:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Das Datenschutz-Jahr 2021 Die größten Datenpannen des Jahres 2021
Nicht alleine die Höhe des verhängten Bußgeldes macht deutlich, dass es sich um eine schwerwiegende Verletzung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung) handeln kann. Ein Blick auf die Datenschutzverletzungen, die im Jahr 2021 bekannt geworden sind, machen dies deutlich. Unternehmen sollten diese Vorfälle nutzen, um die eigenen Datenschutz-Prozesse zu hinterfragen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Blickt man auf das Datenschutz-Jahr 2021 zurück, stellt sich zu Recht die Frage, welche Datenpannen zu beklagen waren, welche davon besonders schwerwiegend waren. Dabei geht es weniger um Sensationen als vielmehr darum, aus den Vorfällen zu lernen.
Zum einen sollte man sich als Unternehmen immer fragen, ob dies auch im eigenen Betrieb passieren könnte. Man sollte die Datenpannen Dritter zum Anlass nehmen, die eigenen Datenschutzkonzepte zu hinterfragen. Nicht zuletzt sollte man die Berichte über Datenschutzverletzungen nutzen, um die Unterweisungen für die eigenen Beschäftigten möglichst anschaulich zu machen.
:quality(80)/images.vogel.de/vogelonline/bdb/1917500/1917579/original.jpg "Neues Jahr, neuer Podcast: Unser Themenspektrum reicht diesmal von automatischen Patches bis zum digitalen Nachlass. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 49
Knallerei mit Todesfällen
Doch wann ist eine Datenschutzverletzung schwerwiegend und groß? Die DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Wie folgenreich eine Datenpanne ist, kann dann von vielen Faktoren abhängen, wie die Zahl der Betroffenen, die Menge und Kategorie der betroffenen Datensätze, die Art der Verletzung, ob also die Daten zerstört wurden, ob die Daten missbraucht wurden und zu welchem kriminellen Zweck.
Es zeigt sich bereits, dass man nicht nur auf die Höhe eines möglichen Bußgeldes schauen sollte, auch wenn die zuständige Aufsichtsbehörde natürlich auch die zuvor genannten Faktoren prüft, wenn es um die Bemessung des Bußgeldes oder um andere Sanktionen geht.
In den Medien oder „nur“ im Fokus der Aufsichtsbehörden
Wer nun an die zahlreichen Schlagzeilen im Jahr 2021 denkt, die sich um Datenpannen drehten, könnte eine Vielzahl von Datenschutzverletzungen übersehen, die die Medien nicht ausführlich erwähnt haben, die aber im Fokus der Aufsichtsbehörden standen.
Nimmt man die Vorfälle, über die die Aufsichtsbehörden selbst ausführlicher berichtet haben, sind darunter auch die Fälle, die zu Schlagzeilen geführt haben, das versteht sich. Als Beispiele seien genannt:
Fall 1: Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hatte eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag, so die Aufsicht. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. „Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagte die LfD Niedersachsen, Barbara Thiel. „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“.
Fall 2:Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert.
Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war aber nicht erkennbar, dass ein solcher Datenabgleich stattfand.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Art. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin im September 2021 gegen Vattenfall ein Bußgeld von über 900.000 Euro verhängt.
Fall 3: In 2021 sind zudem verschiedene Fälle von Datenpannen, von Leaks und Datenschutzverstößen großer internationaler Digitalkonzerne bekannt geworden. Die Folgen stellten sich zum Teil als gravierend dar und reichten von Phishing-Betrugsversuchen über Mobbing bis hin zu einem Fall von Selbsttötung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann, erklärte: „Die aktuellen Fälle zeigen zum Teil auf dramatische Weise, welchen Stellenwert Datenschutz und Datensicherheit in digitalen Zeiten haben müssen. Wenn nicht auf allen Seiten mehr für den Datenschutz getan wird, könnten immer mehr Bürgerinnen und Bürger Opfer von Betrugsversuchen, Cyber-Attacken und Mobbing werden.“
Sicherheitslücken und Datenschutzverletzungen
Datenschutzverletzungen sollten aber nicht nur ernst genommen werden, wenn es zu Bußgeldverfahren gekommen ist. In 2021 gab es auch Fälle von möglichen Datenpannen, die mit prominenten Sicherheitslücken in Verbindung standen und (bislang) zu keinen Sanktionen geführt haben.
Ein Beispiel waren die Sicherheitslücken in der weit verbreiteten Mail-Infrastruktur „Microsoft Exchange Server“. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bat zum einen darum, die umgehende Installation der verfügbaren Sicherheits-Patches vorzunehmen. Dieser dringliche Hinweis beruhte auf der Verpflichtung zur Gewährleistung der Sicherheit der Verarbeitungstätigkeiten gemäß Artikel 32 DSGVO von den Verantwortlichen gefährdeter Systeme.
Weiterhin sagte Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, etwas zu möglichen Datenpannen: „Bitte prüfen Sie auch, ob bereits Schadcodes installiert wurden. Festgestellte Datenschutzverletzungen sind dem TLfDI gemäß Artikel 33 der DSGVO zu melden. Des Weiteren ist zu kontrollieren, ob die betroffenen Personen zu benachrichtigen sind“.
Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz waren wegen Sicherheitslücken auf Microsoft Exchange-Servern innerhalb kurzer Zeit ein Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten (Datenpannen-Meldungen) nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) eingegangen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg erklärte zum gleichen Sachverhalt: „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen. Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“
Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI) hatte ebenfalls eine signifikante Anzahl entsprechender Meldungen zu Verletzungen des Schutzes personenbezogener Daten erhalten. Sie wies alle Betreiberinnen und Betreiber von Microsoft Exchange Server-Infrastrukturen darauf hin, dass – soweit noch nicht geschehen – umgehend Maßnahmen zum Schließen der Sicherheitslücken und zur Prüfung auf Kompromittierung der Systeme erfolgen müssen.
Zudem wies sie auf die Pflicht der Verantwortlichen (Betreiber) hin, nach Artikel 33 der Datenschutzgrundverordnung (DSGVO) Verletzungen des Schutzes personenbezogener Daten zu melden. Dies gilt bereits dann, wenn eine Kompromittierung erfolgt ist – auch dann, wenn kein Abfluss personenbezogener Daten erfolgt ist oder noch nicht festgestellt werden konnte.
Aktuelles Beispiel: Schwachstelle in Log4j
Ein weiteres Beispiel aus 2021: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informierte über den akuten Handlungsbedarf bezüglich der Schwachstelle in der Java-Bibliothek Log4j (Log4j). Beim Vorliegen der Schwachstelle in Log4j ist die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO für die betroffenen Systeme und ggf. darüber hinaus nicht mehr in vollem Umfang gewährleistet. Es liegt in der Verantwortung der Verantwortlichen die Sicherheit der Verarbeitung wiederherzustellen, so die Aufsichtsbehörde.
:quality(80)/images.vogel.de/vogelonline/bdb/1915400/1915426/original.jpg "Unternehmen sollten so schnell wie möglich ihre Software aktualisieren, um die Sicherheitslücke zu schließen. In manchen Fällen dürften weitere Maßnahmen nötig sein. (gemeinfrei)")
Wie Unternehmen sich gegen die Log4J-Schwachstelle wehren können
Welche Angriffe jetzt durch Log4Shell drohen
Das Schließen der Schwachstelle sei hierbei nicht ausreichend. Die Verantwortlichen müssten zusätzlich überprüfen, ob es bereits zu erfolgreichen Angriffen gekommen ist. In diesem Fall sind weiterführende Maßnahmen zu ergreifen und zu prüfen, ob eine Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO beim HBDI erfolgen muss.
Das Bayerische Landesamt für Datenschutzaufsicht sagte dazu: Bayerische Verantwortliche müssen aufgrund der erhöhten Gefährdungslage zur Einhaltung datenschutzrechtlicher Verpflichtungen unverzüglich prüfen, ob deren IT- Systeme und Anwendungen von der Java-Sicherheitslücke Log4Shell betroffen sind. Ist bereits eine Sicherheitsverletzung eingetreten, z. B. weil die Sicherheitslücke aktiv ausgenutzt wurde und sind IT-Systeme mit personenbezogene Daten betroffen, besteht nach Art. 33 DSGVO für Verantwortliche regelmäßig eine Meldeverpflichtung bei der zuständigen Datenschutzaufsichtsbehörde.
Es zeigt sich: Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. Auch bekannt gewordene Sicherheitslücken können zu Datenpannen und Meldepflichten führen, auch wenn es dazu noch keine Bußgeld-Verfahren geben sollte. Unterlässt man die Meldung nach DSGVO, kann dies selbst ein Verstoß nach DSGVO darstellen und zu Sanktionen führen.
(ID:47949326)
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")