Ereignisse | BUSCON Business- & IT-Consulting

VZBV: Datenschutz-Niveau darf nicht abgesenkt werden

8. Dezember 2016/in Ereignisse/von Jürgen Schmidt

vzbv kritisiert Gesetzentwurf zur Anpassung des deutschen Rechts an die Datenschutz-Grundverordnung

Gesetzentwurf aus Verbrauchersicht größtenteils inakzeptabel.
Verbraucher dürfen in Deutschland nicht schlechter gestellt sein als in anderen EU-Mitgliedsstaaten.
vzbv fordert, das derzeitige Datenschutz-Niveau in Deutschland mindestens zu erhalten

Das Datenschutz-Niveau in Deutschland darf nicht durch die Anpassung des nationalen Rechts an die Datenschutz-Grundverordnung (DSGVO) abgesenkt werden. Das fordert der Verbraucherzentrale Bundesverband (vzbv) in seiner Stellungnahme zum Gesetzentwurf, den das Bundesministerium des Innern (BMI) im November vorgelegt hat.

„Mit dem vorliegenden Gesetzentwurf würden Verbraucher in Deutschland künftig datenschutzrechtlich deutlich schlechter gestellt als Verbraucher in anderen EU-Mitgliedsstaaten“, kritisiert Klaus Müller, Vorstand des vzbv.

Entwurf in Teilen europarechtswidrig

Der Entwurf bleibt nach Ansicht des vzbv nicht nur hinter den Datenschutzstandards der europäischen Datenschutz-Grundverordnung zurück, sondern auch hinter dem aktuellen Bundesdatenschutzgesetz. „Das Bundesinnenministerium handelt entgegen früherer Zusagen der Bundesregierung, den hohen deutschen Datenschutzstandard zu erhalten“, so Müller. „Sollten die Regelungen in ihrer derzeitigen Form beschlossen werden, würde dies zu einer massiven Verschlechterung von Verbraucherrechten führen. Das darf nicht sein.“

Die vom vzbv geforderten Regelungen zum Kreditscoring sind im Entwurf enthalten. Die Art und Weise, wie sie begründet werden, sei jedoch unzulässig. Denn der jetzige Wortlaut stelle ein Einfallstor für weitere, nicht wünschenswerte Regelungen dar. Unternehmen könnten so legitimiert werden, den Nutzungszweck von erhobenen Daten zu ändern – also diese beispielsweise an Dritte weiterzugeben oder anderweitig ohne Zustimmung der Betroffenen zu verwenden. „Dies ist nicht nur absolut inakzeptabel, sondern sogar europarechtswidrig“, betont Müller. Der vzbv fordert, dass Daten von Verbrauchern nur für festgelegte, eindeutige und legitime Zwecke erhoben und weiterverarbeitet werden dürfen. Verbraucher, die beispielsweise Fragen zu ihrem Kreditscoring haben oder damit nicht einverstanden sind, hätten im vorliegenden Entwurf weniger Rechte. Die Möglichkeiten der Information, Auskunft oder Löschung ihrer Scoringdaten würde künftig in unverhältnismäßiger Weise eingeschränkt werden.

Kabinettsbeschluss im Januar erwartet

Die Frist für Stellungnahmen ist am 7. Dezember 2016 abgelaufen. Der vorliegende Referentenentwurf ist nun Gegenstand weiterer Beratungen im Ressortkreis. Ein Kabinettsbeschluss ist für Januar 2017 geplant. Der vzbv wird den Prozess kritisch begleiten.

Alle Forderungen und Anmerkungen zum Gesetzentwurf finden Sie in der Stellungnahme des vzbv zum Download.

BSI: Zerschlagung der Botnetz-Infrastruktur Avalanche ermöglicht

2. Dezember 2016/0 Kommentare/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt nach einem Amtshilfeersuchen die Zentrale Kriminalinspektion der Polizeidirektion Lüneburg (ZKI) sowie die Staatsanwaltschaft Verden/Aller bei der Analyse und Zerschlagung der Botnetz-Infrastruktur Avalanche. Seitens des BSI hat das Nationale Cyber-Abwehrzentrum die koordinierende Funktion übernommen.

Das BSI als die nationale Cyber-Sicherheitsbehörde hat die technische Grundlage zur Identifizierung der Botnetz-Infrastruktur sowie zur Analyse der von den Cyber-Kriminellen verwendeten Schadsoftware bereitgestellt. Dadurch wurde die Abschaltung der missbrauchten Server und so die Zerschlagung des gesamten kriminellen Netzwerks ermöglicht. Gleichzeitig ermöglicht das BSI die Information der weltweit betroffenen Nutzer, deren Computer und Smartphones von den Tätern mit Schadsoftware infiziert und damit zum Teil der Botnetze gemacht wurden. Die Analysen haben unter anderem ergeben, dass rund 20 verschiedene Botnetze die Avalanche-Infrastruktur nutzen, zum Beispiel um Spam- und Phishing-E-Mails zu versenden, Ransomware zu verbreiten und die Nutzer von Online-Banking-Angeboten zu betrügen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: „“Botnetze sind eine der großen Bedrohungen für die Digitalisierung. Die erfolgreiche Aktion zeigt, dass der Staat handlungsfähig und das Internet kein rechtsfreier Raum ist. Es ist uns gemeinsam gelungen, eine internationale kriminelle Infrastruktur zu zerschlagen und die Bürgerinnen und Bürger vor vielen aktuellen Gefahren im Internet zu schützen.“

Information der Betroffenen

Im Rahmen der Zerschlagung setzt das BSI zusammen mit Shadowserver, einer Non-Profit-Organisation von IT-Sicherheitsspezialisten, Sinkhole-Server ein, die die von den Kriminellen genutzten und im Rahmen der Strafverfolgungsaktion abgeschalteten Steuerungsserver der Botnetze ersetzen. Mit Hilfe dieser Sinkhole-Server können betroffene Internetnutzer gewarnt werden. In den ersten Stunden der Aktion sind bereits rund 100.000 unterschiedliche IP-Adressen in den Sinkhole-Servern aufgelaufen. Anhand der IP-Adressbereiche, die verschiedenen Internetserviceprovidern zugeordnet sind, gibt das BSI die einzelnen IP-Adressen gezielt an diese Provider weiter. Nur die Provider können die IP-Adressen einem Netzwerkanschluss zuordnen und so ihre Kunden informieren.

BSI gibt Handlungsempfehlungen

Die Zerschlagung der Botnetz-Infrastruktur führt nicht zu einer automatischen Bereinigung der infizierten Nutzersysteme. Damit die Internetnutzer ihre Computer und Smartphones von der Infektion mit Schadsoftware bereinigen können, gibt das BSI unter www.bsi-fuer-buerger.de/botnetz umfangreiche Hilfestellung.

Pressemitteilung der Staatsanwaltschaft Verden

Pressemitteilung EUROPOL (Englisch)

Klage gegen Vorratsdatenspeicherung beim Bundesverfassungsgericht eingereicht

30. November 2016/in Ereignisse/von Jürgen Schmidt

Mit ihr soll die vor einem Jahr vom Bundestag beschlossene “Speicherpflicht für Verkehrsdaten” gekippt werden. Die Kläger unter Federführung des Vereins Digitalcourage e.V. halten sie trotz der Änderungen gegenüber der ersten Auflage des Gesetzes zur Vorratsdatenspeicherung für unzulässig. Für die Provider hat bereits im Mai die Firma Space.net gegen das Gesetz geklagt.

Wie schon vor Monaten angekündigt, wurde jetzt vom Verein Digitalcourage e.V. als Stellvertreter eines breiten Bündnisses aus Bürgerrechtlern, Datenschützern, Politikern und Prominenten eine Verfassungsbeschwerde gegen das vor gut einem Jahr vom Bundestag beschlossene, neue Gesetz zur Vorratsdatenspeicherung, eingelegt. Um der Klage (PDF) Nachdruck zu verleihen, wurde auch eine Liste mit Unterschriften von mehr als 32.000 Unterstützern eingereicht. Mit der Klage wird angestrebt, die umstrittene Neuauflage des Gesetzes ebenso für verfassungswidrig erklären zu lassen, wie seinen Vorgänger.

