Verantwortungsloser Umgang mit personenbezogenen Daten
Eine aktuelle Studie von der Gesellschaft für Informatik (GI) ergab, dass viele Website-Betreiber und App-Anbieter ihrer Pflicht zur ordnungsgemäßen Löschung und Auskunft über die persönlichen Daten der Verbraucher nicht erfüllen. Die veröffentlichte Studie der Universitäten Hamburg und Siegen zufolge, kamen nur ein Viertel der Firmen ihrer Auskunft-Pflicht nach, dazu erteilten sie eine nur befriedigende Auskunft über die personenbezogene Daten. Erst nach erneuter Anfrage hat wieder nur ein knappes Viertel der Unternehmen eine zufriedenstellende Antwort geliefert. Erschreckend, das 57 Prozent überhaupt nicht oder nur unzureichend geantwortet haben. Noch negativer ist das Testergebnis über die Datensicherheit ausgefallen. Ein Viertel der Unternehmen sendete persönliche Auskunfts-Daten nicht an die beim Anbieter hinterlegte E-Mail-Adresse, sondern an einer Testmail der Wissenschaftler. Dieser verantwortungslose Umgang von personenbezogenen Daten, erleichtert jedem Trickbetrüger den Datendiebstahl.
Dienstanbieter sind verpflichtet, ihren Kunden Auskunft darüber zu geben, welche Daten sie zu welchem Zweck speichern. Zudem müssen personenbezogenen Daten auf Wunsch, gemäß § 35 Bundesdatenschutzgesetz (BDSG), auch umfänglich gelöscht werden.
-ck-

Digitale Daten: Segen und Fluch zugleich
Gesundheits-Apps die den Kalorienverbrauch, die Schrittzahlen, Blutdruck und sogar Schlafqualität messen, bieten eine tolle Unterstützung für einen gesünderen Lebensstil. Sie helfen durch Medikamentenmanager wann die nächste Medizin genommen werden muss oder zeigen an, wann die nächste Schutzimpfung ansteht. Die Vorteile liegen auf der Hand und die kleinen digitalen Helferlein werden von vielen Anbietern kostenlos zur Verfügung gestellt. Doch wer diese Gesundheits-Apps herunterlädt sollte bedenken, dass dieser digitale Service nur im Austausch mit seinen Daten geschieht. Diese Fitnessdaten geben einen detaillierten Aufschluss über körperliche Aktivitäten, Ernährung und vieles mehr. Beispiel: Krankenkassen und auch Versicherungen bieten Fitness-Apps um unsere Gesundheit zu kontrollieren. Versicherungstarife werden je nach Lebenswandel angeboten und wer gesund lebt, bekommt Rabatte. Doch so verlockend diese Angebote für jeden gesunden Menschen auch sind, der Preis den man dafür bezahlt ist, dass man nicht weiß wo diese Daten landen. Denn mit diesen hochsensiblen schutzwürdigen Daten werden Gesundheits- und Risikoprofile erstellt die sich auch zum Nachteil auswirken können. Nicht nur die Versicherungen, Pharmaindustrie, Unternehmen sondern zum Beispiel auch Arbeitgeber und Banken interessieren sich für diese hochsensiblen Informationen.
Doch nicht nur Gesundheitsdaten, sondern auch die persönlichen Bewegungsdaten wecken Begehrlichkeiten. Beispiel: Autoversicherer locken mit günstigeren Kfz-Versicherungstarifen, wenn eine sicher Fahrweise per App regelmäßig übermittelt wird. Ob der Fahrer das Tempolimit beachtet oder genügend Abstand hält, zu stark beschleunigt und auch das Bremsverhalten werden durch das mit dem Auto verbundene Smartphone aufgezeichnet. Per App wird der Fahrstil bewertet und nur bei sicherer Fahrweise können Versicherungsprozente eingespart werden. Wer so einen Telematik-Tarif mit umfangreicher Datenerfassung nutznutzt, bezahlt einen hohen Preis - seine hochsensiblen Daten für ein Bewegungsprofil.
-ck-

Fehlender Datenschutz im Unternehmen
Sicherheitslücken sind oftmals im eigenen Unternehmen zu suchen. Beispiele von massiven Datenpannen in dieser Woche: Laut Medienberichten wurden in einem Bildungsinstitut gebrauchte USB-Sticks mit kompletten Bewerbungsunterlagen von früheren Kursteilnehmer an die neue IT-Seminarteilnehmer ausgegeben. Scheinbar waren alle Speicher-Sticks nicht formatiert und enthielten somit die hochsensiblen Bewerberdaten wie Name, Adressen einschließlich Bildmaterial der ehemaligen Seminarteilnehmer. Solche massive Datenpannen zeigt, wie Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente nicht an die Öffentlichkeit gelangen. Abhilfe schafft eine Sensibilisierung des Personals und sorgt für den Schutz personenbezogener und unternehmenssensibler Daten.
Auch sind die Gefahren durch einen IT-Fehler oder technischer Panne im Unternehmen nicht zu unterschätzen. In dieser Woche berichteten die Medien, über einen Medienkonzern, welcher scheinbar Opfer eines Daten-Diebstahls geworden ist. Sensible Daten wie Namen, Studienausweise und Passwörter von tausenden Zeitungskunden wurden entwendet. Ob ein Zugriff auf weitere Daten erfolgt ist, wird derzeit noch geprüft, Betroffene werden von der Mediengruppe persönlich informiert. Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung sowie bei Datendiebstahl kann nach der aktuellen EU-Datenschutzverordnung hohe Strafzahlungen nach sich ziehen. Um jegliche Art von Datenschutzvorfällen vorzubeugen erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen, welche nicht nur die sensiblen Unternehmensdaten schützen - sondern auch die ihnen anvertrauten sensiblen Kundendaten.
-ck-

IT-Sicherheit als Kernaufgabe im Unternehmen
Am 25. Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet worden. Ziel des Gesetzes sind die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung von BSI und Bundeskriminalamt (BKA). Es regelt unter anderem, dass Betreiber sogenannter KRITIS (kritischer Infrastrukturen) ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Zur kritischen Infrastruktur gehören Unternehmen in den Bereichen Gefahrenstoffe, Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheitsversorgung, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Das 2015 in Kraft getretene IT –Sicherheitsgesetz ist nicht nur für Betreiber von kritischen Infrastrukturen (KRITIS) von hoher Bedeutung, sondern auch für Betreiber von Webseiten. Mit Inkrafttreten des IT-Sicherheitsgesetzes bewirkt eine Änderung des Telemediengesetzes § 13 Abs. 7 TMG, das alle Dienstanbieter die Telemedien geschäftsmäßig anbieten, in den Anwendungsbereich dieses Gesetzes fallen. Betreiber von Webangeboten wie Online-Shops und mitunter auch Blogs mit geschäftsmäßiger Werbung, müssen eine Verschärfung der technischen und organisatorischen Schutzmaßnahmen vornehmen, um die von ihnen genutzten IT-Systeme und Kundendaten besser zu schützen. Unternehmen kommen nicht drum herum, sich ab sofort stärker um das Thema IT-Sicherheit zu kümmern.
-ck-

Bewerbungsverfahren ohne personenbezogene Datenansammlung
Wenn es um eine Arbeitsplatzvergabe geht, fallen bereits viele Menschen im Vorfeld aus einer Bewerbung raus, entweder weil es ältere Bewerber, Mütter mit Kleinkinder oder auch Ausländer sind. Vor kurzem waren einzelne Landesinitiativen mit einem besonderen Pilotprojekt an den Start gegangen, das anonyme Bewerbungen in den Focus stellt. Nordrhein-Westfahlen, Rheinland-Pfalz, Baden – Württemberg sowie Kommunen in Niedersachsen nutzen das behördenübergreifenden Stellenportal Interamt, welches die Bewerber sowie die Behörden durch das anonymisierte Bewerberverfahren leitet.
Das Pilotprojekt: Chancengleich bewerben – anonymisiertes Bewerbungsverfahren in Rheinland Pfalz, ergab positive entscheidende Hinweise über den Nutzen diskriminierungsfreier Methoden der Personalrekrutierung. Kriterien wie Alter, Herkunft, Geschlecht und Familienstand werden nicht mit angegeben und somit können Personalchefs lediglich anhand der individuellen Qualifikationen eines Bewerbers den passenden Arbeitnehmer aussuchen. Mögliche Diskriminierungen werden somit ausgeschlossen, gleichzeitig erübrigt sich die Ansammlung von umfangreichen personenbezogenen Daten der üblichen Bewerbungsunterlagen. Somit ist auch sichergestellt, dass bei Onlinebewerbungen die personenbezogenen Bewerberdaten nicht im Internet auftauchen. In manchen anderen Ländern gehören anonymisierte Auswahlverfahren längst zur gängigen Praxis – wie etwa in Frankreich, Belgien oder der USA. Es wird sich zeigen, ob das anonymisierte Bewerbungsverfahren in Deutschland von den Arbeitgebern angenommen wird.
-ck-

Nicht eingehaltene Sicherheitsstandards
Für einen mobilen und standortunabhängigen Datenzugriff werden in vielen Unternehmen und auch Behörden Intranets (Rechnernetze) eingesetzt, um Mitarbeiter mit sensiblen betriebsinternen Informationen zu versorgen. Dabei spielt insbesondere die Sicherheit der Daten eine große Rolle. Damit die sensiblen Unternehmensdaten nicht an Dritte gelangen, wird der Zugang zum Intranet durch ein Authentisierungsverfahren per Benutzernamen und dem dazugehörigen Passwort gesichert oder über ein komplexeres Authentisierungsverfahren mit mehreren Faktoren wie zum Beispiel anhand eines zusätzlichem Security-Token. Leider schotten viele Unternehmen und Organisationen ihre Intranets nicht richtig ab und somit gelangen vertrauliche Daten ungeschützt ins Internet.
Laut Medienberichten konnten Angreifer aufgrund einer Schwachstelle im Internet-Auftritt eines bekannten Pizza – Bestelldienstes die Nutzer-Konten der Kunden übernehmen. Der Sicherheitsforscher Robert Kugler entdeckte die Lücke und informierte das Unternehmen. Die Sicherheitslücke auf der Webseite ist laut Medienberichten mittlerweile geschlossen. Die nächst bekannt gewordene Sicherheitspanne in dieser Woche befand sich auch auf der Website eines Unternehmens. Auf der Homepage des Flughafen Köln-Bonn waren scheinbar geheime Notfallpläne des Airports seit Monaten öffentlich zugänglich. Detaillierte Verhaltensregel für den Umgang mit Notsituationen wie zum Beispiel bei Terroranschlägen, Geiselnahmen und Bombendrohungen sowie die Sammelstellen für Passagiere in Not waren seit November 2015 auf der Website des Flughafens einsehbar. Wie die Medien berichteten, wurde der Notfallplan mittlerweile offline gestellt.
Bei diesen Pannen war das Intranet nicht geschützt, somit konnten auch die personenbezogenen Daten von Jedermann im Internet eingesehen und eventuell missbraucht werden.
-ck-

Netzwerkdrucker und andere Systeme
Laut Medienberichten sind in ganz Deutschland mehrere Universitäten Opfer eines Hackerangriffs geworden. An den Universitäten in Hamburg, Bonn, Münster, Lüneburg, Tübingen, Bremen, Erlangen-Nürnberg und weiteren deutschen Hochschulen sollen Netzwerk-Drucker und Kopierer von Hacker manipuliert und so hundertfach fremdenfeindliche Dokumente ausgedruckt haben. Manche Drucker wurden scheinbar mehrfach angesteuert, einen vollständigen Überblick gebe es noch nicht. Angeblich wurde dieser Hackerangriff durch fehlerhaft konfigurierte Drucker möglich, welche mit einer öffentlichen IP-Adresse vom Internet aus erreichbar gewesen seien. Die IT-Abteilungen haben die Sicherheitslücke mittlerweile geschlossen. Strafanzeige wurde erstattet und der Staatsschutz ermittelt wegen Volksverhetzung gegen Unbekannt.
Drucker, Kopierer und weitere Hardware haben ihren festen Platz in der IT-Infrastruktur eines Unternehmens und doch werden diese oft weniger abgesichert als andere Systeme, meistens haben sie voreingestellte Sicherheitseinstellungen und sind dadurch auch anfälliger für Hackerangriffe. Diese Hardware sowie die Netzwerkverbindung muss daher in die IT-Sicherheitsstrategie integriert werden, damit kein finanzieller Schaden im Unternehmen durch eine Datenpanne entsteht.
-ck-

Gefährdungspotenzial durch Cyberangriffe
Im Rahmen der Allianz für Cyber-Sicherheit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Umfrage zur Ransomware in deutschen Unternehmen gestartet um Einsicht zu erhalten, wie hoch die Bedrohungslage durch Erpressertrojaner ist. Diese Schadprogramme, wie zum Beispiel der Erpressertrojaner Locky verschlüsseln die kompletten Daten und geben diese eventuell nach Zahlung eines Lösegeldes wieder frei. Anhand der zunehmenden IT-Sicherheitsvorfälle durch Verschlüsselungs-Trojanern hat der BSI ein Themenpapier mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht.
-ck-

Bewerbungsverfahren ohne personenbezogene Datenansammlung
Wenn es um eine Arbeitsplatzvergabe geht, fallen bereits viele Menschen im Vorfeld aus einer Bewerbung raus, entweder weil es ältere Bewerber, Mütter mit Kleinkinder oder auch Ausländer sind. Vor kurzem waren einzelne Landesinitiativen mit einem besonderen Pilotprojekt an den Start gegangen, das anonyme Bewerbungen in den Focus stellt. Nordrhein-Westfahlen, Rheinland-Pfalz, Baden – Württemberg sowie Kommunen in Niedersachsen nutzen das behördenübergreifenden Stellenportal Interamt, welches die Bewerber sowie die Behörden durch das anonymisierte Bewerberverfahren leitet. Das Pilotprojekt: Chancengleich bewerben – anonymisiertes Bewerbungsverfahren in Rheinland Pfalz, ergab positive entscheidende Hinweise über den Nutzen diskriminierungsfreier Methoden der Personalrekrutierung. Kriterien wie Alter, Herkunft, Geschlecht und Familienstand werden nicht mit angegeben und somit können Personalchefs lediglich anhand der individuellen Qualifikationen eines Bewerbers den passenden Arbeitnehmer aussuchen. Mögliche Diskriminierungen werden somit ausgeschlossen, gleichzeitig erübrigt sich die Ansammlung von umfangreichen personenbezogenen Daten der üblichen Bewerbungsunterlagen. Somit ist auch sichergestellt, dass bei Onlinebewerbungen die personenbezogenen Bewerberdaten nicht im Internet auftauchen. In manchen anderen Ländern gehören anonymisierte Auswahlverfahren längst zur gängigen Praxis – wie etwa in Frankreich, Belgien oder der USA. Es wird sich zeigen, ob das anonymisierte Bewerbungsverfahren in Deutschland von den Arbeitgebern angenommen wird.
-ck-

Telekommunikationsgesetz verbietet unbemerkte Überwachung
Unbemerkte Fernüberwachung durch winzige Spionage-Kameras, die unauffällig in Alltagsgegenständen wie Kugelschreiber, Rauchmelder, Blumentöpfen, Lampen und sogar Kuscheltiere versteckt werden, um damit Menschen auszuspionieren, sind zum Schutz der Privatsphäre durch das Telekommunikationsgesetz verboten. Die Bundesnetzagentur geht nun verstärkt gegen diese meist Wlan-fähigen, nicht als Kameras zu erkennenden Spionage – Sendeanlagen, vor. Schon das Herstellen dieser Geräte ist strafbar. Anbieter werden aufgefordert das Angebot zu löschen, Verkäufer dürfen diese Gegenstände nicht mehr verkaufen, die Ware muss vernichtet werden. Zudem müssen Verkäufer die Käufer benennen. Käufer dieser getarnten Überwachungs-Kameras sind aufgefordert, diese zu vernichten und das auch nachzuweisen – zum Beispiel durch einen Nachweis von der Abfallwirtschaftsstation.
Sollten Hersteller, Anbieter, Verkäufer oder Käufer der Aufforderung nicht nachkommen, kann die Bundesnetzagentur ein Zwangsgeld erlassen und im schlimmsten Fall eine Strafanzeige stellen.
-ck-

Leichtsinniger Umgang mit vertraulichen Gesundheits-Daten
Damit die Privatsphäre der Patienten gewahrt bleibt, unterliegen Ärzte und Praxispersonal der Schweigeplicht. Geregelt ist dies durch das Bundesdatenschutzgesetz sowie den Berufsverordnungen.
Laut Medienberichten ist in der österreichischen Niederlassung des Pharmakonzerns Merck eine DVD mit rund 2000 sensiblen Patientendaten und 1000 Abonnenten-Informationen einer medizinischen Zeitschrift verloren gegangen. Nicht nur Daten wie Namen, Adressen, Telefonnummern, interne Identifikationsnummer oder E-Mail-Adressen, sondern auch die Art der Erkrankungen von den an multipler Sklerose oder Wachstumsstörungen leidenden Patienten waren scheinbar auf der DVD gespeichert. Laut einer Merck-Sprecherin (Bärbel Klepp) sind die Betroffenen und die Datenschutzbehörde über den Vorfall informiert worden.
Ob sorglose Umgang im E-Mail-Verkehr, oder offenliegende Patientenakten die von unbefugten genauso gut eingesehen werden können wie ein ungeschützter Computer mit noch vertraulichen Gesundheitsdaten des vorherigen Patienten auf dem Bildschirm, all dies Fälle zeigen, das dem Datenschutz in manchen Praxen und auch Kliniken immer noch nicht genügend Bedeutung beigemessen wird. Durch regelmäßige Datenschutz-Schulungen, Sensibilisierung des Personals einschließlich der Ärzte, könnten Datenschutzkonflikte vermieden und der verantwortungsbewusste Umgang zur Sicherheit und Vertraulichkeit der hochsensiblen Patientendaten gewährleistet werden.
-ck-

Kritische Infrastruktur mit Datenschutz-Gau
Laut Medienberichten wurde bei revisionsvorbereitenden Prüfarbeiten in einem bayerischen Kernkraftwerk eine Schadsoftware im Computersystem entdeckt. Auf einem Rechner, der zur Datenverarbeitung und –Visualisierung für die Brennelemente – Lademaschine im Jahre 2008 nachgerüstet wurde, befand sich die Malware. Scheinbar handelte es sich um eine Uralt-Schadsoftware für Bürocomputer, die heimlich Verbindung zum Internet aufbaut.
Die zuständige Aufsichtsbehörde und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden informiert und die Malware nach abgeschlossener Prüfung von Programmiergeräten und Wechseldatenträgern gefunden und entfernt. Die Schutzmaßnahmen zur IT-Sicherheit wurden verstärkt. Wie die Würmer auf dem Rechner, Datenträgern, USB-Sticks und im Büro-Netz des AKWs gelangen, wird noch überprüft.
Zum Schutz der kritischen Infrastrukturen (KRITS) wie zum Beispiel Kraft – und Wasserwerke, Katastrophenschutz, Produktionsanlagen usw. hat die Bundesregierung vor kurzem das IT-Sicherheitsgesetz verabschiedet. Durch gemeinsame Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind.
-ck-