Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. Denn das vergangene Jahr hat gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können. So hat die Anzahl neuer Schadprogramm-Varianten im Zeitraum Juni 2021 bis Mai 202 um 116,6 Mio. zugenommen. Allein das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Zeitraum Juni 2021 bis Mai 2022 15 Mio. Meldungen zu Schadprogramminfektionen in Deutschland an die Netzbetreiber übermittelt. Ransomware blieb die Hauptbedrohung besonders für Unternehmen. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat im obigen Zeitraum weiter zugenommen. Auch in Software-Produkten wurden zehn Prozent mehr Schwachstellen bekannt als im Vorjahr. Ebenfalls um rund 41 % im Vergleich zum Vorjahr zugenommen hat die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe). Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Für die Bürger ist die Hauptbedrohung der Identitätsdiebstahl gefolgt von Fake-Shops im Internet. Die Last-Pass Studie vom 02.11.2022 zum Passwortverhalten hat ergeben, dass 62 % der Befragten „fast immer“ oder „meistens“ dasselbe Passwort bzw. eine Variation davon benutzt. Die meisten Befragten vertrauen auf den eigenen Umgang mit Passwörtern und empfinden fälschlicherweise ein Gefühl von Sicherheit. Obwohl zwei Drittel der Befragten in irgendeiner Form eine Schulung zur Cyber-Sicherheit erhalten haben, setzen sie das Erlernte nicht in die Praxis um. Abhilfe kann ein Passwortmanager schaffen. Mit diesem einfachen Mittel kann man sich vor Identi-tätsdiebstahl schützen. Denn präventive Sicherheitsmaßnahmen sind die wirkungsvollsten Sicherheitsmaßnahmen. Quellen: https://www.bsi.bund.de/DE/ServiceNavi/Publikationen/Lagebericht/lagebericht_node.html https://www.lastpass.com/de/resources/ebook/psychology-of-passwords-2022

Rund 30 % der Erwerbstätigen arbeiten derzeit im Homeoffice. Mit der am 27. Januar verabschiedeten Corona-Arbeitsschutzverordnung , nach der Arbeitgeber überall dort einen Homeoffice-Arbeitsplatz anbieten müssen, wo dies möglich ist und wo keine zwingenden betriebsbedingten Gründe dagegenstehen, dürfte der Anteil noch weiter steigen. Vermutlich sind auch Mitarbeiter von Ihnen im Homeoffice? Die Verlagerung der Arbeitsplätze aus den Büros in die heimischen vier Wände bringt auch einige Risiken im Hinblick auf Datensicherheit und Datenschutz mit sich. Spektakuläre Hackerattacken, wie zuletzt beispielsweise die groß angelegten Angriffe auf Behörden und Unternehmen über eine Schwachstelle in der populären Verwaltungs- und Überwachungsplattform SolarWinds Orion oder auch die weiterhin hohe Zahl von Ransomware-Vorfällen machen deutlich, sorgt für einen Anstieg des Stress-Levels bei den IT-Verantwortlichen. Denn während die IT-Sicherheitsinfrastruktur in Firmen, Behörden oder sonstigen Organisationen bietet die IT-Infrastruktur meist einen akzeptablen Grundschutz vor Angriffen von außen. Dies ändert sich durch den verstärkten Einsatz von Homeoffice-Arbeitsplätzen deutlich. Gründe dafür sind u.a.: · Technische Infrastrukturen müssen entsprechend angepasst werden · vermehrten Einsatz von Cloud-Diensten und speziellen Kollaborations-Werkzeugen bzw. Videokonferenzlösungen · Nutzer können durch mangelnde Kenntnis vorhandene Schutzmaßnahmen nicht einschalten oder deaktivieren · keine zuverlässige Ende-zu-Ende-Verschlüsselung Sicherheits- und Datenlecks können zu hohen Bußgeldern und zu einem Imageschaden führen. Mit den folgenden Tipps für ein sicheres Homeoffice schützen Sie Ihre Firmendaten und können hohe Bußgelder vermeiden. Vorgaben für den häuslichen Arbeitsplatz Machen Sie klare Vorgaben zu den technischen und räumlichen Voraussetzungen und erstellen Sie auch möglichst detaillierte Sicherheitsrichtlinien und Vorgaben. So wird beispielsweise für Homeoffice-Arbeitsplätze oftmals die Nutzung eines separaten, abschließbaren Arbeitszimmers gefordert, in dem etwa auch abschließbare Schränke oder Schubladen zur sicheren Aufbewahrung von Rechner, Speichermedien oder sonstigen Unterlagen vorhanden sein müssen. Technische Sicherheitsmaßnahmen Dazu gehören neben der Sicherheit der verwendeten Geräte und Anwendungen sowie der sicheren Nutzung der Geräte durch die Anwender auch die Schnittstellen. So sollte etwa ein vom Arbeitgeber bereitgestellter und entsprechend sicher konfigurierter Rechner (aktueller Virenschutz, Firewall, Verschlüsselungssoftware etc.) zum Einsatz kommen. Die auf den Rechnern verwendete Software sollte nach Möglichkeit vom Arbeitgeber selbst installiert und eingerichtet werden. Trennung beruflicher und privater Geräte / Daten Das Geräts sollte ausschließlich für die beruflichen Zwecke verwendet werden. Falls doch private Endgeräte im Homeoffice zum Einsatz kommen, sollten unbedingt Lösungen zur Trennung von privaten und betrieblichen Daten verwendet werden. Strenge Datenschutzregeln müssen auch zuhause gelten Nach der Arbeit aber auch bei Pausen müssen die Nutzer dafür Sorge tragen, dass keine Dritten auf die beruflich genutzten Rechner zugreifen können. Die Geräte sind durch sichere Kennwörter zu schützen und beispielsweise durch Bildschirmsperren auch bei kurzfristiger Abwesenheit zu sichern. Die wichtigste Schnittstelle dürfte in den meisten Fällen der WLAN-Anschluss an den heimischen Router sein, wobei diese Verbindungen mittlerweile über aktuelle WPA-Varianten standardmäßig einen gewissen Schutz genießen. Sicherer ist es allerdings, wenn die Verbindung zum Firmennetz über eine zusätzliche gesicherte VPN-Verbindung erfolgt. Trennung der heimischen und beruflichen Technik und IT Andere Drahtlos-Schnittstellen, etwa Bluetooth sollten ausgeschaltet sein, sofern sie nicht zwingend benötigt werden. Weitere Vorgaben können etwa die Verwendung von USB-Speichermedien oder anderen Speicherkarten beschränken. Password und Authentifizierungs-Sicherheit Zu den wichtigsten Verhaltensregeln gehört die Verwendung ausreichend sicherer Passwörter oder besser noch die Verwendung einer Zwei-Faktor-Authentifizierung, bei der neben dem Passwort noch ein weiterer Identitätsnachweis (z.B. ein Hardware-Token oder ein biometrisches Merkmal wie der Fingerabdruck) zum Zugriff auf den Rechner vorausgesetzt wird. Generell sollte die Nutzung betrieblicher Daten im Homeoffice auf das absolut notwendige Maß beschränkt werden. Die Arbeitnehmer sollten daher ausschließlich auf diejenigen Daten zugreifen, die sie für ihre Arbeit auch tatsächlich benötigen. BitLocker und Verschlüsselung Gespeicherte Daten sollten nach Möglichkeit verschlüsselt werden, bei lokal auf den PCs vorhandene Daten ist dies unter Windows beispielsweise am einfachsten über die integrierte Festplattenverschlüsselung BitLocker möglich, die in den meisten Versionen (außer der Home-Version) vorhanden ist.  Weitere Vorgaben können etwa Verbote der Weiterleitung von beruflichen E-Mails an private E-Mail-Konten oder des Speicherns beruflicher Daten auf privaten Cloud-Diensten sein.