Die mit dem Gesetz erlaubte, systematische Speicherung von Telefon- und Internetdaten ohne konkreten Anlass, halten Kritiker auch in ihrer überarbeiteten Form nach wie vor für einen Angriff auf Grundrechte. Mit dem Gesetz wird die Speicherung von Telekommunikationsdaten für zehn Wochen und von Standortdaten bei Gesprächen im Mobilfunknetz für vier Wochen geregelt. Daten zum E-Mail-Verkehr sind von den Regelungen ausgenommen.

Die erste Regelung zur Vorratsdatenspeicherung wurde nach drei Jahren im Jahr 2010 vom Bundesverfassungsgericht für unzulässig erklärt. Den bei der Neufassung vom Gesetzgeber sehr wohl zugegebenen Eingriff in die Grundrechte wollte das Bundesjustizministerium durch eine reduzierte Speicherdauer sowie höhere Zugriffshürden für die Daten gering halten.

So legte das Ministerium Wert darauf, dass mit den gespeicherten Daten keine Persönlichkeits- und Bewegungsprofile erstellt werden dürfen. Auch erklärte es, dass sogenannte Berufsgeheimnisträger, Notrufe sowie Beratungsstellen besonderen Schutz erfahren und E-Mails sollen nicht gespeichert werden sollen. Außerdem sollen “nur Verbindungsdaten”, nicht aber Inhalte von Gesprächen gespeichert werden.

Das ist in den Augen der Kritiker aber lediglich Kosmetik. Denn “die Vorratsdatenspeicherung ist das erste Überwachunggesetz, das sich gegen die ganze Bevölkerung richtet. Das ist der Dammbruch”, erklärt Patrick Breyer von der Piratenfraktion Schleswig-Holstein in einer von Digitalcourage e.V. herausgegebenen Stellungnahme. “Die Unterscheidung zwischen Inhalts- und Kommunikationsdaten stimmt nicht mehr. Wir wissen heute, nach dem aktuellen Stand der Forschung, dass Metadaten Rückschlüsse zulassen, die mindestens so tiefgreifend wie die Inhalte sind.”

Ein weiteres Zugeständnis des Gesetzgebers war, dass Sicherheitsbehörden lediglich im Zusammenhang mit schweren Straftaten und nach richterlicher Genehmigung auf die gespeicherten Daten zugreifen dürfen. Außerdem müssen die Betroffen bei einem Abruf ihrer Daten stets über den Zugriff durch die Sicherheitsbehörden informiert werden. Doch auch das halten die Kritiker für Augenwischerei. Ihnen geht es darum “ob wir in einem Staat leben, in dem ermittelt wird, oder in einem, in dem präventiv alle Bürgerinnen und Bürger überwacht werden“, wie ein Sprecher heute erklärte.

Klage der Provider läuft schon

Zwar können Provider bei besonders hohen Kosten für die Speicherung auf Entschädigungen durch den Staat hoffen, dennoch hat der des eco Verband der Internetwirtschaft e.V. das Vorhaben als “Mittelstandskiller” kritisiert. Der Anforderungskatalog ziehe für die betroffenen Unternehmen einen immensen Aufwand bei der Umsetzung nach sich. Insbesondere im Mittelstand seien die Auswirkungen “verheerend”. Einer der mittelständischen Provider, die Münchner Firma Space.net, hatte auch daher bereits im Mai eine Klage eingereicht, mit der unter anderem geklärt werden soll, ob die verlangte anlasslose Datenspeicherung mit EU-Recht vereinbar ist.

Außerdem verletzen nach Ansicht des Klägers die Vorschriften für die Vorratsdatenspeicherung sowohl die Berufsfreiheit als auch die unternehmerische Freiheit. Schließlich bürdeten sie Providern auch Kosten in dreistelliger Millionenhöhe auf, wobei viele dieser Kosten kleine Anbieter im Verhältnis stärker treffen als große, was ein “völlig unnötiger Eingriff in den Markt” sei.

BSI: Cyber-Angriffe auf Telekom – Umsetzung geeigneter Schutzmaßnahmen ist gefordert

28. November 2016/in Ereignisse/von Jürgen Schmidt

Am 27. und 28. November 2016 sind über 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen gewesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht in ständigem Austausch mit der Deutschen Telekom, um diesen Vorfall zu analysieren.

