NIS2 - Sicherheits-Richtlinie ab Okt 2024

Die #NIS2 ist Nachfolger der NIS1 EU-Richtlinie und betrifft die Anforderung, gewisse IT-Sicherheitsstandards zu erfüllen, da ansonsten empfindliche Bußgelder verhängt werden.

Während die derzeit in deutsches Recht umgesetzte NIS1 nur große Unternehmen und Firmen im Bereich kritischer Infrastrukturen betraf, ist NIS2 auch auf mittelständische und kleine Unternehmen ausgeweitet.

#Wichtig - So ist ein mittelständischer Betrieb mit mehr als 50 Mitarbeitern oder/und 10 mio Euro Bilanzsumme, der Lebensmittel produziert oder damit handelt oder mit Chemikalien (z.B. Pflanzenschutz) handelt, von der NIS2 betroffen.

Die Umsetzung der EU-Richtline in deutsches Recht (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG) muss bis zur Umsetzung des Gesetzes erfolgen. Der aktuelle Entwurf ist beim BMI einsehbar.

Änderungen nach nationaler Umsetzung des Gesetzes

Experten schätzen, das die Verabschiedung als Gesetz entweder zum 1.1.2025 erfolgt, oder aber schon nach der Sommerpause des Bundesrates zum Oktober 2024. Das BSI spricht dann von einer Toleranzzeit von drei Monaten, in denen eine Registrierung nachgeholt werden kann. Derzeit kann man sich beim BSI aber nur für KRITIS1 (besonders wichtige Unternehmen) registrieren. Die genaue Verfahrensweise, wie es endgültig sein wird, ist abzuwarten.

Das BSI schreibt dazu: "[...] Bitte beachten Sie dazu aus den FAQ zu NIS2 (https://www.bsi.bund.de/dok/nis-2-faq) die Antwort zur Frage „Mein Unternehmen erfüllt die Kritierien, um als besonders wichtige (essential entities) oder KRITIS-Betreiber oder wichtige Einrichtung (important entities) zu gelten. Welche Pflichten sind zu erfüllen?“ Hier insbesondere der Hinweis: „Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden. Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.“

Wer ist betroffen?

Zählt deren Branche zur kritischen Infrastruktur, sind auch Kleinunternehmen betroffen. Neu ist, dass auch für andere Geschäftszwecke Unternehmen, die mehr als 50 Personen beschäftigen und Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR übersteigt, unter die NIS2 fallen. Neu ist auch die Unterscheidung von "wesentlichen" (wie bisher KRITIS mit erweiterten Kriterien) und "wichtigen" Unternehmen. Die Einstufung hat Einfluss auf die Höhe der Bußgelder.

[] mindestens 50 Mitarbeiterinnen und Mitarbeitern.
[] einem Jahresumsatz und einer Jahresbilanz von über 10 Mio. Euro.
[] oder (KRITIS) einem Jahresumsatz >50 mio und einer Jahresbilanz von über 43 mio.

und einer Tätigkeit aus den Folgenden:

[] Herstellung, Produktion und Vertrieb von Chemikalien.
[] Lebensmittelproduktion, -verarbeitung und -Vertrieb.
[] Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff).
[] Produktion (Herstellung von Medizinprodukten, Maschinen, Fahrzeugen).
[] Gesundheit (Gesundheitsdienstleister, EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte).
[] Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr).
[] Bankwesen (Kreditinstitute).
[] Finanzmarktinfrastruktur (Handelsplätze).
[] Digitale Infrastruktur (Internet-Knoten, Cloud Provider, Rechenzentren, Elektronische Kommunikation).
[] Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke).
[] Post- und Kurierdienste.
[] Forschung.
[] Weltraum (Bodeninfrastruktur).
[] Öffentliche Verwaltungen.
[] Trinkwasser (Wasserversorgung).
[] Abwässer (Abwasserentsorgung).
[] Abfallwirtschaft (Abfallbewirtschaftung).

Was ist zu tun?

