[datensicherheit.de, 21.12.2024] In den heutigen vernetzten Systemen, von der IT-Lieferkette über Informations-Dienstleistungen bis hin zu Kritischen Infrastrukturen (KRITIS), unterliegen die Robustheit, Zuverlässigkeit und Vertrauenswürdigkeit einer umfassenden Risikoanalyse, dem „Security Management“.

Facettenreiches „Security Management“

Dieses Management der „Security“ überspannt demnach folgende Facetten:

• Physische Schutzkonzepte, vom Personenschutz über Sensorik bis zur Leitstelle
• Unternehmensführung, Innovations- und Sicherheitsmanagement
• Kulturübergreifende Stabilität der Organisation
• Zuverlässige Energieversorgung und botnetz-sichere Verteilung
• Rechenzentren als Basis der Digitalen Dienste
• „OT Security“, IoT und „Cloud Security Strategy“
• „Cyber Security Act“, „AI Act“, Geldwäsche und Terrorismusfinanzierung
• „Cyber Crime“ und „Cyber Security“
• Digitaler Zwilling, KI und die Simulation Kritischer Pfade

„17. Security Forum“ am neuen Veranstaltungsort

Das „17. Security Forum“ – an einem neuen Veranstaltungsort – soll einem umfassenden Themenfeld gewidmet werden:

„Security Management für Produktion, Energie, IT, Daten und KI“
Dienstag, 14. Januar 2025, von 9.00 bis 14.00 Uhr
Brandenburger Theater, Grabenstraße 14, 14776 Brandenburg an der Havel
Online-Anmeldung erforderlich (s.u.)

Moderatoren:

• Prof. Dr. Ivo Keller, Studiendekan „Security Management“ (M.Sc.), Technische Hochschule Brandenburg
• Oliver Nyderle, „General Manager Cluster Digital Trust/Security, Data Privacy & Blockchain“, Deutsche Telekom MMS GmbH

Weitere Informationen zum Thema und Anmeldung:

Technische Hochschule Brandenburg
Willkommen zum 17. Security Forum der Technischen Hochschule Brandenburg!

[datensicherheit.de, 21.12.2024] Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz e.V. (EAID) lädt zur nächsten EAID-Veranstaltung anlässlich des „Europäischen Datenschutztags 2025“ nach Berlin ein. Im Mittelpunkt steht demnach das Verhältnis zwischen dem „Data Governance Act“ der EU und der „Datenschutz-Grundverordnung“ (DSGVO).

„Regelungs-Tsunami“: EU hat im Rahmen der Europäischen Datenstrategie Vielzahl von Rechtsakten erlassen

Die Europäische Union (EU) habe im Rahmen der Europäischen Datenstrategie der Kommission eine Vielzahl von Rechtsakten – manche sprächen von einem „Regelungs-Tsunami“ – erlassen. „Im Vordergrund stehen dabei neben der ,Datenschutz-Grundverordnung’ der ,Digital Markets Act’, der ,Digital Services Act’ und der ,Artificial Intelligence Act’. Etwas in den Hintergrund gedrängt worden ist der im September 2023 in Kraft getretene ,Data Governance Act’.“

Dessen Ziel sei es, die Nutzung von personenbezogenen wie nicht-personenbezogenen Daten als „Datenspende“ für bestimmte Ziele von allgemeinem Interesse, wie u.a. die Gesundheitsversorgung, die Verbesserung der Mobilität, die amtliche Statistik, die staatliche Entscheidungsfindung oder die wissenschaftliche Forschung zu erleichtern.

Auch ohne Verabschiedung des „Daten-Governance“-Gesetzes in Deutschland gilt zugrundeliegende EU-Verordnung bereits jetzt

Auch wenn das deutsche „Daten-Governance“-Gesetz zur Umsetzung des Unionsrechts wohl nicht mehr in dieser Legislaturperiode verabschiedet werden wird, gilt laut EAID die zugrundeliegende Verordnung der Union bereits jetzt unmittelbar. Dies werfe eine Reihe von Fragen auf, welche im Rahmen der u.g. Veranstaltung diskutiert werden sollten:

• „Sind die gemeinnützigen Ziele, für die eine ,Datenspende’ ermöglicht werden soll, vom Unionsgesetzgeber hinreichend präzise und vom Umfang her zu eng oder zu weit definiert worden?“
• „Ist das Verhältnis zwischen ,Data Governance Act’ und ,Datenschutz-Grundverordnung’ klar genug bestimmt worden?“
• „Kann der ,Data Governance Act’ einen ausreichenden Anreiz für ,Datenaltruismus’ setzen und was wären möglicherweise notwendige Ergänzungen mit diesem Ziel?“
• „Welchen Spielraum hat der Bundesgesetzgeber bei der Umsetzung des ,Data Governance Acts’ und nutzt der Gesetzentwurf der Bundesregierung für ein deutsches ,Daten-Governance’-Gesetz diesen Spielraum?“

„Datennutzung vs. Datenschutz“ am 29. Januar 2025 um 18 Uhr

„Datennutzung vs. Datenschutz“
Präsenzveranstaltung mit begleitendem Internet-Streaming
Mittwoch, 29. Januar 2025, 18.00 Uhr bis 20.00 Uhr (im Anschluss Gelegenheit zu einem „Get Together“ bei kleinem Imbiss und Getränken)
Europäische Akademie Berlin, Bismarck-Allee 46/48, 14193 Berlin
Anmeldung per E-Mail erforderlich unter anmeldung [at] eaid-berlin [dot] de

Das Panel (ohne Gewähr):

• Prof. Dr. Louisa Specht-Riemenschneider, Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
• Yvo Volman, Director for Data Policy and Innovation, Generaldirektion Kommunikationsnetze, Inhalte und Technologien, Europäische Kommission
• Thomas Zerdick, LL.M., Referatsleiter „Aufsicht und Durchsetzung“ beim Europäischen Datenschutzbeauftragten

Begrüßung: Peter Schaar (EAID)
Moderation: Dr. Alexander Dix, LL.M. (EAID)

Weitere Informationen zum Thema:

datensicherheit.de, 28.02.2024
KI trifft in Deutschland auf verunsicherte Bürger / KI-Modelle benötigen Vielzahl von Daten zum Training

datensicherheit.de, 24.01.2024
Europäischer Datenschutztag 2024: Verbraucher-Datenschutz wurzelt in Unternehmen / Verantwortung für gesetzeskonformen Umgang mit Daten liegt vor allem bei Unternehmen, welche diese erheben und verarbeiten

datensicherheit.de, 28.01.2022
Europäischer Datenschutztag: Kommentar von Chris Harris / Der Datenschutztag als wichtige Erinnerung für Unternehmen, alle notwendigen Maßnahmen zu ergreifen

Richtlinie soll wertvolle Ressource für Entwickler, Administratoren und KI-DevOps-Teams sein

[datensicherheit.de, 20.12.2024] Kaspersky hat nach eigenen Angaben seine Richtlinie für eine sichere KI-Entwicklung präsentiert, um Unternehmen dabei zu unterstützen, die Cyber-Sicherheitsrisiken der bereits allgegenwärtigen Technologie zu adressieren: Die „Guidelines for Secure Development and Deployment of AI Systems“ seien vor wenigen Tagen auf dem „United Nations Internet Governance Forum“ (IGF) 2024 in Riad, Saudi-Arabien, vorgestellt worden – die Entwicklung sei in Zusammenarbeit mit führenden akademischen Experten erfolgt, um die wachsende Komplexität der Cyber-Sicherheitsherausforderungen im Zusammenhang mit KI-gesteuerten Systemen zu adressieren.

Abbildung: kaspersky

Kaspersky hat „Guidelines for Secure Development and Deployment of AI Systems“ herausgegeben

Richtlinie besonders für Organisationen relevant, welche auf KI-Modelle von Drittanbietern und Cloud-basierte Systeme angewiesen sind

Diese Richtlinie sei eine „wertvolle Ressource für Entwickler, Administratoren und KI-DevOps-Teams“ und enthalte detaillierte, praxisorientierte Empfehlungen, um technische Sicherheitslücken zu schließen und Betriebsrisiken zu minimieren.

Die „Guidelines for Secure Development and Deployment of AI Systems“ seien besonders für Organisationen relevant, „die auf KI-Modelle von Drittanbietern und Cloud-basierte Systeme angewiesen sind“, da Schwachstellen in diesen Bereichen zu erheblichen Datenlecks und Reputationsschäden führen könnten.

Richtlinie soll Organisationen helfen, die KI-Bereitstellung an Standards und internationale Compliance-Anforderungen anzupassen

Durch die Integration von Security-by-Design-Prinzipien unterstütze diese Richtlinie Organisationen dabei, die KI-Bereitstellung an Standards wie ESG und internationale Compliance-Anforderungen anzupassen. Die Richtlinie behandele zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren.

Die Richtlinie adressiere die folgenden Prinzipien zur Verbesserung der Sicherheit von KI-Systemen:

• Sensibilisierung und Schulungen im Bereich Cyber-Sicherheit
• „Threat Modelling“ und Risikobewertung
• Infrastruktursicherheit („Cloud“)
• Lieferketten- und Datensicherheit
• Tests und Validierung
• Schutz vor ML-spezifischen Angriffen
• Regelmäßige Sicherheitsupdates und Wartung
• Einhaltung internationaler Standards

Zunehmende KI-Verbreitung macht Gewährleistung ihrer Sicherheit unerlässlich

„Angesichts der zunehmenden Verbreitung von KI ist die Gewährleistung ihrer Sicherheit nicht optional, sondern unerlässlich“, betont Yuliya Shlychkova, „Vice President of Public Affairs“ bei Kaspersky, in ihrem Kommentar.

Beim IGF 2024 sei zu einem Dialog mehrerer Interessengruppen beigetragen worden, „um Standards zu definieren, die Innovationen schützen und zur Bekämpfung neuer Cyber-Bedrohungen beitragen“.

Weitere Informationen zum Thema:

kaspersky, 2024
AI TECHNOLOGY RESEARCH / Guidelines for Secure Development and Deployment of AI Systems

IGF Internet Governance Forum RIYADH 2024
19th Annual Meeting of the Internet Governance Forum / 15–19 Dec 2024 / King Abdulaziz International Conference Center (KAICC)

IGF Internet Governance Forum
IGF 2024 WS #31 Cybersecurity in AI: balancing innovation and risks

[datensicherheit.de, 20.12.2024] Das „Unit 42“-Team von Palo Alto Networks hat nach eigenen Angaben eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt: „Die Kampagne zielte darauf ab, ,Microsoft Azure Cloud’-Zugangsdaten zu stehlen und die ,Cloud’-Infrastruktur der Opfer zu übernehmen.“ Sie habe der Untersuchung nach im Juni 2024 begonnen und betreffe mehr als 20.000 Nutzer aus verschiedenen europäischen Unternehmen.

