„Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

[datensicherheit.de, 20.11.2024] Laut einer Meldung des eco – Verband der Internetwirtschaft e.V. vom 20. November 2024 wurde der „Cyber Resilience Act“ (CRA / EU-Verordnung 2024/2847) an diesem Tag offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen habe. Der CRA lege horizontale Cyber-Sicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen

CRA erste europäische Verordnung, welche Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlegt

Prof. Dr. Norbert Pohlmann, eco-Vorstand für „IT-Sicherheit“, kommentiert: „Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybe-Ssicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen.“ Dies sei nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.

Damit sei der „Cyber Resilience Act“ die erste europäische Verordnung, welche ein Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlege, „die auf dem EU-Markt in den Verkehr gebracht werden“. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cyber-Sicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

eco: CRA-Umsetzung sollte Handhabbarkeit der Regelungen in der Praxis sicherstellen und unnötige Bürokratie vermeiden

„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, unterstreicht Professor Pohlmann. Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen:

„Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.“ Insgesamt sei der CRA indes ein wichtiger Meilenstein für die Stärkung der Cyber-Sicherheit in Europa. Der eco-Verband werde sich aktiv dafür einsetzen, „dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, so Professor Pohlmann abschließend.

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht, 20.11.2024
Dokument 32024R2847 / Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR)

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

Aktueller Bericht thematisiert globale Trends und Techniken des Identitätsbetrugs, welche Unternehmen im Jahr 2025 bedrohen werden

[datensicherheit.de, 20.11.2024] Der „2025 Identity Fraud Report“ von Entrust und Onfido dokumentiert nach eigenen Angaben die Erkenntnisse aus einer Untersuchung der Rolle sogenannter Künstlicher Intelligenz (KI) bei der offensichtlichen Zunahme von Cyber-Angriffen – eine gemeinsame Lösung verhinderte demnach weltweit in einem Jahr Betrug in Höhe von schätzungsweise 5,5 Milliarden US-Dollar. Der „2025 Identity Fraud Report“ sei globalen Trends und Techniken des Identitätsbetrugs, „die Unternehmen im Jahr 2025 bedrohen werden“, gewidmet. Mit der Onfido-Lösung zur digitalen Identitätsüberprüfung verarbeite Entrust jedes Jahr Millionen von Verifizierungen in 195 Ländern. Der vorliegende Bericht gebe Einblicke in den Stand des Identitätsbetrugs im vergangenen Jahr, „basierend auf der Analyse von Daten, die zwischen dem 1. September 2023 und dem 31. August 2024 erhoben wurden“. Die Daten seien nach Kunden- und Branchenverteilung normalisiert worden.

Abbildung: Entrust Cybersecurity Institute

„2025 Identity Fraud Report“ behandelt globale Trends und Techniken des Identitätsbetrugs, welche Unternehmen im Jahr 2025 bedrohen werden

„2025 Identity Fraud Report“ belegt, dass KI-gestützte Betrugsversuche immer häufiger und zunehmend raffinierter werden

Das Entrust Cybersecurity Institute hat nach eigenen Angaben kürzlich die Ergebnisse seines „2025 Identity Fraud Report“ veröffentlicht. Diese weltweite Untersuchung belege, dass KI-gestützte Betrugsversuche immer häufiger und zunehmend raffinierter würden: Cyber-Kriminelle passten ihre Techniken immer weiter an, um existierende Abwehrmechanismen zu umgehen. Im Jahr 2024 habe bisher alle fünf Minuten ein Deepfake-Angriff stattgefunden – und die Fälschungen digitaler Dokumente hätten im Vergleich zum Vorjahreszeitraum um 244 Prozent zugenommen.

„Die digitale Identitätsüberprüfung ist ein wichtiger Bestandteil eines jeden Onboarding-Prozesses und für die Verhinderung von Betrug und Finanzkriminalität unerlässlich. Diese erste Interaktion ist für Unternehmen entscheidend, um vom ersten Moment an Vertrauen in die Identität einer Person aufzubauen.“ Lösungen von Entrust und Onfido verarbeiteten Millionen Verifizierungen jährlich. Im nunmehr sechsten Jahr könne ihr „Identity Fraud Report“ daher valide Einblicke in den aktuellen Stand bei Onboarding-Betrugsversuchen geben und dabei helfen, die sich schnell entwickelnde Betrugslandschaft von heute zu verstehen.

Der Bericht identifiziere die Manipulation digitaler Dokumente und Deepfakes als die größten – und weiter zunehmenden – Bedrohungen für das Jahr 2025. Insgesamt seien Betrugsversuche beim Onboarding in der EMEA-Region im letzten Jahr um neun Prozent gestiegen: Von 3,1 Prozent im Jahr 2023 auf 3,4 Prozent im Jahr 2024. Diese Rate bleibe jedoch niedriger als in der APAC-Region (6,8%) und Amerika (6,2%), was möglicherweise auf die strengen KYC- und Onboarding-Anforderungen in Europa zurückzuführen sei.

Zu den wichtigsten Ergebnissen des „2025 Identity Fraud Report“ gehören laut Entrust:

Digital vor physisch: Eine neue Ära des Dokumentenbetrugs bricht an

• Im Jahr 2024 habe es erstmals mehr digitale Dokumentenfälschungen als physische Reproduktionen gegeben: 57 Prozent aller Dokumentenfälschungen seien veränderte digitale Originale gewesen. „Dies bedeutet einen Anstieg um 244 Prozent gegenüber 2023 und ein schwindelerregendes Wachstum um 1.600 Prozent seit 2021 – vor drei Jahren waren fast alle betrügerischen Dokumente noch physische Nachahmungen.“
• Mit der Zunahme von KI-gestützten Techniken seien Kriminelle nun in der Lage, raffiniertere Betrugsversuche zu initiieren. Zu den am häufigsten gefälschten Dokumenten gehöre mit zehn Prozent auch der französische Reisepass – neben ID-Karten aus Indien (27%), Pakistan (18%) und Bangladesh (15%).
• Für all diese Dokumente existierten Vorlagen im Internet, die eine digitale Manipulation erleichterten. Betrüger nutzten „As-a-Service“-Plattformen für Phishing, Betrug und Ransomware, welche den Austausch von „Best Practices“ und den Einsatz Generativer KI-Tools (GenAI) erleichterten, um ausgeklügelte digitale Fälschungs- und Injektionsangriffe zu entwickeln.

Einfache Betrugstaktiken weichen ausgefeilten, hyper-realistischen Deepfakes

• Der Bericht identifiziere KI-gestützte Deepfakes als einen Bereich, welcher für globale Organisationen besonders besorgniserregend sei. Denn einfache Betrugstaktiken, wie relativ leicht erkennbare Phishing-Versuche, wichen derzeit hyperrealistischen KI-generierten Deepfakes und synthetischen Identitäten.
• Die Zunahme von „Face-Swap“-Apps und GenAI-Tools ermögliche es Betrügern, immer glaubwürdigere biometrische Betrugsangriffe durchzuführen und zu skalieren.
• Kriminelle Anwendungen seien weit verbreitet und umfassten betrügerische Kontoeröffnungen, Kontoübernahmen, Phishingversuche und Fehlinformationskampagnen. So sei bisher im Jahr 2024 alle fünf Minuten ein Deepfake-Angriff durchgeführt worden.