„Alexa, mach mir bitte einen Kaffee“ ….. könnte auch als „Alexa mach die Tür auf“ verstanden werden. In mehreren Fällen ist es schon vorgekommen, dass Alexa sich angesprochen fühlte, obwohl der Nutzer es nicht beabsichtigt hatte. Dies liegt unter anderem auch daran, dass Alexa gut erzogen ist und auch auf uneindeutige Ansprachen reagiert, als einen Befehl zu ignorieren. Es ist ebenfalls möglich, Alexa auf eine größere Distanz, z.B. durch ein Fenster von außen, Befehle zu geben. Dadurch können Nutzernamen und Passwörter oder auch, gerade bei der jetzigen Pflicht zum Home-Office, Unternehmensdaten ausgespäht werden. Das Vorhandensein von Smart-Home-Anwendungen, könnte es Einbrechern beispielsweise Haustüren ermöglichen Haustüren zu öffnen. Daher sollte Alexa stets ausgeschaltet werden, wenn niemand zu Hause ist. Die Befehle an Alexa müssen nicht unbedingt per Sprache übertragen werden. Forscher haben nachgewiesen, dass Alexa sich mithilfe eines Lasers aus bis zu 110 Metern Entfernung steuern lässt. Mit einem Laser lässt sich auch die Sprachmembran eines Mikrofons zum Schwingen bringen, um damit Töne und Sprachbefehle zu generieren, die für Menschen nicht hörbar sind. (Quelle: N. Pohlmann: "Chancen und Risiken von Smart Home", DuD Datenschutz und Datensicherheit-Recht und Sicherheit in Informationsverarbeitung und Kommunikation, Vieweg Verlag, 2/2021)

Vorläufige Rechtssicherheit für Datenübermittlungen in das Vereinigte Königreich Der Entwurf des Brexit-Abkommens bietet eine viermonatige Übergangsfrist ab dem 01. Januar 2021. Diese Frist kann um 2 Monate verlängert werden. In dieser Übergangsfrist werden Übermittlungen personenbezogener Daten nicht als Übermittlungen in ein Drittland angesehen (Art. 44 DSGVO). https://www.datenschutzkonferenz-online.de/media/pm/20201228_pm_Brexit.pdf

Der BfDI hat im Dezember 2019 einen Telekommunikationsdienstleister wegen eines unzureichenden Authentifizierungsverfahren mit einer Geldbuße belegt. Das Landgericht Bonn hat in seinem Urteil vom 11.11.2020 geurteilt, dass der Dienstleister haftet und folgte der Auffassung des BfDI in wesentlichen Punkten. Für den BfDI war es das erste große Gerichtsverfahren seit Inkrafttreten der DSGVO. Dabei wurden wichtige und grundsätzliche Frage-stellungen geklärt. Fazit: Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen! https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/28_Urteil-1und1.html

Auswirkung des ungeregelten Brexit auf den Datentransfer nach GB

Bei der Nutzung von Videokonferenztools müssen zahlreiche datenschutzrechtliche Vorgaben beachtet werden.

Wir befinden uns in der zweiten Corona-Welle und immer mehr Unternehmen schicken Ihre Mitarbeiter wieder ins Home-Office. Und auch die Politik reagiert und denkt über ein Recht auf Home-Office für Arbeitnehmer nach. Aber was müssen Arbeitgeber dabei in punkto Datenschutz konkret beachten? Um Bußgelder zu vermeiden, muss für die Arbeit im Home-Office eine Datenschutzvereinbarung mit den Mitarbeitern getroffen wer-den. Diese Vereinbarung regelt, welche datenschutzrechtlichen Maßnahmen der Arbeitnehmer im Home-Office ergreifen muss. Im Home-Office haben Arbeitgeber wenig Kontrolle darüber, wie der Arbeitnehmer mit den Firmen- und Kundendaten umgeht. Man kann den Mitarbeiter zwar durch entsprechende Softwares vor IT-Angriffen schützen. Es kann aber nicht kontrolliert werden, inwie-weit die berufliche technische Ausrüstung mit externen privaten Geräten verbunden wird. Hier kann es schnell zu Datenpannen kom-men, die für den Arbeitge-ber verheerende Folgen haben können. Deshalb ist eine vertragliche Regelung hier sehr wichtig. Technische Sicherheit am Arbeitsplatz ist das A&O. Fürs Home-Office sind ein paar Besonderheiten zu beachten. Diese Auswahl beinhal-tet nur eine Übersicht über die wichtigsten Punkte. Ausreichend schnelles Internet Wichtig ist in erster Linie, dass der Arbeitnehmer auch richtig arbeiten kann. Dazu benötigt er eine gut funktionierende Internetverbin-dung. Gerade für Videokonferenzen muss geklärt sein, ob unter Umständen der Tarif geändert und/oder die Bandbreite erhöht werden muss. Die Kosten dafür sollte der Arbeitgeber tragen. Die richtige Telefonnummer Viele Mitarbeiter müssen auch im Home-Office unter der Nummer des Arbeitgebers erreichbar sein. Dies kann mithilfe von Apps auf den Handys der Mitarbeiter oder mithilfe von sogenannten VoiP-Anlagen („Voice over IP“) umgesetzt. Privater Rechner oder vom Arbeitgeber gestellt? Im Idealfall sollte Ihr Mitarbeiter nicht mit einem privaten PC, Mac oder Laptop arbeiten. Den Mit-arbeitern sollte für das Home-Office ein eigener Arbeitscomputer zur Verfügung gestellt werden. Weitere Punkte, die der Arbeitgeber in Bezug auf die Mitarbeiter-Rechner umsetzen muss : • Die Mitarbeiter müssen verpflichtet werden, sichere Passwörter zu verwenden (Passwort-Richtlinie). • Die komplette Software des Rechners sollte auf dem neuesten Stand sein. • Durch die Verwendung eines VPN, können auf Heimnetzwerke spezialisierte Hacker schlechter auf den Rechner zugreifen. • Verschlüsselung der Festplatten: Im Fall von Diebstählen ist man so auf der sicheren Seite. • Privates und Berufliches gehören nicht zusammen: Der Arbeitnehmer sollte die Home-Office Hardware nicht für private Zwecke nutzen. • Familienmitglieder und andere Personen aus dem Haushalt des Arbeitnehmers sollten keinen Zugriff auf den Rechner haben. • Der Arbeitnehmer sollte keinen externen privaten Datenträger an den Arbeitsrechner anschließen. Für weitere Fragen zum Thema Datenschutz im Home-Office stehen wir jederzeit gerne zur Verfügung.

Die Vereinbarung für den Datenaustausch zwischen Europa und den USA ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletter-Anbieter. Die Luxemburger Richter stellten fest, dass der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden, da beispielsweise die dortigen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten. Das Urteil des EuGH bedeutet nicht, dass nun grundsätzlich keine europäischen Daten mehr in den USA verarbeitet werden dürfen. Die so genannten EU-Standardvertragsklauseln können nach Ansicht der Luxemburger Richter eine gültige Grundlage für den Transfer bilden, allerdings nur unter der Voraussetzung, dass bei der Übermittlung personenbezogener Daten das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen in den USA sicherzustellen. Die ganze Reichweite dieses Urteils wird sich erst in den nächsten Wochen und Monaten zeigen. Dringendste Aufgabe aller Unternehmen ist es nun, die Bestandsaufnahme der genutzten Anbieter vorzunehmen, da ansonsten Bußgelder wegen der unberechtigten Übertragung von Nutzerdaten in die USA drohen. Sollten Sie Fragen haben oder Unterstützung im Zusammenhang mit diesem Urteil benötigen, zögern Sie nicht uns zu kontaktieren. Wir sind auch in Corona-Zeiten für Sie da.