Aktuelles rund um den Datenschutz

Übersicht zur Umsetzung der Anforderungen aus dem Hinweisgeberschutzgesetz

27.09.2023

 

 

Die Anforderungen zum Hinweisgeberschutzgesetz müssen bereits umgesetzt sein. Für Unternehmen bis 249 Beschäftigte gilt noch eine Übergangsfrist bis zum 17.12.2023. Mit dem folgenden 2-Pager möchte ich Ihnen eine grobe Übersicht und vereinfachten Fahrplan zur Verfügung stellen. 

 

Gerade die Möglichkeit einer gemeinsamen internen Meldestelle, oder die Beauftragung eines externen Dritten gibt Ihnen den Handlungsspielraum, um ein für Sie optimales System aufzubauen und bestehende Netzwerke zu nutzen. 

 

Gerne unterstützen wir Sie beim Aufbau ihrer Meldestelle und den weiteren Anforderungen.

Für weitere Informationen oder Fragen kontaktieren Sie uns.

Kontakt
Download
2-Pager zum Hinweisgeberschutzgesetz
Überblick Hinweisgeberschutz.pdf
PDF-Dokument [140.0 KB]

Bundesamt für Verfassungsschutz gibt Handlungsempfehlungen für KMU und Privathaushalte

6.9.2023

Aktuelle Entwicklungen weisen auf eine zunehmende Gefahr für deutsche kleine und mittelständische Unternehmen (KMU) sowie Privathaushalte durch Cyberangriffe auf Heimnetzwerk- und Small Office/Home Office (SOHO)-Geräte hin. Diese Geräte, die speziell für den Einsatz in kleineren Unternehmen und von Privatnutzern entwickelt wurden, werden in steigender Zahl von Cyberkriminellen übernommen und danach in Cyberangriffskampagnen gegen staatliche und politische Einrichtungen eingesetzt.

Um den Schutz dieser KMU und privaten Haushalte zu gewährleisten und die staatlichen und politischen Institutionen, die letztendlich durch die Kompromittierung dieser Endgeräte gefährdet sind, besser zu schützen, hat das Bundesamt für den Verfassungsschutz im BfV Cyber-Brief Nr. 02/2023 Handlungsempfehlungen bereitgestellt.

 

Hier gelangen sie zum BfV Cyber-Brief Nr. 02/2023

 

 

Die Bedrohung für deutsche KMU und Privathaushalte durch Cyberangriffe auf Heimnetzwerke und SOHO-Endgeräte

 

Kleine und mittelständische Unternehmen (KMU) sowie Privathaushalte in Deutschland sehen sich einer wachsenden Bedrohung durch Cyberangriffe auf ihre Heimnetzwerk- und SOHO-Endgeräte gegenüber. Diese Geräte, die in erster Linie für den Einsatz in kleineren Unternehmen und von Privatanwendern entwickelt wurden, sind vermehrt ins Visier von Cyberkriminellen geraten. Grund dafür ist die Tatsache, dass diese gehackten Geräte in den folgenden Cyberangriffskampagnen gegen staatliche und politische Institutionen eingesetzt werden.

Dabei haben sie sich auf die Infiltration von Heimnetzwerken und SOHO-Endgeräten spezialisiert und nutzen diese als Ausgangspunkt für ihre weiteren Aktivitäten. Ihre Vorgehensweise umfasst:

  1. Phishing und Social Engineering: Sie setzen gezielt auf Phishing-Angriffe und Social Engineering, um Zugang zu den Heimnetzwerken und SOHO-Geräten zu erhalten. Sie verschicken gefälschte E-Mails und Nachrichten, die scheinbar von vertrauenswürdigen Quellen stammen, um die Nutzer dazu zu verleiten, schädliche Links zu öffnen oder persönliche Informationen preiszugeben.

  2. Schwachstellen-Ausnutzung: Diese Gruppen sind besonders geschickt darin, Sicherheitslücken in den Endgeräten auszunutzen. Sie suchen gezielt nach Schwachstellen in veralteter Software und Hardware, um Zugriff zu erlangen und sich in den Netzwerken auszubreiten.

  3. Persistence und Stealth: Einmal Zugriff erhalten, setzen sie fortschrittliche Techniken ein, um ihre Präsenz in den kompromittierten Systemen zu verschleiern. Dadurch können sie längere Zeit unentdeckt bleiben und weiterhin Informationen sammeln.

 

Konkrete Handlungsempfehlungen zum Schutz

Um sich vor den Bedrohungen zu schützen, sind folgende Maßnahmen von entscheidender Bedeutung:

  1. Sicherheitsbewusstsein schärfen: KMU und Privathaushalte sollten das Bewusstsein für die Gefahren von Phishing und Social Engineering stärken. Mitarbeiter und Familienmitglieder sollten geschult werden, verdächtige Nachrichten und Links zu erkennen und zu melden.

  2. Software- und Geräteaktualisierungen: Regelmäßige Updates von Betriebssystemen, Anwendungen und Firmware sind entscheidend, um bekannte Schwachstellen zu schließen und den Zugang für Angreifer zu erschweren.

  3. Firewall und Antivirus-Software: Die Verwendung einer Firewall und aktueller Antivirus-Software ist ein Muss, um verdächtigen Netzwerkverkehr zu blockieren und Malware zu erkennen.

  4. Sichere Passwörter und Multi-Faktor-Authentifizierung: Die Verwendung starker, eindeutiger Passwörter und die Aktivierung der Multi-Faktor-Authentifizierung bieten zusätzlichen Schutz vor unautorisiertem Zugriff.

  5. Netzwerksegmentierung: Die Aufteilung des Heimnetzwerks in verschiedene Segmente kann die Ausbreitung von Angreifern begrenzen und den Schaden minimieren.

  6. Regelmäßige Sicherheitsüberprüfungen: Es ist wichtig, dass Unternehmen und Privatnutzer ihre Netzwerke regelmäßig auf Schwachstellen und ungewöhnlichen Netzwerkverkehr überprüfen.

 

Fazit

Die Bedrohung deutscher KMU und Privathaushalte durch Cyberangriffe auf Heimnetzwerke und SOHO-Endgeräte ist real und ernst zu nehmen. Durch ein erhöhtes Sicherheitsbewusstsein und die Umsetzung der genannten Schutzmaßnahmen können Unternehmen und Privatpersonen jedoch effektiv gegen diese Bedrohung vorgehen und ihre digitalen Vermögenswerte schützen.

Für weitere Informationen oder Fragen kontaktieren Sie uns.

Kontakt

Quishing - Die Gefahr durch gefälschte Barcodes und QR-Codes in Mails

2.8.2023

Phishing ist eine betrügerische Methode im Internet, bei der täuschend echte E-Mails dazu verleiten, persönliche Daten preiszugeben. Trotz umfangreicher Aufklärung fallen immer wieder unvorsichtige Nutzer auf solche Mails herein. Aktuell gibt es eine neue Variante namens "Quishing", bei der gefälschte E-Mails mit Barcodes oder QR-Codes verschickt werden, die zum Scannen auffordern.

 

Traditionelles Phishing verwendet gefälschte Absenderadressen von Behörden, Banken oder der Polizei, um das Vertrauen der Empfänger zu gewinnen. Die gefälschten Mails fordern dazu auf, persönliche Daten, Passwörter oder Kontonummern per Antwortmail zu übermitteln. Bei Quishing-Mails wirken die Absender ebenfalls seriös, aber der Clou liegt im Barcode oder QR-Code, den sie enthalten. Der Empfänger wird aufgefordert, diesen zu scannen, um vermeintliche Erweiterungen oder Sicherheitsfeatures für das Smartphone zu erhalten. In Wahrheit lädt das Scannen jedoch schädliche Dateien auf das Gerät, mit denen Cyberkriminelle das Handy manipulieren, Passwörter auslesen oder Transaktionen durchführen können.

 

Es gibt derzeit noch keine effektiven Schutzmechanismen für Handys, um gefälschte Barcodes oder QR-Codes zu erkennen. Daher sollten Empfänger niemals auf Aufforderungen zum Scannen eingehen. Stattdessen sollte man den Absender überprüfen, indem man die vermeintliche Adresse in einer Suchmaschine nachprüft. Oftmals warnen andere Betroffene bereits vor ähnlichen E-Mails von dieser Adresse.

Anzeichen für gefälschte Absender sind unlogische URLs, viele Rechtschreibfehler und schlecht kopierte Logos von Unternehmen. Misstrauen ist auch angebracht, wenn die Mail nicht persönlich adressiert ist oder keine Kontaktmöglichkeiten angegeben sind. Zudem sollten keine Daten wie Adressen, Passwörter oder Kreditkarteninformationen über unsichere Formulare auf einer fragwürdigen Webseite preisgegeben werden. Kriminelle haben es genau darauf abgesehen, um in fremdem Namen Einkäufe oder Geldtransfers zu tätigen.

 

Die Quishing-Methode unterscheidet sich nur durch die Übertragungsart von herkömmlichen Phishing-Mails. Generell sollte man bei E-Mails von unbekannten Absendern stets deren Echtheit überprüfen, bevor man irgendwelchen Aufforderungen nachkommt. Vorsicht und Aufmerksamkeit sind in Zeiten von Online-Betrug und Cyberkriminalität besonders wichtig, um sich wirksam zu schützen

Für weitere Informationen kontaktieren Sie uns.

Kontakt

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework

10.7.2023

Die Europäische Kommission hat den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework, das den "Privacy Shields" ablöst, verabschiedet.

Mit diesem Beschluss wird ein angemessenes Schutzniveau für den Datenschutz zwischen der EU und den USA festgestellt. Ab sofort können personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass zusätzliche Übermittlungsinstrumente oder Maßnahmen erforderlich sind. Allerdings gilt dies nur für zertifizierte Organisationen, die dem EU-U.S. Data Privacy Framework unterliegen.

Unternehmen in der EU müssen im Voraus prüfen, ob die Organisation, an die sie die Daten übermitteln möchten, zertifiziert ist. Dieser Beschluss bringt vorerst Rechtssicherheit für Betroffene und Datenexporteure.

Eine Liste, die vom U.S. Department of Commerce veröffentlicht wird, ermöglicht die Überprüfung, ob eine bestimmte Organisation zertifiziert ist und somit den Datenschutzstandards entspricht.

Für weitere Informationen lesen sie die Pressemitteilung der Europäischen Kommission, oder kontaktieren sie uns.

Kontakt

SIM-Swapping und Authentifizierung

23.6.2023

Es kommt immer wieder zu Fällen von SIM-Swapping, bei denen betrügerische Personen die Kontrolle über die Mobilfunknummer einer anderen Person erlangen. Besonders problematisch wird es, wenn die Opfer diese Nummer als Zugangsfaktor für Online-Dienste verwenden, die smsTAN-Verfahren nutzen. Dieses Beispiel verdeutlicht die Notwendigkeit einer sicheren Authentifizierung der Nutzer bei risikobehafteten Geschäftsprozessen der Telekommunikationsunternehmen. Ein neues Arbeitspapier des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gibt Hinweise dazu, welche Parameter dabei berücksichtigt werden sollten.

 

SIM-Swapping birgt besondere Gefahren, wenn die Opfer ihre Mobilfunknummer als Zugangsfaktor für verschiedene Online-Dienste nutzen, die smsTAN-Verfahren verwenden. In solchen Fällen können die Kriminellen auch diese Dienste übernehmen. Der Betrug funktioniert zum Beispiel durch den Diebstahl von Zugangsdaten für den Online-Account bei einem Telefonanbieter. Mit diesen Daten können die Betrüger eine Ersatz-SIM-Karte beantragen. Noch einfacher ist es bei der eSIM, bei der keine physische SIM-Karte mehr benötigt wird.

 

Der BfDI ist die Datenschutzaufsichtsbehörde für Telekommunikationsdienstleister und setzt sich seit einiger Zeit dafür ein, den Schutz personenbezogener Daten in den Callcenter-Prozessen zu verbessern, um Missbrauchsfälle wie SIM-Swapping zu erschweren. Dabei sind angemessene Schutzmechanismen für die Authentifizierung entscheidend, sei es im Callcenter, im Online-Account des Mobilfunkanbieters oder im Handy-Shop.

Das Arbeitspapier des BfDI zum Thema Authentifizierung im Telekommunikationsbereich und den damit verbundenen Risikofeldern basiert auf Praxisfällen, die dem BfDI im Rahmen seiner Aufsichtstätigkeit bekannt geworden sind. Es enthält eine Zusammenstellung typischer Risiken im TK-Bereich und ordnet sie im Hinblick auf Grundprinzipien für eine sichere Authentifizierung.

Für weitere Informationen lesen sie die Kurzmeldung des BfDI, oder kontaktieren sie uns.

Kontakt

Hinweisgeberschutzgesetz in der Praxis

16.6.2023

 

 

Das Hinweisgeberschutzgesetz tritt am 2. Juli 2023, einen Monat nach seiner Verkündung, in Kraft. Damit wird eine neue Rechtslage geschaffen, mit der sich alle Unternehmen auseinandersetzen müssen, die mindestens 50 Mitarbeiter beschäftigen und somit unter das Hinweisgeberschutzgesetz fallen. Unternehmen, die zwischen 50 und 249 Arbeitnehmer beschäftigen, haben noch eine "Schonfrist" und müssen die Umsetzung des Gesetzes erst bis zum 17. Dezember 2023 abschließen.

 

Dennoch ist die Umsetzung des Hinweisgeberschutzgesetzes komplex, daher sollten entsprechende Vorbereitungen rechtzeitig getroffen werden. Unternehmen mit mindestens 250 Mitarbeitern müssen sofort handeln, falls sie dies noch nicht getan haben, da das Gesetz ab Inkrafttreten für sie gilt.

 

Es ist wichtig, eine interne Meldestelle im Unternehmen einzurichten. In Konzernstrukturen kann erwogen werden, eine konzernweite zentrale Meldestelle einzurichten, da dies gemäß dem Hinweisgeberschutzgesetz möglich ist. Es müssen auch klare Verfahrensanweisungen im Unternehmen erlassen werden, um den Umgang mit Hinweisen von Whistleblowern festzulegen. Falls bereits eine Meldestelle und entsprechende Verfahrensregeln im Unternehmen vorhanden sind, muss geprüft werden, ob diese im Einklang mit den Bestimmungen des neuen Hinweisgeberschutzgesetzes stehen.

Für weitere Informationen gelangen sie hier zum Bundesgesetzblatt, oder kontaktieren sie uns.

Kontakt
Druckversion | Sitemap
© kdb consulting GmbH

Überregional vertreten in Landkreisen/Regionen
Thüringen: Erfurt, Gera, Jena, Suhl, Weimar, Eichsfeld, Nordhausen, Wartburgkreis, Unstrut-Hainich-Kreis, Kyffhäuserkreis, Schmalkalden-Meiningen, Gotha, Sömmerda, Hildburghausen, Ilm-Kreis, Weimarer Land, Sonneberg, Saalfeld-Rudolstadt, Saale-Holzland-Kreis, Saale-Orla-Kreis, Greiz, Altenburger Land
Sachsen: Nordsachsen, Leipzig, Mittelsachsen, Zwickau, Chemnitz, Erzgebirgskreis, Vogtlandkreis
Sachsen-Anhalt: Burgenlandkreis, Saalekreis, Halle, Mansfeld-Südharz
Bayern: Region Oberfranken, Region Unterfranken
Hessen: Kassel, Werra-Meißner-Kreis, Schwalm-Eder-Kreis, Hersfeld-Rotenburg, Fulda

WebansichtMobile-Ansicht

Logout | Seite bearbeiten