Finanzdienstleistungen werden zum Hauptziel für Kriminelle

• Weltweit seien die drei wichtigsten Zielbranchen im Jahr 2024 alle mit Finanzdienstleistungen verbunden gewesen – wobei „Krypto-Währungen“ fast doppelt so viele Betrugsversuche wie jede andere Branche hätten verzeichnen müssen (9,5%), gefolgt von Krediten und Hypotheken (5,4%) und traditionellen Banken (5,3%).
• Im Vergleich zum Vorjahr sei die Betrugsrate bei Krypto-Plattformen um 50 Prozent gestiegen – im Jahr 2023 seien es noch 6,4 Prozent gewesen. Vermutlich hänge die besondere Attraktivität für Betrüger damit zusammen, dass „Krypto“ im Jahr 2024 ein Allzeithoch erreicht habe.
• Gefälschte Onboarding-Versuche bei traditionellen Banken seien im Vergleich zum Vorjahr um 13 Prozent gestiegen. Die hohen Inflationsraten hätten zu vermehrtem Kredit- und Hypothekenbetrug geführt.

„2025 Identity Fraud Report“ unterstreicht alarmierenden Trend und zeigt, wie schnell Betrüger ihre Techniken weiterentwickeln

„Derzeit vollzieht sich ein drastischer Wandel in der globalen Betrugslandschaft, gekennzeichnet durch einen signifikanten Anstieg raffinierter, KI-gestützter Angriffe. Unternehmen müssen diese Anzeichen sehr ernst nehmen“, betont Simon Horswell, „Senior Fraud Specialist“ bei Entrust.

Er führt hierzu aus: „Die diesjährigen Daten unterstreichen einen alarmierenden Trend und zeigen, wie schnell Betrüger ihre Techniken weiterentwickeln. Die Bedrohungen sind allgegenwärtig und berühren alle Bereiche von Unternehmen, Behörden und Privatpersonen gleichermaßen!“

Um Betrügern zuvorzukommen, so Horswells abschließender Tipp, sollten Sicherheitsteams ihre Strategien proaktiv anpassen, der Überwachung dieser neuen Bedrohungen Priorität einräumen und ihre Organisationen auf die neue Realität vorbereiten: „Das sind keine optionalen Maßnahmen mehr, sondern zwingend erforderliche!“

Weitere Informationen zum Thema:

ENTRUST
2025 Identity Fraud Report / Stay ahead of sophisticated fraud

Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

[datensicherheit.de, 19.11.2024] Die NIS-2-Richtlinie soll in Deutschland nun voraussichtlich ab dem Frühjahr 2025 im nationalen Recht verankert sein – sie zielt darauf ab, ein höheres Sicherheitsniveau in der EU zu etablieren und Unternehmen in wichtigen Infrastrukturbereichen besser vor Cyber-Angriffen zu schützen. Studien zufolge sei jedoch nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf diese Richtlinie vorbereitet. Simona Foldesova, „Product Manager GP HSM“ von Utimaco, geht in ihrer aktuellen Stellungnahme auf die wesentlichen Anforderungen von NIS-2 sowie ihre Auswirkungen auf Unternehmen ein und erörtert, wie IT-Security-Partner dabei unterstützen könnten, die Herausforderungen zu bewältigen und Chancen der NIS-2-Richtlinie erfolgreich zu nutzen.

Foto: Utimaco

Simona Foldesova rät Unternehmen angesichts der NIS-2-Richtlinie u.a.zum Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen

Zentrale Anforderungen und Neuerungen der NIS-2-Richtlinie

Die NIS-2-Richtlinie bringe einige weitreichende Neuerungen mit sich, welche über die bisherigen Vorgaben hinausgingen:

Erweiterte Pflicht zur Cyber-Sicherheits-Governance
Unternehmen müssten ein Cyber-Sicherheits-Management etablieren, welches auf alle Ebenen der Organisation ausgerichtet sei. Dies umfasse sowohl die Führungsebene als auch die Einbindung operativer Mitarbeiter.

Erhöhte Transparenz und erweiterte Berichterstattung
Die NIS-2-Richtlinie verpflichte Unternehmen, schwerwiegende Sicherheitsvorfälle umgehend zu melden. Eine rasche Kommunikation solcher Vorfälle an die zuständigen Behörden sowie betroffene Partner solle die Transparenz erhöhen und Reaktionen beschleunigen.

Risiko- und Vorfallsbewertung
Eine proaktive Risikobewertung sowie regelmäßige Analysen potenzieller Bedrohungen seien essenziell. Dazu gehöre die Erstellung eines Notfallplans, um auf sicherheitsrelevante Zwischenfälle schnell und effektiv reagieren zu können.

Absicherung der Lieferkette
Ein wesentlicher Schwerpunkt der NIS-2-Richtlinie liege auf der Sicherheit in der Lieferkette. Unternehmen müssten sicherstellen, „dass auch Partner und Dienstleister die geforderten Sicherheitsstandards erfüllen“. Dazu gehöre die Überprüfung externer Partner sowie die Implementierung klarer Kontrollmechanismen.

Höhere Anforderungen an technische Sicherheitsmaßnahmen
Die technische Sicherheit von Netzwerken und Systemen sei ein zentrales Thema der NIS-2-Richtlinie. Organisationen müssten Maßnahmen wie die Verschlüsselung sensibler Daten und Zugangskontrollen implementieren, um Cyber-Angriffe zu verhindern.

Bußgelder bei Nichteinhaltung
Verstöße gegen die Vorgaben der NIS-2-Richtlinie würden mit hohen Geldbußen sanktioniert. „Diese Maßnahme soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und die notwendigen Schritte zur Risikominimierung unternehmen.“

NIS-2 hat erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur

NIS-2 habe damit erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur (KRITIS). Dazu zählten beispielsweise Versorgungsunternehmen, Krankenhäuser, Finanzdienstleister und IT-Unternehmen. „Diese Firmen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen umfassend zu überprüfen und an die neuen Standards anzupassen. Das bedeutet oft erhebliche Investitionen in Sicherheitslösungen, neue Prozesse und Mitarbeiterfortbildungen.“

Unternehmen müssten die NIS-2-Compliance priorisieren, da sie sonst rechtliche und finanzielle Risiken eingingen. Der Aufwand für die Umsetzung könne insbesondere für kleinere Unternehmen eine Herausforderung darstellen. Dennoch biete die Einhaltung der NIS2-Richtlinie auch Chancen: „Unternehmen, die frühzeitig auf eine starke Cyber-Sicherheitsstrategie setzen, gewinnen nicht nur an Vertrauen bei Kunden und Partnern, sondern können auch effizienter und widerstandsfähiger gegenüber Angriffen werden.“

Zusammenarbeit entscheidend zur Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie

Spezialisierte Software-Anbieter unterstützten Unternehmen bei der Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie mit verschiedenen Produkten und Dienstleistungen – auch „as a Service“. Zu diesen schnell einsetzbaren Lösungen gehörten beispielsweise Datenverschlüsselung und Schlüsselmanagement. Moderne Verschlüsselungstechniken sorgten dafür, dass sensible Daten im Fall eines Lecks geschützt blieben. Solche Lösungen ermöglichten zudem die sichere Verwaltung kryptographischer Schlüssel, was für die Integrität der Daten entscheidend sei.

