Ratgeber ITSicherheit

IT-Sicherheit & Datenschutz

Wirtschaft und Verbraucher stellen hohe Erwartungen an die Vertraulichkeit von Telekommunikation. Zuverlässigkeit, Sicherheit und hohe Verfügbarkeit sind deshalb wichtige Qualitätsmerkmale von Telekommunikationsdienstleistungen und haben für die Nutzer einen hohen Stellenwert. (vgl. BMWi)  

Im Zuge von Digitalisierungsprozessen stellen sich zahlreiche rechts- und sicherheitsrelevante Fragen für den Mittelstand:
Wer haftet für einen Unfall, der von einer intelligenten Maschine in der Produktionsanlage verursacht wurde – der Maschinenhersteller oder der Maschinenanwender? Wem gehören die Daten, die die intelligente Maschine über Sensoren während ihres Einsatzes in der Produktionsanlage sammelt – dem Hersteller, dem Anwender oder vielleicht beiden? Wenn Daten zur wichtigsten Ressource werden, wie verhindere ich als Unternehmen, dass sich Dritte unbefugt Zugang zu den Daten verschaffen?
Wie kann ich mit meinen Partnern im Wertschöpfungsnetzwerk sicher und vertrauensvoll Produktionsdaten austauschen?Und wie kann ich in Zeiten des allgegenwärtigen Datensammelns und des Trackings in der Produktion gewährleisten, dass die Arbeitnehmer- und Verbraucherrechte gewahrt werden?

Diesen Fragen des Datenschutzes, der Datensicherheit, der Datenhoheit und der Datenhaftung geht die Ausgabe „Digitales Recht und Sicherheit“ des Magazins „Wissenschaft trifft Praxis“ nach. Experten aus dem Umfeld der Mittelstand 4.0-Kompetenzzentren arbeiten diese Fragen in ihren Beiträgen für das Magazin praxisnah auf.

Grundlegende Informationen, Änderungen und Pflichten für alle Unternehmen zur EU-Datenschutzgrundverordnung finden Sie  hier.

 

IT-Sicherheit

Die Bedrohungslage durch Ransomware ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unverändert hoch. Ein Drittel der deutschen Unternehmen waren eigenen Angaben nach bereits von Ransomware betroffen, und auch Privatnutzer sind Ziel dieser von Cyber-Kriminellen genutzten Schadsoftware.
Die häufigsten Angriffsvektoren, über die Systeme mit Ransomware infiziert werden, sind
  • Anhänge von Spam-E-Mails,
  • sowie Drive-by-Angriffe mittels Exploit-Kits.
Die Auswertung der vorliegenden Daten zeigt, dass zwischen Januar und Mai 2016 die Angriffsversuche mittels Spam-E-Mails mit Verschlüsselungstrojanern im Anhang um das 70-fache angestigen sind.
Bereits Ende 2015 hat das BSI vor einer Zunahme dieser Verschlüsselungstrojaner gewarnt. Nun legt das BSI ein ausführliches Lagedossier zum Thema Ransomware vor, das auf Typen und Funktionsweisen von Ransomware eingeht, die aktuelle Bedrohungslage und die Angriffsvektoren darstellt sowie Schutzmaßnahmen aus den Bereichen Prävention, Reaktion und Detektion beschreibt, die für Unternehmen sehr hilfreich sind. Sie finden es unter ‚Weitere Informationen‘.
 
Das BSI hat hierzu jetzt auch ein aktuelles Lagedossier herausgegeben. Eine Handlungsempfehlung der LKA Rheinland-Pfalz finden Sie hier: Handlungspempfehlung Ransomware
 

Die Bedrohungslage durch Ransomware ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unverändert hoch. Ein Drittel der deutschen Unternehmen waren eigenen Angaben nach bereits von Ransomware betroffen, und auch Privatnutzer sind Ziel dieser von Cyber-Kriminellen genutzten Schadsoftware.

