Informationssicherheitsbeauftragter

ISB Boot Camp 2024 — Weiterbildung für Informationssicherheitsbeauftragte

von Sascha Kuhrau
27. Februar 202427. Februar 2024

Weiterbildung für Informationssicherheitsbeauftragte

Das Boot Camp 2024 für kommunale Informationssicherheitsbeauftragte findet heuer am 09.04. und 10.04.2024 im wunderschönen Gunzenhausen statt. Mittlerweile ist diese Veranstaltung in der modernisierten Stadthalle in Gunzenhausen bereits eine feste Institution für kommunale Informationssicherheitsbeauftragte geworden. Neben fachlichen Informationen und Tipps aus der Praxis im Rahmen von Vorträgen und zumeist Workshops steht das Netzwerken und das “Fachsimpeln” unter den rund 100 Teilnehmern im Vordergrund. Dafür wird dieses Jahr noch mehr Raum sein als zuvor.

Die Teilnehmer erwartet ein abwechslungsreiches Programm, das sowohl technische als auch organisatorische Aspekte der Informationssicherheit und die Belange des Tagesgeschäfts eines Informationssicherheitsbeauftragten umfasst. Organisiert und koordiniert wird die zweitägige Veranstaltung durch die Bayerische Verwaltungsschule (BVS), das Landesamt für Sicherheit in der Informationstechnik Bayern (LSI), der Stadt Gunzenhausen und der a.s.k. Informationssicherheit Sascha Kuhrau.

Agenda und Themen des ISB Boot Camp 2024

Nach den am ersten Tag obligatorischen Begrüßungsworten durch den 1. Bürgermeister der Stadt Gunzenhausen, Herrn Karl-Heinz Fitz und den Präsidenten des Landesamt für Sicherheit in der Informationstechnik (LSI), Herrn Bernd Geisler, geht es gleich in medias res.

Herr Reiner Schmidt (LSI) wird unter dem Titel “Neues aus dem LSI” nicht nur das aktuelle Bedrohungsrisiko für Kommunen skizzieren, sondern dazu das Beratungs- und Dienstleistungsangebot des LSI vorstellen, um diesen Risiken als Kommunalverwaltung besser begegnen zu können.

Der größte Teil des ersten Tages bleibt jedoch den Praxis-Workshops vorbehalten, die sich mehrmals wiederholend am ersten und zweiten Tag angeboten werden. Dadurch erhalten die Teilnehmer die Möglichkeit, so viele Themen zu besuchen, wie möglich. Auf der Agenda stehen:

Im Gespräch mit dem LSI, Reiner Schmidt (LSI)
KI: Chancen und Risiken aus Sicht von Informationssicherheit und Datenschutz, Sascha Kuhrau (a.s.k. Informationssicherheit)
Austausch-Plattformen /Cloud-Nutzung, Hartmut Löhmann (Stadt Kempten)
Phishing Simulation: Stärken Sie Ihre Verteidigung gegen Sicherheitsbedrohungen, Erich Weidinger (GKDS)
Praktische Anwendung Kommunalprofil im Rahmen der BSI IT-Grundschutz Basis-Absicherung, Gerd Olsowsky-Klein (Bayerischer Verwaltungsgerichtshof)
Konzept zur Abwehr von Schadprogrammen — ein Lösungsansatz aus der Praxis für die Praxis, Bernhard Wiedemann (Landkreis Landshut)
Sicheres Websurfen – Sand Boxing Verfahren, Marc Behl (Stadt Würzburg) und Richard Lippmann (Stadt Zirndorf)
Einsatz von Echtzeit Whitelist-DNS-Filtern, Michael Pentza (Stadt Gunzenhausen) und Heiki Lehner (keepbit IT-Solutions GmbH)
Penetration Tests bzw. Security Testing — Erfahrungen aus einem oft getesteten Unternehmens, Felix Struve (intive GmbH)
Tabletop-Übungen als integraler Bestandteil eines erfolgreichen Notfallmanagements, Lukas Schmid (LSI)
Deepfakes als neuer Angriffsvektor, Andrea Reichl-Streich (Stadt Ingolstadt)
“Betrug & Abwehr” — im spielerischen Umgang mit Cyberangriffen und deren Abwehr zum Held / zur Heldin der IT-Sicherheit!, Richard Lippmann (Stadt Zirndorf)
Von 0 auf 200–4: Business Continuity Management in einem Landratsamt, Matthias Rauschenberg (Landratsamt Miesbach)
Bewusstsein schaffen – Der Faktor Mensch in der IT-Sicherheit, Robert Lohmann (IMC AG)
Neues aus der BVS, Michaela Wintermayr-Greck (BVS)
Interaktiver Cyberangriff, N.N. (Bayerisches Landeskriminalamt)

Am zweiten Tag wird am Vormittag zur Podiumsdiskussion geladen. Titel: “Digitale Souveränität – Welche Qualifikation brauchen wir zukünftig in der Aus- und Fortbildung in Behörden?”

Auf dem Podium dürfen wir begrüßen und freuen uns auf eine spannende Diskussion mit

Hans-Christian Witthauer ‚Vorstand der Bayerischen Verwaltungsschule (BVS)
Bernd Geisler Präsident des Landesamts für Sicherheit in der Informationstechnik (LSI)
Dr. Wolfgang Denkhaus, Bayerisches Staatsministerium für Digitales (StMD)
Sascha Kuhrau, a.s.k. Informationssicherheit und Dozent der BVS
Dr. Oliver Brunner, Geschäftsstelle des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)

Als Moderator führt der geschätzte Horst Schäfer (ehem. IT-Leiter der Stadt Gunzenhausen und Ausbilder bei der BVS) durch die Podiumsdiskussion.

Am ersten Veranstaltungstag erwartet die Teilnehmer ein interessantes, kurzweiliges Abendprogramm, bevor der Tag bei einem gemütlichen Abendessen ausklingt.

Erhalt der Fachkunde von Informationssicherheitsbeauftragten

Die Veranstaltung dient als Nachweis zum Erhalt der Fachkunde von ausgebildeten Informationssicherheitsbeauftragten.

Weitere Informationen und zur Anmeldung — siehe BVS.

Save the date: BVS ISB Boot Camp Gunzenhausen 28.–29.03.2023

von Sascha Kuhrau
14. Februar 2023

Nicht nur für aktive Informationssicherheitsbeauftragte interessant. Und nachdem es die Pandemie-Umstände zulassen, dieses Jahr wieder als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gunzenhausen am 28.03. und 29.03.2023

Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte, aber auch Datenschutzbeauftragte und IT-Leiter treffen sich zum Erfahrungsaustausch und Netzwerken rund um aktuelle Themen der Informationssicherheit, der IT-Sicherheit und des Datenschutzes. Dabei geht es nicht nur um aktuelle Bedrohungslagen, sondern auch Lösungen aus der Praxis, um diesen bestmöglich zu begegnen. Technische und organisatorische Maßnahmen, sowie pragmatische Lösungsansätze, die sich im Alltag bewährt haben, stehen im Vordergrund der Plenumsbeiträge und zahlreichen Workshops. Als Referenten konnten zahlreiche aktive Informationssicherheitsbeauftragte aus Kommunalverwaltungen und Unternehmen gewonnen werden, die gerne ihre Erfahrungen teilen und sich freuen, mit den Teilnehmern in interessante Diskussionen einzutreten.

Auch das Landesamt für Sicherheit in der Informationstechnik Bayern, kurz LSI ist wieder mit von der Partie im diesjährigen ISB Boot Camp und stellt interessante Themen vor. Daneben besteht natürlich auch die Möglichkeit des direkten Austauschs mit Mitarbeitern des LSI während der ganzen Veranstaltung.

Durch ausreichende Pausen und auch im Zuge des Abendprogramms am 28.02. steht allen Teilnehmern ausreichend Zeit und Möglichkeit zum Erfahrungsaustauch und Netzwerken zur Verfügung.

Natürlich dreht sich viel um technische und organisatorische Maßnahmen im Alltag der Informationssicherheit und des Datenschutzes. Aber auch strategische Themen mit Blick nach vorne kommen nicht zu kurz (Auszug):

ISMS — Wo geht die (bayrische) Reise hin?
Aus der Praxis eines Informationssicherheitsbeauftragten von 60 Kleinorganisationen
Technisches Know-How für Informationssicherheits- und Datenschutzbeauftragte
Das ISMS / die TOM überprüfen — Permission rights reviews, Penetrationtests, interne Audits, Floorwalks, weitere Kennzahlen
ChatGPT und mögliche Auswirkungen auf die Informationssicherheit
Windows Support Anrufe — wie ein Social Engineer in die Falle gelockt wurde
Schwachstellenmanagement mit Tools in der Praxis
Low budget Phishingkampagne
Aktuelle Bedrohungslage
und immer wieder verblüffend: Live Hacking

Die Agenda des ISB Boot Camp füllt sich derzeit noch mit weiteren Themen und Beiträgen.

Durchgeführt wird das ISB Boot Camp — wie gehabt — von der Bayerischen Verwaltungsschule. Weitere Organisatoren sind die Stadt Gunzenhausen, das LSI und wir von der a.s.k. Datenschutz. Es richtet sich jedoch nicht ausschließlich an Mitarbeiter der Kommunalverwaltung.

Interesse? Dann geht es hier zur Anmeldung.

Möglicher Datenschutzverstoß bei Nutzung von VirusTotal

von Sascha Kuhrau
31. März 202231. März 2022
2 Kommentare

Das BSI warnt aktuell vor einem möglichen Datenschutzverstoß bei Nutzung von VirusTotal. Neben dem Datenschutzrisiko sind aber auch andere schützenswerte Informationen der eigenen Organisation oder von Externen in Gefahr, Dritten gegenüber offengelegt zu werden.

Was ist VirusTotal?

VirusTotal ist ein Service von Google und unter https://www.virustotal.com erreichbar. Über den Dienst kann man beispielsweise verdächtige Webadressen (URL) überprüfen, bevor man diese selbst im Browser auf dem eigenen System aufruft. Eine Empfehlung, die wir beispielsweise im Rahmen unserer Schulungen und Webinare häufiger aussprechen.

Neben diesem URL-Check bietet VirusTotal jedoch auch an, Dateien zur Online-Überprüfung durch eine Vielzahl bekannter Virenscanner hochzuladen. Und da liegt auch der Hase im Pfeffer. Neben der Nutzung direkt im Browser bietet VirusTotal auch Business-Services an, bei denen kein manueller Upload erfolgen muss, sondern die Prüfung automatisiert im Hintergrund durchgeführt wird.

“Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten.”, so das Bundesamt für Sicherheit in der Informationstechnik.

Wo ist das Problem bzw. der Datenschutzverstoß bei Nutzung von VirusTotal?

Werden Dateien mit personenbezogenen Daten hochgeladen bzw. geprüft, liegt für gewöhnlich eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Diese muss inkl. der TOM-Prüfung korrekt VOR Nutzung des Dienstes geregelt und vereinbart sein. Hinzu kommt, dass lt. BSI Datenweitergaben an zahlreiche AV-/Scan-Anbieter auch mit Sitz außerhalb der EU erfolgen. Vor dem Hintergrund der aktuellen Diskussion um Drittstaatenübermittlungen nicht ganz unproblematisch.

Und ganz nebenbei: Selbst dann, wenn Dateien ohne personenbezogene Daten hochgeladen werden, besteht ein nicht unerhebliches Risiko. Nämlich dann, wenn es sich um vertrauliche bzw. schützenswerte Informationen der Organisation (oder eines Kunden / Bürgers / Auftraggebers) handelt. Diese Datei wird munter mit allen angeschlossenen Anbietern geteilt. Will man das für Geschäfts- bzw. Organisationsgeheimnisse? Eher nicht.

Was kann helfen?

Mitarbeiter auf dieses grundlegende Sicherheitsproblem bei der Nutzung des Dienstes aufmerksam machen bzw. dafür ausreichend sensibilisieren (Nein, Papier alleine reicht nicht!)
Regelungen treffen, ob und wenn ja welche Dateien möglicherweise doch einem Check durch den Service unterzogen werden dürfen (z.B. bei Vertraulichkeitsstatus “Öffentlich”)
Oder wie das BSI rät, ausschließlich mit Hash-Werten der Dateien zu arbeiten (tricky, aber machbar)

Weitere Unterstützung bieten die Fragestellungen an Sicherheitsbeauftragte auf Seite 3 der Stellungnahme des BSI zum Thema, zu finden hier.

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

von Sascha Kuhrau
18. September 202119. September 2021
1 Kommentar

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

LfDI Baden-Württemberg — neues Bildungszentrum

von Sascha Kuhrau
20. Juli 20209. Dezember 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit — LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit.

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen.

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden.

Corona App — hoffentlich sicher zur nächsten Pandemie

von Sascha Kuhrau
14. Juni 20209. Dezember 2020

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind.

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf. Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen.

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung.

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren.

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt.

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar.

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren.

Datenschutz und Privatsphäre

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg.

Prüfauftrag der Corona App war limitiert

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen.

Fazit zum aktuellen Stand der Corona App

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Dashcams erlaubt? Im Datenschutz Check

von Sascha Kuhrau
25. Mai 20209. Dezember 2020
6 Kommentare

Wer hat nicht schon einmal mit einer solchen geliebäugelt? Der Komfort und die Rechtssicherheit der Dashcams, kleine Kameras hinter der Windschutzscheibe, am Lenker oder welche Vehikel auch immer bevorzugt werden, erscheinen als eindeutiges Verhältnismäßigkeitskriterium. Allerdings sind sie durchaus nicht uneingeschränkt und in jedem Land erlaubt. Was zu beachten ist, erklärt dieser Beitrag.

Die Funktionsweise

Dashcams sollen insbesondere das Verkehrsgeschehen und ‑unfälle aufzeichnen, um tatsachenwidrigen bzw. parteiischen Aussagen entgegenzuwirken und eine eindeutige Beweisführung zu ermöglichen. Dass die Videos jeden Aufgenommenen belasten können — einschließlich des Dashcam Besitzers, muss nicht gesondert erwähnt werden. Angeschlossen an die Bordelektronik und / oder per Akku sind sie in der Lage, auf Micro SD Karten im Gigabyte Bereich in Endlosschleife aufzuzeichnen. Diverse Modelle haben auch Bewegungssensoren und Infrarotsicht.

Dashcams in der praktischen Anwendung

Die Aufzeichnung amtlicher Kennzeichen und Personen ist eine Verarbeitung personenbezogener Daten. Das online Stellen kenntlicher Inhalte ist selbstverständlich eindeutig ein Verstoß gegen die informationelle Selbstbestimmung. Aus behördlicher Datenschutzsicht geht der Tenor dahin, dass der Betrieb von Dashcams auch dann als unzulässig zu betrachten ist, wenn kurz und anlassbezogen aufgezeichnet wird, da naturgemäß keine Informationspflichten über Zweck etc. mitgeteilt werden können. Nicht umsonst achtet man bei Videoüberwachung in Firmen und anderen Einrichtungen auf Beschilderung außerhalb des Erfassungsbereichs u.a. mit den Zwecken und den Daten des Aufzeichnenden.

Die Kriterien einer datenschutzkonformen Videoaufzeichnung sind nicht in Stein gemeißelt, aber klar definierbar. Generell geht es um die Kenntnis der konkreten Umstände und einer sachgerechten Abwägung der Rechtsgüter.

Auch Generell Iin Fragen der richtigen Beurteilung und der rechtssicheren datenschutzkonformen Prozessgestaltung steht Ihnen unser Team als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte zur Seite.

