Phishing erkennen

Wie erkennt man gefälschte E-Mails und gefälschte Webseiten war gestern das Thema bei einer internen Runde von Führungskräften bei einem Auftraggeber. Ich fasse die wichtigsten Erkenntnisse hier zusammen.

Links prüfen

Links prüfen! Gibt man in Google einen Suchbegriff ein, sollte man vor dem Aufruf einer der angezeigten Seiten zunächst einmal mit der Maus über den Link fahren – noch ohne die Seite aufzurufen. Dabei wird dann unten links im Browser die Adresse der jeweiligen Webseite angezeigt. Handelt es sich also zum Beispiel um eine deutsche Wikipedia Seite, müsste dann unten links im Browser wikipedia.de stehen. Stimmt die Überschrift in dem Link aus der Suche nicht mit dem überein, was unten im Browser angezeigt wird, ist Vorsicht geboten. Es könnte sich um eine gefälschte Webseite handeln.

Adressen prüfen

Auf Absender Adressen in E-Mails achten! Erhalten Sie eine E-Mail mit dem Absender Amazon. Service.com würde man denken, diese stammt von Amazon. Tut sie aber nicht. Entscheidend ist der Teil, der vor dem „com“ bzw. der entsprechenden Länderkennung (de etc.) steht. Es ist relativ einfach, zu Betrugszwecken eine Webseite zu bauen und in der Adresse irgendeine bekannte Firma davor zu setzen. So wie im Beispiel eben Amazon. Wir landen dann allerdings nicht bei Amazon, sondern bei Betrügern, die unsere Zugangskennungen und Kontodaten abfangen wollen.

Nicht unter Druck setzen lassen

Nicht unter Druck setzen lassen! Alle E-Mails oder auch Meldungen auf Webseiten, die irgendwie Druck ausüben, sind verdächtig. Beispiele sind Rechnungen, die am Freitagnachmittag ganz dringend schnell überwiesen werden müssen, oder Zugangsdaten, die sofort geändert werden sollen. Oder auch: Ihr Zugang wurde gesperrt! Klicken Sie hier und ändern Sie Ihre Zugangsdaten, ansonsten ist ihr Account nicht mehr nutzbar. Dabei ist es egal, ob diese Nachrichten von einer Adresse stammen, die Sie kennen. Möglicherweise sieht die Mail mit der dringlichst zu überweisenden Rechnung aus als käme sie tatsächlich aus der Buchhaltung Ihrer Firma. Das muss aber nicht so sein. Im Zweifel gilt: lieber fragen.

Dateiformate prüfen

Seltene Dateiformate erkennen! Dateianhänge an E-Mails werden in der Regel als PDF, Word Dokument oder auch Excel Dokument verschickt. Hat eine E-Mail einen Anhang in einem Dateiformat, dass Sie noch nie gesehen haben, öffnen Sie es vorsichtshalber nicht.

Fortsetzung folgt. Haben Sie Fragen oder benötigen Sie ein Datenschutztraining für Ihre Mitarbeitenden? Kontaktieren Sie uns gerne.

Datenschutz Adventskalender (2)

Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.

Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.

Datensicherheit üben

Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.

Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.

Privacy Training

„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.

Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.

Adventskalender

Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.

Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.

(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)

Was können wir für Sie tun?

Von der Datenschutzangst und der Datenschutzausrede

Das Ende der Umsetzungsfrist für die Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 sorgte in vielen Unternehmen für eine Art Torschlusspanik in Sachen Datenschutz und IT-Sicherheit. Die allgemeine Verunsicherung legte sich nur langsam: Das Stichwort Datenschutz-Grundverordnung scheint bei vielen Verantwortlichen in Unternehmen auch Jahre später noch immer einen diffusen Eindruck von Defiziten und Gefahr zu bewirken.

Auf der Grundlage der geltenden Datenschutzgesetze können mehr als 99% aller Prozesse in Unternehmen und Behörden geregelt werden.

Für Panik besteht jedoch kein Anlass. Entgegen anderslautenden Gerüchten stehen nicht alle Verantwortlichen, die die Anforderungen der DSGVO in ihren Unternehmen immer noch nicht umgesetzt haben, mit einem Bein im Gefängnis. Ebenso wenig geht der Mittelstand an hohen Bußgeldern für Datenschutzverstöße zugrunde – oder an den Kosten für die externen Datenschutzbeauftragten, um die Bußgelder zu vermeiden.

Nicht-Entscheidungen werden in Unternehmen und Behören regelmäßig mit Datenschutz gerechtfertigt.

Andererseits sollte sich niemand zurücklehnen und die Themen Datenschutz-Grundverordnung und IT-Sicherheit als Themen betrachten, die wie so viele andere Hypes schon wieder vergehen werden. Nicht-Handeln ist keine Option, Datenschutz als Ausrede auch nicht.

Vergessen Sie für einen Moment die Gesetze. Die Absicherung Ihrer IT-Infrastruktur bedeutet nicht weniger als die Grundlage für Ihren wirtschaftlichen Erfolg.

Als langjährig erfahrene Datenschutzberater und externe Datenschutzbeauftragte leiten wir Sie durch Vorschriften und Prozesse und unterstützen Sie beim Aufbau einer guten Datenschutzorganisation und eines IT-Sicherheitsmanagementsystems. Sofern gewünscht, können Sie uns auch als externe IT-Sicherheitsbeauftragte bestellen.

Es geht um Entscheidungen. Wir helfen Ihnen dabei.

Kontaktieren Sie uns gerne persönlich.

Externer Datenschutzbeauftragter - häufig die bessere Lösung.

Sie können uns als externe betriebliche Datenschutzbeauftragte bestellen. So können Sie sich um Ihr Kerngeschäft kümmern und wir um alle Datenschutzangelegenheiten in Ihrem Unternehmen. So unauffällig wie möglich, so gründlich wie nötig.

Unsere Datenschutzbeauftragten verfügen über langjährige Erfahrung in allen Bereichen des betrieblichen Datenschutzes und über fundiertes juristisches und technisches Wissen.

Ein externer Datenschutzbeauftragter ist nicht billig, aber kostengünstig.

Die Kosten für die Wahrnehmung der Funktion eines externen betrieblichen Datenschutzbeauftragten richten sich nach der Größe Ihres Unternehmens und nach den besonderen Umständen Ihrer Datenverarbeitung. Die datenschutzrechtliche Beratung und Betreuung eines kleinen Betriebes, der nur wenige Kundendaten verarbeitet, bedeutet weniger Aufwand als die Arbeit für ein großes Unternehmen mit internationalem Datenaustausch.

Auch als externe betriebliche Datenschutzbeauftragte arbeiten wir mit einem prozess- und risikoorientierten Ansatz. Ausgehend von einer Risikoanalyse legen wir mit Ihnen zusammen Ihre Sicherheitsziele fest, erarbeiten anhand Ihrer unternehmensinternen Prozesse ein Datenschutz- und Sicherheitskonzept und begleiten die Umsetzung.

Nehmen Sie hier mit uns Kontakt auf und wir erstellen Ihnen ein individuelles Angebot für Ihr Unternehmen.

Wir bieten die Dienstleistung externer Datenschutzbeauftragter bundesweit an und arbeiten schwerpunktmäßig im Raum Norddeutschland aber auch bundesweit.

Hier können Sie prüfen, ob Sie zur Bestellung einen Datenschutzbeauftragten verpflichtet sind.

Zufriedene Kunden sprechen für erfolgreiche Beratung.

Die Liste unserer zufriedenen Auftraggeber ist lang und wird beständig länger: Vom Konzern über mittelständische Unternehmen bis zum Kleinunternehmen, von Nichtregierungsorganisationen (NGO / NPO) bis hin zu Einrichtungen in Medizin- und Gesundheitswesen - für viele Auftraggeber arbeiten wir als Berater und externe Datenschutzbeauftragte bereits seit vielen Jahren.

Darüber erzählen wir auch gerne mehr. Ihnen zum Beispiel! Wir freuen uns darauf, auch Sie persönlich kennen zu lernen und mit Ihnen über erfolgreiche Projekte und Mandate zu sprechen – selbstverständlich immer mit dem Einverständnis unserer Kunden. Vereinbaren Sie gerne einen Termin in unserem Büro in Hamburg, Berlin oder Münster.

PrivCom - vertrauenswürdige Beratung in Fragen des Datenschutzes, der Datensicherheit und Datenschutzanalyse.

Datenschutz? IT-Sicherheit? Datenschutzbeauftragter?

Wir sollten, wir müssen etwas tun! Aber was?

