Hacking und Datenpannen 2019 2020

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hacking und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­er­fol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hacking und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hacking wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hacking — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hacking nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebsscree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Social Distancing

In Zei­ten von Not­la­gen muss man auch manch­mal zu krea­ti­ven Maß­nah­men grei­fen. Doch ein kurz­fris­tig geplan­ter Geset­zes­ent­wurf ruft teils kri­ti­sche Reak­tio­nen her­vor, wie die der­zeit geplan­te Han­dy­or­tung zur Corona-Bekämpfung.

… zurecht oder nicht? Las­sen Sie es uns wis­sen — in der Kommentarbox.

Han­dy­or­tung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Han­dy­or­tung über Funk­mas­ten

Laut Geset­zes­ent­wurf des Bun­des­ge­sund­heits­mi­nis­te­ri­ums soll den Gesund­heits­be­hör­den das Recht ein­ge­räumt wer­den, Kon­takt­per­so­nen von Infi­zier­ten mit­tels Han­dy­or­tung nach­voll­zie­hen und zeit­spa­rend kon­tak­tie­ren zu kön­nen. Infor­ma­ti­ons­quel­le sol­len hier­für die diver­sen Mobil­funk­an­bie­ter sein. Stand­ort­da­ten der Kon­takt­per­so­nen sol­len Auf­schluss über den Auf­ent­halts­ort geben.

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Vor weni­gen Stun­den äußer­te der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber in einem  Twit­ter Bei­trag Beden­ken zur Wirk­sam­keit der geplan­ten Maß­nah­me. „Alle Maß­nah­men der Daten­ver­ar­bei­tung“ hät­ten laut Kel­ber die öffent­lich-recht­li­chen Schlüs­sel­kri­te­ri­en der Erfor­der­lich­keit, Geeig­net­heit und Ver­hält­nis­mä­ßig­keit zu erfül­len. „Bis­her“ feh­le „jeder Nach­weis, dass die indi­vi­du­el­len Stand­ort­da­ten der Mobil­funk­an­bie­ter einen Bei­trag leis­ten könn­ten, Kon­takt­per­so­nen zu ermit­teln, dafür sind die­se viel zu unge­nau.“ Anders stel­le sich dies bei ent­spre­chen­der Ana­ly­se von Bewe­gungs­strö­men in anony­mi­sier­ter Form dar. Auf der Basis von Funk­ze­l­len Han­dy­or­tung ist ledig­lich ein Radi­us von allen­falls 100 Metern erfass­bar. In länd­li­chen Regio­nen kön­nen es durch­aus meh­re­re Kilo­me­ter sein. Also alles viel zu unge­nau, um poten­ti­el­le Kon­tak­te mög­li­cher Infi­zier­ter aus­rei­chend kon­kret aus der Daten­men­ge her­aus­fil­tern zu kön­nen. Im Rah­men der Res­sort­be­tei­li­gung war die obers­te Bun­des­be­hör­de für Daten­schutz und die Infor­ma­ti­ons­frei­heit BfDI beim Ent­wurf des Infek­ti­ons­schutz­ge­set­zes involviert.

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Frei­wil­li­ge Han­dy­or­tung mit­tels App

In Ita­li­en ist sie bereits im Ein­satz — die App-Lösung zur Ortung poten­zi­ell Infi­zier­ter Kon­takt­per­so­nen. Für Deutsch­land befin­det sich das hier bekann­tes­te Pro­jekt der­zeit noch in der crowd­fun­ding Pha­se. Die Akti­vie­rung der Gerä­te von frei­wil­li­gen Test­per­so­nen in der Beta-Pha­se soll Ende die­sen /​ Anfang kom­men­den Monats erfolgen.

Auf anony­mi­sier­ter und frei­wil­li­ger Basis soll es den Han­dy­nut­zern mög­lich sein, prä­zi­ser geor­tet und kon­tak­tiert zu wer­den als dies durch die rei­ne Aus­wer­tung von Ver­kehrs­da­ten zur Ermitt­lung vom Stand­ort mög­lich erscheint.

