Aktuelles rund um den Datenschutz

TTDSG wird TDDDG und TMG wird DDG

16.7.2024

 

 

In der digitalen Welt müssen Websitebetreiber stets über rechtliche Änderungen informiert sein, um ihre Websites konform zu halten. Eine solche Änderung betrifft die Namensänderung zweier wichtiger Gesetze: das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) wurde im Mai 2024 in TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) umbenannt, und das TMG (Telemediengesetz) wurde in DDG (Digitale-Dienste-Gesetz) umbenannt.

Diese Änderungen sind nicht nur kosmetischer Natur, sondern spiegeln die Anpassung der gesetzlichen Rahmenbedingungen an die sich ständig weiterentwickelnde digitale Landschaft wider. Für Websitebetreiber bedeutet dies vor allem eins: das Impressum und andere rechtlich relevante Dokumente müssen entsprechend aktualisiert werden.

 

Was müssen Websitebetreiber tun?

  1. Überprüfung des Impressums: Stellen Sie sicher, dass in Ihrem Impressum die neuen Bezeichnungen der Gesetze korrekt wiedergegeben werden. Dies ist wichtig, um rechtlichen Anforderungen zu entsprechen und Abmahnungen zu vermeiden.

  2. Aktualisierung der Datenschutzerklärung: Überprüfen Sie Ihre Datenschutzerklärung auf Verweise auf das TTDSG und das TMG und ersetzen Sie diese durch TDDDG und DDG.

  3. Interne Dokumentation anpassen: Aktualisieren Sie alle internen Dokumentationen und Compliance-Richtlinien, die sich auf diese Gesetze beziehen, um die neuen Bezeichnungen zu integrieren.

Warum sind diese Änderungen wichtig?

Die Namensänderungen sind Teil einer breiteren Initiative zur Modernisierung und Anpassung der gesetzlichen Rahmenbedingungen im digitalen Bereich. Sie sollen klarer widerspiegeln, welche Bereiche durch die jeweiligen Gesetze abgedeckt werden und damit die Rechtssicherheit erhöhen.

Für Websitebetreiber ist es entscheidend, diese Änderungen ernst zu nehmen und zeitnah umzusetzen. Ein korrektes und aktuelles Impressum sowie eine angepasste Datenschutzerklärung sind wesentliche Bestandteile einer rechtssicheren Website. Indem Sie diese Anpassungen vornehmen, stellen Sie sicher, dass Ihre Website weiterhin den gesetzlichen Anforderungen entspricht und Sie das Vertrauen Ihrer Nutzer bewahren.

Bleiben Sie informiert und handeln Sie proaktiv, um Ihre Website auf dem neuesten Stand zu halten.

Für weitere Informationen oder Fragen kontaktieren Sie uns.

Übersicht zur Umsetzung der Anforderungen aus dem Hinweisgeberschutzgesetz

27.09.2023

 

 

Die Anforderungen zum Hinweisgeberschutzgesetz müssen bereits umgesetzt sein. Für Unternehmen bis 249 Beschäftigte gilt noch eine Übergangsfrist bis zum 17.12.2023. Mit dem folgenden 2-Pager möchte ich Ihnen eine grobe Übersicht und vereinfachten Fahrplan zur Verfügung stellen. 

 

Gerade die Möglichkeit einer gemeinsamen internen Meldestelle, oder die Beauftragung eines externen Dritten gibt Ihnen den Handlungsspielraum, um ein für Sie optimales System aufzubauen und bestehende Netzwerke zu nutzen. 

 

Gerne unterstützen wir Sie beim Aufbau ihrer Meldestelle und den weiteren Anforderungen.

Für weitere Informationen oder Fragen kontaktieren Sie uns.

2-Pager zum Hinweisgeberschutzgesetz
Überblick Hinweisgeberschutz.pdf
PDF-Dokument [140.0 KB]

Bundesamt für Verfassungsschutz gibt Handlungsempfehlungen für KMU und Privathaushalte

6.9.2023

Aktuelle Entwicklungen weisen auf eine zunehmende Gefahr für deutsche kleine und mittelständische Unternehmen (KMU) sowie Privathaushalte durch Cyberangriffe auf Heimnetzwerk- und Small Office/Home Office (SOHO)-Geräte hin. Diese Geräte, die speziell für den Einsatz in kleineren Unternehmen und von Privatnutzern entwickelt wurden, werden in steigender Zahl von Cyberkriminellen übernommen und danach in Cyberangriffskampagnen gegen staatliche und politische Einrichtungen eingesetzt.

