Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. August 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Schlüssel, Sicherheitscodes und Schlösser
  2. Aktuelles aus dem Datenschutz
  3. Zwei-Faktor-Authentisierung mit MS Authenticator

1. Schlüssel, Sicherheitscodes und Schlösser

Über dieses Thema schrieb ich schon im letzten Newsletter und ich habe es erneut auf dem Tisch. Daher möchte ich das Thema noch einmal länger aufgreifen:

Türschlüssel sind eine Sache, in diesem Sinne keine Daten, die man verarbeiten kann, und fallen somit auch nicht unter den Datenschutz. Wenn es jedoch um Codes zur Herstellung von Schlüsseln zu Schlössern bestimmter Personen geht, so sind dieses sehr wohl personenbezogene Daten, die dann auch unter den Datenschutz fallen. Darüber hinaus verlangt der Datenschutz, dass wir geeignete organisatorische und technische Schutzmaßnahmen ergreifen. Dazu gehört auch das Verschließen von Räumen, was regelmäßig mit Schlössern, für die es dann wiederum Schlüssel gibt, geschieht. Damit werden auch Schlösser und Schlüssel eine Angelegenheit des Datenschutzes.

Egal ob ein Unternehmen oder eine Privatperson: Schlösser werden eingebaut, damit niemand unberechtigterweise den Raum dahinter betreten kann. Dass heißt, dass niemand, der etwas mit einem Schloss sichert, will, dass unberechtigte Dritte einen Schlüssel dafür haben. Ansonsten ist das Schloss sinnlos und man kann sich das Abschließen schenken. Und an dieser Stelle finde ich es bemerkenswert beängstigend, wie wenig manche Personen über diese simple Tatsache nachdenken und fahrlässig mit Schlüsseln umgehen.

Es gibt Schlüssel, die man in jedem Baumarkt nachmachen lassen kann, und es gibt welche mit mehr Sicherheit, die man nur über einen Sicherheitscode nachmachen lassen kann. Natürlich sind letztere die besseren, aber nur wenn kein unberechtigter Dritter den Code zum Nachmachen kennt. Oftmals und unsinnigerweise ist dieser Code in die Schlüssel eingraviert. Das ist dann in etwa so, als wenn Sie den PIN für Ihre Bankkarte auf die Karte schreiben. Das machen wir aus gutem Grund nicht. Ebenso unverständlich ist es mir, dass einige Unternehmen der Sicherheitsbranche und der Anbieter von Türen solche Codes als Service für Ihre Kunden bei sich speichern. Unsere Bank speichert ja auch nicht unsere PIN-Codes für die Bankkarrten bei sich und sagt sie uns mal schnell am Telefon, wenn wir anrufen. Lange Rede kurzer Sinn: Man sollte mit diesen Sicherheitscodes genau so umgehen als wäre es der PIN zur Bankkarte. Wenn dieser Code in Kenntnis von dritten Personen gelangt und jemand weiß, zu welcher Adresse und zu welchem Schloss der Code gehört, dann ist die Sicherheit dieser Räume dahin.

Sicherheitscodes zum Nachmachen von Schlüsseln sollten daher nur den jeweiligen betroffenen Personen, die diese Räume besitzen, bekannt sein und niemand anderen. Das beginnt bereits beim Kauf der Schlösser. Es sollte sichergestellt sein, dass dieser Kauf auf eine Art und Weise erfolgt, wo nicht bekannt wird, wo das Schloss später eingebaut wird bzw. es ein Verfahren im Kauf gibt, wo der Sicherheitscode nicht dem Verkäufer oder Hersteller bekannt wird. Ein Kauf von billigen Schlössern bei einem windigen Internetanbieter ist hier vielleicht nicht der richtige Weg, egal ob bei Schlössern mit oder ohne Sicherheitscodes. Man sollte über einen Weg der Anonymisierung oder Pseudonymisierung nachdenken, der die Adresse des Einbaus nicht rückverfolgbar macht. Und natürlich gilt das auch im Falle des Nachmachens von Schlüsseln. Hier sollte man den Code nicht mal eben mit seiner Adresse, wo auch das betreffende Schloss ist, quer durchs Internet oder an sonst jemanden Dritten schicken. Auch hier ist man gut beraten über Wege nachzudenken, dass eine Adresse oder Person zum nachzumachenden Schlüssel für den Dienstleister nicht zu ermitteln ist.