In Süd­ko­rea sind sol­che Model­le bereits im Kampf der Ein­däm­mung ein­ge­setzt wor­den. Dort sta­bi­li­siert sich die einst mas­siv eska­lie­ren­de Lage. In einem Bei­trag der BBC unter­streicht die Außen­mi­nis­te­rin im Kampf gegen das Virus und mit panik­be­ding­ten Pro­ble­men die Not­wen­dig­keit schnel­ler behörd­li­cher Ent­schei­dun­gen und zugleich, die­sen wis­sen­schaft­li­che Erkennt­nis­se und Beweis­ba­res zu Grun­de zu legen.

Aller­dings ist der Erfolg von frei­wil­li­gen Prä­ven­ti­ons­maß­nah­men auch stets von der indi­vi­du­el­len Ein­sichts­be­reit­schaft abhän­gig, die im Rah­men der Coro­na­pan­de­mie man­cher­orts täg­lich Anlass zur Besorg­nis zu geben scheint. Dies wur­de gera­de durch die Not­wen­dig­keit zur Ver­schär­fung bzw. Ein­füh­rung einer bun­des­wei­ten Aus­geh­be­schrän­kung (wohl­ge­merkt nicht Aus­gangs­sper­re) am 22.03.2020 erneut deutlich.

Stand Sonn­tag­abend 22.03.2020

Infol­ge deut­li­cher Kri­tik wur­de davon abge­rückt, den Gesetz­ent­wurf bereits am 23.03.2020 ins Bun­des­ka­bi­nett zu geben. So lau­ten über­ein­stim­men­de Agen­tur­mel­dun­gen. Man wol­le vor­erst auf Han­dy­or­tung ver­zich­ten und einen betref­fen­den Gesetz­ent­wurf nun bis Ostern über­ar­bei­ten. Nähe­res dazu in einem Tages­schau Bei­trag vom Sonntagabend.

Fazit und Hin­wei­se zur geplan­ten Handyortung

Die Risi­ken ein­grei­fen­der Nor­men wie etwa der geplan­ten Han­dy­or­tung ent­ste­hen nicht per se aus dem Rechts­ein­griffs als sol­chem, son­dern aus dem Miss­brauchs­po­ten­zi­al in der täg­li­chen Anwen­dung. Im Eifer des Gefechts kann erfah­rungs­ge­mäß nicht gänz­lich aus­ge­schlos­sen wer­den, dass Feh­ler pas­sie­ren, die Neu­gier bei dem einen oder ande­ren sich durch­setzt oder u.U. sogar ver­ein­zelt gezielt mani­pu­liert wird.

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

  • das Per­so­nal bei der Aus­wer­tung von und dem Umfang mit den aus­zu­wer­ten­den Stand­ort Daten lücken­los und fach­lich fun­diert zu schulen,
  • auf die­se Wei­se sicher­zu­stel­len, dass die Daten aus­schließ­lich in dem Kon­text der bezweck­ten Ver­ar­bei­tung ver­blei­ben und nicht auf Zuruf offen­ge­legt wer­den, wie dies immer wie­der — etwa in Tele­fo­na­ten anfra­gen­der, ver­meint­lich auto­ri­sier­ter Stel­len — vorkommt,
  • detail­lier­te und tech­nisch ver­bind­lich umge­setz­te Berech­ti­gungs­kon­zep­te zu etablieren,
  • auf die­se Wei­se den Per­so­nen­kreis, die Zugriff auf die Daten haben, in einem kon­kre­ten und stets über­schau­ba­ren Rah­men zu hal­ten und dies auch zu pro­to­kol­lie­ren /​ zu prüfen,
  • den Anwen­der trans­pa­rent zu infor­mie­ren, ohne die ord­nungs­ge­mä­ße Ver­fol­gung der Ein­satz­zwe­cke zu untergraben.

01.03.2020: Damit ging es los

Am 01.03.2020 haben wir nach ein­ge­hen­der inter­ner Bera­tung im Team unse­re Kun­den dahin­ge­hend infor­miert, ab sofort bis auf Wei­te­res kei­ne Außen­dienst-Akti­vi­tä­ten bzw. Vor-Ort-Besu­che mehr durch­zu­füh­ren. Als Viel­rei­sen­de wäre das Risi­ko recht hoch gewe­sen, uns selbst zu infi­zie­ren und mög­li­cher­wei­se bis zur Fest­stel­lung der Infek­ti­on noch vie­le wei­te­re Men­schen mit anzu­ste­cken. Die­se Ent­schei­dung hat uns vor nun­mehr 2 Wochen eini­ge grenz­wer­ti­ge Kom­men­ta­re und teil­wei­se auch ein bemit­lei­den­des Lächeln ein­ge­bracht. Mitt­ler­wei­le steht fest, wir haben zum Schutz unse­rer Mit­ar­bei­ter und deren Fami­li­en, aber auch unse­rer Kun­den früh­zei­tig und rich­tig gehan­delt. Wir wol­len nicht ver­schwei­gen, es gab auch eini­ge weni­ge Stim­men der Zustim­mung und auch des Respekts, einen sol­chen Schritt durch­zu­zie­hen. Vie­len Dank an die­ser Stel­le noch mal aus­drück­lich dafür.

Alle Mit­ar­bei­ter der a.s.k. Daten­schutz dür­fen und kön­nen seit­her von zu Hau­se aus arbei­ten. Die Anfor­de­run­gen an die täg­lich zu erbrin­gen­de Arbeits­zeit sind auf unbe­stimm­te Zeit auf­ge­ho­ben. Und die Betreu­ung von Kin­dern und ande­ren hilfs­be­dürf­ti­gen Fami­li­en­an­ge­hö­ri­gen hat vor dem Tages­ge­schäft immer Vor­rang. Die dafür not­wen­di­gen Frei­räu­me kann sich jedes Team­mit­glied bei uns ohne Ab- bzw. Anmel­dung nehmen.

Jetzt sind wir auf­grund unse­rer Unter­neh­mens­struk­tur und Grö­ße, aber auch unse­rer stark von Digi­ta­li­sie­rung gepräg­ten Arbeits­wei­se und einem unter ande­rem für Pan­de­mien erstell­ten Not­fall­plan auf einen sol­chen Schritt gut vor­be­rei­tet gewe­sen. Wir sind mobi­les Arbei­ten gewöhnt, das tech­ni­sche Equi­pe­ment ist vor­han­den und für alle Mit­ar­bei­ter iden­tisch. Schon immer haben wir auf eine moder­ne Pro­jekt­platt­form zur gemein­sa­men Bear­bei­tung und Doku­men­ta­ti­on von Auf­ga­ben mit unse­ren Kun­den gesetzt. Und mit Zooms sowie Micro­soft Teams ste­hen zwei ger­ne und oft genutz­te Video­kon­fe­renz­platt­for­men zur Ver­fü­gung, über die auch ohne vor Ort zu sein, wich­ti­ge Ange­le­gen­hei­ten und The­men von Ange­sicht zu Ange­sicht, ein­zeln oder in Grup­pen bespro­chen wer­den kön­nen. Die ers­ten Tage waren etwas holp­rig. Gera­de für Kun­den, die bis­her mit dem The­ma Video­kon­fe­renz kei­ne Erfah­run­gen hat­ten oder gene­rell “frem­deln”. Doch mitt­ler­wei­le hat auch das sich neben Tele­fon und Email als all­täg­li­ches Kom­mu­ni­ka­ti­ons­me­di­um ein­ge­spielt. Ein klei­ner Ein­blick in unse­re Umset­zung und Erfahrungen:

Tech­nik und Orga­ni­sa­ti­on im Home Office

Damit auch die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in die­ser Son­der­si­tua­ti­on nicht zu kurz kom­men, haben wir uns unter ande­rem um fol­gen­de Punk­te geküm­mert bzw. deren Aktua­li­tät geprüft, wenn schon vorhanden:

  • Ver­schlüs­se­lung aller Daten­trä­ger in mobi­len Gerä­ten und fes­ten Arbeits­plät­zen (wird bereits bei Beschaf­fung und Inbe­trieb­nah­me vorgenommen)
  • Instal­la­ti­on und Ein­rich­ten von VPN auf allen Gerä­ten (eben­falls bereits bei Beschaf­fung und Inbe­trieb­nah­me erledigt)
  • Absi­che­rung aller Accounts (intern und extern sowie auf den Gerä­ten) neben Benut­zer­na­me und Pass­wort mit Zwei-Fak­tor-Authen­ti­fi­zie­rung (Bestand­teil der Account-Einrichtung)
  • Prü­fen der Funk­ti­ons­fä­hig­keit loka­ler Back­ups via Time­Ma­chi­ne auf ver­schlüs­sel­te exter­ne SSD sowie zusätz­li­cher Back­up-Rou­ti­nen auf NAS-Sys­te­me im Home Office (wird bei Erst­kon­fi­gu­ra­ti­on bereits ein­ge­rich­tet, mit­tels Fern­war­tung regel­mä­ßig über­prüft, ob alles sau­ber läuft)
  • Sicher­stel­len der auto­ma­ti­schen Bild­schirm­sper­re nach 2 Minu­ten (das The­ma manu­el­les Sper­ren haben wir in einer Team­sit­zung noch mal angesprochen)
  • Alle (mobi­len) Gerä­te sind mit Sicht­schutz­fo­li­en aus­ge­stat­tet. Hilf­reich für den häu­fi­gen Fall, das im Home Office kein sepa­ra­ter Raum für die Tätig­keit vor­han­den ist.
  • Richt­li­nie bzw. Rege­lun­gen zur Nut­zung mobi­ler Arbeits­plät­ze bzw. Home Office (wird bei Ein­stel­lung erle­digt). Wer hier noch nichts hat, RA Schwen­ke hat dazu einen recht fle­xi­blen Gene­ra­tor erstellt 
  • Rege­lun­gen zum Daten­schutz im Home Office, sofern nicht in der zuvor genann­ten Rege­lung bereits ent­hal­ten (wird bei Ein­stel­lung erle­digt). Der Ihnen sicher bekann­te “Daten­schutz-Guru” Ste­phan Han­sen-Oest hat hier gera­de ein Mus­ter online gestellt, für die­je­ni­gen, die noch Bedarf haben 
  • Ver­pflich­tung Daten­schutz für Mit­ar­bei­ter (wird bei Ein­stel­lung erledigt)
  • Schred­der mit aus­rei­chen­der Sicher­heits­stu­fe für die Home Offices (wird nor­ma­ler­wei­se bei Ein­stel­lung erle­digt, aber es hat uns doch glatt ein Gerät gefehlt)
  • Set­zen von Prio­ri­tä­ten wie Bear­bei­tung von Daten­pan­nen bei Kun­den über sepa­ra­te Hotline-Nummer

Bei der Gele­gen­heit haben wir unse­re Richt­li­nie zum Umgang mit Sicher­heits­vor­fäl­len aktua­li­siert, da dort das The­ma Home Office bis­her nicht kon­kret benannt wurde.

Seit 2 Wochen machen wir damit bereits sehr gute Erfah­run­gen. Bei dem einen oder ande­ren Kun­den kommt es bei Video­kon­fe­renz noch zu Anlauf­schwie­rig­kei­ten, da die Ports ger­ne mal in der Fire­wall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anlei­tun­gen im Netz bereit­ste­hen, ist das jedoch schnell gelöst.

Wer sich noch etwas wei­ter mit dem The­ma befas­sen will, dem sei der BSI IT-Grund­schutz nahe­ge­legt. Unter ande­rem der Bau­stein OPS 1.2.4 Tele­ar­beit umfasst eine gute Über­sicht an Maß­nah­men, die für die Ein­rich­tung und den Betrieb von Home Office eine gute Grund­la­ge bil­den. Bin­den Sie auch Ihren Daten­schutz­be­auf­trag­ten und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten ein, selbst wenn es jetzt viel­leicht schnell gehen muss.

