH, erklärt nachfolgend, worauf Unternehmen jetzt achten sollten und welche Folgen das Urteil für Unternehmen und deren Schutz von personenbezogenen Daten hat.

Aktive Cookie-Einwilligung der Besucher erforderlich!

Betreiber von Websites benötigten eine „aktive Einwilligung der Besucher“, wenn sie Cookies setzen wollen. Nicht zulässig seien dabei bereits vorangekreuzte Check-Boxen, um diese einzuholen. Nach dem Europäischen Gerichtshof (EuGH) habe dies nochmals ein Urteil des Bundesgerichtshofes (BGH) bestätigt, das kürzlich mit Begründung veröffentlicht wurde.
„Das Urteil stellt klar: Der Nutzer kann eine aktive Einwilligung nur abgeben, wenn ihm bewusst ist, worin er einwilligt. Nutzerprofile der Webseiten-Besucher dürfen lediglich mit konkreter Einwilligung erstellt werden. Eine vorangekreuzte Einwilligung ist dabei nicht konform“, betont Vogt. Wenn Unternehmen es verpassen, sich mit dem notwendigen Wissen und den Anforderungen der EU-DSGVO zu rüsten, liefen sie Gefahr, angreifbar zu sein oder schwerwiegende Fehler zu machen.

Beim Einsatz von Cookie-Bannern sollten Unternehmen Folgendes beachten:

• Die Cookie-Auswahl sollte sorgfältig überlegt und auf das Nötigste beschränkt sein (Datenminimierung).
• Ist eine Einwilligung notwendig, sollte diese aktiv vom Nutzer bestätigt werden und nicht bereits vorausgewählt sein (Privacy by default).
• Die Einwilligung ist so einfach und verständlich wie möglich, sowohl im Prozess als auch sprachlich, zu gestalten.
• Als Anhaltspunkt sollte eine Einwilligung stets so einfach zu widerrufen sein, wie sie abgegeben wurde – der Betroffene sollte in keinem Fall durch die Auswahl und den Prozess überfordert, bevormundet oder überrumpelt werden.

Auch an einfache Einwilligung über Cookie-Banner sind Voraussetzungen geknüpft

Hintergrund des Prozesses, zu dem das Urteil nun samt Begründung veröffentlicht wurde, war demnach der Rechtsstreit darum, ob der Beklagte für die Verwendungen der von ihm im Internet gesammelten Daten konforme Einwilligungen eingeholt hatte – die Erlaubnis dafür hatte er ursprünglich über ein Cookie-Banner eingeholt. „Nachdem sich der Bundesgerichtshof zur Beantwortung einiger Fragen die Unterstützung des Europäischen Gerichtshofes vorab geholt hatte, steht nun fest: Auch an die vermeintlich einfache Einwilligung über sogenannte Cookie-Banner sind Voraussetzungen geknüpft, die eingehalten werden müssen.“
Ist dies nicht der Fall, so drohten vielfältige Konsequenzen. Vogt warnt: „Neben dem möglichen Reputationsverlust drohen bei Missachtung der datenschutzrechtlichen Anforderungen und Pflichten auch Klagen durch Betroffene oder Bußgelder durch Aufsichtsbehörden.“

Weitere Informationen zum Thema:

Bundesgerichtshof
Bundesgerichtshof zur Einwilligung in telefonische Werbung und Cookie-Speicherung / Nr. 067/2020 Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II

datensicherheit.de, 28.05.2020
eco-Kommentar zum BGH-Urteil: Mehr Rechtssicherheit im Umgang mit Cookies

[datensicherheit.de, 07.07.2020] Nach aktuellen Erkenntnissen der TÜV SÜD AG sind deutsche Unternehmen „besonders häufig“ im Visier krimineller Phishing-Angriffe. Dieses Risiko habe sich in der „Corona-Pandemie“ nochmals verstärkt. Das zeigt nach eigenen Angaben der aktuelle „Phishing-Report“ von Cofense – TÜV SÜD kooperiere als neutrales Partnerunternehmen mit Cofense bei der Phishing-Abwehr.

