BSI zur aktuellen Sicherheitslücke in Exchange – Datenschutz News KW 13/2024

Moderation:

Was ist in der KW 13 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Daten von Kindern nach Datenpanne bei „Stay Informed“ im Netz
• Widersprüche in google Street View
• Erneut Kritik an Digitalstrategie der Deutschen Bahn
• 5000 Bodycams für Schaffner der DB Regio
• Sicherheitslücke bei Microsoft Exchange
• Rechenzentrumsbrand legt auch deutsche Hoster lahm
• BSI will kleine Unternehmen stärken

Empfehlungen & Lesetipps:

• Neue Webseite des LDI Rheinland-Pfalz

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/bsi-zur-aktuellen-sicherheitslucke-in-exchange-datenschutz-news-kw-13-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Mein Name ist Heiko Gossen. Kannst du dich von der Performance abweichen? Okay, noch mal. Herzlich willkommen zum Datenschutztalk. Ihrem wöchentlichen Datenschutz-Upda, Mein Name ist Heiko Gössen. Und mein Name ist Laura Kroschinski. Wir begrüßen Sie wieder recht herzlich zu unserem wöchentlichen Datenschutzrückblick diese Woche mit einer kurzen Woche, weil es ist die K-Woche. Dementsprechend ist heute Donnerstag der 28. März und unsere Reaktionsschluss war heute um zehn Uhr. Haben natürlich, wie Sie das von uns gewohnt sind bei der Mirocense, wieder das Gleis am Ohr für Sie gehabt, wenn es um Datenschutzthemen geht und wir schauen heute natürlich dann wieder auf eine äh Vielzahl von Themen. Wir haben wieder ein wenig sortiert. Laura Was ist bei dir drin geblieben? Ich bringe heute als erstes mit, eine Information zu einer Sicherheitslücke in einer App, die sehr weit verbreitet ist in Deutschland. Dann geht’s weiter, Gleis ans Ohr, du hast es gesagt, haha zu zwei Nachrichten zur deutschen Bahn ähm mit Datenschutzbezug, Dann habe ich noch eine Information gemacht zu einem Serverbrand, den es gegeben hat in Frankreich und auch Auswirkungen in Richtung Deutschland hatte und am Ende habe ich noch einen kleinen, äh Webseitentipp mitgebracht. Wie sieht’s bei dir aus? Ja, ich schaue einmal auf Google Street View und die ja, Erneuerungen der Bild des Bildmaterials. Dann hätte ich unser Thema Sicherheitslücke in Exchange und was das BSI im Moment da ermittelt hat. Und dann noch mal das BSI, da geht es um das Thema BSI und äh ja die Stärkung der IT-Sicherheit, den kleinen Unternehmen. Das wären so meine Themen für heute. Bevor wir starten noch ein ganz kleiner äh Rückblick. Wir hatten ja auch ähm einen, Debüt von äh Lothar und da gab’s ein sehr schönes Feedback. Dafür wollten wir uns natürlich nochmal bedanken. Ähm von mehreren Stellen und mehreren Seiten. Von daher bleiben Sie da immer, Immer dran, wer uns Feedback geben will, ist dazu immer herzlich eingeladen. Wir freuen uns darüber und es hilft am Ende ja allen, also äh uns und natürlich auch hoffentlich unseren Zuhörern, wenn wir Feed bekommen. Also kritisch ist, aber wie gesagt, auch Positives freuen wir uns natürlich sehr drüber. Das Einfachste ist immer, Sie äh gehen auf die Shownotes, da gibt’s immer den Link zur folgenseite, da können Sie kommentieren oder Sie schicken uns eine E-Mail an Datenschutztalk at Minuscence Punkt DE. Und jetzt. Jetzt ich. Ach, ich bin noch ganz äh habe noch ein ganz warmes Gefühl, weil ich mich gerne an diese Feedbacks doch erinnere. Deswegen, aber ähm genau, wollen wir mal zu den schönen Themen kommen aus dieser Woche oder besser gesagt ein nicht so schönes Thema ist ähm im Laufe der letzten Woche bekannt Geworden, denn bei der App Stay in Form, die besonders bei Kindertagesstätten beliebt ist, hat es eine Datenpanne gegeben, bei der laut Medienberichten zufolge 6000 Bilddateien und über 1500 CS 