Die wichtigsten Erkenntnisse der „UNIT 42“ zur HubPhish-Kampagne:

• Diese Phishing-Kampagne habe im Juni 2024 begonnen und sei im September 2024 noch aktiv gewesen.
• Unternehmen aus den Branchen Automotive, Chemie und industrielle Fertigung stehen demnach im Fokus der Angriffe.
• „Die Phishing E-Mails enthielten entweder eine angehängte ,Docusign’-fähige PDF-Datei oder einen eingebetteten HTML-Link, der die Opfer zu gefälschten ,HubSpot Free Form Builder’-Links führte.“
• Die Angreifer hätten Umgehungstaktiken wie benutzerdefinierte User-Agent-Strings und eine Wiederverwendung der Infrastruktur eingesetzt, um den Zugriff aufrechtzuerhalten und eine Entdeckung zu vermeiden.
• „HubSpot“ sei bei dieser Phishing-Kampagne nicht angegriffen worden und die „Free Form Builder“-Links seien nicht über die „HubSpot“-Infrastruktur an die Betroffenen übermittelt worden.

Weitere Informationen zum Thema:

UNIT 42
Business Email Compromise / Effective Phishing Campaign Targeting European Companies and Institutions

eco gibt fünf Tipps zum optimalen Umgang mit digitalen Geräten für Kinder und Jugendliche

[datensicherheit.de, 19.12.2024] Der eco – Verband der Internetwirtschaft e.V. hat im Vorfeld des Weihnachtsfestes 2024 Stellung zu einer im eco-Auftrag durchgeführten Umfrage zum Thema Medienkompetenz genommen: Das Meinungsforschungsinstitut Civey hat demnach 2.501 volljährige Bundesbürger am 11. und 12. Dezember 2024 befragt – die Ergebnisse seien repräsentativ: 60 Prozent forderten mehr Freizeitangebote ohne digitale Geräte für Kinder sowie Jugendliche und die Mehrheit der Deutschen sehe Eltern und Schulen in der Verantwortung für die Vermittlung von Medienkompetenz. In diesem Zusammenhang gibt der eco fünf Tipps für den „optimalen Umgang mit digitalen Geräten für Kinder und Jugendliche“.

Abbildung: eco

eco-Umfrage-Ergebnisse: Mehrheit fordert Medienkompetenz und kritisches Denken…

eco-Umfrage zeigt, dass kritisches Denken der Kinder stärker gefördert werden sollte

Zu Weihnachten werden sich in vielen deutschen Haushalten wohl Smartphones, Tablets und andere digitale Geräte unter dem Tannenbaum finden lassen. Während diese Geschenke Kindern und Jugendlichen neue digitale Welten eröffneten, wachse aber gleichzeitig die Verantwortung von Eltern und Schulen, einen sicheren und verantwortungsvollen Umgang mit diesen Geräten zu fördern.

Die aktuelle Umfrage im eco-Auftrag zeige eben, dass 62,4 Prozent der Deutschen der Meinung seien, dass Eltern und Schulen die Medienkompetenz und das kritische Denken von Kindern stärker fördern sollten, um sie auf die Herausforderungen der digitalen Welt vorzubereiten.

eco-Umfrage sollte beleuchten, wie wichtig den Befragten der Schutz von Kindern in der digitalen Welt ist

Diese Umfrage sollte beleuchten, „wie wichtig den Befragten der Schutz von Kindern in der digitalen Welt ist“. So forderten 61,9 Prozent eine intensivere Aufklärung über den sicheren Umgang mit digitalen Geräten. Für 60,1 Prozent sei es entscheidend, dass mehr Freizeitangebote ohne den Einsatz von digitalen Geräten angeboten würden, um eine ausgewogene Mediennutzung zu fördern.

Darüber hinaus seien 58,5 Prozent der Meinung, dass Eltern und Schulen eine größere Kontrolle über die von Kindern online konsumierten Inhalte ausüben sollten. Auch die Festlegung von Nutzungs- und Bildschirmzeiten werde von 54,8 Prozent der Befragten als eine notwendige Maßnahme angesehen.

Leiterin der eco-Beschwerdestelle sieht Eltern und Schulen in einer aktiven Rolle

„Gerade in der Weihnachtszeit, wenn viele Eltern ihren Kindern digitale Geräte wie Smartphones oder Tablets schenken, wird deutlich, wie wichtig es ist, den Umgang mit diesen Technologien von Anfang an zu begleiten“, betont die Leiterin der eco-Beschwerdestelle, Alexandra Koch-Skiba. Sie führt aus: „Die Ergebnisse der Umfrage zeigen, dass Eltern und Schulen eine aktive Rolle dabei spielen müssen, Kindern den sicheren Umgang mit digitalen Medien beizubringen.“

Die eco-Beschwerdestelle engagiere sich seit Jahren für die Prävention und Aufklärung zum sicheren Umgang mit digitalen Medien. „Es reicht nicht aus, nur technische Sicherheitsvorkehrungen zu treffen. Technische Lösungen können immer nur flankieren und unterstützen. Es geht auch – beziehungsweise insbesondere – darum, den Kindern ein gesundes Bewusstsein für die digitale Welt zu vermitteln und immer wieder das Gespräch mit ihnen über ihre Online-Erfahrungen zu suchen“, unterstreicht Koch-Skiba.

eco-Beschwerdestelle bietet Eltern und Lehrkräften regelmäßig Workshops und Informationsveranstaltungen an

Hierzu biete die eco-Beschwerdestelle regelmäßig Workshops und Informationsveranstaltungen an, welche Eltern und Lehrkräften konkrete Tipps, rechtliches Wissen und Hilfestellungen im Umgang mit digitalen Medien geben sollten. Seit beinahe 30 Jahren bekämpfe die eco-Beschwerdestelle erfolgreich illegale Inhalte im Internet. „Jeder Hinweis zählt im Kampf gegen rechtswidrigen Content!“

Begleitetes Surfen für einen sicheren Einstieg
„Begleiten Sie Kinder beim ersten Surfen im Netz!“ Empfehlenswerte, kinderfreundliche Webseiten wie „www.FragFinn.de“ böten einen sicheren Surfraum und altersgerechte Inhalte.

