Gefährdung der Cyber-Sicherheit in Deutschland
Das BSI gibt regelmäßig Hinweise im Rahmen eines Jahresberichts zur Lage der IT-Sicherheit in Deutschland.
Die Meldungen über erfolgreiche Attacken in Unternehmen jeder Größe, Behörden, Universitäten und weiteren Institutionen, die personenbezogene Daten verarbeiten, häufen sich in jüngster Zeit.
Die Gründe und Ursachen sind vielfältig. Die Gefahr, Opfer eines solchen Angriffs zu werden, lässt sich nicht zu 100 % ausschließen. Dennoch gibt es verschiedene Muster, die das BSI in seinem Bericht 2022 identifiziert.
Wenn Sie ein paar Mindestvorkehrungen im unternehmerischen Umfeld treffen und gerade Ihre Mitarbeiter und Dienstleister regelmäßig sensibilisieren, können Sie es den Angreifern auf Ihre Systeme zumindest erschweren. Der investierte Aufwand an Zeit und Geld zahlt sich später aus.
Die wichtigste Voraussetzung für die Wiederherstellung der Betriebsfähigkeit nach einem Ransomware-Angriff ist eine klare Backup-Strategie. Diese umfasst die Verfügbarkeit funktionierender und aktueller Backups. Die Funktionsfähigkeit dieser Backups muss regelmäßig geprüft werden. Es ist inzwischen bei Schadprogramm-Infektionen üblich, dass Angreifende mit zuvor erlangten Administrationsrechten gezielt nach allen Backups suchen und diese, ebenso wie Produktivsysteme, verschlüsseln. Daher sollte zumindest je eine Kopie offline gesichert werden. Diese Kopien werden nach dem Backup von den anderen Systemen der Einrichtung getrennt und sind daher vor Remote-Angriffen geschützt.
Um der zunehmenden Ausleitung von Daten und der Drohung einer Veröffentlichung wirksam begegnen zu können, ist ein systematisches, regelgeleitetes Monitoring des Datentransfers erforderlich. So lässt sich etwa der Abfluss ungewöhnlich hoher Datenmengen erkennen und unterbinden.
Updates der Betriebssysteme sowie der Server- und Anwendungssoftware sollten regelmäßig und zeitnah durchgeführt werden. Zur Minimierung der Angriffsfläche sollte außerdem die Anzahl der von außen zugänglichen Systeme geringgehalten werden.
Zudem sollte die Nutzung durch Unbefugte erschwert werden. Als Beispiele hierfür kommen Mehrfaktor-Authentisierung, Einsatz eines Virtuellen Privaten Netzes (VPN) sowie strenge Passwortvorgaben in Betracht.
Für alle Institutionen sollten die umfassende und kontinuierliche Schulung aller Mitarbeiterinnen und Mitarbeiter zum Thema Informationssicherheit (Erhöhung der Aufmerksamkeit) selbstverständlich sein. Zudem sollte eine Beschränkung des administrativen Zugangs zu den Systemen auf möglichst wenige Personen gelten.
Wenn ein Angriff dennoch erfolgreich gewesen ist, müssen Reaktionsszenarien schriftlich dokumentiert werden, die alle beschriebenen Aspekte eines Angriffs, zum Beispiel Schäden an Produktionsanlagen, den Einsatz von Personal und Sicherheitsfirmen, alternative Geschäftsprozesse oder den Reputationsverlust, als Teil des Notfallmanagements mit einbeziehen.
Das BSI rät grundsätzlich davon ab, einer Lösegeldforderung nachzukommen, zumal in der Regel keine Garantie besteht, dass die Angreifer den Schlüssel tatsächlich herausgeben.
Praxistipp:
- Stellen Sie sich jederzeit auf mögliche Attacken Ihrer IT-Infrastruktur ein!
- Sprechen Sie mit Ihren Auftragsverarbeitern zu der aktuellen Bedrohungslage in Bezug auf Ihre Systeme!
- Sensibilisieren Sie Ihre Mitarbeiter in Bezug auf die Bedrohungslage und treffen Sie entsprechende Vorsichtsmaßnahmen.
- Stellen Sie sicher, dass alle erforderlichen Sicherheitsupdates Ihrer IT-Systeme schnellstmöglich durchgeführt werden.
- Sollten Sie dennoch von einer meldepflichtigen Datenpanne betroffen sein, sprechen Sie uns gerne an!
SAVE THE DATE!
28.2.2023, 16:30 Uhr: ERFA-Runde zu Datenschutz und IT-Sicherheit!
Bundestag verabschiedet Hinweisgeberschutzgesetz – Zustimmung des Bundesrates im Februar?!
Das „Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, haben die Abgeordneten des Deutschen Bundestages am Freitag, 16. Dezember 2022 beschlossen.
In der ersten Plenarsitzung des Bundesrates am 10.2.2023 wird unter TOP 2 die Zustimmung zum neuen Hinweisgeberschutzgesetz erwartet. Das Gesetz wird die EU-Whistleblower-Richtlinie mit einiger Verspätung umsetzen. Das Gesetz könnte noch im Mai 2023 in Kraft treten.
Gesetzentwurf der Bundesregierung
Die Bundesregierung will Hinweisgeber (Whistleblower) im beruflichen Umfeld künftig umfassender schützen. Für die Meldung von Verstößen im Unternehmen oder in einer Behörde sollen sowohl interne als auch externe Meldestellen eingerichtet werden. Zudem sollen Whistleblower vor beruflichen Repressalien geschützt werden. Mit dem Entwurf solle der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen ausgebaut werden, führt die Bundesregierung zur Begründung an.
Änderungen im Rechtsausschuss
Wer verfassungsfeindliche Äußerungen von Beamtinnen und Beamten meldet, soll künftig unter den Hinweisgeberschutz fallen und somit vor Repressalien geschützt sein. Das soll auch für Äußerungen unterhalb der Strafbarkeitsschwelle gelten.
Eine weitere wesentliche Änderung bezieht sich auf den Umgang mit anonymen Meldungen. Nun ist vorgesehen, dass sich die Meldestellen damit beschäftigen müssen. Eine weitere Änderung an dem Gesetzentwurf sieht vor, dass auch der Digital Markets Act der EU zum sachlichen Anwendungsbereich des Gesetzes gehören soll. Damit wird eine entsprechende EU-Vorgabe umgesetzt. Weitere Anpassungen beziehen sich etwa auf Anreize zur Nutzung interner Meldestellen, Konzernmeldewege, die Regelung zur Einrichtung von Meldestellen kommunaler Unternehmen, Löschfristen sowie Ausnahmen im Bereich von Nachrichtendiensten. Zudem sollen Hinweisgebende, die Repressalien erleiden, auch dann eine Entschädigung in Geld verlangen können, wenn es sich nicht um einen Vermögensschaden handelt.
Hinweisgeberschutzgesetz
Kernstück des Entwurfes ist ein neu zu schaffendes „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz, HinSchG). Dieses Gesetz soll dem Entwurf zufolge die wesentlichen Anforderungen und Verfahren an den Hinweisgeberschutz beinhalten. Danach müssen grundsätzlich alle Unternehmen mit mindestens 50 Mitarbeitern eine interne Meldestelle einrichten.
Interne und externe Meldestellen
Die hinweisgebende Person soll laut Entwurf wählen können, ob sie sich an eine interne oder externe Meldestelle wendet. Die Identität der hinweisgebenden Person ist in beiden Fällen grundsätzlich vertraulich zu behandeln. Meldungen sollen laut Entwurf auch anonym möglich sein.
Schutzregelungen sollen in bestimmten Fällen auch greifen, wenn die hinweisgebende Person die Informationen offenlegt.
Interne Untersuchungen
Der sachliche Anwendungsbereich umfasst zahlreiche Rechtsbereiche, dazu zählen Verstöße gegen diverse EU-rechtliche Regelungen, nationales Strafrecht und bestimmte ordnungsrechtliche Regelungen, die bußgeldbewehrt sind und dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen. Der Entwurf sieht Ausnahmen für bestimmte Meldungen vor.
Nach einer Meldung soll die Meldestelle laut Entwurf Folgemaßnahmen ergreifen müssen. Dazu gehören unter anderem interne Untersuchungen oder die Einstellung des Verfahrens aus „Mangel an Beweisen“. Verfahren können zwecks weiterer Untersuchungen auch an eine zuständige Arbeitseinheit oder eine zuständige Behörde abgegeben werden.
Schutz vor Repressalien
Für hinweisgebende Personen und bestimmte andere Personen gilt nach einer Meldung ein Schutz vor Repressalien beziehungsweise vor einer Drohung damit. Nach einer Meldung erfolgte „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“ sollen laut Entwurfstext vermutet werden, dass es sich um eine Repressalie handelt.
Bei einem Verstoß gegen das Verbot von Repressalien soll dem Entwurf zufolge eine Schadenersatzpflicht durch den Verursacher bestehen. Als Ordnungswidrigkeiten sollen zudem beispielsweise geahndet werden, wenn eine interne Meldestelle nicht eingerichtet oder wenn die Kommunikation zwischen hinweisgebender Person und Meldestelle behindert wird. Hinweisgebende Personen sollen im Gegenzug für den Schaden aufkommen, „der aus einer vorsätzlichen oder grob fahrlässigen Meldung oder Offenlegung unrichtiger Informationen entstanden ist“. Zudem soll das Offenlegen unrichtiger Informationen eine Ordnungswidrigkeit darstellen.
Entschließung angenommen
Mit den Stimmen der Koalitionsfraktionen und der Linksfraktion nahm der Bundestag darüber hinaus eine Entschließung an. Darin fordert das Parlament die Bundesregierung unter anderem dazu auf, zu prüfen, ob hinreichend gewährleistet ist, dass hinweisgebende Personen bei der Meldung von Verstößen gegen das AGG sowie von sonstigem erheblichen Fehlverhalten, dessen Aufdeckung im besonderen öffentlichen Interesse liegt, hinreichend geschützt sind und nötigenfalls entsprechende Erweiterungen des sachlichen Anwendungsbereichs auf den Weg zu bringen. (Quelle: Deutscher Bundestag,irs/scr/15.12.2022)
Praxishinweis:
Auch im Bereich HinSchG und bei der Umsetzung eines internen Meldekanals in Ihrem Unternehmen unterstützt Sie unser AGAD-Team gern. Unser günstiges Startangebot finden Sie hier:
Sprechen Sie uns einfach an. Wir helfen sofort!
Entscheidung des EDSA zum Einsatz von Cookie-Bannern und Cloud-Diensten
Der Europäische Datenschutzausschuss (EDSA) hat in seiner Sitzung am 17.01.2023 mit der Task Force Cookie-Banner sowie mit seiner koordinierten Maßnahme zu Cloud-Diensten konkrete Ergebnisse verabschiedet.
Der BfDI hat die Fortschritte zu einer einheitlicheren Aufsicht in diesen Bereichen begrüßt. Betreiber von Webseiten, die unbedingt personenbezogene Daten sammeln wollen, sollen sich eine Einwilligung nur mit fairen oder rechtmäßigen Mitteln einholen. Nach den Richtlinien zu trügerischen Designmustern habe er sich im EDSA darauf geeinigt, wie dieses Thema in der Aufsicht möglichst einheitlich umgesetzt werden kann. Die Ergebnisse der Task Force Cookie-Banner entsprächen nun zum größten Teil dem, was in Deutschland bereits in der Orientierungshilfe Telemedien festgehalten wurde.
Außerdem haben die EDSA-Mitglieder die Nutzung von Cloud-Diensten bei öffentlichen Einrichtungen untersucht. Der BfDI sieht sich durch die Ergebnisse der Untersuchung bestärkt, denn er betone immer wieder, dass gerade mit Blick auf die Schwierigkeiten internationaler Datentransfers bei Cloud-Projekten der Datenschutz von Anfang an mitgedacht werden muss. Der EDSA sorgt dafür, dass wir auch hier eine europaweit einheitliche Linie haben.
(Quelle: BfDI, PM 2/2023 v. 18.1.2023).
Praxishinweise:
Für Fragen zum korrekten Einsatz von Cookie-Bannern stehen wir Ihnen gerne zur Verfügung.
Soweit Sie bereits Cloud-Dienste einsetzen oder die Nutzung solcher Dienste planen, ist immer an den Datenschutz zu denken!
Bundeskartellamt mahnt Googles Konditionen zur Datenverarbeitung ab
Das Bundeskartellamt hat am 23.12.2022 der Alphabet Inc., Mountain View, USA, der Google Ireland Ltd., Dublin, Irland, und der Google Germany GmbH, Hamburg, seine vorläufige rechtliche Einschätzung in dem Verfahren wegen Googles Konditionen zur Datenverarbeitung übersandt. Nach dem jetzigen Verfahrensstand geht das Bundeskartellamt davon aus, dass die neuen Vorschriften für Digitalkonzerne (§ 19a GWB) einschlägig sind. Google muss deshalb seine Datenverarbeitungskonditionen und die darauf gestützte Praxis anpassen.
Auf Basis seiner aktuellen Konditionen kann Google eine Vielzahl von Daten aus verschiedensten Diensten kombinieren.
Die Konditionen sehen vor, dass Google Daten, z.B. mithilfe seiner zahlreichen eigenen, teils sehr reichweitenstarken Dienste, wie der Google Suche, YouTube, Google Play, Google Maps und dem Google Assistant, aber auch mithilfe von zahlreichen Webseiten und Apps Dritter, für verschiedenste Zwecke erheben und dienstübergreifend verarbeiten kann. Dies betrifft auch Daten aus sog. Hintergrunddiensten von Google, wie den Play Services, die teilweise regelmäßig Daten von Android-Geräten erheben.
Die bislang angebotenen Wahlmöglichkeiten sind insbesondere zu intransparent und pauschal, soweit Google überhaupt Wahlmöglichkeiten anbietet. Ausreichende Wahlmöglichkeiten setzen insbesondere voraus, dass Nutzerinnen und Nutzer die Datenverarbeitung auf den jeweils genutzten Dienst beschränken können.
Darüber hinaus müssen sie auch nach den Zwecken der Datenverarbeitung differenzieren können. Die angebotenen Wahlmöglichkeiten dürfen zudem nicht so ausgestaltet sein, dass sie es Nutzerinnen und Nutzern leichter machen, die Zustimmung zu einer dienstübergreifenden Datenverarbeitung zu erteilen als sie nicht zu erteilen. Nicht zulässig ist zudem eine anlasslos und präventiv erfolgende flächendeckende dienstübergreifende Vorratsdatenverarbeitung. Dies gilt auch für Sicherheitszwecke, wenn die Datenverarbeitung ohne jede Wahlmöglichkeit für Nutzerinnen und Nutzer erfolgt.
Das Bundeskartellamt stützt sich bei seinem Verfahren auf das deutsche Wettbewerbsrecht. Für bestimmte Dienste von Google dürfte zukünftig auch der europäische Digital Markets Act (DMA) anzuwenden sein. Dessen Durchsetzung fällt in die ausschließliche Zuständigkeit der EU-Kommission . Der DMA beinhaltet ebenfalls eine Vorschrift, welche eine dienstübergreifende Datenverarbeitung adressiert, allerdings nur sofern von der EU-Kommission noch zu benennende sog. zentrale Plattformdienste involviert sind. Das vorliegende Verfahren auf Basis des nationalen § 19a GWB reicht teilweise über die zukünftigen Anforderungen des DMA hinaus.
Das Bundeskartellamt führt gegen Google ein Verwaltungsverfahren. Die ausführlich begründete Abmahnung bildet zunächst einen Zwischenschritt. Das Unternehmen erhält die Möglichkeit zur vorläufigen Einschätzung des Amtes im Einzelnen Stellung zu nehmen und weitere Rechtfertigungsgründe oder Lösungsvorschläge vorzutragen. Am Ende kann es zu einer Einstellung des Verfahrens, Verpflichtungszusagen des Unternehmens oder einer Untersagung durch die Kartellbehörde kommen. Eine abschließende Entscheidung in der Sache wird voraussichtlich noch in diesem Jahr ergehen.
(Quelle: PM Bundeskartellamt v. 11.01.2023)
Praxishinweis:
Google-Dienste sind auch beim Bundeskartellamt im Fokus. Die Entwicklung des Wettbewerbsrechts wird auch Auswirkungen auf den Datenschutz haben. Sollten Sie Google Dienste auf Ihren Seiten einbinden, achten Sie auf ein rechtskonformes Cookiebanner und eine Datenschutzerklärung, die ausreichend über die eingesetzten Dienste informiert.
Sollten Sie hier Fragen haben, unterstützt Sie unser Team gern.
Zurück
