Schlagwort-Archiv: IT-Sicherheit

BNetzA stellt IT-Sicherheitskatalog für Systeme zur Netzsteuerung vor

Im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, im Entwurf erstellt (Download IT-Sicherheitskatalog, PDF). Im Mittelpunkt steht dabei die Einführung eines ISMS (Informationssicherheitsmanagementsystem) nach Maßgabe der DIN ISO/IEC 27002 unter besonderer Berücksichtigung der Vorgaben für die Energieversorgung aus DIN SPEC 27009. Bis zum 15.2.2014 kann zum IT-Sicherheitskatalog gegenüber der Bundesnetzagentur Stellung genommen werden.

BSI, ]init[ und Fraunhofer SIT veröffentlichen Studie zur Datensicherheit in Web Content Management Systemen

Das Bundesministerium für Sicherheit in der Informationstechnologie, die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie haben eine gemeinsame Studie zur Datensicherheit in Web Content Management Systemen (CMS) veröffentlicht.

Bei CMS handelt es sich allgemein um Systeme, die die Darstellung, Nutzung und Verwaltung aufbereiteter Daten (z.B. Bilder, Texte) ermöglichen. Web CMS sind somit für die Aufbereitung solcher Daten auf Intra- oder Internetseiten zuständig. Ein solches Web CMS kann ein großer Schwachpunkt für die Datensicherheit sein, da es einem Angreifer meist eine erste Plattform zum tieferen Einstieg in eine Unternehmensstruktur bietet. Aufgrund des immer ähnlichen Aufbaus solcher CMS gefährden veröffentlichte Sicherheitslücken meist viele CMS-Websites.

Die nun vorgestellte Studie hat Open Source Web CMS wie Drupal, Joomla!, Plone, TYPO3 und WordPress im Hinblick auf deren Sicherheit unter die Lupe genommen. Diese sind die sowohl privat als auch professionell meist genutzten Web CMS. Geprüft wurden die Systeme dabei sowohl im Hinblick auf die rechtliche und organisatorische Ebene, als auch auf die dahinterliegende Technik. Dabei wurde "auch der gesamte Lebenszyklus von der Produktauswahl bis zum kontinuierlichen Betrieb des CMS betrachtet". Hierzu nutzten BSI, ]init[ und Fraunhofer SIT Dokumentenlagen, die sie durch eigene Tests und Installationen prüften.

Im Ergebnis beruht die Sicherheit vom CMS-Websites, laut der Studie, besonders auf:

  1. der eingesetzen Software, bzw. deren Sicherheit,
  2. der Konfiguration der CMS in Abstimmung mit anderen eingesetzten Komponenten, und
  3. einem stetigen Einspielen der Sicherheitsupdates und weiterem kontinuierlichen Systemmanagements.

Die Studie bewertet die sicherheitstechnische Eignung der verschiedenen CMS und zeigt Privatleuten und IT-Spezialisten der öffentlichen Verwaltung und der freien Wirtschaft Möglichkeiten für den sicheren Umgang mit CMS auf.

Die Studie ist hier abrufbar.

DATEV und DsiN stellen neuen Leitfaden zu E-Mail-Verschlüsselung vor

Am 05.07.2013 stellten die DATEV eG und Deutschland sicher im Netz e.V. (DsiN) ihren neuen Leitfaden zu E-Mail-Verschlüsselung für kleine und mittelständische Unternehmen (KMU) vor (Download Leitfaden, PDF). Dass ein solcher Leitfaden mit Schwerpunkt IT-Sicherheit durch E-Mail-Verschlüsselung dringend nötig ist, zeigt eine Studie der DsiN mit dem Titel IT-Sicherheitslage im Mittelstand 2013, nach der nicht einmal die Hälfte der kleinen und mittelständischen Unternehmen (KMU) ihre E-Mail-Kommunikation sichert. Der Leitfaden wurde, gefördert durch das Bundesministerium für Wirtschaft und Technologie (BMWi), im Rahmen des Projektes Freie Berufe als Brückenbauer für IT-Sicherheit erstellt.

LG Berlin: Dynamische IP-Adressen sind nicht per se personenbezogene Daten

Landgericht Berlin, Urteil vom 31.01.2013 – 57 S 87/08

Leitsätze des Verfassers

1. Für die Auslegung des Wortes “bestimmbar” in § 3 Abs. 1 BDSG ist der subjektive Ansatz zugrundezulegen. Daher ist die dem Computer einer natürlichen Person dynamisch zugeteilte IP-Adresse für alle anderen an der IP-basierten Kommunikation Beteiligten (mit Ausnahme des die Adresse zuteilenden Internetzugangsdiensteanbieters (i.d.R. Betreiber des Tier-3 Telekommunikationsnetzes, z.B. NetCologne, Deutsche Telekom, etc.)), also insbesondere für die Betreiber von Internetseiten, für sich genommen ohne Weiteres kein personenbezogenes Datum i.S.v. § 3 Abs. 1 BDSG. Dies gilt auch, wenn der Betreiber der Internetseite die IP-Adresse eines auf die Seite zugreifenden Computers gemeinsam mit dem Zugriffszeitpunkt speichert.

2. Das zuvor nicht-personenbezogene Datum IP-Adresse wird aber zu einem personenbezogenen Datum i.S.v. § 3 Abs. 1 BDSG, sobald und solange die für die Speicherung verantwortliche Stelle – also i.d.R. der Betreiber der Internetseite – über Zusatzinformationen, bzw. Kontextwissen verfügt, welches die Zuordnung der IP-Adresse zu einer bestimmten natürlichen Person zulässt. Derartiges Kontextwissen liegt insbesondere dann vor, wenn der auf die Internetseite zugreifende Nutzer im Rahmen der Benutzung der Internetseite seinen Namen (auch als Teil seiner E-Mail-Adresse) angibt. Dabei kommt es nicht auf die korrekte Identifikation der Person an, die tatsächlich die IP-Adresse zur Kommunikation verwendet hat, sondern nur darauf, dass die IP-Adresse (irgend-)einer bestimmten natürlichen Person zugeordnet werden kann.

3. Dagegen reicht es für den Bezug einer (dynamischen) IP-Adresse zu einer “bestimmbaren” natürlichen Person i.S.v. § 3 Abs. 1 BDSG nicht per se aus, dass die verantwortliche Stelle (hier: der Betreiber der Internetseite) die theoretische Möglichkeit hat, durch ein Auskunftsverfahren i.S.v. § 101 UrhG gegen den die dynamische Zuordnung vornehmenden Internetzugangsdiensteanbieter oder vermittelt durch eine Akteneinsicht im Rahmen eines Strafverfahrens Kenntnis von der Identität der auf die Internetseite zugreifenden Person erlangen zu können. Für die Frage, ob eine natürliche Person in diesem Sinne “bestimmbar” ist, ist nur auf das Kontextwissen abzustellen, welches bei der verantwortlichen Stelle tatsächlich vorhanden ist, sowie ergänzend auf diejenigen Zusatzinformationen, die von der verantwortlichen Stelle mit einem Aufwand beschafft werden können, bei dem es nach der allgemeinen Lebenserfahrung zu erwarten steht, dass die verantwortliche Stelle diesen zur Aufdeckung der Identität auf sich nehmen wird. Weil dies eine Frage des konkreten Einzelfalls ist, entzieht sich die dahingehende Bewertung von (dynamischen) IP-Adressen einer pauschalen Beurteilung, ob es sich um personenbezogene Daten handelt oder nicht.

4. Die getrennte Speicherung von IP-Adresse und Zugriffszeitpunkt in verschiedenen Datenbeständen schließt nicht aus, dass die IP-Adresse – sobald die verantwortliche Stelle Kontextinformationen erlangt -  zum personenbezogenen Datum i.S.v. § 3 Abs. 1 BDSG wird, es sei denn, es wäre jedermann in der Position der verantwortlichen Stelle, also objektiv, unmöglich, die IP-Adresse mit dem zur Identifikation benötigten Kontextwissen zusammen zu führen.