Sozia­le Aspek­te des Home Office

Um die sozia­len Aspek­te im Team nicht zu kurz kom­men zu las­sen und damit auch nie­mand im Home Office ver­einsamt, nut­zen wir selbst intern eben­falls sehr rege Chat und Video­kon­fe­renz. Wir haben spa­ßes­hal­ber auch eine klei­ne Home Office Eti­ket­te erstellt:

  • Auf­ste­hen, Zäh­ne put­zen, Kaf­fee. Hilft das nicht, dann noch mehr Kaffee
  • Am Heim­ar­beits­platz ist eine gebü­gel­te Jog­ging­ho­se Pflicht
  • Pyja­ma ist nur mit Ein­horn-Glit­ter oder Super­man-Auf­druck zugelassen
  • Im Fal­le des Pyja­ma soll­te Video­kon­fe­renz nur intern genutzt werden
  • Sofern einen die Fami­lie zu Hau­se nicht auf Trab hält, gele­gent­lich mal auf­ste­hen, sich bewe­gen, Pau­se machen
  • Ach­tung: Wenn Bewe­gung heißt Haus ver­las­sen, dann noch mal prü­fen, ob der Pyja­ma rich­tig sitzt
  • Wer das Wort “Hams­tern” sagt, muss 10 Lie­ge­stüt­ze vor lau­fen­der Kame­ra machen. Alter­na­tiv Lapdance.

Fazit

Wir sind uns bewußt, das wir auf­grund unse­rer Tätig­keits­fel­der für eine sol­che Vor­ge­hens­wei­se Vor­tei­le gegen­über vie­len ande­ren Orga­ni­sa­tio­nen haben. Gera­de Ein­rich­tun­gen aus dem Bereich der öffent­li­chen Ver­sor­gung kön­nen ihre Mit­ar­bei­ter nicht ein­fach ins Home Office schicken.

Home Office ist jedoch mach­bar. Der aktu­el­le Stand der Tech­nik erlaubt ein siche­res Arbei­ten von zu Hau­se aus. Viel­leicht kön­nen wir mit dem kur­zen Ein­blick in unse­re Vor­ge­hens­wei­se die eine oder ande­re Anre­gung und Tipps lie­fern, wie und was — auch kurz­fris­tig — umsetz­bar ist und auf was man so alles ach­ten soll­te (ohne Anspruch auf Voll­stän­dig­keit und sicher nicht auf jede Orga­ni­sa­ti­on 1:1 anwend­bar). Denn auch wenn “Aus­nah­me­zu­stand” herrscht: Die The­men Sicher­heit, Daten­schutz aber auch das mensch­li­che Mit­ein­an­der soll­ten nicht zu kurz kommen.

Dan­ke an all die flei­ßi­gen und uner­müd­li­chen Hel­fer, die aktu­ell über­all für den Rest der Gesell­schaft die Stel­lung hal­ten, sei es im Gesund­heits­we­sen, im Han­del, der Ver­sor­gung, öffent­li­che Sicher­heit und und und … Ohne sie wären wir alle aufgeschmissen.

Help Button

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Im Zuge der Dis­kus­si­on um Infor­ma­ti­ons­si­cher­heits­kon­zep­te und tech­ni­sche Maß­nah­men im Sin­ne der DSGVO stößt man unwei­ger­lich auf das The­ma Not­fall­ma­nage­ment. Vor­ran­gig zie­len die ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men einer Orga­ni­sa­ti­on ja dar­auf ab, Sicher­heits­vor­fäl­le und Not­fäl­le mög­lichst zu ver­mei­den. Die Ein­tritts­wahr­schein­lich­keit soll mög­lichst nahe Null lie­gen. Das dies für jede Art von Vor­fall nicht immer gelingt, liegt auf der Hand. Umso wich­ti­ger ist, von sol­chen Vor­fäl­len früh­zei­tig Kennt­nis zu erlan­gen, die­se kor­rekt zu bewer­ten und ange­mes­sen zu reagieren.

Dies setzt jedoch sen­si­bi­li­sier­te Mit­ar­bei­ter vor­aus, die im Fal­le eines Sicher­heits­vor­falls oder eines Not­falls wis­sen, was zu tun ist. Die Alli­anz für Cyber-Sicher­heit hat sich zusam­men mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und eini­gen ande­ren Ein­rich­tun­gen im Hin­blick auf IT-Sicher­heits­vor­fäl­le Gedan­ken gemacht.

Die IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” für Mitarbeiter

Sie ken­nen das sicher noch aus der Ers­te-Hil­fe-Aus­bil­dung. Die 5 “W” für den rich­ti­gen Notruf:

  1. Wo ist das Ereignis?
  2. Wer ruft an?
  3. Was ist geschehen?
  4. Wie vie­le Betroffene?
  5. War­ten auf Rückfragen

Ana­log zu die­ser Vor­ge­hens­wei­se gibt es nun die IT-Not­fall­kar­te zum kos­ten­frei­en Down­load und zur Ver­tei­lung an Mit­ar­bei­ter bzw. Aus­hang der Kar­te. Nach Ein­trag der inter­nen Ruf­num­mer für IT-Not­fäl­le kom­men die 5 “W” für die Notfallmeldung:

  1. Wer mel­det?
  2. Wel­ches IT-Sys­tem ist betroffen?
  3. Wie haben Sie mit dem IT-Sys­tem gear­bei­tet bzw. was haben Sie beobachtet?
  4. Wann ist das Ereig­nis eingetreten?
  5. Wo befin­det sich das betrof­fe­ne IT-Sys­tem (Gebäu­de, Raum, Arbeitsplatz)?

Dar­un­ter fin­den sich eini­ge Ver­hal­tens­hin­wei­se für den oder die betrof­fe­nen Mit­ar­bei­ter. Für den Fall eines Befalls mit Kryp­to­tro­ja­nern wäre mög­li­cher­wei­se die Emp­feh­lung “Netz­werk­ka­bel zie­hen” noch recht hilf­reich gewesen.

Sehr gut hat uns die Aus­sa­ge gefal­len “Ruhe bewah­ren & IT-Not­fall mel­den. Lie­ber ein­mal mehr als ein­mal zu wenig anru­fen!”, die sich als zwei­te Über­schrift auf der Kar­te oben findet.

Top 12 Maß­nah­men bei Cyber-Angriffen

Da es nach der Mel­dung eines IT-Not­falls mit der Bear­bei­tung wei­ter­ge­hen muss, lie­fert die Alli­anz für Cyber­si­cher­heit zur wei­te­ren “Bewäl­ti­gung des Not­falls” eine Top 12 Lis­te mit. Auf die­ser fin­den sich die wich­tigs­ten Maß­nah­men zur Scha­dens­be­gren­zung und auch der Nach­be­ar­bei­tung des hof­fent­lich glimpf­lich ver­lau­fe­nen Angriffs.

Die­se Top 12 Maß­nah­men bei Cyber-Angrif­fen rich­ten sich an IT-Ver­ant­wort­li­che und Admi­nis­tra­to­ren und soll­ten an kei­nem Arbeits­platz als Hil­fe­stel­lung fehlen.

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Die­se bei­den Hil­fe­stel­lun­gen sind ein ers­ter Schritt in die rich­ti­ge Rich­tung. Doch ohne pro­fes­sio­nel­les Not­fall­ma­nage­ment wird kei­ne Orga­ni­sa­ti­on zukünf­tig aus­kom­men. Wur­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in der Ver­gan­gen­heit meist schon sehr stief­müt­ter­lich behan­delt, haben gera­de klei­ne Orga­ni­sa­tio­nen das The­ma Not­fall­ma­nage­ment gar nicht oder nur weit am Ende des Erfas­sungs­be­reichs auf dem Radar.

Hier ver­weist die Alli­anz für Cyber­si­cher­heit auf den Stan­dard 100–4 des BSI IT-Grund­schut­zes. 100–4 beschreibt eine pro­fes­sio­nel­le und sys­te­ma­ti­sche Vor­ge­hens­wei­se zur Ein­füh­rung und Wei­ter­ent­wick­lung eines Not­fall­ma­nage­ments in Orga­ni­sa­tio­nen jeg­li­cher Grö­ße und Bran­che. Bei ers­ter Durch­sicht mag das dem einen oder ande­ren Leser etwas sper­rig oder zu auf­ge­bauscht wir­ken. Und sicher emp­fiehlt es sich, in Abhän­gig­keit von der Orga­ni­sa­ti­ons­grö­ße den Stan­dard 100–4 ange­mes­sen und zweck­dien­lich umzu­set­zen. Eine stoi­sche 1:1 Umset­zung ist eher suboptimal.

Sinn und Not­wen­dig­keit für ein Not­fall­ma­nage­ment soll­ten jedoch schnell klar wer­den. Ein Not­fall ist etwas ande­res als “Kein Papier im Dru­cker”. Ok, der betrof­fe­ne Mit­ar­bei­ter mag das kurz­zei­tig so emp­fin­den 🙂 In einem Not­fall oder auch bei der Ver­ket­tung meh­re­rer Arten von Not­fäl­len ist kei­ne gro­ße Zeit, sich über die Not­fall­be­hand­lung Gedan­ken zu machen oder wich­ti­ge Infor­ma­tio­nen für die Besei­ti­gung des Not­falls zu beschaffen.

Wenn Sie mit dem The­ma lieb­äu­geln, kön­nen wir Ihnen den Kurs “Not­fall­ma­nage­ment” der Baye­ri­schen Ver­wal­tungs­schu­le wärms­tens an Herz legen. Die­ser ist nicht auf baye­ri­sche Ver­wal­tun­gen beschränkt, son­dern steht inter­es­sier­ten Teil­neh­mern aus Behör­den und Unter­neh­men aus ganz Deutsch­land offen.

Im Rah­men von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten wird die Ent­wick­lung eines Not­fall­vor­sor­ge­kon­zepts und eines Not­fall­plans (erst die Ver­mei­dung, dann die Reak­ti­on, wenn es mit dem Ver­mei­den nicht geklappt hat) gefor­dert. Wer sich also mit den Stan­dards wie IT-Grund­schutz, ISIS12 oder auch der Arbeits­hil­fe (für klei­ne­re Ein­rich­tun­gen) und deren Ein­füh­rung befasst, wird um das The­ma nicht herumkommen.

Was kann a.s.k. Daten­schutz für Sie tun?

Vor­aus­ge­schickt: a.s.k. Daten­schutz ist der Dozent an der Baye­ri­schen Ver­wal­tungs­schu­le u.a. für das The­ma Not­fall­ma­nage­ment und die Aus­bil­dung von zer­ti­fi­zier­ten Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten. Im Zuge von zahl­rei­chen Sicher­heits­kon­zep­ten beglei­ten wir die Ein­füh­rung von Not­fall­vor­sor­ge­kon­zep­ten und die Erstel­lung von Not­fall­plä­nen. Selbst­ver­ständ­lich bie­ten wir die­se Dienst­leis­tung im Rah­men der Ein­füh­rung und Beglei­tung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten, aber auch flan­kie­rend zur Tätig­keit als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te an. Spre­chen Sie uns ein­fach an. Ihren Daten­schutz­be­auf­trag­ten wird das sicher auch freuen.

Apro­pos Daten­schutz­be­auf­trag­ter: Ver­fügt Ihre Orga­ni­sa­ti­on über einen Daten­schutz­be­auf­trag­ten? Öffent­li­che Stel­len sind zur Bestel­lung unge­ach­tet der Mit­ar­bei­ter­zahl gene­rell ver­pflich­tet. Unter­neh­men benö­ti­gen einen Daten­schutz­be­auf­trag­ten ab 10 Mit­ar­bei­tern (soll­te das 2. DsAnpG den Bun­des­rat pas­sie­ren erhöht sich die Zahl auf 20), die regel­mä­ßig mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten befasst sind. Und las­sen Sie sich kei­nen Sand in die Augen streu­en. Ob mit oder ohne Daten­schutz­be­auf­trag­ten müs­sen alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on erfüllt sein. Wenn es kei­nen DSB gibt, muss sich jemand ande­res um die meist büro­kra­ti­schen Auf­ga­ben küm­mern. Ein­fa­cher und prag­ma­ti­scher geht es mit a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te. For­dern Sie noch heu­te Ihr unver­bind­li­ches Ange­bot an.

Unver­bind­li­ches Ange­bot anfordern