Um den Schutz dieser KMU und privaten Haushalte zu gewährleisten und die staatlichen und politischen Institutionen, die letztendlich durch die Kompromittierung dieser Endgeräte gefährdet sind, besser zu schützen, hat das Bundesamt für den Verfassungsschutz im BfV Cyber-Brief Nr. 02/2023 Handlungsempfehlungen bereitgestellt.

 

Hier gelangen sie zum BfV Cyber-Brief Nr. 02/2023

 

 

Die Bedrohung für deutsche KMU und Privathaushalte durch Cyberangriffe auf Heimnetzwerke und SOHO-Endgeräte

 

Kleine und mittelständische Unternehmen (KMU) sowie Privathaushalte in Deutschland sehen sich einer wachsenden Bedrohung durch Cyberangriffe auf ihre Heimnetzwerk- und SOHO-Endgeräte gegenüber. Diese Geräte, die in erster Linie für den Einsatz in kleineren Unternehmen und von Privatanwendern entwickelt wurden, sind vermehrt ins Visier von Cyberkriminellen geraten. Grund dafür ist die Tatsache, dass diese gehackten Geräte in den folgenden Cyberangriffskampagnen gegen staatliche und politische Institutionen eingesetzt werden.

Dabei haben sie sich auf die Infiltration von Heimnetzwerken und SOHO-Endgeräten spezialisiert und nutzen diese als Ausgangspunkt für ihre weiteren Aktivitäten. Ihre Vorgehensweise umfasst:

  1. Phishing und Social Engineering: Sie setzen gezielt auf Phishing-Angriffe und Social Engineering, um Zugang zu den Heimnetzwerken und SOHO-Geräten zu erhalten. Sie verschicken gefälschte E-Mails und Nachrichten, die scheinbar von vertrauenswürdigen Quellen stammen, um die Nutzer dazu zu verleiten, schädliche Links zu öffnen oder persönliche Informationen preiszugeben.

  2. Schwachstellen-Ausnutzung: Diese Gruppen sind besonders geschickt darin, Sicherheitslücken in den Endgeräten auszunutzen. Sie suchen gezielt nach Schwachstellen in veralteter Software und Hardware, um Zugriff zu erlangen und sich in den Netzwerken auszubreiten.

  3. Persistence und Stealth: Einmal Zugriff erhalten, setzen sie fortschrittliche Techniken ein, um ihre Präsenz in den kompromittierten Systemen zu verschleiern. Dadurch können sie längere Zeit unentdeckt bleiben und weiterhin Informationen sammeln.

 

Konkrete Handlungsempfehlungen zum Schutz

Um sich vor den Bedrohungen zu schützen, sind folgende Maßnahmen von entscheidender Bedeutung:

  1. Sicherheitsbewusstsein schärfen: KMU und Privathaushalte sollten das Bewusstsein für die Gefahren von Phishing und Social Engineering stärken. Mitarbeiter und Familienmitglieder sollten geschult werden, verdächtige Nachrichten und Links zu erkennen und zu melden.

  2. Software- und Geräteaktualisierungen: Regelmäßige Updates von Betriebssystemen, Anwendungen und Firmware sind entscheidend, um bekannte Schwachstellen zu schließen und den Zugang für Angreifer zu erschweren.

  3. Firewall und Antivirus-Software: Die Verwendung einer Firewall und aktueller Antivirus-Software ist ein Muss, um verdächtigen Netzwerkverkehr zu blockieren und Malware zu erkennen.

  4. Sichere Passwörter und Multi-Faktor-Authentifizierung: Die Verwendung starker, eindeutiger Passwörter und die Aktivierung der Multi-Faktor-Authentifizierung bieten zusätzlichen Schutz vor unautorisiertem Zugriff.

  5. Netzwerksegmentierung: Die Aufteilung des Heimnetzwerks in verschiedene Segmente kann die Ausbreitung von Angreifern begrenzen und den Schaden minimieren.

  6. Regelmäßige Sicherheitsüberprüfungen: Es ist wichtig, dass Unternehmen und Privatnutzer ihre Netzwerke regelmäßig auf Schwachstellen und ungewöhnlichen Netzwerkverkehr überprüfen.

 

Fazit

Die Bedrohung deutscher KMU und Privathaushalte durch Cyberangriffe auf Heimnetzwerke und SOHO-Endgeräte ist real und ernst zu nehmen. Durch ein erhöhtes Sicherheitsbewusstsein und die Umsetzung der genannten Schutzmaßnahmen können Unternehmen und Privatpersonen jedoch effektiv gegen diese Bedrohung vorgehen und ihre digitalen Vermögenswerte schützen.

Für weitere Informationen oder Fragen kontaktieren Sie uns.