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

„In dem am 9. November vorgestellten Bericht zur Lage der IT-Sicherheit in Deutschland haben wir auf die Gefahren durch Hackerangriffe insbesondere für Kritische Infrastrukturen hingewiesen. In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken“, erklärte BSI-Präsident Arne Schönbohm.

Fragen und Antworten zum EU-US Privacy Shield

27. November 2016/in Ereignisse/von Jürgen Schmidt

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat einen Leitfaden erarbeitet und veröffentlicht, welcher einen Überblick über die Regelungen des EU-US Privacy Shield ermöglichen soll. Der Leitfaden richtet sich schwerpunktmäßig an verantwortliche Stellen.

Zur Umsetzung der Angemessenheitsentscheidung der EU-Kommission über das EU-US Privacy Shield sind Abstimmungen zwischen den Aufsichtsbehörden in Deutschland und der EU erforderlich – auch um gemeinsame Verständnisse in Auslegungsfragen zu erreichen. Nach Angaben der LDI NRW werden Informationen deshalb kontinuierlich aktualisiert, erweitert und gegebenenfalls angepasst.

Der Leitfaden setzt sich mit folgenden Fragen auseinander und versucht diese zu beantworten:
1. An welcher Stelle ist das EU-US Privacy Shield für verantwortliche Stellen relevant?
2. Darf das EU-US Privacy Shield ab sofort herangezogen werden, um ein angemessenes Datenschutzniveau für Datenübermittlungen in
die USA zu gewährleisten?
3. Welche Bedenken bestehen auf Seiten der europäischen Datenschutzbehörden und welche Auswirkungen haben sie?
4. Welche Prüfpflichten obliegen verantwortlichen Stellen?
5. Gibt es Übergangsregelungen?
6. Können alle US-Unternehmen an der Selbstzertifizierung teilnehmen?
7. Welche Inhalte haben die Grundsätze des EU-US Privacy Shield?
8. Gibt es Ausnahmen von den Grundsätzen des EU-US Privacy Shield?
9. Welche Betroffenenrechte ergeben sich aus dem EU-US Privacy Shield?
10. Sind besondere Vorgaben hinsichtlich Personaldaten zu beachten?
11. Welche staatlichen Stellen überwachen die Einhaltung des EU-US Privacy Shield?
12. Welche Rolle hat die Ombudsperson des EU-US Privacy Shield inne?
13. Welche Anforderungen sind zu beachten, wenn ein datenempfangendes US-Unternehmen als Auftrags(daten)verarbeiter tätig wird?

Quelle: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

GDD: Datenschutzorganisation entbürokratisieren

24. November 2016/in Ereignisse/von Jürgen Schmidt

Das Bundesministerium des Inneren hat am 23.11.2016 den Verbänden einen Gesetzentwurf zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DS-GVO) vorgelegt.

Datenschutz-Grundverordnung praxisgerecht ergänzen

Das Bundesministerium des Inneren hat am 23.11.2016 den Verbänden einen Gesetzentwurf zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DS-GVO) vorgelegt. Kernregelung ist die Neufassung des Bundesdatenschutzgesetzes.

Das BDSG-neu sieht zum einen die Übernahme der für die Wirtschaft relevanten Zulässigkeitsregelungen zum Beschäftigtendatenschutz (§ 32 BDSG), zur Datenübermittlung an Auskunfteien (§ 28a BDSG) und zum Scoring (§ 29 BDSG) vor. Auch für die Weiterverarbeitung von Daten werden auf Grundlage der Öffnungsklausel in Art. 6 Abs. 4 DS-GVO weitere Rechtsgrundlagen geschaffen.

Bestellpflicht für Datenschutzbeauftragte bleibt erhalten

Aus Sicht der GDD ist begrüßenswert, dass die Bestellvoraussetzungen für einen betrieblichen Datenschutzbeauftragten unverändert übernommen werden. Mit Blick auf seine unabhängige Aufgabenwahrnehmung wurde auch der besondere Kündigungsschutz übernommen.

Ebenso wurde auch die Schweigepflicht, die zugleich auch ein Schweigerecht ist, adaptiert.

Praxisgerechte Konkretisierungen der Transparenzpflichten

Von großer Bedeutung für die Datenschutzpraxis sind die Konkretisierungen der Transparenzpflichten der DS-GVO mit Blick auf die Praktikabilität des Datenschutzes. Nach Art. 13 DS-GVO hat der Verantwortliche bereits bei der Datenerhebung beim Betroffenen umfangreiche, detaillierte Informationspflichten. Insbesondere bei der Videoüberwachung sind diese schwer umsetzbar. Unter Berufung auf die Öffnungsklausel des Art. 23 DS-GVO sieht § 30 Abs. 3 Satz 2 BDSG-neu-E vor, dass bei der Videoüberwachung öffentlich zugänglicher Räume der Umstand der Beobachtung über Name und Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen sind. Diese Vorgabe entspricht § 6b BDSG. Alle anderen Lösungen als der Standard durch ein Piktogramm wären nicht praktikabel und für diese spezifische Verarbeitungssituation nicht im Betroffeneninteresse. Auch das Korrektiv des § 30 Abs. 1 Nr. 3 BGSG-neu-E, wonach eine Informationspflicht bei der Weiterverarbeitung nicht besteht, wenn diese voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde, ist praxisgerecht, da anderweitig investigative Maßnahmen bei Verdacht von kriminellen Handlungen dem Betroffenen angekündigt werden müssten.

Sperrpflichten des BDSG werden übernommen

Das Recht auf Löschung soll in § 33 BDSG-neu-E auf die Sperrvorschriften des § 35 Abs. 3 BDSG zurückgeführt werden. Insofern wird aus der Einschränkung der Verarbeitung in Art. 18 DS-GVO, die nur als Betroffenenrecht ausgestaltet ist, eine ergänzende Pflicht des Verantwortlichen. Praxisrelevanz hat dieser Rückgriff auf das BDSG z.B. bei der Datensicherung. Sämtliche, z.T. umfangreiche Tages-, Wochen- und Monatssicherungen müssten für ein zu löschendes Datum mit großem administrativen Aufwand der IT korrigiert werden. Das wäre unverhältnismäßig. Konsequent ist auch die Beibehaltung der Sperrpflicht nicht nur bei gesetzlichen (geregelt Art. 17 Abs. 3 lit. b DS-GVO), sondern auch bei vertraglichen oder satzungsmäßigen Aufbewahrungspflichten. Dadurch werden Pflichtenkollisionen, auf die die Gesetzesbegründung zutreffend verweist, vermieden.

Auskunftspflichten an das BDSG angepasst

Die Beschränkungen des Auskunftsrechts nach Art. 15 DS-GVO hinsichtlich der Daten, für die eine Aufbewahrungspflicht besteht und entsprechend bei der Verarbeitung einzuschränken sind, haben ebenso die bestehende Rechtslage im Blick. Unverhältnismäßig wäre es, wenn Protokolldateien, die ausschließlich aus Gründen der Datensicherung und der Datenschutzkontrolle anfallen, beauskunftet werden müssten. Auch für widerstreitende Geschäftsgeheimnisse sieht die DS-GVO keine Beschränkung vor, sodass der nationale Gesetzgeber hier korrigierend eingreifen muss. Den Interessen der Betroffenen soll im Gegenzug dadurch Rechnung getragen werden, dass die Gründe der Auskunftsverweigerung zu dokumentieren und der Betroffene grundsätzlich darüber zu informieren ist.

Die geplanten Regelungen begrenzen zunächst den Aufwand für Unternehmen in Deutschland. Für europaweit tätige Konzerne, kann die Datenschutzorganisation hinsichtlich der Organisation der Betroffenenrechte zunächst nicht vereinheitlicht werden. Es bleibt deshalb zu hoffen, dass die anderen Mitgliedstaaten die deutschen Vorschläge wohlwollend prüfen und ggf. übernehmen. Der Zeitdruck für ein gesetzgeberisches Handeln ist jedenfalls vielfach dort nicht so groß, wie in Deutschland bedingt durch die Bundestagswahl im nächsten Jahr.

Den aktuellen Entwurf (vom 23.11.2016) des Datenschutz-Anpassungs- und -Umsetzungsgesetz finden Sie hier.

