[datensicherheit.de, 03.09.2020] Nach gut zwei Jahren Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) nehmen laut einer aktuellen Mitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) Meldungen und Nachfragen zu Datenschutzfragen in Rheinland-Pfalz weiter zu. So würden immer mehr Datenpannen angezeigt: „Während die Zahl 2018 bei 105 und 2019 bei 319 lag, sind in den ersten acht Monaten dieses Jahres bereits 388 Datenpannen durch private und öffentliche Stellen gemeldet worden“, berichtet Professor Dieter Kugelmann.

Laut Kugelmann wird noch geprüft, ob die TWL die Betroffenen rechtzeitig unterrichtet hat

Eine weitreichende Datenpanne habe sich bei den Technischen Werken Ludwigshafen (TWL) ereignet: „Die TWL haben nach eigenen Angaben am 20. April 2020 entdeckt, dass Kriminelle die Daten von 150.000 Kunden und 1.300 Beschäftigten aus internen Systemen gestohlen hatten.“
Den LfDI erreichten bis heute zahlreiche Anfragen und Hinweise von Betroffenen, die Angst um ihre Daten hätten, „die sich mittlerweile im Darknet befinden sollen“. Die Ermittlungen zu dem Hackerangriff dauerten noch an: „Es wird insbesondere noch geprüft, ob die TWL die Betroffenen rechtzeitig unterrichtet hat“, berichtet Professor Kugelmann.

Kugelmann: In den ersten acht Monaten 2020 bereits 772 Beschwerden

Auf hohem Niveau habe sich die Zahl der Beschwerden über tatsächliche oder mutmaßliche Datenverstöße sowie die Zahl der Beratungen etabliert. „Während im Jahr 2018 704 Beschwerden gegen öffentliche und private Stellen vorgebracht wurden, waren es 2019 1005. In den ersten acht Monaten dieses Jahres beläuft sich die Zahl auf 772.“ Der LfDI RLP habe 2020 zudem bereits 570 Beratungen und Stellungnahmen vorgenommen.
„Die vergangenen Monate standen im Zeichen der ,Corona-Pandemie‘ und der Digitalisierung. Es gab und gibt immer wieder einen immensen Beratungsbedarf, welche technischen Anwendungen und Verfahren datenschutzkonform sind. Pandemie braucht Datenschutz!“, betont Professor Kugelmann.

Kugelmann plant Runden Tisch der rheinland-pfälzischen Wirtschaft zum EuGH-Urteil

„Seit Mitte Juli beschäftigt uns das Urteil des Europäischen Gerichtshofs, wonach der ,EU-U.S. Privacy Shield‘ ungültig ist. Die Datenübermittlung in Staaten jenseits der EU wird damit schwieriger und anspruchsvoller.“
Der LfDI RLP plant nach eigenen Angaben, im Dezember 2020 einen Runden Tisch mit Vertretern der rheinland-pfälzischen Wirtschaft zum EuGH-Urteil einzuberufen.

„Best of Datenschutz 2020“: Kontakterfassung in der Corona-Krise laut ein Kugelmann Schwerpunkt

Ein Schwerpunkt der Pressekonferenz „Best of Datenschutz 2020“ habe auf Fällen mit Bezug zur „Corona-Pandemie“ gelegen – insbesondere der Kontakterfassung in Restaurants und anderen Einrichtungen. Seit April 2020 habe der LfDI RLP rund 40 Beschwerden und Hinweise mit (mutmaßlichen) Datenschutzverstößen gemeldet bekommen sowie 55 Anfragen allgemeiner Art von Bürgern und kontakterfassenden Stellen.
Der LfDI RLP habe rund 30 rechtliche Hinweise unter anderem an Restaurants verschickt, weil die Daten nicht korrekt erfasst worden seien. Es seien auch mehrere Verwaltungsverfahren eröffnet worden.

Kugelmann berichtete über offensichtlichen und potenziellen Missbrauch

„In einem offensichtlichen Missbrauchsfall wurde eine 16-Jährige, die in Mainz ein Restaurant besuchte und ihre Kontaktdaten angab, noch während des Restaurantbesuchs per ,WhatsApp‘ angeschrieben, ob man sich nicht nach dem Restaurantbesuch treffen könne“, so Professor Kugelmann.
In einem anderen Fall habe eine staatliche Behörde (Die Aufsichts- und Dienstleistungsdirektion ADD) den Datenschutz im Rahmen von Telefonkonferenzen nicht beachtet: „Da den Teilnehmerinnen und Teilnehmern verschiedener Sitzungen jeweils die gleiche PIN gegeben wurde, konnte sich ein Unbefugter in eine Schaltkonferenz eines Personalratsgremiums einwählen.“

Datenschutz-Verletzungen: Kugelmann zu weiteren konkreten Vorfällen

An den LfDI RLP wendeten sich regelmäßig Mietinteressenten, die Beschwerde einlegten, weil Vermieter, Wohnungsverwalter und Makler sehr weitreichende Informationen von Interessenten verlangten. „Erlaubt ist es zu diesem frühen Zeitpunkt lediglich, Kontaktdaten zu erfassen.“ Der LfDI RLP habe in diesem Zusammenhang eine Verwarnung gegenüber dem Immobilienunternehmen GAG Ludwigshafen ausgesprochen: „Die GAG hatte von einer älteren Dame, die eine langjährige, zuverlässige Mieterin ist, weitgehende Finanzauskünfte verlangt, weil diese sich für eine neue Wohnung interessiert hatte.“
In einem skurrilen Fall habe eine pfälzische Rechtsanwaltskanzlei „grob fahrlässig“ gehandelt: „Sie verwechselte zwei Personen, prüfte die Daten nicht und schickte daher zu jemand völlig Unbeteiligten einen Gerichtsvollzieher.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.09.2020
Datenpanne bei Gästelisten: Bundesweite Auswirkungen / Professor Dieter Kugelmann fordert Informationen zur Kontakterfassungs-App der Gästelisten an

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff / Prof. Dr. Dieter Kugelmann fordert „hohe Hürde“ zur Herausgabe der Kontaktdaten an die Polizei

datensicherheit.de, 22.05.2020
Prof. Dieter Kugelmann bilanziert 2 Jahre DSGVO / Zunehmendes Datenschutz-Bewusstsein in Wirtschaft, Verwaltung und Gesellschaft

Sensibilisierung ist unabdingbar, aber nur die eine Seite der Medaille

[datensicherheit.de, 28.08.2019] Seit Anfang 2019 sind beim baden-württembergischen Datenschutzbeauftragten Dr. Stefan Brink rund 1.000 Meldungen über Datenpannen eingegangen. Die Themen reichen von Ransomware-Vorfällen bis hin zum Fehlversand von Arztberichten. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten Cryptshare AG aus Freiburg im Breisgau, was Mitarbeiter in Arztpraxen tun können.

Bild: Cryptshare AG

Matthias Kess, CTO, Cryptshare AG

ds: Wie können Mitarbeiter für das Thema sensibilisiert werden?

Kess: Die Schlussfolgerung aus dem aktuellen Bericht des Datenschutzbeauftragten, ebenso wie aus den bekannt gewordenen Datenpannen der vergangenen Jahre, kann nur lauten: Die Sensibilisierung der Mitarbeiter, idealerweise in Form von regelmäßigen Schulungen, ist unabdingbar. Schließlich spielen die Anwender die zentrale Rolle bei allen Fragen rund um IT-Sicherheit.
Dazu kommt im täglichen Umgang ein gesunder Menschenverstand – was zu gut klingt, um wahr zu sein, ist in der Regel genau das: zu gut, um wahr zu sein! Aber auch andere Auffälligkeiten wie ein seltsames Erscheinungsbild oder ein unerwarteter Absender von ansonsten vertraut wirkenden E-Mails sind verdächtig. Doch das ist nur die eine Seite der Medaille, die auch nicht isoliert betrachtet werden sollte. Die andere ist die Unterstützung durch entsprechende technische Lösungen.

ds: Wie können Prozesse auch in kleinen Strukturen ordentlich gehandhabt werden, um derartige Vorfälle zu reduzieren oder sogar auszuschließen?

Kess: Nicht nur in der Medizin, sondern auch in der IT sollte eine regelmäßige „Vorsorgeuntersuchung“ durchgeführt werden. Um eine fundierte Diagnose stellen zu können, muss man einen genauen Blick in die vorherrschenden Kommunikationsprozesse werfen.

Und hier ist es ganz grundsätzlich nötig, einen Perspektivenwechsel vorzunehmen – hin zu den in vielen medizinischen Einrichtungen vorherrschenden Kommunikationsprozessen. Sie sind ganz offensichtlich ein Teil des Problems und machen bestimmte Bereiche so angreifbar. Der Gesundheitssektor, der wegen verschiedener Ransomware-Vorfälle schon mehrfach die Schlagzeilen bestimmte, hat beispielsweise Eigenheiten wie „Makros“ in Office-Programmen, die in medizinischen Einrichtungen häufig aktiviert sind.

Die gute Nachricht dabei: Es ist nur eine kleine Stelle, an der diese Prozesse anders gehandhabt werden müssten, um Einfallstore zu schließen und das Schutzniveau zu erhöhen. Es genügt eine einfache und schnell umzusetzende Maßnahme: die Umstellung der internen Workflows und der Einsatz entsprechender Lösungen, die dafür sorgen, dass vorab definierte Dateitypen erst gar nicht per E-Mail angenommen werden können. Wenn sie stattdessen über geeignete Dateiübertragungssysteme ausgetauscht werden, wird die massenhafte Verbreitung von Schadcode aufgrund vorhandener Authentifizierungsmaßnahmen für Absender und Empfänger unmöglich gemacht.

ds: Die am häufigsten gemeldeten Datenschutzverletzungen waren Postfehlversand, Hacking-Angriffe/Malware/Trojaner sowie E-Mail-Fehlversand. Welche Rolle spielt E-Mail in diesem Zusammenhang?
Kess: Die E-Mail spielt in der ganzen Thematik eine zentrale Rolle.

Einerseits hat sie sich gerade im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar. Andererseits kommen gerade hier Sicherheitsfragen ins Spiel: E-Mail-Kommunikation ist ein bevorzugter Angriffsvektor von Kriminellen, Hackern und Wirtschaftsspionen – neun von zehn Cyber-Angriffen starten mit einer E-Mail.

Anders ausgedrückt: E-Mails sind ein zentraler Teil des Problems.

ds: Gibt es so etwas wie fünf praktische Tipps für Arztpraxen, die aber auch leicht umsetzbar sind?

Kess: Da ist zum einen die – bereits angesprochene – Sensibilisierung der Mitarbeiter für unterschiedliche Sicherheitsanforderungen zu nennen.

Auch Sensibilisierung bezüglich der Nutzung sozialer Medien ist wichtig – denn Informationen, die Angreifer aus den sozialen Medien oder aus unverschlüsselten E-Mails ziehen, stellen ein Risiko dar. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Das kann bereits ausreichen, um einem der beiden Kommunikationsteilnehmer vertrauenswürdig zu erscheinen und im Rahmen eines Social-Engineering-Angriffs vertrauliche Informationen zu entlocken.

E-Mail bietet als Kommunikationsmedium eine sehr große Angriffsfläche, da die Nachrichten von A nach B einen Weg gehen können, den weder Absender noch Empfänger unter Kontrolle haben. Es empfiehlt sich daher, für schutzbedürftige Daten eine Lösung zu wählen, die den Kommunikationsweg direkter gestaltet, die Angriffsfläche so weit wie möglich verringert und so Kriminellen die Arbeit erheblich erschwert.

Mitarbeiter sollten jedoch auch bei Verwendung einer anderen Kommunikationslösung in der Lage sein, mit jedem beliebigen externen Kontakt, der über eine E-Mail Adresse verfügt, spontan verschlüsselt Informationen austauschen zu können, ohne zuvor die IT auf der einen oder anderen Seite beanspruchen zu müssen. In der Praxis ist jede technische Hürde eine zu viel. Eine Integration in die vorhandene E-Mail-Lösung ist also wünschenswert, denn hier muss kein neues Know-How erlernt werden.

Eine solche Lösung sollte zudem in der Lage sein, auf dem gleichen Wege nicht nur Nachrichten, sondern auch große Dateien auszutauschen. Das funktioniert per E-Mail in der Regel ohnehin nicht, ist im Medizinbereich jedoch häufig erforderlich. Man denke nur an Röntgenbilder oder dreidimensionale CT-Scans.

Mit Hilfe einer E-Mail-Schutz-Klassifizierung kann es den Mitarbeitern einfach gemacht werden, mit ein oder zwei Klicks die jeweils angemessenen Schutzmaßnahmen zu ergreifen. Denn natürlich muss nicht jede Nachricht immer verschlüsselt auf den Weg gehen. Streng vertrauliche Patientendaten jedoch sollten zwingend verschlüsselt und mit nachvollziehbarer Empfangsbestätigung zum Empfänger übertragen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.06.2019
Ein Jahr DS-GVO: Viel Lärm um nichts?

datensicherheit.de, 21.11.2018
Angriffe auf Krankenhäuser über E-Mails: Problem ist Teil der Lösung

Risikobewertungen mit Hilfe von umfassenden Identitätseinblicken

[datensicherheit.de, 14.08.2018] Die digitale Wirtschaft fördert ungeahnte Möglichkeiten, aber noch größere Risiken, da Verbraucher zunehmend in einer anonymen Webumgebung interagieren. Datenpannen bringen täglich riesige Mengen an Kundeninformationen auf den Schwarzmarkt – genauer gesagt 3331 Datensätze pro Minute. Ein gefundenes Fressen für Cyberkriminelle, denn die können die gestohlenen Identitäten für ihre schädlichen Machenschaften nutzen. Für Unternehmen stelt sich die Frage, wie gegen den Identitätsbetrug vorgegangen werden kann.

Bild: ThreatMetrix

Andreas Baumhof, CTO bei ThreatMetrix, kommentiert das Problem folgendermaßen:

„Verschiedene Technologien, die nicht zusammenarbeiten, reichen nicht aus, um Kunden vor einem Identitätsbetrug zu schützen. Zusätzlich provozieren sie Reibungen in der Benutzererfahrung sowie übermäßig hohe Kosten. Besser wäre also ein Gesamtbild der Situation mit einem umfassenden 360-Grad-Verständnis darüber, mit wem das Unternehmen zu welchem Zeitpunkt und über welchen Kanal Transaktionen durchführt.

Das Erfolgsgeheimnis besteht darin, die facettenreichen Teile der wahren Identität eines Individuums über mehrere Kanäle hinweg sowie offline und online miteinander zu verbinden und so ein kombiniertes Verständnis von physischen und digitalen Identitätswechselwirkungen zu erhalten. In vier Schritten können Sie einen solchen 360-Grad-Identitätseinblick erhalten:

1. Digitale Bewertung: Berücksichtigen Sie Identitätsattribute aus digitalen Kontaktpunkten, wie beispielsweise Benutzernamen und Passwörtern, E-Mail-Adressen, Online-Kontoverläufen und -Verhaltensweisen, sozialen Netzwerken, Geräteidentifikationen und geografischen Lokalisierungen.
2. Identitätsprüfung: Verknüpfen Sie komplexe und sich stetig ändernde Attribute mit maßgeblichen Datenquellen aus den Offline-Aufzeichnungen eines Kunden. Das können etwa Stromrechnungen, Kfz-Registrierungen oder staatlich ausgestellte Kennungen wie Sozialversicherungsnummern sein.
3. Analyse des Betrugsrisikos: Fortgeschrittene Verbindungstechnologien und maschinelles Lernen setzen diese unterschiedlichen Datenpunkte miteinander in Beziehung und führen bei verdächtigem Verhalten eine Risikobewertung durch.
4. Step-up-Authentifizierung: Für Aktivitäten, die eine erhöhte Risikoanalyse aufweisen, besteht der letzte Schritt in der Bereitstellung einer Step-up-Authentifizierung (wissensbasierte Authentifizierung, sichere Benachrichtigungen oder Biometrie). Eine starke Kundenauthentifizierung, die sich nahtlos in die risikobasierte Authentifizierung auf Grundlage von Identitätsbewertungen integrieren lässt, ist der Schlüssel zu maximaler Sicherheit bei minimalem Kundeneingriff.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 07.02.2017
Digitale Identitäten müssen bewusst geschützt werden

datensicherheit.de, 07.04.2014
Erneuter großangelegter Identitätdiebstahl: BSI informiert Betroffene

[datensicherheit.de, 28.08.2013] Die Zahl der in Deutschland öffentlich bekannt gewordenen Datenpannen soll wieder leicht zugenommen haben. Im ersten Halbjahr 2013 verzeichnete das „Projekt Datenschutz“ nach eigenen Angaben 15 Vorfälle.
Damit scheine sich eine leichte Trendwende abzuzeichnen. Seit 2009 sei die Zahl der öffentlich gewordenen Datenschutzpannen kontinuierlich gesunken und habe 2012 mit insgesamt 20 Vorfällen ihren bis dato niedrigsten Stand erreicht. Mit 15 Vorfällen allein im ersten Halbjahr 2013 werde dieser Wert im Gesamtjahr 2013 aller Voraussicht nach wieder übertroffen.
Spitzenreiter im Zeitraum Januar bis Juni 2013 seien laut „Projekt Datenschutz“ dabei wieder die Unternehmen gewesen, die mit insgesamt acht Fällen für mehr als die Hälfte aller Einträge verantwortlich seien. Knapp geschlagen auf Platz zwei lägen Behörden und die öffentliche Verwaltung, die sechs Fälle zur Übersicht von Projekt Datenschutz beigesteuert hätten. Zurückhaltender als sonst seien die politischen Parteien – diese schlügen im ersten Halbjahr 2013 lediglich mit einem Fall zu Buche.
Das wieder steigende Interesse der Öffentlichkeit am Thema Datenschutz sei erfreulich; eventuell spiele hierbei auch der Fall Snowden eine Rolle, sagt Alain Blaes, Geschäftsführer von PR-COM und Initiator von „Projekt Datenschutz“. Dennoch sei die Zahl der öffentlich gewordenen Fälle vermutlich weit von den tatsächlichen Vorfällen entfernt. Die Medien schienen sich nur die spektakulärsten Fälle herauszupicken. Dies sei bedauerlich, denn die Angst vor negativer Presse sei ein starkes Motiv für den richtigen Umgang mit sensiblen Informationen.

Weitere Informationen zum Thema:

„Projekt Datenschutz“
Datenschutzvorfälle in Unternehmen, Organisationen und Behörden und Datenschutz-Aktivitäten der Politik