:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DSGVO-konforme Software und Dienste Wie man datenschutzkonforme Softwarelösungen auswählt
Häufig wird behauptet, der Datenschutz behindere die Nutzung neuer Technologien. Dabei verlangt die Datenschutz-Grundverordnung ausdrücklich den Stand der Technik bei Schutzmaßnahmen. Entsprechend haben sich Aufsichtsbehörden für den Datenschutz auch bereits mit dem Thema Quantencomputer befasst. Dies zeigt beispielhaft, wie man im Datenschutz neue Technologien bewertet.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Eigentlich besteht laufend der Bedarf, sich über den praktizierten Datenschutz einer Software zu informieren, bei jeder Lösung und jedem Online-Service, den man nutzen möchte oder den man nutzt. Immerhin kann jedes Update zu einer Änderung führen, die Relevanz für den Datenschutz hat.
Doch die Corona-Pandemie hat dazu geführt, dass sehr viele neue oder veränderte Lösungen zum Einsatz gekommen sind, gerade in den Home-Offices und beim Home-Schooling. Nicht nur die Zahl der benötigten Lösungen stellte und stellt eine Herausforderung dar, sondern auch die besondere IT-Umgebung mit ihren speziellen Risikofaktoren.
:quality(80)/images.vogel.de/vogelonline/bdb/1759700/1759770/original.jpg "Es gibt viele Gründe, warum Quantencomputer erhebliche Auswirkungen auf den Datenschutz in Bezug auf Datensicherheit und Vertraulichkeit der Kommunikation haben könnten. (gemeinfrei)")
DSGVO und neue Technologien
Datenschutzbewertung von Quantencomputern
„Zur Sicherstellung des Betriebs wurde auch von der öffentlichen Verwaltung mangels erkennbarer Alternativen nur allzu häufig auf Dienste und Software zurückgegriffen, die unsicher und datenschutzrechtlich nicht akzeptabel sind“, erklärte zum Beispiel die Berliner Beauftragte für Datenschutz und Informationsfreiheit.
Doch wie findet man Software und Dienste, die datenschutzrechtlich akzeptabel sind, im Home-Office, für das Home-Schooling und ganz allgemein im Unternehmen und in der Behörde?
Alternativen für problematische Dienste und Software gesucht
„Bei der Auswahl von Video- oder Telefonkonferenzsystemen sollte aus technischer Sicht darauf geachtet werden, dass der Anbieter weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt“, empfahl der Landesdatenschutzbeauftragte Baden-Württemberg. „Dies können datenschutzrechtlich Verantwortliche am besten sicherstellen, wenn sie oder ihr Dienstleister eine entsprechende Softwarelösung „On Premises“ – also im eigenen Rechenzentrum – bereitstellen oder aufbauen. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Dazu bieten sich zahlreiche Lösungen auf Basis von Open-Source-Software an (z.B. Nextcloud Talk, BigBlueButton oder Matrix), die prinzipiell datenschutzgerecht einsetzbar sind“, so der Landesdatenschutzbeauftragte weiter.
Auch für den Bereich Messenger nennt er technische Alternativen: „Anders als der weit verbreitete US-Messenger WhatsApp funktioniert Threema datenschutzkonform und ist dabei zuverlässig und nutzerfreundlich. Wenn man möchte, kann man den marktbeherrschenden US-Anbietern bessere europäische Lösungen entgegensetzen. Deren Vorteil besteht gerade darin, dass sie unsere Werte wie den Datenschutz aktiv unterstützen.“
:quality(80)/images.vogel.de/vogelonline/bdb/1755000/1755014/original.jpg "Vergessenwerden und Löschen lassen sich mit durchaus vertrauten Technologien lösen, man darf es nur nicht vergessen. Forschungsprojekte zum Kenntnisstand der Nutzer sind deshalb besonders wichtig. (gemeinfrei)")
Security-Forschung im Projekt InStruct
Forschung für Recht auf Vergessenwerden
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte im Juli 2020 die Ergebnisse einer Kurzprüfung von Videokonferenzdiensten verschiedener Anbieter auf ihrer Webseite veröffentlicht. Geprüft wurden die Auftragsverarbeitungsverträge, die die Verantwortlichen mit den Videokonferenz-Dienstanbietern standardmäßig schließen. Soweit die Auftragsverarbeitungsverträge rechtskonform sind, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste.
Die Aufsichtsbehörde wies aber darauf hin, dass sie keine umfassende Prüfung der Dienste durchgeführt hat. Insbesondere sei keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärung erfolgt.
„Die Prüfung, ob ein Dienst datenschutzkonform nutzbar ist, ist aufwendig und bringt viele Verantwortliche an ihre Grenzen“, so die Berliner Beauftragte. „Mit unserer Kurzprüfung wollen wir eine Hilfestellung bieten. Ich begrüße es, dass erste Anbieter bereits von sich aus auf uns zugekommen sind, damit wir ihren Dienst in unsere Prüfungen einbeziehen. Wenn unsere Prüfergebnisse dazu führen, dass bisher mangelhafte Dienste ihr Angebot nachbessern, wäre das natürlich besonders erfreulich. Die ersten Erfolge in dieser Hinsicht konnten wir bereits verzeichnen.“
Nun ist eine solche Kurzliste zweifellos hilfreich, doch es gibt viele Lösungsbereiche, in denen Unternehmen und Behörden neue Software einsetzen oder bestehende Software hinsichtlich Datenschutz prüfen wollen.
Mangels Datenschutzzertifizierung nach DSGVO ist es nicht leicht, die DSGVO-Konformität einer Lösung festzustellen. Doch auch wenn es keine umfassenden Lösungskataloge für datenschutzkonforme Software und Services gibt, liefern die Aufsichtsbehörden wertvolle Hinweise für die Datenschutz-Bewertung von Software.
:quality(80)/images.vogel.de/vogelonline/bdb/1722400/1722422/original.jpg "Unternehmen müssen ein ganzes Bündel an Maßnahmen beachten, wenn sie Messenger-Dienste oder Video- und Onlinekonferenz-Tools einsetzen wollen. (gemeinfrei)")
Datenschutz und Corona
11 Sicherheitstipps für den (Video-)Chat
Aufsichtsbehörden nennen wichtige Auswahlkriterien
Werden Lösungen für die Online-Kommunikation gesucht, gibt es eine Reihe von generellen Punkten, die man beachten sollte, wie der Landesdatenschutzbeauftragte Baden-Württemberg erläuterte: „Ein datenschutzkonformer und sicherer Betrieb einer Kommunikationslösung kann nur durch entsprechende technische und organisatorische Maßnahmen erreicht werden. Dazu zählen unter anderem: Alle Datenflüsse sind per Transportverschlüsselung (TLS) nach dem Stand der Technik abzusichern. Dies schützt vor dem Mitschneiden durch unbeteiligte Dritte auf dem Transportweg.
Bei sensiblen Daten oder wenn ein nicht 100 Prozent vertrauenswürdiger Dienstleister verwendet wird, sollte der Inhalt zusätzlich per Ende-zu-Ende-Verschlüsselung (E2EE) geschützt sein.“
Für die Nutzung von Messenger-Diensten in so kritischen Bereichen wie Krankenhäuser haben die Aufsichtsbehörden für den Datenschutz eine Orientierung veröffentlicht, die aufzeigt, welche Anforderungen die DSGVO an einen solchen Kommunikationsdienst stellt.
„Messenger-Dienste bieten eine willkommene Erleichterung der Kommunikation in den verschiedensten Institutionen. Doch viele gängige Dienste gehen mit datenschutzrechtlich nicht akzeptablen Risiken einher“, erklärt die Berliner Datenschutzbeauftragte. „Um diese zu vermeiden, müssen die jeweiligen Institutionen einen geeigneten Dienst sorgfältig auswählen und auf Risiken prüfen oder selbst betreiben. Nichtstun ist keine Option mehr.“
Die Landesdatenschutzbeauftragte NRW empfahl Unternehmen, Behörden und anderen Organisationen, bei der Entscheidung für einen Messenger-Dienst insbesondere zu prüfen, ob:
- 1. der Diensteanbieter die Nutzer transparent über die mit der Nutzung verbundene Datenverarbeitung informiert. Die Informationen müssen in einem klar erkennbaren Bereich (z.B. Hinweise zum Datenschutz, Datenschutzerklärung) für den jederzeitigen Zugriff hinterlegt sein,
- 2. der Diensteanbieter die Vorgaben der DSGVO einhält, insbesondere im Hinblick auf die (Nicht-)Weitergabe und (Nicht-)Auswertung personenbezogener Daten,
- 3. die Applikation hinsichtlich ihrer Konfigurationseinstellungen dem Grundsatz datenschutzgerechter Voreinstellungen (Art. 25 Abs. 2 DSGVO) entspricht,
- 4. die Applikation genutzt werden kann, ohne die im Adressbuch vorhandenen Kontaktdaten, insbesondere Telefonnummern, für Zwecke des Diensteanbieters bzw. für fremde Zwecke an den Diensteanbieter zu übermitteln,
- 5. ausgeschlossen ist, dass eine Nutzer-ID weiterverwendet werden kann, nachdem diese dem Nutzer beim originären Dienst nicht mehr zur Verfügung steht,
- 6. übermittelte Daten mit allgemein anerkannten und dem Stand der Technik entsprechenden Verfahren verschlüsselt werden.
Das Landesamt für Datenschutzaufsicht in Bayern nennt ebenfalls Punkte, die beim Messenger-Einsatz zu beachten sind:
- Kommunikation der Inhalte erfolgt Transport-und Ende-zu-Ende verschlüsselt
- Keine Verwendung oder Weitergabe der Verkehrsdaten (wer wann mit wem kommuniziert) an den Anbieter für Zwecke wie Werbung oder Profiling
- Ende-zu-Ende-Verschlüsselung auch von Anhängen wie Bildern oder Textnachrichten
- Einsatz einer Mobile-Device-Management Lösung zur Steuerung von Kontakt-Uploads an Messenger-Anbieter
Dabei sollte man diese Kriterien bei der Lösungssuche generell beachten bzw. übertragen, da diese Hinweise auch für viele andere Softwarebereiche und Services hilfreich sein können. Es zeigt sich: Es gibt durchaus Anforderungskriterien, die bei der Prüfung helfen können, ob eine Software DSGVO-konform genutzt werden kann. Die Prüfung jedoch bedeutet einigen Aufwand. Prüfungsergebnisse der Aufsichtsbehörden sind natürlich hilfreich, doch kann die Datenschutzaufsicht die enorm vielen Prüfungen, die erforderlich sind, nicht alleine leisten. Es wird also höchste Zeit, dass das Instrument der Datenschutzzertifizierung nach DSGVO aktiv genutzt werden kann und wird, damit die Suche nach datenschutzkonformen Lösungen wirksam unterstützt wird.
(ID:46987654)
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")