:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cybersicherheit und Datenschutz Darum verursachen Cyberattacken Datenschutzverletzungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Cybersicherheit und Datenschutz gehen Hand in Hand und sind zwei wesentliche Verbündete für den Schutz des Einzelnen und seiner Rechte, so der Europäische Datenschutzbeauftragte. Viele Datenpannen lassen sich ohne Cybersecurity nicht vermeiden. Ein Überblick, wie Cyberattacken und Datenschutzverletzungen zusammenhängen, bei DDoS, Ransomware, Phishing und Deep Fakes.
„Die vielen Meldungen von Datenschutzverletzungen, die ich täglich erhalte, verdeutlichen, dass Datenschutz nur funktioniert, wenn die Sicherheit der IT-Systeme gewährleistet ist“, so die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg. „Anders als früher kann eine kleine Schwachstelle schnell die Grundrechte einer riesigen Zahl Betroffener beeinträchtigen. Bestehende Regelungen für technisch-organisatorische Maßnahmen des Datenschutzes müssen deshalb tatsächlich umgesetzt werden.“
Die Landesbeauftragte nennt auch Beispiele für Cybergefahren, die sich auf den Datenschutz auswirken können: „Ransomware, Passwort-Phishing und die aktuelle Gefahr von Cyberangriffen zeigen auch, wie wichtig es ist, dass Verwaltungen und Unternehmen selbst Mechanismen etablieren, die Datenschutz und IT-Sicherheit von vornherein gewährleisten, deren Wirksamkeit kontinuierlich überprüfen und sie an neue Bedrohungslagen anpassen.“
Wie aber ist der genaue Zusammenhang zwischen Datenpanne und Cyberattacke? Dies ist wichtig zu wissen, damit Cybersicherheit den richtigen Stellenwert in dem Datenschutzkonzept eines Unternehmens bekommt.
Das Datenrisiko bei DDoS
Personenbezogene Daten müssen verfügbar sein, so fordert es die DSGVO (Datenschutz-Grundverordnung). Damit die Daten aber verfügbar sind, müssen auch die dafür notwendigen Dienste bereitstehen und verfügbar sein. Einfach gesagt, kommt man ohne funktionierende Dienste und Anwendungen nicht an die Daten.
Die Verfügbarkeit der Daten hängt deshalb auch mit der Belastbarkeit der Dienste und der Wiederherstellbarkeit der Daten nach einem Ausfall der Dienste zusammen.
Wenn man diesen Gedanken verinnerlicht, wird schnell klar, dass eine Überlastung der Dienste auch die mangelnde Verfügbarkeit personenbezogener Daten nach sich ziehen kann. Mehr noch: Die DSGVO fordert explizit die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, sowie die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Offensichtlich bedeutet dann ein unzureichender Schutz gegen Überlastungsangriffe (DDoS), dass die genannten Schutzziele der DSGVO nicht erreicht werden können. Erfolgreiche DDoS-Attacken führen deshalb zu einer Verletzung des Datenschutzes, wenn Daten mit Personenbezug betroffen sind, direkt oder indirekt.
Ransomware als Datenschutzverletzung
Ransomware zielt auf die Verschlüsselung von Daten ab, häufig werden die Daten auch noch zusätzlich ausgespäht und gestohlen, so dass nicht nur für die (angebliche) Entschlüsselung Lösegeld verlangt wird. Gleichzeitig drohen die Angreifenden damit, die Daten auf Leak-Seiten zu veröffentlichen, wenn das Lösegeld nicht fließt.
Für das betroffene Unternehmen sind dann zum einen die Daten nicht mehr verfügbar, wenn es kein sicheres und vollständiges Backup gibt. Zum anderen ist die Vertraulichkeit der Daten in Gefahr, wenn diese auf einer Leak-Seite landen würden.
Es ist deshalb nicht überraschend, wenn Datenschutzaufsichtsbehörden Ransomware sehr ernst nehmen. So erklärte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen.
Alleine innerhalb eines Jahres wurden dem Bayerischen Landesamt für Datenschutzaufsicht von bayerischen Unternehmen mehrere hundert Ransomware-Angriffe gemeldet, bei denen Lösegeld von 10.000 bis zu 50 Millionen Euro gefordert wurden. BayLDA-Präsident Michael Will betonte: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann.“
Deshalb zählen geschützte und vollständige Backups und funktionstüchtige Recovery-Prozesse nicht nur zu den Forderungen der IT-Sicherheit, sondern auch des Datenschutzes.
Die Datenpanne bei Phishing
Passwort-Diebstahl bedroht personenbezogene Daten gleich doppelt. Zum einen ist die Kombination aus Benutzername und Passwort der einfachste Fall, um eine digitale Identität zu überprüfen. Phishing ist deshalb auch immer ein Diebstahl digitaler Identitäten, der Personenbezug dabei liegt auf der Hand, wenn es sich bei der Identität um eine „menschliche“ Identität handelt.
Selbst bei Maschinenidentitäten kann der Diebstahl der Zugangsdaten den Datenschutz berühren, wenn sich aus den Maschinendaten Bezüge zu Personen herstellen lassen. Wenn also zum Beispiel die digitale Identität eines Fahrzeugs gestohlen wird, können schnell die Daten der Fahrzeugnutzenden in Gefahr geraten.
Phishing ist aber zugleich das Tor zu weiteren personenbezogenen Daten und führt in aller Regel zu weiteren Datenschutzverletzungen, indem die Rechte des Opfers missbraucht und zusätzliche Daten ausgespäht werden. Phishing-Schutz ist deshalb immer auch Datenschutz.
Deep Fake aus Sicht der Aufsichtsbehörde
Um eine digitale Identität zu stehlen und vorzutäuschen, wird zunehmend auch der Weg gewählt, Fotos, Videos und Audios zu manipulieren und mit Hilfe von KI (Künstlich Intelligenz) das Aussehen und die Stimme des Angreifenden in das oder die einer anderen Person zu verwandeln.
Solche Deep Fakes bedrohen also zum einen die digitale Identität der vorgetäuschten Person und dann auch weitere Daten, an die der Angreifende durch die Täuschung gelangt. Das könnten auch medizinische Daten einer anderen Person sein, wenn eine Deep-Fake-Attacke bei einer Videosprechstunde mit Ärzten gelingt.
Deep Fakes und Maßnahmen zur Erkennung einer solchen Täuschung gehören deshalb auch zum Datenschutz, wie auch diese Warnung der Kirchlichen Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs zeigt: „Je mehr persönliche Informationen über einen bekannt sind, desto besser kann eine Deep Fake Falle zuschnappen. Cyberkriminelle nutzen jetzt schon diese Technik in Verbindung mit Social Engineering (Mensch als Schwachstelle), beispielsweise, um in betriebliche Umgebungen einzudringen oder Finanztransaktionen anzuweisen.“
Fazit: Cybersicherheit gehört zum Datenschutz
Diese Beispiele zeigen sehr deutlich: Ohne Cybersecurity kann der Datenschutz seine Ziele nicht erreichen. Es ist deshalb nur konsequent, wenn der Europäische Datenschutzbeauftragte nun auch ganz offiziell eine enge Kooperation mit der EU-Agentur für Cybersicherheit ENISA vereinbart hat.
(ID:49038662)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916600/1916627/original.jpg "Bekanntlich kann man aus Fehlern besonders gut lernen, nicht nur aus den eigenen. Es lohnt sich also, auch die Datenpannen anderer Unternehmen genau in den Blick zu nehmen, und zwar nicht nur solche, die es in die Abendnachrichten geschafft haben. (magele-picture - stock.adobe.com)")