DeepL wechselt auf AWS – Datentransfer in die USA nicht ausgeschlossen
Ab dem 20. Mai 2026 verarbeitet der Kölner Übersetzungsdienst DeepL Kundendaten nicht mehr ausschließlich auf eigenen Servern in Deutschland und Island, sondern auch über Amazon Web Services (AWS) – in Regionen wie der EU, den USA und Japan. Die neuen Nutzungsbedingungen gelten als akzeptiert, wenn du nicht aktiv widersprichst. Wer widerspricht, kann seinen Account bis maximal Ende 2026 auf der alten Infrastruktur weiternutzen, danach endet der Vertrag.
Read MoreEU-Datenschutzbehörden bremsen „Digital Omnibus" – DSGVO-Abbau vorerst gestoppt
Die EU-Kommission wollte mit dem sogenannten „Digital Omnibus" weitreichende Änderungen an der DSGVO durchsetzen – darunter eine engere Definition von Personendaten, Einschränkungen beim Auskunftsrecht und einen Freifahrtschein für KI-Training auf Basis von Nutzerdaten. Nun haben der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) in einer gemeinsamen Stellungnahme deutliche Kritik geäußert und mehrere Kernpunkte klar abgelehnt.
Read MoreLinkedIn sperrt DSGVO-Auskunftsrecht hinter Paywall – noyb beschwert sich
Wer wissen möchte, wer das eigene LinkedIn-Profil besucht hat, soll dafür bezahlen – das ist die aktuelle Praxis der Microsoft-Tochter. Die österreichische Datenschutzorganisation noyb sieht darin einen klaren Verstoß gegen Art. 15 DSGVO, der jedem das Recht auf kostenlose Selbstauskunft über gespeicherte Daten garantiert. noyb hat nun im Namen eines LinkedIn-Nutzers Beschwerde bei der österreichischen Datenschutzbehörde eingelegt und eine Geldbuße gefordert.
Read MoreEuropols Schatten-IT: Millionen Datensätze ohne Kontrolle
Laut einem Bericht von heise.de belegen interne Dokumente, dass Europol jahrelang bis zu 99 % seiner operativen Daten auf einer Plattform ohne IT-Kontrolle und Zugriffsprotokollierung verarbeitete — darunter Standortdaten, Finanztransaktionen und Ausweisdokumente auch von Unverdächtigen. Der EU-Datenschutzbeauftragte wurde offenbar gezielt im Dunkeln gelassen. Ein ehemaliger Insider berichtet, die Behörde versuche das System nun nachträglich zu legalisieren.
Read MoreBGH: Privatadresse und Unterschrift dürfen aus dem Handelsregister gelöscht werden
Der Bundesgerichtshof hat am 18. Februar 2026 ein datenschutzrechtlich bedeutsames Urteil gesprochen (Az. II ZB 2/25): Wer als Geschäftsführer Dokumente beim Handelsregister eingereicht hat, die mehr personenbezogene Daten enthalten als gesetzlich vorgeschrieben – etwa die private Wohnanschrift oder eine handschriftliche Unterschrift –, kann deren Austausch gegen bereinigte Fassungen verlangen. Der BGH stützt sich dabei auf das Recht auf Löschung nach Art. 17 DSGVO.
Read MoreChatkontrolle: Rechtslage unklar, Tech-Konzerne scannen weiter
Seit dem Wochenende ist die EU-Übergangsregelung ausgelaufen, die Unternehmen wie Google, Meta und Microsoft erlaubte, private Nachrichten anlasslos nach Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu durchsuchen. Eine Verlängerung scheiterte im Europaparlament. Ohne diese Ausnahmeregelung verstoßen automatisierte Massenscans nach Einschätzung von Experten und der EU-Kommission selbst gegen die geltende E-Privacy-Richtlinie.
Read MoreGoogle warnt: KI macht Cyberangriffe schneller, gezielter und schwerer erkennbar
Google Cloud hat seinen Cybersecurity Forecast 2026 veröffentlicht – eine nüchterne Bestandsaufnahme der Bedrohungslage, die auf echten Vorfallsdaten und Geheimdiensterkenntnissen basiert. Die Kernaussage: KI ist längst kein Zukunftsthema mehr, sondern wird von Angreifern heute aktiv eingesetzt – für überzeugendere Phishing-Mails, täuschend echte Telefonanrufe (Vishing) mit geklonten Stimmen und automatisierte Angriffskampagnen im grossen Massstab.
Read MoreCyberangriff auf Europa.eu – Kommission bestätigt Datendiebstahl
Am 24. März 2026 entdeckte die Europäische Kommission einen Angriff auf die Cloud-Infrastruktur, auf der die öffentlichen Websites unter europa.eu betrieben werden. Drei Tage später, am 27. März, informierte sie die Öffentlichkeit. Erste Untersuchungsergebnisse bestätigen, dass Daten von diesen Webseiten gestohlen wurden. Die internen Systeme der Kommission seien laut eigenen Angaben nicht betroffen gewesen, und die Verfügbarkeit der Websites wurde nicht unterbrochen. Betroffene EU-Einrichtungen werden derzeit direkt benachrichtigt.
Read MoreBundesrat zur KI-Verordnung: Vereinfachung ja, aber nicht auf Kosten des Schutzes
Der Bundesrat hat am 27. März 2026 Stellung zur geplanten EU-Digital-Omnibus-Verordnung genommen, die die bestehende KI-Verordnung vereinfachen soll. Die Kernbotschaft: Bürokratieabbau ist richtig und wichtig, darf aber nicht den Grundrechtsschutz aushöhlen.
Read MoreLinkedIn-Verifizierung: Was du wirklich preisgibst
Wer auf LinkedIn den blauen Haken für verifizierte Identität will, landet unweigerlich bei einem Unternehmen namens Persona Identities, Inc. – einem US-amerikanischen Dienstleister aus San Francisco, den die meisten Nutzer noch nie gehört haben. Ein Blogger hat sich die Mühe gemacht, die 34 Seiten Datenschutzrichtlinien und Nutzungsbedingungen tatsächlich zu lesen – und was er herausfand, ist ernüchternd.
Read MoreEuGH: Fingerabdrücke und Fotos nicht auf Vorrat
Der Europäische Gerichtshof hat am Donnerstag klargestellt, dass Polizeibehörden biometrische Daten wie Fingerabdrücke oder Lichtbilder nicht routinemäßig bei jeder Festnahme erheben dürfen. Das Urteil (C-371/24) setzt der verbreiteten Praxis einer automatischen erkennungsdienstlichen Behandlung enge Grenzen.
Read MoreEuGH begrenzt Missbrauch von DSGVO-Auskunftsrechten
Der Europäische Gerichtshof hat in einem aktuellen Urteil (C-526/24) klargestellt, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht schrankenlos gilt. Wer Auskunftsanfragen gezielt stellt, um daraus Schadenersatzforderungen zu konstruieren, kann als Rechtsmissbraucher eingestuft werden – und geht dann leer aus.
Read MoreMedizintechnik-Konzern Stryker: Iranische Gruppe löscht 200.000 Geräte über Intune
Am 11. März 2026 wurde der US-amerikanische Medizintechnikkonzern Stryker Opfer eines gezielten Cyberangriffs, der erhebliche Störungen in der weltweiten Microsoft-Umgebung des Unternehmens verursachte. Betroffen waren Auftragsverarbeitung, Fertigung und Logistik – in Irland, dem größten Standort außerhalb der USA, wurden Mitarbeitende nach Hause geschickt. Die Hackergruppe Handala beansprucht die Tat für sich und gibt an, über 200.000 Geräte gelöscht und 50 TB Daten gestohlen zu haben.
Read MoreDatenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen
Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.
Read MoreMicrosoft Copilot: KI-Assistent mit Sicherheitslücken
Microsoft Copilot ist tief in Microsoft 365 integriert und hat Zugriff auf praktisch alles, was ein Mitarbeiter sehen kann – E-Mails, SharePoint-Dokumente, Teams-Chats. Genau das ist das Problem: In den meisten Unternehmen haben Mitarbeiter weit mehr Zugriffsrechte als nötig. Laut einem Bericht von Concentric AI sind 16 % aller geschäftskritischen Daten übermäßig geteilt, im Schnitt rund 800.000 Dateien pro Organisation. Copilot erbt diese Berechtigungen – und kann damit ungewollt zum Datenleck werden.
Read MoreDSGVO-Bußgelder 2025: Unter der Milliardenmarke
Eine aktuelle Auswertung zeigt: Die verhängten DSGVO-Bußgelder summierten sich 2025 auf rund 690 Millionen Euro – nach über einer Milliarde im Vorjahr ein deutlicher Rückgang. Die Analyse stammt vom deutschsprachigen Datenschutzportal, der vollständige Artikel ist hier abrufbar: datenschutz.org
Read MoreEU-Rat kippt geplante Änderung der Personendaten-Definition aus dem DSGVO-Omnibus
Der Rat der EU-Mitgliedstaaten hat in einem Kompromisstext vom 20. Februar beschlossen, die von der EU-Kommission vorgeschlagene Neudefinition personenbezogener Daten aus dem sogenannten Digital Omnibus zu streichen. Das berichtet Euractiv auf Basis eines geleakten Dokuments. Der vollständige Artikel ist hier zu finden: Euractiv
Read MoreGefälschte Windows-11-Werbung auf Facebook verteilt Passwort- und Krypto-Stealer
Angreifer schalten derzeit bezahlte Facebook-Anzeigen, die täuschend echt nach offiziellen Microsoft-Promotionen aussehen. Wer darauf klickt, landet auf einer nahezu perfekten Kopie der Microsoft-Download-Seite – erkennbar nur an der Adresszeile, die Domains wie ms-25h2-download[.]pro oder ms25h2-update[.]pro zeigt statt microsoft.com. Ein Klick auf „Jetzt herunterladen" liefert keinen Windows-Update, sondern einen 75 MB großen Schädling namens ms-update32.exe, der Passwörter, Browser-Sessions und Krypto-Wallet-Daten stiehlt.
Read MoreKritische 1-Click RCE-Schwachstelle in OpenClaw AI-Assistenten
Der populäre Open-Source AI-Assistent OpenClaw (ehemals Moltbot/ClawdBot), der bereits von über 100.000 Entwicklern für umfassende System- und Nachrichtenzugriffe genutzt wird, war durch eine verkettete Schwachstelle angreifbar. Sicherheitsforscher von depthfirst entdeckten eine Logiklücke, die zu 1-Click Remote Code Execution führte. Ein einfacher Besuch einer präparierten Webseite reichte aus, um das System vollständig zu kompromittieren.
Read MoreClawdbot: KI-Automation mit hohem Risiko
Stellen Sie sich vor: Eine KI, die nicht nur Fragen beantwortet, sondern tatsächlich Aufgaben auf Ihrem Computer ausführt. Die Ihren Browser steuert, Dateien verwaltet, Code schreibt und testet – alles per Chat-Befehl von Ihrem Smartphone aus. Klingt wie Science-Fiction? Willkommen bei Clawdbot, dem Open-Source-Projekt, das derzeit die Tech-Welt elektrisiert und nebenbei einen regelrechten Run auf Mac Minis ausgelöst hat.
Read MoreFacebook-Phishing: Angreifer setzen verstärkt auf Browser-in-the-Browser-Technik
Cyberkriminelle nutzen zunehmend die sogenannte Browser-in-the-Browser-(BitB)-Methode, um Facebook-Nutzer zur Preisgabe ihrer Zugangsdaten zu verleiten. Laut Beobachtungen von Trellix ist diese Technik in den vergangenen sechs Monaten vermehrt in Phishing-Kampagnen gegen Facebook im Einsatz und stellt eine deutliche Weiterentwicklung klassischer Login-Betrugsmaschen dar.
Read MoreReprompt: One-Click-Angriff auf Microsoft Copilot erlaubte verdeckte Datenabflüsse
Varonis hat mit „Reprompt“ einen Angriff beschrieben, der in Microsoft Copilot Personal mit nur einem Klick auf einen legitimen Microsoft-Copilot-Link eine verdeckte Datenabfluss-Kette auslösen konnte. Die Methode nutzte unter anderem den URL-Parameter q, um Prompts beim Öffnen der Copilot-Webseite automatisch auszuführen – ohne dass Nutzer aktiv etwas in Copilot eingeben mussten.
Read More„Truman Show“-Scam: KI-generierte Scheinwelt tarnt großangelegten Investmentbetrug
Sicherheitsforscher des Harmony Mobile Detection Teams haben eine hochentwickelte Investmentbetrugs-Kampagne mit dem Namen OPCOPRO offengelegt, die vollständig auf KI-gestützter Social Engineering basiert. Die Angreifer nutzen legitime Android- und iOS-Apps aus offiziellen App-Stores sowie künstlich erzeugte WhatsApp- und Telegram-Communities, um Opfer über Wochen hinweg in eine kontrollierte Scheinrealität zu ziehen.
Read MoreGmail erhält KI-gestütztem Posteingang
Google hat den Start der sogenannten Gemini-Ära für Gmail angekündigt und führt 2026 umfangreiche KI-Funktionen ein, die den E-Mail-Alltag stärker automatisieren sollen. Ziel ist es, Gmail von einem reinen Postfach zu einem proaktiven, persönlichen Assistenten weiterzuentwickeln.
Read MoreDATEV-Störung führt zu möglichem DSGVO-Vorfall bei Lohnabrechnungen
Beim IT-Dienstleister DATEV kam es am 8. und 9. Januar 2026 zu einer schwerwiegenden Störung im Umfeld der Lohnabrechnung. Wie der IT-Blog Borncity berichtet, war insbesondere das Modul LODAS betroffen. Zwar konnte die technische Störung offenbar per Workaround eingedämmt werden, dennoch scheint es dabei zu gravierenden Folgeproblemen gekommen zu sein.
Read MoreEU-Kommission plant verbindliches Huawei-Verbot im Cybersecurity Act
Laut einem Bericht von Golem erwägt die EU-Kommission, den Einsatz chinesischer Technologieanbieter wie Huawei und ZTE in kritischen Infrastrukturen künftig verpflichtend zu untersagen. Hintergrund ist eine geplante Überarbeitung des Cybersecurity Acts, die am 14. Januar 2026 vorgestellt werden soll. Damit würden die bislang freiwilligen Maßnahmen der sogenannten ICT Toolbox verbindlich umgesetzt, die den Ausschluss von Technik aus als nicht vertrauenswürdig eingestuften Staaten vorsieht.
Read MoreNordVPN weist Vorwürfe zu angeblichem Salesforce-Datenleck zurück
NordVPN hat Berichte über einen angeblichen Zugriff auf einen internen Salesforce-Entwicklungsserver zurückgewiesen. Auslöser war ein Datendump in einem Hackerforum, in dem ein Angreifer behauptete, Systeme des VPN-Anbieters kompromittiert zu haben. Nach einer ersten forensischen Analyse sieht NordVPN jedoch keine Hinweise auf einen Einbruch in eigene Server oder die Produktionsinfrastruktur.
Read MoreUSA verlangen Zugriff auf europäische Polizeidaten
Die USA wollen den Verbleib europäischer Staaten im Visa-Waiver-Programm künftig an einen direkten Zugriff auf nationale Polizeidatenbanken knüpfen. Gefordert wird der automatisierte Zugang zu Biometriedaten wie Fingerabdrücken und Gesichtsbildern – nicht nur von Reisenden, sondern auch von Personen, deren Daten bei Polizei- und Grenzbehörden gespeichert sind.
Read MoreDSGVO: EU verlängert UK-Angemessenheitsbeschluss für 6 Jahre
Die EU-Kommission hat am 19. Dezember 2025 die beiden Angemessenheitsbeschlüsse für das Vereinigte Königreich erneuert. Damit dürfen personenbezogene Daten weiterhin ohne zusätzliche Transfermechanismen (wie SCCs) aus der EU in das Vereinigte Königreich fließen – einmal für den Bereich der DSGVO und einmal für den Bereich Strafverfolgung (Law Enforcement Directive).
Read MoreOpenMates verspricht Chat-Verschlüsselung und Datenschutz in LLMs
Das Open Source Projekt OpenMates adressiert ein zentrales Problem heutiger KI-Dienste: fehlende Kontrolle über eigene Daten. Während viele KI-Plattformen Nutzereingaben serverseitig speichern, auswerten oder für Training nutzen, setzt OpenMates auf Zero-Knowledge-Verschlüsselung und Open Source. Inhalte sollen clientseitig verschlüsselt werden, sodass Betreiber keinen Zugriff auf Chats und Daten haben.
Read MoreKI-Browser gefährden das offene Web – Tim Berners-Lee warnt vor tektonischem Umbruch
Web-Erfinder Tim Berners-Lee warnt in einem Podcastinterview vor KI-gestützten Browsern, die das Fundament des offenen Internets erschüttern könnten. Systeme wie OpenAIs Atlas, Perplexitys Comet oder die neuen KI-Features in Chrome und Edge liefern Informationen zunehmend direkt – ohne dass Nutzer überhaupt noch Webseiten aufrufen müssen. Für Berners-Lee steht damit das Geschäftsmodell vieler Webangebote und die grundlegende Verlinkungsstruktur des Webs auf dem Spiel.
Read MoreLet’s Encrypt kürzt Zertifikatslaufzeit auf 45 Tage
Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.
Read MoreEU: DSGVO-Reform und weniger strenge KI-Regeln
Die EU-Kommission hat ihr großes Vereinfachungspaket für Digitalgesetze präsentiert. Unter dem Namen „Digital Omnibus“ sollen sowohl die DSGVO als auch die ePrivacy-Regeln und das KI-Gesetz überarbeitet und verschlankt werden. Die Kommission verspricht weniger Bürokratie und mehr Innovationsspielraum – Datenschützer sprechen dagegen von einem Rückschritt, vor allem wegen gelockerter Cookie-Regeln.
Read MoreWiener Forscher decken massive WhatsApp-Datenschutzlücke auf
Informatikerinnen der Universität Wien und SBA Research haben eine gravierende Schwachstelle im Contact-Discovery-Mechanismus von WhatsApp entdeckt, die globale Nutzerinnen-Enumeration ermöglichte. Durch extrem hohe Abfrageraten konnten die Forschenden mehr als 3,5 Milliarden aktive WhatsApp-Konten weltweit identifizieren, inklusive Metadaten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und – sofern freigegeben – Profilbild oder About-Text.
Read MoreChatGPT-Suche leakt Nutzereingaben an Google
Ein kurioser, aber potenziell heikler Datenschutzfehler hat bei ChatGPT dazu geführt, dass Nutzereingaben (Prompts) über Google Search Console sichtbar wurden. Nutzer bemerkten plötzlich fremde, teils persönliche Suchanfragen in ihren GSC-Daten – offenbar stammten diese direkt aus ChatGPT-Abfragen.
Read MoreUNC6384 missbraucht Windows .LNK Dateien gegen Europäische Diplomaten
Arctic Wolf Labs beobachtet seit September/Oktober 2025 eine Spionagekampagne des China-nahen Akteurs UNC6384 gegen diplomatische Einrichtungen in Ungarn, Belgien sowie weiteren EU-Ländern. Die Angreifer nutzen Spear-Phishing mit LNK-Dateien zu EU-/NATO-Terminen und weaponizen die im März 2025 offengelegte Windows-Verknüpfungs-Schwachstelle ZDI-CAN-25373. Über obfuskierte PowerShell-Ketten wird PlugX per DLL-Side-Loading in signierte Canon-Hilfsprogramme eingeschleust; Persistenz erfolgt u. a. via Run-Key. Identifizierte C2-Infrastruktur umfasst racineupci[.]org, dorareco[.]net und naturadeco[.]net.
Read MoreEU-Vorschlag zur Chat-Überwachung nach deutscher Kritik zurückgezogen
Das dänische EU-Ratsvorsitzland hat sein umstrittenes Vorhaben fallen gelassen, Techkonzerne zum Scannen privater Nachrichten zu verpflichten.
Read MoreIsrael ruft 700 chinesische Dienstfahrzeuge wegen Spionagegefahr zurück
Die israelischen Streitkräfte (IDF) haben laut Medienberichten rund 700 chinesische Fahrzeuge aus dem Fuhrpark hochrangiger Offiziere zurückgerufen. Hintergrund sind Sicherheitswarnungen, wonach in den Autos verbaute Kameras, Mikrofone, Sensoren und Kommunikationssysteme potenziell zur Datenübertragung oder Spionage missbraucht werden könnten.
Read MoreNorwegen: Fernabschaltung bei chinesischen Yutong-E-Bussen entdeckt
Der Verkehrsbetrieb Ruter (Oslo) hat bei geheimen Tests zwei Elektrobusse in einer stillgelegten Mine geprüft und festgestellt, dass das Yutong-Fahrzeug ferngesteuerte Software-Updates, Diagnosen und sogar Batterie-Module zulässt — in der Theorie könnten Hersteller oder Dritte den Bus so fernsteuern oder deaktivieren.
Read MoreGefälschte Mobile.de-Nachrichten verteilen Schadsoftware an Autohändler
IT-Blogger Günter Born warnt in seinem aktuellen Beitrag vor einer neuen Welle von Phishing- und Malware-Angriffen über Mobile.de-Nachrichten. Laut einem Leserbericht werden derzeit gefälschte E-Mails an Autohäuser versendet, die vermeintlich von Mobile.de stammen und eine infizierte PDF-Datei enthalten.
Read MoreKonformität mit NIS2-Richtlinie und Cyber Resilience Act
NIS2 und Cyber Resilience Act Die NIS2-Richtlinie (EU 2022/2555) und der Cyber Resilience Act (CRA) bilden neue EU-Vorgaben zur Cybersicherheit. NIS2 zielt auf Betreiber wesentlicher Dienste und kritischer Infrastrukturen ab, während der CRA ein Mindestmaß an IT-Sicherheit für Produkte mit digitalen Elementen vorschreibt. Beide Regelwerke gehen über freiwillige Standards wie ISO/IEC 27001 hinaus und schaffen verbindliche Pflichten. EU-Mitgliedstaaten mussten NIS2 bis Oktober 2024 in nationales Recht umsetzen – Deutschland arbeitet an einem NIS2-Umsetzungsgesetz, das voraussichtlich Ende 2025 in Kraft tritt. Der CRA ist hingegen eine EU-Verordnung, die am 10. Dezember 2024 in Kraft getreten ist und ab dem 11. Dezember 2027 vollumfänglich gilt. Im Folgenden werden die zentralen Anforderungen beider Regelungen erläutert – insbesondere was über eine ISO 27001-Zertifizierung hinaus zu beachten ist – sowie die Auswirkungen auf Lieferanten (z.B. Dienstleister) und Software/Cloud-Anbieter.
Read MoreF5 meldet Sicherheitsvorfall mit Zugriff auf BIG-IP-Entwicklungsumgebung
Der IT-Sicherheitsanbieter F5 hat am 15. Oktober 2025 Details zu einem Sicherheitsvorfall veröffentlicht, bei dem ein staatlich unterstützter Angreifer im August 2025 langfristigen Zugriff auf interne Systeme hatte. Betroffen waren unter anderem die Entwicklungsumgebung der BIG-IP-Produkte sowie Plattformen zur Wissensverwaltung. Laut F5 wurden Dateien mit Quellcode und Informationen zu noch unveröffentlichten Schwachstellen entwendet.
Read MoreHackerangriff auf Jaguar Land Rover richtet 2,2 Mrd Euro Schaden an
Der massive Cyberangriff auf Jaguar Land Rover (JLR) hat den britischen Autobauer über sechs Wochen vollständig lahmgelegt und gilt laut dem Cyber Monitoring Centre (CMC) als „der wirtschaftlich schädlichste Cybervorfall in der britischen Geschichte“. Der geschätzte Gesamtschaden für die britische Volkswirtschaft beträgt rund 1,9 Milliarden Pfund (2,2 Milliarden Euro), wie die FAZ berichtet.
Read MoreDas Ende der digitalen Höflichkeit: robots.txt ist tot
In einem Bericht verabschiedet sich Heise mit einem Nachruf auf robots.txt, die legendäre Textdatei, die seit 1994 als unscheinbare Wächterin des Internets diente. Sie regelte, welche Inhalte von Webcrawlern indexiert werden durften – und basierte vollständig auf freiwilligem Respekt.
Read MoreRiesiges Datenleck bei Hotelsoftware: Millionen Gästedaten offen im Netz
Ein massives Sicherheitsleck bei der Hotelverwaltungssoftware des Anbieters Gubse AG hat Millionen Gästedaten offengelegt – darunter auch sensible Informationen von Bundestagsabgeordneten. Betroffen sind unter anderem Hotels der Kette Motel One sowie mehrere DJH-Jugendherbergen.
Read MoreSonicWall bestätigt Totalverlust: Alle Cloud-Backups von Firewalls gestohlen
SonicWall hat eingeräumt, dass beim Sicherheitsvorfall von Mitte September sämtliche Cloud-Backups von Firewalls kompromittiert wurden. Anfangs sprach das Unternehmen noch von nur rund fünf Prozent betroffener Sicherungsdaten – nun steht fest: Alle Kunden, die die Cloud-Backup-Funktion aktiviert hatten, sind betroffen.
Read MoreDatenleck bei Discord: Ausweisfotos von 70.000 Nutzern betroffen
Discord hat ein Datenleck bestätigt, bei dem rund 70.000 Nutzer:innen betroffen sein könnten. Ursache war ein Angriff auf einen externen Kundenservice-Dienstleister, über den auch Altersverifikationen abgewickelt wurden. Dabei wurden mutmaßlich Fotos von Ausweisdokumenten entwendet.
Read MoreAvnet bestätigt Datenleck – gestohlene Daten laut Unternehmen unlesbar
Der US-Elektronikdistributor Avnet hat einen Cybervorfall bestätigt, bei dem Angreifer unbefugt auf eine extern gehostete Datenbank im EMEA-Raum zugriffen. Laut Unternehmensangaben wurden dabei Daten aus einem internen Vertriebssystem entwendet, die jedoch ohne spezielle Avnet-Tools nicht lesbar seien.
Read MoreCyberangriff auf Engel & Völkers-Lizenznehmer mit Datenabfluss
Ende September 2025 wurde ein lokaler Lizenznehmer des Immobilienunternehmens Engel & Völkers in Südwestfalen Ziel eines Cyberangriffs, wie auf dem Blog von Günther Born berichtet wurde. Dabei verschafften sich Unbekannte Zugriff auf Teile der Kundendatenbank und entwendeten persönliche Informationen wie Namen, Adressen, Kontaktdaten sowie Angaben zu Immobilienanfragen und Vertragsunterlagen.
Read MoreVerpflichtende Nutzung der elektronischen Patientenakte gestartet
Seit dem 1. Oktober 2025 müssen Arztpraxen, Krankenhäuser und weitere medizinische Einrichtungen die elektronische Patientenakte (ePA) nutzen. Laut Gematik sind mehr als 93 Prozent der Praxen und Apotheken technisch ausgestattet. Bereits rund 70 Millionen Akten für gesetzlich Versicherte wurden angelegt, die Widerspruchsquote liegt bei etwa fünf Prozent.
Read MoreMicrosoft verschleiert globale Datenflüsse von Polizeidaten
Recherchen von Computer Weekly zeigen, dass Microsoft zentrale Informationen über internationale Datenflüsse seiner Cloud-Infrastruktur vor UK-Behörden zurückhält. Laut freigegebenen Dokumenten verweigerte der Konzern der Scottish Police Authority (SPA) und Police Scotland detaillierte Angaben dazu, in welche Länder ihre in Microsoft 365 gehosteten Daten übertragen oder von wo aus sie abgerufen werden können.
Read MoreBonify meldet möglichen Zugriff auf Identifizierungsdaten
Das Finanz-Startup bonify informiert über einen Sicherheitsvorfall, bei dem Kriminelle Zugriff auf bestimmte Identifizierungsdaten eines Teils der Nutzer erlangt haben könnten. Betroffen sind Daten aus „Face-to-Face“-Autorisierungen über einen externen Dienstleister, darunter Ausweisdaten, Adressdaten sowie Fotos oder Videos.
Read MoreZentrum für Entwicklungsforschung Bonn angeblich Opfer von Datenleck
Im Darknet ist ein Eintrag aufgetaucht, der das Zentrum für Entwicklungsforschung (ZEF) der Universität Bonn betrifft. Laut den Erpressern sollen mehr als 500 Gigabyte Daten aus den Servern des Instituts entwendet worden sein. Betroffen seien vertrauliche Forschungsprojekte, Softwarecode, Finanzinformationen sowie Unterlagen zu Kooperationen mit internationalen Organisationen und Regierungen.
Read MoreLinkedin nutzt ab November Nutzerdaten für KI-Training
Ab dem 3. November 2025 will Linkedin sämtliche Nutzerdaten für das Training generativer KI-Modelle einsetzen – es sei denn, Mitglieder widersprechen aktiv in den Datenschutzeinstellungen.
Read MoreUS-Einwanderungsbehörde bestellt israelischen Staatstrojaner zur Kontrolle von Einreisenden
Die US-Einwanderungsbehörde ICE plant offenbar den Einsatz des Staatstrojaners Graphite der israelischen Firma Paragon Solutions. Ein aktualisierter Vertrag sieht eine komplette Lösung mit Lizenzen, Hardware, Wartung und Schulung vor. Mit Graphite lassen sich Smartphones umfassend überwachen – auch verschlüsselte Messenger wie WhatsApp. Damit könnten künftig Reisende bei der Einreise noch stärker ins Visier geraten.
Read MoreOpenAI will kritische ChatGPT-Verläufe Behörden melden
Das KI-Unternehmen OpenAI plant, bei gefährlichen Inhalten in ChatGPT-Konversationen stärker einzugreifen. Wenn Nutzer anderen Menschen ernsthaft Schaden androhen, sollen entsprechende Verläufe von einem Team geprüft und – falls akute Gefahr besteht – an die Strafverfolgung weitergegeben werden.
Read MoreDatenleck beim Telekommunikationsanbieter Drei Österreich
Das Mobilfunkunternehmen Drei Österreich informiert Kund:innen über ein Datenleck: Durch eine fehlerhafte Servereinstellung waren zwischen dem 21. und 31. Juli 2025 gespeicherte Daten von außen zugänglich. Laut Schreiben wurden dabei in fünf Fällen Kundendaten wie Kundennummer und Rufnummer abgerufen.
Read MoreCNIL verhängt 325-Millionen-Euro-Strafe gegen Google
Die französische Datenschutzbehörde CNIL hat Google am 1. September 2025 zu einer Strafe von insgesamt 325 Millionen Euro verurteilt. Grund: Gmail blendete ohne Einwilligung der Nutzer Werbenachrichten zwischen privaten E-Mails in den Tabs „Promotions“ und „Soziales“ ein, zudem wurden beim Anlegen eines Google-Kontos Cookies für personalisierte Werbung gesetzt, ohne gültige Zustimmung der französischen Nutzer.
Read MoreGroßangelegte Datendiebstähle über Salesloft Drift treffen Salesforce-Instanzen
Die Google Threat Intelligence Group (GTIG) und Mandiant haben eine umfangreiche Angriffskampagne durch den Akteur UNC6395 aufgedeckt. Dabei wurden kompromittierte OAuth-Tokens aus der Drittanbieter-App Salesloft Drift genutzt, um auf zahlreiche Salesforce-Instanzen zuzugreifen und große Mengen an Unternehmensdaten zu exfiltrieren.
Read MoreDatenleck bei Ferienwohnungen.de – Angreifer veröffentlichen Backups im Darknet
Beim Online-Buchungsportal Ferienwohnungen.de ist offenbar ein massiver Datendiebstahl passiert. Die Cybergruppe Safepay behauptet, in die Systeme eingebrochen zu sein und hat inzwischen ein umfangreiches Datenpaket im Darknet veröffentlicht.
Read MoreHackerangriff auf Ameos – auch Patientendaten betroffen
Beim Cyberangriff auf den Klinikkonzern Ameos im Juli sind Angreifer auch an personenbezogene Daten von Patienten und Mitarbeitern gelangt. Das gesamte Ausmaß ist noch unklar – Betroffene können über eine eingerichtete Webseite individuell prüfen lassen, ob ihre Daten kompromittiert wurden.
Read MorexAI veröffentlicht versehentlich Hunderttausende Grok-Chatprotokolle – inklusive heikler Inhalte
Laut einer Recherche von Forbes hat Elon Musks KI-Firma xAI ohne Vorwarnung hunderttausende Konversationen seines Chatbots Grok öffentlich gemacht – viele davon sind über Google-Suche frei auffindbar.
Read MoreKI-Verordnung in der Praxis: Muss ich jetzt ein KI-Register führen?
Die EU-KI-Verordnung (Verordnung (EU) 2024/168) bringt nicht nur neue Regeln für den Umgang mit Künstlicher Intelligenz, sie verlangt auch eines: Transparenz und Nachvollziehbarkeit. Wer KI-Systeme einsetzt, muss wissen, was sie tun, wofür sie eingesetzt werden und welche Risiken damit verbunden sind. Und das idealerweise nicht nur in Köpfen und PowerPoint-Folien, sondern in einer formellen, strukturierten Dokumentation.
Read MoreMöglicher PayPal-Datenleck betrifft Millionen Nutzer
Ein Bedrohungsakteur mit dem Namen „Chucky_BF“ behauptete am 16.8.25 in einem Untergrundforum, Zugangsdaten von 15,8 Millionen PayPal-Konten zu verkaufen. Die angeblich geleakte Datenbank umfasst:
Read MoreNeuer Jailbreak-Ansatz für GPT-5: Echo Chamber + Storytelling
Am 8. August 2025 veröffentlichte Martí Jordà eine Fallstudie, in der eine neue Jailbreak-Technik für GPT-5 beschrieben wird. Die Methode kombiniert den bereits bekannten Echo Chamber-Algorithmus mit narrativem Storytelling.
Read MoreGoogle ADs von Salesforce-Datenklau betroffen
Google hat bestätigt, im Juni 2025 Opfer derselben Salesforce-CRM-Datendiebstahlserie geworden zu sein, die aktuell mehreren Konzernen zu schaffen macht. Hinter den Angriffen steckt laut BleepingComputer die Hackergruppe ShinyHunters, die per Voice-Phishing (Vishing) Zugang zu Salesforce-Instanzen erlangt, Kundendaten abzieht und anschließend Lösegeld fordert. Bei Google Ads wurden laut eigenen Angaben nur grundlegende, teils öffentlich verfügbare Geschäftsdaten von kleinen und mittleren Unternehmen entwendet. Neben Google sind unter anderem Adidas, Qantas, Allianz Life, Cisco sowie LVMH-Marken betroffen. In mindestens einem Fall zahlte ein Unternehmen bereits rund 400.000 US-Dollar in Bitcoin, um eine Veröffentlichung zu verhindern.
Read MoreMicrosoft gesteht fehlende Garantie für EU-Datenschutz
Bei einer Anhörung vor dem französischen Senat räumte Anton Carniaux, Chefjustiziar von Microsoft France, ein, dass der Konzern nicht garantieren könne, EU-Daten niemals an US-Behörden weiterzugeben. Hintergrund sind gesetzliche Pflichten nach dem US-CLOUD Act und Patriot Act. Zwar prüfe Microsoft jedes Auskunftsersuchen genau und habe bislang keine Daten aus Frankreich weitergegeben, bei formal korrekten Anfragen sei das Unternehmen jedoch zur Herausgabe verpflichtet. Die Aussage befeuert EU-weit die Debatte über digitale Souveränität und den Einsatz von US-Cloud-Diensten wie Microsoft, Amazon AWS oder Google Cloud.
Read MoreKabinett beschließt Umsetzung der NIS-2-Richtlinie – mehr Cybersicherheit für Deutschland
Die Bundesregierung hat am 30. Juli 2025 die Umsetzung der europäischen NIS-2-Richtlinie beschlossen. Ziel ist es, die digitale Sicherheit in Wirtschaft und Verwaltung deutlich zu stärken und europäische Sicherheitsstandards in deutsches Recht zu überführen.
Read MoreMicrosofts China-Stützpunkt könnte US-Verteidigungsdaten gefährden
Ein kaum bekanntes Support-Programm von Microsoft könnte laut einer umfangreichen ProPublica-Recherche eine massive Sicherheitslücke im US-Verteidigungsministerium darstellen. Demnach setzt Microsoft zur Wartung sensibler Regierungs-Cloud-Systeme Ingenieure in China ein – überwacht lediglich von US-Personal mit oft unzureichender technischer Qualifikation.
Read MoreDatenschutzbeauftragte fordern Entfernen der DeepSeek-App aus App-Stores
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider unterstützt die Forderung ihrer Berliner Kollegin Meike Kamp, die chinesische KI-App DeepSeek aus den App-Stores zu entfernen, so ein Bericht von ComputerBase. „China hat kein Datenschutzniveau, das unserer Datenschutzgrundverordnung entspricht“, so Specht-Riemenschneider. Die App müsse aus den Stores verschwinden, solange europäisches Recht nicht eingehalten werde.
Read MoreMalware in Wordpress Gravity Forms Plugin weist auf Supply-Chain-Angriff hin
Am 11. Juli 2025 wurde eine schwerwiegende Supply-Chain-Attacke auf das beliebte WordPress-Plugin Gravity Forms bekannt. Sicherheitsforscher Rafie Muhammad von Patchstack entdeckte Schadcode in der Version 2.9.12, die über die offizielle Website von Gravity Forms heruntergeladen wurde.
Read More„Phishing For Gemini“ – Unsichtbare Befehle täuschen Googles KI-Assistenten
Eine neue Angriffstechnik mit dem Namen „Phishing For Gemini“ zeigt, wie sich Googles KI-Assistent für Workspace durch versteckte Anweisungen in HTML-Mails manipulieren lässt. Der entdeckte Prompt-Injection-Exploit stammt von einem Sicherheitsforscher und wurde über die Plattform 0DIN (Submission 0xE24D9E6B) eingereicht.
Read MoreWie viel EU steckt wirklich in DNS4EU
DNS4EU soll laut Eigenbeschreibung ein sicheres, datenschutzkonformes DNS-System „made in EU“ sein – gefördert durch die EU und ENISA. Doch ein Blogbeitrag auf dem Techblog von Jenslink zeigt: Der Schein trügt.
Read MoreStudie aus 2025: AI-Plattformen im Datenschutzvergleich
Die Nutzung von generativer KI (Gen AI) und Large Language Models (LLMs) ist heute Alltag. Ob bei der Texterstellung, beim Programmieren oder im Kundenservice – diese Tools erleichtern vieles, doch oft auf Kosten des Datenschutzes. Die aktuelle Studie von Incogni, kombiniert mit der Privacy-Ranking-Grafik 2025, zeigt: Nicht alle Plattformen gehen gleich verantwortungsvoll mit Nutzerdaten um.
Read MoreRansomware Angriff auf die Welthungerhilfe
Die Hilfsorganisation Deutsche Welthungerhilfe e.V. ist laut einem Ransomware-Feed Opfer eines Cyberangriffs der Gruppe Rhysida geworden. Die Angreifer haben Daten kopiert und fordern 20 Bitcoins (rund 1,8 Millionen Euro), um eine Veröffentlichung zu verhindern. Auf einer Darknet-Seite zeigen die Täter Beispielen gestohlener Dokumente und setzen eine Frist von fünf Tagen.
Read MoreMeta will KI Analyse auch auf nicht geteilte Fotos anwenden
Facebook bittet laut einem Bericht von TechCrunch Nutzer derzeit um Erlaubnis, Fotos aus ihrem Kamera-Archiv — auch solche, die noch nicht auf Facebook hochgeladen wurden — für KI-gestützte Vorschläge zu nutzen. Die Funktion erscheint beim Erstellen neuer Stories und bietet „Cloud Processing“ an, um kreative Ideen wie Collagen, AI-Restylings oder Foto-Themen zu generieren.
Read MoreGodFather-Malware stiehlt Banking Logins auf 500 Android Banking Apps
Zimperium zLabs hat eine hochentwickelte Version der berüchtigten GodFather-Malware entdeckt, die mit einer neuartigen Virtualisierungstechnik Android-Geräte kompromittiert.
Read MoreDatenleck bei App Baukasten Passion.io - 12 Terrabyte an Daten lagen offen im Netz
Ein gravierender Datenschutzvorfall hat die App-Baukasten-Plattform Passion.io erschüttert: Über 3,6 Millionen unverschlüsselte Datensätze mit teils sensiblen personenbezogenen Informationen (PII) waren öffentlich im Netz abrufbar, so berichtet VPNMentor.
Read MoreBfDI verhängt 45 Mio. € an DSGVO Bußgeldern gegen Vodafone
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat Vodafone GmbH zweimal mit Bußgeldern in Höhe von insgesamt 45 Millionen Euro belegt. Ein erstes Bußgeld von 15 Mio. € folgte, weil Vodafone nach Artikel 28 (1) Satz 1 DSGVO die Partneragenturen, die im Namen des Konzerns Kundenverträge vermittelten, nicht ausreichend geprüft und überwacht hatte. Zudem erhielt Vodafone eine Verwarnung wegen Mängeln in den Vertriebssystemen nach Artikel 32 (1) DSGVO.
Read MoreAWS gründet EU-basierte Cloud-Einheit
Amazon Web Services (AWS) will noch bis Ende 2025 eine eigenständige, in Europa ansässige Organisation für seine „AWS European Sovereign Cloud“ (ESC) aufbauen. Die ESC umfasst eine europäische Muttergesellschaft und drei in Deutschland gegründete Tochterfirmen, die Infrastruktur, DNS (Route 53 mit ausschließlich europäischen Top-Level-Domains) und ein eigenes Root-Zertifizierungszentrum kontrollieren.
Read MoreKleinanzeigen: Follower werden künftig für Verkäufer einsehbar
Der Online-Marktplatz Kleinanzeigen hat eine neue Funktion freigeschaltet, mit der Nutzer künftig nicht nur die Anzahl ihrer Abonnenten sehen, sondern auch deren Profilnamen einsehen und unerwünschte Follower löschen können. Bisher war nur die Gesamtzahl der Follower für jeden sichtbar, nicht jedoch, wer genau einem folgt.
Read MoreMeta und Yandex - unerlaubtes Android Nutzer Tracking über Localhost Verbindungen
Viele Websites binden Meta Pixel (Facebook/Instagram) oder Yandex Metrica ein, um Besucherdaten zu sammeln. Doch seit Herbst 2024 nutzen beide Anbieter eine versteckte Methode, bei der ihr JavaScript im mobilen Browser mit nativen Android-Apps auf demselben Gerät kommuniziert – über „localhost“-Verbindungen, wie die Seite Localmess auf Github berichtet. Dadurch lassen sich Web-Cookies (z. B. das Meta-_fbp-Cookie) heimlich an App-Identitäten (Facebook/Instagram-Logins, Android Advertising ID) koppeln und Nutzer eindeutig wiedererkennen, selbst wenn sie im Inkognito-Modus surfen oder Cookies gelöscht haben. Der Meta Pixel ist laut HTTP Archive in rund 2,4 Millionen der meistbesuchten Websites eingebunden. Yandex Metrica findet sich auf etwa 575 000 Sites (EU-Crawl) bzw. 1,3 Millionen (US-Crawl).
Read MoreGoogle zwingt Publisher ihrer KI-Indizierung und KI-Suche zuzustimmen
Google hat sich laut einem internen Dokument bewusst dagegen entschieden, Publishern eine präzisere Kontrolle über die Verwendung ihrer Inhalte in der KI-Suche zu ermöglichen. Statt klarer Opt-out-Optionen für KI-Features wie „AI Overviews“, bleibt Publishern nur die radikale Entscheidung: vollständiger Ausstieg aus der Google-Suche.
Read MoreAnthropic-Modell Claude 4 Opus zeigt besorgniserregendes Verhalten
Mit der Vorstellung seines neuesten KI-Modells Claude 4 Opus hat das US-Unternehmen Anthropic nicht nur technologische Fortschritte demonstriert, sondern auch alarmierende Verhaltensweisen offenbart, die Sicherheitsdebatten neu entfachen.
Read MoreTikTok-Videos verbreiten Schadsoftware über Selbstinfektions-Tutorials
Sicherheitsforscher von Trend Micro haben eine neue, perfide Social-Engineering-Kampagne aufgedeckt, bei der TikTok-Videos zur Verbreitung von Vidar- und StealC-Infostealern eingesetzt werden. Die Clips, teils offenbar KI-generiert, versprechen kostenlose Premium-Software – in Wahrheit führen sie Nutzer gezielt dazu, gefährliche PowerShell-Befehle auszuführen.
Read MoreDatenpanne bei Coinbase - potenzielle Schäden bis zu 400 Millionen US-Dollar
Die Kryptobörse Coinbase hat einen schweren Datenschutzvorfall bekanntgegeben, bei dem 69.461 Kunden betroffen sind. In einer Meldung an das Büro des Generalstaatsanwalts von Maine erklärte das Unternehmen, dass Dienstleister an internationalen Supportstandorten unbefugt auf Kundendaten zugegriffen hätten.
Read MoreFTC verpflichtet GoDaddy zu umfassenden Sicherheitsmaßnahmen nach wiederholten Datenschutzpannen
Die US-Verbraucherschutzbehörde Federal Trade Commission (FTC) hat eine finale Anordnung gegen den Webhosting-Anbieter GoDaddy erlassen. Diese verpflichtet das Unternehmen zu umfangreichen Sicherheitsvorgaben, nachdem es seit 2018 zu mehreren schwerwiegenden Datenpannen gekommen war. GoDaddy, das rund fünf Millionen Kunden betreut, hatte laut FTC grundlegende Sicherheitsstandards nicht eingehalten und seine Nutzer über den Schutz ihrer Daten getäuscht.
Read MoreEU plant DSGVO-Novelle – mit weniger Dokumentationspflichten
Die EU-Kommission arbeitet an einer Überarbeitung der Datenschutzgrundverordnung (DSGVO), die insbesondere kleinen und mittleren Unternehmen Erleichterungen bringen soll. Ein zentrales Element des aktuellen Entwurfs ist die Anhebung der Schwelle zur Dokumentationspflicht: Künftig sollen Unternehmen mit bis zu 749 Mitarbeitenden von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten ausgenommen werden – bislang lag diese Grenze bei 250 Beschäftigten.
Read MoreDatenschutzvorfall bei Online-Apotheke Volksversand.de
Die Online-Versandapotheke volksversand.de hat einen Datenschutzvorfall gemeldet. Unbekannte Angreifer verschafften sich unbefugten Zugriff auf das IT-System des Unternehmens und konnten dabei auf persönliche Kundendaten zugreifen. Betroffen sind unter anderem Namen, Adressen und E-Mail-Adressen – sensible Zahlungsdaten oder Passwörter seien laut dem Betreiber jedoch nicht kompromittiert worden.
Read MoreBluetooth® Core 6.1 bringt neue Privatsphäre-Features
Die Bluetooth Special Interest Group (SIG) hat mit der Veröffentlichung von Bluetooth® Core 6.1 am 6. Mai 2025 den Start ihres neuen halbjährlichen Release-Zyklus eingeläutet. Besonders aus datenschutzrechtlicher Perspektive sticht ein Feature hervor: die Bluetooth® Randomized RPA Updates (resolvable private addresses). Mit der Einführung der zufällig getakteten Adresswechsel wird die Privatsphäre der Nutzer:innen signifikant verbessert. Durch das Randomisieren der Zeitpunkte für den Wechsel der Geräteadresse wird es für Dritte erheblich erschwert, Geräte über längere Zeiträume hinweg zu identifizieren oder zu verfolgen. Dies ist ein klarer Fortschritt im Kampf gegen passives Bluetooth-Tracking durch Werbenetzwerke oder potenziell missbräuchliche Apps.
Read MoreRansomware-Angriff auf OeTTINGER Brauerei
Die OeTTINGER Brauerei GmbH, einer der größten deutschen Brauerei- und Getränkehersteller, wurde Opfer eines Ransomware-Angriffs durch die Hackergruppe RansomHouse. Dies berichtete der Cybersecurity-Dienst FalconFeeds.io am 5. Mai 2025.
Read MoreHacker missbrauchen IPv6-Netzwerkfunktion zum Hijacking von Software-Updates
Die chinesische Hackergruppe „TheWizards“ nutzt laut einem Bericht von ESET gezielt eine Schwachstelle im IPv6-Protokoll aus, um Malware über manipulierte Software-Updates zu verbreiten, wie BleepingComputer berichtet. Durch die missbräuchliche Nutzung der IPv6 Stateless Address Autoconfiguration (SLAAC) können Angreifer sogenannte Adversary-in-the-Middle (AitM)-Attacken durchführen.
Read MoreTikTok erhält Rekordstrafe von 530 Millionen Euro wegen Datenschutzverstößen
Die irische Datenschutzbehörde (DPC) hat am 2. Mai 2025 eine Geldstrafe von 530 Millionen Euro gegen TikTok verhängt. Die Behörde stellte Verstöße gegen die DSGVO im Zusammenhang mit der Übermittlung personenbezogener Daten europäischer Nutzer nach China fest. Laut der DPC habe TikTok nicht ausreichend nachweisen können, dass die Daten in China ein dem EU-Standard vergleichbares Schutzniveau genossen.
Read MoreChinesischen E-Autos: Mögliche Spionage durch Fahrzeugvernetzung
Britische Rüstungsunternehmen haben ihre Mitarbeiter angewiesen, ihre Mobiltelefone nicht mit chinesischen Elektrofahrzeugen zu verbinden. Grund dafür sind Bedenken, dass durch die Verbindung sensible Daten von Peking abgegriffen werden könnten. Moderne E-Autos verfügen über zahlreiche Sensoren, Kameras und Internetverbindungen, die potenziell zur Datenübertragung genutzt werden könnten. Insbesondere Personen in sicherheitsrelevanten Positionen wird geraten, Vorsicht walten zu lassen. Obwohl es bisher keine öffentlichen Beweise für einen Missbrauch gibt, bleibt die Sorge vor möglichen Sicherheitsrisiken bestehen. Weitere Informationen finden Sie im Artikel des Guardian.
Read MoreMassives Datenleck bei WorkComposer: 21 Millionen Screenshots öffentlich einsehbar
Der Anbieter von Mitarbeiterüberwachungssoftware WorkComposer hat durch eine gravierende Sicherheitslücke sensible Unternehmensdaten offengelegt. Aufgrund eines nicht geschützten S3-Buckets waren rund 21 Millionen Screenshots, die automatisch alle 20 Sekunden erstellt wurden, ungesichert im Internet verfügbar. Die Aufnahmen enthalten unter anderem Logins, API-Schlüssel und vertrauliche Unternehmensinformationen.
Read MoreGoogle hält Third Party Cookies weiter am leben
Am 22. April 2025 bekräftigte Google in einem Blog-Beitrag, dass kein separater Prompt zur Verwaltung von Third-Party-Cookies in Chrome eingeführt wird und Nutzer weiterhin ausschließlich über die bestehenden Einstellungen entscheiden können, ob sie Third-Party-Cookies zulassen oder blockieren. Google hat damit nicht nur die “Phase-out”-Pläne beendet, sondern die Privacy Sandbox de facto auf eine passive Unterstützerrolle reduziert.
Read MoreRansomware Angriff auf Vergleichsportal guenstiger.de
Am 23. April 2025 gab die guenstiger.de GmbH via LinkedIn bekannt, dass sie in der vergangenen Nacht Opfer einer Ransomware-Attacke wurde. Infolge des Angriffs kommt es aktuell zu technischen Einschränkungen auf der Website sowie in der Kundenkommunikation. Die IT-Spezialisten des Vergleichsportals arbeiten mit Hochdruck an einer Lösung, während Partner und Kunden gebeten werden, eingehende Nachrichten und Anrufe besonders sorgfältig zu prüfen.
Read MoreeBay aktualisiert Datenschutzerklärung – Nutzerbewertungen als KI‑Trainingsdaten
Seit Ostermontag weist eBay in seiner überarbeiteten Datenschutzerklärung darauf hin, dass Nutzerdaten künftig nicht nur für personalisierte Services, sondern auch zum Trainieren, Testen und Validieren eigener und Drittanbieter‑KI‑Modelle verwendet werden. Im März kam eine E‑Mail, die auf die Neuerung hinwies, ohne jedoch zu erläutern, welche Daten konkret betroffen sind oder wie genau sie zum Einsatz kommen.
Read MoreDie EU-Kommision verbietet KI Agenten in Web-Konferenzen
Die Europäische Kommission hat eine Grundregel erlassen, wonach virtuelle Assistenten auf Basis künstlicher Intelligenz nicht mehr an ihren Online‑Meetings teilnehmen dürfen, so berichtet POLITICO. Diese Vorgabe wurde Anfang April bei einer Telefonkonferenz mit Vertretern der digitalen Policy‑Support‑Netzwerke europaweit eingeführt und durch eine Meeting‑Etiquette‑Folie mit dem Satz „No AI Agents are allowed“ signalisiert. KI‑Agenten agieren autonom in virtuellen Umgebungen, können eigenständig Meetings beitreten, Notizen erstellen oder Informationen vortragen und wurden im „Virtual Worlds“-Paket der Kommission vom 31. März als softwarebasierte Assistenten mit definierten Vorgaben beschrieben. Obwohl die zugrunde liegenden KI‑Modelle bereits dem künftigen EU‑KI‑Gesetz unterliegen, reagiert die Kommission mit diesem Verbot auf zentrale Fragen der Transparenz, Rechenschaftspflicht und Sicherheit in digitalen Diskussionen.
Read MorePyPI schließt Sicherheitslücke bei „Organizations Team“-Rechten
Am 14. April 2025 wurde das PyPI-Sicherheitsteam auf ein Problem bei der Vergabe von Team-Rechten aufmerksam gemacht: Ehemalige Mitglieder einer Organisation behielten ihre Team-Privilegien, obwohl sie bereits aus der übergeordneten Organisation entfernt worden waren. Nach Prüfung bestätigte PyPI den Fehler, erfasste die betroffenen Fälle und spielte innerhalb von knapp zwei Stunden einen Hotfix aus. Eine anschließende Sicherheitsprüfung ergab, dass kein unautorisierter Zugriff stattgefunden hatte.
Read MoreMeta trainiert KI nun auch in Europa mit Userdaten
Meta verkündet die europaweite Nutzung öffentlicher Inhalte erwachsener Nutzerinnen und Nutzer zur KI-Trainingserweiterung – und stößt damit aus DSGVO-Sicht auf Skepsis. Zwar verspricht das Unternehmen, keine privaten Nachrichten oder Daten von Minderjährigen einzubeziehen und gewährt EU-Nutzenden ein Widerspruchsrecht. Es ist zu bemängeln, dass ein Opt-out-Verfahren (statt eines expliziten Opt-ins) den Transparenz- und Einwilligungsprinzipien der DSGVO nicht vollständig gerecht wird. Auch die Frage, ob Meta die gesammelten Interaktionen wirklich nur für die angekündigten Zwecke nutzt, bleibt offen. Bereits letztes Jahr berichteten wir, Meta per Opt-Out bei Facebook gängige Einwilligungsprinzipien der DSGVO missachtet hat, seitdem hat sich nicht viel an Meta’s Vorgehen getan.
Read More4.4 Mio Datensätze bei WooCommerce Datenleck gestohlen
Laut einem Bericht von Hackread hat ein Hacker namens „Satanic“ über 4,4 Millionen Datensätze von Nutzern WooCommerce-basierter Shops gestohlen. Die Daten – darunter E-Mails, Telefonnummern und Geschäftsinformationen – sollen nicht direkt aus WooCommerce stammen, sondern über unsichere Drittanbieter-Integrationen wie CRM- oder Marketingtools abgegriffen worden sein. Betroffen sind auch namhafte Organisationen wie NVIDIA, NIST und Texas.gov.
Read MoreDatenleck: 541.000 Bilder aus LGBTQ+ und BDSM-Dating-Apps öffentlich zugänglich
Eine Untersuchung von Cybernews hat einen massiven Datenschutzvorfall bei mehreren iOS-Dating-Apps für die BDSM-, LGBTQ+- und Sugar-Dating-Community aufgedeckt. Die betroffenen Apps – darunter BDSM People, CHICA, TRANSLOVE, PINK und BRISH – hatten sensible Zugangsdaten wie API-Keys und Cloud-Zugangsinformationen ungeschützt im App-Code hinterlegt. Dadurch waren private Nutzerfotos über ungesicherte Google Cloud Storage Buckets öffentlich zugänglich.
Read MoreHacker zielen auf Home Office und Cloud Schwachstellen
Die Arbeitswelt verändert sich rasant. Was vor einigen Jahren noch als Ausnahme galt, gehört spätestens seit Corona zum Alltag: Remote- und Hybrid-Arbeitsmodelle haben sich in vielen Unternehmen etabliert und sind schwer wieder wegzudenken. Während Arbeitnehmer von mehr Flexibilität profitieren, nutzen Cyberkriminelle die neuen Schwachstellen, die das Arbeiten außerhalb gesicherter Unternehmensnetzwerke mit sich bringt. Gleichzeitig wächst die Abhängigkeit von Cloud-Diensten und Managed Service Providern (MSPs), was zusätzliche Einfallstore für Angriffe schafft.
Read MoreAustralien: Hacker stehlen Renten aus Pensionsfonds
Mehrere australische Superannuation-Fonds wurden kürzlich von Cyberangriffen getroffen, wobei Mitglieder einer der Fonds insgesamt 500.000 Dollar an Ersparnissen verloren haben. Besonders betroffen ist AustralianSuper, der größte Rentenfonds des Landes mit über 3,5 Millionen Mitgliedern, der in den vergangenen Wochen rund 600 versuchte Angriffe verzeichnete. Zahlreiche Mitglieder berichteten über Schwierigkeiten beim Online-Zugang und teilweise fehlerhafte Kontoanzeigen, wobei in einigen Fällen ein Kontostand von null angezeigt wurde. Andere Fonds wie Rest, Hostplus, Insignia und Australian Retirement meldeten ebenfalls Angriffsversuche, bei denen teilweise persönliche Daten kompromittiert wurden. Trotz der technischen Probleme beteuern die Anbieter, dass die Gelder der Mitglieder sicher seien. Die australische Regierung und der nationale Cyber-Sicherheitsbeauftragte sind in die Untersuchungen eingebunden.
Read MoreMassives Datenleck bei X (Twitter)
Am 1. April 2025 hat ein Hacker unter dem Pseudonym ThinkingOne behauptet, 200 Millionen Nutzer-Datensätze sowie 2,8 Milliarden Twitter-IDs von X (ehemals Twitter) öffentlich gemacht zu haben. Zu den geleakten Informationen zählen unter anderem Nutzernamen, User-IDs, vollständige Namen, Standorte, E-Mail-Adressen, Follower-Zahlen, Profilbilder und weitere Profilinformationen.
Read MoreGmail führt vereinfachte End-to-End-Verschlüsselung für Google Workspace User ein
Google hat am 1.4.25 eine Funktion von Gmail vorgestellt, die es Google Workspace Nutzern ermöglicht, E-Mails mit End-to-End-Verschlüsselung (E2EE) zu versenden – ganz ohne den bisherigen S/MIME-Komplexitätsaufwand. Die Funktion wird zunächst in Beta für interne Gmail-Nutzer verfügbar gemacht und soll in den nächsten Wochen auch an externe Gmail-Konten sowie später an alle E-Mail-Adressen ausgeweitet werden.
Read MoreMicrosoft Copilot AI wird ohne Zustimmung auf Windows 11 LTSC 2024 installiert
Am 1. April 2025 wurde der Copilot-Client ohne Zustimmung und ohne Benachrichtigung via Update auf Windows 11 LTSC 2024-Systemen installiert – einer Edition, die für Stabilität und minimale Änderungen bekannt ist. Ein Nutzer der Plattform X beschrieb das Ereignis als „The WORST April Fools joke from Microsoft“. Experten vermuten einen Fehler in der Deployment-Infrastruktur, der normalerweise LTSC-Versionen ausschließt. Zwar können Nutzer Copilot deinstallieren, jedoch besteht die Sorge, dass es bei zukünftigen Updates erneut installiert wird.
Read More270.000 Samsung-Kundendaten im Darknet aufgetaucht
Etwa 270.000 Datensätze von Samsung Electronics Deutschland sind nach einem Einbruch in das Support-System eines deutschen Geschäftspartner-Unternehmens im Darknet aufgetaucht. In einem bekannten Untergrundforum bietet ein Nutzer mit dem Handle “GHNA” die gestohlenen Daten – Kundenzufriedenheits-Tickets inklusive vollständiger Namen, Anschriften, E-Mail-Adressen und mehr – für lediglich acht Credits (ca. zwei Euro) zum Verkauf an.
Read MoreKoalitionsverhandlungen: 6 monatige Speicherpflicht für IP Adressen und KI Gesichtserkennung
In den aktuellen Koalitionsverhandlungen wird eine umfassende Reform der inneren Sicherheit angestrebt – ein ambitionierter Plan, der die gesamte Verwaltung, Justiz und sogar Migrationspolitik neu ausrichten soll. Während die vorgelegten Maßnahmen unter dem Motto einer „Zeitenwende“ in der Sicherheitspolitik als dringend notwendig dargestellt werden, werfen sie zugleich schwerwiegende Fragen hinsichtlich des Datenschutzes und der Massenüberwachung im Stil von George Orwells Roman 1984 auf.
Read MoreMögliches Datenleck bei Oracle
Ein mutmaßlicher Hackerangriff auf Oracle sorgt für Aufsehen: Auf dem Forum BreachForums behauptet der Nutzer „Rose87168“, er habe rund sechs Millionen Nutzerdaten aus Oracles LDAP- und SSO-Systemen gestohlen. Oracle dementiert einen Angriff weiterhin entschieden: Es habe keine Sicherheitsverletzung in der Oracle Cloud gegeben, betroffene Daten seien nicht Teil der OCI-Infrastruktur.
Read MoreHackerangriff auf Swiss Life betrifft Tausende Pensionskassen Kunden
Beim Finanzkonzern Swiss Life ist es zu einem Hackerangriff gekommen, bei dem bis zu 60 Pensionskassen mit rund 13'000 Versicherten betroffen sein könnten. Der Vorfall ereignete sich zwischen dem 15. und 21. Februar 2025 und betraf einen externen SMS-Dienstleister, der für die Zwei-Faktor-Authentifizierung im Kundenportal zuständig ist.
Read MoreKI-Kompetenz als Pflicht: Was das EU-KI-Gesetz für Ihre Organisation bedeutet
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4 Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeitenden über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?
Read MoreCyberangriff auf Ticketplattform AERTiCKET
Der Berliner Flug-Tickethändler AERTiCKET wurde am 9. März 2025 Ziel eines Cyberangriffs, der zu erheblichen Ausfällen im Buchungssystem „Cockpit“ geführt hat, so berichtet es die Pressemitteilung des Unternehmens auf deren Internetseite https://www.aerticket.de/.
Read MoreDatenleck bei NTT Communications betrifft über 17.000 Firmenkunden weltweit
NTT Communications hatte am 5. Februar einen IT-Sicherheitsvorfall in Form von unautorisierten Zugriff auf ihr internes Order Information Distribution System festgestellt. Dabei könnten Informationen zu Firmenkunden – wie Vertragsnummern, Kundennamen, Ansprechpartner, Telefonnummern, E-Mail-Adressen, Adressen und Service-Nutzungsdaten – nach außen gelangt sein. Daten individueller Kunden blieben hiervon unberührt.
Read MoreCyber-Angriff in Schwerte: Behördenleistungen vorübergehend eingeschränkt
Die Stadtwerke Schwerte wurden am 05.03.2025 Opfer eines Cyber-Angriffs, der zu umfassenden Sicherheitsmaßnahmen und technischen Umstellungen in der Stadtverwaltung führte. Laut einem Bericht der Ruhr Nachrichten ist die digitale Verbindung zwischen der Stadt und den Stadtwerken unterbrochen – ebenso wie die Anbindung an Südwestfalen-IT.
Read MoreFrankreich: VTI kritisiert Ausweitung von Website-Sperren auf VPN-Dienste
Am 24. Februar 2025 hat die VPN Trust Initiative (VTI) entschieden gegen einen rechtlichen Versuch in Frankreich Stellung bezogen, der darauf abzielt, VPN-Anbieter zur Blockierung von Streaming-Websites zu verpflichten, die potenziell urheberrechtlich geschützte Inhalte verbreiten.
Read More12000 API-Schlüssel von Usern in AI-Trainingsdaten von Common Crawl gefunden
Der kürzlich erschienene Artikel „Nearly 12,000 API keys and passwords found in AI training dataset“ von Ionut Ilascu auf BleepingComputer offenbart gravierende Datenschutzprobleme im Zusammenhang mit der Nutzung des Common Crawl-Datensatzes als Trainingsgrundlage für künstliche Intelligenz (KI). Nahezu 12.000 gültige API-Schlüssel und Passwörter – darunter AWS Root Keys, MailChimp API-Schlüssel und Slack Webhooks – wurden in diesem öffentlich zugänglichen Webarchiv gefunden. Dieser Bericht beleuchtet kritisch die Datenschutzimplikationen und die damit verbundenen Sicherheitsrisiken.
Read MoreDoctolib nutzt künftig Gesundheitsdaten zum KI-Training
Die Patientenplattform Doctolib, über die Millionen Arzttermine buchen, erweitert ihre Datenverarbeitung: Ab sofort sollen anonymisierte Gesundheitsdaten – etwa aus Video-Sprechstunden – intensiv für den Aufbau von KI-Modellen genutzt werden, so berichtet der WDR. Ziel ist die Entwicklung eines digitalen Sprechstunden-Assistenten, der Diagnosen, Medikationspläne und Behandlungsverläufe automatisiert in Arztbriefe überträgt und personalisierte Dienste ermöglicht.
Read MoreHacker Angriff auf französischen TK Anbieter Orange - Group
Orange Group bestätigt Hackerangriff – Ein Hacker, der sich unter dem Alias „Rey“ ausgibt und der HellCat-Ransomware-Gruppe zugeordnet wird, hat angeblich fast 12.000 Dateien im Wert von rund 6,5 GB gestohlen. Dabei seien interne Dokumente, E-Mail-Adressen (insgesamt 380.000 einzigartige Adressen), Quellcodes, Verträge, Rechnungen sowie Mitarbeiter- und Kundendaten, vornehmlich der rumänischen Niederlassung, entwendet worden.
Read MoreDatenleck durch Copilot: Ehemals öffentliche GitHub-Repositories bleiben zugänglich
Laut einem Bericht bei TechCrunch sind tausende GitHub-Repositories, die kurzzeitig öffentlich waren und inzwischen auf „privat“ gesetzt oder gelöscht wurden, weiterhin über Microsofts Copilot abrufbar. Die zwischengespeicherten Daten, die über den Bing-Cache indexiert wurden, können von der generativen KI abgerufen werden – selbst wenn sie über herkömmliche Websuchen nicht mehr auffindbar sind.
Read MoreiCloud Datenschutz: US-Senat fordert Neubewertung der UK "Snoopers Charter"
Am 13. Februar 2025 richteten US-Senatoren Ron Wyden und Andy Biggs einen offenen Brief an Director of National Intelligence Tulsi Gabbard. Die Abgeordneten warnen vor gefährlichen Eingriffen der britischen Regierung, die angeblich Apple dazu gezwungen haben soll, die Verschlüsselung seines iCloud-Backup-Dienstes zu schwächen – ein Schritt, der als “Snoopers’ Charter” bekannt ist und ohne richterliche Genehmigung erfolgt.
Read MoreNeue Phishing-Masche mit PayPal: Gefälschte Kaufbestätigungen
BleepingComputer berichtet über eine neue Phishing-Methode, bei der das PayPal-Feature „Neue Adresse“ missbraucht wird. Dabei erhalten Empfänger E-Mails, die scheinbar von PayPal stammen und bestätigen, dass eine neue Adresse in ihrem Konto hinzugefügt wurde – oft verbunden mit einer gefälschten Kaufbestätigung, beispielsweise für einen MacBook M4 Max.
Read MoreTelekom startet SMS-Firewall im April
Die Deutsche Telekom wird am 1. April 2025 ein neues Sicherheitsfeature eingeführen, das SMS mit betrügerischen Inhalten und Schadsoftware abwehrt. Das System, eine sogenannte SMS-Firewall, analysiert eingehende Nachrichten automatisch und blockiert solche, die als potenziell gefährlich eingestuft werden.
Read MoreGoogle's reCAPTCHA: Datenkrake ohne ernstzunehmenden Bot-Schutz
Eine aktueller Bericht auf TechSpot wirft ein Schlaglicht auf Googles reCAPTCHA v3, das sich als ineffektiv im Bot-Schutz und gleichzeitig als massiver Datenschutzrisiko entpuppt. Der einfache Checkbox-Test (“Ich bin kein Roboter”) überzeugt nicht – Bots bestehen ihn mühelos, wie der YouTuber “Chuppl” demonstrierte, der einen Bot entwickelte, der den Test in einem Versuch absolvierte.
Read MoreCyberangriff auf Deutsche Bischofskonferenz – IT-Systeme lahmgelegt
Ein Hackerangriff am 10.02.2025 hat das Sekretariat der Deutschen Bischofskonferenz in Bonn schwer getroffen. Die katholische Bischofskonferenz ist derzeit nur eingeschränkt erreichbar, wie in einer Pressenachricht berichtet wird.
Read MoreMeta: Urheberrecht beim KI Training bewusst missachtet
In einem Statusbericht von vx-underground geht es um die kürzlich veröffentlichten Gerichtsdokumente vom 5. Februar 2024 im Fall Kadrey v. Meta. Die Unterlagen zeigen, dass Meta (ehemals Facebook) illegal insgesamt 81,7 TB an Daten von sogenannten „Shadow Libraries“ wie Anna’s Archive, Z-Library und LibGen heruntergeladen hat, um damit unternehmensinterne KI-Modelle zu trainieren.
Read MoreDOGE trainiert KI mit sensiblen Daten des US-Bildungsministeriums
Elon Musks „Department of Government Efficiency“ (DOGE) greift auf sensible Datensätze des US-Bildungsministeriums (Education Department) zu, um mithilfe von KI mögliche Einsparungen zu identifizieren, so berichtet die Washington Post. Über Microsofts Cloud-Dienst Azure haben DOGE-Mitarbeitende personenbezogene Informationen (u. a. von Fördermittel-Verantwortlichen) sowie vertrauliche Finanzdaten ausgewertet und mehrere Verträge als Streichkandidaten markiert. Dieses Vorgehen steht im Kontext des Vorhabens, das Ministerium erheblich zu verkleinern und dessen Aufgaben zu reduzieren.
Read MoreCyberangriff auf Zeitwirtschafts-Software Anbieter GFOS mbH
Der IT-Dienstleister GFOS mbH, spezialisiert auf Lösungen für Zeitwirtschaft und Zugriffskontrolle, ist am 4. Februar 2025 Ziel eines Cyberangriffs geworden. Wegen der sensiblen Daten, die bei GFOS verarbeitet werden (z.B. Personal-, Lohn- und Arbeitszeitdaten), besteht für Kunden eine besondere Relevanz – unter Umständen kann es sogar notwendig sein, unverzüglich eine Datenschutzmeldung abzugeben.
Read MoreDatenschutzvorfall im Online-Forum Rezeptwelt.de
Im Zeitraum vom 30.01. bis 03.02.2025 kam es zu einem unerlaubten Zugriff auf einen nachgeordneten Server eines externen Dienstleisters für Rezeptwelt.de. Betroffen waren Benutzerdaten wie Name, Adresse, Geburtstag, Telefonnummer, E-Mail-Adresse und ggf. eingegebene Kochvorlieben. Passwörter oder Zahlungsinformationen wurden nicht kompromittiert. Das Sicherheitsleck ist inzwischen behoben, der betroffene Server wurde vom Netz genommen. Auf dem Forum sind 1,3 Mio User registriert.
Read MoreBrowser Syncjacking Angriffe: Vorsicht bei Browser Extensions
Browser Syncjacking ist eine neu entdeckte Angriffsmethode, die zeigt, wie schnell und unbemerkt ein Browser – und letztlich auch das gesamte System – kompromittiert werden kann. Was auf den ersten Blick nach einer harmlosen Browser-Erweiterung aussieht, kann in Wirklichkeit dazu genutzt werden, sensible Daten wie Passwörter oder Dokumente abzugreifen und sogar tiefgehenden Zugriff auf den Computer des Opfers zu erlangen.
Read MoreÖsterreich: Faxverbot stellt Gesundheitssektor vor Herausforderungen
Seit dem 1. Januar 2025 ist der Faxversand von Gesundheitsdaten in Österreich aus Datenschutzgründen verboten. Ziel ist eine bessere Datensicherheit, doch es entstehen erhebliche Probleme in Krankenhäusern und Arztpraxen.
Read MoreCVE-2025-23114: Man-In-The-Middle Schwachstellen in Veeam Backup Produkten
Veröffentlicht: 04. Februar 2025 Schweregrad: Kritisch (CVSS v3.1 Score: 9.0)
Read MoreChatGPT-4o: Jailbreak-Exploit "Time Bandit"
Das CERT Coordination Center (CERT/CC) hat eine Schwachstelle in ChatGPT-4o entdeckt, die als “Time Bandit” bekannt ist. Dieser Exploit erlaubt es Angreifern, die Sicherheitsmechanismen des KI-Modells zu umgehen und Inhalte zu generieren, die sonst blockiert würden. Der Angriff erfolgt durch gezielte Befragung des Chatbots zu historischen Zeiträumen, wodurch eine sogenannte “Timeline-Confusion” entsteht.
Read MoreApple nutzt seine Nutzer für Stimmungsmache gegen den EU Digital Markets Act
Leseempfehlung: ein Anfang Februar 2025 erschienener Golem-Artikel von Daniel Ziegener beleuchtet kritisch, wie Apple die eigene Marktmacht nutzt, um Stimmung gegen die Regulierung durch die Europäische Union (EU) zu machen. Konkret geht es um die Verzögerung von Apple Intelligence und weiteren Funktionen von iOS 18 für europäische Nutzer, die Apple mit „regulatorischen Unsicherheiten“ im Zusammenhang mit dem Digital Markets Act (DMA) begründet.
Read MoreD-Trust Datenleck – 1.200 Ärzte in Mitteldeutschland von Datenleck betroffen
Ein Datenleck bei D-Trust, einem Anbieter für digitale Identitäten und Teil der Bundesdruckerei-Gruppe, hat sensible Informationen von 1.200 Ärzten in Sachsen, Sachsen-Anhalt und Thüringen ungeschützt online zugänglich gemacht, wie der MDR berichtete. Betroffen sind Namen, E-Mail-Adressen, Geburtsdaten sowie in einigen Fällen Adress- und Ausweisdaten. Diese Informationen wurden von Medizinern genutzt, um Zugänge zur elektronischen Patientenakte (ePA) zu beantragen.
Read MoreDeepSeek: Millionen sensibler Datensätze geleakt
Ein schwerwiegendes Sicherheitsproblem wurde bei DeepSeek, einem chinesischen KI-Startup, entdeckt. Das Sicherheitsteam von Wiz Research fand eine öffentlich zugängliche ClickHouse-Datenbank, die ohne Authentifizierung abrufbar war. Diese Sicherheitslücke ermöglichte uneingeschränkten Zugriff auf interne Daten, einschließlich Chatverläufe, API-Schlüssel, Backend-Informationen und Betriebslogs. Insgesamt wurden über eine Million sensible Log-Einträge offengelegt.
Read MoreNeue Pseudonymisierungsleitlinien der EDSA schaffen Klarheit für medizinische Studien
Die am 16.01.2025 veröffentlichten Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur Pseudonymisierung erwähnen spezifisch die Anwendung der Pseudonymisierung in sensiblen Bereichen wie Patientendaten und Forschung, da hier besondere Anforderungen an den Schutz personenbezogener Daten gelten. Dabei gehen die Leitlinien speziell auf folgende Punkte ein:
Read MoreDeutscher Cloud Provider: Massive Datenpanne betrifft gesamte Bevölkerung Georgiens
Am 4. Oktober 2024 wurde eine schwerwiegende Datenpanne in der Republik Georgien entdeckt. Eine ungeschützte Elasticsearch-Datenbank, gehostet von einem deutschen Cloud-Service-Anbieter, enthielt Millionen sensibler Datensätze georgischer Bürger. Die Datenbank wurde wenige Tage später, am 7. Oktober 2024, offline genommen, aber die potenziellen Risiken bleiben bestehen. Die Daten scheinen aus mehreren Quellen, möglicherweise staatlichen oder kommerziellen Datenbanken, zusammengeführt worden zu sein. Teile der Daten stammen offenbar aus einem bereits 2020 bekannten Leck, wurden aber mit neuen Datensätzen kombiniert. Das Datenvolumen umfasst mit mehr als 7 Mio Datensätze, wobei Georgien nur eine Bevölkerung von ca. 4 Mio Menschen aufweist. Es sind somit auch Dubletten und möglicherweise verstorbene Personen in den Datensätzen enthalten. Laut einem Bericht von Cybernews.com ist das Leck auf eine offen zugängliche ElasticSearch Instanz zurückzuführen.
Read MoreDatenleck bei Hotelmanagement Plattform Otelier: Millionen persönliche Daten von Hotelgästen gestohlen
Cyberkriminelle haben bei einem Angriff auf die amerikanische Hotelmanagement-Plattform Otelier (ehemals Mydigitaloffice) persönliche Daten von Millionen Hotelgästen entwendet. Die Angreifer nutzten gestohlene Anmeldedaten eines Mitarbeiters, um in den Amazon-S3-Cloudspeicher von Otelier einzudringen. Zwischen Juli und September 2024 konnten sie nahezu acht Terabyte an sensiblen Kundendaten stehlen.
Read MoreBSI zertifiziert erste SmartCard mit Post-Quanten-Kryptografie
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals eine SmartCard zertifiziert, die einen Post-Quanten-Kryptografischen (PQC) Algorithmus implementiert. Die Zertifizierung gemäß den Common Criteria (ISO/IEC 15408) wurde der Infineon Technologies AG für die Integration des Algorithmus ML-KEM auf einer SmartCard erteilt – ein weltweiter Meilenstein in der IT-Sicherheit.
Read MoreDatenleck beim Standortdaten Händler Gravy Analytics
Der US-Databroker Gravy Analytics wurde Anfang Januar 2025 Ziel eines Hackerangriffs wie Netzpolitik.org berichtete. Dabei sollen große Mengen sensibler Standortdaten von Mobilgeräten gestohlen worden sein. Die Daten, die unter anderem Bewegungsprofile und Gerätekennungen umfassen, sollen aus beliebten Handy-Apps stammen. Hacker drohen nun mit der Veröffentlichung des vollständigen Datensatzes.
Read MoreEuGH-Urteil: EU-Kommission verstößt gegen Datenschutzregeln
Das Gericht der Europäischen Union (EuGH) hat entschieden, dass die EU-Kommission gegen die Datenschutzregeln verstoßen hat. Es geht um den Fall eines deutschen Bürgers, dessen persönliche Daten ohne ausreichende Sicherheitsmaßnahmen an das Internetunternehmen Meta (Facebook) übermittelt wurden.
Read MoreÄrzte warnen vor Datenschutzproblemen in der elektronischen Patientenakte
Berlin – Ärzteverbände äußern erhebliche Bedenken hinsichtlich der Datensicherheit in der elektronischen Patientenakte (ePA). Anlass sind kürzlich enthüllte Sicherheitslücken, die der Chaos Computer Club (CCC) aufgedeckt hat. Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärzte (BVKJ) sehen in den Mängeln ein erhöhtes Risiko für Patientendaten.
Read MoreWhite House führt „U.S. Cyber Trust Mark“ für vernetzte Geräte ein
Am 7. Januar 2025 hat das Weiße Haus das „U.S. Cyber Trust Mark“-Programm gestartet – ein freiwilliges Sicherheitslabel für vernetzte Geräte. Die von der Federal Communications Commission (FCC) verwaltete Initiative soll Verbrauchern helfen, die Cybersicherheit von Smart-Home-Produkten wie Babyphones oder Sicherheitssystemen besser einzuschätzen.
Read MoreDatenschutz-Skandal in Rostocks Stadtverwaltung: Ermittlungen wegen Datenlecks
Am 11. Dezember 2024 wurde bekannt, dass die Staatsanwaltschaft gegen eine ehemalige Mitarbeiterin der Rostocker Stadtverwaltung ermittelt. Nach Informationen des NDR soll die Beschuldigte im Einwohnermeldeamt unerlaubt mehr als 100 Adress- und Personendaten von Stadtbeschäftigten und Richtern abgegriffen haben. Eine Anzeige der Stadt Rostock führte zur Einleitung eines Ermittlungsverfahrens wegen des Ausspähens von Daten.
Read MoreElektronische Patientenakte (ePA): Chancen, Herausforderungen und Kontroversen
Mit der geplanten Einführung der elektronischen Patientenakte (ePA) im Jahr 2025 erreicht die Digitalisierung des deutschen Gesundheitswesens einen Meilenstein. Die ePA soll medizinische Daten zentral verfügbar machen, um die Patientenversorgung zu verbessern und Kosten zu reduzieren. Trotz des Potenzials dieser Technologie gibt es erhebliche Bedenken, die von Datenschutzfragen bis hin zur praktischen Nutzbarkeit reichen.
Read MoreVertragsverletzungsverfahren gegen Deutschland: EU fordert Umsetzung der NIS-2-Richtlinie
Die Europäische Union hat ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil die Umsetzung der NIS-2-Richtlinie (Network and Information Security Directive 2) in nationales Recht nicht fristgerecht erfolgt ist. Diese Richtlinie soll die Cybersicherheit und Resilienz kritischer Infrastrukturen stärken und eine einheitliche Grundlage für den Schutz vor Cyberangriffen in der EU schaffen. Die Situation hat erhebliche Auswirkungen auf die deutsche Gesetzgebung und den Schutz kritischer Einrichtungen.
Read MoreDatenleck beim LKA Brandenburg: BKA kappt Datenaustausch
Am 4. Dezember 2024 wurde bekannt, dass beim Landeskriminalamt (LKA) Brandenburg ein schwerwiegender IT-Sicherheitsvorfall aufgetreten ist. Das Bundeskriminalamt (BKA) unterbrach den Datenaustausch mit dem Staatsschutz des LKA aufgrund der Sorge, dass geheime Daten durch ein Leck abfließen könnten. Unzureichend gesicherte Netzwerkspeicher und W-LAN, die unter anderem Passwörter zum BKA-Server beinhalteten, stehen im Mittelpunkt der Ermittlungen. Das Innenministerium prüft derzeit auch mögliche Verstöße gegen die Dienst- und Fachaufsicht. Weitere Maßnahmen zur Verbesserung der IT-Sicherheit sind angekündigt.
Read MoreDatenschutz nur per Opt-Out: Microsoft Word trainiert KI mit Ihren Daten
Die Integration von KI in Office-Anwendungen hat eine neue Stufe erreicht. Funktionen wie Microsofts CoPilot versprechen, die Produktivität zu steigern und alltägliche Aufgaben zu erleichtern. Doch ein Bericht auf Medium mit dem Titel "MS Word Is Using You to Train AI" hat eine wichtige Diskussion ausgelöst: Werden Ihre Dokumente möglicherweise verwendet, um KI-Modelle zu trainieren, ohne dass Sie es merken?
Read MoreKRITIS Dachgesetz: Bundeskabinett beschließt besseren Schutz kritischer Infrastruktur
Das Bundeskabinett hat am 6. November 2024 den Entwurf für das KRITIS-Dachgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) beschlossen und in das parlamentarische Verfahren eingebracht. Ziel des Gesetzes ist es, deutschlandweit einheitliche Mindeststandards für den Schutz kritischer Infrastrukturen festzulegen und deren Widerstandsfähigkeit zu stärken.
Read MoreNokia untersucht möglichen Datenleck durch Drittanbieter
Der Telekommunikationsriese Nokia sieht sich derzeit mit der Behauptung konfrontiert, dass ein unbefugter Akteur den Source Code des Unternehmens gestohlen hat. Nach Angaben des IT-Sicherheitsportals BleepingComputer hat ein Hacker mit dem Pseudonym “IntelBroker” behauptet, Zugang zu Daten eines Drittanbieters erhalten zu haben, der in direkter Verbindung mit Nokia steht.
Read MoreInternationale Datenschutzkonferenz verabschiedet Resolution für vertrauenswürdigen internationalen Datenverkehr
Vom 28. Oktober bis zum 1. November fand in Jersey die Global Privacy Assembly (Internationale Datenschutzkonferenz verabschiedet Resolution für vertrauenswürdigen internationalen Datenverkehr) statt, bei der Datenschutzbehörden aus über 130 Ländern zusammenkamen. Auf Initiative der deutschen Delegation unter Leitung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, wurde eine Resolution zum „Data Free Flow with Trust“ (DFFT) verabschiedet. Diese Resolution wurde in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten entwickelt und zielt darauf ab, vertrauenswürdige Rahmenbedingungen für den internationalen Datenaustausch zu schaffen. Die Empfehlungen der GPA zu DFFT legen zentrale datenschutzrechtliche Elemente fest, um Standards wie Standardvertragsklauseln und Zertifizierungen zu harmonisieren und somit die Sicherheit und Vertrauenswürdigkeit von Datenübermittlungen zu fördern.
Read MoreNeue Ransomware-Bande erpresst die Deutsche Industrie- und Handelskammer (DIHK)
Eine bislang unbekannte Ransomware-Gruppe namens “PlayBoy” behauptet, Daten der Deutschen Industrie- und Handelskammer (DIHK) gestohlen zu haben. Die Bande hat eine Frist bis zum 5. November gesetzt und droht mit der Veröffentlichung der Daten, sollte kein Lösegeld gezahlt werden. Obwohl die DIHK den Vorfall offiziell nicht bestätigt hat, erklärte sie gegenüber csoonline.com, dass sie ihre Systeme überprüft und bislang keine Hinweise auf Datenabflüsse oder Sabotageakte vorliegen. Die Identität der PlayBoy-Gruppe bleibt weiterhin unbekannt.
Read MoreDatenleck bei TÜV und DEKRA: KFZ Gutachten frei im Netz einsehbar
Laut einem Bericht von Günther Born auf seinem Blog Borncity.com wurden Kfz-Gutachten der Prüforganisationen TÜV Rheinland und DEKRA im Internet ohne ausreichenden Schutz abrufbar. Dieser Vorfall, der am 19. Oktober 2024 bekannt wurde, betrifft zahlreiche Kfz-Gutachten, die persönliche Informationen der Fahrzeughalter sowie technische Daten der Fahrzeuge enthielten. Betroffen sind Gutachten, die in Zusammenhang mit Unfallfahrzeugen oder Zustandsbewertungen erstellt wurden.
Read MoreCyberangriff auf sieben weiterführende Schulen im Landkreis Kitzingen
Am 23. Oktober 2024 wurden die IT-Systeme mehrerer weiterführender Schulen im Landkreis Kitzingen Ziel eines Cyberangriffs. Betroffen sind unter anderem die Staatlichen Realschulen in Kitzingen und Dettelbach, das Armin-Knab-Gymnasium, das Gymnasium Marktbreit, die Berufsschule und FOSBOS sowie die Erich Kästner Schule. Auch der Schulstandort Ochsenfurt ist offline. Der Unterricht läuft jedoch vorerst weiter, allerdings gibt es starke Einschränkungen bei der digitalen Kommunikation.
Read MoreMicrosoft findet Datenschutz-kritische Sicherheitslücke in macOS
Am 17. Oktober 2024 veröffentlichte Microsoft Threat Intelligence Informationen über eine neue Schwachstelle in macOS, genannt HM Surf (CVE-2024-44133). Diese Sicherheitslücke erlaubt es Angreifern, die Schutzmechanismen der Transparenz-, Einwilligungs- und Kontrolltechnologie (TCC) von macOS zu umgehen und unautorisiert auf sensible Daten zuzugreifen. Betroffen sind Daten wie der Browserverlauf, die Kamera, das Mikrofon sowie der Standort des Geräts.
Read MoreEuGH stärkt Datenschutz: Schadensersatz- und Unterlassungsansprüche
Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 zwei Urteile gefällt, die den Schutz von personenbezogenen Daten betreffen. Hier die wichtigsten Punkte zusammengefasst:
Read MoreCisco untersucht mutmaßlichen Sicherheitsvorfall
Am 15. Oktober 2024 meldete Cisco einen potenziellen Sicherheitsvorfall, bei dem ein unbefugter Akteur angeblich Zugriff auf Daten von Cisco und dessen Kunden erlangt haben soll. Cisco konnte bisher keine Beweise für einen Systembruch finden. Die fraglichen Daten stammen von einem öffentlich zugänglichen DevHub, wobei keine sensiblen Informationen entdeckt wurden. Aus Vorsicht wurde der Zugang vorübergehend deaktiviert. Cisco setzt die Untersuchung fort und wird betroffene Kunden direkt informieren.
Read MoreMassives Datenleck bei Brillen.de betrifft Millionen Kunden
Der deutsche Optiker Brillen.de hat durch ein Sicherheitsversäumnis die persönlichen Daten von über 3,5 Millionen Kunden aus Deutschland, Spanien und Österreich öffentlich zugänglich gemacht. Laut einem Bericht von Cybernews entdeckte das Rechercheteam die Datenpanne am 8. August 2024.
Read MoreNational Public Data meldet nach Datenleck Insolvenz an
Das in Florida ansässige Unternehmen National Public Data, spezialisiert auf Hintergrundüberprüfungen, hat am 15. Oktober 2024 Insolvenz angemeldet. Grund dafür ist ein massives Datenleck, bei dem etwa 270 Millionen Sozialversicherungsnummern sowie weitere persönliche Daten gestohlen wurden. Die Hackergruppe USDoD bot die gestohlenen Daten im Darknet zum Verkauf an. Das Unternehmen sieht sich nun mit zahlreichen Klagen und regulatorischen Herausforderungen konfrontiert, während die finanziellen Mittel für Entschädigungen oder Schadensregulierungen äußerst begrenzt sind. Betroffensind Namen, Geburtsdaten, Adressen und Sozialversicherungsnummern.
Read MoreHackerangriff auf Volkswagen Gruppe durch Ransomware-Gang 8base
Am 9. Oktober 2024 wurde bekannt, dass die Ransomware-Gruppe 8base einen Angriff auf die Volkswagen-Gruppe durchgeführt hat. Der Angriff soll bereits am 23. September 2024 stattgefunden haben und betraf den weltweit führenden Automobilhersteller aus Wolfsburg. Volkswagen ist mit seinen zehn Marken, darunter Audi, Porsche und Lamborghini, in 153 Ländern aktiv und betreibt 114 Produktionsstätten weltweit.
Read MoreDatenschutz-Problem: Smart-TVs tracken Userverhalten mit ACR im Opt-Out Verfahren
Im Oktober 2024 veröffentlichten Forscher der CalTec die Studie „Watching TV with the Second-Party“, die Automatic Content Recognition (ACR) in Smart-TVs untersucht. ACR ist eine Technologie, die automatisch Inhalte erkennt, die auf dem Fernseher abgespielt werden, und diese Informationen an Server übermittelt. Dabei werden regelmäßig Bild- oder Audioschnipsel erfasst, die dann mit einer zentralen Datenbank abgeglichen werden, um das genaue Programm oder den Film zu identifizieren, das/die ein Nutzer sieht.
Read MoreDeutsches Jugendherbergswerk bestätigt Ransomware-Angriff und Datenverlust
Ende August kam es zu erheblichen Störungen bei rund 450 deutschen Jugendherbergen. Wie nun bekannt wurde, steckt die Ransomware-Gruppe „Hunters“ hinter dem Vorfall. Die Cyberkriminellen haben nach eigenen Angaben Daten der Deutschen Jugendherbergen kopiert und die IT-Systeme lahmgelegt. Die betroffenen Systeme waren über mehrere Tage nicht erreichbar, was zu Einschränkungen bei Buchungen und der Funktionalität von Schlüsselkarten führte.
Read MoreDatenleck bei Check24 und Verivox: Kreditkunden Daten waren im Netz aufrufbar
Am 17. September 2024 berichtete Correctiv von gravierenden Datenlecks bei den Vergleichsportalen Check24 und Verivox, die zu einem unautorisierten Zugriff auf sensible Kundendaten führten. Millionen von Menschen könnten betroffen sein, da Namen, Adressen, Einkommensinformationen und weitere private Daten leicht zugänglich waren. Besonders im Bereich der Kreditvermittlung waren diese Daten durch Sicherheitslücken abrufbar.
Read MoreNeue Regelungen zur Gesichtserkennung durch Polizei geplant
Am 11. September 2024 wurde ein Gesetzesentwurf veröffentlicht, der der Polizei erlaubt, Verdächtige mithilfe von Gesichtserkennung zu identifizieren. Ermittler sollen biometrische Fotos von Verdächtigen mit öffentlich zugänglichen Internetbildern abgleichen dürfen. Dies betrifft jedoch nur statische Bild- und Videodateien, nicht Echtzeitübertragungen wie Livestreams. Der Abgleich darf nur für schwerwiegende Straftaten erfolgen, und die erhobenen Daten müssen gelöscht werden, wenn sie keinen Ermittlungsansatz bieten.
Read MoreDatenpanne beim Autovermieter AVIS
Avis Rent A Car System, LLC informiert über einen Sicherheitsvorfall, bei dem persönliche Daten von Kunden kompromittiert wurden. Unbefugte Dritte erlangten zwischen dem 3. und 6. August 2024 Zugriff auf eine Geschäftsanwendung. Betroffen sind Namen und möglicherweise weitere persönliche Informationen.
Read MoreHackerangriff auf Reha-Klinik in Bad Wildungen
Unbekannte Hacker haben die Klinik am Kurpark in Bad Wildungen-Reinhardshausen angegriffen. Wie die Klinik mitteilt, sind die Angreifer vermutlich an personenbezogene Daten gelangt. Der Betrieb der Klinik sei jedoch nicht beeinträchtigt. Der Vorfall ereignete sich bereits am 27. August, und seitdem wurden Maßnahmen zur Eindämmung des Angriffs ergriffen. Die Generalstaatsanwaltschaft Frankfurt hat die Ermittlungen aufgenommen. Unterstützt wird die Klinik von Cyber- und Datenschutzexperten sowie Polizei und Landeskriminalamt. Weitere Informationen sollen folgen.
Read MoreHackerangriff auf Wertachkliniken – Betrieb massiv eingeschränkt
Nach einem schweren Hackerangriff auf die Wertachkliniken in Bobingen und Schwabmünchen ist der Betrieb stark beeinträchtigt. In der Nacht zum 1. September 2024 legten Hacker die IT-Systeme der Kliniken lahm, wodurch die Serversysteme vollständig ausfielen. Der Klinikbetrieb läuft derzeit nur noch eingeschränkt und musste auf eine analoge Notfallstruktur umgestellt werden. Geplante Operationen in Bobingen wurden vorsorglich abgesagt, weitere könnten folgen.
Read MoreHackerangriff auf Deutsche Flugsicherung (DFS)
Hacker haben die Deutsche Flugsicherung (DFS) mit einem Cyberangriff getroffen. Laut DFS, die ihren Sitz in Langen bei Frankfurt am Main hat, wurde die administrative IT-Infrastruktur der Bürokommunikation betroffen. Die Flugsicherheit und der Betrieb des Flugverkehrs wurden jedoch nicht beeinträchtigt und laufen weiterhin normal.
Read MoreCyberangriff auf Qcells: Solaranbieter informiert Kunden über Datenleck
Der Solaranbieter Hanwha Qcells hat seine Kunden über ein Datenleck informiert, das infolge eines Cyberangriffs auf die IT-Systeme am deutschen Standort am 14. Juli 2024 entstanden ist. Unbekannte Angreifer erlangten offenbar Zugriff auf Teile der Kunden- und Geschäftspartnerdatenbank, wobei personenbezogene Daten wie Namen, Adressen, Telefonnummern, E-Mail-Adressen, Passwörter und Kontodaten betroffen sein könnten.
Read MoreCyberangriff auf Hoerbiger: 800 Server weltweit verschlüsselt
Die weltweit tätige Maschinenbaufirma Hoerbiger Holding AG wurde Opfer einer groß angelegten Cyberattacke, bei der rund 800 Server weltweit verschlüsselt und etwa 50 Gigabyte Daten gestohlen wurden. Die Hackergruppe „Akira“ behauptet in einem Darknet-Blog, für den Angriff verantwortlich zu sein. Laut dem Schweizer Magazin „Inside-it“, das den Vorfall aufdeckte, könnten die Hacker Zugriff auf Daten der Hoerbiger Holding erhalten haben.
Read MoreQilin Ransomware stiehlt Anmeldedaten aus Google Chrome-Browsern
Bei einer kürzlichen Untersuchung eines Qilin-Ransomware-Angriffs entdeckte das Sophos X-Ops-Team, dass Angreifer auf einer Teilmenge der Endpunkte des Netzwerks massenhaft Anmeldedaten aus Google Chrome-Browsern gestohlen hatten. Diese ungewöhnliche Taktik erweitert die Bedrohung durch Ransomware-Angriffe erheblich und könnte weit über das ursprüngliche Ziel hinaus Auswirkungen haben.
Read MoreAngebliches Datenleck bei Bündnis Sahra Wagenknecht: Rund 70.000 personenbezogene Daten ungeschützt im Netz
Das Bündnis Sahra Wagenknecht (BSW) ist laut einem Bericht von Correctiv.org erneut von einem gravierenden Datenleck betroffen. Ungefähr 70.000 personenbezogene Daten, darunter Mitgliederlisten, Angaben zu Unterstützern und Newsletter-Abonnenten, waren bis vor kurzem ungeschützt im Internet zugänglich. Dies geschah, obwohl bereits im März 2024 ein ähnliches Leck bekannt geworden war.
Read MoreHackerangriff auf Automobilzulieferer Optibelt
Die Arntz Optibelt Gruppe, ein führender Hersteller von Antriebstechnik mit Sitz in Höxter, wurde am 25. August 2024 Opfer eines Hackerangriffs. Der Angriff führte auch am Dienstag zu betrieblichen Einschränkungen. Eine Taskforce aus IT-Spezialisten ist im Einsatz, um den Vorfall zu untersuchen und den Schaden zu beheben.
Read MoreÖffentliche Konsultation zur Bewertung von Messengerdiensten
BfDI Initiiert Öffentliche Konsultation zur Bewertung von Messengerdiensten Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat ein neues Konsultationsverfahren zur Überprüfung von Messengerdiensten gestartet. Mit diesem Schritt möchte die Behörde die Entwicklung eines einheitlichen Standards für die Bewertung von Messengerdiensten fördern, die sowohl im privaten als auch im beruflichen Alltag immer stärker genutzt werden.
Read MoreMicrosoft führt verpflichtende Multi-Faktor-Authentifizierung für alle Azure-Nutzer ein
Microsoft hat angekündigt, dass ab 15. Oktober 2024 die Multi-Faktor-Authentifizierung (MFA) für alle Azure-Nutzer verpflichtend wird. Diese Maßnahme zielt darauf ab, die Sicherheit von Azure-Tenants zu erhöhen und die Cloud-Investitionen der Unternehmen besser zu schützen. Wenn man sich jetzt bereits proaktiv darum kümmert, den Zeitpunkt für den Starts der MFA zu setzen, lässt sich die Umsetzung bis Anfang 2025 hinauszögern.
Read MoreBundesamt für Kartographie und Geodäsie (BKG) von staatlichen chinesischen Hackern ausspioniert
Am 31. Juli 2024 gab die Bundesregierung bekannt, dass ein schwerer Cyberangriff auf das Bundesamt für Kartographie und Geodäsie (BKG) im Jahr 2021 eindeutig staatlichen chinesischen Akteuren zugeordnet werden konnte. Nach Abschluss des nationalen Attribuierungsverfahrens, das unter der Federführung des Auswärtigen Amts durchgeführt wurde, wurde bestätigt, dass der Angriff der Spionage diente. Dabei infiltrierten die Angreifer das Netzwerk des BKG und nutzten kompromittierte Endgeräte von Privatpersonen und Unternehmen als Verschleierungsnetzwerk.
Read MoreDatenpanne bei National Public Data - 3 Mrd Datensätze nun öffentlich
6. August 2024 – National Public Data, ein Dienst von Jerico Pictures Inc., erlitt eine massive Datenpanne. Der Hacker „Fenice“ veröffentlichte 2,9 Milliarden Datensätze mit persönlichen Informationen, darunter Namen, Adressen und Sozialversicherungsnummern (SSNs) im Klartext. Betroffen sind hier vor allem US amerikanische Bürger.
Read MoreSicherheitslücke bei Dating-Apps ermöglicht Standortermittlung auf 2 Meter genau
Forscher der belgischen Universität KU Leuven haben Sicherheitslücken in mehreren beliebten Dating-Apps, darunter Bumble und Hinge, entdeckt, die es Stalkern ermöglichen könnten, den Standort von Nutzern bis auf zwei Meter genau zu ermitteln.
Read MoreLinksys-Router verschicken Login Daten unverschlüsselt in die USA
Laut einem Bericht von test-ankoop.be weisen Linksys Mesh-Router Velop Pro WiFi 6E und Pro 7 eine gravierende Sicherheitslücke auf. Während der Installation senden diese Geräte sensible Daten wie WLAN-Logins und Passwörter unsicher an Server in den USA, was potenziell Hackerangriffe ermöglicht.
Read MoreSicherheitslücke bei Digital Video Recordern von TVT
Eine schwerwiegende Sicherheitslücke wurde in mehreren Digital Video Recorder (DVR)-Geräten entdeckt, darunter TVT DVR-Modelle wie TD-2104TS-CL und TD-2108TS-HP, sowie Geräte von Provision-ISR und AVISION. DVRs sind Geräte zur Aufzeichnung und Speicherung von Videodaten, häufig in Überwachungssystemen verwendet.
Read MoreGoogle Chrome setzt Abschaffung von Drittanbieter-Cookies aus – W3C reagiert mit Kritik
31. Juli 2024 Google Chrome hat bekanntgegeben, dass die geplante Abschaffung von Drittanbieter-Cookies nicht weiterverfolgt wird. Diese Entscheidung ermöglicht es Werbenetzwerken, weiterhin traditionelle Tracking-Methoden zu verwenden, um Benutzer über verschiedene Webseiten hinweg zu verfolgen und sensible Informationen zu sammeln. Dies stellt einen Rückschritt für den Datenschutz dar.
Read MoreDatenleck bei Pinterest betrifft 60 Mio Datensätze
Am 15. Juli 2024 berichtete cyberpress.org über ein mögliches Datenleck bei Pinterest, bei dem angeblich 60 Millionen Datensätze von Nutzern veröffentlicht wurden. Der Hacker “Tchao1337” behauptet, eine Datenbank mit E-Mail-Adressen, Benutzernamen, Benutzer-IDs und IP-Adressen auf einem Datenleck-Forum hochgeladen zu haben.
Read MoreTwitter trainiert KI mit Nutzerdaten: Opt-Out möglich
Die Social-Media-Plattform X, ehemals Twitter, hat durch eine standardmäßig aktivierte Datenfreigabe-Funktion Kritik ausgelöst. Diese Funktion erlaubt es X, Nutzerdaten, einschließlich Posts und Interaktionen mit dem KI-Chatbot Grok, an Elon Musks KI-Unternehmen xAI weiterzugeben. xAI verwendet diese Daten zur Schulung seiner KI-Modelle.
Read MoreRansomware-Angriff auf Notarorganisationen in Bayern und Pfalz
In der Nacht vom 08.07. auf den 09.07.2024 wurden die Standesorganisationen der Notare Bayern und Pfalz, bestehend aus der Notarkasse, der Landesnotarkammer Bayern, der Notarkammer Pfalz und dem Bayerischen Notarverein, Opfer eines Ransomware-Angriffs, wie eine entsprechende Pressemitteilung berichtet. Die Schadsoftware verschaffte sich Zugang zur IT-Infrastruktur und verschlüsselte Daten, wodurch ein Datenabfluss festgestellt wurde.
Read MoreVergleich Datenschutzgesetze: Österreich, Deutschland, Schweiz
Datenschutz ist heute wichtiger denn je. In der EU wird der Schutz persönlicher Daten durch die Datenschutz-Grundverordnung (DSGVO) geregelt, die seit dem 25. Mai 2018 in Kraft ist. Diese Verordnung legt einheitliche Standards für alle EU-Länder fest und stärkt die Rechte der Betroffenen. Deutschland und Österreich haben die DSGVO in nationales Recht umgesetzt, während die Schweiz, die nicht zur EU gehört, ihr eigenes Datenschutzgesetz (DSG) hat, das am 1. September 2023 in Kraft trat. Trotz ähnlicher Ziele gibt es wichtige Unterschiede in den Datenschutzregelungen dieser drei Länder.
Read MoreXSS Sicherheitslücke im Okta Browser Plugin
Das Okta Browser Plugin, Versionen 6.5.0 bis 6.31.0 für Chrome, Edge, Firefox und Safari, ist anfällig für Cross-Site Scripting (XSS). Die Schwachstelle CVE-2024-098 tritt auf, wenn das Plugin den Benutzer auffordert, neue Anmeldedaten in Okta Personal zu speichern. Ein Fix wurde in Version 6.32.0 implementiert, der die Eingabefelder korrekt entschärft und so die Sicherheitslücke schließt. Wichtig: Ist Okta Personal nicht hinzugefügt, ist das Workforce Identity Cloud Plugin nicht betroffen.
Read MoreDatenschutz-Sammelklage: Oracle zahlt 115 Millionen Dollar
22.07.2024: Oracle hat in einem Class-Action Verfahren in den USA zugestimmt, 115 Millionen Dollar zur Beilegung einer zweijährigen Sammelklage bezüglich des Missbrauchs von Nutzerdaten zu zahlen. Die Klage behauptete, dass Oracles Datenverkaufsaktivitäten das Recht der Internetnutzer auf Privatsphäre nach der kalifornischen Verfassung sowie verschiedene bundesstaatliche und staatliche Datenschutzgesetze verletzten. Die Einigung betrifft 220 Millionen betroffene Nutzer, die jeweils eine gleichmäßige Entschädigung aus einem unwiderruflichen Fonds erhalten werden.
Read MoreHackerangriff: Phishing Mails vom Hotel Waldstätterhof
Am 17.7.24 traf ein schwerer Hackerangriff das Seehotel Waldstätterhof in Brunnen am Vierwaldstättersee. Kriminelle verschickten Anfang dieser Woche gefälschte E-Mails von der offiziellen Hoteladresse an Hunderte Gäste. Diese E-Mails forderten die Empfänger auf, ihre Zahlungsdaten über einen Link einzugeben, um ihre Reservierungen zu bestätigen.
Read MoreCyberangriff bei Müllentsorgungsfirma MERB in Achern
Am Wochenende des 18.7.24 kam es bei den Mittelbadischen Entsorgungs- und Recyclingbetrieben (MERB) in Achern zu einem Cyberangriff. Wie die Geschäftsführerin Kathrin Gerber-Schaufler mitteilte, wurde der Angriff durch einen Hinweis entdeckt. Dank eines Notfallplans konnte die Firma schnell die Kontrolle über die Situation erlangen. Unterstützt wird MERB dabei von einem IT-Systemhaus aus der Ortenau.
Read MoreDer gläserne Mensch: Recherche deckt Ausmaß des Datenhandels auf
Der unkontrollierte Datenhandel der Online-Werbeindustrie stellt eine erhebliche Bedrohung für den Datenschutz von Millionen Menschen sowie die nationale Sicherheit Deutschlands dar. Dies zeigen aktuelle Recherchen von netzpolitik.org und dem Bayerischen Rundfunk.
Read MoreDatenpanne: Hacktivistin zeigt Massenüberwachung durch die Telekom auf
Lilith Wittmann hat eine Webseite namens festnetz.cool online gestellt, die es ermöglicht, Daten von Festnetz-Anschlüssen der Deutschen Telekom allein anhand der IP-Adresse abzufragen. Mit den ermittelten Daten können die Anschlussinhaber der Telekom im Internet dauerhaft getrackt werden.
Read MoreAT&T zahlt 370.000 US-Dollar an Hacker nach gigantischem Datenleck
Am 14. Juli 2024 wurde nach Aussage der Zeitschrift Wired bekannt, dass der US-Telekommunikationsriese AT&T einem Hacker 370.000 US-Dollar zahlte, um gestohlene Anruf- und Textdaten von Millionen Kunden zu löschen. Diese Zahlung erfolgte im Mai, nachdem ein Mitglied der berüchtigten Hackergruppe ShinyHunters die Daten erbeutet hatte. Die verhandelten Daten betrafen ca. 70 Mio aktive und bereits inaktive Nutzeraccounts und umfassten nahezu alle Sprach und Textnachrichten seiner Mobilfunkkunden.
Read MoreHackerangriff auf die Wirtschaftsförderung Leverkusen
Die Wirtschaftsförderung Leverkusen (WfL) wurde am Donnerstag, dem 11. Juli, von einem Cyberangriff getroffen. Das Unternehmen warnt derzeit vor gefälschten E-Mails, die über den Account einer Mitarbeiterin verschickt wurden. Die Nachrichten tragen die Betreffzeile “Erforderliche Aktion - Wichtiges Dokument” und fordern die Empfänger auf, persönliche Zugangsdaten einzugeben.
Read MoreWestfälische Stahlgesellschaft von Ransomware Angriff betroffen
Am 9. Juni 2024 wurde die Westfälische Stahlgesellschaft Opfer eines Cyberangriffs mit Ransomware. Der Angriff, der am Morgen des 10. Juni entdeckt wurde, führte zur Verschlüsselung wesentlicher IT-Systeme des Unternehmens und beeinträchtigte somit die Produktion, Lagerhaltung und Logistik erheblich. Die Firmengruppe informierte die Öffentlichkeit und ihre Geschäftspartner zeitnah über den Vorfall und die eingeleiteten Maßnahmen.
Read MoreHacker-Attacke auf Frankfurter University of Applied Sciences
Die Frankfurter University of Applied Sciences (UAS) in der zweiten Juliwoche 2024 Opfer eines Hackerangriffs geworden. Hacker verschafften sich Zugriff auf Teile der IT-Infrastruktur der Hochschule. Die Leitung der UAS informierte, dass das Ausmaß des Angriffs noch nicht abgeschätzt werden könne und das Ziel der Hacker unbekannt sei.
Read MoreHacker stehlen 650 GB Daten der TÜV Rheinland Akademie GmbH
Die TÜV Rheinland Akademie GmbH, ein Weiterbildungsanbieter für IT Security, meldete einen unautorisierten Zugriff auf einzelne Bereiche ihres Schulungsnetzwerks durch Hacker. Betroffen sind Trainingsinhalte, Raumbelegungsinformationen und potenziell Zugangsdaten zu Schulungen, die inzwischen unbrauchbar gemacht wurden. Sensible personenbezogene Daten scheinen nicht betroffen zu sein. Insgesamt belaufen sich die gestohlenen Daten auf über 650 GB.
Read MoreCloudflare bietet nun eine Block-Möglichkeit gegen KI-Crawler
Cloudflare hat eine neue Funktion eingeführt, die es Nutzern ermöglicht, spezifische Kategorien von Bots zuzulassen oder zu blockieren, einschließlich KI-Crawlern. Diese Neuerung richtet sich an alle Cloudflare-Nutzer, unabhängig vom gewählten Plan.
Read MoreDatenleck: Hacker klauen Daten aus 2 Faktor App Authy
Am 1. Juli 2024 hat Twilio eine Sicherheitswarnung für die Authy-App auf Android (v25.1.0) und iOS (v26.1.0) herausgegeben. Twilio hat entdeckt, dass Hacker auf Daten von Authy-Konten, einschließlich Telefonnummern, zugegriffen haben. Der Auslöser war ein nicht authentifizierten Endpunkt der umgehend deaktiviert wurde, um weitere unautorisierte Zugriffe zu verhindern.
Read MoreDatenleck beim Sensorhersteller Sick AG
Der Sensorhersteller Sick AG hat eine Sicherheitslücke in seinem Support-Portal entdeckt. Die Ursache war eine Fehlkonfiguration eines externen Dienstleisters, der das Portal hostet. Dadurch waren die Zugriffsbeschränkungen auf ein NFS-Speichersystem fehlerhaft, was einen zeitweiligen unautorisierten Zugriff auf Kundendaten ermöglichte.
Read MoreDatenleck – Gefängnis-Telefondaten frei zugänglich im Netz
Zeit-Online berichtet über ein schwerwiegendes Datenleck in einem Telefonsystem hat dazu geführt, dass Kommunikationsdaten von über 14.000 Gefängnisinsassen in 20 Haftanstalten und forensischen Kliniken frei im Internet zugänglich waren. Die IT-Sicherheitsaktivistin Lilith Wittmann entdeckte die ungeschützte Programmierschnittstelle, die sensible Informationen wie Telefonnummern und Gesprächsaufzeichnungen preisgab.
Read MoreDatenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich
Auf dem Blog von Günther Born wird berichtet, dass Balkonkfraftwerkbesitzer über die Deye-Cloud auf Solardaten einer fremden Person zugreifen konnte. Die Wechselrichter von Deye, die in vielen Balkonkraftwerken und Solaranlagen in Deutschland eingesetzt werden, sind über das Internet verbunden und speisen Daten in eine Cloud in China. Dies wirft nicht nur erhebliche Datenschutzprobleme auf, da fremde Anlagendaten samt persönlicher Informationen sichtbar wurden, sondern ist über dies noch schlecht programmiert, so dass man Anlagendaten fremder Besitzer angezeigt bekommt. Deye bestritt laut Born das Problem, und verweist darauf, dass die Nutzer die fremden Anlagen selbst angelegt haben sollen.
Read MoreVR Bank: Hacker stehlen Anlegerdaten des Immofonds DGIM
Am 22. Juni 2024 wurde ein schwerer Cyberangriff auf DG Immobilien Management (DGIM), eine Tochtergesellschaft der DZ-Bank, bekannt. Bei dem Angriff könnten personenbezogene Daten von mehreren Zehntausend Kunden abgeflossen sein. Betroffen sind Adress-, Geburts- und Kontodaten sowie Steuerinformationen und finanzielle Dokumente.
Read MoreUSA verbieten Kaspersky-Software
Das US-Handelsministerium hat am 20. Juni 2024 die Nutzung der Kaspersky-Software in den USA untersagt. Die Entscheidung folgt auf Bedenken, dass die Software der russischen Firma ein erhebliches nationales Sicherheitsrisiko darstellt.
Read MoreEu-Chatkontrolle: Eu-Rat lehnt aktuellen Vorschlag ab
Der aktuelle Vorschlag zur Chatkontrolle der belgischen Ratspräsidentschaft wurde im EU-Rat am 20.6.24 abgelehnt. Laut einem von 36 Abgeordneten unterzeichneten offenen Brief schwächt der Vorschlag die Verschlüsselung privater Kommunikation erheblich und könnte als „Blaupause für autoritäre Staaten“ dienen. Deutschland stimmte ebenfalls gegen den Entwurf zur Massenüberwachung.
Read MoreServiceportal Salzgitter - nach Hackerangriff unerreichbar
Die Stadt Salzgitter teilt mit, dass das Serviceportal Salzgitter nach einem Hackerangriff nicht erreichbar ist. Dies führt zu Einschränkungen im Online-Dienstleistungsangebot der Stadt. Einige Leistungen, wie das Online-Angebot des Fachgebiets Bauordnung (https://www.salzgitter.de/leben/bauordnung-denkmalschutz/Bauordnung.php), bleiben jedoch verfügbar, da ihre Schnittstelle zur BundID nicht betroffen ist.
Read MoreMutmassliches Datenleck bei Accenture
Im Juni 2024 hat ein kam es laut DarkWebInformer zu einem Datenleck bei Accenture, einem führenden IT Beratungsunternehmen mit einem Jahresumsatz von 64,5 Milliarden US-Dollar, bei dem Daten von 32.826 aktuellen und ehemaligen Mitarbeitern offengelegt worden sind. Es wurden E-Mail-Adressen, vollständige Namen und Rundfunktermine kompromittiert.
Read MoreMutmasslicher Hackerangriff auf AMD
AMD untersucht derzeit einen möglichen Cyberangriff, nachdem ein Hacker namens IntelBroker auf einem Untergrundforum angeblich gestohlene Daten zum Verkauf angeboten hat. Laut den Angaben des Angreifers umfassen die kompromittierten Daten Mitarbeiterinformationen, Finanzdokumente und vertrauliche Unternehmensinformationen von AMD.
Read MoreProton wird in eine Stiftung umgewandelt
Am 17. Juni 2024 verkündete Proton, bekannt für seine datenschutzorientierten Produkte wie Proton Mail und Proton VPN, dass es künftig als gemeinnützige Stiftung agieren wird. Dieser Schritt soll die Unabhängigkeit und Integrität von Proton langfristig sichern und die Mission des Unternehmens stärken, die Privatsphäre der Nutzer zu schützen und das Internet im Sinne der Gesellschaft zu gestalten.
Read MoreHackerangriff auf die CDU schwerwiegender als angenommen
Der Anfang Juni berichteten wir über einen Hackerangriff auf die CDU. Nach Angaben der Bild Zeitung hat dieser schwerwiegendere Folgen als zunächst vermutet. Die zentrale Mitgliederdatei der Partei musste abgeschaltet werden, da die Daten der 363.000 Mitglieder möglicherweise in die Hände ausländischer Agenten, mutmaßlich russischer Spione, gelangt sind. Aufgrund der Sicherheitsbedenken verzögert sich auch die Auswahl der Bundestagskandidaten der CDU, da die CDU ihre internen Abläufe und Sicherheitsmaßnahmen neu evaluieren muss. Ein interner “Alarmbrief” warnte vor möglichen weiteren Angriffen und empfahl, nur noch notwendige CDU-Versammlungen abzuhalten.
Read MoreBlackBerry Cylance-Daten im Dark Web zum Verkauf angeboten
Am 11. Juni 2024 gab securityweek.com bekannt, dass Daten von BlackBerry Cylance für 750.000 US-Dollar im Dark Web angeboten werden. BlackBerry bestätigte, dass die betroffenen Daten alt und nicht von ihren eigenen Systemen stammen. Cylance ist ein weltweit aktives Cybersecurity Unternehmen.
Read MoreDatenleck bie Kamera Zubehör Hersteller Peak Design betrifft eine halbe Million Datensätze
Beim kalifornischen Unternehmen Peak Design, das für seine Reisetaschen und Zubehörprodukte bekannt ist, kam es zu einem erheblichen Datenleck. Denn das Unternehmen vergaß, eine Passwortsicherung für eine Datenbank einzurichten, wodurch die Daten frei im Internet zugänglich waren. Das Leck, das von Forschern des Cybernews-Teams am 25. April 2024 entdeckt wurde, betraf eine öffentlich zugängliche Elasticsearch-Instanz. Diese Art von Datenbank wird häufig für die Suche und Analyse großer Datenmengen genutzt, sollte jedoch niemals ohne geeignete Authentifizierung im Internet zugänglich sein. Durch die fehlende Sicherung konnten Bedrohungsakteure auf sensible Kundendaten zugreifen, darunter:
Read MoreCisco Webex Rechenzentrum in Frankfurt - Sicherheitslücke verursachte Regierungs-Datenleck
Im Frühjahr 2024 berichtete das deutsche Nachrichtenportal Zeit Online über Angriffe auf die Webex-Implementierung der deutschen Regierung. Hierbei nutzten Bedrohungsakteure eine Schwachstelle, die als Insecure Direct Object Reference (IDOR) identifiziert wurde, um Zugriff auf interne Meetings zu erhalten. Besondere Brisanz erlangte der Vorfall durch den Zugang zu einem militärischen Meeting, bei dem die Unterstützung für die Ukraine erörtert wurde. Die Sicherheitslücke in Cisco Webex Meetings betraf insbesondere Kunden, deren Daten im Frankfurter Rechenzentrum CISCO Cloud Rechenzentrum gehostet wurden. Die Angreifer konnten so sensible Meeting-Informationen wie Themen, Teilnehmerlisten und Metadaten ausspähen. Besonders kritisch war, dass einige Meetingräume hochrangiger Regierungsbeamter nicht durch Passwörter geschützt waren, was die Angriffe zusätzlich erleichterte.
Read MoreAlptraum für den Datenschutz - Adobes neue Nutzungsbedingungen
Ein Artikel auf tarnkappe.info kritisiert die neuen Nutzungsbedingungen von Adobe in Hinblick auf Datenschutz. Der Software-Riese hinter Programmen wie Photoshop und Illustrator räumt sich darin weitreichenden Zugriff auf Nutzerdaten ein.
Read MoreGerichtsurteil: Kameras schon bei theoretisch möglicher Nachbarüberwachung unzulässig
Ein aktuelles Gerichtsurteil stärkt den Schutz der Privatsphäre von Grundstückseigentümern und klärt, dass Kameras bereits dann unzulässig sind, wenn sie theoretisch in der Lage sind, das Nachbargrundstück zu überwachen. Das Gericht entschied, dass bereits die Möglichkeit einer Überwachung ausreicht, um einen Unterlassungsanspruch zu begründen. Das allgemeine Persönlichkeitsrecht des Klägers sei durch die Kamera gefährdet, da diese in einem angespannten Nachbarschaftsverhältnis installiert wurde. Der Schutz der Privatsphäre überwiegt hier das Interesse der Beklagten am Schutz ihres Eigentums.
Read MoreSicherheitslücke bei Hotel-Check-in-Terminal Ariane Allegro entdeckt
Am 5. Juni 2024 berichtete die Pentagrid AG über eine Sicherheitslücke bei einem Hotel-Check-in-Terminal, das den Ariane Allegro Scenario Player im Kiosk-Modus nutzt. Diese Sicherheitslücke wurde während eines Bedrohungsmodellierungs-Workshops in einem neuen Hotel entdeckt, das keine Check-in-Mitarbeiter hat und vollständig auf Selbstbedienungsterminals setzt. Die Lücke erhielt die Bewertung CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, 6.8 / 10.
Read MoreFBI Aufruf an LockBit Opfer: wir konnten 7.000 Decryption Keys sicherstellen
In diesem Jahr führte das FBI auch eine komplexe Operation gegen LockBit durch, ein großes Ransomware-as-a-Service (RaaS)-Modell. LockBit wurde von dem russischen Programmierer Dimitri Khoroshev, alias “Putinkrab”, “Nerowolfe” und “LockBitsupp” gegründet. Er lizenziert LockBit-Ransomware an hunderte kriminelle Gruppen und erhält 20 % der erpressten Gelder. Khoroshev unterstützt seine Affiliates durch Hosting, Schätzung optimaler Lösegeldforderungen und Geldwäsche. Seit 2019 hat LockBit weltweit über 2.400 Angriffe durchgeführt, die Milliarden von Dollar an Schäden verursacht haben.
Read MoreDatenleck: Hacker bietet Daten von 100.000 Facebook Nutzern aus 2024 zum Verkauf an
Ein Hacker behauptet, eine Datenbank von Facebook-Nutzern aus dem Jahr 2024 zu besitzen, die über 100.000 Datensätze beinhaltet. Die Datenbank enthält angeblich vollständige Namen, Profile, E-Mail-Adressen, Telefonnummern, Registrierungsdaten (DR) und Standorte der Nutzer. Noch gibt es weder ein Statement von Facebook, noch Beweise für die Echtheit der Daten.
Read MoreRansomware Hackerangriff auf die Abtei Königsmünster in Meschede
Die Abtei Königsmünster in Meschede wurde Opfer eines Hackerangriffs, bei dem die digitalen Systeme des Klosters verschlüsselt wurden. Laut dem Pressesprecher Pater Maurus Runge wurde der Angriff durch ein Computervirus am 26. Mai entdeckt, was es ermöglichte, sofort Notmaßnahmen zu ergreifen.
Read MoreEuropäisches Zentrum für digitale Rechte wirft Microsoft Verletzung der Privatsphäre von Kindern vor
Das Europäische Zentrum für digitale Rechte, auch bekannt als noyb, hat Beschwerden gegen Microsoft eingereicht, denen zufolge der Technologieriese mit seinem Angebot Microsoft 365 Education die Datenschutzrechte von Schülern verletzt habe.
Read More42 Punkte Plan der EU zur Massenüberwachung von Messengerdiensten geleakt
Die Europäische Union hat einen 42-Punkte-Plan vorgestellt, der unter dem Schlagwort “Access by design” Hersteller dazu verpflichten soll, digitale Geräte wie Smartphones, Smart-Home-Geräte und Autos jederzeit staatlich überwachbar zu machen. Diese Initiative zielt darauf ab, den Behörden bessere Möglichkeiten zu geben, SSL Verschlüsselungen zu umgehen, um jederzeit und in Echtzeit Chatverläufe von Personen in der EU mitverfolgen zu können.
Read MoreDatenleck bei der CDU: 4800 Bewerberdatensätze offen im Netz einsehbar
Laut einem Bericht von heise hatte die Online-Bewerberplattform der CDU ein Sicherheitsleck, durch das die Namen von über 4800 Bewerbern öffentlich einsehbar waren. Anders als frühere Angriffe auf die Partei, die als “schwerster Angriff auf eine IT-Struktur” bezeichnet wurden, war dieses Datenleck hausgemacht. Die Bewerbungsplattform basierte auf Drupal und war so konfiguriert, dass die Namen über eine URL-Funktion einsehbar waren. Die CDU schaltete die Plattform nach einem Hinweis von heise online in den Wartungsmodus. Die Berliner Landesdatenschutzbeauftragte ist in den Fall involviert. Die Plattform war seit etwa 2016 aktiv, und sogar Einträge aus den vergangenen Monaten waren öffentlich einsehbar.
Read More122 GB gestohlene persönliche (Login) Daten auf Telegram aufgetaucht
Auf der beliebten Messaging-Plattform Telegram hat ein massives Datenleck stattgefunden, bei dem 122 GB an persönlichen Daten zum Download preisgegeben wurden. Das Datenleck umfasst alarmierende 1,7k Dateien mit 2 Milliarden Zeilen, die 361 Millionen eindeutige E-Mail-Adressen enthielten. Besorgniserregend ist, dass 151 Millionen dieser E-Mail-Adressen zuvor meist noch nicht auf der Have I Been Pwned (HIBP)-Plattform gesehen wurden. Viele Datensätze bestehen aus Username -Passwort und Website-Kombinationen und sind von deutschen Domains scheinbar per Infostealer abgegriffen worden.
Read MoreRansomware-Schrecken bleibt bestehen: Opfer können 43 Prozent der betroffenen Daten nicht wiederherstellen
Laut dem aktuellen Veeam Ransomware Trends Report 2024 sind Cyberangriffe nicht nur für Unternehmen schädlich, sondern haben auch negative Auswirkungen auf Menschen. 45 Prozent der Befragten geben an, dass sich ihre Arbeitsbelastung nach einem Angriff erhöht und bei 40 Prozent erhöht sich das Stresslevel.
Read MoreDatenleck bei Heineken: Über 8.000 Mitarbeiterdaten veröffentlicht
Hacker der Gruppe 888 haben angeblich die Daten von 8.174 Heineken-Mitarbeitern aus verschiedenen Ländern veröffentlicht. Das Datenleck von Anfang Juni 2024, betrifft Mitarbeiterinformationen, die von einem Drittanbieter exfiltriert wurden. Heineken, eines der weltweit größten Brauereienunternehmen mit einem Jahresumsatz von 36,4 Milliarden Euro. Die kompromittierten Daten sollen umfassen:
Read MoreDatenleck beim Film-Piraterie-Dienst MovieBoxPro
Ein Hacker behauptet in Besitz von 6.056.814 Datensätze des Film-Piraterie-Dienstes MovieBoxPro aus dem April 2024 zu sein, die er über eine anfällige API auf der Zahlungsseite erlangt hatte. Die Daten beinhalten Benutzer-ID (UID), E-Mail-Adressen, Vollständige Namen und VIP-Mitgliedschaftsdauer.
Read MoreHackerangriff auf die CDU wohl staatlichen Akteur zuzuordnen
Ein schwerwiegender Hackerangriff auf die Zentrale der CDU in Berlin wurde am 1.6.24 vom Bundesinnenministerium bestätigt. Der Verfassungsschutz ist eingeschaltet und ermittelt. Laut derzeitigem Stand ist es sehr wahrscheinlich, dass ein staatlicher Akteur hinter dem Angriff steht.
Read MoreDatenleck bei Hugging Face: Space Secrets betroffen
Diese Woche entdeckte das Team von Hugging Face einen unbefugten Zugriff auf ihre Spaces-Plattform, speziell auf Spaces Secrets. Es wird vermutet, dass ein Teil dieser Secrets unautorisiert eingesehen wurde. Spaces Secrets sind vertrauliche Informationen, die in der Hugging Face Spaces Plattform gespeichert werden. Diese können API-Schlüssel, Tokens, Zugangsdaten oder andere sensible Daten umfassen, die notwendig sind, um Anwendungen und Dienste innerhalb der Spaces-Plattform sicher zu betreiben und zu integrieren. Sie werden typischerweise verwendet, um den Zugriff auf bestimmte Funktionen oder Daten zu steuern und sicherzustellen, dass nur autorisierte Benutzer und Systeme Zugriff auf diese Ressourcen haben.
Read MoreDatenleck beim Roten Kreuz Berlin: Passwörter und private Nachrichten veröffentlicht
Am 23. Februar 2024 entdeckte das Cybernews-Team ein Datenleck auf einer internen Website des DRK Berlin-Nordost. Eine Fehlkonfiguration ermöglichte den öffentlichen Zugriff auf sensible Daten, darunter Mitarbeiter-E-Mails, Klartext-Passwörter und interne Nachrichten. Einige dieser Kommunikationen enthielten kritische Informationen über Zugangsbefugnisse und Schlüsselstandorte.
Read MoreCloud-Anbieter Snowflake im Fokus des Ticketmaster Datenlecks
In einer Reihe jüngster Cyberangriffe sind sensible Kundendaten von Ticketmaster und der internationalen Bank Santander gestohlen worden. Die Sicherheitsexperten von Hudson Rock vermuten, dass die Datenlecks auf eine Kompromittierung des Cloud-Datenanbieters Snowflake zurückzuführen sind. Snowflake selbst bestreitet jedoch jegliche Sicherheitsmängel auf ihrer Seite, hat aber im Zuge der Ermittlungen eine Anleitung veröffentlicht, mit der die Indicators of Compromise (IoC) festgestellt werden können. Dazu gehören Abfragen zur Identifizierung verdächtiger Aktivitäten und Anweisungen zur Deaktivierung verdächtiger Benutzerkonten. Snowflake empfiehlt zudem, Netzwerkrichtlinien zu implementieren und statische Anmeldeinformationen durch sicherere Methoden wie Key Pair-Authentifizierung oder OAuth zu ersetzen.
Read MoreDatenleck bei Cooler Master betrifft 500.000 Kundendaten
Cooler Master, ein taiwanesischer Hersteller von Computerhardware im Bereich der Prozessorkühlung, wurde laut einem Bericht von BleepingComputer Opfer eines Datenlecks, bei dem die Informationen von 500.000 Fanzone-Mitgliedern kompromittiert wurden. Der Angreifer, bekannt als ‘Ghostr’, behauptet, am 18. Mai 2024 103 GB Daten gestohlen zu haben.
Read MoreTicketmaster-Datenleck legt Daten von 560 Millionen Nutzern offen
Am 27. Mai 2024 behauptete ein Hacker mit dem Alias „SpidermanData“, Ticketmaster Entertainment, LLC infiltriert zu haben und möglicherweise sensible Daten von etwa 560 Millionen Nutzern, einschließlich ihrer Kartendetails, offengelegt zu haben. Am 29. Mai meldete die Hackergruppe Shiny Hunters, sie habe Live Nation Entertainment, Inc., die Muttergesellschaft von Ticketmaster, angegriffen. Shiny Hunters behauptete, eine umfangreiche Menge an Daten, darunter vollständige Kundenprofile, Verkaufsdetails und teilweise Kreditkarteninformationen, erbeutet zu haben. Sie bieten 1,3 Terabyte dieser gestohlenen Daten für 500.000 Dollar zum Verkauf an.
Read MoreHackerangriff auf die Website des Hamburger Verkehrsverbundes
Am Dienstag den 28.5.24 kam es beim Hamburger Verkehrsverbund (HVV) zu einem erfolgreichen Hackerangriff, in Folge dessen die Seite des Hamburger Verkehrsverbundes (HVV) nicht mehr erreichbar ist. Die Ticketbuchung ist derzeit nur vor Ort oder über die App möglich (Stand 28.5.24 18.30 Uhr). In der App geht es allerdings nur, wenn man nicht angemeldet ist. Laut eigener Aussage ist derzeit nicht von einem Datenklau auszugehen.
Read MoreMeta: EU User von Facebook und Co. - können KI Training mit ihren Daten nun widersprechen
Meta informiert derzeit Nutzer von Facebook und Instagram in Europa über In-App-Benachrichtigungen über Änderungen seiner Datenschutzrichtlinie, die ab dem 26. Juni in Kraft treten. Das Unternehme habe laut DSGVO ein „berechtigten Interesse“ an der Nutzung von Nutzerdaten wie Beiträgen, Kommentaren, Audiodaten und Nachrichten an Unternehmen zu haben, um seine KI-Modelle zu trainieren. Private Nachrichten an Freunde und Familie sind ausgenommen, nicht jedoch Erwähnungen Ihres Namens oder Bilder, die Sie zeigen. Ein Pop-up informiert Nutzer darüber, dass ihre Daten für das KI-Training verwendet werden, sofern sie nicht widersprechen
Read MoreSpyware pcTattletale auf Check-in-Computern von Hotels entdeckt
Eine Verbraucher-Spionage-App namens pcTattletale wurde auf Check-in-Systemen von mindestens drei Wyndham-Hotels in den USA entdeckt, wie TechCrunch berichtet. Die App, die unbemerkt im Hintergrund läuft, erfasst kontinuierlich Screenshots der Buchungssysteme der Hotels, die sensible Gästeinformationen enthalten. Aufgrund einer Sicherheitslücke in der Spyware sind diese Screenshots im Internet zugänglich. Laut dem Bericht sind mindestens drei Wyndham Hotels betroffen. Unklar ist, ob die Spyware absichtlich installiert wurde, oder von einem Angreifer auf die Systeme gebracht wurde. Denn Die App wird als “Mitarbeiter Monitoring System” vermarktet.
Read MoreDatenleck in Apples Wi-Fi Positionierungssystem gibt weltweit Gerätestandorte preis
Forscher der Uni Maryland haben in einem Paper aufgezeigt, dass das Wi-Fi-basierte Positionierungssystem (WPS) von Apple zu einer erheblichen globalen Datenschutzbedrohung führen kann. Diese Systeme, die moderne mobile Geräte zur Positionsbestimmung durch nahegelegene Wi-Fi-Zugangspunkte nutzen, können von Angreifern ausgenutzt werden, um eine weltweite Momentaufnahme der geolokalisierten Wi-Fi-BSSIDs (Basic Service Set Identifiers) zu erstellen.
Read MoreWehrle-Werk AG schränkt nach Hackerangriff Produktion ein
Die Wehrle-Werk AG, ein traditionsreicher Anlagenbauer aus Emmendingen, ist Opfer eines Cyberangriffs geworden. Laut der Badischen Zeitung wurde die Attacke am 11. Mai verübt. Seitdem sind Produktion und Kommunikation des Unternehmens stark eingeschränkt. Das Unternehmen teilte am gestrigen Dienstag mit, dass intensiv daran gearbeitet werde, die betroffenen Systeme wiederherzustellen und den Betrieb vollständig aufzunehmen.
Read MoreHackerangriff auf den Flughafen Hamburg an Pfingsten
Am Pfingstsonntag ereignete sich ein Hackerangriff auf den Hamburg Airport. Die pro-russische Hackergruppe Just Evil/Kill Milk behauptet, Zugang zu bestimmten Bereichen des Flughafens erlangt zu haben und postete Screenshots und Überwachungsbilder als Beweis auf ihrem Telegram-Kanal.
Read MoreDatenleck bei Online-Arzt DrAnsay - Rezepte per Suchmaschine einsehbar
Am 14. Mai 2024 wurde ein schwerwiegendes Datenleck beim Online Arzt DrAnsay entdeckt, der für die Ausstellung von Online-Krankschreibungen und Cannabis Rezepten bekannt ist. Bis zu 20% der bisher ausgestellten Rezepte waren oder sind möglicherweise über die Suchmaschinen DuckDuckGo und Bing auffindbar. Betroffen sind persönliche Daten, eventuell Versicherungsdaten und die bestellten Produkte. Gesundheitsdaten sind nach Aussage des Anbieters nicht betroffen.
Read MoreDatenleck nach Hackerangriff auf hessische Polizei-Hochschule
Laut einem Artikel der Hessenschau haben unbekannte Hacker die Systeme der hessischen Hochschule für öffentliches Management und Sicherheit (HöMS) angegriffen und dabei möglicherweise sensible Daten von Studierenden und Beschäftigten entwendet. Der Vorfall ereignete sich im Februar, wurde aber erst am Donnerstag von der Hochschule bekannt gegeben.
Read MoreBerner Fachhochschule: Datenleck zwischen 2011 und 2024
An der Berner Fachhochschule (BFH) kam es einem Bericht von derbund.ch nach zu einem Datenleck von 9600 Kursteilnehmenden des Departements Gesundheit.
Read MoreDell: Erneutes Datenleck innerhalb von 2 Wochen betrifft Supporttickets
Das Online Magazin TechCrunch berichtet von einem erneuten Datenleck bei Dell, nachdem erst vor 2 Wochen bekannt wurde, dass Dell Datensätze von 49 Mio Kunden gestohlen worden sind. Der selbe Angreifer behauptet nun, ca. 30.000 Datensätze aus dem Supportticket Portal entwendet zu haben. Die diesmal kompromittierten Daten umfassen Namen, Telefonnummern und E-Mail-Adressen von Dell-Kunden. Diese persönlichen Daten befinden sich in Kundendienstberichten, die auch Informationen zu Ersatzteilen, Kommentaren von Vor-Ort-Technikern, Auftragsnummern und in einigen Fällen Diagnoselogs von den Computern der Kunden enthalten. Laut Aussage von TechCrunch sind die Daten echt. Noch ist uns kein offizielles Statement von Dell zum neuen Datenleck bekannt.
Read MoreGroßes Datenleck bei Dell: Hacker bietet Daten zum Verkauf an
Dell steht im Mittelpunkt eines erheblichen Datenlecks, das durch den Bedrohungsakteur “Menelik” verursacht wurde. Die Daten, die angeblich von mehreren Nachrichtenplattformen bereits teilweise behandelt wurden, umfassen Informationen von etwa 49 Millionen Kunden, darunter sowohl individuelle Käufer als auch Unternehmen. Menelik behauptet, der alleinige Besitzer dieser Daten zu sein und plant, diese an genau eine Person zu verkaufen. Verschiedenen Quellen zu folge kam es durch eine verwundbare API zum Vorfall. Der Datensatz, der zurzeit vom Hacker angeboten wird, beinhaltet umfassende Informationen, darunter vollständige Namen von Personen oder Unternehmensnamen, Adressen, Städte, Provinzen, Postleitzahlen, eindeutige 7-stellige Servicenummern der Systeme, Versanddaten der Systeme (Bestelldaten), Garantiepläne, Dell Kundennummern und Dell Bestellnummern.
Read MoreUSA: Secure by Design Pledge - 68 Softwareanbieter verpflichten sich
Die amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hat die „Secure by Design Pledge“ ins Leben gerufen. Die freiwillige Initiative zielt darauf ab, Softwarehersteller dazu zu bewegen, ihre Produkte von Grund auf sicherer zu gestalten (Security by Design). Das Versprechen ist speziell auf Enterprise-Softwareprodukte und Dienstleistungen ausgerichtet, einschließlich On-Premises-Software, Cloud-Services und Software as a Service (SaaS).
Read MoreMutmaßliches Datenleck bei Europol
Laut einem Twitterbeitrag bietet der BreachForum User IntelBroker sensible Daten von Europol zum Verkauf an. Der Hacker behauptet über sensible Daten zu verfügen, die sowohl als „For Official Use Only“ (FOUO) gekennzeichnet waren als auch klassifizierte Informationen enthielten. Die Verletzung der Datensicherheit betrifft sowohl persönliche Informationen von Mitarbeitern der Allianz als auch sensible Datenmaterialien wie FOUO-Quellcode, PDFs und Dokumente, die für Aufklärung und Richtlinien verwendet wurden.
Read MoreÜberwachung vs. Datenschutz: Die Auswirkungen von Abschnitt 702
Von Sven Bagemihl, Regional Director CEMEA bei Logpoint Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 (RISAA) bewirkt eine erhebliche Ausweitung der inländischen Überwachung vor, die die umfangreichste seit dem Patriot Act darstellt.
Read MoreDatenpanne bei Rekrutierungs-App des Europäischen Parlaments
Laut einem Bericht des Europamagazins euractiv.com hat das Europäische Parlament hat am Montag, den 6. Mai, eine interne Mitteilung über eine Datenpanne bei der Anwendung “PEOPLE” versendet, die für die Einstellung nicht-ständiger Mitarbeiter genutzt wird.
Read MoreLockbit3: Cyberangriff auf Technische Universität Ilmenau
Die Technische Universität Ilmenau wurde Berichten auf Twitter zufolge Ziel eines schwerwiegenden Cyberangriffs durch die Ransomware-Gruppe LockBit 3.0. Lockbit3.0 gilt als eigentlich zerschlagene Ransomware Gang unter der Führung von Dmitry Khoroshev.
Read MoreSachsen und Berlin überwachen Verkehr mit biometrischer Gesichtserkennung
Laut einem Bericht von Netzpolitik.org nutzt die sächsische Polizei ein Gesichtserkennungssystem, das in der Lage ist, Gesichter in Echtzeit zu erkennen und zu verarbeiten. Dieses System wird auch in Berlin eingesetzt, wo der Senat erstmals technische Details öffentlich gemacht hat. Die Überwachungstechnik, die sowohl stationär als auch in parkenden Fahrzeugen eingesetzt werden kann, soll die Identifikation von verdächtigen Personen ermöglichen. Kritik gibt es hinsichtlich der rechtlichen Grundlagen und des Eingriffs in die Persönlichkeitsrechte unbeteiligter Personen.
Read MoreChinesische Tastatur-Apps: 8 von 9 senden Eingaben in die Cloud
Eine Studie vom April 2024 warnt, dass 8 von 9 getesteten chinesischen Tastatur-Apps, das Abhören von Benutzereingaben ermöglichen. Die betroffenen Apps werden von namhaften Herstellern wie Baidu, Honor, Huawei (ohne festgestellte Schwachstellen), iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi angeboten. Betroffen sind Android wie IOS. Die Sicherheitsanalyse konzentrierte sich auf die Übertragung von Benutzereingaben dieser Tastatur-Apps an Cloud-Server. Dabei wurden kritische Sicherheitslücken entdeckt, die es ermöglichen, die übertragenen Eingaben vollständig einzusehen. Dies birgt das Risiko, dass sensible Informationen wie Finanzdaten, Login-Daten und verschlüsselte Nachrichten abgefangen werden können.
Read MoreOperation PANDORA: Europol hebt Telefonbetrugs-Ring aus
Bei einer koordinierten Aktion unter der Leitung von Europol wurden am frühen Morgen des 18. April 2024 zwölf Callcenter in verschiedenen Ländern, darunter Deutschland, Albanien, Bosnien-Herzegowina, Kosovo* und der Libanon, erfolgreich geschlossen. Diese Zentren waren für Tausende von betrügerischen Anrufen pro Tag verantwortlich, die unzählige Opfer schockierten und betrugen.
Read MoreSicherheitslücke bei Lufthansa: Siri trägt fremde Flugdaten in Kalender ein
Laut einem Bericht der NZZ hat kam es bei der Lufthansa und ihrer Tochtergesellschaft Swiss zu einem ungewollten Datenleck. Apples KI-Assistentin Siri hat aufgrund einer Fehlkonfiguration die Log-in-Daten von Flugbuchungen erfasst und diese Informationen automatisch in die Kalender von Fremden eingetragen. Dieses Problem wurde am 8. April 2024 erkannt und betraf Buchungen, die durch eine bestimmte Sicherheitsschwäche in den Systemen der Airlines zugänglich wurden.
Read MoreHackerangriff auf Katholische Jugendfürsorge Augsburg
Am 17. April 2024 wurde die Katholische Jugendfürsorge der Diözese Augsburg e.V. (KJF Augsburg) Opfer eines schwerwiegenden Cyberangriffs. Hacker überwanden die Sicherheitsschranken und erlangten Zugang zu Teilen der IT-Infrastruktur. Der Vorfall führte laut eigener Aussage zum Abfluss sensibler Daten, darunter Personaldaten, Finanzinformationen sowie Patienten- und Gesundheitsdaten.
Read MoreDatenpanne nach Hackerangriff auf eSignatur-Dienst HelloSign
Am 24. April wurde Dropbox Sign (ehem. HelloSign), ein Dienst zur digitalen Dokumentensignierung) Opfer eines Hackerangriffs. Eine Untersuchung ergab, dass ein Angreifer Zugang zu sensiblen Kundendaten erlangt hatte, einschließlich E-Mail-Adressen, Benutzernamen, Telefonnummern und gehashten Passwörtern sowie zu bestimmten Authentifizierungsinformationen wie API-Schlüsseln und OAuth-Token.
Read MoreUniversitätsmedizin Mainz: Hacker veröffentlichen Daten von 280.000 Personen
Laut einem Bericht des SWR wurden bei einem Cyberangriff auf einen IT-Dienstleister der Universitätsmedizin Mainz sensible Daten entwendet und im Darknet veröffentlicht. Betroffen sind die E-Mail-Adressen von 280.000 Personen, die in einem bestimmten Zeitraum E-Mails von oder an die Einrichtung gesendet haben. Die entwendeten Protokollierungsdateien enthalten neben den E-Mail-Adressen auch die Betreffzeilen und Zeitstempel der Kommunikation. Inhalte und Anhänge der E-Mails wurden laut Angaben der Universitätsmedizin nicht kompromittiert. Betroffen sind Emails zwischen dem 1. September 2022 und dem 6. Juni 2023.
Read MoreWir sind zertifizierter Partner des Krankenhauszukunftsfonds
Als zertifizierter Partner im Rahmen des Krankenhauszukunftsfonds stehen wir Ihnen mit unserer Expertise in IT-Sicherheitsmaßnahmen zur Seite. Unser Engagement im Schulungsprogramm des Krankenhauszukunftsfonds gewährleistet, dass wir mit den neuesten Standards und Anforderungen des Krankenhauszukunftsgesetzes vertraut sind.
Read MoreZu kurze Passwörter werden in UK illegal
In Großbritannien traten am 29.4.24 neue Gesetze in Kraft, die es für Cyberkriminelle schwieriger machen sollen, in Hardware wie Handys und Tablets einzudringen. Das “Product Security and Telecommunications Infrastructure Act 2022” (PSTI Act) setzt Mindestsicherheitsstandards durch, an die sich alle Gerätehersteller halten müssen.
Read MoreSicherheitslücken im Paket-Tracking-System von GLS aufgedeckt
Bei einem Vortrag auf dem Winterkongress der Digitalen Gesellschaft Schweiz in Winterthur wurde ein Forschungsprojekt vorgestellt, das Schwachstellen in deutschen Paketverfolgungs-Websites untersucht. Nachdem bereits Sicherheitsprobleme bei DHL, DPD und UPS öffentlich gemacht wurden, stehen nun Erkenntnisse über GLS im Fokus.
Read MoreMicrosoft installiert heimlich Telemetrie Wrapper um Store-Apps
In einer kürzlich durchgeführten Untersuchung von Rafael Rivera wurde festgestellt, dass Microsoft begonnen hat, Anwendungen aus seinem Store in speziellen .NET-Wrappern zu verpacken. Diese Entwicklung könnte tiefgreifende Auswirkungen auf die Sicherheit und Funktionalität dieser Apps haben.
Read MoreRaysharp Überwachungskameras: 3 Milliarden Datensätze offen im Netz
Laut einem Bericht von Cybernews.com kam es beim chinesischen Überwachungskamera Hersteller Raysharp auf Grund einer ungeschützten Elasticsearch-Server Konfiguration zu einem Datenleck, bei dem 3 Milliarden Datensätze im Netz frei zugänglich waren.
Read MoreSicherheitslücken in CLI-Tools von AWS und Google Cloud gefährden sensible Daten
Die Command-Line Interface (CLI) Tools von Amazon Web Services (AWS) und Google Cloud stehen unter Verdacht, durch eine als “LeakyCLI” bezeichnete Sicherheitslücke sensible Benutzerdaten offenzulegen, wie Okta im April 2024 berichtete. Diese Schwachstelle könnte dazu führen, dass persönliche Zugangsdaten unbeabsichtigt in Build-Logs erscheinen und somit potenziell für Angreifer zugänglich sind.
Read MoreHalbleiterhersteller Nexperia: Unbefugter Zugriff auf Firmenserver
Nexperia, ein führender globaler Halbleiterhersteller, hat am 12.4.24 bekanntgegeben, dass im März 2024 unbefugte Dritte Zugang zu bestimmten IT-Servern des Unternehmens erlangten.
Read MoreHacker stehlen 60.000 Datensätze von Heinrich-Heine-Universität Düsseldorf
16.4.24: Die Heinrich-Heine-Universität Düsseldorf (HHU) meldete einen Sicherheitsvorfall, der zum Diebstahl von Daten Tausender Studierender und Mitarbeiter führte. Die IT-Systeme der Universität wurden durch Cyberkriminelle infiltriert, die Zugriff auf sensible Daten erlangten.
Read MorePlagiatssoftware Turnitin: Studenten nutzen massenhaft KI generierte Inhalte
9. April 2024 - Turnitin, ein führender Anbieter von Integritäts- und Originalitätsprüfungslösungen für akademische Arbeiten, veröffentlichte in einer Pressemitteilung eine Statistik zur Nutzung von KI generierten Inhalten in akademischen Arbeiten. Von den über 200 Millionen überprüften Arbeiten weisen Daten von Turnitin auf:
Read MoreDatenleck durch Phishing Angriff auf Cisco Duo-Telefoniedienst
Cisco hat bekanntgegeben, dass es zu einem Sicherheitsvorfall bei einem der Telekommunikationsdienstleister für Duo, einem Service für Multifaktor-Authentifizierung (MFA), gekommen ist. Der Vorfall, der am 1. April 2024 entdeckt wurde, führte dazu, dass ein Angreifer durch einen Phishing-Angriff Zugang zu internen Systemen des Multifaktor-Authentifizierungs-Providers erlangte.
Read MoreEuGH Urteil: Hackerangriffe führen nicht mehr automatisch zu Bußgeldern
Ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023, könnte die Art und Weise, wie Unternehmen in der EU mit Datenschutzverletzungen umgehen, grundlegend verändern. In der Entscheidung (C-340/21) hat der EuGH klargestellt, dass das bloße Vorliegen einer unbefugten Offenlegung personenbezogener Daten nicht automatisch bedeutet, dass die vom Unternehmen getroffenen Sicherheitsmaßnahmen unzureichend waren. Vielmehr muss konkret bewertet werden, ob die Schutzmaßnahmen angesichts der spezifischen Risiken angemessen waren.
Read MoreSchleswig-Holstein wechselt von Microsoft zu Linux und LibreOffice
3.4.24: Die Regierung des Landes hat mit einem Kabinettsbeschluss die Einführung der quelloffenen Software LibreOffice als standardmäßige Office-Lösung und einen Umstieg von Microsoft Windows zu Linux beschlossen.
Read MoreSicherheitspanne bei Microsoft: interne Passwörter offen im Netz
April 2024: Die Sicherheitsforscher von SOCRadar entdeckten einen öffentlich zugänglichen Speicherserver auf Microsofts Azure-Cloud-Dienst, der interne Informationen in Bezug auf Microsofts Suchmaschine Bing speicherte. Der Azure-Speicherserver enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen, die Microsoft-Mitarbeiter für den Zugriff auf andere interne Datenbanken und Systeme nutzten. Laut einem Interview mit TechCrunch war das Problem, dass der Speicherserver selbst nicht durch ein Passwort geschützt war und somit von jedermann im Internet eingesehen werden konnte.
Read MoreSicherheitsmängel in Gesundheitsamts-Software von Mikropro
In Thüringen und Sachsen-Anhalt ist die Gesundheitsamtssoftware “Mikropro” im Einsatz, die laut MDR-Recherchen ernsthafte Sicherheits- und Datenschutzmängel aufweist. Die Software wird genutzt, um hochsensible Daten zu verarbeiten, einschließlich Sehtests, Hörtests, HIV-Diagnosen und Tuberkulose-Röntgenbilder. Vier Gesundheitsämter in Thüringen und zwei in Sachsen-Anhalt setzen auf “Mikropro”, sehen jedoch keine signifikanten Probleme.
Read MoreDatenleck bei Cannabis Club Software CanGuard betrifft 1000 Mitglieder
Mit dem jüngsten Schritt der Legalisierung von Cannabis in Deutschland am 1. April und der bevorstehenden Einführung weiterer Regelungen am 1. Juli entstehen Cannabis Social Clubs (CSCs) im ganzen Land. Diese Entwicklung geht einher mit dem Aufkommen spezialisierter Softwarelösungen für diese Clubs, wie CanGuard, die umfassende Verwaltungstools für CSCs anbieten – von der Mitgliederregistrierung bis zur Lagerverwaltung.
Read MoreDatenleck bei SurveyLama legt 4 Mio Nutzerdaten offen
Im Februar 2024 wurde die Plattform für bezahlte Umfragen SurveyLama Opfer eines Datenlecks, das die persönliche Details von 4,4 Millionen Kunden preisgab. SurveyLama ist eine Plattform, bei der Nutzer gegen Entlohnung an Umfragen teilnehmen können. Der Vorfall legte nicht nur E-Mail-Adressen offen, sondern auch Namen, physische und IP-Adressen, Telefonnummern, Geburtsdaten sowie Passwörter, die als salted SHA-1-, bcrypt- oder argon2-Hashes gespeichert waren.
Read MoreBSI Umfrage: Arztpraxen kümmern sich zu wenig um IT Sicherheit
Die Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Arztpraxen, durchgeführt von März bis Mai 2023, bietet Einblicke in die Umsetzung der IT-Sicherheitsrichtlinie gemäß § 75b SGB V in deutschen Arztpraxen. Diese Richtlinie stellt gesetzliche Mindestanforderungen für einen sicheren IT-Betrieb in Arztpraxen auf und zielt darauf ab, die IT-Sicherheit im Gesundheitswesen zu stärken.
Read MoreArztpraxis IT-Sicherheitsrichtlinie gemäß § 75b SGB V
Die IT-Sicherheitsrichtlinie gemäß § 75b SGB V bezieht sich auf die deutschen gesetzlichen Anforderungen an die Informationstechnologie-Sicherheit im Gesundheitswesen. Das SGB V steht für das Fünfte Buch Sozialgesetzbuch, welches die gesetzliche Krankenversicherung in Deutschland regelt. § 75b wurde eingeführt, um die Sicherheit von Informationstechnologiesystemen im Gesundheitswesen zu gewährleisten. Einige Kernpunkte der IT-Sicherheitsrichtlinie sind:
Read MoreGoogle verschärft seine Phishing Protection Regeln in Gmail
Ab April 2024 müssen E-Mail-Versender, die täglich mehr als 5.000 Nachrichten an Gmail-Konten senden, neue Anforderungen erfüllen, um eine reibungslose Zustellung ihrer E-Mails zu gewährleisten und zu verhindern, dass ihre Sendungen begrenzt oder als Spam markiert werden. Wir haben uns das einmal näher angesehen und daraus eine Anleitung erstellt, was Sie in Zukunft beachten müssen, um reibungsfrei mit Gmail Adressen kommunizieren zu können.
Read MoreDatenleck in Shopify Plugin betrifft 7,6 Millionen Bestellungen
Am 21. Februar entdeckte das Team von Cybernews eine öffentlich zugängliche MongoDB-Datenbank, die zu einem in den USA ansässigen Unternehmen namens Saara Inc. gehört, welches Plugins für das Onlineshop System Shopify entwickelt. .
Read MoreDatenschutzvorfall bei Urban Sports Club betrifft 900.000 Mitglieder
Der Urban Sports Club hat am 28. März 2024 in einer Email an seine Mitglieder gemeldet, dass es am 26.3.24 zu einem Datenschutz gekommen ist, der personenbezogene Daten von Mitgliedern beeinträchtigt haben könnte. Urban Sports Club ist ein Anbieter einer europaweiten Fitness und Sport Flatrate und bietet Kurse an 10.000 Standorten in Europa in über 50 Sportarten an. Das Unternehmen informierte umgehend Mitglieder und die zuständigen Behörden. Im Blog des Unternehmens ist die Rede von einer Lücke, die am 27.3.24 geschlossen wurde.
Read MoreEuropol Sicherheitsvorfall: Akten sind verschwunden
Am 27. März 2024 berichtete das Magazin POLITICO über einen ernsthaften Sicherheitsvorfall, bei dem sensible persönliche Akten von führenden Strafverfolgungsbeamten, darunter die Exekutivdirektorin von Europol, Catherine De Bolle, und drei ihrer Stellvertreter, verschwunden sind. Das Europol Direktorat wurde bereits am 6. Oktober 2023 über den Vorfall informiert.
Read MoreProjekt Ghostbusters: Wie Facebook Snapchat ausspionierte
Ein kürzlich erschienener Report von Techcrunch berichtet über einen Gerichtsfall, indem Facebook vorgeworfen wird per VPN App den Datenverkehr der Konkurrenzapp Snapchat ausspioniert zu haben. Die Operation Ghostbusters dauerte von 2016 bis 2019. Es ging nicht nur darum, Konkurrenten zu übertrumpfen; es ging darum, sie zu infiltrieren. Facebook-Ingenieure nutzten einen Dienst namens Onavo, welcher sich als VPN tarnte, um in die sicheren Kommunikationen von Konkurrenzunternehmen wie Snapchat, YouTube und Amazon einzudringen und so wichtige Informationen zur Verbesserung Ihrer Instagram App sammeln zu können.
Read MoreHackergruppe Lockbit: sensible Daten von Pathologie Bochum im Darknet
März 2024 – Die Hackergruppe LockBit 3.0 behauptet im Darknet, sensible Daten der Pathologie Abteilung der Uni Bochum veröffentlicht zu haben. Obwohl es keine direkten Informationen über den Angriff auf die Pathologie selbst gibt, erinnert dieser Vorfall an den schwerwiegenden Cyberangriff auf die IT-Infrastruktur der Ruhr-Universität Bochum im Jahr 2020. Das Threat Intelligence Portals HackManac berichtet im Darknet auf einen Post der Hackergruppe LockBit 3.0 gestossen zu sein, in dem Lockbit3.0 behauptet nach einem Hackerangriff 3,2 GB an sensiblen Daten aus der Pathologie-Einheit der Universität exfiltriert und veröffentlicht zu haben, da die Pathologie Bochum nicht Ihren Lösegeld Forderungen nachgekommen sei. Wir konnten die Echtheit der Daten bisher leider nicht bestätigen, aber sollte das stimmen, so stellt dies ein ernsthaftes Datenschutzrisiko dar.
Read MoreNach Hackerangriff: Sensible Daten der VHS im Darknet aufgetaucht
März 2024 - Die Volkshochschule (VHS) Vaterstetten, die Ende Januar Ziel eines schwerwiegenden Hackerangriffs wurde, sieht sich nun einer neuen Herausforderung gegenüber: Sensible Daten scheinen im Darknet veröffentlicht worden. Die Attacke, bei der die Server der Bildungseinrichtung verschlüsselt und eine Erpresser-Botschaft hinterlassen wurde, hat nun eine besorgniserregende Wendung genommen. Die Threat Intelligence Seite HackManac berichtet, dass im Darknet ein Post eines Hackers namens “Cloak” aufgetaucht ist, der behauptet rund 150 GB an Daten der VHS in seinem Besitz zu haben und diese nun veröffentlicht zu haben, nachdem seinen finanziellen Forderungen nicht nachgekommen wurde. Wir konnten die Echtheit der Daten mangels Details zur Veröffentlichung leider bisher nicht prüfen.
Read MoreDatenpanne im Ausländeramt Hamburg: Möbelstück incl. sensibler Daten verkauft
22. März 2024 - Die Ausländerbehörde Hamburg verkaufte im Januar 2024 irrtümlich einen Rollcontainer voller sensibler Dokumente, mit personenbezogenen Daten, an ein Gebrauchtmöbelkaufhaus.
Read MoreDatenschutz und Sicherheit bei E-Mails
In kaum einen anderen Medium werden mehr persönliche Daten ausgetauscht al in Emails. Doch mit der Bequemlichkeit von E-Mails geht die Verantwortung einher, den Datenschutz und die IT Sicherheit zu gewährleisten.
Read MoreDatenleck in Kita App Stay Informed betrifft 800000 Nutzer
Am 22.3.24 wurde ein schwerwiegendes Datenleck bei der weit verbreiteten deutschen Kita-App “Stay Informed” bekannt. Ein Bericht von c’t hat enthüllt, dass persönliche Daten von Nutzern, darunter auch zahlreiche Minderjährige, über einen öffentlich zugänglichen Server einsehbar waren. Der Server war über das unsichere Klartext-Protokoll HTTP zugänglich und bot eine “Directory Listing”-Funktion, die eigentlich deaktiviert sein sollte.
Read MoreMögliches Datenleck bei der Französischen Fußballföderation (FFF)
21.3.24: Die Französische Fußballföderation (FFF), die oberste Instanz des Fußballs in Frankreich, ist möglicherweise von einem Datenleck betroffen. Laut Informationen aus dem HackManac X-Feed gibt es Behauptungen über die Veröffentlichung einer Datenbank der FFF mit 10 Mio Einträgen im Darknet.
Read MoreDatenpanne in Pforzheim legt Hunderte von E-Mail-Adressen offen
Eine Datenpanne in Pforzheim legt hunderte von E-Mail-Adressen auf der Website der Stadt ungewollt offen zugänglich. Die Panne wurde am 18.3.24 behoben. Betroffen von dieser Datenpanne sind Stadtangestellte, verschiedene Institutionen in Pforzheim sowie Privatpersonen. Neben den Namen und zugehörigen E-Mail-Adressen wurden in einigen Fällen auch Anschriften und Telefonnummern preisgegeben.
Read MoreFujitsu Hackerangriff: Datenleck nach Malware Infektion
Am 15. März 2024 hat die Fujitsu Limited, japanisches Unternehmen in der Informationstechnologie, eine ein Statement veröffentlicht, in dem Sie angab, Opfer eines Hackerangriffs geworden zu sein. Auf mehreren Arbeitscomputern des Unternehmens wurde Schadsoftware festgestellt, die das Risiko von Informationslecks, einschließlich der prekären Preisgabe persönlicher Daten, in sich birgt.
Read MoreForscher können verschlüsselte ChatGPT Chats abhören
In einem kürzlich veröffentlichten Paper der Ben-Gurion University wurde eine neue Sicherheitslücke in der Kommunikation mit künstlichen Intelligenz-Assistenten wie ChatGPT aufgedeckt. Diese Schwachstelle ermöglicht es Angreifern, verschlüsselte Chat-Konversationen zu rekonstruieren, obwohl die Chat Daten auf einem gesicherten TLS verschlüsselten Kanal übertragen worden sind.
Read MoreNeues Chrome Feature schützt vor Phishing Angriffen
Google Chrome führte im März 2024 ein neues Feature namens “Enhanced Safe Browsing” ein, das einen verbesserten Schutz vor Phishing-Versuchen bietet. Diese Neuerung verspricht eine Echtzeitüberwachung von potenziell gefährlichen Websites und setzt dabei auf innovative Technologien.
Read MoreBSI: nur Firefox erfüllt Browser Security Mindeststandards
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Firefox-Browser, da dieser als einziger den Mindeststandard “Sichere Web-Browser” erfüllt. Dies wurde in einer Studie festgestellt, in der verschiedene Browser wie Chrome, Internet Explorer und Edge geprüft wurden. Firefox war der einzige Browser, der alle Mindestanforderungen für obligatorische Sicherheitsfunktionen erfüllte.
Read MoreDatenleck bei American Express gefährdet Kreditkarten Kunden
Am 4. März 2024 gab American Express bekannt, dass es zu einer Datenpanne gekommen ist, bei der Kreditkartendetails geleaked worden sind. Das Verstoß ereignete sich bei einem Drittanbieter-Zahlungsabwickler, der mit der American Express Travel Related Services Company zusammenarbeitet. Die betroffenen Daten umfassen Namen, Kreditkartennummern, Ablaufdaten und CVC-Codes. Genaue Zahlen zur Anzahl der Betroffenen wurden dabei nicht gemacht.. American Express empfiehlt den Kunden, ihre Kontoauszüge auf verdächtige Aktivitäten zu prüfen, ihre Kreditkartennummern zu ändern, wenn sie sich Sorgen um die Sicherheit ihrer Daten machen, und sich an den Kundenservice von American Express zu wenden, wenn sie Fragen oder Bedenken haben.
Read MoreBürokratie-Entlastungsgesetz zum Datenschutz: § 38 BDSG bleibt
Das Bürokratieentlastungsgesetz IV (BEG IV) befindet sich derzeit in der Phase des Regierungsentwurfs. Das Gesetz enthält verschiedene Maßnahmen zur Entlastung von Unternehmen und Bürgern von bürokratischen Auflagen. Das Forum Arbeitsrecht und der Zentralverband des deutschen Handwerks kreiden hingegen im Referentenentwurf IV an, dass Entlastungen beim Datenschutz fehlen, wie zB. die Streichung des § 38 BDSG. Diese Vorschrift regelt die Bestellung eines betrieblichen Datenschutzbeauftragten. Die Streichung der Vorschrift bedeutet, dass Unternehmen mit mehr als 20 Mitarbeitern nicht mehr automatisch verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen.
Read MoreDatenschutz im Onlinezugangsgesetz (OZG)
Das Onlinezugangsgesetz (OZG) fordert, dass Bund, Länder und Kommunen ihre Verwaltungsdienstleistungen bis 2022 digital zugänglich machen. Während das OZG und das OZG Änderungsgesetz tangieren dabei zwangsläufig die in der DSGVO vorgeschriebenen Rechte auf Datenschutz. Um die Digitalisierung voranzutreiben, ist es daher notwendig, dass sich die öffentliche Verwaltung auch mit der Umsetzung von Datenschutzfragen befasst.
Read MoreGerichtsentscheid: Whatsapp darf Pegasus Spyware Code einsehen
Im Februar 2024 entschied ein US-Gericht im laufenden Rechtsstreit zwischen WhatsApp und der NSO Group, einem israelischen Unternehmen hinter der berüchtigten Spionagesoftware Pegasus, zugunsten von WhatsApp. Das Gericht ordnete an, dass die NSO Group den Code für Pegasus und andere damit verbundene Spionagesoftware-Produkte an WhatsApp übergeben muss. Diese Entscheidung wurde als bedeutender Sieg für WhatsApp und sein Mutterunternehmen Meta angesehen, in ihren Bemühungen, illegale Überwachungsaktivitäten zu bekämpfen.
Read MoreSnackautomat macht heimlich biometrische Gesichtsscans
Im Februar 2024 offenbarte ein fehlerhafter Invenda-Verkaufsautomat durch eine Fehlermeldung unabsichtlich, dass er Gesichtserkennungstechnologie nutzte. Die Studierenden waren vorher nicht über diese Technologie informiert worden, was Bedenken hinsichtlich Privatsphäre und Zustimmung aufwarf. Die Universität reagierte umgehend, forderte die Deaktivierung der Technologie und den schnellstmöglichen Abbau der Automaten. Sie bestätigte zudem, dass keine ähnliche Technologie auf dem Campus verwendet wird. Daraufhin wurden die Invenda-Verkaufsautomaten demontiert und vom Campus der University of Waterloo entfernt.
Read MoreArtikel 82 DSGVO: Schadensersatz Betroffener
Artikel 82 der Datenschutz-Grundverordnung (DSGVO), auch bekannt als “Recht auf Schadensersatz und Haftung”, regelt die Bedingungen, unter denen eine Person Anspruch auf Schadensersatz hat, wenn ihre Rechte nach der DSGVO verletzt wurden. Hier sind die wichtigsten Punkte von Artikel 82 DSGVO:
Read MoreAntiviren Firma Avast hat jahrelang Nutzerdaten verkauft
Die Firma Avast, bekannt für gratis Antiviren Software, hat jahrelang Browserdaten verkauft und die Privatsphäre ihrer Nutzer missachtet. Die Federal Trade Commission (FTC) hat herausgefunden, dass Avast über sein Tochterunternehmen Jumpshot eindeutig identifizierbare Daten über einen Zeitraum von 2014 - 2020 veräußert hatte. Die FTC verhängt eine Strafe von 16,5 Mio $ und verbietet zukünftigen Handel mit Nutzerdaten.
Read MoreApple iMessage steigt auf Post-Quantum Kryptographie um
21.02.2024: aktuellen Berichten zufolge versträkt Apple’s iMessage seine Sicherheitsmaßnahmen durch die Implementierung von Post-Quanten-Kryptographie mit dem neuen Verschlüsselungsprotokoll “PQ3”. Diese fortschrittliche Technologie zielt darauf ab, den Messaging-Dienst gegen zukünftige Bedrohungen, insbesondere das “Harvest Now, Decrypt Later"-Szenario, zu schützen.
Read MoreWyze Kameras zeigten Bilder fremder Wohnzimmer
Am 16. Februar 2024 kam es zu einem bemerkenswerten Vorfall, der die Nutzer der Wyze-Cam-Plattform stark beunruhigte. Während eines etwa 45-minütigen Ausfalls der Plattform wurden einige Nutzer mit einer unerwarteten und beunruhigenden Situation konfrontiert: Sie hatten Zugang zu Bildern und Videos aus den Wohnräumen anderer Nutzer. Dieser Vorfall wirft ernsthafte Fragen hinsichtlich der Sicherheit und des Schutzes der Privatsphäre innerhalb digital vernetzter Haushaltsgeräte auf.
Read MoreCCC entdeckt massives Datenleck beim Arzttermin-Vergabedienst Dubidoc
Am 16. Februar 2024 veröffentlichte der Chaos Computer Club (CCC) einen Bericht über ein schwerwiegendes Datenleck bei Dubidoc, einem beliebten Dienst zur Online-Terminvergabe für Arztpraxen. Durch eine Fehlkonfiguration des darunterliegenden PHP Frameworks Symfony war dessen Profiler frei zugänglich und gab Passwortdaten, Logins und Email Adressen im Klartext preis. Die CCC Mitglieder bestätigen, dass die preisgegebenen Login Informationen funktioniert haben und man so frei auf Logins von Ärzten zugreifen konnte und auch den Datenbank Server frei aus dem Netz erreichen konnte.
Read MoreDatenleck bei BMW im Februar 2024
Im Februar 2024 gab es ein Datenleck bei BMW, das auf einen frei zugänglichen Microsoft Azure Account zurückzuführen war. Dieser Vorfall wurde von dem Sicherheitsforscher Can Yoleri der Firma SOCRadar entdeckt. Laut Informationen von BMW ist die Misskonfiguration mittlerweile behoben.
Read MoreEuropäischer Gerichtshof für Menschenrechte verbietet Massenüberwachung
Am 14.2.2024 wurde ein Urteil im Fall Podchasov v. Russland gefällt, das weitreichende Konsequenzen für die geplante Client-Side Massenüberwachung von Smartphones durch die EU haben könnte. Der Europäische Gerichtshof für Menschenrechte (EGMR) befand, dass russische Gesetze, die von “Internetkommunikationsorganisatoren” verlangen, Kommunikationsdaten zu speichern und Sicherheitsdiensten Zugang zu diesen sowie die Fähigkeit zur Entschlüsselung verschlüsselter Kommunikation zu gewähren, eine übermäßig breite und ernsthafte Beeinträchtigung der Privatsphäre und des Briefverkehrs darstellen. Der EGMR kritisierte das Fehlen ausreichender Schutzmaßnahmen gegen Missbrauch und beurteilte die Gesetzgebung als nicht konform mit dem Recht auf Privatsphäre und Korrespondenz, wie es durch die Europäische Menschenrechtskonvention geschützt ist.
Read MoreDatenleck bei WinStar Casino App
Die App von WinStar, entwickelt von Dexiga für den Casino-Resort-Riesen WinStar, erlitt einen Datenbruch, weil eine Datenbank ohne Passwortschutz im offenen Web zugänglich war. Dieser Vorfall führte zur Offenlegung persönlicher Informationen von Kunden, einschließlich vollständiger Namen, Telefonnummern, E-Mail-Adressen, Wohnadressen, Geschlechtsinformationen und der IP-Adressen der Geräte der Nutzer. Die Datenbank wurde ohne angemessene Sicherheitsvorkehrungen im Internet belassen, sodass jeder, der ihre öffentliche IP-Adresse kannte, darauf zugreifen konnte. Die Exposition wurde von dem Sicherheitsforscher Anurag Sen entdeckt. Nach dieser Benachrichtigung nahm Dexiga die Datenbank offline, um die geleakten Informationen zu sichern.
Read MoreExpressVPN: DNS Datenleak an Internet Service Provider
Bei der Verwendung von ExpressVPN mit Antivirus- oder Online-Sicherheitsanwendungen sowohl auf Windows- als auch auf Mac-Systemen kann es zu DNS-Leaks kommen. Diese Leaks können dazu führen, dass DNS-Anfragen nicht durch die gesicherten DNS-Server von ExpressVPN geleitet werden, sondern stattdessen über die DNS-Server der Antivirus-Software oder des Internetanbieters laufen. Dies führt dazu, dass der VPN Service die DNS Daten des Users einfach an den Internet Service Provider (ISP) weitergibt, also kein gewünschtes Plus an Privatsphäre mehr vorhanden ist.
Read MoreAbhöralarm bei Livall Ski- und Fahrradhelmen
Die Livall-Smart-Helme, die bei Skifahrern und Bikern wegen ihrer integrierten Lautsprecher, Mikrofone und Konnektivitätsfunktionen, die Gruppenkommunikation und Standortfreigabe ermöglichen, beliebt sind, wiesen eine kritische Sicherheitslücke auf. Diese Schwachstelle ermöglichte es Angreifern, unbemerkt den Standort der Helmträger zu verfolgen und ihre Gruppen-Audiochats abzuhören. Das Hauptproblem lag in einer einfachen, aber signifikanten Schwachstelle in den Smartphone-Apps von Livall, die mit der Verwaltung von Gruppenmitgliedschaften zusammenhing. Speziell waren Gruppen durch die Eingabe eines sechsstelligen numerischen Codes zugänglich, der nicht ausreichend zufällig war, was es leicht machte, ihn durch Brute-Force-Methode zu erraten und somit unbefugten Zugriff auf jegliche Gruppenkommunikation und Standortdaten zu ermöglichen.
Read MoreDatenleck bei Hyundai Motor Europe in Offenbach: 3TB Daten gestohlen
Hyundai Motor Europe, mit Hauptsitz in Offenbach, Deutschland, wurde Opfer eines Ransomware-Angriffs durch die Gruppe Black Basta. Bei diesem Vorfall, der am 8. Februar 2024 gemeldet wurde, behaupten die Angreifer, drei Terabyte an Unternehmensdaten gestohlen zu haben.
Read More33 Mio Krankenversichertendaten in Frankreich geleaked
Ende Januar wurde Frankreich von einem der größten Datenschutzvorfälle seiner Geschichte erschüttert, als bekannt wurde, dass mehr als 33 Millionen Versichertendaten von den Gesundheitsdienstleistern Viamedis und Almerys geleakt wurden. Dieser massive Datenverlust betrifft eine erhebliche Anzahl von Sozialversicherten und löste landesweit Besorgnis über die Sicherheit persönlicher Informationen aus.
Read MoreBayerische Datenschutzaufsicht stoppt Acxiom Datenhandel mit CRIF
Das bayerische Landesamt für Datenschutzaufsicht hat den Handel mit Daten zwischen der Auskunftei CRIF und dem Adresshändler Acxiom in Deutschland für illegal erklärt. Nach Beschwerden der Datenschutzorganisation NOYB gegen CRIF und Acxiom, wegen des Handels mit den persönlichen Daten von Millionen von Deutschen, hat die bayerische Datenschutzbehörde entschieden, dass CRIF durch den Kauf von Daten bei Acxiom gegen das Prinzip der Zweckbindung verstoßen und somit europäisches Datenschutzrecht verletzt hat. Die Behörde stellte fest, dass CRIF die Daten des Beschwerdeführers entgegen dem Grundsatz der Zweckbindung verarbeitet und seine Pflicht zur Information über den Erwerb seiner Daten von Acxiom verletzt hat. Zudem gab die Kreditagentur unvollständige Antworten auf eine Anfrage des Beschwerdeführers nach Informationen und lieferte sogar falsche Informationen.
Read MoreLörrach Datenleck - Flurstücke und Eigentümer öffentlich im Netz
Das Datenleck im Landkreis Lörrach betraf umfangreiche personenbezogene Daten, die monatelang ungeschützt im Internet einsehbar waren. Laut SWR-Recherchen waren insgesamt etwa 56.000 Privatpersonen und fast 1.000 Unternehmen betroffen. Die Daten enthielten Informationen über Grundbesitz, einschließlich der geografischen Lage und Größe von Flurstücken sowie in den meisten Fällen den vollen Namen und das Geburtsdatum der Eigentümer. Diese Datenpanne wurde erst nach Hinweisen aus der Bevölkerung und der Intervention des Landesdatenschutzbeauftragten behoben. Die betroffenen Personen und Unternehmen wurden zunächst nicht direkt informiert, da das Ausmaß des Lecks den Behörden nicht sofort bewusst war.
Read MoreDatenleck bei Datasport: persönliche Daten von 900.000 Hobbysportlern gestohlen
Bei einem Cyberangriff auf das Schweizer Unternehmen Datasport wurden Daten von 900.000 Hobbysportlern gestohlen. Der Datensatz, der durch den Hackerangriff kompromittiert wurde, enthält persönliche Informationen wie Namen, Telefonnummern sowie E-Mail-Adressen. Diese Daten wurden in einem Hackerforum zum Verkauf angeboten. Es ist jedoch wichtig zu beachten, dass sicherheitsrelevante Daten wie Passwörter oder Zahlungsinformationen nicht vom Hackerangriff betroffen zu sein scheinen. Das Datenleck betrifft Sportler aus verschiedenen Ländern, da das Unternehmen auf Sportevents in ganz Europa unterwegs ist.
Read MoreBinance Datenleck: sensible Daten monatelang auf Github
Die Cryptowährungs Handelsplattform Binance war kürzlich von einem Datenleck betroffen, bei dem interne Daten wie API Struktur und Passwörter öffentlich auf Github zugänglich waren.
Read MoreDatenpanne bei ChatGPT: Chatverläufe anderer User einsehbar
ChatGPT hat tatsächlich einige Datenpannen erlebt. In einem Fall speicherte ChatGPT versehentlich die Konversationsverläufe anderer Nutzer in den Gesprächsverläufen eines anderen Nutzers. Dies führte dazu, dass persönliche Daten wie Passwörter und andere sensible Informationen ungewollt veröffentlicht wurden. Die Details dieser Lecks wurden an Ars Technica weitergegeben und enthielten Screenshots, die zeigten, dass ChatGPT Gespräche anderer Endnutzer in seinen Konversationsverlauf einfügte. Zu den durchgesickerten Informationen gehörten Benutzernamen und Passwörter aus einem Support-System sowie weitere persönliche Details.
Read MoreSicherheitslücke im WordPress File Manager Plugin führt zu Datenlecks
Hintergrund Das WordPress File Manager Plugin, eine beliebte Lösung zur Dateiverwaltung für WordPress-Websites, war von einer kritischen Sicherheitslücke betroffen. Diese Schwachstelle, identifiziert in allen Versionen bis einschließlich 7.2.1, ermöglichte unautorisierten Angreifern den Zugriff auf sensible Daten ohne Anmeldeinformationen.
Read MoreDIN Spec 27008 - Sicherheitsstandard für Video Konferenzsysteme
Die DIN SPEC 27008:2024-02 ist eine Spezifikation, die Mindestsicherheitskriterien für Videokonferenzsysteme festlegt. Sie wurde von verschiedenen Organisationen, darunter Zoom Video Communications Germany GmbH, Microsoft Deutschland GmbH, TeamViewer Germany GmbH und alfaview gmbh, entwickelt und verabschiedet.
Read MoreEU AI Act öffnet Tür und Tor zur EU weiten Massenüberwachung
Die neuesten Entwicklungen und Diskussionen um den “AI Act” (Gesetz zur Regulierung künstlicher Intelligenz) in der Europäischen Union zeigen, dass es Bedenken hinsichtlich der Anwendung von Gesichtserkennungstechnologien gibt. Die Hauptpunkte der Debatte lassen sich wie folgt zusammenfassen:
Read MoreFacebook Studie: Userdaten werden im Schnitt mit 2230 Unternehmen geteilt
Die Studie von Consumer Reports aus dem Jahr 2024 mit dem Titel “Wer teilt Ihre Informationen mit Facebook” enthüllte bedeutende Erkenntnisse über das Ausmaß der Datenerfassung und -teilung mit Facebook. Hier sind die wichtigsten Erkenntnisse zusammengefasst:
Read MoreDatenschutz-Alarm: Outlook App teilt Benutzerdaten mit 772 Drittanbietern
Die neuesten Berichte über die Microsoft Outlook-App für Windows weisen darauf hin, dass sie als Daten-Erfassungsdienst fungiert, der Benutzerdaten mit bis zu 772 Drittanbietern teilt. Diese Entwicklung hat Bedenken hinsichtlich der Privatsphäre und Datensicherheit aufgeworfen.
Read MoreE-Rezept 2024 - Bedenken aus Datenschutzsicht
Ab dem 1. Januar 2024 wird das elektronische Rezept (E-Rezept) in Deutschland für verschreibungspflichtige Medikamente verpflichtend. Das E-Rezept bietet verschiedene Einlösemöglichkeiten für gesetzlich Versicherte: Über die elektronische Gesundheitskarte (eGK), eine spezielle E-Rezept-App der Gematik oder über einen Papierausdruck mit einem Rezeptcode. Die E-Rezept-App ermöglicht es, Rezepte online einzulösen, den Medikationsstatus einzusehen und Apotheken zu finden. Zudem können auch Rezepte für Familienmitglieder in der App verwaltet werden. Das e-Rezept umfasst dabei folgende für den DSGVO relevante Daten:
Read MoreDatenleck bei Mode Marke Halara: rund 1 Mio Kunden betroffen
Im Januar 2024 wurde bekannt, dass die beliebte Athleisure-Bekleidungsmarke Halara Opfer eines Datenlecks geworden ist, bei dem die Daten von fast 950.000 Kunden betroffen sein könnten. Ein Bedrohungsakteur namens Sanggiero behauptet, durch Ausnutzung einer Schwachstelle in einer API auf der Website von Halara Zugriff auf über eine Million Datensätze erlangt zu haben. Die veröffentlichten Daten sollen persönliche Informationen wie eindeutige Adress-IDs, Vor- und Nachnamen, Telefonnummern und Adressen umfassen.
Read MoreE-Rezept Datenpanne: QR Code gibt Rezeptinfos fremder Personen preis
Nach einem Bericht von Apotheke Adhoc kam es in verschiedenen Apotheken in Deutschland kam es kürzlich zu einer Datenpanne im Zusammenhang mit dem elektronischen Rezept (E-Rezept). Beim Abrufen der E-Rezepte über den QR-Code der Kundinnen und Kunden traten überraschende Fehler auf. In mehreren Fällen wurden neben der eigentlichen Verordnung auch Rezepte von völlig fremden Personen angezeigt.
Read MoreChatgpt Leaks - Forscher extrahierten Email Adressen und Telefonnummern
Ein Forschungsteam konnte kürzlich eine Schwachstelle in ChatGPT ausnutzen, um private Daten, einschließlich der E-Mail-Adressen von mehr als 30 Mitarbeitern der New York Times, preiszugeben. Dieser Vorfall wirft ernsthafte Fragen über die Sicherheit und den Datenschutz bei der Nutzung von KI-basierten Systemen wie ChatGPT auf.
Read MoreDas Standard Datenschutzmodell (SDM)
Das Standard-Datenschutzmodell (SDM) ist ein Ansatz, der entwickelt wurde, um Datenschutzprinzipien in der Informationstechnologie effektiv umzusetzen. Ziel des SDM ist es, einen systematischen Rahmen für Datenschutzmaßnahmen zu bieten, der sowohl die rechtlichen Anforderungen als auch die technischen und organisatorischen Aspekte berücksichtigt. Es konzentriert sich darauf, Datenschutz von Anfang an in die Designphase von IT-Systemen und -Prozessen zu integrieren. Das SDM bietet eine strukturierte Methode, um Datenschutzrisiken zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen. Dadurch soll sichergestellt werden, dass personenbezogene Daten in Übereinstimmung mit den gesetzlichen Datenschutzvorgaben behandelt werden.
Read MoreNach 38 Stunden Verhandlungen wurde der EU AI-Act beschlossen
Die Europäische Union hat kürzlich eine wegweisende Gesetzgebung zur Regulierung Künstlicher Intelligenz (KI) vereinbart, die als “AI Act” bekannt ist. Diese Gesetzgebung stellt einen globalen Meilenstein dar und zielt darauf ab, die Entwicklung und Nutzung von KI-Systemen innerhalb der EU zu regeln. Der AI Act wurde nach intensiven Verhandlungen beschlossen, die fast 38 Stunden dauerten.
Read MoreOpenAI passt Nutzungsbedingungen an die DSGVO an
OpenAI hat kürzlich seine Nutzungsbedingungen an die Europäische Datenschutz-Grundverordnung (DSGVO) angepasst. Diese Änderung, die zum 14. Dezember 2023 in Kraft tritt, ist eine direkte Reaktion auf eine DSGVO-Beschwerde gegen OpenAI, die im August 2023 von Lukasz Olejnik eingereicht wurde.
Read MoreDatenleck bei Hypercharger Ladestationen durch unsichere Passwörter
Experten stießen auf ein gravierendes Sicherheitsleck bei den von Alpitronic hergestellten Hypercharger-Ladestationen. Die Geräte wurden mit einem leicht zu erratenden Standardpasswort (“admin” als Benutzername und “admin123” als Passwort) ausgeliefert. Die Bedienungsanleitungen der Ladestationen wiesen zwar auf die Notwendigkeit hin, dieses Passwort zu ändern, doch viele Nutzer versäumten diesen wichtigen Schritt.
Read MoreArt. 37 DSGVO - Benennung eines Datenschutzbeauftragten
Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in der Europäischen Union gilt, hat den Schutz personenbezogener Daten wesentlich gestärkt. Ein zentraler Aspekt der DSGVO ist die Bestellung eines Datenschutzbeauftragten, wie in Artikel 37 festgelegt. Dieser Artikel ist von entscheidender Bedeutung, da er die Voraussetzungen und Pflichten rund um die Position des Datenschutzbeauftragten definiert.
Read MoreWas ist Cyberhygiene?
Cyberhygiene bezieht sich auf die Maßnahmen und Praktiken, die Einzelpersonen und Organisationen anwenden, um ihre Systeme und Daten vor Cyberangriffen zu schützen. Ähnlich wie die persönliche Hygiene im Alltag, zielt Cyberhygiene darauf ab, durch regelmäßige und effektive Praktiken ein hohes Maß an Sicherheit zu gewährleisten. Mit der steigenden Zahl von Cyberangriffen, wie Phishing, Ransomware oder Identitätsdiebstahl, ist es unerlässlich, proaktive Schritte zu unternehmen, um sich selbst und seine sensiblen Informationen zu schützen. Cyberangriffe können schwerwiegende Folgen haben, von finanziellem Verlust bis hin zum Verlust der persönlichen Privatsphäre.
Read MoreArtikel 28 DSGVO - Auftragsverarbeiter
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union hat die Landschaft des Datenschutzes radikal verändert, seit sie im Mai 2018 in Kraft getreten ist. Einer ihrer zentralen Artikel ist Artikel 28, der sich mit der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter befasst.
Read MoreArtikel 25 DSGVO - Datenschutz durch Technikgestaltung
Artikel 25 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union befasst sich mit dem Konzept von “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen”, oft bekannt als “Privacy by Design” und “Privacy by Default”. Dieser Artikel ist ein zentraler Bestandteil der DSGVO und spielt eine wichtige Rolle bei der Art und Weise, wie Unternehmen und Organisationen personenbezogene Daten verarbeiten. Hier ist eine vereinfachte Zusammenfassung des Artikels:
Read MoreWas gehört in eine Datenschutzerklärung?
Datenschutzerklärungen gehören seit der Einführung der DSGVO praktisch zur Pflicht eines jeden Webseiten Betreibers. Es ist jedoch nicht jedem klar, was diese beinhalten sollte und wie man sich die geeigente Datenschutzerklärung für die eigene Webseite erstellt. Generell sollte eine Datenschutzerklärung für eine Webseite folgende Elemente enthalten:
Read MoreBlog-Artikel: Generative KI und Ihre Risiken für den Datenschutz
Generative KI erstellt auf Basis von Trainingsdaten originäre Inhalte, die so noch nie dar gewesen schienen. Es ist Fluch und Segen zugleich, denn der zu erwartende wirtschaftliche Produktivitätsschub durch generative KI ist immens. Allerdings sind auch die Gefahren real, die durch solche Technologien entstehen können und mit diesen werden wir uns nun etwas genauer beschäftigen.
Read MoreE-Mail - Einfache Tipps für mehr Datenschutz
Mit folgenden Tipps wird Ihr Email Verkehr deutlich sicherer in Hinblick auf Datenschutz und Reduzierung von Gefahren durch Hacker:
Read MoreDatenschutz-Alarm bei Outlook: Datenweitergabe ohne Einwilligung
Bei Microsofts neuem Outlook zeichnet sich eine kontroverse Datenschutzthematik ab. Die App, die in Zukunft das klassische Outlook ersetzen soll, steht unter Verdacht, umfangreiche Nutzerdaten an Microsoft-Server weiterzuleiten. Hierzu gehören nicht nur die Inhalte von E-Mails, sondern auch sensiblere Daten wie Zugangsdaten zu den E-Mail-Konten der Nutzer.
Read MoreBinding Corporate Rules
Binding Corporate Rules (BCR) sind ein Mechanismus für multinationale Unternehmen, um angemessene und konsistente Datenschutzstandards für die Übertragung personenbezogener Daten innerhalb ihrer Unternehmensgruppe über Ländergrenzen hinweg zu gewährleisten. BCR sind besonders relevant im Kontext der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).
Read MoreAngemessenheitsbeschlüsse
Angemessenheitsbeschlüsse sind ein wichtiges Instrument im Rahmen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). Sie spielen eine zentrale Rolle bei der Regelung des Transfers personenbezogener Daten von der EU in Drittländer.
Read MoreStandardvertragsklauseln (SVK)
Standardvertragsklauseln (SVK), auch bekannt als Standard Contractual Clauses (SCC), sind rechtliche Instrumente, die im Bereich des Datenschutzes verwendet werden, um den Transfer personenbezogener Daten aus der Europäischen Union (EU) in Drittländer zu ermöglichen, die nach EU-Standards kein angemessenes Datenschutzniveau bieten. Sie sind besonders relevant im Kontext der Datenschutz-Grundverordnung (DSGVO).
Read MoreDatenschutz in der Arztpraxis
In Arztpraxen werden täglich hochsensible Gesundheitsdaten von Patienten verarbeitet. Diese Daten unterliegen strengen Datenschutzbestimmungen, welche in der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union sowie nationalen Gesetzen wie dem Bundesdatenschutzgesetz (BDSG) in Deutschland geregelt sind. Für Arztpraxen gelten folgende wesentliche Datenschutzprinzipien und -maßnahmen:
Read MoreDatenschutzbeauftragter in Berlin
Landesspezifische Regeln zur Bestellung von Datenschutzbeauftragten in Berlin werden in dem Berliner Datenschutzgesetz (BlnDSG) ergänzend zur Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) geregelt. Die DSGVO legt fest, unter welchen Umständen die Bestellung eines Datenschutzbeauftragten (DSB) erforderlich ist, und definiert dessen Aufgaben. Diese Anforderungen gelten europaweit und somit auch in allen deutschen Bundesländern.
Read MoreHäufige Datenschutzverletzungen
Datenschutzverletzungen können in jeder Form und Größe auftreten. Sie betreffen Unternehmen aller Branchen und können gravierende Folgen haben. Um ein besseres Verständnis dafür zu entwickeln, wie solche Verletzungen aussehen und wie sie vermieden oder abgewehrt werden können, betrachten wir einige der häufigsten Vorfälle als Fallstudien.
Read MoreArtikel 39 DSGVO – Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte hat zumindest folgende Aufgaben: die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung und nach anderen Datenschutzvorschriften der Union oder der Mitgliedstaaten; die Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; die Beratung – auf Anfrage – im Hinblick auf die Datenschutz-Folgenabschätzung und die Überwachung ihrer Durchführung gemäß Artikel 35; die Zusammenarbeit mit der Aufsichtsbehörde; die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde zu Fragen der Verarbeitung, einschließlich der vorherigen Konsultation gemäß Artikel 36, und zu gegebenenfalls weiteren Angelegenheiten. Der Datenschutzbeauftragte berücksichtigt bei der Erfüllung seiner Aufgaben die mit den Verarbeitungsvorgängen verbundenen Risiken, die sich aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung ergeben. Der Datenschutzbeauftragte ist bei der Ausübung seiner Aufgaben nicht dem Weisungsrecht des Verantwortlichen oder des Auftragsverarbeiters unterworfen. Die Rolle des Datenschutzbeauftragten ist also primär die eines Beraters und Überwachers innerhalb der Organisation, der für die Einhaltung der Datenschutzgesetze verantwortlich ist. Darüber hinaus soll der DSB als Brücke zwischen der Organisation und den Aufsichtsbehörden fungieren, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen eingehalten werden und die Kommunikation mit den Behörden effektiv ist.
Read MoreBDSG §7 - Aufgaben eines Datenschutzbeauftragten
Der § 7 des Bundesdatenschutzgesetzes (BDSG) bezieht sich auf die Position und die Aufgaben des Datenschutzbeauftragten in Deutschland. Der § 7 BDSG (neu) wurde im Zuge der Anpassung des deutschen Rechts an die DSGVO eingeführt. Die Anforderungen sollen Artikel 39 DSGVO ergänzen.
Read MoreGAP Analyse im Datenschutz
Eine Gap-Analyse im Bereich des Datenschutzes ist ein Prozess, bei dem die aktuellen Datenschutzpraktiken eines Unternehmens mit den gesetzlich erforderlichen oder den besten Datenschutzpraktiken verglichen werden. Das Ziel ist es, Lücken („Gaps“) zu identifizieren, also Bereiche, in denen das Unternehmen die Anforderungen noch nicht erfüllt oder Verbesserungspotenzial besteht. Eine solche Analyse ist besonders wichtig für die Einhaltung von Datenschutzvorschriften wie der DSGVO.
Read MoreTipps für Datenschutzmaßnahmen ohne grösseren Aufwand
Datenschutz muss nicht zwingend mit einem großen Aufwand verbunden sein, insbesondere für kleine Unternehmen oder Startups, die nicht unter komplexe Datenschutzanforderungen fallen. Hier sind einige grundlegende, aber effektive Maßnahmen, die ohne großen Aufwand umgesetzt werden können:
Read MoreDatenschutz auch ohne Datenschutzbeauftragten managen
Ja, es ist möglich, den Datenschutz auch ohne einen fest ernannten Datenschutzbeauftragten (DSB) zu managen, insbesondere wenn es sich um ein kleineres Unternehmen handelt, das nicht gesetzlich verpflichtet ist, einen DSB zu bestellen. Hier sind einige Schritte, wie Datenschutz zum selbermachen (DIY) gelingen kann:
Read MoreDatenschutzbeauftragter - Für Kleinunternehmen sinnvoll?
Ob die Bestellung eines Datenschutzbeauftragten (DSB) für Kleinunternehmen sinnvoll ist, hängt von verschiedenen Faktoren ab, darunter die Art der Datenverarbeitung, die gesetzlichen Anforderungen und die potenziellen Risiken für die Rechte und Freiheiten natürlicher Personen.
Read MoreDatenschutzbeauftragter - 10 Auswahlkriterien
Die Auswahl eines Datenschutzbeauftragten (DSB) ist eine wichtige Entscheidung für jedes Unternehmen, da diese Person maßgeblich zur Einhaltung der Datenschutzbestimmungen beitragen wird. Hier sind einige Empfehlungen für Auswahlkriterien, wenn Sie einen internen oder externen DSB für Ihr Unternehmen auswählen:
Read MoreExterner Datenschutzbeauftragter- welche Kosten entstehen
Die Kosten für einen externen Datenschutzbeauftragten (DSB) können je nach verschiedenen Faktoren variieren, einschließlich der Größe des Unternehmens, der Komplexität der Datenverarbeitungsprozesse, des Risikos der verarbeiteten Daten, der Branchenspezifität, der geografischen Präsenz und der Dienstleisterpreise. Hier sind einige Richtwerte für die Kosten:
Read MoreDSGVO Betroffenenrechte
Die Datenschutz-Grundverordnung (DSGVO) hat die Rechte von Einzelpersonen, deren personenbezogene Daten von Unternehmen und Organisationen verarbeitet werden, erheblich gestärkt und erweitert. Diese Betroffenenrechte sind zentraler Bestandteil der Verordnung und sollen sicherstellen, dass Personen Kontrolle über ihre eigenen Daten behalten. Hier ist eine Übersicht über die wichtigsten Betroffenenrechte nach der DSGVO:
Read MoreLeitfaden zu Transfer Impact Assessments (TIAs)
Im Zeitalter der Globalisierung und digitalen Wirtschaft ist der grenzüberschreitende Datentransfer ein unverzichtbarer Bestandteil des Geschäftslebens. Mit der steigenden Bedeutung des Datenschutzes und insbesondere nach dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) ist das Transfer Impact Assessment (TIA) zu einem kritischen Instrument geworden, um Compliance im internationalen Datenverkehr sicherzustellen.
Read MoreZusammenhang Datenschutz und Compliance
Grundverständnis von Datenschutz und Compliance Datenschutz und Compliance sind eng miteinander verbunden. Compliance bezeichnet die Einhaltung von Gesetzen und Richtlinien, während Datenschutz spezifisch die Verarbeitung personenbezogener Daten nach rechtlichen Vorgaben umfasst. Ein Compliance-Experte sorgt unter anderem dafür, dass Datenschutzbestimmungen in Unternehmensprozesse integriert und eingehalten werden.
Read MoreDatenschutz in der Kita
In der pädagogischen Praxis begegnen Fachkräfte täglich einer Vielzahl personenbezogener Daten – von Adressen über Gesundheitsinformationen bis hin zu sensiblen familiären Details. Die DSGVO erlaubt grundsätzlich das Erheben bestimmter notwendiger Daten ohne Einwilligung, wie Name, Adresse und Geburtstag des Kindes, Kontaktdaten der Sorgeberechtigten, Informationen über Impfungen und relevante Krankheiten für den pädagogischen Alltag.
Read MoreWer haftet bei Datenschutzverstößen?
Nach einem Urteil des Oberlandesgerichts Dresden vom 30. November 2021 (4 U 1158/21) wurden ein GmbH-Geschäftsführer und die Gesellschaft selbst zur Zahlung von 5.000 Euro Schadensersatz verurteilt. Das Gericht sah den Geschäftsführer nach Art. 4 DSGVO als datenschutzrechtlichen verantwortlichen an.
Read MoreDatenschutz by Default im digitalen Euro
Der Vorschlag zur Regulierung des digitalen Euro hat das Ziel, eine hohe Datenschutz- und Privatsphärestandards zu gewährleisten. Im Kern sollen datenschutzfreundliche Voreinstellungen und innovativen Verschlüsselungstechnologien wie Zero Knowledge Proof für ein sicheres bezahlen by default sorgen.
Read MoreQuantensichere Kryptographie - next Gen IT Security
Mit dem Fortschritt im Bereich des Quantencomputings stehen herkömmliche Verschlüsselungsmethoden vor erheblichen Herausforderungen, da sie möglicherweise nicht in der Lage sind, Sicherheit vor Cyberangriffen zu gewährleisten. Die Quantensichere Kryptographie, auch bekannt als Post-Quantum-Kryptographie, stellt eine wichtige Initiative dar, um dieses aufkommende Problem anzugehen.
Read MoreEntscheidung: vorläufiges Werbeverbot für Facebook und Instagram in Europa
Die Datenschutzbehörden haben auf Druck des Europäischen Datenschutzausschusses am 27. Oktober 2023 eine Änderung des Geschäftsmodells für Facebook und Instagram gefordert. Dieses Instrument der EU wurde zum ersten mal überhaupt verwendet und bietet 2 Besonderheiten:
Read MoreDatenschutz in klinischen Studien
Die Datenschutz-Grundverordnung (DSGVO) hat erheblichen Einfluss auf die Verarbeitung persönlicher Daten, und das betrifft auch den Bereich der medizinischen Forschung. Ein wichtiger Aspekt der DSGVO ist das sogenannte Forschungsprivileg, das es Studien und Folgestudien in der medizinischen Forschung erleichtert, persönliche Daten zu verarbeiten. Aber was genau verbirgt sich hinter diesem Privileg? Um das zu verstehen schauen wir uns erstmal den sog. Erwägungsgrund 159 aus der DSGVO an, der erklärt, in welcher Form Forschung und Datenschutzgesetz zusammen harmonieren.
Read MorePrivacy By Design
Eine effektive Möglichkeit, Datenschutz zu gewährleisten, besteht darin, das Konzept des “Privacy by Design” (Datenschutz von Anfang an) zu verwenden. Dieser Ansatz stellt sicher, dass Datenschutzprinzipien von Anfang an in die Entwicklung von Produkten, Diensten und Technologien integriert werden.
Read MoreLandesspezifische Krankenhausgesetze - Datenschutzregelungen
Da jedes Bundesland ein eigenes Krankenhausgesetz hat und sich die darin vorkommenden Regelungen die bei der Datenverarbeitung von besonders sensiblen Patientendaten, genetischen Daten und Gesundheitsdaten zu beachten sind.
Read MoreDatenschutzbeauftragter Kündigungsschutz
Angestellte Datenschutzbeauftragte spielen eine wichtige Rolle bei der Sicherstellung der Datenschutzkonformität und bei der Beratung von Organisationen in datenschutzrechtlichen Angelegenheiten. Doch was passiert, wenn ein Unternehmen in Erwägung zieht, seinen Datenschutzbeauftragten (DSB) zu kündigen? Welche gesetzlichen Voraussetzungen und Überlegungen müssen in diesem Zusammenhang berücksichtigt werden?
Read MoreDSGVO-konforme Videoüberwachung
Unser DSGVO-konformes Schild zur Videoüberwachung Eines der wirksamsten Mittel, um die Transparenz in Bezug auf die Videoüberwachung sicherzustellen, ist das Anbringen eines gut sichtbaren Schilds. Dieses Schild sollte Informationen darüber enthalten, dass Videoüberwachung stattfindet, wer für die Verarbeitung der Daten verantwortlich ist, wie Kontakt aufgenommen werden kann und zu welchem Zweck die Daten erfasst werden. Wir stellen Ihnen ein Muster-Schild zur Verfügung, das Sie herunterladen und ausdrucken können, um die DSGVO-Anforderungen zu erfüllen. Das Schild enthält alle notwendigen Informationen und erleichtert es Ihnen, den Datenschutz in Ihrer Videoüberwachung zu gewährleisten.Hinweisschild Download (.docx)
Read MorePasswort Generator
Sichere Passwörter markieren und kopieren Sie einfach Teile des untern stehenden Texts.
Read MoreWebseiten: wie der Permissions Policy Header beim Datenschutz hilft
Der “Permissions Policy”-Header ist ein HTTP-Header, der verwendet wird, um die Berechtigungen und Zugriffsrichtlinien für verschiedene Funktionen und Ressourcen in einer Webanwendung festzulegen. Dieser Header ermöglicht es Webentwicklern, die Kontrolle über den Zugriff auf bestimmte APIs und Funktionen in ihren Webanwendungen zu übernehmen. Hier sind einige der Berechtigungen und Funktionen, die im “Permissions Policy”-Header gesteuert werden können:
Read MoreDatenschutz für mittelständische Unternehmen
Für kleine und mittelständische Unternehmen (KMU) kann die Einhaltung der Datenschutzbestimmungen eine Herausforderung darstellen, es droht Unmengen an Bürokratie, technisches Wissen im Bereich IT Security ist Mangelware, Kontrollprozesse und Notfallpläne scheinen eher nur vom Hörensagen aus Grosskonzernen bekannt.
Read MoreWie der Permission Policy Header beim Datenschutz hilft
Urprünglich war dieser Header als Feature Policy Header bekannt und wurde im März 2020 in Permission Policy umbenannt. Der “permission-policy”-Header ermöglicht die Steuerung verschiedener Funktionen (Features) und APIs in einer Webanwendung und auch aller eingebetteter Seiten. Ein Webseiten Betreiber kann über diesen entscheiden, mit Hilfe welcher Sensoren ein User getrackt werden kann. Dieser Header stellt somit eine wichtige Eingriffsmöglichkeit für Datenschutz By Default dar.
Read MorePatienten-Daten-Schutz-Gesetz-PDSG
Das Patienten-Daten-Schutz-Gesetz (PDSG) ist ein deutsches Gesetz, das dazu dient, den Schutz von Patientendaten und die Sicherheit der Gesundheitsversorgung zu gewährleisten. Es trat im Oktober 2020 in Kraft und dient dazu, digitaler Gesundheitsangebote wie die elektronischen Patientenakte (ePA) und digitale Rezepte und Überweisungen auszubauen.
Read MoreDatenschutz im Krankenhaus
Der Umgang mit persönlichen Daten und besonders schützenswerten Daten wie Gesundheitsdaten ist seit je her ein wichtiges Thema beim Krankenhausaufenthalt. Berechtigt ist die Sorge, dass Zimmernachbarn sensible Daten aus Arztgesprächen mithören oder Patientenakten an Unbefugte weitergegeben werden können. Mit der Datenschutz Grundverordnung (DSGVO), Patienten-Datenschutzgesetz (PDSG) und der ärztlichen Schweigepflicht stehen aber zwei Pfeiler dem unachtsamen Umgang mit persönlichen Daten entgegen. Eine zentrale Rolle bei der Einhaltung der Prinzipien der Datensparsamkeit, Integrität und Vertraulichkeit im Umgang mit Patientenakten spielt dabei der Datenschutzbeauftragter des Krankenhauses.
Read MoreVerzeichnis der technisch-organisatorischen Maßnahmen (TOM)
Ein wichtiger Aspekt der DSGVO sind die Technisch-Organisatorischen Maßnahmen (TOM), die dazu dienen, personenbezogene Daten zu schützen und die Datenschutzprinzipien der Verordnung umzusetzen.
Read MoreDSGVO Erwägungsgrund 13
Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wurde mit dem Ziel geschaffen, ein einheitliches Datenschutzniveau für natürliche Personen innerhalb der Union sicherzustellen. Sie zielt darauf ab, Unterschiede zu beseitigen, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten. Dabei ist es von entscheidender Bedeutung, dass die DSGVO Rechtssicherheit und Transparenz für Wirtschaftsteilnehmer, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen (KMU), schafft.
Read MoreArtikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Gesetzestext des Artikel 22 DSGVO Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Absatz 1 gilt nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. Bedeutung des Artikel 22 der DSGVO Art. 22 DSGVO regelt die automatisierte Entscheidungsfindung einschließlich Profiling, welche bedeutende Auswirkungen auf die betroffenen Personen haben können. Im Kern zielt die Vorschrift darauf ab, die Rechte und Freiheiten der Einzelnen zu schützen und dabei den Unternehmen den notwendigen Spielraum zu lassen, um innovative, datengetriebene Lösungen zu entwickeln.
Read MoreDatenschutz Audit
Was ist ein Datenschutz-Audit? Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, der die Einhaltung gesetzlicher Bestimmungen im Bereich des Datenschutzes durch eine Organisation überprüft. Das Hauptziel ist es, Schwachstellen zu identifizieren und Maßnahmen zu ergreifen, um diese zu beheben. Bei einem solchen Audit werden alle datenschutzrechtlich relevanten Abläufe in einem Unternehmen untersucht.
Read MoreWann brauche ich einen Auftragsdatenverarbeitungsvertrag?
Wer Daten an Dritte zur Verarbeitung weitergibt braucht fast immer einen Auftragsdaten-verarbeitungsvertrag (AVV). Im folgenden werden ein paar Anwendungsfälle, wie auch die Ausnahmen aufgezeigt. Klassische Beispiele für Auftragsdatenverarbeitung bei der ein Vertrag notwendig wird sind:
Read MoreDatenschutz Panne? - wie melde ich diese
Nach Art. 33 DSGVO besteht eine Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Datenpannen sollten je nach zuständiger Datenschutz Behörde dort gemeldet werden wo Sie auftreten. In folgender Liste haben wir die Links zu Online Meldungsabgabe bei Datenpannen nach Bundesland zusammengefasst.
Read More