Mir sind in den letzten Tagen mehrere Mails von Lesern zugegangen, die über Datenschutzvorfälle, bei denen womöglich Daten abgeflossen sind, berichteten. So gibt es einen Fremdzugriff auf ein Techem-Postfach. Und Schmidts informiert ebenfalls über einen Cybervorfall. Auch ein Datenschutzbeauftragter scheint Opfer eines Angriffs zu sein. Und eine Cloud-Anwendung für Fahrschulen der TECVIA GmbH sowie Logitech hat es getroffen.
Zugriff auf ein Techem-Postfach
Ich hatte im Beitrag Warnung von weko.com vor Phishing-Mail (Nov. 2025) den Fall berichtet, dass Postfächer bei der WEKO Wohnen GmbH kompromittiert und zum Versand von Phishing-Mails missbraucht wurden. Auch den bei Immobilien aktiven Energiedienstleister Techem (Heizkostenabrechnung) hat es wohl getroffen.
Blog-Leser Benjamin hat mir eine entsprechende Information zukommen lassen (danke). Unter dem Betreff "Zugriff auf ein Techem Mail-Postfach / Ref. 202511-566" warnt die Techem, dass es bereits Mitte Oktober 2025 einen unbefugten Zugriff auf ein Techem Mail-Postfach gegeben habe. Hier die betreffende Mail
Von: 202511-566 <202511-566@techem.de>
Gesendet: Mittwoch, 12. November 2025 11:29
Betreff: Zugriff auf ein Techem Mail-Postfach / Ref. 202511-566ACHTUNG: Diese E-Mail stammt von einem externen Absender. Bitte vermeiden Sie es, Anhänge oder externe Links zu öffnen.
Zugriff auf ein Techem Mail-Postfach / Ref. 202511-566
Sehr geehrte Damen und Herren,
Datenschutz hat bei Techem einen sehr hohen Stellenwert. Wir tun sehr viel dafür, dass Ihre Daten sicher bei uns verarbeitet werden. Ungewollte Störungen können leider dennoch nie gänzlich ausgeschlossen werden.
Was ist passiert?
Im Rahmen interner Überwachungsmaßnahmen ist uns am 15.10.2025 ein externer Zugriff auf ein E-Mail-Konto eines Techem-Mitarbeiters aufgefallen. Die eigentliche Ursache lag in einem erfolgreichen Angriff auf ein System eines unserer Kunden, von dem aus dann eine authentische Nachricht an unseren Mitarbeiter versendet wurde. Diese Nachricht enthielt einen Phishing-Link, der schließlich zur Kompromittierung des E-Mail-Kontos unseres Mitarbeiters führte. Nach unserer Entdeckung des verdächtigen Zugriffs auf das Mitarbeiterkonto wurde der Zugriff umgehend gesperrt.
Es liegen keine Hinweise für einen tatsächlichen Abfluss von Daten aus diesem E-Mail Konto vor. Vielmehr vermuten wir den Hintergrund in der reinen Erforschung potentieller Schwachstellen und nicht dem Zugriff auf die Daten. Für einen Zeitraum von 30 Minuten, können wir allerdings nicht sicher ausschließen, dass Mails gelesen oder kopiert wurden.
Auswertung und Information
In diesem Konto befindet sich eine große Anzahl von E-Mails, die auf mögliche personenbezogene Daten untersucht werden. Dieser Prozess ist leider langwierig und dauert immer noch an. Nachdem ein großer Teil der Mails bewertet wurde, erhalten Sie hiermit gemäß unserer Pflichten als Auftragsverarbeiter die relevanten Informationen über die potentielle Verletzung.
Sie erhalten diese Nachricht nur, sofern wir vermuten, dass Daten aus der Auftragsverarbeitung (Nutzer, Mieter, Wohnungseigentümer, Hausmeister) in einer der E-Mails vorhanden sein könnten und Sie oder Ihr Unternehmen der Verantwortliche der Datenverarbeitung sind.
Unsere Einschätzung
Unsere bisherigen Auswertungen zeigen, dass der Inhalt der Nachrichten sich in Bezug auf die Daten von Dritten aus der Auftragsverarbeitung in der Regel auf den Vor- und/oder Nachnamen beschränkt, teilweise in Verbindung mit einer Objektnummer oder einer Objektadresse. In wenigen Fällen finden sich Telefonnummern oder weitere Kontaktdaten von Dritten sowie Ablese- und Verbrauchswerte in den E-Mails. Wir schätzen ein Risiko für die betroffenen Personen unter Berücksichtigung aller Umstände daher als sehr gering ein.
Weiteres Vorgehen
Als Verantwortlicher obliegt jedoch Ihnen die Einschätzung des Risikos und die Entscheidung über weitere Maßnahmen in Bezug auf die betroffenen Personen und die zuständigen Behörden.
Bitte beachten Sie, dass die Analyse des Vorfalls noch andauert. Es kann daher vorkommen, dass Sie von uns erneut zum gleichen Sachverhalt angeschrieben werden.
Wenn Sie genaue Angaben zu den betroffenen Mails haben möchten, so können wir Ihnen auf Anfrage eine detailliertere Auflistung zukommen lassen.
Ggf. finden Sie die betroffenen E-Mails aber auch in Ihrem eigenen Mailsystem in Verbindung mit der E-Mail Adresse (Absender/Empfänger) thomas.schulze[at]techem.de.
BITTE SEHEN SIE UNBEDINGT VON ANFRAGEN ZUM THEMA an Herrn Schulze ab. Die Mailadresse wurde lediglich zur Identifikation der betroffenen E-Mails in Ihren Systemen angegeben.
Rückfragen
Für weitere Fragen oder Antworten auf dieses Schreiben wenden Sie sich bitte ausschließlich an die hierfür eingerichtete E-Mail Adresse 202511-566@techem.de.
Wir bedauern sehr, dass es zu dieser Störung gekommen ist und Sie hiervon betroffen sind. Wir werden weiterhin alle geeigneten und angemessenen Maßnahmen ergreifen, um einen solchen Vorfall in Zukunft möglichst auszuschließen.
Freundliche Grüße
Techem Energy Services GmbH
Hört sich nicht so positiv an, wer mit Techem in Kontakt steht und die Mail erhalten hat, ist von diesem Vorfall wohl betroffen.
Cybervorfall beim Schmidts
Blog-Leser Dieter C. hatte mich bereits zum 11. November 2025 per Mail über einen Cybervorfall bei Schmidts informiert (danke dafür). Schmidts ist ein Unternehmen, welches Arbeitskleidung für Handwerker über einen Store anbietet.
Auf der oben gezeigten Webseite des Unternehmens mit dem Shop ist von einer "technischen Störung" die Rede. Kunden wurden aber per E-Mail über einen Cybervorfall informiert. Ich stelle nachfolgend mal die Mail im Original zur Information hier im Blog ein.
Information zum aktuellen IT-Vorfall – wir sind eingeschränkt erreichbar
Sehr geehrte Damen und Herren,
liebe Kunden aus Handwerk und Industrie,unser Unternehmen war Ziel eines Cyberangriffs, durch den unsere IT-Systeme blockiert wurden.
Dank sofort eingeleiteter Maßnahmen und der Unterstützung externer Spezialisten konnte die IT-Sicherheit wiederhergestellt werden.
Ein vollständiges Hochfahren der Systeme ist zum jetzigen Zeitpunkt jedoch noch nicht möglich, da derzeit noch intensiv an der Analyse der Ursachen gearbeitet wird.
Aus Sicherheitsgründen greifen wir aktuell bewusst nicht auf
Datenbestände zu.Bitte richten Sie daher Ihre Bestellungen telefonisch über Ihren Ansprechpartner im Außendienst oder den Innendienst an uns.
Derzeit arbeiten wir im Notbetrieb mit einer stark reduzierten Mannschaft, um den laufenden Betrieb bestmöglich aufrechtzuerhalten.
Das bedeutet für Sie: Unsere Mitarbeiter sind telefonisch und eingeschränkt per E-Mail erreichbar. Aufträge, Bestellungen und Lieferungen können aktuell nur manuell bearbeitet werden.
Für dringend benötigte Lieferungen kontaktieren Sie uns bitte telefonisch.Unsere oberste Priorität ist es, die Datensicherheit und Systemstabilität vollständig wiederherzustellen. Gemeinsam mit externen IT-Spezialisten arbeiten wir mit Hochdruck daran, den Normalbetrieb so rasch wie möglich wieder aufzunehmen.
Wir sind optimistisch, unsere Systemlandschaft bis Ende dieser Woche weitgehend wiederherstellen zu können.Derzeit laufen forensische Analysen. Sollten daraus relevante Informationen für Sie entstehen, werden wir Sie selbstverständlich umgehend informieren.
Wir halten Sie weiterhin auf dem Laufenden und stehen Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Vielen Dank für Ihr Verständnis und Ihre Geduld –
Gemeinsam. Stark. Verlässlich.Mit freundlichen Grüßen
Die Geschäftsleitung
SCHMIDT'S Handelsgesellschaft mbH
SPAM von lfd.sachsen-anhalt.de-Konten
Der Vorfall ist bereits etwas älter – ein Blog-Leser hatte mich bereits im Oktober 2025 informiert, weil er SPAM von lfd.sachsen-anhalt.de-Konten erhielt. Der Leser schrieb, dass er fingierte Mails einer Landesbehörde entdeckt habe. Der Landesbeauftragte für Datenschutz in Sachsen-Anhalt scheine ein Problem zu haben und Werbung für NFTs zu versenden.
"Noch gibt es allerdings keine wirklichen Erkenntnisse. Ich habe die Poststelle informiert – die sagt, sie hätte keine E-Mails verschickt. Als ich zur IT durchgestellt wurde, wurde mir mitgeteilt, dass der Dienstleister nun angefragt würde." schrieb der Blog-Leser. Mailadresse und Header sowie DNS-Eintrag scheinen laut Leser korrekt zu sein. DMARC und SPF sind nicht korrekt.
DSGVO-Vorfall bei Verlag Heinrich Vogel – TECVIA GmbH
Blog-Leser Martin G. hat mich zum 6. November 2025 per E-Mail darüber informiert, dass es einen Cybervorfall bei Verlag Heinrich Vogel – TECVIA GmbH gegeben habe. Die bieten eine Cloud-Anwendung für Fahrschulen. Auf dieser Webseite informiert man die Interessenten über einen Cybervorfall.
Information zum Schutz Ihrer Daten
Guten Tag,
wir möchten Sie heute vorsorglich über einen IT-Sicherheitsvorfall informieren, der uns – den Verlag Heinrich Vogel | TECVIA GmbH als technischen Dienstleister Ihrer Fahrschule – betroffen hat.
Letzte Woche haben wir einen unbefugten Zugriff festgestellt und das Fahrschüler-Lernsystem umgehend kontrolliert heruntergefahren, um Ihre Daten zu schützen und unsere Sicherheitsinfrastruktur zu verstärken. Im Rahmen der forensischen Prüfung durch externe IT-Sicherheitsexperten wurde festgestellt, dass in einem auf wenige Tage begrenzten Zeitraum auf bestimmte Datensätze zugegriffen wurde, die auch personenbezogene Informationen enthalten.
Wichtig für Sie: Es gibt keine Hinweise darauf, dass Passwörter kompromittiert wurden. Unsere Systeme wurden vollständig überprüft, mit zusätzlichen Sicherheitsmaßnahmen verstärkt und laufen seit gestern wieder stabil. Alle relevanten Behörden wurden selbstverständlich informiert.
Wir empfehlen Ihnen dennoch, in den kommenden Wochen besonders aufmerksam zu sein, wenn Sie E-Mails oder Anrufe von unbekannten Absendern erhalten.
Wir bedauern den Vorfall aufrichtig und danken Ihnen für Ihr Verständnis. Der Schutz Ihrer persönlichen Daten hat für uns oberste Priorität. Die getroffenen Maßnahmen stärken das bereits hohe Sicherheitsniveau unserer Systeme zusätzlich.
Für Rückfragen steht Ihnen unser Datenschutzteam unter datensicherheit3@tecvia.com zur Verfügung.
Mit freundlichen Grüßen
Ihr Datenschutzteam des Verlags Heinrich Vogel | TECVIA GmbH.
Datenabfluss bei Logitech
Ergänzung: Auch beim Hersteller von Peripherie (Mäuse, Tastaturen etc.) hat es einen Cybervorfall gegeben, bei dem Daten abgezogen wurden. Laut dieser Mitteilung ist die Untersuchung ist noch nicht abgeschlossen. Aber Logictech geht nach derzeitigem Kenntnisstand davon aus, dass ein unbefugter Dritter eine Zero-Day-Sicherheitslücke in einer Softwareplattform eines Drittanbieters ausgenutzt und bestimmte Daten aus dem internen IT-System kopiert hat.
Bei den Kollegen von Bleeping Computer findet sich der Hinweis, dass die Clop-Ransomware-Gruppe hinter dem Cyberangriff steht und der Hack vermutlich über die Oracle E-Business Suite-Schwachstelle, die im Juli 2025 ausgenutzt wurde, erfolgte. Ich hatte im Blog-Beitrag Sicherheitsprobleme: AI-Browser; Oracle 0-day; GoAnywhere; Ivanti; 7-Zip etc. berichtet.
Die Zero-Day-Sicherheitslücke wurde von Logitech nach ihrer Veröffentlichung durch den Anbieter der Softwareplattform geschlossen, schreibt das Unternehmen. Laut Bleeping Computer behauptet die Ransomware-Gruppe 1,8 Terabyte an Daten abgezogen zu haben. Die Daten umfassten laut Logitech wahrscheinlich begrenzte Informationen über Mitarbeiter und Verbraucher sowie Daten zu Kunden und Lieferanten. Logitech geht nicht davon aus, dass sensible personenbezogene Daten wie nationale Identifikationsnummern oder Kreditkarteninformationen in dem betroffenen IT-System gespeichert waren. Logitech hat damit begonnen, die zuständigen Behörden wie vorgeschrieben zu benachrichtigen.
Laut diesem Bericht reklamiert die Clop-Ransomware-Gruppe auch Daten von Carglass, Fluke und dem britischen NHS (Gesundheitssystem) abgegriffen zu haben.
Ähnliche Artikel:
Warnung von weko.com vor Phishing-Mail (Nov. 2025)
Miniatur Wunderland: Kreditkartendatenabfluss nach Cyberangriff
Schneider Electric Opfer der Oracle E-Business Suite 0-day Schwachstelle CVE-2025-61882
Sicherheitsprobleme: AI-Browser; Oracle 0-day; GoAnywhere; Ivanti; 7-Zip etc.
Oracle-Hack durch Unternehmen bestätigt – 6 Millionen Daten erbeutet?
MVP: 2013 – 2016
Und wieder wird die DSGVO dafür sorgen, dass alle Daten die verloren gingen, restlos gelöscht werden.
Nein, nur dass informiert werden musste.
Ich verstehe die Intention dieses Kommentars nicht. Die DSGVO sichert ja nicht die persönlichen Daten vor Hacks ab. Sie schafft einen Rechtsrahmen, damit nicht jeder nach Gusto mit persönlichen Daten machen kann, was er will. Und sie schafft einen Rechtsrahmen, der Datenschutzbehörden bei groben Versäumnissen oder Verstößen Sanktionsmöglichkeiten und Betroffenen auch juristische Klagemöglichkeiten an die Hand gibt. Dass Daten abzusichern sind, ist Aufgabe desjenigen, der diese Daten speichert und verarbeitet.
Ich mache mir z.B. hier im Blog seit Mai 2018 recht viele Gedanken um das Thema DSGVO und wie sichere ich Informationen ab, damit im Falle eines Hacks (den man nie ausschließen kann) der Schaden minimal bleibt. Daher gibt es viele Sachen wie Anmeldung, Newsletter, etc. nicht und ich lasse anonyme Kommentare zu, moderiere aber.
Die Aussage "Und wieder wird die DSGVO dafür sorgen, dass alle Daten die verloren gingen, restlos gelöscht werden." könnte man bei böswilliger Interpretation als "billige Polemik" verorten. Oder ich habe die Intention des Kommentars überhaupt nicht verstanden.
Ich interpretiere das so, egal was jetzt unternommen wird, die Daten sind jetzt auch in anderen Händen. Die DSGVO ist letztendlich eine Ansammlung von Dokumentationen als Pflicht. Auch wenn derjenige sehr pflichtbewusst war, hilft das letztendlich nicht die Daten „zurück zu holen". Was schließen wir daraus?
Ich fasse mal so zusammen: Weder xx noch TBR verstehen, was DSGVO ist. Die haben ein paar Buzzworte gehört und sich alles weitere polemisch zusammen gereimt.
Du wärst schwer überrascht wenn ich dir sage, was …
was?
Meine Kritik an der DSGVO liegt an der Art des Konzepts.
Das Konzept ist gestaltet wie die Hygiene Verordnung in der Gastro. Man muss nur brav immer alles sauber halten, und Hände waschen, und man ist sicher.
Gab es einen Vorfall, kann man wieder den sicheren Zustand herstellen, indem man eben die Hände wäscht und putzt.
Das funktioniert aber überhaupt nicht für Daten.
Man soll Verantwortung übernehmen für Systeme, die man nach Urheberrecht gar nicht verändern darf? Deren Lizenzverträge sehr genau festlegen wie man was wie wo verwenden darf.
Auch ist mit einem Absichern der IT nach einem Vorfall, nichts repariert. Denn die Daten sind trotzdem verloren. Denn Daten werden durch "verlieren" nicht weniger. Sondern mehr.
Es fällt auch nicht auf, wenn Daten verloren gehen. Denn es "fehlen" dann ja nirgendwo die Daten.
Es lässst sich bei Daten auch nur schwer feststellen, "woher" diese kommen.
Die Liste ist ewig.
Die DSGVO trifft dann vorallem alle, die etwas "betreiben" aber nie diejenigen die das System bauen.
Nur es drängt sich in der IT stark der Gedanke auf, kann man überhaupt ein System "sicher" betreiben.
Wenn man aber Systeme gar nicht sinnvoll sicher betreiben kann, was bringt dann die DSGVO?
Wem bringt die DSGVO dann was? Der Geschädigte dessen Daten verloren gingen, der den Schaden gar nicht beziffern kann?
Der Firma? Was soll sie kaufen? Statt FortiNet doch besser Ivanti? Oder WatchGuard? (welchen IT Dienstleister?)
.. sicher ist die neue Firewall mit AI drinnen..
Die DSGVO bringt nichts, weil sie an der Realität scheitert.
Die andere Frage, welche direkt damit zusammenhängt ist wie denn mit den USA umzugehen ist. In den USA gehören die Daten demjenigen der sie erhebt. Der Konflikt, aus der sehr unterschiedlichen Sichtweise, ist alt.
Was bringt also die EU Sicht auf Datenschutz, wenn die restliche Welt, eine andere Sicht hat, wir aber fast jede Software die verwendet wird importieren? (und die meisten Firmen mit vielen Firmen in anderen Ländern zusammenarbeiten)
Vielleicht wäre es besser anstatt zu versuchen die Büchse der Pandora zu schliessen, andere Ansätze zu verfolgen. z.b. könnte man in der EU erlauben dass man _keine_ Daten angeben muss.
Die Anschrift zur Lieferung könnte doch die Post virtuell gestalten, sodass der Lieferant gar nicht wissen muss wo ich wohne. Die Telefonnummer detto. Das funktioniert bei Kreditkarten Zahlungen inzwischen auch überall. Warum das nicht ausweiten?
Stimme ich voll und ganz zu. Leider entwickeln viele mittlerweile einen Fetisch für Verordnungen und Gebote ohne das es in vielen Fällen etwas positives bewirkt.
Es sind viele Frage, die imho aber am Kern vorbei gehen, was die DSGVO regelt.
Die DSGVO regelt, wie ich persönliche Daten erfassen und verarbeiten darf und gibt vor, dass bei einem Vorfall zu informieren ist.
Die Absicherung der persönliche Daten verarbeitenden Systeme hat erst einmal mit der DSGVO nichts zu tun.
Ich kann (zumindest in meinen Augen) doch nicht argumentieren: Da die DSGVO nichts zum Schutz der Daten beiträgt, wenn sie durch eine Cybervorfall abhanden kommen, ist sie wirkungslos und kann weg. Und dann reiße ich jeden Ansatz, irgendwelche Dritte am Missbrauch der über mich erfassten Daten zu hindern, gleich mit ein. Kann doch nicht ernst gemeint sein.
Gerade wenn wir in Sachen KI auf die Details blicken, habe ich ein großes Interesse daran, dass der Arzt meine Patientenbriefe nicht durch eine KI auswertet, die die Daten über den großen Teich lässt, in ChatGPT einspeist und dann auch noch in Modelle einfließen lässt – so dass ggf. jedermann drauf zugreifen kann. Gleiches gilt für meine Steuerunterlagen, meine Versicherungsunterlagen, meine Einkäufe etc. Die Beispiele lassen sich doch beliebig fortsetzen.
Das wissen wir doch alles. Wir wissen ebenso das es nur um die persönlichen und sensiblen Daten geht. Dennoch ist diese DSGVO so wie sie momentan ist, einfach nur Bürokratie die auf die Spitze getrieben wird.
Doch genau das ist meine Argumentation.
Ein Gesetz, das mir nie Sicherheit bietet, ist einfach nur kaputt.
Ich verstehe deinen Ansatz, dass du gerne die Kontrolle behalten würdest. Das setzt aber vorraus, dass andere überhaupt wissen, was sie tun. Und selbst wenn sie es wissen, es nicht unwissentlich tun.
Denn die Kontrolle deiner Daten liegt zwar per Gesetzt bei Dir, aber in der Praxis ganz sicher nicht.
Damit du Kontrolle ausüben könntest, müsstest du wissen wo deine Daten überall sind.
Ich kenne genug Leute in meinem Umfeld, die sich noch nie Gedanken gemacht haben wie sie mit Daten umgehen sollen.
Und was bringt das Ganze dann? Was bringt es mir, wenn ich Firmen fragen kann was sie von mir gespeichert haben (eh noch eine sinnvollere Anwendung der DSGVO), wenn andere Leute _meine_ Daten einfach verteilen?
Ein einzelner Mitarbeiter bei irgendeine Firma die meine Daten hat, reicht, um meine Daten für immer preiszugeben. (und es reicht wenn der Mitarbeiter einen schlechten Tag hatte, und bei FortiNet angestellt war, sodass irgendwo so eine Firewall gehackt wird).
Die gute Freundin, die im WhatsApp die KI verwendet.. und schon ist mein Chat irgendwo.
Der andere, der mein Foto vom Urlaub nett findet, und es in der KI bearbeitet.
Die Firma bei der ich für meine Mutter meine Andenken-Tasse bestellt habe.. da verwendet vielleicht der Mitarbeiter weil er mir was gutes tun will, und korrigiert das Bild mit einer Software die KI verwendet..
Der Arzt, der ChatGPT verwendet, weil warum auch immer
Die Sprechstundenhilfe des Arztes, die mein Mail liest, und für die "nette" Antwort eine KI verwendet. Und weil die Ordination keine hat.. verwendet sie halt ChatGPT.
Der ITler der die Fehlermeldung versehendlich nicht von Daten befreit und irgendwo eingibt?
Wenn Du ein Mail schickst, hast du keine Ahnung was der Empfänger damit macht.
Es ist eine Illusion zu glauben, man hätte eine Kontrolle über seine Daten.
Man könnte Argumentieren.. die DSGVO ist wie der TÜV, irgendwann wenn genug repariert wurde, erreicht man ein sicheres Niveau.
Nur das funktioniert für Daten nicht.
Es ist auch überhaupt keine Besserung in Sicht.
Stopp – Du argumentierst aus meiner Sicht mit einem von hinten aufgezäumten Pferd – oder ich hab was überlesen. Es geht doch bei der DSGVO nicht darum, ob Leute ihre Daten freiwillig / unfreiwillig an Dritte weitergeben und keine Kontrolle mehr haben.
Es geht darum, dass derjenige, der diese Daten erfasst, sich Gedanken macht, was er erfasst, wie er es erfasst und was er mit den erfassten Daten zu tun hat und was passiert, wenn die ihm anvertrauten Daten in falsche Hände kommen. Und es geht darum, dass ich eine Sanktionsmöglichkeit habe, wenn derjenige, der die Daten erfasst, diese sorglos, fahrlässig oder vorsätzlich missbraucht und an Dritte weitergibt.
Um mal bei deinen Beispielen zu bleiben: Wärst Du allzu glücklich, wenn die Sprechstundenhilfe deines Arztes im öffentlichen Forum deiner Gemeinde schreibt: Also, hört mal, der xx war schon drei Mal den Monat zur Hämorridenbehandlung und der Tripper will auch nicht ausheilen, ganz schlimmer Finger. Und der Banker des Vertrauens ergänzt dann mal schnell: Ok, wenn ich mir dem Kerl sein Konto anschaue, auch ganz klamm. Worauf der Dritte im Bunde, der beim Finanzamt schaffet, einwirft: Leude, danke für eure Insight, muss ich mich sputen, der Kerl fährt zwar Ferrari, aber in seiner Steuererklärung gibt er nur Verluste anhäuft. Spielt zwar alles auf das Konto Berufsgeheimnis ein – aber die DSGVO greift da auch mit ein.
Ich denke ein Problem bei der Diskussion gerade ist, dass Du allgemein von Datenschutz und Privatspähre sprichst, während ich die DSGVO als Konzept in der IT kritisiere.
Was ich will, und was ist, sind vollkommen unterschiedliche Dinge. Natürlich will ich auch, dass alle meine Daten vertraulich behandelt werden. Egal von wem.
Privatsphäre und Datenerhebung, sind vollkommen unterschiedliche Dinge. Was nützt es mir wenn mein Anwalt/Arzt meine Daten vertraulich speichert.. aber die dann doch verloren gehen durch einen Hacker Angriff?
In der IT ist der Datenschutz eher ein Datenschutz-Luftschloss.
Ich hatte die Frage hier schon öfter gestellt, am Ende sind alle Daten Personenbezogen, es gibt keine mir bekannte sinnvolle Abgrenzung.
Aber es bringt auch niemanden was, wenn man verbissen an einem Konzept festhält, das in der Praxis gescheitert ist.
Und das weiss auch jeder hier im Blog. Es sind ja am Ende die üblichen Ratschläge.. poste dies/das nicht auf Social Media, mache das Foto nicht, erlaube nicht dass jemand ein Foto von dir macht. Verwende die Cloud/WhatsApp/TikTok/.. nicht, verwende keine AI aus der Cloud, widerspreche der ePA, lass den Arzt keinen Arztbrief schreiben, stelle sicher, dass die Krankenkasse nicht weiss, .. usw. usw.
Das hat doch nichts mit Vertrauen in die DSGVO zu tun, das ist das Gegenteil. Das Wissen, dass einen die DSGVO nicht rettet.
Wenn die DSGVO funktionieren würde, bräuchte es die ganzen Warnung vor Cloud/Microsoft und AI nicht.
Sicher ist man nur wenn man seine Daten am besten bei sich behält.
Man kann aber Systeme in der IT sicher betreiben… nur kannst du dann deinen Gewinn nicht maximieren! Den sichere System kosten Zeit Können & Geld…
Daten gehen nicht "verloren" weil man sie nicht sichern kann sondern weil man das aus Gier nicht macht!
Das ist auch … nett …
https://www.verbraucherzentrale-brandenburg.de/pressemeldungen/digitale-welt/unbekannte-abbuchungen-vom-konto-112020
—
GB: Das Thema hatte ich im Oktober im Beitrag Unberechtigte Megatipp Emergency Call Services-Abbuchung von 89,90 Euro aufgegriffen. Ich stehe u.a. wegen des Themas mit der Verbraucherzentrale BW in Austausch – ist noch nicht so das große Thema, wird aber verfolgt.
@Techem-Vorfall:
>>"Kompromittierung des E-Mail-Kontos unseres Mitarbeiters"
Die wichtigen Infos fehlen mal wieder: Wie war das Konto geschützt? Nur Username und Kennwort? Gab es MFA? Kann man auf das Email-Konto von beliebigen Zielsystemen zugreifen (Conditional access)?
>>"Zeitraum von 30 Minuten"
Woher weiß Techem, dass nur 30 min Zugriff darauf bestand? Das wäre – wenn es stimmt – eine hervorragende SOC-Incident-Reaktionszeit.
>>> Woher weiß Techem, dass nur 30 min Zugriff darauf bestand? Das wäre – wenn es stimmt – eine hervorragende SOC-Incident-Reaktionszeit.
Eingangszeitpunk der Phising E-Mail die jemand angeklickt hat, bis zum Zeitpunkt wo der Fehler bemerkt wurde und die Gegenmaßnahmen ausgelöst wurden?
Betr. "202511-566 … Freundliche Grüße … Techem Energy Services GmbH":
Hat Techem die Echtheit dieser eMail bestätigt? Der Duktus wirkt verdächtig, versuchen Dritte hier einen Angriff auf den "Blog-Leser Benjamin" einzuleiten?
Käme es in einem zweiten Schritt zum per "Wenn Sie genaue Angaben zu den betroffenen Mails haben möchten, so können wir Ihnen auf Anfrage eine detailliertere Auflistung zukommen lassen." vorbereiteten Versand eines Malware-Attachments?
Logitech hat sich auch Daten klauen lassen, sowohl interne Firmendaten als auch Kundendaten.
https://ir.logitech.com/press-releases/press-release-details/2025/Logitech-Cybersecurity-Disclosure/default.aspx
https://www.bleepingcomputer.com/news/security/logitech-confirms-data-breach-after-clop-extortion-attack/