Die NIS-2-Richtlinie

Posted on by Markus Tomaske

Bedeutung, Pflichten und praktische Folgen für Unternehmen in Deutschland

Die NIS zwei Richtlinie ist die neue Fassung der europäischen Vorgaben zur Sicherheit von Netzwerken und Informationssystemen. Sie soll die digitale Widerstandskraft in Europa auf ein belastbares Niveau bringen. Die Vorgängerregelung war in vielen Branchen zu schwach, zu unpräzise und von den Mitgliedstaaten unterschiedlich umgesetzt. NIS zwei setzt hier an und zieht die Schrauben deutlich fester an. Die Botschaft ist klar. Europa meint es ernst mit Cybersicherheit.

Warum wurde NIS zwei geschaffen

Die digitale Bedrohungslage hat sich in den vergangenen Jahren erheblich verschärft. Organisierte Kriminalität, staatliche Akteure und automatisierte Angriffstechniken sorgen dafür, dass selbst kleinere Unternehmen inzwischen gefährdet sind. Ransomware, Identitätsdiebstahl, Lieferketten Angriffe und Sabotage gegen kritische Infrastrukturen gehören längst zum Alltag.

Die alte NIS Richtlinie deckte nur wenige Branchen ab und enthielt sehr unterschiedliche nationale Interpretationen. Angreifer hielten sich jedoch nicht an Landesgrenzen. Daher musste eine einheitliche und deutlich strengere Regelung her.

Wen betrifft die NIS zwei Richtlinie

Im Gegensatz zur alten NIS Regel ist der Kreis der betroffenen Einrichtungen massiv erweitert worden. Er umfasst zwei Kategorien.

Wichtige Einrichtungen

Darunter fallen zum Beispiel
Energie Versorgung
Transport
Trinkwasser
Abwasser
Gesundheit
Digitale Dienste Anbieter
Öffentliche Verwaltung
Weltraum Dienste

Wesentliche Einrichtungen

Dazu zählen unter anderem
Kritische Hersteller
Elektronik Produktion
Transport Infrastruktur Betreiber
Post und Kurierdienste
Lebensmittel Produktion und Verarbeitung
Chemische Industrie

Der entscheidende Punkt ist die Größe. Unternehmen ab zweihundertfünfzig Beschäftigten oder über vierzig Millionen Euro Jahresumsatz fallen regelmäßig in den Anwendungsbereich. Auch kleinere Betriebe können betroffen sein, wenn ihre Tätigkeit als besonders sensibel eingestuft wird.

Welche Pflichten bringt NIS zwei

NIS zwei ist kein Papiertiger. Die Richtlinie fordert konkrete technische und organisatorische Maßnahmen. Die Anforderungen orientieren sich an bewährten Standards wie ISO zweitausendneunhundert eins oder dem IT Grundschutz.

Zu den Kernpflichten gehören
Sicherheits Richtlinien für alle relevanten Systeme
Regelmäßige Risiko Analysen und Schwachstellen Bewertungen
Klare Notfallpläne und Wiederherstellungs Konzepte
Strenge Zugangs und Rechte Verwaltung
Verpflichtende Multifaktor Anmeldung
Sichere Verschlüsselung
Schutz der Lieferkette inklusive Prüfung von Dienstleistern
Regelmäßige Schulungen aller Mitarbeitenden
Dokumentationspflichten über alle sicherheitsrelevanten Abläufe

Unternehmen müssen Gefahren nicht nur erkennen, sondern nachweislich reduzieren. Papier reicht nicht. Es braucht gelebte Prozesse.

Meldepflichten bei Sicherheitsvorfällen

Ein wesentlicher Punkt ist die neue Meldepflicht.
Erste Meldung innerhalb von vierundzwanzig Stunden
Detailbericht innerhalb von siebzig zwei Stunden
Abschlussbericht innerhalb eines Monats

Gemeldet wird an die nationale Stelle, in Deutschland an das Bundesamt für Sicherheit in der Informationstechnik.

Diese Meldepflicht gilt auch dann, wenn der Angriff nicht vollständig erfolgreich war, aber ein erhebliches Risiko bestand. Viele Unternehmen müssen ihre internen Abläufe dafür komplett neu strukturieren.

Sanktionen bei Verstössen

Die Zeiten symbolischer Strafen sind vorbei. NIS zwei sieht empfindliche finanzielle Sanktionen vor, die sich an der Höhe der Strafen der Datenschutz Grundverordnung orientieren. Unternehmen können mit mehreren Millionen Euro belegt werden. Für Verantwortliche in Leitungspositionen drohen zusätzlich persönliche Haftungsrisiken, wenn sie ihre Pflichten grob verletzen.

Was NIS zwei für die Praxis bedeutet

Für Unternehmen bedeutet NIS zwei in erster Linie Arbeit, aber Arbeit, die sich auszahlt. Die Richtlinie zwingt zu einem höheren Sicherheitsniveau, was langfristig Schäden vermeidet und Vertrauen schafft. Wer Cybersicherheit ernst nimmt, spart am Ende Geld, Ärger und Reputation.

Gleichzeitig ist NIS zwei auch ein Chance. Unternehmen, die frühzeitig investieren und ihre Strukturen modernisieren, haben Wettbewerbsvorteile. Cyberresilienz wird zu einem Qualitätsmerkmal, das Kunden und Partner überzeugt.