Abbildung: TÜV SÜD

5 Warnsignale: Phishing-Angriffe in der „Corona“-Krise

„Homeoffice“ oft schlechter gegen Phishing abgesichert als Unternehmensnetzwerke

Eine TÜV-SÜD-Infographik zeigt demnach, woran Phishing-E-Mails schnell zu erkennen sind. Seit Beginn der „Corona-Pandemie“ und der damit verbundenen Zunahme von Fernzugriffen sowie deutlich höherem Online-Datenverkehr sei besonders die Anzahl der Phishing-Versuche stark gewachsen.
Diese Angriffsmethode erfreue sich allgemein großer Beliebtheit unter Hackern, umso mehr, weil das Arbeiten im „Homeoffice“ oft schlechter gegen virtuelle Angriffe abgesichert sei als innerhalb eines Unternehmensnetzwerkes.

Hohe Zahl an Command-and-Control-Servern lässt auf großes Interesse an deutschen Firmen schließen

Aktuelle Zahlen aus dem „Phishing-Report“ von Cofense für das erste Quartal 2020, zeigten, dass die Command-and-Control-Server krimineller Aktionen mit 4,78 Prozent am zweithäufigsten in Deutschland stünden. „Die tatsächliche Position einer Hacker-Gruppe kann sich zwar durchaus an einem anderen Ort befinden“, erläutert Stefan Vollmer, „CTO“ bei TÜV SÜD Sec-IT.
Die hohe Zahl der Command-and-Control-Server lasse jedoch ebenfalls auf ein großes Interesse an deutschen Firmen schließen.
Denn: „Ein deutscher Server, von dem die Malware-Attacken ausgehen, sitzt in einem vertrauenswürdigen Land, weswegen manche Spam-Regeln möglicherweise nicht greifen und die Postfächer der deutschen Unternehmen es gewohnt sind, von dieser Quelle E-Mails zu erhalten.“

Deutsche Weltmarktführer als interessante Phishing-Opfer

Außerdem, so Vollmer weiter, böten deutsche Unternehmen schon allein deshalb grundsätzlich eine gute Angriffsfläche für Phishing-Attacken, weil hierzulande einige Weltmarktführer zu Hause und dadurch viel Industrie und Know-how gebündelt vorhanden seien. „Kriminelle und erpresserische Angriffe werden dadurch umso lohnenswerter“, warnt Vollmer.
Außerdem könnten die Informationen eines kleinen oder mittelständischen und schlechter geschützten Weltmarktführers – sogenannter Hidden Champions – interessanter sein als die eines gut abgeschirmten Großkonzerns.

Weitere Informationen zum Thema:

TÜV SÜD
Simulierte Phishing-Attacken / Was ist unser Service Simulierte Phishing-Attacken?

COFENSE
COFENSE Q1 2020 PHISHING REVIEW

datensicherheit.de, 15.06.2020
TÜV SÜD: Podcast zu Safety und Security für die Industrie 4.0

datensicherheit.de, 12.06.2020
Phishing: Abwehr-Kampagnen ganzheitlich denken

[datensicherheit.de, 01.07.2020] In der aktuellen – englischsprachigen – Podcast-Episode von „Safety First“ erläutert der Cybersecurity-Experte Mirko Ross, woran es dem sogenannten Internet of Things, dem IoT, beim Thema Sicherheit fehlt und wie dies verbessert werden könnte. Denn die Gefahren für die immer zahlreicher werdenden IoT-Geräte seien zwar unsichtbar aber trotzdem sehr real, so der TÜV SÜD. Der Podcast „Safety First“ von TÜV SÜD widmet sich der „Cybersecurity“, dem Datenschutz und „mehr“ – zweimal im Monat. Egal, ob als Privatperson, im Beruf bzw. als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können“, betont TÜV SÜD.

