Darth Vader droht mit Lichtschwert

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

“Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu erset­zen.” Die­se War­nung vor Kas­pers­ky spricht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik mit eini­ger Ver­zö­ge­rung und auch erst nach drän­gen­den Nach­fra­gen des Hei­se Ver­lags nun seit eini­gen Tagen offi­zi­ell aus.

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Dazu kann man nun ste­hen wie man will. Wie­so erst jetzt? Wie­so nicht schon im Zuge der Anne­xi­on der Krim, als sich die tota­li­tä­ren Risi­ken bereits klar abzeich­ne­ten? Sei es drum. Ein Risi­ko ist nicht gene­rell von der Hand zu wei­sen, von daher ist Vor­beu­gen bes­ser als hin­ter­her schlau­er zu sein.

Das BSI schreibt dazu:

“Viren­schutz­soft­ware hat tief­ge­hen­de Ein­griffs­rech­te in PCs, Smart­pho­nes, Lap­tops und ande­re IT-Infra­struk­tu­ren. Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz des jewei­li­gen Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ist daher ent­schei­dend für den siche­ren Ein­satz sol­cher Systeme.”

Schwach­stel­len in der eigent­li­chen Soft­ware kön­nen daher schnell zur Kom­pro­mit­tie­rung ein­zel­ner Gerä­te, aber auch gan­zer Sys­tem­land­schaf­ten füh­ren. Das ist kein gene­rel­les Pro­blem der Kas­pers­ky-Pro­duk­te, son­dern von jeder Soft­ware, die so tief in die Betriebs­sys­te­me ver­zahnt ist. In die­sem kon­kre­ten Fall führt das BSI in sei­ner War­nung vor Kas­pers­ky wei­ter aus:

“Im Kon­text des Krie­ges, den Russ­land gegen die Ukrai­ne führt, könn­te ein rus­si­scher IT-Her­stel­ler selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, oder gegen sei­nen Wil­len dazu gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.”

Guter Rat ist teuer

Was heißt die­se War­nung vor Kas­pers­ky jetzt kon­kret? Je weni­ger kom­plex die betrof­fe­ne Sys­tem­um­ge­bung ist und gera­de auf einem Ein­zel­ge­rät zuhau­se, des­to leich­ter fällt der Umstieg auf einen ande­ren Anbie­ter. In grö­ße­ren Sys­tem­um­ge­bun­gen wer­den jedoch sel­ten nur Viren­schutz­pro­duk­te, son­dern meist gan­ze Sicher­heits­sui­ten der Anbie­ter genutzt. Damit fal­len dann schnell auch wich­ti­ge Schutz­me­cha­nis­men wie Spam-Fil­te­rung, Schutz der USB-Ports und vie­le mehr weg. Da ist es mit einer ein­fa­chen De-Instal­la­ti­on und Neu-Instal­la­ti­on eines ande­ren Pro­dukts nicht mal eben so getan. Dazu kom­men lau­fen­de Lizenz­ge­büh­ren, die wei­ter­hin bis zum Ende der Ver­trags­lauf­zeit zu leis­ten sind. Son­der­kün­di­gungs­recht? Sieht aktu­ell nicht so aus, aber dar­über sol­len die Juris­ten strei­ten. D.h. durch den Umstieg auf eine ande­re Lösung bzw. einen ande­ren Anbie­ter fal­len zusätz­lich Lizenz­ge­büh­ren an, von der not­wen­di­gen Arbeits­zeit für Pla­nung und Kon­zep­ti­on sowie Roll-Out ganz zu schweigen.

Die jeweils aktua­li­sier­te FAQ des BSI für Unter­neh­men und Pri­vat­an­wen­der ist hier zu fin­den: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

 

Schutzschild

Alle Jah­re wie­der, so auch heu­te zum 01.02.2022 hallt es aus diver­sen Nach­rich­ten­ka­nä­len “Leu­te, ändert regel­mä­ßig euer Pass­wort. Bei­spiels­wei­se heu­te, am sog. Ände­re-Dein-Pass­wort-Tag.” Nun, kann man machen, ist aber nicht unbe­dingt sinn­voll. In Blog­bei­trä­gen 2016 (aktua­li­siert 2018: “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”), 2017 (“Ände­re-Dein-Pass­wort-Tag: Über Sinn und Unsinn des regel­mä­ßi­gen Pass­wort­wech­sels”) und 2018 (Update 2020: “„Ich bereue den Pass­wort-Wahn­sinn“ – weg mit den Pass­wort Mythen”) haben wir uns mit die­ser For­de­rung zum regel­mä­ßi­gen Pass­wort­wech­sel aus­ein­an­der­ge­setzt und sind dabei — wie seit 2017 die NIST (Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy) als eigent­li­cher Ver­ur­sa­cher die­ser “Ange­wohn­heit” — zu einem ande­ren Schluss gekom­men: Fin­ger weg vom regel­mä­ßi­gen Pass­wort­wech­sel. Lie­ber Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten. War­um und wie­so? Lesen Sie hier.

