Ereignisse | BUSCON Business- & IT-Consulting

KPMG: Unternehmen unterschätzen Risiken massiv

9. Januar 2017/in Ereignisse/von Jürgen Schmidt

Laut einer KPMG-Studie werden mehr als ein Drittel aller deutschen Unternehmen Opfer von Wirtschaftskriminalität. Größter Risikofaktor sind die eigenen Mitarbeiter.

Mehr als drei Viertel der Unternehmen in der Studie wähnen sich in trügerischer Sicherheit.
Größte Tätergruppe sind eigene Mitarbeiter mit 84 Prozent der Nennungen. Sie stecken sehr häufig mit Externen unter einer Decke

Über Wirtschaftskriminalität zu schreiben ist insofern etwas kompliziert, als der Begriff zwei sehr unterschiedliche Phänomene bezeichnet. Zum einen geht es dabei um Straftaten, bei denen Unternehmen die Opfer sind, also etwa um Datendiebstahl in großen Stil durch Cyberangriffe Externer. Zum anderen dreht sich Wirtschaftskriminalität um Straftaten durch Unternehmen, wobei die Opfer sowohl der eigene Laden als auch Externe sein können.

Die Meinungsforscher von TNS Emnid haben jetzt im Auftrag von KPMG eine Befragung von 500 Unternehmen durchgeführt, um die Entwicklung von Art und Umfang solcher Straftaten in den zurückliegenden zwei Jahren zu ermitteln.

Untreue vor Diebstahl und Unterschlagung

45 Prozent der befragten Firmen, so ein zentrales Ergebnis, waren in dieser Zeit von Wirtschaftskriminalität betroffen, also entweder Täter oder Opfer solcher Taten.

Die häufigsten Deliktarten sind Betrug und Untreue (45 Prozent), dicht gefolgt von Diebstahl und Unterschlagung mit 43 Prozent. Letztere beiden kommen bei Großunternehmen mit 63 Prozent überdurchschnittlich häufig vor. Hier sind darüber hinaus Korruptionsdelikte auf dem Vormarsch, 45 Prozent der Befragten Großen hatten damit bereits zu tun. Das bedeutet, dass diese Art von Delikten im Vergleich zur Situation vor zwei Jahren – dem Zeitpunkt der vorigen Befragung – um 50 Prozent zugenommen hat.

Gefahren werden massiv unterschätzt

Bemerkenswert ist diese Zahl insofern, als gerade Großunternehmen das Risiko, angegriffen zu werden, massiv unterschätzen: Lediglich 23 Prozent von ihnen befürchten einen Angriff, mehr als drei Viertel wähnen sich also in (trügerischer) Sicherheit.

Autozulieferer Leoni um 40 Millionen Euro geprellt

Wie gefährlich solche Arglosigkeit sein kann, beweist ein aktueller prominenter Fall: Der große Autozulieferer Leoni aus Nürnberg gab im August bekannt, um 40 Millionen Euro geprellt worden zu sein. Nach Unternehmensangaben nutzten die Ganoven gefälschte Dokumente und Identitäten, um über „elektronische Kommunikationswege“ an das Geld zu kommen.

Offensichtlich hatte sich jemand als Leoni-Mitarbeiter ausgegeben, behauptet, besondere Befugnisse zu haben und unter diesem Vorwand unterschiedliche Geschäftsvorgänge zum eigenen Nutzen ausführen lassen.

Die Masche erinnert ein wenig an den populären „Enkeltrick“, bei der Betrüger alte Leute anrufen, sich als Verwandte ausgeben und anschließend Geld überweisen lassen. Nur dass der Leoni-Betrüger eben behauptet hat, statt Verwandter eine Art Chef zu sein, dessen Anweisungen Folge zu leisten sei.

Ein Leser von Spiegel Online schrieb zu diesem Fall sehr passend, die Masche ziehe nur, „wenn alle Mitarbeiter einschließlich Revision einen gepflegten Schlaf haben und niemand sich traut, den ‚Chef‘ gezielt anzusprechen, woher er seine Vollmachten hat.“

Am gefährlichsten sind die eigenen Mitarbeiter

So skurril der Fall Leoni ist: Mehrheitlich entstehen die Schäden anders. Größte Tätergruppe sind laut KPMG-Studie die eigenen Mitarbeiter mit 84 Prozent der Nennungen. Diese stecken bei ihren Taten sehr häufig mit Externen unter einer Decke.

Boston Consulting Group: Deutsche fühlen sich beim Datenschutz belogen

22. Dezember 2016/in Ereignisse/von Jürgen Schmidt

Der Handel mit angeblich anonymisierten Daten boomt. Und die Mehrheit der deutschen Verbraucher bezweifelt, dass damit ordentlich umgegangen wird.

Datenschutz liegt den Deutschen am Herzen. Egal ob Linkedin, Twitter oder Yahoo – Verbraucher wollen ihre sensiblen Daten gesichert wissen. Doch Unternehmen scheinen dieses Bedürfnis zu unterschätzen und ahnen nicht welche weitreichenden Konsequenzen Datenmissbrauch für sie haben kann: 71 Prozent der Deutschen würden einem Unternehmen, dem sie nicht vertrauen, den Zugriff auf ihre Daten verweigern. Das geht aus der Verbraucherstudie »Big Data & Trust Consumer Survey« der Boston Consulting Group (BCG) hervor. Dazu befragt wurden 8.000 Konsumenten aus Deutschland, Frankreich, Italien, Spanien, Großbritannien und den USA. Des weiteren schätzt die BCG den potenziellen Umsatzrückgang im Jahr nach dem Bekanntwerden eines Missbrauchs auf bis zu acht Prozent. Im zweiten Jahr sind Einbußen von bis zu fünf Prozent denkbar.

»Datenschutz ist für Verbraucher eine ernste Angelegenheit. Mit jedem bekannt werdenden Missbrauch steigt die allgemeine Verunsicherung. Gelingt es den Unternehmen jetzt nicht, nachhaltig Vertrauen zu schaffen, wird es zunehmend schwieriger für sie, das enorme wirtschaftliche Potenzial ihrer Kundendaten zu nutzen«, erklärt Joachim Stephan, Senior Partner bei BCG und Experte für Technologie, Medien und Telekommunikation. Immerhin, so die BCG, betrage das weltweite Marktpotenzial sicherer Datennutzung etwa 940 Milliarden Euro pro Jahr bis 2020. Dass die Verbraucher verunsichert sind, zeigt sich auch darin, dass sich mehr als die Hälfte der Deutschen bei der Verwendung ihrer Daten von den Unternehmen belogen fühlen und bezweifeln, dass Unternehmen korrekt mit den überlassenen Daten umgehen.

Hälfte der Deutschen ist misstrauisch

So geht aus der Umfrage hervor, dass die Hälfte der Deutschen einen Datenmissbrauch befürchten. Noch misstrauischer sind die Franzosen mit 62 Prozent, gefolgt von Spanien (57 Prozent) und Großbritannien mit 53 Prozent. In den USA und Italien hingegen herrscht etwas weniger Skepsis. Besonders groß sind die Zweifel deutscher Kunden gegenüber sozialen Medien, Suchmaschinen und Mobilfunkanbietern. Als besonders sensible Daten gelten vor allem Finanz- und Steuerangelegenheiten sowie Kreditkarten-daten, aber auch Informationen über Ehepartner und Kinder sowie Gesundheitsdaten.

»Unternehmen unterschätzen die Bedeutung der Transparenz bei der Datennutzung. Zum Vertrauensbruch reicht es bereits, wenn Verbraucher merken, dass ihre preisgegebenen Daten für einen anderen Zweck genutzt werden als ursprünglich gedacht – also statt für einen Einkauf im Netz etwa auch für Marketingzwecke«, führt Stephan aus. Viele Verbraucher werten es beispielsweise als Vertrauensbruch, wenn die von ihnen preisgegebenen Daten für andere Zwecke als ursprünglich gedacht verwendet werden.Eine deutliche Diskrepanz zwischen Unternehmen und Verbrauchern gibt es auch bei der Einstufung elementarer Aktivi-täten. So gingen bei einer Befragung von 140 Unternehmen aus acht Branchen etwa 40 Prozent davon aus, dass es nicht nötig sei, die Kunden vor einer Personalisierung des Angebots um Erlaubnis zu fragen, während 88 Prozent der Verbraucher dies jedoch erwarteten.