Kindgerechte Schutzsoftware nutzen
„Installieren Sie Jugendschutzprogramme, um sicherzustellen, dass Kinder nur auf altersgerechte Inhalte zugreifen können.“ Lösungen seien z.B. unter „www.jugendschutzprogramm.de“ zu finden.

Persönliche Daten schützen
„Erklären Sie Kindern den sicheren Umgang mit persönlichen Daten. Richten Sie gemeinsam ein Nutzerprofil ein, prüfen Sie AGBs und sorgen Sie für starke, sichere Passwörter!“

Medienkompetenz und rechtlicher Umgang mit Inhalten
„Vermitteln Sie den verantwortungsvollen Umgang mit Medien und Urheberrechten. Zeigen Sie Kindern, wie man Bilder sicher teilt und welche Inhalte erst gar nicht ins Netz gehören!“

Rechtsverstöße schnell melden
„Erklären Sie älteren Kindern, wie sie unangemessene Inhalte melden können!“ Die eco-Beschwerdestelle helfe bei der Entfernung rechtswidriger Inhalte aus dem Internet.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
eco Beschwerdestelle

fragFINN.de
FINN fragen

JUSPROG
Jugendschutzprogramme für alle Endgeräte: Windows, Android, iPhon/iPad, Mac usw. – komplett kostenlos

OT-Sicherheit fokussiert auf Aufrechterhaltung physischer Prozesse und Vermeidung von Ausfällen

[datensicherheit.de, 19.12.2024] Im Jahr 2025 wird die Cyber-Sicherheit auf dem Gebiet der „Operational Technology“ (OT) nach Einschätzung von Phil Tonkin, „Field CTO“ von Dragos, eine Schlüsselrolle beim Schutz Industrieller Umgebungen und Kritischer Infrastrukturen (KRITIS). In seiner aktuellen Stellungnahme warnt er: „Die zunehmende Vernetzung durch die Digitale Transformation legt Sicherheitslücken in OT-Systemen offen, die oft ohne Berücksichtigung moderner Bedrohungen entwickelt wurden.“

Foto: Dragos

Laut Phil Tonkins Prognose wird 2025 voraussichtlich die Cyber-Sicherheit der OT als unverzichtbarer Standard in der Industrie etabliert

Zunahme der Bedrohungen für OT-Systeme

Tonkin erläutert hierzu: „Bedrohungen wie die ,FrostyGoop’-Malware, die Heizsysteme in der Ukraine außer Gefecht setzte, oder ,PIPEDREAM’, eine skalierbare ICS-Malware, verdeutlichen die Risiken.“

Anders als auf dem Gebiet der regulären IT, wo es um den Schutz von Daten gehe, konzentriere sich die OT-Sicherheit auf die Aufrechterhaltung physischer Prozesse und die Vermeidung von Ausfällen.

OT-Sicherheits-Strategien für eine resilientere Zukunft

Unternehmen würden zunehmend die Notwendigkeit spezialisierter Ansätze erkennen. In diesem Zusammenhang benennt Tonkin zentrale Maßnahmen für 2025:

Entwicklung eines Incident-Response-Plans für ICS (Internal Control System)
Dieser Plan sollte zentrale Kontakte, die Kompetenzen der Mitarbeiter an den jeweiligen Standorten sowie Eskalationsrichtlinien und Handlungsschritte für verschiedene Szenarien enthalten. Anschließend könne der Plan durch „Tabletop“-Simulationen verfeinert werden.

Verteidigungsfähige Architekturen
Segmentierte Netzwerke und sichere Protokolle schützten OT-Systeme vor Angriffen und ermöglichten eine schnelle Wiederherstellung im Falle von Vorfällen, wodurch die Angriffsfläche effektiv minimiert werde.

ICS-Netzwerktransparenz
Die vollständige Transparenz aller Geräte und Aktivitäten in OT-Netzwerken helfe, Anomalien frühzeitig zu erkennen. Transparenz sei entscheidend, um Sicherheitslücken zu schließen.

Sicherer Fernzugriff
Der Hauptfokus sollte auf den Verbindungen in und aus dem OT-Netzwerk liegen und nicht auf dem internen Netzwerkverkehr – beispielsweise mit Multi-Faktor-Authentifizierung (MFA).

Risikobasiertes Schwachstellenmanagement
Ein effektives Programm zum Schwachstellenmanagement in OT-Netzwerken sorge für eine rechtzeitige Erkennung relevanter Schwachstellen, genaue Risikobewertungen und Strategien zur Risikominderung, um die Gefährdung zu minimieren und gleichzeitig den Betrieb aufrechtzuerhalten.

OT- wie IT-Sicherheit als Führungsaufgabe

Tonkin betont abschließend: „Cyber-Sicherheit ist mehr als nur eine technische Herausforderung – sie erfordert das aktive Engagement der Unternehmensführung. Wer OT-Sicherheit priorisiert, stärkt die Resilienz seines Betriebs und bleibt wettbewerbsfähig.“

2025 werde voraussichtlich das Jahr, in dem die Cyber-Sicherheit der OT „als unverzichtbarer Standard in der Industrie etabliert wird“. Unternehmen, welche frühzeitig handelten, profitierten von erhöhter Sicherheit, wirtschaftlicher Stabilität und einem langfristigen Wettbewerbsvorteil.