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de. Doch sind das wirk­lich gute und belast­ba­re Grün­de für einen Pass­wort­wech­sel? Mög­lichst noch in Inter­val­len von 30–90 Tagen? Und für jedes Log­in noch ein ande­res Pass­wort? Ende vom Lied: Pass­wör­ter wer­den alpha­be­tisch oder nume­risch hoch­ge­zählt oder schlimms­ten­falls auf­ge­schrie­ben, abge­legt unter dem Schreib­tisch­scho­ner. Das ist natür­lich rich­tig sicher 🙂

Doch es gibt in der Tat wirk­lich 3 gute Grün­de, das Pass­wort zu ändern:

  1. Das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  2. Das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  3. Es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und Ende der Aufzählung.

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

Es ist kei­ne all­zu neue Erkennt­nis, dass die Absi­che­rung von Log­ins aus­schließ­lich mit Benut­zer­na­me und Pass­wort in den meis­ten Anwen­dungs­fäl­len kei­nen aus­rei­chen­den Schutz bie­tet. Aus die­sem Grund ist es mitt­ler­wei­le üblich, wo es nur geht und vor­ge­se­hen ist, einen zusätz­li­chen Schutz­fak­tor ein­zu­bau­en bzw. zu nut­zen. Ein bewähr­tes Mit­tel ist die sog. Zwei-Fak­tor-Authen­ti­fi­zie­rung, kurz 2FA.

Die Zwei-Fak­tor-Authen­ti­sie­rung (2FA), häu­fig auch Zwei-Fak­tor-Authen­ti­fi­zie­rung genannt, bezeich­net den Iden­ti­täts­nach­weis eines Nut­zers mit­tels der Kom­bi­na­ti­on zwei­er unter­schied­li­cher und ins­be­son­de­re unab­hän­gi­ger Kom­po­nen­ten (Fak­to­ren). Typi­sche Bei­spie­le sind Bank­kar­te plus PIN beim Geld­au­to­ma­ten, Fin­ger­ab­druck plus Zugangs­code in Gebäu­den, oder Pass­phra­se und Trans­ak­ti­ons­num­mer (TAN) beim Online-Ban­king. Die Zwei-Fak­tor-Authen­ti­sie­rung ist ein Spe­zi­al­fall der Multi-Faktor-Authentisierung.

Für kri­ti­sche Anwen­dungs­be­rei­che wird die Zwei-Fak­tor-Authen­ti­sie­rung emp­foh­len, so bei­spiels­wei­se vom deut­schen Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in sei­nen IT-Grund­schutz- Kata­lo­gen. Im Bank­we­sen wur­de mit der EU-Zah­lungs­diens­te-Richt­li­nie die Zwei-Fak­tor- Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum 2018 sogar ver­pflich­tend ein­ge­führt. Mitt­ler­wei­le gibt es sehr vie­le Anbie­ter, die für Ihre Web­sei­ten /​ Log­in-Berei­che, aber auch ande­re Anmel­de-Vor­gän­ge eine 2FA nicht nur anbie­ten, son­dern ver­bind­lich machen.

Die Zwei-Fak­tor-Authen­ti­sie­rung ist nur dann erfolg­reich, wenn bei­de fest­ge­leg­ten Fak­to­ren zusam­men ein­ge­setzt wer­den und kor­rekt sind. Fehlt eine Kom­po­nen­te oder wird sie falsch ver­wen­det, lässt sich die Zugriffs­be­rech­ti­gung nicht zwei­fels­frei fest­stel­len und der Zugriff wird ver­wei­gert. Jetzt könn­te man ja sagen, Benut­zer­na­me und Pass­wort sind doch schon zwei Kom­po­nen­ten. Das ist so aber nicht ganz rich­tig. Denn auf­grund der meist vor­ge­ge­be­nen Benut­zer­na­men wie die eige­ne Email-Adres­se oder Vorname.Nachname ist die­ser ers­te Fak­tor „ver­brannt“. Es muss daher neben dem Pass­wort ein wei­te­rer siche­rer Fak­tor her. Kor­rek­ter­wei­se wür­de man die Kom­bi­na­ti­on Benut­zer­na­me + Pass­wort + wei­te­rer Fak­tor als Mul­ti­fak­tor- Authen­ti­fi­zie­rung bezeich­nen. In der Pra­xis ist es dann doch nur eine 2FA aus dem zuvor genann­ten Grund.

