Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Ziel ist die Schaffung einheitlicher Sicherheitsstandards innerhalb der Europäischen Union, sodass Verbraucher und Organisationen besser vor digitalen Bedrohungen geschützt werden. Der Cyber Resilience Act ist bereits im Jahr 2024 verabschiedet und am 11. Dezember 2024 in Kraft getreten. Auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm bereits im Herbst 2026 anwendbar. Ein Überblick.

Anwendungsbereich des Cyber Resilience Act

Der Cyber Resilience Act gilt gemäß Art. 2 Abs. 1 CRA für nahezu sämtliche Hardware- und Software-Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden werden können und ab Ende 2027 neu auf den Markt gebracht werden. Damit erfasst die Verordnung grundsätzlich ein sehr breites Spektrum an sogenannten „Produkten mit digitalen Elementen“, von einfachen Alltagsgeräten bis hin zu komplexen Industriemaschinen. Hierunter können beispielsweise intelligente Thermostate, Smart Meter, Router, Switches sowie vernetzte Maschinensteuerungen und Roboter fallen. Ausschlaggebend ist hierbei der Zielmarkt Europa – unabhängig davon, ob die betreffende Hard- oder Software etwa in Amerika, Asien oder anderen Teilen der Welt ihren Ursprung hat.

Hingegen nicht umfasst sind gemäß Art. 2 Abs. 2 – 4 CRA einige Produktkategorien, die bereits anderen spezialgesetzlichen Vorschriften der Europäischen Union unterliegen, zum Beispiel medizinische Geräte, bestimmte Kraftfahrzeugkomponenten oder Schiffsausrüstungen. Ferner ist kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht von den Anforderungen ausgenommen. KMU und Start-ups sind zwar von den Regelungen nicht ausgenommen, können jedoch auf Unterstützung mittels Leitlinien, Helpdesks und vereinfachten Dokumentationspflichten hoffen.

Ziele des Cyber Resilience Act

Mit dem Cyber Resilience Act verfolgt die Europäische Union das übergeordnete Ziel, die Cybersicherheit in der Union nachhaltig zu stärken. Insbesondere sollen hierbei Mindeststandards für die IT-Sicherheit EU-weit etabliert, digitale Risiken reduziert, die Verantwortung der Hersteller gestärkt sowie Verbraucher und Wirtschaft stärker geschützt werden. Der Cyber Resilience Act baut damit unmittelbar auf der Cybersicherheitsstrategie der Europäischen Union auf.

Wesentliche Pflichten und Maßnahmen des Cyber Resilience Act

Gemäß Art. 6 CRA werden Produkte mit digitalen Elementen nur dann auf den Markt bereitgestellt, wenn diese „den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügen“, ordnungsgemäß betrieben werden und „die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II entsprechen.“ Zu den jeweiligen Anforderungen gehören beispielsweise Security by Design & Default, ein kontinuierliches Schwachstellenmanagement und Updates, eine technische Dokumentation und ein Software-Stückverzeichnis („SBOM“ – Software Bill of Materials) sowie Konformitätsnachweise und CE-Kennzeichnungen. Weitergehende Anforderungen können in Zukunft für wichtige Produkte mit digitalen Elementen (z. B. Netzmanagementsysteme, Art. 7 CRA) sowie für kritische Produkte mit digitalen Elementen (z. B. Smart-Meter-Gateways, Art. 8 CRA) gelten.

All diese Anforderungen sind ab dem 11. Dezember 2027 für Produkte mit digitalen Elementen einschlägig, die entweder ab dem 11. Dezember 2027 in Verkehr gebracht werden oder die bereits zuvor in Verkehr gebracht wurden und nach diesem Zeitpunkt wesentlichen Änderungen unterliegen. Unabhängig davon gelten für sämtliche Hersteller von Produkten mit digitalen Inhalten, die in den Anwendungsbereich des Cyber Resilience Acts fallen, ab dem 11. September 2026 Meldepflichten gemäß Art. 14 CRA.

Gemäß Art. 14 Abs. 1 CRA hat ein Hersteller „jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt“ dem Computer Security Incident Response Team (CSIRT) sowie der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu melden. Letztere ist verpflichtet für die Umsetzung der Meldepflichten eine einheitliche Meldeplattform bereitzustellen. Die Meldepflicht nach dem Cyber Resilience Act ergänzt bestehende europäische Regelungen, etwa die Meldepflichten nach der NIS-2-Richtlinie, ist jedoch produktbezogen und nicht auf Betreiber kritischer Infrastrukturen beschränkt.

Die Anforderungen des Art. 14 Abs. 2 CRA sehen grundsätzlich ein mehrstufiges Verfahren vor: Eine Erstmeldung ist innerhalb von 24 Stunden nach Kenntniserlangung verpflichtend. Diese Meldung enthält erste Angaben zum betroffenen Produkt, zur Art der Schwachstelle und zu möglichen Auswirkungen. Eine Folgemeldung mit detaillierteren Informationen muss innerhalb von 72 Stunden erfolgen, sobald weitere technische Erkenntnisse vorliegen. Darüber hinaus verlangt der Cyber Resilience Act, dass Hersteller binnen 14 Tagen nach der Erstmeldung einen vollständigen Bericht einreichen, der die Ursachenanalyse, ergriffene Gegenmaßnahmen und geplante Sicherheitsupdates dokumentiert.

Sanktionsmöglichkeiten

Der Cyber Resilience Act sieht in Artikel 64 bei Verstößen gegen zentrale Pflichten Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes vor. Bei weniger schwerwiegenden Verstößen können bis zu zehn Millionen Euro oder 2 % des Umsatzes verhängt werden. Zusätzlich dürfen Marktaufsichtsbehörden gemäß Art. 54 Abs. 5 CRA alle geeigneten Maßnahmen ergreifen, um die Bereitstellung von Produkten mit digitalen Elementen zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen.

Fazit

Der Cyber Resilience Act markiert einen Wendepunkt, indem er für Produkte mit digitalen Elementen IT-Sicherheit zur gesetzlichen Pflicht macht. Für Organisationen bedeutet dies kurzfristig einen Mehraufwand, bietet aber langfristig die Chance, durch nachweislich sichere Produkte Vertrauen bei Kunden aufzubauen. Wer früh handelt und die Vorgaben proaktiv umsetzt, sichert sich nicht nur die Compliance zum Stichtag, sondern verschafft sich auch einen Wettbewerbsvorteil in einer zunehmend digitalisierten Wirtschaft. Dabei sollte der Fokus zunächst auf die Umsetzung der Meldeverpflichtung gelegt werden. Weiterführende Informationen finden sich unter anderem auf der Seite des Bundesamt für Sicherheit in der Informationstechnik.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Erst jüngst hat der Bundesverband IT-Sicherheit e. V. (TeleTrusT) eine vollständig überarbeitete und ergänzte Fassung der Handreichung zum Stand der Technik in der IT-Sicherheit veröffentlicht. „Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit bieten und kann als Referenz z. B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen.“, so der Bundesverband. Anlass genug, um einen kurzen Blick auf den Begriff „Stand der Technik“ sowie den Inhalt der Handreichung zu werfen.

Stand der Technik

Der Begriff Stand der Technik ist nicht einheitlich definiert und ist zu unterscheiden von den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung. Zurückzuführen sind sämtliche dieser Begriffe auf die sogenannte Kalkar-Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1978. Die Begriffe unterscheiden sich insbesondere durch die grundsätzliche Anerkennung sowie die Bewährung in der Praxis. In Bezug auf beide Aspekte ist der Stand der Technik zwischen dem Stand der Wissenschaft und Forschung (niedrig) und den allgemein anerkannten Regeln der Technik (hoch) einzuordnen.

Zusammenfassend kann unter dem Stand der Technik eine dynamische Beschreibung zugrundeliegender Technologien zu einem bestimmten Zeitpunkt verstanden werden, welche auf einem neuesten, aber gesicherten Erkenntnisstand von Wissenschaft und Technik beruhen und sich zugleich in der Praxis bereits bewährt haben sowie in einem ausreichenden Maße zur Verfügung stehen. Der aktuelle Stand der Technik ist dementsprechend stets fortlaufend neu zu bewerten, sodass technische und organisatorische Maßnahmen (Art. 32 DS-GVO) über die Zeit gegebenenfalls anzupassen sind.

Orientierung in der praktischen Umsetzung bieten bereits seit einigen Jahren beispielsweise Publikationen des Bundesamts für Sicherheit in der Informationstechnik (BSI), Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses (EDSA) oder die bereits erwähnte Handreichung zum Stand der Technik des TeleTrusT.

Zum Inhalt der Handreichung

Unter Berücksichtigung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität beschreibt die Handreichung eine Vielzahl technischer und organisatorischer Maßnahmen, die sich in der Praxis bewährt haben und dem aktuellen Stand der Technik entsprechen. Hierzu zählen beispielsweise die Verschlüsselung von Datenträgern, Netzwerksegmentierung und -separierung sowie Risikomanagement und Sensibilisierung der Anwender. Dabei wird jede Maßnahme anhand eines einheitlichen Schemas dargestellt: Neben einer fachlichen Beschreibung enthält die Handreichung Einschätzungen zu Wirksamkeit, Aufwand, potenziellen Grenzen und praktischer Umsetzbarkeit. Ziel ist es, Verantwortlichen eine nachvollziehbare Entscheidungsgrundlage zur Auswahl und Bewertung geeigneter Schutzmaßnahmen zu bieten.

So heißt es beispielsweise zur E-Mail-Verschlüsselung: „Im E-Mail-Verkehr sollte zur Transportverschlüsselung TLS (Transport Layer Security) in der aktuell gültigen Version, wie in RFC 5246 definiert, eingesetzt werden. Zum Einsatz kommen müssen sichere Verschlüsselungsverfahren (aktuell z. B. AES-256), die Verwendung unsicherer Verschlüsselungsverfahren (z. B. RC4) muss ausgeschlossen werden. Forward Secrecy sollte generell aktiviert werden. Zusätzlich ist es sinnvoll, die bei TLS genutzten Zertifikate der jeweiligen Gegenseite auf Authentizität und Gültigkeit zu überprüfen, z. B. mittels DANE (RFC 7671). Umfassende Empfehlungen zu TLS liefert die Technische Richtlinie TR-02102-2, Teil 2 des BSI.“

Und: „Ende-zu-Ende Verschlüsselung empfiehlt sich zum Schutz besonders schützenswerter Daten. Dazu haben sich zwei Standards etabliert: S/MIME (Secure / Multipurpose Internet Mail Extensions, definiert in RFC 5751) und OpenPGP (Pretty Good Privacy, definiert in RFC 4880).“ Insofern ergibt sich auch aus dieser Darstellung mit Blick auf den Stand der Technik, dass keine grundsätzliche Pflicht zur Ende-zu-Ende-Verschlüsselung bestehen kann.

Weiterhin umfasst die Handreichung auch thematische Exkurse und beschreibt in der aktuellen Fassung beispielsweise auch die Auswirkungen von Künstlicher Intelligenz auf die Informationssicherheit. Dabei wird auch noch einmal das Spannungsfeld zwischen Künstlicher Intelligenz als Werkzeug zur Verbesserung der Informationssicherheit und künstlicher Intelligenz als Werkzeug für Angreifer deutlich. Auch in diesem Kontext legt der Bundesverband IT-Sicherheit e. V. einen Schwerpunkt auf die Darstellung einschlägiger Schutzmaßnahmen.

Fazit

Der Stand der Technik ist ein zentraler Begriff in der Regulatorik – ohne jedoch abschließend definiert zu sein. Er beschreibt den aktuellen Stand erprobter technischer und organisatorischer Maßnahmen, die zur Erreichung eines bestimmten Schutzziels geeignet und allgemein verfügbar sind. Die Handreichung des Bundesverband IT-Sicherheit e. V. liefert eine fundierte, praxisnahe Orientierung zur Bestimmung des Standes der Technik in der IT-Sicherheit. Sie bietet eine strukturierte Darstellung bewährter technischer und organisatorischer Maßnahmen, unterstützt bei der Bewertung und geht auch auf Anforderungen im Bereich Künstliche Intelligenz ein. Damit ist sie ein wertvolles Arbeitsmittel für verschiedenste Organisationen, um gesetzliche Vorgaben umzusetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem vorangegangenen Beitrag haben wir uns mit einem Auszug aus dem aktuellen Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) und der dort aufgeworfenen Frage befasst, ob Art. 32 DS-GVO als taugliche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO in Betracht kommt. Befasst haben wir uns insbesondere mit der Frage der Anforderungen an die Rechtsgrundlagen im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO. Kurzzusammenfassung: Es bedarf keiner unmittelbaren Datenverarbeitungsverpflichtung wie Sie beispielsweise der LfDI fordert, sondern es genügt in diesem Sinne eine Festlegung des Verarbeitungszwecks, nicht jedoch eine unmittelbare und ausdrückliche Spezifizierung der jeweiligen Datenverarbeitung.

Offen gelassen haben wir bis dato die (Folge-)Überlegung, ob Art. 32 DS-GVO die gestellten Anforderungen an eine belastbare Rechtsgrundlage zur Datenverarbeitung erfüllt. Dieser Thematik wollen wir uns im heutigen Beitrag einmal näher widmen.

Welche Anforderungen an die Rechtsgrundlagen gelten überhaupt?

Wie bereits dargestellt, ergeben sich die näheren Anforderungen an die potenzielle Rechtsgrundlage aus Art. 6 Abs. 2 und Abs. 3 DS-GVO. Es muss sich gemäß Art. 6 Abs. 3 UAbs. 1 DS-GVO um eine rechtliche Verpflichtung aus dem Unionsrecht oder aus dem Recht eines Mitgliedstaates, dem der Verantwortliche unterworfen ist, handeln. Zwingend erforderlich ist jedenfalls dass die Rechtsgrundlagen gemäß Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO einen Zweck der Verarbeitung festlegen.

Bei den jeweiligen mitgliedstaatlichen und nationalen Rechtsgrundlagen ist sodann zu prüfen, welche inhaltlichen Anforderungen an diese zu stellen sind. Dies umfasst im Sinne des Art. 6 Abs.3 UAbs. 2 Satz 2 DS-GVO, insbesondere welche spezifischeren Vorgaben durch die jeweilige Rechtsgrundlage gegebenenfalls gemacht werden. Schließlich muss die jeweilige Norm gemäß Art. 6 Abs. 3 UAbs. 2 Satz 3 DS-GVO ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Erfüllt nun Art. 32 DS-gVO diese Anforderungen?

Nach Art. 32 DS-GVO treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. An dieser Stelle entbrennt nunmehr ein Streit darüber, ob Art. 32 DS-GVO eine solche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO ist.

Dies wird von Teilen der Literatur insbesondere unter Verweis und Vergleich auf Art. 17 RL 95/46/EG abgelehnt, da Art. 32 Abs. 1 DS-GVO lediglich die Sicherheit der Verarbeitung betreffen würde, und primär dazu dienen soll, den Schutz vor äußeren Einwirkungen und hier insbesondere vor rechtswidrigen Zugriffen Dritter zu verhindern. Die Datensicherheit sei unabhängig von Frage der Zulässigkeit der Verarbeitung personenbezogener Daten zu beurteilen, weshalb die Rechtmäßigkeit einer Datenverarbeitung nicht mit Art. 32 DS-GVO geregelt wird. Auf diesen Zug wollte auch der LfDI aufspringen: „Es ist zweifelhaft, ob Art. 32 DS-GVO eine rechtliche Pflicht nach Art. 6 Abs. 1 Satz 1 Buchst.c) DS-GVO begründet. Er verpflichtet die verantwortlichen Stellen nicht unmittelbar dazu, personenbezogene Daten zu verarbeiten.“ I

n der Literatur wird zudem regelmäßig ausgeführt, dass Maßnahmen der Datensicherheit regelmäßig sowieso unter Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO zu subsumieren seien. Diese Argumentation vom Ergebnis her mag jedoch nicht überzeugen. Ein Anschlussproblem entsteht zudem für Behörden (Anm.: der Wortlaut spricht nicht von öffentlichen Stellen per se), die sich aufgrund von Art. 6 Abs. 1 UAbs. 2 DS-GVO  in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung nicht auf den Tatbestand des berechtigten Interesses nach Abwägung berufen dürfen.

Gegen die aufgezeigte Annahme spricht zudem, dass auch Art. 17 RL 95/46/EG nicht explizit geregelt hat, welche Datenverarbeitungen im Zusammenhang mit der Datensicherheit vorzunehmen sind, dies wie soeben dargestellt im Rahmen des Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO jedoch auch nicht gefordert wird.

Darüber hinaus kann man eine mögliche Intention des Gesetzgebers aus Art. 32 DS-GVO selbst entnehmen.  Aufgrund der ausdrücklichen Normierung der Pseudonymisierung in den Regelbeispielen des Art. 32 Abs. 1 DS-GVO kann die Überlegung angestellt werden, dass der Gesetzgeber selbst davon ausging, dass Art. 32 Abs. 1 DS-GVO eine taugliche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO darstellt.

Dies folgt aus der Tatsache, dass in Art. 4 Nr. 5 DS-GVO die Pseudonymisierung als Verarbeitung personenbezogener Daten in einer Weise beschrieben wird, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Mithin wird in Art. 32 Abs. 1 lit. a) DS-GVO bereits selbst beispielhaft auf eine Maßnahme verweisen, die ihrerseits die Verarbeitung personenbezogener Daten bedingt.

Die überzeugenderen Argumente sprechen nach hier vertretener Ansicht dafür, dass Art. 32 Abs. 1 DS-GVO eine taugliche Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO darstellen kann.

Inhaltliche Anforderungen Art. 32 DS-GVO

Nun sind Verantwortliche (und Auftragsverarbeiter) durch Art. 32 DS-GVO zur Umsetzung (unter Berücksichtigung der Abwägungsfaktoren) geeigneter technischer und organisatorischer Maßnahmen verpflichtet. Das Feld der potenziellen Sicherheitsmaßnahmen ist breit. In aller erster Linie ist an die Kontrolle von Zugriffen auf Systeme oder Daten durch eine möglichst umfassende Protokollierung zu denken. Hinzutreten „klassische“ Maßnahmen wie der Betrieb einer Firewall oder Einsatz von Antiviren-Software. In Betracht kommen ferner teils komplexe Sicherheitslösungen wie Intrusion Detection Systeme (IDS), Security Information and Event Management Systeme (SIEM-Systeme) und sogenannte Deep Packet Inspection. Daneben verdienen auch regelmäßige Schwachstellen Scans und Penetrationstests Beachtung.  Weiterhin sind sogenannte Honeypots denkbar. Ebenfalls können Data Loss Prevention Systeme genutzt werden.

Die Palette der möglichen Maßnahmen ist also sehr breit. Von den jeweils zu treffenden Maßnahmen wird letztendlich auch die Prüfung der Erforderlichkeit abhängen. Generell können hier aber wohl Überlegungen zur Pseudonymisierung und zur Verschlüsselung greifen. Weitere Steuerungen sind über die Festlegung von Löschfristen und Zugriffsberechtigungen möglich.

Fazit

Abschließen, soweit man dies sagen möchte, lässt sich der Streit um die Funktion von Art. 32 DS-GVO als Rechtsgrundlage nicht. Möglicherweise bedarf es auch keiner abschließenden Klärung. Verantwortlichen ist es nach hier Vertretern Ansicht jedenfalls möglich sich auf Art. 32 DS-GVO (in Verbindung mit Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO) zur Verarbeitung personenbezogener Daten für Maßnahmen der Datensicherheit zu berufen.

Nichts desto stehts zumindest nicht-öffentlichen Stellen offensichtlich noch Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO als potenzielle Rechtsgrundlage zur Verfügung. Hier bestehen jedoch zwei Hindernisse: Zum einen sind die Anforderungen an diesen Tatbestand nicht bereits erfüllt, sofern der Verantwortliche ein berechtigtes Interesse vorweisen kann, sondern es bedarf jeweils noch eine entsprechenden Interessenabwägung – welche selbstverständlich auch zu dokumentieren ist. Zum anderen besteht das Risiko, dass sich Verantwortliche in der Praxis mit potenziellen Widerspruchsrechten von betroffenen auseinandersetzen müssen. Natürlich kann das Widerspruchsrecht kein rechtliches Argument sein, aber auf jeden Fall eine praktische Erwägung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem vor kurzem erschienen Blog-Beitrag zur NIS-2-Richtlinie und dem Datenschutz haben wir unter anderem das Thema der Verarbeitung personenbezogener Daten zur beziehungsweise durch die Umsetzung der durch die NIS-2-Richtlinie geforderten Maßnahmen aufgeworfen. Dieses Thema soll im heutigen Beitrag einmal vertieft werden, denn der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) bespricht in seinem 40. Tätigkeitsbericht den Einsatz von Schadsoftware-Scannern (vgl. S. 60 f.) und die damit einhergehende Verarbeitung personenbezogener Daten. Hierbei widmet sich der LfDI – zumindest kurzzeitig – auch der Frage, ob Art. 32 DS-GVO als rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit, c), Abs. 3 DS-GVO in Frage kommt. Doch der Reihe nach.

Art. 32 DS-GVO adressiert die Datensicherheit

Ähnlich wie bei besagten Normen in der NIS-2-Richtlinie verpflichtet Art. 32 DS-GVO Verantwortliche zur Umsetzung technischer und organisatorischer Maßnahmen, wenngleich der Schutzweck der DS-GVO im Vergleich zur NIS-2-Richtlinie ein anderer ist. Das Feld der in Betracht kommenden Maßnahmen ist sehr weit zu fassen. In aller erster Linie ist an die Kontrolle von Zugriffen auf Systeme oder Daten durch eine möglichst umfassende Protokollierung zu denken. In Betracht kommen ferner teils komplexe Sicherheitslösungen wie Intrusion Detection Systeme (IDS), Security Information and Event Management Systeme (SIEM-Systeme) und sogenannte Deep Packet Inspection. Nicht selten weisen die im Rahmen dieser Maßnahmen verarbeiteten Daten einen Personenbezug auf. Hierunter zählen allen voran Log- und Protokolldaten aber ebenso Daten, die den Netzwerkverkehr betreffen.

… oder nicht?

Wie sich zeigt, ist die Umsetzung von relevanten Sicherheitsmaßnahmen selbst kaum ohne die Verarbeitung personenbezogener Daten möglich. Es darf daher durchaus die Frage nach der (datenschutzrechtlichen) Zulässigkeit aufgeworfen werden. Mit Blick auf die genannten Anforderungen aus der DS-GVO und der NIS-2-Richtlinie kann man durchaus auf die Idee kommen als Rechtsgrundlage zur Verarbeitung der im Rahmen der zu treffenden Sicherheitsmaßnahmen anfallenden personenbezogenen Daten auf die Erfüllung einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO abzustellen. Schauen wir uns hierzu die Norm einmal genauer an:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;“

Zum besseren Verständnis kann beziehungsweise muss man zudem Art. 6 Abs. 3 DS-GVO hinzulesen:

„Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

1. Unionsrecht oder
2. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX.

Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“

An dieser Stelle beginnen die Überlegungen, ob Art. 32 DS-GVO als eben eine solche belastbare Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO in Betracht kommen kann, insbesondere, ob die Anforderungen an die Rechtsgrundlag nach Art. 6 Abs. 3 DS-GVO erfüllt werden.

Vertiefte Auseinandersetzung, eher nein.

Der LfDI führt zur der Thematik aus: „Den Einsatz von Systemen der IT-Sicherheit auf Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO in Verbindung mit Art. 32 DS-GVO zu stützen, halten wir für problematisch. Es ist zweifelhaft, ob Art. 32 DS-GVO eine rechtliche Pflicht nach Art. 6 Abs. 1 Satz 1 Buchst. c) DS-GVO begründet. Er verpflichtet die verantwortlichen Stellen nicht unmittelbar dazu, personenbezogene Daten zu verarbeiten. Die in einer Vorschrift des objektiven Rechts vorgesehene „rechtliche Verpflichtung“ muss sich zumindest nach einer Ansicht unmittelbar auf die Datenverarbeitung beziehen. Allein der Umstand, dass Verantwortliche, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten müssen, reicht hiernach nicht aus (LSG Hessen BeckRS 2020, 1442, Rn 13).“

Alles in allem wirken die Ausführungen etwas „dünn“. Der LfDI nimmt ohne weitere Begründung an, dass es nach Art. 6 Abs. 3 DS-GVO erforderlich ist, dass die in Betracht kommende Vorschrift einen unmittelbaren Datenverarbeitungsbezug aufweisen muss. Dies ist aber – wie auch im Nebensatz erwähnt – durchaus umstritten und keines Falles eine gesicherte Auffassung. Für die Annahme eines nur mittelbaren Datenverarbeitungsbezuges beziehungsweise eines weiten Verständnisses kann hier zum Beispiel Erwägungsgrund 45 der DS-GVO herangezogen werden: Dieser konkretisiert die Anforderungen an die Rechtsgrundlagen, arbeitet dabei ausdrücklich mit Formulierungen, die ebenfalls für einen Ermessensspielraum sprechen.  Mit Blick auf Art. 6 Abs. 3 UAbs. 2 Satz 1 DS-GVO ist zudem vielmehr erforderlich, dass der Zweck der Verarbeitung in der jeweiligen Rechtsgrundlage festgelegt wird.

Der durch den LfDI zitierten Entscheidung des Landessozialgerichtes (LSG) Hessen ist zu entnehmen, dass die rechtliche Verpflichtung dadurch gekennzeichnet wird, dass sich die in einer Vorschrift des objektiven Rechts normierte Verpflichtung unmittelbar auf die Datenverarbeitung beziehen muss und allein der Umstand, dass ein Verantwortlicher zur Erfüllung einer rechtlichen Verpflichtung auch personenbezogene Daten verarbeiten muss, nicht ausreicht. Als Beispiel nennt das Gericht sodann § 20 Zehntes Buch Sozialgesetzbuch (SGB X). Die Norm selbst enthält bei näherer Betrachtung jedoch keine Erlaubnis zur Datenverarbeitung, sondern normiert als rechtliche Verpflichtung den Amtsermittlungsgrundsatz. Ein Datenschutzbezug wird erst durch die konkretisierenden Befugnisnormen der §§ 67 ff. SGB X hergestellt. Der Datenschutzbezug entspringt daher gerade nicht aus der spezifischen Rechtsnorm.

Wenn man weiter umschaut und eine Entscheidung des Verwaltungsgerichtshof Mannheim (VGH Mannheim, Beschl. v. 15.2.2019 – 1 S 188/19, BeckRS 2020, 2625.) heranzieht, entspricht beispielsweise § 86 Verwaltungsgerichtsordnung (VwGO) in Verbindung mit § 99 VwGO den Anforderungen des Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO. Hieraus folgt eine Verpflichtung von Behörden zur Vorlage von Urkunden oder Akten, zur Übermittlung elektronischer Dokumente und zur Erteilung von Auskünften. Der Zweck der Datenverarbeitung wird in § 86 VwGO selbst nicht erwähnt, ebenso wenig erfolgt eine konkrete Bezugnahme zu einer Datenverarbeitung. Dennoch soll die Pflicht die geforderten Voraussetzungen erfüllen. Es ist also gar nicht so einfach.

Fazit

Es bleibt festzuhalten, dass die Rechtslage so eindeutig wie vielleicht im Tätigkeitsbericht des LfDI dargestellt, sich in der Praxis nicht abzeichnet. Apropos Praxis: Warum ist dieser Streit vielleicht entscheidend? Die einfache Antwort: Art. 6 Abs. 1 UAbs. 1 lit.c) hat gegenüber lit. f) DS-GVO sowohl rechtliche (Stichwort Interessenabwägung) als auch praktische Vorteile (Stichwort Widerspruchsrecht). Abschließend lässt sich die Diskussion in unserem Blog-Beitrag heute aber nicht auflösen. Gerne widmen wir uns in einem folgenden Beitrag noch der Frage, ob Art. 32 DS-GVO vielleicht doch nicht als Rechtsgrundlage in Betracht kommt, weil der Zweck der Norm ein anderer ist, nämlich die Herstellung der Datensicherheit (und ja, das ist eine andere Frage im Vergleich, ob ein unmittelbarer Datenverarbeitungsbezug vorliegen muss).

An dieser Stelle sei aber noch erwähnt, dass die Herausforderungen in der Praxis sich nicht allein in der Bestimmung der belastbaren Rechtsgrundlage ergötzen. Vielmehr kommt insbesondere auch der Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DS-GVO zum Tragen. Man wird sich zwangsläufig damit beschäftigten müssen, wie weit der Grundsatz reicht beziehungsweise wie weit er ausgereizt werden darf. Ganz konkret: Wie lange dürfen die Daten aufgrund zukünftiger Bedürfnisse (zum Beispiel: Fehlersuche, Angriffserkennung, …) erfasst werden. Insbesondere bei den sogenannten Logfiles gehen die Rechtsansichten weit auseinander.

Ebenfalls interessant ist natürlich die Erfüllung der Informationspflichten nach Artt. 12 – 14 DS-GVO. Hier muss wohl zu Recht hinterfragt werden, wie viel an Information denn überhaupt geschuldet ist oder mit anderen Worten: Wie viel muss ich als Verantwortlicher tatsächlich offenlegen?

Ein allerletzter Hinweis sei noch gestattet: Die weiteren Ausführungen des LfDI an dieser Stelle im Tätigkeitsbericht betreffen den Rückgriff öffentlicher Stellen für Maßnahmen der IT-Sicherheit auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO und das Verhältnis zwischen Art. 6 Abs. 1 UAbs. 2 DS-GVO zu Art. 6 Abs. 1 UAbs. 1 lit. e) DS-GVO. Dies sind ebenfalls rechtlich und praktisch interessante Fragestellungen. Diesen wollen wir in einem (Folge-)Folgebeitrag vertiefen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 20. März 2025 als alleinige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 des Europäischen Parlamentes und Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) genannt, bei der Europäischen Kommission notifiziert. Was hinter der Notifizierung steckt, welche gesetzliche Grundlage hier in Bezug genommen wird und welche Aufgaben und Zuständigkeiten in Zukunft auf das BSI zukommen, soll sich der heute Blog-Beitrag befassen.  

Welche Rolle spielt der CSA im IT-Sicherheitsrecht?

Eine Vielzahl von Rechtsnormen stellen mittlerweile Anforderungen an die Cybersicherheit oder fordern eine angemessene Sicherheit, IT-Sicherheit beziehungsweise Cybersicherheit. Gekennzeichnet ist das Rechtsgebiet des IT-Sicherheitsrechtes beziehungsweise der Cybersicherheit durch einen hohen Grad an Zersplitterung und teilweise uneinheitliche Regelungen. Innerhalb nur weniger Jahre wurden auf europäischer Ebene zahlreiche Regelungen mit Bezug zur Cybersicherheit verabschiedet oder auf den Weg gebracht. Hierzu zählen insbesondere der Cybersecurity Act, die NIS-2-Richtlinie, die KI-Verordnung sowie zuletzt der Cyber Resilience Act (CRA) und der Digital Operational Resilience Act (DORA).

Der CSA stellt einen Baustein der Cybersicherheitsarchitektur der Europäischen Union dar. Durch diesen Rechtsakt wird unter anderem die Agentur der Europäischen Union für Cybersicherheit (ENISA) etabliert und das Instrument der Cybersicherheitszertifizierung für Produkte, Dienstleistungen und Prozesse eingeführt. Der CSA zielt darauf ab, ein hohes Maß an Cybersicherheit, Cyberresilienz und Vertrauen in der Europäischen Union zu erreichen. Er stärkt die Rolle der ENISA (European Union Agency for Cybersecurity). Zudem etabliert er einen einheitlichen europäischen Zertifizierungsrahmen für IKT-Produkte, -Dienstleistungen und -Prozesse.

Was gibt es zu den Zertifizierungen zu wissen?

Insbesondere der Zertifizierungsrahmen der Artt. 46 ff. CSA verändert das Verfahren zur Entwicklung von Zertifizierungsschemata und die Zertifikatsvergabe in der Europäischen Union. Der CSA zielt darauf ab, einen organisatorischen und verfahrensrechtlichen Rahmen der Cybersicherheit fortzuentwickeln. Von Bedeutung ist hierbei, dass der CSA von einer freiwilligen Zertifizierung ausgeht, soweit durch europäisches Recht nichts Anderweitiges vorgegeben ist.

Kernelement des einheitlichen europäischen Rahmens im Bereich der Cybersicherheits-Zertifizierung sind die auszuarbeitenden Zertifizierungsschemata. Zu beachten ist, dass kein Zertifizierungsstandard oder -verfahren festgelegt, sondern ein Rahmenwerk für IT-Sicherheitszertifizierungen basierend auf Schemata für bestimmte Produkte, Dienstleistungen und Prozesse von Netz- und Informationssystemen geschaffen wird. Dies erfolgt anhand der drei unterschiedlichen Vertrauenswürdigkeitsstufen niedrig, mittel und hoch. Die Schemata entstehen unter anderem unter der ENISA und der Europäischen Kommission.

Damit wird auch deutlich, dass die Cyber-Zertifizierungen somit auf einem zwei-stufigen-Modell beruhen. Die Art. 46 ff. CSA schaffen einen rechtlichen Rahmen für die Entwicklung der Schemata und erst innerhalb der erschaffenen Schemata werden der Anwendungsbereich, die Art und der Umfang der Prüfung sowie sonstige Anforderungen festgelegt.

Zur weiteren Effizienzsteigerung des Cyber-Sicherheitszertifizierungsrahmen wird zudem in Art. 53 CSA die Möglichkeit geschaffen, dass Hersteller im Bereich der Vertrauenswürdigkeitsstufe niedrig eine vereinfachte Konformitätsbewertung durchführen lassen können. Dies wird aller Voraussicht nach insbesondere im Bereich Internet of Things zur Anwendung kommen.

Weiterhin wird nach Art. 55 CSA allen Produkten, Diensten oder Prozessen, die nach einem solchen Zertifizierungsschemata zertifiziert sind oder einer solchen vereinfachten Bewertung unterzogen wurden künftig eine Art „Beipackzettel“ mit Aussagen zu den spezifischen Sicherheitseigenschaften beizulegen sein. Schließlich sind nach Art. 58 CSA durch die Mitgliedstaaten eine oder mehrere Behörden für die Cybersicherheitszertifizierung zu benennen.

Was bedeutet die Notifizierung für das BSI?

Laut Pressemitteilung darf das BSI ab sofort Anträge von Herstellenden bearbeiten, die ein europäisches Cybersicherheitszertifikat für Produkte mit der Vertrauenswürdigkeitsstufe hoch erteilt bekommen wollen: „Zertifizierung auf dieser Vertrauenswürdigkeitsstufe bedeutet, dass Produkte einer Prüfung und Bewertung unterzogen werden, die darauf ausgerichtet ist, das Risiko von Cyberangriffen nach dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten. […] Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden von nun an vermieden.“

Das BSI in Person von Sandro Amendola, Leiter der Abteilung Standardisierung, Zertifizierung und Prüfung äußerst sich wie folgt: „[…] Das BSI erfüllt damit seine Aufgaben als zertifizierende und aufsichtführende Nationale Behörde für die Cybersicherheitsziertifizierung, der NCCA. Ab sofort ist es allen Herstellenden möglich, Produkte nach EUCC mit der Vertrauenswürdigkeitsstufe hoch durch das BSI zertifizieren zu lassen. Dabei konnte der Übergang von der nationalen CC-Zertifizierung hin zur europäischen EUCC-Zertifizierung ohne Unterbrechung gewährleistet werden.“

Fazit

Durch die Notifizierung des BSI als Zertifizierungsstelle wird zum einen die Wirkung und die Anwendung des CSA weiter vorangetrieben. Zum anderen greifen weitere Vorkehrungen der Sicherheitsarchitektur der Europäischen Union und fördern so das avisierte Ziel der Erhöhung der Cybersicherheit.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Viel wird in den letzten Wochen und Monaten über die NIS-2-Richtlinie gesprochen und berichtet. Doch was genau regelt diese Richtlinie eigentlich? Welche Ziele verfolgt Sie? Und was hat das alles mit Datenschutz zu tun? Diesen Fragen soll sich der heutige Blog-Beitrag widmen.

Der aktuelle „Umsetzungsstand“

Mit der Richtlinie (EU) 2022/2555 des Europäischen Parlamentes und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) verfolgt die EU allem voran das Ziel der Harmonisierung und Stärkung der Cybersicherheit in Deutschland. Da es sich bei der NIS-2-Richtlinie um eine Richtlinie und beispielsweise im Vergleich zur DS-GVO nicht um eine Verordnung handelt, ist noch eine Umsetzung der vorgaben in nationales Recht erforderlich. So weit, so gut.

Die aktuelle Lage zur Umsetzung der NIS-2-Richtlinie in Deutschland ist vorsichtig ausgedrückt eher bescheiden. Die Umsetzungsfrist ist bereits am 17. Oktober 2024 ausgelaufen, ohne dass es auf Bundesebene zur einer Umsetzung gekommen ist. Es lag zwar ein Referentenentwurf eines Umsetzungsgesetzes, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), vor. Dieser Entwurf ist jedoch den Neuwahlen der Deutschen Bundesregierung und dem Diskontinuitätsprinzip „zum Opfer“ gefallen. Eine Umsetzung wird nun vermutlich erst im 2. Halbjahr 2025 erfolgen. Die Bundesrepublik wird aufgrund eines Vertragsverletzungsverfahren aber ziemlich sicher zu Kasse gebeten werden. 

In einigen Bundesländern dagegen wurden die Vorgaben in entsprechenden Landesgesetzen ratifiziert. Als Beispiel kann hier auf das Sächsische Informationssicherheitsgesetz des Freistaates Sachsen verweisen werden.

NIS-2-Richtlinie und Datenschutz

Unabhängig von der aktuellen Situation rund um die Umsetzung der Vorgaben der NIS-2-Richtlinie in Deutschland lohnt sich ein Blick in die Regelungen der Richtlinie. Viele Regelungen dienen in erster Linie den gesetzten Zielen, allen voran der Stärkung der Cybersicherheit. Hierfür sind insbesondere die verschärften Vorgaben zu den Risikomanagementmaßnahmen im Bereich der Cybersicherheit (Art. 21 NIS-2-RL) sowie die Berichtspflichten (Art. 23 NIS-2-RL) und die Nutzung der europäischen Schemata für die Cybersicherheitszertifizierung (Art. 24 NIS-2-RL) zu nennen.

Den Fokus möchten wir im Folgenden auf die Risikomanagementmaßnahmen legen. Nach Art. 21 Abs. 1 NIS-2-RL müssen die gesetzlichen Adressaten der Regelungen (sogenannte wesentliche und wichtige Einrichtungen) „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen“, „um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“.

Anschließend werden in Art. 21 Abs. 2 NIS-2-RL Maßnahmen gelistet, die von den verantwortlichen Einrichtungen mindestens umzusetzen sind. Hierzu gehören unter anderem Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme; Maßnahmen zur Bewältigung von Sicherheitsvorfällen; Maßnahmen zur Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement; Maßnahmen zur Sicherheit der Lieferkette; grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit; Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung sowie die Verwendung von Lösungen zur Multi-Faktor-Authentisierung.

An dieser Stelle können wir nun eine Brücke zum Datenschutz schlagen – es gibt noch weitere Anknüpfungspunkte, die wir heute aber außer Acht lassen wollen. Mit Blick auf die gelisteten Maßnahmen wird deutlich, dass die Umsetzung zahlreicher dieser Maßnahmen nicht ohne die Verarbeitung personenbezogener Daten auskommen wird, vielmehr noch wird die Datenverarbeitung sogar teilweise essentieller Bestandteil sein. Jedoch erfordert die Verarbeitung personenbezogener Daten stets die Einhaltung der Grundsätze aus Art. 5 DS-GVO, insbesondere das Vorliegen einer belastbaren Rechtsgrundlage. An dieser Stelle lohnt sich ein weiterer Blick ins Gesetz, genauer gesagt in Erwägungsgrund 121 Satz 1 NIS-2-RL:

„Die Verarbeitung personenbezogener Daten durch wesentliche und wichtige Einrichtungen in dem zur Gewährleistung der Sicherheit von Netz- und Informationssystemen erforderlichen und verhältnismäßigen Umfang könnte auf der Grundlage als rechtmäßig angesehen werden, dass diese Verarbeitung einer rechtlichen Verpflichtung entspricht, der der Verantwortliche gemäß Artikel 6 Absatz 1 Buchstabe c und Artikel 6 Absatz 3 der Verordnung (EU) 2016/679 [Anm.: DS-GVO] unterliegt.“ Und in Satz 2 heißt es weiter: „Die Verarbeitung personenbezogener Daten könnte auch für berechtigte Interessen erforderlich sein, die von wesentlichen und wichtigen Einrichtungen sowie von Anbietern von Sicherheitstechnologien und -diensten, die im Namen dieser Einrichtungen handeln, gemäß Artikel 6 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 [Anm.: DS-GVO] wahrgenommen werden […]“.

Für die zur Umsetzung der Maßnahmen nach der NIS-2-RL verpflichteten Unternehmen bedeutet dies, dass zwischen der Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 lit. c), Abs. 3 DS-GVO i.V.m. mit der Pflicht zur Umsetzung der entsprechenden Maßnahme oder Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO unterschieden werden muss. In der Praxis bedeutet dies eine Differenzierung zwischen dem Verhältnismäßigkeitsgrundsatz und Bestimmtheitserfordernis des Art. 6 Abs. 1 UAbs. 1 lit. c) DS-GVO und der Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO und dem damit einhergehenden Widerspruchsrecht. Für öffentliche verantwortliche Stellen lohnt sich zudem ein Blick Art. 6 Abs. 1 UAbs. 2 DS-GVO.

Zudem sind die Vorgaben im Rahmen der datenschutzrechtlichen Rechenschaftspflicht, zum Beispiel Erfüllung der Informationspflichten nach Art. 13 und 14 DS-GVO oder Führung des Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO, zu berücksichtigen.  

Verpflichtung trotz nichtumsetzung?

Mit einer spannenden Anschlussfrage zu diesem Thema setzt sich Dr. Jens Eckhardt in der Podcast-Folge „NIS-2: Erfüllung einer Rechtspflicht ohne Rechtspflicht“ bei Otto Schmidt live – der Podcast auseinander: Dürfen die Datenverarbeitungen wie oben beschrieben trotz Nichtumsetzung der NIS-2-RL überhaupt verarbeitet werden? Reinhören lohnt sich.

Fazit

Trotz aktueller Nichtumsetzung der NIS-2-RL in nationales Recht durch die Bundesrepublik Deutschland sind verantwortliche Stelle gut beraten, sich mit den Anforderungen und deren Umsetzung auseinanderzusetzen – denn: Aufgeschoben ist nicht aufgehoben. Hierbei müssen zwingend die datenschutzrechtlichen Implikationen berücksichtigt werden. Wer noch mehr über das Thema erfahren will, hat die Möglichkeit das Aufeinandertreffen von Sicherheitsbedürfnis und Datenschutz in meinem Werk „Verarbeitung personenbezogener Daten zum Schutz gegen Cyber-Angriffe“ erschienen im Oldenburger Verlag für Wirtschaft, Informatik und Recht nachzulesen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 ist nunmehr erschienen und soll einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland geben. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Der heutige Blog-Beitrag soll einige ausgewählte Themen aus dem aktuellen Berichtszeitraum (1. Juli 2023 bis 30. Juni 2024) aufgreifen und darstellen.

Von DDoS-Angriffen bis Phishing-Kampagnen

Einen neuen Trend verzeichnete das BSI bei den sogenannten Distributed Denial-of-Service-Angriffen (kurz: DDoS-Angriffen). Neu ist diese Angriffsart bei weitem nicht. Wir haben uns in der Vergangenheit z. B. mit der Frage befasst „Was tun, wenn die Smart-Home-Geräte nicht mehr smart sind?“. Die Neuigkeit, die verzeichnet werden kann, ist ein enormer Anstieg der aufgetretenen DDoS-Angriffe: „Eine herausgehobene Entwicklung war im Berichtszeitraum bei DDoS-Angriffen zu verzeichnen. Insbesondere im ersten Halbjahr 2024 nahmen Qualität und Häufigkeit von DDoS-Angriffen deutlich zu […] Sollte sich der Trend fortsetzen, wäre dies ein Indiz dafür, dass Angreifer gezielt Botnetz-Kapazitäten aufgebaut haben und künftig grundsätzlich mit mehr hochvoluminösen DDoS-Angriffen zu rechnen wäre.“

Ein Klassiker der aktuellen Gefährdungsklage bleiben weiterhin Ransomware-Angriffe. Über die operative größte Gefährdung haben wir bereits hier und hier berichtet. In Bezug auf die aktuelle Lage ist insbesondere hervorzuheben, dass eine weitere Professionalisierung der Cyberangriffe hervorzuheben ist. Insbesondere im Bereich der Ransomware spricht man diesbezüglich von einem Massengeschäft „Ransomware-as-a-Service“:

„Andererseits wurden aufgrund des geringeren technologischen Aufwandes bei Nutzung von Ransomware-as-a-Service (RaaS) vor allem Ransomware-Angriffe auch zum Massengeschäft: Zunehmend sind die kleinen und mittleren Unternehmen (KMU), aber auch Kommunen, Universitäten und Forschungseinrichtungen betroffen. Dabei gehen die Angreifer nach wie vor oft den Weg des geringsten Widerstandes. Auch wenn gezielte Angriffe auf umsatzstarke Unternehmen registriert werden, suchen sich die Kriminellen tendenziell die am leichtesten angreifbare Opfer aus. Je schlechter Organisationen ihre Angriffsflächen schützen, desto eher werden sie Opfer von Cyberangriffen.“ Zu den bekanntesten Opfern des letzten Jahres zählt vermutlich Südwestfalen-IT.

Ebenso erfreuen sich bei den Cyberkriminellen weiterhin diverse Phishing-Kampagnen großer Beliebtheit, wobei sich die Methoden diesbezüglich leicht verändert haben. Über das Problem mit dem Phishing haben wir ebenfalls bereits in unserem Blog berichtet. Für den aktuellen Berichtszeitraum stellt das BSI fest: „Neben bereits bekannten Phishing-Kampagnen im Namen von Banken und Finanzinstituten wurde eine Zunahme von Kampagnen unter missbräuchlicher Nutzung von Markennamen einschlägiger Streamingdienste registriert. Thematisch lehnten sich diese an Maßnahmen zur Verhinderung von unerlaubtem Accountsharing, Änderungen in den Nutzungsbedingungen von Familien-Accounts und Änderungen von Preisen und Zahlungsbedingungen an. Es handelte sich also um Themen, die breit in Gesellschaft und Medien bekannt waren.“

Cloud-Computing, aber sicher

Es wäre verfehlt Cloud-Computing als neuen Schritt in der Digitalisierung zu bezeichnen. Zu große Schritte haben wir – auch in Deutschland – in den vergangenen Jahren gemacht und der Umzug in die Cloud spielt hier eine entscheidende Rolle. Wir lagern heutzutage viele Datenbestände in die Cloud-Dienste aus. Umso wichtiger erscheint daher mit Blick auf die Sicherheitslage die Sicherung dieser Datenbestände: „Im Berichtszeitraum kam es zu mehreren erfolgreichen Ransomware-Angriffen auf Public-Cloud-Dienste, die deren Verfügbarkeit einschränkten. Zudem wurden mehrfach Fälle von Angriffen auf die Vertraulichkeit von Cloud-Diensten durch Identitätsdiebstahl, sowohl der Identitäten der Anwenderinnen und Anwender als auch des Personals des Anbieters, bekannt.“

Das Zauberwort lautet Resilienz

Einhergehend mit der Zunahme der Bedrohungen und Gefährdungen war auch ein Anwachsen der Resilienz (Widerstandfähigkeit) spürbar. Das BSI fordert alle Beteiligten auf, zur Stärkung der Resilienz gegen Cyberkriminalität und IT-Sicherheitsvorfälle beizutragen: „Hersteller sollten in Zukunft noch sicherere Produkte bereitstellen, die durchweg nach den Grundsätzen von Security by Design und Security by Default entwickelt und im gesamten Lebenszyklus unterstützt werden. Betreiber sollten die Grundsätze der Cybersicherheit umzusetzen und ihre Systeme so bestmöglich gegen Angriffe und bei Vorfällen schützen. Auch Verbraucherinnen und Verbraucher sind gefordert, Kompetenzen zu Cybersicherheit aufbauen.“

Puzzlestücke sind hierbei Strafverfolgungen gegen RaaS, Resilienz in Verwaltung, Kritischer Infrastruktur und nicht zuletzt in Cloud-Infrastrukturen: Cloud-intrinsische Fähigkeiten, wie etwa umfassende Protokollierungs- und Detektionsmöglichkeiten, helfen, etwaige Angriffe zu entdecken und einzudämmen. Der hohe Automatisierungsgrad von Cloud-Diensten erhöht weiterhin die Widerstandsfähigkeit der Anwender gegen Angriffe, etwa durch das frühzeitige Einspielen von Sicherheitspatches und die Bereitstellung von Präventions-, Detektions- und Reaktionsmaßnahmen, welche auf aktuelle Entwicklungen in der Cyberbedrohungslandschaft eingehen.“

Fazit

Als Fazit möchten wir noch folgende Aussage des BSI hervorhaben: „Zugleich besteht breiter Handlungsbedarf insbesondere hinsichtlich der Angriffsfläche, die mit der allgemeinen Digitalisierung stetig zunimmt. Jedes Unternehmen, jede Behörde, jede wissenschaftliche oder soziale Einrichtung, jeder Einzelunternehmer – ganz Deutschland ist aufgerufen, eigene Angriffsflächen zu ermitteln und zu schützen. Das ist in historisch gewachsenen IT-Landschaften eine große Herausforderung, aber notwendig, denn die Angreifer suchen beständig nach neuen Angriffsvektoren.“

So kurz wie diese Zusammenfassung erscheint, so zutreffend ist diese auch. Selbstverständlich erfolgt in der Europäischen Union zunehmend eine Verrechtlichung der IT-Sicherheit und Cybersicherheit. Die NIS-2-Richtlinie, der Cyber Resilience Act und der DORA – Digital Operational Resilience Act sind nur einige Beispiele für sicherheitsrechtlichen Teil der Datenstrategie der EU. Die rechtlichen Anforderungen sollten und dürfen aber keinesfalls der alleinige Antrieb von Organisationen – gleichgültig welcher Natur – sein, sich mit IT-Sicherheit und Resilienz der eigenen Infrastruktur zu beschäftigten. Vielmehr bedarf es eines gewichtigen Eigeninteresses, zum Beispiel am Schutz der IT-Systeme, der verarbeiteten Informationen und an der Aufrechterhaltung der Geschäftsprozesse. Hierfür ist es unerlässlich die eigenen Schwächen zu kennen und diese gezielt auszumerzen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale und internationale Berichterstattung war in den vergangenen Wochen „gut gefüllt“ vom vermeintlich größten IT-Ausfall aller Zeiten – die Rede ist vom Vorfall Crowdstrike. Im nachfolgenden Beitrag wollen wir kurz den Vorfall näher beleuchten und anschließend der Frage nachgehen, welche Bedeutung derartige Konstellationen für die Informationssicherheit und den Datenschutz haben können.

Was war eigentlich passiert?

Am 19. Juli 2024 kam es durch ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike weltweit zu Millionen von Störungen und Ausfällen bei Microsoft-Systemen. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, d.h. Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens.

Ursache für die Ausfälle ist offenbar ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Die IT-Sicherheitslösung von Crowdstrike wird von zahlreichen weiteren IT-Diensten genutzt, die in der Folge ausgefallen sind. Weitere Schilderungen und Informationen wurden durch das BSI zur Verfügung gestellt. Cyberkriminelle nutzen die Vorfälle für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten aus. Berichten zufolge gibt es jedoch auch zahlreiche Organisationen, die vom Vorfall nicht betroffen waren, obwohl die mutmaßlichen Gründe hierfür nicht unbedingt ein sicheres Gefühl vermitteln.

Ebenso haben sich Claudia Plattner, Präsidentin des BSI, und Manuel Atug, Gründer und Sprecher der Arbeitsgruppe Kritische Infrastrukturen, zu den IT-Ausfällen geäußert. Crowdstrike selbst veröffentlichte im Anschluss zeitnah eine Ursachenanalyse. Der Digitalverband Bitkom und das BSI haben in der Folge eine Umfrage veröffentlicht, die darauf abzielt in welcher Form Unternehmen von dem Vorfall betroffen waren und ob Notfallpläne zur Verfügung standen und welche Maßnahmen ergriffen wurden.

Eine rechtliche Einordnung

Als Folge des Vorfalls werden nunmehr viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. In Betracht gezogen werden neben vertraglichen Ansprüchen auch das Produkthaftungs- sowie das Datenschutzrecht. Einer der Streitpunkte sind hier insbesondere die AGB von Crowdstrike. Eine mögliche Darstellung zur Sachlage gibt es hier. Offene Fragen gibt es außerdem hinsichtlich der Verantwortlichkeit von Microsoft und einer möglichen Überprüfungspflicht gegenüber des eingesetzten Unterauftragsverarbeiters Crowdstrike.

An dieser Stelle möchten wir mit der Betrachtung tiefer einsteigen. Es soll im Kern weder um mögliche Haftungsansprüche noch um eine vertiefte Auseinandersetzung mit dem Fall Crowdstrike gehen. Vielmehr wollen wir der Frage nach den grundsätzlichen bestehenden Verantwortlichkeiten aus dem Recht der Informationssicherheit und insbesondere dem Datenschutzrecht nachgehen.

Zur Ausgangssituation: Eine umfassende und übergreifende Pflicht zur Herstellung von Informationssicherheit besteht nicht. Ebenso wenig erschöpft sich das Recht der Informationssicherheit in einer einzigen Rechtsquelle. Mit Blick auf die aktuelle Normenlandschaft wird jedoch klar, dass in der Informationssicherheit umfassende Pflichten bestehen. Diese folgen zum Beispiel aus dem Gesellschaftsrecht, dem Datenschutzrecht, branchen- und sektorspezifischen Vorgaben usw. Für Beauftragung von Dienstleistern gibt es aus Organisationssicht ebenfalls eine Reihe von Gründen. Hierzu gehören allen voran die steigende Komplexität von Prozesse und den dazugehörigen Anwendungen sowie die rasant voranschreitende Technologieentwicklung und nicht zu vergessen die kontinuierlichen wachsenden rechtlichen Anforderungen an die Informationssicherheit.

Insbesondere im Bereich der Cybersicherheit bzw. IT-Sicherheit wächst das Bedürfnis aufgrund der aktuellen Bedrohungslage sich mit externen Fachdienstleistern vermeintlich sicher aufzustellen. Organisationen hegen dabei ein großes Interesse an der Erfüllung von Informationssicherheitspflichten durch die jeweiligen Vertragspartner, um so unter anderem mögliche Haftungsrisiken zu steuern.

Insofern Organisationen entsprechenden Pflichten unterliegen, werden sie bei der Inanspruchnahme von Dienstleistern bestrebt sein, den jeweilig beauftragten Vertragspartner auf die Einhaltung der bestehenden Informationssicherheitspflichten zu verpflichten und diese mithin „in der Kette“ weiterzugeben beziehungsweise durchzureichen. Hierbei ist jedoch zu berücksichtigen, dass die auslagernden Organisationen auch bei der Erfüllung der Informationssicherheitsvorgaben durch ihre Auftragnehmer nicht gänzlich von den bestehenden Pflichten entbunden werden. Die grundlegende Verantwortung kann gerade nicht entlang der Kette weitegereicht werden. Es verbleiben insoweit mindestens Überprüfungs- und zuweilen auch Nachweispflichten. Mit der Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit haben sich mein Kollege Max Just und ich uns in unserem Beitrag zum 20. Deutschen IT-Sicherheitskongress bereits vertieft auseinandergesetzt. Interessierte können hier jederzeit nachlasen.

Schwenken wir nun zum Datenschutzrecht: Im Rahmen einer Auftragsverarbeitung kann sich eine Prüfpflicht bereits aus Art. 28 Abs. 1 DS-GVO (Geeignetheit des Auftragsverarbeiters) und einem bestehenden Haftungsrisiko des Verantwortlichen ergeben. Weiter ergeben sich für die Auftragsverarbeiter nach Art. 28 Abs. 2 und Abs. 4 DS-GVO Pflichten zur Überprüfung und Beaufsichtigung der eingesetzten Unterauftragnehmer. Ebenso ist Art. 32 DS-GVO mit seiner Verpflichtung für eine angemessene Sicherheit der Verarbeitung zu sorgen, heranzuziehen. Diese Verpflichtung adressiert Verantwortliche sowie auch Auftragsverarbeiter.

Mit Blick auf das Datenschutzrecht gibt es hier ein anschauliches Interview zwischen netzpolitik.org und Dr. Stefan Brink, dem ehemaligen Landesdatenschutzbeauftragten von Baden-Württemberg, in dem mögliche datenschutzrechtliche Folgen betrachtet werden. Es wird aber deutlich hervorgehoben: „Datenschutzrechtlich kann sich Microsoft gegenüber seinen Kunden jedenfalls nicht darauf berufen, dass die Datenverarbeitungspanne nicht von ihnen, sondern von einem Sub-Unternehmer zu verantworten wäre. Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten. […] Wirtschaftlich mag sich das Risiko von Datenverarbeitungen verschieben lassen, datenschutzrechtlich bleibt der „Verantwortliche“, also der Vertragspartner des Endkunden, immer in der Haftung.“ Eine Entlastung von Rechtsverstößen der Dienstleister sei daher ausgeschlossen.

Fazit

Was bleibt? „Aus den Augen aus dem Sinn“ gilt in der Informationssicherheit gerade nicht. Es ist unumgänglich, dass Organisationen auch bei Auslagerung von Prozessen oder Leistungen dennoch für die Einhaltung der Vorgaben der Informationssicherheit und damit auch des Datenschutzes verantwortlich bleiben. Vorfälle wie bei Crowdstrike müssen Organisationen einmal mehr vor Augen führen, dass ein „Durchreichen“ von Verantwortlichkeit nicht vollständig auf externe Auftragnehmer bzw. Dienstleister möglich ist.  

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem Blog-Beitrag der vergangenen Woche „Doppelt hält besser: Zwei-Faktor-Authentisierung (2FA)“ haben wir bereits dargestellt, dass eine Anmeldung unter ausschließlicher Verwendung von Benutzernamen und Passwort mit Risiken behaftet ist. Während eine Zwei-Faktor-Authentisierung diesen Anmeldevorgang durch ein zusätzliches Merkmal absichert, stellt die Nutzung von Passkeys einen anderen Weg zur Anmeldung dar. Wie das funktioniert und was dabei zu beachten ist, erfahren Sie im nachfolgenden Beitrag.

Wie funktioniert die Anmeldung mit Passkeys?

Die Verwendung von Passkeys stellt eine passwortlose Anmeldemethode dar und basiert auf dem Verfahren der asymmetrischen Verschlüsselung. Hierbei wird zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugt. Der private Schlüssel verbleibt lokal auf dem jeweiligen Endgerät und ist zwingend geheim zu halten. Der öffentliche Schlüssel wird dem jeweiligen Dienst für die Durchführung des Anmeldevorgangs zur Verfügung gestellt. Damit ist die Anmeldung mit Passkeys einerseits grundsätzlich geräte- und nicht personenbezogen und erfordert andererseits für jeden Dienst ein eigenes Schlüsselpaar – ein Sicherheitsgewinn, wenn man bedenkt, wie viele Personen identische Passwörter für unterschiedliche Dienste nutzen.

Sofern die Verwendung von Passkeys für einen Dienst aktiviert und das benötigte Schlüsselpaar erstellt wurde, wird im Rahmen des Anmeldeverfahrens vom jeweiligen Dienst zunächst eine komplexe Rechenaufgabe an das jeweilige Endgerät übermittelt – keine Angst, die löst das jeweilige Endgerät für Sie! Aus der korrekten Antwort erstellt das Endgerät nun mittels des privaten Schlüssels eine digitale Signatur, welche wiederum an den jeweiligen Dienst gesendet wird. Der Dienst überprüft sodann anhand des öffentlichen Schlüssels, ob die digitale Signatur korrekt ist. Ist dies der Fall, ist die Authentifizierung erfolgreich abgeschlossen – alternativ wird der Zugriff auf den Dienst verweigert.

Im Übrigen ist auch im Rahmen des Passkey-Verfahrens die Zwei-Faktor-Authentisierung anzuwenden. Denn nur aus einer Kombination aus den Faktoren Besitz (des Endgeräts) und Wissen (Geräte-PIN) bzw. Biometrie (Fingerabdruck, Gesicht) wird sichergestellt, dass die Anmeldefunktion beispielsweise im Falle eines Geräteverlusts nicht durch Unbefugte missbraucht wird. Die Abfrage des zweiten Faktors erfolgt in der Regel automatisch im zeitlichen Zusammenhang mit der Lösung der komplexen Rechenaufgabe. Für die Nutzenden des Passkey-Verfahrens entsteht hieraus eine kaum spürbare Verzögerung.

Wo kann ich Passkeys nutzen?

Die Verbreitung von Anmeldeverfahren mittels Passkeys hat in den vergangenen Monaten deutlich zugenommen. So bieten bereits jetzt schon Apple, Amazon, Google, Microsoft, PayPal und eine Vielzahl weiterer Dienste das Passkey-Verfahren an. Eine Auflistung bekannter Diensteanbieter, die das Passkey-Verfahren nutzen, finden Sie hier. Übrigens kann das Passkey-Verfahren auch dann angewandt werden, wenn die Passkeys auf dem Smartphone abgelegt sind, aber eine Anmeldung an einem PC erfolgen soll. Durch Kommunikation per Bluetooth ist auch eine Anwendung über Gerätegrenzen hinweg möglich.

Was passiert, wenn ich mein Endgerät verliere?

Ein Nachteil der gerätebezogenen Authentifizierung wird im Falle eines Geräteverlustes deutlich. Nur wenn lokale Backups vorhanden sind oder Passkeys in einer Cloud synchronisiert wurden, kann rasch eine Wiederherstellung der Zugänge erfolgen. Darüber hinaus sind alternative Verfahren zum Identitätsnachweis und zum Generieren neuer Passkeys zu nutzen. In selteneren Fällen kann eine Kontaktaufnahme mit dem Diensteanbieter zur Wiederherstellung des Accounts erforderlich sein.

Vor- und Nachteile von Passkeys

Die Nutzung von Passkeys ist einfacher (kein Erfinden kreativer Passwörter), schneller und bequemer (kein lästiges Eintippen von kryptischen Zeichenfolgen bei der Anmeldung) sowie deutlich sicherer. Ein ausdrücklicher Vorteil des Passkey-Verfahrens besteht nämlich unter anderem in der Phishing-Resilienz, da der private Schlüssel seitens der Nutzenden im Gegensatz zu Passwörtern nicht einfach offengelegt werden kann. Die beliebte Betrugsmethode läuft damit in aller Regel ins Leere.

Ein gleichzeitiger Vor- und Nachteil ist, dass Accounts aufgrund des Gerätebezuges nicht mehr so leicht geteilt werden können. Was bezüglich des privaten Streaming-Dienstes einen echten Nachteil darstellen kann, ist im dienstlichen Kontext insbesondere für die IT-Abteilung und den Informationssicherheitsbeauftragten ein echter Segen. Ein deutlicher Nachteil ist wiederum, dass die Verwendung des Passkey-Verfahrens voraussetzt, dass jede Person einer Organisation über ein mobiles (dienstliches) Endgerät verfügt.

Fazit

Das Passkey-Verfahren mag zwar zunächst kompliziert erscheinen, die Vorteile – allen voran die Sicherheitsaspekte – überzeugen jedoch. Ein zeitnaher Umstieg sollte ernsthaft in Betracht gezogen werden. Die Tage des weit verbreiteten Passwortschutzes scheinen damit gezählt. Weitere Informationen zum Thema erhalten Sie auch in der Podcast-Folge „Passkey statt Passwort – was steckt dahinter?“ des Bundesamtes für Sicherheit in der Informationstechnik.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Längst nicht nur Unternehmen und Behörden geraten in das Visier von Cyberkriminellen. Auch Privatpersonen sollten ihre Informationen und digitalen Identitäten bestmöglich vor Bedrohungen schützen. Für Online-Konten stellt die sogenannte Zwei-Faktor-Authentisierung (oft abgekürzt mit 2FA) einen wirksamen Schutzmechanismus dar. Worum es sich hierbei handelt und für welche Anwendungsbereiche sich die Nutzung der Zwei-Faktor-Authentisierung empfiehlt, erfahren Sie im nachfolgenden Blog-Beitrag.

Was bedeutet Zwei-Faktor-Authentisierung?

Die Zwei-Faktor-Authentisierung ermöglicht eine deutlich bessere Absicherung von Online-Konten gegen unberechtigte Zugriffe, als das ausschließlich mittels eines Passwortschutzes möglich ist. Im Rahmen eines Anmeldevorgangs wird neben den klassischen Anmeldeinformationen, oftmals bestehend aus Benutzername oder E-Mail-Adresse und Passwort, zusätzlich noch ein weiterer Faktor, beispielsweise ein auf Anfrage per SMS zugesandter sechsstelliger Zahlencode benötigt.

Grundsätzlich kann zwischen folgenden Kategorien an Faktoren unterschieden werden:

• Wissen, z.B. Passwort oder PIN,
• Besitz, z.B. Chipkarte oder TAN-Generator und
• Biometrie, z.B. Fingerabdruck oder Retina.

Durch die Nutzung der Zwei-Faktor-Authentisierung werden zur erfolgreichen Bewältigung des Anmeldevorgangs also grundsätzlich zwei unterschiedliche der oben genannten Kategorien benötigt. Dies können somit Besitz und Wissen (Besitz der Bankkarte und Wissen der PIN), Besitz und Biometrie (Besitz des Smartphones und Verwendung des Fingerabdrucks) oder Wissen und Biometrie (Wissen eines Zugangscodes und Abgleich der Retina) sein.

Allen Anwendungsformen gemein ist, dass es Unbefugten erschwert wird, sich Zutritt oder Zugriff auf schützenswerte Informationen zu verschaffen. Wird für einen Anmeldevorgang die E-Mail-Adresse, das Passwort und ein zusätzlicher per SMS übersandter Zugangscode benötigt, muss die unbefugte Person Kenntnis über E-Mail-Adresse und Passwort und zugleich Zugriff auf das jeweilige Handy oder Smartphone des Konto-Inhabers haben. Unbefugte Zugriffe werden somit zunehmend unwahrscheinlicher.

Welche Formen der Zwei-Faktor-Authentisierung gibt es?

Die Zwei-Faktor-Authentisierung kann in unterschiedlichen Anwendungsformen umgesetzt werden, wobei im Alltag insbesondere zwei Formen anzutreffen sind:

• TAN/OTP-Systeme: TAN (Transaktionsnummer) und OTP (One-Time Password) basieren auf Einmalkennwörtern, die als zweiten Faktor verwendet werden. In der Vergangenheit wurden TAN auf Papierlisten bereitgestellt, nunmehr werden hauptsächlich TAN-Generatoren (Hardware) oder entsprechende Authenticator-Apps (Software) genutzt. Noch sicherer gelten eTAN und chipTAN, bei denen die TAN aus den Transaktionsdaten generiert werden. Ein weiterer Vertreter ist smsTAN.

• Kryptographische Token: Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token (z.B. USB-Token), die das Token nur mithilfe eines privaten Schlüssels korrekt beantworten kann. Der Schlüssel kann als Softwarezertifikat gespeichert werden (z.B. ELSTER), sicherer ist die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis enthält einen sicheren Schlüsselspeicher.

Was ist der Unterschied ziwschen Authentisierung und Authentifizierung?

Neben dem Begriff der Zwei-Faktor-Authentisierung findet sich oftmals auch der Begriff der Zwei-Faktor-Authentifizierung. Hintergrund ist hierbei, dass die Begriffe Authentisierung und Authentifizierung im allgemeinen Sprachgebrauch oftmals synonym verwendet werden.

Aus technischer Sicht beschreiben jedoch die beiden Begriffe verschiedene Teilprozesse eines Anmeldevorgangs: So erfolgt durch die Nutzenden eines Systems eine Authentisierung mittelst eindeutiger Anmeldeinformationen. Das System wiederum prüft die Gültigkeit der verwendeten Anmeldeinformationen und authentifiziert so die Nutzenden. Im Kontext unseres Themas ist somit der Begriff Zwei-Faktor-Authentisierung richtig. Im Zweifel ist jedoch nicht der Name entscheidend, sondern der Umstand, dass Sie dieses Verfahren nutzen!

Wo sollte ich eine Zwei-Faktor-Authentisierung nutzen?

Die Nutzung der Zwei-Faktor-Authentisierung bietet sich grundsätzlich in allen Bereichen an, in denen über Online-Konten sensible oder anderweitig schützenswerte Informationen verarbeitet werden. Das können beispielsweise sein:

• E-Mail-Postfächer: Das persönliche E-Mail-Postfach sollte gegen unberechtigte Zugriffe besonders geschützt werden: Einerseits da hierüber zum Teil auf eine große Anzahl persönlicher Informationen zugegriffen werden kann, andererseits da standardmäßig das E-Mail-Konto zum Zurücksetzen der Passwörter anderer Online-Konten verwendet wird. Hierbei ist jedoch oftmals die Einrichtung einer Zwei-Faktor-Authentisierung technisch nur dann möglich, wenn auf das E-Mail-Postfach per Browser zugegriffen wird.

• Soziale Netzwerke: Profile in sozialen Netzwerken können missbraucht werden, um auf sensible Inhalte zuzugreifen oder im Namen des Profilinhabers Inhalte zu posten und zu versenden. Die meisten Anbieter ermöglichen die Aktivierung der Zwei-Faktor-Authentisierung in den Kontoeinstellungen.

• Cloud-Speicherdienste: Je umfangreicher Cloud-Speicherdienste im Alltag genutzt werden, umso eher lassen sich darin auch besonders sensible Informationen finden. Das können beispielsweise Lohnabrechnungen, Steuerinformationen oder ärztliche Gutachten sein. Auch bei weniger sensiblen Informationen empfiehlt sich eine Absicherung mittels Zwei-Faktor-Authentisierung mit zunehmender Datenmenge.

• Gaming-Plattformen: Auch preisintensive Spiele oder eine umfangreiche Spielebibliothek kann aufgrund potenzieller wirtschaftlicher Schäden besonders schützenswert sein. Aus diesem Grund sollten auch solche digitalen Assets durch eine Zwei-Faktor-Authentisierung vor unberechtigten Zugriffen geschützt werden. Einige Anbieter stellen hierfür besondere Smartphone-Apps bereit.

• Zahlungsdienstleister: Auch Online-Konten bei Zahlungsdienstleistern oder bei sonstigen Online-Konten, in denen Zahlungsinformationen hinterlegt sind, sollte aufgrund potenzieller wirtschaftlicher Schäden bei unberechtigten Zugriffen eine Zwei-Faktor-Authentisierung über die Konteneinstellungen aktiviert werden. Bei Banken hingegen ist die Nutzung einer Zwei-Faktor-Authentisierung im Rahmen des Online-Bankings bereits gesetzlich vorgeschrieben.

Fazit

Die Zwei-Faktor-Authentisierung stellt ein sinnvolles Verfahren zur zusätzlichen Absicherung von Online-Konten dar. Auch wenn hierdurch der Anmeldevorgang geringfügig mehr Zeit in Anspruch nimmt, sollte diese überall – wo möglich – aktiviert werden. Denn so besteht auch bei Verlust der Anmeldeinformationen eine hohe Wahrscheinlichkeit, dass Unbefugte nicht auf die Online-Konten zugreifen können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.