Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Microsoft Office 365 auf dem Prüfstand
  2. Bericht zur Lage der IT-Sicherheit in Deutschland des BSI
  3. Zwei-Faktoren-Authentisierung
  4. Archivierung von E-Mails
  5. IT-Grundschutz nach BSI - Teil 4

1. Microsoft Office 365 auf dem Prüfstand

Der Oktober startete mit einer Überraschung von den Datenschutzaufsichtsbehörden. Es gab eine Empfehlung Microsoft Office 365 wegen Datenschutzmängeln in der Nutzung zu untersagen. Wirft man einen detaillierteren Blick auf die Angelegenheit, gestaltet sich diese etwas diffus. Windows 10 und Microsoft Office 365 stehen schon seit längerem mit der Problematik der Telemetriedaten in der Kritik. Dazu gab es einige Nachfragen der Aufsichtsbehörden zu nicht detailliert genug dargestellten Sachverhalten in den Datenschutzbedingungen. Das ist alles nicht neu. Kurzfristig hatte der hessische Datenschutzbeauftragte MS Office 365 für die Nutzung in Schulen untersagt. Hier wurde sehr schnell zurückgerudert. Dann stimmte die Arbeitsgruppe der Aufsichtsbehörden mit 9 zu 8 Stimmen, jedes Bundesland hat eine Stimme, für die Untersagung der Anwendung. Es war also nur eine Stimme, die die Mehrheit ausmachte, und man stimmte über den Sachstand vom 20. Januar 2020 ab. Inzwischen hatte Microsoft bereits zwei Nachbesserungen getätigt, die nicht berücksichtigt wurden. Eine technische Prüfung war auch nicht erfolgt. Die Entscheidung basierte auf den rein rechtlichen Ergebnissen aus der Betrachtung der Datenschutzrichtlinien. Unmittelbar nach der Entscheidung erklärten vier Aufsichtsbehörden, Bayern, Baden-Württemberg, Hessen und das Saarland, dass sie die Entscheidung so ablehnen.

Was soll man aus diesem "Kuddel-Muddel" nun für die Praxis ableiten. Zum einen ist es natürlich richtig, dass Druck auf Microsoft ausgeübt wird, damit diese sich in Sachen Datenschutz bewegen. Microsoft hat hier schon sehr viel getan und verbessert sich kontinuierlich. Aber da ist noch ein wenig mehr zu leisten. Der Datenschutz kennt zurecht keine Toleranz, sondern nur ein striktes Einhalten der Rechtslage. Wer mit 35 durch die 30er-Zone des Datenschutzes fährt, hat den Datenschutz nicht eingehalten und kann sich nicht auf "fast eingehalten ist tolerabel" berufen. Andererseits sind viele Umsetzungen für ein Unternehmen wie Microsoft, seine Produkte und die komplexen globalen Rahmenbedingungen nicht so einfach zu realisieren, wie man denken mag. Die Bemühungen und ein Wille sind sichtbar. Und Microsoft hat, das muss man fairer Weise sagen, hier viel mehr getan als manch anderer globale Player des Internets.

Ich empfehle meinen Kunden auch nach dieser Entscheidung der Aufsichtsbehörden vorerst Office 365 im gewohnten Umfang weiter zu nutzen und die Entwicklung in der Sache zu beobachten. Ich sehe auf der derzeitigen Grundlage keine Ansätze einem Unternehmen das Produkt konkret, rechtswirksam in der Nutzung zu untersagen. Ebenso sehe ich kein Potential Bußgelder zu verhängen. Vielmehr bedarf es einer erneuten, und vor allem technischen Prüfung des Produkts, wonach der Sachverhalt neu bewertet werden muss. Hinzu kommt mit dem Schrems-II Urteil des EUGH auch noch die Problematik geeigneter Garantien im Sinne des Art. 46 DSGVO und möglichem Zugriffs amerikanischer Regierungsstellen auf technische Kommunikationsdaten. Es wird also auf absehbare Zeit spannend mit Microsoft bleiben.



2. Bericht zur Lage der IT-Sicherheit des BSI

Mitte des Monats hat das BSI seinen jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht. Der Bericht enthält alarmierende Zahlen und bestätigt Trends, die ich auch bei meinen Kunden und in deren Umfeldern beobachte.

Wer den ganzen Bericht des BSI lesen möchte, finden diesen hier als PDF: Bericht zur Lage der IT-Sicherheit in Deutschland

Eine der entscheidenden Zahlen aus dem Bericht ist die Tatsache von durchschnittlich 322.000 neuen Schadware-Programmen pro Tag über die letzten 12 Monate. Das sind um die 10 Millionen neue Bedrohungen jeden Monat, die sich leider kumulieren, da diese, wenn überhaupt, nur nach sehr langen Zeiträumen wieder aus dem Netz verschwinden. Jeder vierte, also 25% der Bürger unseres Landes, geben ferner an, dass Sie bereits von einem Internetbetrug betroffen waren. Hierbei standen vor allem Phishing und Betrug bei Online-Käufen im Vordergrund. Was die Unternehmen angeht, und das ist auch meine Beobachtung aus dem letzten Jahr, steht vor allem die Bedrohung durch Ransomware im Fokus. Betroffen sind dabei nicht nur die freie Wirtschaft, sondern auch öffentliche Verwaltungen, Krankenhäuser, Universitäten und Gerichte. Was früher einmal als zerstörerischer böswilliger Spaß einiger Hacker begann, ist heute offensichtlich zu einem gut organisierten Geschäftszweig der Hacker geworden. So berichtet das BSI von einem Fall an einer Universität, wo bereits mehrere Wochen vor dem eigentlichen Verschlüsseln der Hardware Hacker in das Netz eingedrungen waren. Es wurde mit verschiedener Schadware die Infrastruktur gezielt analysiert und ausspioniert. Schwachstellen wurden gesucht und Angriffspunkte ermittelt. So gelang es am Ende quasi alle Server, einschließlich der Backup-Server, zu verschlüsseln und so in Geiselhaft zu nehmen. Letztlich zahlte diese Universität 30 Bitcoins Lösegeld, was ca. einem Betrag von EUR 200.000 entsprach. Besonders schlimm ist es natürlich immer dann, wenn auch die Backups verschlüsselt sind und eine Wiederherstellung der Systeme somit nicht mehr möglich ist. Die Wichtigkeit Backups auch an externen Orten oder Offline zu speichern, gewinnt bei solchen Berichten nochmals an Bedeutung.

Andere erschreckende Zahlen sind zum Beispiel die 24,3 Millionen Patientendatensätze, die international frei im Netz zugänglich waren. Darunter auch viele digitalisierte Röntgenbilder, die auf Cloudspeichern ohne Zugriffsschutz abgelegt worden waren. Der Anteil an SPAM-Mails, im Verhältnis zu der Gesamtzahl empfangener Mails gemessen in den Netzen des Bundes, stiegt von 69% im Bericht 2019 auf aktuell 76%. Drei von vier Mails waren also SPAM. Weiterhin fühlen sich Bürger zu Themen der IT-Sicherheit schlecht informiert und wünschen sich mehr diesbezügliche Informationen. Trotzdem stieg der Zahl der Abonnements des CERT-Newsletters des BSI für Bürger nur um 4.000 Anmeldungen auf jetzt 109.000 Abonnenten. Offensichtlich wünschen sich Bürger zwar mehr Information, aber wohl Information auf einem anderen Weg. Wer dennoch den CERT-Newsletter des BSI abonnieren möchte, kann dieses hier tun: CERT-Bürger Das BSI informiert hier über relevante IT-Sicherheitsprobleme und derzeitige Sicherheitslücken, die unbedingt durch Updates geschlossen werden müssen.

In den nächsten Newslettern werden sicher immer wieder Themen des BSI Lageberichts erörtert werden. Insgesamt wird die Thematik der IT-Sicherheit komplexer. Der Trend der vergangen Jahre hält hier an. Für Unternehmen gewinnt damit der Schutz vor IT-Bedrohungen weiterhin an Bedeutung und darf auf keinen Fall vernachlässigt werden.



3. Zwei-Faktoren-Authentisierung

Um an das vorherige Thema anzuschließen, hier noch einmal der in vielen Schulungen immer wieder wiederholte Sachverhalt zur Sicherheit von Benutzerkonten in der digitalen Welt. Ein etwas amüsanter Artikel in einigen Medien veranlasst mich, die Zwei-Faktoren-Authentisierung nochmals als äußerst wichtig zu betonen.

Um den 20. Oktober herum tauchten in verschiedenen Medien, darunter "n-tv", Kurzartikel auf, in denen berichtet wurde, dass ein Niederländer (Ob es wirklich ein Hacker war, weiß ich nicht und es spielt auch keine Rolle.) den Twitter Account von Donald Trump geknackt hat. Laut den Angaben in den Artikeln wurden dazu nur 6 Versuche gebraucht. Das Passwort war MAGA2020 und Donald Trump hatte keine Zwei-Faktoren-Authentisierung aktiviert. Der Niederländern, nett wie er war, soll diese sicherheitsrelevante Information an das Weiße Haus gegeben haben, welches sich für den hilfreichen Hinweis bedankt habe. Dieser Artikel ist natürlich "eine Ente". Das kann man getrost so sagen, denn der Twitter Account von Donald Trump ist eines der meist angegriffenen Benutzerkonten im gesamten Internet. Wäre es so einfach dieses zu knacken, wäre es schon längst und vielfach passiert. Und das vor allem von weniger freundlichen Niederländern, die anderes mit einem Login getan hätten. Die Website der Wahlkampfkampagne von Donald Trump viel am 27. Oktober einem Hacker Angriff zum Opfer und trotz einem versteckten Admin-Bereichs und zahlreicher Sicherheitsvorkehrungen. Mit höchster Wahrscheinlichkeit handelte es sich um einen XSS-Angriff.

Was von der Geschichte bleibt ist, dass der beste und sicherste Schutz für Benutzerkonten in der Tat eine Zwei-Faktoren-Authentisierung ist. Das gilt für Online-Shops, Online-Banking, Webseiten-Admin-Bereiche, Microsoft-Konten, Paypal und für einfach jedes Konto im Internet, dass Sie haben. Inzwischen bieten auch fast alle diese Option zur Sicherheit des Kontos an. Zwei-Faktoren-Authentisierung ist für alle Konten dringend zu empfehlen. Es ist ein wirksamer Schutz gegen einen unberechtigten Drittzugriff.

Gegen die Zwei-Faktoren-Authentisierung wird immer entgegengehalten, dass es so unbequem und lästig ist. Nichts mehr mit "zack drinnen", sondern man muss erst noch ein zweites Gerät, in der Regel sein Smartphone, holen und den Zugriff auf das Konto legitimieren. Das ist natürlich richtig. Es ist in der Tat genauso unbequem, wie mit zwei 20Kg Einkaufstüten in jeder Hand die Haustür aufzuschließen und dabei auch noch irgendwie den Code der Alarmanlage einzugeben, um diese zu deaktivieren. Andererseits: Wollen Sie es wirklich so bequem haben, dass bei Ankommen an ihrem Zuhause die Haustür schon offensteht, oder doch lieber etwas weniger bequem, aber ohne ausgeraubt worden zu sein?

4. Archivierung von E-Mails

Die Archivierung von E-Mails ist immer wieder eine Frage, die viele Kunden verunsichert. Es gelten für die Archivierung von E-Mails die Grundsätze ordentlicher Buchführung, die alle Unternehmer zu befolgen haben. Hiernach sind Geschäfts- und Handelsbriefe sowie Buchführungsunterlagen für 6 Jahre aufzubewahren. Handelt es sich um für den Jahresabschluss relevante Unterlagen, so sind diese Unterlagen 10 Jahre aufzubewahren. Personalunterlagen sind in der Regel nur 3 Jahre aufzubewahren. Für manche Branchen gelten Sonderregelungen: So sind zum Beispiel für Pflegedienste Dienstpläne und Nachweise 5 Jahre aufzubewahren.

In der Praxis werden diese Regelungen oft als sehr diffus wahrgenommen und deswegen in der Form praktiziert, dass schlichtweg alles, was es an Unterlagen gibt, auf unbestimmte Zeit aufbewahrt wird. Bei der Archivierung von E-Mails wird ähnlich verfahren. Am besten alles archivieren, denn dann kann man nichts falsch machen. Genau letzteres ist mit dem Datenschutz nach DS-GVO nicht mehr gegeben, sondern hat sich in das Gegenteil verkehrt. Der Datenschutz verpflichtet jetzt, dass Unterlagen, die keine gesetzlichen Aufbewahrungsfristen haben, und die auch keinen Zweck für eine Verarbeitung mehr besitzen, gelöscht bzw. vernichtet werden müssen. Das gilt für Papierdokumente, digitalisierte Dokumente und auch gleichermaßen für E-Mails. Sind die Aufbewahrungsfristen abgelaufen, dann sind die Daten zu löschen.

Besonders zu beachten ist, dass bestimmte E-Mails gar nicht archiviert werden dürfen und andere umgehend nach Wegfall ihres Zwecks gelöscht werden müssen. Dazu zählen:
  • Private E-Mails des Postfachinhabers, wenn es erlaubt ist, die E-Mail Adresse auch privat zu nutzen.
  • Bewerberdaten. Diese dürfen für maximal 6 Monate nach Abschluss des Bewerbungsprozesses aufbewahrt werden. Auch E-Mails, die zur Einsendung der digitalen Unterlagen genutzt wurden und Rückschluss über den Absender geben, dürfen nicht länger aufbewahrt werden.
  • Alle E-Mails, die keine Handels- oder Geschäftsbriefe darstellen, und die keinen Zweck für eine Verarbeitung mehr haben.
  • E-Mails, die nur zum Versenden einer Anlage gedient haben, wobei die Anlage ihrem Wesen nach Aufbewahrungspflichtig sein kann.
  • Newsletter, Spam, Werbe-Mails, automatisierte Abwesenheitsmeldungen, Read-Rückmeldungen, automatisierte technische Informationen, E-Mails zwecks Zwei-Faktor-Authentisierung etc., wenn ein Zweck für eine weitere Verarbeitung nicht mehr vorliegt.
  • Auch E-Mails in Papierkörben und anderen Ordnern, wie gesendete E-Mails und Antwortmails etc. müssen gelöscht werden und dürfen an diesen Orten nicht versehentlich aufbewahrt werden.
Mit dem Datenschutz ist die Archivierung von E-Mails damit nicht einfacher, sondern schwieriger geworden. Man muss jetzt genau klassifizieren, welche Bedingungen für die Aufbewahrung und Löschung einer individuellen E-Mail gelten. Was also schon zu Offline-Zeiten nicht wirklich praktikabel war, ist im E-Mail Zeitalter nicht einfacher geworden. Am Ende muss ein Mensch entscheiden, was der Inhalt der E-Mail darstellt und welche Regeln für diese E-Mail gelten sollen. Allerdings gibt es schon sehr hilfreiche Softwarelösungen, die den Prozess vereinfachen.

Ich möchte diesem Thema abschließend noch etwas anfügen: Es ist die Natur des Menschen, dass wir Dinge nicht gerne endgültig löschen und dabei immer ein schlechtes Gefühl haben, weil wir glauben, dass das Dokument vielleicht doch noch irgendwie gebraucht werden oder jemand danach fragen könnte. Genau, wie wir auch gerne unsere Keller vollstellen, mit allen den Dingen, die man vielleicht doch noch einmal nutzen wird und die man nicht wegschmeißen mag. Vernichten hat immer etwas endgültiges, etwas unwiederbringliches und finales, das ein unbehagliches Gefühl verschafft. Es gilt hier also diesen "inneren Schweinehund" zu überwinden und einfach mal zu löschen, was nicht mehr gebraucht wird. Eine für viele Menschen schwierige Aufgabe, aber der Datenschutz verlangt es. Und er verlangt das Vergessenwerden irgendwo auch zurecht!

5. IT-Grundschutz nach BSI - Teil 4

Im Teil 4 ist der Netzplan das Thema. Man kann diesen vereinfacht oder detailliert darstellen. Wichtig ist dabei, dass sich auch jeder Dritte sofort einen richtigen und umfassenden Überblick über das ganze Netzwerk, mit allen darin enthaltenen Komponenten, verschaffen kann. Dabei können in einzelnen Abteilungen oder Räumen auch die Anzahl gleichartiger Endgeräte zusammengefasst werden. Wichtig ist, dass ein kompletter und richtiger Überblick geschaffen wird. Es müssen alle Geräte im Netzwerk berücksichtigt werden, auch Drucker, Faxgeräte, Router, Switchs etc. Im Netzplan nicht zusammenfassen sollte man die IT-Geräte, welche wichtige Funktionen ausüben oder einen hohen Schutzbedarf haben. Diese sollten alle einzeln aufgeführt sein.

Neben dem Netzplan, einer grafischen Darstellung des Netzes, ist dann eine Erhebung der IT-Systeme in Listenform zu führen. Dabei können gleiche Systeme zusammengefasst werden. Eine gängige Aufstellung erfolgt nach Typen, zum Beispiel: S = Server, C = Arbeitsplatzrechner (Client), L = Laptop, N = Netzkomponente, T = Telekommunikations-komponente, I = ICS-Systeme, O = Anderes. So kann man mit C001, C002 ... L001 ... O ... usw. eine Liste strukturieren, und dazu jeweils, die Anzahl, die Bezeichnung, eine Erläuterung, den Status und die Plattformen/Betriebssysteme erfassen.

Hiernach folgt eine Aufstellung der Anwendungen. Diese sollte man in Anwendungen, die auf Servern laufen, und Anwendungen, die auf Clients (Endgeräten) laufen, unterteilen. In der Aufstellung wird festgehalten, welche Anwendungen wo laufen und wofür diese Notwendig sind. Neben Servern und Clients gibt es aber auch noch Netz- und Telekommunikations-komponenten. Hierunter Fallen Router, Switchs, WLAN-Accesspoints etc. Die Auflistung erfolgt mit Anzahl und einer Kurzbeschreibung. Und letztendlich sind dann noch die Kommunikationsverbindungen mit einer Kurzbeschreibung aufzulisten. Das klingt alles sehr verwirrend und kompliziert. Wenn man sich aber näher damit beschäftigt, bekommt das ganze jedoch schnell eine Struktur. Am Ende sieht man, dass man das ganze Netz, einmal graphisch und einmal tabellarisch mit allen Prozessen, erfasst hat.

Nicht zu erfassen sind hier die Geräte, die nur über WLAN mit einem Accesspoint verbunden sind. Dieses erfolgt separat und später. Heutzutage sind auch immer mehr Komponenten des Internets der Dinge mit dem Netzwerk verbunden. Vergessen Sie daher nicht Fernseher und andere Geräte, die mit LAN Verbindungen im Netzwerk sind.

Im nächsten Newsletter geht es mit der Erhebung der räumlichen Gegebenheiten weiter.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter wird es sicher wieder spannende Themen geben.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com