Schlagwortarchiv für: Aktuelles

KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

/von

Einheitliche Regelungen für Bußgelder im europäischen Datenschutz 

Der Europäische Datenschutzausschuss (EDSA) beschloss in seiner Sitzung am 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung bei Datenschutzverstößen.

Die EDSA mit seinen Repräsentantinnen aus den verschiedenen EU-Ländern einigten sich auf einheitliche Maßstäbe in der Bußgeldpraxis.

Die europäischen Aufsichtsbehörden sind berechtigt Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu erlassen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes von Unternehmen betragen. Die europaweit harmonisierten Leitlinien sehen hier ein aus fünf Schritten bestehendes Zumessungsverfahren vor, das spezifisch die Art und Schwere der Datenschutzverstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt. Damit sind klare Regelungen für die Höhe der Geldbußen gegeben und das trägt zu einem nachvollziehbaren Handeln der Behörden bei.

Die Vereinheitlichung der Bußgeld-Leitlinien in unterschiedlichen europäischen Mitgliedstaaten ist ein wichtiger Schritt in der europäischen Integration und können Vorbild sein für die Durchsetzung anderer EU-Gesetze.

Die Leitlinien finden Sie auf der Internetseite der EDSA.

Haben Sie Fragen in Sachen Datenschutz? Sie sind auf der Suche nach einem externen Datenschutzbeauftragten? In beiden Fällen können wir Ihnen helfen!
Schreiben Sie uns gern eine Mail mit Ihrem Anliegen.

/von

Beschluss zum „Impfstatus“ von Beschäftigten durch Arbeitgeber

Wichtige News zum Thema Datenschutz und Impfstatus

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) befasste sich mit dem sensiblen Thema der Verarbeitung des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber. Seit dem 19. Oktober 2021 liegt hierzu ein Beschluss der DSK vor.

Mit ihrem Beschluss verdeutlicht die DSK, dass es auch im Rahmen einer Covid-19-Pandemie keine gesetzliche Grundlage für ein grundsätzliches Abfragen des Impfstatus bei Beschäftigten gibt, weil gemäß der Datenschutz-Grundverordnung (DS-GVO) der Impfstatus – als ein Gesundheitsdatum – zur besonderen Kategorie personenbezogener Daten gehört. Die DSK betont in ihrem Beschluss, dass ein Verarbeiten dieser Datenkategorie grundsätzlich verboten ist.

Daher dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten lediglich ausnahmsweise auf Grundlage einer ausdrücklichen gesetzlichen Erlaubnis erfragen bzw. verarbeiten.

In welchen Ausnahmefällen erachtet die DSK eine Verarbeitung des Impfstatus für gesetzlich möglich?

Hierfür zieht die DSK das Infektionsschutzgesetz (IfSG) heran und listet folgende Einzelfälle auf, bei welchen sie eine Verarbeitung des Impfstatus für gesetzlich möglich beurteilt:

  • Bestimmte im IfSG genannte Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich ( B. Krankenhaus, Arztpraxis) dürfen den Impfstatus ihrer Beschäftigten erfragen bzw. verarbeiten, sofern die in §§ 23a, 23 Absatz 3 IfSG genannten Voraussetzungen vorliegen.
  • Bestimmte im IfSG genannte Arbeitgeberinnen und Arbeitgeber in Gemeinschaftseinrichtungen für Kinder, Jugendliche und Erwachsene (z. B. Kindertageseinrichtungen, Wohneinrichtungen) dürfen im Zusammenhang mit Covid-19 den Impfstatus ihrer Beschäftigten erfragen bzw. verarbeiten, sofern die in 36 Absatz 3 IfSG genannten Voraussetzungen vorliegen.
  • Wenn Beschäftigte als mögliche Träger übertragbarer Krankheitserreger einen Verdienstausfall erleiden und deshalb nach § 56 Absatz 1 IfSG einen Anspruch auf Lohnersatz geltend machen, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus der jeweiligen Beschäftigten verarbeiten. Die in § 56 Absatz 1 IfSG genannten Voraussetzungen können laut DSK-Beschluss im Einzelfall auch bei einer möglichen Infektion mit Covid-19 und einer anschließenden Quarantäne vorliegen.
  • Abschließend führt die DSK auf, dass Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten verarbeiten dürfen, falls Rechtsverordnungen zur Pandemiebekämpfung auf Grundlage des IfSG diese Datenverarbeitung vorgeben.