BSI: Leitfaden zu Informationssicherheits-Webchecks veröffentlicht

14. November 2016/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Praxis-Leitfaden zum Thema „Informationssicherheits-Webchecks“ veröffentlicht. Der Leitfaden richtet sich vornehmlich an IT-Sicherheitsbeauftragte und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen und beschreibt eine strukturierte, praxisorientierte Vorgehensweise bei IT-Penetrationstests auf Webanwendungen. Der Leitfaden unterstützt Penetrationstester dabei, Webchecks möglichst effizient und effektiv durchzuführen. Darüber hinaus können IT-Verantwortliche in Unternehmen und Behörden den Leitfaden als Hilfestellung nutzen, um konkrete Anforderungen an einen externen Dienstleister zu formulieren und so einen für ihre Zwecke geeigneten Penetrationstester zu finden.

Angriffe auf IT-Systeme finden täglich statt und treffen auch vermeintlich weniger attraktive Ziele. Webchecks sind ein geeignetes Mittel, um die aktuelle Sicherheit einer Webanwendung festzustellen. Informationssicherheits-Webchecks dienen dazu, die Erfolgsaussichten eines vorsätzlichen Cyber-Angriffs auf die eigenen Systeme einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten.

Der Praxis-Leitfaden für Informationssicherheits-

BSI: Handbuch zum Wirtschaftsgrundschutz veröffentlicht

11. November 2016/in Ereignisse/von Jürgen Schmidt

Der ASW Bundesverband, das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben erste Teile des Wirtschaftsgrundschutz-Handbuches veröffentlicht.

Der Wirtschaftsgrundschutz bietet Sicherheitsverantwortlichen in Firmen Handlungsempfehlungen und Orientierung für eine effektive Unternehmenssicherheit. Mit seiner modularen Struktur greift das neue Handbuch das Format des bewährten IT-Grundschutz auf und ergänzt die dortigen Maßnahmen der Informationssicherheit um Aspekte des Wirtschaftsschutzes. Die Kombination von IT-Grundschutz und Wirtschaftsgrundschutz bietet dabei umfangreiche Hilfestellung bei der Entwicklung eines funktionierenden Sicherheitskonzeptes.

In einem ersten Schritt werden Sicherheitsstandards für den Aufbau und Betrieb eines Sicherheitsmanagementsystems sowie eines Notfall- und Krisenmanagements vorgestellt. Darüber hinaus werden Bausteine mit konkreten Maßnahmen zu den Bereichen Reisesicherheit und Sicherheitsschulungen präsentiert. Dabei werden Empfehlungen für Basismaßnahmen, Standardmaßnahmen und erweiterte Maßnahmen gegeben, je nach Relevanz für das Unternehmen.

„Wir schaffen damit ein Werk, an dem sich Unternehmen – insbesondere Mittelständler – orientieren können, welche Maßnahmen sie ergreifen sollten, um sich angemessen zu schützen“, so der Vorsitzende des ASW Bundesverbandes Volker Wagner.

In den nächsten Monaten werden weitere Bausteine veröffentlicht,- beispielsweise zur Lauschabwehr, zum Management von Wirtschaftskriminalität, zu Produkt- und Knowhow-Schutz sowie zur Steuerung von Sicherheitsdienstleistungen.

BfV-Präsident Dr. Hans Georg Maaßen erklärt hierzu:

„Eine digitalisierte Welt birgt zahlreiche Risiken durch Spionage, Sabotage, Terrorismus und Extremismus. Zu den Aufgaben des BfV gehört es, auf die Risiken hinzuweisen und Schutzmöglichkeiten aufzuzeigen. Erstmalig haben wir praxisgerechte Handlungsempfehlungen gebündelt. Wir laden die Unternehmen dazu ein, dieses Instrument zu nutzen und ihre Sicherheitsmaßnahmen zu überprüfen und zu optimieren.“

„Wir haben unsere Erfahrungen mit der Informationssicherheit und insbesondere mit dem IT-Grundschutz des BSI in den Maßnahmenkatalog eingebracht. Die bewährte Vorgehensweise des IT-Grundschutz mit ihrem breiten fachlichen Fundament konnte so um Aspekte des Wirtschaftsschutzes ergänzt werden“, erklärt BSI-Präsident Arne Schönbohm.

