:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Datenschutzgesetz in Deutschland entwickelt sich weiter Auswirkungen des TTDSG auf Unternehmen und die E-Mail-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im Mai 2021 verabschiedete der Deutsche Bundestag mit dem TTDSG ein neues Datenschutzgesetz. Das Gesetz scheint auf den ersten Blick wenig Neues zu bieten, hat aber tatsächlich erhebliche Auswirkungen auf E-Mail-Dienstleister und Arbeitgeber, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für die private Kommunikation erlauben.
Das TTDSG wurde ursprünglich verabschiedet, um die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) der Europäischen Union umzusetzen, eine Ergänzung der allgemeinen Datenschutzverordnung (GDPR), die offiziell als Richtlinie über den Schutz der Privatsphäre und der elektronischen Kommunikation bekannt ist. Die eigentliche Triebkraft war jedoch die Vereinheitlichung der zahlreichen Gesetze, die den deutschen Datenschutz regeln.
Das TTDSG trat im Dezember 2021 in Kraft und gewährt sogenannten "Over-the-Top"-Diensten (OTT) Datenschutz auf Telekommunikationsebene, ein Begriff, der sich auf Cloud-basierte E-Mail und andere webbasierte Nachrichtenübermittlung bezieht. Dieser Schritt ist wichtig, weil er allen, die nicht in eine Nachricht involviert sind, die Einsicht in diese Kommunikation untersagt. Mit dem Gesetz wird auch die Rolle von Unternehmen geklärt, die ihren Mitarbeitern die Nutzung von Firmen-E-Mails für den privaten Gebrauch gestatten.
Geschützte Kommunikation im neuen Gewand
Da webbasierte E-Mail-Anwendungen und Nachrichtendienste unter die OTT-Bestimmung fallen, können Anbieter wie Google und Facebook nach Angaben von Anwälten der CMS, E-Mails und Nachrichten nicht mehr für zielgerichtete Werbung oder andere Dienste analysieren.
Für Unternehmen gelten weniger strenge Anforderungen. Bisher war unklar, ob Arbeitgeber die E-Mails ihrer Mitarbeiter ohne deren Zustimmung lesen dürfen. Es wurde argumentiert, dass die Unternehmen in diesem Fall als E-Mail-Provider im Auftrag ihrer Mitarbeiter fungierten. Wenn die Arbeitgeber die Korrespondenz ohne Erlaubnis lesen, setzen sie sich einer möglichen strafrechtlichen Verfolgung nach den Datenschutzgesetzen aus.
In Verbindung mit einem kürzlich ergangenen Gerichtsurteil hat das TTDSG klargestellt, was ein Provider ist, so dass persönliche E-Mails auf Firmenkonten eher den GDPR-Vorschriften als dem strengeren deutschen Telekommunikationsrecht unterliegen. Nach Ansicht der Datenschutzexperten von JOWECON brauchen Arbeitgeber nur einen zwingenden Grund, um ohne Erlaubnis zu spionieren. [ii]
Trotz der Auswirkungen auf den E-Mail-Verkehr konzentriert sich ein Großteil der Medien auf die Bestimmungen, die sich mit Cookies befassen, da deutsche (und europäische) Internetnutzer permanent von Bannern belästigt werden, die sie auffordern, die Verwendung von Cookies für jede einzelne Website zu genehmigen. Das TTDSG macht den Weg frei für Dienste, die die Cookie-Präferenzen der Nutzer speichern und an die Websites weitergeben, so dass die Banner überflüssig werden.
Mehr Bürokratie zum Schutz von Rechten
"Die Privatsphäre muss auch in der digitalen Welt geschützt werden. Zugleich müssen wir Geschäftsmodelle ermöglichen. Die neuen Regeln schaffen ein Gleichgewicht", sagte der damalige Wirtschaftsminister Peter Altmaier, als das Gesetz im Mai verabschiedet wurde.
Obwohl Cookies wenig mit E-Mail zu tun haben, unterstreicht der Schritt die zentrale Rolle, die der Datenschutz spielt. Letztendlich, so sagen Datenschutzanwälte, wird das TTDSG wahrscheinlich durch eine deutsche Version der lang erwarteten EU-Datenschutzverordnung für elektronische Kommunikation ersetzt werden. Diese Verschärfung der bestehenden Datenschutzrichtlinie für elektronische Kommunikation sollte 2018 zusammen mit der Datenschutz-Grundverordnung (DSGVO) eingeführt werden, hat jedoch lange auf sich warten lassen und wird nun voraussichtlich 2025 in Kraft treten.
Während das deutsche TTDSG Fragen klärte, die bereits vor der Pandemie in Deutschland existierten, ringt man nun auch mit pandemiebedingten Datenschutzproblemen, wie jeder andere auch. Deutsche Unternehmen, die während der Pandemie das Arbeiten von zu Hause aus ermöglichten, haben sich als Eldorado für Cyberangriffe erwiesen, die auf Phishing, Ransomware und andere Angriffe spezialisiert sind. Neunundfünfzig Prozent der Unternehmen, die ihren Mitarbeitern das Arbeiten von zu Hause aus erlaubten, berichteten von Phishing-Angriffen seit Beginn der Pandemie, sowohl per E-Mail als auch per Telefon, so eine Umfrage des Digitalverbands Bitkom unter 1.000 deutschen Unternehmen. 52 Prozent davon gaben an, dass die Angriffe zu Schäden geführt haben.
In der weltweiten der Bekämpfung der Cyberkriminalität sind die deutschen Sicherheitsexperten laut dem Mimecast-Bericht "State of Email Security 2022" dennoch zwiespältig, wenn es um Cybersicherheit und Datenschutzpolitik geht. Auf die Frage nach der potenziellen Auferlegung staatlicher Vorgaben wie Mindeststandards für die Cybersicherheit, beschrieben die deutschen Umfrageteilnehmer ein "halbvolles Glas":
- 69 Prozent gaben an, dass solche Vorschriften die allgemeine Cybersicherheit ihres Unternehmens mäßig bis stark verbessern würden.
- 62 Prozent gaben an, dass vorgeschriebene Cybersicherheitsstandards ihr Risiko von Cyberangriffen mäßig bis stark verringern würden.
- 65 Prozent sagten einen mäßigen bis starken Anstieg ihrer Kosten voraus.
- 67 Prozent sahen einen entsprechenden Rückgang ihrer Handlungsfreiheit bei der Abwehr von Cyberangriffen.
Verschlüsselung ist nicht gleich Verschlüsselung
Unternehmen sind verpflichtet, jegliche digitale Korrespondenz zu verschlüsseln, die personenbezogene Daten enthält. Der Verband unabhängiger öffentlicher Datenschützer empfiehlt 2020 zwei Verschlüsselungsstufen, wobei es im Ermessen der Unternehmen liegt, welche Stufe angemessen ist.
Die Verschlüsselung der Daten während der Übermittlung sei für die meisten Korrespondenzen obligatorisch, so der Verband. Diese Verschlüsselungsstufe sei ausreichend für jede Kommunikation, die, wenn sie von Unbefugten eingesehen wird, nur eine normale Bedrohung für die "Rechte und Freiheiten" der in der E-Mail genannten Personen darstellen würde. Sollte die Gefährdung ein "erhöhtes Risiko" darstellen, empfiehlt der Verband eine Ende-zu-Ende-Verschlüsselung (E2EE).
E-Mail wird in Deutschland oft als unsicher angesehen. Die meisten Unternehmen und Behörden weigern sich, E-Mails für offizielle Korrespondenz zu verwenden, die zum Beispiel spezifische Zahlen oder identifizierende Informationen über Fusionen und Übernahmen enthalten könnte. Obwohl Einzelpersonen auf Datenschutzrechte verzichten können, in der Hoffnung, offizielle Antworten von Behörden oder Unternehmen per E-Mail zu erhalten, raten Anwälte von dieser Praxis ab, da Verwirrung über den Umfang der Erlaubnis - eine einzelne E-Mail, eine einzelne Angelegenheit oder die gesamte Korrespondenz - entstehen kann, wodurch Unternehmen und Behörden unnötigen Risiken ausgesetzt würden.
Die Quintessenz
Die politischen Entscheidungsträger in Deutschland bemühen sich um ein Gleichgewicht zwischen der Forderung nach Datensicherheit, dem effizienten Austausch notwendiger Informationen und der langsam voranschreitenden EU-weiten Regulierung. Cyber-Angreifer scheinen den politischen Bemühungen immer noch einen Schritt voraus zu sein.
(ID:48357866)
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/93/4693179c743a76e5621f61ebe234c176/0112115071.jpeg "HIPAA ist ein US-amerikanisches Gesetz zum Schutz von Daten des Gesundheitswesens. (Bild: gemeinfrei)")