Ein kleiner humorvoller Einschub darf sein. Die Richtlinie ist nicht dazu da, IT Abteilungen zu ärgern, auch wenn es sich gelegentlich genau so anfühlt. Sie soll die gesamte europäische Wirtschaft robuster machen. Angreifer sollen es schwer haben, nicht die Unternehmen.

Fazit

Die NIS zwei Richtlinie ist eine der bedeutendsten Regelungen im Bereich Cybersicherheit der letzten Jahre. Sie erweitert die Pflichten, erhöht die Anforderungen und setzt klare Fristen. Unternehmen, die sich rechtzeitig vorbereiten, gewinnen Sicherheit und Vertrauen. Unternehmen, die abwarten, riskieren Sanktionen und im Ernstfall erhebliche Schäden.

Cybersicherheit ist kein Luxus, sondern eine Verpflichtung in einer vernetzten Welt. NIS zwei macht das unmissverständlich deutlich.

Bezahlung von Ihrem Konto

Posted on by Markus Tomaske

Warnung vor aktueller Erpressungsmasche und gefälschten Sicherheitsmeldungen

Viele Menschen erhalten derzeit E Mails mit dem Betreff Bezahlung von Ihrem Konto oder ähnlichen Formulierungen. Diese Nachrichten wirken auf den ersten Blick bedrohlich und enthalten dramatische Behauptungen über angebliche Hackerangriffe, kompromittierende Videos und die Forderung nach einer Zahlung in Kryptowährung. Die Absicht der Täter ist immer dieselbe. Panik erzeugen und Geld erpressen.

Warum diese Masche trotz ihrer Primitivität weiter funktioniert

Obwohl diese Betrugsversuche technisch völlig unrealistisch sind, tauchen sie weltweit millionenfach in Postfächern auf. Überraschend ist, dass die Inhalte kaum verändert werden. Es wirkt fast, als würden die Absender seit Jahren denselben Text immer wieder verschicken. Kreativität sieht anders aus. In vielen Fällen sind die Drohungen so dilettantisch formuliert, dass man sich fragt, wie diese Masche überhaupt noch versucht wird.

Typische Inhalte solcher Erpressungs E Mails

Die Texte folgen einem feststehenden Muster. Sie behaupten unter anderem:

  • vollständiger Zugriff auf Computer und Smartphone
  • heimliche Aktivierung von Kamera und Mikrofon
  • angebliche Aufnahmen beim Besuch von Erwachsenenseiten
  • Download aller persönlichen Dateien
  • Veröffentlichung der angeblichen Videos, falls keine Zahlung erfolgt
  • eine enge Frist von meist 48 Stunden

Dazu kommt die Forderung nach einer Zahlung in Kryptowährung. Die Täter versuchen, Druck aufzubauen, indem sie vorgeben, alles im Detail überwachen zu können. In der Realität ist dies frei erfunden und technisch nicht plausibel.

Warum diese Drohungen nicht echt sind

  • Die Täter haben keinen Zugriff auf Geräte
  • Es existieren keine Videos oder Screenshots
  • Die Behauptungen sind unspezifisch und rein psychologisch
  • Die Nachrichten werden massenhaft automatisiert verschickt
  • Die Inhalte sind austauschbar und völlig generisch

Es handelt sich zu 100 Prozent um eine gängige Form der sogenannten Sextortion Erpressung. Sicherheitsexperten weltweit bestätigen, dass in fast keinem Fall ein tatsächlicher Zugriff stattgefunden hat.

Was Betroffene tun sollten

  • Ruhe bewahren
  • nicht antworten
  • keine Zahlung leisten
  • Passwörter der wichtigsten Accounts ändern
  • Zwei Faktor Schutz aktivieren
  • E Mail als Spam markieren
  • E Mail löschen
  • auf Wunsch eine Anzeige bei der Polizei stellen

Zusätzlich kann ein kurzer Virenscan helfen, um ein gutes Gefühl zu bekommen, auch wenn diese Mails fast nie mit realer Malware verbunden sind.

Warum Wissen hier die stärkste Verteidigung ist

Je besser man die Muster solcher Erpressungsversuche kennt, desto weniger Macht haben die Täter. Die Kombination aus Unsicherheit, Scham und Zeitdruck ist ihr einziges Werkzeug. Wer weiß, dass diese Drohungen inhaltlich leer sind, nimmt den Kriminellen genau das, was sie brauchen: Aufmerksamkeit.

Fazit

Wenn jemand eine E Mail mit Begriffen wie Bezahlung von Ihrem Konto, angeblicher Zugriff auf Ihre Geräte, Drohung mit intimen Videos oder Forderung nach Kryptowährung erhält, handelt es sich höchstwahrscheinlich um eine bekannte Betrugsmasche. Die Texte wirken zwar bedrohlich, sind aber technisch völlig unrealistisch und folgen einem einfachen Schema. Den Tätern fehlt es nicht nur an Kreativität, sondern auch an den technischen Fähigkeiten, die sie behaupten zu besitzen.

Aufklärung, sichere Passwörter und ein ruhiger Blick auf die Fakten sind die besten Schutzmaßnahmen.

Unerwünschte E-Mail aus einer Google-Group: Wie ein technischer Fehler zu Spam führen kann – und wie er erfolgreich beendet wurde

Posted on by Markus Tomaske

Immer häufiger kommt es vor, dass E-Mails über Google-Groups weitergeleitet werden, obwohl der Empfänger niemals Mitglied einer solchen Gruppe war. Besonders irritierend wird es, wenn diese Nachrichten völlig harmlos aussehen und wie gewöhnliche automatische Antworten erscheinen. Der folgende Fall zeigt, wie leicht technische Fehler oder missbräuchliche Konfigurationen dazu führen können, dass fremde E-Mail-Adressen in illegale Weiterleitungsprozesse geraten – und wie dieser Missbrauch am Ende gestoppt wurde.

Wie alles begann: Eine unerwartete E-Mail aus einer fremden Group

Ein Nutzer erhält plötzlich eine E-Mail, die über eine Google-Group mit der Adresse t..@j..e zugestellt wurde. Die ursprüngliche Nachricht selbst war völlig unkritisch. Es handelte sich lediglich um eine automatische Abwesenheitsmeldung eines Hotels. Auffällig war dagegen der technische Versandpfad.

Im E-Mail-Header zeigte sich, dass die Nachricht über eine Domain zugestellt wurde, deren Website nicht erreichbar ist, ohne Impressum und ohne sichtbare Verantwortliche.

Beim Versuch, sich über den klassischen Weg aus dieser Group abzumelden, folgte die überraschende Antwort:
Die Adresse ist gar kein Mitglied dieser Google-Group.

Trotzdem wurden Nachrichten weitergeleitet.

Das ist ein deutlicher Hinweis darauf, dass hier keine reguläre Eintragung, sondern eine fehlkonfigurierte oder missbräuchlich genutzte Weiterleitung besteht.

Wie solche Weiterleitungen entstehen können

Die Analyse der technischen Header ergab:

  • Die automatische Ausgangsmail war legitim signiert.
  • Die Group-Adresse j..e nahm Nachrichten öffentlich oder ungeschützt an.
  • Die Weiterleitung erfolgte ohne Mitgliedschaft.
  • Der Empfänger landete im Verteiler, obwohl er sich nie eingetragen hatte.

Solche Fälle entstehen typischerweise, wenn:

  • eine Google-Group öffentlich ohne Moderation E-Mails annimmt,
  • Weiterleitungen oder Aliase falsch konfiguriert wurden,
  • offene Relays oder Mailinglisten missbraucht werden,
  • ein Angreifer gezielt fremde Adressen über eine Group schleust,
  • BCC-Ketten automatisiert eingebunden werden.

Besonders verdächtig war hier die Tatsache, dass die Domain j..e vollständig offline ist und keine Informationen über Betreiber oder Verantwortliche bereitstellt.

Warum dieses Verhalten kritisch ist

  • E-Mail-Adressen werden ohne Zustimmung verarbeitet.
  • Es handelt sich um unerwünschte elektronische Nachrichten.
  • Ein klarer DSGVO-Verstoß ist möglich.
  • Eine nicht erreichbare Domain verstärkt den Verdacht auf Missbrauch.
  • Google-Group-Mechanismen können ungewollt als Spam-Verteiler wirken.

Solche Konstrukte werden von Spammern gern genutzt, da Google-Groups durch SPF, DKIM und Weiterleitungsmechanismen legitim wirken können.

Der entscheidende Schritt: Abuse-Meldung an Google

Nachdem die technischen Ursachen analysiert waren, wurde der Fall über das offizielle Google-Abuse-Verfahren gemeldet. Die Meldung enthielt:

  • die vollständigen technischen Header,
  • den Verdacht der unberechtigten Weiterleitung,
  • den Hinweis, dass keine Group-Mitgliedschaft vorliegt,
  • die Information, dass die Domain j..e nicht erreichbar ist.

Wenige Stunden später erfolgte die Bestätigung von Google:
Die Infrastruktur der entsprechenden Group wurde überprüft und in Folge abgeschaltet bzw. technisch unterbunden.

Damit endete der unerwünschte E-Mail-Verkehr vollständig.

Der Fall zeigt deutlich: Es lohnt sich, Missbrauch konsequent zu melden.

Was Betroffene daraus lernen können

1. Header prüfen
Oberflächlich harmlose Mails können intern auf Fehlkonfigurationen hinweisen.

2. Google-Groups Mitgliedschaft prüfen
Auch ohne Mitgliedschaft kann eine Weiterleitung erfolgen.

3. Abuse-Verfahren nutzen
Google reagiert bei technisch belegtem Missbrauch zuverlässig.

4. Datenschutzbehörden einbeziehen
Bei unberechtigter Datenverarbeitung ist eine Beschwerde zulässig.

5. Domainzuständigkeit prüfen
Über WHOIS/WUS können Verantwortlichkeiten ermittelt werden, selbst wenn Domains anonym wirken.

Fazit

Dieser Fall zeigt, wie unauffällig technische Fehlkonfigurationen oder missbräuchlich angelegte Google-Groups dazu führen können, dass fremde Adressen automatisch in Weiterleitungen geraten. Gleichzeitig beweist er, dass ein sauber dokumentierter Abuse-Vorgang solche Strukturen schnell stoppen kann.

Die Kombination aus abgeschalteter Domain, fehlender Transparenz und unberechtigter E-Mail-Weiterleitung war ein eindeutiges Indiz für Missbrauch. Durch die richtige Analyse und eine gezielte Meldung konnte der Vorgang endgültig beendet werden.

Outlook-Suche defekt? Keine Suchergebnisse gefunden? So beheben Sie den Fehler!

Posted on by Markus Tomaske

🔎 Outlook-Suche – Fehlerbehebung

Die Suchfunktion in Microsoft Outlook ist essentiell für die tägliche Arbeit. Wenn plötzlich keine Suchergebnisse mehr angezeigt werden, ist das nicht nur ärgerlich, sondern legt oft die gesamte E-Mail-Organisation lahm. Einer der häufigsten und tiefgreifendsten Gründe hierfür sind falsche Berechtigungen im Windows Search Index.

Dieser Artikel führt Sie durch die notwendigen Schritte, um die Berechtigungsprobleme zu beheben und die Outlook-Suche dauerhaft zu reparieren.

🛑 Problem: Falsche Berechtigung für Windows Search

Die Outlook-Suche basiert auf dem Windows Search Service und dessen Suchindex. Dieser Index ist eine Art Datenbank, die den Inhalt all Ihrer E-Mails, Dokumente und Dateien speichert, um eine blitzschnelle Suche zu ermöglichen.

Wenn die Berechtigungen für den Ordner, in dem dieser Index gespeichert ist, fehlerhaft sind, kann der Windows-Dienst nicht auf seine eigenen Daten zugreifen oder diese aktualisieren. Die Folge: Outlook findet keine Ergebnisse.

🛠️ Schritt-für-Schritt-Anleitung zur Behebung

Um das Problem zu lösen, müssen Sie die Berechtigungen für den zentralen Index-Ordner in Windows manuell korrigieren.

Wichtiger Hinweis: Für diese Schritte benötigen Sie Administratorrechte auf Ihrem Computer.

1. Zum Suchindex-Ordner navigieren

Der Speicherort des Windows-Suchindex ist ein versteckter Systemordner:

  1. Drücken Sie die Tastenkombination $\text{Win} + \text{R}$ (Ausführen-Dialog öffnen).
  2. Geben Sie den Befehl %ProgramData%\Microsoft\ ein und drücken Sie $\text{Enter}$.
  3. Suchen Sie in dem geöffneten Fenster den Ordner Search.

2. Besitzrechte des Ordners übernehmen

Bevor Sie die Berechtigungen ändern können, müssen Sie sicherstellen, dass Sie der Besitzer des Ordners sind.

  1. Klicken Sie mit der rechten Maustaste auf den Ordner Search und wählen Sie Eigenschaften.
  2. Wechseln Sie zur Registerkarte Sicherheit.
  3. Klicken Sie auf Erweitert.
  4. Klicken Sie oben neben Besitzer auf den Link Ändern.
  5. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ Ihren aktuellen Benutzernamen (oder Administratoren) ein.
  6. Klicken Sie auf Namen überprüfen und dann auf $\text{OK}$.
  7. Aktivieren Sie im Fenster Erweiterte Sicherheitseinstellungen unbedingt das Kontrollkästchen:$\square$ Besitzer der Objekte und untergeordneten Container ersetzen.
  8. Bestätigen Sie mit $\text{OK}$.

3. Vollzugriff für System und Administratoren zuweisen

Jetzt weisen Sie den benötigten Systemkonten den Vollzugriff zu.

  1. Kehren Sie zur Registerkarte Sicherheit im Fenster Eigenschaften des Ordners Search zurück.
  2. Klicken Sie auf Bearbeiten.
  3. Stellen Sie sicher, dass folgende Einträge vorhanden sind und die Berechtigung Vollzugriff aktiviert ist:
    • SYSTEM
    • Administratoren (oder die entsprechende Administratorgruppe)
  4. Falls ein Eintrag fehlt, klicken Sie auf Hinzufügen und fügen Sie ihn hinzu.
  5. Bestätigen Sie alle Fenster mit $\text{OK}$.

✅ Abschließender Schritt: Index neu erstellen

Nachdem die Berechtigungen korrigiert sind, ist der alte Index wahrscheinlich immer noch fehlerhaft. Sie müssen ihn neu aufbauen lassen.

1. Windows Search-Dienst neu starten

Ein Neustart des Dienstes beseitigt temporäre Blockaden:

  1. Drücken Sie $\text{Win} + \text{R}$ und geben Sie services.msc ein.
  2. Suchen Sie in der Liste Windows Search.
  3. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Neu starten.

2. Outlook-Index neu erstellen

  1. Öffnen Sie Outlook.
  2. Navigieren Sie zu Datei $\rightarrow$ Optionen.
  3. Wählen Sie Suchen $\rightarrow$ Indizierungsoptionen….
  4. Klicken Sie auf Erweitert und dann unter Problembehandlung auf Neu erstellen.
  5. Bestätigen Sie die Warnung.

Achtung: Die Neuerstellung des Indexes kann je nach Datenmenge mehrere Stunden in Anspruch nehmen. Die Suche funktioniert erst wieder zuverlässig, wenn dieser Prozess abgeschlossen ist. Den Fortschritt können Sie über Suchtools $\rightarrow$ Indizierungsstatus im Suchmenüband von Outlook prüfen.

Ihre Outlook-Suche sollte nun nach Abschluss der Indizierung wieder einwandfrei funktionieren!

Outlook-Debakel oder Neuanfang? Warum der Neustart von Microsoft eine große Chance für Unternehmen ist

Posted on by Markus Tomaske

Die Schlagzeilen klingen dramatisch: „Microsoft zieht die Notbremse – Neustart von Outlook mit KI als Kern.“ Was auf den ersten Blick nach einem Eingeständnis klingt, ist in Wahrheit ein längst überfälliger Schritt. Denn Microsoft hat erkannt, dass die klassische E-Mail-Verwaltung an ihre Grenzen gestoßen ist.

Ich sehe darin keine Krise, sondern den Beginn einer neuen Ära – eine, in der künstliche Intelligenz nicht nur unterstützt, sondern den digitalen Arbeitsplatz entscheidend verändert.

Der Wandel: Von der Posteingangsflut zur intelligenten Kommunikation

In vielen Unternehmen ist Outlook das Herzstück der täglichen Kommunikation. Doch mit der wachsenden Zahl an E-Mails, Terminen und Aufgaben stoßen herkömmliche Strukturen an ihre Grenzen.
Die Folge: Informationsüberlastung, Zeitverlust und ein stetig wachsender Bedarf an smarter Organisation.

Genau hier setzt Microsoft jetzt an. Künstliche Intelligenz soll künftig den Überblick übernehmen – von automatischen E-Mail-Zusammenfassungen über Priorisierung wichtiger Nachrichten bis hin zur intelligenten Terminplanung. Das Ziel: Mehr Effizienz, weniger Stress und mehr Fokus auf das Wesentliche.

KI als Kern: Outlook denkt mit

Mit dem geplanten KI-Kern will Microsoft Outlook neu erfinden. Die Integration intelligenter Systeme wie Copilot und möglicherweise ChatGPT ist dabei nicht nur ein technisches Update, sondern eine strategische Neuausrichtung.

Stellen Sie sich vor:
Outlook versteht den Kontext Ihrer Kommunikation, erkennt wiederkehrende Abläufe und schlägt proaktiv Lösungen vor. Termine werden automatisch abgestimmt, Anhänge korrekt zugeordnet und E-Mails prägnant zusammengefasst.

Das ist kein Zukunftstraum mehr, sondern greifbare Realität – und ein Schritt hin zu einem Arbeitsplatz, der sich dem Menschen anpasst, nicht umgekehrt.

Chancen und Herausforderungen aus Sicht des Datenschutzes

Als externer Datenschutzbeauftragter und IT-Berater sehe ich diesen Wandel mit klarem Blick: KI bietet enorme Effizienzgewinne, erfordert aber auch klare Spielregeln.
Wenn Systeme eigenständig mitdenken, Daten analysieren und Inhalte vorschlagen, müssen Unternehmen sicherstellen, dass Transparenz, Zweckbindung und Datensicherheit gewahrt bleiben.

Die entscheidenden Fragen lauten:

  • Welche Daten fließen in die KI-Verarbeitung ein?
  • Werden personenbezogene Informationen analysiert oder extern gespeichert?
  • Welche rechtlichen Grundlagen rechtfertigen die Nutzung?
  • Wie werden Mitarbeitende geschult, um verantwortungsvoll mit KI-gestützten Funktionen umzugehen?

Hier biete ich praxisorientierte Beratung und Begleitung – von der rechtlichen Bewertung über die technische Umsetzung bis hin zu Schulungen für Unternehmen, die KI-Tools sicher und gewinnbringend einsetzen möchten.

Mein Fazit: Zukunft gestalten, statt auf sie zu warten

Der Neustart von Outlook ist kein Debakel – er ist ein Weckruf.
Unternehmen, die jetzt ihre Prozesse prüfen, Datenschutzstrukturen anpassen und sich offen für KI-gestützte Kommunikation zeigen, werden die Gewinner dieser Entwicklung sein.

Künstliche Intelligenz ist kein Ersatz für menschliches Denken. Sie ist ein Werkzeug, das uns Freiraum gibt für das, was zählt: Entscheidungen mit Weitblick, Kommunikation mit Sinn und Arbeit mit Qualität.

Ich begleite Unternehmen dabei, diese Balance zu finden – zwischen Innovation und Verantwortung.

ImmoScout24 Urteil: Warum Datenschutzberatung und ein Datenschutzbeauftragter für Unternehmen unverzichtbar sind

Posted on by Markus Tomaske

ImmoScout24 Urteil: 

Urteil im Überblick

  • Gericht und Datum: Landgericht Berlin II, Urteil vom 19. Juni 2025, Aktenzeichen 52 O 65/23
  • Kläger: Verbraucherzentrale Bundesverband (vzbv)
  • Beklagter: Immobilien Scout GmbH (ImmoScout24)
  • Status: Urteil noch nicht rechtskräftig, Berufung beim Kammergericht Berlin (Az. 5 U 63/25)

Was bemängelt wurde

Irreführende Werbung

ImmoScout warb damit, dass eine SCHUFA-Auskunft praktisch schon bei der Besichtigung notwendig sei.
Diese Darstellung ist rechtlich falsch. Vermieter dürfen eine Bonitätsauskunft erst dann verlangen,
wenn der Abschluss eines Mietvertrages unmittelbar bevorsteht. Das Gericht wertete die Aussagen als irreführend.

Datenschutzverstoß im Formular „Selbstauskunft“

Über ein Formular konnten Nutzer persönliche Daten wie Nettoeinkommen, Beschäftigungsart oder Raucherstatus eintragen.
Das Gericht entschied, dass hierfür keine wirksame Einwilligung vorlag. Eine klare, freiwillige und informierte Zustimmung fehlte.
Damit lag ein Verstoß gegen die DSGVO vor. Ein klarer Hinweis darauf, wie wichtig professionelle Datenschutzberatung ist.

Bedeutung des Urteils für Unternehmen

  • Stärkung der Verbraucherrechte: Wohnungssuchende dürfen nicht durch Werbung unter Druck gesetzt werden.
  • Mehr Gewicht für Datensparsamkeit: Anbieter dürfen nur Daten erheben, die rechtlich wirklich erforderlich sind.
  • Transparenz wird Pflicht: Hinweise zum Datenschutz müssen klar, verständlich und gut sichtbar sein.

Kritik und offene Fragen

  • Irreführung oder gängige Praxis? Viele Vermieter verlangen schon früh eine SCHUFA-Auskunft. Die rechtliche Zulässigkeit bleibt streng begrenzt.
  • Rechtsgrundlagen im Fokus: Neben Einwilligung könnte zwar auch ein „berechtigtes Interesse“ herangezogen werden, doch das LG Berlin sah dies hier nicht als ausreichend an.
  • Endgültige Klarheit erst nach Berufung: Das Urteil ist nicht rechtskräftig, das Kammergericht wird die Sache prüfen.

Was Unternehmen jetzt tun sollten

  1. Werbeaussagen zu Bonitätsauskünften überarbeiten
  2. Formulare und Einwilligungen rechtssicher gestalten
  3. Datensparsamkeit als Grundprinzip umsetzen
  4. Dokumentieren, wie Einwilligungen eingeholt werden
  5. Entwicklungen in der Rechtsprechung aktiv verfolgen

Hier zeigt sich klar: Eine professionelle Beratung für Unternehmen im Bereich Datenschutz verhindert teure Fehler.

Fazit: Datenschutzberatung schützt vor hohen Risiken

Das Urteil zeigt erneut, dass Firmen das Datenschutzgesetz oft so auslegen, wie es ihnen passt.
Genau darin liegt ein erhebliches Risiko: Abmahnungen, Gerichtsverfahren und ein beschädigtes Image sind die Folge.

Eine frühzeitige Datenschutzberatung durch einen erfahrenen Datenschutzbeauftragten spart enorme Kosten,
sorgt für rechtssichere Prozesse und stärkt zusätzlich die Reputation.
Datenschutz ist keine Nebensache – er ist ein zentraler Bestandteil einer seriösen Geschäftsstrategie.

Künstliche Intelligenz im Praxistest: Erprobung neuer Technologien durch Fernsteuerung

Posted on by Markus Tomaske

Die Zukunft ist nicht mehr weit – sie ist bereits Realität. In unserer täglichen Arbeit testen wir regelmäßig modernste Technologien auf ihre Praxistauglichkeit. Ein besonderes Augenmerk liegt dabei auf der Anwendung künstlicher Intelligenz (KI) und der Fernsteuerung technischer Systeme. Diese Innovationen bieten nicht nur faszinierende Möglichkeiten, sondern verändern die Art und Weise, wie wir Prozesse steuern, analysieren und optimieren – nachhaltig.

Warum künstliche Intelligenz für uns mehr ist als ein Buzzword

Künstliche Intelligenz ermöglicht automatisierte Entscheidungen, präzise Auswertungen in Echtzeit und adaptive Systeme, die sich dem Nutzerverhalten anpassen. Ob im Bereich Logistik, Datenschutz, Maschinensteuerung oder bei der Simulation komplexer Szenarien: Wir setzen KI gezielt dort ein, wo sie Mehrwert schafft. Dabei kombinieren wir langjährige Erfahrung mit dem Mut, neue Wege zu gehen.

Fernsteuerung als Schlüssel zur Effizienz

Moderne Steuerungssysteme erlauben uns, Maschinen, Fahrzeuge und Prozesse über große Distanzen hinweg sicher zu kontrollieren. In Verbindung mit künstlicher Intelligenz entstehen dadurch autonome Systeme, die Aufgaben zuverlässig und effizient übernehmen – auch unter schwierigen Bedingungen oder in sensiblen Bereichen.

Unsere Praxis: Testen, bewerten, verbessern

Wir glauben an Technik, die funktioniert. Deshalb erproben wir neue KI-gesteuerte Anwendungen und Fernsteuerungslösungen unter realen Bedingungen – unabhängig und mit einem kritischen Blick auf Sicherheit, Datenschutz und Nutzerfreundlichkeit. Unser Ziel ist es, Innovation nicht nur zu verstehen, sondern greifbar und nutzbar zu machen.

„Sollte für solche Aufgaben ein Fahrer erforderlich sein, kann dieser bei Bedarf über uns gestellt werden.“

Unsichtbare Angriffe auf Gmail: Wenn KI & Datenschutz zum Risiko werden

Posted on by Markus Tomaske

Google warnt aktuell vor einer hochbrisanten KI-Sicherheitslücke: Bei über 1,8 Milliarden Gmail-Nutzerkonten kann sich in E‑Mail-Zusammenfassungen über Google Gemini eine Phantom‑Phishing‑Attacke einnisten TechRadar+5The Sun+5Merkur+5.

🔍 Wie funktioniert der Angriff?

Cyberkriminelle verstecken in harmlos wirkenden E‑Mails mittels HTML und CSS unsichtbare Anweisungen – etwa in weißer Schrift mit Font‑Size 0 – die nur für das KI-Modell Gemini lesbar sind. Fordert der Nutzer eine Zusammenfassung, liest die KI diese versteckten Befehle aus und präsentiert sie als angebliche Sicherheitshinweise, z. B.:

„WARNING: Ihr Gmail-Passwort wurde kompromittiert. Rufen Sie sofort Google‑Support an

Die Folge: Nutzer klicken, rufen falsche Hotline-Nummern an oder geben ihre Zugangsdaten preis – ein perfekter Social‑Engineering‑Angriff, ohne direkt sichtbare Phishing-Links oder Anhänge.

Warum ist das Thema Datenschutz in der IT jetzt relevanter denn je?

  1. Unsichtbare Datenabflüsse: Auch KI-Systeme gelten als Teil der IT‑Infrastruktur – ein unterschätzter Angriffspunkt im Datenschutz.
  2. Fehlende Kontextisolation: Sprachmodelle verarbeiten unsichtbare Inhalte wie ausführbaren Code – ein klassisches Sicherheitsproblem darkreading.comCSO Online.
  3. Beschleunigte Digitalisierung: Immer mehr Unternehmen setzen Tools wie Gemini ein – je breiter der Einsatz, desto größer der Schutzbedarf.

🔐 Maßnahmen zum Schutz und präventiver Datenschutz

MaßnahmeBeschreibung
Keine KI‑Zusammenfassungen zu Sicherheitszwecken nutzenGoogle betont, echte Warnungen kommen nicht über Gemini.
E-Mail-Inhalte auf unsichtbare Formatierungen scannenFilter, die Font-Size 0 oder unsichtbare Tags erkennen, bilden eine erste Verteidigungslinie.
Post-Processing-Filter anwendenAutomatische Scans auf dringende Formulierungen, Telefonnummern oder URLs warnen frühzeitig.
IT-Sicherheits-Schulung & AwarenessMitarbeiter sollten KI-tools korrekt einordnen – KI ersetzt keine tiefgehende Sicherheitsprüfung.
Externe Prüfung & AuditierungEin externer Datenschutzbeauftragter kann IT‑Prozesse auditieren und Schwachstellen im Datenschutz in der IT aufdecken.

💡 Rolle von externen Datenschutzbeauftragten

  • Unabhängige Risikoanalyse: Externe Datenschutzexperten haben den nötigen Abstand, um Sicherheitslücken wie KI‑gestützte Phishing‑Angriffe objektiv zu bewerten.
  • Umsetzung nach DSGVO & BSI-Grundschutz: Sie helfen nicht nur bei Compliance, sondern etwa auch bei der Integration datenschutzgerechter Filter-Tools.
  • Schulung & Sensibilisierung: Mit gezieltem Awareness-Training machen sie Ihre Mitarbeiter zu einer starken ersten Verteidigungslinie.

Fazit – Jetzt ist Handeln gefragt!

Die Warnung von Google zeigt deutlich: Datenschutz in der IT endet nicht bei Firewall und E-Mail-Verschlüsselung. Die Nutzung von KI‑Tools bringt neue, unsichtbare Bedrohungsebenen – ein klarer Fall für präventive Datenschutzmaßnahmen. Ein externer Datenschutzbeauftragter unterstützt Sie dabei, Systeme zu prüfen, Awareness zu stärken und DSGVO-konform zu agieren.

👉 Empfehlung:

  • Deaktivieren Sie vorerst KI-Zusammenfassungen bei kritischen Mails.
  • Implementieren Sie Filter für unsichtbare Inhalte.
  • Ziehen Sie bei Bedarf einen externen Datenschutzbeauftragten hinzu – für fundierten Datenschutz in der IT.

Ihr nächster Schritt

  • Analysieren Sie Ihre E-Mail-Infrastruktur und KI-Nutzung.
  • Setzen Sie technische Filter gegen „Font Size 0“ und weiße Textpassagen.
  • Beauftragen Sie einen externen Datenschutzbeauftragten, um Datenschutzrisiken systematisch zu reduzieren.

Bleiben Sie wachsam – denn echte Sicherheit ist kein Zufall, sondern ein Ergebnis durchdachter Datenschutzstrategie.

⚖️ Urteil zu KI und Urheberrecht: Landgericht Hamburg schafft Klarheit

Posted on by Markus Tomaske

Am 27. September 2024 hat das Landgericht Hamburg (Az. 310 O 227/23) eine richtungsweisende Entscheidung getroffen: Das automatisierte Herunterladen von Online-Inhalten – etwa durch Crawler zur KI-Datensammlung – kann unter bestimmten Voraussetzungen zulässig sein, insbesondere wenn es zu nicht-kommerziellen Forschungszwecken geschieht. Das Urteil betrifft alle, die Inhalte im Internet bereitstellen – ob Bilder, Texte oder Videos.

🔍 Worum ging es?

Ein professioneller Urheber klagte, weil eines seiner Bilder automatisiert von einer KI-Forschungsorganisation über das Internet erfasst worden war – angeblich ohne Erlaubnis. Das Bild stammte von einer Plattform, deren AGB automatisiertes Crawling explizit untersagten. Dennoch wurde die Datei über öffentlich zugängliche Quellen erfasst und analysiert.

Die beklagte Organisation berief sich auf die Forschungsausnahme gemäß § 60d UrhG – also Text- und Data-Mining (TDM) für nicht-kommerzielle, wissenschaftliche Zwecke.

