14. Dezember 2022
Der aktuelle 11. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) befasst sich mit diesem interessanten Thema aus dem Beschäftigtenkontext:
Bei der Einstellung eines neuen Mitarbeiters gehört es zum Standard, dass dieser eine entsprechende Erklärung zum vertraulichen Umgang mit personenbezogenen Daten bzw. der Einhaltung der datenschutzrechtlichen Anforderungen unterzeichnet.
Einen Mustertext findet man im Kurzpapier Nr. 19 der Datenschutzkonferenz (DSK), das auch im oben genannten Tätigkeitsbericht beiliegt (S. 51).
Das BayLDA erörtert in seinem Tätigkeitsbericht, welche Folgen es hat, wenn ein Beschäftigter sich weigert, die Verpflichtung auf das Datengeheimnis zu unterzeichnen.
Dürfen Beschäftigte ihre Unterschrift verweigern?
Nach Ansicht des BayLDA sei eine Unterschriftsverweigerung irrelevant.
Weigert sich der Arbeitnehmer, die Erklärung zu unterzeichnen, dann reiche es aus, dass der Arbeitgeber den bestehenden Prozess nachweist, den Beschäftigten auf die Einhaltung der datenschutzrechtlichen Pflichten hinweist und auch die Weigerung einschließlich des Umstandes der Weigerung dokumentiert. Zwar sieht das Gesetz dabei kein Formerfordernis für die Verpflichtung vor, dennoch empfiehlt es sich wegen der nachzukommenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO eine unterzeichnete Erklärung des Beschäftigten (in schriftlicher oder elektronischer Form) bereitzuhalten.
Schließlich kann sich durch die Weigerung des Beschäftigten die Einhaltung der datenschutzrechtlichen Pflichten, die sich insbesondere aus der DSGVO ergeben, nicht einfach ausgehebelt werden. Die Stellungnahme des BayLDA dazu ist für Arbeitgeber sehr praxistauglich.
13. Dezember 2022
Der Europäische Gerichtshof (EuGH) entschied am 8 Dezember 2022, dass Suchmaschinenbetreiber nachweislich unrichtige Informationen auslisten müssen.
Der Sachverhalt
Hintergrund der Entscheidung war die Vorlage des Bundesgerichtshofs (BGH) im Rahmen des Vorabentscheidungsverfahrens.
Der Geschäftsführer mehrerer Finanzdienstleistungsunternehmen und die Prokuristin eines dieser Unternehmen hatten gegen Google geklagt. Der Suchmaschinenbetreiber hatte sich geweigert, kritische Artikel auf der Seite eines New Yorker Unternehmens aus seinen Suchergebnissen und Vorschaubildern auszulisten. Dieses Unternehmen stand laut verschiedener Veröffentlichungen unter dem Verdacht, Unternehmen mit negativen Berichten zu erpressen, die es nur gegen Geldzahlung löschte.
Zudem hatte Google Fotos als Vorschaubilder (sogenannte Thumbnails) in der Suchergebnisliste angezeigt, ohne den ursprünglichen Kontext der Veröffentlichung zu benennen. Diese Fotos zeigten die Kläger mit Luxusfahrzeugen, im Innenraum eines Hubschraubers und vor einem Flugzeug.
Datenschutz vs. Informationsrecht
Der EuGH betonte, dass das Recht auf Schutz personenbezogener Daten stets unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden müsse. So stünde es insbesondere im Spannungsverhältnis mit dem berechtigten Interesse der Internetnutzer am Zugang zu Informationen. Ausdruck finde dieses Spannungsverhältnis auch in Art. 17 Abs. 3 DSGVO, der das Recht auf Löschung ausschließe, wenn die Verarbeitung erforderlich zur Ausübung des Rechts auf freie Information sei. Privatsphäre und Datenschutz seien besonders schützenswert und könnten durch Suchmaschinen erheblich beeinträchtigt werden. Daher überwögen diese Rechte im Allgemeinen gegenüber Informations- und Meinungsäußerungsrechten. Doch gerade eine Person des öffentlichen Lebens müsse „ein höheres Maß an Toleranz aufbringen, da sie zwangsläufig und bewusst im Blick der Öffentlichkeit steht“.
Allerdings zog der EuGH eine klare Grenze bei unwahren Tatsachenbehauptungen. Diese seien keineswegs geschützt und in diesem Falle trete das Recht auf freie Information hinter dem Datenschutzrecht zurück. Voraussetzung sei, dass „zumindest ein für den gesamten Inhalt nicht unbedeutender Teil der Information, um die es in dem Auslistungsantrag geht, unrichtig“ sei.
Beweislast liegt bei betroffener Person – Keine Nachforschungspflicht der Suchmaschinenbetreiber
Um eine Auslistung zu erreichen, sei es laut EuGH erforderlich, dass die betroffene Person die Unrichtigkeit eines aufgelisteten Inhalts beweise. Sie dürfe jedoch nicht übermäßig belastet werden. Darum habe sie „lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen.“ Insbesondere könne der Suchmaschinenbetreiber nicht von ihr erwarten, eine gerichtliche Entscheidung als Beweis vorzulegen. Sollte sie jedoch eine solche vorlegen können, genüge dies den Nachweispflichten. Im Gegenzug müsse sich bei Nichtvorliegen einer gerichtlichen Entscheidung die Unrichtigkeit aus den gewählten Nachweisen offensichtlich ergeben. Sofern dem Suchmaschinenbetreiber ein Verfahren bekannt ist, das die Richtigkeit der Information anzweifelt, müsse dieser Internetnutzer in den Suchergebnissen darüber informieren.
Entgegen der Ansicht des Generalanwalts lehnte der EuGH eine aktive Nachforschungspflicht des Suchmaschinenbetreibers ab. Eine solche Verpflichtung bringe die Gefahr mit sich, „dass Inhalte, die einem schutzwürdigen und überwiegenden Informationsbedürfnis der Öffentlichkeit dienen, ausgelistet würden und es somit schwierig würde, sie im Internet zu finden. Insoweit bestünde die reale Gefahr einer abschreckenden Wirkung für die Ausübung der Freiheit der Meinungsäußerung und der Informationsfreiheit, wenn der Betreiber der Suchmaschine eine solche Auslistung nahezu systematisch vornähme, um zu vermeiden, dass er die Last der Ermittlung der Tatsachen zu tragen hat, die für die Feststellung der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts relevant sind.“
Fotos auf Thumbnails als besonders starker Eingriff in die Rechte der betroffenen Person
Zudem wies der EuGH darauf hin, dass die Thumbnails der Bildersuche einen schwerer wiegenden Grundrechtseingriff darstellen können als die Veröffentlichung durch den Herausgeber der Internetseite selbst. Dies gelte insbesondere bei der Anzeige von Fotos bei der namensbezogenen Suche. Das Bild einer Person sei „nämlich eines der Hauptmerkmale seiner Persönlichkeit, da es seine Einmaligkeit zum Ausdruck bringt und es erlaubt, ihn von anderen Personen zu unterscheiden.“ Daher müssten Personen Kontrolle über Bilder von sich haben. Dazu gehöre die Möglichkeit, die Verbreitung zu untersagen. Im Falle eines Auslistungsantrags müsse der Suchmaschinenbetreiber beachten, ob der Kontext, in dem die Suchmaschine das Bild anzeige, mit dem Kontext der ursprünglichen Veröffentlichung übereinstimme. Auch hier sei eine Abwägung der widerstreitenden Interessen erforderlich. Man müsse unabhängig vom Text prüfen, „ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben“.
Auswirkungen auf die Praxis
Die Entscheidung des EuGH bekräftigt erneut das Recht auf Vergessenwerden. Er präzisiert sein Urteil von 2014, in dem er dieses Recht ausformuliert hatte, und konkretisiert die Pflichten sowohl des Suchmaschinenbetreibers als auch der betroffenen Person. In der Praxis wird sich zeigen, inwieweit Suchmaschinenbetreiber wie Google die Nachweispflicht der betroffenen Person auslegen werden, wenn diese keine gerichtliche Entscheidung vorlegen kann.
9. Dezember 2022
Apple stellte am 07.12.2022 drei neue Sicherheitsfunktionen vor, die sich auf den Schutz von Daten in der Cloud beziehen und damit den nächsten Schritt in den laufenden unternehmensinternen Bemühungen darstellen, Nutzerinnen und Nutzern bessere Möglichkeiten zum Schutz ihrer Daten zu bieten.
„Wir bei Apple setzen uns unermüdlich dafür ein, unseren Nutzern die beste Datensicherheit der Welt zu bieten. Wir identifizieren und entschärfen ständig neue Bedrohungen für ihre personenbezogenen Daten auf dem Gerät und in der Cloud”, erklärte Craig Federighi, Senior Vice President of Software Engineering von Apple. „Unsere Sicherheitsteams arbeiten unermüdlich daran, die Daten der Nutzer zu schützen, und mit iMessage Contact Key Verification, Security Keys und Advanced Data Protection for iCloud stehen den Nutzern drei leistungsstarke neue Tools zur Verfügung, mit denen sie ihre sensibelsten Daten und Kommunikationen weiter schützen können.”
iMessage Contact Key Verification
Mit der iMessage Contact Key Verification könnten nach den Angaben von Apple Nutzer:innen sicherstellen, dass sie nur mit den beabsichtigten Personen kommunizieren. Gespräche zwischen Personen, die die iMessage Contact Key Verification aktiviert haben, würden automatisch gewarnt, falls es beispielsweise einem staatlich unterstützten Angreifer gelingen sollte, in den Cloud-Server einzudringen und ein fremdes System einzuschleusen, um diese verschlüsselte Kommunikation zu überwachen. Für noch mehr Sicherheit könnten iMessage-Benutzer einen Kontaktverifizierungscode persönlich über FaceTime oder einen anderen sicheren Anruf austauschen.
Security Keys für Apple ID
Mit Security Keys für Apple ID hätten Nutzer:innen die Möglichkeit, einen Sicherheitsschlüssel zu verwenden, um sich bei ihrem Apple ID Account anzumelden.
Advanced Data Protection für iCloud
Mit der Advanced Data Protection für iCloud, die eine Ende-zu-Ende-Verschlüsselung verwendet, könnten wichtige iCloud-Daten wie beispielsweise iCloud Backups, Fotos und Notizen geschützt werden. Diese Funktion ist somit die wichtigste Neuerung. Die Funktion verhindere somit auch, dass Apple den Inhalt einiger der sensibelsten Daten, die auf seinen Servern gespeichert sind, einsehen könne.
Auch sorge die Funktion dafür, dass die meisten iCloud Daten auch im Falle einer Datenpanne in der Cloud geschützt wären. iCloud schütze aktuell standardmäßig 14 sensible Datenkategorien mit Ende-zu-Ende-Verschlüsselung, darunter Passwörter in iCloud Keychain und Gesundheitsdaten. Für Benutzer:innen, die den erweiterten Datenschutz aktivieren würden, stiege die Gesamtzahl der Datenkategorien, die mit Ende-zu-Ende-Verschlüsselung geschützt würden auf 23. Lediglich iCloud Mail, Kontakte und Kalender seien die einzigen wichtigen iCloud-Datenkategorien, die nicht abgedeckt wären, da sie mit den globalen E-Mail-, Kontakt- und Kalendersystemen interagieren müssten. Verschlüsselte Backups würden laut Apple auf freiwilliger Basis erfolgen und noch vor Ende des Jahres verfügbar sein.
Fazit
Dieser Schritt wird Sicherheitsbefürworter erfreuen, von denen viele zuvor die unverschlüsselten iCloud-Backups als Schwachstelle in Apples Datenschutzpolitik bezeichnet hatten. Es bedeutet auch, dass der Inhalt der Daten im Falle eines Angriffs auf Apples Server nicht zugänglich wäre. Wie Staaten wie die Volksrepublik China und die Russische Föderation darauf reagieren werden, ist bisher noch nicht ersichtlich. Strafverfolgungsbehörden könnte dieser Schritt vor Probleme stellen, da es für Apple unmöglich sein wird, den Behörden den Inhalt eines verschlüsselten Backups zu übermitteln. Das FBI kritisierte die neue Funktion von Apple in einer Stellungnahme am Mittwoch und sagte, dass sie die Fähigkeit der Behörde, das amerikanische Volk vor kriminellen Handlungen zu schützen beeinträchtigen würde, wie das Wall Street Journal berichtet.
8. Dezember 2022
Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.
Unangemessene Inhalte träfen auf Spionage
Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.
Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.
Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.
Erste Klage dieser Art – aber kein neuer Vorwurf
Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.
Seit der Übernahme von Twitter durch Elon Musk ist in der Firmenzentrale wohl Chaos ausgebrochen. Nicht nur die User des sozialen Netzwerkes sind seitdem besorgt: Auch die europäischen Datenschutzbehörden sind von den neuesten Vorgängen alarmiert. Insbesondere geraten die unternehmensinternen Sicherheitsmechanismen mehr und mehr in den Vordergrund.
Hat Twitter seinen Hauptsitz in Dublin?
Twitter entließ rund die Hälfte seiner Mitarbeitenden, unter anderem auch seine Datenschutz- und Sicherheitsbeauftragten. Darüber sorgt sich die irische Datenschutzbehörde (DPC): Sie prüft, ob es Twitter weiterhin erlaubt ist, ihr allein anstatt allen 27 EU-Staaten gegenüber verantwortlich zu sein. Dieses One-Stop-Shop-Prinzip (OSS) nach Art. 56 Datenschutz-Grundverordnung (DSGVO) ermöglicht es Twitter, den Austausch mit allen EU-Staaten zu umgehen. Dafür muss das Unternehmern jedoch einen Hauptsitz innerhalb der EU angeben, um sich so nur noch gegenüber der Datenschutzbehörde des entsprechenden Mitgliedstaats zu verantworten.
Jedoch darf der Mechanismus nur eingesetzt werden, wenn von dem Unternehmen bei der Festlegung der Hauptniederlassung weitere Auflagen erfüllt werden. So muss Twitter zum Beispiel dafür sorgen, dass „die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung“, die die Verarbeitung personenbezogener Daten betreffen, im Land der Hauptniederlassung nachgewiesen wird. Daneben ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten für die entsprechende nationale Aufsichtsbehörde zu benennen.
Mit einem Fragenkatalog untersucht die DPC, ob Twitter weiterhin seine Hauptniederlassung in Irland haben darf. Aufgrund des Chaos in der amerikanischen Firmenzentrale kommen jedoch Zweifel auf – die Niederlassung in Irland muss nachweislich Einfluss auf das Unternehmen ausüben können. Falls nicht, droht Twitter die Regulierung durch jeden einzelnen der 27 EU-Staaten. Aus diesem Grund hat auch das Bundesamt für Datenschutz und Informationssicherheit (BfDI) Untersuchungen eingeleitet.
Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holsteins, bezweifelt gegenüber Netzpolitik.org, „dass die Niederlassung in Dublin, die bisher ‚main establishment‘ war, wenig Einfluss auf Änderungen nehmen konnte, die auch Auswirkungen auf personenbezogene Daten (z.B. ‚Twitter Blue‘) hatten.“ Daneben sieht eine anonyme Quelle die Kriterien für eine Hauptniederlassung in Irland nicht länger erfüllt. Twitter habe seit der Übernahme durch Musk keine Informationen über Produktveränderungen an die irische Niederlassung weitergegeben.
Sorge bei den Datenschutzbehörden
Twitter bestätigte gegenüber der DPC, dass es weiterhin seinen Hauptsitz in Irland beansprucht und damit von der DPC reguliert werden möchte. Das Unternehmen benannte dafür Renato Monteira als amtierenden Datenschutzverantwortlichen.
Twitters jüngste Produktänderungen haben jedoch nicht den Eindruck erweckt, dass „von Europa aus weiterhin die ‚Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten‘ bei Twitter getroffen werden“, sagt Hansen. Sie sieht allerdings ein „positives Zeichen […] darin, dass man anscheinend bei Twitter auf die irische Datenschutzbeauftragte reagiert und sich auch getroffen hat.“
Folgen für Twitter
Falls Twitter seinen Anspruch auf Hauptniederlassung in Irland verliert, könnten alle 27 Datenschutzbehörden der EU aufsichtsbehördlich tätig werden. Dies geht mit einem enormen bürokratischen Mehraufwand und empfindlichen Sanktionen einher, die pro EU-Staat bis zu vier Prozent des jährlichen Umsatzes ausmachen können. Derartige Folgen blieben bislang nicht zuletzt wegen des unternehmensfreundlichen Charakters der irischen Behörde aus. Seitens der französischen und belgischen Behörden ist, angesichts ihrer Sanktionsentscheidungen in der Vergangenheit, ein deutlich aggressiveres Verhalten zu erwarten.
Daneben könnten unter anderem die deutschen Datenschutzbehörden gegen Twitter ein sogenanntes Dringlichkeitsverfahren nach Art. 66 DSGVO einleiten. Dies ist aber erst möglich, sobald der „Schutz betroffener Personen“ auf dem Spiel stände.
6. Dezember 2022
Eine Gruppe Krimineller ist in das Netzwerk des Autozulieferers Continental eingedrungen und hat dort erheblich viele Daten entwendet. Die für das Leak verantwortliche Ransomware-Gruppe LockBit 3.0 schreibt in ihrem Blog im Darknet, dass mehr als 40 Terabyte erbeutet worden seien. Es wird in der IT-Sicherheitscommunity gar vom umfangreichsten Datendiebstahl der jüngeren Geschichte gesprochen. Dabei handelt es sich offenbar um hochsensible Daten der Arbeitnehmer:innen. Eine Liste aller Dateinamen steht bereits im Netz.
Unter den erbeuteten Daten befinden sich unter anderem Strategiepläne, Prüfberichte, Dokumente von Wirtschaftsprüfern, Budgetpläne, Listen mit Rückstellungen, Verhandlungen über Gehaltserhöhungen, Geheimhaltungsabkommen mit anderen Unternehmen und Projektbeschreibungen.
Aber auch mehr als 47.000 Dateien enthalten das Wort “Arbeitssicherheit”. Gibt man den Suchbegriff “Unfälle” ein, erfährt man nicht nur körperlichen Problemen und Verletzungen, sondern auch von den psychischen Problemen der Arbeitnehmer. Außerdem stehen einige Namen von Mitarbeitern in den Dateinamen – auch in Verbindung mit Gehaltsverhandlungen oder Gesundheitsdaten von Betriebsärzten.
LockBit 3.0 – Eine Ransomware as a Service Gruppe
LockBit sei eine Ransomware-as-a-Service-Gruppe (RaaS), welche von der Entwicklung der Ursprungsversion bis hin zur aktuellen Version 3.0 mehrfach Modifikationen durchlaufen habe. Als Teil des Einschüchterungsprogramms beziehe sich LockBit 3.0 stets auf die Datenschutz-Grundverordnung (DSGVO).
„(Die Opfer) werden dazu aufgefordert, lieber der Lösegeldforderung nachzukommen, anstatt Bußgelder zu zahlen oder für die Wiederherstellung des öffentlichen Images sowie bei potenziellen Kundenklagen Geld zu verlieren“, berichtet Dmitry Bestuzhev, „Most Distinguished Threat Researcher“ bei Blackberry. Die Daten selbst werden derzeit für 40 Millionen Euro angeboten. LockBit verspricht: Wenn der Autozulieferer bezahlt, werden die Daten gelöscht. Datenschutzexperten raten jedoch davon ab, Ransomware-Gruppen das Erpressungsgeld zu zahlen.
LockBit wohl “Marktführer” in Ransomware-Angriffen
LockBit gilt als eine der größten Ransomware-Gruppen. Sicherheitsunternehmen bezeichneten sie im dritten Quartal 2022 sogar als führende Erpresser im digitalen Raum: Ungefähr jeder dritte Angriff geht laut unterschiedlichen IT-Experten auf das Konto der Gruppe.
Schutz vor RAAS-Kampagnen: Best Practices
Bestuzhev empfiehlt in seiner aktuellen Stellungnahme folgende Best Practices:
- Überwachen und patchen Sie Ihre Anlagen kontinuierlich. Das gilt auch für Soft- und Firmware.
- Überprüfen Sie alle Konten und ihre Rechte. Entfernen Sie diejenigen, die nicht genutzt werden. Verfügen Konten über unnötig viele Privilegien, schränken Sie diese ein.
- Überwachen Sie fehlgeschlagene Anmeldeversuche, Passwortänderungen und die Anmeldung neuer Benutzer.
- Aktivieren Sie ein ,24×7 SOC’ (Security-Operations-Center), welches mit ,Sigma’-, ,Suricata’- und ,Yara’-Regeln erweitert wird. Unterstützen Sie es mit professionellen, hochwertigen Feeds.
- Identifizieren Sie auch Anomalien und nicht nur Übereinstimmungen.
- Erweitern Sie Ihren Überblick auf all Ihre Assets.
- Ermöglichen Sie eine gute visuelle Datendarstellung, damit Sie einige Anomalien, wie zum Beispiel ausgehenden Netzwerkverkehr zur Datenexfiltration, visuell erkennen können.
- Bereiten Sie ein zuverlässiges Backup-System vor, testen Sie es und seien Sie bereit, es einzusetzen. Bedenken Sie, dass es von Ihrem primären Netzwerk aus unzugänglich sein muss, damit der Bedrohungsakteur es nicht verschlüsseln kann.
- Bereiten Sie Playbooks für jeden Bedrohungsakteur vor. Verlassen Sie sich nicht auf generische Playbooks.
- Konzentrieren Sie sich im Wesentlichen nicht nur auf die Erkennung von Malware, sondern auch auf die Operationen der Bedrohungsakteure.
- Führen Sie Purple-Teaming-Übungen (Ergänzung der Arbeit von Pentestern und IT-Security-Teams in den Firmen) auf der Grundlage von ,LockBit’-TTPs (Time-Triggered Protocols) durch, um Ihre Erkennungsfunktionen zu testen.
Auf der diesjährigen Herbstkonferenz der Innenminister und -senatoren (Innenministerkonferenz) sprachen sich die Innenminister des Bundes und der Länder für eine umfassende Speicherung von IP-Adressen zur Strafverfolgung aus. Damit widersprach das Ergebnis dem nur wenige Wochen zuvor ergangenen Beschluss der Justizminister, die mit knapper Mehrheit der anlasslosen Vorratsdatenspeicherung eine Absage erteilt hatten.
EuGH-Urteil erfordert eine Neuregelung
Grund der Debatte war das Urteil des Europäischen Gerichtshofs (EuGH) vom 20. September 2022, worin dieser die deutsche Regelung der Vorratsdatenspeicherung als unvereinbar mit dem EU-Recht erklärt hatte. Das deutsche Telekommunikationsgesetz (TKG) sieht vor, dass Verkehrs- und Standortdaten zehn bzw. vier Wochen lang gespeichert werden müssen. Der EuGH befand, dass sich daraus sehr genaue Rückschlüsse auf das Leben von Privatpersonen ziehen ließen. Laut EuGH ist daher eine Vorratsdatenspeicherung von IP-Adressen nur in engen Grenzen, beispielsweise zum Schutz der nationalen Sicherheit oder zur Bekämpfung schwerer Kriminalität möglich.
Gegenentwurf zum sogenannten Quick-Freeze-Verfahren
Die Innenminister waren sich einig, dass das von Bundesjustizminister Marco Buschmann vorgeschlagene sogenannte „Quick-Freeze-Verfahren“ (wir berichteten) nicht ausreichend sei. Laut Hessens Innenminister Peter Beuth (CDU) seien längere IP-Speicherfristen dringend erforderlich, um Kindesmissbrauch im Internet wirksam zu bekämpfen. Auch Bundesinnenministerin Nancy Faeser zeigte sich erfreut von den Ergebnissen der Innenministerkonferenz.
2. Dezember 2022
Auf dem NATO-Gipfel in Bukarest kamen in der vergangenen Woche die Mitgliedsstaaten der Allianz zusammen. Neben dem russischen Angriffskrieg wurde dort auch die Sicherheit der IT-Infrastruktur der Verbündeten thematisiert. Im Zuge dessen warnte die US-Regierung Deutschland und andere europäische Verbündete vor dem chinesischen Netzausrüster Huawei. Die Sicherheit der Netz- und IT-Infrastruktur sei auch für die Sicherheit der NATO essenziell. Mobilfunknetze sollten demnach vor chinesischem Einfluss abgesichert werden.
Weitere Verbote in den USA
Die USA weisen schon länger auf die engen Verbindungen zwischen Huawei und den chinesischen Behörden hin und warnen vor Spionage und Sabotage. Die Regierung erließ unter Präsident Trump ein Embargo, das amerikanischen Unternehmen nicht gestattet, mit Huawei Geschäfte zu betreiben.
„Die Vereinigten Staaten sind der Überzeugung, dass wir nicht-vertrauenswürdigen Anbietern nicht gestatten können, an unserer digitalen Infrastruktur, einschließlich unseres 5G-Netzes, mitzuwirken“, erklärte die NATO-Botschafterin der USA, Julianne Smith, in einem Interview mit dem Handelsblatt. Der Einsatz solcher Anbieter würde „inakzeptable Risiken für die nationale Sicherheit mit sich bringen und zugleich eine Gefahr für die Privatsphäre der Bürger darstellen“.
Vergangene Woche wurde dann auch die Zulassung neuer Telekommunikationsgeräte der chinesischen Unternehmen Huawei Technologies und ZTE durch die US-Regierung verboten, da sie ein „inakzeptables Risiko“ für die nationale Sicherheit der USA darstellten.
Die US Federal Communications Commission (FCC) teilte am Freitag mit, dass sie die endgültigen Regeln verabschiedet habe, die auch den Verkauf oder die Einfuhr von Geräten des chinesischen Überwachungsgeräteherstellers Dahua Technology, der Videoüberwachungsfirma Hangzhou Hikvision Digital Technology und der Telekommunikationsfirma Hytera Communications Corp. verbieten. Dieser Schritt ist das jüngste Vorgehen Washingtons gegen chinesische Tech-Giganten, von denen befürchtet wird, dass Peking sie zum Ausspionieren von Amerikanern einsetzen könnte.
Auch in Deutschland umstritten
Als die Diskussion um Sicherheitsbedenken durch den Einsatz von Netzwerktechnik aus der Volksrepublik China im Jahr 2019 zuletzt aufkam, hatte die damalige Bundesregierung noch betont, dass man zwar die Bedenken zur Kenntnis genommen habe, selbst aber keine Konsequenzen vorsehe.
Nach mehreren Warnungen leitete auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Untersuchungen ein, die noch nicht abgeschlossen sind.
Als Reaktion auf die steigende Spionagegefahr in kritischen Infrastrukturen wie Mobilfunknetzen wurde in Deutschland das sog. Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) Ende Mai 2021 verkündet. Kurze Zeit später veröffentlichte die Bundesnetzagentur als Ergänzung des Gesetzes den gemeinsam mit dem BSI erarbeiteten neuen Katalog für die Sicherheitsanforderungen für Telekommunikationsnetze. Mit diesem Gesetz wurden nicht nur Betreibern Kritischer Infrastrukturen strengere Vorgaben für die IT-Sicherheit auferlegt, sondern erstmals auch Vorschriften für Unternehmen im besonderen öffentlichen Interesse erlassen. Bei Nichteinhaltung drohen hohe Bußgelder. Ordnungswidrigkeiten können laut §14 Abs. 5 BSIG mit Geldbußen von bis zu 2 Mio. Euro belegt werden. Darüber hinaus ist es möglich, kritische Bauteile zu verbieten, wenn deren Einsatz den „sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der EU oder der NATO“ entgegensteht oder der Hersteller „unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird“.
Nicht wenige Bundestagsabgeordnete fordern bereits, das Gesetzt vollumfänglich auszuschöpfen und bei Bedarf die Regelungen auch weiter zu verschärfen.
Verbraucher:innen in Deutschland auch unmittelbar betroffen
Neben Huawei sind beispielsweise auch Xiaomi, Vivo und OPPO Technologie-Hersteller aus China. Vor einem Kauf von Hard- und Software sollten Verbraucher:innen auch Aspekte der technischen Sicherheit sowie das Vertrauen in den Hersteller berücksichtigen. Nach einer Recherche des ZDFs gehen Experten aber durchaus davon aus, dass Huawei „im Ernstfall“ auf den Smartphones seiner Nutzer Spionage-Software installieren könnte. Bei Produkten von kleineren unbekannteren Herstellern sei dabei besondere Vorsicht geboten.
Regierungsinterne Diskussionen gehen weiter
Laut Medienberichten wollen neben den USA auch Australien, Neuseeland, Japan, Frankreich, das Vereinigte Königreich, Taiwan, einige osteuropäische Staaten sowie das Baltikum beim 5G-Ausbau auf Komponenten von Huawei verzichten. Zusätzlich soll Huawei-Technologie aus bereits existierenden 3G- wie auch 4G-Netzen teilweise entfernt werden. Das weitere Vorgehen in Deutschland steht aktuell noch auf dem Prüfstand.
In Zukunft sollen strengere Prüfungen im Einzelfall über die Zulassung von entsprechenden Komponenten in 5G-Netzen entscheiden. Zusätzlich befasst sich die Bundesregierung aktuell mit einem neuen Entwurf zur China-Strategie. Das Dokument wurde bisher allerdings noch nicht veröffentlicht – wir halten Sie auf dem Laufenden.
1. Dezember 2022
Vergangene Woche veröffentliche die Konferenz der unabhängigen Datenschutzbehörden des Bundes und Länder (DSK) die „Petersberger Erklärung“, in der sie sich „zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“ äußerte. Konkret behandelte die DSK die Frage, wie der Gesetzgeber den Rahmen für eine datenschutzkonforme Verarbeitung von Forschungsdaten schaffen könne.
Forderung nach neuer Rechtsgrundlage
Zunächst betonte die DSK, dass neben der Möglichkeit, einen europäischen Gesundheitsdatenraum (wir berichteten) auszugestalten, auf nationaler Ebene der Bedarf zur Regelung der Nutzung von Forschungsdaten bestehe. Dabei bekräftigte die DSK als zentrale Forderung, dass die Einzelperson „(…) nicht zum bloßen Objekt der Datenverarbeitung gemacht werden“ dürfe.
Aus Sicht der DSK könne die Rechtsgrundlage für die Nutzung von Forschungsdaten eine datenschutzrechtliche Einwilligung im Sinne des Art. 4 Nr. 11 iVm Art. 7 DSGVO sein. Alternativ könne der Gesetzgeber eine gesetzliche Regelung als Rechtsgrundlage zur Datenverarbeitung schaffen. Dabei müsse eine Interessenabwägung erfolgen. Es sei einerseits das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu beachten. Andererseits sei das Gemeinwohlinteresse zu berücksichtigen, zu dessen Zweck die Forschung erfolge.
Forderung nach weitreichenden Schutzmaßnahmen
Außerdem unterstrich die DSK die Wichtigkeit geeigneter „Garantien für die Rechte und Freiheiten betroffener Personen“. Geeignete Maßnahmen zum Schutz seien zunächst die Datenminimierung und Anonymisierung. Wenn eine Anonymisierung nicht möglich sei, solle zumindest eine Pseudonymisierung erfolgen. Letztere könne Aufgabe einer zu erschaffenden unabhängigen und eigenverantwortlichen Vertrauensstelle sein.
Soweit Forschende personenbezogene Daten aus verschiedenen Datenbanken verknüpfen wollen, solle eine Regelung besondere Schutzmaßnahmen vorsehen. Insbesondere die Einführung einer technischen Methode solle sicherstellen, dass trotz der Verknüpfung betroffene Personen nicht identifiziert werden können. Außerdem solle der Gesetzgeber festlegen, wer für einzelne Verarbeitungstätigkeiten im Forschungsprozess Verantwortlicher iSd Art. 4 Nr. 7 DSGVO sei.
Darüber hinaus äußerte die DSK sich zu der Regelung eines medizinischen Registers. Sie empfahl, dass zunächst eine Übersicht über die bereits bestehenden Register einzurichten sei. Auf diese Weise könne der Gesetzgeber dazu beitragen, eine mehrfache Datensammlung zu vermeiden. Bei der Errichtung eines neuen Register sei ein Standard für die einzuhaltende Qualität festzulegen.
Forschungsgeheimnis und neue Befugnisse
Im Anschluss forderte die DSK die Einführung eines Forschungsgeheimnisses. Das Ziel sei es, die unbefugte Offenlegung von Forschungsdaten unter eine Strafe zu stellen.
Abschließend forderte die DSK, dass die Datenschutzaufsichtsbehörden neue Befugnisse erhielten. Sie sollten erlassene Maßnahmen sofort vollziehen können.
30. November 2022
Am 24. November 2022 veröffentlichte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen eine Hilfestellung für Verantwortliche.
In dieser kurzen Checkliste werden Webseiten-Betreiber über Möglichkeiten zum Umgang mit Abmahnungen im Kontext der Nutzung von Google Fonts sowie zur Überprüfung ihrer Einstellungen dargelegt.
Dies soll zukünftige Abmahnungen aufgrund einer online Einbindung des Dienstes Google Fonts und daraus folgenden Nachfragen bei der Aufsichtsbehörde eindämmen.
Weitere Informationen zum Thema Google Fonts finden Sie in unseren bereits veröffentlichten Blogbeiträgen zu diesem Themengebiet.
– Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?
– Weitere Datenschutzbehörden raten von Web-Fonts ab
Überprüfung der Abmahnschreiben
Betreiber von Webseiten, die ein Abmahnschreiben wegen Google Fonts erhalten haben, sollten Folgendes prüfen:
- Sind Sie der Anbieter und datenschutzrechtlich Verantwortliche der Webseite, die in dem Schreiben genannt wird?
- Ist auf der Webseite Google Fonts eingebunden?
- Ist Google Fonts online eingebunden?
- Wird von den Nutzerinnen und Nutzern keine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO für den Einsatz von Google Fonts eingeholt?
Wenn all diese Fragen mit „Ja“ beantwortet werden, liegt in Bezug auf Google Fonts ein datenschutzrechtlicher Verstoß vor, so die LfD Niedersachsen.
Pages: 1 2 3 4 5 6 7 ... 255 256 