BSI Betroffenheit prüfen

Das #BSI hat im Juli 2024 ein vorläufiges (vorbehaltlich Änderungen bei Gesetzeslegung) Prüf-Tool – veröffentlicht, mit dem Sie ermitteln können, in welchen Bereich und Kreis Sie im Rahmen NIS2 betroffen sind

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html?nn=1116326#Pruefung" label="BSI Prüf-Tool Stand Juli 2024"]

Weitere Schritte

#Wichtig - da zu erwarten ist, dass die EU-Richtlinie weitgehend unverändert in deutsches Recht umgesetzt wird, prüfen Sie, anhand der Richtlinie, ob Sie zu den Betroffenen gehören, indem Sie in der Richtlinie nachlesen, ob die genannten Kriterien für Sie zutreffen.

Wenn ja, ist die Vorgehensweise leider nicht geregelt, da in der Richtlinie (ähnlich wie bei der DSGVO) keine konkreten Maßnahmen beschrieben sind, die man anhand einer zu erstellenden Checkliste abarbeiten oder prüfen kann.

Dennoch müssen bei den genannten Anforderungen mindestens ausgewählte Themen der BSI Grundschutz-Standards 200-1 und -2 UND eine Risikoanalyse mit Notfallplan (BSI-Standards 200-3 und -4) betrachtet und dokumentiert sein.

Bei genossenschaftlich geprüften Unternehmen kommen dann noch die ISA DE 315 (Prüfung durch die Wirtschaftsprüfer) dazu. Die Pflichten umfassen somit technische (auf dem aktuellen Stand der Technik) und organisatorische Maßnahmen (Awareness-Schulungen), ein Reporting (Meldung von Verstößen ähnlich der DSGVO) und Verhaltensregeln im Fehlerfall.

Darüber hinaus müssen regelmäßige Audits sicherstellen, dass die Maßnahmen erfüllt sind. Man geht im "best practice" von jährlichen Audits aus.

Zusätzlich ist von einem Meldesystem (MDR) die Rede. Meldungen von Vorfällen an BSI und die Meldebehörden können manuell, müssen aber im Rahmen der gesetzten Fristen kurzfristig erfolgen. Einige Drittanbieter wie die Telekom bieten auch ein MDR-System in der Cloud an, das Vorfälle erkennen und Meldungen automatisieren soll.

Registrierung im BSI Meldeportal

Während sich derzeit nur KRITIS Unternehmen im Meldeportal registrieren müssen, ist zu erwarten, dass auch der erweiterte Kreis unter NIS2 innerhalb von 24 Stunden eine Erstmeldung abgeben muss und innerhalb von 72 Stunden die Meldung. Dazu wird man sich in einem BSI-Portal registrieren müssen. Genauere Details wird das BSI nach Verabschiedung des Gesetzes bekannt geben.

Checkliste des BSI

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Checkliste, was zu tun ist, veröffentlicht:

[linkbutton link="https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-was-tun/NIS-2-was-tun_node.html" label="Checkliste zur Vorgehensweise vom BSI"]

Beispiele für Verstöße

• Internetzugang durch eine Firewall der ersten Generation oder nur einen Router
• keine 2-Faktor-Authentifizierung für administrativen Zugriff auf Online- und Clouddienste und/oder Webseiten, auf denen Geld bewegt wird
• Personal ist nicht Umgang mit IT-Risiken (nachweislich) geschult
• kein Konzept im Umgang mit Ransomware und Verschlüsselungsschadsoftware
• Kein Meldewesen bei erkannten Vorfällen

Fazit

Ähnlich wie 2018 bei der DSGVO gilt auch hier. Lassen Sie sich von Ihrem Fachanwalt beraten. Der hier erstellte Artikel dient nur zu Ihrer Information und stellt eine Möglichkeit dar, einen Mindestschutz zu erreichen. Erst mit Verabschiedung des Gesetzes wird NIS2 in deutsches Recht umgesetzt, jeder sollte sich aber schon jetzt Gedanken zur Umsetzung machen.