In der Pra­xis greift man oft auf die­se Kom­bi­na­ti­on zurück:

  1. Benut­zer­na­me
  2. Pass­wort
  3. Authen­ti­ca­tor /​ Authen­ti­fi­ca­tor (z.B. App auf dem Han­dy oder Pro­gramm auf dem Desktop)

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat das The­ma in sei­ner Rei­he “BSI für Bür­ger” das The­ma anschau­lich und mit einem kur­zen Video auf­be­rei­tet, wer es noch mal genau­er und anschau­li­cher wis­sen will (exter­ner Link zum Bei­trag des BSI).

2FA ist kei­ne Raketenwissenschaft

Gele­gent­lich könn­te man mei­nen, 2FA ist “rocket sci­ence” bzw. Rake­ten­wis­sen­schaft. Und da noch nicht aus­rei­chend erforscht und man­gels Erfah­run­gen damit, soll­te man doch eher Abstand davon neh­men. Zumin­dest trifft man sol­che Ten­den­zen durch­aus immer wie­der bei IT-Ver­ant­wort­li­chen und /​ oder Anwen­dern. Fragt man jedoch genau­er nach, resul­tiert die Abnei­gung doch eher daher, sich (als Mensch) oder etwas (die Tech­nik) ändern bzw. den Erfor­der­nis­sen der Zeit anpas­sen zu müs­sen. Und wir wis­sen bekannt­lich alle, der Mensch ist ein Gewohn­heits­tier. Das wis­sen auch Angrei­fer und machen sich die­se Schwach­stel­le ger­ne zunutze.

Vor vie­len Jah­ren war 2FA nicht weit ver­brei­tet, das ist wahr. Mitt­ler­wei­le ist dem aber nicht mehr so. Die meis­ten täg­lich bzw. regel­mä­ßig genutz­ten Log­ins las­sen sich mit­tels 2FA zusätz­lich absi­chern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, son­dern emp­fiehlt die Nut­zung von 2FA mitt­ler­wei­le als Basis­tipp zur IT-Sicher­heit. Gut, auch das hat vie­le Jah­re gedau­ert, aber das BSI hat sei­ne frü­he­re nicht opti­ma­le Hal­tung zum The­ma Pass­wort­wech­sel kor­ri­giert und den BSI IT-Grund­schutz eben­falls dahin­ge­hend angepasst.

Es gibt daher kei­nen Grund, sich nicht mit dem The­ma 2FA zu befas­sen und die­se, sofern vor­han­den, für die eige­nen Log­ins zu akti­vie­ren, wo mög­lich. Es schläft sich wirk­lich ruhi­ger. Das kann der Autor aus eige­ner Erfah­rung berichten 🙂

“Ja, aber ..”

  • “Dann muss ich ja immer mein Smart­pho­ne mit mir rum­tra­gen?” — “Ja und? Machen Sie doch eh!” 🙂
  • “Wenn ich das pri­vat gar nicht nut­ze und kein Dienst­han­dy habe, dann muss ich die 2FA-App den­noch auf mei­nem Pri­vat­ge­rät instal­lie­ren!” — “Ja, und? Die Abnut­zung dadurch hält sich in Gren­zen und es wird nie­mand bei Sinn und Ver­stand auf die Idee kom­men, das nun als BYOD (bring your own device) ein­zu­stu­fen und zu regeln. Und Sie haben dop­pel­ten Nut­zen: Ein mal instal­liert, kön­nen Sie nun auch gleich ihre pri­va­ten Log­ins damit absichern!”
  • “Unse­re IT will das nicht!” — “Salopp: https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​E​i​n​l​a​u​f​_​(​M​e​d​i​zin)” oder “Ver­wei­sen Sie auf gän­gi­ge Stan­dards für Infor­ma­ti­ons­si­cher­heit sowie das BSI. Die­se erklä­ren und for­dern 2FA. Es muss schon sehr trif­ti­ge Grün­de geben, davon Abstand zu neh­men. Die­se müs­sen doku­men­tiert sein, wie­so und durch wen es zu der Ableh­nung gekom­men ist. Für den Fall, dass dann doch etwas pas­siert, weiß man ja, wen man anspre­chen muss :-)”
  • “Isch abe gar kein Han­dy!” — “Ja, und? Es gibt die Soft­ware-Lösun­gen auch für den Desk­top der gän­gi­gen Betriebs­sys­te­me. Unprak­ti­scher, wenn das Gerät gera­de nicht an ist, aber bes­ser als nichts.”
  • Bit­te ergän­zen Sie die Auf­zäh­lung mit zahl­rei­chen wei­te­ren Argu­men­ten, war­um 2FA nicht genutzt wer­den kann und ver­wer­fen Sie die­se augen­blick­lich wieder 🙂

