IT Sicherheit

ISMS-Fördermittelprogramm für bayerische Kommunen endet 31.12.2023

von Sascha Kuhrau
12. November 2023

Die aktuelle ISMS-Fördermittelrichtlinie zur finanziellen Untersützung der Einführung eines Informationssicherheitsmanagementsystems im Sinne von Art. 43 BayDiG läuft zum 31.12.2023 aus. Eine Verlängerung wurde vom zuständigen Staatsministerium verneint. Ebenso eine absehbare Neuauflage.

Wenn Sie als bayerische Kommune die Neueinführung eines ISMS auf Basis

Arbeitshilfe
CISIS12
VDS 10000
BSI IT-Grundschutz (Kommunalprofil, Basis‑, Standard- oder Kernabsicherung)
ISO 27001

oder ein Upgrade eines kleineren vorhandenen Standards auf einen der höheren Standards planen, dann sollten Sie sich mit der Beantragung von Fördermitteln beeilen. (Achtung: Differenzförderung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aussage der Fördermittelstelle auf der Webseite sollte Ihr Antrag spätestens am 15. November 2023 eingegangen sein. Das hat mehrere Gründe:

Bei späterem Eingang kann eine Förderzusage rechtzeitig vor Ablauf des Programms aufgrund des erhöhten Antragvolumens in der Schlußphase nicht mehr garantiert werden.
Der Fördermitteltopf war zwar groß, neigt sich aber dennoch dem Ende zu. Und wenn keine Fördermittel zur Vergabe frei sind, ist es egal, wann der Antrag eingeht.

Sie brauchen mit dem Projekt jedoch nicht mehr in 2023 beginnen. Lediglich der Antrag und die Bewilligung müssen in 2023 über die Bühne sein. Der Beginn der Umsetzung kann in 2024 liegen. Sie können sich daher dieses Jahr noch die Fördermittel für die Jahre 2024 ff. sichern.

Sie benötigen ein Angebot für die Unterstützung durch Beratung und Schulung von einem qualifizierten Dienstleister. Qualifiziert heißt, der Dienstleister muss seine Eignung gegenüber der Förderstelle belegen können. Das können je nach gewählter Norm sein:

Zertifikat CISIS12 Professional / Officer
Zertifikat BSI IT-Grundschutz Praktiker / Berater
Zertifikat ISO 27001 Officer

Das ist unabhängig davon, ob Sie das ISMS neu einführen oder ein bestehendes ISMS upgraden. Unsere Mitarbeiter sind selbstverständlich für alle Standards zugelassen. Bitte beachten Sie: Das neue ISMS oder Upgrade sollte zu Ihrer Organisation passen. Da wir in allen oben genannten Normen zuhause sind, können wir Sie hierzu organisationsindividuell beraten und müssen Ihnen nicht auf Gedeih und Verderb lediglich einen Standard als den einzig richtigen Weg “verkaufen”.

Zuständig ist die Regierung Oberfranken. Alle Details und das Online-Antragsformular finden Sie unter https://www.regierung.oberbayern.bayern.de/aufgaben/leistung/leistung_35004/index.html

Auch unsere Ressourcen sind endlich. Aber derzeit könnten wir noch gut organisierte ISMS-Projekte in 2024 im Laufe des Jahres unterbringen. Anfragen bitte an info@ask-informationssicherheit.de oder über unseren Zentralruf 09155–263 99 70. Alternativ direkt über unser Formular (externer Link).

Wir melden uns dann wegen weiterer Details zur Angebotserstellung bei Ihnen.

WLAN Zugangsdaten ungeschützt am Fritz!Fon

von Sascha Kuhrau
22. Januar 2023

Gelegentlich kann man einfach nur den Kopf schütteln. Hilft zwar nicht bei der Suche nach einer plausiblen Antwort, aber irgendwie geht es einem doch etwas besser. So auch in diesem Fall. Wieso wir mit dem Kopf schütteln? Nun, die Frage lautet: Wer denkt sich so etwas aus? Auf jeden Fall ein typisches Beispiel für “Komfort geht über Sicherheit”. Und da wissen nun eigentlich (fast) alle, dass dies nicht immer unbedingt der beste Ansatz ist. Doch was war passiert?

WLAN Zugangsdaten im Klartext im Fritz!Fon einsehbar

Wir trauten unseren Augen kaum, als wir die Tage mehr zufällig auf den Unter-Menüpunkt WLAN im Menü Heimnetz eines Fritz!Fox gekommen sind.

Bei Auswahl der Option WLAN-Zugangsdaten und Gast-Zugangsdaten sind die WLAN-Netzwerknamen und die dazugehörigen Zugangspasswörter im Klartext einsehbar. Über die Funktionen WLAN-QR-Code und Gast-QR-Code ist via Kamera eines Smartphones oder Tablets mit wenig Handgriffen eine Verbindung hergestellt. Schutz davor? Keiner!

In geschlossenen Familien-Biotopen oder in Zeiten totaler Corona-Isolation ohne Gäste und Besucher zuhause, mag das eine total coole Komfort-Funktion sein. In allen anderen Fällen dann doch eher einer Schwachstelle. Aber auch die einfache Möglichkeit, darüber das interne WLAN oder Gast-WLAN per Knopfdruck auszuschalten, kann für kurzweilige Unterhaltung sorgen. Kurz vor dem Verabschieden mal eben das WLAN deaktivieren, entspannt nach Hause fahren und dabei grinsend überlegen, wie der soeben besuchte Hausherr oder die Hausherrin krampfhaft nach dem Fehler im System sucht, weil auf einmal keinerlei WLAN-Zugriffe und Geräte mehr funktionieren. Was haben wir gelacht .…

Kein Hinweis auf diese Funktion im Handbuch der Fritz!Box und des Fritz!Fons

Stand 22.01.2023 finden sich in den Handbüchern keinerlei Hinweise auf dieses mögliche Sicherheitsrisiko. Als Nutzer dieser Hardware wird man daher wohl mehr zufällig auf diesen Umstand stoßen.

Abhilfe über das DECT-Menü in der Fritz!Box

Glücklicherweise gibt es die Möglichkeit, den Zugriff auf dieses Menü des Fritz!Fon zu deaktivieren. Doch wer dabei im Telefon selbst sucht, der wird nicht fündig. Hierzu muss man auf die Oberfläche der Fritz!Box selbst wechseln, sich anmelden und in das Menü Telefonie / DECT wechseln. Etwas nach unten scrollen und dort findet sich der Punkt “Zugriffsschutz”. Hier die Checkbox “Zugriffsschutz für WLAN / Gastzgang) aktivieren und eine sichere PIN (0000, 1234 oder das eigene Geburtsdatum 😉 ) vergeben.

Damit ist der Spuk dann auch auf dem Fritz!Fon beendet, wie man im nächsten Screenshot sehen kann. Sobald man dort nun erneut auf den Menüpunkt Heimnetz / WLAN wechselt, wird man zur Eingabe der zuvor an der Fritz!Box eingestellten PIN aufgefordert.

Wieso dieser Zugriffsschutz nicht von vornherein aktiviert ist oder es zumindest deutliche Hinweise auf diese Funktion gibt, bleibt ein Rätsel. Der Hersteller selbst weist auf die Möglichkeit des Schutzes durch eine PIN lediglich in der Online-Wissensdatenbank hin. Das geht besser.

Gäste dennoch komfortabel ins WLAN lassen

Dazu wechselt man in das WLAN Menü der Fritz!Box in den Punkt Funknetz. Unter den Namen des WLAN und Gäste-WLAN findet sich rechts ein Eintrag “Infoblatt drucken”. Im Ergebnis erhält man ein schickes DIN A4-PDF mit dem QR-Code für das Gäste-WLAN sowie dem Namen und Zugangspasswort. Ausdrucken, laminieren und netzbedürftigen Besuchern zum Einloggen in die Hand drücken. Das interne WLAN sollte für Gäste eh tabu sein. Oder?

Checkliste Datenschutz im Home-Office

von Sascha Kuhrau
29. April 202229. April 2022
11 Kommentare

Checkliste Datenschutz im Home-Office

Ob Corona nun vorüber ist oder nicht, darüber sollen sich andere streiten. Was jedoch in vielen Organisationen nicht vorüber ist, ist das Thema Home-Office. Zu Beginn der Pandemie von dem einen oder anderen Arbeitgeber möglicherweise nur als Workaround gedacht, ist das Home-Office gekommen, um zu bleiben. Da viele Organisationen auf das Thema überhaupt nicht vorbereitet waren (Stichwort Notfallmanagement Unterpunkte Pandemie und Personalausfall 🙂 ), musste es 2020 schnell gehen. Interimslösungen bzw. Notnägel wurden geschaffen, Hauptsache erst mal arbeitsfähig sein. Datenschutz und Informationssicherheit standen dabei nicht immer so im Fokus, wie es den technischen und organisatorischen Risiken durch Home-Office angemessen gewesen wäre. Umso wichtiger ist es nun, sich in der aktuellen Verschnaufpause dem Thema aus Sicht des Datenschutzes und der Informationssicherheit systematisch zu nähern. Dabei gilt es, möglicherweise schon vorhandene Schutzmaßnahmen und Aspekte zur Risikovermeidung auf Wirksamkeit zu prüfen, aber auch noch bestehende organisatorische und technische Schwachstellen zu identifizieren und zu beseitigen. Wir haben unseren Kunden im Zuge der gerade durchstartenden Pandemie im Frühjahr 2020 eine Checkliste Datenschutz im Home-Office erstellt und zur Verfügung gestellt. Damit konnte zumindest schon mal grob geprüft werden, ob die wichtigsten Aspekte in all dem Drunter und Drüber berücksichtigt wurden. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das goldene Kalb Datenschutz getanzt, sondern das Thema gesamtorganisatorisch beleuchtet. Von daher sind in der Checkliste Datenschutz im Home-Office auch grundlegende Anforderungen der Informationssicherheit enthalten, die sinnigerweise keine Unterscheidung zwischen Personenbezug oder nicht machen, sondern generell das Schutzniveau für Informationen aller Art verbessern. Klar durfte dann auch das Thema Schulung und Sensibilisierung von Mitarbeitern nicht fehlen. Auch wenn es die eine oder andere Organisationsleitung oder Führungskraft nervt 😉

Systematik der Checkliste Datenschutz im Home-Office

Zu Beginn gab es nur eine Checkliste für alle uns in den Sinn gekommenen Prüfpunkte und Anforderungen aus Sicht des Datenschutzes und der Informationssicherheit. Prüfpunkte waren bzw. sind:

Hardware-Einsatz (Gestellung oder BYOD)
Anforderungen an den Arbeitsplatz zuhause
Umgang mit Papierdokumenten
Einsatz von Videokonferenzsystemen
Generelle Anforderungen technische Sicherheit
Nutzung von Cloud-Diensten z.B. Dateiablage oder Kollaborationstools
Nutzung von Messengern
Allgemeine organisatorische Anforderungen (Regelungen, Richtlinien, Schulung, Einweisung etc.)

Darin waren sowohl Anforderungen für Datenschutz im Home-Office auf Arbeitgeberseite, aber auch aus Sicht des Arbeitnehmers im eigenen Zuhause enthalten. Schnell haben wir erkannt, dass dies nicht praktikabel ist und aus einer Checkliste Datenschutz im Home-Office zwei separate Listen gebastelt. Es gibt daher nun die Checkliste Datenschutz im Home-Office aus Sicht

des Arbeitgebers und
des Arbeitnehmers.

Checkliste Home-Office für Arbeitgeber

Diese etwas umfangreichere Checkliste für den Arbeitgeber befasst sich intensiv mit den Anforderungen an und Voraussetzungen für technische und organisatorische Sicherheit, die der Arbeitgeber sicherstellen bzw. erst mal schaffen muss, damit im Home-Office datenschutzkonform und aus Sicht der Informationssicherheit “sicher” gearbeitet werden kann. Darin sind u.a. auch Punkte wie die Auftragsverarbeitung nach Art. 28 DSGVO für externe Cloud-Services und auch administrative Voreinstellungen auf Seiten der genutzten Techniken enthalten, die für den Arbeitnehmer bei seiner Tätigkeit im Home-Office jetzt eher weniger spannend bzw. von Interesse sind.

Mittels der Checkliste Datenschutz im Home-Office kann schnell und einfach durch den Arbeitgeber geprüft werden, ob

die wichtigsten (technischen) Voraussetzungen für sicheres Arbeiten im Home-Office geschaffen sind,
die rechtlichen Anforderungen aus Sicht der DSGVO (wie Auftragsverarbeitung) berücksichtigt sind,
alles ordentlich geregelt, dokumentiert und für alle Beteiligten leicht verständlich beschrieben ist sowie
die Mitarbeiter ausreichend eingewiesen und sensibilisiert sind.

Wo ein Haken in der Checkliste fehlt, besteht im Zweifel noch Handlungsbedarf. Auch jetzt noch, 2 Jahre später 😉

ChecklisteHome-Office für Arbeitnehmer

Diese deutlich kürzere Checkliste befasst sich mit den Aspekten, die im Home-Office auf Seiten des Arbeitnehmers erfüllt sein sollten. Mittels der Prüfpunkte kann der Mitarbeiter checken, ob er “ready to go” ist im Home-Office und auch auf seiner Seite die Voraussetzungen für einen sicheren und datenschutzkonformen Einsatz im Home-Office gewährleistet sind. Möglicherweise ergeben die Prüfpunkte jedoch auch, dass noch es noch an gewissen Unterstützungsmaßnahmen seitens des Arbeitgebers fehlt. Diese können anhand der Checkliste identifiziert, protokolliert und an den Arbeitgeber mit der Bitte um Erledigung gesendet werden. Gleichzeitig dient die Checkliste für Arbeitnehmer als kleine Gedankenstütze für die notwendigen Sicherheitsmaßnahmen im Home-Office, die der Arbeitnehmer nicht nur einmalig, sondern über die ganze Zeit im Home-Office sicherstellen sollte.

Weiterer Benefit der Checklisten

Neben der Selbstüberprüfung, ob an alles Wichtige und Notwendige für einen sicheren und datenschutzkonformen Einsatz im Home-Office gedacht wurde, ist die Zweiteilung auch noch für etwas anderes gut. Clevere Kunden von uns haben die Checkliste Datenschutz im Home-Office für Arbeitnehmer von Ihren Mitarbeitern frühzeitig ausfüllen lassen, um festzustellen, was generell vom Arbeitgeber geschaffen / gestellt werden muss, damit Home-Office überhaupt erst sicher möglich ist. Im zweiten Schritt haben sie sich nach dem Rollout der Home-Offices über die Checkliste für Arbeitnehmer durch den Mitarbeiter noch mal protokollieren lassen, dass jetzt soweit alles zuhause im Home Office “passt”. Das Ganze natürlich erst mal nach entsprechender Einweisung und Schulung. Versteht sich von selbst 🙂

Vorteil: Als Arbeitgeber bzw. verantwortliche Stelle kann man damit gleich sehr schön belegen, seinen Sorgfaltspflichten auch außerhalb der eigenen Räumlichkeiten Genüge getan zu haben.

Download der Checkliste Datenschutz im Home-Office

Wer uns etwas näher kennt, weiß von unserer Ausbildungstätigkeit an der Bayerischen Verwaltungsschule für Informationssicherheitsbeauftragte. Im Nachgang sind alle Teilnehmer herzlich eingeladen am kostenfreien ISB Praxis-Forum als Austauschplattform im Alltag von Informationssicherheitsbeauftragten teilzunehmen. Da kam die Frage auf, ob es nicht für das Thema Home-Office geeignete Prüflisten gäbe oder ob man diese gemeinsam entwickeln wolle. Was liegt also näher, als die schon vorhandenen Checklisten aus unserem Fundus in leicht überarbeiteter Version für alle zur Verfügung zu stellen, bevor sich jeder einzeln die Mühe macht. Zeit ist zu wertvoll.

Unsere Bitte: Die beiden Checklisten erheben keinen Anspruch auf Vollständigkeit oder Korrektheit. Wer also Anregungen und Ergänzungen zur Weiterentwicklung oder Korrektur hat, immer her damit. Und es gilt “fair use”. Diese Vorlage kann daher gerne in der Praxis von Organisationen genutzt und verändert werden. Wir möchten jedoch nicht, dass sie ohne unsere Zustimmung auf anderen Internetseiten als Muster zum Download angeboten wird oder sich irgendwann in einem Fachbuch wiederfindet. Haftung: Die Checklisten stellen lediglich einen Vorschlag dar. Es wird keine Haftung für Schäden durch die Verwendung übernommen.

Checkliste Datenschutz im Home-Office für Arbeitgeber

Jetzt herunterladen!

Checkliste Datenschutz im Home-Office für Arbeitnehmer

Jetzt herunterladen!

BSI spricht Warnung vor Kaspersky aus

von Sascha Kuhrau
29. März 202229. März 2022

BSI: Warnung vor Kaspersky — Kein Einsatz von Produkten aus dem Hause Kaspersky mehr

“Das BSI empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.” Diese Warnung vor Kaspersky spricht das Bundesamt für Sicherheit in der Informationstechnik mit einiger Verzögerung und auch erst nach drängenden Nachfragen des Heise Verlags nun seit einigen Tagen offiziell aus.

Warnung vor Kaspersky berechtigt oder Panikmache?

Dazu kann man nun stehen wie man will. Wieso erst jetzt? Wieso nicht schon im Zuge der Annexion der Krim, als sich die totalitären Risiken bereits klar abzeichneten? Sei es drum. Ein Risiko ist nicht generell von der Hand zu weisen, von daher ist Vorbeugen besser als hinterher schlauer zu sein.

Das BSI schreibt dazu:

“Virenschutzsoftware hat tiefgehende Eingriffsrechte in PCs, Smartphones, Laptops und andere IT-Infrastrukturen. Vertrauen in die Zuverlässigkeit und den Eigenschutz des jeweiligen Herstellers sowie seiner authentischen Handlungsfähigkeit ist daher entscheidend für den sicheren Einsatz solcher Systeme.”

Schwachstellen in der eigentlichen Software können daher schnell zur Kompromittierung einzelner Geräte, aber auch ganzer Systemlandschaften führen. Das ist kein generelles Problem der Kaspersky-Produkte, sondern von jeder Software, die so tief in die Betriebssysteme verzahnt ist. In diesem konkreten Fall führt das BSI in seiner Warnung vor Kaspersky weiter aus:

“Im Kontext des Krieges, den Russland gegen die Ukraine führt, könnte ein russischer IT-Hersteller selbst offensive Operationen durchführen, oder gegen seinen Willen dazu gezwungen werden, Zielsysteme anzugreifen, oder als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.”

Guter Rat ist teuer

Was heißt diese Warnung vor Kaspersky jetzt konkret? Je weniger komplex die betroffene Systemumgebung ist und gerade auf einem Einzelgerät zuhause, desto leichter fällt der Umstieg auf einen anderen Anbieter. In größeren Systemumgebungen werden jedoch selten nur Virenschutzprodukte, sondern meist ganze Sicherheitssuiten der Anbieter genutzt. Damit fallen dann schnell auch wichtige Schutzmechanismen wie Spam-Filterung, Schutz der USB-Ports und viele mehr weg. Da ist es mit einer einfachen De-Installation und Neu-Installation eines anderen Produkts nicht mal eben so getan. Dazu kommen laufende Lizenzgebühren, die weiterhin bis zum Ende der Vertragslaufzeit zu leisten sind. Sonderkündigungsrecht? Sieht aktuell nicht so aus, aber darüber sollen die Juristen streiten. D.h. durch den Umstieg auf eine andere Lösung bzw. einen anderen Anbieter fallen zusätzlich Lizenzgebühren an, von der notwendigen Arbeitszeit für Planung und Konzeption sowie Roll-Out ganz zu schweigen.

Die jeweils aktualisierte FAQ des BSI für Unternehmen und Privatanwender ist hier zu finden: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

E‑Privacy und der gelebte Datenschutz

von Sascha Kuhrau
16. November 20209. Dezember 2020
2 Kommentare

Am 04.11.2020 wurde ein Entwurf für eine E‑Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.

Ausnahmen dieser E-Privacy Aspekte

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E‑Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheit, fraud prevention, Direktwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E‑Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.

E‑Privacy und das Nutzerverhalten

Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen.

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.

Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´ der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.

a.s.k. Datenschutz erfolgreich Informationssicherheit (ISMS) nach ISIS12 zertifiziert

von Sascha Kuhrau
14. November 2020

Nach nur knapp 6 Monaten Einführung eines Informationssicherheitsmanagementsystems, kurz ISMS wurde das Team von a.s.k. Datenschutz für die investierte Zeit und Nerven belohnt. Nach einem erfolgreichen Vor-Ort-Audit Mitte Oktober durch die DQS GmbH haben wir zum 31.10.2020 das Zertifikat über die erfolgreiche Einführung und den nachweislichen Betrieb unseres ISMS auf Basis des Standards ISIS12 2.0 erhalten. Damit sind wir die erste Organisation, die im neuen Katalog 2.0 zertifiziert wurde. Das freut uns natürlich gleich noch etwas mehr.

Neben den rein formalen Anforderungen haben diese 6 Monate auch einige Veränderungen an Arbeitsprozessen und eingesetzten Softwarelösungen z.B. für den Bereich Mobile Device Management und Hardware-Verwaltung mit sich gebracht. So konnten wir bereits die Phase der Einführung zur weiteren Verbesserung der technischen und organisatorischen Schutzmaßnahmen nutzen. Weiterer Vorteil: Der Nachweis geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO wird durch die Zertifizierung deutlich erleichtert.

ISIS12 (Informationssicherheit in 12 Schritten) ist eine aus dem BSI IT-Grundschutz abgeleitete Vorgehensweise, welche es kleinen und mittleren Organisationen ermöglicht, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben. a.s.k. Datenschutz berät und unterstützt seit vielen Jahren zahlreiche Kommunen und Unternehmen bei Einführung und Betrieb eines ISMS auf Basis von ISIS12, aber auch anderer Standards wie dem BSI IT-Grundschutz selbst. Für uns war es daher ein logischer Schritt, unseren Kunden nicht nur gute Ratschläge zur Einführung und Betrieb von ISIS12 zu geben und sie dabei zu begleiten, sondern uns selbst diesen Regularien zu unterwerfen und das Ganze auch mit Zertifizierung abzuschließen.

Nachdem die ISIS12-Katalogreihe 1.x zu April 2022 abgekündigt wurde, war es für uns selbstverständlich, den Nachfolge-Katalog 2.0 einzuführen. Die überarbeitete Struktur sowie deutliche Aktualisierung der Bausteine und Maßnahmen im Katalog 2.0 gegenüber den früher aus dem IT-Grundschutz-Katalog entnommenen Elementen haben eine zügige, nachvollziehbare und transparente Einführung sehr unterstützt.

Wir können daher aus eigener Erfahrung nur empfehlen, neue Projekte generell nur noch im Katalog 2.0 zu starten bzw. vorhandene ISMS auf Basis der 1.x Kataloge bei nächster passender Gelegenheit umzustellen. Die Upgrade-Pfade sind gut dokumentiert und für unsere Kunden haben wir weitere Systematiken zur einfachen Konvertierung entwickelt.

Wie sagte unser Auditor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letzten Tage bereits genutzt, um uns weiterzuentwickeln. Denn in 12 Monaten müssen wir uns dem ersten Überwachungsaudit (Ü1) stellen und auch das wollen wir mit einem sehr guten Ergebnis abschließen.

Das ISIS12 Zertifikat hat eine Gültigkeit von 3 Jahren und kann hier eingesehen bzw. als PDF abgerufen werden. Wenn Sie mehr über den Standard ISIS12 erfahren wollen, können Sie hier in unserem Blog oder auf der Webseite des IT-Sicherheitsclusters Regensburg weitere Details nachlesen.

Patientendaten — neues Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

von Sascha Kuhrau
5. September 20209. Dezember 2020

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat.