Die häufigsten Angriffsvektoren, über die Systeme mit Ransomware infiziert werden, sind
  • Anhänge von Spam-E-Mails,
  • sowie Drive-by-Angriffe mittels Exploit-Kits.
Die Auswertung der vorliegenden Daten zeigt, dass zwischen Januar und Mai 2016 die Angriffsversuche mittels Spam-E-Mails mit Verschlüsselungstrojanern im Anhang um das 70-fache angestigen sind.
Bereits Ende 2015 hat das BSI vor einer Zunahme dieser Verschlüsselungstrojaner gewarnt. Nun legt das BSI ein ausführliches Lagedossier zum Thema Ransomware vor, das auf Typen und Funktionsweisen von Ransomware eingeht, die aktuelle Bedrohungslage und die Angriffsvektoren darstellt sowie Schutzmaßnahmen aus den Bereichen Prävention, Reaktion und Detektion beschreibt, die für Unternehmen sehr hilfreich sind. Sie finden es unter ‚Weitere Informationen‘.
 
Das BSI hat hierzu jetzt auch ein aktuelles Lagedossier herausgegeben. Eine Handlungsempfehlung der LKA Rheinland-Pfalz finden Sie hier: Handlungspempfehlung Ransomware
Das BMWi und eco-Verband haben eine neue Initiative gestartet: Interessierte Unternehmen können sich kostenlos auf der Webseite der Initiative-S registrieren und werden fortan regelmäßig auf Schadsoftware überprüft. Der Dienst setzt im Hintergrund verschiedene Malware-Scanner ein. Bei einem diagnostizierten Befall wird der Betreiber per E-Mail über die Gefahr informiert, bei Problemen kann er auch telefonische Hilfe in Anspruch nehmen. Reagiert der Betreiber nicht innerhalb von zwei Tagen, schickt das Team der Initiative-S ebenfalls eine Schadensmeldung an den Hosting-Provider, der dann gegebenenfalls separat Maßnahmen gegen die Schadsoftware ergreifen kann.

Weitere Informationen und eine kostenfreie Anmeldemöglichkeit finden Unternehmen unter: http://initiative-s.de

Hier finden Sie eine Liste von Anbietern, über die Sie die Sicherheit Ihrer IT-Systeme, Web- oder Mailserver selbst testen können. Diese Zusammenstellung erhebt keinen Anspruch auf Vollständigkeit, auf dem Markt gibt es weitere Anbieter, die diese oder ähnliche Leistungen anbieten. Für die Qualität der angebotenen Leistungen, können wir keine Garantie übernehmen.  Die aufgeführten Tests verwenden möglicherweise unterschiedliche Prüfroutinen und gewichten die untersuchten Faktoren verschieden. Daher kann es bei Nutzung mehrerer Tests zu unterschiedlichen Ergebnissen kommen.

  • SITOM – Das Sicherheitstool-Mittelstand ist ein effektives Werkzeug, um den Status der IT-Sicherheit in Ihrem Unternehmen zu erfassen, zu bewerten und durch die Umsetzung vorgeschlagener Maßnahmen zu verbessern. Anbieter ist die Mittelstand 4.0 Agentur Prozesse des BMWi. Und sollte als allgemeiner Test von jedem Unternehmen durchgeführt werden.
  • Cyber-Sicherheits-Check – Die Allianz für Cyber-Sicherheit, getragen von BSI und BITKOM, baut eine umfangreiche Wissensbasis auf und initiiert und betreibt Erfahrungs- und Expertenkreise zur Cyber-Sicherheit. Mit dem Test haben Unternehmen einen Leitfaden an der Hand, den Status der Cyber-Sicherheit zu bestimmen und somit aktuellen Bedrohungen wirksam zu begegnen.
  • SSL Server Test (Qualys SSL Labs)
  • Test Mailserver-Verschlüsselung
  • Test Webserver-Verschlüsselung
  • Heartbleed-Test
  • Universeller SSL-Tester SSLyz

Datenschutz für kleine Unternehmen

Die EU-Datenschutz-Grundverordnung (DSGVO) erhöht zwar die Anforderungen an den Datenschutz, vieles ist aber bisher schon geltende Rechtslage in Deutschland nach dem Bundesdatenschutzgesetz (BDSG). Nachfolgend soll an einem praktischen Beispiel des Muster-Unternehmens „Homedreams“, Inhaberin: Miranda Mustera, Geschäftszweig: Einzelhandel mit selbst genähten Wohnaccessoires, Angebot von Selbstnähkursen und Einrichtungsberatung; MitarbeiterInnen: 4 [ab 10 Beschäftigten, die personenbezogene Daten automatisiert verarbeiten: Bestellung eines betrieblichen Datenschutzbeauftragten] dargestellt werden, welche Anforderungen sich aus dem Datenschutz ergeben. 

Diese Informationen sollen helfen, sich einen ersten Überblick zu verschaffen, sind jedoch keine intensive Prüfung der Anforderungen für das eigene Unternehmen. Sie wurden mit größtmöglicher Sorgfalt erstellt, eine Haftung für die Richtigkeit und Vollständigkeit kann jedoch nicht übernommen werden.

1. Vertrag
Wenn Frau Mustera ihren Kunden etwas verkaufen will oder eine Dienstleistung erbringen will, handelt es sich um die Anbahnung beziehungsweise Erfüllung eines Vertragsverhältnisses. Hierzu benötigt sie entsprechende Angaben ihrer Kunden (wie Name, Anschrift, Telefonnummer). Darüber hinausgehende Angaben wie E-Mail-Adresse, Geburtsdatum (für Glückwunschbriefe), Kaufinteressen, Teilnahme(interesse) an Kursen, Kontodaten und Fotos von TeilnehmernInnen) sind hingegen nicht erforderlich für die Erfüllung des Vertrags. 
Für die Grunddaten zur Abwicklung des Vertrags benötigt Frau Mustera keine gesonderte Einwilligung ihrer Kunden, für darüber hinausgehende Daten und Zwecke aber schon. Falls der Vertrag erfüllt ist und es keine gesetzlichen Gründe für seine Aufbewahrung mehr gibt (zum Beispiel steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.
2. Einwilligung
In der Einwilligungserklärung muss sie auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen. Sie sollte hier nach obligatorischen und freiwilligen Daten trennen. Frau Mustera kann eine elektronische Einwilligung einholen, darf aber keine voreingestellte Einwilligung in Form eines Häkchens verwenden. Zudem muss sie ihre Kunden darüber informieren, zu welchem Zweck sie diese Daten verarbeiten will.
Sie muss prüfen, ob die bisherigen Einwilligungen, die sie eingeholt hat, den Anforderungen nach der DSGVO entsprechen. Falls nicht, wenn also insbesondere der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden. Sie muss die Einwilligungen dokumentieren.
Bei der Einholung der Einwilligung muss sie nicht nur die datenschutzrechtlichen Anforderungen erfüllen, sondern auch bei einer Einwilligung zur Werbung das Gesetz gegen unlauteren Wettbewerb (UWG) beachten.
Sie muss die folgenden Informationspflichten erfüllen.
  • Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke der Verarbeitung und Rechtsgrundlage,
  • wenn die Verarbeitung auf Artikel 6 Abs. 1 f beruht DSGVO: berechtigtes Interesse des Verantwortlichen,
  • den Empfänger oder die Kategorien von Empfängern,
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung,
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung,
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22).
Diese Informationspflichten müssen zum Zeitpunkt der Erhebung gegenüber dem Kunden erfüllt werden. Im Ladengeschäft kann dies durch das Beifügen eines Informationsblattes erfolgen. Bei einem Online-Shop sollten die Informationen an zentraler Stelle platziert werden.
Falls die Daten nicht bei der betroffenen Person erhoben wurden, muss die Quelle angegeben werden, aus der die Daten stammen.
Für die Nutzer ihrer Internetseite muss Frau Mustera bekannt geben, ob und welche Cookies sie verwendet und ob sie die Nutzer der Seiten trackt. Dies sollte in einer Datenschutzerklärung erfolgen, welche ähnlich dem Impressum an zentraler Stelle plaziert ist. Nutzt sie für die Website einen Dienstleister, muss sie dazu eine Vereinbarung über die Auftragsverarbeitung schließen. 
Hat der Dienstleister seinen Sitz in einem Drittland, wie die USA, muss sie prüfen, ob die Weitergabe der Daten über sogenannte EU-Standardvertragsklauseln oder über Privacy Shield abgesichert ist. Dabei handelt es sich um eine Vereinbarung zwischen der EU und den USA zur Angemessenheit des Datenschutzniveaus bei denjenigen Unternehmen, die die Anforderungen von Privacy Shield erfüllen.
Frau Mustera muss überprüfen, mit welchen Dienstleistern sie Verträge zur Auftragsverarbeitung schließen muss. Im folgenden ein paar Beispiele, wobei es immer auf die Einzelfallgestaltung ankommt:
  • Wo verarbeitet Frau Mustera die Daten? Auf ihrem eigenen Server oder bei einem Dritten? Bei letzterem muss sie eine schriftliche Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach ihrer Weisung verarbeiten. Liegen die Daten auf ihrem eigenen Server, nutzt sie aber eine Cloud-Anwendung, muss sie klären, ob die Daten in Deutschland, in Europa oder in den USA gespeichert sind. Im letzteren Fall handelt es sich um einen Datentransfer in Dritt-länder, so dass Sie hierfür eine besondere Grundlage benötigen, wenn die Daten in die USA übermittelt werden.
  • Frau Mustera hat einen Internetauftritt, der von einer Webdesignagentur gestaltet wird. Hat die Webdesignagentur Zugriff auf die personenbezogenen Daten, die ihre Interes-senten/Kunden dort angeben? Falls ja, muss sie auch hier eine Vereinbarung über die Auftragsverarbeitung schließen. Zudem ist sie nach dem Telemediengesetz verpflichtet, ein sogenanntes Impressum mit verschiedenen Angaben zu haben: Name, Anschrift, Rechtsform, E-Mail-Adresse, Umsatzsteuer-Identnummer usw. [Bei mehr als 10 Beschäftigten muss Frau Mustera zusätzlich angeben, inwieweit sie bereit oder verpflichtet ist, an einem Verfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (Paragrafen 36, 37 Verbraucherstreitbeilegungsgesetz).] Bei Online-Verträgen muss sie ihrer Informationspflicht nach Artikel 14 der ODR-Verordnung nachkommen.
  • Frau Mustera lässt ihre Buchführung, insbesondere auch die Gehaltsabrechnung ihrer Mitarbeiter, von einem Lohnbüro durchführen. 
  • Frau Mustera arbeitet mit einem Callcenter zusammen, welches von ihr personenbezogene Daten bekommt.
  • Frau Mustera lässt ihre Datenträger mit personenbezogenen Daten durch Dienstleister entsorgen.
Selbstverständlich gibt es noch weitere Fälle der Auftragsverarbeitung.
Lieferanten
Frau Mustera hat Lieferanten, von denen sie ebenfalls Daten, wie Name, Anschrift, Tele-fonnummer, Produktangebot, Ansprechpartner, URL der Homepage und E-Mail-Adressen gespeichert hat. Diese Angaben fallen entweder unter das Vertragsverhältnis oder sie benötigt für bestimmte Angaben ebenfalls die Einwilligung der Person zur Speicherung ihrer Daten unter Angabe des Zweckes der Speicherung.

Wenn Frau Mustera ihren Mitarbeitern die private Nutzung von E-Mails und des Internets in der Arbeitszeit gestattet, sollte sie vereinbaren, welchen Umfang diese Nutzung umfassen darf und dass die Nutzung bestimmte Inhalte nicht betreffen darf. Die Gestattung kann Frau Mustera mit einer Einwilligung verbinden, dass die Mitarbeiter ihre Kontrollen gestatten, damit weder Inhalt noch Umfang der Nutzung gegen Gesetze und die arbeitsrechtlichen Pflichten verstoßen. Diese Einwilligung muss in Schriftform erfolgen. Sie muss ihre Mitarbeiter auf die Vertraulichkeit von Daten verpflichten und sie auf den Datenschutz hinweisen, angemessen schulen und dies dokumentieren.