⚖️ Kernaussagen des Gerichts

  • Ein maschineller Nutzungsvorbehalt in den AGB ist wirksam. Wer automatisierte Zugriffe ausschließen will, muss das klar und technisch lesbar regeln.
  • Die Nutzung durch eine gemeinnützige Forschungseinrichtung fiel im vorliegenden Fall unter § 60d UrhG – und war damit zulässig.
  • Eine kommerzielle Verwertung oder unklare Nutzungsform hätte wohl zur Unzulässigkeit geführt.

📌 Was bedeutet das für Anbieter?

Das Urteil ist ein Weckruf für alle Webseitenbetreiber, Agenturen und Content-Plattformen:

✅ Wer nicht möchte, dass seine Inhalte durch KI-Systeme automatisch verarbeitet werden, muss:

  • einen klaren maschinenlesbaren Vorbehalt in die AGB integrieren (z. B. Verbot von Scraping/Crawling),
  • und diesen auch technisch durchsetzen (z. B. robots.txt, API-Zugriffsbeschränkungen).

Andernfalls kann die Erfassung durch KI-Anwendungen als zulässig gelten, sofern sie durch das Urheberrechtsgesetz (§§ 44b, 60d UrhG) gedeckt ist.

🔄 Jetzt AGB prüfen und anpassen

Viele Anbieter vernachlässigen diesen Punkt: Ihre AGB sind nicht ausreichend auf automatisierte Datennutzung vorbereitet – insbesondere in Bezug auf KI-Training, Crawler und Text-/Data-Mining.
Nach diesem Urteil sollten Unternehmen dringend prüfen:

  • Enthalten die AGB einen klaren Hinweis, der maschinelle Zugriffe untersagt?
  • Ist dieser Hinweis auch maschinenlesbar und auf dem Server technisch abgesichert?
  • Gibt es Schnittstellen oder offene Datenzugänge, die versehentlich Crawling erlauben?

Hinweis: Wer diesen Punkt ignoriert, riskiert, dass Inhalte automatisiert verarbeitet werden – rechtlich zulässig und ohne Entschädigung.

✨ Fazit

Das Urteil des LG Hamburg zeigt:
KI und Urheberrecht treffen aufeinander – und die AGB sind das Schlachtfeld.

Nur wer vorausschauend formuliert, technisch absichert und rechtlich nachrüstet, behält die Kontrolle über seine Inhalte. Anbieter, die das jetzt ignorieren, öffnen der automatisierten Datennutzung Tür und Tor – und verschenken unter Umständen geistiges Eigentum.

⚠️ Gefährliche Hacker-Attacke per Häkchen? So schützt du dich!

Posted on by Markus Tomaske

Was harmlos aussieht, kann fatale Folgen haben

Du klickst auf ein „Ich bin kein Roboter“-Captcha – und denkst dir nichts dabei. Doch genau hier beginnt eine neue, perfide Betrugsmasche im Netz. Cyberkriminelle nutzen unser Vertrauen in solche Sicherheitsabfragen aus – und schleusen über diesen harmlosen Klick schädlichen Code in deinen Computer ein.

So läuft die Masche ab

  1. Du setzt ein Häkchen bei einem Captcha
    Die Webseite wirkt seriös – aber sie ist manipuliert. Der Klick auf das Häkchen kopiert heimlich einen Schadcode in deine Zwischenablage.
  2. Ein Popup erscheint mit einer Aufforderung
    Du wirst gebeten, eine Tastenkombination wie WIN + R zu drücken und den Inhalt der Zwischenablage einzufügen – angeblich zur „Verifizierung“.
  3. Jetzt wird’s gefährlich
    Der eingefügte Code lädt Malware von einem entfernten Server herunter – und gibt den Angreifern Fernzugriff auf dein System. Passwörter, Daten, Konten: Alles steht offen.

Das Ziel: Deine Daten

Die Hacker haben es auf sensible Informationen abgesehen:

  • Login-Daten aus Browsern
  • Onlinebanking-Zugänge
  • Zugang zu E-Mail-Postfächern
  • Persönliche Dokumente und Bilder
  • Und im schlimmsten Fall: Erpressung durch Ransomware

So schützt du dich!

🛡 Misstrauen bei unerwarteten Popups
Erscheint ein Fenster mit einer Aufforderung zur Tastenkombination nach einem Häkchen – sofort schließen!

🛡 Browser und Antivirenprogramm aktuell halten
Viele Sicherheitslücken werden regelmäßig geschlossen – aber nur, wenn du Updates auch installierst.

🛡 Kein „blindes Einfügen“ per STRG + V
Wenn du nicht weißt, was in deiner Zwischenablage ist, füge niemals etwas in die Befehlszeile ein!

🛡 Zwei-Faktor-Authentifizierung aktivieren
Das schützt deine Konten auch dann, wenn jemand deine Zugangsdaten klaut.

🛡 Regelmäßige Backups auf externer Festplatte
Falls dein System kompromittiert wird, kannst du wenigstens deine wichtigsten Daten retten.

Fazit

Diese neue Form des Social Engineering ist besonders hinterlistig – denn sie tarnt sich als Schutzmechanismus. Ein Captcha sollte Sicherheit geben, doch Kriminelle machen es zur Waffe. Die beste Verteidigung: Wissen, Vorsicht, und gesunder Menschenverstand.

Bleib wachsam – und teile diesen Beitrag, damit auch andere gewarnt sind!