Mehr und mehr geht der Trend aber auch zu digitalen Schlössern hin. Diese Schlösser sind nicht unbedingt sicherer als herkömmliche Schlösser. Daneben haben solche Schlösser auch viele Tücken. So erinnere ich mich sehr gut an den Nachbarn, den wir mal zwei Stunden mit Kaffee bewirtet haben, weil er in sein Haus nicht mehr hineinkam. Sein elektrisches Sicherheitsschloss mit Code öffnete nicht mehr die Tür, weil es in der Straße, aufgrund von Bauarbeiten, einen Stromausfall gab. Digitale Schlösser lassen sich auch hacken und sie haben auch Fehlfunktionen. Letztere gab es einmal bei einem Kunden in der Innenstatt. Man wollte die Schließanlage im Rahmen von Updates und IT-Umstellungen neu konfigurieren. Dabei gab es einen Fehler und die Zugangstür verriegelte, ohne dass sie noch anders zu bedienen war. Es konnten für über eine Stunde keine Mitarbeiter*innen raus oder rein. Hätte es jetzt ein Feuer gegeben, dann wäre es, aufgrund des fünften Stocks, dramatisch geworden. Auch solche Dinge muss man in die Überlegungen einbeziehen. Aber auch simple Sachen, wie ein Aufbohrschutz von Außen, werden oft vergessen. Mit einem Aufbohrschutz kann nicht jeder, der im Baumarkt eine Akkubohrmaschine kaufen kann, sich Zutritt verschaffen.

Resümee: Es gibt bei Schlössern, wie bei anderen Dingen auch, keine absolute Sicherheit. Aber man sollte sich Gedanken machen, wie man eine angemessene Sicherheit herstellt und wie man seine Schlüssel vor unberechtigten Nachmachen schützt. Nicht immer der billigste Anbieter im Internet ist unbedingt die beste Wahl, aber es kann auch der teure Fachmann sein, der fahrlässig mit der Sicherheit umgeht. Selber den Sicherheitsprozess im Auge behalten und überprüfen ist klug.

2. Aktuelles aus dem Datenschutz

Ich beginne einmal mit MS365, das im letzten Newsletter schon ein größeres Thema war. Laut einem Report auf NDR-Info hat der Präsident des Deutschen Lehrerverbandes sich zu MS365 geäußert und gesagt, dass er es frustrierend und nicht gerechtfertigt findet, dass zehntausende Lehrkräfte sich in das Programm eingearbeitet haben und man ihnen die Nutzung wegen, Zitat "einer abstrakten Gefahr", jetzt verbietet. Die Schulen hätten ferner auch einen Bildungsauftrag zu erfüllen, den man bei der Nutzung digitaler Anwendungen berücksichtigen muss. NDR-Info schiebt zur Erklärung noch hinterher, dass eine knappe Mehrzahl an Aufsichtsbehörden sich im Herbst 2020 gegen die Nutzung von MS365 an Schulen ausgesprochen haben, weil die Server in den USA stehen. Tatsächlich stehen die Server aber in Europa und die meisten sogar in Deutschland. Das Thema ist also offensichtlich auch für den NDR abstrakt und das Wort definiert sich hier wohl als "nicht zu verstehen". An dieser Stelle, so etwas kann man ja auch nur selten von sich sagen, bin ich weiter als der Lehrerverband und NDR-Info zusammen und verstehe sehr genau, wo diese "abstrakten Gefahren" im Falle eines Missbrauchs personenbezogener Daten liegen könnten, wenn es diese Gefahren denn gibt. Letzteres ist die Frage: Gibt es die Gefahren oder nicht? Fünf Dinge kann man dazu überprüfen:
  1. Finden sich Hinweise darauf, dass regelmäßig größere Mengen personenbezogener Daten von den Servern in unsichere Drittländer, vornehmlich die USA, oder anderswohin übertragen werden, ohne dass es dafür Erklärungen gibt? - Das ist meiner Kenntnis nach nicht der Fall und es gibt keine solchen Beweise.
  2. Sind an irgendwelchen Stellen im Internet personenbezogene Daten und Missbrauchsfälle aufgetreten, wo man dieses auf aus MS365 generierten Daten zurückführen kann? - Auch einen solchen bekannten Fall gibt es nicht.
  3. Gibt es belegte und bewiesene Artikel, Studien oder Publikationen darüber, dass personenbezogene Daten aus MS365 irgendwohin verkauft oder weitergeleitet wurden? - Es gibt zwar viel Artikel mit Spekulationen, die es immer gibt, aber es gibt keine Belege dafür.
  4. Gibt es Hinweise darauf, dass MS365 solche personenbezogenen Daten im eigenen Haus oder mit verbundenen Unternehmen/engen Geschäftspartnern teilt und für Werbezwecke nutzt? - Hier ist immer wieder Adobe im Gespräch. Aber selbst dafür gibt es keine Beweise und Hinweise, die das eindeutig nahelegen täten. Ferner tätigt Microsoft gar kein aggressives Marketing dieser Form, dass man solches vermuten muss.
  5. Ist die Qualität und Art der Telemetriedaten und sonstigen nicht verschlüsselten Daten, die Microsoft mutmaßlich generiert und zu eigenen Zwecken nutzen könnte überhaupt geeignet, um eine wesentliche Gefahr durch Profiling, Micro-Targeting oder Speer-Phishing darzustellen? - Auch das ist nicht der Fall.
Somit können wir den Lehrerpräsidenten einfach mal recht bei seiner Aussage einer "abstrakten Gefahr" geben. Könnte natürlich immer alles passieren, aber tatsächlich passiert offensichtlich nichts dergleichen und die dahingehenden Möglichkeiten sind auch sehr begrenzt.

Ebenso zu MS365 äußert sich die niedersächsische Datenschutzbeauftragte Barbara Thiel in einer Pressemitteilung und zeigt sich verwundert über Aussagen aus den Berufsschulen, dass man die Nutzung von MS365 als Aufsichtsbehörden den Schulen untersagt habe. Sie formuliert es dann sinngemäß so: Man hat gar nichts untersagt, aber man sieht die Nutzung von MS365 höchst kritisch und rät eindringlich davon ab. Ferner äußerst Sie sich dahingehend, dass die Aufsichtsbehörden der Länder zunächst alle digitalen Anwendungen an Schulen, auch wenn Sie gegen den Datenschutz verstoßen, während der Pandemie geduldet haben. Seit Oktober 2020 tut man dieses nicht mehr, da man davon ausgeht, dass inzwischen alle Schulen sich datenschutzkonform aufgestellt haben. Dann zitiere ich aus der Pressemitteilung: "Das ist aber offensichtlich auch fast anderthalb Jahre nach Beginn der Pandemie noch immer nicht geschehen. Aufgrund der weiter anhaltenden Pandemielage sind sämtliche Verantwortliche gehalten, sofern dies noch nicht erfolgt ist, datenschutzkonforme digitale Kommunikationsstrukturen zu etablieren." Ich habe Einblick in viele Schulen in verschiedenen Bundesländern. Die meisten haben bisher nicht einmal geklärt, wer der Verantwortliche ist und eine Datenschutzschulung für Schulleitungen scheint es flächendenkend nicht zu geben. Ich glaube hier, dass Frau Thiel die Presseerklärung auch in 2022 nochmal kopieren und neu verwenden kann.

Das European Data Protection Board (EDPB), was es nicht alles so gibt, hat die finale Version der Richtlinien für "Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit herausgebracht". Wer es klickt, kann das Originaldokument in Englisch lesen. Es gab hierzu schon im September 2020 so etwas wie eine vorab Version. Die Endversion ist in Teilen dann doch anders geworden, letztlich aber vieles auch nicht klarer. Das EDPB ist eine Art europäische Aufsichtsbehörde und in dem Sinne kein Gericht. Es tut mehr oder minder nur die eigene Meinung kund. Man kann vieles daraus interpretieren oder auch das Gegenteil. Interessant ist es in Hinblick auf die Frage, wann ein Unternehmen Anbieter von Telekommunikationsleistungen ist und wann nicht. Ist ein Unternehmen es nicht, so liegt auch keine Auftragsverarbeitung vor und ein AVV muss nicht geschlossen werden. Für die Praxis, um ehrlich zu sein, ist das alles aber kaum relevant und macht keinen großen Unterschied.

Beim "Gehackt-Werden" erwähne ich diese Woche das Klinikum Wolfenbüttel in Niedersachsen. Ein Ransomware-Angriff verschlüsselte die Systeme und legte die ganze EDV des Krankenhauses lahm. Lösegeld wurde gefordert, das übliche Spiel. Im Klinikum selbst griff man wieder zu Papier und Stift, digitale Patientenakten konnten nicht mehr abgerufen werden, einige Routineeingriffe oder Untersuchungen mussten verschoben werden. Offensichtlich, so ist es aus den Berichten zu interpretieren, gab es Backups und die Systeme wurden ohne eine Zahlung wieder hergestellt. Wenn man den Umfang eines solchen Krankenhauses in die Analyse einbezieht, so spricht vieles dafür, dass man in der IT vorbereitet war. Backups zu haben ist das eine, das ganze System neu aufzusetzen und diese dann einzuspielen das andere. Das funktioniert nur, wenn man das auch schon mal geprobt und für den Fall eine Vorgehensweise erarbeitet hatte. Insoweit, wie es sich darstellt, ist es ein vorbildlicher Fall.

