Datenschutz Blog

 


Datenschutz Blog 

 
Willkommen auf meinem neuen Datenschutz Blog zu Neuigkeiten, Ansichten und aktuellen Gerichtsurteilen rund um DSGVO, BDSG, ePVO und Co. 

#Hackerangriff - wie ein Schüler die IT-Welt in Aufruhr bringt

#Hackerangriff

Eine Kette ist nur so stark wie ihr schwächstes Glied. Selten passte diese alte Weißheit so gut wie im aktuellen Fall um den #Hackerangriff gegen rund tausend Prominente und Politiker. Das beste Passwort der Welt bringen nichts, wenn es auf einem Post-it am Bildschirm hängt und die sicherste Firewall kann keine Daten sichern, die den Mitarbeitern von gewieften Kriminellen entlockt werden. Mit einer einfachen Verschwiegenheitserklärung ist es da nicht getan, oder glauben Sie jeder Mitarbeiter weiß noch was er damals unterschrieben hat? Und der Imageschaden bleibt sowieso beim Unternehmen hängen, nicht beim achtlosen Mitarbeiter. Nur durch wiederholte Schulung und Sensibilisierung des Personals kann man eine menschliche Firewall aufbauen.

Es müssen nicht immer versierte Hacker aus Russland sein, die durch Hacker-Attacken den US-amerikanischen Wahlkampf beeinflussen oder Whistleblower, die die Machenschaften der Geheimdienste aufdecken. Es reicht ein Script Kid um einen riesigen Datenskandal auszulösen.
Script Kiddies werden in der Informationssicherheit Personen bezeichnet, die sich durch Doxing – dem Ausspähen von Daten, hergeleitet von doc., kurz für document - oft ohne erwähnenswerte Programmierkenntnisse den Leichtsinn der Leute zu Nutzen machen und deren Daten entwenden und gegen sie einsetzen.

Sie probieren Passwörter (Brute-Force-Attacke), erfragen am Telefon unter falscher Identität Login-Daten (Social Engineering) oder entlocken dem Geschädigten geheime Interna durch täuschend echt aussehende Briefe oder E-Mails (Phishing). Leider viel zu oft von Erfolg gekrönt.
Sich davor zu schützen ist einfach umzusetzen - wenn man denn darüber geschult wurde. Oft höre ich, dass es nicht möglich ist sich so viele komplizierte Passwörter zu merken. Die Folgen sind entweder einfache Passwörter oder aber sichere Passwörter, welche aber mehrfach und jahrelang verwendet oder aufgeschrieben werden, meist in PC-Nähe. Einfache Hilfsmittel wie ein Passwort-Tresor oder das Erzwingen von wechselnden, sicheren Passwörtern und einer zwei-Faktoren-Authentifizierung bei Log-Ins sind ein guter Anfang. Jedoch muss auch das gesamte Personal professionell über die Spielarten von Cyberkriminellen sensibilisiert, und über den korrekten Umgang mit Daten geschult werden - und das wiederholt.

Nichtmals Edward Snowden hat es mit den Enthüllungen rund um die NSA-Affäre 2013 geschafft den Satz „Ich hab doch nichts zu verbergen“ aus den kollektiven Köpfen zu bekommen. Datenschutz wurde in der Öffentlichkeit viel zu lange als lästige Bürokratie empfunden, statt als der Schutz der Privatsphäre eines jeden, dem er dient.

Der aktuelle #Hackerangriff auf Prominente und Politiker beherrscht die Medien zurzeit aufgrund der Bekanntheit der Opfer wie zuletzt der Facebook / Cambridge-Analytica-Skandal wegen seiner enormen Reichweite. Die Fälle von Datenpannen und erfolgreichen Hackerangriffen mit weniger Medienpräsenz häufen sich derweil Tag für Tag. Laut einer Bitkom-Studie wurden in den vergangenen zwei Jahren 68% aller Industrieunternehmen in Deutschland Opfer von Cyber-Angriffen, mit einem entstandenen Schaden von 43 Milliarden Euro – Tendenz stark steigend. Besonders KMU sind demnach im Visier der Kriminellen.

Innenminister Horst Seehofer fordert nach dem jüngsten #Hackerangriff nun ein IT-Sicherheitsgesetz 2.0, welches einen höheren Sicherheitsstandart gewährleisten soll. Das ist ein erster wichtiger Schritt und hoffentlich nicht nur Aktionismus, wirklich erfolgreich wird das Vorhaben allerdings erst mit einem Umdenken in den Köpfen der Nutzer. Die menschliche Firewall ist dafür unerlässlich.

„Zu sagen, dass einen Privatsphäre nicht interessiert, weil man nichts zu verbergen hat, ist wie zu sagen, dass einen Meinungsfreiheit nicht interessiert, weil man nichts zu sagen hat“ 
(Edward Snowden)


09.01.2019


Datenschutz 2019 - das kommt auf uns zu

DSGVO 2019

Ein ereignisreiches Jahr 2018 liegt hinter uns, Zeit für einen Ausblick auf den Datenschutz 2019.

Die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) werden durch ständig neue Gerichtsurteile, Stellungnahmen der Aufsichtsbehörden und qualitativ hochwertige Gesetzeskommentare immer greifbarer. Manche Sachverhalte sind nun klarer als noch vor einigen Monaten, von einer einfachen praktischen Umsetzung sind wir aber noch ein gutes Stück entfernt. Im Jahr nach Inkrafttreten von DSGVO und BDSG kommt es vor allem darauf an up to date zu bleiben. Es handelt sich nicht um ein starres Gesetz mit einer klaren Definition wie die Anwendung in der Praxis auszusehen hat - vielmehr befindet sich der Datenschutz zur Zeit im Wandel, geprägt von beinahe täglichen Neuerungen zur praktischen Auslegung.

Zusätzlich kommen weitere Verordnungen hinzu:
Seit dem 03. Dezember 2018 findet die EU-Verordnung zu Geoblocking - (EU) 20187302 - Anwendung. Sie verbietet das Geoblocking innerhalb der EU, was eine Beendigung von ungerechtfertigter Diskriminierung auf der Grundlage der Staatsangehörigkeit, des Wohnortes oder des Ortes der Niederlassung innerhalb des Binnenmarktes zur Folge haben soll. So ist es beispielsweise einem deutschen Online-Händler nicht länger gestattet, einen Interessenten aus Frankreich auf einen französischen Shop mit abweichenden Preisen weiterzuleiten oder aber für eine Lieferung nach Schweden mehr zu verlangen als in die Niederlande.

Diese Verordnung betrifft hauptsächlich die Betreiber von Online-Shops, weitaus mehr werden von der kommenden ePrivacy-Verordnung (ePVO) betroffen sein - nämlich beispielsweise jeder mit einem Internetauftritt.
Noch ist unklar wann genau die ePVO kommen wird und auch über Umfang und Inhalt wird noch rege diskutiert,  dass sie jedoch weitreichende Folgen für deutsche Unternehmen haben wird ist unbestritten.

Sie sehen also, selbst wenn man sein Unternehmen aktuell DSGVO- und BDSG-konform gemacht hat, wird sich in diesem Jahr erneut einiges ändern. Neue Anforderungen werden hinzu kommen und aktuelle Ansichten sind bald vielleicht schon wieder veraltet. Falls man das aktuelle Datenschutzrecht noch nicht ausreichend umgesetzt hat, sollte man damit besser heute als morgen beginnen.
In jedem Fall gilt: Bleiben Sie am Ball!


05.01.2019

Aufsichtsbehörden verhängen erste Bußgelder zur DSGVO

Bußgels DSGVO

Lag die Höchststrafe für Datenschutzverstöße im BDSG-alt noch bei 300.000 Euro, dauerte es nach Inkrafttreten der DSGVO keine fünf Monate Eingewöhnungszeit, bis im Oktober 2018 das erste Bußgeld verhängt wurde, welches diese Schallmauer durchbrochen hat.

Es handelte sich um das Krankenhaus Barreiro Montijo in Barreiro, Portugal. Die zuständige Aufsichtsbehörde CNPD verhängte ein Bußgeld von 400.000 Euro und begründete ihr Urteil durch eine mangelhafte Zugriffskontrolle - obwohl zu der Zeit lediglich 296 Ärzte in dem Krankenhaus arbeiteten, hatten 985 die Zugriffsrechte eines Arztes. So konnte beispielsweise Techniker auf Patientendaten zugreifen, die der ärztlichen Schweigepflicht unterlagen.
Hervorzuheben ist, dass diese Sicherheitslücke keine Datenpanne zur Folge hatte - angesichts dessen ist die Strafe umso beachtlicher.

Eine solche Datenpanne gab es ziemlich genau einen Monat später in Baden-Württemberg. Gegen den Chatanbieter Knuddels wurde das erste Bußgeld von einer deutschen Aufsichtsbehörde verhängt.
Durch unzureichende Datensicherheit - beispielsweise wurde Passwörter unverschlüsselt gespeichert - konnten Hacker wohl über einen nicht auf dem Stand der Technik gesicherten Backupserver die Zugangsdaten zu rund 1,9 Millionen Accounts entwenden.
Obwohl in diesem Fall ein reeller Schaden für die Betroffenen entstanden ist, fiel das Bußgeld mit 20.000 Euro deutlich geringer aus als bei dem Fall in Portugal.
Möglich wurde das durch die hervorragende Kooperation mit der Aufsichtsbehörde, voller Transparenz seitens der Verantwortlichen und direkter Maßnahmen zur erhöhten IT-Sicherheit.

Was wir daraus lernen:
Mithilfe eines vernünftigen Notfallkonzeptes und dem Know-how eines Datenschutzexperten, lässt sich selbst im Falle einer Datenpanne wenigstens der finanzielle Schaden minimieren. Bedenkt man die Höchststrafe seines solchen Vergehens nach DSGVO von 20 Millionen Euro, erscheinen die 20.000 Euro Bußgeld doch eher gering. 
Der entstandene Imageschaden hingegen ist dadurch nicht zu verhindern - da helfen nur ein stets gepflegtes Datenschutzmanagementsystem, professionell geschulte Mitarbeiter und ein angemessenes IT-Sicherheitskonzept.

Nur eines scheint sicher: Noch sind die Aufsichtsbehörden ziemlich überlastet aber auch das wird sich ändern. Die Liste der verhängten Bußgelder wird weiter wachsen - treffen Sie jetzt die nötigen Vorkehrungen, um nicht auf dieser zu landen!

02.01.2019