Das Handbuch ist auch eine Antwort auf die komplexe Bedrohungslage und Ergebnis von Analysen, die zeigen, dass durch Basismaßnahmen bereits ein Großteil der Angriffe abgewehrt werden kann. Herausgegeben wird der Wirtschaftsgrundschutz vom ASW Bundesverband, BfV und BSI. Es ist das Ergebnis eines Forschungsprojekts, an dem der ASW Bundesverband und die HiSolutions AG über zwei Jahre gearbeitet haben. Mitgewirkt haben Experten aus zahlreichen Unternehmen und Forschungseinrichtungen sowie Vertreter der Sicherheitsbehörden. Gefördert wurde das Projekt durch das Land Berlin und aus Mitteln des Europäischen Fonds für Regionale Entwicklung (EFRE).

Das Handbuch zum Wirtschaftsgrundschutz wird auf www.wirtschaftsschutz.info, der Webseite der „Initiative Wirtschaftsschutz“, dem Verbund von Staat und Wirtschaft für mehr Sicherheit in den Unternehmen, veröffentlicht.

BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland 2016

9. November 2016/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Bericht zur Lage der IT-Sicherheit in Deutschland 2016 veröffentlicht. Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Arne Schönbohm stellten den Bericht in Berlin der Öffentlichkeit vor. Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden. Daraus abgeleitet zeigt der Lagebericht Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland auf.

Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. So werden täglich rund 380.000 neue Schadprogrammvarianten entdeckt, die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang ist explosionsartig um 1.270 Prozent angestiegen. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger. Die Ransomware-Angriffe im Frühjahr 2016 haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.

Mobile Einsatzteams zur Abwehr von Cyber-Angriffen

Aus diesem Grund wird das BSI seine Unterstützungsangebote für Staat, Wirtschaft und Gesellschaft weiter ausbauen. Zur Verbesserung der Reaktionsfähigkeit des BSI bei besonderen IT-Sicherheitslagen werden beispielsweise Mobile Incident Response Teams (MIRT) eingerichtet, die betroffene Stellen vor Ort bei der Abwehr von Cyber-Angriffen unterstützen können. Zudem bringt sich das BSI verstärkt in den großen Digitalisierungsprojekten in Deutschland ein. Das BSI leistet seinen Beitrag zum Gelingen der Energiewende durch die Erarbeitung von Sicherheitskriterien für die Infrastruktur der intelligenten Stromzähler. Das BSI unterstützt bei der Erarbeitung der Sicherheitsaspekte einer Verkehrsinfrastruktur, die Grundlage für autonome oder hochautomatisierte Fahrzeuge ist. Darüber hinaus hat das BSI die wesentlichen Sicherheitsanker der elektronischen Gesundheitskarte und der dazu notwendigen Systeme mitgestaltet und zertiziert.

Cyber-Sicherheit ist Voraussetzung für erfolgreiche Digitalisierung

Hierzu erklärt Arne Schönbohm, Präsident des BSI: „“Die durch die Digitalisierung angestoßenen Entwicklungen sind durchgreifend und werden Deutschland verändern. Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Wir arbeiten mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen.““

So hat sich die 2012 vom BSI gegründete Allianz für Cyber-Sicherheit mit mehr als 2.000 Teilnehmern und über 100 Partnern zur größten nationalen Kooperationsplattform entwickelt, die IT-Anwendern in der Wirtschaft umfangreiche Informationen und Empfehlungen zur Prävention, Detektion und Reaktion auf Cyber-Angriffe zur Verfügung stellt und so in einem kooperativen Ansatz zur Verbesserung der Cyber-Sicherheit in Deutschland beiträgt.
Mehr Informationen sind im „Bericht zur Lage der IT-Sicherheit in Deutschland 2016“ verfügbar, der auf der Webseite des BSI zum Download zur Verfügung steht.

BayLDA prüft grenzüberschreitende Datenübermittlungen

1. November 2016/in Ereignisse/von Jürgen Schmidt

In einer koordinierten schriftlichen Prüfungsaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Die Prüfung soll dabei auch der Sensibilisierung von Unternehmen für gerade die Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Nicht-EU-Länder übermittelt werden – wie es bspw. bei Cloud Computing häufig der Fall ist.

In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud Computing. Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen jedoch von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln, so muss es zuerst prüfen, ob überhaupt sicher gestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt. Finden solche Übermittlungen statt, so muss sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

Vor diesem Hintergrund werden zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind. Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing – Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Thomas Kranig
Präsident

Link PR-Mitteilung