Weitere Informationen zum Thema:

datensicherheit.de, 03.12.2024
Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen / Alt-Systeme in OT-Umgebungen weisen zwar Schwachstellen auf, können aber dennoch geschützt werden

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

[datensicherheit.de, 18.12.2024] Laut einer aktuellen Stellungnahme der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH soll der digitale Zeitschriftenhändler United Kiosk bereits ab dem 21. Oktober 2024 Opfer eines gezielten Cyber-Angriffs geworden sein: „Das Unternehmen informierte seine Kunden zunächst nur über eine vermeintliche ,technische Störung’.“ Erst seit Anfang Dezember 2024 habe United Kiosk dann in E-Mails an Kunden eingeräumt, dass es sich um einen Hacker-Angriff gehandelt habe, durch den personenbezogene Daten im sogenannten Darknet veröffentlicht worden seien. „United Kiosk ist ein deutscher Anbieter von Zeitschriften und Zeitungen – digital wie gedruckt –, die sowohl als Einzelausgabe als auch im Abonnement bezogen werden können.“ Betroffene Kunden seien nun potenziell vielfältigen Risiken ausgesetzt – darunter unerwünschte Kontaktaufnahmen, Identitätsmissbrauch oder Betrugsversuche. Betroffene könnten mögliche Ansprüche auf Schadensersatz und Unterlassung kostenlos durch die Verbraucherkanzlei Dr. Stoll & Sauer prüfen lassen.

Ein Kostenfreier Datenleck-Online-Check bietet Betroffenen eine Ersteinschätzung

Die auf Verbraucherrechte spezialisierte Kanzlei empfiehlt demnach betroffenen Verbrauchern eine umgehende Prüfung ihrer Ansprüche. Über einen kostenfreien Datenleck-Online-Check könnten Betroffene eine Ersteinschätzung erhalten und sich über mögliche rechtliche Schritte informieren.

Die Kanzlei Dr. Stoll & Sauer habe in der Vergangenheit bereits erfolgreich Schadensersatzansprüche aufgrund von Datenschutzverletzungen – beispielsweise im Zusammenhang mit dem „facebook“-Datenleck – vor deutschen Landgerichten durchgesetzt.

Zudem seien die Chancen auf Schadensersatz enorm gestiegen, denn der Bundesgerichtshof (BGH) habe sich z.B. am 18. November 2024 eindeutig verbraucherfreundlich zum Thema „facebook“-Datenleck positioniert. Bereits der bloße Kontrollverlust über die eigenen personenbezogenen Daten stelle einen Schaden dar (Az.: VI ZR 10/24).

Das Datenleck bei United Kiosk führt zur Verunsicherung bei betroffenen Verbrauchern

Nach aktuellen Medienberichten und Schreiben von United Kiosk seien unter anderem folgende Daten von diesem Leck betroffen:

• Anrede, Vorname, Nachname
• E-Mail-Adresse
• Telefonnummer
• Bankverbindung
• ggf. Rechnungsdokumente

„Kunden, die von United Kiosk über den Vorfall informiert wurden, sollten unverzüglich ihre Zugangsdaten ändern – insbesondere dann, wenn sie dieselben Passwörter auch für andere Online-Dienste nutzen.“

Zudem empfehle es sich, die Hinweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum sicheren Umgang mit Passwörtern zu beachten. Ebenfalls sollten Betroffene auf mögliche Phishing-Versuche und betrügerische Kontaktaufnahmen vorbereitet sein und sensible Informationen grundsätzlich nicht leichtfertig preisgeben.

Der BGH erleichtert die Durchsetzung von Ansprüchen auf Schadensersatz in Folge eines Datenlecks

Betroffene eines Datenlecks sollten diesen Vorfall bei United Kiosk nicht auf die leichte Schulter nehmen. Neben einer möglichen Spam-Welle könnten personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, Bankdaten und Passwörter im Darknet verkauft und für vielfältige kriminelle Aktivitäten genutzt werden. Dies könne bis hin zum Identitätsdiebstahl führen, bei dem Kriminelle im Namen der Opfer Geschäfte tätigten. Was das für United-Kiosk-Kunden bedeutet und welche Rechte Verbraucher laut Dr. Stoll & Sauer haben:

Es besteht ein Auskunftsanspruch gemäß Art. 15 DSGVO
Nutzer könnten von United Kiosk verlangen, Auskunft darüber zu erhalten, „ob und wie weit sie vom Datenleck betroffen sind“. Sollte United Kiosk keine oder eine unvollständige Auskunft erteilen, könne dies bereits einen Schadensersatzanspruch nach Art. 82 DSGVO begründen.

Der BGH hat Verbraucherrechte gestärkt
Der BGH habe am 18. November 2024 klargestellt, dass der reine Kontrollverlust über personenbezogene Daten bereits einen Schaden nach der DSGVO darstelle. Dies erleichtere die Durchsetzung von Schadensersatzansprüchen erheblich.

Laut BGH keine zusätzlichen Nachweise erforderlich
Nach der Rechtsprechung des BGH seien weitere Nachweise über Ängste oder Befürchtungen nicht zwingend erforderlich, auch wenn solche Nachweise den Schadensersatz erhöhen könnten.

„facebook“-Datenleck als Präzedenzfall
Das „facebook“-Datenleck zeige exemplarisch, wie Kontrollverluste über personenbezogene Daten Schadensersatzansprüche nach der DSGVO auslösen könnten – eine Entwicklung, die auch für United-Kiosk-Kunden relevant sei.

Widerspruchsmöglichkeit und Unterlassungsanspruch
Betroffene könnten der weiteren Verarbeitung ihrer Daten widersprechen und Unterlassung verlangen.

Weitere Informationen zum Thema:

Dr. Stoll & Sauer
Kostenlose Erstberatung direkt online abrufen

Dr. Stoll & Sauer, 06.09.2024
Dr. Stoll & Sauer erstreitet für Verbraucher Urteil gegen Meta am Landgericht München / 3000 Euro Schadensersatz für Opfer des Facebook-Datenlecks

[datensicherheit.de, 18.12.2024] „Die Deutschen sollten in der vorweihnachtlichen Einkaufssaison auf der Hut sein, denn Cyber-Kriminelle haben es auf die begehrtesten Weihnachtsartikel abgesehen!“ Laut dem Thales-Unternehmen Imperva sind bösartige Bots und andere KI-Taktiken dafür verantwortlich. Tatsächlich überwache Imperva täglich rund 570.000 KI-gesteuerte Angriffe und helfe, diese zu entschärfen.

Zu Weihnachten 2024 insbesondere 5 Geschenke im Visier Cyber-Krimineller

Solche Bots schnappten sich zuerst nur begrenzt verfügbare Artikel, bevor sie zu höheren Preisen weiterverkauft würden und verweigerten den Verbrauchern während der Spitzenzeiten den Zugang zu den Websites von Markenunternehmen.

Imperva benennt nachfolgend die fünf Geschenke, auf welche es Cyber-Kriminelle zu Weihnachten 2024 insbesondere abgesehen haben könnten:

Spielekonsolen und Videospiele
„,Gamer’, die sich die neuesten Konsolen oder Videospiele zulegen möchten, egal ob es sich um die ,PlayStation 5‘, die ,Xbox Series X’ oder ,Series S’ oder die ,Nintendo Switch’ handelt, werden feststellen, dass es besonders schwierig ist, an sie heranzukommen.“
Selbst wenn diese doch erst einmal unter dem Tannenbaum liegen und in Betrieb genommen werden, liefen Spieler Gefahr, dass Rivalen Bots einsetzten, um sich Zugang zu ihren Konten zu verschaffen: Sie kauften dann mit ihrem Geld Upgrades oder würden im Spiel betrügen – „was die Weihnachtsstimmung dämpft“.

Konzertkarten
Tickets für Konzerte seien heutzutage bekanntermaßen schwer zu bekommen und teuer. Da auch 2025 einige große Namen durch Deutschland touren würden, werde der Einsatz von Bots dieses Problem zweifellos noch verschärfen:
„Indem sie auf Ticket-Websites auf der Lauer liegen und automatisierte Anfragen viel schneller übermitteln, als es ein Mensch schafft, sobald die Tickets freigeschaltet sind, können Ticketverkäufer Bots zu ihrem Vorteil nutzen und den Fans so ein positives Erlebnis verwehren.“

Sporttickets
„Während die Champions League und die Bundesliga in vollem Gange sind, könnten diejenigen, die Tickets für die bevorstehenden Spiele verschenken wollen, Schwierigkeiten haben, Karten zu ergattern.“

Flüge
„Egal, ob man den Winter- oder den Sommerurlaub plant – die Reisebranche ist mit 11,5 Prozent aller Angriffe die zweitwichtigste Zielscheibe für Bot-Aktivitäten.“
Bots könnten für das sogenannte „Seat Spinning“ eingesetzt werden, bei dem Flugplätze reserviert und die Preise bis zur letzten Minute in die Höhe getrieben würden, um sowohl den Betrieb der Fluggesellschaft als auch die Kunden zu verärgern.

Smartphones
Vom „iPhone 16“ über das „Google Pixel 9 Pro“ bis hin zum „Samsung Galaxy S24“ – die neuesten Smartphones seien immer gefragt. „Viele hoffen, dass der Weihnachtsmann mit einem festlichen technischen Upgrade kommt.“
Bösartige Bots nutzten die Nachfrage auf den Websites von Einzelhändlern aus und legten manchmal Artikel in den Einkaufswagen, ohne den Kauf tatsächlich abzuschließen. Dies führe zu einer Verzerrung der Verfügbarkeit.

Cyber-Kriminelle hetzen KI-Bots auf Produkte oder Erlebnisse, bei denen das Angebot knapp und die Nachfrage hoch ist

„Letztlich werden bei jedem Produkt oder Erlebnis, bei dem das Angebot knapp und die Nachfrage hoch ist, bösartige Bots auftauchen.“ Egal, ob es sich um limitierte Sneakers, das Spielzeug, das sich jedes Kind dieses Jahr wünscht, oder sogar um Buchungen für Stoßzeiten in beliebten Restaurants handelt – ohne Schutz könnten Bots die Oberhand gewinnen. Das führe dazu, dass die Kunden bei den Weihnachtseinkäufen für ihre Liebsten zu kurz kämen.

Verbraucher sollten auf diese fünf Anzeichen für bösartige Bot-Aktivitäten achten:

1. Anzeichen: Ungewöhnliche Preisschwankungen
Schnelle oder inkonsistente Preisänderungen könnten auf Bots hindeuten, „die Preisdaten auslesen und manipulieren“.

2. Anzeichen: Langsame Website-Leistung
Bots könnten Server überlasten, „so dass Websites langsamer werden oder nicht mehr reagieren“. Wenn eine Website ungewöhnlich langsam ist, könnte es sich um einen Bot-Angriff handeln.

3. Anzeichen: Häufige CAPTCHA-Herausforderungen
„Wenn CAPTCHAs zu häufig abgefragt werden, könnte dies ein Hinweis darauf sein, dass die Website von Bots stark frequentiert wird.“

4. Anzeichen: Unerwartete Änderungen der Verfügbarkeit
Plötzliche und häufige Änderungen der Produkt-, Ticket- oder Flugverfügbarkeit könnten auf Bots zurückzuführen sein, welche Artikel oder Tickets reservierten und freigäben.

