Zum Inhalt springen

ISB

Save the date: BVS ISB Boot Camp Gun­zen­hau­sen 28.–29.03.2023

Nicht nur für akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te inter­es­sant. Und nach­dem es die Pan­de­mie-Umstän­de zulas­sen, die­ses Jahr wie­der als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te, IT-Sicher­heits­be­auf­trag­te, aber auch Daten­schutz­be­auf­trag­te und IT-Lei­ter tref­fen sich zum Erfah­rungs­aus­tausch und Netz­wer­ken rund um aktu­el­le The­men der Infor­ma­ti­ons­si­cher­heit, der IT-Sicher­heit und des Daten­schut­zes. Dabei geht es nicht nur um aktu­el­le Bedro­hungs­la­gen, son­dern auch Lösun­gen aus der Pra­xis, um die­sen best­mög­lich zu begeg­nen. Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, sowie prag­ma­ti­sche Lösungs­an­sät­ze, die sich im All­tag bewährt haben, ste­hen im Vor­der­grund der Ple­nums­bei­trä­ge und zahl­rei­chen Work­shops. Als Refe­ren­ten konn­ten zahl­rei­che akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te aus Kom­mu­nal­ver­wal­tun­gen und Unter­neh­men gewon­nen wer­den, die ger­ne ihre Erfah­run­gen tei­len und sich freu­en, mit den Teil­neh­mern in inter­es­san­te Dis­kus­sio­nen einzutreten.

Auch das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI ist wie­der mit von der Par­tie im dies­jäh­ri­gen ISB Boot Camp und stellt inter­es­san­te The­men vor. Dane­ben besteht natür­lich auch die Mög­lich­keit des direk­ten Aus­tauschs mit Mit­ar­bei­tern des LSI wäh­rend der gan­zen Veranstaltung.

Durch aus­rei­chen­de Pau­sen und auch im Zuge des Abend­pro­gramms am 28.02. steht allen Teil­neh­mern aus­rei­chend Zeit und Mög­lich­keit zum Erfah­rungs­austauch und Netz­wer­ken zur Verfügung.

Natür­lich dreht sich viel um tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im All­tag der Infor­ma­ti­ons­si­cher­heit und des Daten­schut­zes. Aber auch stra­te­gi­sche The­men mit Blick nach vor­ne kom­men nicht zu kurz (Aus­zug):

  • ISMS — Wo geht die (bay­ri­sche) Rei­se hin?
  • Aus der Pra­xis eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten von 60 Kleinorganisationen
  • Tech­ni­sches Know-How für Infor­ma­ti­ons­si­cher­heits- und Datenschutzbeauftragte
  • Das ISMS /​ die TOM über­prü­fen — Per­mis­si­on rights reviews, Pene­tra­ti­ontests, inter­ne Audits, Flo­or­walks, wei­te­re Kennzahlen
  • ChatGPT und mög­li­che Aus­wir­kun­gen auf die Informationssicherheit
  • Win­dows Sup­port Anru­fe — wie ein Social Engi­neer in die Fal­le gelockt wurde
  • Schwach­stel­len­ma­nage­ment mit Tools in der Praxis
  • Low bud­get Phishingkampagne
  • Aktu­el­le Bedrohungslage
  • und immer wie­der ver­blüf­fend: Live Hacking

Die Agen­da des ISB Boot Camp füllt sich der­zeit noch mit wei­te­ren The­men und Beiträgen.

Durch­ge­führt wird das ISB Boot Camp — wie gehabt — von der Baye­ri­schen Ver­wal­tungs­schu­le. Wei­te­re Orga­ni­sa­to­ren sind die Stadt Gun­zen­hau­sen, das LSI und wir von der a.s.k. Daten­schutz. Es rich­tet sich jedoch nicht aus­schließ­lich an Mit­ar­bei­ter der Kommunalverwaltung.

Inter­es­se? Dann geht es hier zur Anmel­dung.

 

 

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hack­ing, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Daten­pan­nen — jetzt ganz neu entdecken …

Hat­ten Sie 2020 in Ihrer Orga­ni­sa­ti­on eine Daten­pan­ne? Wenn Sie direkt Nein sagen, gehö­ren Sie ent­we­der zu den episch sel­te­nen Fäl­len, in denen der Fak­tor Mensch sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu 100% dis­zi­pli­niert sind oder es gibt bei der inter­nen /​ exter­nen Kom­mu­ni­ka­ti­on ein­fach noch Opti­mie­rungs­be­darf bei der Iden­ti­fi­ka­ti­on und Bewer­tung von Daten­pan­nen nach Art. 33 und 34 DSGVO. 

