Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.

Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2024“ veröffentlicht. Den BSI-Lagebericht finden Sie unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Mit dem Bericht informiert der BSI jährlich über die Bedrohungslage im Cyberraum.

Werden bei einem Cyberangriff beispielsweise personenbezogenen Daten gestohlen, handelt es sich um einen Datenschutzvorfall. Ist die Sache schwerwiegend, könnte dies einen Vorfall darstellen, der nach Art. 33 DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden ist.

Dann könnten Sie auch verpflichtet sein, Betroffene gem. Art. 24 DSGVO zu informieren. Dies verursacht regelmäßig Image- und Umsatzprobleme beim Unternehmen.

Mithilfe des Berichts können Sie Schwachstellen in Ihrem Unternehmen ausfindig machen und Gegenmaßnahmen treffen, um Schäden möglichst gering zu halten.

Phishing

Im Januar diesen Jahres wurden E-Mails versendet, in der Verbraucher aufgefordert wurden Ihre "photoTAN-App" zu aktualisieren. Angeblich ist dieser Vorgang erforderlich, um die Funktionen der App weiterhin nutzen zu können. Für die Aktualisierung wird eine Frist von 48 Stunden vorgegeben, ansonsten werde die Nutzung der App „Funktionsstörungen“ aufweisen.

Hierbei handelt es sich um Phishing und sollte unbedingt unbeantwortet in den Spam-Ordner verschoben werden! Wenn Apps aktualisiert werden müssen, geschieht dies über die Stores, von denen sie installiert wurden (z.B. App Store, Play Store). Suchen Sie nur dort nach einem Update!

Phishing können Sie insbesondere an folgenden Kriterien erkennen:

Phishing-Unterarten

  1. Smishing
    Kunstwort “Smishing” setzt sich aus den Begriffen SMS und Fishing zusammen
    Derzeit erhalten Verbraucher SMS von angeblichen Paketdiensten in denen es um die Zustellung eines Pakets geht. In der SMS ist ein Link enthalten, auf den Sie klicken sollen.  Sofern Sie den Link anklicken, könnten jedoch schädliche Anwendungen und SMS auf Ihr Telefon installiert werden, Massen-SMS versendet werden, persönliche Daten erschlichen und Geld abgezockt werden oder Sie in Abofallen locken.
    Haben Sie versehentlich den Link in der Nachricht angetippt, erlauben Sie keine Installation einer neuen App! ↩︎
  2. Quishing
    Kunstwort “Quishing” setzt sich aus den Begriffen QR-Code und Fishing zusammen
    In der Stadt Hannover wurden an mehreren Parkautomaten Aufkleber mit QR-Codes beklebt, die vorgeben, vom Bezahlanbieter easypark zu sein.  Dabei wurden originale Hinweisschilder des Anbieters überklebt. Die gefälschten Aufkleber auf Anhieb zu erkennen ist schwer. Meist gelingt dies nur, wenn diese schief aufgeklebt wurden oder andere Schriftfelder sichtbar überklebt wurden.
    Scannt man diesen QR Code, führt dieser zu einer Webseite (easypark.live.), auf der man zunächst aufgefordert wird, die passende Parkzone zu wählen und die Parkzeit zu bestimmen. Wenn es an die Bezahlung geht, wird die Eingabe der Kreditkartendaten gefordert. Dies führt dazu, dass die Täter Kreditkartendaten der Verbraucher abgreifen und für missbräuchliche Zwecke einsetzen können.
    Der „echte“ Anbieter verweist nicht auf eine Webseite, sondern fordert die Bezahlung für die auf dem Schild angegebene Höchstparkdauer in einer App an.
    Zudem sollten Kurzlinks nach dem Scannen des Codes genau geprüft werden. ↩︎
  3. Vishing
    Kunstwort “Vishing” setzt sich aus den Begriffen Voice und Fishing zusammen
    Die Opfer werden telefonisch von einem Mitarbeiter einer Bank angerufen. IN dem Gespräch erklärt der Bankmitarbeiter, dass es auf dem Konto des Opfers unberechtigte Abhebeversuche mit einer kopierten Girocard beziehungsweise EC-Karte gegeben hat oder der Bank eine Überweisung für das Ausland vorläge.
    Dem Opfer wird erzählt, dass sein Konto gesperrt wurde und man nun die originale Bankkatze und PIN benötige. Noch während des Gesprächs erscheint ein angekündigter Bote der angeblichen Bank und lässt sich die Karte aushändigen.
    Die Betrüger tätigen umgehend eine Verfügung mit der erhaltenen Bankkarte.
    Wichtig zu wissen ist, dass kein Bankinstitut oder eine Behörde am Telefon persönlichen Informationen insbesondere Kontodaten, Bankleitzahlen oder Kreditkartennummern erfragt. ↩︎

Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (ERechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.

Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.

Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.

Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.

Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.

Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.

Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.

Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.

Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.

Die neue KI-Verordnung beinhaltet eine Pflicht der Betreiber und Anbieter von KI-Systemen, ihre Beschäftigten zu schulen. Diese Pflicht besteht unabhängig vom Risiko der KI-Systems bereits ab dem 02.02.2025. Schulungen zur KI-Kompetenz sind in das bestehende Schulungskonzept mit aufzunehmen und Mitarbeiter zu schulen.

Cyberkriminalität hat viele Gesichter. Vermehrt gehen Angreifer dazu über, Mitarbeiter über verschiedene Kommunikationswege zu täuschen und zu manipulieren, um dadurch Schwachstellen zu schaffen und ein bestimmtes Verhalten der Mitarbeiter zu erreichen.

Beim E-Mail-Phishing versuchen die Angreifer beispielsweise mit gefakten Mails Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen und den Computer des Opfers mit Malware zu infizieren.

Bei Deepfakes werden gezielt Persönlichkeitsmerkmale des Opfers ausgenutzt, um dieses zu manipulieren. Es werden mit Künstlicher Intelligenz (KI) manipulierte Ton- und Videoaufnahmen z.B. des Vorgesetzten erstellt und die Angst vor oder Vertrauen in den Vorgesetzten genutzt, um vertrauliche Informationen preiszugeben.

Es gibt verschiedene Tipps, wie sie E-Mail-Phishing und Deepfakes verhindern können. Sprechen Sie uns gerne an.

Die Digitalisierung sollte man strategisch angehen. Ihr ds²-Berater unterstützt Sie bereits bei der Planungsphase und zeigt Ihnen Prozesse zur Einführung neuer digitaler Systeme auf, um sämtliche datenschutzrechtliche Aspekte zu berücksichtigen und damit eine erfolgreiche Digitalisierung in Ihrem Unternehmen zu erzielen. Jede neue oder geänderte Verarbeitungstätigkeit wird aus Datenschutzsicht nach bestimmten Phasen abgearbeitet. Voran steht die Beschreibung der Verarbeitungstätigkeit, insbesondere einer Beschreibung der personenbezogenen Daten die verarbeitet werden sollen sowie den Zweck, zu welchem die Verarbeitung erfolgt. Die Verarbeitung kann beispielsweise das Abspeichern von Vertragsdaten einer Person, die Lohnbuchhaltung oder die Datenübermittlung an Dienstleister sein. Hinzukommen die Erstellung von Risikoanalysen und ggfs. Datenschutzfolgenabschätzungen, Informationspflichten, Einwilligungen oder beispielsweise Betriebsvereinbarungen.

Digitalisierung bedeutet Veränderung. Ein Change Management kann dabei helfen, die Veränderung anzugehen. Es sind Teams aus Verantwortlichen und Anwendern zu bilden. Durch den Einsatz digitaler Systeme bzw. Technologien verändert sich auch die Arbeitswelt Ihrer Mitarbeiter/innen. Sie sind durch Vermittlung von Fachwissen auf die Digitalisierung vorzubereiten.

magnifiercrossmenu