CyberRisiko-Check

Emailverschlüsselung

Die Sicherheit und Vertraulichkeit von E-Mails sind in der digitalen Kommunikation von entscheidender Bedeutung. Mit der zunehmenden Bedrohung durch Cyberangriffe ist die Emailverschlüsselung wichtiger denn je. Aktuell gibt es zwei Hauptmethoden der Emailverschlüsselung: die Transport Layer Security (TLS), die eine sichere Übertragung zwischen Email-Client und -Server gewährleistet, und die Ende-zu-Ende-Verschlüsselung (E2E), bei der die Inhalte der E-Mails selbst verschlüsselt werden, sodass nur der Sender und der Empfänger sie entschlüsseln können. Während TLS weit verbreitet ist, wird E2E als sicherer angesehen, da die Nachrichten auf ihrem gesamten Weg geschützt sind. Die Implementierung von E2E erfordert jedoch, dass beide Parteien über entsprechende Verschlüsselungswerkzeuge verfügen und die öffentlichen Schlüssel austauschen, was den Prozess komplizierter macht. Trotz dieser Herausforderungen ist die E2E-Verschlüsselung ein wichtiger Schritt zur Gewährleistung der Privatsphäre und Sicherheit im Internet. Ende-zu-Ende-Verschlüsselung ist ein wichtiger Bestandteil der digitalen Sicherheit, insbesondere im E-Mail-Verkehr. Zu den gängigen Technologien, die für diesen Zweck eingesetzt werden, gehören OpenPGP und S/MIME. Diese Methoden ermöglichen es, dass nur der Absender und der Empfänger den Inhalt der E-Mails lesen können, da die Nachrichten mit einem einzigartigen Schlüssel verschlüsselt werden, der nur dem Empfänger bekannt ist. Weitere Beispiele für Ende-zu-Ende-Verschlüsselung im E-Mail-Verkehr sind das Signal-Protokoll, OTR und OMEMO bei Chat-Verkehr

Weiterlesen
Logo CyberRisiko-Check

Sicherheitscheck für kleine Unternehmen

Die DIN SPEC 27076 bietet Unternehmen, insbesondere kleinen und mittleren Unternehmen (KMU), einen umfassenden Rahmen für die Bewertung und Verbesserung ihrer IT-Sicherheit. Durch die Implementierung dieser Spezifikation können Unternehmen ihre Cybersicherheitsrisiken effektiv identifizieren und Maßnahmen zur Risikominderung ergreifen. Ein wesentlicher Vorteil der DIN SPEC 27076 ist die Bereitstellung eines standardisierten CyberRisikoChecks, der es Unternehmen ermöglicht, eine detaillierte Analyse ihrer aktuellen Sicherheitslage durchzuführen. Dieser Check umfasst ein Interview, in dem 27 Anforderungen aus sechs Themenbereichen überprüft werden, was zu einem Bericht mit Handlungsempfehlungen führt. Die Spezifikation bietet auch Orientierung und Transparenz für IT-Dienstleister, die KMU beraten, und stellt sicher, dass beide Parteien klare Erwartungen an die zu erbringende Leistung haben. Darüber hinaus können Unternehmen durch die Anwendung des CyberRisikoChecks Zeit und Geld sparen, da die Beratung durch verschiedene Förderprogramme kofinanziert werden kann. Dies erleichtert KMU den Zugang zu wichtigen Ressourcen, um ihre IT-Systeme zu schützen und die Resilienz gegenüber Cyberbedrohungen zu stärken.

Weiterlesen

Aktuelle Urteile aus dem Bereich Datenschutz

Datenschutz ist ein wichtiges Thema in Deutschland, das immer wieder zu rechtlichen Auseinandersetzungen führt. Nachfolgend werden einige aktuelle Urteile im Bereich Datenschutz aus Deutschland und die verhängten Sanktionen vorgestellt.

Weiterlesen

Gesetz über künstliche Intelligenz

Das neue Gesetz zur künstlichen Intelligenz (AI), das am 1. März 2024 in Kraft tritt, hat weitreichende Auswirkungen für Unternehmen, Verbraucher und die Gesellschaft. In diesem Blogbeitrag möchte ich einige der wichtigsten Aspekte des Gesetzes erläutern und wie es die Entwicklung und Anwendung von AI in Deutschland und Europa beeinflusst. Das Gesetz basiert auf dem Grundsatz, dass AI vertrauenswürdig, rechtmäßig und menschenzentriert sein muss. Es legt eine Reihe von Anforderungen fest, die AI-Systeme erfüllen müssen, um auf dem Markt zugelassen zu werden oder in bestimmten Bereichen eingesetzt zu werden. Dazu gehören unter anderem: Das Gesetz unterscheidet zwischen vier Risikostufen von AI-Systemen: unbedenklich, gering, hoch und verboten. Je nach Risikostufe gelten unterschiedliche Regeln und Auflagen für die Anbieter und Nutzer von AI. Zum Beispiel müssen hochriskante AI-Systeme, die in sensiblen Bereichen wie Gesundheit, Bildung oder Justiz eingesetzt werden, eine Konformitätsbewertung durchlaufen, bevor sie auf den Markt gebracht werden können. Außerdem müssen sie mit einer menschlichen Aufsicht versehen werden, um sicherzustellen, dass sie jederzeit gestoppt oder korrigiert werden können. Das Gesetz sieht auch Sanktionen für Verstöße gegen die Vorschriften vor, die bis zu 30 Millionen Euro oder 6% des weltweiten Jahresumsatzes betragen können. Darüber hinaus schafft es einen Rechtsrahmen für die Zusammenarbeit

Weiterlesen

Schadenersatz wegen Auskunft erst nach 19 Tagen

Das Arbeitsgericht Duisburg hat mit Urteil vom 03.11.2023 (Az. 5 Ca 877/23) einem ehemaligen Bewerber einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 750 € zugesprochen, weil der beklagte Arbeitgeber ihm die Auskunft nach Art. 15 DSGVO nicht unverzüglich, sondern erst nach 19 Tagen erteilt hatte. Das Gericht sah darin einen Verstoß gegen Art. 12 Abs. 3 DSGVO, der einen immateriellen Schaden in Form einer Beeinträchtigung des Persönlichkeitsrechts begründet. Das Gericht stellte dabei auf die Schwere des Eingriffs und die Bedeutung des Auskunftsrechts für den Betroffenen ab und orientierte sich an vergleichbaren Fällen aus dem Bereich des allgemeinen Persönlichkeitsrechts. Das Gericht wies zudem darauf hin, dass der Rechtsweg zu den Arbeitsgerichten auch für Ansprüche aus der DSGVO eröffnet ist, wenn diese im Zusammenhang mit einem Bewerbungsverfahren stehen.

Weiterlesen
sicherheit

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Die Richtlinie (EU) 2022/2555 (NIS-2) ist eine überarbeitete Fassung der ersten Richtlinie zur Netzwerk- und Informationssicherheit (NIS-1), die im Jahr 2016 in Kraft getreten ist. Die NIS-2 soll die Cybersicherheit in der Europäischen Union verbessern und harmonisieren, indem sie klare Vorgaben für die Sicherheitsmaßnahmen und Meldepflichten von Unternehmen und Institutionen macht, die wesentliche oder wichtige Dienste in verschiedenen Sektoren erbringen. Die NIS-2 wurde im Dezember 2022 vom Europäischen Parlament und dem Rat verabschiedet und ist am 18. Januar 2023 in Kraft getreten. Die Mitgliedstaaten haben bis zum 18. Oktober 2024 Zeit, die Richtlinie in nationales Recht umzusetzen. In Deutschland wird die Umsetzung der NIS-2 durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfolgen, dessen Referentenentwurf im Juli 2023 vom Bundesministerium des Innern und für Heimat (BMI) vorgelegt wurde. Der Gesetzesentwurf geht in einigen Punkten über die EU-Vorgaben hinaus und bewirkt somit zahlreiche Neuerungen im nationalen Cybersicherheitsrecht. Das NIS2UmsuCG soll bis Mitte 2024 verabschiedet werden. Zu den wichtigsten Änderungen, die das NIS2UmsuCG mit sich bringt, gehören: Die Umsetzung der NIS-2 in Deutschland stellt eine große Herausforderung für die betroffenen Unternehmen dar, die sich auf höhere Sicherheitsstandards, strengere Meldepflichten und mögliche Sanktionen einstellen müssen. Gleichzeitig bietet die NIS-2 aber auch eine Chance, die Cybersicherheit

Weiterlesen