DSGVO-Briefing
28. März 2025Auch heute haben wir wieder eine Zusammenfassung interessanter Sicherheitsvorfälle, relevanter News und wichtiger Gerichtsentscheidungen für Sie.
Angestellter versieht Arbeitgeber-Software mit Zeitbombe: bis zu 10 Jahre Haft.
Nachdem 2018 der Arbeitsbereich des seit 2007 bei der Eaton Corporation angestellten Davis Lu stark eingeschränkt wurde, begann der Software-Entwickler um August 2019 herum, die Systeme des Unternehmens zu sabotieren. Er installierte Malware auf den Produktionssystemen, die diese nach und nach überlastete und zum Absturz brachte.
Er integrierte zudem einen Lockout-Schalter, der alle anderen Mitarbeitenden aus dem Netzwerk ausloggen und ihren Zugang blockieren sollte, falls seine eigenen Anmeldedaten je abgeschaltet würden. Bei seiner Entlassung löschte Lu verschlüsselte Daten von seinem Arbeitslaptop.
Am 7. März 2025 veröffentlichte das Department of Justice eine Mitteilung zu dem Fall. Lu muss mit maximal 10 Jahren Haft für seine Taten rechnen.
2024 zahlten deutlich weniger Opfer an Ransomware-Gruppen.
Im Vergleich zu 2023 zahlten 2024 ca. 35% weniger Opfer Lösegeld an Ransomware-Gruppierungen. Verzeichnete Blockchain-Datenanalyst Chainalysis 2023 noch Zahlungen von 1,2 Mrd. USD, waren es 2024 "nur" 813,55 Mio. USD.
Der von Chainalysis veröffentlichte Bericht stellt unter anderem eine 75 Mio. USD-Lösegeldzahlung an die Gruppe Dark Angels, getätigt von einer Fortune 500-Firma, heraus. Zudem stellten die Analysten fest, dass lediglich etwa 30 % der Ransomware-Opfer überhaupt mit ihren Angreifern verhandelten.
Gründe für die niedriger ausfallenden Zahlungen sind vielfältig. So verbessern potenzielle Opfer ihre Sicherheitsvorkehrungen stetig und erschweren es den Hackern damit, bleibende Schäden anzurichten. Auch das Wissen, dass die Versprechen der Ransomware-Gangs nicht unbedingt verlässlich sind, verbreitet sich zunehmend – auch die widersprüchlichen Forderungen der Täter nach der Attacke auf Change Healthcare Anfang 2024 werden dazu beigetragen haben.
Schließlich werden auch zuständige Datenschutz- und Strafverfolgungsbehörden immer aktiver: sie zerschlagen mehr und mehr Hacker-Gruppierungen, darunter im Jahr 2024 auch LockBit.
EuGH: Behörden müssen falsche Geschlechtseinträge korrigieren –ohne Operation.
Der EuGH hat ein Vorabentscheidungsersuchen beantwortet, das sich auf die Auslegung des Artikels 16 der DSGVO bezieht, insbesondere im Hinblick auf die Korrektur von Informationen zur Geschlechtsidentität in einem öffentlichen Register.
Der Europäische Gerichtshof entschied, dass eine nationale Behörde verpflichtet ist, fehlerhafte Daten zur Geschlechtsidentität zu berichtigen, wenn diese gemäß Art. 5 Abs. 1 lit. d) DSGVO nicht korrekt sind. Die betroffene Person kann ausreichende und relevante Beweismittel vorlegen, um die Unrichtigkeit der Daten nachzuweisen. Es ist dabei unzulässig, eine Korrektur der hinterlegten Geschlechtsidentität von der Durchführung einer geschlechtsangleichenden Operation abhängig zu machen.