Die Stichworte Datenschutz und IT-Sicherheit lösen bei vielen Verantwortlichen in Unternehmen häufig immer noch ein Gefühl von Unsicherheit aus: In Folge der öffentlichen Diskussion über Datenpannen, Datenmissbrauch und Überwachung entsteht beim Nachdenken über Datenschutz oftmals ein diffuser Eindruck von Defiziten und Unsicherheit. Aktuell kommen noch die Anforderungen des neuen IT-Sicherheitsgesetzes (IT-SiG) hinzu, die mittelfristig zur Definition von branchenspezifischen IT-Mindestsicherheitsstandards führen werden, die dann für alle Unternehmen einer Branche verbindlich sein werden. Die kürzlich verabschiedete, ab Mitte 2018 geltende EU-Datenschutz-Grundverordnung (EU-DSGVO) wird so gut wie alles auf den Kopf stellen, was wir bisher an Vorgaben zu Datenschutz und IT-Sicherheit kannten.

Hier schaffen wir Abhilfe. Mit rechtlichen und technischen Datenschutzaudits, Sicherheitstests und Schulungen organisieren wir zusammen mit Ihnen datenschutzkonforme und sichere Prozesse für Ihr Unternehmen. Wir begleiten den Aufbau und die praktische Umsetzung.

Recht und Technik

Datenschutz und IT-Sicherheit ist das Wissen über rechtliche Vorgaben und deren technische und organisatorische Umsetzungsmöglichkeiten. Beides zusammen ergibt die „Compliance“ eines Unternehmens; die Einhaltung der gesetzlichen Vorgaben.

Auf die Ziele kommt es an

Besonderes die Anforderungen des neuen IT-Sicherheitsgesetzes und der neuen EU-Datenschutz-Grundverordnung machen es notwendiger denn je, sich über die unternehmenseigenen Ziele der Informationssicherheit bewusst zu werden. Welche kritischen Daten müssen besonders abgesichert werden? Welcher Schaden droht, wenn Ihre technische Infrastruktur ganz oder in Teilen ausfällt? Hier setzt unsere Beratung an: wir informieren nicht nur über Compliance Anforderungen, sondern erarbeiten mit Ihnen die Sicherheitsstrategie für Ihr Unternehmen.

... und auf die Prozesse

Dabei beleuchten wir alle IT- und datenschutzrelevanten Prozesse im Unternehmen und unterziehen sie einer Risikoanalyse. Die Ergebnisse fließen in die Entwicklung einer Sicherheitsstrategie mit ein.

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz

Unsere Beraterinnen und Berater aus den Bereichen Recht und Informatik verfügen zusammen über viele Dutzend Jahre Erfahrung auf allen Gebieten des Datenschutzes und der IT-Sicherheit im Mittelstand, in großen Konzernen und auch im Gesundheitswesen. Für spezielle technische Sicherheitsanalysen und Penetrationstests ziehen wir kompetente externe Partner hinzu, mit denen wir lange und verlässlich zusammenarbeiten. Unsere Beratungspakete bieten Lösungen, die wir passend für Ihr Unternehmen entwickeln: Professionell, pragmatisch, persönlich. Auf Wunsch übernehmen wir auch die Projektleitung für den Aufbau von unternehmensinternen Informationsmanagementsystemen.

Was genau für Sie passt ...

... finden wir am Besten in einem unverbindlichen ersten Gespräch heraus. Nehmen Sie hier mit uns Kontakt auf und wir vereinbaren einen Termin. Unser Hauptsitz befindet sich in Hamburg, wir unterhalten Standorte in Berlin und Ratingen und arbeiten bundesweit.

Überzeugen Sie sich selbst!

 

Unsere Unternehmensbroschüre als E-Book

DSB-Check - Ergebnis

Ihr Unternehmen muss keinen Datenschutzbeauftragten benennen, weil gem. § 41 Abs. 1 BDSG bzw. der Landespressegesetze nur die §§ 5, 9 und 38a BDSG Anwendung finden, soweit personenbezogene Daten ausschließlich für eigene journalistisch-redaktionelle Zwecke verarbeitet werden ("Medienprivileg"). Auch bei der Verarbeitung von journalistisch-redaktionellen Daten sind die Persönlichkeitsrechte der Betroffenen zu wahren. Hierfür kann ein Datenschutzbeauftragter, der auf freiwilliger Basis berufen wird, sinnvoll beitragen.

Das Medienprivileg umfasst nicht soche personenbezogenen Daten, die in reinen Anzeigenblättern oder in Adress- und Branchenbüchern veröffentlicht werden. Sofern Ihr Unternehmen auch derartige Daten verarbeitet, klicken Sie hier.

