BSI: Cyber-Sicherheit für KMU

/in /von

Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern, denn Informationssicherheit ist die Voraussetzung für eine sichere Digitalisierung. Die Broschüre steigt mit den wichtigsten Grundlagen der IT-Sicherheit ein – kurz und knapp anhand von 14 Fragen. Sie informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig und eine Datensicherung so wichtig ist.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber-Sicherheit_KMU.pdf

Kündigung wegen Verstoß gegen„Clean-Desk-Policy“

/in /von

Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Auf Grund der technikneutralen Formulierung des DS-GVO finden sich darin keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können. Stattdessen steht es grundsätzlich jedem Verantwortlichen frei, selbst diejenigen TOM auszuwählen, die passend zu der eigenen Art der Verarbeitung und Unternehmensgröße sind, sofern damit ein wirksames angemessenes Schutzniveau erreicht werden kann.

Diese TOM können und werden von Verantwortlichen in sog. „Clean-Desk-Policies“ zusammengefasst und für die Einhaltung durch die Beschäftigten in Kraft gesetzt. Die Etablierung von TOM ist nicht nur für den Schutz von personenbezogenen Daten ein notwendiges Muss, sondern kann auch für den Schutz von sog. Geschäftsgeheimnissen eingesetzt werden.

Früher wurde es als ausreichend betrachtet, dass der Inhaber eines Geschäftsgeheimnisses den subjektiven Willen hatte, eine Information als Geschäftsgeheimnis zu schützen. Mit dem neuen Geschäftsgeheimnisgesetz reicht dies nicht mehr aus, da eine Information nur noch als Geschäftsgeheimnis betrachtet wird, sofern diese zum Gegenstand von tatsächlichen angemessenen Schutzmaßnahmen gemacht und explizit durch diese geschützt wird (vgl. (§ 2 Nr 1 a) GeschGehG). Bestandteil des organisatorischen Geheimnisschutzes ist in Unternehmen daher oftmals eine „Clean-Desk-Policy“, die den Mitarbeiter dazu verpflichtet, bei Verlassen des Schreibtisches keine Geschäftsgeheimnisse offen oder erkennbar liegen zu lassen.

Das LAG Sachsen hat in einer kürzlich verkündeten Entscheidung klargestellt, dass die wiederholte Verletzung organisatorischer Schutzmaßnahmen, die zum Schutz von Geschäftsgeheimnissen etabliert wurden, die Kündigung des Arbeitnehmers rechtfertigt (Urteil vom 07.04.2022 – 9 Sa 250/21).

Im Kern ging der Kündigungsschutzklage ging es auch um die Frage, wann die Nichtbeachtung einschlägiger Clean-Desk-Policies zu einer Abmahnung oder aber auch in wiederholten Fällen zu einer Kündigung führen kann. Im Fall des LAG Sachsen war die Klägerin bei der Beklagten als Kreditsachbearbeiterin beschäftigt. Die von der Beklagten in Kraft gesetzter umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy wurde von der Klägerin (der Kündigungsschutzklage) zum wiederholten Male verletzt. Die Richtlinien enthielten Regelungen mit dem Inhalt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Nach Auffassung des Gerichts habe die Klägerin gegen die Hauptpflichten aus ihrem Arbeitsvertrag verstoßen. Unter Beachtung der vorhergehenden Abmahnungen handele es sich laut Gericht insgesamt um erhebliche Pflichtverletzungen. Der Arbeitgeber sei nicht verpflichtet gewesen, erst noch eine weitere Abmahnung auszusprechen.

Der Fall macht die Bedeutung von verschriftlichten Regelungen rund um den Schutz von personenbezogenen Daten und auch Geschäftsgeheimnissen deutlich:
Verantwortliche finden wichtige Hinweise, welche Inhalte eine Clean-Desk-Policy enthalten sollte, u.a. auch in den Umsetzungshinweisen zum Baustein INF.7 Büroarbeitsplatz. Diese können selbstverständlich auch im Rahmen einer Home-Office-Regelung genutzt werden, wo das Thema Clean-Desk-Policy ebenfalls seine Daseinsberechtigung haben kann, wie am Arbeitsplatz im Unternehmen selbst. Hierfür kann das Dokument „Datenschutzrechtliche Regelungen bei Homeoffice – Checkliste mit Prüfkriterien nach DS-GVO“ des BayLDA empfohlen werden. Eine noch allgemeinere und umfangreichere Checkliste finden Interessierte in dem Dokument “ Good Practice bei technischen und organisatorischen Maßnahmen – Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit„, welches ebenfalls vom BayLDA angeboten wird.

Google Fonts löst Abmahnwelle aus

/in /von

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 02.11.2022

Aus aktuellem Anlass möchte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse über Folgendes informieren:

Laufende Abmahnwelle
Laut Medienquellen soll es aktuell zu einer Abmahnwelle gegen tausende von Websites-Betreibern kommen. Grund ist die dynamische Einbettung von Google Fonts auf deren Website, ohne vorab die Einwilligung der Besucher der Website einzuholen. Auch beim TLfDI gehen regelmäßig Beschwerden dieses Inhalts gegen Seitenbetreiber ein. Bei einer dynamischen Einbindung werden die Schriftarten von Servern des US-Konzerns in den Browser des Besuchers geladen und dabei personenbezogene Daten, wie z. B. die IP-Adresse der Benutzer, in die USA übermittelt. Dies verstößt laut dem Urteil des Landgerichtes München v. 20. Januar 2022, Az. 3 O 17493/20, gegen das allgemeine Persönlichkeitsrecht und die Datenschutz-Grundverordnung. Details finden sich in den Urteilsgründen, abrufbar unter:

https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612?hl=true

Worum geht es genau bei Google Fonts?
Google Fonts sind kostenlose Schriftarten des US-Konzern Google, welche zur freien Verfügung stehen. Dabei ist es nicht jedem Website-Betreiber bekannt, dass Google Fonts auch durch eingebettete Google-Dienste (z. B. Google Maps, reCAPTCHA) automatisch mitgeladen werden.

Der Europäische Gerichtshof entschied bereits in seinem Urteil vom 16. Juli 2020 (C-311/18 „Schrems II“), dass das US-Recht derzeit den Schutz personenbezogener Daten von Bürgern aus der EU nicht angemessen gewährleistet und erklärte den sog. „Privacy Shield“ für ungültig. Demnach gelten die USA im datenschutzrechtlichen Sinne als „unsicherer Drittstaat“, der nicht ohne weiteres Zugang zu personenbezogenen Datenströmen aus Europa erhalten darf. Näheres kann auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nachgelesen werden:

https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen:
Der TLfDI empfiehlt Betreibern von Websites zu prüfen, ob sie Google Fonts einsetzen und wenn ja, wie der Dienst in die Website eingebunden wird. Wer dynamische Google Fonts nutzt, sollte diese Schriftarten lokal speichern und von dort in den eigenen Internetauftritt einbinden. Wer nicht weiß wie das geht, keine Anleitungen im Internet findet, sollte sich an seinen Web-Diensteanbieter wenden. Strato hat bspw. eine Anleitung veröffentlicht:

BSI-Lagebericht 2022: Bedrohung im Cyber-Raum so hoch wie nie

/in /von

„Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“, stellt das BSI in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ fest, der am vergangenen Dienstag veröffentlicht wurde. Grund dafür ist nicht nur eine „hohe Bedrohung durch Cybercrime“, sondern auch „verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine“. Zu den Top-Bedrohungen für die Gesellschaft zählt das BSI Identitätsdiebstahl, Sextortion (die Erpressung mit Nacktbildern oder -videos) und Fake-Shops im Internet. Mit Blick auf die Wirtschaft bergen Ransomware-Schwachstellen, offene oder falsch konfigurierte Online-Server und zu große Abhängigkeiten in den Lieferketten die größten Gefahren. Staat und Verwaltung leiden dem Bericht zufolge vor allem unter Ransomware-Schwachstellen, unter komplexen, fortlaufenden Angriffen auf die IT-Infrastrukturen und, wie in der Wirtschaft, unter offenen oder falsch konfigurierten Online-Servern. (Weitere Zahlen aus dem Bericht finden Sie in unserer Rubrik „Gut zu wissen“.)

Weitere Informationen zum BSI zum Lagebericht 2022 (mit Download-Möglichkeit): https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

BayLDA stellt Tätigkeitsbericht für das Jahr 2021 vor

/in /von

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 14.10.2022

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Michael Will, stellte am Freitag, den 14. Oktober 2022 den Tätigkeitsbericht seiner Behörde für das Jahr 2021 vor. „Die Zunahme von komplexen Cybervorfällen beschäftigt uns intensiv. Neben aktuellen Fragen des Internationalen Datenverkehrs waren und sind sie einer der Schwerpunkte der Arbeit des BayLDA“, so Will.

Die anhaltend hohen Fallzahlen der Behörde und die fortbestehende Beratungserfordernisse von Unternehmen und Vereinen stellen das BayLDA mit seinen 33 Mitarbeiterinnen und Mitarbeitern weiterhin vor große Herausforderungen. „Wenn Beschwerden von Betroffenen nicht in der gebotenen und gesetzlich geforderten Geschwindigkeit bearbeitet werden können und wichtige Beratungen deshalb zurückgestellt werden müssen, leidet die Rechtssicherheit im Datenschutz für alle“, so Will. Ein erheblicher Zuwachs an Mitarbeiter:innen ist daher nötig, damit das BayLDA stärker präventiv tätig werden kann und Unternehmen unterstützen kann, sich beispielsweise für die gestiegenen Cyberrisiken zu wappnen oder komplizierte Fragen des Internationalen Datenverkehrs zu lösen.

Durch die hohe Anzahl von Meldungen zu Cyberattacken hat das BayLDA ein gutes Bild von der Sicherheitslage bayerischer – insbesondere kleiner und mittlerer – Unternehmen. Das Landesamt führt zum wirksamen Schutz gegen Cyberangriffe bereits jetzt präventive Kontrollmaßnahmen durch. Trotz hoher personeller Auslastung hat das Landesamt 2021 eine Stabstelle Prüfverfahren etabliert, die sektor- oder themenspezifische anlasslose Datenschutzprüfungen bei bayerischen Unternehmen auf den Weg bringen soll.

Das BayLDA stellte seinen Tätigkeitsbericht in einer Online-Konferenz vor Presse- und Fachöffentlichkeit vor. Auch die Veröffentlichung des Tätigkeitsberichts selbst erfolgt digital auf der Homepage der Behörde.

Der Tätigkeitsbericht für das Jahr 2021 ist ebenso wie ein Videomitschnitt der virtuellen Pressekonferenz unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html.

