[datensicherheit.de, 16.05.2013] Der Schutz von Firmendaten muss für IT-Verantwortliche im Mittelstand die höchste Priorität besitzen. Dennoch kommt es regelmäßig zu Datenlecks, die zu kritischen Situationen führen. Das Ponemon Institute geht davon aus, dass in Deutschland bereits 39 Prozent aller Unternehmen Erfahrung mit Datenpannen oder -diebstählen gemacht haben. Im Durchschnitt kostete eine Datenpanne die Unternehmen 2,41 Millionen Euro. Auch Christian Volkmer, Datenschutzexperte und Geschäftsführer der Projekt 29 GmbH & Co. KG, weiß aus jahrelanger Erfahrung: „Datenpannen, die intern verursacht wurden, gehen zu 50 Prozent auf Fahrlässigkeit und zu 50 Prozent auf Vorsatz der Mitarbeitern zurück. Neben dem eigenen Unternehmen stellen jedoch auch Dienstleister eine Risikoquelle dar: Werden beispielsweise sensible Daten an Call-Center gegeben, muss am besten mit einem Vertragswerk sichergestellt sein, dass dort Schutzmaßnahmen eingehalten werden.“

Dabei können selbst durch kleine Fahrlässigkeiten Schäden in Millionenhöhe entstehen, die insbesondere für den Mittelstand folgenschwer sein können. Diese setzen sich meist aus folgenden Punkten zusammen: Finanzielle Aufwendungen für die Aufdeckung und Aufarbeitung der Panne, Reaktionsmaßnahmen gegenüber den Betroffenen, entgangene Umsätze sowie Kosten für die Benachrichtigung der Betroffenen. Volkmer rät deshalb zu einer übergreifenden Sicherheitspolitik, damit der Betrieb erst gar nicht in einen finanziellen Engpass gerät. Dazu gehört auch die Festlegung von Zugriffsberechtigungen: „Die Verantwortlichen entscheiden hier darüber, welcher Mitarbeiter welche Rechte bezüglich welcher Daten erhält. Entwickler benötigen beispielsweise andere Berechtigungen als Marketing-Manager. In DLP-Systemen lassen sich diese Rechte meist sehr individuell auch für die Arbeit mit mobilen Geräten abbilden.“ Aber auch allgemeinere Maßnahmen können eine gute Wirkung erzielen. Zum Beispiel kann der Transfer von Word-Dateien von vornherein gestattet, der von Excel-Tabellen dagegen untersagt werden. Außerdem kann festgelegt werden, dass der Transfer von Daten nur auf firmeneigene Geräte möglich ist, die anhand einer ID-Nummer erkannt werden.

Weitere Informationen zum Thema:

projekt29.de
Willkommen bei Projekt 29

[datensicherheit.de, 10.12.2012] Ab dem 1. Januar 2013 gilt der neue Rundfunkbeitrags-Staatsvertrag. Dann wird es keine gerätebezogenen Rundfunkgebühren mehr geben, sondern der Rundfunkbeitrag wird pro Wohnung und zwar unabhängig, ob ein Fernseher, Radio oder ein internetfähiger Computer vorhanden ist, entrichtet. Es fallen für jeden Haushalt 17,98 Euro an. Es wird ein Stichtag festgelegt, an dem Melderegisterdaten, wie der Vor- und Familienname, gegenwärtige und frühere Anschriften, Haupt- und Nebenwohnung, Tag des Ein- oder Auszugs, Familienstand sowie Sterbetag an die GEZ übermittelt werden. Demnach würden sämtliche Melderegister von den Mitarbeitern der staatnahen Institution stärker durchleuchtet. Bereits 2003 erhielt die GEZ den „Big Brother Award“ – einen Negativpreis für die rücksichtslose Eintreibung von Daten. Dabei nutzten die Gebühreneintreiber oft rechtliche Grauzonen und die Unwissenheit der Bürger. Datenschutzexperte Dipl.-Inf. Christian Volkmer, Geschäftsführender Gesellschafter der Projekt 29 GmbH & Co. KG in Regensburg, ist alarmiert und möchte die Verbraucher aufklären. Er gibt Tipps für Haushalte und Unternehmen im Umgang mit personenbezogenen Daten.
Laut einer Studie der Kommission zur Ermittlung des Finanzbedarfs der Rundfunkanstalten (KEF) sorge eine wachsende Zahl von Gebührenbefreiungen sowie eine zurückgehende Zahlungsbereitschaft der Nutzer für jährliche Einnahmeverluste. Die Forderungen der Gebühreneinzugszentrale (GEZ) beliefen sich nach KEF auf 753 Millionen bis 822 Millionen Euro pro Jahr. Eine unausgeglichene Bilanz bei der GEZ verstärke den Zwang, noch hartnäckiger Daten einzutreiben, erläutert Datenschutzexperte Volkmer. Die GEZ könne in Zukunft noch intensiver nach Daten forschen. Die Formulierung der Befugnisse für die Datensammlung sei sehr weit gefasst, was den Datenschutzexperten massiv beunruhige.
Die Datenschutzbeauftragten der Länder befürchteten insbesondere ab dem 1. Januar 2013 eine Ausweitung bei der Geldeintreibung. Volkmer ist in der Gesellschaft für Datenschutz aktiv und kennt sich bestens mit der neuen Regelung aus – „Datenschutz“ und „GEZ“; diese beiden Begriffe hätten noch nie zusammen gepasst. Es sei bisweilen sogar vorgekommen, dass Datenfahnder Karteikarten mit persönlichen Daten verloren hätten, erzählt Volkmer.
Die Methoden der Gebühreneintreiber seien oftmals dreist. Die Institution nutze geschickt die rechtlichen Grauzonen und die Unwissenheit der Bürger mit Drohgebärden, sich hinziehenden Verfahren und Anonymisierungsstrategien zum Erfolg zu kommen. Sie verschicke trotz Widerstand gegen ihre Zahlungsaufforderung weiter Zahlungserinnerungen mit Säumnisgebühren, erschwere die Abmeldungen, fordere Gebühren und verschicke Zwangsanmeldungen ohne ausreichenden Nachweis empfangsbereiter Geräte. Dabei kehre sie gerne die Beweislast um – der Beschuldigte anstatt der GEZ müsse mit einer eidesstattlichen Versicherung beweisen, dass er keine Rundfunkgeräte zum Empfang besitzt. Auch bei Gerichtsverhandlungen habe die GEZ den längeren Atem. Die Gebühreneintreiber hätten einen modernen Verwaltungsapparat, um an die Daten zu kommen. Sich bei unklaren Sachlagen als Bürger richtig zu verhalten, sei nicht einfach. Daher rät Volkmer: „In Fällen zum Umgang mit personenbezogenen Daten im Rahmen des Gebühreneinzugs sollte man einen Datenschutz-Experten kontaktieren und nicht kampflos aufgeben.“

[datensicherheit.de, 03.12.2012] Nach einer Studie der Krankenkasse DAK soll der Krankenstand im Jahr 2011 so hoch wie seit 15 Jahren nicht mehr gewesen sein – im Schnitt habe der Krankenstand bei 3,6 Prozent gelegen. Dies seien 13,2 Fehltage pro Versichertem. Allem Anschein nach sei das den gesetzlichen Krankenkassen zu viel, erläutert Dipl.-Inf. Christian Volkmer, zertifizierter Datenschutzexperte und Inhaber von Projekt 29 in Regensburg. Deshalb fragten die Kassen im Jahr 2012 verstärkt nach.
Wer etwa durch einen Infekt einige Zeit ans Bett gefesselt war und Krankentagegeld erhalten hatte, erhalte einige Zeit später ein Schreiben der Krankenkasse mit der Aufforderung, den beigefügten Fragebogen ausgefüllt an die Kasse zurückzusenden. Ansonsten drohe dem Mandanten die Rückforderung des Krankentagegeldes. In dem Bogen würden dann Daten zu Familienstand, Vorerkrankungen aber auch Verhältnis zum Arbeitgeber und Urlaubsplanungen abgefragt, berichtet Volkmer – und betont, dass den Krankenkassen jegliche Berechtigung für ein derartiges Schreiben fehle. Fragen, wie in den Fragebögen aufgeführt, dürften nur vom Medizinischen Dienst der Krankenversicherungen (MDK) gestellt werden. Dessen Mitglieder seien Ärzte, die der Schweigepflicht unterliegen. Wer einen solchen Brief erhält, habe keine Pflicht, diesen auszufüllen.
Die Datensammelwut der Krankenkassen zeige sich aber noch in anderer Form und mit nicht weniger Gewicht, so Volkmer. Mit den neuen elektronischen Krankenkassenkarten soll es Ärzten in Zukunft erleichtert werden, einen Überblick über die Krankengeschichte des Patienten zu erhalten und diese auch zu aktualisieren. Dabei sei bislang völlig unklar, wo die Datensätze hinterlegt werden. Diese sollten auf externen Servern gespeichert werden und ob sie sich in Deutschland oder einem anderen Staat befinden, sei nicht geklärt, warnt Volkmer. Auch bei einer hohen Verschlüsselungsrate von 2.048 bit und einem PIN-System seien die Daten nicht sicher. Schon zu Beginn der Umstellung habe sich die Pharmaindustrie den Zugriff auf die Patientendaten sichern wollen, um ökonomischen Nutzen daraus zu ziehen. Es sei nicht absehbar, was passiert, sollte sich eine staatsnahe Branche, wie zum Beispiel Versicherungsunternehmen, Zugang zu den elektronischen Akten beschaffen.
Zum Umgang mit der elektronischen Gesundheitskarte rät Volkmer rät zur Datensparsamkeit – bislang seien auf diesen Karten nur die Angaben zu Name, Alter und Wohnort gespeichert. Sollte die Aufforderung, weitere Angaben zu machen, kommen, warnt er davor, diese derzeit an die entsprechende Stelle weiterzugeben. Die Krankheitsdaten seien beim behandelnden und der Schweigepflicht verpflichteten Mediziner gut aufgehoben.

Weitere Informationen zum Thema:

Projekt 29
Home

[datensicherheit.de, 24.10.2012] Christian Volkmer, Inhaber von Projekt 29 in Regensburg, ist einer der wenigen bekannten zertifizierten Datenschutzexperten im deutschsprachigen Raum. Er warnt in einer aktuellen Stellungnahme die Nutzer Sozialer Netzwerke – bevor diese ein Posting abgeben oder ein Bild hochladen, sollten sie die möglichen Auswirkungen bedenken, denn während die Ankündigung des nächsten Urlaubs vor allem Einbrechern in die Karten spiele, freuten sich Werbefirmen über von Hackern ausgelesene Handynummern oder Adressen…
Die neuesten Zahlen ließen aufhorchen – mehr als eine Milliarde Nutzer habe das Soziale Netzwerk facebook mittlerweile, so die Pressestelle des US-amerikanischen Unternehmens. Allerdings mehrten sich die kritischen Stimmen, denn neben den schwammig gehaltenen Datenschutzbestimmungen sorgten auch immer wieder gehackte Accounts für Aufruhr. Nach einem Artikel des US-Tech-Blogs „ReadWriteWeb“ werde täglich auf rund 600.000 Konten von facebook-Nutzern von außen zugegriffen. Die Quelle für diese Angabe sei kurioserweise eine Infographik von facebook selbst, die die Mitglieder des Netzwerkes mit der Angabe, dass nur 0,06 Prozent von einer Milliarde täglichen Logins von unautorisierten Quellen stammten, zu beruhigen suchte. Diese Angabe klinge nach einer geringen Missbrauchquote. Rechne man laut „ReadWriteWeb“ allerdings die immensen Nutzungszahlen des Portals mit ein, komme man auf 600.000 Hacks pro Tag.
Laut Volkmer liegt die Gefahr nicht nur im unbedachten Hochladen von Meldungen und Fotos oder einem bekanntgewordenen Passwort. Aufgrund der sehr offen formulierten Allgemeinen Geschäftsbedingungen (AGB) und Nutzungsrechte werde beispielsweise nicht klar, ob facebook dazu berechtigt ist, private Bilder zu Werbezwecken zu nutzen. Denn die Plattform erkläre zwar im Hilfebereich, dass der Nutzer Urheber bleibe und nur Lizenzen vergebe, jedoch bleibe man nach deutschem Recht generell Urheber bis zum Tod und es könnten nur Nutzungsrechte vergeben werden. Wir hätten dabei eine Grauzone in der Rechtsprechung, erklärt Volkmer. Es sei nicht abschließend geklärt, wo bei Sozialen Netzwerken welches Staatenrecht wie greift, da die Server meist nicht im Heimatland des Users stünden. Solange es keine klare Regelung gibt, empfiehlt er, sich nicht bei facebook anzumelden.
Wer bereits ein Account bei dem Sozialen Netzwerk hat und dieses nicht löschen will, sollte umgehend den Sicherheitsstatus seines Passwortes überprüfen und in den Konto- und Privatsphäre-Einstellungen die Haken in insgesamt 36 Schritten so setzen, dass nicht-autorisierte Personen keinen Zugriff auf private Daten erhalten und sichergestellt wird, dass diese auch nicht zu Werbezwecken von facebook weitergegeben werden dürfen. Ein erster Schritt in die richtige Richtung sei laut Volkmer mit dem Verbot der automatischen Gesichtserkennung in Deutschland endlich getan.

Weitere Informationen zum Thema:

XING
Christian Volkmer, Dipl.-Informatiker

Projekt 29
Willkommen bei Projekt 29 – Ihrem Partner für Datenschutz, Informationssicherheit, Business Continuity, IT Compliance, IT Governance