2 CSV Dateien frei zugänglich waren. Die App kommt in Deutschland bei rund 11.000 Einrichtungen zum Einsatz, sei es Kindertagesstätten, Schulen oder Horten und über diese App haben Eltern die Möglichkeit, ihre, Termine und Informationen der Betreuungsstelle zu verwalten, aber auch beispielsweise ihr Kind krankmelden zu können oder auch sogar mit den Betreuern über eine Chatfunktion in Kontakt zu treten, Die Schwachstelle offenbarte nun laut Berichten zufolge ähm Namen, Geburtsdaten, sogar Adressen. Von Minderjährigen, aber auch Profilbilder, die halt im Rahmen, ja, wie gesagt, Profilbilder also Fotos, aber auch äh Fotos, die innerhalb von Chats geteilt wurden, waren Teil dieser Sicherheitslücke. In einigen Fällen sollen sogar sensible Daten öffentlich geworden sein, wie beispielsweise das Herkunftsland oder der Impfstatus. Ähm und weiter ging’s dann mit Informationen zu den Erziehungsberechtigten, Notfallkontakten oder bei Schulen auch Klassen. Lehrangaben zu Klassenlehrern. Grund war, dass der Rapserver bei Stay informt unzureichend gesichert war und ja, veralterte Versionen der Software dazu geführt haben, dass unter anderem der Datenübertrag nicht über HTTPS verschlüsselt wurde. Die Betreiber der App haben zwar den Fehler unverzüglich behoben ähm und die Einrichtung auch informiert und ebenso natürlich auch den Vorfall ähm beim Daten in der Datenschutzaussicht in Baden-Württemberg gemeldet, aber stay entformt agiert als Auftragsverarbeiter. Das heißt, jeder Träger muss nun selbst melden. Also hier wird’s die ein oder andere datenschutzrechtliche Herausforderung sicherlich für Kindertagesstätten und Co geben. Wir wissen, Ich glaube, die haben alle nicht dort zu viel Freizeit, um sich insbesondere mit äh wichtigen Thema beschäftigen zu können, denn jede betroffene Einrichtung muss nun eben prüfen, inwieweit sie von diesem Daten betroffen sind, also Obstammdaten ihrer Einrichtung gespeichert wurden, ähm welche Dokumente und Fotos auf der Plattform ihrerseits verarbeitet wurden und wer beispielsweise in welcher Form den Messenger verwendet hat. Der App-Anbieter ähm hat natürlich auch noch eine Information für Betroffene an sich, rausgegeben und empfiehlt sich natürlich an die eigene Aufsicht, zu wenden. Wenn man hier eben Bedarf hat, Klärungsbedarf hat und bei 800.000 Nutzern in Deutschland, laut eigenen Angaben der App wird’s wahrscheinlich so die eine oder andere Informationswelle auf die zukommen und das hat auch Bettina Geig und ihr Team, also die Datenschutzaussichten NRW zum Anlass genommen auf ihrer Website auch ja ich sage jetzt mal so ein kleines FAQ zu veröffentlichen. Also sie gibt hier, Hinweise, insbesondere für die Einrichtungen, also inwieweit ähm sie jetzt weitere Schritte, einleiten müssen, aber natürlich auch was Betroffene tun können. Sie betont auch in ihrer Nachricht noch mal das hohe Risiko aufgrund dieser Datenpanne. Und ja, sieht natürlich als größte Gefahr die mögliche missbräuchliche Nutzung der Daten, für Betrugsmaschen oder auch gegebenenfalls Diskriminierung. Also da sind die Eltern angehalten. Augen und Ohren offen zu halten auf entsprechende persönliche Angriffe. Wir kommen zum Thema Googlestreet View. Der hessische Beauftragte für Datenschutz hat darauf hingewiesen, dass Widersprüche gegen die Darstellung des eigenen Hauses in Googles erneuert werden müssten Vielen Nutzern ist sicherlich schon aufgefallen, dass es seit geraumer Zeit wieder neue Bilder in Google Street View gibt und deswegen hat der hessische Beauftrag für Datenschutz und Informationsfreiheit äh Alexander Rossnagel darauf aufmerksam gemacht, dass alte Widersprüche nicht mehr gelten und diese erneuert werden müssen. Veröffentlicht hatte das in einem Interview auf der vom Privatheit, das ist eine Webseite einer Forschungsgruppe des Fraunhofer Gesellschaft, der Fraunhofer Gesellschaft zur Förderung der angewandten Forschung und ja, seit 2022 fahren die Google-Kamera-Autos schon wieder, da hatte man sich geeinigt Ähm beziehungsweise dann in 2023 hat man sich geeinigt mit dem Hamburger Datenschutzbeauftragten. Was die Veröffentlichung angeht. Die werden seit Juni dreiundzwanzig dann auch wieder online gestellt. Und äh Rosnagel weist halt noch mal natürlich auf die einerseits Vorteile von Google Street You hin, hat aber halt auch noch mal darauf hingewiesen, dass natürlich nicht für echt jedem Recht ist, wenn sein Haus da veröffentlicht ist, weil’s natürlich vielleicht auch wird. Informationen über die Bewohner preisgibt, wenn man halt weiß, wo jemand wohnt. Dementsprechend muss es natürlich jeder für sich entscheiden, aber ich glaube, die ähm ja Fälle sind ähm gering, beziehungsweise mir sind tatsächlich keine bekannt geworden, dass Menschen jetzt irgendwie durch die Veröffentlichung eines Hauses auf Google tatsächlich Nachteile erfahren haben, aber vielleicht hat ja jemand andere Erkenntnisse oder Erfahrungen auch da freuen wir uns natürlich gerne über entsprechende Hinweise. So ist es. Ich habe in dem Artikel aber auch gelesen, dass er beispielsweise vielen gar nicht bekannt ist, dass eben ihr Haus in der Form halt aufgezeichnet ist. Also grundsätzlich weiß man, dass es vielleicht gibt, aber was es für persönliche Auswirkungen haben kann, den finde ich’s eigentlich nochmal wichtig zu sagen. Ich habe die Zahl leider nicht mal im Kopf, aber die Anzahl der Widersprüche war auch relativ gering. Ja Letztes Jahr waren’s hunderttausend. Das war deutlich weniger als 2zehn. Da sind die Autos ja ähm das erste Mal gefahren. Da waren’s halt deutlich mehr. Andererseits hat man aber auch aus äh ja Google-Kreisen gehört, dass halt tatsächlich das nur in Deutschland so ein großes Thema ist. Äh die meisten anderen Ländern interessiert man sich dafür. Relativ wenig und da gibt’s auch relativ wenig Widersprüche. Deutsche Spießigkeit. Vielleicht. Das hast du jetzt gesagt. Äh wie ich ja zu schon zu Beginn gesagt habe, habe ich zwei Nachrichten mitgebracht ähm in Bezug auf die Deutsche Bahn und zwar ähm die erste Nachricht wäre, dass. Vorhaben der Deutschen Bahn, dass sie eben jetzt zukünftig einen Großteil ihrer Bahncards ausschließlich zur digitalen Nutzung anbieten. Dass dies halt eben auf Kritik stößt. Die Begründung des Umweltschutzes lassen Datenschützer nicht gelten und waren weiterhin vor Tracking im DB Navigator, also in dem Onlineportal der Deutschen Bahn. Wir haben ja in der Vergangenheit schon mal darüber berichtet, dass es ja schon Kritik gab, In Bezug auf die digitalen Fahrkarten. Also hier gab’s ja auch eine Umstellung bei der Deutschen Bahn, dass eben der Verkauf einen Kauf überwiegend nur noch digital möglich ist. Und die Deutsche Bahn hält ihren Kurs weiterhin mit Blick auf die Digitalisierung, Und stellt nun ab dem 9. Juni alle Bahnkartes außer die BahnCard 100 auf die digitale Form um. Man kann also somit äh nur noch, ähm die BahnCard nutzen über das Onlinekonto Bahn DE oder eben äh über den stadtschutzrechtlich umstrittenen App-Navigator DB Navigator. Begründung des Unternehmens ist der Plastikverzicht und da Sie sehen, dass mittlerweile eh 60 Prozent der Nutzer der Bahnkarte diese online führen. Aber das stößt natürlich bei, Bürgerrechtsorganisationen, wie beispielsweise Digitalcourage sauer auf und sie sehen halt eben dieses Umweltargument nur als vorgeschobenes Feigenblatt. Ähm sie sehen halt, dass es doch durchaus auch andere Möglichkeiten gäbe, Ressourcensparend, Auf eine Volldigitalisierung der Tickets und der Rabattaktion zu verzichten und natürlich kritisch, wie in so vielen Fällen auch, ist natürlich die Art und Weise, wie’s gemacht wird, dass halt eben Personen, die sich gegen einen Onlinezugang entscheiden, eben gar keine andere Wahl haben. Die Bahn hat natürlich ein Interesse an den Onlinekonten und das ist eben das, was vorgeworfen wird, dass im Hintergrund natürlich trackingbasiertes Marketing durchaus denkbar ist, was sie auch in ihren AGBs halt einräumt, nämlich dass hier es zu Zwecke der Angebotserstellung, speziellen Angebotserstellung natürlich zu Datenaustauschen untereinander, also unter den Deutsche Bahnunternehmen auch gibt. Der Bundesverband der Verbraucherzentrale hat sich natürlich auch eingeschalten wie auch in Vergangenheit und kritisiert hier eben das Thema, was ich grad schon mal angesprochen hatte, nämlich das Thema, das halt, Benutzer dieser Bahncard oder die es werden wollen, eben ganz bewusst von Rabatten ausgeschlossen werden, wenn sie denn eben kein Onlinekonto anlegen. Sie sehen beispielsweise ein Papierausdruck über das Reisecenter als Alternative an. Wenn man denn von dem Angebot Gebrauch machen kann möchte, aber das sieht die Deutsche Bahn bisher nicht vor. Das hat grad schon Datenschutzbeauftragten Alexander Rossnagel angesprochen und der wurde auch von im ersten Schritt schon mal interviewt, weil er ist zuständig in Hessen für die Deutsche Bahn und er sagt, ist und das Laufen Gespräche zu dem Thema, die sind aber noch nicht abgeschlossen, deshalb kann er keine Bewertung vornehmen. Aber der Bundesdatenschutzbeauftragte Ulrich Kälber hatte sich schon auch schon zu dem Thema geäußert und sieht’s halt auch so, dass digitale Lösungen nicht dazu führen dürfen, dass das Recht auf informationelle Selbstbestimmung eingeschränkt wird und dass es im Zweifelsfall auch analoge Wege geben sollte. Also dann mal schauen, ob die Datenschutzaufsicht in Hessen etwas Erfolg bei der Deutschen Bahn hat und vielleicht eine kleine Alternative. Eine kleine Alternative. Schafft. Danke. Ist eine Meinung dazu. Ja natürlich, also klar. Ähm nein, aber ich ich glaube, dass halt die Digitalisierung äh ist ja das eine, das andere ist ja quasi das damit verbundene, Tracking, wenn man das halt mal entkoppeln würde und sagen würde, na ja, wir machen halt erst mal Digitalisierung und dann, Fragen wir halt ordentlich abwählen. Uns erlaubt, ihn zu checken. Ich glaube, wenn wir da wahrscheinlich viel weniger Druck im Kessel, oder? Das denke ich auch, ja. Dann die nächste Nachricht, ich mitgebracht habe, kommen von der DB Regio. Und zwar er hat hier ein Sprecher bestätigt, dass nach einer Testphase nun rund 5000 Schaffner mit Bodycams ausgestattet werden, um deren Sicherheit zu erhöhen. Auch Informationspflichten werden hierbei berücksichtigt. Nach einem Pilotprojekt der letzten Jahre konnte festgestellt werden, dass Die Bodycams dazu führen, dass weniger Gewalt äh oder die Schaffner weniger Gewalt gegenübertreten müssen und das hat jetzt die DB Regio zum Anlass genommen, um eben diese Vielzahl an Kameras auszuhändigen oder noch auszuhändigen. In dem Pilotprojekt ist halt bekannt geworden, dass die Kameras sehr deeskalierend wirken und eben vor körperlichen Angriffen schützen. Man muss jetzt dazu sagen, dass die Bodycoms nicht dauerhaft laufen, sondern ausschließlich im kritischen und eskalierenden Situationen aktiviert werden und auch erst nach ausdrücklichem Hinweis. Kleine Randmerkungen von mir. Ich bin gespannt, wie das in der Praxis läuft, wenn man angegriffen wird. Dann schnell noch einen Hinweis aussprechen. Ähm nun gut, aber, das Pilotprojekt jetzt gezeigt haben, dass es funktioniert, Und ähm ja, die daraus gewonnenen Daten, also nach der Aufnahme, können halt in dem Fall äh der DB-Regio nur von der Bundespolizei ausgelesen, gesichert und verwendet werden. Also das sind die Punkte, die sie halt im Datenschutzbezug ähm mit reinnehmen. Außerdem, das fand ich auch super interessant, dass den aufgenommenen Personen, Nach dem Angriff ein Infokärtchen ausgehändigt wird, um über ihre Rechte und Ansprechpartner informiert zu werden. Also ich glaube, das ist ja ein Thema, was wir als datenschutzrechtlicher Sicht oft sehen, sind denn die Informationspflichten eingehalten? Auch das finde ich ganz spannend. Sicherlich ähm wie das in der Praxis funktioniert und ähm ja. Ich stell’s mir lustig vor, wie bei also in Anführungszeichen lustig, ja, aber wenn jetzt so eine eine größere Meute in der Bahn voller Wagon dann so ein Rucksack voll, dieser Kärtchen, die Schaffner, erstmal danach verteilen darf. Aber gut, wir werden sehen, wie’s in der Praxis aussieht. Ist ja sicherlich erst mal äh auf jeden Fall, positiv zu bewerten, dass man sich darüber Gedanken gemacht hat und dann muss man auch einfach mal gucken, ob dieses mit diesen Kärtchen halt funktioniert oder ob man da noch mal auf alternative Ideen vielleicht auch kommt. Ja, kommen wir zum Thema Sicherheitslücke in Exchange. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat auf eine große Menge von ungepatchten Nicks Change Servern aufmerksam gemacht. Das BSI hat im Laufe der Woche eine Warnung in Bezug auf die Sicherheitslücken bei Microsoft Extenge Servern herausgegeben. Und nach den Ausführungen der Sicherheitsbehörde sind hier wohl mindestens siebzehntausend Instanzen in Deutschland betroffen. Aktuell werden in Deutschland rund 45.000 Exchange Server mit offen aus dem Internet erreichbaren Outlook WebEx betrieben, die Möglichkeit über das Internet oder beziehungsweise halt über einen Browser auf seine E-Mails zuzugreifen. Und nach Erkenntnissen des BSI laufen davon circa zwölf Prozent noch mit Exchange zweitausendzehn und zweitausend oder zweitausenddreizehn. Was sehr beachtlich ist, wenn man bedenkt, dass diese schon seit Oktober 2020 beziehungsweise April 23 keine Sicherheits-Updates mehr bekommen. Also das ist natürlich an sich schon ein Thema, aber am 132. wurde eine weitere kritische Sicherheitslücke in Exchange Bekannt und diese dafür gibt’s wohl auch noch keinen Patch. Sie konnte halt noch nicht geschlossen werden. Stattdessen kann die Ausnutzung der Schwachstelle nur unter, ja unter einer Aktivierung der Funktion verhindert werden und diese Anfälligkeit des Servers hängt aber halt auch noch von weiteren Faktoren ab, Das äh Skypen-Up at Oder 14 Fix Change Server 20019 aktiviert diesen Modus wohl standardmäßig, aber der ist wohl nur auf 15 Prozent der Server in Deutschland aktuell wohl installiert. Also wir sehen da, dass halt eine Lücke Die wie gesagt kritisch ist und schon seit ähm ja vier Wochen quasi bekannt ist oder 5 Wochen sogar schon, nee sechs sogar schon, Ist nicht so meine Stärke heute. Ähm also seit sechs Wochen bekannt, Dass es da halt wohl doch immer noch eine eine großes Defizit bei den entsprechenden Behandlungen gibt. Ich finde, man sieht daran halt sehr deutlich, dass halt, Schwachstellen-Management mehr als Patch-Management ist, also eine ganz wichtige Unterscheidung und dass man halt als Admin natürlich darauf achten muss, welche Sicherheitslücken gepatcht werden können, Und danach natürlich patchen und auf der anderen Seite aber gegebenenfalls auch Workarounds brauchen Ja, deswegen die Empfehlung natürlich allen DSBs, den eigenen den eigenen Admin mal nach dem Dachstand zu fragen, glaube ich, ist eine gute Idee, weil wie gesagt, die äh Chance, dass der Webserver, der Extensions im eigenen Unternehmen vielleicht noch nicht gepatcht ist, ähm ist nach Auskunft des BSI hier wohl relativ hoch. Ja, kann unangenehme Folgen haben. Richtig. Ich komme zu meiner nächsten Nachricht und zwar die Hostinganbieter Plusserver und Server for you konnten aufgrund eines Brandes in einem Rechenzentrum in Frankreich ihre Services nicht anbieten. Ähm Plus-Server entschied sich daher kurzerhand zu einem Umzug des Servers nach Köln. Am vergangenen Donnerstag ist ein Feuer in einem Rechenzentrum des US-Riesen GoDaddy im französischen Straßburg ausgebrochen und ja, die Löscharbeiten führten dazu, dass im Nachgang, auch auf längere Zeit die Stromzufuhr für einen Teil der Server in der Anlage unterbrochen wurde. Das führte, Dazu, dass eben auch Deutsche Hoster betroffen waren, beziehungsweise deren Kunden in erster Linie natürlich betroffen waren von dem Ausfall. Ja und wie gerade schon gesagt, ähm Plus-Server reagierte prompt und entschied sich, den Server Komplett nach Köln umzuziehen. Also hier wurde die Hardware via Lastwagen kurzerhand eingepackt und rübergefahren. Ich glaube, das ist auch gar nicht so ein leichtes Unterfangen, mal eben spontan. Ähm nach dem Umzug von 1000 Einzelkomponenten. Äh bestätigte der Hostinganbieter, dass sie bereits am Sonntag geschafft haben, 95 Prozent der IT-Systeme wieder ans Laufen zu bekommen. Das hätte sich sicherlich auch Server for you gewünscht. Die sind weiterhin offline. Und ja, das Rechenzentrum ist Straßburg hat auch bestätigt, dass sie immer noch weiterhin bei der Wiederherstellung der Stromversorgung oder daran arbeiten. Und das ist hier bereits noch keine Entspannung der Lage gibt. Von dem Vorfall im Rechenzentrum waren auch weitere Dienste betroffen, wie beispielsweise die Kollaborationsplattform Konzept bohrt, die ja durchaus bekannt sein dürfte. Ähm die haben auch Schritte eingeleitet. Sie sind dann daraufhin nach dem Ausfall äh mit ihrem Dienst auf eine neue Domain umgezogen. Sieht man mal ähm ja die Wege sind unterschiedlich, wie man damit umgeht und ja manche halt auch gar nicht mit irgendwelchen ganz offensichtlich. Ja, mal so Respekt. Ich meine, so was macht man wahrscheinlich nicht spontan. Ich gehe davon aus, dass das Teil eines Notfallkonzepts war und man darauf vorbereitet war und es zeigt halt wieder, wie wichtig Businesskontinuität gerade halt solchen kritischen Bereichen ist, wenn man sein Geschäftsmodell Von so was halt im Zweifelsfall abhängt. Also ich habe dafür großen Respekt, dass man das halt in wenigen Tagen geschafft hat, wirklich Hardware einmal komplett und die werden sicherlich dann nicht nur zwei Server stehen gehabt haben ähm umzuziehen und ihn wieder in Betrieb zu nehmen. Das zeugt von einem von einer guten BCM-Konzept. Ja, damit kommen wir eigentlich auch schon zu äh einem Thema. Wo offensichtlich häufiger äh noch Bedarf besteht. Das BSI hat zusammen mit dem Wirtschaftsministerium um fast 20 Partnern einen Cyber-Risiko-Check entwickelt, um so kleine Unternehmen bei dem Thema IT-Sicherheit zu stärken. Das BSI sieht Handlungsbedarf zur Stärkung von kleinen Unternehmen, nicht zuletzt aufgrund der stetig steigenden Zahl von Angriffen, die man natürlich allen Teilen mit Bekommt und deswegen hat man sich halt überlegt, dass man ein niedrigschwelligeres Angebot ähm als den BSI Grundschutz schaffen möchte, der sicherlich für viele und kleine Unternehmen einfach ähm, zu komplex, zu anspruchsvoll, zu viel ist. Deswegen hat man diesen Sicherheitscheck äh für diesen Sicherheitscheck eine neue Dienstback entwickelt, die Dienstbeck ähzwei sieben nullsieben sechs nennt sich IT-Sicherheits für kleine und kleinst Unternehmen funktioniert ähnlich wie eine DIN-Norm, kann man sich online ähm besorgen beim Volt Verlag. Das Schöne bei der Dienstweg ist, dass sie kostenfrei ist. Man muss sie also nicht käuflich erwerben und Grundlage hierfür ist ein Fragenkatalog, der. Durch einen qualifizierten IT-Dienstleister, der hier eine spezielle äh Schulung des BSIs durchlaufen hat in einem zweistündigen zweistündigen Interview äh durchläuft. Das sind 54 Fragen aus 27 Themenbereichen, die Uns allen wahrscheinlich oder vielen zumindest bekannt vorkommen dürften. Es geht also um Organisation, Sensibilisierung, Netzwerke, so aber Sachen wie Malwear-Schutz, Patch-Management, Datensicherung und ganz zum Schluss kommt dann ein Risikostatuswert raus, der wenn man gar nix gemacht hat, natürlich bei null liegt. Wenn man aber alles vollständig umgesetzt hat, dann siebenunddreißig Punkte. Hat oder die man bekommt, so bei voller Konformität. Und die natürlich dann schon mal ein ganz gutes Bild abgeben und hintenraus soll dann halt auch ein Maßnahmenplan kommen und das Ganze wird halt, gefördert mit fünf Prozent durch entsprechende Förderprogramme. Ähm wichtig ist nochmal der Hinweis vom BSI, dass selbst die volle Punktzahl nur die Erfüllung der Mindestsicherheitsanforderung erstmal darstellt und abbildet. Das heißt also auch da sollte man natürlich jetzt nicht sich direkt zurücklehnen und äh glauben, dass man danach nichts mehr zu tun braucht, Das andere ist, äh es ist noch nicht ganz klar, wie und wann Interessierte wirklich, Können auf der Projektseite des BSI dazu ist derzeit weder eine Dienstleisterliste noch eine konkrete Ankündigung zum Starttermin des Cyber-Risik zu finden. Von daher werden wir das natürlich ähm mitteilen, wenn wir das mitbekommen sollten hier. Ich find’s auf jeden Fall eine gute Idee und werde mir diese Dienstberg auf jeden Fall auch mal ansehen, weil ich glaube, dass das halt wie gesagt, für viele Kunden ähm eine gute eine gute Grundlage ist, um halt so einen schnellen Scheck mal zu machen. In zwei Stunden ist, finde ich halt auch gut investierte Zeit bei dem Thema. Genauso ist es ja. Superwertvoll für die Beratungspraxis, wenn man so was halt eben mitbekommt, auch aus datenschutzrechtlicher Perspektive. Auch hier das vielleicht noch mal für den ein oder anderen Kunden auch mitzunehmen. Aber die hören natürlich alle unseren Podcast. Richtig, sehr gehe ich von aus. Meine letzte Empfehlung für heute bezieht sich auf die neue Webseite des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Denn diese präsentiert sich nun im neuen Design, wie er die Woche berichtet hat und ja, Nutzerinnen und Nutzer der Webseite können ab sofort leichter Kontakt, Zum Landesbeauftragten suchen und zu seinem Team und umfangreich Informationen zum Thema Datenschutz und Informationsfreiheit, sich besorgen, aber natürlich auch äh die Webseite ein bisschen besser wohl mit Smartphones nutzen. Das war wohl so wichtig bei dem, sozusagen relaunch der Webseite. Ich habe mal reingeschaut, finde ich, ist sehr gut gelungen, wirklich einfach und gut strukturiert, Und deshalb für alle Hörerinnen und Hörer in Rheinland-Pfalz oder auch die, die es werden wollen, ans Herz gelegt. Super. Das doch mal eine schöne Nachricht zum Abschluss. Damit. Wärme durch für heute. Wir hoffen, Ihnen natürlich äh einen guten Überblick über die Karwoche gegeben zu haben, was uns und die Datenschutzwelt bewegt hat. Ihnen wünschen wir nun frohe Ostertage, die natürlich auch Laura. Und in diesem Sinne, bleiben Sie uns gewogen und auf bald.