Cloud

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

von Sascha Kuhrau
4. November 2016
1 Kommentar

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

“[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.”

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

“Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.”

Im zweiten Teil wird es ziemlich konkret im Hinblick auf in der Cloud eingesetzte Lösungen wie Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen. Hier wollen die Behörden sehr konkrete Angaben zu den genutzten Anbietern und Lösungen.

Abgeschlossen wird der Fragebogen mit Angaben zum betrieblichen Datenschutzbeauftragten. Diesen sollten Sie bei Vorliegen der gesetzlichen Bestellpflicht hoffentlich benennen können und in die Beantwortung des Fragebogens einbezogen haben.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Sie haben einen solchen Fragebogen erhalten, jedoch keinen betrieblichen Datenschutzbeauftragten zur Beantwortung parat? Sprechen Sie uns an.

Quelle: https://www.lda.bayern.de/media/pm2016_09.pdf

Kurzlinks als unterschätztes Risiko für den Datenschutz

von Sascha Kuhrau
20. April 2016
1 Kommentar

Fast jeder kennt sie, viele nutzen Sie. Kurzlinks zu Freigaben in Cloudspeichern oder auch als schneller Link zu Webseiten. Eine Studie der Universität Cornell hat nachvollziehbar ein Risiko für die auf diese Art freigegebenen Daten aufgezeigt. Schwachstelle ist die typische Zusammensetzung mit Buchstaben und Zahlen, und nur wenigen Zeichen. Diese Kombinationen lassen sich automatisiert erzeugen und abfragen. Sind die Freigaben nicht zusätzlich mit einem Passwort geschützt, können die auf diese Art im Zugriff befindlichen Daten direkt kompromittiert werden.

Die Studie zeigt ein weiteres Risiko auf. In sieben Prozent aller auf diese Art ermittelten frei zugänglichen Freigaben hätten Sie aufgrund der Art der Freigabe Schadcode in den Speicher einbringen können. Dieser hätte sich mittels der üblichen Synchronisation somit auf die angeschlossenen Geräte der Nutzer weiter verbreiten können.

Generell raten wir dazu, bei der Vergabe aber auch der Nutzung von Kurzlinks sehr vorsichtig zu sein. Einerseits besteht das in der Studie gut nachvollziehbare Datenschutz-Risiko für Ihre auf diese Art freigegebenen Daten. Andererseits wissen Sie nie, wohin Sie ein Kurzlink führen wird. Eine beliebte Masche sind Umleitungen auf präparierte Webseiten, die mittels Exploit Kit Schwachstellen auf Ihrem Gerät aunutzen, um Ihnen Schadcode unterzujubeln.

Generell schadet es auch nicht im Unternehmensumfeld, Ihre Mitarbeiter für den Umgang mit Cloud Speichern, Freigaben und Kurz-Urls zu sensibilisieren und entsprechende Richtlinien dafür aufzustellen. Sicher nicht verkehrt, bei der Gelegenheit zu prüfen, ob Cloud Lösungen datenschutzkonform eingeführt sind, Stichwort Auftragdatenverarbeitung. Ihr Datenschutzbeauftragter ist hierfür der ideale Ansprechpartner. Sie haben keinen Datenschutzbeauftragten. Sprechen Sie uns an.

Passwort-Safes zu Unrecht wenig beliebt

von Sascha Kuhrau
27. Oktober 201415. Oktober 2023

Laut einer aktuellen Bitkom Studie nutzen lediglich 24% der befragten Internetnutzer Passwort-Safes für Computer und Online-Dienste. Das sind 5% Prozentpunkte mehr als im vergangenen Jahr, was seitens Bitkom auf ein gestiegenes Problembewußtsein seitens der Nutzer aufgrund der NSA Affäre zurückzuführen sei. Die Mehrheit bevorzugt jedoch nach wie vor einfache und mehrfach genutzte Passwörter. Letzters wird schnell zum Problem, wenn ein Account erfolgreich kompromittiert wurde.

Über die Länge und Komplexität von Passwörtern werden wahre Glaubenskriege geführt. Kann es der einen Partei nicht lang und komplex genug sein, zeichnet sich die Gegenseite durch eine teilweise naïve Sichtweise auf das Thema aus. Die Lösung wird — wie so oft — dazwischen liegen. Fakt ist, zu kurze Passwörter eventuell noch ohne Komplexität sind ein gefundenes Fressen, sofern keine weiteren Hürden wie Login Sperren nach x Fehlversuchen aufgestellt sind. Fakt ist aber auch, ein zu langes Passwort ist aus der Praxis heraus unsicher, da es sich der Anwender nicht merken kann und irgendwo niederschreibt.

Einen Kompromiss stellen Passwort-Safes dar. Diese werden durch ein einmaliges komplexes sicheres Passwort geschützt und in der dahinterliegenden Datenbank werden alle anderen Zugangsdaten für Computer und Online-Dienste verschlüsselt abgelegt. So muss sich der Nutzer erst mal nur das Hauptpasswort merken, das gelegentlich auch geändert werden kann (und sollte). Alle weiteren zu schützenden Informationen sind sicher im Container des Passwort-Safes gespeichert. Mit weiteren Lösungen wie z.B. Boxcryptor kann die Datenbank dann sogar in Cloud-Diensten zusätzlich verschlüsselt abgelegt werden. Der Zugriff ist für die gängigsten Lösungen ist jederzeit vom PC oder auch mobilen Geräten mit Android und iOS möglich. Natürlich sollten mobile Endgeräte mit weiteren Schutzmaßnahmen versehen sein, damit der Passwort-Safe nicht frei zugänglich ist bei Verlust des Geräts.

Online Speicherdienste (zumeist von amerikanischen Anbietern) sollten sich mit etwas gesundem Menschenverstand von selbst verbieten.

Links

Big Brother Awards 2012 verliehen — hier die Gewinner

von Sascha Kuhrau
14. April 2012
2 Kommentare

Big Brother Awards?

“Die BigBrotherAwards Deutschland wurden ins Leben gerufen, um die öffentliche Diskussion um Privatsphäre und Datenschutz zu fördern – sie sollen missbräuchlichen Umgang mit Technik und Informationen zeigen.
Seit dem Jahr 2000 werden in Deutschland die BigBrotherAwards an Firmen, Organisationen und Personen verliehen, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder persönliche Daten Dritten zugänglich machen. Die BigBrotherAwards sind ein internationales Projekt: in bisher 19 Ländern wurden fragwürdige Praktiken mit diesen Preisen ausgezeichnet.”

https://www.bigbrotherawards.de/

And the winners 2012 are …

“Sieger” gab es dieses Jahr zuhauf. So wurde in der Kategorie Behörden + Verwaltung der sächsische Staatsminister des Inneren, Herrn Markus Ulbig, für Funkzellenabfragen im Raum Dresden im Rahmen einer Anti-Nazi-Demonstration im Frühjahr 2011 ausgezeichnet. Ob sich Bundesinnenminister Dr. Hans-Peter Friedrich (CSU) über seinen Award in der Kategorie Politik für die Einrichtung eines Cyber-Abwehrzentrums ohne Legitimation durch den Bundestag wirklich freut, bleibt abzuwarten.

Weniger personenbezogen wurde die Cloud als Trend ausgezeichnet, Nutzern die Kontrollrechte über ihre darin abgelegten Daten zu entziehen. Das 2008 vom Bundesverfassungsgericht postulierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wird in den meisten aktuellen Umsetzungen von Cloud Computing eklatant verletzt.

In der Kategorie Arbeitswelt hat sich ein nicht unbekanntes Unternehmen um den Datenschutz besonders hervorgetan: dieser Award geht an die Firma Bofrost für die rechtswidrige Ausforschung von Daten auf einem Betriebsratscomputer.

Alle “Ausgezeichneten” können Sie hier im Detail nachlesen.

Nominierungen für 20120 können bereits eingereicht werden.

