Beschluss zum „Impfstatus“ von Beschäftigten durch Arbeitgeber

Wichtige News zum Thema Datenschutz und Impfstatus

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) befasste sich mit dem sensiblen Thema der Verarbeitung des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber. Seit dem 19. Oktober 2021 liegt hierzu ein Beschluss der DSK vor.

Mit ihrem Beschluss verdeutlicht die DSK, dass es auch im Rahmen einer Covid-19-Pandemie keine gesetzliche Grundlage für ein grundsätzliches Abfragen des Impfstatus bei Beschäftigten gibt, weil gemäß der Datenschutz-Grundverordnung (DS-GVO) der Impfstatus – als ein Gesundheitsdatum – zur besonderen Kategorie personenbezogener Daten gehört. Die DSK betont in ihrem Beschluss, dass ein Verarbeiten dieser Datenkategorie grundsätzlich verboten ist.

Daher dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten lediglich ausnahmsweise auf Grundlage einer ausdrücklichen gesetzlichen Erlaubnis erfragen bzw. verarbeiten.

In welchen Ausnahmefällen erachtet die DSK eine Verarbeitung des Impfstatus für gesetzlich möglich?

Hierfür zieht die DSK das Infektionsschutzgesetz (IfSG) heran und listet folgende Einzelfälle auf, bei welchen sie eine Verarbeitung des Impfstatus für gesetzlich möglich beurteilt:

  • Bestimmte im IfSG genannte Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich ( B. Krankenhaus, Arztpraxis) dürfen den Impfstatus ihrer Beschäftigten erfragen bzw. verarbeiten, sofern die in §§ 23a, 23 Absatz 3 IfSG genannten Voraussetzungen vorliegen.
  • Bestimmte im IfSG genannte Arbeitgeberinnen und Arbeitgeber in Gemeinschaftseinrichtungen für Kinder, Jugendliche und Erwachsene (z. B. Kindertageseinrichtungen, Wohneinrichtungen) dürfen im Zusammenhang mit Covid-19 den Impfstatus ihrer Beschäftigten erfragen bzw. verarbeiten, sofern die in 36 Absatz 3 IfSG genannten Voraussetzungen vorliegen.
  • Wenn Beschäftigte als mögliche Träger übertragbarer Krankheitserreger einen Verdienstausfall erleiden und deshalb nach § 56 Absatz 1 IfSG einen Anspruch auf Lohnersatz geltend machen, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus der jeweiligen Beschäftigten verarbeiten. Die in § 56 Absatz 1 IfSG genannten Voraussetzungen können laut DSK-Beschluss im Einzelfall auch bei einer möglichen Infektion mit Covid-19 und einer anschließenden Quarantäne vorliegen.
  • Abschließend führt die DSK auf, dass Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten verarbeiten dürfen, falls Rechtsverordnungen zur Pandemiebekämpfung auf Grundlage des IfSG diese Datenverarbeitung vorgeben.

Was ist gemäß dem DSK-Beschluss bei der Verarbeitung des Datums „Impfstatus“ zu beachten?

Hierfür zieht die DSK Artikel 5 DS-GVO mit folgenden Grundsätzen heran, welche bei der Verarbeitung des Impfstatus zu beachten sind:

  • Der Grundsatz der „Datenminimierung“ hinsichtlich der Abfrage (z. B. eine reine Abfrage erfüllt auch ohne Datenspeicherung ihren Zweck) und hinsichtlich der Speicherung (z. B. lediglich ein Vermerk des Impfstatus ohne eine Kopie des Impfausweises in der Personalakte).
  • Der Grundsatz der Speicherbegrenzung“ erfordert, gespeicherte Daten zu löschen, sobald der Grund hierfür weggefallen ist.
  • Der Grundsatz der „Rechenschaftspflicht“ besagt: Arbeitgeberinnen und Arbeitgeber müssen bei einer Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten nachweisen können, dass diese tatsächlich freiwillig erfolgt sind.

Für eine Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten hebt die DSK ausdrücklich hervor, dass lediglich freiwillig erfolgte Einwilligungen rechtswirksam sind. In diesem Zusammenhang verweist die DSK auf die Problematik des abhängigen Arbeitsverhältnisses von Beschäftigten in Anlehnung an § 26 Absatz 3 Satz 2 und Absatz 2 BDSG (Bundesdatenschutzgesetz).

 

Den vollständigen Wortlaut der Beschlussfassung der DSK finden Sie auf der Internetseite der DSK.

/von

Ist Ihr Cookie Banner DSGVO konform?

Rund 40 Unternehmen in Berlin erhielten im August 2021 Post von der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk, mit der Aufforderung, das Tracking auf ihren Webseiten den Datenschutzregelungen anzupassen. Anbei die dazugehörige Pressemitteilung.

In der DSGVO ist eindeutig geregelt: Wer als Webseiten-Betreiber mit Hilfe von Cookies und anderen Technologien das Nutzerverhalten verfolgen möchte, benötigt eine Rechtsgrundlage. Viele Cookie Banner auf den Webseiten differenzieren die Cookies, jedoch wird häufig keine wirksame Einwilligung eingeholt.

Jedem Nutzer muss es einfach möglich sein, Tracking abzulehnen oder darin einzuwilligen. Trackingvoreinstellungen zur Forcierung der Einwilligung sind nicht rechtskonform.

Die Hinweisaktion der Behörde war eine erste Verwarnung an ausgewählte Unternehmen. Die Verantwortlichen wurden aufgefordert, die Datenvereinbarung unverzüglich nach DSGVO Vorgaben zu gestalten. Eine zweite Prüfung der Webseiten der gerügten Unternehmen, kann Maßnahmen der Behörde nach sich ziehen.

Suchen Sie sich kompetente Beratung bei der Gestaltung und Prüfung Ihrer Cookie Banner. Hier die wichtigsten Anforderungen für ein praxistaugliches und datensparsames Opt-In-Verfahren:

  • Nur wenn notwendig, Einwilligungen einholen.
  • Unterschiedliche Verarbeitungsvorgänge differenziert darstellen.
  • Geht es um eine Einwilligung, sollten die Optionen nicht zu umfangreich sein. Der Nutzer sollte mit wenigen Klicks die Einstellungen nach seinen Wünschen vornehmen können.
  • Die Nutzung des Dienstes der Webseite darf nicht von der Einwilligung abhängen.
  • Für das Modul gilt: leicht zu bedienen, auf die Nutzergruppe abgestimmt und mit unterschiedlichen Endgeräten kompatibel.
  • Alle Informationen zur Verarbeitung der Daten müssen transparent, leicht zu verstehen und neutral gestaltet sein.
  • Eine datensparsame Voreinstellung sollte vorgesehen sein.
  • Gestaltung darf den Nutzer von Wesentlichem nicht ablenken und dahin manipulieren, dass die Einstellungen verändert werden können.
  • Ein Datenschutz-Cockpit sollte eine nachträgliche Verwaltung der erteilten Ermächtigungen ermöglichen.
  • Das Thema mit Icons und Piktogrammen verständlicher machen.

Fazit: Transparenz bei der Einwilligung stärkt Ihre Vertrauenswürdigkeit.

/von

Neue EU-Standard­vertrags­klauseln – Datentransfer in Drittländer jetzt rechtssicher?

Endlich sind die Standardvertragsregelungen an die DS-GVO angepasst und berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield.

Achtung, alle bereits abgeschlossenen Standardvertragsklauseln müssen innerhalb von 18 Monaten, bis zum 27. Dezember 2022 aktualisiert werden.  Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden.

Wie werden die Standardvertragsklauseln in der Praxis abgeschlossen?

In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:

  • Individueller Vertrag – Vor allem bei Vertragsschlüssen mit Unternehmen, welche nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), welcher dann individuell unterschrieben oder signiert wird.
  • Bestandteil von AGB – Große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGBs an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden (Beispiel der E-Mail-Plattform MailChimp).

Allerdings ist der Abschluss der Standardvertragsklauseln allein noch nicht ausreichend. Es muss das Datenschutzniveau im Einzelfall geprüft werden. So lehnt der EuGH und die Datenschutzaufsichtsbehörden den Datentransfer in Drittländer (z. B. USA) nicht ab, möchte jedoch die Sicherheit geprüft wissen.

  • Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z. B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei.

Allerdings gibt es Interpretationsmissverständnisse in den Erwägungsgründen der neuen Standardvertragsklauseln, enthalten in der Ziffer 7:

Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.

Dieser Erwägungsgrund würde bedeuten, dass die Standardvertragsklauseln immer dann nicht abzuschließen wären, wenn z. B. ein US-Cloud-Dienst der DSGVO darunterfällt. Das wäre z. B. der Fall, wenn Dropbox, Microsoft- oder die Google Cloud sich auch an EU-Bürger richten würden. Wenn dann ein EU-­Unternehmen z. B. Kundendaten in dieser Cloud speichert, dürften / müssten mit Dropbox, Microsoft oder Google keine Standardvertragsklauseln abgeschlossen werden. Dieses Ergebnis widerspricht jedoch dem Wortlaut des Art. 44 ff. DSGVO, welcher bei Verarbeitung im Drittland keine solche Ausnahme vorsieht. Es bleibt also zu hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre erratischen Interpretationsvorgaben veröffentlicht.

D. h., dass Sie aktiv werden und folgende Maßnahmen ergreifen müssen:

  • Bestandsaufnahme beim eigenen Unternehmen – Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern und insbesondere den USA verarbeitet werden (bzw. von Unternehmen, welche in diesen Ländern sitzen).
  • Bestandsaufnahme bei Subunternehmern – Ebenso muss geprüft werden, ob Subunternehmer und Dienstleister, z. B. der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern / USA einsetzen (z. B. Server von Amazon Webservices mieten).
  • Anfrage nach neuen Standardvertragsklauseln – Die Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden (alternativ, auch wenn weniger üblich, können ihnen Standardvertragsklauseln zur Prüfung und Unterschrift gestellt werden). Ebenso müssen Subunternehmer gefragt werden, ob entsprechende Standardvertragsklauseln wiederum mit deren Subunternehmern in Drittländern geschlossen wurden (im Optimalfall sollte um Kopien gebeten werden).
  • Anfrage nach Sicherheitsmaßnahmen – Die Anbieter aus Drittländern müssen um Nennung von Sicherheitsmaßnahmen gebeten werden, mit welchen die besonderen Risiken des Drittlandtransfers aufgefangen werden (z. B. Verschlüsselung, Serverstandort EU, Pseudonymisierung). Ebenso müssen Subunternehmer gefragt werden, ob wiederum deren Subunternehmer aus Drittländern entsprechende Schutzmaßnahmen nachgewiesen haben (im Optimalfall sollte auch hier um deren Auflistung und Kopien der Bestätigungen gebeten werden).
  • Prüfung der Standardvertragsklauseln – Sie müssen überprüfen, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des Datenschutzniveaus – Sie müssen anhand der mitgeteilten Sicherheitsmaßnahmen prüfen, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
  • Protokollierung – Sie müssen die Prüfverfahren aus Nachweisgründen festhalten (z. B. in einer Tabelle mit Anbietern, Zeitpunkten der Anfragen, Ergebnissen und Begründung Ihres Prüfungsergebnisses).

Empfehlung

Auch wenn Ende 2022 noch weit in der Zukunft liegt, sollten Sie Ihre Vertragspartner darauf drängen, die Standardvertragsklauseln möglichst schnell auszutauschen. Vor allem, weil die neuen Standardvertragsklauseln die Forderungen der Datenschutzaufsicht nach Ergänzung der bisherigen Klauseln in Folge der Rechtsprechung des EuGHs zu US-Datentransfers umsetzen. Daher ist davon auszugehen, dass Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln, sehr bald für unzulässig erklären werden.

/von

Die Angemessen­heits­beschlüsse für die Übermittlung personen­bezogener Daten an das Vereinigte Königreich

Die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichten am 29.06.2021, dass die Europäische Kommission die Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich gemäß der Datenschutz-Grundverordnung (DSGVO) und der Strafverfolgungsrichtlinie (LED) am 28.06.2021 annehmen.

Mit der Anerkennung des angemessenen Datenschutzniveaus bedürfen Datenübermittlungen aus dem Europäischen Wirtschaftsraum (EWR) an das Vereinigte Königreich, im Rahmen des Anwendungsbereichs der Beschlüsse, keiner besonderen Genehmigung. Die Prüfung, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind, ist davon unabhängig erforderlich und vorzunehmen.

/von

Cyber-Security – Die Frage ist nicht ob, sondern wann der Vorfall kommt

Cyber-Attacken werden häufiger. Die Schlagzahl der Angriffe steigt und die Schlagzeilen häufen sich. Das Risiko ist nicht beseitigt mit der Auslagerung in die Cloud. Auch Cloud-Dienstleister müssen umdenken und Antworten auf Fragen zu Sicherheitsmaßnahmen liefern. Für Unternehmen entsteht mit der Auslagerung eine neue Schnittstelle, welche betreut werden muss.

Cloud-Dienstleister können auf Basis verschiedener Standards beurteilt und in ihrer Servicequalität eingeschätzt werden. In Deutschland empfiehlt sich eine Beurteilung nach dem Cloudstandard des BSI C5 oder gemäß dem Fachausschuss IT des IDW (FAIT) Nummer 5. Entsprechende Bescheinigungen werden durch Wirtschaftsprüfer bereitgestellt. Hier sind Bescheinigungen nach ISAE 3000 bzw. ISAE 3402 zu nennen.

Neben der Beurteilung und der daraus folgenden Auswahl eines geeigneten Dienstleisters ist ebenfalls wichtig, die Widerstandfähigkeit des Unternehmens gegen Schäden (Resilienz) zu erhöhen.

Gerade die Pandemie hat gezeigt, wie wichtig digitale Kompetenzen und eine funktionierende digitale Infrastruktur für den Mittelstand ist. Noch nie wurden Technologien so schnell umgesetzt und in vielen Bereichen zur Strategie für funktionsfähige Geschäftsprozesse. Mit der rasanten Entwicklung werden Daten zentraler Bestandteil der Wertschöpfung. Aus diesem Grund ist es wichtig, das Unternehmen Strategien und Maßnahmen entwickeln, um den Betrieb nachhaltig gegen Cyber-Attacken zu schützen. Dies sind Unternehmer/innen nicht nur dem eignen Unternehmen schuldig, sondern auch den Kunden, denn auch Ihre Kunden erwarten, das Unternehmen vertrauensbildende Maßnahmen im digitalen Wandel entwickeln.

Wir helfen Ihnen mit einem maßgeschneiderten Frühwarnsystem, umfassenden Sicherungsmaßnahmen, sowie forensischen Analysemethoden gegen Bedrohungen aus dem Netz Ihr Unternehmen sicher aufzustellen. Wir wollen Ihre Cyber-Resilienz aufbauen, stärken und präventiv vorrausschauend eine Cyber-Strategie für Ihr Unternehmen entwickeln. Nach innen IT-sicher und nach außen vertrauen aufbauend in der digitalen Transformation.

Haben Sie Fragen hierzu oder benötigen Sie einen Partner für Ihre Cyber-Strategie, so kommen Sie gerne auf uns zu.

/von

Sind Cloud-Anbieter DS-GVO konform?

Achtung, das US-Gesetz Cloud ACT (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden den Zugriff auf alle ihre Daten – auch ohne richterlichen Beschluss. Alle gespeicherte Daten von US-Unternehmen auch im US-Ausland, werden so behandelt, als wären Sie auf Servern in der USA gespeichert. Dieses Gesetz gilt für Internet-Provider, IT-Dienstleister und Cloud-Anbieter mit Sitz in den USA und deren Kundenkreis. Ist ein Unternehmen in Europa Teil eines US-Unternehmens oder tauscht dieses Daten mit US-Unternehmen aus, unterliegt es dem Cloud-Act.

Der Cloud-Act betrifft sowohl personenbezogene als auch Unternehmensdaten von wirtschaftlichen Informationen, Geschäftsgeheimnisse und anderes geistiges Eigentum. Keine Sicherheiten vor dem Zugriff der US-Behörden bieten technische Verschlüsselung, Treuhänder Modelle oder bilaterale Abkommen. Damit besteht ein Rechtskonflikt mit der DS-GVO.

Cloud-Anbieter mit Sitz und Rechenzentrum in der EU bieten maximale Sicherheit und sind DSGVO-konform. Achten Sie auch auf Prüfzertifikate wie ISO27001, ISAE3402, C5, PS860 i. V. m. PH 9.860.1

Wir beraten und prüfen Cloudanbieter, auf die Einhaltung gesetzlicher sicherheitsrelevanter Vorgaben.

/von

IT-Sicherheits­gesetz 2.0 am 23.04.2021 im Bundes­tag beschlossen

Das Leben ohne funktionierende Informations- und Kommunikationstechnik ist heute kaum noch vorstellbar. Die Gefährdungen durch Angriffe im Cyberraum nehmen allerdings seit Jahren zu und sie werden immer ausgefeilter. Daher reagierte Die Bundesregierung mit dem neuen Gesetz.

Der Deutsche Bundestag hat am Freitag, den 23.04.2021 das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Dieses löst das alte IT-Sicherheitsgesetz aus Juli 2015 ab. Zweck des Gesetzes ist die Gewährleistung der Cyber- und Informationssicherheit, welche mit der zunehmenden Digitalisierung immer mehr Bedeutung erlangt.

Das neue IT-Sicherheitsgesetz wird Änderungen in verschiedenen Gesetzen zur Folge haben. Betroffen sind das BSIG, das TKG und das TMG, das SGB X und das Gesetz über die Elektrizitäts- und Gasversorgung, sowie die Außenwirtschaftsverordnung.

Wichtige Neuerungen sind:

  • Es wurden neue Begriffsbestimmungen definiert. Die gibt es jetzt für die Kommunikation des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung und kritische Komponenten.
  • Einbeziehung von Unternehmen im besonderen öffentlichen Interesse, welche in drei Kategorien geclustert werden. Die Anforderungen sind teilweise unterschiedlich.
  • Betreiber kritischer Infrastruktur müssen innerhalb eines Jahres nach Inkrafttreten des Gesetzes Angriffserkennungssysteme implementieren.
  • Betreiber von Unternehmen im besonderen öffentlichen Interesse müssen alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen. Damit liegt eine Augenmerk auf Zertifizierungen, Sicherheitsaudits und ähnlichen Schutzmaßnahmen.
  • Der Einbau kritischer Komponenten bedarf einer Garantie-Erklärung des Herstellers. Liegt diese nicht vor, kann das BSI den Einsatz bei Betreibern der kritischen Infrastruktur verbieten.
  • Es werden Voraussetzungen für ein nationales IT-Sicherheitskennzeichen geschaffen, das ist allerdings freiwillig. Gemeint ist damit nicht die CSA-Zertifizierung der EU.

Die Gesetzesverabschiedung stärkt die Rolle des BSI, dieser nähert sich immer mehr der Rolle als oberste Bundesbehörde. Für Unternehmen im besonderen öffentlichen Interesse und teilweise auch für Betreiber kritischer Infrastruktur wird die Umsetzung mit erheblichen Anpassungen verbunden sein.

/von

ISO / IEC 62443: Cyber­security in der Industrieautomatisierung

Die IEC 62443-Serie wurde entwickelt, um industrielle Kommunikationsnetze und Industrielle Automatisierungs- und Steuerungssysteme (IACS) durch einen systematischen Ansatz zu sichern.

Sie umfasst derzeit neun Normen, Technische Berichte (TR) und Technische Spezifikationen (TS), wobei vier Teile noch in der Entwicklung sind. IACS finden sich in immer mehr Bereichen und Branchen, viele davon, wie z. B. Energieversorgung und -verteilung, Transportwesen, Fertigung usw. sind von zentraler Bedeutung für kritische Infrastrukturen (PH 9.860.2: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen).

Zu den IACS gehören auch Supervisory Control and Data Acquisition (SCADA)-Systeme, welche häufig von Organisationen eingesetzt werden, welche in Branchen mit kritischer Infrastruktur tätig sind, wie z. B. Stromerzeugung, -übertragung und -verteilung, Gas- und Wasserversorgungsnetze. Die Sicherstellung von Risikominderung und Ausfallsicherheit ist daher unerlässlich.

Verhinderung von illegalem oder unangemessenem Zugriff

In den Veröffentlichungen der IEC 62443 wird “der Begriff ‘Sicherheit’ als Verhinderung des illegalen oder unerwünschten Eindringens, der absichtlichen oder unabsichtlichen Störung des ordnungsgemäßen und beabsichtigten Betriebs oder des unangemessenen Zugriffs auf vertrauliche Informationen in Integriertes Verwaltungs- und Kontrollsystem (InVeKoS) betrachtet.”

Sicherheit “umfasst Computer, Netzwerke, Betriebssysteme, Anwendungen und andere programmierbare, konfigurierbare Komponenten des Systems”.

Die IEC 62443-Normen decken alle Aspekte der Cybersicherheit in allen Phasen ab und sind ein Eckpfeiler eines “Secure-by-Design”-Ansatzes.

Daher ist ein breiter Überblick über die IEC 62443-Publikationen notwendig, da sie für alle industriellen Kommunikationsnetze und IACS-Anwender relevant sind, einschließlich Anlagenbesitzer, Systemintegratoren, Gerätehersteller, Lieferanten, Anlagenbetreiber, Wartungsfachleute und alle privaten und staatlichen Organisationen, welche mit der Cybersicherheit von Steuerungssystemen zu tun haben oder davon betroffen sind (IEC / TS 62443-1-1 Industrielle Kommunikationsnetze, Netzwerk- und Systemsicherheit – Teil 1-1: Terminologie, Konzepte und Modelle).

Die Normenreihe IEC 62443 ist in vier Teile gegliedert, welche Folgendes abdecken:

  • Allgemeines (IEC 62443-1.* – ein Teil von vier veröffentlicht)
    Die allgemeinen Dokumente geben einen Überblick über den industriellen Sicherheitsprozess und stellen wesentliche Konzepte vor.
  • Richtlinien und Verfahren (Policies & Procedures) (IEC 62443-2.* – drei Teile von vier veröffentlicht)
    Die Dokumente zu Policies & Procedures heben die Bedeutung von Richtlinien hervor – selbst die beste Sicherheit ist nutzlos, wenn die Mitarbeiter/innen nicht geschult und verpflichtet sind, sie zu unterstützen.
  • System (IEC 62443-3.* – alle drei Teile veröffentlicht)
    Da Sicherheit nur als integriertes System verstanden werden kann, bieten die Dokumente zum Thema “System” wichtige Anleitungen zum Entwurf und zur Implementierung sicherer Systeme.
  • Komponenten (IEC 62443-4.* – beide Teile veröffentlicht)
    Da man ein solides Gebäude nicht aus schwachen Ziegeln bauen kann, beschreiben die Komponentendokumente die Anforderungen, welche für sichere Industriekomponenten erfüllt werden müssen.

Informationstechnik (IT) und Betriebstechnik (OT)

Internationale IEC-Normen wie ISO / IEC 27001 und IEC 62443 sind zusammen mit der Prüfung und Zertifizierung (Konformitätsbewertung) wichtige Werkzeuge für ein erfolgreiches und ganzheitliches Cybersicherheitsprogramm. Ein solcher Ansatz erhöht das Vertrauen der Stakeholder, indem er nicht nur den Einsatz von Sicherheitsmaßnahmen auf Basis von Best Practices nachweist, sondern auch, dass eine Organisation die Maßnahmen effizient und effektiv umgesetzt hat. Dies muss in eine übergreifende Strategie eingebunden werden, welche Menschen, Prozesse und Technologie umfasst. Dabei werden nicht nur die technischen Maßnahmen an sich betrachtet, sondern auch die Organisation rund um diese Maßnahmen, welche sicherstellt, dass Cyber-Angriffe rechtzeitig erkannt werden.

Herausforderungen bei der Implementierung

Obwohl die IEC 62443 viele Vorzüge und Vorteile hat, bringt die Implementierung der Norm auch einige Herausforderungen mit sich.

Die Norm ist jedoch nicht vollständig. Einige der Spezifikationen in der Norm sind noch nicht veröffentlicht worden.

Jedoch ist die Norm sehr umfangreich: Mit einem Gesamtumfang von bisher mehr als 800 Seiten und weiteren Spezifikationen, welche sukzessive veröffentlicht werden, ist ein erheblicher Zeit- und Arbeitsaufwand erforderlich, um den kompletten Standard zu lesen und zu verstehen.

Mit unserem Prüfungsstandard nach IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) stellen wir die Erfüllung gesetzlicher oder regulatorischer Anforderungen. Die Prüfungshinweise sind vorgesehen für

  • Cloud / Cybersecurity
  • Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (PH 9.860.1)
  • Prüfung bei Betreibern kritischer Infrastrukturen (PH 9.860.2)
  • Konformität GoB Vorgaben

Einhaltung von Industriestandards und anerkannter IT-Frameworks

  • PCI-DSS
  • ISO Normen
  • COSO, COBIT oder ITIL

Mit unserer Bescheinigung stellen wir sicher, dass die Mechanismen, die implementierten Maßnahmen und Kontrollen einer Angemessenheitsprüfung (Zeitpunktbetrachtung) unterzogen werden und die Kriterien geeignet sind. Wir prüfen die Implementierung der Kontrollen und Maßnahmen zur Gewährleistung von Cyber-Sicherheit und unterziehen diese einer Wirksamkeitsprüfung (Zeitraumbetrachtung) und stellen somit sicher, dass die Kontrollen und Maßnahmen im Zeitraum wirksam waren.

/von

REMOTE ARBEITEN – Cybersicher vor Bedrohungen

Durch die Pandemie wurde für viele Ihrer Kollegen das Zuhause zum neuen Arbeitsort. Eine vertraute Umgebung, aber ist sie sicher?

Die Arbeit wird größtenteils über Home Internet Service Provider (ISPs), also über ungesicherte Router verrichtet. Nachbarn können Ihre Telefonate mithören und dabei sensible Informationen erhaschen. Vielleicht nutzt der Lebenspartner / die Lebenspartnerin auch noch das gleiche Arbeitsgerät und nutzt es für anderweitig geschäftliches. Kurz gesagt: es gibt keinen anderen beliebten Ort, wie das zu Hause Ihrer Mitarbeiter/innen für Cyber-Attacken.

Fast täglich werden durch Hacker altbekannte Methoden wie Phishing-Mails verwendet. Dabei gehen die Betrüger mit der Zeit mit und nutzen die Pandemie schamlos aus. Sie lotsen Ihre Mitarbeiter/innen auf Webseiten, um angeblich Mund-Nasen-Bedeckungen, medizinische Gesichtsmasken sowie partikelfiltrierende Halbmasken (FFP) zu verkaufen oder führen das „Opfer“ auf Webseiten, um die neuesten Nachrichten lesen zu lassen (z. B. wie man sich von dem Virus erholen kann). Hacker haben sogar eine App entwickelt, welche sich als „Weltgesundheitsorganisation WHO“ ausgab. Diese Applikation war dem Original zum Verwechseln ähnlich. Sie war (be-)trügerisch und zog dem Anwender Informationen direkt vom Mobiltelefon ab. Altbekannte Sicherheitsvorkehrungen – wie Firewalls – kommen damit an ihre Grenzen, um Cyberbedrohungen dieser Art zu stoppen.

Was aber tun? Wir müssen die Themen rund um Cybersicherheit neu überdenken, damit Mitarbeiter/innen aus der Ferne sicher arbeiten können.
Cyber-Attacken vollständig aus dem Weg zu gehen ist leider nicht möglich. Jedoch ist nicht jede Bedrohung per se eine große Gefahr. Wichtig ist, dass Ihre Mitarbeiter/innen sensibilisiert werden, damit sie etwaige Maßnahmen zeitnah ergreifen können, um die gefährlichsten Cyberangriffe zu verhindern. Das macht den Unterschied zwischen einer erfolgreichen Remote-Belegschaft und einer anfälligen Belegschaft aus. Dem Unternehmen ist geraten eine „Home-Office-Policy“ zu erstellen, denn Unternehmen sind in der Nachweispflicht. Unternehmen brauchen ein klares Prozedere bei Datenpannen und IT-Problemen.

Um irreparable und möglicherweise teure Datenschutzverletzungen (nach DSGVO und / oder BDSG) zu verhindern, empfehlen wir folgende Handlungsmöglichkeiten:

Arbeitsdaten bleiben Arbeitsdaten

  • Laptops / Arbeitsgeräte außerhalb der Arbeitszeit ausschalten
  • Bildschirm sperren, sobald man den Arbeitsplatz verlässt (auch wenn nur für den Gang zur Toilette und wieder zurück)
  • Nicht gesperrter Bildschirm vor unbefugten Dritten (Mitbewohner/innen, Familienmitglieder/innen, Freunde etc.) schützen

Nicht nachlassen bei Passwörtern

  • Es wird empfohlen, mindestens zwölf Zeichen zu verwenden (einschließlich Sonderzeichen und Zahlen)
  • Es wird empfohlen, das Kennwort regelmäßig (alle 30 Tage) zu wechseln

Neustart

  • Dies ist wichtig, damit die Antivirensoftware sich regelmäßig aktualisiert
  • Dieser Vorgang minimiert die Anfälligkeit der (mobilen) Endgeräte

Obacht vor verdächtigen E-Mails

  • Kennen Sie den Absender?
  • Sieht die Nachricht nach Spam aus?
  • Mitarbeiter/innen sollten Phishing-Versuche sofort löschen und melden

Die beste Offensive gegen Cyberangriffe ist eine gute Verteidigungsstrategie. Diese beginnt damit, dass eine IT-Analyse durchgeführt wird. So wappnet sich ihr Unternehmen vor Datenschutzverletzungen:

  1. Für alle Endgeräte wie Laptops, muss die erforderliche Antivirensoftware vom Arbeitgeber zur Verfügung gestellt werden
  2. Alle Mitarbeiter/innen welche remote arbeiten, müssen an den regelmäßigen (alle zwölf Monate) Schulungen zur Informations- und Cybersicherheit teilnehmen. Über aktuelle Bedrohungslagen müssen die Mitarbeiter/innen zeitnah informiert werden
  3. Wir empfehlen eine mehrstufige Authentifizierung, um sicherzustellen, dass Mitarbeiter/innen ihre Identität über ihre Telefone bestätigen, bevor Sie auf vertrauliche Dateien zugreifen.
  4. Richten Sie eine verschlüsselte VPN-Verbindung ein, um den Zugang zu sicheren Informationen zu gewährleisten
  5. Ernennen Sie einen Datenschutzbeauftragten / Informationssicherheitsbeauftragten (Information Security Officer), um potenzielle Cyberangriffe melden zu können
/von

DSGVO-Bußgeld in Höhe von 900.000,00 Euro gegenüber 1&1 Telecom GmbH bestätigt

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber verhängte im Dezember 2019 ein Bußgeld, wegen eines Verstoßes gegen Artikel 32 DSGVO in Höhe von 9.550.000,00 € gegen 1&1.

1&1 Telecom GmbH legte Widerspruch gegen das verhängte Bußgeld ein. Nach Auffassung von 1&1 Telecom GmbH war das Bußgeld unverhältnismäßig und seine Bemessung ein Verstoß gegen das Grundgesetz. Der Datenschutzverstoß entstand durch ein unzureichendes Authentifizierungsverfahren, welches die Daten seiner Kunden im Rahmen der Kommunikation über sogenannte Callcenter schützen soll.

Das Landgericht Bonn hat nunmehr entschieden, dass das verhängte Bußgeld dem Grunde nach berechtigt, aber im konkreten Einzelfall zu hoch war. (Hinweis: Der hinterlegter Link beinhaltet noch kein Volltexturteil !!!)

In der Sache liege ein geringer Datenschutzverstoß vor und das Bußgeld wurde auf 900.000,00 Euro herabgesetzt.

Damit urteilte erstmals ein deutsches Gericht im Rahmen eines DSGVO-Millionenbußgeldverfahrens. Trotz Reduzierung des Bußgeldes zeigte sich der BfDi nicht unzufrieden mit der Entscheidung. Zitat: “ Ich bin überzeugt, dass diese Entscheidung in den Chef- Etagen von Unternehmen wahrgenommen wird.“

/von