Behörde Archive

Möglicher Datenschutzverstoß bei Nutzung von VirusTotal

31. März 202231. März 2022 Sascha Kuhrau

Das BSI warnt aktuell vor einem möglichen Datenschutzverstoß bei Nutzung von VirusTotal. Neben dem Datenschutzrisiko sind aber auch andere schützenswerte Informationen der eigenen Organisation oder von Externen in Gefahr, Dritten gegenüber offengelegt zu werden.

Was ist VirusTotal?

VirusTotal ist ein Service von Google und unter https://www.virustotal.com erreichbar. Über den Dienst kann man beispielsweise verdächtige Webadressen (URL) überprüfen, bevor man diese selbst im Browser auf dem eigenen System aufruft. Eine Empfehlung, die wir beispielsweise im Rahmen unserer Schulungen und Webinare häufiger aussprechen.

Neben diesem URL-Check bietet VirusTotal jedoch auch an, Dateien zur Online-Überprüfung durch eine Vielzahl bekannter Virenscanner hochzuladen. Und da liegt auch der Hase im Pfeffer. Neben der Nutzung direkt im Browser bietet VirusTotal auch Business-Services an, bei denen kein manueller Upload erfolgen muss, sondern die Prüfung automatisiert im Hintergrund durchgeführt wird.

“Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten.”, so das Bundesamt für Sicherheit in der Informationstechnik.

Wo ist das Problem bzw. der Datenschutzverstoß bei Nutzung von VirusTotal?

Werden Dateien mit personenbezogenen Daten hochgeladen bzw. geprüft, liegt für gewöhnlich eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Diese muss inkl. der TOM-Prüfung korrekt VOR Nutzung des Dienstes geregelt und vereinbart sein. Hinzu kommt, dass lt. BSI Datenweitergaben an zahlreiche AV-/Scan-Anbieter auch mit Sitz außerhalb der EU erfolgen. Vor dem Hintergrund der aktuellen Diskussion um Drittstaatenübermittlungen nicht ganz unproblematisch.

Und ganz nebenbei: Selbst dann, wenn Dateien ohne personenbezogene Daten hochgeladen werden, besteht ein nicht unerhebliches Risiko. Nämlich dann, wenn es sich um vertrauliche bzw. schützenswerte Informationen der Organisation (oder eines Kunden / Bürgers / Auftraggebers) handelt. Diese Datei wird munter mit allen angeschlossenen Anbietern geteilt. Will man das für Geschäfts- bzw. Organisationsgeheimnisse? Eher nicht.

Was kann helfen?

Mitarbeiter auf dieses grundlegende Sicherheitsproblem bei der Nutzung des Dienstes aufmerksam machen bzw. dafür ausreichend sensibilisieren (Nein, Papier alleine reicht nicht!)
Regelungen treffen, ob und wenn ja welche Dateien möglicherweise doch einem Check durch den Service unterzogen werden dürfen (z.B. bei Vertraulichkeitsstatus “Öffentlich”)
Oder wie das BSI rät, ausschließlich mit Hash-Werten der Dateien zu arbeiten (tricky, aber machbar)

Weitere Unterstützung bieten die Fragestellungen an Sicherheitsbeauftragte auf Seite 3 der Stellungnahme des BSI zum Thema, zu finden hier.

Whistleblower-Richtlinie und bald das HinSchG

Behörde Hinweisgeber Kommune Öffentliche Verwaltung Unternehmen Verein Whistleblowing

Whistleblower-Richtlinie / Hinweisgeberschutzgesetz pragmatisch umgesetzt mit Whistle Safe

10. Januar 20221. Februar 2022 Sascha Kuhrau

Seit November 2019 steht die europäische Hinweisgeberschutz-Richtlinie im EU-Amtsblatt (Whistleblower-Richtlinie). Ihre Vorgaben sind nun in Kraft getreten und greifen seit dem 18.12.2021. Die Mitgliedstaaten hatten zuvor zwei Jahre Zeit, das EU-Gesetz in nationales Recht umzusetzen. Die Umsetzung im deutschen Hinweisgeberschutzgesetz wird für Quartal 1 2022 erwartet. Die Anforderungen können jedoch bereits gegen Organisationen geltend gemacht werden.

Juristische Personen wie Firmen, Behörden und andere Rechtsträger (mit mehr als 50 Mitarbeitern) sowie alle Unternehmen aus dem Bereich der Finanzdienstleistungen müssen gemäß den Vorgaben der Whistleblower-Richtlinie prinzipiell ein (internes) Hinweisgebersystem bereitstellen und einen speziellen Beauftragten als Ansprechpartner vorsehen. Geringfügige Ausnahmen können lediglich für Gemeinden mit weniger als 10.000 Einwohnern gemacht werden.

Anders als von der deutschen Rechtsprechung bislang vorgegeben, muss nach der Whistleblower-Richtlinie ein Hinweisgeber einen Missstand nicht mehr zunächst intern in der eigenen Firma oder Behörde melden. Er kann sich auch unmittelbar an übergeordnete Whistleblower-Stellen wenden oder bei irreversiblen Schäden, drohenden konkreten Repressalien und beim Ausbleiben einer zügigen Rückmeldung an die Medien. Damit entzieht sich eine solche Meldung der Kontrolle Ihrer Organisation und birgt entsprechende Risiken (Imageschaden, Bußgelder, Geldstrafen etc.)

Unser Partner Whistle Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Firma oder Kommune die rechtlichen Anforderungen der Whistleblower-Richtlinie mittels der gesetzlich explizit vorgesehenen externen Unterstützung elegant und auch kostenschlank lösen können.

Die Webinare (ca. 30 Minuten) finden statt:

10. Februar 2022, 09:00 — 09:30 Uhr
18. Februar 2022, 11:00 — 11:30 Uhr
24. Februar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bitte nutzen Sie den folgenden Link zur Registrierung für einen Termin Ihrer Wahl:
https://next.edudip.com/de/webinar/whistleblowing-richtlinie-hinweisgeberschutzgesetz-pragmatisch-umgesetzt-mit-whistle-safe/1768122

Hinweis: Diese kostenfreie Veranstaltung zur Whistleblower-Richtlinie wird von Whistle Safe e.K. Berlin durchgeführt, nicht von der a.s.k. Datenschutz. Fragen richten Sie daher bitte direkt an info@whistle-safe.com bzw. https://whistle-safe.com

Herzliche Grüße sowie ein frohes und vor allem gesundes Neues Jahr 2022
Das Team von a.s.k. Datenschutz

E‑Privacy und der gelebte Datenschutz

16. November 20209. Dezember 2020 Lin Henry Qiu

Am 04.11.2020 wurde ein Entwurf für eine E‑Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.

Ausnahmen dieser E-Privacy Aspekte

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E‑Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheit, fraud prevention, Direktwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E‑Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.

E‑Privacy und das Nutzerverhalten

Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen.

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.

Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´ der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.

Behörde Informationssicherheit ISIS12 ISMS IT Sicherheit Kommune Unternehmen

a.s.k. Datenschutz erfolgreich Informationssicherheit (ISMS) nach ISIS12 zertifiziert

14. November 2020 Sascha Kuhrau

Nach nur knapp 6 Monaten Einführung eines Informationssicherheitsmanagementsystems, kurz ISMS wurde das Team von a.s.k. Datenschutz für die investierte Zeit und Nerven belohnt. Nach einem erfolgreichen Vor-Ort-Audit Mitte Oktober durch die DQS GmbH haben wir zum 31.10.2020 das Zertifikat über die erfolgreiche Einführung und den nachweislichen Betrieb unseres ISMS auf Basis des Standards ISIS12 2.0 erhalten. Damit sind wir die erste Organisation, die im neuen Katalog 2.0 zertifiziert wurde. Das freut uns natürlich gleich noch etwas mehr.

Neben den rein formalen Anforderungen haben diese 6 Monate auch einige Veränderungen an Arbeitsprozessen und eingesetzten Softwarelösungen z.B. für den Bereich Mobile Device Management und Hardware-Verwaltung mit sich gebracht. So konnten wir bereits die Phase der Einführung zur weiteren Verbesserung der technischen und organisatorischen Schutzmaßnahmen nutzen. Weiterer Vorteil: Der Nachweis geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO wird durch die Zertifizierung deutlich erleichtert.

ISIS12 (Informationssicherheit in 12 Schritten) ist eine aus dem BSI IT-Grundschutz abgeleitete Vorgehensweise, welche es kleinen und mittleren Organisationen ermöglicht, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben. a.s.k. Datenschutz berät und unterstützt seit vielen Jahren zahlreiche Kommunen und Unternehmen bei Einführung und Betrieb eines ISMS auf Basis von ISIS12, aber auch anderer Standards wie dem BSI IT-Grundschutz selbst. Für uns war es daher ein logischer Schritt, unseren Kunden nicht nur gute Ratschläge zur Einführung und Betrieb von ISIS12 zu geben und sie dabei zu begleiten, sondern uns selbst diesen Regularien zu unterwerfen und das Ganze auch mit Zertifizierung abzuschließen.

Nachdem die ISIS12-Katalogreihe 1.x zu April 2022 abgekündigt wurde, war es für uns selbstverständlich, den Nachfolge-Katalog 2.0 einzuführen. Die überarbeitete Struktur sowie deutliche Aktualisierung der Bausteine und Maßnahmen im Katalog 2.0 gegenüber den früher aus dem IT-Grundschutz-Katalog entnommenen Elementen haben eine zügige, nachvollziehbare und transparente Einführung sehr unterstützt.

Wir können daher aus eigener Erfahrung nur empfehlen, neue Projekte generell nur noch im Katalog 2.0 zu starten bzw. vorhandene ISMS auf Basis der 1.x Kataloge bei nächster passender Gelegenheit umzustellen. Die Upgrade-Pfade sind gut dokumentiert und für unsere Kunden haben wir weitere Systematiken zur einfachen Konvertierung entwickelt.

Wie sagte unser Auditor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letzten Tage bereits genutzt, um uns weiterzuentwickeln. Denn in 12 Monaten müssen wir uns dem ersten Überwachungsaudit (Ü1) stellen und auch das wollen wir mit einem sehr guten Ergebnis abschließen.

Das ISIS12 Zertifikat hat eine Gültigkeit von 3 Jahren und kann hier eingesehen bzw. als PDF abgerufen werden. Wenn Sie mehr über den Standard ISIS12 erfahren wollen, können Sie hier in unserem Blog oder auf der Webseite des IT-Sicherheitsclusters Regensburg weitere Details nachlesen.

Patientendaten PDSG ePA Datenschutz mangelhaft

Patientendaten — neues Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

5. September 20209. Dezember 2020 Lin Henry Qiu

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat.

Patientendaten als hochsensibles Schutzgut

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur ‘vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten ‘intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten

Es würden ‘aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) ‘ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien ‘weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA.

Patientendaten in Zeiten fragwürdiger ‘Digitalisierung´

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der ‘behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein.

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022 für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können — entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung.

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf.

Schutz vor allem für die Verursacher von Datenschutzverletzungen

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit ‘Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik ‘datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben ‘konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels ‘operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich.

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich — hinreichende Gesundheit vorausgesetzt — mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten.

Fazit und Statement

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter.

Das heißt also — verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

Kategorie: Behörde

Mög­li­cher Daten­schutz­ver­stoß bei Nut­zung von VirusTotal

Was ist VirusTotal?

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Was kann helfen?

Whist­leb­lower-Richt­li­nie /​ Hin­weis­ge­ber­schutz­ge­setz prag­ma­tisch umge­setzt mit Whist­le Safe

E‑Privacy und der geleb­te Datenschutz

Aus­nah­men die­ser E-Priva­cy Aspek­te

Inte­gri­tät und Vertraulichkeit

E‑Privacy und das Nut­zer­ver­hal­ten

a.s.k. Daten­schutz erfolg­reich Infor­ma­ti­ons­si­cher­heit (ISMS) nach ISIS12 zertifiziert

Pati­en­ten­da­ten — neu­es Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten