Aktuelles

16.12.2019

ePrivacy-Verordnung: Alles auf Anfang

Seit Jahren arbeitet die EU an der ePrivacy-Verordnung, die die DSGVO ergänzen sollte. Das Ziel: Mehr Privatsphäre bei der digitalen Kommunikation. Doch die geplante EU-Regelung unter anderem zum Tracking auf Websites über Cookies ist vorerst am Widerstand der Mitgliedstaaten gescheitert.

Eines der Anliegen der Reform war es, Messenger-Dienste wie WhatsApp und Skype zu regulieren. Für solche Dienste sollten künftig dieselben Regeln wie für klassische Telekommunikations-Anbieter, wie beispielsweise die Deutsche Telekom, gelten. Während die Datenschutz-Grundverordnung (DSGVO) also das Sammeln von Nutzerdaten regelt, sollte die ePrivacy-Verordnung die „Vertraulichkeit der elektronischen Kommunikation“ gewährleisten. Geschäfte mit dem Auswerten von Metadaten sollten eingeschränkt werden.


Allerdings umfasste die Reform noch weitere Punkte, wie zum Beispiel die strikteren Vorgaben für das Datensammeln über Cookies, sowie ein starker Privatsphäre-Schutz als Standardeinstellung in den Browsern. Und genau an dieser Stelle findet sich das Kernproblem, dass die Verhandlungen ins Stocken brachte. Sowohl europäische Digital-Wirtschaftsverbände, als auch zahlreiche Presseverlage protestierten gegen die Reform.


Wie das für den Binnenmarkt zuständige Kommissionsmitglied Thierry Breton am Dienstag, den 03. Dezember bekannt gab, wird, nachdem frühere Gespräche keine Einigung zwischen den Mitgliedstaaten erzielt hatten, ein neuer Vorschlag zum Schutz der Privatsphäre im Internet vorgelegt.


Diese überarbeiteten Maßnahmen sollen dazu dienen, einen Konsens zwischen den EU-Ländern über die ePrivacy-Verordnung zu finden nach der Technologieunternehmen, die Nachrichten- und E-Mail-Dienste anbieten, den gleichen Datenschutzbestimmungen unterliegen wie Telekommunikationsanbieter.


"Wir müssen einen neuen Vorschlag auf den Tisch legen, weil ich definitiv glaube, dass jeder etwas tun will, aber offensichtlich sind Sie nicht einverstanden" sagte Breton am Dienstag vor dem Rat Verkehr, Telekommunikation und Energie.


Er fügte jedoch hinzu, dass die bisherige Arbeit dazu führen würde, dass der Prozess nicht ganz "von vorne" beginnen würde.


"Also schlage ich vor, dass wir für die nächste Präsidentschaft einen neuen Vorschlag auf den Tisch legen, der offensichtlich all Ihren Anliegen und Interessen entspricht, denn ich glaube wirklich, dass es im Hinblick auf unsere Mitbürger dringend notwendig ist, voranzukommen."


Doch hinter vorgehaltener Hand fürchten einige Stimmen, dass eine kleine Gruppe von Staaten auch weiterhin jeglichen Fortschritt blockieren könnte. Die EU-Staaten würden damit eine Chance verpassen, das große Datensammeln im Internet einzuschränken.

03.12.2019

Arbeitnehmer vornehmliche Schwachstelle für Cybersicherheit


Cyber-Kriminalität ist in den deutschen Unternehmen fast alltäglich. Als die größte Schwachstelle für die IT-Sicherheit gelten die eigenen Mitarbeiter.

Eine Studie der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft RSM International hat in Zusammenarbeit mit europäischen Unternehmen, die sich am European Business Award beteiligt haben, eine Umfrage zum Thema digitale Transformation und Cybersicherheit durchgeführt.


Wesentliche Ergebnisse dieser Studie zeigen auf, dass fast die Hälfte erfolgreicher Cyberangriffe auf unzureichend geschulte Mitarbeiter abzielen.


Die Studie, bei der 597 Entscheidungsträger aus 33 europäischen Ländern befragt wurden, deutet darauf hin, dass die Arbeitnehmer das schwache Glied in Bezug auf die Sicherheit in vielen europäischen Unternehmen sind. Ungefähr die Hälfte der erfolgreichen Angriffe richteten sich per E-Mail an Mitarbeiter mit sog. Phishing-Aktivitäten. Ein Teil der Unternehmen führen immer noch keine Cybersicherheitstrainings für ihre Mitarbeiter durch. Dieses sogenannte Social Engineering beinhaltet die gezielte Beeinflussung von Mitarbeitern, um sie beispielsweise zur Preisgabe von vertraulichen Informationen zu bewegen.


Weiterhin zeigt die Studie, dass zwei Drittel der Angriffe von den betroffenen Unternehmen nicht öffentlich gemacht wurden, obwohl diese Verstöße nach der Datenschutz-Grundverordnung meldepflichtig waren. Nur knapp ein Viertel der Unternehmen entscheiden sich dafür, die Aufsichtsbehörde und/oder andere zuständige Behörden nach einem Verstoß zu informieren.


Awareness erzeugen und Unternehmen schützen


Hinzu kommt ein Gefühl von Ohnmacht und Apathie bei den befragten Unternehmen, da viele der Befragten glauben, dass Hacker einfallsreicher seien als die Entwickler von Sicherheitssoftware.


Doch genau dieser passiven Duldung gilt es, entgegen zu treten und Unternehmen und vor allem die Mitarbeiter fit und aufmerksam im Bereich der IT-Sicherheit zu machen.


Nur durch Transparenz, Sensibilisierung und Beseitigung von Unklarheiten lassen sich Reputationsschäden durch Cyberangriffe vermeiden und Schäden minimieren.


Das Thema digitale Transformation hat bei 80 Prozent der befragten europäischen Unternehmen eine hohe strategische Priorität, aber nur 34 Prozent verfügen über eine Cybersicherheits-Strategie – 21 Prozent haben in dieser Hinsicht überhaupt keine Strategie. Dennoch zeigen sich mittelständische Unternehmen gegenüber dem Cyberrisiko unempfindlich: 86 Prozent gaben an, dass das erhöhte Risiko von Cyberangriffen sie nicht davon abgehalten hat, in die digitale Transformation zu investieren. 29 Prozent der Unternehmen sehen als wesentlichen Faktor für ihr Umsatzwachstum die Investitionen in digitale Technologien.


Mitarbeitern den Rücken stärken


Studien der Hightech-Verbandes Bitkom zeigen auf, dass Schulungen von Mitarbeitern zu IT-Sicherheit auch 2019 noch kein Standard sind. Zwar haben nahezu alle Unternehmen eine IT-Sicherheitslinie oder planen und implementieren sie gerade. Die Mehrheit der Unternehmen informiert die Mitarbeiter, etwa per E-Mail oder Flyer. Dabei bleibt es in den meisten Fällen. Lediglich die Hälfte der Unternehmen setzen auf Schulungen – und meist nur dann, wenn es einen konkreten Vorfall gegeben hat. Anlassunabhängige, regelmäßige Schulungen gibt es nur bei ca. einem Drittel der befragten Unternehmen.


"Vier von zehn Beschäftigten bekommen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihren Arbeitgebern", sagte Bitkom-Präsident Professor Dieter Kempf zum Start der IT-Sicherheitsmesse IT-SA in Nürnberg. "Vor allem viele kleine und mittelständische Unternehmen unterschätzen die Risiken durch Computer- und Internetkriminalität." Der richtige Umgang der Mitarbeiter mit Computern, mobilen Geräten und Internet sei eine zentrale Voraussetzung, um die Gefahren für die Unternehmen einzudämmen.


Sorgen Sie also vor und sichern Sie Ihr Unternehmen und Ihre Mitarbeiter ab. Gerne unterstützen unsere Experten von OPTIQUM Sie mit individueller Beratung, entsprechenden Schulungen und Workshops. Sprechen Sie uns einfach an.

12.11.2019

„Need-to-know“ oder die Frage nach dem Zugriff auf Informationen.

Immer wieder tauchen in Unternehmen die Frage auf: Wer darf eigentlich Zugriff auf die Daten haben? Wer nicht? Und wie wird dies geregelt?

Geheime und personenbezogene Informationen müssen besonders geschützt werden – das ist soweit klar. Doch was in der Theorie einfach benannt wird, gestaltet sich in der praktischen Umsetzung oft gar nicht mehr so simpel. Denn wie definiert man den Personenkreis, der Zugang zu den sensiblen Daten haben darf?


Um weitreichend sicher zu gehen, dass unternehmensrelevante schützenswerte Informationen nicht an Unbefugte gelangen, muss die Berechtigung und der Zugang kontrollierbar sein. Um dies zu gewährleisten, sollte Berechtigung zum Datenzugriff nur denjenigen Personen gestattet sein, die zwingend mit eben jenen Informationen umgehen müssen. Diese „Kenntnis nach Bedarf“, oder auch „Need-to-know-Prinzip“, beschreibt ein detailliertes, schriftliches Berechtigungskonzept, mit dem Unternehmen unbefugtem Zugriff auf Daten entgegenwirken können.


In diesem Berechtigungskonzept werden Zugriffsregeln auf Daten für einzelne Nutzer bzw. Nutzergruppen festgelegt. Außerdem werden dort alle Prozesse, die die Umsetzung des Berechtigungskonzepts betreffen beschrieben, wie z.B. das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen.


Über individuell zugewiesene Zugriffsrechte wird geregelt, welcher Mitarbeiter im Rahmen ihrer Funktion bevollmächtigt wird, Informationen und Daten zu nutzen und anzuwenden. Hierbei ist es nützlich, die Stellen- und Funktionsbeschreibung der betreffenden Person heranzuziehen.


Lesen, Schreiben, Bearbeiten, Kommentieren und auch das Löschen von Daten wird so von der Funktion abhängig gemacht, die eben jener Mitarbeiter wahrnimmt. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Vermieden werden sollte hierbei die Berechtigungsvergabe auf Grund von Hierachiestufen innerhalb des Unternehmens.


Es kann natürlich vorkommen, dass ein Mitarbeiter aus wichtigen Gründen auf Informationen zugreifen muss, die nicht in seinem Berechtigungsbereich liegen. In diesem Fall muss der Zugriff durch die Organisationsleitung genehmigt werden. Hierbei ist es empfehlenswert, dass das Vier-Augen-Prinzip angewendet wird, um unerlaubte Datenverwendung oder Datenentwendung vorzubeugen.


Übrigens: Auch in der analogen Verwendung ist auf Datenschutz zu achten! Wenn zum Beispiel im Teammeeting und bei Besprechungen Hand-Outs verteilt werden, auf denen vertrauliche Daten stehen, dann müssen Sie darauf achten das auch diese nicht in unbefugte Hände geraten. Sammeln Sie beispielsweise die Ausdrucke im Anschluss an das Meeting wieder ein oder kennzeichnen sie als vertraulich, um die Mitarbeiter zu animieren, die notwendige Sorgfalt im Umgang mit diesen Ausdrucken und Informationen walten zu lassen.


Und berücksichtigen Sie: Unternehmen dürfen nur jene Daten erfassen, die Sie auch benötigen. Eine anlasslose Vorratsdatenspeicherung ist nicht erlaubt.

Zusammenfassend sind die wichtigsten Inhalte eines Berechtigungskonzepts:

  • Die schriftliche Niederlegung, also Dokumentation, des Berechtigungskonzeptes mit klar gegliederten individuellen Rechten des jeweiligen Nutzers für das Lesen, Bearbeiten und Löschen von Informationen. Hierbei müssen auch die entsprechenden Vertretungsregeln beachtet und festgehalten werden.
  • Der Umgang bei Ausscheiden eines Mitarbeiters aus dem Unternehmen oder auch bei Abteilungswechsel mit den entsprechenden Zugriffsrechten. (In manchen Unternehmen ist der Auszubildende, der jede Abteilung durchlaufen hat, der Mitarbeiter mit den meisten Zugriffsrechten und dem höchsten Informationsstand!)
  • Der Prozess und die Verantwortlichkeit zur Vergabe, Erweiterung, Beschränkung und Entzug von Rechten. Hierbei muss auch festgelegt werden, wie genau die Kommunikation diesbezüglich im Unternehmen verläuft.

Um zu gewährleisten, dass das Berechtigungskonzept wirkungsvoll greift, bedarf es einer regelmäßigen Überprüfung des Konzeptes auf Aktualität. Denn jedes Unternehmen unterliegt in der Mitarbeiter- und Organisationstruktur einem stetigen Wandel.


Für Unternehmen ergeben sich bei ordnungsgemäßer Umsetzung des Need-to-Know-Prinzips neben dem Aspekt der Datenschutz-Compliance weitere Vorteile wie etwa der erhöhte Schutz unternehmenskritischer Informationen und des internen Know-hows. Somit kommen einzelne Maßnahmen der Datenschutz-Einhaltung nicht nur dem Schutz personenbezogener Daten zugute, sondern es wird hierdurch die gesamte Datensicherheit in Unternehmen erhöht und damit auch deren Wettbewerbsfähigkeit gesichert.


Gerne beraten unsere Experten von OPTIQUM sie hierzu und beantworten Ihre Fragen. Rufen Sie uns einfach an unter +49 221 82 95 910

08.11.2019

Umfrage des Branchenverbandes

Effektiver, ausgeklügelter, häufiger: Cyberattacken auf deutsche Unternehmen steigen stark an.


Das ist das Ergebnis einer Umfrage des Branchenverbandes Bitkom unter über 500 Geschäftsführern und Sicherheitsverantwortlichen aller Industriebranchen, die am 06.November veröffentlicht wurde. So sind mittlerweile 3 von 4 Unternehmen betroffen und wurden Opfer von Datendiebstahl und Spionage.


Diese kriminellen Attacken erzeugen deutschlandweit Schäden in Rekordhöhe –zusammengenommen aus analogen und digitalen Angriffen entsteht jährlich in der deutschen Wirtschaft ein Gesamtschaden von mehr als 100 Milliarden Euro. Im Vergleich dazu waren es vor zwei Jahren mit 55 Milliarden Euro pro Jahr knapp die Hälfte dieser Summe.


Digitale Angriffe haben in den vergangenen beiden Jahren bei 70 Prozent der Unternehmen einen Schaden versursacht, im Jahr 2017 waren es erst 43 Prozent. Zu erklären ist dies mit der starken Professionalisierung innerhalb des Cybercrime. Statt Freizeithackern bilden sich professionelle Cybercrime-Konsortien, die gut ausgerüstet und technologisch hoch versiert im Auftrag zum Zweck der Wirtschaftsspionage bzw. Sabotage arbeiten oder sich mit der Erpressung von Lösegeld durch Ransomware finanzieren.


Auch die starke und notwendige Vernetzung deutscher Unternehmen im Zeitalter der Industrie 4.0 birgt viele Risiken und ermöglicht Cyberkriminellen, häufiger Schwachstellen auszuloten und zu nutzen.
Die Konsequenzen eines Cyberangriffes können für die betroffenen Unternehmen fatal sein. Denn Imageschäden und der Verlust hochsensibler Daten und der Vertrauensverlust bei Kunden und Partnern sind neben der für die Entdeckung und Beseitigung eben jener Attacken anfallenden hohen Kosten oft die Folge.


Vor dem Hintergrund dieses Bedrohungsszenarios ist es allerdings wenig verständlich, warum viele Unternehmen in puncto IT-Sicherheit und Datenschutz weiterhin lediglich Stückwerk betreiben. Während sich die Szene der Cyberkriminellen organisiert und professionalisiert, verharren manche Firmen bei Schutzstandards und -prozessen, die deutlich in die Jahre gekommen sind.


Ein wichtiger Schritt in die richtige Richtung ist es, sich dem allgemeinen Problem zu stellen und alle Mitarbeiter für die Möglichkeit eines Cyberangriffes zu sensibilisieren. Unternehmen benötigen einen ganzheitlichen strategischen Ansatz, um ihre Sicherheitsrisiken zu minimieren. Nur eine Zusammenführung und umfassende Analyse aller sicherheitsrelevanten Daten aus der IT-Infrastruktur ermöglicht es effektiv, die Risiken von erfolgreichen Angriffen deutlich zu senken.


Auch auf Ebene der EU ist man sich der Herausforderungen durch Angriffe aus dem Web bewusst. Neben dem Beschluss der DSGVO wurde bereits im Juli 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen verabschiedet. Mit dieser Richtlinie werden Betreiber so genannter „kritischer Infrastrukturen“, also Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie z.B. Energieversorger, in die Pflicht genommen für Maßnahmen gegen Cyberattacken zu sorgen.


All diese Entwicklungen zeigen, dass Angriffe aus dem digitalen Bereich ernsthafte Bedrohungen für alle Branchen und Unternehmensformen darstellen. Unternehmern sei geraten, sich dem Risiko von möglichen Cyberattacken bewusst zu werden und die entsprechenden adäquaten Sicherheitsvorkehrungen zu treffen.

Gerne beraten wir von OPTIQUM Sie dazu. Sprechen Sie uns einfach an.

25. Oktober 2019

Unternehmen drohen höhere Bußgelder

Der DSGVO-Bußgeldkatalog ist da!

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Ihr Konzept zur Berechnung von Bußgeldern in Verfahren gegen Unternehmen veröffentlicht. Das Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO).

Die Bußgeldzumessung soll in fünf Schritten erfolgen, um eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung zu gewährleisten:

  1. Zuordnung des Unternehmens zu einer Größenklasse,
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation dieses Grundwertes mittels eines von der Schwere der Tatumstände abhängigen Faktors
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände

 

Schon im September diesen Jahres trat der Bundesbeauftragte für Datenschutz, Ulrich Kelber deutlich für die Durchsetzung des Datenschutzes ein und kommentierte: „Die Zurückhaltung der Datenschutzbehörden wird natürlich auch immer weniger werden“ und betont, es werde bald auch in Deutschland Bußgelder „in Millionenhöhe“ geben.

So zeichnet sich schon vor Veröffentlichung des Bußgeldkataloges eine drastische Erhöhung der DSGVO-Bußgelder in Deutschland ab. Allerdings ist es möglich, dass aufgrund neuer Erkenntnisse aus den Abstimmungen mit dem Europäischen Datenschutzausschuss (EDSA) Änderung hinsichtlich Konzept und praktischer Handhabe in der Zukunft möglich sein können. Vorerst gilt jedoch das von der DSK ausgearbeitete Bußgeldkatalog mit der Folge der höheren Bußgelder, besonders für große Unternehmen.


Aktuelles Thema ist dies auch in Berlin – hier sollen in absehbarer Zeit Datenschutz-Bußgelder in zweistelliger Millionenhöhe verhängt werden. Aus rechtlichen Gründen im laufenden Verfahren wird das betroffene Unternehmen nicht benannt. Bekannt wurde aber, dass ein weiteres Unternehmen, die Online-Bestellplattform Delivery Hero Germany GmbH, mit Bußgeldern in Höhe von insgesamt knapp 200.000 Euro belegt wurde. Die Höhe der Bußgelder unterscheidet sich damit deutlich von den bis dato vergebenen Strafbeträgen, die in der Spitze bei 50.000€ lagen.


Einen aktuellen Überblick über die Bußgelder und Sanktionen, die die Datenschutzbehörden in der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt haben, können Sie hier einsehen: http://www.enforcementtracker.com/


Sorgen Sie also vor und sichern Sie sich ab.

OPTIQUM kann Sie beim Umsetzen eines sinnvollen Datenschutz Konzeptes unterstützen. Beginnend mit einem Datenschutz Audit in Ihrem Unternehmen oder bei Ihren Auftragnehmern bis hin zur Umsetzung eines Datenschutzmanagementsystems nach BS 10012:2017.

 

Rufen Sie uns einfach an. +49 221 82 95 910