2FA: Back­up-Codes nicht vergessen

Selbst gestan­de­ne IT-Kory­phä­en tun sich mit 2FA gele­gent­lich schwer. Die Instal­la­ti­on und Ein­rich­tung geht noch locker von der Hand, aber dann wird eins schnell ver­ges­sen: Das Abspei­chern der oder des sog. Back­up-Codes. Die­se sind not­wen­dig, wenn man den Zugriff auf das Gerät ver­liert, auf dem der Gene­ra­tor (Authen­ti­ca­tor) für 2FA instal­liert ist z.B. bei Defekt oder Ver­lust des Smart­pho­nes oder Aus­fall der Fest­plat­te (bei Desk­top-Instal­la­tio­nen). Denn ohne gül­ti­gen 2FA-Code kommt man nicht an /​ in den Account. Sprich man kann dann auch kein neu­es Gerät für die 2FA hin­ter­le­gen. Das ist ver­gleich­bar mit das Haus ver­las­sen, Tür hin­ter sich zuzie­hen und dann mer­ken, der Haus­tür­schlüs­sel liegt noch drin­nen auf der Kom­mo­de. Der Pro­zess, um jetzt den Account wie­der zugäng­lich zu machen ist auf­wen­dig und zeit­rau­bend z.B. durch Iden­ti­täts­nach­wei­se etc. Und das liegt in der Natur der Din­ge. Soll­te sich 2FA näm­lich durch eine ein­fa­che Email oder einen Anruf beim Sup­port deak­ti­vie­ren las­sen, wäre der Schutz­wert von 2FA ver­lo­ren. Es könn­te sich ja jeder als Sie aus­ge­ben und den Schutz­me­cha­nis­mus deaktivieren.

Von daher die Bit­te: Immer nach Ein­rich­tung eines 2FA für einen Log­in den ange­bo­te­nen Back­up-Code kopie­ren /​ her­un­ter­la­den und sicher ver­wah­ren. Dazu eig­nen sich bes­tens sog. Pass­wort-Tre­so­re (sie­he Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der für die Emp­feh­lung Pass­wör­ter regel­mä­ßig zu wech­seln ver­ant­wort­li­che Mit­ar­bei­ter der NIST nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. „Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.“ Das NIST hat im Som­mer 2017 die­se damals 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit eigent­lich gestoppt. Der “Ände­re-Dein-Pass­wort-Tag” ist lei­der nicht totzukriegen.

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Bei der Viel­zahl an Pass­wör­tern, die sich im Lau­fe eines akti­ven Nutzer­le­bens so ansam­meln, darf man ruhig auf Hel­fer­lein zurück­grei­fen, die das Leben etwas leich­ter machen. Dazu gehö­ren u.a. die sog. Pass­wort-Tre­so­re. Hier­bei soll­te man jedoch nicht unbe­dingt auf Anbie­ter aus der Cloud (“Bei uns sind Ihre Pass­wör­ter zen­tral gespei­chert und sicher”) set­zen. Wer mal etwas nach Sicher­heits­vor­fäl­len bei den ein­schlä­gig bekann­ten Online-Anbie­tern sol­cher Lösun­gen sucht, wird schnell fün­dig. Es gibt kos­ten­freie Alter­na­ti­ven, die auch für weni­ger tech­nisch ver­sier­te Nut­zer leicht zu instal­lie­ren und zu bedie­nen sind. Und der Tre­sor mit den eige­nen wich­ti­gen Pass­wör­tern ver­bleibt bei einem selbst. Eine Lösung dafür ist bei­spiels­wei­se Kee­pass. Mehr zu die­sem Tool inkl. einer bebil­der­ten Anlei­tung zur Ein­rich­tung und Nut­zung fin­den Sie in unse­rem Blog­bei­trag “Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass”.

Whistleblower-Richtlinie und bald das HinSchG

Seit Novem­ber 2019 steht die euro­päi­sche Hin­weis­ge­ber­schutz-Richt­li­nie im EU-Amts­blatt (Whist­leb­lower-Richt­li­nie). Ihre Vor­ga­ben sind nun in Kraft getre­ten und grei­fen seit dem 18.12.2021. Die Mit­glied­staa­ten hat­ten zuvor zwei Jah­re Zeit, das EU-Gesetz in natio­na­les Recht umzu­set­zen. Die Umset­zung im deut­schen Hin­weis­ge­ber­schutz­ge­setz wird für Quar­tal 1 2022 erwar­tet. Die Anfor­de­run­gen kön­nen jedoch bereits gegen Orga­ni­sa­tio­nen gel­tend gemacht werden.

Juris­ti­sche Per­so­nen wie Fir­men, Behör­den und ande­re Rechts­trä­ger (mit mehr als 50 Mit­ar­bei­tern) sowie alle Unter­neh­men aus dem Bereich der Finanz­dienst­leis­tun­gen müs­sen gemäß den Vor­ga­ben der Whist­leb­lower-Richt­li­nie prin­zi­pi­ell ein (inter­nes) Hin­weis­ge­ber­sys­tem bereit­stel­len und einen spe­zi­el­len Beauf­trag­ten als Ansprech­part­ner vor­se­hen. Gering­fü­gi­ge Aus­nah­men kön­nen ledig­lich für Gemein­den mit weni­ger als 10.000 Ein­woh­nern gemacht werden.

Anders als von der deut­schen Recht­spre­chung bis­lang vor­ge­ge­ben, muss nach der Whist­leb­lower-Richt­li­nie ein Hin­weis­ge­ber einen Miss­stand nicht mehr zunächst intern in der eige­nen Fir­ma oder Behör­de mel­den. Er kann sich auch unmit­tel­bar an über­ge­ord­ne­te Whist­leb­lower-Stel­len wen­den oder bei irrever­si­blen Schä­den, dro­hen­den kon­kre­ten Repres­sa­li­en und beim Aus­blei­ben einer zügi­gen Rück­mel­dung an die Medi­en. Damit ent­zieht sich eine sol­che Mel­dung der Kon­trol­le Ihrer Orga­ni­sa­ti­on und birgt ent­spre­chen­de Risi­ken (Image­scha­den, Buß­gel­der, Geld­stra­fen etc.)

Unser Part­ner Whist­le Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Fir­ma oder Kom­mu­ne die recht­li­chen Anfor­de­run­gen der Whist­leb­lower-Richt­li­nie mit­tels der gesetz­lich expli­zit vor­ge­se­he­nen exter­nen Unter­stüt­zung ele­gant und auch kos­ten­schlank lösen können.

Die Webi­na­re (ca. 30 Minu­ten) fin­den statt:

10. Febru­ar 2022, 09:00 — 09:30 Uhr
18. Febru­ar 2022, 11:00 — 11:30 Uhr
24. Febru­ar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bit­te nut­zen Sie den fol­gen­den Link zur Regis­trie­rung für einen Ter­min Ihrer Wahl:
https://​next​.edu​dip​.com/​d​e​/​w​e​b​i​n​a​r​/​w​h​i​s​t​l​e​b​l​o​w​i​n​g​-​r​i​c​h​t​l​i​n​i​e​-​h​i​n​w​e​i​s​g​e​b​e​r​s​c​h​u​t​z​g​e​s​e​t​z​-​p​r​a​g​m​a​t​i​s​c​h​-​u​m​g​e​s​e​t​z​t​-​m​i​t​-​w​h​i​s​t​l​e​-​s​a​f​e​/​1​7​6​8​122

Hin­weis: Die­se kos­ten­freie Ver­an­stal­tung zur Whist­leb­lower-Richt­li­nie wird von Whist­le Safe e.K. Ber­lin durch­ge­führt, nicht von der a.s.k. Daten­schutz. Fra­gen rich­ten Sie daher bit­te direkt an info@​whistle-​safe.​com bzw. https://​whist​le​-safe​.com

Herz­li­che Grü­ße sowie ein fro­hes und vor allem gesun­des Neu­es Jahr 2022
Das Team von a.s.k. Datenschutz

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

End­lich nun auch für einen der klei­nen Stan­dards für Infor­ma­ti­ons­si­cher­heit ver­füg­bar: Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe 4.0

Doch der Rei­he nach.

Wie­so ein Informationssicherheitskonzept?

Vie­le Orga­ni­sa­tio­nen ste­hen vor der Her­aus­for­de­rung, ent­we­der auf­grund gesetz­li­cher Vor­schrif­ten ein Infor­ma­ti­ons­si­cher­heits­kon­zept zu benö­ti­gen, damit den Nach­weis zur Wirk­sam­keit der eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Sin­ne der Beleg­pflicht der DSGVO erbrin­gen zu wol­len, weil es der eine oder ande­re Auf­trag­ge­ber für die Teil­nah­me an Aus­schrei­bun­gen for­dert oder schlicht, weil sie fest­ge­stellt haben, dass nur ein gesamt­heit­li­cher Ansatz schüt­zens­wer­te Infor­ma­tio­nen und per­so­nen­be­zo­ge­ne Daten in der eige­nen Orga­ni­sa­ti­on absi­chern kann. Grün­de gibt es also vie­le, sich um die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu kümmern.

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) nach den Stan­dards wie die ISO 27001 oder der BSI IT-Grund­schutz sind bewähr­te Umset­zungs­mög­lich­kei­ten. Sagt man der ISO 27001 ein etwas erhöh­tes Maß an Abs­trakt­heit nach, lei­det der IT-Grund­schutz durch­aus an sei­ner Aus­führ­lich­keit (zumin­dest in 100‑x Stan­dards). Hin­zu kommt, dass der Auf­wand an Zeit und Kos­ten gera­de für klei­ne und mitt­le­re Unter­neh­men (KMU) und Kom­mu­nen weit über die gege­be­nen Mög­lich­kei­ten hinausgeht.

Einen Teil die­ser Lücke nach unten hat vor eini­gen Jah­ren der Stan­dard Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten (kurz ISIS12) schlie­ßen kön­nen. Die­ser kommt seit­her in vie­len deut­schen Unter­neh­men und Kom­mu­nen zum Ein­satz, teil­wei­se inklu­si­ve der mög­li­chen Zer­ti­fi­zie­rung durch die DQS GmbH (Und hier reden wir von einer voll­wer­ti­gen, unab­hän­gi­gen Zer­ti­fi­zie­rung, nicht von den durch die bera­ten­de Gesell­schaft als Zer­ti­fi­kat ange­prie­se­nen Testa­te.) ISIS12 lei­tet sich aus dem IT-Grund­schutz ab und wird der­zeit in Rich­tung der Vor­ge­hens­wei­se der ISO 27001 weiterentwickelt.

Für die drei bis­her genann­ten Stan­dards ste­hen bewähr­te Soft­ware­lö­sun­gen zur Ver­fü­gung. Gene­rell sind die­se Stan­dards auch nach unten ska­lier­bar, stel­len den­noch gera­de klei­ne­re Ein­rich­tun­gen nach wie vor vor ein Zeit- und Kos­ten­pro­blem. Die­se immer noch bestehen­de Lücke für klei­ne­re und kleins­te Ein­rich­tun­gen lässt sich mit zwei wei­te­ren Stan­dards in ange­mes­se­nem Kos­ten- und Auf­wands­rah­men schlie­ßen. Die Rede ist vom Stan­dard VdS 10000 (frü­her 3473) sowie der unter dem Pro­jekt­na­men “Arbeits­hil­fe” bekannt gewor­de­nen Sys­te­ma­tik der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne aus Mün­chen.

Gera­de klei­ne und kleins­te Orga­ni­sa­tio­nen fin­den hier einen Werk­zeug­kas­ten, um sich dem The­ma sys­te­ma­tisch zu nähern, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Schwach­stel­len zu iden­ti­fi­zie­ren und danach kon­ti­nu­ier­lich abzu­stel­len und ein Sicher­heits­kon­zept zu betrei­ben. Die Mög­lich­keit besteht jeder­zeit, in die höhe­ren Sys­te­ma­ti­ken upzugraden.

Die “Arbeits­hil­fe” wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de durch a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne ent­wi­ckelt und ist mitt­ler­wei­le in Ver­si­on 4.0 erschie­nen. Trotz die­ses Ursprungs rich­tet sich die Arbeits­hil­fe nicht aus­schließ­lich an kom­mu­na­le Ein­rich­tun­gen. Infor­ma­ti­ons­si­cher­heit ist uni­ver­sell. Von daher sind ledig­lich eini­ge Begriff­lich­kei­ten für den Ein­satz in Unter­neh­men anzu­pas­sen (Geschäfts­füh­rer statt Bür­ger­meis­ter), das war es schon. Und jetzt mit auch Soft­ware-Unter­stüt­zung für die Arbeitshilfe.

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Selbst­ver­ständ­lich las­sen sich Infor­ma­ti­ons­si­cher­heits­kon­zep­te auch mit Papier und Stift oder etwas moder­ner mit­tels Word-For­mu­la­ren und Excel-Tabel­len abbil­den. Bei der Ein­füh­rung mag das auch noch aus­rei­chend sein. Doch im spä­te­ren Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts wird es schnell a) unüber­schau­bar und b) nicht mehr hand­hab­bar, z.B. um Wie­der­vor­la­ge­fris­ten ein­zu­hal­ten. Auch in Bezug auf das jeder­zei­ti­ge Repor­ting /​ Berichts­we­sen ist eine geeig­ne­te Soft­ware­un­ter­stüt­zung unschlagbar.

Die drei gro­ßen Stan­dards ISO 27001, BSI IT-Grund­schutz und ISIS12 kön­nen aus einem gro­ßen Ange­bot geeig­ne­ter Soft­ware­lö­sun­gen wäh­len. Bei den klei­ne­ren Stan­dards wird die Luft sehr schnell dünn bis hin zu feh­len­der Software-Unterstützung.

Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe von a.s.k. Datenschutz

Gera­de für klei­ne Orga­ni­sa­tio­nen sind leicht ver­ständ­li­che und bedien­ba­re Soft­ware-Lösun­gen ein Muß. Zeit für lang­wie­ri­ge Soft­ware-Schu­lun­gen und Ein­ar­bei­tun­gen ist im Zwei­fel Man­gel­wa­re. Oft­mals wer­den klei­ne Ein­rich­tun­gen bei der Ein­füh­rung von exter­nen Dienst­leis­tern unter­stützt, nut­zen mög­li­cher­wei­se auch die Mög­lich­keit eines exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (sofern sinn­voll umsetzbar).

Hier setzt die Soft­ware-Lösung für unse­re (poten­ti­el­len) Kun­den kon­kret an:

  • Ver­schlüs­se­lung bei Über­tra­gung und Speicherung
  • Mehr­fak­tor-Authen­ti­fi­zie­rung
  • Brow­ser­ba­siert, Apps für Desk­top und mobi­le Geräte
  • Bear­bei­tung und gleich­zei­tig fort­lau­fen­de Doku­men­ta­ti­on aller Prüf­fra­gen der Arbeits­hil­fe und deren Umsetzung
  • Erstel­len von not­wen­di­gen Unteraufgaben
  • Zuwei­sen von Auf­ga­ben und Unter­auf­ga­ben an zustän­di­ge Per­so­nen in der Organisation
  • Dis­kus­si­ons­mög­lich­keit zwi­schen den Betei­lig­ten direkt in einem Prüf­punkt und damit nach­voll­zieh­ba­re Doku­men­ta­ti­on der Ent­schei­dungs­fin­dung und des Umset­zungs­sta­tus sowie des­sen Weiterentwicklung
  • Email-Benach­rich­tun­gen über Ände­run­gen und Auf­ga­ben­zu­wei­sun­gen (Hin­wei­se, kei­ne Über­mitt­lung der kon­kre­ten Inhal­te, die sol­len ja ver­schlüs­selt auf der Platt­form bleiben 🙂 )
  • Ter­min-Erin­ne­run­gen
  • Doku­men­ten­ver­sio­nie­rung
  • Jeder­zeit um wei­te­re Auf­ga­ben zu ergän­zen (z.B. wei­te­re iden­ti­fi­zier­te Schwach­stel­len außer­halb der Fra­gen der Arbeits­hil­fe, Doku­men­ta­ti­on der Bear­bei­tung von Daten­pan­nen etc.)
  • Aus­führ­li­ches Berichts­we­sen nach Kapi­teln, über das gesam­te Infor­ma­ti­ons­si­cher­heits­kon­zept oder nach Zuständigkeiten
  • Über­sich­ten über erle­dig­te /​ offe­ne Auf­ga­ben bzw. besei­tig­te /​ noch vor­han­de­ne Schwachstellen
  • Dis­kus­si­ons­platt­form zur Klä­rung von offe­nen Fragen
  • Betrieb in deut­schen Rechen­zen­tren (Ehren­sa­che)
  • uvm.

 

 

Inter­es­se geweckt an der Arbeits­hil­fe oder der Soft­ware-Lösung? Oder Fra­gen zum The­ma Infor­ma­ti­ons­si­cher­heits­kon­zept oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te? Spre­chen Sie uns an.

