Wie Corona die Wahrnehmung verändert und welche Besonderheiten im Datenschutz durch das Virus entstehen
Das Coronavirus hält derzeit ganz Deutschland in Atem und macht vielen Menschen Angst. Als wenn es nicht schon schlimm genug wäre, dass wir uns dieser Herausforderung stellen müssen: jetzt nutzen auch Betrüger die Angst vor dem Virus aus, um an unsere Daten zu kommen. Phishing-Mails, falsche Werbeanzeigen und gefälschte Internetseiten, die zum Thema COVID-19 im Netz kursieren nehmen immer mehr zu und gefährden die Sicherheit unserer Rechner und nicht zuletzt auch den Datenschutz.
Nicht immer ist es leicht eine betrügerische Mail zu erkennen und gerade in den Zeiten, in der die Angst vor einer Krankheit kursiert, lassen wir uns leichter dazu verleiten, vermeintliche Informationen zu öffnen. Datenschutzberater.NRW möchte Sie dafür sensibilisieren, wie Sie Betrüger erkennen und erklären, warum die Datenschutzgrundverordnung dabei eine wichtige Rolle spielt.
Was ist Phishing?
Phishing stellt schon seit einigen Jahren eine zunehmende Bedrohung für unsere Daten dar. Durch täuschend echt aussehende Internetauftritte, die von den seriösen Internetauftritten, wie Banken, Gesundheitseinrichtungen usw. im Corporate Design kopiert werden, werden User dazu verleitet dort entsprechende Sicherheitsdaten wie Anmelde-ID oder Passwort einzugeben. Dem Kunden wird vorgegaukelt, er müsse seine Daten dort eingeben, um bestimmte Informationen vom Anbieter zu erhalten. Die Betrüger rufen auf diese Art und Weise sensible Daten, wie Zugänge von Bankkonten oder Kreditkarteninformationen ab. Meist erhalten die Verbraucher eine E-Mail, die zu einer ganz bestimmten Handlung zu einem Thema aufruft und werden durch einen Link weitergeleitet.
Eine andere Möglichkeit besteht darin, dass eine Nachricht per Mail oder durch einen Messenger-Dienst an den Betroffenen geschickt wird, in der er aufgerufen wird, ein Dokument mit vermeintlich wichtigen Informationen aus dem Anhang zu öffnen. Dieser enthält dann eine sogenannte Malware, die durch einen programmierten Virus Daten des Geschädigten abruft.
Auch falsche Werbeanzeigen – zum Beispiel auf Social-Media-Plattformen – können ähnlich vorgehen. Der User klickt diese Anzeige an und wird auf der vermeintlich sicheren Seite der Homepage gebeten, seine Daten zur Anmeldung einzugeben.
Alle Vorgehensweisen beim Phishing zielen darauf ab, dem Betroffenen sensible Daten zu entlocken und diese dann für betrügerische Handlungen zu nutzen. Ein klassisches Beispiel sind hier Bankdaten oder Kreditkartendaten, mit denen die Betrüger dann entsprechend an Geld kommen. Aber auch andere personenbezogene Daten können bei der Nutzung durch Unbefugte Schaden herbeiführen – das betrifft dann mitunter ganze Unternehmen oder auch Städte und Gemeinden, Vereine, Arztpraxen usw. – das Ausmaß ist meist erst nach dem Schaden wirklich absehbar.
Betrüger nutzen Ängste und Neugierde der Betroffenen
Phishing zielt auf ein einfaches Verhaltensmuster ab – das sogenannte „Social Engineering“. Hierbei versucht man einen Menschen durch zwischenmenschliche Beeinflussung zu einer bestimmten Handlung zu bewegen. Das kann durch unterschiedliche Reize entstehen. Die bekanntesten zwei sind wohl die Neugierde und die Angst. Ist es bei der Neugierde oft noch einfach, dieser nicht immer nachzugeben, so setzt beim Thema Angst nicht selten der gesunde Menschenverstand auch bei Daten-Phishing gerne aus.
Gerade im derzeitigen Chaos um das Corona-Virus, aber auch bei Existenzängsten, wenn es zum Beispiel um die Nachricht geht, dass eine unzuordnebare Buchung auf dem Konto erfolgt ist, hinterfragen wir oft nicht kritisch genug, welchen Anhang wir öffnen oder ob wir unsere Daten auf einer Homepage eingeben. Die Betrüger nutzen die Unsicherheiten und Wissenslücken der Bürger aus, um sich zu bereichern.
Corona – WHO warnt vor Phishing
Im Fall von COVID-19 werden aktuell Mails mit vermeintlichen Gesundheitsupdates, Gratis-Kinderbetreuung und anderen Informationen zum Thema verschickt. Hierbei werden Anhänge oder Links verbreitet, die versuchen uns Daten abzunehmen oder Zugang auf unsere Rechner zu erhalten. Wie stark sich diese Vorgänge häufen, erkenn wir vor allem daran, dass die Weltgesundheitsorganisation (WHO) nun eine Warnung auf Ihrer Homepage vor betrügerischen Abfragen herausgegeben hat (die Warnung der WHO finden sie auf dem offiziellen Auftritt der Weltgesundheitsorganisation). Im Namen der WHO wurden scheinbar schon mehrere vermeintlich offizielle Mails zum Thema verschickt, die E-Mail-Adresse und das Logo wurden dabei täuschend echt imitiert. Auch das FBI warnt aktuell vor Betrugsmaschen mit dem Corona-Virus.
Worauf sollten Sie achten?
Phishing ist natürlich nicht erst seit Auftauchen von Corona ein Problem. Um sich vor Datenklau zu schützen, sollten Sie unter anderem folgende Punkte beachten:
- Öffnen Sie keine Nachrichten von unbekannten Absendern
- Öffnen Sie nur Anhänge von vertrauensvollen Quellen
- Prüfen Sie die Absenderdaten (z.B. E-Mail-Adresse) genau – oft erkennt man nur bei genauer Betrachtung, dass es sich um eine betrügerische Nachricht handelt
- Nutzen Sie keine Links in E-Mails, sondern öffnen Sie die Homepage immer über den offiziellen Internetauftritt des Absenders
- Geben Sie keine Daten ein, wenn Sie sich nicht sicher sind, ob es sich um einen sicheren Zugang handelt
- Öffnen Sie keine Links über Werbeanzeigen bei Social-Media-Anbietern
- Installieren Sie entsprechende Programme zur Sicherheit Ihrer Daten
- Wenn Ihnen irgendetwas ungewöhnlich erscheint, dann fragen Sie direkt bei der betroffenen Stelle nach (nicht über die Kontaktdaten in der Nachricht), manchmal kann auch schon eine Abfrage bei einer Suchmaschine helfen<
Besondere Situation für Unternehmen und im Datenschutz
Auch wenn der Verlust der persönlichen Daten für jeden einzelnen ein Problem darstellt – ganz andere Dimensionen erreicht das Thema Phishing, wenn ein Unternehmen betroffen ist. Hier ist nicht nur der Schaden für das Unternehmen abzuschätzen, was Finanzdaten angeht, sondern es sollte auch an die personenbezogenen Daten gedacht werden, die durch einen möglichen Phishing-Angriff in die Hände Dritter gelangen könnten. Eine Datenpanne kann für das Unternehmen weitreichende Folgen haben.
Die Verhaltensregeln, die für jeden im Umgang mit den eigenen Daten zählen, sollten auch für die Datensicherheit am Arbeitsplatz gelten. Darüber hinaus sollten Sie Ihre Mitarbeiter über das Thema Phishing aufklären und zu Datenschutz-Themen schulen. Außerdem sollten Sie bei jeder ungewöhnlichen Kontaktaufnahme den (internen oder externen) Datenschutzbeauftragten und natürlich den Zuständigen für die IT-Sicherheit in Ihrem Unternehmen hinzuziehen.
Für die Verarbeitung personenbezogener Daten sehen Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (neues BDSG) verschiedene Pflichten für den Verantwortlichen vor. Dazu gehört unter anderem auch Erstellung und Dokumentation der technisch-organisatorischen Maßnahmen (TOMs), mit denen sichergestellt wird, dass es nicht zu Datenpannen kommen kann.
Erfassen Sie in Ihrem Unternehmen eine besondere Art personenbezogener Daten (z.B. Gesundheitsdaten), dann müssen Sie eine Datenschutzfolgenabschätzung und eine Schwellwertanalyse (Risikoanalyse) durchführen – das gilt beispielsweise auch für die Übermittlung von Krankmeldungen Ihrer Mitarbeiter.
Es gilt, DSGVO-konform sicherzustellen, dass personenbezogene Daten nicht an Dritte weitergegeben werden – daher sollte jede Verarbeitung der Daten natürlich auch in einem Verarbeitungsverzeichnis (VVT) dokumentiert sein. Sollte eine Datenpanne durch Phishing erfolgen gilt es einiges zu beachten. Wenn Sie mehr dazu wissen möchten, lesen Sie unseren Blogartikel zum Thema.
Corona-Krise: Homeoffice als sichere Alternative
Wenn sie sicher gehen möchten, dass die Gefährdung durch soziale Kontakte so gering wie möglich gehalten wird, dann wird vielen Unternehmen empfohlen, Ihre Mitarbeiter ins Homeoffice zu schicken. Natürlich stellt dies für die Gesundheit aller Beteiligten die sicherste Variante der Arbeit dar, sie sollte auf alle Fälle gut vorbereitet und abgesichert sein. Wie im Büro vor Ort, müssen auch bei der Arbeit von zu Hause alle getroffenen Vereinbarungen (zur Einhaltung von Datenschutz, Geheimhaltungserklärung usw.) beachtet und ggf. angepasst werden. Auch Sicherheitsmaßnahmen wie die Firewall usw. sollten genutzt werden.
Wie die Arbeit vom Heimarbeitsplatz richtig und sicher gelingt, können Sie in unserem Blog nachlesen. Sie finden in unseren Blogs auch einen Artikel über die Nutzung von VPN-Zugängen für die Arbeit außerhalb des Büros.
Update: Datenschutz in Zeiten von COVID-18
Auch beim Datenschutz tut sich etwas im Bezug auf das Corona-Virus. Da es nun darum geht, die weitere Verbreitung der Krankheit zu verlangsamen, wird auch der Datenschutz bei den Verarbeitern personenbezogener Daten leicht angepasst. Daher kann es im Fall einer Infektion auch notwendig sein, dass auch Daten von Betroffenen erhoben werden, oder Kontaktpersonen eines Erkrankten darüber informiert werden. Dies gilt auch bei der Erfassung und Verarbeitung von Daten Betroffener, wenn diese sich im Risikogebiet aufgehalten haben. Namen dürfen dabei in der Regel weiterhin nicht genannt werden und auch sonst gilt es diese leichte Lockerung im Datenschutz nur in Notfällen und mit Bedacht aufzugreifen.
Phishing als Risiko für den Datenschutz
Neben der IT-Sicherheit, die durch Phishing stark gefährdet ist, bedrohen diese Angriffe wie schon gesagt auch den Datenschutz und somit die Einhaltung der EU-DSGVO. Um sicherzustellen, dass Sie alle Richtlinien der Datenschutzgrundverordnung einhalten, macht es Sinn, Ihr Unternehmen regelmäßig in Bezug auf Datenschutz auf den Prüfstand zu stellen.
Ein Datenschutzberater kann Ihnen dabei auf verschiedene Weise helfen. Datenschutzberater.NRW bietet Ihnen zur Einhaltung der DSGVO folgende Möglichkeiten an:
- Erstberatung Datenschutz
- Datenschutz-Audit
- GoBD-Beratung
- IT-Audit
- Überprüfung Ihrer IT-Sicherheit
- Kontinuierliche Betreuung mit jährlichem Bericht zum Thema Datenschutz
- Als externer Datenschutzbeauftragter
Wenn Sie Interesse an der Unterstützung durch unser Team haben, dann kontaktieren Sie uns einfach (E-Mail, Kontaktformular, FREECALL). Wir stellen Ihnen ein praxisorientiertes und individuelles Angebot zusammen und stehen Ihnen beratend zur Seite.
Datenschutzberater.NRW ist der Ansprechpartner für alle, die personenbezogene Daten verarbeiten, im Bereich Köln, Düsseldorf, Bonn und ganz NRW.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.