Kategorie: Coronavirus

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es “keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Zoom will Sammelklage mit Millionenzahlung beilegen

4. August 2021

In mehreren Klagen sieht sich der Videokonferenzanbieter Zoom Vorwürfen ausgesetzt, einerseits gegen Datenschutzvorgaben zu verstoßen und andererseits nicht genug gegen sog. “Zoombombing” unternommen zu haben. Mit der Zahlung von 85 Millionen Dollar will Zoom diese Sammelklagen jetzt außergerichtlich erledigen. Aus Gerichtsdokumenten geht hervor, dass Zoom kein Fehlverhalten eingesteht. Der Vergleich muss noch von der zuständigen US-Bezirksrichterin angenommen werden.

Der Vorwurf, gegen Datenschutzvorgaben verstoßen zu haben, beruht auf der Weitergabe von personenbezogenen Daten der Nutzer an Facebook, LinkedIn und Google. Unter “Zoombombing”, dem anderen Vorwurf, versteht man das Zuschalten von fremden Personen mit dem Ziel, die Videokonferenz zu stören. Nutzer sind hierbei zum Teil schwer beleidigt worden. Um diese Störungen zu vermeiden, hat Zoom bereits im vergangenen Jahr mit Codes das zufällige Zuschalten zu fremden Videokonferenzen erheblich erschwert.

Ursprünglich war Zoom eine Anwendung, die hauptsächlich von Unternehmen genutzt wurde. Im Rahmen der Corona-Pandemie vergrößerte sich der Nutzerkreis stetig, sodass auch Home Office und Home Schooling über Zoom organisiert wurde bzw. wird.

Digitales EU-COVID-Zertifikat auf der Zielgeraden – ein Überblick zum “CovPass”

7. Juni 2021

Die EU-Kommission veröffentlichte Anfang Juni Neuigkeiten zum länger geplanten, digitalen Zertifikat: Die Technik für das Zertifikat ist offiziell online. Mit Bulgarien, Dänemark, Griechenland, Kroatien, Tschechien und Polen haben die ersten Länder den digitalen Nachweis bereits offiziell eingeführt und teilen Zertifikate aus. Auch Deutschland hat sich bereits an das sogenannte EU-Gateway angeschlossen, auch wenn das Zertifikat noch in der Testphase ist. Das kommende Zertifikat nennt sich “CovPass” und ist ein Projekt des Robert-Koch-Instituts. Dieses präsentiert die App bereits im Internet. Sie soll spätestens bis Ende Juni für alle Bürger nutzbar sein.

Das digitale EU-COVID-Zertifikat beruht auf einer EU-Verordnung, die ab dem 1. Juli in Kraft tritt. Den Mitgliedsstaaten bleibt es aber freigestellt, das Zertifikat auch vorher schon zu verwenden, vorausgesetzt die nationale Variante besteht die technischen Tests. Es werden drei Zertifikate umfasst: ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat. Es soll im Sommer ein unkompliziertes Reisen und einheitliche Sicherheitsstandards innerhalb Europas gewährleisten, es ist jedoch keine notwendige Voraussetzung für eine Reise.

Wem steht das Zertifikat zu?

Alle EU-Bürger können ein solches Zertifikat erhalten. Es gilt für Geimpfte, Genesene oder negativ Getestete. Als geimpft gilt jeder, der die entsprechenden Schutzimpfungen von Moderna, Astrazeneca, BioNTech oder Johnson & Johnson erhalten hat. Die letzte Impfung muss dabei mindestens 14 Tage her sein. Genesen ist der, der einen nachweislich positiven PCR-Test hatte, dieser darf nicht älter als 6 Monate sein. Für diejenigen, die weder geimpft noch genesen sind, gibt es die Möglichkeit, ein Zertifikat als negativ-getestete Person zu bekommen. Dafür muss ein aktueller Antigen-Test vorliegen oder ein PCR-Test, der nicht älter ist als 72 Stunden.

Wo bekomme ich das Zertifikat?

Ausstellen sollen das Zertifikat zunächst Impfzentren, Hausärzte und Krankenhäuser. Ob auch Apotheken bei Vorlage eines Impfausweises ein Zertifikat ausstellen dürfen, wird zur Zeit noch diskutiert. Das Zertifikat wird in digitalem Format ausgestellt, kann aber auf einem Smartphone und auf Papier vorgelegt werden. Es wird unentgeltlich ausgestellt.

Wie funktioniert das Zertifikat und was ist mit meinen Daten?

Das Zertifikat wurde während seiner Planungsphase u.a. aufgrund datenschutzrechtlicher Bedenken kritisiert. Mittlerweile hat sich die EU geeinigt. Das Zertifikat soll einen QR-Code und eine Signatur enthalten. Angezeigt werden Name und Geburtsdatum des Inhabers. Im QR-Code selbst verbergen sich Informationen zur Impfung oder zu Testergebnissen. Gespeichert werden konkret beim Impfzertifikat Impfstoff und Hersteller, Anzahl der verabreichten Dosen und Datum der Impfung; beim Testzertifikat die Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis; und beim Genesungszertifikat Datum des positiven Testergebnisses und Geltungsdauer. Die EU-Kommission betont, dass alle persönlichen Daten allein auf dem mobilen Endgerät gespeichert werden. Entgegen der Befürchtung von Datenschützern gibt es also keine zentrale Stelle, die diese Daten speichert.

Jede ausstellende Stelle (bspw. ein Impfzentrum) hat zusätzlich eine eigene Signatur, welche in dem Zertifikat gespeichert wird. Diese Signatur wird zu Kontrollzwecken in einer EU-weiten Datenbank gespeichert und kann über das Gateway überprüft werden. Dies betrifft den einzelnen Bürger aber nicht in seinen Daten.

Das Zertifikat kann bei Bedarf vorgelegt und gescannt werden, bspw. am Flughafen. Wird das Zertifikat erkannt, soll ein grünes Licht bei dem Scanner leuchten, die Person darf passieren. Dabei soll nicht ersichtlich sein, weswegen das Zertifikat ausgestellt wurde. Umstehende (auch bspw. Mitarbeiter am Flughafen) wissen also nicht, ob die Person geimpft, genesen oder negativ getestet ist. Leuchtet das Licht rot, ist das Zertifikat nicht gültig. Bei diesem Vorgang werden keine personenbezogenen Daten an andere EU-Staaten weitergegeben.

Weitere Antworten zu Detailfragen, sowie eine aktuelle Übersicht aller Länder die bereits Zertifikate ausstellen, sind auf den Seiten der europäischen Kommission zu finden.

Verwaltungsgericht Hamburg – Testpflicht für Schüler im Klassenraum verletzt den Datenschutz

14. Mai 2021

Nach einer Entscheidung des Hamburger Verwaltungsgerichts muss sich ein Grundschüler nicht an seiner Schule auf Corona testen lassen, um am Präsenzunterricht teilnehmen zu dürfen. Laut Beschluss vom 29. April (Az.: 2 E 1710/21) reiche ein negatives Ergebnis aus einem anerkannten Schnelltestzentrum, welches maximal 24 Stunden alt sei.

Die Schulbehörde hat gegen die Eilentscheidung Beschwerde beim Oberverwaltungsgericht eingelegt, wie ein Gerichtssprecher am Mittwoch mitteilte. Der Schüler hatte sich zu Hause testen lassen und der Schule nur das Ergebnis mitteilen wollen. Einen solchen Selbsttest akzeptiere das Verwaltungsgericht nicht. Eine Bescheinigung von einem Testzentrum sei schon erforderlich.

Seit dem 6. April müssen sich Schüler in Hamburg zweimal pro Woche unter Aufsicht an der Schule testen, wenn sie am Präsenzunterricht teilnehmen wollen. Als einzige Alternative ist ein PCR-Test erlaubt, der nicht älter als 48 Stunden sein darf.

Laut Verwaltungsgericht verletzt die Testpflicht an der Schule den Datenschutz, zumindest wenn ein Test positiv ausfällt und das Ergebnis an das Gesundheitsamt weitergeleitet werden muss. „Die derzeitige Ausgestaltung der testabhängigen Zugangsbeschränkung verstößt nach summarischer Prüfung gegen die Vorschriften der Datenschutzgrundverordnung”, so laut Beschluss. Die Datenerhebung setze Freiwilligkeit voraus. Die Alternative Homeschooling bedeute allerdings einen Nachteil für den Schüler, er könne sich darum nicht freiwillig entscheiden. Damit stützt das Gericht die Linie des Thüringer Datenschutzbeauftragten Lutz Hasse. Er sieht durch die Testpflicht im Klassenraum die Rechte der betroffenen Schüler massiv beeinträchtigt und verlangt von Schulen zumindest eine Einverständniserklärung der Eltern für dieses Procedere einzuholen.

Weshalb Fotos vom Impfausweis besser nicht gepostet werden

5. Mai 2021

Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.

Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.

Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.

Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.

Sicherheitsexperten kritisieren Luca-App

3. Mai 2021

Nachdem bereits die Datenschutzkonferenz des Bundes und der Länder (DSK) der Luca-App Mängel attestiert hatte, hat sich nun auch eine Gruppe führender IT-Sicherheitsexpertinnen und -experten kritisch über die App geäußert, welche bereits durch einige Bundesländer erworben wurde und die Kontaktnachverfolgung in der Corona-Pandemie erleichtern soll. Die App weise demnach derart schwerwiegende Defizite auf, dass die mit der Nutzung einhergehenden Risiken gegenüber dem Nutzen der Anwendung “völlig unverhältnismäßig” seien.

Wesentliche Prinzipien seien nicht erfüllt

In der gemeinsamen Stellungnahme kritisieren die Expertinnen und Experten nicht das Vorhaben der technischen Kontaktnachverfolgung per se, dieses könne – wenn richtig eingesetzt – ein wirksames Mittel zur Pandemie-Bekämpfung darstellen, indem die Arbeit der Gesundheitsämter vereinfacht wird. Jedoch erfülle die Luca-App nicht die sicherheitsrelevanten Prinzipien der Zweckbindung, Offenheit/Transparenz, Freiwilligkeit und Risikoabwägung.

Intransparent, unfreiwillig und unsicher?

Zweckbindung bedeute im Rahmen der Kontaktnachverfolgung, dass die erhobenen Daten nur zum Zwecke der Pandemiebekämpfung eingesetzt werden dürfen. Weil jedoch bereits weitere Geschäftsmodelle mit der App als Basis diskutiert würden, sei dieses Kriterium nicht erfüllt. In diesem Zusammenhang wird auch die Gewinnerzielungsabsicht des Betreibers kritisch betrachtet. Zudem wird der Entwicklungsprozess des Systems als intransparent bezeichnet und dem Entwickler vorgeworfen, dass “selbst leicht zu findende Sicherheitslücken” erst im laufenden Betrieb entdeckt wurden. Schließlich könne auch nicht mehr von einer freiwilligen Nutzung gesprochen werden, wenn die Verwendung der App zur Voraussetzung der Teilhabe am gesellschaftlichen Leben gemacht wird.

Besonders kritisiert wird die mangelhafte Nutzen-Risiko-Abwägung. Einerseits sei bereits der Nutzen für die Gesundheitsämter fraglich, wenn die Auswertung weiterhin manuell erfolge. Zudem könnte auch die App mit falschen Daten gefüttert bzw. manipuliert werden. Sicherheitsrisiken bestünden auch hinsichtlich der erhobenen Daten selbst. Diese seien besonders sensibel, würden aber zentralisiert und auf Vorrat gespeichert. Bereits aus Metadaten ließen sich Bewegungsprofile erstellen, sodass auch eine doppelte Verschlüsselung keinen vollständigen Schutz biete. Ohnehin seien die zentral gespeicherten Daten kaum vor Angriffen zu schützen. Insgesamt seien somit die mit der Nutzung verbundenen Risiken “völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.”

Betreiber weisen Kritik zurück

Patrick Hennig, Geschäftsführer der der Culture4Life GmbH, die das Luca-System betreibt, wies die geäußerte Kritik zurück. Die App sei transparent und werde den Nutzern nicht aufgezwungen. Auch sei das System sicher, trotz der zentralisierten Struktur. Dies sei auch bei vielen anderen Systemem – wie im Finanzsystem, der Gesundheitsakte oder bei den Gesundheitsämtern – üblich, und durch eine umfassende dezentrale Verschlüsselung seien die Daten nicht durch eine einzige Partei lesbar.

Kategorien: Allgemein · Coronavirus
Schlagwörter: ,

Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen

28. April 2021

Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.

Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.

1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten

Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.

2. Vertraulichkeit der Testergebnisse

Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.

3. Dokumentation der Testergebnisse

Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.

Aktuelle Entwicklung rund um den (digitalen) Impfausweis

26. April 2021

Der Impfausweis ist momentan ein so reges Gesprächsthema wie selten zuvor. Noch vor ein paar Tagen warnte das Bundesgesundheitsministerium (BMG) auf Twitter davor, Fotos vom Eintrag der Covid-19-Impfung im Impfausweis in sozialen Netzwerken zu posten. Dies erfolgt vor dem Hintergrund, dass es sich bei den abgebildeten Informationen um sensible, persönliche Gesundheitsdaten handelt, die von Kriminellen missbraucht werden können. Auch können mithilfe solcher Fotos Fälschungen von Impfpässen angefertigt werden, ein Umstand der in den letzten Wochen für Aufsehen sorgte.

Dementsprechend könnte man sich fragen, ob nicht etwa ein digitaler Impfpass sicherer wäre. Die EU-Staaten planen etwa ein einheitliches “digitales, grünes Zertifikat” für den kommenden Sommer. Ein solches soll Geimpfte, Genesene und solche mit negativem Testergebnis ausweisen und so vor allem Reisen einfacher möglich machen. Der Nachweis soll aus einem QR-Code und einer Signatur bestehen und auf einem mobilen Gerät gespeichert werden können. Technisch soll das Ganze möglich sein, indem jede ausstellende Stelle einen eigenen Signaturschlüssel bekommt. Diese Schlüssel werden in einer EU-weiten, sicheren Datenbank gespeichert. Personenbezogene Daten sollen dabei, laut Europäischer Kommission, nicht übermittelt werden.

Trotzdem kommt Kritik an dem Vorhaben auf. Problematisch scheint hier vor allem, ob wirklich ein umfassender Datenschutz gewährleistet werden kann. So betonte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski in einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA), dass es keine Datenbank mit personenbezogenen Daten auf EU-Ebene geben dürfe. Auch müsse klar geregelt werden, welche Daten wann und wie lange verwertet werden dürfen.

Eine Positionierung des europäischen Parlamentes diesbezüglich wird am 29.04. erwartet. Dabei sollten auch offene, datenschutzrechtliche Fragen geklärt werden.

Die entsprechenden Systeme für den Ausweis müssen auf nationaler Ebene von den Mitgliedsstaaten eingerichtet werden. Auf deutscher Ebene soll dieser Nachweis als Modul in die Corona-Warn-App integriert werden. Der analoge Ausweis soll durch einen digitalen nur ergänzt und nicht ersetzt werden, wie das BMG betont. Ob ein solcher digitaler Ausweis in der Praxis dann tatsächlich mehr Vorteile bringt als der analoge, wird abzuwarten sein.

Neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie)

8. April 2021

Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.

Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.

Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.

Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.

Datenpanne in Corona-Testzentren

26. März 2021

Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.

Was ist passiert?

Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.

Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.

Das Problem ist behoben

Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.

1 2 3 4