Miranda Mustera muss ihre Verfahren in einem sogenannten Verzeichnis für die Verarbeitungstätigkeiten (früher Verfahrensverzeichnis) mit folgenden Angaben dokumentieren:
  • Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Kategorie der betroffenen Personen und personenbezogenen Daten
  • Kategorie von Empfängern der Daten
  • Übermittlung in Drittstaaten
  • Löschfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Sie sollte festlegen, wie sie mit einem Auskunftsersuchen umgeht, wenn jemand erfahren möchte, welche Daten sie über ihn gespeichert hat. Sie sollte zusätzlich einen Prozess schriftlich definieren falls es zu Datenverstößen kommt und sie dies der Aufsicht binnen 72 Stunden melden muss. Die betroffene Person muss unverzüglich über den Datenverstoß informiert werden.
Frau Mustera muss ein Löschkonzept vorhalten (geregelt für: 6 Jahre Geschäftsbriefe, 10 Jahre steuerrelevante Unterlagen, 6 Monate Bewerbungsunterlagen). Alle anderen Daten und Dokumente mit personenbezogenen Daten müssen gelöscht beziehungsweise vernichtet werden, wenn sie nicht mehr benötigt werden (Datensätze löschen, Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern).
Die technisch-organisatorischen Maßnahmen betreffen die Frage, wie sicher die Informationssicherheit ist (IT, Sicherheit im Büro/Geschäft); auch dies muss schriftlich dokumentiert werden. Frau Mustera muss insbesondere mit ihrem Steuerberater klären, wie die sensiblen Daten ihrer Mitarbeiter (Gesundheitsdaten, Religionszugehörigkeit) gut geschützt sind. Hierzu müssen bestimmte Maßnahmen ergriffen werden (Risikobewertung/Datenschutz-Folgenabschätzung). Eine Übermittlung per E-Mail ohne weitere Sicherheitsmaßnahmen ist datenschutzrechtlich nicht zulässig. Nachstehende Punkte geben einen groben Anhaltspunkt für solche Maßnahmen:
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Zutrittskontrolle:
    Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
  • Zugangskontrolle:
    Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
  • Zugriffskontrolle:
    Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungs-systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Trennungskontrolle:
    Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
  • Weitergabekontrolle:
    Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Eingabekontrolle/Verarbeitungskontrolle:
    Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme ein-gegeben, verändert oder entfernt worden sind.
  • Dokumentationskontrolle:
    Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.
  • Auftragskontrolle:
    Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  • Verfügbarkeitskontrolle:
    Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
3. Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten)
  • Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden. Daten müssen so gesichert werden, dass sie sie bei einem eventuellen Verlust wiederhergestellt werden können.
„Das Digitale Sofa“ – Cybersecurity.

Die digitale Informationsübermittlung hat viele Vorteile, die in der öffentlichen Debatte hervorgehoben werden. Ganz anders die Risiken: Diese rücken oft in den Hintergrund und erlangen erst größere Aufmerksamkeit, wenn es zu einschneidenden Angriffen kommt – wie zuletzt auf das IT-Netzwerk der deutschen Bundesregierung oder auf den webbasierten Online-Dienst GitHub.

Beim digitalen Sofa fragt Dr. Oliver Kemmann, Vorsitzender des IT-Klubs Mainz & Rheinhessen e.V. deshalb beim Experten nach: Matthias Memmesheimer erklärt, wie Hacking-Angriffe sowohl von innen als auch von außen durchgeführt werden und wie sich Betroffene davor schützen können. Ein weiterer großer Gesprächspunkt der beiden sind die sicherheitsrelevanten Themen, die mit der ab Mai 2018 in Kraft tretenden EU-weiten Datengrundschutz-Verordnung auf Unternehmen zukommen. Was muss beachtet werden und welche Konsequenzen werden folgen? Die Antworten gibt es auf dem Digitalen Sofa!

Kontakt
  • IHK für Rheinhessen // Schillerplatz 7 // 55118 Mainz
  • digitalisierung@rheinhessen.ihk24.de
  • (06131) 262 1704