Bereits seit drei Jahren veröffentlicht das BKA Untersuchungen zum Thema „Hacktivismus“ an denen auch das Bundesamt für Verfassungsschutz, das Verteidigungsministerium und das „Nationale Cyber-Abwehrzentrum“ (NCAZ) beteiligt sind. Im Mittelpunkt der Studie/n sollte nicht nur der Missbrauch von Daten selbst stehen sondern der Schutz von Menschen vor dem Missbrauch ihrer Daten. Trotzdem, so die damalige Aussage, handele es sich nicht um Kavaliersdelikte.

Was es kosten kann Opfer von Cyberkriminalität zu werden – ein Leitfaden der bitcom In diesem wie bereits im letzten Jahr sind eine Reihe von Datenschutzinitiativen und Gesetzen auf den Weg gebracht worden, zuletzt die reformierte EU-Datenschutzgrundverordnung und das Gesetz zum Schutz von kritischen Infrastrukturen, dem jetzt konkrete Maßnahmenpläne folgen. Zwar war schon vorher deutlicher Handlungsbedarf zu erkennen, aber sicherlich haben spektakuläre Hacks Zuletztauch auf als gut geschützt geltende Infrastrukturen die eigentliche Umsetzung beschleunigt. Neben den erst jüngst modifizierten Richtlinien und verabschiedeten Gesetzen forderte bereits das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, Frühwarnsysteme einzuziehen, um das Risiko im Schadensfall zu begrenzen. Und dieses ist nicht unerheblich, sowohl in finanzieller Hinsicht als auch im Hinblick auf mögliche juristische Konsequenzen oder einen ramponierten Ruf. Zuletzt hat sich die bitkom in einem Leitfaden mit dem Thema „Kosten eines Cyber-Schadensfalles“ beschäftigt. Nach Kostenarten

Wir haben uns in letzter Zeit vor allem mit der EU-Datenschutz-Grundverordnung (DS-GVO) beschäftigt, doch es gibt noch eine weitere erwähnenswerte EU-Sicherheitsinitiative.

Dass die EU-Datenschutz-Grundverordnung (DS-GVO) ein relativ kompliziertes Gebilde ist, hatten wir bereits erwähnt. Es basiert zwar auf einigen Prinzipien wie Privacy by Design und anderen Konzepten, durch die das Ganze mehr Sinn ergibt. Doch wenn man sich den stellenweise verklausulierten Text genauer ansieht, verstecken sich darin einige Überraschungen. Zum Beispiel das Konzept der Pseudonymisierung.