Auch auf rechtlicher Seite müssen sich Unternehmen mit dem Thema auseinandersetzen, denn ab Mai 2018 werden Auskunftsrechte der Kunden, ihr Recht auf Datenlöschung und das Recht auf Datentransportabilität gestärkt. Dann tritt die EU-Datenschutz-Grundverordnung in Kraft und bildet die Grundlage für einen einheitlichen Datenschutz in allen 28 EU-Staaten.

BITKOM: Leitfaden zur Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer – wurde in der Version 1.1 veröffentlicht

20. Dezember 2016/in Ereignisse/von Jürgen Schmidt

Durch das EuGH Urteil zu Safe Harbor im Herbst 2015 und die sich hinziehenden Verhandlungen zum Nachfolger Privacy Shield bis zum Sommer diesen Jahres gab es einige Verunsicherung hinsichtlich der Voraussetzungen für Datentransfers in die USA und andere Drittstaaten.

Der schon länger bestehende Leitfaden zur »Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer« gibt einen Überblick, was generell bei Datenübermittlungen zu beachten ist. Er wurde nun aufgrund der aktuellen Entwicklungen auf Basis der geltenden Rechtslage aktualisiert. Weiterhin wurden Ausblicke auf die Rechtslage nach der Datenschutz-Grundverordnung eingefügt. Der Leitfaden soll für die Zeit bis zum 25. Mai 2018 Orientierung bieten. Rechtzeitig vor diesem Datum wird es eine weitere Überarbeitung – dann komplett auf Basis der EU-Verordnung geben.

Der Leitfaden ist beim BITKOM kostenlos hier erhältlich:
https://www.bitkom.org/Bitkom/Publikationen/Uebermittlung-personenbezogener-Daten-Inland-EU-Laender-Drittlaender-2.html

BSI veröffentlicht Mindeststandard „Schnittstellenkontrolle“

17. Dezember 2016/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Mindeststandard nach § 8 BSI-Gesetz (BSIG) zum Thema „Schnittstellenkontrolle“ veröffentlicht. Der Mindeststandard „Schnittstellenkontrolle“ regelt die Absicherung von Schnittstellen von IT-Systemen und macht Vorgaben zu Einsatz und Eigenschaften entsprechender Softwarelösungen für die Bundesverwaltung. Der Mindeststandard richtet sich vornehmlich an IT-Sicherheitsbeauftragte und IT-Verantwortliche in der Bundesverwaltung, steht darüber hinaus jedoch auch für andere Institutionen in Wirtschaft und Gesellschaft sowie für die Verwaltung in den Ländern und Kommunen zur Verfügung.

Schnittstellen wie USB-Anschlüsse bergen Risiken für den Einfall von Schadsoftware und unerwünschten Abfluss von Informationen. Mobile Datenträger wie USB-Sticks und SD-Karten sowie Mobilgeräte wie Smartphones und Tablets sind im geschäftlichen und privaten Bereich weit verbreitet. Eine unbedachte Nutzung – entgegen etwaiger interner Sicherheitsrichtlinien – kann ein Risiko für die gesamte IT-Infrastruktur einer Behörde, eines Unternehmens oder einer sonstigen Institution darstellen. Zwei grundsätzliche Forderungen sind daher im Mindeststandard umgesetzt:

Schnittstellen sind auf IT-Systemen der Bundesverwaltung angemessen zu schützen.
Eingesetzte Schnittstellenkontrollen haben bestimmte Mindestsicherheitsanforderungen zu erfüllen. Diese Anforderungen schützen dabei sowohl vor der generellen Nutzung nicht genehmigter Geräte, als auch vor der unsachgemäßen Nutzung genehmigter Geräte.

Der Mindeststandard „Schnittstellenkontrolle“ steht hier zum Download zur Verfügung.

Yahoo: Daten von über einer Milliarde Nutzern gestohlen

15. Dezember 2016/in Ereignisse/von Jürgen Schmidt

Der im September bekannt gewordene Datenklau bei Yahoo war nicht der größte aller Zeiten: Bereits ein Jahr zuvor wurden beim Internet-Konzern mehr als eine Milliarde Datensätze abgegriffen, wie sich jetzt herausstellt.

Yahoo ist einer der ältesten Internet-Konzerne und die meisten Internet-Nutzer haben in ihrem Leben wohl schon einmal einen Account bei einem der zahlreichen Yahoo-Dienste besessen. Dementsprechend sitzt das Unternehmen auf Bergen von Datensätzen und ist ein attraktives Ziel für Hacker – die offenbar schon mehrmals erfolgreichen große Datenmengen erbeuten konnten. Erst im September musste Yahoo einen Hack aus dem Jahr 2014 einräumen, der mehr als 500.000 User betraf. Wie sich nun zeigt, geht es aber auch noch eine Nummer größer: Bereits 2013 gerieten mehr als eine Milliarde Datensätze in die falschen Hände.

Im November dieses Jahres bekam Yahoo demnach von den Behörden Dateien überreicht, von denen Dritte behaupteten, es handele sich um Daten von Yahoo-Nutzern. Nach der Analyse bestätigte sich dieser Verdacht. Wahrscheinlich im August 2013 hätten Unbekannte Daten gestohlen, die zu mehr als einer Milliarde Yahoo-Accounts gehören, heißt es beim Internet-Konzern. Man sei nicht in der Lage gewesen nachzuvollziehen, wie ihnen das gelungen war, glaube aber, der Vorfall stehe nicht mit dem im September bekannt gewordenen in Verbindung. Zu den entwendeten Daten zählen Namen, Mail-Adressen, Telefonnummern, Geburtsdaten sowie Passwort-Hashes und in einigen Fällen auch die Sicherheitsfragen und -antworten. Passwörter im Klartext, Kreditkartendaten und Bankinformationen wurden wahrscheinlich nicht entwendet. Yahoo zufolge werden die potenziell betroffenen Nutzer benachrichtigt und müssen ihr Passwort ändern. Die Sicherheitsfragen und -antworten sind nicht mehr gültig.

Inwieweit der neuerliche Sicherheitsvorfall die Übernahme von Yahoo durch Verizon gefährdet, bleibt abzuwarten. Bereits nach Bekanntwerden des 2014er Datenklaus gab es Nachverhandlungen – nun will Verizon den Kauf erneut prüfen.

VZBV: Datenschutz-Niveau darf nicht abgesenkt werden

8. Dezember 2016/in Ereignisse/von Jürgen Schmidt

vzbv kritisiert Gesetzentwurf zur Anpassung des deutschen Rechts an die Datenschutz-Grundverordnung

Gesetzentwurf aus Verbrauchersicht größtenteils inakzeptabel.
Verbraucher dürfen in Deutschland nicht schlechter gestellt sein als in anderen EU-Mitgliedsstaaten.
vzbv fordert, das derzeitige Datenschutz-Niveau in Deutschland mindestens zu erhalten

Das Datenschutz-Niveau in Deutschland darf nicht durch die Anpassung des nationalen Rechts an die Datenschutz-Grundverordnung (DSGVO) abgesenkt werden. Das fordert der Verbraucherzentrale Bundesverband (vzbv) in seiner Stellungnahme zum Gesetzentwurf, den das Bundesministerium des Innern (BMI) im November vorgelegt hat.

„Mit dem vorliegenden Gesetzentwurf würden Verbraucher in Deutschland künftig datenschutzrechtlich deutlich schlechter gestellt als Verbraucher in anderen EU-Mitgliedsstaaten“, kritisiert Klaus Müller, Vorstand des vzbv.

Entwurf in Teilen europarechtswidrig

Der Entwurf bleibt nach Ansicht des vzbv nicht nur hinter den Datenschutzstandards der europäischen Datenschutz-Grundverordnung zurück, sondern auch hinter dem aktuellen Bundesdatenschutzgesetz. „Das Bundesinnenministerium handelt entgegen früherer Zusagen der Bundesregierung, den hohen deutschen Datenschutzstandard zu erhalten“, so Müller. „Sollten die Regelungen in ihrer derzeitigen Form beschlossen werden, würde dies zu einer massiven Verschlechterung von Verbraucherrechten führen. Das darf nicht sein.“

Die vom vzbv geforderten Regelungen zum Kreditscoring sind im Entwurf enthalten. Die Art und Weise, wie sie begründet werden, sei jedoch unzulässig. Denn der jetzige Wortlaut stelle ein Einfallstor für weitere, nicht wünschenswerte Regelungen dar. Unternehmen könnten so legitimiert werden, den Nutzungszweck von erhobenen Daten zu ändern – also diese beispielsweise an Dritte weiterzugeben oder anderweitig ohne Zustimmung der Betroffenen zu verwenden. „Dies ist nicht nur absolut inakzeptabel, sondern sogar europarechtswidrig“, betont Müller. Der vzbv fordert, dass Daten von Verbrauchern nur für festgelegte, eindeutige und legitime Zwecke erhoben und weiterverarbeitet werden dürfen. Verbraucher, die beispielsweise Fragen zu ihrem Kreditscoring haben oder damit nicht einverstanden sind, hätten im vorliegenden Entwurf weniger Rechte. Die Möglichkeiten der Information, Auskunft oder Löschung ihrer Scoringdaten würde künftig in unverhältnismäßiger Weise eingeschränkt werden.

Kabinettsbeschluss im Januar erwartet

Die Frist für Stellungnahmen ist am 7. Dezember 2016 abgelaufen. Der vorliegende Referentenentwurf ist nun Gegenstand weiterer Beratungen im Ressortkreis. Ein Kabinettsbeschluss ist für Januar 2017 geplant. Der vzbv wird den Prozess kritisch begleiten.

Alle Forderungen und Anmerkungen zum Gesetzentwurf finden Sie in der Stellungnahme des vzbv zum Download.

BSI: Zerschlagung der Botnetz-Infrastruktur Avalanche ermöglicht

2. Dezember 2016/0 Kommentare/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt nach einem Amtshilfeersuchen die Zentrale Kriminalinspektion der Polizeidirektion Lüneburg (ZKI) sowie die Staatsanwaltschaft Verden/Aller bei der Analyse und Zerschlagung der Botnetz-Infrastruktur Avalanche. Seitens des BSI hat das Nationale Cyber-Abwehrzentrum die koordinierende Funktion übernommen.

Das BSI als die nationale Cyber-Sicherheitsbehörde hat die technische Grundlage zur Identifizierung der Botnetz-Infrastruktur sowie zur Analyse der von den Cyber-Kriminellen verwendeten Schadsoftware bereitgestellt. Dadurch wurde die Abschaltung der missbrauchten Server und so die Zerschlagung des gesamten kriminellen Netzwerks ermöglicht. Gleichzeitig ermöglicht das BSI die Information der weltweit betroffenen Nutzer, deren Computer und Smartphones von den Tätern mit Schadsoftware infiziert und damit zum Teil der Botnetze gemacht wurden. Die Analysen haben unter anderem ergeben, dass rund 20 verschiedene Botnetze die Avalanche-Infrastruktur nutzen, zum Beispiel um Spam- und Phishing-E-Mails zu versenden, Ransomware zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: „“Botnetze sind eine der großen Bedrohungen für die Digitalisierung. Die erfolgreiche Aktion zeigt, dass der Staat handlungsfähig und das Internet kein rechtsfreier Raum ist. Es ist uns gemeinsam gelungen, eine internationale kriminelle Infrastruktur zu zerschlagen und die Bürgerinnen und Bürger vor vielen aktuellen Gefahren im Internet zu schützen.“

Information der Betroffenen

Im Rahmen der Zerschlagung setzt das BSI zusammen mit Shadowserver, einer Non-Profit-Organisation von IT-Sicherheitsspezialisten, Sinkhole-Server ein, die die von den Kriminellen genutzten und im Rahmen der Strafverfolgungsaktion abgeschalteten Steuerungsserver der Botnetze ersetzen. Mit Hilfe dieser Sinkhole-Server können betroffene Internetnutzer gewarnt werden. In den ersten Stunden der Aktion sind bereits rund 100.000 unterschiedliche IP-Adressen in den Sinkhole-Servern aufgelaufen. Anhand der IP-Adressbereiche, die verschiedenen Internetserviceprovidern zugeordnet sind, gibt das BSI die einzelnen IP-Adressen gezielt an diese Provider weiter. Nur die Provider können die IP-Adressen einem Netzwerkanschluss zuordnen und so ihre Kunden informieren.

