UPDATE vom 3. August 2022

In Anbe­tracht des rus­si­schen Angriffs­krie­ges gegen die Ukrai­ne bewer­tet das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) fort­wäh­rend die Lage mit Bezug zur Infor­ma­ti­ons­si­cher­heit in Deutschland.

Nach wie vor stellt das BSI eine erhöh­te Bedro­hungs­la­ge für Deutsch­land im Kon­text des Krie­ges in der Ukrai­ne fest, die auf eine ohne­hin schon ange­spann­te Gesamt­be­dro­hungs­la­ge trifft (sie­he dazu auch den BSI-Bericht “Die Lage der IT-Sicher­heit in Deutsch­land 2021”). Dies gilt grund­sätz­lich auch für Kri­ti­sche Infra­struk­tu­ren. Das BSI ruft daher wei­ter­hin Unter­neh­men, Orga­ni­sa­tio­nen und Behör­den dazu auf, ihre IT-Sicher­heits­maß­nah­men zu über­prü­fen und der gege­be­nen Bedro­hungs­la­ge anzu­pas­sen. Wei­te­re Infor­ma­tio­nen zur Bedro­hungs­la­ge sowie kon­kre­te Hin­wei­se zur Umset­zung von Cyber-Sicher­heits­maß­nah­men stellt das BSI auf sei­nen Web­sei­ten und im Rah­men Alli­anz für Cyber-Sicher­heit bereit.

Seit Beginn des Angriffs Russ­lands auf die Ukrai­ne ist es in Deutsch­land zu ein­zel­nen, in die­sem Zusam­men­hang ste­hen­den IT-Sicher­heits­vor­fäl­len gekom­men, die aber nur ver­ein­zelt Aus­wir­kun­gen hat­ten. Dabei han­del­te es sich u.a. um Kol­la­te­ral­schä­den aus Cyber-Akti­vi­tä­ten im Rah­men des Krie­ges sowie um ein­zel­ne geziel­te Angrif­fe gegen Unter­neh­men und Orga­ni­sa­tio­nen, auch aus dem Bereich der Kri­ti­schen Infrastrukturen.

Seit Ende April 2022 beob­ach­tet das BSI wie­der­holt Dis­tri­buted Deni­al of Ser­vice (DDoS)-Angriffe von Hack­ti­vi­sten auf Zie­le in Deutsch­land und inter­na­tio­nal. Die­se Angrif­fe konn­ten in den mei­sten Fäl­len abge­wehrt wer­den oder hat­ten nur gering­fü­gi­ge Aus­wir­kun­gen. Den­noch soll­ten Unter­neh­men und Orga­ni­sa­tio­nen ein beson­de­res Augen­merk auf den Schutz gegen die­se Art von Angrif­fen legen. Das BSI hat eine Über­sicht zer­ti­fi­zier­ter DDoS-Miti­ga­ti­ons-Dienst­lei­ster veröffentlicht.

Trotz der weni­gen kon­kre­ten Vor­fäl­le kann sich die Lage jeder­zeit ändern.

Das BSI geht ins­be­son­de­re davon aus, dass grund­sätz­lich alle Anla­gen der Kri­ti­schen Infra­struk­tur – dem­nach Anla­gen zur Ver­sor­gung der All­ge­mein­heit – poten­zi­el­les Ziel von Angrif­fen sein können.

Durch die bestehen­den Abhän­gig­kei­ten von Ener­gie­im­por­ten kommt den Bran­chen Strom, Gas und Mine­ral­öl aktu­ell eine außer­ge­wöhn­li­che Rele­vanz zu. Der Sek­tor Ener­gie stellt somit aktu­ell ein beson­ders attrak­ti­ves Angriffs­ziel für Cyber-Attacken dar.

Das BSI hat sei­ne Ziel­grup­pen, dar­un­ter die Bun­des­ver­wal­tung, Betrei­ber Kri­ti­scher Infra­struk­tu­ren und wei­te­re Orga­ni­sa­tio­nen und Unter­neh­men, wie­der­holt sen­si­bi­li­siert, gezielt infor­miert und ruft wei­ter­hin zu einer erhöh­ten Wach­sam­keit und Reak­ti­ons­be­reit­schaft auf.

Das BSI als die Cyber-Sicher­heits­be­hör­de des Bun­des steht zur Bewer­tung der IT-Sicher­heits­la­ge fort­wäh­rend in engem Aus­tausch mit dem Bun­des­mi­ni­ste­ri­um des Innern und für Hei­mat sowie zahl­rei­chen natio­na­len und inter­na­tio­na­len Part­ner­be­hör­den.

Voll­stän­di­ger Arti­kel: https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​r​e​s​s​e​/​P​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​P​r​e​s​s​e​2​0​2​2​/​2​2​0​2​2​5​_​A​n​g​r​i​f​f​-​U​k​r​a​i​n​e​-​S​t​a​t​e​m​e​n​t​.​h​tml

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA hat die näch­ste Prä­ven­ti­ons­prü­fung zum The­ma Absi­che­rung von E‑Mail-Accounts gestar­tet. Es geht um die daten­schutz­recht­li­che Prü­fung hin­sicht­lich tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men zum vor­beu­gen­den Schutz gegen Cyber­at­tacken auf E‑Mail-Accounts (insb. Phis­hing). Wei­te­re Infor­ma­tio­nen und den Prüf­fra­gen auf deren HP.

Link: https://​www​.lda​.bay​ern​.de/​d​e​/​k​o​n​t​r​o​l​l​e​n​_​s​t​a​b​s​s​t​e​l​l​e​.​h​tml

Beson­ders klei­ne­re Unter­neh­men in Deutsch­land schüt­zen sich nicht aus­rei­chend vor IT-Risi­ken, stellt der aktu­el­le Pra­xis­re­port der Initia­ti­ve Deutsch­land sicher im Netz (DsiN) fest. Da erscheint es wenig ver­wun­der­lich, dass auch der Anteil fol­gen­rei­cher IT-Angrif­fe auf mit­tel­stän­di­sche Unter­neh­men merk­lich gestie­gen sei. Laut DsiN führ­ten mehr als drei Vier­tel aller Angrif­fe zu spür­ba­ren Aus­wir­kun­gen (76 Pro­zent), bei jedem ach­ten Unter­neh­men wur­den sie als erheb­lich, bei vier Pro­zent sogar als exi­stenz­ge­fähr­dend ange­ge­ben. Zwar bewer­te­te jedes drit­te Unter­neh­men die unzu­rei­chen­de Absi­che­rung der eige­nen IT als Risi­ko, aller­dings sei­en die Defi­zi­te bei Stan­dard­maß­nah­men des Cyber­schut­zes “beson­ders auf­fäl­lig”: So ver­fü­gen 64 Pro­zent der Unter­neh­men über kei­ne Maß­nah­men der Angriffs­an­griffs­er­ken­nung, mehr als ein Drit­tel ver­zich­te auf IT-Not­fall­plä­ne (34 Pro­zent), 43 Pro­zent sei­en nach­läs­sig im Umgang mit Soft­ware- und Sicherheitsupdates.

Wei­te­re Infor­ma­tio­nen zum DsiN-Pra­xis­re­port: https://​www​.sicher​-im​-netz​.de/​d​s​i​n​-​p​r​a​x​i​s​r​e​p​o​r​t​-​4​2​-​p​r​o​z​e​n​t​-​i​m​-​m​i​t​t​e​l​s​t​a​n​d​-​m​e​l​d​e​n​-​i​t​-​a​n​g​r​i​ffe

Brüs­sel und Washing­ton haben eine grund­sätz­li­che Eini­gung über ein über­ar­bei­te­tes Nach­fol­ge­ab­kom­men zu „Pri­va­cy Shield“ erzielt, gaben Prä­si­den­tin der Euro­päi­schen Kom­mis­si­on Ursu­la von der Ley­en und US-Prä­si­dent Joe Biden heu­te im Rah­men von Bidens Besuch in Brüs­sel bekannt.

Seit der Euro­päi­sche Gerichts­hof das „Privacy-Shield“-Abkommen im Juli 2020 gekippt hat, weil es befürch­te­te, dass die Daten nach der Über­mitt­lung über den Atlan­tik nicht vor dem Zugriff ame­ri­ka­ni­scher Behör­den sicher sei­en, arbei­ten die Unter­händ­ler an einem Abkom­men, das den Trans­fer per­so­nen­be­zo­ge­ner Daten von Euro­pä­ern in die Ver­ei­nig­ten Staa­ten ermöglicht.

Die Daten­schutz­be­auf­trag­ten in Deutsch­land begrü­ßen, dass die EU und die USA eine grund­sätz­li­che Eini­gung über einen neu­en Rah­men für den trans­at­lan­ti­schen Daten­ver­kehr erzielt haben“, so Tho­mas Spa­eing, Vor­stands­vor­sit­zen­der des Berufs­ver­bands der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. „Die Ankün­di­gung ist zunächst sicher­lich ein Hoff­nungs­schim­mer für unzäh­li­ge Daten­schutz­be­auf­trag­te, die sich in ihrer Bera­tung mit zuneh­men­der Rechts­un­si­cher­heit kon­fron­tiert sehen, wenn es dar­um geht, Daten in die USA zu übermitteln.“

Der Ver­band sieht in der bis­he­ri­gen Recht­spre­chung des Euro­päi­schen Gerichts­hof zu frü­he­ren trans­at­lan­ti­schen Abkom­men eine Bestä­ti­gung des durch die euro­päi­sche Daten­schutz-Grund­ver­ord­nung begrün­de­ten sehr hohen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten und die Rech­te sowie Frei­hei­ten betrof­fe­ner Per­so­nen. Gleich­zei­tig habe dies mas­si­ve prak­ti­sche Aus­wir­kun­gen, da Trans­fers per­so­nen­be­zo­ge­ner Daten zwi­schen den USA und der EU eine wich­ti­ge Grund­la­ge dar­stel­len für den glo­ba­len Han­del und die unbe­schränk­te Nut­zung von Online­dien­sten, die nach wie vor im Schwer­punkt aus den USA her­aus ange­bo­ten werden.

Beam­te auf bei­den Sei­ten des Atlan­tiks hat­ten dar­um gekämpft, eine Sack­gas­se zu über­brücken, was es bedeu­tet, den Euro­pä­ern einen wirk­sa­men Rechts­be­helf gegen die Über­wa­chung durch US-Behör­den zu geben. Nicht alle die­se Fra­gen konn­ten gelöst wer­den, obwohl von der Ley­ens Kom­men­ta­re dar­auf hin­deu­ten, dass tech­ni­sche Lösun­gen in Reich­wei­te sind. „Inso­fern. bleibt abzu­war­ten, inwie­fern die­ses neue Abkom­men vor Gericht Bestand haben wird. Ich den­ke, man soll­te hier kei­ne all­zu hohen Erwar­tun­gen hegen, bis Details zu dem Abkom­men bekannt sind“.

Die DSK hat beschlos­sen, die ihren Auf­sich­ten unter­ste­hen­den ober­sten Bun­des- und Lan­des­be­hör­den über das Kurz­gut­ach­ten der DSK-TaskFor­ce zu Face­book Fan­pages zu infor­mie­ren. Sie möch­te errei­chen, dass die Behör­den ihre Fan­pages deak­ti­vie­ren, sofern die Ver­ant­wort­li­chen die daten­schutz­recht­li­che Kon­for­mi­tät nicht nach­wei­sen kön­nen. Dazu sag­te Pro­fes­sor Kel­ber: „Face­book Fan­pages las­sen sich aktu­ell nicht daten­schutz­kon­form betrei­ben. Zu die­sem Ergeb­nis kam auch die von der DSK ein­ge­setz­te TaskFor­ce. Behör­den haben hier eine beson­de­re Ver­ant­wor­tung und eine Vor­bild­funk­ti­on für die Bür­ge­rin­nen und Bürger.“

Die Doku­men­te zur DSK und das Kurz­gut­ach­ten der TaskFor­ce Fan­pages fin­den Sie in Kür­ze auf der Home­page der Datenschutzkonferenz:

www​.daten​schutz​kon​fe​renz​-online​.de

Kon­takt:
Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit
Grau­rhein­dor­fer Stra­ße 153
53117 Bonn
E‑Mail: pressestelle@​bfdi.​bund.​de

Pres­se­mit­tei­lung der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len vom 23.03.2022.

Mit der Ände­rung des Infek­ti­ons­schutz­ge­setz­tes vom 20. März 2022 ent­fällt die Ver­pflich­tung zum Nach­weis der Imp­fung, der Gene­sung oder der Nega­tiv-Testung (3G-Nach­weis) am Arbeits­platz. „Die aktu­el­len Locke­run­gen im Rah­men des Infek­ti­ons­schutz­ge­set­zes des Bun­des neh­me ich zum Anlass, um auf Fri­sten für die Löschung der gesam­mel­ten Daten hin­zu­wei­sen: Die von den Arbeitgeber*innen erho­be­nen Daten müs­sen spä­te­stens sechs Mona­te nach Erhe­bung ver­nich­tet oder gelöscht wer­den. Da die Rechts­grund­la­ge ent­fal­len ist, gehen wir davon aus, dass die Spei­che­rung regel­mä­ßig nicht mehr erfor­der­lich ist und die Daten schon jetzt gelöscht wer­den soll­ten“, erklärt Bet­ti­na Gayk, Lan­des­be­auf­tra­ge für Daten­schutz und Infor­ma­ti­ons­frei­heit in Nordrhein-Westfalen.

Ange­sichts stei­gen­der Coro­na-Zah­len gewann für Unter­neh­men die Erfas­sung von Gesund­heits­da­ten der Beschäf­tig­ten an Bedeu­tung, um den Betrieb trotz der Risi­ken durch SARS-CoV‑2 auf­recht­zu­hal­ten. Dabei wur­den die Arbeitgeber*innen ver­pflich­tet zu über­wa­chen, ob die Beschäf­tig­ten geimpft, gene­sen oder gete­stet sind. Dazu soll­te eine täg­li­che Nach­weis­kon­trol­le durch­ge­führt und doku­men­tiert wer­den. Gere­gelt wur­de das durch das Infek­ti­ons­schutz­ge­setz des Bun­des (§ 28b Abs. 3 Satz 1 IfSG a.F.). „In Ein­zel­fäl­len haben Arbeitgeber*innen Impf- oder Test­nach­wei­se sogar kopiert oder gescannt. Das ist nicht zuläs­sig gewe­sen, und selbst­ver­ständ­lich müs­sen die­se Kopien und Scans umge­hend fach­ge­recht ent­sorgt wer­den“, macht Gayk deutlich.

Dass im Zuge der Pan­de­mie gesam­mel­te Daten wie­der gelöscht oder ver­nich­tet wer­den müs­sen, ist nicht neu. So ist bereits die Pflicht zur Kon­takt­da­ten­er­he­bung für bestimm­te Wirt­schafts­be­rei­che – zum Bei­spiel in der Gastro­no­mie – ent­fal­len, als am 20. August 2021 die „Ver­ord­nung zum Schutz vor Neu­in­fi­zie­run­gen mit dem Coro­na­vi­rus SARS-CoV‑2“ (Coro­na-Schutz­ver­ord­nung) der NRW-Lan­des­re­gie­rung geän­dert wur­de. Aller­dings kann sie seit­dem noch wei­ter­hin durch die Städ­te und Gemein­den als ört­li­che Ord­nungs­be­hör­den ange­ord­net werden.

Gayk: „Inzwi­schen geht es dar­um, die erho­be­nen Daten rechts­kon­form zu ent­sor­gen. Das bedeu­tet: Die Gesund­heits­da­ten von Beschäf­tig­ten und – sofern noch vor­han­den – Daten zur Kon­takt­nach­ver­fol­gung müs­sen gelöscht, also voll­stän­dig und unwi­der­ruf­lich ver­nich­tet wer­den. Bei Daten, die in Papier­form erho­ben wur­den, soll­te ein geeig­ne­ter Akten­ver­nich­ter ver­wen­det wer­den.“ Ein Zer­rei­ßen von Hand sei nicht aus­rei­chend. Wie Daten­trä­ger daten­schutz­kon­form ver­nich­tet wer­den kön­nen, regelt unter ande­rem die DIN 66399. Für das Löschen per­so­nen­be­zo­ge­ner Daten durch Akten­ver­nich­ter sind Gerä­te der Sicher­heits­stu­fe 4 oder höher gemäß die­ser DIN geeignet.

Die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len
Kaval­le­rie­str. 2 – 4, 40213 Düs­sel­dorf
Tel.: 0211 – 38424 – 158
Fax: 0211 – 38424 – 999
E‑Mail: pressestelle@​ldi.​nrw.​de
Inter­net: www​.ldi​.nrw​.de

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) warnt nach §7 BSI-Gesetz vor dem Ein­satz von Viren­schutz­soft­ware des rus­si­schen Her­stel­lers Kas­pers­ky. Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu ersetzen.

Anti­vi­ren­soft­ware, ein­schließ­lich der damit ver­bun­de­nen echt­zeit­fä­hi­gen Cloud­dien­ste, ver­fügt über weit­rei­chen­de System­be­rech­ti­gun­gen und muss system­be­dingt (zumin­dest für Aktua­li­sie­run­gen) eine dau­er­haf­te, ver­schlüs­sel­te und nicht prüf­ba­re Ver­bin­dung zu Ser­vern des Her­stel­lers unter­hal­ten. Daher ist Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz eines Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ent­schei­dend für den siche­ren Ein­satz sol­cher Syste­me. Wenn Zwei­fel an der Zuver­läs­sig­keit des Her­stel­lers bestehen, birgt Viren­schutz­soft­ware ein beson­de­res Risi­ko für eine zu schüt­zen­de IT-Infrastruktur.

Das Vor­ge­hen mili­tä­ri­scher und/​oder nach­rich­ten­dienst­li­cher Kräf­te in Russ­land sowie die im Zuge des aktu­el­len krie­ge­ri­schen Kon­flikts von rus­si­scher Sei­te aus­ge­spro­che­nen Dro­hun­gen gegen die EU, die NATO und die Bun­des­re­pu­blik Deutsch­land sind mit einem erheb­li­chen Risi­ko eines erfolg­rei­chen IT-Angriffs ver­bun­den. Ein rus­si­scher IT-Her­stel­ler kann selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, gegen sei­nen Wil­len gezwun­gen wer­den, Ziel­sy­ste­me anzu­grei­fen, oder selbst als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.

Alle Nut­ze­rin­nen und Nut­zer der Viren­schutz­soft­ware kön­nen von sol­chen Ope­ra­tio­nen betrof­fen sein. Unter­neh­men und Behör­den mit beson­de­ren Sicher­heits­in­ter­es­sen und Betrei­ber Kri­ti­scher Infra­struk­tu­ren sind in beson­de­rem Maße gefähr­det. Sie haben die Mög­lich­keit, sich vom BSI oder von den zustän­di­gen Ver­fas­sungs­schutz­be­hör­den bera­ten zu lassen.

Unter­neh­men und ande­re Orga­ni­sa­tio­nen soll­ten den Aus­tausch wesent­li­cher Bestand­tei­le ihrer IT-Sicher­heits­in­fra­struk­tur sorg­fäl­tig pla­nen und umset­zen. Wür­den IT-Sicher­heits­pro­duk­te und ins­be­son­de­re Viren­schutz­soft­ware ohne Vor­be­rei­tung abge­schal­tet, wäre man Angrif­fen aus dem Inter­net mög­li­cher­wei­se schutz­los aus­ge­lie­fert. Der Umstieg auf ande­re Pro­duk­te ist mit vor­über­ge­hen­den Komfort‑, Funk­ti­ons- und Sicher­heits­ein­bu­ßen ver­bun­den. Das BSI emp­fiehlt, eine indi­vi­du­el­le Bewer­tung und Abwä­gung der aktu­el­len Situa­ti­on vor­zu­neh­men und dazu gege­be­nen­falls vom BSI zer­ti­fi­zier­te IT-Sicher­heits­dienst­lei­ster hin­zu­zu­zie­hen.


Wei­te­re Infor­ma­tio­nen sind in den FAQ zusammengefasst.

Ste­fan Brink und Cla­ris­sa Hen­ning appel­lie­ren: Öffent­li­che Stel­len soll­ten aus den ver­meint­lich Sozia­len Medi­en aus­stei­gen. War­um die nicht sozi­al sind, was Poli­zei, Kom­mu­nen und Co. statt­des­sen tun soll­ten und was das mit dem Ver­trau­en in mün­di­ge Bür­ger zu tun hat, kom­men­tie­ren sie in ihrem Gast­bei­trag.“ Vom 15.3.22.

Zum Bei­trag: https://​netz​po​li​tik​.org/

Am heu­ti­gen Tage hat die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (LfDI) als daten­schutz­recht­li­che Auf­sichts­be­hör­de die BREBAU GmbH mit einer Geld­bu­ße nach Arti­kel 83 Daten­schutz­grund­ver­ord­nung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen ver­ar­bei­tet, ohne dass es hier­für eine Rechts­grund­la­ge gab. Bei­spiels­wei­se Infor­ma­tio­nen über Haar­fri­su­ren, den Kör­per­ge­ruch und das per­sön­li­che Auf­tre­ten sind für den Abschluss von Miet­ver­hält­nis­sen nicht erfor­der­lich. Bei mehr als der Hälf­te der Fäl­le han­del­te es sich dar­über hin­aus um Daten, die nach der DSGVO beson­ders geschützt sind. Rechts­wid­rig ver­ar­bei­tet wur­den auch Infor­ma­tio­nen über die Haut­far­be, die eth­ni­sche Her­kunft, die Reli­gi­ons­zu­ge­hö­rig­keit, die sexu­el­le Ori­en­tie­rung und über den Gesund­heits­zu­stand. Auch hat die BREBAU GmbH Anträ­ge Betrof­fe­ner auf Trans­pa­renz über die Ver­ar­bei­tung ihrer Daten bewusst konterkariert.

Die nach Arti­kel 83 DSGVO ver­häng­te Geld­bu­ße beläuft sich auf rund 1,9 Mil­lio­nen Euro. Der außer­or­dent­li­chen Tie­fe der Ver­let­zung des Grund­rechts auf Daten­schutz wäre eine deut­lich höhe­re Geld­bu­ße ange­mes­sen gewe­sen. Weil die BREBAU GmbH im daten­schutz­recht­li­chen Auf­sichts­ver­fah­ren umfas­send koope­rier­te, sich um Scha­dens­min­de­rung, eige­ne Auf­klä­rung des Sach­ver­halts und dar­um bemüh­te, dass ent­spre­chen­de Ver­stö­ße sich nicht wie­der­ho­len, konn­te die Höhe der Geld­bu­ße erheb­lich redu­ziert werden.

Anläss­lich die­ses Auf­sichts­ver­fah­rens äußer­te die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit, Dr. Imke Som­mer: „Im Zusam­men­hang mit der öffent­li­chen Dis­kus­si­on über den Fall, der die­sem daten­schutz­recht­li­chen Auf­sichts­ver­fah­ren zugrun­de liegt, bin ich häu­fig gefragt wor­den, ob die DSGVO Dis­kri­mi­nie­run­gen ver­bie­tet. Die Ant­wort auf die­se Fra­ge ist kom­pli­ziert, weil die DSGVO in spe­zi­fi­scher Wei­se auf Sach­ver­hal­te schaut. Nach der DSGVO ist es nur in weni­gen Aus­nah­me­fäl­len über­haupt erlaubt, Daten über Haut­far­be, eth­ni­sche Her­kunft, Reli­gi­ons­zu­ge­hö­rig­keit, sexu­el­le Ori­en­tie­rung und über den Gesund­heits­zu­stand zu ver­ar­bei­ten. Damit sorgt die DSGVO dafür, dass die­se beson­ders geschütz­ten Daten in den aller­mei­sten Fäl­len gar nicht erst erho­ben und gespei­chert wer­den dür­fen. Nicht erho­be­ne Daten kön­nen nicht miss­braucht wer­den. In die­sem Sin­ne schützt die DSGVO auch vor Diskriminierungen.“

Die Web­sei­te der bre­mi­schen Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit kann hier abge­ru­fen werden.

Kon­flik­te wer­den heut­zu­ta­ge auch im digi­ta­len Raum aus­ge­tra­gen. Zwar ist die Situa­ti­on in der Ukrai­ne in die­sem Sin­ne noch nicht hier­zu­lan­de ange­kom­men, doch soll­ten Unter­neh­men ihre IT-Sicher­heit für einen Ernst­fall prü­fen. Der Bit­kom nennt fünf Maß­nah­men, die Unter­neh­men jetzt ergrei­fen sollten.

Die Offen­si­ve Russ­lands begann im digi­ta­len Raum bereits eini­ge Zeit vor dem Ein­marsch in die Ukrai­ne. „Wäh­rend Cyber­an­grif­fe auf mili­tä­ri­sche Ziel­sy­ste­me, Behör­den und Insti­tu­tio­nen bereits seit län­ge­rem statt­fin­den, spiel­te der digi­ta­le Raum in den ersten Tagen des rus­si­schen Angriffs­kriegs nur eine nach­ge­la­ger­te Rol­le. Mit zuneh­men­der Kriegs­dau­er könn­te sich dies wie­der ändern, und das kann unmit­tel­ba­re Kon­se­quen­zen für Deutsch­land und sei­ne Wirt­schaft haben. Denn die Distan­zen im digi­ta­len Raum sind kurz und die Gren­zen nicht so klar, wie sie sein müss­ten“, erklärt Bit­kom-Sicher­heits­ex­per­te Seba­sti­an Artz. „Es gibt kei­nen Grund zur Panik, aber mit dem Angriffs­krieg Russ­lands ist auch im deut­schen Cyber­raum vol­le Auf­merk­sam­keit und größt­mög­li­che Wach­sam­keit aller Unter­neh­men, Orga­ni­sa­tio­nen und staat­li­chen Stel­len geboten.“

Der Digi­tal­ver­band Bit­kom gibt des­halb fünf kon­kre­te Hin­wei­se, wel­che Vor­be­rei­tun­gen und Vor­sichts­maß­nah­men ins­be­son­de­re klei­ne und mit­tel­stän­di­sche Unter­neh­men jetzt für ihre IT-Sicher­heit tref­fen sollten:

1. Risi­ken und Aus­wir­kun­gen von Cyber­an­grif­fen minimieren

Unter­neh­men soll­ten ihre Schutz­maß­nah­men ins­ge­samt ver­stär­ken. Betriebs­sy­ste­me und Soft­ware müs­sen auf dem aktu­el­len Stand sein, Sicher­heits­up­dates sind zügig ein­zu­spie­len. Siche­re – also kom­ple­xe und für jedes System unter­schied­li­che – Pass­wör­ter kön­nen signi­fi­kant das Schutz­ni­veau erhö­hen bei. Mög­lichst alle Log­ins mit Außen­an­bin­dung soll­ten über eine Mul­ti-Fak­tor-Authen­ti­fi­zie­rung geschützt wer­den. Pri­vi­le­gi­en und Admi­ni­stra­ti­ons­rech­te soll­ten für ein­zel­ne Nut­ze­rIn­nen ein­ge­schränkt wer­den und die Kom­ple­xi­tät von ver­wen­de­ten Dien­sten ins­ge­samt ver­rin­gert wer­den. Eine sol­che Här­tung der Syste­me ist rat­sam, obwohl sie nicht nut­zungs­freund­lich ist und die Pro­duk­ti­vi­tät ein­schränkt, denn sie schützt die eige­ne Infra­struk­tur und unter­neh­mens­sen­si­ble Daten. Zudem ist die unter­neh­mens­ei­ge­ne Back-up-Stra­te­gie zu prü­fen und nach­zu­zie­hen, sodass alle rele­van­ten Unter­neh­mens­da­ten gesi­chert sind und zusätz­lich Sicher­heits­ko­pien off­line auf einem exter­nen Daten­trä­ger existieren.

2. Ver­ant­wort­lich­kei­ten klar definieren

Unter­neh­men müs­sen in einem Angriffs­fall reak­ti­ons­fä­hig sein. Ver­ant­wort­lich­kei­ten im Sicher­heits­be­reich müs­sen klar defi­niert sein und ent­spre­chen­de Anlauf­stel­len ein­ge­rich­tet wer­den – sowohl intern als auch bei exter­nen Dienst­lei­stern. Es gilt sicher­zu­stel­len, dass zu jeder Zeit aus­rei­chend Per­so­nal ein­satz­fä­hig ist. Urlaubs­zei­ten oder Ver­tre­tun­gen bei Krank­heit müs­sen dabei ein­kal­ku­liert wer­den. Außer­dem ist es sinn­voll sich dar­auf vor­zu­be­rei­ten, auch ohne die Hil­fe exter­ner Dienst­lei­ster kurz­fri­stig reagie­ren zu kön­nen – bei groß­flä­chi­gen Cyber­an­grif­fen könn­ten Exter­ne an Kapa­zi­täts­gren­zen stoßen.

3. Beschäf­tig­te sensibilisieren

Alle Erfah­run­gen zei­gen: Der Mensch bleibt eines der größ­ten Sicher­heits­ri­si­ken, ist aber auch Schutz­ga­rant eines Unter­neh­mens. Alle Beschäf­tig­ten soll­ten ziel­grup­pen­ge­recht für das erhöh­te Risi­ko von Cyber­an­grif­fen sen­si­bi­li­siert wer­den. Dazu gehört, poten­zi­el­le Gefah­ren ver­ständ­lich zu erklä­ren und Schritt-für-Schritt-Anlei­tun­gen bereit­zu­stel­len, wie sich Beschäf­tig­te im Fal­le eines Angriffs ver­hält und an wen sie sich wen­den müs­sen. Gege­be­nen­falls kön­nen kurz­fri­sti­ge Sicher­heits­schu­lun­gen sinn­voll sein. Ziel ist es, die Wach­sam­keit in der Beleg­schaft zu erhö­hen. Beson­ders für den E‑Mail-Ver­kehr gilt, Hyper­links und Anhän­ge nicht vor­schnell zu öff­nen und unge­wöhn­li­che Anwei­sun­gen mit Skep­sis zu betrach­ten. An Unter­neh­men wer­den auch sehr geziel­te und gut gemach­te Phis­hing-Mails geschickt, wodurch der Fake nur anhand weni­ger Details wie etwa eines falsch geschrie­be­nen Namens oder einer fal­schen Durch­wahl in der Signa­tur ent­deckt wer­den kann.

4. Not­fall­plan erstellen

Für den Fall eines Angriffs soll­te im Unter­neh­men ein Not­fall­plan bereit­lie­gen, der das wei­te­re Vor­ge­hen doku­men­tiert. Neben den tech­ni­schen Schrit­ten, die ein­ge­lei­tet wer­den müs­sen, soll­te der Plan auch orga­ni­sa­to­ri­sche Punk­te wie die Kon­takt­da­ten rele­van­ter Ansprech­per­so­nen im Unter­neh­men sowie die Not­fall­kon­tak­te der offi­zi­el­len Anlauf­stel­len beinhal­ten. Auch recht­li­che Aspek­te wie Mel­de­pflich­ten bei Daten­schutz­ver­let­zun­gen müs­sen berück­sich­tigt wer­den. Des Wei­te­ren gehört eine vor­be­rei­te­te Kri­sen­kom­mu­ni­ka­ti­on dazu, um schnell alle rele­van­ten Sta­ke­hol­der wie Kun­den, Part­ner sowie die Öffent­lich­keit zu informieren.

5. Infor­ma­tio­nen offi­zi­el­ler Stel­len beobachten

Die Sicher­heits­la­ge ist hoch­dy­na­misch und kann sich von Tag zu Tag ändern. Unter­neh­men soll­ten daher die Mel­dun­gen von Behör­den wie dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) sowie der Alli­anz für Cyber­si­cher­heit (ACS) stets beobachten.