Patientendaten als hochsensibles Schutzgut

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur ‘vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten ‘intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten

Es würden ‘aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) ‘ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien ‘weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA.

Patientendaten in Zeiten fragwürdiger ‘Digitalisierung´

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der ‘behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein.

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022 für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können — entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung.

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf.

Schutz vor allem für die Verursacher von Datenschutzverletzungen

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit ‘Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik ‘datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben ‘konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels ‘operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich.

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich — hinreichende Gesundheit vorausgesetzt — mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten.

Fazit und Statement

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter.

Das heißt also — verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

LfDI Baden-Württemberg — neues Bildungszentrum

von Sascha Kuhrau
20. Juli 20209. Dezember 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit — LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit.

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen.

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden.

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Sascha Kuhrau
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Corona App — hoffentlich sicher zur nächsten Pandemie

von Sascha Kuhrau
14. Juni 20209. Dezember 2020

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind.

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf. Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen.

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung.

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren.

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt.

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar.

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren.

Datenschutz und Privatsphäre

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg.

Prüfauftrag der Corona App war limitiert

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen.

Fazit zum aktuellen Stand der Corona App

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

IT Sicherheit

WLAN Zugangs­da­ten im Klar­text im Fritz!Fon einsehbar

Kein Hin­weis auf die­se Funk­ti­on im Hand­buch der Fritz!Box und des Fritz!Fons

Abhil­fe über das DECT-Menü in der Fritz!Box

Gäs­te den­noch kom­for­ta­bel ins WLAN lassen

Check­lis­te Daten­schutz im Home-Office

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Check­lis­te Home-Office für Arbeitgeber

Check­li­s­te­Home-Office für Arbeitnehmer

Wei­te­rer Bene­fit der Checklisten

Down­load der Check­lis­te Daten­schutz im Home-Office

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Guter Rat ist teuer

Aus­nah­men die­ser E-Priva­cy Aspek­te

Inte­gri­tät und Vertraulichkeit

E‑Privacy und das Nut­zer­ver­hal­ten

Das BIDIB des LfDI als neu­es Forum der Bil­dung und Diskussion

Zukunfts­wei­sen­de Aspekte

Fazit und Kom­men­tar zum neu­en Bil­dungs­zen­trum des LfDI Baden-Würt­tem­berg

Eini­ge Zah­len zur Tätig­keit des BfDI

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger

Gre­mi­en­ar­beit und Gesetz­ge­bung

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich

Zusam­men­fas­sung

Sicher­heitsaspek­te der neu­en Coro­na App

Daten­schutz und Pri­vat­sphä­re

Prüf­auf­trag der Coro­na App war limi­tiert

Fazit zum aktu­el­len Stand der Coro­na App

WLAN Zugangsdaten im Klartext im Fritz!Fon einsehbar

Kein Hinweis auf diese Funktion im Handbuch der Fritz!Box und des Fritz!Fons

Abhilfe über das DECT-Menü in der Fritz!Box

Gäste dennoch komfortabel ins WLAN lassen

Checkliste Datenschutz im Home-Office

Systematik der Checkliste Datenschutz im Home-Office

Checkliste Home-Office für Arbeitgeber

ChecklisteHome-Office für Arbeitnehmer

Weiterer Benefit der Checklisten

Download der Checkliste Datenschutz im Home-Office

BSI: Warnung vor Kaspersky — Kein Einsatz von Produkten aus dem Hause Kaspersky mehr

Warnung vor Kaspersky berechtigt oder Panikmache?

Ausnahmen dieser E-Privacy Aspekte

Integrität und Vertraulichkeit

E‑Privacy und das Nutzerverhalten

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Zukunftsweisende Aspekte

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg

Einige Zahlen zur Tätigkeit des BfDI

Empfehlungen des BfDI für Einrichtungen und Bürger

Gremienarbeit und Gesetzgebung

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

Zusammenfassung

Sicherheitsaspekte der neuen Corona App

Datenschutz und Privatsphäre

Prüfauftrag der Corona App war limitiert

Fazit zum aktuellen Stand der Corona App