ePA mit schweren Sicherheitslücken

Unberechtigter Zugriff in 10-20 Minuten

74 Millionen gesetzlich Versicherte sollen in den nächsten Wochen eine "elektronische Patientenakte" (ePA) bekommen, wenn sie nicht bis zum 1. Februar diesem Ansinnen widersprochen haben. Wir von Aktion Freiheit statt Angst e.V. warnen schon seit Jahren vor dieser Datenkrake. Die weniger als 10 Millionen Privatversicherten dürfen, privilegiert wie immer, zunächst noch von außen zuschauen, bevor auch ihnen eine ePA übergeholfen werden soll.

Auch wir würden einen sinnvollen Datenaustausch zwischen verschiedenen Ärzten begrüßen und gern Doppeluntersuchungen vermeiden helfen. Doch wir sehen in diesem Datenmoloch unter dem Management der Gematik nicht die Lösung unserer Probleme in der Gesundheitsversorgung.

Nun zeigt sich, dass auch die Gematik mit den Schwierigkeiten nicht zurecht kommt. Die ePA wird deshalb (glücklicherweise) nicht zum Jahresanfang für alle angelegt, da diese zunächst nur in den "Modellregionen" Hamburg und Franken gestartet wird.

"Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen" betonte Gesundheitsminister Lauterbach immer wieder. Doch nun zeigt sich, dass es damit - wie bei jeder zentralen Datensammlung mit Zehntausenden von Zugangsberechtigten - nicht weit her sein kann.

Die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich zeigten nun auf dem 38. Chaos Communication Congress in Hamburg, dass sich Dritte mit geringem Aufwand (10-20 Minuten) und gleich auf mehreren Wegen Zugang zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen können, wie Netzpolitik.org schreibt.

Den Beiden war es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. So etwas ist bei Zehntausenden von Zugangsberechtigten jederzeit durch Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der praktischen Kartenhandhabung im Alltag möglich. Wir alle kennen von Arztbesuchen oder Krankenhausaufenthalten den Zeitdruck für die dort Beschäftigten, der immer wieder dazu führt, dass rechtlich Befugte ihre Arbeit "mal schnell" durch andere erledigen lassen. 

Zugriff auf 1000 Akten

In der Praxis führt das dazu, dass durch einen einzelnen kompromittierten Praxiszugang der Zugriff auf durchschnittlich rund 1.000 Patient:innen-Akten möglich wird. Bei einer Zahl von 74 Millionen Akten sollte man eigentlich annehmen, dass die Sicherheitsvorkehrungen bei der flächendeckenden ePA erhöht werden. Doch das Gegenteil ist der Fall, um die Arbeit mit der ePA für Ärzte und Gesundheitspersonal überhaupt durchführbar zu machen.

Während bisher alle Versicherten, die bisher freiwillig eine ePA nutzten, eine PIN - ähnlich wie bei einer Bankkarte - benötigten, fällt diese Sicherheitsvorkehrung bei der kommenden ePA-Version 3.0 weg. Auch eine bisherige Beschränkung des Fernzugriffs auf die ePA wird aufgeweicht. Netzpolitik.org berichtet von den Vorträgen beim 38C3, dass "der Angriff über den Versichertenstammdatendienst (VSDD) leichter wird, weil die Ausweisnummer der elektronischen Gesundheitskarte – die Integrated Circuit Card Serial Number (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD übermittelt wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Die Zahlenfolge lässt sich zudem beliebig manipulieren, weil sie fortlaufend vergeben wird."

Noch einmal ein Zitat von Netzpolitik.org: "Noch im Juni hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarnt, dass bei der ePA die Sicherheitsstandards gesenkt worden waren." Dem ist nichts mehr hinzuzufügen ... außer die weiteren Sicherheitslücken, die bisher vielleicht nicht so offensichtlich ins Auge gefallen sind.

Mehr dazu bei https://netzpolitik.org/2024/chaos-communication-congress-das-narrativ-der-sicheren-elektronischen-patientenakte-ist-nicht-mehr-zu-halten/ und https://www.rnd.de/wirtschaft/elektronische-patientenakte-offenbart-schwere-sicherheitsluecken-doch-besser-widersprechen-KCCWIEJDOBGFVPCCHMWI5SNPB4.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3EJ Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9017-20250103-epa-mit-schweren-sicherheitsluecken.html

IT-Sicherheitsrichtlinien: Schlüssel zur Risikominderung

In der heutigen digitalen Welt sind Unternehmen zunehmend den Bedrohungen durch Cyberangriffe ausgesetzt. IT-Sicherheitsrichtlinien spielen eine entscheidende Rolle bei der Risikominderung und dem Schutz sensibler Daten. Diese Richtlinien helfen nicht nur, Sicherheitslücken zu identifizieren, sondern auch, die Verantwortung für den Schutz von Informationen klar zu definieren und zu kommunizieren.…

Schock: Passagier schmuggelt Waffe an Bord eines Carnival-Kreuzfahrtschiffs

In einem beunruhigenden Vorfall hat eine Passagierin der Carnival Cruise Line offenbart, dass es ihr gelungen ist, eine Schusswaffe an Bord eines Kreuzfahrtschiffs zu schmuggeln. Kendra Gordon aus Bradenton, Florida, teilte ein Video in den sozialen Medien, in dem sie die Waffe zeigt, die den Sicherheitschecks unbemerkt entgangen war. Das Video, das schnell viral ging, sorgte für erhebliche…

Cybercrime und White-Hat-Hacking

Rechtsbelehrung-Podcast #119 vom 27.09.2923 Die grundlegende rechtliche Prämisse ist vergleichsweise simpel: Hacker, die böswillig handeln, begehen strafbare Handlungen, während Hacker, die im Auftrag von Systeminhabern oder im Interesse der Systemsicherheit agieren, straffrei bleiben. Continue reading Untitled

View On WordPress

WordPress Update auf Version 6.5 am Dienstag, 2. April 2024 erschienen

Seit Dienstag, den 2. April 2024 steht das WordPress Update auf die Version 6.5 zum Download zur Verfügung. Das WordPress Update behebt 263 Fehler und enthält zahlreiche Neuerungen und Verbesserungen.

Wir empfehlen daher die zeitnahe Installation des WordPress Updates und weisen zudem noch einmal darauf hin, dass durch Updates wichtige Sicherheitslücken geschlossen werden und somit Fehler in WordPress selbst behoben werden. Vor allem das Schließen von Sicherheitslücken steht immer im Fokus der Entwickler des WordPress CMS, wobei die Sicherheit beziehungsweise die Datensicherheit Ihrer WordPress Website auch im Sinne Ihrer Websitebesucher ist.

Bedenken Sie auch die Wichtigkeit des WordPress Updates im Bezug auf die Datenschutzgrundverordnung (DSGVO) und somit auch Ihrer Haftung gegenüber den Besuchern Ihrer Website bezüglich der gespeicherten und genutzten Daten.

Das WordPress Update wurde nach der am Samstag, den 6. August 1966 in Detroit (USA) geborenen und am Mittwoch, den 26. Dezember 2018 in verstorbenen Violinistin Regina Carter benannt.

Die Releasenote im Original (englische Sprache) können Sie auf https://wordpress.org/news/2024/04/regina/ einsehen.

Die deutsche Version der Releasenote können Sie auf https://de.wordpress.org/2024/04/wordpress-6-5-regina/ einsehen.

Alle Fehlerkorrekturen, Neuerungen und Verbesserungen des WordPress Cores können Sie auf https://core.trac.wordpress.org/query?milestone=6.5 einsehen.

Die Fehlerkorrekturen, Neuerungen und Verbesserungen des „Gutenberg“ Block-Editors können Sie auf https://github.com/WordPress/gutenberg/commits/wp/6.5 einsehen.

Erfahren Sie mehr über dieses WordPress-Update in unserem News Blog auf https://seoboxx-webdesign.de/blog-news/ oder lesen Sie den vollständigen Artikel auf https://seoboxx-webdesign.de/blog-news/wordpress/wordpress-update-auf-version-6-5-regina-am-Dienstag-2-April-2024-erschienen-vollversion

Trotz Sicherheits-Fiasko soll ab morgen die elektronische Patientenakte für alle kommen: Unbedingt widersprechen!

Ansage: »Noch bevor die von Gesundheitsminister Karl Lauterbach gehypte elektronische Patientenakte (ePA) ab nächstem Jahr für sämtliche gesetzlich Versicherten eingeführt werden soll, offenbaren sich bereits die von Anfang an befürchteten massiven Sicherheitslücken. Diese wurden von den IT-Sicherheitsexperten Bianca Kastl und Martin Tschirsich auf dem Chaos Communication Congress in Hamburg aufgezeigt. Beiden war es problemlos möglich, auf […] The post Trotz Sicherheits-Fiasko soll ab morgen die elektronische Patientenakte für alle kommen: Unbedingt widersprechen! first appeared on ANSAGE. http://dlvr.it/TH5QW3 «

Freie Ärzteschaft: Stopp der unsicheren elektronischen Patientenakte gefordert

Datensicherheitsexperten haben auf dem Chaos Communication Congress (CCC) in Hamburg gezeigt, dass die elektronische Patientenakte (ePA) aus dem Hause Lauterbach massive Sicherheitslücken aufweist. Diese ermöglichen es, mit wenig Aufwand auf die sensiblen Krankheitsdaten von 70 Millionen gesetzlich Versicherten zuzugreifen. Dr. Silke Lüder, Allgemeinärztin und stellvertretende Bundesvorsitzende…

Automatisierung im Risikomanagement: Effizienz und Sicherheit

In der heutigen schnelllebigen Geschäftswelt ist das Risikomanagement entscheidend für den langfristigen Erfolg von Unternehmen. Die zunehmende Komplexität der Märkte und die Vielzahl möglicher Risiken erfordern innovative Ansätze zur Risikobewertung und -bewältigung. Die Automatisierung von Prozessen im Risikomanagement stellt eine Lösung dar, die sowohl Effizienz als auch Sicherheit erhöht. In…

Cyber-Attacken: Sparkassenkundschaft + „die Funktionsfähigkeit des Finanzsystems“ gefährdet – „IKT-Risiken gründlich und umfassend“ bewältigen!   Von Joachim Jakobs   T-Online erinnert an einen Angriff des Chaos Computer Clubs (CCC) auf die Hamburger Sparkasse. Der fand vor 40 Jahren – am 17. November 1984 – statt. Nicht übers Internet. Das steckte damals noch in den Kinderschuhen. Die Technik damals hieß „Bildschirmtext“ – Wikipedia erklärt: „Bildschirmtext (kurz Btx oder BTX; in der Schweiz Videotex) war ein interaktiver Onlinedienst. Er kombinierte Funktionen des Telefons und des Fernsehgeräts zu einem Kommunikationsmittel.“ Bild: Wikipedia Die Angreifer  Wau Holland und Steffen Wernéry hätten ein Programm geschrieben, „das immer wieder eine kostenpflichtige Animation auf den Bildschirmen aufgerufen hat – für jeweils 9,97 Mark. Zuvor hatten sich die beiden die Zugangskennung der Hamburger Sparkasse (Haspa) zum Btx-System verschafft, sodass sie die Bezahl-Seiten des CCC auf Kosten der Bank ansteuern konnten.“ Auf diese Weise hätten Holland und  Wernéry 135.000 Mark einnehmen können – wenn sie kriminelle Absichten gehabt hätten. Hatten sie aber nicht – sie wollten auf Sicherheitslücken aufmerksam machen und schafften es mit dieser Aktion ins Heute Journal des ZDF. Das ließ Benno Schölermann, damals Vorstand der Haspa zu Wort kommen: "Ganz ehrlich, wir hätten so etwas nicht für möglich gehalten. Wir hatten die Garantie der Post, dass unsere Zugriffsmittel zum Bildschirmtext geheim sind". Bis heute scheint die Verwunderung der Sparkassen über die eigene Verwundbarkeit anzuhalten – jedenfalls drängt sich dieser Eindruck auf, wenn man die Schlagzeilen verfolgt: „Kein Bargeld am Automaten: Technische Fusion legt Sparkassen-Dienste lahm“, „Hackerangriff 2024: Bankkonten von Kunden der Sparkasse und der Deutschen Kreditbank AG (DKB AG) geplündert“. „Phishing-Betrug: Sparkasse warnt ihre Kunden vor dreister Masche“  -- hieß es im Juni. Und im November 2024 nochmal: „Sparkasse warnt vor neuer Betrugsmasche: Leere Geldkonten drohen“. Das könnte mit Löchern und Lücken zu tun haben – die Sparkassenorganisation schockiert durch Ehrlichkeit darüber, was Sicherheitsexpertertinnen „in Unternehmen immer wieder aufspüren: IT-Systeme mit fehlenden oder nicht aktuellen Sicherheits-Patches, Standard-Passwörter oder alte, nicht aus dem Netzwerk entfernte IT-Systeme.“ Und: „40% der Software im Finanzsektor hat erhebliche Sicherheitsmängel: Schon der Code ist unsicher“. Was löchrige Bankautomaten, Kontoauszugdrucker, Überweisungsterminals, Fahrkarten- oder Zapfsäulenautomaten an Tankstellen zur Folge haben könnte. Jedes Endgerät, das auch nur entfernt mit Geld zu tun hat, kann einem Angriff zum Opfer fallen. Wer Freibier anbietet, macht sich beim Publikum beliebt: „Sicherheitsforscher haben nach eigenen Angaben den ersten Angriff auf die Open-Source-Software-Lieferkette entdeckt, der speziell auf den Bankensektor abzielt.“ Es muss sogar damit gerechnet werden, dass der vermeintlich freundliche Aufkleber „open source“ unfreundlich gekapert wird: „Bösartige Open-Source-Softwarepakete haben sich 2024 explosionsartig verbreitet“. Und Anwendungen, die wohlmeinend entwickelt wurden, verlangen nach ständiger Aufsicht: Sonst könnten „nicht gepflegte Open-Source-Pakete ohne aktive Weiterentwicklung ungelöste Schwachstellen“ bergen, „die sie anfällig für Ausnutzung machen“. So sollen einer Studie zufolge „49 % der untersuchten Codebasen Komponenten“ enthalten, „für die in letzter Zeit keine Entwicklungsaktivität festgestellt wurde, was auf eine höhere Wahrscheinlichkeit von Sicherheitsproblemen hindeutet.“ Sicherheitsprobleme sind blöd – insbesondere dann, wenn der Quellcode auch noch öffentlich verfügbar ist; Google entdeckte im November 2024 „26 neue Schwachstellen von Open-Source-Projekten, darunter eine Schwachstelle in der kritischen OpenSSL-Bibliothek (CVE-2024-9143), die einen Großteil der Internet-Infrastruktur untermauert. Die Berichte an sich sind nicht ungewöhnlich - wir haben in den 8 Jahren des Projekts über 11.000 Schwachstellen gemeldet und den Betreuern geholfen, sie zu beheben. Aber diese speziellen Schwachstellen stellen einen Meilenstein für die automatisierte Suche nach Schwachstellen dar: Jede wurde mit KI gefunden, unter Verwendung von KI-generierten und erweiterten Fuzz-Targets. Die OpenSSL-Schwachstelle ist eine der ersten Schwachstellen in einer kritischen Software, die von LLMs entdeckt wurde, und stellt ein weiteres Beispiel aus der Praxis dar, nachdem Google kürzlich einen ausnutzbaren Stapelpuffer-Unterlauf in der weit verbreiteten Datenbank-Engine SQLite entdeckt hat.“ Diese Bemühungen – so Google -- „setzen unsere Untersuchungen darüber fort, wie KI die Erkennung von Schwachstellen verändern und das Arsenal von Verteidigern überall stärken kann“. Bild: Freepik Die Ruhr-Universität Bochum will ebenfalls „Schwachstellen in Software automatisch finden“: „Mit ihrer Technik haben Bochumer IT-Sicherheitsexperten hunderte Fehler in kritischer Software gefunden. Unter anderem in Betriebssystemen wie Windows und Linux. Auch die Cloud ist betroffen.“ Das geht auch bösartig – das Bundesamt für Sicherheit in der Informationstechnik (BSI) doziert: „Die Dimension der Art der Ausnutzung bildet die unterschiedlichen Arten ab, eine Schwachstelle ausnutzen zu können. Man unterscheidet hier manuelle, automatisierte oder eine selbstreplizierend Ausnutzung. Bei der manuellen Ausnutzung muss der Angreifer nicht-automatisierbare Schritte ausführen, um den Angriff auf die Gegebenheiten des Angriffsziels anzupassen. Automatisierte Angriffe hingegen erlauben es, dass eine Schwachstelle sozusagen auf Knopfdruck ausgenutzt werden kann. Selbstreplizierende Angriffe schließlich können z.B. durch Wurmprogramme und Bots durchgeführt werden, die nach einem erfolgreichen Angriff ein System übernehmen bzw. nutzen, um darüber weitere Systeme anzugreifen.“ – Womöglich hat die BSI-Autorin bei der elektronischen Selbstvermehrung einen Computerwurm namens WannaCry gedacht: „Im Mai 2017 verbreitete WannaCry Panik in Unternehmensnetzwerken auf der ganzen Welt, als es in kurzer Zeit mehr als 200.000 Computer in 150 Ländern infizierte.“ Es wird nicht besser -- So soll etwa die Verfügbarkeit krimineller Cyberdienstleistungen (CaaS)  2025 in Gestalt von „automatisierten Hacking-Tools im Dark Web“ zunehmen: „Auf dem CaaS-Markt ist die Verfügbarkeit verschiedener Angriffsvektoren und zugehöriger Tools, wie Phishing-Kits, Ransomware-as-a-Service und DDoS-as-a-Service, gestiegen. Wir gehen davon         aus, dass sich dieser Trend verstärken wird, da Angreifer KI zur Unterstützung von CaaS-Angeboten einsetzen. So könnten beispielsweise große Sprachmodelle (LLMs) verwendet werden, um die Erkundung sozialer Medien zu automatisieren und diese Informationen in ausgefeilte Phishing-Kits zu verpacken.“ Kriminell veranlagte Kinder lieben solche Baukästen: „Skript-Kiddies sind Personen, denen es an Hacking-Fähigkeiten und -Wissen mangelt, die aber vorgefertigte Tools aus dem Internet wie automatisierte Hacking-Tools, Skripte und Exploits verwenden, um Angriffe auf Computersysteme und Netzwerke zu starten.“ Neben finanziellen Motiven können sie auch von der Lust am Zerstören oder Rache getrieben sein; die Wieland Finanz GmbH bestätigt: „Es geht nicht immer darum, sich zu bereichern. Medien berichteten kürzlich von einem entlassenen Auszubildenden, der als Racheakt eine Mailbombe an seine ehemalige Bank schickte und deren Server lahmlegte. Auch ideologische Hacker und ‚Script Kiddies’ richten aus jugendlicher Dummheit Schaden an“ – daraus zieht der Finanzberater die Schlußfolgerung: „Cybercrime kann inzwischen jeder! Geschädigt werden auch!“ Ein Stift macht die Server einer Bank platt?! Die Halbstarken verursachen Schäden, indem sie „Skripte und Exploits verwenden“. Mit anderen Worten: Sie sind in der Lage, die Maus zu schubsen!? Es wäre also wichtig, den Nachwuchs über Risiken und Rechtsfolgen seines Handelns aufzuklären. Statt Bildung erleben diese jedoch Sanktionen – und verstehen womöglich noch nicht einmal, warum. Cybermafia und nationalstaatliche Angreiferinnen befinden sich im Vergleich dazu auf einem anderen Niveau: „Ein Technical Attacker dagegen wäre in der Lage, Skripte und Exploits zu verändern und selbst zu schreiben. Er unterscheidet sich vom Script-Kiddie, da er meistens eine IT-Ausbildung absolviert hat, die Abläufe in Systemen und Computernetzwerken versteht und ein tiefergreifendes Verständnis über die Zusammenhänge von Diensten und Protokollen hat.“ Mit diesem Verständnis werden „KI-basierte Angriffe“ ernöglicht: „Das interessanteste Tool für cyberkriminelle Aktivitäten wäre eine KI, die das Ziel als Eingabe erhält (sei es ein IP-Bereich oder ein Name) und alle Schritte eines Cyberangriffs völlig selbstständig durchführt. Die Strategie- und Abstraktionsfähigkeiten der neusten KI-Technologien machen sie zu erstklassigen Kandidaten für die Entwicklung eines solchen Tools.“ Besonders effektiv könnten die Angriffe sein, wenn sie mit Hilfe von Quantencomputern unternommen würden. Kein Wunder, dass sich die Bundesanstalt für Finanzdienstleistungen um die „Funktionsfähigkeit des Finanzsystems“ sorgt: „Weltweit nehmen Angriffe auf -Systeme von Unternehmen oder auf Finanzmarktinfrastrukturen zu, zum Beispiel mit Schadprogrammen In Deutschland ist die Bedrohung nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) so hoch wie nie. Dies gilt auch für den Finanzsektor, da die Unternehmen dort mit zwei besonders attraktiven Gütern arbeiten: Geld und sensiblen Daten. Bild: bafin/BSI Cyber-Attacken haben ein besonders hohes Schadenspotenzial für die betroffenen Unternehmen, sie können aber auch die Funktionsfähigkeit des Finanzsystems wesentlich beeinträchtigen und die Finanzstabilität gefährden.“ T-Online weiß wie schnell dem Schluckauf des Finanzsystems der Kollaps folgen kann: „Es droht ein unkontrollierter Finanzkollaps: Zusammenbruch des Finanzsystems könnte 13,6 Millionen Jobs vernichten". Das kann sich der Staat nicht leisten – für Jacqueline Neiazy, Director Datenschutz bei der ISiCO GmbH ergibt sich aus den Risiken eine klare Rechtsfolge: „Der ‚risikobasierte Ansatz‘ ist in der DSGVO tief verwurzelt. Je höher die Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, desto strenger die Anforderungen an den Datenschutz. Ergibt beispielsweise eine Datenschutz-Folgenabschätzung (DSFA) ein besonders hohes Risiko, so sind auch entsprechend wirksame Maßnahmen durch Verantwortliche zu treffen.“ Dieser Grundsatz spiegelt sich in einer ganzen Batterie von Detailvorschriften: „Seit 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Bankaufsichtlichen Anforderungen an die IT (BAIT) von Banken in Kraft gesetzt. Die BAIT ergänzen und konkretisieren hier die MaRisk in den nachfolgend genannten IT-relevanten Themengebieten weiter und sind mit ihr untrennbar verbunden: - IT-Strategie und IT-Governance, - Informationsrisiko und -sicherheitsmanagement, - Operative Informationssicherheit, - Identitäts- und Rechtemanagement, - IT-Projekte und Anwendungsentwicklung, - IT-Betrieb und IT-Notfallmanagement, - Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen, - Management der Beziehungen mit Zahlungsdienstnutzern und - Kritische Infrastrukturen“ Die „Zahlungsdiensterichtlinie“ PSD2 verlangt nach der  „Zwei-Faktor-Anmeldung (2FA) im Onlinebanking und bei Bezahlungen mit Girokarte, Kreditkarte, PayPal usw.“ Seit Oktober 2024 gilt zusätzlich die NIS-2. Ab Januar 2025 kommt das ganze Geraffel per DORA nochmal in einen weiteren Schlauch; die Rechtsanwältinnen von Grant Thornton erklären es so: „Der Digital Operational Resilience Act (DORA) ist eine neue Verordnung der Europäischen Union, die darauf abzielt, die digitale Betriebsfähigkeit von Finanzunternehmen zu stärken So soll die Widerstandsfähigkeit von Finanzunternehmen gegenüber digitalen Risiken gewährleistet werden. Die Verordnung legt fest, dass Finanzunternehmen robuste IT-Systeme und Cybersecurity-Maßnahmen implementieren müssen, um sich vor Cyberangriffen und IT-bedingten Störungen zu schützen.“ Bild: Taylor Wessing   Aus der Fülle der Vorschriften ergibt sich für die Rechtsanwältinnen von  Taylor Wessing ein „IKT-Risikomanagementrahmen“: „1. Identifizieren, Klassifizieren und Kommunizieren der ICT-Risiken (inkl. jährlicher anlassloser und jederzeit vorfallsbezogener Überprüfung) - Schutz und Prävention - Erkennen anormaler Aktivitäten - Reaktion und Wiederherstellung (BCM und Krisenmanagementfunktion) - Lessons learned und Weiterentwicklung - Kommunikation (intern und mit der Aufsicht)“ Bild: ChatGPT Das gilt für die institutsinternen Prozesse. Hinzu kommt die Kontrolle der gewerblichen Kundinnen aus den erwähnten „Mindestanforderungen an das Risikomanagement (MaRisk)“. Die BaFin verlangt: „Bei Objekt-/Projektfinanzierungen ist im Rahmen der Kreditbearbeitung sicherzustellen, dass neben der wirtschaftlichen Betrachtung insbesondere auch die technische Machbarkeit und Entwicklung sowie die mit dem Objekt/Projekt verbundenen rechtlichen Risiken in die Beurteilung einbezogen werden. “ Angesichts der Kritikalität der Kreditwirtschaft können Pannen nach DSGVO zu saftigen Geldbußen führen; zu einem fünfstelligen Betrag bei der Internetbank N26 und zu sechsstelligen Beträgen bei der DKB und zwei namentlich nicht genannten Kreditinstituten in Niedersachsen. Hinzu kommen Schadenersatzforderungen: „Konto im Onlinebanking geplündert - LG Köln urteilt auf Schadenersatz!“ titelt  Rechtsanwalt Jörg Reich. Diese Erfahrung musste die Sparkasse Köln-Bonn machen. Kostenpunkt: 9.933,38 Euro! Das Gericht scheint der Überzeugung zu sein, dass es der Überweisung an Autorisisierung  durch den Kunden gefehlt habe. Es reicht jedoch nicht, dass die Institute den Nachweis führen können, das Einverständnis ihrer Kundschaft erhalten zu haben – sie sind auch dann schadenersatzpflichtig, wenn die Kundin irrtümlich eingewilligt hat: So soll eine Betrügerin die Telefonnummer der Sparkasse missbraucht und sich dadurch das Vertrauen eines Kunden erschlichen haben. Die Folge: Ein Schaden in Höhe von 14.000 Euro! Wichtig: Bis hierher gehts um Einzelfälle! Das muss nicht so bleiben: „Ein Vorteil der generativen KI für Cyber­kriminelle besteht darin, dass sie noch über­zeugendere Betrugs­anrufe in einem noch nie da gewesenen Umfang ermöglicht.“ Deshalb besteht die Möglichkeit von „Massenklagen im Datenschutz“ – Juristinnen wissen: „Dadurch, dass der EuGH eine Erheblichkeitsschwelle ablehnt, werden auch Massenklagen wegen Bagatellschäden nun ein noch lukrativeres Geschäftsmodell. Bei der Verteidigung gegen derartige Ansprüche sollte man insbesondere darauf achten, ob eine Vielzahl von Klägern den angeblich erlittenen immateriellen Schaden mit gleichlautenden oder ähnlichen Textbausteinen geltend macht.“ Checkpoint meint, die beschriebene Angriffsqualität soll „bis 2025“ möglich sein: „Um die Nase vorn zu haben, müssen Anbieter und Unternehmen ihre Sicherheitstools anpassen und ihre Mitarbeiter für die neue Welt des 'Null-Vertrauens' und der 'Alles-Verdächtigen'-Umgebung schulen’, sagt Gil Friedrich, VP of Email Security bei Check Point.“ Die Bafin ergänzt: „Um den IKT-Risiken zu begegnen, ist es unabdingbar, dass die IKT-Risiken gründlich und umfassend gemanagt werden und die Massnahmen gut dokumentiert sind. Die konkreten Anforderungen dazu orientieren sich an internationalen, nationalen und branchenspezifischen Best Practices und Standards. DORA ist grundsätzlich standard- und technologieneutral - es soll den Unternehmen des Finanzsektors ermöglichen, die Anforderungen nach einem risikobasierten und verhältnismässigen Ansatz umzusetzen.“ Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt. Read the full article

Security-Trends 2025: KI-Technologie gehört immer mehr zur IT-Sicherheit. Inzwischen sollten Security-Teams die KI als weiteres Teammitglied ansehen und an einem Strang ziehen. Aber das ist nur ein Trend in 2025: Dazu kommen noch die Partnerschaft von CIOs und CISOs, risikobasiertes Exposure-Management und eine neue Ransomware-Welle. Die IT-Technologie- und Sicherheits-Herausforderungen des kommenden Jahres erfordern deutlich mehr Zusammenarbeit zwischen dem Management und Sicherheitsverantwortlichen. Denn 2025 sollte die verstärkte Integration und Konsolidierung von Ressourcen der Cybersicherheit und IT gelingen, um Sicherheitsrisiken trotz und durch den zunehmenden Einsatz von KI zu minimieren. Sowohl für den Schutz gegen Bedrohungen als auch als mitarbeitende Ressource wird KI zukünftig eine zentrale Rolle spielen. Sie muss von CIOs, CISOs und HR deshalb zunehmend wie ein ‚echtes‘ Teammitglied behandelt werden. Künstliche Intelligenz als neues Teammitglied Security-Trends: 2025 wird KI nicht mehr nur als ein Werkzeug, sondern zunehmend als Teammitglied angesehen. Unternehmen integrieren KI in ihre Arbeitsprozesse, um Routineaufgaben zu automatisieren und Entscheidungsprozesse sowie Produktionsabläufe zu optimieren. CIOs müssen ihre Teams und Systeme auf diesen Wandel vorbereiten und den Umgang mit KI in der Belegschaft fördern. Um Präzision und Leistung sicherzustellen, wird KI analog zu Mitarbeitern geschult und bewertet. GenAI-Cybersicherheit als Antwort auf den Fachkräftemangel Während Cyberkriminelle bereits KI für ihre Angriffe nutzen, setzen Unternehmen zunehmend auf KI, um ihre Sicherheitsarchitekturen zu verbessern. 2025 wird KI nicht nur zur Bedrohungsanalyse und Erkennung von Schwachstellen in IT-Systemen eingesetzt, sondern auch zur Optimierung von Sicherheitssoftware. GenAI wird Sicherheitsprofis helfen, Muster und Anomalien in großen Datenmengen schneller zu erkennen, während selbstschützende Systeme zahlreiche Sicherheitslücken automatisch beheben. Die neue Partnerschaft von CIOs und CISOs Die Kooperation zwischen CIOs und CISOs wird 2025 essenziell. Nur durch die Konsolidierung von Ressourcen wie Personal, Budget und Daten können Unternehmen ihre IT- und Sicherheitsinfrastruktur sinnvoll weiterentwickeln. Cybersicherheit wird zunehmend als strategische Allianz definiert, die mit Technologie und Sicherheitslösungen die Geschäftsergebnisse fördert. CIOs sollten deshalb dafür sorgen, dass die Führungsebene KI-gestützte Einblicke auf aktuelle Geschäftsergebnisse nutzt. Daten-Silos zwischen Abteilungen müssen beseitigt werden, um eine ganzheitliche Risikoeinschätzung zu ermöglichen. Haftungsschutz für CEOs, CIOs und Security-Verantwortliche Security-Trends: 2025 markiert einen Wendepunkt, da die IT-Sicherheitsstrategie immer essenzieller wird. Angesichts steigender Datenschutzverletzungen und Angriffe rückt der Haftungsschutz der Führungsebene in den Fokus. Das Management und IT-Sicherheitsverantwortliche werden deshalb Versicherungen abschließen, um sich vor Klagen aufgrund von meldepflichtigen, massiven Sicherheitsvorfällen zu schützen, für die sie zunehmend persönlich haftbar gemacht werden. Unternehmen setzen auf risikobasiertes Exposure-Management Unternehmen werden Cyber-Risiken nicht mehr isoliert, sondern als Teil ihrer Geschäftsstrategie betrachten. Der Begriff „Angriffsfläche“ wird deshalb zusätzlich auf verschiedene materielle und immaterielle Vermögenswerte, wie Daten und Markenwerte, erweitert. Diese Entwicklung erfordert eine kontinuierliche Daten-Analyse mit Machine Learning. Exposure-Management zur Absicherung potenzieller Schwachstellen im Rahmen der Gefahrenanalyse wird künftig strategisch in die Entscheidungsprozesse der Führungsebene einfließen und operative Investitionen und die Unternehmensausrichtung mitgestalten. SIM-Swapping wird zur neuen Ransomware-Welle Durch die Verbreitung der Multi-Faktor-Authentifizierung (MFA) wird SIM-Swapping zu einer immer größeren Bedrohung. Bei dieser Technik wird die Telefonnummer eines Nutzers auf eine neue SIM-Karte umgeleitet, wodurch Angreifer Zugang zu Zwei-Faktor-Authentifizierungs-Tokens erhalten und so unbefugten Zugriff auf Systeme und Daten erhalten können. In einer zunehmend mobilen Arbeitswelt ist SIM-Swapping eine große Herausforderung für Unternehmen, die MFA nutzen.     Passende Artikel zum Thema Read the full article

Cloud Computing Sicherheit: Ein umfassender Leitfaden für Unternehmen

In diesem Artikel wird ein umfassender Überblick über die Cloud Computing Sicherheit gegeben. Erfahren Sie, welche Risiken mit der Nutzung von Cloud-Diensten verbunden sind und welche Maßnahmen Unternehmen ergreifen können, um ihre Daten effektiv zu schützen. Der Fokus liegt auf bewährten Methoden, die helfen, Sicherheitslücken zu schließen und die Integrität der Daten zu gewährleisten.

Spielzeug: Wie erkennt man sichere Produkte im Online-Handel?

Verletzungsrisiken und Sicherheitslücken: Der Online-Kauf von Spielwaren hat seine Tücken. Darauf sollten Verbraucher achten.