Von Cyril Simonnet, Sales Director DACH/NORDICS/BE/NL

Inzwischen ist die EU-Datenschutz-Grundverordnung (DS-GVO), die von einigen schon als „Meilenstein des digitalen Zeitalters“ bezeichnet wird, endgültig beschlossen. Wir haben uns bereits häufiger mit der Geschichte der DS-GVO beschäftigt, für einen kompakten Überblick empfiehlt sich dieser Blog-Eintrag. Zusätzlich stellen wir Ihnen noch ein ausführlicheres Whitepaper (in englischer Sprache) zur Verfügung. Im finalen Entwurf der DS-GVO sind einige der Unklarheiten in den unterschiedlichen Versionen des EU-Parlaments und des EU-Rats nun bereinigt worden. Wir haben einige der wichtigsten Neuregelungen in der DS-GVO zusammengefasst. In Kraft treten wird sie Ende 2017. GELDSTRAFEN Der Streitpunkt Geldstrafen wurde beigelegt: Die DS-GVO sieht jetzt ein Stufensystem vor. So können Unternehmen beispielsweise mit einer Geldstrafe von bis zu zwei Prozent ihres weltweiten erwirtschafteten Jahresumsatzes belegt werden, wenn sie es versäumen: Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren (Artikel 28) die Aufsichtsbehörde und betroffene Personen über Datenschutzverletzungen zu informieren (Artikel 31 und 32) oder Datenschutz-Folgenabschätzungen durchzuführen (Artikel 33). Ernsthaftere Verstöße ziehen eine Geldbuße von vier Prozent des weltweit erwirtschafteten Jahresumsatzes nach sich. Dazu gehört die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). Dabei handelt es sich im Grunde um Verstöße gegen die im Gesetz verankerten Privacy-by-Design-Prinzipien. Die Regeln der DS-GVO gelten für die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, also „die Cloud“. Das heißt, auch die Anbieter von Cloud-Dienstleistungen müssen sich an die Richtlinien der DS-GVO halten. DER DATENSCHUTZBEAUFTRAGTE Jetzt ist es offiziell: Die meisten Unternehmen brauchen einen Datenschutzbeauftragten. Das Kleingedruckte dazu ist in Artikel 35 nachzulesen. Wenn die „umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen“ oder die „umfangreiche Verarbeitung besonderer Kategorien von Daten“ – die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, Informationen über Gesundheit, Sexualleben und sexuelle Ausrichtung betreffen – zur Kerntätigkeit eines Unternehmens gehört, ist dieses verpflichtet einen Datenschutzbeauftragten zu ernennen. Zu den Aufgaben des Datenschutzbeauftragten gehören Beratung, die Überwachung der Einhaltung der DS-GVO sowie die Vertretung des Unternehmens gegenüber der Datenschutzbehörde. MELDEPFLICHT BEI DATENSCHUTZVERLETZUNGEN 24 oder 72 Stunden? Hier hat sich die 72-Stunden-Regelung durchgesetzt. Laut Artikel 31 muss der für die Verarbeitung Verantwortliche eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führt. Doch selbst wenn es sich um keine ernsthafte Datenschutzverletzung handelt, müssen Unternehmen sie intern dokumentieren. Die DS-GVO definiert eine Datenschutzverletzung als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob zufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“. Die Betonung liegt hier auf „unbefugt“. Nach dieser Definition handelt es sich beispielsweise auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten hat, die er für seine Tätigkeit nicht benötigt. Sind die Dateizugrifflisten entsprechend aktuell und hat man rollenbasierte Zugriffskontrollen implementiert können solche Probleme erst gar nicht auftreten. Welche Informationen Firmen genau an die Aufsichtsbehörde übermitteln müssen, ist im Blog-Eintrag „Die EU-Datenschutz-Grundverordnung“ nachzulesen. So viel schon vorab: Allein die Meldung, dass sich ein Vorfall ereignet hat, reicht bei weitem nicht aus. Ein Unternehmen muss auch die betroffenen Datenkategorien sowie eine ungefähre Anzahl der betroffenen Personen und Datensätze melden. Dazu braucht man allerdings detaillierte Informationen darüber, was ein Hacker- oder Insiderangriff angerichtet hat. Auftragsverarbeiter haben etwas mehr Spielraum: Sie müssen ihren Auftraggeber – also den für die Verarbeitung Verantwortlichen – „ohne unangemessene Verzögerung“ benachrichtigen. Unter welchen Umständen muss nun ein Unternehmen die betroffenen Personen über die Datenschutzverletzung unterrichten? Wenn ein Unternehmen die Daten verschlüsselt oder sonstige Sicherheitsvorkehrungen ergriffen hat, um die Daten unlesbar zu machen, muss es die betroffenen Personen nicht informieren. Details sind im Artikel 32 der DV-GVO erläutert. LÄNDER AUSSERHALB DER EU Wir haben schon seit einigen Monaten vor den Bestimmungen zum Thema Extraterritorialität gewarnt. Nachdem die DS-GVO nun beschlossene Sache ist, gilt sie selbst dann für ein Unternehmen gilt, wenn es lediglich Waren oder Dienstleistungen in der EU-Zone verkauft. Das heißt, auch wenn ein Unternehmen keine EU-Niederlassung hat, aber personenbezogene Daten von EU-Bürgern erfasst und speichert, reicht der lange Arm der DS-GVO bis dorthin. Diese Bestimmung (Artikel 3) ist besonders für Unternehmen relevant, die E-Commerce betreiben. Es wurde bereits häufig darauf hingewiesen, dass diese Bestimmung (Artikel 3) insbesondere für E-Commerce-Unternehmen relevant ist. Das betrifft soziale Netzwerke, Portale wie Zimmervermittlungen genauso wie den internationalen Online-Bier Club. WEITERE RESSOURCEN Die Neuerungen der DS-GVO und ihre Anwendung sind zu komplex, um sie alle zu erläutern. Neben externen Rechtsexperten ist selbstverständlich Ihr Datenschutzbeauftragter Ansprechpartner für Fragen und Empfehlungen. Rechtsanwälte und Juristen befassen sich derzeit intensiv mit dem Thema. Einige unter ihnen stellen kostenlos praktische Informationen auf ihrer Website zur Verfügung. Unter den englischsprachigen Informationsquellen sind das beispielsweise: Bird and Bird: www.twobirds.com Daniel Soloves Blog „Privacy + Security“: www.teachprivacy.com Hogan Lovells: www.hoganlovells.com BakerHostetler: www.bakerlaw.com “EU-Datenschutz-Grundverordnung: Die neuen Regeln für den EU-Datenschutz” Hier können Sie sich unser Whitepaper herunterladen und mehr zu den Daten und Fakten der EU-Datenschutz-Grundverordnung erfahren.

Haben Sie schon einmal vom Safe-Harbor-Abkommen zwischen der EU und den USA gehört? Ich meine, bevor Sie die ganzen beängstigenden Schlagzeilen gelesen haben… Das dachte ich mir… Das hier ist einer der seltenen Fälle, in denen mir Nachforschungen zu den schier undurchschaubaren Bereichen internationaler Datenschutzgesetze geholfen haben, ein großes Medienthema zu verstehen.

Seit Langem wurde diskutiert und debattiert, jetzt ist es soweit. Soeben wurde die finale Entwurfsfassung der neuen EU-Datenschutzbestimmungen, die so genannte Datenschutz-Grundverordnung (DS-GVO), beschlossen. In den vergangenen zwei Jahren ließen sich einige Hochs und Tiefs der DS-GVO auf ihrem Weg durch den EU-Gesetzgebungs-Dschungel verfolgen.

Verizon ist nicht nur eine ausgezeichnete Quelle für Hacking-Statistiken, sondern veröffentlicht auch eine eigene Studie zur Einhaltung des PCI Data Security Standard (DSS). Seit 2009 haben Verizon und die zugehörigen Sicherheitsgutachter (Qualified Security Assessors, QSA) 4.000 Bewertungen meist großer, internationaler Unternehmen vorgenommen. Nachdem erst kürzlich wieder Kreditkartendaten auf spektakuläre Weise entwendet wurden, bietet es sich an, einmal zu überprüfen, wie gut Unternehmen im Hinblick auf die Anforderungen des PCI-Standards gewappnet sind. Laut den Prüfungsergebnissen von Verizon gibt es sowohl gute als auch schlechte Nachrichten. Um die Ergebnisse zu verstehen, sollte man wissen, dass der DSS 2.0 aus zwölf Anforderungen besteht, die in insgesamt etwa 290 Unterpunkte unterteilt sind. Sie können hier einen Blick auf den DSS werfen, wenn Sie sich mit den Einzelheiten auseinandersetzen wollen. Unter den guten Nachrichten sticht diese hier besonders hervor: Die 2013 überprüften Unternehmen erfüllten durchschnittlich 85 % der Anforderungen des DSS 2.0. Mit anderen Worten: Im Durchschnitt bestanden die Unternehmen die Prüfung in 245 von 290 Unterpunkten. Gab es Unternehmen, die alle zwölf Anforderungen erfüllten? 2013 berichtete Verizon, dass nur 11 % der geprüften Unternehmen alle Anforderungen des DSS 2.0 erfüllten; die statistischen Daten deuteten allerdings auf eine Verbesserung in den letzten Jahren hin. Dies ist laut Verizon höchstwahrscheinlich auf eine neue Bewertung des PCI DSS und auf die ausführliche Berichterstattung zu Sicherheitsvorfällen zurückzuführen. Die gute Nachricht Die Berichte über Datendiebstahl und entwendete Kreditkartendaten haben ihr Gutes: Die Verbraucher sind zunehmend für das Thema Datensicherheit sensibilisiert. Die schlechte Nachricht Solche Vorfälle machen weiterhin Schlagzeilen. Wie man bei Verizon offen zugibt, sind die Hacker außerordentlich erfolgreich bei der Ausnutzung von Schwachstellen im Zusammenhang mit bestimmten DSS-Anforderungen. An einer Stelle des Data Breach Investigations Report (DBIR) 2014 bemerkt Verizon, dass die technische Kompetenz der Hacker bei rund 75% der Angriffe gering bis sehr gering war. Die Leser dieses Blogs sollte das nicht weiter überraschen. Das ist eine höfliche Umschreibung der Tatsache, dass Hacker mit dem Erraten von Passwörtern und anderen Brute-Force-Ansätzen bislang sehr erfolgreich waren, sind und leider auch weiterhin sein werden. Bei DSS-Anforderung 2 zum Beispiel laut der keine Standard-Passwörter oder -Sicherheitseinstellungen verwendet werden sollten erfüllten 2013 nur 50 % der Unternehmen alle Unterpunkte (eine schnelle Zählung ergab, dass es etwa 25 sein müssten). Das ist eine deutliche Verbesserung gegenüber 2012, wo nur 20% diese Punkte einhielten! Die Statistiken für Anforderung 8, laut der für den Zugriff auf Systemkomponenten eine Identifizierung und Authentifizierung erforderlich ist, sind ermutigender: 62 % der Unternehmen gaben an, sie vollständig einzuhalten. Doch Verizon überprüfte große Unternehmen mit mehreren Standorten, bei denen man eigentlich davon ausgehen sollte, dass sie höher entwickelte Authentifizierungstechniken einsetzen sollten. Daher sind die Zahlen eher alarmierend – die Überprüfung hätte reine Routine sein und ein einwandfreies Ergebnis liefern müssen. Der Bericht enthält noch weitere interessante Daten und widerlegt außerdem einige der Kritikpunkte, die im Zusammenhang mit dem PCI-Standard geäußert worden sind. Darauf gehe ich im nächsten Blog-Eintrag näher ein. The post VERIZON-REPORT ZUR PCI-COMPLIANCE: GUTE UND SCHLECHTE NACHRICHTEN appeared first on Varonis Deutsch.

Am 12. März befürwortete das EU‑Parlament die Datenschutzreform mit 621 Stimmen bei nur zehn Gegenstimmen. Nach einem langwierigen und umstrittenen Gesetzgebungsverfahren ist die Idee einer Datenschutzbehörde, die als zentrale Anlaufstelle einheitliche Regelungen in allen 28 Mitgliedstaaten durchsetzt, nun auch in der endgültigen Fassung der Rechtsvorschriften enthalten. Durch die Abstimmung wurden außerdem wichtige Grundsätze bestätigt, die den Kern der Reform bilden, darunter das sogenannte „Recht auf Vergessen“, ein verbraucherorientierte Eigentumsrecht für Daten und „Privacy by Design“ (also einem „eingebauten“ Datenschutz der Privatsphäre). Noch ist eine weitere Abstimmung ist vonnöten, damit die Reform Gesetzeskraft erlangen kann. Der EU‑Ministerrat, der in Abgrenzung zum Parlament als Bürgervertretung die Vertretung der Staaten bildet, ist die nächste Instanz, welche die Neuerungen befürworten oder ablehnen muss. Wenn Ministerrat Änderungen vornimmt, geht das Ganze wieder zurück an das EU‑Parlament und eine neue Runde beginnt. Wie ich bereits im vergangenen Jahr in diesem Blog skizziert habe, wird sich die Aktualisierung der Datenschutzrichtlinie direkt auf US‑Unternehmen mit Tochtergesellschaften in der EU auswirken. Sie müssen sich nicht nur mit den oben genannten Grundsätzen auseinandersetzen, sondern auch mit strengeren Regelungen bezüglich der Meldung von Sicherheitsvorfällen, einer weiter gefassten Definition von personenbezogenen Informationen, verschärften Anforderungen in Bezug auf die Einholung einer ausdrücklichen Zustimmung der Verbraucher, höheren Strafen bei Nichteinhaltung und strengeren Datenschutzregelungen für Daten, die an Länder außerhalb der EU weitergegeben werden. David Myers von Gigaom liefert eine nützliche Zusammenfassung der wichtigsten Bestandteile der neuen Regelungen und wie sie sich auswirken. Für kleinere Unternehmen gelten jedoch einige Ausnahmen. Wie unser EU‑Korrespondent Cyril Simonnet feststellt, haben Deutschland und das Vereinigte Königreich starke Bedenken im Hinblick auf die zusätzlichen administrativen Aufwände und die mit den Reformen verbundenen allgemeinen Verwaltungsaufwendungen geäußert. Kleinere Unternehmen müssen laut den neuen Regelungen nun keinen eigenen Datenschutzbeauftragten mehr haben und Verstöße nicht der Datenschutzbehörde melden. Wir halten Sie hier über die Ergebnisse der Abstimmung im EU‑Ministerrat und alle wichtigen Änderungen auf dem Laufenden. The post EU Datenschutzreform nimmt Fahrt auf appeared first on Varonis Deutsch.