Datenschutz

Personaldaten: DSGVO diktiert die Regeln

Posted on by Hinken Coaching

Personaldaten in den Datenraum? Das müssen Vorstände beim Datenschutz beachten

09.07.2019 – München: In deutschen Unternehmen gibt es einen Bereich, in dem Datenverarbeitung immer gleichbedeutend mit der Verarbeitung personenbezogener Daten ist: Human Resources. Denn Personaldaten haben definitionsgemäß stets einen Personenbezug und weisen damit in den meisten Fällen einen erhöhten Schutzbedarf auf. 

DSGVO diktiert die Regeln

Selbstverständlich sind personenbezogene Daten nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung angemessen zu schützen. Bereits das Bundesdatenschutz-gesetz (alt) formulierte konkrete Regeln für den Umgang mit personenbezogenen Daten, die auch unter der DSGVO weiter Bestand haben:

  • Rechtsgrundlage  zur Datenverarbeitung ist erforderlich
  • Daten dürfen nicht unbegrenzt gespeichert werden
  • Verarbeitung der Daten darf nur für den beabsichtigten Zweck erfolgen
  • Datenschutzverletzungen sind meldepflichtig
  • Daten sind angemessen zu schützen

Doch darüber hinaus fordert die DSGVO bei Zuwiderhandlungen empfindliche Strafen – vorgesehen sind Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes[1]. Besonders heikel: Pflichtverletzungen im Datenschutzbereich können Geschäftsführer und Vorstände persönlich ersatzpflichtig machen; diese haften dann gegebenenfalls auch mit ihrem Privatvermögen[2]. In Extremfällen können sogar Gefängnisstrafen verhängt werden[3]. Viele Unternehmen setzen daher auf vermeintlich sichere Storage-Angebote wie beispielsweise digitale Datenräume. 

Risiko: Privilegierter Zugriff

Doch selbst, wenn die üblichen „technischen und organisatorischen Maßnahmen“ zum Schutz der Daten getroffen werden, bleibt ein nicht zu unterschätzendes Restrisiko. Dieses Risiko besteht selbst dann, wenn die personenbezogenen Daten in einem virtuellen Datenraum oder einer Business Cloud abgelegt sind. Denn gerade organisatorische Maßnahmen wie etwa sorgfältig durchdachte Rechte- und Rollenkonzepte lassen sich mit verhältnismäßig überschaubarem Aufwand umgehen. Darüber hinaus können sich Administratoren in der Regel privilegierten Zugriff zu den Servern verschaffen und vertrauliche Daten einsehen, manipulieren oder entwenden. Das aber bringt die Verantwortlichen in Bedrängnis, denn diese haben die Integrität der Daten sicherzustellen. 

Abhilfe durch Technik?

Um personenbezogene Daten wie Personaldaten vor Einsicht, Manipulation oder Verlust zu schützen, braucht es eine technische Lösung, die jeglichen – auch privilegierten – Zugriff zuverlässig unterbindet. Herkömmliche Public-Cloud-Angebote können diese Anforderung in der Regel nicht erfüllen. Sogar viele Business Clouds tun sich schwer, unerwünschte Datenzugriffe wirkungsvoll zu unterbinden – die meisten klassischen Server-Infrastrukturen sehen privilegierte Admin-Zugänge vor, beispielsweise zu Wartungs- oder Monitoring-Zwecken. 

Einen besseren Ansatz verfolgen betreibersichere Infrastrukturen[4]: Hier wurden die organisatorischen Schutzmaßnahmen ausnahmslos durch technische Maßnahmen ersetzt, die sich auch mit hohem Aufwand nicht umgehen lassen. Die Server sind hermetisch abgeriegelt, ein privilegierter Admin-Zugriff ist nicht vorgesehen – eine Kenntnisnahme vertraulicher Daten ist ebenso ausgeschlossen wie Diebstahl und Manipulation. Das gilt nicht nur für Administratoren, sondern für alle externen und internen Angreifer. 

Unternehmen, die zur Speicherung und Verarbeitung vertraulicher und personenbezogener Daten auf betreibersichere Cloud- und DatenraumAngebote setzen, sind damit rechtlich auf der sicheren Seite. Stehen die Server noch dazu in einem EU-Land mit besonders hohem Datenschutzniveau wie etwa Deutschland, schafft dies zusätzlich Vertrauen. Die passenden Zertifikate erleichtern den Verantwortlichen überdies die Erfüllung ihrer Rechenschaftspflichten[5]

Betreibersichere Infrastrukturen sind eine noch recht junge Alternative zu herkömmlichen Cloud-Infrastrukturen und werden wegen ihres hohen Datenschutzniveaus seit einigen Jahren zunehmend im geschäftlichen Umfeld eingesetzt. Dazu zählen unter anderem die versiegelte Cloud der Deutschen Telekom und die Sealed Platform der TÜV SÜD-Tochter Uniscon GmbH.

[1]https://dsgvo-gesetz.de/art-83-dsgvo/[2]https://www.rosepartner.de/geschaeftsfuehrerhaftung-datenschutzrecht.html[3]https://diligent.com/wp-content/uploads/2017/11/WP0032_US_The-GDPR-Checklist-for-Directors.pdf[4]https://de.wikipedia.org/wiki/Sealed_Cloud

Cybercrime kostet Unternehmen viel Geld

Posted on by Hinken Coaching

 Immer mehr Unternehmen werden Opfer von e-Crime

In den vergangenen zwei Jahren waren 40 Prozent der Unternehmen in Deutschland von Computerkriminalität betroffen, so die Studie „e-Crime 2015“ der Wirtschaftsprüfungsgesellschaf KPMG. Die Mehrheit der Befragten schätzt das generelle Risiko eines deutschen Unternehmens, Opfer von e-Crime zu werden, als hoch oder sehr hoch ein. Ist ein Unternehmen zum Ziel von Cyberkriminellen geworden, wird es meist teuer. Die durchschnittliche Gesamtschadenssumme über alle Delikte hinweg beläuft sich demnach auf rund 371.000 Euro. Im Einzelfällen können aber auch schnell Schäden von über einer Million Euro auflaufen. Besonders kostenintensiv wird es mit um die 600.000 Euro pro Fall bei der Verletzung von Geschäfts- und Betriebsgeheimnissen sowie der Verletzung von Urheberrechten.

In Freiburg gibt es in der nächsten Woche 3 Live-Hacking-Vorführungen. Diese richten sich zwar an Eltern, können aber gerade kleineren Unternehmen einen Einblick in die Gefahren sehr anschaulich vermitteln. Der Referent, Erwin Markowsky, bietet die Live-Hacking-Vorträge auch für Unternehmen an. http://www.8com.de/

Die Grafik zeigt die durchschnittliche Schadenshöhe pro E-Crime-Fall bei Unternehmen in Deutschland.

Infografik: Cybercrime kommt Unternehmen teuer zu stehen | Statista

Mehr Statistiken finden Sie bei Statista

 

Unkontrollierbare Sicherheitslücke durch USB-Sticks

Posted on by Hinken Coaching

Experten sprechen von einer „Katastrophe für den Datenschutz“

USB-Sticks sind ein unkontrollierbares Einfallstor für Hackerangriffe und Schadsoftware. Das berichtet das ARD-Magazin MONITOR in seiner heutigen Ausgabe (Das Erste, 21.45 Uhr).

Sendetermin

  • Monitor | 31.07.2014, 21.45 – 22.15 Uhr | Das Erste
Logo Monitor
© WDR

Das Magazin zeigt, wie IT-Experten mithilfe infizierter USB-Sticks ganze Rechner fernsteuern können, ohne dass Antivirenprogramme auch nur eine Chance haben, die Schadsoftware zu erkennen. In Deutschland sind fast 100 Millionen USB-Sticks im Umlauf.

Der schleswig-holsteinische Landesdatenschutzbeauftragter Thilo Weichert spricht von einer „Katastrophe für den Datenschutz“ und fordert insbesondere die IT-Industrie auf zu reagieren und beim USB-Standard dringend nachzubessern.

Die Experten um den Berliner IT-Spezialisten Karsten Nohl nutzten im Versuchsaufbau eine Schwachstelle im USB-System aus. Sie manipulierten nicht den eigentlichen Speicherchip des USB-Sticks sondern den eingebauten Prozessor (Microcontroller). Dadurch lässt sich dieser Angriff weder durch Antivirenprogrammen noch durch andere Software verhindern.

Sobald ein ahnungsloser Nutzer den USB-Stick in seinen Rechner steckt, können die IT-Spezialisten mit Hilfe einer virtuellen Tastatur Befehle ausführen. Damit können sie fast alle Daten des fremden Rechners auslesen, auch Passwörter und E-Mail-Inhalte oder andere Geräte wie die Webcam fernsteuern. Das Computer-Betriebssystem des fremden Rechners nimmt den Angriff nicht als Softwareattacke wahr, sondern glaubt, nur Tastenbefehle einer neuen Tastatur zu verarbeiten. So haben die Angreifer den selben Zugriff wie der Nutzer vor Ort.

Der Kryptologe und IT-Sicherheitsexperte Prof. Christof Paar von der Ruhr Universität Bochum spricht von einer „neuen Dimension“, da erstmals nicht der Speicherchip, sondern der eingebaute Prozessor eines USB-Sticks angegriffen wurde. Eine Gefahr, gegen die man sich nicht schützen kann. Denn um die Manipulation zu bemerken müsste man jeden einzelnen Stick im Labor aufwendig untersuchen, erklärte der Wissenschaftler gegenüber MONITOR.

Verlorene Firmenhandys mit sensiblen Daten – Anzahl erschreckend hoch

Posted on by Hinken Coaching

Studie: 4,4 Millionen Deutsche haben schon einmal ihr Firmenhandy

verloren – sensible Daten inklusive

smartphoneKöln, 16.07.2014. 15 Prozent der deutschen Handynutzer haben schon einmal ihr Mobiltelefon verloren. Besonders hoch ist die Zahl unter Mobiltelefon-Nutzern, die ihr Gerät auch für berufliche Zwecke nutzen: Hier ist es mehr als jeder fünfte Befragte (22 Prozent), der sein Mobiltelefon mit zum Teil sensiblen Firmendaten schon einmal verloren hat. Hochgerechnet sind dies rund 4,4 Millionen Menschen.

Am häufigsten verlieren die Handybesitzer ihr Gerät an öffentlichen Orten (35 Prozent) oder in öffentlichen Verkehrsmitteln (23 Prozent). Damit haben in den letzten Jahren mehr als zwei Millionen Menschen ihr beruflich genutztes Mobiltelefon im Bus oder Taxi liegen lassen – und das allein in Deutschland. Dies zeigt eine aktuelle Umfrage des internationalen Marktforschungs- und Beratungsinstituts YouGov, für die rund 1.000 Mobiltelefonnutzer ab 18 Jahren vom 19.06. bis 23.06.2014 befragt wurden.

Obwohl die Themen Datenschutz und Datenskandale immer häufiger Bestandteil der Medienberichterstattung sind, gehen doch viele Handynutzer leichtsinnig mit ihren Geräten um. Und das, obwohl laut einer weiteren YouGov-Studie („Smartphone Mobile Internet eXperience“ (SMIX)) die breite Mehrheit der Smartphone-Nutzer (74 Prozent) angibt, dass ihnen Sicherheit ein sehr wichtiges Thema sei.

Virusanfälligkeit von Smartphones: Über die Hälfte hat keinen Schutz

Doch nicht nur das Verlieren des eigenen Mobiltelefons birgt eine Gefahr für Datenmissbrauch; auch Hackerangriffe können möglich sein. Aber auch in diese Richtung unternehmen die Nutzer laut SMIX-Studie bisher keine besonderen Anstrengungen. Über die Hälfte (52 Prozent) der Befragten hat keine Antiviren-Software auf dem eigenen Smartphone installiert, obwohl das Bewusstsein eines möglichen Cyberangriffs auf Smartphones bei der breiten Mehrheit (89 Prozent) durchaus vorhanden und im Vergleich zu 2012 sogar um sieben Prozentpunkte angestiegen ist.

Wie wichtig ausreichende Sicherheitsvorkehrungen bei Smartphones sind, zeigen die Studienergebnisse ebenfalls: Deutschlandweit sind immerhin bereits rund 1,2 Millionen Smartphone-Nutzer (3 Prozent) Opfer eines Virus geworden und haben dies auch mitbekommen. Die Dunkelziffer liegt vermutlich um ein Vielfaches höher. „Gerade in Zeiten einer permanenten Nutzung des mobilen Internets sollte sich jeder aktiv mit dem Thema Virenschutz auseinandersetzen. Denn der Schaden ist unter Umständen immens, die Brisanz wird in den kommenden Jahren weiter dramatisch zunehmen“, weiß Jens Raabe, Director Telecoms, Technology & Energy bei YouGov.

Studie Smartphone Mobile Internet eXperience (SMIX)

Bei der Studie „Smartphone Mobile Internet eXperience (SMIX)“ von YouGov handelt es sich um eine halbjährlich durchgeführte Repräsentativerhebung zur Entwicklung des Smartphone-Markts Deutschland. Die Studie liefert eine ganzheitliche Betrachtung des Konsumentenverhaltens und gibt u. a. Aufschluss über aktuelles Nutzungsverhalten, Zufriedenheit sowie Anschaffungs- und Wechselplanung der Smartphone-Nutzer, heruntergebrochen auf Smartphone-Hersteller und Mobilfunkanbieter. In der aktuellen Welle wurden 2.205 Smartphone-Nutzer im Zeitraum vom 26.02. bis 10.03.2014 befragt.