Malware, wozu auch Ransomware gehört, möchte ich auch noch einmal in Zahlen ansprechen. 1990, das war die Zeit als Commodre Amiga Computer zum Auslaufmodel wurden und "richtige PCs" Einzug nahmen, meist mit einer Turbotaste für bis zu 16MHz Geschwindigkeit und Festplatten mit 40MB, gab es täglich durchschnittlich 20 neue Malwareprograme. Diese Zahl stieg in den 90er Jahren nicht wesentlich und explodierte auch nicht mit der Einführung des Internets. Sie erhöhte sich zwar im neuen Jahrtausend aber überstieg nicht die 1.000er Marke. Diese Marke wurde erstmalig 2006 gerissen. Das ist erstaunlich, da das Internet nun schon in voller Fahrt lieft. Im Jahr 2006 stieg die Zahl neuer täglicher Malware-Bedrohungen von durchschnittlich 800 in 2005 auf 3.000 an. 2007 waren es dann bereits 15.000 täglich neue Malware Bedrohungen und 2013 wurde die 100.000er Marke übersprungen. Bereits zwei Jahre später, in 2015, dann die 200.000er Marke. Und 30 Jahre später, von1990 und den 20 durchschnittlichen Bedrohungen mit Malware aus gesehen, in 2019 und 2020 die 300.000er Marke. Dort halten wir uns derzeit konstant. Quellen für diese Zahlen sind die Publikationen des BSI. Man muss sich diese Steigerung und die Zahl 300.000 einmal bewusst machen und wirken lassen. Jeden Tag gibt es 300.000 neue!!! Viren, Trojaner, Ransomware oder sonstige Bedrohungen. Und mit jedem neuen Tag verschwinden die Bedrohungen des Vortags nicht!!!. Natürlich kumuliert sich das ganze. Auf ein Jahr gesehen sind das 110 Millionen neue Malware-Bedrohungen. Wer jetzt mit den Augen rollt und ungläubig staunt, der hat die Tatsache richtig verstanden. Panik hilft dennoch nicht und ist auch nicht angebracht, aber diese Zahlen zeigen deutlich, wie angebracht Vorsorge und Sicherheitsmaßnahmen gegen Malware sind.

3. Zwei-Faktor-Authentisierung mit MS Authenticator

Zwei-Faktor-Authentisierung wird immer wichtiger und schützt effektive vor Missbrauch und der Übernahme von Konten jeder Art im Internet durch unberechtigte Dritte. Ich weise persönlich immer wieder hieraufhin hin und ermuntere jeden zu dieser Methode verbesserter Sicherheit. Natürlich stellt sich in dem Zusammenhang die Frage nach der Art und Weise, wie man die Zwei-Faktor-Authentisierung tätigt. Zum einen mit welchen Gerät und zum anderen mit welcher Methode. Als Gerät ist meistens das Smartphone das geeignete Mittel der Wahl. Bei der Methode wird es dann schon komplizierter.

Während viele Dienste, zum Beispiel die Postbank, ihre eigenen Apps für eine solche Zwei-Faktor-Authentisierung anbieten, verweisen auch viele Dienste auf SMS-Codes oder gängige "Authenticator Apps". Neben Google ist hier die Microsoft Authenticator App besonders beliebt und hat auch Höchstbewertungen. Ich kann letzteres bestätigen und nutze diese App auch selbst. Auch aus Sicht des Datenschutzes ist in der Nutzung nichts zu bemängeln. Die App erfüllt ihre Anforderungen hervorragend, funktioniert zuverlässig und schnell.

Problematisch wird es aber, wenn man sein Smartphone verliert oder es die Funktion aufgibt. Dann kommt man nicht mehr ohne weiteres in seine geschützten Anwendungen hinein. Auch ein Gerätewechsel erfordert einiges zu beachten. Man kann die App nicht auf mehreren Geräten betreiben noch findet eine Speicherung in einem Konto statt, mit der man die Authenticator-Konten auf einem neuen Gerät wiederherstellen kann. Das hat einerseits seinen Sinn, weil es zur Sicherheit beiträgt. Gleichzeitig ist es dann oft aber auch so sicher, dass man selbst nicht mehr an seine Konten kommt. Wechselt man sein Gerät, muss man sich auf dem neuen Gerät anmelden und alle Konten neu einspielen. Dazu ist es erforderlich noch Zugriff auf das alte Gerät zu haben als auch mit diesem noch mit dem Internet verbunden zu sein, um in die Anwendungen zu kommen. Das alte Gerät schnell löschen oder zurücksetzen kann hier fatal sein. Es ist ist bei der MS Authenticator App auch unbedingt erforderlich die Recovery-Codes zur Wiederherstellung herunterzuladen und sicher zu speichern. Ansonsten läuft man wirklich Gefahr sich selbst auszusperren und hat ein großes Problem.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter wird es um das Thema der korrekten Einwilligung für die Nutzung von Bildern im Internet, die Personen zeigen, gehen. Hier sind zukünftig Veränderungen in den Einwilligungen notwendig.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@datenschutz-nord.org
Web: www.datenschutz-nord.org