 

 

 

Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO

Seit Mai 2018 kämp­fen nicht nur Ver­ei­ne mit den durch die Daten­schutz-Grund­ver­ord­nung neu hin­zu­ge­kom­me­nen Anfor­de­run­gen. Aber gera­de bei Ver­ei­nen mit oft­mals vie­len bzw. aus­schließ­lich ehren­amt­lich täti­gen Mit­glie­dern macht sich hier nach­voll­zieh­bar schnell Unsi­cher­heit im Umgang mit dem Daten­schutz-Recht breit. Gera­de die Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO gehö­ren hier als Ursa­che oft dazu. Die­sem Umstand trägt der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (kurz LfDI BW) schon aus Zei­ten vor der DSGVO Rechnung.

Seit Febru­ar 2021 steht nun für Ver­ei­ne ein Gene­ra­tor für “Daten­schutz­in­for­ma­tio­nen” auf der Web­sei­te des LfDI BW online. Eine begrü­ßens­wer­te Hil­fe­stel­lung, wenn es um die Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne geht.

Nach­dem eini­ge Grund­an­ga­ben in dem Online-For­mu­lar getä­tigt wur­den, erhält der Nut­zer einen Mus­ter­text zum Kopie­ren und Ein­bin­den in die Vereinswebseite.

Infor­ma­ti­ons­pflich­ten nicht ohne Ergän­zun­gen bzw. Anpas­sun­gen über­neh­men bzw. einsetzen

So löb­lich die­ser Gene­ra­tor ist, so gefähr­lich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever han­delt es sich um eine Hil­fe­stel­lung des LfDI Baden-Würt­tem­berg bei der Erstel­lung von Daten­schutz­in­for­ma­tio­nen für Ver­ei­ne. Es wer­den nicht alle mög­li­chen Daten­ver­ar­bei­tun­gen voll­stän­dig wie­der­ge­ge­ben. Prü­fen Sie daher bit­te vor der Ver­öf­fent­li­chung, an wel­chen Stel­len Sie die Daten­schutz­in­for­ma­tio­nen noch ergän­zen müssen.

Der erzeug­te Mus­ter­text stellt jedoch einen guten Ein­stieg für die spätere/​n Daten­schutz­er­klä­rung /​ Daten­schutz­hin­wei­se der Ver­eins­web­sei­te bzw. zur Erfül­lung der Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO dar.

Vor Ver­öf­fent­li­chung soll­te man den Rat des LfDI BW jedoch wirk­lich beher­zi­gen und den Text prü­fen und ergän­zen. So sind z.B. Log­in-Berei­che für Mit­glie­der nicht in der Mus­ter­be­schrei­bung ent­hal­ten, jedoch durch­aus kei­ne Sel­ten­heit auf Vereinswebseiten.

Wei­te­re Hil­fe­stel­lun­gen für Ver­ei­ne durch den LfDI BW

Bereits in der 2. Auf­la­ge ist der Pra­xis­rat­ge­ber “Daten­schutz im Ver­ein nach der DS-GVO” (Grü­ße an das Team Bin­de­strich) erschie­nen. Auf 29 Sei­ten sind die grund­le­gen­den Anfor­de­run­gen an Ver­ei­ne aus der DSGVO nach­voll­zieh­bar und auch für Nicht-Daten­schutz­be­auf­trag­te ver­ständ­lich dar­ge­stellt, abge­run­det mit prag­ma­ti­schen Tipps zur Umset­zung. Im Rat­ge­ber fin­den sich dazu auch wei­te­re Aus­füh­run­gen zu den Infor­ma­ti­ons­pflich­ten für Ver­ei­ne nach Art. 13 DSGVO.

Für einen ers­ten Über­blick lohnt aber auch ein Blick in die FAQ für Ver­ei­ne. In die­ser sind eini­ge Kern­fra­gen zusam­men­ge­stellt und beant­wor­tet, die häu­fi­ger an den LfDI BW sei­tens von Ver­ei­nen her­an­ge­tra­gen wurden.

Wenn alle Stri­cke reißen

Es ist voll­kom­men nor­mal, wenn Ver­eins­ver­ant­wort­li­che trotz die­ser Hil­fe­stel­lun­gen unsi­cher sind in Bezug auf Anfor­de­run­gen und Umset­zung. In die­sem Fall: Spre­chen Sie mit dem Daten­schutz-Bera­ter Ihres Vertrauens.