Ver­mei­den und kom­mu­ni­zie­ren 

Es ist bereits die hal­be Mie­te, Daten­pan­nen prä­ven­tiv — u.a. durch star­ke IT-Sicher­heit, die rich­ti­ge Soft­ware­im­ple­men­tie­rung und kla­re Richt­li­ni­en — auf einen Bruch­teil zu redu­zie­ren. Und zusätz­lich sein Per­so­nal auf einem Sen­si­bi­li­täts­ni­veau zu haben, dass es Ver­stö­ße gegen Daten­schutz /​ Infor­ma­ti­ons­si­cher­heit sowie ent­spre­chen­de Ver­dachts­fäl­le angst­frei und pro­ak­tiv intern mit­teilt und einer sach­ge­mä­ßen Doku­men­ta­ti­on zuführt, ist die Königs­klas­se des geleb­ten Datenschutzes. 

Mel­dun­gen von Daten­pan­nen 

Seit dem Wirk­sam­wer­den der DSGVO wird ein erheb­li­cher Anstieg der Mel­dun­gen von Daten­pan­nen ver­zeich­net. Eine Mel­dung ist nach den Kri­te­ri­en des Art. 33 DSGVO gesetz­li­che Pflicht. Mehr als 40.000 Daten­pan­nen wur­den seit DSGVO-Ein­füh­rung euro­pa­weit (Bericht der EU-Kom­mis­si­on) und weit über 10.000 in Deutsch­land allein für 2019 gemel­det. Dabei sind die Gewich­tun­gen in den Bun­des­län­dern sehr unter­schied­lich. Wäh­rend das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) „einen gro­ßen Anteil“ sei­ner täg­li­chen Arbeit in der Bear­bei­tung von Daten­schutz­ver­let­zun­gen mit 4.111 gemel­de­ten Daten­pan­nen in 2019 sieht, wird den 349 in 2019 dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz in Schles­wig-Hol­stein gemel­de­ten Daten­pan­nen ver­ständ­li­cher­wei­se reser­viert begegnet. 

Dun­kel­zif­fer von Daten­pan­nen 

Eine höhe­re Trans­pa­renz durch mehr Mel­dun­gen und, ins­be­son­de­re im EU-Ver­gleich, hohes Pflicht­be­wusst­sein sind sehr gute Ten­den­zen. Aller­dings müss­ten es rea­lis­tisch betrach­tet noch wesent­lich mehr Mel­dun­gen sein. In Deutsch­land sind mehr als 3 Mil­lio­nen Unter­neh­men ange­mel­det, hin­zu kom­men die staat­li­chen Ein­rich­tun­gen und ande­re Stel­len, die aus der DSGVO her­aus zur Mel­dung von Daten­pan­nen nach Art. 33 DSGVO ver­pflich­tet sind. 

Auf­sichts­be­hör­den 

Mel­dun­gen von Daten­pan­nen müs­sen durch­aus nicht mit Nach­fra­gen, Vor­ort­kon­trol­len oder Buß­gel­dern ver­bun­den sein. Viel­mehr kommt es den Auf­sichts­be­hör­den auch kon­kret inhalt­lich auf Erkennt­nis­se an, in wel­chen Berei­chen nach­ge­steu­ert wer­den muss. Im Ver­gleich zu auf­ge­flo­ge­nen Daten­schutz­ver­stö­ßen wird das akti­ve Mel­den honoriert. 

Nicht nur Unter­neh­men, son­dern auch öffent­li­che Ein­rich­tun­gen wur­den von den Daten­schutz­auf­sich­ten einer nähe­ren Prü­fung unter­zo­gen, wobei zu bei­den Berei­chen posi­ti­ve wie nega­ti­ve Ergeb­nis­se fest­ge­hal­ten wurden. 

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den 

Es liegt nahe, dass sich Orga­ni­sa­tio­nen eher unglaub­wür­dig machen, wenn kei­ner­lei Daten­pan­nen gemel­det bzw. doku­men­tiert sind. Es emp­fiehlt sich, Daten­pan­nen und ver­gleich­ba­re Auf­fäl­lig­kei­ten gene­rell — z.B. in Check­lis­ten­form — zu doku­men­tie­ren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Mel­de­pflicht, wenn „die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt.“ Reich­lich unprä­zi­se wird hier ein ein­zel­fall­be­zo­ge­ner Ermes­sens­spiel­raum eröff­net. Das heißt für harm­lo­se (=nicht mel­de­pflich­ti­ge) Fäl­le: Das Ereig­nis wird intern doku­men­tiert und man stimmt sich mit sei­nem Daten­schutz­be­auf­trag­ten über eine fall­ge­rech­te Abgren­zung ab und das war´s. 

Für mel­de­pflich­ti­ge Fäl­le ste­hen übli­cher­wei­se Online-For­mu­la­re auf den Web­sei­ten der Auf­sichts­be­hör­den zur Verfügung. 

Ver­schlüs­se­lung — eine kur­ze Geschichte

Ver­schlüs­se­lung ist ein span­nen­des und in der Infor­ma­ti­ons­si­cher­heit grund­le­gen­des The­ma. Die Not­wen­dig­keit, unbe­rech­tig­ten Per­so­nen Infor­ma­tio­nen und Güter vor­zu­ent­hal­ten und gleich­zei­tig die posi­ti­ve Berech­ti­gung über ein (über)tragbares, erlern­ba­res Medi­um zu defi­nie­ren, ist so alt wie die Erfin­dung der Schur­ke­rei selbst.

κρυπτός, nein hier han­delt es sich nicht um ein Bei­spiel für Ver­schlüs­se­lung, son­dern nur um Grie­chisch :). Kryp­tos bezeich­net das Gehei­me. Falls Sie bei die­sem Begriff einen nega­ti­ven Bei­geschmack haben soll­ten, liegt das wahr­schein­lich dar­an, dass Inha­bern von Geheim­nis­sen ten­den­zi­ell nega­ti­ve Absich­ten zuge­spro­chen wer­den. Grund dazu gibt es aller­dings nicht. Denn die Gewin­nung von — ins­be­son­de­re per­so­nen­be­zo­ge­nen — Infor­ma­tio­nen wird zuneh­mend zur wert­volls­ten und lukra­tivs­ten Res­sour­ce. Und die gilt es mit einer ange­mes­se­nen Sorg­falt zu wah­ren. Was mit ein­mal offen­ge­leg­ten oder kom­pro­mit­tier­ten Infor­ma­tio­nen geschieht, ist dann meist nur noch eine Fra­ge der Nach­sor­ge. Eine siche­re Ver­schlüs­se­lung ist somit zu einem der wich­tigs­ten Weg­be­glei­ter unse­rer beruf­li­chen und pri­va­ten Per­sön­lich­keits­ent­fal­tung geworden.

Anfän­ge der Verschlüsselung

Altes chi­ne­si­sches Vor­hän­ge­schloss — Wiki­me­dia Commons

Schlüs­sel sind die ältes­te Form der Berech­ti­gungs­ver­ga­be. Bis heu­te wer­den sie zur phy­si­schen Zugangs- und Zutritts­kon­trol­le ein­ge­setzt. Häu­fig wer­den sie kom­bi­niert mit digi­ta­len Kodie­run­gen, die über eine Draht­losab­fra­ge vali­diert wer­den. Auch Maschinen(-funktionen) wie in Kraft­wer­ken und Schif­fen wer­den mit phy­si­schen Schlüs­seln frei­ge­schal­tet. Die Abbil­dung zeigt Schlüs­sel mit Schloss wie sie vor eini­gen tau­send Jah­ren in Chi­na ein­ge­führt wur­den. Für die ver­ba­le Infor­ma­ti­ons­si­cher­heit — ein­schließ­lich der Über­win­dung gro­ßer Distan­zen — wur­den Dazu gehö­ren Insi­der- und Geheim­spra­chen. Die­se datie­ren mit­un­ter bis zu 2000 Jah­re zurück. Wie etwa Gelehr­ten-Dia­lek­te und Kauf­manns­spra­chen, bei denen ein­zel­ne Lau­te, Sil­ben und Phra­sen ent­we­der nach Sys­tem oder durch grup­pen­spe­zi­fi­sche Gewohn­hei­ten ersetzt wurden.

Kodie­run­gen und Kryptographie

Rotor-Schlüs­sel­ma­schi­ne

Mit zuneh­men­der Bedeu­tung des geschrie­be­nen Wor­tes stieg der Bedarf, die­se Infor­ma­ti­on zu schüt­zen. Zei­chen durch ande­re zu erset­zen nach einem spe­zi­fi­schen, für Ein­ge­weih­te nach­voll­zieh­ba­ren Sys­tem, wur­de in ver­schie­de­nen For­men kul­ti­viert. Jedem bekannt in unse­rem digi­ta­len Zeit­al­ter, fan­den Kodie­run­gen ins­be­son­de­re Ihre Anfän­ge in der stra­te­gi­schen Anwen­dung. Um dem Geg­ner kei­nen Ein­blick in die Pla­nun­gen zu geben und über wei­te Stre­cken Ent­schei­dun­gen mit­zu­tei­len, wur­den Code­sys­te­me wie etwa die Cäsar-Chif­fre im 1. Jahr­hun­dert v. Chr. ent­wi­ckelt. Chif­frier­schei­ben ab 1467 und Chif­frier­ma­schi­nen wie die abge­bil­de­te aus dem 20. Jahr­hun­dert ermög­lich­ten die ein­fach nach­voll­zieh­ba­re mecha­ni­sche Chif­frie­rung geschrie­be­ner Inhalte.

Tipp - In die­sem Kon­text sei eine nicht beson­ders bekann­te und den­noch geni­al ein­fa­che Ver­si­on der manu­el­len Ver­schlüs­se­lungs­hil­fe zu nen­nen. Die Pass­wort­kar­te. Die­se Lässt sich mit weni­gen Klicks selbst erstel­len und auch online gene­rie­ren. Anstel­le der Zei­chen des gewünsch­ten Pass­worts als sol­che müs­sen Sie sich ledig­lich Start­punkt, ggf. belie­big vie­le Abzwei­gun­gen und End­punkt mer­ken. Wenn Sie eine indi­vi­du­el­le Pass­wort­kar­te bei­spiels­wei­se zwei­mal aus­dru­cken und ein Exem­plar einem weit ent­fern­ten Gesprächs­part­ner über­mit­teln, kön­nen Sie mit die­sem sehr siche­re Pass­wort­ab­spra­chen für gemein­sa­me Pro­jek­te abspre­chen und müs­sen dabei nur opti­sche Ori­en­tie­rung erläutern.

Moder­ne Verschlüsselungen

Im Zuge der flä­chen­de­cken­den Wei­ter­ent­wick­lung der digi­ta­len Kom­mu­ni­ka­ti­on wur­de der erwar­tungs­ge­mä­ßen Nach­fra­ge der Ver­schlüs­se­lung im behörd­li­chen und cor­po­ra­te Bereich Rech­nung getra­gen. IBM grün­de­te Ende der 1960er Jah­re eine Arbeits­grup­pe, die sich erfolg­reich mit der Ent­wick­lung einer stan­dar­di­sier­ten Ver­schlüs­se­lungs­lo­gik befass­te. Die­se wur­de in den DES wei­ter­ent­wi­ckelt, eine sym­me­tri­sche Ver­schlüs­se­lungs­me­tho­de und Vor­läu­fer des heu­ti­gen AES. Die­se Block­chif­fre AES ist trotz eini­ger erfolg­reich durch­ge­führ­ter spe­zia­li­sier­ter Angriffs­ver­su­che bis heu­te einer der maß­geb­li­chen, tech­nisch und behörd­lich aner­kann­ten Verschlüsselungsstandards.

Der AES-Stan­dard wird auf Grund von Sicher­heits­ni­veau und Effi­zi­enz welt­weit ein­ge­setzt. Er gilt außer in Bezug auf volu­mi­nö­se bru­te force Angrif­fe als prak­tisch unknack­bar in Kom­bi­na­ti­on mit einem ent­spre­chend star­ken Pass­wort. Es wur­den sowohl diver­se auf die­ses Prin­zip auf­bau­en­de als auch unab­hän­gi­ge Ver­schlüs­se­lungs­al­go­rith­men ent­wi­ckelt wie RSA, MD5, IDEA, Tri­ple­DES und Blow­fi­sh sowie zahl­rei­che inzwi­schen offi­zi­ell kom­pro­mit­tier­te und unsi­che­re Stan­dards wie SHA.

Zwei zen­tra­le Aspek­te bil­den bei der Wis­sen­schaft der Ver­schlüs­se­lung wei­test­ge­hend gemein­sa­me Spe­zi­fi­ka: Die Zer­stü­cke­lung der Infor­ma­ti­on (wie zB. in Hash­funk­tio­nen), die dann einer sepa­ra­ten, seg­ment­wei­sen wie­der­hol­ten Chif­rie­rung zuge­führt wer­den kann. Und die Anrei­che­rung mit Mis­in­for­ma­ti­on wie zB. bei Salts, um die Iden­ti­fi­zie­rung der eigent­li­chen Infor­ma­ti­on zu erschweren.

Tipp — Sie kön­nen auch mit ein­fachs­ten Mit­teln AES-256 Ver­schlüs­se­lung auf Ihre zu schüt­zen­den Daten anwen­den. Hier­zu gibt es eini­ge soft­ware Lösun­gen wie das pro­mi­nen­tes­te Bei­spiel win­rar, das pri­vat im Rah­men einer kos­ten­freie Test­ver­si­on genutzt wer­den kann und auch im Fir­men­ein­satz über­schau­bar lizen­ziert wer­den kann. Zusam­men mit einem guten Pass­wort­kön­nen Sie sehr siche­re Datei­con­tai­ner her­stel­len und die­se dann per her­kömm­li­chem = unsi­che­rem mail Weg ver­sen­den. Das Pass­wort selbst natür­lich auf einem sepa­ra­ten Weg mit­tei­len wie tele­fo­nisch etc. 

Aus­blick der künf­ti­gen Verschlüsselung

Mit der zu erwar­ten­den Markt­er­schlie­ßung durch den kom­mer­zi­el­len Quan­ten­com­pu­ter, der vor gut einem Jahr offi­zi­ell prä­sen­tiert wur­de, gewinnt die Infor­ma­ti­ons­streu­ung in Aus­ga­be­wer­ten bei der Infor­ma­ti­ons­si­che­rung ins­be­son­de­re gegen bru­te force Angrif­fe eine essen­zi­el­le Rol­le. Statt ein­fach die Aus­gangs­in­for­ma­ti­on mit Algo­rith­men zu chif­frie­ren muss auch die Aus­ga­be­lo­gik inten­siv wei­ter­ent­wi­ckelt wer­den, die bei­spiels­wei­se bei jedem ein­zel­nen Angriffs­ver­such ver­meint­lich ent­schlüs­selt und dabei fake Daten im exakt erwar­te­ten For­mat liefert.

Auch Mehr­fak­torau­then­ti­fi­zie­run­gen und auto­ma­ti­sche Sper­ren wer­den wei­ter an Gewicht im behörd­li­chen, cor­po­ra­te und pri­va­ten Bereich gewin­nen und soll­ten selbst­ver­ständ­lich bereits heu­te nach tech­ni­schen Mög­lich­kei­ten ein­ge­setzt wer­den, was unse­res Erach­tens in der Pra­xis noch statt­li­ches Aus­bau­po­ten­zi­al hat 🙂

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

Gera­de klei­ne­re Kom­mu­nen wün­schen ger­ne die The­men Infor­ma­ti­ons­si­cher­heit und Daten­schutz aus einer Hand. Dabei wird ger­ne über­se­hen, dass hier­bei ein klas­si­scher Inter­es­sens­kon­flikt ent­steht. Die­ser ist nicht nur auf­grund recht­li­cher Vor­schrif­ten zu vermeiden.

Durch unse­re Zusam­men­ar­beit mit der GKDS in Mün­chen haben wir für Kom­mu­nen die opti­ma­le Lösung im Angebot.

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

  • Daten­schutz und Informations­sicherheit aus einer Hand
  • Qua­li­fi­zier­tes Per­so­nal mit jah­re­lan­ger Kommunalerfahrung
  • Zer­ti­fi­zier­te Kom­mu­ni­ka­ti­ons­- und Dokumentationsplattform
  • Struk­tu­rier­te Doku­men­ta­ti­on im vir­tu­el­len Aktenschrank
  • Fach­li­cher Informationsaustausch
  • Per­sön­li­che Ansprechpartner
  • Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune
  • ISMS ISIS12 mit Zertifizierung
  • BSI IT­-Grund­schutz 200x

Die GKDS unter­stützt Sie mit

  • Datenschutz­analyse
  • Umset­zung der DSGVO
  • Exter­ne Daten­ schutzbeauf­tragte
  • Datenschutz­beratung

a.s.k. Daten­schutz steht Ihnen zur Sei­te mit

  • Schwach­stellenanalyse Informationssicherheit
  • Informations­sicherheits­konzept
  • Kom­mu­na­le Informationssicherheitsbeauftragte

Und das alles auf einer Platt­form und mit direk­tem Aus­tausch der Betei­lig­ten unter­ein­an­der. Kei­ne Inter­es­sens­kon­flik­te, kei­ne lee­ren Ver­spre­chun­gen, son­dern genau die benö­tig­te Unter­stüt­zung im kom­mu­na­len Bereich — gera­de für klei­ne­re Kommunen.

Unser gemein­sa­mer Fly­er zum Download

[wpfi­le­ba­se tag=file path=‘flyer/1902ask-GKDS_Flyer_DIN-A4_DD.pdf’ tpl=simple /​]

Die mobile Version verlassen