BSI gibt Handlungsempfehlungen

Die Zerschlagung der Botnetz-Infrastruktur führt nicht zu einer automatischen Bereinigung der infizierten Nutzersysteme. Damit die Internetnutzer ihre Computer und Smartphones von der Infektion mit Schadsoftware bereinigen können, gibt das BSI unter www.bsi-fuer-buerger.de/botnetz umfangreiche Hilfestellung.

Pressemitteilung der Staatsanwaltschaft Verden

Pressemitteilung EUROPOL (Englisch)

Klage gegen Vorratsdatenspeicherung beim Bundesverfassungsgericht eingereicht

30. November 2016/in Ereignisse/von Jürgen Schmidt

Mit ihr soll die vor einem Jahr vom Bundestag beschlossene “Speicherpflicht für Verkehrsdaten” gekippt werden. Die Kläger unter Federführung des Vereins Digitalcourage e.V. halten sie trotz der Änderungen gegenüber der ersten Auflage des Gesetzes zur Vorratsdatenspeicherung für unzulässig. Für die Provider hat bereits im Mai die Firma Space.net gegen das Gesetz geklagt.

Wie schon vor Monaten angekündigt, wurde jetzt vom Verein Digitalcourage e.V. als Stellvertreter eines breiten Bündnisses aus Bürgerrechtlern, Datenschützern, Politikern und Prominenten eine Verfassungsbeschwerde gegen das vor gut einem Jahr vom Bundestag beschlossene, neue Gesetz zur Vorratsdatenspeicherung, eingelegt. Um der Klage (PDF) Nachdruck zu verleihen, wurde auch eine Liste mit Unterschriften von mehr als 32.000 Unterstützern eingereicht. Mit der Klage wird angestrebt, die umstrittene Neuauflage des Gesetzes ebenso für verfassungswidrig erklären zu lassen, wie seinen Vorgänger.

Die mit dem Gesetz erlaubte, systematische Speicherung von Telefon- und Internetdaten ohne konkreten Anlass, halten Kritiker auch in ihrer überarbeiteten Form nach wie vor für einen Angriff auf Grundrechte. Mit dem Gesetz wird die Speicherung von Telekommunikationsdaten für zehn Wochen und von Standortdaten bei Gesprächen im Mobilfunknetz für vier Wochen geregelt. Daten zum E-Mail-Verkehr sind von den Regelungen ausgenommen.

Die erste Regelung zur Vorratsdatenspeicherung wurde nach drei Jahren im Jahr 2010 vom Bundesverfassungsgericht für unzulässig erklärt. Den bei der Neufassung vom Gesetzgeber sehr wohl zugegebenen Eingriff in die Grundrechte wollte das Bundesjustizministerium durch eine reduzierte Speicherdauer sowie höhere Zugriffshürden für die Daten gering halten.

So legte das Ministerium Wert darauf, dass mit den gespeicherten Daten keine Persönlichkeits- und Bewegungsprofile erstellt werden dürfen. Auch erklärte es, dass sogenannte Berufsgeheimnisträger, Notrufe sowie Beratungsstellen besonderen Schutz erfahren und E-Mails sollen nicht gespeichert werden sollen. Außerdem sollen “nur Verbindungsdaten”, nicht aber Inhalte von Gesprächen gespeichert werden.

Das ist in den Augen der Kritiker aber lediglich Kosmetik. Denn “die Vorratsdatenspeicherung ist das erste Überwachunggesetz, das sich gegen die ganze Bevölkerung richtet. Das ist der Dammbruch”, erklärt Patrick Breyer von der Piratenfraktion Schleswig-Holstein in einer von Digitalcourage e.V. herausgegebenen Stellungnahme. “Die Unterscheidung zwischen Inhalts- und Kommunikationsdaten stimmt nicht mehr. Wir wissen heute, nach dem aktuellen Stand der Forschung, dass Metadaten Rückschlüsse zulassen, die mindestens so tiefgreifend wie die Inhalte sind.”

Ein weiteres Zugeständnis des Gesetzgebers war, dass Sicherheitsbehörden lediglich im Zusammenhang mit schweren Straftaten und nach richterlicher Genehmigung auf die gespeicherten Daten zugreifen dürfen. Außerdem müssen die Betroffen bei einem Abruf ihrer Daten stets über den Zugriff durch die Sicherheitsbehörden informiert werden. Doch auch das halten die Kritiker für Augenwischerei. Ihnen geht es darum “ob wir in einem Staat leben, in dem ermittelt wird, oder in einem, in dem präventiv alle Bürgerinnen und Bürger überwacht werden“, wie ein Sprecher heute erklärte.

Klage der Provider läuft schon

Zwar können Provider bei besonders hohen Kosten für die Speicherung auf Entschädigungen durch den Staat hoffen, dennoch hat der des eco Verband der Internetwirtschaft e.V. das Vorhaben als “Mittelstandskiller” kritisiert. Der Anforderungskatalog ziehe für die betroffenen Unternehmen einen immensen Aufwand bei der Umsetzung nach sich. Insbesondere im Mittelstand seien die Auswirkungen “verheerend”. Einer der mittelständischen Provider, die Münchner Firma Space.net, hatte auch daher bereits im Mai eine Klage eingereicht, mit der unter anderem geklärt werden soll, ob die verlangte anlasslose Datenspeicherung mit EU-Recht vereinbar ist.

Außerdem verletzen nach Ansicht des Klägers die Vorschriften für die Vorratsdatenspeicherung sowohl die Berufsfreiheit als auch die unternehmerische Freiheit. Schließlich bürdeten sie Providern auch Kosten in dreistelliger Millionenhöhe auf, wobei viele dieser Kosten kleine Anbieter im Verhältnis stärker treffen als große, was ein “völlig unnötiger Eingriff in den Markt” sei.

BSI: Cyber-Angriffe auf Telekom – Umsetzung geeigneter Schutzmaßnahmen ist gefordert

28. November 2016/in Ereignisse/von Jürgen Schmidt

Am 27. und 28. November 2016 sind über 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen gewesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht in ständigem Austausch mit der Deutschen Telekom, um diesen Vorfall zu analysieren.

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

„In dem am 9. November vorgestellten Bericht zur Lage der IT-Sicherheit in Deutschland haben wir auf die Gefahren durch Hackerangriffe insbesondere für Kritische Infrastrukturen hingewiesen. In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken“, erklärte BSI-Präsident Arne Schönbohm.

Fragen und Antworten zum EU-US Privacy Shield

27. November 2016/in Ereignisse/von Jürgen Schmidt

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat einen Leitfaden erarbeitet und veröffentlicht, welcher einen Überblick über die Regelungen des EU-US Privacy Shield ermöglichen soll. Der Leitfaden richtet sich schwerpunktmäßig an verantwortliche Stellen.

Zur Umsetzung der Angemessenheitsentscheidung der EU-Kommission über das EU-US Privacy Shield sind Abstimmungen zwischen den Aufsichtsbehörden in Deutschland und der EU erforderlich – auch um gemeinsame Verständnisse in Auslegungsfragen zu erreichen. Nach Angaben der LDI NRW werden Informationen deshalb kontinuierlich aktualisiert, erweitert und gegebenenfalls angepasst.

Der Leitfaden setzt sich mit folgenden Fragen auseinander und versucht diese zu beantworten:
1. An welcher Stelle ist das EU-US Privacy Shield für verantwortliche Stellen relevant?
2. Darf das EU-US Privacy Shield ab sofort herangezogen werden, um ein angemessenes Datenschutzniveau für Datenübermittlungen in
die USA zu gewährleisten?
3. Welche Bedenken bestehen auf Seiten der europäischen Datenschutzbehörden und welche Auswirkungen haben sie?
4. Welche Prüfpflichten obliegen verantwortlichen Stellen?
5. Gibt es Übergangsregelungen?
6. Können alle US-Unternehmen an der Selbstzertifizierung teilnehmen?
7. Welche Inhalte haben die Grundsätze des EU-US Privacy Shield?
8. Gibt es Ausnahmen von den Grundsätzen des EU-US Privacy Shield?
9. Welche Betroffenenrechte ergeben sich aus dem EU-US Privacy Shield?
10. Sind besondere Vorgaben hinsichtlich Personaldaten zu beachten?
11. Welche staatlichen Stellen überwachen die Einhaltung des EU-US Privacy Shield?
12. Welche Rolle hat die Ombudsperson des EU-US Privacy Shield inne?
13. Welche Anforderungen sind zu beachten, wenn ein datenempfangendes US-Unternehmen als Auftrags(daten)verarbeiter tätig wird?

Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen