Cyber-Angriffe können große Schaden anrichten – und machen eben nicht vor Unternehmen einer bestimmten Größe Halt

[datensicherheit.de, 17.04.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zu seiner nächsten „Awareness“-Veranstaltung ein, welche wichtige Fragen zu Cyber-Versicherungen aufgreifen soll: Nicht nur solche einer möglichen Regulierung im Schadensfall stehen demnach im Fokus, sondern auch die Sensibilisierung auf relevante Fragestellungen im eigenen Unternehmen bei der Prüfung und dem möglichen Abschluss einer Cyber-Versicherung.

Abbildung: it’s.BB e.V.

it’s.BB e.V. lädt ein zum Online-Seminar via „MS Teams“

Zentrale Fragen einer Cyber-Versicherungen auf dem Programm

Von großen, prominenten Cyber-Angriffen oder weltweiten Hacks mit Hilfe von Ransomware fühlen sich offensichtlich nicht alle Unternehmen – auch unterschiedlicher Unternehmensgrößen – gleichermaßen bedroht. Jedoch könnten Cyber-Angriffe in der Folge großen Schaden anrichten – und machen eben nicht vor Unternehmen einer bestimmten Größe Halt. „Im Übrigen richtet sich eine Attacke nicht immer gezielt gegen das jeweilige Unternehmen.“

Im bevorstehenden „Awareness“-Online-Seminar stehen wichtige Fragen zu Cyber-Versicherungen auf dem Programm: „Dies betrifft nicht nur Fragen einer möglichen Regulierung im Schadensfall, sondern auch die Sensibilisierung auf relevante Fragestellungen im eigenen Unternehmen bei der Prüfung und dem möglichen Abschluss einer Versicherung.“

Voraussetzung, Modelle, Ablauf, Leistungsspektrum Cyber-Versicherungen und Use Cases

Welche Reaktionen sowie Abläufe im Schadensfall möglich sind und warum auch die Wiederherstellung und Betriebsfähigkeit eine sehr relevante Betrachtungsgröße darstellen, wird laut it’s.BB im zweiten Teil des Programms erläutert.

„Benötigt man eine Cyberversicherung?“
am Mittwoch, dem 24. April 2024 von 16.00 bis 17.00 Uhr
Online-Seminar in Kooperation mit der IHK Berlin via „MS Teams“-Plattform

Agenda (ohne Gewähr)

16.00-16.10 Uhr: Begrüßung
– Christian Köhler, NKMG mbH
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr:

Einführung
– Christian Köhler, NKMG mbH

Voraussetzung, Modelle, Ablauf, Leistungsspektrum Cyber-Versicherungen
– Götz-Albrecht von Förster, Allianz Versicherungen

„Was passiert im Schadenfall: Beispiele, Use Cases“
– Frank Rustemeyer, HiSolutions AG

16.45-17.00 Uhr: Fragen / Diskussion / Abschluss

Anmeldung und weitere Informationen zum Thema:

it’s.BB-Awareness-Webinar auf eventbrite
Mittwoch, 24. April: Benötigt man eine Cyberversicherung?

datensicherheit.de, 10.04.2024
Basis für Cyber-Versicherungen: NIS-2-Richtlinie treibt IT-Mindestvorgaben für Unternehmen / Ab Oktober 2024 könnte der Abschluss einer Cyber-Versicherung für Unternehmen möglicherweise noch schwieriger werden

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

datensicherheit.de, 11.11.2022
Cyber-Versicherungen decken kritische Risiken immer seltener ab / Geschäftsführung und Vorstand drängen indes immer häufiger auf den Abschluss einer Cyber-Versicherung

Bundesverwaltung und Betreiber Kritischer Infrastrukturen sollen Public-Cloud-Dienste problemlos nutzen können

[datensicherheit.de, 06.04.2024] Laut einer aktuellen Meldung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist das BSI dem GovTech Campus in Berlin beigetreten: „Dieser fördert die Kollaboration zwischen Verwaltung, Technologie-Szene, Unternehmen, Wissenschaft und Zivilgesellschaft.“ Im Verbund mit Projektpartnern arbeitet das BSI demnach dort in einem „Cloud“-Reallabor daran, „Public Cloud“-Dienste für die Bundesverwaltung und Betreiber Kritischer Infrastrukturen (KRITIS) sicher nutzbar zu machen.