Foto: Thorsten Möller https://www.bigbrotherawards.de/graphics

Alle reden von der Cloud …

von Sascha Kuhrau
29. Dezember 2011
1 Kommentar

.. aber oftmals ist gar nicht so klar, was damit eigentlich gemeint ist. Ein Unternehmen spricht in Werbekampagnen massiv Privatkunden an, persönliche Daten und Dokumente doch einfach in der Cloud zu speichern, um “in”, “hip” und “trendy” zu sein. Andere Anbieter richten sich mit etwas gezielteren Informationen und Leistungsbeschreibungen an Unternehmen und Unternehmer.

Neben der ganzen Verwirrung um die Definition beflügeln weitere Verkaufsargumente wie Überall-Zugriff und Kosteneinsparpotentiale die Phantasie. Darüber geraten die datenschutzrechtlichen Aspekte und Notwendigkeiten einer solchen Outsourcing-Lösung schnell außer Acht.

Denn oftmals wird vergessen: Cloud Computing ist nach deutschem Datenschutzrecht klassische Auftragsdatenverarbeitung nach § 11 BDSG. Und diese bedarf einiger Voraussetzungen, die vor Inbetriebnahme umzusetzen und einzuhalten sind. Zuwiderhandlungen können nach § 43 BDSG mit Bußgeldern bis 50.000 EUR belegt werden. Da ist die Kosteneinsparung schnell wieder aufgezehrt.

Drei Artikel kann ich zur vertiefenden Lektüre wärmstens empfehlen:

“Herausforderung Cloud Computing” von Guido Strunck
“Cloud Computing und Datenschutz vom” ULD
“Sicher in der Wolke oder doch nur im Nebel gestochert” von datenschutzbeauftragter-info.de (Update vom 29.04.2011)

Sie wollen mit Ihrem Unternehmen selbst in die Cloud? Dann binden Sie Ihren Datenschutzbeauftragten frühzeitig ein. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit, sprechen Sie mich an.

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Datensicherheit in Unternehmen oftmals noch vernachlässigtes Thema

von Sascha Kuhrau
28. Februar 2011

Online-Umfrage von “Deutschland sicher im Netz e.V.” (DsiN) enthüllt Schwachstellen

600 kleine und mittelständische Unternehmen beteiligten sich an der aktuellen anonymen Online-Umfrage von DsiN. Das Ergebnis ist wenig schmeichelhaft für die Verantwortlichen in den Unternehmen: lediglich ein Drittel der Befragten gibt an, über eine Compliance-Strategie zu verfügen. Vor dem Hintergrund drohender Bußgelder bei Nichteinhaltung von Datenschutz- und Datensicherheitsregeln — gerade im Umgang mit personenbezogenen Daten — schwer nachvollziehbar.

Erfreulich zumindest die Aussage, daß fast 70% immerhin mit der Umsetzung von Einzelmaßnahmen außerhalb eines Strategiekonzepts begonnen haben. Allerdings sind lediglich in 26,7% aller befragten Unternehmen die Mitarbeiter durch regelmäßige Schulungen zum Thema Datenschutz und Datensicherheit sensibilisiert.

Gefahren lauern im (Büro-) Alltag

Spreche ich mit Verantwortlichen in Unternehmen, so höre ich beim Thema Datensicherheit oft einander ähnelnde Aussagen wie “Wir haben alles technisch mögliche gegen Hackerangriffe unternommen”, “Unsere Backup- und Recovery-Strategie wird immer wieder geprüft” oder auch “Unsere IT ist in ein Rechenzentrum outgesourct und daher vollkommen sicher”. In der Summe sicher der richtige Ansatz, als häufig isoliert umgesetzte Einzelmaßnahmen im Sinne einer Compliance-Strategie unzureichend.

Dabei wird oftmals übersehen, daß die Gefahren für die Daten im Unternehmen nicht unbedingt von außen drohen, sondern im ganz normalen Büro-Alltag auftreten:

USB-Sticks / Mobile Speichermedien: hier lauert gleich doppelte Gefahr. Einerseits durch den Verlust dieser oftmals nur noch daumennagelgroßen Geräte mit eigenen sensiblen und / oder personenbezogenen Daten. Andererseits das Risiko, unbemerkt und unbewußt Schadroutinen durch das ungeschützte Einstecken oder Einlegen in das interne Firmennetz einzuschleusen.
Mobile Geräte / Laptops / Smartphones: Probleme treten hier bei Verlust schnell zutage durch fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge, meist zugunsten eines höheren Bedienkomforts (in einer Studie von 2008 steht Komfort für knapp ein Viertel der IT-Verantwortlichen vor Datensicherheit).
Multifunktionsgeräte (MFG) / Kopierer: in einer immer mehr vernetzten Welt kommunizieren diese Geräte mittlerweile über das Internet und sind somit von außen angreifbar. Interne Zwischenspeicher können bei Reparatur oder Austausch durch externe Dienstleister ebenfalls Internas nach außen tragen.
VoIP (Voice over IP): meist komfortabler und preisgünstiger als Telefonanlagen birgt die Technik jedoch auch Gefahren. Wie jede IP-Technologie ist sie von außen angreifbar und im Zweifel aufgrund unzureichender Schutzmaßnehmen abhörbar.
Cloud Computing: der große Hype aus 2010 setzt sich in 2011 fort — alle wollen “in die Cloud”. Kostendruck und Überall-Verfügbarkeit hin oder her sollten nicht davon ablenken, daß hier Firmeninterna und personenbezogene Daten in “öffentliche” Bereiche außerhalb des Unternehmens ausgelagert und in die Verantwortung externer Anbieter übergeben werden.
Mitarbeiter: mangelnder Kenntnisstand und fehlende Sensibilisierung Ihrer Mitarbeiter stellten mit die größten Bedrohungspotentiale für Ihre Unternehmensdaten dar. Gesellen sich noch Frust oder Vorsatz hinzu, dann ist Ihr Unternehmen fast chancenlos.

Wie begegnen Sie diesen Gefahren?

Eine schlüssige Compliance-Strategie bewertet diese beispielhaft genannten Gefahrenpunkte entsprechend und sieht dafür — neben IT-gestützten Mechanismen — bewährte Verfahrensweisen vor:

Erstellen und Umsetzen geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
Regelmäßige Schulungen und Sensibilisierungen der Mitarbeiter z.B. im Rahmen der obligatorischen Verpflichtung auf das Datengeheimnis
Fortlaufende Information der Unternehmensführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen

Ihr Datenschutzbeauftragter ist gefordert

Diese fortwährende Tätigkeit in Abstimmung mit Unternehmensführung und IT-Leitung ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten. Sie haben keinen Datenschutzbeauftragten? Dann sprechen Sie mich an. Eventuell sind Sie in Ihrem Unternehmen gesetzlich zur Bestellung verpflichtet. Vermeiden Sie unnötige Bußgelder.

DsiN Sicherheitscheck online: Prüfen Sie, wie fit Ihr Unternehmen in punkto Datensicherheit ist

Der Bayerische Landesdatenschutzbeauftragte Thomas Petri legt Tätigkeitsbericht für 2010 vor

von Sascha Kuhrau
15. Februar 2011

Auf den Webseiten des bayerischen Landesdatenschutzbeauftragten steht der Tätigkeitsbericht für 2010 zur Verfügung. Darin moniert Thomas Petri das mittlerweile in die Jahre gekommene Landesdatenschutzgesetz. Gerade im Hinblick auf den Umgang mit personenbezogenen Daten im Internet bestünde Aktualisierungsbedarf. Weiterhin betrachtet er die Bündelung der IT-Ressourcen des Freistaats an wenigen zentralisierten Stellen kritisch unter Datenschutzgesichtspunkten. Bei dem Thema Cloud-Computing für Behörden mahnt er Zurückhaltung an.

Der vollständige Bericht kann auf www.datenschutz-bayern.de online eingesehen oder als PDF abgerufen werden.