Datenaustausch zwischen der Europäischen Union und den USA
Im Oktober 2015 wurde, durch ein Urteil des Europäischen Gerichtshofes, das Safe Harbor-Abkommen als Rechtsgrundlage für den personenbezogenen Daten-Transfer in die Vereinigten Staaten (USA) für ungültig erklärt. Die Vereinigten Staaten (USA) sind grundsätzlich ein Drittstaat ohne angemessenes Datenschutzniveau und somit ist jede Weitergabe von Daten in diesen Staat nur unter erschwerten Bedingungen in Betracht zu ziehen. Anfang Februar dieses Jahres einigten sich die EU-Kommission und Vertreter der Vereinigten Staaten auf einen neuen Rahmen, das EU-US Privacy Shield – Abkommen, für die transatlantische Datenübermittlung. Dieses Abkommen enthält strengere Datenschutz-Auflagen, um den Schutz europäischer Daten bei zertifizierten US-amerikanischen Unternehmen sicher zu stellen. Mitte Juli ist das überarbeitete Abkommen zwischen der EU und den USA in Kraft getreten.
Die Artikel-29-Datenschutzgruppe (G29), ein unabhängiges Beratungsgremium der nationalen Datenschutzbehörden der EU-Länder, kritisieren die umstrittenen EU-US-Privacy-Shield und haben eine umfassende Prüfung angekündigt, die ein Jahr nach Inkrafttreten des Abkommens durchgeführt wird. Hauptaugenmerk der ersten jährlichen Überprüfung ist die Wirksamkeit des Abkommens - kann Privacy Shield die Daten europäischer Bürger tatsächlich schützen?
US-Unternehmen haben ab dem 1. August die Möglichkeit sich freiwillig zu zertifizieren. Eine eigene Website wurde durch das U.S. – Handelsministerium zur Verfügung gestellt. Unternehmen die sich zertifiziert haben, werden in die Privacy-Shield-Liste eingetragen.
-ck -

Datenschutz für Intelligente Fahrzeuge
Die Computertechnik im Auto ist so fortgeschritten, das über GPS und Internet Fahrzeugdaten übertragen und ausgewertet werden können. Sensible Informationen wie zum Beispiel: Daten über Fahrstrecken der letzten Tage, Fahrverhalten der Fahrer sowie den Standort des Wagens können per App abrufen werden, sehr interessant zum Beispiel für Versicherungsunternehmen. Diese bieten maßgeschneiderte Tarife anhand der digital erfassten Fahrzeugdaten wie Tempo, Beschleunigung oder Risikobereitschaft an.
In den USA wurde das Kennzeichen der Zukunft getestet. Digitale Nummernschilder werden per Funk mit den Behörden verbunden und zeigen für alle sichtbar an, ob das Auto gestohlen, die Versicherung nicht bezahlt oder der Führerschein eingezogen ist. Durch diese Computertechnik im Fahrzeug wird der Autofahrer immer und überall überwacht somit steigt auch das Gefahrenpotenzial des Datenmissbrauchs. In Zeiten zunehmender Vernetzung von Fahrzeugen steigen auch die Gefahren durch die verwendete Technik. Sicherheitslücken ermöglichen Hacker Zugang zu sicherheitsrelevanten Fahrzeugsystemen oder – Funktionen wie zum Beispiel: Lenkung, Türschlösser, Zündung und Bremsen um Autos zu manipulieren. Das auch Bremsen aus der Ferne per SMS ferngesteuert werden können, hatten IT-Experten schon offengelegt. Erschreckend, das durch solche Angriffe Leib und Leben der Fahrzeuginsassen gefährdet werden können.
Der US-Industrieverband für Sicherheit in der Automobiltechnik - Auto ISAC - hat jetzt das Best Practices-Handbuch für den Umgang mit Cyber Security in Fahrzeugen herausgegeben. Dieser Leitfaden soll Automobilhersteller, Zulieferer und Dienstleister helfen, die IT-Sicherheit in vernetzten Fahrzeugen zu erhöhen.
-ck-

Absicherung der Unternehmens-IT
Zielgerichtet werden kleinere und mittelständische Unternehmen, Krankenhäuser deren IT-Struktur mit dem Internet verbunden ist, mit gefälschten Mail-Mitteilungen überschüttet. Der Trojaner Locky infizierte schon so manche große Unternehmen. In den gefälschten Mitteilungen werden die Empfänger oft namentlich genannt und dies lässt so manchen Mitarbeiter unvorsichtig handeln. Die entsprechende Mail nebst Anhang wird geöffnet und Viren, Trojaner und Spyware verbreiten sich so, ohne Wissen und Zutun des Anwenders, auf den Firmen-PC. Dadurch entstehen jährlich finanzielle Schäden in Milliardenhöhe für Unternehmen, sowie für Privatnutzer. Nicht nur der Mensch, sondern auch technische und organisatorische Maßnahmen führen zum unfreiwilligen Verlust sensibler Daten. Der Schutz vor Viren und Trojanern, die Absicherung der Zugänge ins Unternehmensnetzwerk sollten unter anderem ein wesentlicher Bestandteil der unternehmensweiten IT - Security Vorkehrung sein.
Einer der wichtigsten Schritte zur Abwehr möglicher Spionageangriffe ist: Alle Mitarbeiter über Gefahren zu informieren und ihr Sicherheitsbewusstsein und –verhalten zu stärken. Wirkungsvolle Gegenmaßnahmen kann nur der in Angriff nehmen, wer über Risiken der Sicherheitslücken im Unternehmen und Einfallstore für Wirtschaftsspionage von außen und innen informiert ist.
-ck-

Datenpannen - Abwehr im Unternehmen
Am 25. Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet worden. Ziel des Gesetzes sind die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung von BSI und Bundeskriminalamt (BKA). Es regelt unter anderem, dass Betreiber sogenannter KRITIS (kritischer Infrastrukturen) ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Zur kritischen Infrastruktur gehören Unternehmen in den Bereichen Gefahrenstoffe, Energie, Informationstechnik, Telekommunikation, Transport und Verkehr, Gesundheitsversorgung, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Das 2015 in Kraft getretene IT –Sicherheitsgesetz ist nicht nur für Betreiber von kritischen Infrastrukturen (KRITIS) von hoher Bedeutung, sondern auch für Betreiber von Webseiten. Mit Inkrafttreten des IT-Sicherheitsgesetzes bewirkt eine Änderung des Telemediengesetzes § 13 Abs. 7 TMG, das alle Dienstanbieter die Telemedien geschäftsmäßig anbieten, in den Anwendungsbereich dieses Gesetzes fallen. Betreiber von Webangeboten wie Online-Shops und mitunter auch Blogs mit geschäftsmäßiger Werbung, müssen eine Verschärfung der technischen und organisatorischen Schutzmaßnahmen vornehmen, um die von ihnen genutzten IT-Systeme und Kundendaten besser zu schützen. Unternehmen kommen nicht drum herum, sich ab sofort stärker um das Thema IT-Sicherheit zu kümmern.
Denn allein in dieser Woche berichtete die Medien über folgende Datenpannen:

Bei einem Ticketgroßhändler aus Berlin wurde eine scheinbar seit Jahren bestehende Datenlücke erst jetzt aufgedeckt. Aufgrund einer Sicherheitslücke im System waren offenbar seit Jahren Millionen sensible personenbezogene Daten, teilweise auch einschließlich der Bankdaten, von Flugreisenden ungeschützt im Internet auffindbar gewesen. Laut dem Unternehmen sei die Sicherheitslücke  von Kriminellen nicht ausgenutzt worden. Der Berliner Datenschutz-Beauftragte wurde eingeschaltet und überprüft derzeit den Datenschutzvorfall.

Auch eine Sicherheitslücke bei der Smatphone Tastatur Swift Key, eine alternative Tastatur mit Wortvorschlägen für iOS und auch für Android-Systemen, wurde vor kurzem bekannt. Nutzer dieser Keyboard-App sahen in der Vervollständigung fremde Autokorrektur-Vorschläge, teilweise auch in anderen Sprachen und offenbar auch sensible Informationen wie E-Mail Adressen und auch Telefonnummern. Das Unternehmen hat nach Bekanntwerden dieser Probleme ihren Synchronisierungsdienst für die Eingabevorhersagen vorerst abgeschaltet.

Zudem wurde anhand einer aktuell durchgeführten Sicherheitsanalyse  ein erfolgreicher Cyber-Angriff auf die Kundendatenbank eines Elektronikversands aufgedeckt. Die Täter entwendeten von der Kundendatenbank nicht nur Namen samt kompletten Adressen, Geburtsdaten, sondern offenbar auch die SEPA-Daten – Bankverbindungen der Kunden. Diese sensiblen Kundendaten wurden bereits für sogenannte Phishing-Attacken bei zahlreichen Kunden genutzt.

Der sorglose Umgang mit personenbezogenen Daten, ob bei der Verarbeitung oder nicht rechtzeitiger Datenlöschung kann nach der aktuellen EU-Datenschutzverordnung hohe Strafzahlungen nach sich ziehen. Um jegliche Art von Datenschutzvorfällen vorzubeugen erfordert Datenschutz im Unternehmen effektive technische und organisatorische Maßnahmen, welche nicht nur die sensiblen Unternehmensdaten schützen sondern auch die ihnen anvertrauten sensiblen Kundendaten.
-ck-

Strecken-Radar sammelt begehrte Daten
Um Unfälle zu vermeiden, wird die Technik Section Control zur Geschwindigkeitsüberwachung in Österreich und Schweiz schon länger eingesetzt. Unter anderem verwenden auch die Italiener und die Niederländer den Strecken-Radar. Auch Deutschland will nachziehen, doch datenschutzrechtliche Problemstellungen verzögern die Anwendung dieser Etappen-Kontrolle.
Denn die Geschwindigkeits-Überwachung Section Control erfasst alle Fahrzeuge und Autofahrer zweimal, am Anfang sowie am Ende des überwachten Streckenabschnitts. Die gesammelten Daten – Bilder sind jeweils mit einem Zeitstempel versehen und werden an die Polizei durch das System weitergeleitet. Diese wertet die Durchschnittsgeschwindigkeit anhand der Zeitstempel aus. Systembedingt werden auch die Verkehrsteilnehmer überwacht und ihre personenbezogenen Daten gesammelt, welche keine Tempoverstöße begehen und sich an die Vorgaben halten. Dazu die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Helga Block: "Datenschutzrechtliche Bedenken müssen vor der Einführung ausgeräumt sein"
-ck-