Zum Inhalt springen

Risiko

Checkliste

Check­lis­te Daten­schutz im Home-Office

Check­lis­te Daten­schutz im Home-Office

Ob Coro­na nun vor­über ist oder nicht, dar­über sol­len sich ande­re strei­ten. Was jedoch in vie­len Orga­ni­sa­tio­nen nicht vor­über ist, ist das The­ma Home-Office. Zu Beginn der Pan­de­mie von dem einen oder ande­ren Arbeit­ge­ber mög­li­cher­wei­se nur als Work­around gedacht, ist das Home-Office gekom­men, um zu blei­ben. Da vie­le Orga­ni­sa­tio­nen auf das The­ma über­haupt nicht vor­be­rei­tet waren (Stich­wort Not­fall­ma­nage­ment Unter­punk­te Pan­de­mie und Per­so­nal­aus­fall 🙂 ),  muss­te es 2020 schnell gehen. Inte­rims­lö­sun­gen bzw. Not­nä­gel wur­den geschaf­fen, Haupt­sa­che erst mal arbeits­fä­hig sein. Daten­schutz und Infor­ma­ti­ons­si­cher­heit stan­den dabei nicht immer so im Fokus, wie es den tech­ni­schen und orga­ni­sa­to­ri­schen Risi­ken durch Home-Office ange­mes­sen gewe­sen wäre. Umso wich­ti­ger ist es nun, sich in der aktu­el­len Ver­schnauf­pau­se dem The­ma aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit sys­te­ma­tisch zu nähern. Dabei gilt es, mög­li­cher­wei­se schon vor­han­de­ne Schutz­maß­nah­men und Aspek­te zur Risi­ko­ver­mei­dung auf Wirk­sam­keit zu prü­fen, aber auch noch bestehen­de orga­ni­sa­to­ri­sche und tech­ni­sche Schwach­stel­len zu iden­ti­fi­zie­ren und zu besei­ti­gen. Wir haben unse­ren Kun­den im Zuge der gera­de durch­star­ten­den Pan­de­mie im Früh­jahr 2020 eine Check­lis­te Daten­schutz im Home-Office erstellt und zur Ver­fü­gung gestellt. Damit konn­te zumin­dest schon mal grob geprüft wer­den, ob die wich­tigs­ten Aspek­te in all dem Drun­ter und Drü­ber berück­sich­tigt wur­den. Und wer uns kennt, der weiß, wir haben dabei nicht nur um das gol­de­ne Kalb Daten­schutz getanzt, son­dern das The­ma gesamt­or­ga­ni­sa­to­risch beleuch­tet. Von daher sind in der Check­lis­te Daten­schutz im Home-Office auch grund­le­gen­de Anfor­de­run­gen der Infor­ma­ti­ons­si­cher­heit ent­hal­ten, die sin­ni­ger­wei­se kei­ne Unter­schei­dung zwi­schen Per­so­nen­be­zug oder nicht machen, son­dern gene­rell das Schutz­ni­veau für Infor­ma­tio­nen aller Art ver­bes­sern. Klar durf­te dann auch das The­ma Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern nicht feh­len. Auch wenn es die eine oder ande­re Orga­ni­sa­ti­ons­lei­tung oder Füh­rungs­kraft nervt 😉

Sys­te­ma­tik der Check­lis­te Daten­schutz im Home-Office

Zu Beginn gab es nur eine Check­lis­te für alle uns in den Sinn gekom­me­nen Prüf­punk­te und Anfor­de­run­gen aus Sicht des Daten­schut­zes und der Infor­ma­ti­ons­si­cher­heit. Prüf­punk­te waren bzw. sind:

  • Hard­ware-Ein­satz (Gestel­lung oder BYOD)
  • Anfor­de­run­gen an den Arbeits­platz zuhause
  • Umgang mit Papierdokumenten
  • Ein­satz von Videokonferenzsystemen
  • Gene­rel­le Anfor­de­run­gen tech­ni­sche Sicherheit
  • Nut­zung von Cloud-Diens­ten z.B. Datei­ab­la­ge oder Kollaborationstools
  • Nut­zung von Messengern
  • All­ge­mei­ne orga­ni­sa­to­ri­sche Anfor­de­run­gen (Rege­lun­gen, Richt­li­ni­en, Schu­lung, Ein­wei­sung etc.)

Dar­in waren sowohl Anfor­de­run­gen für Daten­schutz im Home-Office auf Arbeit­ge­ber­sei­te, aber auch aus Sicht des Arbeit­neh­mers im eige­nen Zuhau­se ent­hal­ten.  Schnell haben wir erkannt, dass dies nicht prak­ti­ka­bel ist und aus einer Check­lis­te Daten­schutz im Home-Office zwei sepa­ra­te Lis­ten gebas­telt. Es gibt daher nun die Check­lis­te Daten­schutz im Home-Office aus Sicht

  • des Arbeit­ge­bers und
  • des Arbeit­neh­mers.

Check­lis­te Home-Office für Arbeitgeber

Die­se etwas umfang­rei­che­re Check­lis­te für den Arbeit­ge­ber befasst sich inten­siv mit den Anfor­de­run­gen an und Vor­aus­set­zun­gen für tech­ni­sche und orga­ni­sa­to­ri­sche Sicher­heit, die der Arbeit­ge­ber sicher­stel­len bzw. erst mal schaf­fen muss, damit im Home-Office daten­schutz­kon­form und aus Sicht der Infor­ma­ti­ons­si­cher­heit “sicher” gear­bei­tet wer­den kann. Dar­in sind u.a. auch Punk­te wie die Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO für exter­ne Cloud-Ser­vices und auch admi­nis­tra­ti­ve Vor­ein­stel­lun­gen auf Sei­ten der genutz­ten Tech­ni­ken ent­hal­ten, die für den Arbeit­neh­mer bei sei­ner Tätig­keit im Home-Office jetzt eher weni­ger span­nend bzw. von Inter­es­se sind.

Mit­tels der Check­lis­te Daten­schutz im Home-Office kann schnell und ein­fach durch den Arbeit­ge­ber geprüft wer­den, ob

  • die wich­tigs­ten (tech­ni­schen) Vor­aus­set­zun­gen für siche­res Arbei­ten im Home-Office geschaf­fen sind,
  • die recht­li­chen Anfor­de­run­gen aus Sicht der DSGVO (wie Auf­trags­ver­ar­bei­tung) berück­sich­tigt sind,
  • alles ordent­lich gere­gelt, doku­men­tiert und für alle Betei­lig­ten leicht ver­ständ­lich beschrie­ben ist sowie
  • die Mit­ar­bei­ter aus­rei­chend ein­ge­wie­sen und sen­si­bi­li­siert sind.

Wo ein Haken in der Check­lis­te fehlt, besteht im Zwei­fel noch Hand­lungs­be­darf. Auch jetzt noch, 2 Jah­re später 😉

Check­liste­Home-Office für Arbeitnehmer

Die­se deut­lich kür­ze­re Check­lis­te befasst sich mit den Aspek­ten, die im Home-Office auf Sei­ten des Arbeit­neh­mers erfüllt sein soll­ten. Mit­tels der Prüf­punk­te kann der Mit­ar­bei­ter che­cken, ob er “rea­dy to go” ist im Home-Office und auch auf sei­ner Sei­te die Vor­aus­set­zun­gen für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gewähr­leis­tet sind. Mög­li­cher­wei­se erge­ben die Prüf­punk­te jedoch auch, dass noch es noch an gewis­sen Unter­stüt­zungs­maß­nah­men sei­tens des Arbeit­ge­bers fehlt. Die­se kön­nen anhand der Check­lis­te iden­ti­fi­ziert, pro­to­kol­liert und an den Arbeit­ge­ber mit der Bit­te um Erle­di­gung gesen­det wer­den. Gleich­zei­tig dient die Check­lis­te für Arbeit­neh­mer als klei­ne Gedan­ken­stüt­ze für die not­wen­di­gen Sicher­heits­maß­nah­men im Home-Office, die der Arbeit­neh­mer nicht nur ein­ma­lig, son­dern über die gan­ze Zeit im Home-Office sicher­stel­len sollte.

Wei­te­rer Bene­fit der Checklisten

Neben der Selbst­über­prü­fung, ob an alles Wich­ti­ge und Not­wen­di­ge für einen siche­ren und daten­schutz­kon­for­men Ein­satz im Home-Office gedacht wur­de, ist die Zwei­tei­lung auch noch für etwas ande­res gut. Cle­ve­re Kun­den von uns haben die Check­lis­te Daten­schutz im Home-Office für Arbeit­neh­mer von Ihren Mit­ar­bei­tern früh­zei­tig aus­fül­len las­sen, um fest­zu­stel­len, was gene­rell vom Arbeit­ge­ber geschaf­fen /​ gestellt wer­den muss, damit Home-Office über­haupt erst sicher mög­lich ist. Im zwei­ten Schritt haben sie sich nach dem Roll­out der Home-Offices über die Check­lis­te für Arbeit­neh­mer durch den Mit­ar­bei­ter noch mal pro­to­kol­lie­ren las­sen, dass jetzt soweit alles zuhau­se im Home Office “passt”. Das Gan­ze natür­lich erst mal nach ent­spre­chen­der Ein­wei­sung und Schu­lung. Ver­steht sich von selbst 🙂

Vor­teil: Als Arbeit­ge­ber bzw. ver­ant­wort­li­che Stel­le kann man damit gleich sehr schön bele­gen, sei­nen Sorg­falts­pflich­ten auch außer­halb der eige­nen Räum­lich­kei­ten Genü­ge getan zu haben.

Down­load der Check­lis­te Daten­schutz im Home-Office

Wer uns etwas näher kennt, weiß von unse­rer Aus­bil­dungs­tä­tig­keit an der Baye­ri­schen Ver­wal­tungs­schu­le für Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te. Im Nach­gang sind alle Teil­neh­mer herz­lich ein­ge­la­den am kos­ten­frei­en ISB Pra­xis-Forum als Aus­tausch­platt­form im All­tag von Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten teil­zu­neh­men. Da kam die Fra­ge auf, ob es nicht für das The­ma Home-Office geeig­ne­te Prüf­lis­ten gäbe oder ob man die­se gemein­sam ent­wi­ckeln wol­le. Was liegt also näher, als die schon vor­han­de­nen Check­lis­ten aus unse­rem Fun­dus in leicht über­ar­bei­te­ter Ver­si­on für alle zur Ver­fü­gung zu stel­len, bevor sich jeder ein­zeln die Mühe macht. Zeit ist zu wertvoll.

Unse­re Bit­te: Die bei­den Check­lis­ten erhe­ben kei­nen Anspruch auf Voll­stän­dig­keit oder Kor­rekt­heit. Wer also Anre­gun­gen und Ergän­zun­gen zur Wei­ter­ent­wick­lung oder Kor­rek­tur hat, immer her damit. Und es gilt “fair use”. Die­se Vor­la­ge kann daher ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Fach­buch wie­der­fin­det. Haf­tung: Die Check­lis­ten stel­len ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen.

Check­lis­te Daten­schutz im Home-Office für Arbeitgeber
Check­lis­te Daten­schutz im Home-Office für Arbeitnehmer

 

Big Bro­ther Awards 2020

Vie­le haben schon von ihnen gehört, aber kei­ne kon­kre­te Vor­stel­lung. Die Big Bro­ther Awards sind eine inter­na­tio­na­le Aus­zeich­nung, die in Deutsch­land gestar­tet und bereits in 19 Län­dern ver­lie­hen wur­de.  Sie wird vom  Digi­tal­cou­ra­ge e.V., einem Ver­ein u.a. für Daten­schutz und Infor­ma­ti­ons­frei­heit seit dem Jahr 2000 jähr­lich aus­ge­rich­tet. Als Nega­tiv­preis zeich­net Ein­rich­tun­gen und Per­so­nen aus, die Pri­vat­sphä­re und Daten­schutz in her­aus­ra­gen­der Wei­se igno­rie­ren und kompromittieren. 

Tra­di­tio­nell fin­den die Big Bro­ther Awards im Stadt­thea­ter Bie­le­feld statt. Die für die­sen Monat — am 30.04.2020 — geplan­te Preis­ver­lei­hung wird aus aktu­el­lem Anlass ver­scho­ben und der Ersatz­ter­min neu bekannt gegeben. 

Umset­zung der Big Bro­ther Awards 

Wer­den etwa Daten ent­ge­gen der ursprüng­li­chen Moti­va­ti­on ihrer Erhe­bung ver­wen­det und gar gehan­delt, so liegt regel­mä­ßig das Feh­len einer Zweck­bin­dung und einer Rechts­grund­la­ge vor, zwei der ele­men­ta­ren For­de­run­gen des gel­ten­den euro­päi­schen Daten­schutz­rechts

Ein Ziel der Aus­zeich­nung ist das Publik­ma­chen von rechts­wid­ri­gen Ambi­tio­nen und Hand­lun­gen, wel­che die Infor­ma­ti­ons­si­cher­heit im wei­te­ren Sin­ne und demo­kra­ti­sche Kri­te­ri­en fahr­läs­sig oder vor­sätz­lich belas­ten. Damit möch­ten die Preis­ver­lei­her die Ver­ur­sa­cher unter Druck set­zen und damit zur Trans­pa­renz ver­an­las­sen. Die vor­aus­sicht­lich von den Preis­trä­gern uner­wünsch­ten Schlag­zei­len sind dabei offi­zi­ell erwünsch­tes Resul­tat der Ver­lei­hung der Big Bro­ther Awards. 

Die Jury hier­zu­lan­de setzt sich aus Ver­tre­tern der Digi­tal­cou­ra­ge e.V., der Deut­schen Ver­ei­ni­gung für Daten­schutz  (DVD), des Forums Infor­ma­ti­ke­rIn­nen für Frie­den und gesell­schaft­li­che Ver­ant­wor­tung  (FIfF), des För­der­ver­eins Infor­ma­ti­ons­tech­nik und Gesell­schaft  (Fitug), des Cha­os Com­pu­ter Clubs  (CCC), der Huma­nis­ti­schen Uni­on  (HU) und der Inter­na­tio­na­len Liga für Men­schen­rech­te  (ILMR) zusam­men. Bei die­sen Orga­ni­sa­tio­nen han­delt es sich nicht — wie ger­ne kol­por­tiert — um (Cyber-) Kri­mi­nel­le, son­dern um Ein­rich­tun­gen, die sich für den Schutz und die Kul­ti­vie­rung die­ser gesetz­lich vor­ge­schrie­be­nen Rech­te ver­pflich­ten. Sehen Sie selbst: 

Preis­trä­ger des vori­gen Jahres 

  • In der Kate­go­rie Tech­nik ging der Big Bro­ther Award 2019 an das Euro­päi­sche Insti­tut für Tele­kom­mu­ni­ka­ti­ons­nor­men (ETSI), Abtei­lung „Tech­ni­cal Com­mit­tee CYBER“. Dies betraf For­schun­gen zu einem neu­en geplan­ten Stan­dard „ETS“ (vor­mals “eTLS”) für eine Soll­bruch­stel­le in der Ver­schlüs­se­lung im Inter­net, der es staat­li­chen Behör­den erlaubt, Online­ver­bin­dun­gen zu ent­schlüs­seln. Wäh­rend vie­ler­orts Gerä­te­her­stel­ler die Soll­bruch­stel­le aus­bau­en, forscht man hier an der fina­len Besei­ti­gung von Daten­schutz und Grund­rech­ten aus der Digi­ta­li­sie­rung. Eine wohl­ver­dien­te Preis­ver­lei­hung für den größ­ten bevor­ste­hen­den Rück­schritt der BRD. 
  • In der Kate­go­rie Ver­brau­cher­schutz — „ZEIT“. Das Online-Modul der Zei­tung hat für das so hei­mat­lich und auf­recht klin­gen­de Pro­jekt „Deutsch­land spricht“ Goog­le-Diens­te ein­ge­setzt, über die poli­ti­sche Ansich­ten der „spre­chen­den Deut­schen“ an Ser­ver in den USA über­mit­telt wur­den. Das Nach­fol­ge­pro­jekt von „Deutsch­land spricht“ ließ sich die Zeit anschlie­ßend gleich von Goog­le direkt finan­zie­ren. Eine ech­te Arbeit „am Bür­ger“. Dass „Zeit Online“ zudem Wer­be­tra­cker und Face­book-Pixel ein­setz­te, trug eben­falls zur Preis­ver­lei­hung bei. 
  • Ein beson­de­res Schman­kerl der bereits impli­zit poten­zi­ell rechts­wid­ri­gen Über­wa­chung ist Palan­tir. Der zuge­hö­ri­ge Preis­trä­ger des Big Bro­ther Awards in der Kate­go­rie Behör­den & Ver­wal­tung — der hes­si­sche Innen­mi­nis­ter Peter Beuth. Unter sei­ner Feder­füh­rung kam man mit dem auch bei der CIA geschätz­ten US-Unter­neh­men Palan­tir ins Geschäft. Ein­ge­setzt wird seit­her deren Ana­ly­se­soft­ware mit zuge­hö­ri­gem Zugriff des Unter­neh­mens auf umfang­rei­che Daten­be­stän­de der hes­si­schen Poli­zei von den USA aus. Hof­fent­lich hat man auch an den AV-Ver­trag gedacht 🙂 Die Soft­ware erlaubt es, Mas­sen­da­ten aus exter­nen sowie Poli­zei­quel­len auto­ma­ti­siert zu ana­ly­sie­ren und nach eigens defi­nier­ba­ren Kri­te­ri­en aus­zu­wer­ten. Die DSGVO spricht bei sol­chen Ver­ar­bei­tun­gen u.a. direkt vom Pro­filing und knüpft mit Art. 22 hier­an stren­ge Kri­te­ri­en. Die­ses natur­ge­mäß nur in den Hän­den pro­fes­sio­nel­ler Infor­ma­ti­ker kon­trol­lier­ba­re Instru­ment dürf­te in der all­täg­li­chen Anwen­dung durch mehr oder weni­ger geschul­te Sach­be­ar­bei­ter Aus­wir­kun­gen auf die fak­ti­sche Exis­tenz von Grund­rech­ten, Daten­schutz und Infor­ma­ti­ons­si­cher­heit gene­rell haben. 
  • In Sachen Bio­tech­nik ging der Big Bro­ther Award 2019 an die weit ver­brei­tet bekann­te Fir­ma Ances​try​.com. Per­so­nen, die Fami­li­en­for­schung betrei­ben woll­ten, wur­den auf­ge­for­dert, ihre Spei­chel­pro­ben ein­zu­sen­den. Die dar­aus gewon­ne­nen Gen-Daten wur­den anschlie­ßend von Ances­try an die kom­mer­zi­el­le Phar­ma­for­schung ver­kauft, u.a. Grund­la­ge ver­deck­ter Vater­schafts­test und für poli­zei­li­che gene­ti­sche Rasterungen. 
  • Der Big Bro­ther Award 2019 in der Kate­go­rie Kom­mu­ni­ka­ti­on ging an die Fir­ma Pre­ci­re mit ihrer Sprach­ana­ly­se-Soft­ware, die Aus­wahl von Bewer­bern und die Ana­ly­se der Emo­tio­nen von Anru­fern ermöglicht. 

Wei­te­re Stel­lung­nah­men, Inhal­te und die voll­stän­di­ge Sen­dung Preis­ver­lei­hung 2019 fin­den Sie auf der Web­site der Big Bro­ther Awards. 

Das smar­te Home-Office: Gefahr für den Datenschutz?

Smart Home klingt erst mal nur nach Ver­net­zung im Pri­vat­haus­halt. In Wirk­lich­keit aber bringt Smart Home auch Risi­ken für geschäft­li­che Daten mit sich. Gera­de jetzt in Zei­ten ver­mehr­ter Nut­zung von Home-Office.

Smart Home: Bald auch bei Ihnen daheim?

Der deut­sche Smart-Home-Markt boomt und wird sich bis 2022 auf 4,3 Mil­li­ar­den Euro ver­drei­fa­chen, so die Stu­die „Der deut­sche Smart-Home-Markt 20172022. Zah­len und Fak­ten“ des Ver­bands der Inter­net­wirt­schaft (eco) anläss­lich der Inter­na­tio­na­len Funk­aus­stel­lung (IFA) 2017 in Berlin.

Vie­le Neu­hei­ten auf der IFA dreh­ten sich um das ver­netz­te Zuhau­se. Für das hohe Inter­es­se an Smart Home und die Viel­falt an neu­en Ange­bo­ten gibt es gute Grün­de: Die Ver­net­zung von Wasch­ma­schi­ne, Fern­se­her oder Hei­zung soll für mehr Kom­fort im All­tag sor­gen und zudem zu Ener­gie­ein­spa­run­gen füh­ren, wie das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ausführt.

Bequem, aber nicht ohne Risi­ko für ein Home-Office

Doch das BSI macht noch auf etwas Ande­res auf­merk­sam: Smart-Home-Gerä­te wer­den per Soft­ware gesteu­ert und wer­den im Zwei­fel über das Inter­net mit der Außen­welt, dem Her­stel­ler und auch unter­ein­an­der ver­netzt. Gera­de das bringt neue Risi­ken mit sich, die Sie als Nut­zer, aber auch als Orga­ni­sa­ti­on mit Nut­zern im Home-Office im Blick haben sollten. 

Auch die Auf­sichts­be­hör­den für den Daten­schutz und die Ver­brau­cher­schüt­zer machen auf die Risi­ken auf­merk­sam. Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Rhein­land-Pfalz, Prof. Dr. Kugel­mann, zum Bei­spiel sagte:

„Es wird zuneh­mend deut­lich, dass in einer digi­ta­li­sier­ten Umwelt ver­meint­lich belang­lo­se tech­ni­sche Daten wie zum Bei­spiel die Ver­brauchs­wer­te der Hei­zung geeig­net sind, Drit­ten tie­fe Ein­bli­cke in den Lebens­all­tag Ein­zel­ner zu verschaffen.“

Smart Home: Kei­ne rei­ne Privatsache

Nun schei­nen die­se Daten­ri­si­ken nur den Pri­vat­haus­halt zu betref­fen, also kein Pro­blem für den betrieb­li­chen Daten­schutz zu sein. Dem ist aber nicht so: Durch die Nut­zung pri­va­ter Gerä­te zu betrieb­li­chen Zwe­cken (BYOD = Bring Your Own Device), die pri­va­te Nut­zung betrieb­li­cher Gerä­te und durch Tele­ar­beit kommt es dazu, dass Fir­men­ge­rä­te oder betrieb­lich genutz­te Gerä­te in das Smart Home ein­ge­bun­den wer­den. Damit wer­den die Smart-Home-Risi­ken plötz­lich zu Organisations-Risiken.

Wer ein Smart Home hat und dar­in ein Home-Office betreibt, ver­zich­tet meist dar­auf, für das Home Office ein eige­nes, getrenn­tes Netz­werk zu betrei­ben. Statt­des­sen arbei­ten die ver­netz­te Hei­zung des Hau­ses und der Dru­cker im Home Office im glei­chen Netz­werk. Die App zur Steue­rung des Smart Home läuft auf dem glei­chen Smart­pho­ne wie die betrieb­li­chen Apps. Es ist des­halb ent­schei­dend, dass die Daten­si­cher­heit im Smart Home stimmt – für den pri­va­ten Nut­zer und für die betrof­fe­ne Organisation.

Smart Home braucht mehr Daten­schutz, auch aus Organisationssicht

Wie eine Stu­die des Digi­tal­ver­bands Bit­kom ergab, wün­schen sich die Smart-Home-Nut­zer und ‑Inter­es­sen­ten mehr Sicher­heit: So sagen 92 Pro­zent der­je­ni­gen, die bereits Smart-Home-Anwen­dun­gen besit­zen, dass ihnen unab­hän­gi­ge Zer­ti­fi­ka­te und Sie­gel zur Sicher­heit vor Hacker-Angrif­fen sehr oder eher wich­tig sind. Einen vom Her­stel­ler garan­tier­ten Schutz vor Hacker-Angrif­fen fin­den 89 Pro­zent wichtig. 

Auch Daten­schutz spielt eine gro­ße Rol­le beim Kauf. So sagen 84 Pro­zent, dass ihnen ein hoher Daten­schutz­stan­dard wich­tig ist, ein unab­hän­gi­ges Sie­gel dafür wäre für 79 Pro­zent ein wich­ti­ges Kauf­ar­gu­ment. Zwei Drit­tel (68 Pro­zent) ach­ten beim Kauf außer­dem dar­auf, dass die Smart-Home-Daten nur in Deutsch­land gespei­chert werden.

Die­se For­de­run­gen an Smart Home wer­den auch den Orga­ni­sa­tio­nen im Daten­schutz hel­fen. Ach­ten Sie des­halb auf siche­re Smart-Home-Lösun­gen, für sich selbst und für den Daten­schutz Ihrer Organisation!

Rege­lun­gen für das Home-Office um Smart Home ergänzen

Aus die­sem Grund soll­ten Sie im Rah­men der Rege­lun­gen und Anwei­sun­gen für Home-Office bit­te auch das The­ma Smart Home berück­sich­ti­gen. Vie­le Rou­ter bie­ten heu­te schon an, zwei getrenn­te Net­ze (sowohl kabel­ge­bun­den, als auch per WLAN) zu betrei­ben. Die Funk­ti­on ist meist mit “Gast­netz” beschrie­ben. Die­se Net­ze lau­fen par­al­lel neben­ein­an­der und der Zugriff von einem Netz in das ande­re ist tech­nisch unter­bun­den. So wäre es daher eine gute Lösung vor­zu­schrei­ben, dass für das Home-Office genutz­te Gerä­te in einem ande­ren Netz lau­fen als die Smart Home Geräte.

Über­sicht der DSGVO Bußgelder

Mit schö­ner Regel­mä­ßig­keit hört und liest man in den Medi­en etwas von Buß­gel­dern im Daten­schutz basie­rend auf der DSGVO oder ande­rer Daten­schutz­ge­set­ze. Mer­ken kann man sich die alle nicht. Doch es kann nicht scha­den, das eine oder ande­re Buß­geld für ver­schie­de­ne For­men an Daten­schutz­ver­stö­ßen zu ken­nen. DSGVO Buß­gel­der soll­ten zwar nicht der allei­ni­ge Antrieb zur Ein­hal­tung von Rechts­vor­schrif­ten sein, aber viel­leicht muss man als inter­ner oder exter­ner Daten­schutz­be­auf­trag­ter auch mal mit Zah­len kom­men, damit sich etwas in der Orga­ni­sa­ti­on bewegt 🙂

Über­sicht der DSGVO Bußgelder

Und da ist es sehr hilf­reich, dass sich die Betrei­ber von https://​dsgvo​-por​tal​.de die Mühe machen, stets aktu­el­le Buß­gel­der zu erfas­sen und zu kata­lo­gi­sie­ren. Kann ja ganz hilf­reich sein, zu wis­sen und anzu­füh­ren, dass für Wer­be­an­ru­fe ohne Ein­wil­li­gung, Infor­ma­ti­ons­män­gel in Apps und unzu­rei­chen­de TOM (tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) die ita­lie­ni­sche Daten­schutz­auf­sicht im Janu­ar 2020 ein Buß­geld in Höhe von 27,8 Mio Euro ver­hängt hat. Die genann­ten Ver­stö­ße sind ja nicht sel­ten. Viel­leicht ein wei­te­rer Anstoß, um sol­che Män­gel in der eige­nen Orga­ni­sa­ti­on anzugehen.

Die im Por­tal gelis­te­ten DSGVO Buß­gel­der las­sen sich nach diver­sen Kri­te­ri­en sor­tie­ren und anzei­gen, z.B. nach Buß­geld­hö­he, Datum, Land und auch Buß­geld­emp­fän­ger (da fin­den sich eini­ge alte Bekann­te, aber auch sehr vie­le neue Namen). Ein Wer­muts­trop­fen, wenn man das so sehen mag, ist jedoch vor­han­den: In der Über­sicht fin­den sich die Buß­gel­der, wel­che von den Auf­sichts­be­hör­den ver­hängt wur­den. Das muss nicht iden­tisch sein, was von den betrof­fe­nen Orga­ni­sa­tio­nen z.B. nach Beschrei­ten des Rechts­we­ges dann wirk­lich gezahlt wur­de. Sofern es hier­zu Erkennt­nis­se gibt, fin­den sich die­se unter den Details, die man zu jedem Vor­gang auf­ru­fen kann. Dar­in wird auch die Art des Ver­sto­ßes wei­ter konkretisiert.

Dan­ke an die Betrei­ber des Portals.

“Ich bereue den Pass­wort-Wahn­sinn” — weg mit den Pass­wort Mythen

Wie­so bis­her ein Pass­wort dau­ernd gewech­selt wer­den musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf. Nach sei­ner Pen­sio­nie­rung fand Burr offe­ne Wor­te für sei­ne dama­li­ge Emp­feh­lung ein siche­res Pass­wort: “Ich bereue den Passwort-Wahnsinn”

Bis­her galt ein Pass­wort als sicher, wenn es kom­plex war und dau­ernd geän­dert wurde

Das NIST emp­fahl bis­her zur Passwortsicherheit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Sonderzeichen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt werden

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit hof­fent­lich gestoppt. Bis sich das in der Lite­ra­tur und erst recht in der Pra­xis durch­setzt, wird es jedoch eini­ge Zeit brau­chen. Im Final Draft zum Bau­stein ORP4 des BSIFinal Draft zum Bau­stein ORP4 des BSI (IT-Grund­schutz) heißt es im Okto­ber 2019:

IT-Sys­te­me oder Anwen­dun­gen SOLLTEN NUR mit einem vali­den Grund zum Wech­sel des Pass­worts auf­for­dern. Rei­ne zeit­ge­steu­er­te Wech­sel SOLLTEN ver­mie­den wer­den. Es MÜSSEN Maß­nah­men ergrif­fen wer­den, um die Kom­pro­mit­tie­rung von Pass­wör­tern zu erken­nen. Ist dies nicht mög­lich, so SOLLTE geprüft wer­den, ob die Nach­tei­le eines zeit­ge­steu­er­ten Pass­wort­wech­sels in Kauf genom­men wer­den kön­nen und Pass­wör­ter in gewis­sen Abstän­den gewech­selt werden.

In den aktu­ell (Stand 02/​2020) ver­öf­fent­lich­ten Bau­stein OPR4Bau­stein OPR4 hat dies lei­der noch kei­nen Ein­zug gefun­den. Aber die Rich­tung stimmt.

Eine siche­re Passwort-Richtlinie

Die aktua­li­sier­ten Pass­wort­emp­feh­lun­gen lau­ten (zusam­men­ge­fasst):

  • Kei­ne Son­der­zei­chen mehr: Eine Aus­wahl an Groß- und Klein­buch­sta­ben zusam­men mit Zah­len ist aus­rei­chend. Besser ..
  • Län­ge­re Pass­wör­ter: Ein um nur einen Buch­sta­ben ver­län­ger­tes Pass­wort ver­grö­ßert den Such­raum für Pass­wort­kna­cker mehr als ein Son­der­zei­chen. 12 Stel­len sind Mini­mum, bes­ser 20, Opti­mum 64. Dabei dür­fen durch­aus gan­ze Sät­ze zum Ein­satz kom­men. Solan­ge es sich dabei nicht um bekann­te Zita­te oder Rede­wen­dun­gen han­delt (Risi­ko Wörterbuchattacke!).
  • Kei­ne regel­mä­ßi­gen Ände­run­gen mehr: Es erhöht sich ledig­lich die Gefahr des Ver­ges­sens oder Auf­schrei­bens von Pass­wör­tern. Das schafft kei­ne Sicher­heit, im Gegenteil!
  • Kei­ne Sicher­heits­fra­gen zur Frei­schal­tung: Wo liegt die Sicher­heit, wenn sich die Fra­ge “Wie heißt ihr Haus­tier?” aus dem öffent­li­chen Face­book Pro­fil eines Nut­zers beant­wor­ten lässt?

Wir emp­feh­len zusätz­lich eine Bedro­hungs­ana­ly­se für die zu schüt­zen­den Log­ins. Grei­fen wei­te­re Sicher­heits­maß­nah­men wie auto­ma­ti­sche Sper­re nach x Fehl­ver­su­chen , kön­nen auch kür­ze­re Pass­wör­ter durch­aus Sinn machen. Beant­wor­ten Sie sich doch ein­fach mal die Fra­ge, wie­so Ban­ken eine EC-Kar­te mit einer PIN aus 4 Zif­fern schüt­zen? Weil Sie kei­ne Ahnung von Sicher­heit und Risi­ken haben? Oder weil die Kar­te nach 3 Fehl­ver­su­chen ein­fach gesperrt wird?

Natür­lich kann es zwin­gen­de Grün­de geben, ein Pass­wort doch mal zu ändern:

  • Es hat jemand bei der Ein­ga­be des Pass­worts zuge­se­hen (Shoul­der Surfing)
  • Sie haben Ihr Pass­wort wei­ter­ge­ge­ben, statt einen Stell­ver­tre­ter­zu­griff einzurichten
  • Ihre Zugangs­da­ten wer­den bei „Have I been paw­ned“„Have I been paw­ned“ oder auch dem Iden­ti­ty Leak Che­ckerIden­ti­ty Leak Che­cker des HPI (umfang­rei­cher als HIBP) als kom­pro­mit­tiert gemeldet

Aber nur weil jedes Jahr der sog. „Chan­ge your Password“-Day aus­ge­ru­fen ist, brau­chen Sie nicht aktiv zu werden.

In vie­len Fäl­len kann als wei­te­re — unab­hän­gi­ge — Schutz­maß­nah­me auch eine Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) zum Ein­satz kom­men und sehr nütz­lich sein. Neben dem Log­in mit Benut­zer­na­me und Pass­wort wird über eine wei­te­re unab­hän­gi­ge Kom­po­nen­te (Fak­tor) ein mehr­stel­li­ger Code zeit­ab­hän­gig gene­riert, der zusätz­lich ange­ge­ben wer­den muss. Die­se Kom­po­nen­te kann ein Hard­ware-Token, eine Key­card oder auch ein Smart­pho­ne sein. Es gibt zahl­rei­che wei­te­re Mög­lich­kei­ten für eine 2FA (Bei­trag auf Wiki­pe­dia mit Erklä­run­gen). Durch die Kom­bi­na­ti­on die­ser bei­den von­ein­an­der unab­hän­gi­gen not­wen­di­gen Anga­ben für den Log­in ent­steht ein sehr hoher Schutz. Vor­aus­ge­setzt, auf den zwei­ten Fak­tor wird gut auf­ge­passt (Schutz des Smart­pho­nes mit Code-Sper­re bei Inak­ti­vi­tät, Absi­che­rung der 2FA App auf dem Smart­pho­ne mit wei­te­rem Code oder Fingerprint).

Suchen Sie Argu­men­te, die haus­in­ter­ne Pass­wort­richt­li­nie zeit­ge­mäß und sicher umzu­ge­stal­ten? Ori­en­tie­ren Sie sich an der neu­en NIST Poli­cy. Fak­ten zu den Mythen und Irr­tü­mern als Argu­men­ta­ti­ons­hil­fe fin­den Sie in unse­rem Blog­bei­trag “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Sinn­voll ist es sicher­lich, Admin-Kenn­wör­ter stren­ge­ren Schutz­re­ge­lun­gen zu unter­wer­fen. Ser­ver­diens­te soll­te nicht nicht als Haupt­ad­min lau­fen, son­dern einen eige­nen Diens­te-Admin erhal­ten. Admi­nis­tra­to­ren ver­fü­gen über zwei Nut­zer­ac­counts: Den per­so­nen­be­zo­ge­nen Admi­nis­tra­ti­ons­ac­count und einen Stan­dard­nut­zer. Kei­ne Admin-Auf­ga­be zu erle­di­gen, dann wird auch nur im Stan­dard­nut­zer gear­bei­tet. Und eigent­lich selbst­er­klä­rend: Admi­nis­tra­ti­ons-Accounts haben per Grup­pen­richt­li­nie kei­nen Zugriff auf das Inter­net (lei­der immer noch nicht weit verbreitet).

Auch am Pri­vat-PC gilt: Ein Admin-Account für Instal­la­ti­on und Kon­fi­gu­ra­ti­on, ein nor­ma­ler Nut­zer mit ein­ge­schränk­ten Rech­ten für das täg­li­che Sur­fen, Mai­len und Dad­deln. Kos­tet wenig Zeit für das Umlog­gen bei Bedarf, erhöht aber das Schutz­le­vel um einiges.

Und nut­zen Sie für die Flut an Pass­wör­tern doch ein­fach einen Pass­wort-Tre­sor (kei­ne Cloud-Anbie­ter) wie Kee­pass. Eine prak­ti­sche Anlei­tung und Hil­fe fin­den Sie hier im Blog.Eine prak­ti­sche Anlei­tung und Hil­fe fin­den Sie hier im Blog.

Wei­te­re Bei­trä­ge zum The­ma Passwort

Ihr Daten­schutz­be­auf­trag­ter oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter unter­stützt Sie ger­ne bei die­sem The­ma. Sie haben kei­nen? Spre­chen Sie uns an.

Update 01.02.2020:
Ergän­zen von Grün­den für Pass­wort-Wech­sel, Hin­wei­se auf Umgang mit Admin-Accounts, Ver­weis auf BSI Draft Bau­stein ORP.4

Die mobile Version verlassen