BSI: Neuer 0-Day Exploit in MicrosoftExchange Server

/in /von

Am 28. September veröffentlichte das Cyber-Sicherheitsunternehmen GTSC einen Blogbeitrag zu neuen
Zero-Day Exploits in Microsoft Exchange Servern [GTSC2022]. Demnach wurden im Rahmen einer Analyse
eines Vorfalls Hinweise auf eine aktive Ausnutzung von zwei Sicherheitslücken entdeckt. Diese waren in der
Lage, auch vollständig gepatchte Systeme zu kompromittieren.
Microsoft hat hierzu einen Beitrag auf seiner Webseite veröffentlicht [MSRC2022]. Darin wird angegeben,
dass die Schwachstellen eine Server-Side Request Forgery (CVE-2022-41040) sowie eine Remote Code
Execution (CVE-2022-41082) ermöglichen, wenn der Angreifer Zugriff auf PowerShell hat. Hierfür sei
allerdings ein authentifizierter Zugriff auf den verwundbaren Server nötig.
Verwundbar seien laut Microsoft die Microsoft Exchange Server 2013, 2016, und 2019.
Gemäß Common Vulnerability Scoring System (CVSS) wurden die Schwachstellen hinsichtlich ihres
Schweregrads mit 8.8 bzw. 6.3 von 10 Punkten als „hoch“ bzw. „mittel“ eingestuft.
Update 1:
In Anlehnung an die im vergangenen Jahr entdeckten Sicherheitslücken in Microsoft Exchange werden
die nun bekannt gewordenen Schwachstellen in den Sozialen Medien unter dem Namen „ProxyNotShell“
diskutiert [TWIT2022a].

Bewertung
Komponenten der E-Mailinfrastruktur stellen grundsätzlich attraktive Ziele für Angreifer dar. In diesem
Zusammenhang stehen auch Microsoft Exchange Server immer wieder im besonderen Fokus der Täter.
Da die Schwachstellen bereits aktiv von Angreifern ausgenutzt werden, besteht auch für deutsche Institutionen die
erhöhte Gefahr einer Kompromittierung.

Maßnahmen
Nutzer von Microsoft Exchange Online sind nach Aussage von Microsoft nicht betroffen.
Kunden mit On-Premise Lösungen sollten die im Microsoft-Blog aufgeführten Mitigationsmaßnahmen umsetzen,
da zum jetzigen Zeitpunkt noch kein Sicherheitsupdate bekannt ist, welches die Schwachstellen behebt. Dabei wird
eine Regel unter dem „IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions“ erstellt, welche die
bekannten Exploits blockiert:
• IIS Manager öffnen
• „Default Web Site“ erweitern
• „Autodiscover“ auswählen
• In der Feature-Übersicht auf „URL Rewrite“ klicken
• In der Aktions-Spalte auf der rechten Seite eine neue Regel hinzufügen
• „Request Blocking“ auswählen und OK drücken
• Die Zeichenkette „.*autodiscover\.json.*\@.*Powershell.*“ (ohne Anführungszeichen) einfügen und OK drücken
• Unter „Using“ die Option „Regular Expression“ auswählen
• Die neue Regel unter „Bedingungen“ editieren
• Die Bedingung von {URL} zu {REQUEST_URI}{UrlDecode:{REQUEST_URI}} ändern
Diese Anleitung befindet sich bebildert unter [MSRC2022]. Nach Aussagen von Microsoft sind keine
Funktionseinschränkungen beim Betrieb von Exchange Server zu erwarten. Hinweise zur Erkennung einer bereits
erfolgten Kompromittierung werden ebenfalls aufgeführt.
Unabhängig von den konkreten Schutzmaßnahmen in diesem Sachverhalt sollten IT-Sicherheitsverantwortliche
stets dafür sorgen, dass die Patchstände der betriebenen Systeme aktuell sind [BSI2022]. Untermauert wird diese
Notwendigkeit auch damit, dass Microsoft Out Of Band Patches in der Vergangenheit bei ähnlichen Situationen
zunächst priorisiert für das aktuellste CU (Cumulative Update) von Exchange zur Verfügung gestellt hat.

Link zur Warnung: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-258168-1032.pdf?__blob=publicationFile&v=4

BlnBDI: Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld

/in /von

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig.

Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.

Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des E-Commerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

Verbraucherzentrale NRW: Dem Fakeshop auf der Spur

/in /von

Als aufmerksame Leserinnen und Leser dieses Newsletters wissen Sie, dass es immer wieder zu Betrügereien beim Online-Handel kommt. Ein Tool der Verbraucherzentrale Nordrhein-Westfalen unterstützt Verbraucherinnen und Verbraucher nun dabei, Fake-Shops zu erkennen. Über ein Online-Formular gibt es die Möglichkeit, die URL eines Online-Shops zu prüfen. Der Fakeshopfinder überprüft daraufhin die Webseite auf Merkmale eines Fakeshops. Eine Ampel signalisiert, inwieweit Nutzerinnen und Nutzer dem Shop vertrauen können.

Die Verbraucherzentrale Nordrhein-Westfalen stellt den Fakeshopfinder online bereit: https://www.verbraucherzentrale.nrw/fakeshopfinder-71560

BSI: Einschätzung der aktuellen Cyber-Sicherheitslage in Deutschland nach dem russischen Angriff auf die Ukraine

/in /von

UPDATE vom 3. August 2022

In Anbetracht des russischen Angriffskrieges gegen die Ukraine bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) fortwährend die Lage mit Bezug zur Informationssicherheit in Deutschland.

Nach wie vor stellt das BSI eine erhöhte Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine fest, die auf eine ohnehin schon angespannte Gesamtbedrohungslage trifft (siehe dazu auch den BSI-Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“). Dies gilt grundsätzlich auch für Kritische Infrastrukturen. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen. Weitere Informationen zur Bedrohungslage sowie konkrete Hinweise zur Umsetzung von Cyber-Sicherheitsmaßnahmen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.

Seit Beginn des Angriffs Russlands auf die Ukraine ist es in Deutschland zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten. Dabei handelte es sich u.a. um Kollateralschäden aus Cyber-Aktivitäten im Rahmen des Krieges sowie um einzelne gezielte Angriffe gegen Unternehmen und Organisationen, auch aus dem Bereich der Kritischen Infrastrukturen.

Seit Ende April 2022 beobachtet das BSI wiederholt Distributed Denial of Service (DDoS)-Angriffe von Hacktivisten auf Ziele in Deutschland und international. Diese Angriffe konnten in den meisten Fällen abgewehrt werden oder hatten nur geringfügige Auswirkungen. Dennoch sollten Unternehmen und Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen. Das BSI hat eine Übersicht zertifizierter DDoS-Mitigations-Dienstleister veröffentlicht.

Trotz der wenigen konkreten Vorfälle kann sich die Lage jederzeit ändern.

Das BSI geht insbesondere davon aus, dass grundsätzlich alle Anlagen der Kritischen Infrastruktur – demnach Anlagen zur Versorgung der Allgemeinheit – potenzielles Ziel von Angriffen sein können.

Durch die bestehenden Abhängigkeiten von Energieimporten kommt den Branchen Strom, Gas und Mineralöl aktuell eine außergewöhnliche Relevanz zu. Der Sektor Energie stellt somit aktuell ein besonders attraktives Angriffsziel für Cyber-Attacken dar.

Das BSI hat seine Zielgruppen, darunter die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und weitere Organisationen und Unternehmen, wiederholt sensibilisiert, gezielt informiert und ruft weiterhin zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

Das BSI als die Cyber-Sicherheitsbehörde des Bundes steht zur Bewertung der IT-Sicherheitslage fortwährend in engem Austausch mit dem Bundesministerium des Innern und für Heimat sowie zahlreichen nationalen und internationalen Partnerbehörden.

Vollständiger Artikel: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220225_Angriff-Ukraine-Statement.html

BayLDA: Datenschutzprüfung zum Thema Absicherung von E-Mail-Accounts gestartet

/in /von

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA hat die nächste Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts gestartet. Es geht um die datenschutzrechtliche Prüfung hinsichtlich technischer und organisatorischer Maßnahmen zum vorbeugenden Schutz gegen Cyberattacken auf E-Mail-Accounts (insb. Phishing). Weitere Informationen und den Prüffragen auf deren HP.

Link: https://www.lda.bayern.de/de/kontrollen_stabsstelle.html