:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Instandhaltung Fernwartung 4.0 – was ist aus rechtlicher Sicht neu?
Eine vorausschauende Instandhaltung kann durch eine vernetzte Fernwartung optimiert werden. Für Unternehmen gilt es dabei allerdings, einige rechtliche Aspekte im Bezug auf Datenschutz und Datensicherheit zu beachten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Fernwartung an sich ist funktional gesehen nicht neu: Aus der Ferne, das heißt, per Datenfernübertragungsnetz und geeigneter Software, schaltet sich das Wartungspersonal auf die instandzuhaltende Maschine. Bisher geschah dies immer erst im Störungsfall mit dem Ziel, diesen zu analysieren und nach Möglichkeit ohne einen personellen Einsatz direkt vor Ort zu beheben.
Ununterbrochene Datenströme
Der wesentliche Unterschied der Variante 4.0 besteht inhaltlich darin, dass die Verbindung zur Maschine nicht erst bei Bedarf durch den Menschen, sondern von der Maschine bei einem definierten Ereignis selbstständig hergestellt wird. In vielen Fällen besteht die Verbindung per Internet sogar permanent und Daten werden ununterbrochen übermittelt – bei Bedarf auch zwischen mehreren Maschinen untereinander.
Bei entsprechend vorhandener Sensorik meldet die Maschine laufend bestimmte Betriebszustände an kritischen Baugruppen, beispielsweise Messtoleranzen, Füllstände, Temperaturentwicklungen oder Stromschwankungen. Die erzeugten Daten können jederzeit weiterverarbeitet und ausgelesen werden. Im optimalen Fall werten die Maschinen die entweder selbst- oder fremderhobenen Maschinendaten auch eigenständig aus und reagieren situationsbedingt, indem sie beispielsweise ein benötigtes Ersatzteil rechtzeitig und vollautomatisch bestellen.
Rechtliche Fragen
Dieses unter dem Begriff Predictive Maintenance (vorausschauende Instandhaltung) bekannte Verfahren perfektioniert die Ziele der klassischen Fernwartung, nämlich Stillstandszeiten zu minimieren, Instandhaltungskosten zu reduzieren und die Effizienz insgesamt zu steigern. Damit verbunden stellen sich jedoch auch zahlreiche rechtliche Fragen, die im Folgenden näher betrachtet werden sollen.
Besonders relevante Disziplinen sind dabei der Datenschutz und die Datensicherheit. Während die Datensicherheit darauf abzielt, Daten und Datenverkehr vor An- und Zugriffen sowie Missbrauch durch unberechtigte Dritte zu schützen, soll durch den Datenschutz primär der Schutz von personenbezogenen Daten gewährleistet werden.
Rechtmäßigen Datentransfer sicherstellen
Nach wie vor ist eine datenschutzrechtskonforme Ausgestaltung der Fernwartung zu beachten. In diesem Zusammenhang sollte meist zumindest eine Auftragsdatenverarbeitungs-Vereinbarung gemäß § 11 Bundesdatenschutzgesetz (BDSG) abgeschlossen werden. Dies gilt erst recht, wenn Daten in einer Cloud abgelegt werden. Damit verbunden stellt sich die Frage des rechtmäßigen Datentransfers insgesamt, vor allem bei einem Datentransfer in eine Cloud in Ländern außerhalb der EU.
Vom Schutzbereich des BDSG erfasst sind lediglich personenbezogene oder zumindest personenbeziehbare Daten. Daran ändert sich voraussichtlich auch ab Mai 2018 unter Geltung der EU-Datenschutzgrundverordnung (die EU-DSGVO gilt als Verordnung grundsätzlich unmittelbar) und der damit wahrscheinlich verbundenen Änderungen des BDSG (hinsichtlich der in der EU-DSGVO enthaltenen Öffnungsklauseln) nichts. Zwar stehen personenbezogene und personenbeziehbare Daten bei der Fernwartung eigentlich auch nicht im Vordergrund, da es um Maschinendaten geht. Die Definition des BDSG ist an dieser Stelle allerdings schwammig.
Es kommt auf den Einzelfall an
Ob das BDSG einschlägig ist oder nicht, ist letztlich eine Frage der im Einzelfall konkret betroffenen Daten und deren Zusammenwirken: Für sich genommen datenschutzrechtlich unsensible Informationen, wie reine Maschinendaten, können in der Gesamtheit datenschutzrechtlich relevant werden, zum Beispiel in Kombination mit Beschäftigten- oder Kundendaten in Form von Identitäts- und Nutzungsverhaltensdaten.
Um diese Unsicherheit zu vermeiden, bietet es sich an, personenbezogene oder auch nur personenbeziehbare Daten im Rahmen der Fernwartung erst gar nicht zu erfassen. Falls dies unvermeidbar oder nicht sicher planbar ist, sollten diese Informationen jedenfalls vor einer weiteren Verarbeitung entfernt werden (Anonymisierung oder Pseudonymisierung). Erst, wenn auch das nicht möglich oder wenn gerade die Verarbeitung von BDSG-sensiblen Daten gewollt ist, muss eine Lösung erstellt werden, die auch insofern datenschutzkonform ist: Wenn kein gesetzlicher Erlaubnistatbestand gefunden werden kann, bedeutet das: Die betroffenen Personen müssen ausdrücklich einwilligen. An eine wirksame Einwilligung werden jedoch strenge Maßstäbe gelegt.
Haftungsrisiko kann hohe Geldbußen für Unternehmen zur Folge haben
In einem rechtlichen Fachartikel darf an dieser Stelle natürlich ein Hinweis auf Haftungsrisiken nicht fehlen: Neben etwaigen Ansprüchen der betroffenen Personen drohen bei Datenschutzverstößen hohe Geldbußen, unter der Geltung der EU-DSGVO in Höhe von bis zu 4 % des weltweiten Jahresumsatzes.
Des Weiteren muss die Fernwartung datensicherheitskonform ausgestaltet und damit vor dem An- und Zugriff durch unberechtigte Dritte geschützt sein. Dies betrifft die Sicherheit der Daten, der Datenübertragungswege sowie der angeschlossenen Maschinen insgesamt. Es hat bereits zahlreiche Cyberattacken gezielt auf Fernwartungssysteme geben. Die Gefahren sind Industriespionage, Sabotage und – tatsächlich bereits geschehen – Lösegelderpressungen.
Datensicherheit: Rechtliche Vorgaben und Handlungsempfehlungen
Gibt es rechtliche Vorgaben mit dem Ziel der Datensicherheit? Ja. Bereits das BDSG enthält einen gewissen Datensicherheitsansatz über die sogenannten technischen und organisatorischen Maßnahmen (TOM), § 9 BDSG, auch wenn dieser wiederum primär dem Schutz der personenbezogenen Daten dienen soll. Darüber hinaus definiert das IT-Sicherheitsgesetz bestimmte Vorgaben. Dies zwar vor allem mit dem Ziel des Schutzes von kritischer Infrastruktur (zum Beispiel Versorgung, Gesundheit, Finanzwesen, Telekommunikation), aber auch Unternehmen und deren IT allgemein sollen damit sicherer gemacht werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht erhebliche Risiken im Missbrauch von Fernwartungszugängen und veröffentlicht auf seiner Internetseite unter dem Stichwort IT-Grundschutz konkrete Empfehlungen und Umsetzungshinweise zur Planung und Absicherung von Fernwartungssystemen – Anbieter sollten mindestens diese Empfehlungen einhalten. Vorgaben in diesem Zusammenhang machen auch technische Vorschriften, wie etwa die EN 415-10 für Verpackungsmaschinen, oder Zertifizierungsnormen, beispielsweise ISO 27001 oder DIN EN ISO 18217.
Auch mobile Endgeräte sind zu abzusichern
Neben stationären Systemen werden im Rahmen der Fernwartung immer häufiger auch mobile Endgeräte, wie Smartphones oder Tablets, mit dazugehörigen Apps eingesetzt. Die aufgezeigten Themen gilt es an dieser Stelle gleichermaßen zu beachten.
Weitere vertragsrelevante Aspekte, die es sowohl im Maschinenkaufvertrag als auch im separaten (Fern-)Wartungsvertrag zu regeln gilt:
- Rechtserheblichkeit von (Willens-)Erklärungen, die von Maschinen generiert werden,
- Eigentums- und Nutzungsrechte an Daten (wem „gehören“ sie und wer darf damit was machen),
- Haftungsregelungen für den Schaden, den die Maschinen eventuell ohne ein Zutun der menschlichen Hand verursachen (einschließlich Einsichts- und Auditrechten),
- „klassische“ Vertragselemente, wie etwa Leistungsgegenstand, Vergütung und so weiter.
Abschließend sei jedem Unternehmen und seiner Geschäftsleitung auch unter Qualitätsmanagement- und Compliance-Aspekten empfohlen, Fernwartungslösungen in technischer und rechtlicher Hinsicht durch professionelle Anbieter prüfen und einrichten zu lassen.
Dieser Artikel stammt von unserem Partnerportal MaschinenMarkt. Verantwortliche Redakteurin: Beate Christmann
* Gunnar Helms ist Rechtsanwalt und Partner bei Lawentus Rechtsanwälte in 20354 Hamburg, Tel. (0 40) 34 10 76 20, gunnar.helms@lawentus.com
(ID:44589228)
:quality(80)/p7i.vogel.de/wcms/c2/1f/c21f95c76656a234058e02080270ce76/0114645875.jpeg "Wichtige Änderungen an der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) stehen an, über die Unternehmen Bescheid wissen müssen. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")