Newsletter

Newsletter September 2025

Thema: Kennen Sie Vishing?

Wir haben in den letzten Jahren viel über Hacking per infizierter Software geschrieben, über Würmer, über Phishing, von Sicherheitslücken in Software und Betriebssystemen...

All diese Angriffe finden letztendlich statt, um an Firmeninterna zu kommen. Und dadurch direkt oder indirekt an Geld. Dabei ist der absolute Klassiker - das Gerede der Leute – zwar jahrhunderte alt, aber keineswegs vom Tisch.

Und so wurde diesem Phänomen ein neuer Name verpasst: Vishing (nach Phishing per Voice)

Wie kann ein Angreifer einen Mitarbeiter einer großen Firma dazu bewegen, ihm freiwillig geheime Informationen oder Zugang zum Computernetzwerk zu geben? Er ruft in der Firma an, erzählt eine Geschichte und bittet um Hilfe. Ja, genauso einfach funktioniert das.

Man behauptet zum Beispiel im IT-Support zu arbeiten und dringend Informationen über das eingesetzte VPN zu benötigen, um ein Problem im Netzwerk zu debuggen. Oder man muss eine große Lieferung abgeben und braucht jetzt Infos über die Werktore und die Anzahl und Arbeitszeiten der Security Mitarbeiter.

Die Geschichte, die dabei erzählt wird, nennt man heutzutage Pretext.
Diesen Pretext zu definieren fordert aufwendige Vorarbeiten:

  • Welche firmenspezifische Begriffe werden verwendet?
  • Welche Abkürzungen?
  • Wie heissen die Vorgesetzen?
  • Mitarbeiternummern (Namen als Beweis für die Identität des Anrufers)
  • Während des Anrufs werden Geräusche eingespielt (z.B. (Tastaturtippen, Call-Center-Rauschen, Durchsagen am Flughafen, weinendes Kind)

Die Hauptschwierigkeit beim Vishing ist die Schulung der Mitarbeiter. Denn anders als bei softwaregetriebenen Attacken lassen sich kaum Beispiele finden (Telefongespräche aufzeichnen ist in den meisten Ländern verboten).

Bleibt also nur der klassische Ansatz zur Abwehr: Leute, seid um Himmelswillen vorsichtig!

Author: UBI

Quellen:

Heise Online, ‘Vishing…‘, Stefan Wintermeyer, abgerufen am 18.09.25
https://www.heise.de/hintergrund/Vishing-So-gelingt-der-Angriff-per-Telefon-selbst-auf-Grossunternehmen-10625451.html

Thema: Digitale Souveränität beim österreichischem Heer

Österreichs Streitkräfte haben von Microsofts Office-Programmen auf das quelloffene LibreOffice-Paket umgestellt.

Gründe:

  • Stärkung der digitalen Souveränität
  • Unabhängigkeit der Informations- und Kommunikationstechnik zu erhalten
  • Sicherzustellen, dass Daten des Heeres auch nur beim österreichischem Bundesheer verarbeitet werden.

Ablauf:

2020 Start des Entscheidungsfindungsprozesses für eine neue Software (damals wurde klar, dass Microsoft in die Cloud umziehen wird)

2021 Abschluss des Prozesses mit Entscheidung für OpenLibre

2022 Detailplanungen
     Ausbildung interner Entwickler für Verbesserungen und Zusatzsoftware
     Umstellung von Testusern

2023 Beauftragung eines Unternehmens für den Support und die externe Entwicklung
     Internes E-Learning für LibreOffice
     Einführung in den ersten Bundesheer-Abteilungen

2024 Weitere Einführungen

2025 Abschluss

Für eine Organisation wie ein Heer mit 16 TSD Arbeitsplätzen sind 5 Jahre wirklich gut!

Die Features, die entwickelt wurden, kommen natürlich auch dem LibreOffice Projekt zugute.

Author: UBI

Quellen:

Heise Online, ‘Östereichs Bundesheer...‘, Daniel AJ Sokolov, abgerufen am 18.09.25
https://www.heise.de/news/Oesterreichs-Bundesheer-stellt-auf-LibreOffice-um-10660756.html

Thema: BayLDA übernimmt Durchsetzung des Data Act

Ab 12.09.2025 ist das Bayerische Landesamt für Datenschutzaufsicht für den Schutz personenbezogener Daten im Rahmen der Anwendung des DataAct zuständig.

Was ist der DataAct?

DataAct ist eigentlich eine Abkürzung für „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“. Manchmal wird das auch als Datenverordnung abgekürzt. Dahinter verbirgt sich die Verordnung 2023/2854.

Der Data Act ist zentraler Baustein der europäischen Datenstrategie und soll den Zugang zu Daten aus vernetzten Produkten und Diensten ermöglichen.

Solche Zugangsansprüche bestehen damit ab 12. September 2025 für kommunikationsfähige Industriemaschinen, für Alltagsprodukte im Smart-Home -Einsatz oder vernetzte Fahrzeuge.

Ziel ist es, die Möglichkeiten für eine Weiterverwendung von Daten zu erweitern und so neue Geschäftsmodelle und Innovationen in Wirtschaft und Gesellschaft zu fördern. Dies eröffnet nicht zuletzt auch neue Rahmenbedingungen für die Sekundärnutzung von Daten, gerade auch im Hinblick auf das Training von KI- Modellen.

Der Data Act gilt für Daten mit und ohne Personenbezug. Um das Schutzniveau des Datenschutzrechts nicht zu umgehen, sieht der Data Act daher bei Sachverhalten mit personenbezogenen Daten einen Vorrang der DS-GVO vor.

Und daraus folgt: Die Behörde, die bisher für die DS-GVO zuständig ist, kümmert sich auch um den Vollzug des DataAct.

Für Deutschland erfolgt diese Umsetzung durch die BayLDA, sofern personenbezogene Daten betroffen sind.

Author: UBI

Quellen:

BayLDA, Pressemitteilung, abgerufen am 13.09.25
https://www.lda.bayern.de/media/pm/pm2025_08.pdf

» Zurück zur Newsletter-Übersicht