Unabhängig davon, ob Sie unter die genannten Unternehmen fallen, sind die Erfüllung wichtiger Themen aus dem BSI Grundschutz und der Notfallplan auch für kleinere Unternehmen bei Mängeln häufig Grund von Versicherungen, die Leistungen im Schadenfall zu kürzen. Auch Ratings von Banken bei der Kreditvergabe sind davon abhängig.

Ghostscript kritische Lücke

Ghostscript ist eine Software, die von vielen Produkten eingesetzt wird, um PDF-Dateien zu erstellen, Wasserzeichen beizumischen oder Druckausgaben aufzubereiten.

Die Sicherheitslücke CVE-2023-36664, CVSS 9.8, Risiko "kritisch" erlaubt Codeschmuggel, d.h. es können bei Infektion von Systemen Schadprogramme darauf installiert werden.

Betroffen sind auch zahlreiche Open-Source-Produkte, die AGPL Ghostscript "unter der Motorhaube" zum PDF-Erstellen verwenden - wie PDF24, Libreoffice, Inkscape oder ImageMagick, einige Plugins von Paint.Net. Die Lücke wurde mit dem Update 10.01.2 geschlossen. Ältere Ghostscript Installationen oder Bestandteile von Programmen sollten umgehend auf den aktuellen Stand gebracht werden - sofern das möglich ist.

#Wichtig - Sind noch alte Ghostscript Versionen im Einsatz (z.B. 8.6.2) ist vor dem Rollout an einzelnen Endgeräten zu prüfen, ob die Software (beispielsweise Microsoft Dynamics NAV 2009 R2) mit der Ghostscript-Versionen Wasserzeichen (Briefbögen). Dies können Sie nur selbst herausfinden, weil einige der Produkte keinen Hersteller-Support mehr haben. Entscheidend ist, bei 32-Bit Programme (z.B. NAV 2009) NUR die 32-Bit Version von Ghostscript zu installlieren, bei 64-Bit Software (z. B. ab NAV 2013, RTC oder Buinsess Central) die 64-Bit Version auf den Service Tiers.

Sicherheitsbulletin von Kroll.com

SPAM in Briefform - IT-Sicherheit

obwohl diese Art der Werbung auch in Briefform schon länger nicht mehr zulässig ist, versucht eine "Firma" aus Darmstadt immer noch Kunden zu verunsichern.

An die Adresse c/o Geschäftsführung und mit der Anrede Sehr geehrte Geschäftsführung - die schon auf den ersten Eindruck auf einen SPAM-Roboter hindeutet (wer eine Geschäftsbeziehung zu einem Unternehmen unterhält, kennt den Geschäftsführer beim Namen). In der Adresszeile wird die deutsche Flagge angedruckt, was auch offiziellen Charakter haben soll.

In den nächsten Zeilen liest der SPAM-Roboter die DNS-Einträge des Unternehmens aus und erweckt den Eindruck, dass beispielsweise die Internetseiten öffentlich zu präsentieren ein Risiko darstellt.

Danach wird die "Geschäftsführung" aufgefordert, Kontakt aufzunehmen, um das detaillierte Ergebnis anzufragen.

Dieses Roboter-Schreiben gehört sofort in die Ablage P!

Ungeachtet des Schreibens sollte jedes Unternehmen dennoch den BSI Grundschutz erfüllen und regelmäßig testieren lassen. Dazu gehören auch Firewalls / VPN-Endpunkte der aktuellen Generation und bei Cloud-Einsatz eine CloudGen Firewall.

Internet Domain .zip lieber sperren

Auch Google ist als Vergabestelle von Internet-Domains (Registrar) am Markt tätig. Seit Mai 2023 ist die Toplevel Domain ".zip" ohne Einschränkung buchbar. Bereits wenige Tage nach Verfügbarkeit nutzen Betrüger diese Domain, um Benutzer zum Klicken zu animieren und Schadcode zu verteilen.

Damit sind beispielsweise URLs wie: https://packprogramm.zip oder https://neuertreiber.zip oder https://sicherheitsupdate.zip möglich.

Der Betrachter könnte auf die Idee kommen, dass es sich um ein wichtiges Update handelt, das er installieren muss.

Meist erfolgt aber kein Download, sondern man bekommt eine Website angezeigt, wo man erstmal vertrauliche Daten eingeben muss. Alternativ wird die im Browser nachgebildete Oberfläche von Winrar in der Sprache des Besuchers angezeigt und bewirbt das Schadprogramm einen vertrauenswürdigen, virengeprüften Download.

#Wichtig - Sicherheitsforscher raten derzeit, den Zugriff auf Domains unter .ZIP in der Firewall zu sperren. Es ist auch nicht ganz klar, welchen Werbe- und Erkennungseffekt die Endung haben soll (ZIP steht für eine amerikanische Postleitzahl oder für Reißverschluss)

Details im Artikel des Forschers

Neues aus dem Phishereihafen

Mittlerweile lässt die Bereitschaft der Phishing Agency, korrekte deutsche Sprache zu verfassen wieder nach. Vermutlich weigert sich ChatGPT mittlerweile, den Betrügern Texte zu verfassen. Die Nigeria-Connection nennt uns nun "Aufmerksamkeit" - wer mich nicht mit "Euer Durchlaucht" anreden, bekommt meine schon mal gar nicht.

Auch schön - was bedeutet "in die scarier Wahl sucked"? - Google meint (wortwörtlich): "In der gruseligeren Wahl war es Kot"...

Ich informiere die Europäer über meine Absicht, mein Vermögen von 100 Milliarden Euro meines Vermögens an die Glücklichen auf dem europäischen Kontinent zu verteilen.
Ihre E-Mail-Adresse wurde für eine Spende in Höhe von 350.000,00 Euro in die scarier Wahl sucked.
Bei Interesse kontaktieren Sie uns für weitere Details.

Der "Sanfte Kunde" in der anderen Fraud-Mail schmeichelt dagegen. Mit Aktivitäten AUF meiner Kreditkarte meinen die bestimmt, dass eine Ameise über die Karte gekrabbelt ist. Wie auch immer - mittlerweile kann man nur sagen: "Wer drauf reinfällt, ist selbst schuld".

Zerstören Sie diese Nachricht

Neben Banken und Liefer-/Paketdiensten werden nun auch Logos von Punktesammelfirmen in Phishing-E-Mails eingesetzt. Die angegebene Miles & More AG gibt es natürlich nicht (es ist eine GmbH), auch die Absendeadresse ist wieder klar als falsch erkennbar. Während man in dieser E-Mail auf Rechtschreibfehler verzichtet, sind die gewählten Formulierungen kurios: Konto Aktivität, aber Karte, nicht Konto gesperrt. Und sie laden uns ein, auf den bösen, bösen Link zu klicken. Klar, wer auf alles klickt, das nicht bei 1-2-3 auf den Bäumen ist, wird auch darauf hereinfallen. Wie man E-Mails "zerstört" bleibt ungeklärt. Wir empfehlen 85%ige Salzsäure (wie in dem Filmzitat "Diese Nachricht zerstört sich in 5 Sekunden").

Auch die in den Microsoft 365 Business Premium Plänen integrierte Linkprüfung verhindert nicht zu 100% das Aufrufen solcher Betrugswebseiten.

Wir können immer nur wiederholen: Links in E-Mails anklicken ist absolut tabu. Auch wenn es sich um E-Mails vermeintlich bekannter Absender handelt - auf jeden Fall die Link-Adresse kopieren und in einem Editor anschauen. Besser: Die Webseite des Anbieters eingeben oder den eigenhändig erstellten Lesezeichen aufzurufen, ist eher geeignet.

IT-Sicherheit - Fragen und Antworten

In dieser #FAQ haben wir die wichtigsten Fragen und Antworten zur IT #Sicherheit für Sie zusammengestellt:

[faq]Was ist Phishing und wie können Sie sich davor schützen?|=|
Phishing ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkartennummern preiszugeben. Sie können sich davor schützen, indem Sie auf verdächtige E-Mails achten, keine Links in E-Mails anklicken, die Sie nicht erwartet haben, und keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist.
||Was ist Social Engineering und wie können Sie sich davor schützen?|=|
Social Engineering ist eine Methode, bei der Betrüger versuchen, Sie dazu zu bringen, vertrauliche Informationen preiszugeben, indem sie sich als vertrauenswürdige Person oder Organisation ausgeben. Sie können sich davor schützen, indem Sie auf verdächtige Anfragen achten, keine vertraulichen Informationen preisgeben, es sei denn, Sie sind sicher, dass die Anfrage legitim ist, und keine Links anklicken, die Sie nicht erwartet haben.
||Was ist Ransomware und wie können Sie sich davor schützen?|=|
Ransomware ist eine Art von Malware, die Ihre Dateien verschlüsselt und Sie auffordert, ein Lösegeld zu zahlen, um sie wiederherzustellen. Sie können sich davor schützen, indem Sie regelmäßig Backups Ihrer Dateien erstellen, eine Antivirensoftware verwenden und keine verdächtigen E-Mail-Anhänge öffnen.
||Was ist Malware und wie können Sie sich davor schützen?|=|
Malware ist eine Art von Software, die darauf abzielt, Ihren Computer zu beschädigen oder zu stehlen. Sie können sich davor schützen, indem Sie eine Antivirensoftware verwenden, keine verdächtigen E-Mail-Anhänge öffnen und keine Software von unbekannten Quellen herunterladen.
||Was ist ein starkes Passwort und wie können Sie ein sicheres Passwort erstellen?|=|
Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein und eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten. Sie sollten auch keine persönlichen Informationen wie Ihren Namen oder Ihr Geburtsdatum verwenden.
||Was ist eine Firewall und wie funktioniert sie?|=|
Eine Firewall ist eine Art von Sicherheitssoftware, die den Datenverkehr zwischen Ihrem Computer und dem Internet überwacht und unerwünschte Verbindungen blockiert.
||Was ist ein VPN und wie funktioniert es?|=|
Ein VPN ist eine Art von Sicherheitssoftware, die Ihre Internetverbindung verschlüsselt und Ihre Identität verbirgt, indem sie Ihre IP-Adresse maskiert.
||Was ist eine Zwei-Faktor-Authentifizierung und wie funktioniert sie?|=|
Eine Zwei-Faktor-Authentifizierung ist eine Methode, bei der Sie sich mit zwei verschiedenen Methoden anmelden müssen, z. B. einem Passwort und einem Fingerabdruck oder einem Passwort und einem SMS-Code.
||Was ist ein Physischer Zugriff und wie können Sie sich davor schützen?|=|
Physischer Zugriff bezieht sich auf den Zugriff auf einen physischen Ort oder ein physisches Gerät. Sie können sich davor schützen, indem Sie Ihre Geräte sperren, wenn Sie sie nicht verwenden, und sicherstellen, dass Sie sie nicht unbeaufsichtigt lassen.
||Was ist ein Sicherheitsupdate und warum ist es wichtig, es durchzuführen?|=|
Ein Sicherheitsupdate ist eine Art von Software-Update, das Sicherheitslücken in Ihrem Betriebssystem oder Ihrer Software behebt. Es ist wichtig, Sicherheitsupdates regelmäßig durchzuführen, um sicherzustellen, dass Ihr Computer vor Bedrohungen geschützt ist.[/faq]

Sicherheitslücken in veeam geschlossen

Veeam Backup & Replication Server können für Angriffe genutzt werden, wenn sie nicht auf die aktuelle Version gebracht wurden. Angreifer könnten Schadcode ausführen.

Zwei kritische Sicherheitslücken (CVE-2022-26500, CVE-2022-26501) sind genannt. Betroffen ist der "Veeam Distribution Service" auf TCP-Port 9380. Ein Angreifer kann ohne Authentifizierung zugreifen.

Der Hersteller schreibt, dass Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen die Attacken sicher sind.
Wer noch die Ausgabe 9.5 (z. B. 9.5 Update 4) im Einsatz hat, muss auf eine aktuelle Version upgraden.

Die veeam-Version wird Ihnen beim Start der Konsole oder in der Systemsteuerung unter Programme und Funktionen angezeigt. Für ein Upgrade auf die aktuelle Version benötigen Sie einen aktiven Wartungsvertrag und gültige Zugangsdaten zum veeam-Portal.

Übrigens: Wer seine Server schon in die Microsoft Azure (IaaS) Cloud umgezogen hat, ist von den Problemen nicht mehr betroffen, denn der Einsatz einer Datensicherungs für On-Premises entfällt mit 100% Cloud Migration. Natürlich kümmert sich Microsoft auch bei der SaaS Variante um eine Datensicherung.

Neulich bei Junk-Mail: 1.5mio geschenkt

glücklicherweise nerven solche E-Mails in der Regel nicht, wenn man einen effizienten SPAM-Filter einsetzt. Dennoch fallen immer wieder Personen auf solche E-Mails herein:

Hallo,
Ich bin Frau Maria Elisabeth Schaeffler, eine deutsche Wirtschaftsmagnatin,
Investorin und Philanthropin. Ich bin der Vorsitzende von Wipro Limited, 25
% meines persönlichen Vermögens werden für wohltätige Zwecke ausgegeben und
ich habe auch versprochen, die restlichen 25 % in diesem Jahr 2022 an
Privatpersonen zu verschenken. Ich habe beschlossen, 1.500.000,00 Euro an
Sie zu spenden, wenn Sie es sind an meiner Spende interessiert sind,
kontaktieren Sie mich bitte für weitere Informationen.
Unter folgendem Link können Sie auch mehr über mich lesen {wikipedia-Link}
Grüße
Direktor Wipro Limited
Maria Elisabeth Schaeffler
E-Mail: mariaelisabethschaeffler85@gmail.com

SPAM-Mail von Zufallsalias@gmail.com oder @outlook.com

Hier mal ein schlecht gemachtes Beispiel, das im Moment aber als wahre Massen-E-Mail das Netz überschwemmt. Man macht sich nicht mal die Mühe, den Empfänger mit seinem Namen anzureden, oben steht eine deutsche Frau als Absender, der Mustertext bezieht sich aber auf einen Mann, der Vorsitzender einer ausländischen GmbH (Limited - kürzt man das nicht generell als Ltd. nur ab? Und hat eine GmbH nicht einen Geschäftsführer und Gesellschafter statt einem Vorsitzenden?) ist. Schade auch, dass "Frau" sich nicht mal eine eigene E-Mail-Adresse/Domain leisten kann. Die Absendeadresse ist darüberhinaus eine andere als zum Antworten angegeben. Und 2x 25% sind 100% laut der oben stehenden Rechnung.

Die Masche ist schon Jahrzehnte alt und wurde m. E. von der Nigeria Connection erfunden. Wer drauf reinfällt, muss erstmal jede Menge Geld überweisen, um dann nichts zu bekommen. Falls Ihr Spamfilter mal eine solche E-Mail durch lässt - die Entf-Taste ist die richtige Wahl. Zusätzlich hilft bei solch schlecht gemachten Mail ein einfacher Absenderfilter, der E-Mail-Aliase mit Zahlen direkt löscht.

Mehrwersteuer! Ergreift Maßnahmen jetzt!

Neues aus dem Phisherei-Hafen. Zwar sind aktuelle Phishing-E-Mails häufiger ohne eklatante Rechtschreib- oder Grammatikfehler (bis auf das fehlende "t" in Mehrwersteuer), aber etwas mehr Mühe hätte man doch erwarten können:

• Adresse liegt in einer Wohnung in einem Plattenbau in Berlin (hier keine gewerbliche Nutzung erlaubt)
• Die "Firma" nennt sich DeutschePostDe (endlich weiß ich was "DPD" bedeutet)
• Mein Name ist "Hallo" - so zumindest die Anrede (also wie in der US-Version von Hallo Spencer, wo man Hallo zum Vornamen machen musste, damit das Video nicht verändert werden musste).
• Es geht um 1,12 EUR Zollgebühren (Zollgebühren unter 5 € werden nicht erhoben und Bisher musste der Zoll die Gebühren selbst erheben, die Abholung musste persönlich durch den Empfänger erfolgen)

Scheinbar fallen gerade in der Black Week bzw. zum Black Friday, den viele Unternehmen nutzen, viele Anwender auf solche Sachen rein. Gleichzeitig flutet aktuell eine riesige Anzahl von Fake-Shops das Internet, wo nicht existente Waren zum Abgreifen von Zahlungsinformationen angeboten werden. Sollte Ihr SPAM-Filter solche E-Mails durchlassen, schärfen Sie bitte die Regeln und löschen sie ansonsten unverzüglich.

Ihr Pa­ket wi­rd ge­rade vom Zo­ll abge­fertigt

Ha­llo,

Ihr Pa­ket MDFX22323234KK sollte he­ute ankommen. Aufg­rund eines Zwischenfalls während des Vers­ands mus­sten wir die Lief­erung auf morgen zwischen 9:00 und 13:00 Uhr vers­chieben.

Ihr Pa­ket wur­de vom Zo­ll aufg­rund des unbezahlten Mehrwe­rsteue­rbet­rags von 1,­12 E­UR zurückgehalten.

Um Ihr Pa­ket in Übereinstim­mung mit den akt­uellen Zo­llbestimmungen zuz­ustellen, muss die Mehrwertsteuergebühr inner­halb von 7 Wer­ktagen beza­hlt wer­den. Nach Ablauf dieser Frist wird das Pa­ket an den Ab­sender zurückgeschickt.

Ergreift Maßnahmen jetzt *kryptischer Phisching-Link"

Originalmeldung

Warum BYOD in Deutschland nicht funktioniert

Private Geräte dienstlich nutzen?

Während BYOD (bring your own device) in vielen außereuropäischen Ländern beliebt ist, verhindern Bundesdatenschutzgesetz (die deutsche Anwendung der EU-DSGVO) und Sicherheitsaspekte nicht nur die Verwendung von privaten Mobilgeräten, sondern auch von Laptops, Tablets und PC-Hardware mit Anbindung an dienstliche Quellen wie E-Mail, M365, AVD und Azure.
Neben den gesetzlichen Aspekten steigen auch die Risiken signifikant (im zweistelligen Prozentbereich), da privat eingebrachte, nicht verwaltete Geräte keine Mindestanforderungen erfüllen und keinem Monitoring unterliegen.
Viele Cyber-Versicherungen schließen daher grundsätzlich auch BYOD aus oder weigern sich, Zahlungen im Schadenfall zu leisten. Die Beweispflicht liegt dann beim Versicherungsnehmer, was den Anspruchnachweis zusätzlich erschwert.

Dienstliche Hardware und Mobilgeräte auch privat nutzen?

Die private Nutzung von dienstlichen Mobilgeräten (Smartphones, Tablets) kann hingegen gesetzlich vereinbart werden.

Hierzu müssen die technischen Maßnahmen eines Mobile Device Managements wie Intune genutzt werden (oder MDM-Software eines anderen Anbieters).
Effektiv lässt sich das nur mit Endgeräten von Samsung (Galaxy A50 und S20 oder neuer) realisieren, denn nur dort gibt es einen Bereich für private Apps wie Whatsapp, Gmail etc. und den geschäftlichen Bereich mit Outlook, M365 und anderen Dienst-Apps.
Auch die dienstlichen Daten liegen in einem verschlüsselten Bereich des Speichers und können vom Admin gelöscht werden. Die privaten Daten hingegen bleiben erhalten. (nur bei den Samsung Geräten ist das so, bei apple wird meines Wissens das Gerät komplett gelöscht).

In jedem Fall müssen auch die Nutzung der dienstlichen Mobiltarife und das Datenvolumen so organisatorisch geregelt werden, dass die private Nutzung erlaubt ist (Achtung! Nur risikoarm bei Flatrate-Tarifen, die nicht automatisch Volumen dazubuchen, sondern drosseln) und einer All-Net-Flatrate für Telefonie.

Die außereuropäische Nutzung solllte bei Verwendung der dienstlichen SIM komplett untersagt sein.

Zuletzt bietet sich noch die Möglichkeit, mit DUAL-SIM zu arbeiten und die private SIM dann dem privaten Bereich fest zuzuordnen und die dienstliche SIM nur im dienstlichen Bereich des verwalteten Mobilgeräts.

Abmahnwelle wegen Google-Fonts Remote

Mit Urteil des Landgerichts München vom 20.01.2022 (Az: 3 O 17493/20) wurde die Rechtswidrigkeit der Einbindung von Google-Fonts durch Aufruf von externen Seite festgestellt. Mit Aufruf der Website wird durch das Laden der Google-Fonts eine Verbindung zu US-Servern von Google aufgebaut und die IP-Adresse des Besuchers übermittelt.

Da eine Einbindung der Google Fonts oftmals auch bei der Anzeige des „Cookie-Banners“ und bei inhaltsleeren Fehlerseiten (z.B. gelöschte Seiten o.ä.) erfolgt, bleibt die Einbindung trotz Überprüfung gerne zunächst unentdeckt, womit die automatische Übermittlung der IP-Adresse des Besuchers daher gegen die DSGVO verstoßen kann. Details kann Ihnen hierzu ein Fachanwalt für IT-Recht oder Ihr Datenschutzbeauftragter erläutern.

Leider machen sich einige Abmahnanwälte diese Verstöße mit Massen-Abmahnungen zu Nutze und verschicken automatisiert Zahlungsaufforderungen in Höhe von rund 200 €.

Update 21.12.2022: Die beiden Abmahnanwälte, die mehr als 2.000 Abmahnungen verschickt haben, sind nun selbst angeklagt und verurteilt worden (wegen Abmahnbetrugs). In der Begründung der Staatsanwaltschaft Berlin wurde festgestellt, das die Suche nach Webseiten mit verlinkten Google Fonts durch eine Software durchgeführt werden. Da ein Datenschutz-Verstoß nicht gegen Programme, sondern nur gegen natürliche Personen wirksam sind, waren die Abmahnungen in betrügerischer Absicht.
Ungeachtet dieser Massenabmahnung sollten Sie Google Fonts und andere "Open-Source" Bibliotheken ausschließlich auf dem eigenen Webauftritt betreiben (also keine externen Links setzen).

Schutz-Maßnahmen

Keine Befürchtungen im Fall einer entsprechenden Abmahnung müssen Sie haben, wenn Sie entweder keine externen Fonts in Ihrem Internetauftritt eingebunden haben oder die Google-Fonts lokal über ihren in Deutschland gehosteten Webserver mit ausliefern.

Das können Sie stichprobenartig einfach prüfen, indem Sie Ihre Internetseite aufrufen und dann im Chrome oder Edge die Taste {F12} drücken. Im Register „Quellcode“ erscheint dann links eine Liste der Quellen, aus denen Ihre Seiten die Daten beziehen. Taucht dort nur die eigene Domain auf, reduziert sich das Risiko einer Abmahnung signifikant. Alternativ rufen Sie von Ihren Seiten und Unterseiten „Seitenquelltext anzeigen“ auf und suchen darin nach "fonts" oder „google“.

Auf diesen Seiten verwenden wir beispielsweise keine externen Quellen für Google-Fonts, Avatare, Emojis und andere Darstellungs- oder Programmcode-Elemente. Mehr dazu in unserer Datenschutzerklärung.

Wordpress

Da mittlerweile rund 64,3% {Quelle: de.statista.com, Oktober 2022} aller Internet-Auftritte die Plattform „WordPress“ verwenden, gibt es zahlreiche empfohlene Maßnahmen, die externen Verbindungen zu kappen, bzw. auf die eigene Seite zu verlagern. Für mehr Details lassen Sie sich bitte von Ihrer Medienagentur oder Ihrem Webdesigner in Abstimmung mit Ihrem Datenschutzbeauftragten und Fachanwalt beraten.