Quishing - Die Gefahr durch gefälschte Barcodes und QR-Codes in Mails

2.8.2023

Phishing ist eine betrügerische Methode im Internet, bei der täuschend echte E-Mails dazu verleiten, persönliche Daten preiszugeben. Trotz umfangreicher Aufklärung fallen immer wieder unvorsichtige Nutzer auf solche Mails herein. Aktuell gibt es eine neue Variante namens "Quishing", bei der gefälschte E-Mails mit Barcodes oder QR-Codes verschickt werden, die zum Scannen auffordern.

 

Traditionelles Phishing verwendet gefälschte Absenderadressen von Behörden, Banken oder der Polizei, um das Vertrauen der Empfänger zu gewinnen. Die gefälschten Mails fordern dazu auf, persönliche Daten, Passwörter oder Kontonummern per Antwortmail zu übermitteln. Bei Quishing-Mails wirken die Absender ebenfalls seriös, aber der Clou liegt im Barcode oder QR-Code, den sie enthalten. Der Empfänger wird aufgefordert, diesen zu scannen, um vermeintliche Erweiterungen oder Sicherheitsfeatures für das Smartphone zu erhalten. In Wahrheit lädt das Scannen jedoch schädliche Dateien auf das Gerät, mit denen Cyberkriminelle das Handy manipulieren, Passwörter auslesen oder Transaktionen durchführen können.

 

Es gibt derzeit noch keine effektiven Schutzmechanismen für Handys, um gefälschte Barcodes oder QR-Codes zu erkennen. Daher sollten Empfänger niemals auf Aufforderungen zum Scannen eingehen. Stattdessen sollte man den Absender überprüfen, indem man die vermeintliche Adresse in einer Suchmaschine nachprüft. Oftmals warnen andere Betroffene bereits vor ähnlichen E-Mails von dieser Adresse.

Anzeichen für gefälschte Absender sind unlogische URLs, viele Rechtschreibfehler und schlecht kopierte Logos von Unternehmen. Misstrauen ist auch angebracht, wenn die Mail nicht persönlich adressiert ist oder keine Kontaktmöglichkeiten angegeben sind. Zudem sollten keine Daten wie Adressen, Passwörter oder Kreditkarteninformationen über unsichere Formulare auf einer fragwürdigen Webseite preisgegeben werden. Kriminelle haben es genau darauf abgesehen, um in fremdem Namen Einkäufe oder Geldtransfers zu tätigen.

 

Die Quishing-Methode unterscheidet sich nur durch die Übertragungsart von herkömmlichen Phishing-Mails. Generell sollte man bei E-Mails von unbekannten Absendern stets deren Echtheit überprüfen, bevor man irgendwelchen Aufforderungen nachkommt. Vorsicht und Aufmerksamkeit sind in Zeiten von Online-Betrug und Cyberkriminalität besonders wichtig, um sich wirksam zu schützen

Für weitere Informationen kontaktieren Sie uns.

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework

10.7.2023

Die Europäische Kommission hat den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework, das den "Privacy Shields" ablöst, verabschiedet.

Mit diesem Beschluss wird ein angemessenes Schutzniveau für den Datenschutz zwischen der EU und den USA festgestellt. Ab sofort können personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass zusätzliche Übermittlungsinstrumente oder Maßnahmen erforderlich sind. Allerdings gilt dies nur für zertifizierte Organisationen, die dem EU-U.S. Data Privacy Framework unterliegen.

Unternehmen in der EU müssen im Voraus prüfen, ob die Organisation, an die sie die Daten übermitteln möchten, zertifiziert ist. Dieser Beschluss bringt vorerst Rechtssicherheit für Betroffene und Datenexporteure.

Eine Liste, die vom U.S. Department of Commerce veröffentlicht wird, ermöglicht die Überprüfung, ob eine bestimmte Organisation zertifiziert ist und somit den Datenschutzstandards entspricht.

Für weitere Informationen lesen sie die Pressemitteilung der Europäischen Kommission, oder kontaktieren sie uns.

SIM-Swapping und Authentifizierung

23.6.2023

Es kommt immer wieder zu Fällen von SIM-Swapping, bei denen betrügerische Personen die Kontrolle über die Mobilfunknummer einer anderen Person erlangen. Besonders problematisch wird es, wenn die Opfer diese Nummer als Zugangsfaktor für Online-Dienste verwenden, die smsTAN-Verfahren nutzen. Dieses Beispiel verdeutlicht die Notwendigkeit einer sicheren Authentifizierung der Nutzer bei risikobehafteten Geschäftsprozessen der Telekommunikationsunternehmen. Ein neues Arbeitspapier des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gibt Hinweise dazu, welche Parameter dabei berücksichtigt werden sollten.

