BayLDA: Cyberfestung Bayern – Datensicherheit durch Datenschutz

/in /von

Täglich erreichen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Meldungen bayrischer Firmen über Cybersicherheitsvorfälle. Von kompromittierten E-Mail-Accounts, gezielten Spear-Phishing-Attacken bis hin zu gravierenden Verschlüsselungs- und Erpressungsszenarien – die Cybercrime-Szene ist auch in Bayern aktiv, vielfältig und gefährlich. Die Ziele der Cyberkriminellen sind dabei recht eindeutig: Sie wollen an das Geld und die Daten der Opfer.

Die wirtschaftlichen Schäden der vergangenen Jahre waren für viele attackierte Unternehmen immens, die datenschutzrechtlichen Folgen insbesondere für die vom Vorfall an sich betroffenen Personen oftmals nicht mehr überschaubar. Daher bleibt für das BayLDA die Maxime, das bestehende Präventionsprogramm weiter auszubauen und auf zentrale Schutzmaßnahmen hinzuweisen. Prävention ist schließlich die beste Verteidigung. Als historisches Vorbild orientiert sich das BayLDA dafür an dem Bild der schier uneinnehmbaren Festung, bei der durch gezielte Maßnahmen die Hürden für Angreifer um ein Vielfaches erhöht wurden. Gleiches kann im IT-Umfeld im eigenen Betrieb gelingen. Hierfür stellt das BayLDA eine Checkliste eines Maßnahmenkatalogs zur Verfügung, der sich schwerpunktmäßig technischen und organisatorischen Themen widmet.

In Ergänzung zur Checkliste ist auf dieser Seite zukünftig auch ein Kompakthandbuch für Datenschutzbeauftragte zu finden, das entsprechende Maßnahmen weiter erläutert. Als Erweiterung ist in naher Zukunft zudem geplant, eine Art „Self-Assessment“ anzubieten, bei dem sich Verantwortliche durch ein Online-Tool sehr schnell selbst einstufen können und anschließend passendes Feedback erhalten.

Link : https://www.lda.bayern.de/de/cyberfestung.html

GDD: Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit

/in /von

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein neues Kurzpapier veröffentlicht, das sich mit der praktischen Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach der Datenschutz-Grundverordnung (DS-GVO) befasst. Ziel ist es, Verantwortlichen eine Orientierung zu geben, wie sie Dienstleister und Kooperationspartner rechtlich korrekt einordnen können.

Link zum Kurzpapier

GDD: Praxistipps zur Beendigung einer Auftragsverarbeitung

/in /von

Das GDD-Kurzpapier 3 bietet praxisorientierte Empfehlungen zur datenschutzkonformen Beendigung von Auftragsverarbeitungsverhältnissen gemäß Art. 28 Abs. 3 S. 2 lit. g DS-GVO. Es richtet sich an Datenschutzbeauftragte und Verantwortliche, die ihre Pflichten im Zusammenhang mit der Beendigung von Auftragsverarbeitungen verstehen und umsetzen möchten.

Für detaillierte Informationen und weiterführende Empfehlungen können Sie das vollständige GDD-Kurzpapier 3 herunterladen:

GDD-Kurzpapier 3: Praxistipps für die Beendigung der Auftragsverarbeitung

NIS-2: Bundesregierung legt NIS-2-Umsetzungsgesetz vor

/in /von

Die Bundesregierung will die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe deutlich erhöhen. Dazu hat sie einen Gesetzentwurf (21/1501 ) vorgelegt, mit dem die NIS-2-Richtlinie der EU und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in deutsches Recht umgesetzt werden soll. Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Laut der Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. Für das Informationssicherheitsmanagement in der
Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf.

Für den Bundeshaushalt entstehen durch das Gesetz bei der Bundesverwaltung einmalige Ausgaben in Höhe von rund 59 Millionen Euro sowie bis zum Jahr 2029 laufende jährliche Ausgaben in Höhe von durchschnittlich rund 212 Millionen Euro. Der Wirtschaft sollen einmalig 2,2 Milliarden Euro sowie laufend 2,3 Milliarden Euro jährlich an Kosten entstehen. Mehrausgaben für Länder und Kommunen sind nicht vorgesehen. Mit dem vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie setzt die Bundesregierung ein klares Signal für mehr Cybersicherheit in Verwaltung und Wirtschaft.

 

DSK: Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chatkontrolle

/in /von

Private Kommunikation muss sicher und vertraulich bleiben

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 08.10.2025

Die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) stellt sich gegen die Pläne der dänischen EU-Ratspräsidentschaft und fordert die Bundesregierung auf, bei ihrem Nein zur anlasslosen Massenüberwachung von Bürgerinnen und Bürgern zu bleiben.

Die dänische Regierung hat als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chatkontrolle auf die Tagesordnung des EU-Rats am 14. Oktober gesetzt. Im Entwurf der Verordnung sind jetzt wieder verpflichtende Möglichkeiten zur Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie die Möglichkeit des flächendeckenden Scannens von privaten Nachrichten auf den Endgeräten der Nutzerinnen und Nutzer eingefügt worden. Mit diesem sogenannten „Client-Side-Scanning“ kann die Ende-zu-Ende-Verschlüsselung umgangen werden, da Nachrichten bereits vor dem verschlüsselten Versand durchsucht werden können.

Die diesjährige Vorsitzende der DSK, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, fordert im Namen der gesamten DSK die Bundesregierung auf, weiter für sichere und vertrauenswürdige Kommunikation einzutreten und den Verordnungsentwurf zur Chatkontrolle in dieser Fassung abzulehnen, da weiter rechtsstaatliche Grenzen überschritten werden.

Meike Kamp: „Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig. Die vorgeschlagene Chatkontrolle gefährdet die sichere Kommunikation in unserer offenen Gesellschaft. Eine Untergrabung der Ende-zu-Ende-Verschlüsselung durch Client-Side-Scanning und damit die Überwachung direkt auf den Endgeräten aller Personen wäre das Ende der Privatsphäre, wie wir sie kennen.“

Die DSK ist sich im Klaren darüber, dass Sicherheitsbehörden wirksame Werkzeuge und rechtliche Möglichkeiten zur Bekämpfung und Vermeidung von sexuellem Missbrauch von Kindern benötigen. Auch die DSK unterstützt diese Zielsetzung. Dieses Ziel darf jedoch nicht auf Kosten der Privatsphäre von Millionen von Personen verfolgt werden, die dafür keinen Anlass gegeben haben. Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Personen und könnten auch von Kriminellen missbraucht werden.

Quelle: https://www.datenschutzkonferenz-online.de

Bundesnetzagentur: Hinweispapier zu KI-Kompetenz

/in /von

it dem Inkrafttreten der KI-Verordnung der EU (EU 2024/1689) sind Anbieter und Betreiber von KI-Systemen verpflichtet, ein „ausreichendes Maß an KI-Kompetenz“ sicherzustellen (Art. 4 Abs. 1). Die Bundesnetzagentur (BNetzA) hat hierzu ein Hinweispapier veröffentlicht, das erläutert, wie diese Anforderung praktisch und verhältnismäßig umgesetzt werden kann – ohne bürokratische Hürden, aber mit klarem Fokus auf Risikominimierung und Grundrechtsschutz.

Wer ist betroffen?
Die Kompetenzanforderung gilt für alle Akteure, die KI-Systeme entwickeln, vertreiben oder betreiben – unabhängig von Größe oder Branche. Auch Organisationen, die KI-Systeme Dritter einsetzen (z. B. Software-as-a-Service oder ausgelagerte Systeme), sind erfasst. Maßgeblich ist der jeweilige Nutzungskontext – insbesondere Art, Risiko und Einsatzbereich des KI-Systems sowie die Verantwortung der involvierten Personen.

Ziel und Reichweite der Anforderung
Die Regelung soll sicherstellen, dass alle Beteiligten über ausreichende Kenntnisse verfügen, um KI-Systeme sachkundig und verantwortungsbewusst zu nutzen. Dazu gehören insbesondere technische, rechtliche und ethische Aspekte. Die Verordnung fordert keine formale Zertifizierung, jedoch wird eine strukturierte, dokumentierte Kompetenzentwicklung empfohlen.

Umsetzung in vier Schritten
Die Bundesnetzagentur empfiehlt einen pragmatischen, risikobasierten Ansatz:
• Bedarfsanalyse: Ermittlung, welche Personen mit welchen Systemen arbeiten und welche Kompetenzen erforderlich sind.
• Maßnahmenplanung: Auswahl geeigneter Formate wie Schulungen, Webinare oder Selbstlernangebote – intern oder extern.
• Weiterentwicklung: Kompetenzen sind regelmäßig zu aktualisieren – auch angesichts technischer und regulatorischer Entwicklungen.
• Dokumentation: Inhalte, Umfang und Teilnehmende der Maßnahmen sollten nachvollziehbar erfasst werden.

Unterstützung und Angebote
Zur Unterstützung verweist die Bundesnetzagentur auf bestehende Initiativen wie die Mittelstand-Digital Zentren, Digital Innovation Hubs sowie eigene Webinare im Rahmen des KI-Pakts. Diese richten sich insbesondere an kleinere Unternehmen und Organisationen ohne eigene KI-Abteilungen.

GDD-Stellungnahme zum NIS-2-Umsetzungsgesetz: Klare Regeln für echte Cybersicherheit gefordert

/in /von

Die GDD begrüßt die Priorisierung der NIS2-Umsetzung, mahnt jedoch im Rahmen der Stellungnahme praxisnahe Nachbesserungen an. Die GDD fordert darin unter anderem:

  • Klare Definitionen zentraler Begriffe wie „Risiko“ und „Cyberhygiene“ für eine einheitliche Anwendung.
  • Pflicht zur Meldung von Sicherheitslücken an Hersteller, um verdeckte Nutzung durch Behörden zu verhindern und die IT-Sicherheit zu stärken.
  • Sämtliche Ausnahmen für einzelne Teile der Bundesverwaltung gänzlich gestrichen werden, da auch deren IT-Sicherheit Teil der Gesamtsicherheit ist.
  • Regelmäßige Evaluierungen zur Wirksamkeit der Sicherheitsgesetze.
  • Vermeidung doppelter Bußgelder zwischen Cybersicherheits- und Datenschutzaufsicht.
  • Klare Kriterien für die Meldepflicht bei erheblichen Sicherheitsvorfällen und eine rechtssichere Festlegung, wann Tätigkeiten als „vernachlässigbar“ gelten.

Die GDD macht deutlich: Nur mit rechtssicheren, eindeutigen und praxisnahen Vorgaben kann die NIS2-Umsetzung zur echten Stärkung der Cybersicherheit beitragen, ohne Wirtschaft und Verwaltung unnötig zu belasten. Die gesamte Stellungnahme finden Sie hier.

Referentenentwurf zum NIS-2-Umsetzungsgesetz: Geschäftsleitung künftig in der Haftung

/in /von

Unternehmen mit kritischen Diensten oder digitaler Infrastruktur müssen künftig strengere IT-Sicherheitsvorgaben erfüllen. Die Verantwortung trägt ausdrücklich die Geschäftsleitung – bei Verstößen droht persönlicher Regress. Laut Referentenentwurf des NIS2UmsuCG vom 23. Juni 2025 betrifft das über 30.000 Organisationen, die sich beim BSI registrieren, Sicherheitsstandards einhalten und Vorfälle melden müssen. Auch IT-Dienstleister in Konzernen sind erfasst. Unklar bleibt die Rolle eines zentralen „CISO Bund“. In Kürze erscheint zum Referentenentwurf eine Stellungnahme der GDD. Der gesamte Referentenentwurf kann hier abgerufen werden.

VG Hannover: Cookie-Banner müssen eine „Alles ablehnen“-Option enthalten

/in /von

Bietet ein Cookie-Banner auf erster Ebene die Option „Alle akzeptieren“, so muss auf gleicher Ebene auch eine gleichwertige Möglichkeit bestehen, den Einsatz optionaler Cookies abzulehnen. Das bestätigte das VG Hannover in seinem Urteil vom 19.03.2025 (Az.: 10 A 5385/22) und schloss sich somit der Ansicht der Landesbehörden an, die bereits in der Vergangenheit u.a. in der DSK Orientierungshilfe „Digitale Dienste“ von der Notwendigkeit einer „Alles ablehnen“-Option gesprochen hatten.

Quelle: GDD-Newsletter 05/25

BSI: Empfehlungen zur Verbesserung der E-Mail-Sicherheit

/in /von

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cyber-Sicherheitsempfehlung Upgrade für die E-Mail-Sicherheit veröffentlicht. Diese richtet sich an alle Unternehmen, die E-Mails mit einer eigenen Domain senden und empfangen. Anhand von konkreten Beispielen aus der Praxis, wie Microsoft Exchange Online und Google Workspace mit Gmail, wird gezeigt, wie die Cyber-Sicherheit der E-Mail-Kommunikation mit Kundinnen und Kunden sowie anderen Unternehmen oder Dritten verbessert werden kann. Oft sind hierzu nur wenige Schritte, wie die Anpassung der Konfiguration der vom Unternehmen eingesetzten Groupware oder eine sorgfältigere Umsetzung der Standards SPF, DKIM und DMARC, erforderlich.

Die in dem Dokument enthaltenen Empfehlungen beruhen auf Messungen von Sicherheitseigenschaften der E-Mail-Infrastruktur in Deutschland, die das BSI in den vergangenen Monaten durchgeführt hat. Dabei wurde das vom BSI entwickelte nicht-invasive Crawling– und Analysetool Katti genutzt. Darüber hinaus liegen den Empfehlungen Erkenntnisse aus der nationalen und internationalen Gremienarbeit sowie Zusammenarbeit mit Verbänden zu Grunde.

Auf einen Blick können Unternehmen so erfahren, mit welchen Schritten sie die Sicherheit ihrer E-Mail-Kommunikation in Zukunft verbessern können.

Es sind weitere Messungen seitens des BSI geplant, um fortlaufend zielgerichtete Empfehlungen aussprechen und verfeinern zu können.

Quelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Upgrade-E-Mail-Sicherheit_250526.html