:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cybersicherheit und Datenschutz Darum verursachen Cyberattacken Datenschutzverletzungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Cybersicherheit und Datenschutz gehen Hand in Hand und sind zwei wesentliche Verbündete für den Schutz des Einzelnen und seiner Rechte, so der Europäische Datenschutzbeauftragte. Viele Datenpannen lassen sich ohne Cybersecurity nicht vermeiden. Ein Überblick, wie Cyberattacken und Datenschutzverletzungen zusammenhängen, bei DDoS, Ransomware, Phishing und Deep Fakes.
„Die vielen Meldungen von Datenschutzverletzungen, die ich täglich erhalte, verdeutlichen, dass Datenschutz nur funktioniert, wenn die Sicherheit der IT-Systeme gewährleistet ist“, so die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg. „Anders als früher kann eine kleine Schwachstelle schnell die Grundrechte einer riesigen Zahl Betroffener beeinträchtigen. Bestehende Regelungen für technisch-organisatorische Maßnahmen des Datenschutzes müssen deshalb tatsächlich umgesetzt werden.“
Die Landesbeauftragte nennt auch Beispiele für Cybergefahren, die sich auf den Datenschutz auswirken können: „Ransomware, Passwort-Phishing und die aktuelle Gefahr von Cyberangriffen zeigen auch, wie wichtig es ist, dass Verwaltungen und Unternehmen selbst Mechanismen etablieren, die Datenschutz und IT-Sicherheit von vornherein gewährleisten, deren Wirksamkeit kontinuierlich überprüfen und sie an neue Bedrohungslagen anpassen.“
Wie aber ist der genaue Zusammenhang zwischen Datenpanne und Cyberattacke? Dies ist wichtig zu wissen, damit Cybersicherheit den richtigen Stellenwert in dem Datenschutzkonzept eines Unternehmens bekommt.
Das Datenrisiko bei DDoS
Personenbezogene Daten müssen verfügbar sein, so fordert es die DSGVO (Datenschutz-Grundverordnung). Damit die Daten aber verfügbar sind, müssen auch die dafür notwendigen Dienste bereitstehen und verfügbar sein. Einfach gesagt, kommt man ohne funktionierende Dienste und Anwendungen nicht an die Daten.
Die Verfügbarkeit der Daten hängt deshalb auch mit der Belastbarkeit der Dienste und der Wiederherstellbarkeit der Daten nach einem Ausfall der Dienste zusammen.
Wenn man diesen Gedanken verinnerlicht, wird schnell klar, dass eine Überlastung der Dienste auch die mangelnde Verfügbarkeit personenbezogener Daten nach sich ziehen kann. Mehr noch: Die DSGVO fordert explizit die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, sowie die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
Offensichtlich bedeutet dann ein unzureichender Schutz gegen Überlastungsangriffe (DDoS), dass die genannten Schutzziele der DSGVO nicht erreicht werden können. Erfolgreiche DDoS-Attacken führen deshalb zu einer Verletzung des Datenschutzes, wenn Daten mit Personenbezug betroffen sind, direkt oder indirekt.
Ransomware als Datenschutzverletzung
Ransomware zielt auf die Verschlüsselung von Daten ab, häufig werden die Daten auch noch zusätzlich ausgespäht und gestohlen, so dass nicht nur für die (angebliche) Entschlüsselung Lösegeld verlangt wird. Gleichzeitig drohen die Angreifenden damit, die Daten auf Leak-Seiten zu veröffentlichen, wenn das Lösegeld nicht fließt.
Für das betroffene Unternehmen sind dann zum einen die Daten nicht mehr verfügbar, wenn es kein sicheres und vollständiges Backup gibt. Zum anderen ist die Vertraulichkeit der Daten in Gefahr, wenn diese auf einer Leak-Seite landen würden.
Es ist deshalb nicht überraschend, wenn Datenschutzaufsichtsbehörden Ransomware sehr ernst nehmen. So erklärte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): Neben der Verschlüsselung von Dateien samt exorbitanter Lösegeldforderung kommt es vielfach auch zum Diebstahl sensibler Gesundheitsdaten, Kontodaten oder Bewerbungsunterlagen verbunden mit der Drohung, bei einer Verweigerung der Zahlung diese im Internet zu veröffentlichen.
Alleine innerhalb eines Jahres wurden dem Bayerischen Landesamt für Datenschutzaufsicht von bayerischen Unternehmen mehrere hundert Ransomware-Angriffe gemeldet, bei denen Lösegeld von 10.000 bis zu 50 Millionen Euro gefordert wurden. BayLDA-Präsident Michael Will betonte: „Schon im eigenen Interesse müssen bayerischen Unternehmen ihre Daten gegen Angriffe Cyberkrimineller absichern. Die Einhaltung des Datenschutzrechts schafft einen Sicherheitswall für die Daten der betroffenen Personen, der häufig schon mit einfachen Maßnahmen errichtet werden kann.“
Deshalb zählen geschützte und vollständige Backups und funktionstüchtige Recovery-Prozesse nicht nur zu den Forderungen der IT-Sicherheit, sondern auch des Datenschutzes.
Die Datenpanne bei Phishing
Passwort-Diebstahl bedroht personenbezogene Daten gleich doppelt. Zum einen ist die Kombination aus Benutzername und Passwort der einfachste Fall, um eine digitale Identität zu überprüfen. Phishing ist deshalb auch immer ein Diebstahl digitaler Identitäten, der Personenbezug dabei liegt auf der Hand, wenn es sich bei der Identität um eine „menschliche“ Identität handelt.
Selbst bei Maschinenidentitäten kann der Diebstahl der Zugangsdaten den Datenschutz berühren, wenn sich aus den Maschinendaten Bezüge zu Personen herstellen lassen. Wenn also zum Beispiel die digitale Identität eines Fahrzeugs gestohlen wird, können schnell die Daten der Fahrzeugnutzenden in Gefahr geraten.
Phishing ist aber zugleich das Tor zu weiteren personenbezogenen Daten und führt in aller Regel zu weiteren Datenschutzverletzungen, indem die Rechte des Opfers missbraucht und zusätzliche Daten ausgespäht werden. Phishing-Schutz ist deshalb immer auch Datenschutz.
Deep Fake aus Sicht der Aufsichtsbehörde
Um eine digitale Identität zu stehlen und vorzutäuschen, wird zunehmend auch der Weg gewählt, Fotos, Videos und Audios zu manipulieren und mit Hilfe von KI (Künstlich Intelligenz) das Aussehen und die Stimme des Angreifenden in das oder die einer anderen Person zu verwandeln.
Solche Deep Fakes bedrohen also zum einen die digitale Identität der vorgetäuschten Person und dann auch weitere Daten, an die der Angreifende durch die Täuschung gelangt. Das könnten auch medizinische Daten einer anderen Person sein, wenn eine Deep-Fake-Attacke bei einer Videosprechstunde mit Ärzten gelingt.
Deep Fakes und Maßnahmen zur Erkennung einer solchen Täuschung gehören deshalb auch zum Datenschutz, wie auch diese Warnung der Kirchlichen Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs zeigt: „Je mehr persönliche Informationen über einen bekannt sind, desto besser kann eine Deep Fake Falle zuschnappen. Cyberkriminelle nutzen jetzt schon diese Technik in Verbindung mit Social Engineering (Mensch als Schwachstelle), beispielsweise, um in betriebliche Umgebungen einzudringen oder Finanztransaktionen anzuweisen.“
Fazit: Cybersicherheit gehört zum Datenschutz
Diese Beispiele zeigen sehr deutlich: Ohne Cybersecurity kann der Datenschutz seine Ziele nicht erreichen. Es ist deshalb nur konsequent, wenn der Europäische Datenschutzbeauftragte nun auch ganz offiziell eine enge Kooperation mit der EU-Agentur für Cybersicherheit ENISA vereinbart hat.
(ID:49038662)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916600/1916627/original.jpg "Bekanntlich kann man aus Fehlern besonders gut lernen, nicht nur aus den eigenen. Es lohnt sich also, auch die Datenpannen anderer Unternehmen genau in den Blick zu nehmen, und zwar nicht nur solche, die es in die Abendnachrichten geschafft haben. (magele-picture - stock.adobe.com)")