 

SIM-Swapping birgt besondere Gefahren, wenn die Opfer ihre Mobilfunknummer als Zugangsfaktor für verschiedene Online-Dienste nutzen, die smsTAN-Verfahren verwenden. In solchen Fällen können die Kriminellen auch diese Dienste übernehmen. Der Betrug funktioniert zum Beispiel durch den Diebstahl von Zugangsdaten für den Online-Account bei einem Telefonanbieter. Mit diesen Daten können die Betrüger eine Ersatz-SIM-Karte beantragen. Noch einfacher ist es bei der eSIM, bei der keine physische SIM-Karte mehr benötigt wird.

 

Der BfDI ist die Datenschutzaufsichtsbehörde für Telekommunikationsdienstleister und setzt sich seit einiger Zeit dafür ein, den Schutz personenbezogener Daten in den Callcenter-Prozessen zu verbessern, um Missbrauchsfälle wie SIM-Swapping zu erschweren. Dabei sind angemessene Schutzmechanismen für die Authentifizierung entscheidend, sei es im Callcenter, im Online-Account des Mobilfunkanbieters oder im Handy-Shop.

Das Arbeitspapier des BfDI zum Thema Authentifizierung im Telekommunikationsbereich und den damit verbundenen Risikofeldern basiert auf Praxisfällen, die dem BfDI im Rahmen seiner Aufsichtstätigkeit bekannt geworden sind. Es enthält eine Zusammenstellung typischer Risiken im TK-Bereich und ordnet sie im Hinblick auf Grundprinzipien für eine sichere Authentifizierung.

Für weitere Informationen lesen sie die Kurzmeldung des BfDI, oder kontaktieren sie uns.

Hinweisgeberschutzgesetz in der Praxis

16.6.2023

 

 

Das Hinweisgeberschutzgesetz tritt am 2. Juli 2023, einen Monat nach seiner Verkündung, in Kraft. Damit wird eine neue Rechtslage geschaffen, mit der sich alle Unternehmen auseinandersetzen müssen, die mindestens 50 Mitarbeiter beschäftigen und somit unter das Hinweisgeberschutzgesetz fallen. Unternehmen, die zwischen 50 und 249 Arbeitnehmer beschäftigen, haben noch eine "Schonfrist" und müssen die Umsetzung des Gesetzes erst bis zum 17. Dezember 2023 abschließen.

 

Dennoch ist die Umsetzung des Hinweisgeberschutzgesetzes komplex, daher sollten entsprechende Vorbereitungen rechtzeitig getroffen werden. Unternehmen mit mindestens 250 Mitarbeitern müssen sofort handeln, falls sie dies noch nicht getan haben, da das Gesetz ab Inkrafttreten für sie gilt.

 

Es ist wichtig, eine interne Meldestelle im Unternehmen einzurichten. In Konzernstrukturen kann erwogen werden, eine konzernweite zentrale Meldestelle einzurichten, da dies gemäß dem Hinweisgeberschutzgesetz möglich ist. Es müssen auch klare Verfahrensanweisungen im Unternehmen erlassen werden, um den Umgang mit Hinweisen von Whistleblowern festzulegen. Falls bereits eine Meldestelle und entsprechende Verfahrensregeln im Unternehmen vorhanden sind, muss geprüft werden, ob diese im Einklang mit den Bestimmungen des neuen Hinweisgeberschutzgesetzes stehen.

Für weitere Informationen gelangen sie hier zum Bundesgesetzblatt, oder kontaktieren sie uns.

Druckversion | Sitemap
© kdb consulting GmbH

Überregional vertreten in Landkreisen/Regionen
Thüringen: Erfurt, Gera, Jena, Suhl, Weimar, Eichsfeld, Nordhausen, Wartburgkreis, Unstrut-Hainich-Kreis, Kyffhäuserkreis, Schmalkalden-Meiningen, Gotha, Sömmerda, Hildburghausen, Ilm-Kreis, Weimarer Land, Sonneberg, Saalfeld-Rudolstadt, Saale-Holzland-Kreis, Saale-Orla-Kreis, Greiz, Altenburger Land
Sachsen: Nordsachsen, Leipzig, Mittelsachsen, Zwickau, Chemnitz, Erzgebirgskreis, Vogtlandkreis
Sachsen-Anhalt: Burgenlandkreis, Saalekreis, Halle, Mansfeld-Südharz
Bayern: Region Oberfranken, Region Unterfranken
Hessen: Kassel, Werra-Meißner-Kreis, Schwalm-Eder-Kreis, Hersfeld-Rotenburg, Fulda