Das Medienprivileg gilt nicht für Mitarbeiterdaten und Kundendaten. Soweit Ihr Unternehmen Arbeitnehmer- und Kundendaten verarbeitet, klicken Sie hier.

 

Rechtlicher Hinweis

Der PrivCom-DSB-Check ist lediglich ein Werkzeug zur Selbsteinschätzung. Fragen zum DSB-Check oder zur gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten richten Sie bitte an die E-Mail-Adresse dsb-check@privcom.de. Eine verbindliche Auskunft, ob Ihr Unternehmen einen Datenschutzbeauftragten benennen muss, kann Ihnen nur die für Sie zuständige Datenschutzaufsichtsbehörde erteilen. Welche Aufsichtsbehörde für Sie zuständig ist, erfahren Sie beim virtuellen Datenschutzbüro: www.datenschutz.de

DSB-Check - Bitte beantworten Sie die folgende Frage:

Erhebt, verarbeitet oder nutzt Ihr Unternehmen personenbezogene Daten automatisiert ?

Beispiele: Die personenbezogenen Daten werden auf einem PC gespeichert und können automatisiert ausgewertet werden. Eine Gehaltsliste wird mit Hilfe eines Datenverarbeitungsprogramms erstellt. Leistungsdaten werden zum Zwecke der automatisierten Auswertung erfasst.

ja   nein

DSB-Check - Bitte beantworten Sie die folgende Frage:

Erheben, verarbeiten oder nutzen Sie als nicht-öffentliche Stelle (Unternehmen, Verein, Selbständiger usw.) personenbezogene Daten?

Beispiele: Adressen von Kunden, Daten von Mitarbeitern und Lieferanten, Patientendaten

ja   nein

Brauchen Sie einen externen Datenschutzbeauftragten?

Und wann muss überhaupt ein externer Datenschutzbeauftragter bestellt werden?

Das Bundesdatenschutzgesetz verpflichtet nicht-öffentliche Stellen, die personenbezogene Daten verarbeiten, zur Bestellung eines betrieblichen Datenschutzbeauftragten. Unter bestimmten im BDSG genannten Voraussetzungen entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten. Wer entgegen den gesetzlichen Vorschriften keinen Datenschutzbeauftragten bestellt, muss mit einem Bußgeld von bis zu 50.000 Euro rechnen (§ 43 Abs. 1 Nr. 2 i.V.m. Abs. 3 S. 1 BDSG).

Die EU-Datenschutzgrundverordnung (EU-DSGVO), die ab Mai 2018 das Bundesdatenschutzgesetz weitgehend ablöst, schränkt diese Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen ein. Nach Art. 37 EU-DSGVO sind u.a. nur noch Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, deren "Kerntätigkeit" in einer Datenverarbeitung besteht, die eine "umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich" macht oder deren "Kerntätigkeit" in der Verarbeitung besonders sensibler Daten (bspw. Gesundheitsdaten) besteht.

Die Vorschrift des Art. 37 EU-DSGVO erhält allerdings in Absatz 4 eine Öffnungsklausel dahingehend, dass die einzelnen Mitgliedstaaten eine Pflicht zur Bestellung eines Datenschutzbeauftragten auf der Grundlage eigener, nationaler Vorschriften vorsehen können. Da in Deutschland die Erfahrungen mit der unternehmensinternen Selbstkontrolle durch Datenschutzbeauftragte in den letzten Jahrzehnten positiv waren, ist es möglich, dass die bisher bestehende Regelung dann übernommen wird und insoweit alles bei Alten bleibt.

Wir möchten Sie bei der Beantwortung der Frage, ob Sie nach bisher noch geltendem Recht einen Datenschutzbeauftragten bestellen müssen, unterstützen.

Beantworten Sie die folgenden Fragen - in wenigen Schritten sind Sie bereits am Ziel.

> DSB-Check starten <

 

Rechtlicher Hinweis

Der PrivCom-DSB-Check ist lediglich ein Werkzeug zur Selbsteinschätzung. Fragen zum DSB-Check oder zur gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten richten Sie bitte an die E-Mail-Adresse dsb-check@privcom.de. Eine verbindliche Auskunft, ob Ihr Unternehmen einen Datenschutzbeauftragten benennen muss, kann Ihnen nur die für Sie zuständige Datenschutzaufsichtsbehörde erteilen. Welche Aufsichtsbehörde für Sie zuständig ist, erfahren Sie beim virtuellen Datenschutzbüro: www.datenschutz.de

PrivCom Datenschutz GmbH, Hamburg, im Juni 2014