Auswirkungen für die Praxis:

Ob eine IP-Adresse ein personenbezogenes Datum ist oder nicht, ist die zentrale Gretchenfrage, die sich jeder Betreiber einer Internetseite stellen muss, der die Benutzung seiner Seite auch nur erfassen, geschweige denn darauf aufbauend auswerten möchte. Das vom Landgericht Berlin erlassene Berufungsurteil festigt die vorhandene Rechtsprechung, die entgegen dem von den Aufsichtsbehörden i.S.v. § 38 BDSG teilweise vertretenen objektiven Ansatz die “Bestimmbarkeit” nach dem subjektiven Ansatz beurteilt, also auf das Wissen, die Möglichkeiten der verantwortlichen Stelle und den vernüftiger Weise zu erwartenden Aufwand abstellt. Dies mindert zwar die Rechtssicherheit, erhöht aber die Gerechtigkeit im Einzelfall. Ob der Anwendungsbereich des Datenschutzrechts – der maßgeblich von der Bewertung von Informationen als personenbezogene Daten abhängt – muss daher immer genau im Einzelfall geprüft werden. Eine rechtssichere pauschale Aussage wird man in der Regel nur dahingehend treffen können, dass bei Zweifelsfällen eher vom ein personenbezogenen Datum und daher von der Anwendbarkeit des Datenschutzrechts ausgegangen werden sollte.

In vielen Fällen ergeben sich jedoch keine Anhaltspunkte für Zweifel. Alle Internetseiten, die nur Inhalte zum Abruf durch Anklicken bereit halten, ohne die Möglichkeit vorzusehen, dass der Nutzer auch nur irgendeine Art von Tastatureingabe machen kann (kein Login, kein Kontaktformular, keine Kommentarmöglichkeit, etc.), setzen den Betreiber der Internetseite so gut wie nie der Gefahr aus, Wissen zu erlangen, welches zur Identifikation eines Nutzers genutzt werden könnte. Für die Anbieter solcher Internetseiten, die kein Kontextwissen über den Nutzer vermitteln, ist durch das vorliegende Urteil klargestellt, dass das deutsche Datenschutzrecht für ihre Tätigkeiten rund um die Internetseite keine Anwendung findet, solange die Betreiber auch sonst kein Kontextwissen erlangen. Dies ergibt sich aus dem wichtigsten Aussagegehalt des Urteils, oben im Leitsatz zu 3. formuliert (aus den Gründen II – 3) b) bb) (1) (b)), dass die theoretische Möglichkeit der Erlangung des Wissens über die der IP-Adresse zuzuordnende Person bei Dritten, insbesondere beim Internetzugangsdiensteanbieter, nicht dafür ausreichend ist, für den Betreiber einer Internetseite die IP-Adresse (eines sonst nicht bekannten Nutzers) zu einem personenbezogenen Datum zu machen. Das bedeutet für derartige Internetseiten die unbeschränkte Möglichkeit des Trackings des Nutzerverhaltens auf der Seite, z.B. mittels Google Analytics. Erklärungen zum Datenschutz i.S.v. § 13 Abs. 1 TMG können denkbar schlank gefasst werden, mit der Auskunft: “Im Zusammenhang mit dem Abruf dieser Internetseite werden keine personenbezogenen Daten erhoben, verarbeitet oder genutzt.”

Zweifel bestanden insoweit nur bezüglich der Frage, ob das (zu) weitgehende Verständnis der Aufsichtsbehörden nicht doch möglicherweise von einem Gericht geteilt wird. Dies erscheint nach dem sehr überzeugend begründeten Urteil des Landgerichts Berlin in Zukunft noch unwahrscheinlicher. Das Landgericht Berlin hat ausdrücklich die Revision zum Bundesgerichtshof zugelassen, da es der Auffassung ist, dass es sich um eine Rechtsfrage von grundsätzlicher Bedeutung handelt und dass die Fortbildung des Rechts eine Entscheidung des Bundesgerichtshofs erforderlich macht. Die Beklagte – die Bundesrepublik Deutschland – täte im Sinne des Gemeinwesens gut daran, eine Entscheidung des Bundesgerichtshofs herbeizuführen, selbst wenn die zuständigen Behördenvertreter das vorliegende Urteil für richtig und überzeugend halten sollten.

Bemerkenswerte Randnotiz:

Die Beklagte hatte argumentiert, sie müsse die Daten der Nutzer über die Beendigung der Nutzungsvorgänge hinaus speichern, um die von ihr zur entgeltfreien Nutzung angebotenen Internetseiten gegen technische Angriffe (insbesondere DoS) zu verteidigen. Was jedoch dem Anbieter von Telekommunikationsdiensten gem. § 100 Abs. 1 TKG erlaubt ist (Verarbeitung personenbezogener Daten über die Beendigung des Nutzungsvorgangs hinaus, für Zwecke des Erkennens, Eingrenzens oder Beseitigens von Störungen), ist dem Anbieter von Telemedien gem. § 12 Abs. 1 TMG verboten. Der ursprünglich im Gesetzesentwurf geplante (zu § 100 TKG parallele) Erlaubnistatbestand in § 15 Abs. 9 TMG wurde nie als Gesetz erlassen. Auch die aufgrund der besonderen Beklagten in diesem Zusammenhang durchaus interessante Norm des § 5 Abs. 1 BSIG konnte jedoch das von der Beklagten zugestandene Verhalten nicht rechtfertigen.

Seminar: Datenschutz bei Finanzdienstleistern

Unser Berater Sascha Kremer, vom TÜV Rheinland zertifizierter externer Datenschutzbeauftragter, führt seit diesem Jahr für die TÜV Rheinland Akademie das Seminar “Datenschutz bei Finanzdienstleistern” durch. Die ersten beiden Termine in Köln und Frankfurt/Main wurden erfolgreich durchgeführt. Nunmehr stehen auch die weiteren Termine für das Jahr 2013 in Hamburg, Berlin, München, Köln und Frankfurt/Main fest. Anmeldungen sind jederzeit online möglich: hier anmelden.

Im Seminar werden u.a. die folgenden Themen behandelt:

  • Grundbegriffe des allgemeinen und finanzspezifischen Datenschutzes
  • Anforderungen an die Datenschutzorganisation bei Finanzdienstleistern
  • Rechte und Pflichten des betrieblichen Datenschutzbeauftragten
  • Kundendatenschutz
  • Scoring
  • Datenschutz bei Finanztransaktionen
  • SWIFT-Verfahren und Datenschutz
  • Mitarbeiterdatenschutz und Korruptionsprävention
  • Whistleblowing
  • Archivierung
  • Outsourcing von Finanzdienstleistungen
  • Umgang mit Datensicherheitsverstößen

BMI: Entwurf zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgestellt

Das Bundesministerium des Inneren (BMI) hat am 5.3.2013 den Referentenentwurf für ein “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme” (PDF) vorgestellt. Mit dem Gesetz will das BMI durch bestimmte Verpflichtungen, die man besonders wichtigen öffentlichen Einrichtungen und privaten Unternehmen auferlegt, die mit einem Ausfall der IT einhergehenden Risiken reduzieren. Der Gesetzentwurf wird nun beraten, mit den verschiedenen Fachgruppen (etwa dem BITKOM) diskutiert und anschließend im parlamentarischen Verfahren ggf. mit etwaigen Änderungen verabschiedet.

Weiterlesen

ENISA veröffentlicht Studie zum “Critical Cloud Computing”

Die European Network and  Information Security Agency (ENISA) hat im Februar 2013 die im Dezember 2012 erstellte Studie “Critical Cloud Computing” (PDF, englisch) vorgestellt. Die Studie befasst sich mit den spezifischen Vor- und Nachteilen des Cloud Computing und unterstellt, dass in wenigen Jahren 80% aller öffentlichen Einrichtungen und privaten Unternehmen Cloud-Dienste nutzen und zumindest in Teilen ihrer Geschäftsprozesse von Cloud-Anwendungen abhängig sein werden.

Die Verfasser der Studie kommen zu dem Ergebnis, dass Cloud Computing wegen der damit erreichbaren Sicherheitsstandards und globalen Verfügbarkeit von Diensten und Inhalten erhebliche Vorteile biete, zugleich aber – insbesondere im Finanz-, Energie- und Transportbereich – kritisch sei, insbesondere wenn es um Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) gehe. Dabei folge die Kritikalität aus den Auswirkungen, die erfolgreiche Angriffe (Cyber Attacks) auf Millionen von Nutzer und geschäftsrelevante Anwendungen hätten, aber auch  aus denkbaren rechtlichen Auseinandersetzungen zwischen Anbieter und Anwender oder Aufsichtsbehörden. “Risk Assessment” (Risikoermittlung und Risikobewertung), “Security Measures” (Maßnahmen der Informations-/IT-Sicherheit) und “Incident Reporting” (Berichtspflichten bei Störungen/Notfällen) seien deshalb für die Nutzung des Cloud Computing von herausragender Bedeutung.

Sascha Kremer als externer Datenschutzbeauftragter zertifiert

Sascha Kremer, Geschäftsführer der LLR DSC GmbH, hat im Februar 2013 erfolgreich die schriftliche Prüfung als “externer Datenschutzbeauftragter (TÜV)” absolviert (PersCert TÜV, Zertifikats-Nummer 1992690). Er verfügt damit über die nachgewiesene, als externer Datenschutzbeauftragter nach § 4f Abs. 2 S. 1 BDSG benötigte Fachkunde.

Ab Mai 2013 wird Sascha Kremer selbst als Dozent für den TÜV Rheinland tätig werden und Unternehmensjuristen, Compliance-Beauftragte, Datenschutzbeauftragte und IT-Sicherheitsbeauftragte im “Datenschutz für Finanzdienstleister” fortbilden. Die erste Veranstaltung findet am 23.5.2013 in Frankfurt/Main statt (hier anmelden).

Neue EU-Studie: “Fighting cyber crime and protecting privacy in the cloud”

Unter dem TItel “Fighting cyber crime and protecting privacy in the cloud” hat das EU-Parlament eine neue Studie vorgestellt (PDF, englisch). Der Studie vorausgegangen war die Mitteilung der Kommission zur “Freisetzung des Cloud-Computing-Potenzials in Europa” vom 27.9.2012 (COM (2012) 529 final, PDF).

DIe Studie befasst sich mit den Auswirkungen der zunehmenden Nutzung von Cloud-Diensten in der EU. Im Mittelpunkt stehen die von der EU ergriffenen Maßnahmen zur Sicherung der Daten in der Cloud, insbesondere mit Blick auf den Datenschutz, das anwendbare Recht sowie die Verantwortlichkeit und Regulierung von Datenübermittlungen bzw. Auftragsdatenverarbeitungen in Drittstaaten außerhalb von EU/EWR.

Die Ergebnisse der Studie sind ernüchternd: Weder die Empfehlungen der Art. 29 Gruppe zum Cloud Computing (Opinion 05/2012/WP 196, PDF) noch die (geplanten) Regelungswerke der EU hätten/könnten dazu beigetragen, die Sicherheit der EU-Bürger in der Cloud bei Datentransfers in Drittstaaten zu erhöhen oder die offenen Rechtsfragen zu lösen.

So führen die Verfasser der Studie u.a. aus:

“Consumers’ rights are subsumed into a complex mesh of contracts among private entities. [...] Lack of legal certainty surrounding the concept of cybercrime and legal frameworks of cloud-based investigations, as well as inadequate tools to safeguard privacy and data protection increase the potential for misuses and abuses by law enforcement actors and agencies. European citizens’ data are not sufficiently protected in this regard.”