Foto: BSI

V.l.n.r.: David Steinacker (GovTech Campus) und Thomas Caspers (BSI)

Cloud-Beauftragter der DRV Bund leitet gemeinsame Arbeiten im Reallabor

Dabei gehe es unter anderem darum, die „Public Clouds“ großer „Cloud“-Serviceanbieter aus Deutschland und Europa und der sogenannten Hyperscaler aus den USA systematisch so zu erweitern, dass auch sensible und als „Verschlusssachen“ eingestufte Daten sicher dort abgelegt und verarbeitet werden können.

Neben Technologieanbietern und deutschen Behörden wie dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nähmen auch Sozialversicherungsträger wie die Deutsche Rentenversicherung (DRV Bund) an diesem Projekt teil. „Als ,Cloud’-Beauftragter der DRV Bund leitet Harald Joos die gemeinsamen Arbeiten im Reallabor.“

Schutz bis zum Geheimhaltungsgrad VS NfD / EU RESTRICTED / NATO RESTRICTED in Public Clouds

„Cloud“-Plattformen böten technologiebedingt wesentlich weitreichendere Detektionsmöglichkeiten für Cyber-Risiken als andere Architekturen. Um die damit verbundenen Chancen adäquat zu adressieren, entwickele das BSI unter Anwendung von Angreifer- und Bedrohungsmodellen Empfehlungen zur wirksamen Nutzung dieser Möglichkeiten. „Transparente Sicherheitsbewertungen, Empfehlungen und Regulierungen für den Einsatz von ,Cloud’-Technologien in der Bundesverwaltung und Kritischen Infrastrukturen machen zudem die verbleibenden Risiken beherrschbar.“

Ziel sei es zunächst, Daten und Dokumente bis zum Geheimhaltungsgrad „VS NfD / EU RESTRICTED / NATO RESTRICTED“ in „Public Clouds“ angemessen schützen zu können. Im Reallabor des GovTech Campus würden „Cloud“-Technologien mehrerer Anbieter unter realen Bedingungen auf Herz und Nieren geprüft.

Cloud Computing als Rückgrat und Treiber der Digitalisierung

„,Cloud Computing’ ist Rückgrat und Treiber der Digitalisierung in allen Bereichen, und damit ist ,Cloud’-Sicherheit unentbehrlich für die Resilienz moderner Informationstechnik“, betont Thomas Caspers, Abteilungsleiter „Technik-Kompetenzzentren“ im BSI.

Um eine sichere „Cloud“-Nutzung zu ermöglichen, liefere das BSI technologisch führende und unmittelbar einsatzfähige Lösungsbeiträge für das gesamte „Cloud“-Betriebsspektrum. Caspers erläutert abschließend: „Dabei steht im Mittelpunkt unseres Interesses als Cyber-Sicherheitsbehörde, Digitale Souveränität und Kritische Infrastrukturen krisenfest und gleichzeitig zukunftsfähig zu machen.“

Weitere Informationen zum Thema:

GovTech Campus Deutschland
Technologien für die Zukunft von Staat und Verwaltung

[datensicherheit.de, 21.03.2024] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bietet nach eigenen Angaben auch 2024 wieder „kostenlose Schulungen zum Thema Datenschutz“ an. Die Fortbildungsreihe für Berliner Start-ups, Kleinunternehmen und Vereine startet demnach im April 2024 – die Anmeldung für die ersten sechs Termine ist laut BlnBDI ab sofort über die Website möglich.

Praxisorientierte Schulungen für spezifische Bedürfnisse der Zielgruppe in Berlin

Für viele junge Unternehmen und Vereine stelle sich besser früher als später die Frage, wie mit den personenbezogenen Daten ihrer Mitglieder, Beschäftigten und Kunden umzugehen ist.

„Die rechtssichere Verarbeitung der Daten, die Erstellung einer Datenschutzerklärung oder das richtige Löschen von Daten sind oft Herausforderungen, denen sie sich mit begrenzten finanziellen Mitteln für rechtliche Beratung gegenübersehen.“

Hier nun möchte die BlnBDI ansetzen, „indem sie praxisorientierte Schulungen anbietet, die auf die spezifischen Bedürfnisse dieser Zielgruppe zugeschnitten sind“.

Alle Termine in den Räumen der BlnBDI in Berlin-Moabit

Die BlnBDI, Meike Kamp, betont: „Den Datenschutz von Anfang an mitzudenken, ist für viele Unternehmen und Vereine entscheidend, um ihre Organisation auf eine rechtlich sichere Basis zu stellen. Dies unterstützen wir durch unsere ,Start-up-Schule’, in der wir über die geltenden Datenschutzbestimmungen informieren und an Beispielen aus der Praxis aufzeigen, wie diese umgesetzt werden können.“

Die Auftaktveranstaltung soll am 11. April 2024 stattfinden und sich den Grundlagen des Datenschutzrechts widmen. Danach folgten im zweiwöchigen Rhythmus weitere Schulungen zu den Rechtsgrundlagen von Datenverarbeitungen, dem Einsatz von „Cloud“-Diensten oder Löschkonzepten.

„Alle Termine finden in den Räumen der BlnBDI in Berlin-Moabit statt, eine Anmeldung über die Website ist erforderlich.“ Die Schulungen bauten aufeinander auf, könnten aber auch einzeln besucht werden. Ebenso sei ein späterer Einstieg möglich. „Kenntnisse des Datenschutzrechts werden nicht vorausgesetzt, die Teilnahme ist kostenfrei.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Service / Datenschutz für Berliner Start-ups und Vereine

KI-Expertin Polina Khubbeeva (BDI) spricht am 13. März 2024 in Berlin

[datensicherheit.de, 28.02.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung: Diese ist dem Thema „EU AI Act – Wie gestalten WIR eine vertrauenswürdige KI?“ gewidmet und wird als Präsenz-Treffen in Berlin am 13. März 2024 durchgeführt. Dieses Seminar werde in Zusammenarbeit mit der IHK Berlin und Berlin Partner für Wirtschaft und Technologie organisiert.

Abbildung: it’s.BB e.V.

„EU AI Act – Wie gestalten WIR eine vertrauenswürdige KI?“ als Präsenz-Treffen in Berlin am 13. März 2024

KI einer der Schlüsselfaktoren der Digitalisierung

Künstliche Intelligenz (KI) ist offensichtlich einer der Schlüsselfaktoren der Digitalisierung und hat eine zunehmende Relevanz für Wirtschaft, Verwaltung, Forschung und Gesellschaft. Mit dem „EU AI Act“ soll demnach ein rechtlicher Rahmen für mehr Vertrauen geschaffen werden.

„Wir werden uns in unserer Veranstaltung mit den rechtlichen und technischen Herausforderungen bei der Entwicklung vertrauenswürdiger und starker KI-Lösungen befassen und dabei die folgenden Kernthemen behandeln: Risikobewertung und entsprechende Lösungsmöglichkeiten, KI-Folgenabschätzung, sichere KI, Schutz vor KI-Angriffen, Transparenz, Nachvollziehbarkeit und Zuverlässigkeit.“

KI-Expertin Polina Khubbeeva (BDI) spricht

Der it’s.BB e.V. freut sich sehr, dass zu dieser Veranstaltung Polina Khubbeeva gewonnen werden konnte: „Frau Khubbeeva arbeitet im Bereich ,Digitalisierung und Innovation’ des Bundesverbands der deutschen Industrie e.V. (BDI) und befasst sich dort mit Fragen der Künstlichen Intelligenz (KI).“

Im Rahmen der Entwicklungen zum „EU AI Act“ habe sich Khubbeeva intensiv und aus dem Blickwinkel der deutschen Industrie mit dem Regelwerk auseinandergesetzt – u.a. mit Fragen, wie der „EU AI Act“ innovationsfreundlich ausgestaltet werden kann. Insofern werde sie aus ihren Erfahrungen in der Entwicklung dieses Regelwerks in den letzten Jahren berichten können.

EU AI Act – Wie gestalten WIR eine vertrauenswürdige KI

Präsenz-Treffen am Mittwoch, dem 13. März 2024
16.30 bis 18.30 Uhr (Einlass 16.00 Uhr)
M&H IT-Security GmbH, Hardenbergstraße 19, 10623 Berlin
Teilnahme kostenlos – Anmeldung erforderlich

Agenda (ohne Gewähr)

16.30-16.35 Uhr Begrüßung
– Jonas Schubert, M&H IT-Security
– Anna Borodenko, IHK Berlin

16.35-18.20 Uhr
„Einführung in vertrauenswürdige KI und Risikobetrachtungen“
– Christian Köhler, NKMG mbH & Vorstandsvorsitzender it’s.BB e.V.
Impulsvortrag „EU AI Act“
– Polina Khubbeeva, BDI e.V.

   Pause

„Vertrauenswürdige KI aus technischer Sicht“
-Rudolf Schreiner, ObjectSecurity OSA GmbH
„Vertrauenswürdige KI aus rechtlicher Sicht“
– Dr. Christian Schefold, Dentons
Indikative Umsetzungsempfehlung & kurze Zusammenfassung
– Christian Köhler, NKMG mbH & Vorstandsvorsitzender it’s.BB e.V.

18.20-18.30 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 13. März / EU AI Act – Wie gestalten WIR eine vertrauenswürdige KI

Was Unternehmen im Ernstfall tun müssen, wenn Datenleaks auftreten – Web-Seminar am 20. Februar 2024

[datensicherheit.de, 13.02.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zum nächsten „Awareness“-Seminar ein – diesmal zum Thema „Datenleaks – Was sollten Unternehmen im Ernstfall tun?“ Datenleaks stellen für Unternehmen und Institutionen ein zunehmendes Problem dar – Geschäftsgeheimnisse geraten in Gefahr und die IT-Sicherheit der ganzen Einheit wird gefährdet.

Abbildung: it’s.BB e.V.

Datenleaks: Hintergründe, Handlungsmöglichkeiten und rechtlichen Rahmenvorgaben für Unternehmen in der Diskussion

Hintergründe zu Datenleaks, Technisch-Organisatorische Maßnahmen (TOM) sowie juristische Best Practices und Einschaltung von Ermittlungsbehörden

In der in Zusammenarbeit mit der IHK Berlin organisierten Veranstaltung werden demnach die „Zentrale Ansprechstelle Cybercrime“ (ZAC) für die Wirtschaft im Landeskriminalamt (LKA) Berlin und die Kanzlei Piltz Legal die Hintergründe, Handlungsmöglichkeiten und rechtlichen Rahmenvorgaben für Unternehmen beleuchten.

„Datenleaks – Was sollten Unternehmen im Ernstfall tun?“
Web-Seminar am Dienstag, dem 20. Februar 2024 von 16.00 bis 17.00 Uhr
Online via „MS Teams“-Plattform. Teilnahme kostenlos – Anmeldung erforderlich.

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Johannes Zwerschke, Piltz Legal
Anna Borodenko, IHK Berlin

16.10-16.45 Uhr
• Einführung
• „Was sind die Hintergründe von Datenleaks?“
• „Best Practices aus Unternehmenssicht“
• „Datenweitergabe an Ermittlungsbehörden“
• „Best Practices aus rechtlicher Sicht“
Johannes Zwerschke, Piltz Legal
Olaf Borries, ZAC LKA
Lars Huwald, ZAC LKA

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen und Anmeldung:

eventbrite
Dienstag, 20. Februar / Datenleaks – Was sollten Unternehmen im Ernstfall tun?

[datensicherheit.de, 30.10.2023] Der Verbraucherzentrale-Bundesverband (vzbv) meldet, dass das Landgericht Berlin der vzbv-Klage gegen die LinkedIn Ireland Unlimited Company „weitgehend“ stattgegeben habe. Der aktuellen vzbv-Stellungnahme zufolge teilt das Soziale Netzwerk „LinkedIn“ Nutzern auf der Website mit, dass auf im Browser eingestellte „Do-Not-Track“-Signale derzeit nicht reagiert werde. Wenn Verbraucher die „Do-Not-Track“-Funktion ihres Browsers aktivieren, sei dies eine klare Botschaft – Rosemarie Rodden, Rechtsreferentin beim vzbv, betont: „Sie wollen nicht, dass ihr Surfverhalten für Werbe- und andere Zwecke ausgespäht wird.“ Betreiber von Websites müssten dieses Signal respektieren. Einen weiteren Antrag in diesem Zusammenhang habe das Gericht aus prozessualen Gründen abgelehnt. Ferner sei die Voreinstellung zur Sichtbarkeit der Mitgliederprofile auf Partnerseiten des Unternehmens unzulässig. „In einem Teilurteil hatte das LG Berlin zuvor bereits den ungebetenen Versand von E-Mails an Nichtmitglieder verboten.“

LinkedIn hatte Widerspruch gegen Tracking ignoriert

Internetsurfer könnten über ihren Browser einstellen, dass besuchte Webseiten ein „Do-Not-Track“-Signal (DNT-Signal) erhalten. Dieses übermittele ihren Wunsch, dass Online-Aktivitäten nicht nachverfolgt und ausgewertet werden sollten. „LinkedIn“ habe indes auf seiner Internetpräsenz mitgeteilt, dass es auf solche DNT-Signale nicht reagiere. Somit könnten auch gegen den Willen der Nutzer personenbezogene Daten wie die IP-Adresse und Informationen über die Nutzung der Webseite etwa für Analyse- und Marketingzwecke ausgewertet werden, auch von Drittanbietern.

Das Landgericht Berlin habe sich der Auffassung des vzbv angeschlossen, dass die Mitteilung des Unternehmens irreführend gewesen sei. Diese suggeriere, dass die Benutzung des DNT-Signals rechtlich irrelevant sei und die Beklagte ein solches Signal nicht zu beachten brauche. Das treffe nicht zu. Das Widerspruchsrecht gegen die Verarbeitung persönlicher Daten könne nach der Datenschutzgrundverordnung (DSGVO) auch per automatisierten Verfahren ausgeübt werden – ein DNT-Signal stelle hierbei einen wirksamen Widerspruch dar.

LinkedIn veröffentlichte Profile ohne erforderliche Einwilligung

In allen weiteren Punkten sei die vzbv-Klage ohne Einschränkung erfolgreich gewesen. So habe das Gericht „LinkedIn“ untersagt, bei der erstmaligen Anmeldung die Funktion „Sichtbarkeit des Profils“ zu aktivieren. Durch diese Voreinstellung sei das persönliche „LinkedIn“-Profil ohne Zustimmung auch für Nicht-Mitglieder sowie außerhalb des Netzwerkes – etwa auf Suchmaschinen – öffentlich sichtbar.

Die Richter hätten klargestellt, dass ein von vornherein aktivierter Schalter nicht die Anforderungen an eine wirksame Einwilligung in die Veröffentlichung personenbezogener Daten erfülle. „Nutzerprofile dürfen nicht automatisch öffentlich einsehbar sein, wenn sie angelegt werden“, unterstreicht Rodden.

LinkedIn wurde bereits 2022 der ungebetene E-Mail-Versand verboten

Einem Teil der Klage hatte das LG Berlin demnach bereits im vergangenen Jahr, 2022, stattgegeben. So sei es „LinkedIn“ inzwischen verboten, E-Mail-Einladungen an Verbraucher zu versenden, „die nicht Mitglied des Netzwerks sind und die der Verwendung ihrer E-Mail-Adresse nicht zugestimmt haben“.

Außerdem habe das Gericht in einem weiteren Teil-Anerkenntnisurteil die Verwendung mehrerer Bestimmungen in den Geschäftsbedingungen des Unternehmens untersagt – „darunter Klauseln, nach denen nur die englische Vertragsfassung verbindlich sein soll und ein Rechtsstreit nur im irischen Dublin ausgetragen werden darf“.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 31.08.2023
Teil- und Schlussurteil

Auftaktveranstaltung am 5. Oktober 2023: Wie sammelt die ZLB digitales Kulturgut?

[datensicherheit.de, 21.09.2023] Die Zentral- und Landesbibliothek Berlin (ZLB) lädt zu einer Online-Gesprächsreihe ein, welche sich mit der Bewahrung des digitalen Kulturerbes befasst: Die Auftaktveranstaltung mit dem Titel „Wie sammelt die ZLB digitales Kulturgut?“ findet am 5. Oktober 2023 statt. Bis zum Jahresende 2023 stehen noch zwei weitere Online-Talkrunden auf dem Programm: „Who is missing?“ am 7. November und „Think with us! Partizipation in der Webarchivierung“ am 5. Dezember 2023, jeweils um 18 Uhr.

Abbildung: ZLB

Bewahrenswertes Digital-Vermögen: Kultur liegt zunehmend in digitaler Form vor und Digitales repräsentiert Kultur unserer Zeit!

Ab Herbst 2023 gesetzlicher Auftrag, digitale Publikationen aus Berlin zu sammeln und zu bewahren

Kultur liegt zunehmend auch in digitaler Form vor und Digitales repräsentiert die Kultur unserer Zeit: Dazu gehören u.a. Blogs, Webseiten, PDFs, E-Books, E-Journals, E-Papers… Die Formate und Inhalte digitaler Veröffentlichungen sind gewiss so vielfältig, wie die Menschen, welche sie benutzen.

Ab Herbst 2023 hat die sogenannte digitale Landesbibliothek den gesetzlichen Auftrag, digitale Publikationen aus Berlin zu sammeln und zu bewahren. Die Vorbereitungen dafür laufen demnach seit drei Jahren.

Einführung in aktuelle Arbeitsweise der digitalen Landesbibliothek

In diesem Zusammenhang stehen zahlreiche Fragen im Raum: „Aber wie kommt das E-Book in die digitale Landesbibliothek? Was wird ab Ende des Jahres gesammelt? Warum wird anderes (noch) nicht gesammelt? Wie funktioniert die Ablieferung digitaler Publikationen? Und wo und wie sind sie dann auffindbar?“

Im Rahmen der Online-Veranstaltung soll die aktuelle Arbeitsweise der digitalen Landesbibliothek vorgestellt werden, wie auch ihre Kooperationen mit der Deutschen Nationalbibliothek und das E-Pflicht-Portal zur Ablieferung.

Auftakt am 5. Oktober 2023: Wie die ZLB digitales Kulturgut sammelt

„#1 Wie sammelt die ZLB digitales Kulturgut?“
Donnerstag 05.10.2023, 16.00Uhr, online, in Deutsch
Anmeldung erforderlich per E-Mail an leonie [dot] rodrian [at] zlb [dot] de

„Im Anschluss beantworten wir Fragen und freuen uns über Rückmeldungen.“ Außerdem möchten die Organisatoren mit Interessierten in einem aktiven Format darüber diskutieren, wie digitale Kulturgutbewahrung in der Zukunft aussehen soll: „Welche Formate spielen in Ihrer und Eurer digitalen Praxis eine Rolle und müssen in 200 Jahren unbedingt noch zugänglich sein?“

Weitere Informationen zum Thema:

zlb
Digitales Kulturgut / Collect and Connect

KRITIS-Betreiber sollten sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorbereiten

[datensicherheit.de, 18.09.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg vertreten durch it’s.BB e.V. lädt wieder zu einer in Kooperation mit der IHK Berlin organisierten „Awareness-Veranstaltung“ ein – diesmal zum Thema „KRITIS und Risikomanagement“:

Abbildung: it’s.BB e.V.

Einladung zur Awareness-Veranstaltung zum Thema KRITIS und Risikomanagement

KRITIS-Betreiber müssen Bedrohungen und Gefährdungen rechtzeitig identifizierten

Für die Betreiber Kritischer Infrastrukturen (KRITIS) ist es offensichtlich wichtig, sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorzubereiten – d.h. Bedrohungen und Gefährdungen rechtzeitig zu identifizierten.

Der eigene Schutzbedarf sollte dabei so berücksichtigt werden, dass Risikoanalysen zielgerichtet durchgeführt und die eigenen Risiken beurteilt (identifiziert, analysiert, eingeschätzt und bewertet) sowie behandelt werden können.

Effektives KRITIS-Risikomanagement entscheidend für Handlungsfähigkeit

Annahmen über die Eintrittswahrscheinlichkeit oder Plausibilität von Ereignissen, zur Verwundbarkeit und Kritikalität von Prozessen im Informationsverbund sowie zu erwartenden negativen Folgen inkl. Abschätzung des Schadensausmaßes können helfen, eine geeignete Risikobehandlung auszuwählen. „Zur Auswahl der Maßnahmen einer Risikobehandlung spielen auch Risikostrategien (Akzeptanz, Vermeidung, Verminderung, Auslagerung, usw.) eine wesentliche Rolle.“

Ein effektives Risikomanagement sei entscheidend, um handlungsfähig zu bleiben, Krisenlagen besser zu bewältigen und (Informationssicherheits-)Risiken angemessen zu steuern.

Einladung zu Hybridveranstaltung zum KRITIS-Risikomanagement

Das Seminar findet als Hybrid-Veranstaltung statt
am Mittwoch, dem 20. September 2023 von 16.00 bis 17.30 Uhr
online oder vor Ort (IABG mbH, Friedrichstraße 185, 10117 Berlin, im Haus E, 3. Etage)
Anmeldung erforderlich

Agenda (ohne Gewähr)

16.00-16.15 Uhr Begrüßung
Christian Köhler, Geschäftsführer der NKMG mbH & Vorstandsvorsitzender des it’s.BB e.V.
Henrik Holst, IHK Berlin

16.15-16.50 Uhr

• • Einleitung/Einführung KRITIS und Risikomanagement
  • Initiierung des Sicherheitsprozesses
  • Risikomanagement als Teil eines Gesamtprozesses
  • Methodiken und Ablauf einer Risikoanalyse
  • Praxisbeispiel
  • „Q&A“

Christian Köhler, NKMG mbH

16.50-17.30 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung (vor Ort oder online):

eventbrite (Präsenzveranstaltung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Teilnahme vor Ort

eventbrite (Web-Übertragung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Online-Teilnahme

[datensicherheit.de, 31.05.2023] Laut einer aktuellen Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) wurde von ihr gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro „wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung“ verhängt. Diese Bank hatte sich demnach geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Die BlnBDI hat nach eigenen Angaben festgestellt, „dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat“. Bei der Bußgeldzumessung habe die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft berücksichtigt. Als bußgeldmindernd sei u.a. eingestuft worden, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt habe – das Unternehmen habe umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.

Banken müssen aussagekräftige Informationen über involvierte Logik geben

Bei einer automatisierten Entscheidung urteilt ein IT-System ausschließlich auf Grundlage von Algorithmen – ohne menschliches Eingreifen. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) laut BlnBDI spezielle Transparenzpflichten vor. So müssten personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen hätten zudem einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. „Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.“

In diesem Fall habe die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht beherzigt. Über ein Online-Formular habe die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers abgefragt. Anhand dieser abgefragten Informationen und zusätzlicher Daten aus externen Quellen habe der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung abgelehnt. Der Algorithmus basiere auf zuvor von der Bank definierten Kriterien und Regeln.

Bank hatte auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht

„Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung.“ Die Bank habe auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren gemacht, sich jedoch geweigert, ihm mitzuteilen, „warum sie in seinem Fall von einer schlechten Bonität ausging“. Der Beschwerdeführer habe somit nicht nachvollziehen können, „welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist“. Ohne diese Einzelfallbegründung sei es ihm aber auch nicht möglich gewesen, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin habe er sich bei der BlnBDI beschwert.

„Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen“, kommentiert Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert habe, „hat ein Bußgeld zur Folge“. Eine Bank sei verpflichtet, die Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. „Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall“, betont Kamp.

[datensicherheit.de, 04.11.2022] Die Technische Universität Berlin (TUB) lädt zum „Schöne-Vortrag“ von Prof. Dr. Julianne Nyhan über die Herausforderungen bei der Digitalisierung von Sammlungen am 14. November 2022 ein. Bei dem „Schöne-Vortrag“ handelt es sich um eine Kooperation von TU Berlin und der Richard Schöne Gesellschaft für Museumsgeschichte e.V.

Fehlende Daten bei Sammlungen von Kulturerbe und ihrer Dokumentation

Man könne davon ausgehen, dass das Fehlen, das Verschweigen und die Verzerrung von Daten jeder Museumssammlung zu schaffen mache – sei sie digital oder analog. „Fehlende Daten, die Sammlungen von Kulturerbe und ihre Dokumentation betreffen (wie historische Kataloge und heutige digitale Museumskataloge), vermitteln wichtige Einblicke in die subjektiven Entscheidungen, die langfristig Einfluss auf Profile von Sammlungen und ihre Dokumentationen hatten.“

Mit diesem Thema soll sich der „Schöne-Vortrag“ des Jahres 2022 – „Mind the Gap: Data absence, data silence, and data bias“ („Achten Sie auf die Lücke: Fehlende Daten, Schweigen über Daten und Datenverzerrung) – , den Prof. Dr. Julianne Nyhan von der TU Darmstadt und dem University College London halten wird, befassen.

Vortrag zur Digitalisierung von Sammlungen: Fehlende Daten, verschwiegene Daten, verzerrte Daten

„Mind the Gap: Data absence, data silence, and data bias“
Montag, 14. November 2022, 19.00 Uhr c.t.
TU Berlin, Architekturgebäude, Hörsaal A 053
Straße des 17. Juni 150/52, 10623 Berlin
Vortrag in Englisch, Anmeldung nicht erforderlich – freier Eintritt

Der Vortrag soll u.a. folgenden Fragen nachgehen (ohne Gewähr):

• „Wessen Handlungsmacht wurde im Unterschied zu anderen bei der Entstehung einer Sammlung anerkannt und aus welchen Gründen wurden bestimmte Entscheidungen getroffen?“
• „Wie können also Felder wie digitale Geisteswissenschaften auf Probleme des Fehlens und der Verzerrung von Daten reagieren?“
• „Inwieweit stellen Plattformen für ,Sammlungen in Form von Daten’ die historische Abwesenheit, Vorurteile und Subjektivität infrage, statt eben diese in computerbasierten Zusammenhängen zu reproduzieren?“

Herausforderungen an Geistes- und Datenwissenschaft

Nyhan, Professorin für „Humanities Data Science and Methodology“ am Institut für Geschichte der Technischen Universität Darmstadt und Professorin für Digitale Geisteswissenschaften am University College London (UCL), war „Fellow“ an der Royal Historical Society, Direktorin und stellvertretende Direktorin des UCL Centre for Digital Humanities (2018–2021) und Direktorin des MA/MSc in Digital Humanities an der UCL (2017–2021).

Ihre jüngste Publikation „Hidden and Devalued Feminized Labour in the Digital Humanities: On the Index Thomisticus Project 1954–67“ soll demnächst bei Routledge erscheinen.