5. Anzeichen: Verdächtige E-Mails oder Nachrichten
„Vorsicht bei unaufgeforderten E-Mails oder Nachrichten, die Angebote anbieten, die zu gut sind, um wahr zu sein, da es sich um Versuche handeln könnte, auf betrügerische Websites zu locken!“

Wer bei seinen Weihnachtseinkäufen misstrauisch ist, sollte die Einzelhändler auf ungewöhnliche Aktivitäten hinweisen und sich nach Möglichkeit von Geschenken mit überhöhten Preisen fernhalten.

Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 17.12.2024] Das Softwarebüro Krekeler aus Königs Wusterhausen weist in einer aktuellen Stellungnahme darauf hin, dass ab dem 1. Januar 2025 die elektronische Rechnungsstellung in Deutschland für Unternehmen, die untereinander B2B-Umsätze tätigen, zur Pflicht wird. „Diese neue gesetzliche Vorgabe, die im Rahmen des Wachstumschancengesetzes beschlossen wurde, verpflichtet Unternehmen, elektronische Rechnungen gemäß der europäischen Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen.“ Für viele Unternehmen bedeute dies eine umfangreiche Umstellung ihrer Geschäftsprozesse und IT-Systeme.

Foto: Softwarebüro Krekeler

Harald Krekeler: Künftig müssen Rechnungen in einem maschinenlesbaren und strukturierten Format übermittelt werden, das den europäischen Rechnungsstandard CEN 16931 erfüllt!

Für Vorsteuerabzug entscheidend, dass E-Rechnungen vorliegen

Harald Krekeler, Geschäftsführer des Softwarebüros Krekeler, betont: „Künftig müssen diese Rechnungen in einem maschinenlesbaren und strukturierten Format übermittelt werden, das den europäischen Rechnungsstandard CEN 16931 erfüllt. Für Deutschland bedeutet dies, dass die Rechnungserstellung im Format ,XRechnung’ oder ,ZUGFeRD’ erfolgen muss – ein simples ,PDF’ genügt nicht.“

Damit müssten Unternehmen sich darauf einstellen, dass ab 2025 ihre Eingangs- und Ausgangsrechnungen im entsprechenden strukturierten Format vorliegen müssten. „Für den Vorsteuerabzug ist es beispielsweise entscheidend, dass die Rechnungen den neuen Anforderungen entsprechen“, erläutert Krekeler.

Umstellung auf E-Rechnungen als Aufruf zur Digitalen Transformation

Viele Unternehmen sähen sich durch die E-Rechnungspflicht mit einem erheblichen Umstellungsaufwand konfrontiert: „Sie müssen nicht nur ihre Rechnungsstellung anpassen, sondern auch ihre gesamte IT- und Geschäftsprozesslandschaft entsprechend den neuen Anforderungen ausrichten. In den meisten Fällen bedeutet dies, dass bestehende Systeme wie ERP-Software, Dokumentenmanagement-Systeme (DMS) oder Archivierungslösungen aktualisiert oder erweitert werden müssen.“

Der Wechsel zur digitalen Rechnungsstellung bietet laut Krekeler aber auch langfristig Vorteile: „Unternehmen, die sich rechtzeitig mit der E-Rechnungspflicht auseinandersetzen, können durch die Automatisierung und Optimierung von Prozessen langfristig Zeit und Kosten sparen.“

Einführung einer flexiblen und benutzerfreundlichen Lösung fürs E-Rechnungswesen wichtig

Besonders für mittelständische Unternehmen, die oft nicht über umfangreiche IT-Abteilungen verfügten, sei die Einführung einer flexiblen und benutzerfreundlichen Lösung wichtig. Eine solche Lösung sei z.B. der von Krekeler entwickelte „Office Manager“ – ein Dokumentenmanagement-System (DMS), welches Unternehmen eine einfache Möglichkeit biete, ihre Rechnungsprozesse zu digitalisieren und zu automatisieren.

„Mit dem ,Office Manager’ bieten wir eine anwenderfreundliche Lösung, die speziell für mittelständische Unternehmen entwickelt wurde“, sagt Krekeler. Dieses System sei einfach zu implementieren, flexibel und könne nahtlos in bestehende IT-Infrastrukturen integriert werden. „Besonders bei der Einführung der E-Rechnungspflicht hilft der ,Office Manager’, die benötigten digitalen Dokumentenprozesse schnell und effizient zu implementieren.“

Gestaffelte Einführung und Übergangsregelungen zum Umgang mit E-Rechnungen

Für Unternehmen, die sich auf die neue Regelung vorbereiten müssen, gebe es einige Übergangsregelungen, welche die Umstellung erleichterten. So blieben Papierrechnungen für B2B-Umsätze bis Ende 2025 zulässig, allerdings müssten Unternehmen ab Januar 2025 in der Lage sein, elektronische Rechnungen zu empfangen und zu verarbeiten.

Ab 2027 sei dann die Nutzung von Papierrechnungen vollständig unzulässig, und ab 2028 müssten alle Unternehmen die E-Rechnungspflicht ohne Ausnahme erfüllen. Kleinbetragsrechnungen und bestimmte steuerbefreite Umsätze seien von der E-Rechnungspflicht ausgenommen, diese könnten weiterhin in einem anderen Format ausgestellt werden.

Weitere Informationen zum Thema:

Bundesministerium der Finanzen,19.11.2024
Steuern / Fragen und Antworten zur Einführung der obligatorischen (verpflichtenden) E-Rechnung zum 1. Januar 2025

Bundesministerium des Innern und für Heimat
Unterschied zwischen Papier-, PDF- und E‑Rechnung / In diesem Beitrag erklären wir Ihnen anhand einer Gegenüberstellung verschiedener Rechnungsformate, was eine Rechnung zu einer – entsprechend der E‑Rechnungs­verordnung des Bundes konformen – E‑Rechnung macht

[datensicherheit.de, 17.12.2024] Die Verbraucherzentrale Nordrhein-Westfalen (vz NRW) geht in einer aktuellen Stellungnahme auf Vorfälle bei „PayPal“ zum Schaden von Verbrauchern ein, bei denen Cyber-Kriminelle demnach mit fremden Kontodaten im Internet einkaufen und gibt Tipps, wie sich Verbraucher schützen können.

Betrüger missbrauchte alte IBAN beim Online-Shopping über Funktion „Zahlen ohne PayPal-Konto“

Ein Verbraucher aus dem nördlichen Nordrhein-Westfalen sei fassungslos: „Der Zahlungsdienstleister „PayPal“ möchte 56,75 Euro von ihm haben – für einen Einkauf, von dem er nichts weiß.“ Er habe sodann bei „PayPal“ nachgefragt und erfahren, dass das Geld von seinem Bankkonto nicht habe abgebucht werden können. „Das Konto existiert ja auch seit 2018 nicht mehr“, so seine Erklärung gegenüber der vz NRW. Er habe zwar ein „PayPal“-Account, aber seine alte IBAN daraus längst gelöscht.

Dieser Verbraucher habe dann herausgefunden, dass irgendjemand offensichtlich diese alte IBAN beim Online-Shopping über die Funktion „Zahlen ohne PayPal-Konto“ eingegeben habe. Wie die unbekannte Person an diese Daten gekommen sei, wisse er nicht. Bei dieser Methode, auch „Gast-Konto“ oder „Gastzahlung“ genannt, erlaube „PayPal“ das Bezahlen per Lastschrift, ohne dass ein „PayPal“-Konto angelegt werde. „,PayPal’ hat dabei die Rolle eines Zahlungsabwicklers, der dafür zuständig ist, dass die per Lastschrift oder Kreditkarte geleistete Zahlung des Käufers dem ,PayPal’-Konto des Händlers gutgeschrieben wird“, so eine „Paypal“-Sprecherin auf Anfrage der vz NRW.

Auf die Frage „Wird dabei geprüft, ob die angegebene IBAN auch der Person gehört, die gerade die Bestellung tätigt?“ habe „PayPal“ nur allgemein geantwortet: „,PayPal’ führt im Rahmen der Maßnahmen zu Risikomanagement und Betrugsprävention Sicherheitsprüfungen bei der Abwicklung von Zahlungen durch.“

vz NRW gibt generelle Tipps für Verbraucher – „PayPal“ nur ein Beispiel

Wie sich Verbraucher laut vz NRW schützen könnten und was Betroffene tun sollten:

Forderung des Unternehmens widersprechen!
Wer eine unberechtigte Forderung von einem Zahlungsdienstleister oder Online-Shop erhält, sollte nicht einfach zahlen, aber auch nicht untätig bleiben. Betroffene sollten gegenüber dem Unternehmen schriftlich widersprechen, zum Beispiel mithilfe des Musterbriefs der Verbraucherzentrale NRW. Wer bei einer solchen Forderung mit Mahnungen und Schreiben von Inkassobüros oder Rechtsanwälten überhäuft wird, sollte sich auf keinen Fall einschüchtern lassen. Ernst zu nehmen sei vor allem der „echte“, das heißt gerichtliche Mahnbescheid. Dies sei ein amtliches Formular und komme ausschließlich per Postzustellung von einem Gericht. Zu jedem echten gerichtlichen Mahnbescheid werde auch ein Widerspruchsformular mitgeschickt. „Mit diesem Formular können Betroffene innerhalb der 14-tägigen Widerspruchsfrist der Geldforderung widersprechen. Ein echter Mahnbescheid kommt aber nach den Erfahrungen der Verbraucherzentrale NRW nur sehr selten.“ Sollte dies doch geschehen, könnten Betroffene sich an eine örtliche Verbraucherzentrale wenden.

Rückbuchung bei der Bank beantragen!
Jede Abbuchung auf ihrem Konto könnten Verbraucher acht Wochen lang rückgängig machen. „Handelt es sich um eine unberechtigte Abbuchung ohne Einzugsermächtigung, gilt sogar eine Frist von 13 Monaten.“ Die Rückbuchung könne häufig im Online-Banking oder direkt in der Filiale oder per Telefon beantragt werden.

Anzeige erstatten!
Betroffene sollten den Betrug und den Missbrauch ihrer Daten bei der Polizei zur Anzeige bringen. „Falls sie Inkassoforderungen erhalten, können sie diese mit Vorlage der Anzeige bestreiten.“

Vorsichtig mit Kontodaten umgehen!
Grundsätzlich sollten Verbraucher sensible Daten wie die IBAN so selten wie möglich angeben und schon gar nicht irgendwo öffentlich lesbar hinterlassen. „Wenn Daten durch Hacker-Angriffe oder Datenlecks gestohlen werden oder durch erfolgreiches Phishing in fremde Hände gelangen, bleiben nur die oben genannten Empfehlungen.“

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 16.12.2024
Wie Kriminelle das „Bezahlen ohne PayPal-Konto“ missbrauchen / Mit dem Begriff „Gastkonto-Masche“ wird im Internet über einen Betrug via PayPal diskutiert, bei dem Kriminelle fremde IBAN für Einkäufe missbrauchen. Schutz für Betroffene gibt es kaum.

verbraucherzentrale Nordrhein-Westfalen, 05.12.2024
Abzocke online: Rechnung bekommen, aber nichts bestellt – was tun? / Wer eine unberechtigte Forderung eines Onlineshops erhält, sollte nicht einfach zahlen – aber auch nicht untätig bleiben.