Was ist gemäß dem DSK-Beschluss bei der Verarbeitung des Datums „Impfstatus“ zu beachten?

Hierfür zieht die DSK Artikel 5 DS-GVO mit folgenden Grundsätzen heran, welche bei der Verarbeitung des Impfstatus zu beachten sind:

  • Der Grundsatz der „Datenminimierung“ hinsichtlich der Abfrage (z. B. eine reine Abfrage erfüllt auch ohne Datenspeicherung ihren Zweck) und hinsichtlich der Speicherung (z. B. lediglich ein Vermerk des Impfstatus ohne eine Kopie des Impfausweises in der Personalakte).
  • Der Grundsatz der Speicherbegrenzung“ erfordert, gespeicherte Daten zu löschen, sobald der Grund hierfür weggefallen ist.
  • Der Grundsatz der „Rechenschaftspflicht“ besagt: Arbeitgeberinnen und Arbeitgeber müssen bei einer Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten nachweisen können, dass diese tatsächlich freiwillig erfolgt sind.

Für eine Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten hebt die DSK ausdrücklich hervor, dass lediglich freiwillig erfolgte Einwilligungen rechtswirksam sind. In diesem Zusammenhang verweist die DSK auf die Problematik des abhängigen Arbeitsverhältnisses von Beschäftigten in Anlehnung an § 26 Absatz 3 Satz 2 und Absatz 2 BDSG (Bundesdatenschutzgesetz).

 

Den vollständigen Wortlaut der Beschlussfassung der DSK finden Sie auf der Internetseite der DSK.

/von

Ist Ihr Cookie Banner DSGVO konform?

Rund 40 Unternehmen in Berlin erhielten im August 2021 Post von der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk, mit der Aufforderung, das Tracking auf ihren Webseiten den Datenschutzregelungen anzupassen. Anbei die dazugehörige Pressemitteilung.

In der DSGVO ist eindeutig geregelt: Wer als Webseiten-Betreiber mit Hilfe von Cookies und anderen Technologien das Nutzerverhalten verfolgen möchte, benötigt eine Rechtsgrundlage. Viele Cookie Banner auf den Webseiten differenzieren die Cookies, jedoch wird häufig keine wirksame Einwilligung eingeholt.

Jedem Nutzer muss es einfach möglich sein, Tracking abzulehnen oder darin einzuwilligen. Trackingvoreinstellungen zur Forcierung der Einwilligung sind nicht rechtskonform.

Die Hinweisaktion der Behörde war eine erste Verwarnung an ausgewählte Unternehmen. Die Verantwortlichen wurden aufgefordert, die Datenvereinbarung unverzüglich nach DSGVO Vorgaben zu gestalten. Eine zweite Prüfung der Webseiten der gerügten Unternehmen, kann Maßnahmen der Behörde nach sich ziehen.

Suchen Sie sich kompetente Beratung bei der Gestaltung und Prüfung Ihrer Cookie Banner. Hier die wichtigsten Anforderungen für ein praxistaugliches und datensparsames Opt-In-Verfahren:

  • Nur wenn notwendig, Einwilligungen einholen.
  • Unterschiedliche Verarbeitungsvorgänge differenziert darstellen.
  • Geht es um eine Einwilligung, sollten die Optionen nicht zu umfangreich sein. Der Nutzer sollte mit wenigen Klicks die Einstellungen nach seinen Wünschen vornehmen können.
  • Die Nutzung des Dienstes der Webseite darf nicht von der Einwilligung abhängen.
  • Für das Modul gilt: leicht zu bedienen, auf die Nutzergruppe abgestimmt und mit unterschiedlichen Endgeräten kompatibel.
  • Alle Informationen zur Verarbeitung der Daten müssen transparent, leicht zu verstehen und neutral gestaltet sein.
  • Eine datensparsame Voreinstellung sollte vorgesehen sein.
  • Gestaltung darf den Nutzer von Wesentlichem nicht ablenken und dahin manipulieren, dass die Einstellungen verändert werden können.
  • Ein Datenschutz-Cockpit sollte eine nachträgliche Verwaltung der erteilten Ermächtigungen ermöglichen.
  • Das Thema mit Icons und Piktogrammen verständlicher machen.

Fazit: Transparenz bei der Einwilligung stärkt Ihre Vertrauenswürdigkeit.

/von

Neue EU-Standard­vertrags­klauseln – Datentransfer in Drittländer jetzt rechtssicher?

Endlich sind die Standardvertragsregelungen an die DS-GVO angepasst und berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield.

Achtung, alle bereits abgeschlossenen Standardvertragsklauseln müssen innerhalb von 18 Monaten, bis zum 27. Dezember 2022 aktualisiert werden.  Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden.

Wie werden die Standardvertragsklauseln in der Praxis abgeschlossen?

In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:

  • Individueller Vertrag – Vor allem bei Vertragsschlüssen mit Unternehmen, welche nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), welcher dann individuell unterschrieben oder signiert wird.
  • Bestandteil von AGB – Große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGBs an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden (Beispiel der E-Mail-Plattform MailChimp).

Allerdings ist der Abschluss der Standardvertragsklauseln allein noch nicht ausreichend. Es muss das Datenschutzniveau im Einzelfall geprüft werden. So lehnt der EuGH und die Datenschutzaufsichtsbehörden den Datentransfer in Drittländer (z. B. USA) nicht ab, möchte jedoch die Sicherheit geprüft wissen.

  • Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z. B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei.

Allerdings gibt es Interpretationsmissverständnisse in den Erwägungsgründen der neuen Standardvertragsklauseln, enthalten in der Ziffer 7:

Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.

Dieser Erwägungsgrund würde bedeuten, dass die Standardvertragsklauseln immer dann nicht abzuschließen wären, wenn z. B. ein US-Cloud-Dienst der DSGVO darunterfällt. Das wäre z. B. der Fall, wenn Dropbox, Microsoft- oder die Google Cloud sich auch an EU-Bürger richten würden. Wenn dann ein EU-­Unternehmen z. B. Kundendaten in dieser Cloud speichert, dürften / müssten mit Dropbox, Microsoft oder Google keine Standardvertragsklauseln abgeschlossen werden. Dieses Ergebnis widerspricht jedoch dem Wortlaut des Art. 44 ff. DSGVO, welcher bei Verarbeitung im Drittland keine solche Ausnahme vorsieht. Es bleibt also zu hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre erratischen Interpretationsvorgaben veröffentlicht.

D. h., dass Sie aktiv werden und folgende Maßnahmen ergreifen müssen:

  • Bestandsaufnahme beim eigenen Unternehmen – Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern und insbesondere den USA verarbeitet werden (bzw. von Unternehmen, welche in diesen Ländern sitzen).
  • Bestandsaufnahme bei Subunternehmern – Ebenso muss geprüft werden, ob Subunternehmer und Dienstleister, z. B. der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern / USA einsetzen (z. B. Server von Amazon Webservices mieten).
  • Anfrage nach neuen Standardvertragsklauseln – Die Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden (alternativ, auch wenn weniger üblich, können ihnen Standardvertragsklauseln zur Prüfung und Unterschrift gestellt werden). Ebenso müssen Subunternehmer gefragt werden, ob entsprechende Standardvertragsklauseln wiederum mit deren Subunternehmern in Drittländern geschlossen wurden (im Optimalfall sollte um Kopien gebeten werden).
  • Anfrage nach Sicherheitsmaßnahmen – Die Anbieter aus Drittländern müssen um Nennung von Sicherheitsmaßnahmen gebeten werden, mit welchen die besonderen Risiken des Drittlandtransfers aufgefangen werden (z. B. Verschlüsselung, Serverstandort EU, Pseudonymisierung). Ebenso müssen Subunternehmer gefragt werden, ob wiederum deren Subunternehmer aus Drittländern entsprechende Schutzmaßnahmen nachgewiesen haben (im Optimalfall sollte auch hier um deren Auflistung und Kopien der Bestätigungen gebeten werden).
  • Prüfung der Standardvertragsklauseln – Sie müssen überprüfen, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des Datenschutzniveaus – Sie müssen anhand der mitgeteilten Sicherheitsmaßnahmen prüfen, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
  • Protokollierung – Sie müssen die Prüfverfahren aus Nachweisgründen festhalten (z. B. in einer Tabelle mit Anbietern, Zeitpunkten der Anfragen, Ergebnissen und Begründung Ihres Prüfungsergebnisses).

Empfehlung

Auch wenn Ende 2022 noch weit in der Zukunft liegt, sollten Sie Ihre Vertragspartner darauf drängen, die Standardvertragsklauseln möglichst schnell auszutauschen. Vor allem, weil die neuen Standardvertragsklauseln die Forderungen der Datenschutzaufsicht nach Ergänzung der bisherigen Klauseln in Folge der Rechtsprechung des EuGHs zu US-Datentransfers umsetzen. Daher ist davon auszugehen, dass Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln, sehr bald für unzulässig erklären werden.

/von

Die Angemessen­heits­beschlüsse für die Übermittlung personen­bezogener Daten an das Vereinigte Königreich

Die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichten am 29.06.2021, dass die Europäische Kommission die Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich gemäß der Datenschutz-Grundverordnung (DSGVO) und der Strafverfolgungsrichtlinie (LED) am 28.06.2021 annehmen.

Mit der Anerkennung des angemessenen Datenschutzniveaus bedürfen Datenübermittlungen aus dem Europäischen Wirtschaftsraum (EWR) an das Vereinigte Königreich, im Rahmen des Anwendungsbereichs der Beschlüsse, keiner besonderen Genehmigung. Die Prüfung, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind, ist davon unabhängig erforderlich und vorzunehmen.

/von

Cyber-Security – Die Frage ist nicht ob, sondern wann der Vorfall kommt

Cyber-Attacken werden häufiger. Die Schlagzahl der Angriffe steigt und die Schlagzeilen häufen sich. Das Risiko ist nicht beseitigt mit der Auslagerung in die Cloud. Auch Cloud-Dienstleister müssen umdenken und Antworten auf Fragen zu Sicherheitsmaßnahmen liefern. Für Unternehmen entsteht mit der Auslagerung eine neue Schnittstelle, welche betreut werden muss.

Cloud-Dienstleister können auf Basis verschiedener Standards beurteilt und in ihrer Servicequalität eingeschätzt werden. In Deutschland empfiehlt sich eine Beurteilung nach dem Cloudstandard des BSI C5 oder gemäß dem Fachausschuss IT des IDW (FAIT) Nummer 5. Entsprechende Bescheinigungen werden durch Wirtschaftsprüfer bereitgestellt. Hier sind Bescheinigungen nach ISAE 3000 bzw. ISAE 3402 zu nennen.

Neben der Beurteilung und der daraus folgenden Auswahl eines geeigneten Dienstleisters ist ebenfalls wichtig, die Widerstandfähigkeit des Unternehmens gegen Schäden (Resilienz) zu erhöhen.

Gerade die Pandemie hat gezeigt, wie wichtig digitale Kompetenzen und eine funktionierende digitale Infrastruktur für den Mittelstand ist. Noch nie wurden Technologien so schnell umgesetzt und in vielen Bereichen zur Strategie für funktionsfähige Geschäftsprozesse. Mit der rasanten Entwicklung werden Daten zentraler Bestandteil der Wertschöpfung. Aus diesem Grund ist es wichtig, das Unternehmen Strategien und Maßnahmen entwickeln, um den Betrieb nachhaltig gegen Cyber-Attacken zu schützen. Dies sind Unternehmer/innen nicht nur dem eignen Unternehmen schuldig, sondern auch den Kunden, denn auch Ihre Kunden erwarten, das Unternehmen vertrauensbildende Maßnahmen im digitalen Wandel entwickeln.

Wir helfen Ihnen mit einem maßgeschneiderten Frühwarnsystem, umfassenden Sicherungsmaßnahmen, sowie forensischen Analysemethoden gegen Bedrohungen aus dem Netz Ihr Unternehmen sicher aufzustellen. Wir wollen Ihre Cyber-Resilienz aufbauen, stärken und präventiv vorrausschauend eine Cyber-Strategie für Ihr Unternehmen entwickeln. Nach innen IT-sicher und nach außen vertrauen aufbauend in der digitalen Transformation.

Haben Sie Fragen hierzu oder benötigen Sie einen Partner für Ihre Cyber-Strategie, so kommen Sie gerne auf uns zu.

/von

Sind Cloud-Anbieter DS-GVO konform?

Achtung, das US-Gesetz Cloud ACT (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden den Zugriff auf alle ihre Daten – auch ohne richterlichen Beschluss. Alle gespeicherte Daten von US-Unternehmen auch im US-Ausland, werden so behandelt, als wären Sie auf Servern in der USA gespeichert. Dieses Gesetz gilt für Internet-Provider, IT-Dienstleister und Cloud-Anbieter mit Sitz in den USA und deren Kundenkreis. Ist ein Unternehmen in Europa Teil eines US-Unternehmens oder tauscht dieses Daten mit US-Unternehmen aus, unterliegt es dem Cloud-Act.

Der Cloud-Act betrifft sowohl personenbezogene als auch Unternehmensdaten von wirtschaftlichen Informationen, Geschäftsgeheimnisse und anderes geistiges Eigentum. Keine Sicherheiten vor dem Zugriff der US-Behörden bieten technische Verschlüsselung, Treuhänder Modelle oder bilaterale Abkommen. Damit besteht ein Rechtskonflikt mit der DS-GVO.

Cloud-Anbieter mit Sitz und Rechenzentrum in der EU bieten maximale Sicherheit und sind DSGVO-konform. Achten Sie auch auf Prüfzertifikate wie ISO27001, ISAE3402, C5, PS860 i. V. m. PH 9.860.1

Wir beraten und prüfen Cloudanbieter, auf die Einhaltung gesetzlicher sicherheitsrelevanter Vorgaben.

/von

IT-Sicherheits­gesetz 2.0 am 23.04.2021 im Bundes­tag beschlossen

Das Leben ohne funktionierende Informations- und Kommunikationstechnik ist heute kaum noch vorstellbar. Die Gefährdungen durch Angriffe im Cyberraum nehmen allerdings seit Jahren zu und sie werden immer ausgefeilter. Daher reagierte Die Bundesregierung mit dem neuen Gesetz.

Der Deutsche Bundestag hat am Freitag, den 23.04.2021 das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Dieses löst das alte IT-Sicherheitsgesetz aus Juli 2015 ab. Zweck des Gesetzes ist die Gewährleistung der Cyber- und Informationssicherheit, welche mit der zunehmenden Digitalisierung immer mehr Bedeutung erlangt.

Das neue IT-Sicherheitsgesetz wird Änderungen in verschiedenen Gesetzen zur Folge haben. Betroffen sind das BSIG, das TKG und das TMG, das SGB X und das Gesetz über die Elektrizitäts- und Gasversorgung, sowie die Außenwirtschaftsverordnung.

Wichtige Neuerungen sind:

  • Es wurden neue Begriffsbestimmungen definiert. Die gibt es jetzt für die Kommunikation des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung und kritische Komponenten.
  • Einbeziehung von Unternehmen im besonderen öffentlichen Interesse, welche in drei Kategorien geclustert werden. Die Anforderungen sind teilweise unterschiedlich.
  • Betreiber kritischer Infrastruktur müssen innerhalb eines Jahres nach Inkrafttreten des Gesetzes Angriffserkennungssysteme implementieren.
  • Betreiber von Unternehmen im besonderen öffentlichen Interesse müssen alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen. Damit liegt eine Augenmerk auf Zertifizierungen, Sicherheitsaudits und ähnlichen Schutzmaßnahmen.
  • Der Einbau kritischer Komponenten bedarf einer Garantie-Erklärung des Herstellers. Liegt diese nicht vor, kann das BSI den Einsatz bei Betreibern der kritischen Infrastruktur verbieten.
  • Es werden Voraussetzungen für ein nationales IT-Sicherheitskennzeichen geschaffen, das ist allerdings freiwillig. Gemeint ist damit nicht die CSA-Zertifizierung der EU.

Die Gesetzesverabschiedung stärkt die Rolle des BSI, dieser nähert sich immer mehr der Rolle als oberste Bundesbehörde. Für Unternehmen im besonderen öffentlichen Interesse und teilweise auch für Betreiber kritischer Infrastruktur wird die Umsetzung mit erheblichen Anpassungen verbunden sein.

/von

ISO / IEC 62443: Cyber­security in der Industrieautomatisierung

Die IEC 62443-Serie wurde entwickelt, um industrielle Kommunikationsnetze und Industrielle Automatisierungs- und Steuerungssysteme (IACS) durch einen systematischen Ansatz zu sichern.

Sie umfasst derzeit neun Normen, Technische Berichte (TR) und Technische Spezifikationen (TS), wobei vier Teile noch in der Entwicklung sind. IACS finden sich in immer mehr Bereichen und Branchen, viele davon, wie z. B. Energieversorgung und -verteilung, Transportwesen, Fertigung usw. sind von zentraler Bedeutung für kritische Infrastrukturen (PH 9.860.2: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen).

Zu den IACS gehören auch Supervisory Control and Data Acquisition (SCADA)-Systeme, welche häufig von Organisationen eingesetzt werden, welche in Branchen mit kritischer Infrastruktur tätig sind, wie z. B. Stromerzeugung, -übertragung und -verteilung, Gas- und Wasserversorgungsnetze. Die Sicherstellung von Risikominderung und Ausfallsicherheit ist daher unerlässlich.

Verhinderung von illegalem oder unangemessenem Zugriff

In den Veröffentlichungen der IEC 62443 wird “der Begriff ‘Sicherheit’ als Verhinderung des illegalen oder unerwünschten Eindringens, der absichtlichen oder unabsichtlichen Störung des ordnungsgemäßen und beabsichtigten Betriebs oder des unangemessenen Zugriffs auf vertrauliche Informationen in Integriertes Verwaltungs- und Kontrollsystem (InVeKoS) betrachtet.”

Sicherheit “umfasst Computer, Netzwerke, Betriebssysteme, Anwendungen und andere programmierbare, konfigurierbare Komponenten des Systems”.

Die IEC 62443-Normen decken alle Aspekte der Cybersicherheit in allen Phasen ab und sind ein Eckpfeiler eines “Secure-by-Design”-Ansatzes.

Daher ist ein breiter Überblick über die IEC 62443-Publikationen notwendig, da sie für alle industriellen Kommunikationsnetze und IACS-Anwender relevant sind, einschließlich Anlagenbesitzer, Systemintegratoren, Gerätehersteller, Lieferanten, Anlagenbetreiber, Wartungsfachleute und alle privaten und staatlichen Organisationen, welche mit der Cybersicherheit von Steuerungssystemen zu tun haben oder davon betroffen sind (IEC / TS 62443-1-1 Industrielle Kommunikationsnetze, Netzwerk- und Systemsicherheit – Teil 1-1: Terminologie, Konzepte und Modelle).

Die Normenreihe IEC 62443 ist in vier Teile gegliedert, welche Folgendes abdecken:

  • Allgemeines (IEC 62443-1.* – ein Teil von vier veröffentlicht)
    Die allgemeinen Dokumente geben einen Überblick über den industriellen Sicherheitsprozess und stellen wesentliche Konzepte vor.
  • Richtlinien und Verfahren (Policies & Procedures) (IEC 62443-2.* – drei Teile von vier veröffentlicht)
    Die Dokumente zu Policies & Procedures heben die Bedeutung von Richtlinien hervor – selbst die beste Sicherheit ist nutzlos, wenn die Mitarbeiter/innen nicht geschult und verpflichtet sind, sie zu unterstützen.
  • System (IEC 62443-3.* – alle drei Teile veröffentlicht)
    Da Sicherheit nur als integriertes System verstanden werden kann, bieten die Dokumente zum Thema “System” wichtige Anleitungen zum Entwurf und zur Implementierung sicherer Systeme.
  • Komponenten (IEC 62443-4.* – beide Teile veröffentlicht)
    Da man ein solides Gebäude nicht aus schwachen Ziegeln bauen kann, beschreiben die Komponentendokumente die Anforderungen, welche für sichere Industriekomponenten erfüllt werden müssen.

Informationstechnik (IT) und Betriebstechnik (OT)

Internationale IEC-Normen wie ISO / IEC 27001 und IEC 62443 sind zusammen mit der Prüfung und Zertifizierung (Konformitätsbewertung) wichtige Werkzeuge für ein erfolgreiches und ganzheitliches Cybersicherheitsprogramm. Ein solcher Ansatz erhöht das Vertrauen der Stakeholder, indem er nicht nur den Einsatz von Sicherheitsmaßnahmen auf Basis von Best Practices nachweist, sondern auch, dass eine Organisation die Maßnahmen effizient und effektiv umgesetzt hat. Dies muss in eine übergreifende Strategie eingebunden werden, welche Menschen, Prozesse und Technologie umfasst. Dabei werden nicht nur die technischen Maßnahmen an sich betrachtet, sondern auch die Organisation rund um diese Maßnahmen, welche sicherstellt, dass Cyber-Angriffe rechtzeitig erkannt werden.

Herausforderungen bei der Implementierung

Obwohl die IEC 62443 viele Vorzüge und Vorteile hat, bringt die Implementierung der Norm auch einige Herausforderungen mit sich.

Die Norm ist jedoch nicht vollständig. Einige der Spezifikationen in der Norm sind noch nicht veröffentlicht worden.

Jedoch ist die Norm sehr umfangreich: Mit einem Gesamtumfang von bisher mehr als 800 Seiten und weiteren Spezifikationen, welche sukzessive veröffentlicht werden, ist ein erheblicher Zeit- und Arbeitsaufwand erforderlich, um den kompletten Standard zu lesen und zu verstehen.

Mit unserem Prüfungsstandard nach IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) stellen wir die Erfüllung gesetzlicher oder regulatorischer Anforderungen. Die Prüfungshinweise sind vorgesehen für

  • Cloud / Cybersecurity
  • Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (PH 9.860.1)
  • Prüfung bei Betreibern kritischer Infrastrukturen (PH 9.860.2)
  • Konformität GoB Vorgaben

Einhaltung von Industriestandards und anerkannter IT-Frameworks

  • PCI-DSS
  • ISO Normen
  • COSO, COBIT oder ITIL

Mit unserer Bescheinigung stellen wir sicher, dass die Mechanismen, die implementierten Maßnahmen und Kontrollen einer Angemessenheitsprüfung (Zeitpunktbetrachtung) unterzogen werden und die Kriterien geeignet sind. Wir prüfen die Implementierung der Kontrollen und Maßnahmen zur Gewährleistung von Cyber-Sicherheit und unterziehen diese einer Wirksamkeitsprüfung (Zeitraumbetrachtung) und stellen somit sicher, dass die Kontrollen und Maßnahmen im Zeitraum wirksam waren.

/von