Home / Aktuelles & Termine / it.sec blog

Wie der Heise Verlag meldet, hat das Amtsgericht Hamburg einen Erlass des Datenschutzbeauftragten Johannes Caspar bestätigt, wonach der Schufa-Konkurrent Bürgel eine Strafe von 15.000 € wegen Geoscoring zahlen soll. Bürgel hatte auf eine Bonitätsanfrage hin eine Scorewert alleine über die Wohnanschrift eines Kunden übermittelt.

Das Urteil ist noch nicht rechtskräftig und Bürgel will es nicht akzeptieren. Dennoch geht Caspar davon aus, dass er derartige Verfahren künftig gar nicht mehr führen müsse. Hintergrund sei, so Heise, dass die von Mai 2018 an geltende EU-Datenschutzverordnung die hiesigen Schranken beim Geoscoring nicht aufhebt, den Bußgeldrahmen aber um ein Vielfaches erhöht.

Im Rahmen der Datenschutzgrundverordnung sind Strafen von bis zu 4% des Vorjahresumsatzes möglich!

Zum Heise-Artikel geht’s hier!

In diesem Beitrag werden fünf in der Praxis oft anzutreffende Fallstricke benannt, die bei einem Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) einer kritischen Infrastruktur besser vermieden werden sollten.

Fehler Nr. 1: Das ISMS falsch ausrichten

Noch vor Inkrafttreten des IT-Sicherheitsgesetzes wurden insbesondere im Energiesektor zahlreiche Projekte ausgeschrieben, die faktisch zu einem ISMS führen, das nur bedingt mit dem IT-Sicherheitskatalog der Bundesnetzagentur im Einklang steht.

Hier ist der Fehler, zu Beginn eines ISMS-Projekts nicht präzise erhoben zu haben, welche Anforderungen tatsächlich zu erfüllen sind. Das ISMS ist jedoch nur so passgenau, wie in seiner Spezifikation angelegt. Eine fehlerhafte Spezifikation verschlingt unnötig viele Ressourcen. Ein ISMS ist ein fortlaufender Prozess und kein irgendwann mal abgeschlossenes Projekt.

Fehler Nr. 2: Das ISMS falsch steuern

Die Zielgenauigkeit und Wirksamkeit eines ISMS hängt maßgeblich davon ab, ob im Rahmen der Risikoanalyse die richtigen Risiken erkannt und anschließend verantwortungsgerecht behandelt werden. In der Praxis ist jedoch ausgerechnet die Risikoanalyse oft das ungeliebte Stiefkind:

  • Hier werden entweder solche Methoden verwendet, die ein bereits vorhandenes oder billig erwerbbares Tool unterstützt, unabhängig davon, ob das wirklich zu dem Kontext der kritischen Infrastruktur passt.
  • Oder es werden ausschließlich vordefinierte Gefährdungskataloge eingesetzt, ohne zu prüfen, ob kontextbezogen ggf. eine andere Gefährdung zusätzlich bzw. vorrangig betrachtet werden sollte.

Hier ist der Fehler, dass eine Risikoanalyse als lästige Übung angesehen wird. Ein ISMS wird aber tatsächlich im Wesentlichen über eine adäquate Betrachtung der Risiken gesteuert.

Fehler Nr. 3: Den falschen IT-Sicherheitsbeauftragten einsetzen

Die Güte eines ISMS steht und fällt in der Praxis mit dem IT-Sicherheitsbeauftragten bzw. Informations-Sicherheitsbeauftragten (SiBe). Doch gerade bei der Besetzung dieser Funktion werden besonders viele Zugeständnisse zugunsten des operativen Geschäfts gemacht oder Funktionsträger faktisch in operative Interessenskonflikte gebracht.

Hier ist der Fehler, die Aufgaben des SiBe zu unterschätzen. Die tatsächlich geforderte Aufgabenvielfalt erfordert erfahrene und für Informationssicherheit ausdrücklich ausgewiesene Spezialisten. Und die findet man oft nur bei externen Beratungshäusern.

Fehler Nr. 4: Die falschen Dinge regeln

Wohlklingende Regelungen in Sicherheitskonzepten oder Organisationsrichtlinien sind nutzlos, wenn diese nicht der Praxis entsprechen und/oder nicht effizient überprüfbar sind. Bei einem ISMS werden Schutzvorkehrungen im Rahmen der Risikobehandlung festgelegt. Simplifizierte Musterpolicies oder Dokumentationen „von der Stange“ helfen daher ebenso wenig, wie Regelungen, die für den Anwender nicht klar verständlich sind oder in der Praxis nicht umgesetzt werden.

Hier ist der Fehler, die organisatorischen Vorgaben als Zielsetzung und nicht als Beschreibung der Umsetzung anzusehen. Solche Inkonsistenzen führen in der Praxis dazu, dass vorgesehene Maßnahmen wirkungslos sind und der Eindruck entsteht, dass ja schon das Wesentliche mit der Festlegung des Ziels bei einem ISMS gemacht sei.

Fehler Nr. 5: Sicherheitsvorfälle falsch adressieren

Der Schutz kritischer Infrastrukturen hängt oft empfindlich vom Aufbau eines wirksamen Security Incident Response Managements ab. Dabei ist sowohl wichtig, wie man entsprechende Vorfälle einstufen und dementsprechend behandeln sollte als auch wie man aufgestellt sein muss, um mit Vorfällen adäquat umgehen zu können (Incident Response Readiness).

Hier ist der Fehler, das Vorfallmanagement erst damit beginnen zu lassen, wenn und wie ein Vorfall gemeldet wird. Im Zuge eines konsequenten Incident Response Managements ist dafür zu sorgen, dass nach einer Ausnahmeregelung wieder geordnet in den Regelbetrieb übergegangen wird.

Bernhard C. Witt

Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit

bcwitt@it-sec.de

Die EU-Justizkommissarin Vera Jourova droht mit Kündigung des Privacy Shield. Von Beginn an stand das Privacy Shield Abkommen zwischen der Europäischen Union und den USA unter Kritik.

Das Privacy Shield (Nachfolger von Safe Harbour) ist ein informelles Übereinkommen im Bereich des Datenschutzrechts, das zwischen der Europäischen Union und den USA ausgehandelt wurde. Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Jetzt soll damit eventuell schon wieder Schluss sein. Die EU-Justizkommissarin will sich Ende März mit Vertretern der neuen US-Regierung treffen um das Thema neu zu besprechen. Nach Trumps Executive Order vom 25.01.2017 werden Nicht-US-Bürger nämlich vom Schutz des Privacy Act ausgenommen. Das US-Justizministerium hat jedoch versichert, dass die USA weiter zum Privacy Shield stehe. Bei dem Termin Ende März soll nun geklärt werden, ob die bisher zugesagten Bedingungen von der USA tatsächlich eingehalten werden.

Andernfalls will die EU-Justizkommissarin das Privacy Shield-Abkommen außer Kraft setzen.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31