Zum Inhalt springen

Angriffswelle auf LinkedIn – Datenschutz News KW 33/2023

    Der Datenschutztalk KW 33
    Moderation:
    avatar
    Markus Zechel
    avatar
    Gregor Wortberg

    Was ist in der KW 33 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    • Bundesdatenschutzgesetz: Datenschutz soll einheitlicher gestaltet werden
    • Wissing plant neue Behörde für Mobilitätsdaten
    • Datenschutzvorfall bei „anonymer“ Studenten-App Jodel
    • Datenschutz-Strafen: DSGVO-Bußgelder überschreiten 4 Milliarden Euro​
    • Cyberkriminelle erpressen mit psychiatrische Gutachten
    • 2-FA bei LinkedIn

    Empfehlungen & Lesetipps

    • Checklisten für Cyber Sicherheit in Kommunen

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/angriffswelle-auf-linkedin-ds-news-kw-33-2023

    TeamDatenschutz #TeamInfoSec #DSTalk

    Transkript zur Folge: Bin so beeindruckt. Kann ich mir eine Krone für aussetzen, glaube ich. Herzlich willkommen zum Datenschutz-Talk hier im Podcast für die Themen Datenschutz und Informationssicherheit, Heute ist Freitag, der 18. August und wie immer war unsere Redaktionsschluss um zehn Uhr. Mein Name ist Markus Sechl und ich begrüße meinen Kollegen Gregor Wortberg. Hallo Gregor. Hallo Markus. Ähm hast du uns ein paar schöne Themen mitgebracht, damit wir eine tolle Folge machen können? Ja auch in dieser Woche ist wieder ein bisschen was passiert und ein paar Themen habe ich mitgebracht. Unter anderem äh gibt es Neuigkeiten zur Novelle des Bundesdatenschutzgesetzes. Äh einen Datenschutzvorfall bei Jodel habe ich mitgebracht, Cyberkriminelle sind in Israel aktiv, auch eine Leseempfehlung für einen Entwurf des BSI ist auch noch dabei. Was hast du denn mitgebracht diese Woche. Ähm ich habe eine Nachricht zum Thema Mobilitätdatengesetz. Ein interessanter Titel für ein Gesetz, finde ich. Dann möchte ich einen Nachklapp machen, fünf Jahre äh Datenschutz-Grundverordnung und ein paar Bußgelder referenzieren, Und es gibt äh einen oder gab Cyber-Angriffe auf LinkedIn. Dazu habe ich auch noch ein paar Tipps mitgebracht, die ähm LinkedIn dazu veröffentlicht, Wolltest du loslegen? Ja dann starten wir doch mal direkt rein und zwar an das Bundesdatenschutzgesetz ähm hatte ich ja schon gesagt, da ist äh der Referentenentwurf ähm der veröffentlicht worden beziehungsweise er liegt auf jeden Fall heiße Online vor und die haben dann darüber berichtet ähm paar interessante Neuigkeiten sind dann da bei. Die Ampelkoalition hatte im Koalitionsvertrag ja bereits versprochen, den Datenschutz einheitlicher und praktikabler zu gestalten. Das äh schön Formulierung. Unternehmen und Forschungseinrichtungen sollen nämlich künftig nur einer einzigen, Datenschutzaufsichtsbehörde unterstellt sein und mit dieser Zusammenarbeiten müssen in einem Falle einer gemeinsamen Verantwortlichkeit. Der neue Paragraf 40 A des BDSG, soll dann nämlich regeln, dass bei einer Seuchenverantwortlichkeit die Aufsichtsbehörde des Unternehmens äh zuständig ist, welches den höchsten Umsatz im vorangegangenen Geschäftsjahr gemacht hat. Im Kontext von, ist die Anzahl der Mitarbeiter, welche kontinuierlich personenbezogene Daten automatisiert verarbeiten, die relevante Größe. Gradewohl bei Forschungsprojekten, wo viele Stellen und ja auch gerne mal sensible Daten, Verarbeitet werden, die auch zurückfragen von Aufsichtsbehörden äh führen. Regelmäßig führen ist das wohl eine deutliche Vereinfachung und ähm, In diesem Bereich, wo besonders äh relevant weitere Neuigkeiten gibt’s da auch noch Paragraf 16 A, der führt zu einer institutionalisierung der Datenschutzkonferenz, wie auch ebenso im ähm Koalitionsvertrag vereinbart wurde. Ziel soll da auch eine Vereinheitlichung der Anwendung des Datenschutzrechts