Abbildung: TÜV SÜD AG

Mirko Ross: Daran krankt das Internet of Things…

IoT: Mit der Verbreitung wächst auch die Gefährdung

Das IoT wächst weiter – für das Jahr 2020 werden laut Statista weltweit bereits rund 20,4 Milliarden vernetzte Geräte prognostiziert. Indes laufen Cyber-Angriffe auf IoT-Geräte „längst im großen Stil und automatisiert ab“.
Sogenannte Botnets greifen Millionen von IoT-Geräten an – viele Angriffe auf IoT-Geräte blieben zudem unentdeckt, die Gefahr sei zwar unsichtbar aber trotzdem real, so Ross, Geschäftsführer des IoT-Sicherheitsunternehmens Asvin und Mitglied der IoT-Expertengruppe der ENISA (European Union Agency for Cybersecurity).

Folgen unterschiedlicher Lebenszyklen der Soft- und Hardware für die Sicherheit im IoT

In dem aktuelle Podacast geht Mirko Ross auch auf die Frage ein, was ein Sicherheitslabel auf IoT-Geräten leisten kann. Zudem erörtert er die Möglichkeiten, wie sich seitens der Hersteller die Sicherheitsstandards von IoT-Geräten erhöhen lassen, und ob mehr Regulierung der einzige Weg sei oder auch Anreize für Hersteller helfen könnten.
Ferner widmet er sich u.a. folgenden Fragen: „Was können aufgeklärte Endverbraucher mit ihrer Kaufentscheidung bewirken? Welche Folgen haben unterschiedliche Lebenszyklen von Software und Hardware für die Sicherheit im IoT?“

Weitere Informationen zum Thema:

TÜV SÜD Podcast, 01.07.2020
Episode #18: The IoT is broken

datensicherheit.de, 15.06.2020
TÜV SÜD: Podcast zu Safety und Security für die Industrie 4.0

datensicherheit.de, 06.03.2020
Schatten-IoT: Wie man Licht ins Dunkel bringt / Bedrohungslandschaft im ständigen Wandel

datensicherheit.de, 04.10.2019
IoT Inspector: Firmware von IoT-Geräten auf dem Prüfstand / Vorstellung auf der „it-sa 2019“ in Nürnberg

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke / Einfallstore für Hacker und Vergrößerung der Cyber-Angriffsfläche von Unternehmen

[datensicherheit.de, 15.06.2020] Im aktuellen TÜV-SÜD-Podcast „Safety First: Safety oder Security?“ wird erläutert, warum für die Industrie 4.0 beides wichtig ist und worin der Unterschied zwischen diesen beiden Sicherheitsaspekten besteht. Exemplarisch wird zur Darstellung ein autonom fahrender Rollstuhl von Andreas Michael, Projektleiter „Smart Automation Industrie 4.0“ bei TÜV SÜD Product Service. herangezogen.

Abbildung: TÜV SÜD AG

Andreas Michael: Safety oder Security? Safety und Security für die Industrie 4.0!

TÜV SÜD: Viele Hersteller tun sich noch schwer mit dem Aspekt Security

Die mit den englischen Begriffen Safety und Security gekennzeichneten Sicherheitsaspekte sind gleichermaßen relevant, wenn es um die Sicherheit der Industrie 4.0 geht. „Viele Hersteller tun sich allerdings immer noch schwer damit, Security, also Gefahren für die technischen Systeme von außen, ausreichend zu berücksichtigen“, erläutert der TÜV SÜD.
Denn bisher hätten sie sich in der Produktion hauptsächlich um Safety kümmern müssen – also darum, dass die Technik den Menschen keinen Schaden zufügt.

TÜV SÜD: Safety und Security gleichermaßen relevant für die Industrie 4.0

Für die Industrie 4.0 müssten beide Aspekte ebenbürtig berücksichtigt werden, wie erklärt Andreas Michael in seiner aktuellen Podcast-Episode, der nach eigenen Angaben für TÜV SÜD Product Service als Projektleiter „Smart Automation Industrie 4.0“ im Centrum Industrial IT (CIIT) in Lemgo tätig ist.
Das als eingetragener Verein tätige CIIT e.V. sei ein „Science-to-Business-Center“ im Bereich der industriellen Automation – TÜV SÜD sei dort einer von mehreren namhaften Partnern aus Wirtschaft, Wissenschaft und Forschung. Diese Partner hätten für ihre Forschung unter anderem Zugriff auf eine anwendungsorientierte smarte Demofabrik.

TÜV Süd: Podcast „Safety First“ mit autonom fahrenden Rollstuhl als Beispiel

Am konkreten Beispiel eines autonom fahrenden Rollstuhls erklärt Michael im aktuellen Podcast, „wie die Risikoabschätzungen für die Interaktion zwischen Mensch und Maschine systematisch umgesetzt werden kann“: Im Podcast „Safety First“ von TÜV SÜD gehe es um „Cybersecurity, Datenschutz und mehr“.
Er erscheine zweimal im Monat mit einer neuen Episode. Ob als Privatmensch, im Job oder als selbständiger Unternehmer: „Jeder, der die Chancen der Digitalisierung bestmöglich für sich nutzen möchte, sollte auch ihre Risiken kennen und mit ihnen umgehen können.“

Weitere Informationen zum Thema:

CIIT
10 Jahre gemeinsam innovativ

TÜV SÜD
Herzlich willkommen zu Safety First, dem Podcast zu Cybersecurity, Datenschutz und mehr von TÜV SÜD!

datensicherheit.de, 15.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

[datensicherheit.de, 20.03.2018] Das Thema Datenschutz geht jedes Unternehmen an. Um nun den betrieblichen Datenschutzbeauftragten entsprechendes Fachwissen an die Hand zu geben, hat TÜV SÜD nach eigenen Angaben seinen bisherigen Fachinformationsdienst komplett überarbeitet und sein Datenschutz-Fachportal neu aufgelegt. Auf diese Neufassung könnten die Verantwortlichen bei der Implementierung eines effizienten Datenmanagements im Unternehmen zurückgreifen.

Neues Datenschutz-Fachportal liefert Praxiswissen

Datenschützer sollen dort relevantes Praxiswissen zu unterschiedlichen Aspekten dieser Thematik finden – rechtskonform, prozessorientiert und aktuell.
Dazu gehörten etwa für den Arbeitsalltag nützliche Hilfsmittel wie Checklisten oder Vertragsmuster, aber auch leicht verständliche Zusammenfassungen aktueller Fälle und Urteile aus dem Datenschutzrecht.
Das Datenschutz-Fachportal kann laut TÜV SÜD zunächst vier Wochen lang gratis getestet werden.

EU-DSGVO und BDSG neu im Fokus

Ab dem 25. Mai 2018 kommen endgültig mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) viele Neuerungen im Bereich des Datenschutzes auf Unternehmen zu. Das Datenschutz-Fachportal von
TÜV SÜD soll nun professionell aufbereitet relevante Informationen rund um die EU-DSGVO und das Bundesdatenschutzgesetz neu (BDSG neu) übersichtlich strukturiert und auf dem aktuellen Stand anbieten.
Im Datenschutz-Blog könnten angemeldete Nutzer außerdem Wissenswertes rund um Themen wie den Schutz vor Hackerangriffen im Internet, die Nutzung von E-Mail, Internet und Telefon am Arbeitsplatz oder die rechtskonforme Erstellung von Newslettern entdecken.

Weitere Informationen zum Thema:

TÜV SÜD Akademie
Unser neues Datenschutz-Fachportal – rechtssicher, prozessorientiert und stets aktuell / Das Must-Have für Datenschützer – jetzt 4 Wochen gratis testen!

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück