Informationssicherheit in Krankenhäusern

Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.

In Absatz eins heißt es wörtlich:

Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

Eine bemerkenswerte Ergänzung findet sich in Absatz drei:

Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

Sichere Verarbeitung von Patientendaten

Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.

Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.

Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.

Unterschiede zur DSGVO

Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.

Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.

Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.

Privacy Challenges for the New Decade

Bei der Sortierung alter Texte traf ich auf einen kurzen Vortrag zum Europäischen Datenschutztag, den ich online gehalten habe. Ich war der Bitte eines Kollegen in einem internationalen Konzern gefolgt, der online Fortbildungen organisiert. Obwohl der Europäische Datenschutztag ja schon eine eine ganze Weile zurückliegt (28. Januar), veröffentliche ich den Vortrag hier noch mal. Vielleicht ist es ja ganz gut ein paar Gedanken abseits von Covid-19 zu lesen. Das Thema des kurzen Vortrags war: “Privacy challenges in the new decade”.

(mehr …)

Datenschutz-Verletzungen (2)

In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.

Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.

Was passiert ist

Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.

E-Mail Postfach kompromittiert

Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.

Die Folgen

Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.

Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.

Weitere Maßnahmen

Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.

Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.

Was der Vorfall lehrt

Geschäftsführungen und Vorstände müssen sich auf einen technisch sicheren Weg für den internen Austausch und die Speicherung vertraulicher Informationen verständigen. E-Mail ist dafür ungeeignet.

So lästig es ist: Passwörter müssen sorgfältig verwahrt und regelmäßig geändert werden, was im Fall des H offenbar nicht geschehen ist. „They didn’t brute force his password“, wie der in England ansässige IT-Leiter so schön sagte – das-Mail-Account wurde ohne technisch gestützten Angriff auf das Passwort übernommen.

Trennung von geschäftlichen und privaten Inhalten: es ist immer noch weitverbreitet, geschäftliche und private Angelegenheiten in einem (geschäftlichen) E-Mail-Postfach abzuwickeln. Wird dies dann übernommen, hat der Angreifer quasi das ganze Leben des Betroffenen in der Hand und nicht nur das halbe - was ja schon schlimm genug ist, wenn es passiert.

Niemals dasselbe Passwort für verschiedene Accounts verwenden. Begründung, siehe oben: Wenn ein Zugang kompromittiert ist, kann der Angreifer wenigstens nicht auch noch das Online Banking oder den Account fürs Online Dating missbrauchen. Aus denselben Gründen niemals Passwörter per E-Mail-verschicken!

Sicherstellen, dass die Anzahl derer, die über Administratorpasswörter verfügen, begrenzt bleibt. Einführung des Vier-Augen-Prinzips für den Zugang auf unternehmenskritische Systeme.
Sicherstellen, dass Passwörter sofort entzogen werden, wenn jemand das Unternehmen verlässt.

Im nächsten Artikel:

Kommunikation bei Sicherheitsvorfällen

Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.

Dokumentenbefriedigung

Lassen Sie uns an dieser Stelle etwas tun, was wir hier bisher noch nicht getan haben, ein kleines Quiz für unsere Leserinnen und Leser. Was bedeutet dieses Wort, das ich kürzlich in einem Termin bei einem Kunden im Zusammenhang mit dem Aufbau eines Informationsmanagement-Systems (ISMS) gelernt habe: Dokumentenbefriedigung. Klingt irgendwie schlüpfrig, meinen Sie? Nun ja, Sie sollten das Wort nicht laut in Gegenwart einer Gruppe frühpubertärer 12jähriger aussprechen. Deren Assoziationen sind hier jedenfalls nicht ohne Verstoß gegen gutes Benehmen in Firmenblogs zitierfähig. Aber die Assoziationen weisen die Richtung.

Dokumente

Es geht also um Dokumente und es geht um Befriedigung. Doch - welche Dokumente und wessen Befriedigung? Kann man Juristen mit Dokumenten befriedigen ...ähm ... glücklich machen? Das jedenfalls schienen meine Gesprächspartner anzunehmen, die das Geständnis, dass sie bestimmte Forderungen ihrer Auftraggeber intern mit der Bezeichnung Dokumentenbefriedigung belegt haben, mit einem leicht verlegenen „wir sind ja hier unter uns“ einleiteten. Kein Grund sich zu entschuldigen! Wir bekennen an dieser Stelle, wir sind fähig, aus einem ordentlich geregelten Vertrag, aus einem sorgsam formulierten Dokument ein Gefühl großer Zufriedenheit zu ziehen. So einfach ist denn auch die Auflösung unseres kleinen Quiz: Dokumentenbefriedigung, Substantiv, feminin, Zustand der eintritt, wenn die technischen und organisatorischen Sicherheitsmaßnahmen eines Unternehmens umfassend dokumentiert sind.

Auftragskontrolle

Aber halt, die Sache hat einen Haken. Die Auftraggeber unserer Kunden gingen die Sache ziemlich unsystematisch und inkonsequent an. Sie forderten die Vorlage umfangreicher Dokumente zur IT-Sicherheit, wollten dann manche Sachverhalte doch nicht so gründlich beschrieben und geregelt wissen und ließen sich auch nicht von der Tatsache irritieren, dass unsere Kunden die Dokumente nicht oder vorerst nur in Teilen vorlegen konnten. Hauptsache Dokumente, lautete die Ansage. Die – vertraglich vereinbarte – Kontrolle der Umsetzung in der Realität werde ohnehin nicht kontrolliert. Das alles vor dem Hintergrund der Tatsache, dass unserem Kunden von diesem Auftraggeber höchst vertrauliche Daten überlassen werden sollten.
Also eher ein Dokumenten-Coitus-Interruptus. Um uns Regelungsjunkies zufrieden zu stellen, braucht es aber deutlich mehr als nur die Beschreibung von Dingen, die im Zweifel nicht eingehalten und nicht kontrolliert werden. (Von der Informationssicherheit im Unternehmen mal ganz abgesehen).

Informationssicherheit aufbauen

Steht man mit dem Aufbau eines Informationssicherheits-Managementsystems in einem Unternehmen ganz am Anfang müssen das Schreiben von Dokumenten und die Umsetzung der Inhalte Hand in Hand gehen. Manchmal, so wie im Fall unseres Kunden, kann man auf Strukturen aufbauen, die in der Praxis recht gut und verantwortungsbewusst umgesetzt werden, aber nicht dokumentiert sind. Dann gilt es, die bestehenden Prozesse auf Wirksamkeit und Sicherheit zu überprüfen, gegebenenfalls nachzusteuern – und anschließend mit der Dokumentation einen Ist-Zustand zu erfassen, der gleichzeitig den Soll-Zustand beschreibt. Mitunter findet man aber auch Abläufe vor, die in der täglichen Praxis ein Sicherheitsrisiko darstellen und die auch nicht schriftlich geregelt sind. In diesem Fall muss zunächst ein Soll-Zustand definiert werden, der sinnvollerweise gleich schriftlich dokumentiert wird. Die Umsetzung erfolgt im nächsten Schritt unter Verweis auf die festgelegten Sicherheitsziele.

Der Ablauf ist also ein wenig wie die Frage: brauche ich zuerst die Henne, damit ich dann ein Ei bekomme oder brauche ich erst ein Ei, damit ich eine Henne bekomme. Ob man zuerst die Henne nimmt oder das Ei, hängt wie oben beschrieben von der individuellen Konstellation im Unternehmen ab.

Ein erstrebenswerter Zustand

So interpretiert, ist der Zustand der Dokumentenbefriedigung ein durchaus erstrebenswerter. Heißt er doch, dass Papierlage und Realität, Dokumente und gelebte Prozesse zusammen passen, in den täglichen Abläufen ineinander greifen und Sicherheitsrisiken minimieren. Nichts anderes ist in Bezug auf Informationssicherheit im Unternehmen das Ziel. Ist dieses Ziel erreicht und gelingt es, am Leben erhalten zu werden, nehmen wir den Spott darüber, dass wir aus solchen Zuständen eine gewisse nun ja ... Befriedigung ableiten, dann gerne in Kauf.

Aufbau eines Informationssicherheits-Managements

Auf den Seiten von „Security Insider“ erschien August 2014 ein lesenswerter Artikel, der sich mit den Schwächen von IT-Sicherheit im Mittelstand befasst („Datendiebstahl im Mittelstand“) und dessen Inhalt nach wie vor höchst aktuell ist.

Die Erfahrungen und Erkenntnisse, die wir aus zahlreichen Vortragsveranstaltungen zum IT-Sicherheitsgesetz in den letzten Wochen mitgebracht haben, bestätigen das Bild, dass der Autor schon vor über einem Jahr zeichnete: Es ist nach wie vor schlecht bestellt um das Bewusstsein für die Wichtigkeit von Informationssicherheit und die Umsetzung von Schutzmaßnahmen. Das gilt insbesondere für die Führungskräfte im Unternehmen.

"Es gibt ja jetzt das IT-Sicherheitsgesetz ..."

Exemplarisch ist die Antwort eines Teilnehmers auf meine Frage an mein Publikum warum man sich denn mit IT-Sicherheit befassen müsse? „Weil es ja jetzt das IT-Sicherheitsgesetz gibt“. Nein! Erstens gibt es das Bundesdatenschutzgesetz mit der Vorgabe, personenbezogene Daten technisch gegen Missbrauch zu sichern, schon seit mehr als 30 Jahren. Zweitens, vergessen Sie die Gesetze. Die Absicherung Ihrer unternehmenseigenen IT-Infrastruktur ist die Grundlage für Ihren wirtschaftlichen Erfolg – nicht mehr und nicht weniger. Doch noch immer begegnet uns im Zusammenhang mit der Diskussion um die technischen Aspekte des Datenschutzes und der IT-Sicherheit die Frage: Wen sollten denn unsere Daten interessieren? Vor ein paar Jahren konnte man vielleicht noch abwägen und überlegen, für welche mutmaßlichen Angreifer eigentlich welche Daten interessant sein könnten. Das ist lange vorbei. Im Zeitalter von „Big Data“ und unendlichen, sekundenschnellen Verknüpfungsmöglichkeiten von Daten aus verschiedenen Quellen zum Zweck der Gewinnung von geldwerten Erkenntnissen, sind im Zweifel alle Daten interessant. Interessant im Sinne einer wirtschaftlichen Verwertbarkeit.

Wo befinden sich die Kronjuwelen?

Daher gehen wir in unseren Audits zur IT-Sicherheit und beim Aufbau eines Informationssicherheitsmanagements praktisch so vor, wie der Autor des Artikels es beschreibt. Im Vordergrund stehen immer die Fragen:

- welche Daten werden verarbeitet
- wo befinden sich die Daten und
- wer hat Zugriff auf die Daten.

Dabei geht es um die Informationen des Unternehmens, die für den Erfolg und den Fortbestand des Unternehmens überlebenswichtig sind. Die Antworten auf diese Fragen sind nicht so trivial, wie es klingt. Oftmals ist gar nicht bekannt, wo sich wichtige Daten befinden und die fast grenzenlose Mobilität von Daten fügt der Unübersichtlichkeit ein weiteres Risiko hinzu.

Klassifizierung

Nützlich ist eine Klassifizierung der Daten nach ihrem Schutzbedarf, die später hilft, angemessene Schutzmaßnahmen zu definieren. Zugrunde gelegt werden dabei die klassischen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Informationen.

Ebenfalls hat es sich als eine gute Vorgehensweise erwiesen, Richtlinien und Arbeitsanweisungen zum Datenschutz und zum Umgang mit Informationen zu verfassen und diese im Unternehmen zu etablieren. Damit setzt ein Unternehmen einen „Soll-Standard“, an dem dann alle späteren Maßnahmen gemessen werden.
Im nächsten Schritt erfolgt die Analyse, ob die auf diese Weise identifizierten und bewerteten Daten technisch, aber auch organisatorisch, ausreichend abgesichert sind (die rechtliche Zulässigkeit ihrer Verarbeitung einmal vorausgesetzt). Ein Penetrationstest kann darüber ersten Aufschluss geben, aber auch die nähere Betrachtung der Firewall, der eingesetzten Anti-Virus-Maßnahmen und der Datensicherung sind Ansatzpunkte.

Nicht zu viel auf einmal wollen

Gerade wenn es in einem Unternehmen noch wenig bis keine Vorarbeiten in Sachen Datenschutz und Informationssicherheit gibt, muss man sich in kleinen Schritten voran arbeiten. Dazu bietet es sich an, an einer Stelle anzufangen und die dort gewonnenen Erkenntnisse dann Stück für Stück auf weitere Felder zu übertragen.

Der menschliche Faktor

Viele Aspekte der IT-Sicherheit sind von der Zuverlässigkeit derer abhängig, die die Maschinen bedienen. Die regelmäßige Schulung zu Fragen von Datenschutz und Informationssicherheit ist daher für alle Mitarbeiter mit Zugriff auf unternehmenskritische Daten zwingend notwendig – einschließlich der Führungskräfte und Geschäftsführung. Für letztere sollte es im Übrigen kein Sonderrecht im Umgang mit Unternehmensdaten und bezüglich der Einhaltung von Sicherheitsmaßnahmen geben, wie es leider immer noch allzu oft geschieht: ist die Nutzung von privaten von mobilen Geräten im Unternehmen aus Sicherheitsgründen verboten, gilt dies auch für Mitarbeiter in leitenden Positionen und Geschäftsführer.

Individuelle Beratung

Benötigen Sie Unterstützung beim Aufbau eines Informationssicherheitsmanagements in Ihrem Unternehmen? Sprechen Sie uns gerne an, wir entwickeln mit Ihnen ein individuelles Vorgehen.

Webinare: IT-Sicherheitsgesetz, EU-DSVO

Wir haben heute zwei kurze Hinweise auf ein kommendes und ein vergangenes Webinar zum IT-Sicherheitsgesetz bzw. zur EU-Datenschutz-Grundverordnung.

IT-Sicherheitsgesetz

Wann: 26.11.2015, 10:00 bis 11:00 mit Comparex und Sophos

Referentin: Dr. Bettina Kähler

Anmeldung: Bei der Comparex AG

EU-DSGVO

Das Webinar zur Bedeutung der kommenden EU-DSGVO für Behörden können Sie auf den Seiten von Sophos hier nachhören (nach Eingabe von Name und E-Mailadresse).

Vorträge zum IT-Sicherheitsgesetz

Wir sind mit neuem Schwung aus der Sommerpause zurück und haben eine Reihe von Terminen mit Vorträgen zum neuen IT-Sicherheitsgesetz für Sie.

Die Nachfrage nach Informationen zu den Anforderungen des neuen IT-Sicherheitsgesetzes ist riesig. Wer unsere erste Übersicht in dem Webcast von Sophos verpasst hat, kann hier noch mal nachhören. Außerdem stehen schon eine ganze Reihe Termine mit Vorträgen zum Thema IT-Sicherheitsgesetz von Anna Cardillo fest (Beginn ab September). Eine Auswahl finden Sie nachfolgend:

Wirtschaftsschutzfachtagung am 01. Oktober 2015 in Laatzen bei Hannover. Veranstaltet vom Niedersächsischen Verfassungsschutz in Kooperation mit dem Niedersächsischen Ministerium für Wirtschaft, Arbeit und Verkehr. Nähere Informationen sind unter diesem Link erhältlich.

Vom 06. bis 08. Oktober sind wir in Nürnberg auf der it-sa Messe vertreten und im November auf der PROsecurITy EXPO in Fürstenfeldbruck. Der Name der Messe lässt bereits auf den Inhalt schließen - die PROsecurITy ist eine neu entstehende IT-Sicherheitsmesse, die mit einem Kongress über IT-Sicherheit verbunden wird und erstmalig am 10. und 11. November stattfindet. In diesem ersten Jahr werden bereits etwa 40 Aussteller und 1.000 Fachbesucher erwartet. Auch hier steuern wir einen Vortrag zum neuen IT-Sicherheitsgesetz bei.

Weitere Veranstaltungen mit Anna Cardillo als Vortragsrednerin sind in Planung. Die genauen Termine geben wir rechtzeitig hier und bei Xing bekannt.

Darüberhinaus sind verschiedene Webcasts zum Thema IT-Sicherheitsgesetz mit Dr. Bettina Kähler als Referentin geplant. Wir werden auch diese Termine hier und bei Xing ankündigen, sobald sie feststehen.

"Weniger Tatort, mehr kleine Taten"

Diskussion mit Malte Spitz und Prof. Dr. Johannes Caspar

Dr. Bettina Kähler moderierte den informativen Abend zum Thema:

„Was macht ihr mit meinen Daten?"

Malte Spitz stellte diese Frage viele Jahre lang diversen öffentlichen Stellen und Unternehmen. Was vor 15 Jahren als exzentrisches Hobby begann, wurde irgendwann zu einem Auftrag von öffentlichem Interesse – so dass im letzten Herbst ein ganzes Buch mit den teils erhellenden, teils erschreckenden Ergebnissen erschien.

„Das größte Aha-Erlebnis hatte ich ihn Bezug auf meine Gesundheitsdaten. Jede einzelne, eigentlich vertrauliche Diagnose ist abgespeichert und liegt somit meiner Krankenkasse vor", berichtete Malte Spitz. Genau so hatte ihn die Detailliertheit seiner Fluggastdaten überrascht.

Den größten Widerstand bei seiner Anfrage leistete die Telekom, so dass Malte Spitz erst durch einen Gerichtsbeschluss an die ihm zustehende Auskunft gelangte. Nicht nur hatte der Dienstleister Aufenthaltsdaten über mehrere Monate gespeichert, so dass sich ein (Straßenzug-)genaues Bewegungsprofil ergab. Auch die Inhalte der Gespräche und Kontaktdaten ermöglichen es den Datenauslesern, ein scharfes Bild vom Telefonierenden und seinen Gesprächspartnern zu erlangen.

Aber nicht jeder müsse gleich vor Gericht ziehen, um den Widerstand bei der Offenlegung der eigenen Daten zu durchbrechen, so der Hamburgische Datenschutzbeauftragte Prof. Dr. Caspar. Schließlich sei sein Büro eigens dafür installiert worden, die Auskunftsrechte der Bürgerinnen und Bürger zu sichern. Prof. Dr. Caspar rief explizit dazu auf, den kostenlosen Service der Landes- oder Bundesbeauftragten für Datenschutz zu nutzen.

„Was können wir tun, um die Kontrolle über unsere persönlichen Daten zumindest zum Teil zurückzuerlangen?"

fragte unsere Geschäftsführerin die beiden Herren aus der Politik. Malte Spitz: „Jeder von uns sollte bloß fünfmal im Jahr eine öffentliche Stelle oder ein Unternehmen nach seinen persönlichen Daten fragen. Statt einen schlechten Tatort zu schauen, könnten wir doch Sonntagabends einfach mal eine E-Mail rausschicken."
Prof. Dr. Caspar ergänzte: „Nach § 34 BDSG haben wir alle das Recht auf diese Auskunft." Es käme nicht einmal darauf an, dass die Frage gleich im ersten Schritt zufriedenstellend beantwortet werde.

Mit dem vermehrten Aufkommen solcher Fragen würde man bei den datenverarbeitenden Stellen allein schon dafür sorgen, dass sie ihre Verwaltung effizienter gestalten. Wer mehr Transparenz fordert, bringt die Datensammler auch dazu, sich selbst zu hinterfragen. Am Ende würden im besten Fall dann nur noch die wirklich notwendigen Daten gespeichert.

Anna Cardillo spricht über IT-Sicherheit und Cyberkriminalität

Vortrag am 14. November in Osnabrück

Noch ist die kostenlose Anmeldung zum „Breakfast Club" bei der pco (Personal Computer Organisation) möglich. Der nächste Freitag steht ganz im Zeichen der IT-Security und Cyber-Kriminalität.

Anna Cardillo wird in ihrem Vortrag über die Themen „Haftung & Datenschutz" (Fahrlässigkeit kann teuer werden) sowie "Cyber-Kriminalität auf dem Vormarsch" (das Haftungsrisiko liegt in der Regel bei den Geschäftsführern) referieren.
Aber auch die Gesetzesvorlage des neuen IT-Sicherheitsgesetzes ist Thema. Was kommt da auf den Mittelstand zu?

Um 8 Uhr geht es mit einem gemeinsamen Frühstück los, danach folgen die Vorträge verschiedener Referenten rund um die IT-Sicherheit. Zeit für einen persönlichen Austausch bei einem Kaffee ist natürlich auch vorhanden. Bis 13 Uhr können Interessierte sich in der Hafenstraße 11 in Osnabrück begegnen und austauschen.

IT-Sicherheit im Mittelstand

Auf den Seiten von „Security Insider" erschien gestern ein lesenswerter Artikel, der sich mit den Schwächen von IT-Sicherheit im Mittelstand befasst. Unsere Erfahrungen mit IT-Sicherheit, die ja immer auch ein Teil von Datenschutz darstellt, bestätigen die Einschätzung des Autors. Immer noch begegnet uns im Zusammenhang mit der Diskussion um die technischen Aspekte des Datenschutzes die Frage: Aber wen sollten denn unsere Daten interessieren? Vor ein paar Jahren konnte man vielleicht noch abwägen und tatsächlich Überlegungen anstellen, für wen eigentlich welche Daten interessant sein könnten. Diese Zeiten sind lange vorbei. Im Zeitalter von „Big Data" und unendlichen Verknüpfungsmöglichkeiten von Daten aus verschiedenen Quellen zum Zweck der Gewinnung von geldwerten Erkenntnissen, sind alle Daten interessant. Interessant im Sinne einer wirtschaftlichen Verwertbarkeit. Es ist also egal, welche Daten Unternehmen vorrätig halten, sie sind alle diebstahlsgefährdet. Daher gehen wir in unseren Audits genauso vor, wie der Autor des Artikels auf Security Insider es beschreibt. Im Vordergrund steht immer die Frage welche Daten werden wo verarbeitet und wo befinden sich die Daten des Unternehmens, die für den Erfolg und den Fortbestand des Unternehmens überlebenswichtig sind. Im nächsten Schritt erfolgt dann die Analyse, ob diese Daten technisch, aber auch organisatorisch, ausreichend abgesichert sind (die rechtliche Zulässigkeit ihrer Verarbeitung einmal vorausgesetzt). Lautet die Antwort auf die Frage nach der ausreichenden Absicherung nein, können wir gegebenenfalls in Zusammenarbeit mit verschiedenen Partnern auch eine sicherere Lösung erarbeiten. Das klingt abstrakt, ist aber tatsächlich sehr handfest praktisch. Sprechen Sie uns gerne an, dann können wir Ihnen die Einzelheiten in einem persönlichen Gespräch vorstellen.

Facebook überwacht Kommunikation

"I prefer my E-Mails to be mine", schrieb mir von ein paar Jahren ein kanadischer Kollege, mit dem ich über Facebook in Kontakt kam, als Begründung, warum er unseren Austausch nicht über die private Nachrichtenfunktion von Facebook fortsetzen wollte. So richtig sind deine Mails ja nie deine, schrieb ich zurück, denn solange sie auf irgendwelchen Servern lagern, kann immer jemand ran. Wenn auch vielleicht nur theoretisch.

Vertrauen

In der Folge dachte ich öfter darüber nach, warum ich trotzdem meinen Webmail Anbieter nicht in Verdacht hatte, meine Mails zu lesen oder gar auszuwerten, Facebook aber schon. Denn im Grunde ging es mir ähnlich wie dem kanadischen Kollegen. Greifbare Anhaltspunkte gab es allerdings weder für das Vertrauen noch für das Misstrauen.

Misstrauen begründet

Nun stellt sich heraus, zumindest das Misstrauen gegenüber Facebook war begründet. Presseberichten aus der letzten Woche zufolge wertet Facebook nach eigenen Angaben in großem Umfang die auf der Plattform ausgetauschten privaten Nachrichten aus. Durch eine Software ist Facebook offenbar in der Lage, automatisiert private Chats und Nachrichten auf Schlüsselbegriffe hin zu durchsuchen. Tauchen Begriffe auf, die „alarmierend“ erscheinen, werden die User den Behörden gemeldet. Angeblich würden nur Unterhaltungen zwischen „auffälligen Gesprächspartnern“ überwacht. Nach der Definition von Facebook sind das Mitglieder, die beispielsweise unterschiedlich alt sind und keine gemeinsamen Freunde im Netzwerk haben. Zur Rechtfertigung dieses Tuns führt Facebook die Verhinderung von Sexualstraftaten an: http://www.reuters.com/article/2012/07/12/us-usa-internet-predators-idUSBRE86B05G20120712

Schlechte Nachrichten

Die gute Nachricht ist: nun wissen wir, was getan wird. Aber das ist auch das einzige, was in diesem Zusammenhang entfernt positiv ist. Nun wissen wir: Wir stehen alle unter Verdacht und niemand garantiert uns, dass nicht demnächst bei uns die Polizei vor der Tür steht, weil wir auf Facebook einen falschen Satz geschrieben haben. Im Zweifel bin ich verdächtig, wenn ich mich mit einem Bekannten über Brustkrebs austausche. Brave New World! Kommunikation ist einfach wie nie, Überwachung ist einfach wie nie. Da regen wir uns über die Diktaturen dieser Welt auf, und haben eine von ihnen jeden Tag auf unserem Computer.

Weitere Links:

http://www.internetworld.de/Nachrichten/Medien/Social-Media/Facebook-Software-scannt-Chatprotokolle-und-Nachrichten-Aufdecken-von-Straftaten-67718.html

http://www.sueddeutsche.de/digital/privatsphaere-im-netz-facebook-durchsucht-chat-protokolle-nach-straftaten-1.1411552

Datenverluste im Sommer 2012

Wenn das Wetter in diesem Sommer anderswo genauso scheußlich ist wie in Hamburg, scheint hacken und Datendiebstahl für manche Leute offenbar eine Alternative zum Ausflug ins Freibad zu sein. Oder wie sonst ist die Häufung von Vorfällen zu erklären, bei denen mehrere große Webseiten gehackt und teilweise umfangreiche Datenbestände entwendet wurden? Betroffen sind allein in den letzten zehn Tagen u.a. der Voice-over-IP-Dienst Yahoo Voice, der Mail-Provider GMX, AndroidForums.com und der Grafikkartenhersteller Nvidia.

Mail Adressen und Passwörter

Eine Textdatei mit über 450.000 E-Mail-Adressen und unverschlüsselten Passwörtern kam dem VoIP-Dienst Yahoo Voice abhanden, bei GMX wurden nach eigenen Angaben von GMX etwa 3.000 E-Mail-Konten geknackt. Die Benutzernamen und Passwörter wurden jedoch nicht, wie anfänglich vermutet, durch einen Brute-Force-Angriff erraten, sondern waren den Hackern schlicht bekannt. Wie das wiederum passieren konnte, ist noch unklar.

Passwort Hashes

Am vergangenen Dienstag teilte AndroidForums.com seinen Mitgliedern mit, dass in ihre Server eingebrochen und auf Datenbestände zugegriffen wurde. Es sei nicht auszuschließen, dass die Einbrecher sämtliche E-Mail-Adressen und die „gesalzenen Passwort-Hashes“ entwendet hätten.

Im Netz veröffentlicht

Der Grafikkartenhersteller Nvidia schließlich erklärte gegenüber heise online, dass Dritte auf die persönlichen Informationen von rund 290.000 Nutzern im Hauptforum und von zirka 100.000 Mitgliedern aus dem Entwicklerbereich zugreifen konnten. Auch hier konnten die Angreifer an die E-Mail-Adressen und die Passwort-Hashes gelangen. Wie auch im Fall von GMX wurden Teile der gestohlenen Nutzerdaten im Internet veröffentlicht.

Im Angebot: Datenschutzdienstleistungen und Viagra

Unsere Firmenwebseite traf es vor einer Woche ebenfalls. Irgendjemand, der der deutschen Sprache nur rudimentär mächtig war (oder vorgab zu sein), fügte unserer Unternehmensdarstellung einen Absatz hinzu. Hier könne man auch Viagra kaufen. "Je bekannter eine Seite wird, desto höher wird das Risiko eines Angriffs", versuchte mein PR-Chef mich über den Schreck hinweg zu trösten. Und: Hier sei wohl eher ein Scherzbold am Werk gewesen, denn ein Krimineller. Anders als für die großen Firmen hielt sich für uns der Schaden daher auch in Grenzen.

Links mit weiteren Details:

http://www.heise.de/security/meldung/Weitere-1-4-Millionen-Datensaetze-kompromittiert-1640663.html

http://www.zeit.de/digital/datenschutz/2012-07/gmx-passwort-account/komplettansicht

http://www.heise.de/security/meldung/Nvidia-Hacker-veroeffentlichen-auszugsweise-Nutzerdaten-1641556.htm l

http://www.datenschutz.de/news/detail/?nid=5447