sein und ja vor dem Hintergrund der Kompetenzen von Bunden und Bund und Ländern ist im Entwurf jedoch keine Regelung bezüglich der rechtlichen Verbindlichkeit von DSK Beschlüssen enthalten. Ist glaube ich auch eine verfassungsrechtliche Frage dann wahrscheinlich am Ende des Tages, Und dann ist auch noch die Stärkung des Bundesdatenschutzbeauftragten beschrieben. Ich glaube, da haben wir auch schon mal drüber berichtet als Anlaufstelle des Etzer beziehungsweise auch als Vertreter der 18 deutschen Aufsichtsbehörden im europäischen Datenschutzausschuss. Die freuen sich bestimmt immer, wenn die so viele Stühle für die Deutschen hinstellen müssen. Ja, was ich gut finde, wenn wenn’s wirklich eine abgestimmte Meinung gibt, gerade die Datenschutzkonferenz hat er in einigen Fällen tatsächlich keine einheitliche Stellungnahme abgegeben, was natürlich für die, berufliche Praxis in als Datenschutzberater oder auch als Datenschutzbeauftragter unangenehm ist, Insbesondere wenn dann die verantwortliche Stelle in einem Bundesland sitzt, was sich nicht der Auffassung der DSK angeschlossen hat. Wie gehe ich dann damit um tatsächlich, Äh meine Nachricht beschäftigt sich, wie ich gesagt habe, mit dem Mobilitätsdatengesetz. Da gibt’s leider noch nicht so einen Fortschritt. Das ist schon Referentenentwurf gibt, Wir haben die Nachricht beim Handelsblatt gefunden und ich hatte aber nochmal auf der ähm Seite des Bundesministeriums für Verkehr geguckt Da ist der Referentenentwurf geplant für Ende diesen Jahres. Es gibt aber schon so ein paar Eckdaten, die veröffentlicht worden sind. Also hier soll es dann das Gesetz geben, was unterschiedliche Anbieter verpflichtet, Informationen über Fahrpläne, Verspätungen, Ortungen von Taxis und Mietwagen oder Sharing-Autos zu sammeln und zu veröffentlichen. Gab’s durchaus einige Einwände, ähm also einige kritische Stimmen, die sich dazu geäußert haben, interessanterweise, Gar nicht mal in erster Linie, wenn es um das Thema Datenschutz geht, sondern hier war eher die Sorge, dass irgendwelche Unternehmen mit den Daten Geld verdienen können. Insbesondere Verkehrsunternehmen haben es wohl abgelehnt, Daten weiterzugeben, weil sie die Sorge hatten, dass private Unternehmen mit, ihrer Wertschöpfung Gewinne machen, ohne sich an den Kosten zu beteiligen. Aus meiner Perspektive als Datenschützer ist natürlich auch wichtig zu gucken, wie wie funktioniert das mit der Anonymisierung mit den Daten oder habe ich nachher die Möglichkeit, wirklich zu gucken, Wo Freunde von mir mit dem Carsharing-Auto unterwegs sind, damit ich äh weiß, dass ich schon mal das Essen vorbereiten kann. Also ich denke, insbesondere die Anonymisierung der Daten spielte eine Rolle und da Bitten als Anonymisierung, nicht als Pseudonymisierung zu verstehen, damit nicht nachher wieder möglich ist, auf einzelne natürliche Personen zu schließen, Es wird wohl hier dann ein Datenkoordinator geben und eine zentrale Datenaufsicht ist auch geplant und tatsächlich hat man hier wohl schon auch mit dem Verhängen von Bußgeldern gedroht, wenn Daten nicht weitergegeben werden, Unternehmen hier so einen Datenmarkt nicht entstehen kann. Ich hoffe, dass da keine Begehrlichkeiten in Richtung auf Personendaten nachher auch damit verbunden sind und wir dann noch, daran teilnehmen müssen und unsere Daten auch damit eingespeist werden in diesen Datenpool. Ja, das wird interessant zu beobachten sein, ne? Wie granular das Ganze dann letzten Endes letzten Endes dargestellt wird, Ja, in meiner nächsten Meldung geht’s um das soziale Netzwerk. Meist abrufbar Jodel. Äh ist eine Studenten-App. Ähm wie gesagt, damit habe ich dann auch schon die Zielgruppe beschrieben. Da hat’s einen Datenschutzvorfall gegeben. Vermeintlich soll eigentlich diese App anonym sein, also dass ich komplett anonym ähm mit, Studenten und anderen Personen, die App halt runterladen können, ist frei zugänglich, ähm kommunizieren kann. Das Ganze funktioniert dann so, um das vielleicht mal ganz, ganz vereinfacht zu beschreiben, dass ich meine Standortdienste aktiviere und dann im Umkreis von X Kilometern, mir Beiträge von anderen Nutzern in anonymer Form, In Text oder Bild dargestellt werden. Das ist quasi Twitter oder jetzt X äh in anonymisierter Form. Muss man ganz, ganz, ganz, ganz äh, darzustellen. Ganz so anonym ist die App anscheinend jetzt äh jedoch doch nicht, weil mehrere Nutzer deutschlandweit haben sich äh über Spam-E-Mails beschwert, die sie, Auf E-Mail-Adresse haben die sie ausschließlich für Jodeln nutzen, weil man muss sich dann dann schon im ersten Download dann wohl auch registrieren. Der Berliner Datenschutzbeauftragte äh die Berliner Datenschutzbeauftragte hat den Vorteil jetzt wohl bestätigt und, im unternehmensintern laufen da jetzt natürlich auch Untersuchungen betroffen, äh scheinen da wohl nur Nutzerinnen und Nutzer zu sein, äh die sich vor kurzem oder in letzter Zeit einen Customer Support gewendet haben, weil ähm das wohl auch Daten sind, die, Im Tool des Drittanbieters Zendesk äh verarbeitet worden sind. Und deswegen ähm scheint sich das dann auf diesen Personenkreis einzugrenzen, die genaue Anzahl der betroffenen Personen ist da jetzt allerdings noch nicht bekannt. Gucken, wie viele dann tatsächlich davon betroffen sind und ob das ähm Auswirkungen hat, die spürbar sind, Ich möchte noch mal ein bisschen zurückblicken. Ich ich war ja für für einige Tage nicht da ähm und habe tatsächlich den Geburtstag der DSGVO verpasst, Aber ich möchte es trotzdem noch mal zum Anlass nehmen, weil Heise hat eine Nachricht veröffentlicht, die ähm sich auf den Forcement-Tracker bezieht, den GiD GPI einen Forcement-Tracker. Ein Tool, was wir auch äh regelmäßig nutzen für unseren Podcast, um nach Bußgeldern zu suchen. Grüße gehen raus an die Kollegen von von CMS, die so freundlich sind Mit ihrer Datenbank und die Recherche auch ein bisschen zu erleichtern, Und ähm tatsächlich ist es so, dass hier natürlich einige Bußgelder verhängt worden sind und man sieht, auch wenn man sich die Zahlen anguckt, dass es deutlichen Veränderungen gegeben hat, was dann den Anstieg von Bußgeldern angeht. Ich finde äh noch mal interessant zu erwähnen, dass ja äh kurz äh nach dem Jahrestag ähm oder kurz vor dem Jahrestag im Prinzip der der Einführung der Datenschutzgrundverordnung Die Aufsichtsbehörde, in Irland ein äh fantastisches Bußgeld von 1,2 Milliarden Euro gegen Meter verhängt hat. Am 12. Mai ist die Entscheidung veröffentlicht worden, Also kurz vor dem Geburtstag vielleicht äh ein ein hat sich die Aufsichtsbehörde selber ein Geschenk gemacht. Interessant ist äh hier mal tatsächlich wie wie hoch die Bußgelder geworden sind, wenn man sich das historisch anguckt über die fünf Jahre Dann waren halt ähm Bußgelder, über die wir diskutiert haben von 50 Millionen oder wenn Deutschland halt, Das Bußgeld von von 36 Millionen waren halt immer ähm gigantische Summen. Die die Iren sind da wirklich ein bisschen äh gröber dran, Da haben wir Bußgelder halt, die, Gegen WhatsApp verhängt worden sind von zwohundertfünfundzwanzig Millionen in 2021 und wir haben dann aber auch tatsächlich, 45 Millionen 390 Millionen, Also wirklich große Dinger, so dass jetzt mittlerweile das Bußgeld gegen Amazon von 746 Millionen Euro gar nicht mehr das Höchste ist und ich ich finde das, Überraschend zu sehen, wie wie hoch die Bußgelder tatsächlich jetzt bei Datenschutzverstößen ausfallen können. Gerade wenn wir auf so einer Konzernebene sind, weltweit ähm operierende