Verifizierung und Authentifizierung spielten im KRITIS-Bereich eine besondere Rolle. Moderne Sicherheitsprodukte sollten daher robuste Authentifizierungsmechanismen bieten, um unbefugten Zugriff auf Systeme zu verhindern. „Diese Maßnahmen sind ein wichtiger Teil der NIS-2-Anforderungen.“ Hinzu kämen regelmäßige Sicherheitsanalysen und Monitoring. Unternehmen sollten Monitoring-Tools einsetzen, „die kontinuierlich potenzielle Sicherheitsbedrohungen erkennen und sofortige Gegenmaßnahmen ermöglichen“. Regelmäßige Prüfungen und Berichte könnten IT-Sicherheitsteams helfen, auf dem neuesten Stand der Cyber-Abwehr zu bleiben. Nicht zuletzt müssten Unternehmen auch für die Sicherheit entlang der Lieferkette Rechnung tragen. Daher sollten sie darauf achten, mit zertifizierten, ebenfalls nach EU-Recht regulierten Partnern zu kooperieren.

NIS-2-Richtlinie große Herausforderung und zugleich Chance für Unternehmen

Die NIS-2-Richtlinie stelle eine große Herausforderung dar, biete jedoch zugleich eine Chance für Unternehmen, ihre Cyber-Sicherheitsstrategie zu verbessern und sich gegen zukünftige Bedrohungen abzusichern. Foldesova unterstreicht: „Die Etablierung eines umfassenden Sicherheitsmanagements, das nicht nur die eigenen Systeme, sondern auch die gesamte Lieferkette absichert, stärkt die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und verbessert das Vertrauen von Kunden und Partnern.“

Durch den Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen (von Cybersecurity-Unternehmen wie z.B. Utimaco) sowie die Unterstützung durch deren Compliance-Experten könnten Unternehmen die Anforderungen der NIS-2-Richtlinie effektiv und effizient erfüllen.

Weitere Informationen zum Thema:

heise online, Dr. Oliver Diedrich, 26.09.2024
NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet / Lediglich ein Drittel der betroffenen rund 30.000 Unternehmen in Deutschland ist bereits gut auf das Inkrafttreten der NIS2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024]
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

Unternehmen sind mit neuen Formen digitalen Betrugs konfrontiert, denn technologischer Fortschritt bietet ihnen selbst, aber eben auch Hackern neue Möglichkeiten

[datensicherheit.de, 19.11.2024] Die Check Point® Software Technologies Ltd. Nimmt die „International Fraud Awareness Week“ zum Anlass, in einer aktuellen Stellungnahme auf neue Formen digitalen Betrugs einzugehen, mit denen Unternehmen konfrontiert sind, denn der technologische Fortschritt hat offensichtlich sowohl Unternehmen als auch Hackern neue Möglichkeiten eröffnet: „Von Cyber-Hochstapelei und internem Betrug bis hin zu immer raffinierteren Verbrechen, wie CEO-Vortäuschung und KI-gesteuerten Attacken.“

Foto: Check Point Software

Marco Eggerling: Da Cyber-Betrug immer raffinierter wird, muss sich unsere Verteidigung entsprechend entwickeln!

Digitaler Schub für Wirtschaftsbetrug

Ursprünglich habe sich digitaler Betrug auf einfache Phishing-E-Mails beschränkt, „bei denen die Betrüger ihre Opfer mit einer auf Angst basierenden Taktik zur Preisgabe sensibler Daten veranlassten“. Im Laufe der Zeit seien diese Angriffe ausgeklügelter geworden und nutzten Maschinelles Lernen (ML) sowie Künstliche Intelligenz (KI), um Social-Engineering-Taktiken zu verfeinern, Angriffe zu personalisieren und die Erfolgsquote zu erhöhen.

Check Point wirft einen Blick auf die verschiedenen, indes typischen Betrugsarten:

Cyber-Betrug
Phishing, Malware und Ransomware seien nach wie vor weit verbreitet. Cyber-Kriminelle hätten es auf sensible Daten abgesehen und störten den Geschäftsbetrieb.
„Dies macht deutlich, wie wichtig robuste IT-Sicherheitsmaßnahmen sind, um unbefugten Zugriff zu erkennen und zu verhindern!“

Interner Betrug
Interne Betrügereien stellten eine erhebliche Bedrohung dar und umfassten kriminelle Handlungen von Mitarbeitern, einschließlich Dokumentenfälschung, Unterschlagung und Diebstahl.
„Diese Art von Insider-Betrug verdeutlicht die Notwendigkeit strenger interner Kontrollen und Überwachung, um Anomalien frühzeitig zu erkennen!“

Betrug mit Rechnungen
Betrüger schickten gefälschte Rechnungen an Unternehmen – in der Hoffnung auf eine ungeprüfte Bearbeitung und Begleichung.
„Diese Form des Betrugs kann Gelder verschlingen, wenn Unternehmen keine angemessenen Prüfungsprozesse besitzen!“

CEO-Betrug
Oft als Business-E-Mail Compromise (BEC) bezeichnet, geben sich Betrüger demnach als hochrangige Führungskräfte aus, um Mitarbeiter zur Überweisung von Geldern oder zur Weitergabe sensibler Informationen zu bewegen.
„Diese Taktik ist durch den Einsatz von Generativer KI, die eine realistische Nachahmung des Kommunikationsstils von Führungskräften ermöglicht, einfacher geworden!“

Betrug bei der Gehaltsabrechnung
Wenn Mitarbeiter Gehaltsabrechnungssysteme zum eigenen Vorteil manipulierten, könne dies zu unerwarteten finanziellen Verlusten führen.
„Diese Art von Betrug erfordert oft eine strenge Überwachung der Gehaltsabrechnungen und regelmäßige Audits!“

Betrug oft von Kombination aus technischem Fortschritt und menschlichem Versagen begünstigt

Ein bemerkenswertes Beispiel sei der Wechsel von allgemeiner Ransomware zu gezielten Angriffen. „Bei herkömmlichen Ransomware-Angriffen verschlüsselten die Hacker die Daten und verlangten eine Zahlung, oft ohne große Strategie oder Präzision. Nun verwenden Ransomware-Betreiber ausgefeilte Erkundungsmethoden und infiltrieren Systeme über längere Zeiträume, um sensible Daten zu stehlen und diese in Doppelter Erpressung gegen Einzelpersonen oder Unternehmen einzusetzen.“ Dieser erhöhte Grad an Personalisierung mache es schwieriger, sie zu entdecken, und sei oft verheerender.

Diese Betrugsarten, welche oft von einer Kombination aus technischem Fortschritt und menschlichem Versagen begünstigt würden, hätten unbestreitbare Auswirkungen auf Unternehmen. Das National Insurance Crime Bureau (NICB) weist laut Check Point darauf hin, dass Betrug jährlich Verluste in Milliardenhöhe verursache, von denen Einzelpersonen, Unternehmen und Branchen gleichermaßen betroffen seien. Laut dem Bericht „Occupational Fraud 2024“ der Association of Certified Fraud Examiners verlören Unternehmen etwa fünf Prozent ihres Jahresumsatzes durch Betrug, wobei der durchschnittliche Verlust pro Vorfall mehr als 1,5 Millionen US-Dollar betrage.

Folgen von Betrug: Mehr als finanzielle Verluste

Nach Angaben der US Federal Trade Commission hätten Verbraucher angegeben, im Jahr 2023 rund zehn Milliarden US-Dollar durch Betrug verloren zu haben, was einem Anstieg von 14 Prozent gegenüber 2022 entspreche. Online-Shopping-Betrug sei die am zweithäufigsten gemeldete Form von Betrug gewesen. Die Auswirkungen von Betrug gingen aber über direkte finanzielle Verluste hinaus – sie umfassten auch Ermittlungskosten, Anwaltskosten, behördliche Strafen, Rufschädigung und erhöhte Versicherungsprämien. Zum Beispiel:

Ermittlungen und Wiederherstellung
Die Aufdeckung von Betrugsfällen erfordere gründliche Untersuchungen und manchmal sogar die Einschaltung der Strafverfolgungsbehörden, was zeitaufwändig sei und Kosten verursache.

Gerichtskosten und Bußgelder
Schwerer Betrug könne zu Gerichtsverfahren führen, insbesondere wenn es zu Datenschutzverletzungen komme, welche hohe Geldbußen nach sich zögen. Allein im Jahr 2023 hätten die Aufsichtsbehörden Bußen in Millionenhöhe wegen ungeschützter sensibler Daten verhängt.

Schädigung des Rufs
Die langfristigen Auswirkungen auf das Kundenvertrauen und den Ruf der Marke könnten zu Umsatzeinbußen und sinkender Kundenbindung führen.

Leichte Zugänglichkeit von KI-Werkzeugen erleichtert Betrug

Check Point erörtert, warum der Betrug in diesem Tempo zugenommen hat: „Zu den Faktoren gehören die rasche Einführung digitaler Transaktionen, die verstärkte Nutzung des Online-Bankings und die Zunahme der Fernarbeit.“ Jeder dieser Faktoren eröffne Betrügern neue Möglichkeiten, welche sie ausnutzen könnten. Ein weiterer Faktor sei die leichte Zugänglichkeit von Werkzeugen, welche den Betrug erleichterten, wie KI-Programme, die realistische Fälschungen erstellten, so dass es für Einzelpersonen und Unternehmen immer schwieriger werde, Echtes von Falschem zu unterscheiden.

Die Rolle Generativer KI sei ein „zweischneidiges Schwert in der Betrugsprävention und -vermeidung“: Diese habe beide Seiten der „Betrugsgleichung“ verändert – auf der einen Seite biete KI unschätzbare Werkzeuge für die Betrugserkennung und -prävention, „indem sie große Datenmengen verarbeitet, um ungewöhnliche Muster oder Verhaltensweisen zu erkennen, die auf Betrug hindeuten könnten“. Auf der anderen Seite hätten auch Betrüger damit begonnen, Generative KI zu missbrauchen, um noch raffiniertere Betrugsversuche durchzuführen. Sogenannte Deepfakes ermöglichten es Kriminellen, realistische Audio-, Video- oder Textnachahmungen von Führungskräften oder Personen des öffentlichen Lebens zu erstellen. Diese Technologie habe bereits Betrügereien mit „CEOs“ ermöglicht, bei denen Imitatoren KI-generierte Inhalte verwendeten, um Mitarbeiter zu täuschen.

Betrugsprävention und umfassende Cyber-Sicherheit

Während sich die Betrugslandschaft weiterentwickelt habe, hätten sich auch die Instrumente und Verfahren zur Betrugsbekämpfung verbessert:

Umfassende E-Mail-Sicherheit
Da Phishing nach wie vor eine der Hauptursachen für Betrug sei, bleibe „ein fortschrittliches E-Mail-Sicherheitssystem, das mithilfe von KI verdächtige Nachrichten erkennt und blockiert, von entscheidender Bedeutung“.

Multi-Faktor-Authentifizierung (MFA)
MFA biete eine zusätzliche Sicherheitsebene, welche es Betrügern erheblich erschwere, sich unbefugt Zugang zu sensiblen Daten zu verschaffen.

Kontinuierliche Mitarbeiterschulung
Die Mitarbeiter seien oft die erste Verteidigungslinie. Mitarbeiter zu den neuesten Betrugstaktiken wie KI-gesteuertem „Social Engineering“ zu schulen, helfe dabei, diese Angriffe zu erkennen.

Regelmäßige Sicherheitsprüfungen
Die regelmäßige Durchführung von Sicherheitsbewertungen ermögliche es Unternehmen, „Schwachstellen zu erkennen und zu beheben, bevor sie ausgenutzt werden können“.

Benutzerfreundliche Sicherheit
„Tools“, welche die Sicherheitsverwaltung vereinfachten, ermöglichten es Unternehmen, Bedrohungen auch ohne umfangreiche technische Schulungen wirksam zu überwachen und umgehend zu reagieren, was die Zugänglichkeit und Skalierbarkeit gewährleiste.

KI kann Reichweite und Auswirkungen von Betrug vergrößern – Marco Eggerlings Fazit:

„Da Cyber-Betrug immer raffinierter wird, muss sich unsere Verteidigung entsprechend entwickeln. KI vergrößert Reichweite und Auswirkungen von Betrug, also müssen Unternehmen ebenso dynamische Sicherheitsstrategien einführen, die KI-gestützte Lösungen nutzt, um Angreifer zu übertreffen und zu überlisten“, kommentiert Marco Eggerling, „Global CISO“ bei Check Point Software Technologies.

Eggerling gibt abschließend zu bedenken: „Der Aufbau einer widerstandsfähigen Cyber-Abwehr verhindert nicht nur Betrug, sondern fördert auch ein sichereres, vertrauenswürdigeres Umfeld für alle!“

Weitere Informationen zum Thema:

ACFE Association of Certified Fraud Examiners, 20.03.2024
ACFE Report to the Nations: Organizations Lost an Average of More Than $1.5M Per Fraud Case

Datenbank enthielt nach Erkenntnissen von G DATA u.a. persönliche Informationen über Empfänger von Sozialleistungen

[datensicherheit.de, 18.11.2024] Die G DATA CyberDefense AG hat laut einer eigenen Meldung vom 14. November 2024 Sicherheitslücken der in Geschäftssoftware „TOPqw Webportal“ entdeckt und erläutert, dass diese Schwachstellen ggf. Zugang zu persönlichen Informationen ermöglicht hätten. Das betroffene Kieler Softwarehaus, baltic IT, habe nach Tests der „G DATA Advanced Analytics“ diese insgesamt fünf Sicherheitslücken stopfen müssen – eine davon habe als „kritisch“ gegolten.

Foto: G DATA

Tim Berghoff („Security Evangelist“ bei G DATA CyberDefense): Potenzielle Angreifer hätten auf triviale Art und Weise den kompletten Inhalt von Datenbanken einsehen können…

IT-Security-Fachleute der „G DATA Advanced Analytics“ unternahmen Penetrationstest

Die Software sei in insgesamt zwölf Bundesländern im Einsatz – unter anderem in kommunalen Betrieben, Gemeinden und Stadtverwaltungen. IT-Security-Fachleute der „G DATA Advanced Analytics“ hätten bei einem Penetrationstest der Webanwendung „TOPqw Webportal“ des Kieler Softwareherstellers baltic IT mehrere Schwachstellen identifizieren können.

Dabei sei aufgefallen, dass potenzielle Angreifer auf triviale Art und Weise den kompletten Inhalt von Datenbanken hätten einsehen können. Möglich gewesen sei dies durch eine sogenannte „SQL-Injection“. Unter anderem seien in der Datenbank Namen, E-Mail-Adressen und auch (gehashte) Passwörter lesbar gewesen. Für den Zugriff war demnach kein Passwort erforderlich.

G DATA sieht bereits prinzipielle Zugriffsmöglichkeit als schlimm genug an

„Die Sicherheitslücke erlaubte keine Ausführung von Code auf dem Datenbankserver“, erklärt Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense. Aber der Zugriff allein sei bereits schlimm genug gewesen – insbesondere vor dem Hintergrund, dass in der Datenbank persönliche Informationen über Empfänger von Sozialleistungen hinterlegt gewesen seien.

Eine Funktion, welche neue Benutzer in der Datenbank anlegen solle, sei ebenfalls über eine Sicherheitslücke mittels SQL-Injection angreifbar gewesen. Angreifer hätten mit Hilfe dieser Schwachstelle direkt auf die Datenbank zugreifen und eigenen SQL-Code einschleusen können. Dies hätte wiederum vollen Zugriff auf den gesamten Inhalt der Datenbank ermöglicht.

G DATA entdeckte u.a. nicht korrekt implementierte Zugriffskontrolle

Die dritte Schwachstelle war laut Berghoff eine nicht korrekt implementierte Zugriffskontrolle. „Nutzer, die nicht über entsprechende Freigaben verfügen, können auf administrative Komponenten der Web-Anwendung zugreifen, indem sie einfach die Adresse im Browser entsprechend anpassen.“ Dies erlaube es jedem angemeldeten Benutzer, andere Benutzerkonten einzusehen, sowie bestehende Konten zu löschen oder neue anzulegen. Damit wäre es bei einem Angriff beispielsweise möglich gewesen, sämtliche Benutzer auszusperren. Auch die Manipulation von Daten sei möglich gewesen. Über das Kalkulationsmodul der Anwendung hätten sich auch bösartige Dateien einschleusen lassen.

Zwei weitere Sicherheitslücken hätten es einem Angreifer erlaubt, eigenen „Javascript“-Code in die Webanwendung zu schleusen. Da die Plattform Dateinamen an einer Stelle nicht validiere und an einer anderen Stelle „Javascript“ als Protokoll zulasse, sei es möglich, auch bösartige Skripte im Kontext der Web-Anwendung laufen zu lassen.

Dienstleister baltic IT hat laut G DATA schnell reagiert

Glücklicherweise seien diese Schwachstellen im Rahmen des Penetrationstests aufgefallen und nicht erst durch eine böswillige Ausnutzung durch Kriminelle. baltic IT habe schnell reagiert und die kritische Sicherheitslücke in „TOPqw“ bereits nach zwei Tagen geschlossen.

Auch die übrigen Schwachstellen seien nach und nach behoben worden. Der Veröffentlichungsprozess sei den Regeln der „Responsible Disclosure“ gefolgt. „Seit dem 25. Juli 2024 sind alle fünf gemeldeten Sicherheitslücken geschlossen und die entsprechenden Updates an alle Produktionsumgebungen der ,TOPqw’-Kunden ausgerollt.“

Weitere Informationen zum Thema:

CYBER.WTF, Majid Lakhnati & Maximilian Hildebrand, 11.11.2024
Harvesting the Database – 5 CVEs in TOPqw Webportal

[datensicherheit.de, 18.11.2024] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH hat am 17. November 2024 Stellung zu einem aktuellen Hacker-Angriff auf den Stromanbieter Tibber genommen, bei dem Daten von über 50.000 deutschen Kunden offengelegt worden sein sollen. Die betreffenden Datensätze würden laut Medienberichten seit dem 11. November 2024 im sogenannten Darknet zum Verkauf angeboten. Unter anderem hätten Cyber-Kriminelle Namen, E-Mail-Adressen, Bestellbeträge und teilweise unvollständige Adressdaten der Tibber-Kunden entwendet. „Auch wenn das Unternehmen Tibber betont, dass keine Zahlungs- oder Verbrauchsdaten betroffen sind, hat der Vorfall erhebliche Unsicherheiten bei den Betroffenen ausgelöst.“ Die Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden nach eigenen Angaben rechtliche Unterstützung, um mögliche Ansprüche auf Schadensersatz prüfen zu lassen.

Tibber-Bestätigung: Betroffene Daten stammen aus dem Tibber-Shop

Die Kanzlei Dr. Stoll & Sauer fasst die bisherigen Erkenntnisse zusammen:

• Am 11. November 2024 seien gestohlene Datensätze im Darknet aufgetaucht. Tibber habe bestätigte, dass diese Daten aus dem Tibber-Shop stammten.
• Tibber habe in seinem Online-Shop Smart-Energy-Hardware verkauft, darunter den Strom-Tracker „Pulse“.
• Laut Tibber seien keine Zahlungs- oder Verbrauchsdaten, Passwörter oder vollständige Adressen entwendet worden.
• Die Hacker behaupteten, 243.000 Datenzeilen gestohlen zu haben. Tibber gehe hingegen von 50.000 betroffenen Kunden aus. Diese Diskrepanz könnte auf Mehrfachnennungen oder die Aufteilung von Daten in mehrere Zeilen zurückzuführen sein.
• Tibber habe den Vorfall bei der Berliner Polizei angezeigt und die betroffenen Kunden informiert. Interne und externe Experten sowie Behörden arbeiteten an der Aufklärung des Vorfalls und an Verbesserungsmaßnahmen.

Dr. Stoll & Sauer empfiehlt möglicherweise vom Tibber-Datenleck betroffenen Verbrauchern kostenlose Erstberatung via Datenleck-Online-Check

Die Chancen auf Schadensersatz seien enorm gestiegen: Der Bundesgerichtshof (BGH) habe sich am 11. November 2024 eindeutig verbraucherfreundlich zum „facebook“-Datenleck positioniert (Az.: VI ZR 10/24). Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die möglicherweise vom Tibber-Datenleck betroffen sind, eine kostenlose Erstberatung über den Datenleck-Online-Check.

Die Kanzlei prüfe dort die mögliche Betroffenheit und die rechtlichen Optionen zur Geltendmachung von Schadensersatzansprüchen. Die Kanzlei habe vor Landgerichten mehrfach Schadensersatzansprüche aufgrund des „facebook“-Datenlecks geltend gemacht. Weitere Informationen zum Thema „Datenleck“ seien auf der Website der Kanzlei zu finden (s.u.).

Behörden über Tibber-Datenleck informiert – Ermittlungen laufen

„Kaum ein Tag vergeht, ohne dass ein neues Datenleck bekannt wird. Nun reiht sich auch der Stromanbieter Tibber in die Liste der betroffenen Unternehmen ein.“ Tibber, bekannt für seine dynamischen Strompreise, biete „Ökostrom“ für Kunden in Nordeuropa und Deutschland an. Mit den an den Börsenpreis gekoppelten Stromtarifen sollten Haushalte durch „smarte“ Technik Geld sparen können.

Seit dem 11. November 2024 stehe in einem beliebten Darknet-Forum ein Datensatz mit dem Titel „Tibber Data Breach – Leaked, Download“ bereit. Einige Beispielzeilen enthalten demnach Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Tibber-Vorfall nicht auf die leichte Schulter nehmen – BGH erleichtert Durchsetzung von Schadensersatz

Betroffene eines Datenlecks sollten den Vorfall bei Tibber nicht auf die leichte Schulter nehmen: „Neben einer möglichen Spam-Welle könnten personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, Bankdaten und Passwörter im Darknet verkauft und für kriminelle Aktivitäten genutzt werden.“ Dies könne bis zum Identitätsdiebstahl führen, bei dem Kriminelle im Namen der Opfer Geschäfte tätigten.

Was dies für Tibber-Kunden bedeutet bzw. welche Rechte Verbraucher haben:

Auskunftsanspruch gemäß Art. 15 DSGVO
Nutzer könnten von Tibber verlangen, Auskunft darüber zu erhalten, ob sie vom Datenleck betroffen sind. Sollte Tibber keine oder eine unvollständige Auskunft erteilen, könne dies bereits einen Schadensersatzanspruch nach Art. 82 DSGVO begründen.

BGH stärkt Verbraucherrechte
Der BGH habe am 11. November 2024 klargestellt, dass der reine Kontrollverlust über personenbezogene Daten bereits einen Schaden nach der DSGVO darstelle. Dies erleichtere die Durchsetzung von Schadensersatzansprüchen erheblich.

Keine zusätzlichen Nachweise erforderlich
Nach der Rechtsprechung des BGH seien weitere Nachweise über Ängste oder Befürchtungen nicht zwingend erforderlich, auch wenn solche Nachweise den Schadensersatz erhöhen könnten.

Erleichterungen für Betroffene
Mit der erwarteten BGH-Entscheidung vom 18. November 2024 werde es Verbrauchern künftig noch einfacher gemacht, immateriellen Schadensersatz bei Datenschutzverletzungen geltend zu machen.

Präzedenzfall „facebook“-Datenleck
Dieses zeige exemplarisch, wie Kontrollverluste über personenbezogene Daten Schadensersatzansprüche nach der DSGVO auslösen könnten – eine Entwicklung, die auch für Tibber-Betroffene relevant sei.

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kostenlose Erstberatung direkt online abrufen

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Verbraucher haben bei Datenlecks Anspruch auf Schadensersatz / Massive Datenlecks im Internet – Wir verhelfen Ihnen zu Ihrem Recht

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH, 11.11.2024
Oberstes Gericht in erster Einschätzung auf Seiten der Facebook-User / Facebook-Datenleck: BGH stellt Ansprüche der Verbraucher auf Schadensersatz in Aussicht

heise online, Dr. Christopher Kunz, 13.11.2024
Stromanbieter Tibber gehackt, 50.000 deutsche Kunden betroffen / Tibber bestätigt, dass Hacker eingedrungen sind und Kundendaten an sich gebracht haben. Im Darknet werden diese nun verkauft.

[datensicherheit.de, 15.11.2024] Mit dem nun näherrückenden Jahresende 2024 steht offenbar auch wieder einmal eine Hochsaison für Online-Einkäufe an: Laut dem „Weihnachtsshopping Report 2024“ von eBay Advertising hätten bereits im letzten Jahr, 2023, 60 Prozent der Konsumenten geplant, ihre Weihnachtsgeschenke online zu kaufen. „Kein Wunder, dass die Hochzeit des Kaufens und Schenkens auch die Hochzeit des Online-Betrugs ist!“, warnt Proofpoint in einer aktuellen Stellungnahme und hält zugleich für Konsumenten folgende Tipps bereit, um sich vor dieser Art Betrug schützen zu können:

1. Proofpoint-Tipp: Nutzen Sie besonders sichere Passwörter!

„Lange Zeit vertraten IT-Sicherheitsexperten die Ansicht, es sei wichtig Passwörter regelmäßig zu ändern, z.B. alle drei Monate. Diese Empfehlung beruhte auf der Annahme, dass häufige Änderungen das Risiko eines unbefugten Zugriffs verringerten.“ Inzwischen sei klar geworden, dass es viel wichtiger sei, lange, komplexe und einzigartige Passwörter zu verwenden, als diese häufig zu ändern.

Indes: Es sei jedoch weiter wichtig, Passwörter in bestimmten Situationen zu ändern, „insbesondere nach Sicherheitsvorfällen oder bei Verdacht auf unbefugten Zugriff“. Es sollten keine Wörter Verwendung finden, welche im Wörterbuch stehen, und es wird empfohlen zu prüfen, ob das gewählte Passwort bereits kompromittiert wurde – einige „Tools“ böten hierzu Abgleichsmöglichkeiten mit Datenbanken gehackter Passwörter.

2. Proofpoint-Tipp: Nutzen Sie einen Passwortmanager!

Ein Passwortmanager ermögliche es den Nutzern, Sicherheit und Bequemlichkeit zu kombinieren. „Das ,Tool’ speichert und verschlüsselt alle Passwörter zentral, so dass Sie sich nur ein Masterpasswort merken müssen.“

Dies Option ermögliche die Verwendung von langen, komplexen und einzigartigen Passwörtern für jedes Konto. Zudem automatisiere ein Passwortmanager das Ausfüllen von Anmeldeformularen.

3. Proofpoint-Tipp: Hände weg vom offenen WLAN!

Es sei verführerisch, sich z.B. bei einem Café-Besuch eben in dessen offenes WLAN einzuloggen, ein wenig zu browsen und einzukaufen…

Cyber-Kriminelle könnten allerdings diese über ein ungeschütztes WLAN übertragenen Daten abfangen – einschließlich Kreditkartennummern, Passwörtern, Kontoinformationen etc.

4. Proofpoint-Tipp: Fallen Sie nicht auf nachgeahmte Websites oder E-Mail-Adressen herein!

Cyber-Kriminelle ahmten in ihren E-Mails und Websites häufig beliebte Marken nach. „Nachgebaute“ Websites könnten gefälschte oder nicht-existierende Waren verkaufen, mit Malware infiziert sein, Geld stehlen oder Zugangsdaten abgreifen.

E-Mails auf Basis gefälschter Identitäten könnten Kunden auf solche Websites leiten.

5. Proofpoint-Tipp: Vorsicht beim Klicken!

„Klicken Sie nicht auf Links in Online-Werbung, nicht auf Websites, in E-Mails oder Sozialen Medien!“

Sicherer sei es, die offizielle Web-Adresse des Händlers oder Herstellers direkt in den Browser einzugeben, um sicher zu gehen, auf der richtigen Seite zu landen.

6. Proofpoint-Tipp: Verifizieren Sie Händler und Hersteller!

Betrügerische Anzeigen, gefälschte Websites oder auch manipulierte mobile Anwendungen seien häufig schwer zu erkennen.

„Nehmen Sie sich Zeit, Online-Bewertungen und Kundenbeschwerden zu lesen, wenn Sie eine neue App herunterladen oder eine neue Website besuchen wollen!“

7. Proofpoint-Tipp: Aktivieren Sie Zwei-Faktor-Authentifizierung!

„Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Ihre Online-Konten, die Ihnen diese Möglichkeit bieten!“

Damit lasse sich für Nutzer eine zusätzliche Sicherheitsebene einbauen.

8. Proofpoint-Tipp: Halten Sie Ihre Software aktuell!

„Stellen Sie sicher, dass Ihr (mobiles) Betriebssystem, Browser und Antiviren-Programm auf dem neuesten Stand sind!“

Die Aktualität aller o.g. Systeme trägt dazu erkannte Sicherheitslücken zu schließen.

9. Proofpoint-Tipp: Vorsicht bei unglaublichen Angeboten!

Wenn ein Angebot zu gut klinge, um wahr zu sein, sei es das wahrscheinlich auch…

„Vergleichen Sie Preise und recherchieren Sie den Händler, bevor Sie kaufen!“

Weitere Informationen zum Thema:

ecommerce magazin, Stefan Girschner, 08.10.2024
Kaufverhalten Weihnachtsgeschenke: Das sind die beliebtesten Geschenke der Deutschen

datensicherheit.de, 26.11.2022
Gelegenheit für Diebe: Shopping via Firmen-Notebook oder Privat-Handy / Alex Hinchliffe gibt Tipps, damit Online-Shopping nicht von Hackern ruiniert wird

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 18.12.2020
Lockdown: Cyber-Kriminelle attackieren Weihnachts-Shopping / Der Einzelhandel leidet im Lockdown – Cyber-Kriminelle haben Hochkonjunktur

[datensicherheit.de, 15.11.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer aktuellen Stellungnahme Ergebnisse einer branchenweiten Schwerpunktprüfung im Forderungsmanagement gemeldet: „Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt.“ Diese Ordnungswidrigkeit hat der HmbBfDI demnach mit einem Bußgeld in Höhe von 900.000 Euro geahndet.

Der HmbBfDI hat marktstarke Unternehmen aus dem Forderungsmanagement geprüft

Aufgefallen sei dieser Verstoß, „weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte“. Hamburg sei in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner seien tendenziell besonders sensibel und würden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssten die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.

Unabhängig von individuellen Beschwerdefällen sei überprüft worden, wie die Daten der Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. „Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben.“ Darüber hinaus seien die Unternehmen aufgefordert worden, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich habe der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen aufgesucht.

Überwiegend konnte der HmbBfDI hohes Maß an Professionalität und Sensibilität konstatieren

„Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht.“ Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung hätten dabei im Vordergrund gestanden.

Im Falle eines Unternehmens indes habe das Team des HmbBfDI bei der Vor-Ort-Prüfung festgestellt, „dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren“. Bis Mitte November 2023 habe das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage gespeicher – und damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO verstoßen. „Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.“

Betroffenes Unternehmen hat Buße akzeptiert und professionell mit dem HmbBfDI kooperiert

Diese Ordnungswidrigkeit habe der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. „Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert.“ Es habe bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt worden sei. Bei einem weiteren der geprüften Unternehmen seien ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt worden – das entsprechende Verfahren dauere noch an.

„Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen“, so der HmbBfDI, Thomas Fuchs. Er unterstreicht abschließend: „Deshalb sollten Unternehmen – bereits bevor sie Daten erheben – eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 16.04.2024
Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt / Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit übergab den Report an die Bürgerschaftspräsidentin

43 Prozent der befragten deutschen Unternehmen besorgt wegen Cyber-Angriffen

[datensicherheit.de, 14.11.2024] „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend“ – zu diesem Schluss kam das Bundesamt für Sicherheit in der Informationstechnik (BSI) im neuen BSI-Lagebericht 2024. Zu ähnlichen Ergebnissen kommt nach eigenen Angaben eine Cyber-Sicherheitsstudie des Industrieversicherers QBE: Demnach wächst die Bedrohung durch Cyber-Attacken – 24,2 Prozent der deutschen Unternehmen seien in den vergangen zwölf Monaten von Cyber-Angriffen betroffen gewesen und 43 Prozent seien um ihre Fähigkeit besorgt, eine Cyber-Attacke abwehren zu können.

Foto: QBE

Thorsten Mairhofer: Neben rein technischen Cyber-Sicherheitsvorkehrungen ganzheitlich auch organisatorische und prozessuale Aspekte mitdenken!

Bedrohung durch Cyber-Angriffe substanziell

42,5 Prozent der deutschen Unternehmen seien „besorgt“ oder zumindest „eher besorgt“ über ihre Fähigkeit, potenzielle Cyber-Angriffe abzuwehren. Dies sei das Ergebnis einer Umfrage unter IT-Entscheidungsträgern, welche der Industrieversicherer QBE in Zusammenarbeit mit dem Meinungsforschungsinstitut Civey durchgeführt habe.

Lediglich 18,2 Prozent der Befragten hätten diesbezüglich keinerlei Sorge. Dabei scheine die Bedrohung durch Cyber-Angriffe substanziell zu sein: „Immerhin gaben mit 24,2 Prozent nahezu ein Viertel der Befragten an, im vergangenen Jahr von einem Cyber-Angriff betroffen gewesen zu sein.“

Fehlgeschlagene Software-Aktualisierung des Cyber-Sicherheit-Anbieters Crowdstrike als Warnschuss

Dass die Bedenken hinsichtlich IT-Risiken zunähmen, dürfte zudem auch mit jüngsten Ereignissen zusammenhängen. So habe erst im Juli 2024 eine fehlgeschlagene Software-Aktualisierung des Cyber-Sicherheit-Anbieters Crowdstrike Millionen von Computern mit Microsoft-Betriebssystem lahmgelegt. 27,9 Prozent der Befragten gäben an, die Cyber-Sicherheit ihres Unternehmens aufgrund dieses Vorfalls in den kommenden zwölf Monaten auszubauen.

„Der Crowdstrike-Vorfall zeigt, wie wichtig es für Unternehmen ist, neben rein technischen Sicherheitsvorkehrungen – etwa dem Schutz der IT-Infrastruktur – ganzheitlich auch organisatorische und prozessuale Aspekte mitzudenken“, unterstreicht Thorsten Mairhofer, „Underwriter Cyber“ bei QBE Deutschland. Insbesondere Unternehmen mit Schwächen im Bereich „Business Continuity Management“ hätten Aufgrund unzureichender Vorkehrungen Beeinträchtigungen ihres Geschäftsbetriebs hinnehmen müssen.

Neuer Cyber-Risikofaktor: Künstliche Intelligenz

Neuste Entwicklungen trügen noch zur Brisanz des Themas zu, so seien 53,4 Prozent der befragten IT-Verantwortlichen der Meinung, dass sich Künstliche Intelligenz (KI) negativ auf die Cyber-Sicherheit auswirke. Nur 11,4 Prozent gingen davon aus, dass KI einen positiven Beitrag – etwa bei der Abwehr potenzieller Cyber-Angriffe – leisten könne.

Für die vorliegende aktuelle Studie habe das Marktforschungsinstitut Civey unter 500 IT-Entscheidern im Zeitraum zwischen dem 20. September und dem 6. Oktober 2024 eine repräsentative Befragung durchgeführt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.11.2024
Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen / Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

datensicherheit.de, 26.07.2024
Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt / Am 19. Juli 2024 hatte ein Software-Update des Cybersecurity-Unternehmens CrowdStrike weltweit einen massiven IT-Ausfall ausgelöst

datensicherheit.de, 24.07.2024
Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall / Das Beheben des akuten „CrowdStrike“-Problems hat nur das Entfernen einer einzigen Datei erfordert – in der Praxis aber astronomischen Aufwand verursacht

Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

[datensicherheit.de, 14.11.2024] Die Anforderungen der kürzlich in Kraft getretenen NIS-2-Direktive zur Cyber-Sicherheit setzen aktuell offensichtlich viele Unternehmen unter Druck. Indes zeigen sich laut Erkenntnissen der G DATA CyberDefense AG drei von fünf Arbeitnehmern betroffener Unternehmen in Deutschland optimistisch: „Sie glauben, dass ihr Unternehmen alle Vorgaben bis Jahresende erfüllt. Das belegt die repräsentative Studie ,Cybersicherheit in Zahlen’ von der G DATA CyberDefense AG, Statista und ,brand eins’.“ Dieser Optimismus berge jedoch die Gefahr, dass der tatsächliche Aufwand für Maßnahmen unterschätzt werde. Die NIS-2-Richtlinie (Network and Information Security Directive) ist eine EU-weite Regelung zur Stärkung der Cyber-Sicherheit in Kritischen Infrastrukturen (KRITIS) und digital vernetzten Unternehmen. Seit dem 18. Oktober 2024 in nationales Recht überführt, verpflichtet sie betroffene Unternehmen zu strengen Sicherheitsstandards, verbessertem Risikomanagement, Meldepflichten und Betriebssicherheit.

Abbildung: G DATA CyberDefense AG

Drei von fünf Arbeitnehmern betroffener Unternehmen in Deutschland geben sich optimistisch, dass ihr Unternehmen alle NIS-2-Vorgaben bis Jahresende 2024 erfüllt…

NIS-2-Umsetzung in nationales Recht lässt Interpretationsspielraum

„NIS-2 bedeutet für viele Unternehmen erweiterte Meldepflichten für Sicherheitsvorfälle, strenge Risikomanagement-Anforderungen und detaillierte Vorgaben für technische Sicherheitsmaßnahmen.“ Doch Vieles sei noch unklar, da die Umsetzung in nationales Recht Interpretationsspielraum und Firmen über konkrete Anforderungen und Maßnahmen im Ungewissen lasse.

Laut der repräsentativen Studie „Cybersicherheit in Zahlen“ seien dennoch zwei Drittel der Mitarbeiter zuversichtlich, dass ihr Arbeitgeber die Kriterien der NIS-2-Richtlinie bis Ende des Jahres umsetzen könne. Diese optimistische Prognose stehe in starkem Kontrast zur teils unklaren Sachlage: „Noch ist für viele Unternehmen nicht eindeutig, welche konkreten Maßnahmen zur Erfüllung der Richtlinie notwendig sind. Hinzu kommen Personal- und Ressourcenmangel.“

NIS-2-Richtlinie erfordert zumeist grundlegende Neuausrichtung der eigenen IT-Sicherheitsstrategie

„Für Unternehmen, die unter NIS-2 fallen, bedeutet die Richtlinie eine grundlegende Neuausrichtung ihrer IT-Sicherheitsstrategie“, unterstreicht Andreas Lüning, Gründer und Vorstand der G DATA CyberDefense AG. Viele Verantwortliche hätten zwar den Bedarf an zusätzlichen Ressourcen und Expertise erkannt, unterschätzten aber gleichzeitig auch, wie komplex die Erfüllung aller Kriterien sein könne. Lüning stellt klar: „Diese lassen sich nicht über Nacht umsetzen und erfordern gezielte Investitionen sowie eine Anpassung interner Prozesse, was Monate in Anspruch nimmt. Unternehmen sind daher gut beraten, auf bewährte Standards wie die ISO-27001-Zertifizierung hinzuarbeiten.“

Gleichzeitig zeige das aktuelle Umfrageergebnis auch, wo genau Schwierigkeiten lägen: Drei von fünf der Befragten sähen Hürden durch Ressourcenbedarf, Expertise-Lücken und unklare Vorgaben. Mehr als ein Drittel der Arbeitnehmer stufe die Bereitstellung zusätzlicher Ressourcen und die notwendige Expertise für die Umsetzung als „eher herausfordernd“ ein. Für 17 Prozent der Befragten sei die umfassende Überarbeitung der IT-Sicherheitsmaßnahmen und Prozesse schwierig. Nur fünf Prozent gäben als „sehr herausfordernd“ an, dass es noch viele offene Fragen bezüglich der Richtlinie gebe. Überraschend sei, dass zwei von fünf Befragten wenige bzw. keine Hindernisse sähen.

Statista-Marktforscher befragten mehr als 5.000 Arbeitnehmer zur Cyber-Sicherheit im NIS-2-Kontext

„Cybersicherheit in Zahlen“ erscheint laut Lüning bereits zum vierten Mal und zeichnet sich demnach durch eine hohe Informationsdichte und besondere methodische Tiefe aus: Die Marktforscher von Statista hätten Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt.

Mehr als 5.000 Arbeitnehmer in Deutschland seien im Rahmen einer repräsentativen Online-Studie zur Cyber-Sicherheit im beruflichen und privaten Kontext befragt worden. Die Fachleute von Statista hätten die Befragung eng begleitet und könnten dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liege, nun belastbare und valide Marktforschungsergebnisse im Magazin „Cybersicherheit in Zahlen“ präsentieren.

Weitere Informationen zum Thema:

G DATA CyberDefense
Cybersicherheit in Zahlen / Wir machen Komplexes verständlich. / Auf 104 Magazinseiten.

datensicherheit.de, 04.11.2024
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
„NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken