ISMS

Gesundheitsdaten gehen an die Polizei

von Sascha Kuhrau
30. April 20209. Dezember 2020

Nun auch Sachsen-Anhalt — das Innenministerium wies die Gesundheitsämter an, personenbezogene / Gesundheitsdaten aller Personen in Quarantäne den Polizeibehörden zur Verfügung zu stellen. Die Polizei erhielt somit personenbezogene Daten über Corona-Infizierte und Kontaktpersonen.

Offenlegung durch parlamentarische Nachfrage

Aus den Reihen des Landtags wurde am 22.04.2020 die Enthüllung bekannt, dass der Landesinnenminister vom 27. bis 31.03.2020 eine Verpflichtung zur Bereitstellung der Daten für alle Personen in Quarantäne des Bundeslandes verfügt habe. Seitdem würden Gesundheitsämter „nach eigenem Ermessen und im Einzelfall“ Daten von Personen in Quarantäne an die Polizei übermitteln. Bis 09.04.2020 über 800 Fälle in Sachsen-Anhalt — heißt es weiter in den zugehörigen Posts auf Twitter. Eine öffentliche Information über die Maßnahme durch das Innenministerium zur Erfüllung der DSGVO-gesetzlichen Transparenzpflicht war lange Zeit nicht erfolgt. Die kommunizierten Daten hätten Namen, Anschriften, Geburtsdaten, Wohnorte, Nationalitäten, Geschlechter sowie Beginn und Ende der behördlich definierten Quarantäne umfasst. Die Übermittlung, Verarbeitung und Speicherung auf Polizeidatenbanken von Gesundheitsdaten sei „rechtlich problematisch“ und der Landesbeauftragte für den Datenschutz sei thematisch zu involvieren. Weitere ~130 solcher Übermittlungen in Halle wurden zunächst laut Angabe der Stadtverwaltung wohl gar nicht erst gezählt.

Rechtmäßigkeitsfrage bei der Verarbeitung von Gesundheitsdaten

Auf Anfrage hatte das Landesinnenministerium gegenüber netzpolitik.org geleugnet, dass es derlei Gesundheitsdatenübermittlungen an die Polizei gegeben hatte. Später wurde bekannt, dass Gesundheits- / personenbezogene Daten auf der Fahndungsdatenbank des Landeskriminalamts gespeichert wurden. Zu direkten Anfragen von netzpolitik.org sei seitens der Polizei nicht Stellung genommen worden. Der Erlass sei dem Landesdatenschutzbeauftragtes Sachsen-Anhalts erst auf Nachfrage zur Verfügung gestellt worden, den dieser am 31.03.2020 für rechtswidrig erklärt habe. In seiner Haut möchte man jetzt eher nicht stecken. Aus DSB-Sicht stellt sich allerdings die Frage, aus welchem Grund keine Vorabinformation erfolgte und keine Datenschutzfolgeabschätzung in fachlicher Abstimmung mit dem Landes-DSB durchgeführt worden ist. l

Pauschale Übermittlung von Gesundheitsdaten in diversen Bundesländern

Auch in anderen Bundesländern wurden Datenübermittlungen von Infizierten und Kontaktpersonen eingeführt. Offiziell sei Ziel der Maßnahme die Überwachung der Einhaltung der Quarantäne und Schutz der Polizeibeamten.

Nach uns vorliegenden Informationen erklärte auch die niedersächsische Datenschutzbeauftragte Barbara Thiel die Maßnahme für ihr Bundesland als rechtswidrig. Allerdings hielt die Landesregierung an den Datenübermittlungen fest.

Die umstrittene Praxis wurde auch in weiteren Bundesländern eingeführt. In Folge vehementer Proteste wurde diese in Bremen aufgehoben. In Baden-Württemberg wird eine DSGVO konforme Verordnung zur Datenübermittlung positiv erwartet. In Mecklenburg-Vorpommern wurde das Procedere modifiziert. Hier wird bei der Übermittlung der Gesundheitsdaten nun auf den Bedarfsfall abgestellt. Ferner soll nun die Vorgabe sein, die Daten anonymisiert und verschlüsselt an einen definierten Personenkreis im Polizeidienst zu übermitteln. Es ist begrüßenswert, dass die tragenden Standards in der Informationssicherheit neben den Datenschutzanforderungen auch bei diesem Thema sukzessive Berücksichtigung finden.

Corona Prävention und die Verarbeitung von Gesundheitsdaten

Es besteht ein großes Spannungsfeld zwischen Datenschutz / Grundrechten und einer effektiven Pandemiebekämpfung. Dass Menschen und Pflegepersonal, der öffentliche Dienst und andere Arbeitskräfte mit notwendigem Publikumskontakt des Schutzes bedürfen, steht völlig außer Frage. Allerdings kann als auffällig bezeichnet werden, dass gerade in solchen grenzwertigen Maßnahmen der Dialog mit den Datenschutzbehörden und auch den behördlichen Datenschutzbeauftragten aktiv vermieden wird. Gerade in solchen Zeiten darf erwartet werden, dass man sich zwecks ganzheitlicher Krisenbewältigung bereichsübergreifend abstimmt. So kann dafür Sorge getragen werden, dass die Verarbeitungen und Übermittlungen der Behörden den zwingend erforderlichen, zeitgemäßen Vorgaben des Datenschutzes sowie der Informationssicherheit / IT-Sicherheit genügen.

Informationssicherheit — IT-Sicherheitslücken und Datenpannen 2019 und 2020 — Teil 2

von Sascha Kuhrau
20. April 20209. Dezember 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate.

Oberlandesgericht Berlin wird gehackt - Informationssicherheit fraglich

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit.

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T‑Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste …

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben.

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden.

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden.

2019-11 — Sicherheitslücke bei chinesischem Smartphone-Hersteller

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt.

2019-12 — Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm‑, Kontakt- Kunden- und Transaktionsdaten.

2020-02 — Vorfall in der Informationssicherheit bei Samsung

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt.

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten.

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services.

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten.

2020-03 — Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis‑, Bank‑, Steuer- und Unternehmensdaten.

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert.

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 — Teil 1

von Sascha Kuhrau
18. April 20209. Dezember 2020

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate.

2019-04 - 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um

das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte

die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte.

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne.

2019-05 — Hacking und Datenpannen im Arztbereich

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar.

2019-08 — Hacking — Daten von 106 Millionen Bankkunden der Capital One erbeutet

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und ‑anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.

2019-08 — Datenpanne im Hause Twitter

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen.

2019-09 — Hacking nicht notwendig — Fahrlässigkeit bei Millionen von Patientendaten

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen “verheerenden ersten Eindruck” von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt.

Datenpannen — jetzt ganz neu entdecken …

von Sascha Kuhrau
16. April 2020

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO.

Vermeiden und kommunizieren

Es ist bereits die halbe Miete, Datenpannen präventiv — u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien — auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes.

Meldungen von Datenpannen

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet.

Dunkelziffer von Datenpannen

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind.

Aufsichtsbehörden

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert.

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden.

Datenpannen bitte dokumentieren / melden

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell — z.B. in Checklistenform — zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s.

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.

Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert

von Sascha Kuhrau
19. März 20207. Juli 2021

Einsatzzweck der Checkliste zur Prüfung Technische und Organisatorische Maßnahmen

Wir haben die erstmals im Juni 2019 hier veröffentlichte Checkliste zur Prüfung von technischen und organisatorischen Maßnahmen (kurz TOM) überarbeitet. Mittels dieser Checkliste können Sie

Ihre eigenen technischen und organisatorischen Maßnahmen prüfen und grob dokumentieren (kein Ersatz für eine Detaildokumentation),
das Schutzniveau Ihrer Dienstleister im Rahmen von Art. 28 DSGVO Auftragsverarbeitung und deren technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO grob prüfen,
die Prüfung des Schutzniveaus bei Ihren Dienstleistern dokumentieren oder
sich einfach einen ersten Überblick über die eigenen internen Schutzmaßnahmen verschaffen (Was fehlt? Was ist schon vorhanden?).

Wieso Prüfung der technischen und organisatorischen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.”
https://dsgvo-gesetz.de/art-28-dsgvo/

Mittels dieser Checkliste können Sie sich schon mal grob einen ersten Überblick verschaffen. Je nach Detailgrad beim Ausfüllen der Prüfpunkte kann das Dokument jedoch auch als Ersatz für eine zusätzliche und ausführlichere Dokumentation herangezogen werden. Dafür haben wir bewußt zahlreiche Frei- und Kommentarfelder vorgesehen, um hier auch ins Detail gehen zu können.

Welche Themen behandelt die Checkliste?

Wir haben uns beim Aufbau sowohl an den Anforderungen der DSGVO orientiert als auch bewährtes aus den früheren Anforderungen bzw. Überschriften des Bundesdatenschutzgesetzes orientiert. Der Aufbau ist wie folgt:

Vertraulichkeit
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Trennungskontrolle
- Pseudonymisierung (lit a)
Integrität
- Weitergabekontrolle
- Eingabekontrolle
Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Management
- Incident Response Management
- Datenschutzfreundliche Voreinstellungen
- Auftragskontrolle

Was hat sich gegenüber der vorherigen Version der Checkliste geändert?

Hinzunahme von Anlagen, die beigefügt werden können wie
- Verzeichnis zu den Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO)
- Liste der eingesetzten Subunternehmer mit Tätigkeiten für Sie als Auftraggeber
- Richtlinie Datenschutz
- Richtlinie Umgang mit Datenpannen
- Übersicht der Sensibilisierungs- und Schulungsmaßnahmen der letzten 24 Monate
Konkretisierung bei vorhandenen ISMS
Erhöhung des Detailgrads bei der einen oder anderen Auswahl
Formatierungen

Ist die Checkliste kostenfrei?

Wie die früheren Versionen dieser Checkliste stellen wir auch die aktuelle Checkliste wieder kostenfrei zur Verfügung. Wir appellieren jedoch an die Fairness der Nutzer und Downloader: Wir möchten nicht, dass diese Checkliste ohne unsere Zustimmung auf anderen Internetseiten als Muster zum Download angeboten wird oder sich irgendwann in einem käuflich zu erwerbenden Vorlagenbuch (analog oder digital) wiederfindet. Es wird keine Haftung für Schäden durch die Verwendung der Checkliste übernommen.

Anregungen und Vorschläge für die Weiterentwickung der Checkliste gerne an info@ask-datenschutz.de

Vorlage TOM Checkliste Technische und Organisatorische Maßnahmen DSGVO

Version: 3.3

V 3.3 laden

7997 Downloads

Bericht 2019 der Datenschutzbehörde Saarland — Überblick

von Sascha Kuhrau
15. März 20209. Dezember 2020

Druckfrisch zu berichten — die Landesbeauftragte für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland (UZD) hat dieser Tage den 28. Tätigkeitsbericht im Datenschutz für das Saarland vorgelegt (Landtagsdrucksache Saarland 16/1200). Darin wurde unter anderem auf konkrete, einzelfallbezogene Entwicklungen und Maßnahmen, erfolgte Vorträge, Verfahren und Beratungen sowie auf fachliche Aspekte der DSGVO-Vorgaben und ‑umsetzungen und Rechtsprechung detailliert eingegangen.

News in 2019

Im Jahr 2019 wurden zwei neue Stellen für Mitarbeiter im UDZ vom Landtag Saarland bewilligt, die erfolgreich besetzt wurden, allerdings sieht das UDZ hier quantitativen Optimierungsbedarf.

Die Website des UDZ wurde mit einem neuen CMS angebunden und hat ein neues Design bekommen mit Optimierung auf Barrierefreiheit, der Melde- und Kontaktformulare sowie für Mobilgeräte.

Vor dem Hintergrund der Notwendigkeit, wachsenden Anforderungen, rechtlichen Vorgaben und einer effektiven, angemessenen Abwehr von Cyber-Angriffen kosteneffizient nachzukommen, wurde in dem Bericht die Einführung eines ISMS erläutert und dabei insbesondere ISIS12 „als pragmatisches und leicht skalierbares Vorgehensmodell“, das auch gerade Kommunen eine gute Verbindung von den Vorgaben und realen Ressourcen ermögliche.

„Der gesamte Prozess von der Sensibilisierung der Mitarbeiter, Einschätzung der Gefährdungslage bis hin zur Abwehr von Angriffen kann durch ein ISMS wie ISIS12 gesteuert und überwacht werden.“

Nach der Implementierung und einem TOM-bezogenen Audit wurde das UDZ zum 09.10.2019 zertifiziert.

Beratungen und Öffentlichkeitsarbeit

Das UDZ hat im Berichtsjahr 50 Veranstaltungen zur Information und Sensibilisierung zum Datenschutz und der DSGVO ausgerichtet, bei denen es unter anderem schwerpunktmäßig um Auslegungsfragen der DSGVO ging. Insgesamt sieht man auch bei der Öffentlichkeit ein steigendes Interesse an Datenschutzthemen und ‑fragen.

In Bezug auf das im Dezember 2019 beschlossene Justizvollzugsdatenschutzgesetz, bei dessen Entwürfen das UZD beratend involviert war, stellt der Bericht fest, dass man sich eine umfassende Modernisierung des Datenschutzrechts auch in diesem Bereich gewünscht hätte.

Die UDZ nahm an Beratungsgesprächen mit der Enquêtekommission „Digitalisierung im Saarland“ teil und führte hier unter anderem die wichtige Rolle des Datenschutzes in der Entwicklung des E‑Government aus.

In Brüssel tauschte man sich bei der EU-Vertretung des Saarlandes über die innereuropäische Zusammenarbeit der Datenschutzbehörden aus. In den 154 Fällen nahm die Landesdatenschutzbehörde ihre Verfahrenszuständigkeit iSd. Art. 56 DSGVO in Bezug auf innereuropäische, länderübergreifende Verarbeitungen wahr. Die Behörde war an elf Rechtsetzungsvorhaben beteiligt.

Datenschutzverletzungen nach Art. 33 DSGVO

Dem Bericht zufolge wurden im vergangenen Jahr 286 Datenschutzverletzungen an die Landesdatenschutzbehörde gemeldet und elf amtliche Maßnahmen iSd. Art. 58 DSGVO zur Prävention von Datenpannen vorgenommen. Den Anstieg der Meldungen von Datenpannen wird auf höhere Kriterien durch die DSGVO, aber auch eine höhere Sensibilität für Datenschutzthemen gesehen.

Prüfungen

In seinem Bericht spricht das UZD von „mehreren Prüfungen“, die — meist anlassbezogen und oft im Kontext des Beschäftigtendatenschutzes — in 2019 in Einrichtungen sowohl angekündigt als auch unangekündigt durchgeführt wurden. Kriterium für die Frage der Vorabankündigung sei die Abwägung der Wahrscheinlichkeit eines Wegfalls des Prüfgegenstands durch Manipulation im Falle der Ankündigung. Im Vorfeld würden Prüfgegenstand und ‑ablauf klar definiert und im Regelfall zunächst die Vorlage von VVT, einer DSFA „oder zumindest [..] Risikobewertung“, der TOM, Dokumentationen zum Umgang mit Betroffenenrechten, Löschfristen und weitere Datenschutzkriterien vor Ort angefordert. Darauffolgend die Prüfung des konkreten Anlasses und Verfertigung einer Kurzzusammenfassung vor Ort, die zusammen mit dem Verantwortlichen erörtert wird.

Der eigentliche Prüfbericht wird der Einrichtung / dem Verantwortlichen zugestellt und dieser kann dazu Stellung nehmen. Gegebenenfalls erfolgen Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO und die Verhängung einer Geldbuße.

Das UZD führte nach der Einführung des Einsatzes von Body-Cams bei der Polizei Saarland Stichproben durch, bei denen es erhebliche Defizite bei der Einhaltung der Datenschutzvorgaben festgestellt hat.

Bei der Prüfung von BCR (Binding Corporate Rules) zur Datensicherheit innerhalb international agierdender Konzernstrukturen iSd. Art. 47 DSGVO war das UDZ in 2019 insgesamt zweimal beteiligt — bei 20 BCR-Verfahren europaweit.

Rechenschaftspflicht Großunternehmen

Ende 2018, Anfang 2019 wurden drei der größten Unternehmen des Saarlands um Rechenschaft ersucht hinsichtlich DSGVO Umsetzungsstand, VVT, Risikoabschätzungen und Prozesse und die datenschutzkonforme Verarbeitung von personenbezogener Daten im allgemeinen sowie im Detail.

Weitere Themen

Der Bericht enthält außerdem detaillierte Kapitel unter anderem zu Rechtsfragen, rechtlichen Auslegungen und Bewertungen sowie Rechtsanwendung der DSGVO, die interessante und wichtige Aspekte beleuchten:

Informationspflichten
Auskunftsrecht
Abgrenzung der klassischen AV zur Gemeinsamen Verantwortlichkeit
DSFA
Zertifizierung und Akkreditierung
Fashion ID
Planet49
Orientierungshilfe Telemedien der DSK
ePrivacy-Verordnung
Windows 10
Datenschutzkonforme Nutzung von WhatsApp im Rahmen kommunaler Bürgerdienste
Streaming von Ratssitzungen
Nutzung von Geodaten
Telearbeit bei der Polizei
Lichtbildabgleich in Ordnungswidrigkeitenver- fahren
Fotografieren an Schulen und Kindergärten
Videoüberwachung
Datenschutz im Verein
Datenschutzrechtliche Bewertung telefonischer Werbeansprachen
Einsicht in die Patientenakte

Den Bericht finden Sie im pdf Volltext auf der Website der Landesbeauftragten für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland — UZD.

Wenn Sie Fragen zu Themen oder Begriffen des Berichts haben, nutzen Sie hierfür gerne die Kommentarfunktion — Ihr Team von a.s.k. Datenschutz.

“Ich bereue den Passwort-Wahnsinn” — weg mit den Passwort Mythen

von Sascha Kuhrau
1. Februar 2020
5 Kommentare

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die “NIST Special Publication 800–63. Appendix A”. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: “Ich bereue den Passwort-Wahnsinn”

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. “Die Wahrheit ist: Ich war auf dem falschen Dampfer.” Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst “Über Bord mit veralteten starren Passwort-Richtlinien”.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage “Wie heißt ihr Haustier?” aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere — unabhängige — Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag “Über Bord mit veralteten starren Passwort-Richtlinien”.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen — jetzt mit LSI Siegel

von Sascha Kuhrau
7. Oktober 2019

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. “Arbeitshilfe”.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die “Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG” entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren “Quick Check Datenschutz + Datensicherheit”. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die “Arbeitshilfe” universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik — kurz LSI — in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels “Kommunale IT-Sicherheit”. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie “Bürgermeister” mit “Geschäftsführer” und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel “Kommunale IT-Sicherheit” kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

BSI warnt vor GermanWiper: Löschen statt Verschlüsseln ist die Devise dieses Trojaners

von Sascha Kuhrau
5. August 2019

Wer aktuell eine Bewerbung per Email erhält, sollte besonders wachsam sein. Hatten auf Stellenanzeigen hin präparierte Krypto-Trojaner wie Golden Eye damals das Verschlüsseln aller Daten auf dem Zielsystem im Sinn, sieht das bei GermanWiper nun anders aus. Statt Verschlüsselung greift diese neue Ransomware zum Löschen aller Daten. Im angehängten ZIP-Archiv befindet sich dieses Mal kein Word-Dokument mit Makros, sondern eine Windows-Link-Datei. Wird diese gestartet, öffnet sich die Windows Powershell und der eigentliche Schadcode von GermanWiper wird geladen und ausgeführt. Lt. BSI gibt der Text der Email noch keinen Anlass zum Argwohn. Unbedarfte bzw. unsensibilisierte Anwender dürften also durchaus eine Risikogruppe für diesen Angriff darstellen.

Hoffen auf eine Lösegeldforderung nach möglicher Bitcoin-Lösegeldzahlung braucht man bei GermanWiper nicht. Denn statt zur Verschlüsselung zu greifen, löscht GermanWiper einfach alle Daten im Rahmen der Zugriffsrechte des Anwenders. Gelöscht wird nicht mit dem klassischen Verschieben in den Papierkorb und anschließendem Leeren des Papierkorbs. In diesem Fall wären die Daten meist mit mehr oder weniger Aufwand wiederherstellbar. GermanWiper überschreibt vorhandene Daten mit Nullen. Perfide: Am Ende zeigt GermanWiper doch einen Lösegeldbildschirm an. Darauf eingehen, sollte man jedoch nicht. Denn die von GermanWiper gelöschten Daten können auch nach Zahlung von Lösegeld nicht mehr wiederhergestellt werden.

Wohl dem, der ein funktionsfähiges und regelmäßig geprüftes Backup seiner Daten hat. Dieses sollte selbstverständlich „offline“ sein, also durch einen Angriff wie mit GermanWiper nicht erreichbar sein. Berechtigungskonzepte sollten nach dem least privilege Prinzip umgesetzt sein (nur so viele Zugriffsrechte wie zwingend notwendig). Externe Laufwerke aber auch Netzlaufwerke sollten wirklich nur im Fall der Datensicherung verbunden sein und danach wieder getrennt werden. Eine Grundanforderung ist ebenfalls: Ein Administrator surft mit seinen erweiterten Rechten nicht im Internet und liest damit auch keine Emails. Für diese Tätigkeiten steht ein eingeschränkter Account zur Verfügung.

Im Rahmen eines Informationssicherheitskonzepts aber auch bei regelmäßig durch den Datenschutzbeauftragten geprüften technischen und organisatorischen Maßnahmen sollte dies gewährleistet sein. Auch regelmäßige Tests zur Datenwiederherstellung (Recovery-Tests) helfen, diesem Risiko zu begegnen. Vielleicht wäre es auch ein guter Zeitpunkt, die schon eine Weile zurückliegende Sensibilisierung der Mitarbeiter nachzuholen.

Sie verfügen noch über keinen Datenschutzbeauftragten? Mit einem Informationssicherheitskonzept wie dem BSI IT-Grundschutz, ISIS12 oder der Variante „Arbeitshilfe“ für kleinste Einrichtungen haben Sie zwar schon geliebäugelt, aber noch nichts dergleichen umgesetzt? Dann sprechen Sie uns gerne an. Gerne unterstützen wir Sie auch als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte mit unserem Team in Berlin, Simmelsdorf und München und unserer über 10 Jahre bewährten Erfahrung mit pragmatischen Lösungen.

Arbeitshilfe der Innovationsstiftung und Bayerisches Siegel “Kommunale IT-Sicherheit”

von Sascha Kuhrau
24. Juni 2019

Bayerisches Siegel “Kommunale IT-Sicherheit”

Das Bayerische Landesamt für Sicherheit in der Informationstechnik (kurz LSI) bietet seit Mai 2019 ein Prüfsiegel für den Umsetzungsstand der Informationssicherheit in bayerischen Kommunen an. Auf Basis einer Selbst-Auskunft kann die Kommune damit eine Mindestabsicherung in der Informationssicherheit nachweisen. Das Siegel ist unabhängig vom verwendeten ISMS-Standard. Das Siegel hat eine Gültigkeitsdauer von 2 Jahren. Eine Verlängerung kann beantragt werden. Dazu muss die Kommune jedoch die aktive Beschäftigung mit dem Thema Informationssicherheit und den Betrieb des Informationssicherheitskonzepts nachweisen. Wie bei “echten” Zertifizierungen kann ein erstmalig erteiltes Siegel also auch wieder entzogen werden.

Kann mit dem Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune das Siegel erreicht werden?

Das Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune (Autor: Sascha Kuhrau) ist selbstverständlich für den Erhalt des Siegels gerüstet. Jede Kommune, die ihr Informationssicherheitskonzept auf Basis der Arbeitshilfe eingeführt hat, kann bei entsprechend korrekter Umsetzung die Voraussetzungen für den Erhalt des LSI Siegels erfüllen.

Als Autor der Arbeitshilfe und Leiter zahlreicher kommunaler Informationssicherheitsprojekte sowie kommunaler externer Informationssicherheitsbeauftragter unterstützen wir von a.s.k. Datenschutz Sascha Kuhrau Sie gerne bei der Einführung und dem Betrieb eines kommunalen Informationssicherheitskonzepts und dem Erhalt des LSI Siegels.

Wo finde ich Informationen zum Bayerischen Siegel “Kommunale IT-Sicherheit”?

Das LSI stellt auf seiner Webseite ausführliche Informationen bereit (externer Link).

Was hat es mit der “Arbeitshilfe” auf sich und wo kann ich diese beziehen?

Die Arbeitshilfe ist eine aus dem IT-Grundschutz des BSI abgeleitete Systematik, um kleine kommunale Einrichtungen (aber auch kleine Firmen) bei der Einführung und dem Betrieb eines Informationssicherheitskonzepts zu unterstützen und zu begleiten. Sie wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände für die Innovationsstiftung Bayerische Kommune durch die a.s.k. Datenschutz Beratung Sascha Kuhrau entwickelt. Die Arbeitshilfe steht interessierten Organisationen kostenfrei zur Verfügung. Weitere Informationen finden Sie auf der Webseite der Innovationsstiftung (externer Link).

Im Laufe des Jahres 2019 wird die Arbeitshilfe in einer Version 3.o erscheinen, in der konkrete Anpassungen für das LSI Siegel enthalten sind.

Bisher gab es lediglich für die “großen” ISMS wie ISO 27001, BSI IT-Grundschutz oder ISIS12 die Möglichkeit im Rahmen einer Zertifizierung einen Nachweis über eine korrekte Umsetzung des ISMS zu erhalten. Mittels des LSI Siegels kann nun auch die Arbeitshilfe mit einer solchen Art Nachweis aufwarten.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

ISMS

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler

2019-12 — Daten­pan­ne bei der Luft­hansa

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet

2019-08 — Daten­pan­ne im Hau­se Twit­ter

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten

Ver­mei­den und kom­mu­ni­zie­ren

Mel­dun­gen von Daten­pan­nen

Dun­kel­zif­fer von Daten­pan­nen

Auf­sichts­be­hör­den

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Wel­che The­men behan­delt die Checkliste?

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

Ist die Check­lis­te kostenfrei?