Die Frage zur Zulässigkeit von Dashcams vor dem BGH

In seiner Entscheidung VI ZR 233/17 vom 15.05.2018 entschied der Bundesgerichtshof, dass Dashcam-Aufzeichnungen im Unfallhaftpflichtprozess aus zivilrechtlicher Sicht verwertbar sein können. Im Einzelfall sei jedenfalls eine Interessen- und Güterabwägung vorzunehmen.

Überwiegende Interessen beim Einsatz von Dashcams

Grundsätzlich wird man wohl das Interesse des Dashcam Betreibers den schutzwürdigen Interessen anderer Verkehrsteilnehmer unterordnen müssen, insbesondere dann, wenn permanente und nicht anlassbezogene Aufzeichnungen vorgenommen werden. Anderenfalls wäre das Rechtsgut der informellen Selbstbestimmung gefährdet. Allerdings ist die Anwendung von Dashcams auch hinsichtlich der Verwertungsfrage weiterhin umstritten.

Das BayLDA kündigte an, dass Übermittlungen von Dashcam-Aufzeichnungen an Polizei und Versicherungen als Verstoß gewertet und mit einem Bußgeld geahndet werden könnten.

Gesundheitsdaten gehen an die Polizei

von Sascha Kuhrau
30. April 20209. Dezember 2020

Nun auch Sachsen-Anhalt — das Innenministerium wies die Gesundheitsämter an, personenbezogene / Gesundheitsdaten aller Personen in Quarantäne den Polizeibehörden zur Verfügung zu stellen. Die Polizei erhielt somit personenbezogene Daten über Corona-Infizierte und Kontaktpersonen.

Offenlegung durch parlamentarische Nachfrage

Aus den Reihen des Landtags wurde am 22.04.2020 die Enthüllung bekannt, dass der Landesinnenminister vom 27. bis 31.03.2020 eine Verpflichtung zur Bereitstellung der Daten für alle Personen in Quarantäne des Bundeslandes verfügt habe. Seitdem würden Gesundheitsämter „nach eigenem Ermessen und im Einzelfall“ Daten von Personen in Quarantäne an die Polizei übermitteln. Bis 09.04.2020 über 800 Fälle in Sachsen-Anhalt — heißt es weiter in den zugehörigen Posts auf Twitter. Eine öffentliche Information über die Maßnahme durch das Innenministerium zur Erfüllung der DSGVO-gesetzlichen Transparenzpflicht war lange Zeit nicht erfolgt. Die kommunizierten Daten hätten Namen, Anschriften, Geburtsdaten, Wohnorte, Nationalitäten, Geschlechter sowie Beginn und Ende der behördlich definierten Quarantäne umfasst. Die Übermittlung, Verarbeitung und Speicherung auf Polizeidatenbanken von Gesundheitsdaten sei „rechtlich problematisch“ und der Landesbeauftragte für den Datenschutz sei thematisch zu involvieren. Weitere ~130 solcher Übermittlungen in Halle wurden zunächst laut Angabe der Stadtverwaltung wohl gar nicht erst gezählt.

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten

Auf Anfrage hatte das Landesinnenministerium gegenüber netzpolitik.org geleugnet, dass es derlei Gesundheitsdatenübermittlungen an die Polizei gegeben hatte. Später wurde bekannt, dass Gesundheits- / personenbezogene Daten auf der Fahndungsdatenbank des Landeskriminalamts gespeichert wurden. Zu direkten Anfragen von netzpolitik.org sei seitens der Polizei nicht Stellung genommen worden. Der Erlass sei dem Landesdatenschutzbeauftragtes Sachsen-Anhalts erst auf Nachfrage zur Verfügung gestellt worden, den dieser am 31.03.2020 für rechtswidrig erklärt habe. In seiner Haut möchte man jetzt eher nicht stecken. Aus DSB-Sicht stellt sich allerdings die Frage, aus welchem Grund keine Vorabinformation erfolgte und keine Datenschutzfolgeabschätzung in fachlicher Abstimmung mit dem Landes-DSB durchgeführt worden ist. l

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern

Auch in anderen Bundesländern wurden Datenübermittlungen von Infizierten und Kontaktpersonen eingeführt. Offiziell sei Ziel der Maßnahme die Überwachung der Einhaltung der Quarantäne und Schutz der Polizeibeamten.

Nach uns vorliegenden Informationen erklärte auch die niedersächsische Datenschutzbeauftragte Barbara Thiel die Maßnahme für ihr Bundesland als rechtswidrig. Allerdings hielt die Landesregierung an den Datenübermittlungen fest.

Die umstrittene Praxis wurde auch in weiteren Bundesländern eingeführt. In Folge vehementer Proteste wurde diese in Bremen aufgehoben. In Baden-Württemberg wird eine DSGVO konforme Verordnung zur Datenübermittlung positiv erwartet. In Mecklenburg-Vorpommern wurde das Procedere modifiziert. Hier wird bei der Übermittlung der Gesundheitsdaten nun auf den Bedarfsfall abgestellt. Ferner soll nun die Vorgabe sein, die Daten anonymisiert und verschlüsselt an einen definierten Personenkreis im Polizeidienst zu übermitteln. Es ist begrüßenswert, dass die tragenden Standards in der Informationssicherheit neben den Datenschutzanforderungen auch bei diesem Thema sukzessive Berücksichtigung finden.

Corona Prävention und die Verarbeitung von Gesundheitsdaten

Es besteht ein großes Spannungsfeld zwischen Datenschutz / Grundrechten und einer effektiven Pandemiebekämpfung. Dass Menschen und Pflegepersonal, der öffentliche Dienst und andere Arbeitskräfte mit notwendigem Publikumskontakt des Schutzes bedürfen, steht völlig außer Frage. Allerdings kann als auffällig bezeichnet werden, dass gerade in solchen grenzwertigen Maßnahmen der Dialog mit den Datenschutzbehörden und auch den behördlichen Datenschutzbeauftragten aktiv vermieden wird. Gerade in solchen Zeiten darf erwartet werden, dass man sich zwecks ganzheitlicher Krisenbewältigung bereichsübergreifend abstimmt. So kann dafür Sorge getragen werden, dass die Verarbeitungen und Übermittlungen der Behörden den zwingend erforderlichen, zeitgemäßen Vorgaben des Datenschutzes sowie der Informationssicherheit / IT-Sicherheit genügen.

Corona App und Datenschutz — ein Update und viele Grüße

von Sascha Kuhrau
23. April 20209. Dezember 2020

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik — wie etwa das kollektive Maskenbasteln in Industrieländern — können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post.

Ihr Team von a.s.k. Datenschutz.

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten.

App Lösungen gegen Corona

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema.

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert.

Inhaltliche Anforderungen

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich — alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren.

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen.

Empfehlungen auch zu Gestaltung einer Corona App

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden.

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein.

Eine Corona App in der Praxis

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit.

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Informationssicherheitsbeauftragter

Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Agen­da und The­men des ISB Boot Camp 2024

Erhalt der Fach­kun­de von Informationssicherheitsbeauftragten

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

Was ist VirusTotal?

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Was kann helfen?

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

Wie­so ein Informationssicherheitskonzept?

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Das BIDIB des LfDI als neu­es Forum der Bil­dung und Diskussion

Zukunfts­wei­sen­de Aspekte

Fazit und Kom­men­tar zum neu­en Bil­dungs­zen­trum des LfDI Baden-Würt­tem­berg

Sicher­heitsaspek­te der neu­en Coro­na App

Daten­schutz und Pri­vat­sphä­re

Prüf­auf­trag der Coro­na App war limi­tiert

Fazit zum aktu­el­len Stand der Coro­na App

Die Funk­ti­ons­wei­se

Dash­cams in der prak­ti­schen Anwen­dung

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten

App Lösun­gen gegen Coro­na

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App

Inhaltli­che Anfor­de­run­gen

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten

Eine Coro­na App in der Pra­xis

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin