Datenschutz & IT-Sicherheit –
Ihr Update Juni 2025

Moin ,

neulich bei einem Branchentreffen sagte mir der Geschäftsführer einer mittelständischen Industriefirma: „Ehrlich gesagt, ich klick schon gar nicht mehr auf diese Warnmails mit Kritische Sicherheitslücke entdeckt – ich hätte gar nicht die Kapazitäten, ständig alles zu überprüfen.“

Ein Satz, der hängen bleibt. Und der zeigt, was viele beschäftigt: Die Anforderungen an Datenschutz und IT-Sicherheit nehmen zu, aber der Arbeitsalltag lässt kaum Luft für Umsetzung. Zwischen Personalengpässen, Softwareeinführung und steigenden Kosten fällt IT-Risiko-Management oft hinten runter.

Deshalb finden Sie in diesem Newsletter wieder genau das, was Sie wirklich brauchen:

  • Aktuelle Entwicklungen, die Ihren Betrieb betreffen
  • Verständlich erklärt – ohne Fachchinesisch

Mit konkreten Empfehlungen, die auch mit wenig Zeit umsetzbar sind.

Themen im Überblick – durch Klicken direkt zum Abschnitt springen:

Wie Angreifer über Firmenhandys ins Unternehmen gelangen – und was Sie jetzt tun sollten

Im beruflichen Alltag läuft heute fast alles mobil: Ein schneller Blick aufs Kundenangebot vom Handy aus, eine Projektfreigabe übers Tablet, ein Zugriff auf sensible Pläne aus dem Homeoffice. Praktisch – aber auch riskant. Denn je mehr mobile Geräte im Einsatz sind, desto mehr Türen öffnen sich für Angreifer.

⚠️ Und dabei reden wir nicht von futuristischen Cyberangriffen – sondern von ganz realen Lücken, die selbst etablierte Sicherheitslösungen betreffen.

Ein aktuelles Beispiel: die Ivanti-Sicherheitslücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Mitte Mai 2025 eine ernste Warnung veröffentlicht: In der Software Ivanti Endpoint Manager Mobile (EPMM) – ein System zur zentralen Verwaltung von Mobilgeräten – wurden gleich mehrere Schwachstellen entdeckt. Und diese werden nicht nur theoretisch, sondern bereits aktiv ausgenutzt.

❗Konkret: Angreifer können über die Lücke Kontrolle über mobile Geräte erhalten. Das betrifft unter anderem Geräte mit Zugriff auf interne Netzwerke, Kundendaten oder E-Mail-Postfächer.

Was bedeutet das für Sie – auch wenn Sie Ivanti nicht nutzen?

Diese Vorfälle zeigen, wie kritisch es ist, mobile Geräte nicht als Nebenschauplatz, sondern als echten IT-Sicherheitsbereich zu behandeln. Viele Unternehmen vertrauen darauf, dass ihre mobile Infrastruktur „schon irgendwie sicher“ ist – ohne zu prüfen, ob z. B.:

  • Software noch Updates bekommt
  • Zugriffsbeschränkungen aktiv sind
  • Endgeräte im Verlustfall schnell gesperrt werden könnten

Was Sie konkret tun sollten – unabhängig vom Hersteller:

  1. Mobilgeräte im Unternehmen erfassen
    Welche Smartphones, Tablets oder Laptops sind im Einsatz – und wer nutzt sie wofür? Gibt es Regelungen zu privaten Geräten im Arbeitsumfeld (Bring Your Own Device)?
  2. Zentrale Verwaltung prüfen
    Nutzen Sie eine Lösung zur Verwaltung Ihrer Geräte? Wird sie aktiv gepflegt und regelmäßig aktualisiert?
  3. Sicherheitsrichtlinien umsetzen
    Legen Sie klare Regeln fest: automatische Bildschirmsperre, regelmäßige Updates, VPN-Nutzung außerhalb des Büros, Rechteverwaltung.
  4. Krisenreaktion vorbereiten
    Wer wird informiert, wenn ein Gerät verloren geht oder ein Angriff erfolgt? Gibt es dafür einen Ablauf?
➡️ Erstellen Sie Regelungen für den Gebrauch von Firmenhandys – bevor etwas passiert. Wir unterstützen Sie gerne – setzen Sie sich einfach direkt mit uns in Verbindung.

Und falls Sie Ivanti konkret im Einsatz haben:
Installieren Sie sofort die vom Hersteller bereitgestellten Sicherheitsupdates. Lassen Sie zudem prüfen, ob Ihre Systeme möglicherweise bereits betroffen sind.

Zur BSI-Warnung: Ivanti EPMM: Zero-Day Schwachstellen werden aktiv ausgenutzt

Gericht erlaubt KI-Training mit öffentlichen Profildaten

Das Oberlandesgericht Köln hat im Mai 2025 ein aufsehenerregendes Urteil gefällt: Der Meta-Konzern darf Bilder und Beiträge aus öffentlich einsehbaren Facebook- und Instagram-Profilen für das Training Künstlicher Intelligenz (KI) verwenden – auch ohne ausdrückliche Zustimmung der Nutzer.

Was bedeutet das für Ihr Unternehmen?

Wenn Sie selbst KI einsetzen – etwa zur Analyse von Bewerbungen, Kundendaten oder für automatisierte Prozesse – müssen Sie besonders sorgfältig prüfen, auf welchen Daten Ihre KI basiert. Denn auch wenn große Konzerne scheinbar durchkommen, gilt für alle anderen: Die Datenschutz-Grundverordnung (DSGVO) bleibt verbindlich.

Was Sie konkret tun können:

  • Datenschutz überprüfen: Prüfen Sie alle Prozesse, in denen personenbezogene Daten automatisiert verarbeitet werden.
  • Transparenz sicherstellen: Informieren Sie Ihre Kunden und Mitarbeitenden darüber, wenn KI zum Einsatz kommt.
  • Einwilligungen für Medien prüfen
    Haben Sie für veröffentlichte Fotos oder Videos von Mitarbeitenden wirklich gültige Einwilligungen – freiwillig, dokumentiert und widerrufbar?
  • Technik & Ethik verbinden: Stellen Sie nicht nur die technische Machbarkeit, sondern auch die rechtliche und gesellschaftliche Verantwortung in den Fokus.

📌Kurz gesagt: KI ist kein Freifahrtschein. Nutzen Sie sie klug – und mit gesundem Datenschutzverstand.

Das Urteil im Originalkontext finden Sie hier:
Oberlandesgericht Köln, 15 UKl 2/25

Nutzen Sie unseren kostenfreien Orientierungstermin zum Thema KI – für einen ersten Überblick über rechtliche, organisatorische und strategische Fragen rund um den KI-Einsatz in Unternehmen.

Hinter unseren Kulissen

1. NIS2 verzögert sich – aber wir bleiben dran!

Die Umsetzung der NIS2-Richtlinie lässt auf politischer Ebene weiter auf sich warten – statt Klarheit herrscht aktuell eher Stillstand.

Aber: Wir waren nicht untätig!
Wir haben einen praktischen Umsetzungsordner entwickelt – ganz ohne IT-Kauderwelsch, dafür mit klaren Schritten, praxiserprobten Vorlagen und konkreten Empfehlungen für Verantwortliche in Unternehmen.

📩 Interesse? Schreiben Sie uns einfach an info@vicotec.de

2. KIsela – bald noch mehr Unterstützung durch KI

Wir freuen uns, dass unser Projekt KIsela – IT-Risikobewertung mittelständischer Unternehmen mit KI nun offiziell an den Start gegangen ist!

Dank einer Förderung durch den Europäischen Fonds für regionale Entwicklung (EFRE), das Land Niedersachsen und die GRW-Initiative arbeiten wir mit Hochdruck daran, eine echte Innovation für den Mittelstand zu entwickeln:

KIsela ist eine lokal betriebene KI-Lösung, die sensible IT- und Datenschutzdokumente vollständig offline auswertet – ganz ohne Cloud, ganz ohne Datenübertragung.

Wozu das Ganze?

In vielen Unternehmen schlummern umfangreiche Informationen: IT-Dokumentationen, Verzeichnisse, Auditberichte. Daraus entstehen Risikobewertungen – ein aufwendiger, oft manueller Prozess.

Für uns ist die Förderung ein starkes Signal: Der Bedarf ist da – und wir entwickeln KIsela, um Sie künftig noch gezielter bei Datenschutz und IT-Sicherheit zu entlasten.

📣 Wir halten Sie auf dem Laufenden!

3. ViCoTeach: Die neue Manager-Rolle ist da

Seit dem Start unserer Schulungsplattform ViCoTeach im Jahr 2023 hat sich viel getan – dank Ihres Feedbacks. Die Plattform ist heute noch intuitiver, flexibler und praxisnäher.

Neu ist die sogenannte Manager-Rolle:
Mit dieser Funktion können Sie eine oder mehrere Personen in Ihrem Unternehmen dazu berechtigen:

  • neue Nutzer:innen selbst anzulegen oder bei Austritt zu deaktivieren
  • den aktuellen Lernstand der Kolleg:innen jederzeit im Blick zu behalten

Das spart nicht nur Zeit – sondern gibt Ihnen endlich die Kontrolle, Datenschutz- und IT-Sicherheitswissen im Unternehmen aktiv zu begleiten.

📩 Wenn Sie die Manager-Rolle nutzen möchten:
Teilen Sie uns per Mail mit, wer die Funktion übernehmen soll – idealerweise mit der jeweiligen E-Mail-Adresse an info@vicotec.de

Quick-Hinweise – relevante Infos für Ihre IT-Ansprechpartner

1. Fortinet-Firewalls – kritische Fernzugriffs-Lücke

Eine schwerwiegende Schwachstelle (CVE‑2024‑55591, CVSS 9.6) in FortiOS und FortiProxy ermöglicht es Angreifern, sich unbemerkt Super‑Admin-Rechte zu verschaffen – ganz ohne Anmeldung.

➡️ TIPP: Prüfen Sie die Firmware Ihrer FortiGate-/Proxies – betroffene Versionen 7.0.0–7.0.16 beziehungsweise FortiProxy 7.x. Installieren Sie dringend die aktuellen Versionen oder setzen Sie auf nicht betroffene Releases

2. Microsoft‑Exchange – tausende Server in Deutschland verwundbar

Laut BSI sind über 17 000 Exchange-Server in Deutschland offen im Netz und ohne aktuelle Patches – davon 12 % sogar offiziell ohne Support. Gefährlich: Remote-Code-Ausführung (RCE) und NTLM-Relay-Angriffe.

➡️ TIPP: Führen Sie sofort verfügbare Updates oder Patches (z. B. Extended Protection aktivieren) ein. Wenn Ihre Exchange-Instanz öffentlich erreichbar ist, prüfen Sie dringend auf ungewöhnliche Aktivitäten

3. SVG-Phishing – unterschätzte Dateiangriffe

Phishing per SVG-Datei: Angreifer versenden E-Mails mit scheinbar harmlosen Bilddateien, die jedoch aktive Codeschnipsel enthalten und beim Öffnen Schadprozesse auslösen.

➡️ TIPP: Schulen Sie Ihre Mitarbeitenden auf diese neue Masche, blockieren Sie SVG-Dateien im E-Mail-Filter und behandeln Sie eingehende SVGs besonders vorsichtig.

Aktuelle Sicherheitswarnungen finden Sie jederzeit beim BSI: BSI - BSI-IT-Sicherheitsmitteilungen

Wenn Ihnen dieser Newsletter beim Nachdenken, Umsetzen oder beim „Mal-wieder-dran-Denken“ geholfen hat – freut uns das sehr.

Vielleicht kennen Sie jemanden in Ihrem Team oder Ihrem Netzwerk, für den diese Inhalte hilfreich wären? Leiten Sie den Newsletter gern weiter.

Bei Fragen zu Datenschutz oder IT-Sicherheit erreichen Sie uns persönlich unter info@vicotec.de.

Beste Grüße und bis zum nächsten Update
Ihr ViCoTec-Team

Thorsten Brendel, Geschäftsführer
Instagram Nutzername LinkedIn Firmenname
Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich HIER abmelden.
 
 
ViCoTec IT-Sicherheit & Datenschutz GmbH & Co. KG
Thorsten Brendel
Im Technologiepark 12
26129 Oldenburg
Deutschland

+49 441 249265 20
info@vicotec.de
https://www.vicotec.de

Geschäftsführer: Thorsten Brendel
Register: HRA: 200177 Handelsregister Oldenburg
Tax ID: DE246701809