Konzerne, das Das ist schon echt, Eine Geschichte, mit der man sich auch wahrscheinlich dann bei Meta auseinandersetzt, weil wenn man sich die alle zusammenrechnet, dann scheint das auch für einen Meter schon nicht mehr Portokasse zu sein. Die dürfen nun für die Hälfte ausmachen. Nee, die machen die Hälfte aus, tatsächlich, ja, ja. Also das noch mal so ein so ein kleiner Rückblick zu dem, was äh die Bußgelder ähm angeht ähm und ich finde es immer wieder beeindruckend zu sehen, wie die Mechanismen dann noch aus der Datenschutzgrundverordnung tatsächlich im Kontext der Sanktionen auch wirken. Da musst du jetzt eine Überleitung draus machen, Gregor. Da muss ich äh Leitung draus machen. Dann äh fange ich beim Thema Geld an, weil äh das wollten dann ja wohl die Aufsichtsbehörden haben und das möchten auch Cyberkriminelle in Israel haben. Ich bin so beeindruckt. Kann ich mir eine Krone für aussetzen, glaube ich. Ähm, Das ist ähm ich glaube einer der nächsten äh random war Angriffe äh und Erpressungsversuche, über die wir dann äh berichten können und zwar ähm ist es ja nun mal leider so, dass da jetzt nicht nur, in Anführungsstrichen nur Unternehmer erpresst werden, sondern da auch medizinische Einrichtungen ins Visier von Kriminellen geraten und da in Israel ist es jetzt aktuell der Fall, dass ein. Medical Center by benee Barak in Israel davon betroffen ist und die unbekannten Täter da mehrere Millionen Schekel äh von dem Krankenhaus fordern, in dem halt Das macht’s dann ähm auch für Öffentlichkeit so besonders interessant, insbesondere Politiker wie zum Beispiel ähm der Premierminister Oberrabiner ähm et cetera äh PP also mehrere Personen der äh von öffentlichem Interesse äh halt behandelt werden und wurden ähm und, Unter anderem, da wohl auch psychiatrische Gutachten und mehrere private Diagnosen dann halt auch abgegriffen worden sind. Es gab da wohl Zugriff auf äh hunderttausende digitale Dateien und, Ja man prüft jetzt gerade, ob es hm man geht jetzt gerade davon aus, dass es erst mal äh finanziell motiviert sei, wenn man mal prüfe aber auch gerade, ob’s da auch eine Weitere zielgerichtete Bedrohungen wohl gäbe, hat jetzt erstmal dazu geführt, dass das Krankenhaus, obwohl ähm es selber sagt, dass es keinen Schaden an Patienten oder eine Versorgung gegeben habe, äh jetzt erst mal keine weiteren Neupatienten aufnehmen, darf ähm so einen Zeitungsbericht aus Israel und ähm zudem sei die Öffentlichkeit aufgefordert worden, denn die Notaufnahme des Krankenhauses auch nicht mehr aufzusuchen, Eine interessante Maßnahme. Aber sonst nix passiert. Sonst ist gar nichts passiert, na ja, völlig unkritisch. Also ich finde finde es spannender mal, dass tatsächlich die die Daten, die Täterdaten erbeutet haben, Dateien erbeutet haben und ähm das ist natürlich für die betroffenen Person eventuell auch kann, also vielleicht bin gar nicht das Krankenhaus erpresst, sondern äh vielleicht werden die die Personen dann erpressen. Das ist eine neue Qualität von Cyberkriminalität, finde ich, Was auch in den Kontext von Permakriminalität geht. Hat berichtet, dass es sowohl verstärkt Angriffe auf LinkedIn-Konten gibt. Im Hintergrund ist hier, dass einige LinkedIn Benutzer sich in sozialen Netzwerken beschwert haben, dass ihre Accounts gestohlen worden sind und es gibt wohl auch hier die Nachricht, dass Menschen erpresst worden sind, Haben sie Geld bezahlen, Lösegeld bezahlen sollten, damit ihr Konto wieder verfügbar gemacht wird und bei Nichtzahlungen wurden konnten dann halt ähm entsprechend dauerhaft gelöscht, Ähm ich finde es interessant, weil so digitale Identitäten, die man gepflegt hat, natürlich auch wirklich kostbar sind. Wenn ich mir vorstelle, wie viele Menschen mit wie viel Menschen man vernetzt ist, Und dadurch auch eine Reichweite ähm erreicht wird, wenn ich Informationen poste, Dann sollte man wirklich äh von den Empfehlungen von LinkedIn Gebrauch machen. Die haben nämlich auf ihrer Webseite. Anleitungen zum Vorgehen, wenn das Konto kompromittiert worden ist und natürlich empfehle LinkedIn in diesem Kontext auch nochmal die Zwei-Faktor-Authentifizierung zu aktivieren. Auch eine gute Sache, glaube ich, damit ich die Möglichkeit habe, dann, auch weiterhin auf meinen Account zugreifen zu können, Ein Vorgehen, falls der Account korrumpiert worden ist und man den Verdacht hat. Man sollte natürlich dann gucken, was man gepostet hat, also was man gepostet hat oder dann der Angreifer gegebenenfalls gepostet hat, nicht dass man sich ähm bei irgendwelchen, Arbeitskollegen oder ähm Kunden entschuldigen muss für irgendwelche unflätigen Dinge und man sollte auch noch mal gucken, ähm mit wem man vernetzt äh ist Vielleicht haben die Angreifer dann auch die Möglichkeit genutzt, sich mit interessanten neuen Persönlichkeiten, Personen äh zu vernetzen und vielleicht möchte man ihn nicht unbedingt in seinem Profil haben. Also selbst wenn das Konto wieder, Verfügbar ist, sollte man die sich die Mühe machen, intensiv zu suchen und natürlich die Empfehlung, die auch immer gilt, sollte man sein Passwort, Auch für andere Zwecke verwenden, dann natürlich auch die anderen Accounts am besten ähm ändern, Hast du noch was mitgebracht, Gregor? Ja, einen Thema habe ich noch mitgebracht, eine Checkliste für Cybersicherheit. Eigentlich zielgerichtet an Kommunen, ähm ähm Jetzt äh das BSI als Community Draft im Rahmen des Projektes Weg in die Basisabsicherung veröffentlicht und äh das Ganze umfasst Achtzehn Checklisten an der Zahl. Ähm zum Einstieg in die Informationssicherheit. Alle Interessierten haben jetzt da erstmal bis zum 15. September Zeit. Den traft äh zu kommentieren. Finale äh Veröffentlichung ist äh im Oktober, diesen Jahres geplant und die Checklisten decken fundamentale Sicherheitsanforderungen für Bereiche der Informationssicherheit ab ähm technisch orientierte Checklisten wie beispielsweise Servicesysteme oder Backups, aber auch organisatorisch orientierte wie Vorbereitung für IT-Sicherheitsvorfälle. Ich glaube, auch wenn’s an Kommunen gerichtet ist, kann man haben sich da vielleicht das ein oder andere Interessante Thema auch nochmal anlesen. Ich finde die Information von BSI sind immer lesenswerte als Impuls, was man noch tun kann, Wenn ich das richtig ähm aus der Nachricht gelesen habe, dann war die Motivation ja auch, dass es hier verstärkt äh Cyberangriffe auf Kommunen gegeben hat und das ist, glaube ich, die Motivation dann hier noch mal zu fundamentale Checklisten zu veröffentlichen, Ja, ich habe sonst nix mehr. Wenn das tatsächlich deine letzte Nachricht gewesen ist, Gregor, würde ich sagen, machen wir Schluss für heute. Eine kurze Sommerfolge. Eine kurze Sommerfrage genau. Es soll ja heiß werden, glaube ich jetzt äh auch und äh vielleicht machen wir das dann noch kurz und spritzig. Gehen wir ins sonniges Wochenende. Genau. Dann bleibt mir nur noch übrig den ähm Zuenden ein schönes Wochenende zu wünschen, wenn Sie uns heute schon am Freitag hören, wenn Sie sich die Folge ähm übers Wochenende aufgehoben haben und heute schon Montag ist. Dann wünsche ich Ihnen einen schönen Start in die Woche, Gregor, dir vielen Dank. Danke dir. Bis bald.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Das könnte Sie auch interessieren

    TCF verstößt gegen die DSGVO – DS News KW 20/2025

    migosens DS-Talk

    530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

    Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

    NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025