Wie bereits in den vergangenen Jahren möchten wir uns auch 2025 in den grauen Novembertagen dem Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) widmen. Der aktuelle Bericht des BSI für den Zeitraum 1. Juli 2024 bis 30. Juni 2025 ist hier abrufbar. Der heutige Beitrag soll einige der Themen aus dem aktuellen Berichtszeitraum aufzeigen.

Die Lage bleibt angespannt

Laut BSI hat sich die Lage zur IT-Sicherheit zwar grundlegend stabilisiert, verbleibt aber auf einem hohen angespannten Niveau. Zudem wurden im aktuellen Berichtszeitraum neue Angriffsinfrastrukturen bekannt. Im Trend bleibt zudem das Phishing, wobei es hier immer attraktiver wird, maliziöse Webseiten zu verwenden. Maliziöse URL sind Webadressen, auf denen Angreifer Schadprogramme zum Download bereithalten und diese zum Beispiel über Spam‑Mail‑ oder Phishing‑Kampagnen verbreiten. Die Seiten sind sehr oft authentisch gestaltet und leiten die Nutzenden aber beim Anklicken auf bösartige Webseiten um, laden schädliche Software herunter oder verleiten Nutzende zur Preisgabe vertraulicher Informationen. Die Anzahl maliziöser Seiten wächst seit Jahren kontinuierlich. Die durchschnittliche Lebensdauer einer solchen Webseite lag im Berichtszeitraum bei ca. 1,77 Stunden, mit Schwankungen.

Das BSI führt hierzu weiter aus: „Gängige Methoden im aktuellen Berichtszeitraum waren etwa Typo‑Squatting, bei dem die URLs Tippfehlervarianten einer bekannten Marke oder Webseite enthalten (z. B. „facebok.com“ anstelle von „facebook.com“), oder Brand‑Jacking, bei dem der Name einer bekannten Marke oder eines Unternehmens in die URL eingesetzt wird, um Nutzende zu täuschen und auf Phishing‑Seiten zu leiten.“

Angriffe aus dem Web und Schwachstellenhoch

Mit Blick auf die Angriffsflächen zeigt sich, dass diese durch die fortschreitende Digitalisierung eindeutig im Wachstum sind. Von wachsender Bedeutung sind insbesondere Web-Flächen mit zuweilen einsehbaren sensiblen Informationen. Darüber hinaus können Schwachstellen in jeglicher Form von IT-Produkten auftreten.

Laut BSI bieten auch digitale Kommunikationswege wie E-Mail-Adressen, Social-Media-Accounts, Messenger-Accounts und SMS-fähige Telefonnummern weiterhin große, schwer zu schützende Angriffsflächen. Diese Dienste stellen eine essenzielle Grundlage für den Informationsaustausch dar, bieten gleichwohl große Angriffsflächen, um Schadsoftware oder Links zu maliziösen Webseiten und Schadcode‑behafteten Webservern zu verteilen, Daten zu stehlen, Systeme zu infiltrieren oder Nutzende zu täuschen. Wissenswerte Informationen dazu finden sich hier.

Ein weiteres Thema sind KI-Schwachstellen. Große Sprachmodelle (Large Language Models, LLMs) wie GPT, Gemini, Claude oder LLaMA werden bereits von großen Bevölkerungsteilen im Alltag verwendet. Hiermit gehen Gefahren wie verringerte menschliche Kontrolle, Unschärfen, Halluzinationen usw. einher. Werbeinteressen sowie zufällig oder durch Cyberangriffe manipulierte, bösartige Trainingsdaten können Entscheidungen zudem verzerren. Angreifer manipulieren bereits LLMs, um bestimmte Narrative zu verstärken, Produktwahl oder Preise zu verändern. Innentäter oder in interne Systeme eingedrungene Angreifer haben durch Komplexität und Unschärfe größere Chancen, in einem internen Netzwerk unentdeckt zu bleiben.

Exploits und Datenleaks rücken vermehrt in den Vordergrund

Ein gefährlicher Trend zeichnet sich zudem dadurch ab, dass im aktuellen Berichtszeitraum mehr Schwachstellen-Exploits und mehr Datenleaks aufgetreten sind. Zwar bleibt die Zahl der Ransomware-Angriffe weitgehend unverändert, die Angriffe führten aber in zahlreichen Fällen zu Datenleaks.

Problematisch ist hierbei, dass im Vergleich zu Angriffen mit dem Ziel die Datenbestände der Opfer zu verschlüsseln, bei Datenleaks die Backupstrategien der Organisationen nicht helfen. Außerdem erpressen Angreifer häufiger mit Daten, die sie aus unzureichend gesicherten Datenbanken oder aus schwachstellenbehafteten Systemen im Internet exfiltrieren. Hinsichtlich der Angriffsvektoren zeigte sich, dass die Ausnutzung von Schwachstellen in Web-Angriffsflächen mittels Exploitation weiter an Bedeutung gewann, wohingegen Angriffe per E-Mail spürbar zurückgegangen sind, was wiederrum auf eine voranschreitende Durchdringung der digitalen Kommunikation durch Kanäle wie etwa Social Media oder Messenger zurückzuführen ist.

Das Zauberwörtchen heißt Resilienz

Das BSI ruft seit Jahren zu mehr Resilienz auf. Dies bleibt zwar unverändert, jedoch stellt das BSI insbesondere unter den Verbraucherinnen und Verbrauchen eine rückläufige Anwendung fest. Das betraf insbesondere die Verwendung und das Management von sicheren Passwörtern. Um dem Trend zur Verwendung unsicherer Passwörter entgegenzuwirken, bieten sich Passkeys an. Insbesondere mit Blick auf die oben genannten zunehmenden Exploits und Datenleaks kommt es künftig vermehrt auf präventive Maßnahmen und ein entsprechendes Angriffsflächenmanagement an. Ziel muss es sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Weitere Übersichten hält das BSI hier bereit.

Fazit

Wie schon in den vergangenen Jahren stagniert die Lage zur IT-Sicherheit auf einem besorgniserregenden und angespannten hohen Niveau. Ein wesentlicher Faktor dafür sind weiterhin die unzureichend geschützten Angriffsflächen. Dies muss ein Weckruf für alle Organisationen sein, sich künftig – unabhängig von bestehenden oder kommenden Digitalregulierungen – intensiver mit dem Management von Informationssicherheit und im speziellen IT-Sicherheit zu befassen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Die IT-Sicherheitslage in Deutschland bleibt auf angespanntem Niveau.“ So heißt es im aktuellen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2025“, welcher erst jüngst durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wurde. Umso wichtiger ist es in diesen Zeiten, dass sich Organisationen bereits im Vorfeld auf mögliche Störungen, Ereignisse oder Vorfälle vorbereiten und Pläne für den Ernstfall erarbeiten. Das gilt nicht nur für umsatzstarke Unternehmen, internationale Konzerne oder kritische Infrastrukturen, sondern eben auch für kleine und mittlere Unternehmen (KMU). Das BSI hat hierzu Anfang November eine Broschüre „Einstieg in das BCM für KMU“ veröffentlicht und bietet einen Leitfaden, wie Unternehmen mit begrenzten Ressourcen ihre Betriebsfähigkeit im Krisenfall sichern können.

Was ist Business Continuity Management und warum ist es wichtig?

Business Continuity Management (BCM) – also das Management der Geschäftskontinuität – umfasst die Gesamtheit der Methoden zur Reduzierung der Auswirkungen von Vorfall-, Notfall- und Krisensituationen. Diese Methoden umfassen dabei insbesondere die Bereitstellung von Notfallplänen und -prozessen, die Unterstützung einer raschen Wiederaufnahme der Geschäftstätigkeiten sowie die Stärkung der Resilienz gegenüber zukünftigen Angriffen. Umfragen zeigen, dass viele KMU bislang über kein systematisches Notfallmanagement verfügen. Dabei kann ein einziger Vorfall genügen, um den Geschäftsbetrieb zum Erliegen zu bringen. Ohne vorbereitete Notfallpläne ist in solchen Situationen oft unklar, wer was tun muss, um Schaden vom Unternehmen abzuwenden.

Das BCM gewinnt daher immer mehr an Bedeutung. Die Bedrohungslage durch Cyberangriffe (etwa Ransomware) wächst stetig und kann jederzeit auch KMU treffen. Gleichzeitig verpflichten neue regulatorische Vorgaben Unternehmen in vielen Branchen zu angemessenen Notfallvorsorgemaßnahmen. Hinzu kommt: Auch ohne eigene rechtliche Verpflichtung setzen Geschäftspartner ein solches immer öfter voraus. Fällt die Produktion eines kleinen Unternehmens aus, kann dies ganze Lieferketten stören. Die Resilienz der Lieferkette ist ein zentrales Anliegen der aktuellen Cyber­sicherheits­strategie – Ausfälle eines Zulieferers sollen nicht zum Stillstand aller nachgelagerten Unternehmen führen. Ein BCM kann auch dabei helfen, solche Dominoeffekte zu vermeiden und die Handlungsfähigkeit zu erhalten.

Ein Business Continuity Management umsetzen

Das BSI untergliedert im Rahmen der Broschüre BCM-Systeme (BCMS) grundsätzlich in drei verschiedene Stufen:

• Reaktiv-BCMS: Fokus auf kurzfristige Reaktion bei Ausfällen, mit einfachen Notfallplänen und geringem Ressourceneinsatz.

• Aufbau-BCMS: Integration präventiver Maßnahmen und systematische Analysen für wesentliche Bereiche des Unternehmens mit dem Fokus auf eine größere Widerstandsfähigkeit und Notfallstrategien.

• Standard-BCMS: Vollständig ausgereifte und an internationale Standards orientierte Vorgehensweise zur Sicherstellung eines durchgängig resilienten Betriebs bei jedweden Schadensereignissen.

Das BSI empfiehlt insbesondere für KMU den Einstieg über die Reaktiv-Stufe, da hier mit überschaubarem Aufwand eine erste Widerstandsfähigkeit erzeugt werden kann. Darüber hinaus ist ein schrittweiser Ausbau an die Bedürfnisse des jeweiligen Unternehmens möglich.

Während ein vollständiges BCM in der Regel aus einem Geschäftsfortführungsplan, einem Wiederanlaufplan sowie einem Wiederherstellungsplan besteht, bildet ausschließlich der Geschäftsfortführungsplan die Basis eines Reaktiv-BCMS. Hierin werden beispielsweise Alternativprozesse beschrieben, Ersatzressourcen festgelegt oder der Umfang an Notfallkommunikation definiert. Für die Umsetzung nennt die Broschüre konkret folgende Schritte:

• Vorbereitung: Identifikation und Priorisierung kritischer Geschäftsprozesse (z B. maximal tolerierbare Ausfallzeiten, erforderliche Ressourcen) sowie Definition von Sofortmaßnahmen, Notfall-Infrastrukturen und Verantwortlichkeiten.

• Dokumentation: Verschriftlichung von Prozessen und Verantwortlichkeiten sowie Bereitstellung von Checklisten für die Organisation und jeden einzelnen Geschäftsprozess.

• Übung und Simulation: Testen von relevanten Szenarien (z. B. Back-up-Wiederherstellung, Notstrombedarf, Ausfall einzelner Systeme) unter Einbindung der Beschäftigten.

• Evaluation und Anpassung: Berücksichtigung neuer Risiken, Veränderungen in der Infrastruktur sowie der Ergebnisse aus Übungen und Simulationen.

• Kontinuierliche Verbesserung.

Auch hierauf spezialisierte Dienstleister und standardisierte Lösungen (z. B. Managed Services) können KMU wirksam bei der Umsetzung eines Reaktiv-BCM unterstützen.

Fazit

Kurz gesagt: Ein Business Continuity Management ist für eine Vielzahl von Organisationen essenziell, um auch im Notfall den Geschäftsbetrieb fortführen zu können. Mit verständlichen Empfehlungen und einem schrittweisen Vorgehen lässt sich ein BCM auch ohne großes Expertenteam erfolgreich umsetzen. Wichtig ist, überhaupt anzufangen – denn jeder Schritt in Richtung Notfallvorsorge erhöht auch die Überlebensfähigkeit von kleinen und mittleren Unternehmen im Ernstfall.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. Juli 2025 ein Whitepaper zu Bias in der künstlichen Intelligenz (KI) veröffentlicht. In dem Whitepaper werden neben grundlegenden Informationen zu Bias im Kontext künstlicher Intelligenz auch mögliche Maßnahmen zur Identifizierung und Reduzierung derartiger Verzerrungen dargestellt. Bei tiefergehender Auseinandersetzung mit dieser Thematik wird deutlich, dass auch die möglichen Auswirkungen auf die Themenbereiche Datenschutz und Informationssicherheit nicht zu vernachlässigen sind.

Bias im Kontext künstlicher Intelligenz

Der Begriff Bias beschreibt eine systematische Verzerrung, die zu einer ungleichen Behandlung verschiedener Gruppen durch ein KI-System führen kann. Diese Verzerrung kann bereits in den ursprünglichen Daten enthalten sein oder durch algorithmische Entscheidungen und Nutzungsumgebungen entstehen. Die Auswirkungen von Bias können sich insbesondere in Diskriminierungen niederschlagen, beispielsweise weil Nutzenden Zugang zu Ressourcen oder Gelegenheiten verwehrt wird. In Bezug auf Geschäftsprozesse können für Organisationen hieraus auch sicherheitskritische Störungen (z. B. durch eine fehlerhafte Zugangskontrolle) oder gar schadenersatzpflichtige Sachverhalte entstehen.

Die Ursachen und Arten von Bias sind vielschichtig und können beispielsweise wie folgt unterschieden werden:

• Historischer Bias: Im Rahmen der Konzeption und des Trainierens einer künstlichen Intelligenz werden Daten verwendet, die vergangenheitsbezogene Ungleichheiten oder Vorurteile beinhalten. Ein auch datenschutzrelevantes Beispiel wäre hier eine automatisierte Auswahl von Bewerberinnen und Bewerbern auf Grundlage früherer Personalentscheidungen, die jedoch eine Geschlechterverzerrung aufweisen.

• Repräsentationsbias: Hierbei kann eine fehlende oder unzureichende Vertretung von bestimmten Gruppen in Trainingsdaten dazu führen, dass diese sich ebenfalls auf mögliche Entscheidungen oder Ergebnisse überträgt. In der Praxis kann dies beispielsweise im Rahmen von Umfragen dazu führen, dass Darstellungen aus urbanen Regionen überrepräsentiert werden, da mehr als 70% der deutschen Bevölkerung in Großstadtregionen leben.

• Evaluationsbias: Auswirkungen ergeben sich hier aufgrund der Art der Evaluation eines KI-Modells oder auch Designentscheidungen hinsichtlich der Evaluationsmethodik. So erwies sich in der Vergangenheit beispielsweise bereits eine Bilddatenbank für Gesichtserkennungssysteme als unangemessen und unverhältnismäßig, da sich diese aus weit überwiegend hellhäutigen Gesichtern zusammensetzte. Mit dieser Bilddatenbank evaluierte KI-Modelle weisen sodann einen Bias gegenüber Menschen mit dunkler Hautfarbe auf.

• Interaktionsbias: Verzerrungen, die bei einem Einsatz eines KI-Systems durch die Interaktionen mit den Nutzenden entstehen, werden als Interaktionsbias bezeichnet. Hier kann zwischen der Übertragung von Bias der Nutzenden auf das System (z. B. Training eines KI-gestützten Chatbots auf Grundlage von Anfragen mit geschlechtsstereotypischen Aussagen) und Bias aufgrund des Designs der Interaktionsschnittstellen (z. B. weniger allgemein nachgefragte Produkte eines Online-Shops werden auch einer bestimmten Zielgruppe mit hoher Nachfrage nicht angezeigt, sodass auch in Bezug auf diese Zielgruppe das Ranking sinkt) unterschieden werden.

Auswirkungen auf die Schutzziele

Derartige Ungleichbehandlungen und Verzerrungen können ebenfalls Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit haben und dementsprechend auch Relevanz für Informations- und Datensicherheit entfalten.

• Verfügbarkeit: Bias kann die Anfälligkeit eines KI-Systems für sogenannte Membership Inference Attacks erhöhen. Dabei nutzen Angreifer die Verzerrung gezielt aus, um Rückschlüsse auf Trainingsdaten zu ziehen. Auch bei Model Inversion- oder Model Extraction-Attacken kann Bias als Einfallstor dienen, um sensible Informationen oder gar das gesamte Modell zu extrahieren.

• Integrität: Ein durch Bias fehlkalibriertes KI-System kann Fehlentscheidungen treffen. So kann etwa ein biometrisches Zugangssystem Personen bestimmter ethnischer Gruppen schlechter erkennen – mit potenziell sicherheitskritischen Folgen. Auch bei Intrusion-Detection-Systemen können geografisch verzerrte Trainingsdaten die Erkennungsleistung mindern.

• Verfügbarkeit: Zwar liegen hier laut BSI bislang keine belastbaren Studien vor, dennoch wird eine mögliche Beeinträchtigung der Verfügbarkeit durch koordinierte Poisoning-Angriffe nicht ausgeschlossen. Ziel solcher Angriffe ist es, das KI-System gezielt zu destabilisieren oder unbrauchbar zu machen.

Empfehlungen des BSI

Das Whitepaper enthält eine Reihe verschiedener Maßnahmen zur Reduktion von Bias-Risiken, die hier keinesfalls abschließend dargestellt werden können. Ein zentrales Element ist die frühzeitige Analyse der Daten. Das BSI empfiehlt, sich bereits vor dem Training eines KI-Systems intensiv mit der Qualität und Zusammensetzung der verwendeten Datensätze auseinanderzusetzen. Dabei sollen sowohl qualitative Merkmale wie Herkunft, Alter und Repräsentativität der Daten berücksichtigt werden als auch quantitative Auswertungen, etwa zur Verteilung und Streuung einzelner Merkmale oder zur Erkennung von einseitigen Mustern. Ziel ist es, mögliche Verzerrungen so früh wie möglich zu identifizieren und zu begrenzen. Zur gezielten Reduktion von Bias stellt das BSI drei Gruppen technischer Maßnahmen vor, die je nach Phase im Lebenszyklus eines KI-Systems eingesetzt werden können:

In der sogenannten Präprozessierung werden die Trainingsdaten vorab angepasst – etwa durch Ausgleich von Ungleichgewichten oder durch gezielte Ergänzung fehlender Informationen. In der Inprozessierung wird bereits während des Trainings des KI-Modells darauf geachtet, dass Verzerrungen nicht übernommen oder verstärkt werden. Dies kann durch spezielle Trainingsverfahren oder zusätzliche Vorgaben im Lernprozess erreicht werden. Die dritte Gruppe, die Postprozessierung, greift erst nach dem Training. Dabei werden entweder die Eingabedaten, das Modell selbst oder die Ausgaben gezielt verändert, um erkannte Verzerrungen auszugleichen.

Das BSI betont, dass keine dieser Maßnahmen für sich allein eine vollständige Lösung bieten kann. Stattdessen müssen Systeme kontinuierlich überprüft und gegebenenfalls nachjustiert werden. Die Auseinandersetzung mit Bias ist keine einmalige Aufgabe, sondern ein fortlaufender Bestandteil eines sicheren und verantwortungsvollen KI-Einsatzes. Unter Berücksichtigung der einschlägigen KI-Verordnung werden diese Maßnahmen hauptsächlich durch den Anbieter eines KI-Systems umzusetzen und zu belegen, durch den Betreiber jedoch zumindest hinsichtlich der Plausibilität zu prüfen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 20. März 2025 als alleinige staatliche Zertifizierungsstelle gemäß der Verordnung (EU) 2019/881 des Europäischen Parlamentes und Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) genannt, bei der Europäischen Kommission notifiziert. Was hinter der Notifizierung steckt, welche gesetzliche Grundlage hier in Bezug genommen wird und welche Aufgaben und Zuständigkeiten in Zukunft auf das BSI zukommen, soll sich der heute Blog-Beitrag befassen.  

Welche Rolle spielt der CSA im IT-Sicherheitsrecht?

Eine Vielzahl von Rechtsnormen stellen mittlerweile Anforderungen an die Cybersicherheit oder fordern eine angemessene Sicherheit, IT-Sicherheit beziehungsweise Cybersicherheit. Gekennzeichnet ist das Rechtsgebiet des IT-Sicherheitsrechtes beziehungsweise der Cybersicherheit durch einen hohen Grad an Zersplitterung und teilweise uneinheitliche Regelungen. Innerhalb nur weniger Jahre wurden auf europäischer Ebene zahlreiche Regelungen mit Bezug zur Cybersicherheit verabschiedet oder auf den Weg gebracht. Hierzu zählen insbesondere der Cybersecurity Act, die NIS-2-Richtlinie, die KI-Verordnung sowie zuletzt der Cyber Resilience Act (CRA) und der Digital Operational Resilience Act (DORA).

Der CSA stellt einen Baustein der Cybersicherheitsarchitektur der Europäischen Union dar. Durch diesen Rechtsakt wird unter anderem die Agentur der Europäischen Union für Cybersicherheit (ENISA) etabliert und das Instrument der Cybersicherheitszertifizierung für Produkte, Dienstleistungen und Prozesse eingeführt. Der CSA zielt darauf ab, ein hohes Maß an Cybersicherheit, Cyberresilienz und Vertrauen in der Europäischen Union zu erreichen. Er stärkt die Rolle der ENISA (European Union Agency for Cybersecurity). Zudem etabliert er einen einheitlichen europäischen Zertifizierungsrahmen für IKT-Produkte, -Dienstleistungen und -Prozesse.

Was gibt es zu den Zertifizierungen zu wissen?

Insbesondere der Zertifizierungsrahmen der Artt. 46 ff. CSA verändert das Verfahren zur Entwicklung von Zertifizierungsschemata und die Zertifikatsvergabe in der Europäischen Union. Der CSA zielt darauf ab, einen organisatorischen und verfahrensrechtlichen Rahmen der Cybersicherheit fortzuentwickeln. Von Bedeutung ist hierbei, dass der CSA von einer freiwilligen Zertifizierung ausgeht, soweit durch europäisches Recht nichts Anderweitiges vorgegeben ist.

Kernelement des einheitlichen europäischen Rahmens im Bereich der Cybersicherheits-Zertifizierung sind die auszuarbeitenden Zertifizierungsschemata. Zu beachten ist, dass kein Zertifizierungsstandard oder -verfahren festgelegt, sondern ein Rahmenwerk für IT-Sicherheitszertifizierungen basierend auf Schemata für bestimmte Produkte, Dienstleistungen und Prozesse von Netz- und Informationssystemen geschaffen wird. Dies erfolgt anhand der drei unterschiedlichen Vertrauenswürdigkeitsstufen niedrig, mittel und hoch. Die Schemata entstehen unter anderem unter der ENISA und der Europäischen Kommission.

Damit wird auch deutlich, dass die Cyber-Zertifizierungen somit auf einem zwei-stufigen-Modell beruhen. Die Art. 46 ff. CSA schaffen einen rechtlichen Rahmen für die Entwicklung der Schemata und erst innerhalb der erschaffenen Schemata werden der Anwendungsbereich, die Art und der Umfang der Prüfung sowie sonstige Anforderungen festgelegt.

Zur weiteren Effizienzsteigerung des Cyber-Sicherheitszertifizierungsrahmen wird zudem in Art. 53 CSA die Möglichkeit geschaffen, dass Hersteller im Bereich der Vertrauenswürdigkeitsstufe niedrig eine vereinfachte Konformitätsbewertung durchführen lassen können. Dies wird aller Voraussicht nach insbesondere im Bereich Internet of Things zur Anwendung kommen.

Weiterhin wird nach Art. 55 CSA allen Produkten, Diensten oder Prozessen, die nach einem solchen Zertifizierungsschemata zertifiziert sind oder einer solchen vereinfachten Bewertung unterzogen wurden künftig eine Art „Beipackzettel“ mit Aussagen zu den spezifischen Sicherheitseigenschaften beizulegen sein. Schließlich sind nach Art. 58 CSA durch die Mitgliedstaaten eine oder mehrere Behörden für die Cybersicherheitszertifizierung zu benennen.

Was bedeutet die Notifizierung für das BSI?

Laut Pressemitteilung darf das BSI ab sofort Anträge von Herstellenden bearbeiten, die ein europäisches Cybersicherheitszertifikat für Produkte mit der Vertrauenswürdigkeitsstufe hoch erteilt bekommen wollen: „Zertifizierung auf dieser Vertrauenswürdigkeitsstufe bedeutet, dass Produkte einer Prüfung und Bewertung unterzogen werden, die darauf ausgerichtet ist, das Risiko von Cyberangriffen nach dem neuesten Stand der Technik durch Akteure mit umfangreichen Fähigkeiten und Ressourcen möglichst gering zu halten. […] Bisherige inhaltliche Divergenzen ausschließlich nationaler Zertifikate der Mitgliedstaaten werden von nun an vermieden.“

Das BSI in Person von Sandro Amendola, Leiter der Abteilung Standardisierung, Zertifizierung und Prüfung äußerst sich wie folgt: „[…] Das BSI erfüllt damit seine Aufgaben als zertifizierende und aufsichtführende Nationale Behörde für die Cybersicherheitsziertifizierung, der NCCA. Ab sofort ist es allen Herstellenden möglich, Produkte nach EUCC mit der Vertrauenswürdigkeitsstufe hoch durch das BSI zertifizieren zu lassen. Dabei konnte der Übergang von der nationalen CC-Zertifizierung hin zur europäischen EUCC-Zertifizierung ohne Unterbrechung gewährleistet werden.“

Fazit

Durch die Notifizierung des BSI als Zertifizierungsstelle wird zum einen die Wirkung und die Anwendung des CSA weiter vorangetrieben. Zum anderen greifen weitere Vorkehrungen der Sicherheitsarchitektur der Europäischen Union und fördern so das avisierte Ziel der Erhöhung der Cybersicherheit.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im ersten Teil des Jahresrückblick 2024 haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns nun den Monaten Juli bis Dezember.

Juli

Für eine kleine Überraschung sorgte im Juli der Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Hinsichtlich der privaten Nutzung von dienstlichen E-Mail-Postfächern und Internetzugängen wurde bislang zu großen Teilen vertreten, dass es sich hierbei seitens des Arbeitgebers um ein Anbieten von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten handelt und somit das Fernmeldegeheimnis einschlägig ist. Die LDI NRW verkündete im Rahmen des Tätigkeitsberichtes eine Abkehr von der bisherigen Rechtsauffassung: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Mit den Hintergründen haben wir uns im Rahmen eines Blog-Beitrages auseinandergesetzt.

Darüber hinaus sorgte der Crowdstrike-Vorfall – der vermeintlich größte IT-Ausfall aller Zeiten –  für Aufsehen. Ursache für den Ausfall war ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, das heißt Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens. Als Folge des Vorfalls wurden zwischenzeitlich viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. Eine Auseinandersetzung mit dieser Thematik erfolgte in unserem Blog-Beitrag „Der Crowdstrike-Vorfall und die Frage nach Verantwortung“.

Weniger überraschend hingegen fiel der zweite Bericht der Europäischen Kommission zur Evaluierung der Datenschutz-Grundverordnung (DS-GVO) aus: „Zwischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten besteht weitgehend Einigkeit darüber, dass die DS-GVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht hat. […] In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.“ Wir dürfen gespannt sein, ob in den kommenden Jahren eine solche Vereinheitlichung gelingen wird.

August

Im August 2024 ist die weltweit erste umfassende Verordnung über Künstliche Intelligenz (KI) in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser. Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar. Welche Regelungen bereits ab Anfang 2025 gelten und wie sich die deutschen und europäischen Datenschutz-Aufsichtsbehörden bislang zum Thema KI positionieren, haben wir hier zusammengefasst.

Im Rahmen einer Pressemitteilung machte die Sächsische Datenschutz- und Transparenzbeauftragte auf das datenschutzkonforme Schwärzen von Dokumenten aufmerksam. Was zunächst trivial klingen mag, kann in der Praxis ernsthafte rechtliche Konsequenzen nach sich ziehen: „Wie die Aufsichtspraxis der Sächsischen Datenschutz- und Transparenzbeauftragten zeigt, unterlaufen Verantwortlichen beim Schwärzen gelegentlich Fehler. Dadurch können die Persönlichkeitsrechte der Betroffenen verletzt werden. Zudem ist der Verantwortliche in der Pflicht – sofern schützenswerte personenbezogene Daten offenbart werden – die Datenpanne gemäß Artikel 33 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde zu melden.“ In unserem zugehörigen Blog-Beitrag geben wir einen entsprechenden Überblick.

September

Ende September stärkte der Europäische Gerichtshof (EuGH) mit einem Urteil die Rolle der Datenschutz-Aufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung und gewährt insbesondere mehr Ermessensspielraum für das Tätigwerden dieser. Somit besteht seitens betroffener Personen grundsätzlich kein Anspruch auf das Tätigwerden oder gar auf das Ergreifen konkreter Maßnahmen. Ausgangspunkt des Verfahrens war eine Klage gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).

Oktober

Im Laufe des Oktobers legte der EuGH mit einer Reihe weiterer datenschutzrelevanter Entscheidungen nach. Wenig überraschend stärkt dieser mit seinen Entscheidungen die Position betroffener Personen und schafft für die rechtskonforme Verarbeitung personenbezogener Daten weitere konkrete Rahmenbedingungen: Im Rahmen der Rechtssache C-446/21 betonte der EuGH einerseits die Pflicht zur zeitlichen Beschränkung von Datenverarbeitungen  und andererseits die enge Zweckbindung bei der Verarbeitung besonderer Kategorien personenbezogener Daten – jeweils im Kontext personalisierter Werbung.

In einem weiteren Verfahren (Rs. C-621/22) setzte sich der EuGH mit dem sogenannten berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf vorangegangene Urteile betonte der EuGH erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein. Kurze Zeit darauf veröffentliche auch der Europäische Datenschutzausschuss (EDSA) im Rahmen eines öffentlichen Konsultationsverfahrens entsprechende Leitlinien zur Anwendung des berechtigten Interesses.

Abschließend ist in dieser Reihe noch das Urteil des EuGH zur Rechtssache C-21/23 „Lindenapotheke“ anzuführen. Einerseits stellte der EuGH klar, dass die Regelungen der DS-GVO keine nationalen Rechtsvorschriften ausschließe, welche es Wettbewerbern ermögliche, gegen Datenschutzverletzungen von Dritten vorzugehen, selbst wenn sie selbst weder Betroffener, Verantwortlicher oder Auftragsverarbeiter sind. Andererseits entschied der EuGH, dass bei einem Kauf nicht verschreibungspflichtiger Arzneimittel über einen Online-Shop auch die Kundendaten in Form von Namen, Lieferadresse und Produktinformationen als Gesundheitsdaten gelten können. Insofern ist für die Praxis stets ein sehr weites Verständnis für besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Nr. 1 DS-GVO anzunehmen.

Aber auch das Oberlandesgericht (OLG) Dresden konnte im Oktober ein äußerst praxisrelevantes Urteil (Az. 4 U 940/24) präsentieren. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung haben wir im Rahmen unseres Blog-Beitrages vorgenommen.

Ebenfalls im Oktober tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf. Mit Blick auf die Auflösung des Bundestages und die bevorstehenden Neuwahlen im Februar 2025 ist jedoch in naher Zukunft nicht mit einer Verabschiedung des Gesetzes zu rechnen. Auch unter Berücksichtigung inhaltlicher Aspekte ist bereits abzusehen, dass der vorliegende Gesetzesentwurf in dieser Form nicht verabschiedet werden wird.

November

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 erschien Mitte November und bietet einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Unser Blog-Beitrag stellt einige ausgewählte Themen aus dem aktuellen Bericht dar.

Der Bundesgerichtshof (BGH) hat ebenfalls Mitte November (Az. VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden, wie unserem Blog-Beitrag zu entnehmen ist.

Dezember

Nachdem der Cyber Resilience Act (CRA) bereits im Oktober 2024 verabschiedet wurde, ist dieser am 11. Dezember 2024 in Kraft getreten. Bei dem CRA handelt es sich um die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte vorschreibt, welche auf dem europäischen Markt erhältlich sind. Hierdurch soll die Cybersicherheit innerhalb der Europäischen Union nachhaltig gestärkt werden. Die wesentlichen Inhalte des CRA gelten jedoch erst im Laufe der Jahre 2026 und 2027 – die Zeit bis dahin sollte jedoch zur Umsetzung der gesetzlichen Anforderungen genutzt werden.

In der weihnachtlichen Vorfreude fast unbeachtet blieb zunächst das Urteil des EuGH zu Art. 88 DS-GVO (Rs. C-65/23). Dem Urteil zu entnehmen ist, dass die nationalen Vorschriften im Rahmen des Art. 88 DS-GVO zusätzlich zu den dort geregelten Anforderungen ebenfalls die allgemeinen Anforderungen der DS-GVO, insbesondere aus Art. 5, 6 und 9 DS-GVO berücksichtigen müssen. Weiterhin stellte der EuGH klar, dass Kollektivvereinbarungen, welche die Verarbeitungen personenbezogener Daten regeln, einer vollen gerichtlichen Kontrolle, insbesondere im Hinblick auf die Erforderlichkeit, unterfallen können.

Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2024 und sind auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als treue Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

In diesem Sinne wünschen wir Ihnen nun einen guten und gesunden Start in das Jahr 2025!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 ist nunmehr erschienen und soll einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland geben. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Der heutige Blog-Beitrag soll einige ausgewählte Themen aus dem aktuellen Berichtszeitraum (1. Juli 2023 bis 30. Juni 2024) aufgreifen und darstellen.

Von DDoS-Angriffen bis Phishing-Kampagnen

Einen neuen Trend verzeichnete das BSI bei den sogenannten Distributed Denial-of-Service-Angriffen (kurz: DDoS-Angriffen). Neu ist diese Angriffsart bei weitem nicht. Wir haben uns in der Vergangenheit z. B. mit der Frage befasst „Was tun, wenn die Smart-Home-Geräte nicht mehr smart sind?“. Die Neuigkeit, die verzeichnet werden kann, ist ein enormer Anstieg der aufgetretenen DDoS-Angriffe: „Eine herausgehobene Entwicklung war im Berichtszeitraum bei DDoS-Angriffen zu verzeichnen. Insbesondere im ersten Halbjahr 2024 nahmen Qualität und Häufigkeit von DDoS-Angriffen deutlich zu […] Sollte sich der Trend fortsetzen, wäre dies ein Indiz dafür, dass Angreifer gezielt Botnetz-Kapazitäten aufgebaut haben und künftig grundsätzlich mit mehr hochvoluminösen DDoS-Angriffen zu rechnen wäre.“

Ein Klassiker der aktuellen Gefährdungsklage bleiben weiterhin Ransomware-Angriffe. Über die operative größte Gefährdung haben wir bereits hier und hier berichtet. In Bezug auf die aktuelle Lage ist insbesondere hervorzuheben, dass eine weitere Professionalisierung der Cyberangriffe hervorzuheben ist. Insbesondere im Bereich der Ransomware spricht man diesbezüglich von einem Massengeschäft „Ransomware-as-a-Service“:

„Andererseits wurden aufgrund des geringeren technologischen Aufwandes bei Nutzung von Ransomware-as-a-Service (RaaS) vor allem Ransomware-Angriffe auch zum Massengeschäft: Zunehmend sind die kleinen und mittleren Unternehmen (KMU), aber auch Kommunen, Universitäten und Forschungseinrichtungen betroffen. Dabei gehen die Angreifer nach wie vor oft den Weg des geringsten Widerstandes. Auch wenn gezielte Angriffe auf umsatzstarke Unternehmen registriert werden, suchen sich die Kriminellen tendenziell die am leichtesten angreifbare Opfer aus. Je schlechter Organisationen ihre Angriffsflächen schützen, desto eher werden sie Opfer von Cyberangriffen.“ Zu den bekanntesten Opfern des letzten Jahres zählt vermutlich Südwestfalen-IT.

Ebenso erfreuen sich bei den Cyberkriminellen weiterhin diverse Phishing-Kampagnen großer Beliebtheit, wobei sich die Methoden diesbezüglich leicht verändert haben. Über das Problem mit dem Phishing haben wir ebenfalls bereits in unserem Blog berichtet. Für den aktuellen Berichtszeitraum stellt das BSI fest: „Neben bereits bekannten Phishing-Kampagnen im Namen von Banken und Finanzinstituten wurde eine Zunahme von Kampagnen unter missbräuchlicher Nutzung von Markennamen einschlägiger Streamingdienste registriert. Thematisch lehnten sich diese an Maßnahmen zur Verhinderung von unerlaubtem Accountsharing, Änderungen in den Nutzungsbedingungen von Familien-Accounts und Änderungen von Preisen und Zahlungsbedingungen an. Es handelte sich also um Themen, die breit in Gesellschaft und Medien bekannt waren.“

Cloud-Computing, aber sicher

Es wäre verfehlt Cloud-Computing als neuen Schritt in der Digitalisierung zu bezeichnen. Zu große Schritte haben wir – auch in Deutschland – in den vergangenen Jahren gemacht und der Umzug in die Cloud spielt hier eine entscheidende Rolle. Wir lagern heutzutage viele Datenbestände in die Cloud-Dienste aus. Umso wichtiger erscheint daher mit Blick auf die Sicherheitslage die Sicherung dieser Datenbestände: „Im Berichtszeitraum kam es zu mehreren erfolgreichen Ransomware-Angriffen auf Public-Cloud-Dienste, die deren Verfügbarkeit einschränkten. Zudem wurden mehrfach Fälle von Angriffen auf die Vertraulichkeit von Cloud-Diensten durch Identitätsdiebstahl, sowohl der Identitäten der Anwenderinnen und Anwender als auch des Personals des Anbieters, bekannt.“

Das Zauberwort lautet Resilienz

Einhergehend mit der Zunahme der Bedrohungen und Gefährdungen war auch ein Anwachsen der Resilienz (Widerstandfähigkeit) spürbar. Das BSI fordert alle Beteiligten auf, zur Stärkung der Resilienz gegen Cyberkriminalität und IT-Sicherheitsvorfälle beizutragen: „Hersteller sollten in Zukunft noch sicherere Produkte bereitstellen, die durchweg nach den Grundsätzen von Security by Design und Security by Default entwickelt und im gesamten Lebenszyklus unterstützt werden. Betreiber sollten die Grundsätze der Cybersicherheit umzusetzen und ihre Systeme so bestmöglich gegen Angriffe und bei Vorfällen schützen. Auch Verbraucherinnen und Verbraucher sind gefordert, Kompetenzen zu Cybersicherheit aufbauen.“

Puzzlestücke sind hierbei Strafverfolgungen gegen RaaS, Resilienz in Verwaltung, Kritischer Infrastruktur und nicht zuletzt in Cloud-Infrastrukturen: Cloud-intrinsische Fähigkeiten, wie etwa umfassende Protokollierungs- und Detektionsmöglichkeiten, helfen, etwaige Angriffe zu entdecken und einzudämmen. Der hohe Automatisierungsgrad von Cloud-Diensten erhöht weiterhin die Widerstandsfähigkeit der Anwender gegen Angriffe, etwa durch das frühzeitige Einspielen von Sicherheitspatches und die Bereitstellung von Präventions-, Detektions- und Reaktionsmaßnahmen, welche auf aktuelle Entwicklungen in der Cyberbedrohungslandschaft eingehen.“

Fazit

Als Fazit möchten wir noch folgende Aussage des BSI hervorhaben: „Zugleich besteht breiter Handlungsbedarf insbesondere hinsichtlich der Angriffsfläche, die mit der allgemeinen Digitalisierung stetig zunimmt. Jedes Unternehmen, jede Behörde, jede wissenschaftliche oder soziale Einrichtung, jeder Einzelunternehmer – ganz Deutschland ist aufgerufen, eigene Angriffsflächen zu ermitteln und zu schützen. Das ist in historisch gewachsenen IT-Landschaften eine große Herausforderung, aber notwendig, denn die Angreifer suchen beständig nach neuen Angriffsvektoren.“

So kurz wie diese Zusammenfassung erscheint, so zutreffend ist diese auch. Selbstverständlich erfolgt in der Europäischen Union zunehmend eine Verrechtlichung der IT-Sicherheit und Cybersicherheit. Die NIS-2-Richtlinie, der Cyber Resilience Act und der DORA – Digital Operational Resilience Act sind nur einige Beispiele für sicherheitsrechtlichen Teil der Datenstrategie der EU. Die rechtlichen Anforderungen sollten und dürfen aber keinesfalls der alleinige Antrieb von Organisationen – gleichgültig welcher Natur – sein, sich mit IT-Sicherheit und Resilienz der eigenen Infrastruktur zu beschäftigten. Vielmehr bedarf es eines gewichtigen Eigeninteresses, zum Beispiel am Schutz der IT-Systeme, der verarbeiteten Informationen und an der Aufrechterhaltung der Geschäftsprozesse. Hierfür ist es unerlässlich die eigenen Schwächen zu kennen und diese gezielt auszumerzen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 7. und 8. Mai 2024 ist es wieder soweit: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lädt zum Deutschen IT-Sicherheitskongress ein. Bereits zum 20. Mal findet die Veranstaltung statt, dieses Jahr wiederholt in digitaler Form. Motto des dies-jährigen Kongresses: „Cybernation Deutschland: Kooperation gewinnt“.

Cybernation Deutschland

Unter dem Thema Vision: Wir bauen gemeinsam die Cybernation Deutschland nimmt das BSI seine Aufgaben und Verantwortungen als integraler Bestandteil der Cybersicherheitsarchitektur wahr und arbeitet mit zahlreichen Kooperationspartnern zusammen. Den „Startschuss für die Cybernation Deutschland“ gaben die Bundesinnenministerin Nancy Faeser und die BSI-Präsidentin Claudia Plattner am 6. Februar 2024 im Rahmen der Eröffnung des neuen Nationalen IT-Lagezentrum.

Cybersicherheit wird zunehmend – wenn es dies nicht schon ist – zum allumfassenden Thema, dass alle Schichten durchdringt, sich auf die Wirtschaft ebenso auswirkt wie auf Gesellschaft und gleichermaßen Staat und Verwaltung betrifft. Dies ist zum einen darauf zurückzuführen, dass es eine zunehmende Verrechtlichung der Cybersicherheit durch zahlreiche neue Rechtsakte und stetig neue Rechtsprechung, zum Beispiel zur Frage der Haftung in der Folge von Cyber-Angriffen, gibt. Zum anderen sind alle Bereiche gleichermaßen der angespannten Sicherheitslage ausgesetzt, wie das BSI in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2023 augenöffnend dargelegt hat.

Durch die Vision Cybernation Deutschland sollen Cybersicherheit und Digitalisierung „erstklassig beherrscht“ werden. Hierfür wurden sechs strategische Ziele definiert:

• Cybersicherheit auf der Agenda haben
• Cyberresilienz substanziell erhöhen
• Technologiekompetenz gezielt nutzen
• Digitalisierung konsequent voranbringen
• Cybersicherheit pragmatisch gestalten
• Einen florierenden Cybermarkt Deutschland aufbauen

Der 20. Deutsche IT-Sicherheitskongress fügt sich daher nahtlos in die Umsetzung der Vision ein und leistet nach unserer Ansicht einen gewichtigen Teil zur Schaffung Cybersicherheit und gelungene Digitalisierung. 

Die Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit

Am 7. Mai 2024 im Block „Management von Informationssicherheit“ ist dieses Jahr auch das Dresdner Institut für Datenschutz (DID) mit einem Vortrag zum Thema „Die Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit“ vertreten. Max Just und ich berichten über dieses praxisrelevante Thema und freuen uns über einen spannenden Austausch.

Fazit

In den letzten Jahren erfreute sich der IT-Sicherheitskongress immer größerer Beliebtheit. Teilnehmerinnen und Teilnehmer dürfen sich regelmäßig über Live-Vorträge, Podiumsdiskussionen und virtuelle Messestände freuen und können sich so einen umfassenden Einblick in aktuelle Themen der Cybersicherheit verschaffen. Eine abrufbare Programmübersicht gibt einen guten Ausblick auf den Fahrplan der diesjährigen Veranstaltung. Die Anmeldung zum Kongress ist hier möglich. Die Teilnehme ist kostenfrei.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am vergangenen Donnerstag, den 2. November 2023 seinen jährlichen Bericht zur Lage der IT-Sicherheit veröffentlicht. Mit dem Bericht gibt das BSI einen umfassenden Bericht über die aktuelle Bedrohungslage. Für den zurückliegenden Berichtszeitraum zieht das BSI das vernichtende Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie“. Die neue Präsidentin des BSI – Claudia Plattner – sprach bei der Vorstellung des Berichtes von besorgniserregend. Zu den Gründen gehören die gestiegene Anzahl der Sicherheitslücken, Missbrauchsmöglichkeiten von KI-Tools oder aber Datendiebstahl bei Verbraucherinnen und Verbrauchern. Die wichtigsten Fakten im Überblick:

Im nachstehenden Beitrag sollen die wichtigsten Punkte des Berichts dargestellt und abschließend ein Blick auf mögliche datenschutzrechtliche Auswirkungen gewagt werden.

Ransomware ist und bleibt die größte Bedrohung

Die Schlagzahl der Ransomware-Angriffe bleibt hoch. Allerdings ist laut BSI zu beobachten, dass nunmehr nicht länger nur ein sogenanntes „Big Game Hunting“ – also Angriffe auf große, zahlungskräftige Unternehmen – erfolgt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Stellen und vor allem auch Kommunen von den Angriffen betroffen sind. Insbesondere im Bereich der Kommunen sieht man sich zum Teil mit weitreichenden Auswirkungen auf die Bürgerinnen und Bürgern konfrontiert, wenn bürgernahe Leistungen über einen bestimmten Zeitraum nicht zur Verfügung stehen.

Zudem zeichnen sich die Cyberangriffe durch eine steigende Professionalisierung aus. Sehr häufig wird von einem Konzept „Cybercrime-as-a-Service“ gesprochen. Das BSI seinerseits spricht sogar von einem „wachsenden Dienstleistungscharakter“ und einem gezielten Anbieten und Ausspielen von „Services im Bereich der Cyberangriffe.„

KI ist auch im Bereich der Cybersicherheit angekommen

Das Thema der Künstlichen Intelligenz – kurz KI – erstreckt sich im Bereich der Informationssicherheit neben den möglichen datenschutzrechtlichen Anforderungen bei der Nutzung von KI zunehmend auch auf den Bereich der Cybersicherheit. Die Anzahl und Fülle der KI-basierten Tools hat rasant zugenommen und steht somit der breiten Öffentlichkeit zur Verfügung. Mit „ChatGPT“ und Co. lassen sich zuweilen herausragende und authentische Ergebnisse erstellen. Zudem überzeugen die Tools durch einen hohen Grad der einfachen Bedienbarkeit.

Durch diese hohe Verfügbarkeit steigt allerdings gleichfalls die Gefahr der missbräuchlichen Verwendung. Insbesondere die sogenannten Deepfakes lassen sich immer authentischer erstellen. Die Gefahr durch Deepfakes und die Anwendungsszenarien missbräuchlicher Verwendung sind mannigfaltig und umfassen sowohl teilweise massive Schädigungen von Persönlichkeitsrechten von Personen als auch die Verbreitung falscher Informationen. Das BSI fasst unter der Begriff Deepfakes eine Bezeichnung für Methoden, die dazu verwendet werden können, Identitäten in medialen Inhalten mit Hilfe von Methoden aus dem Bereich der künstlichen Intelligenz gezielt zu manipulieren. Sprachlich betrachtet setzt sich der Begriff Deepfake seinerseits aus den Begriffen „Deep“ – als Abkürzung für Deep Learning (englisch: tiefes bzw. tief-gehendes Lernen) und Fake (englisch: Fälschung) zusammen.

Deep Learning bezeichnet hierbei eine spezielle Form des maschinellen Lernens und baut auf dem Konzept der sogenannten neuronalen Netze auf. Hierdurch können – vereinfacht gesprochen – komplexe Lernaufgaben an die KI adressiert werden. Durch selbstlernende Algorithmen ist es möglich Foto-, Audio- oder Videodateien für die Deepfakes zu verändern oder gänzlich neue zu generieren. Programme sind in der Lage aus einer Unzahl von Mediendateien von Personen durch Anlernen der KI menschliche Gesichtszüge, Bewegungen und sogar Stimmen zu erfassen und zu reproduzieren. Möglich ist es so beispielsweise, dass Gesichter von Personen ausgetauscht oder Stimmen durch eine maschinell generierte Originalstimme ersetzt und gleichzeitig auch Lippenbewegungen und Mimik so angeglichen werden, dass eine Unterscheidung zur Originaldatei nicht mehr möglich ist.

Sind in der Vergangenheit Deepfakes noch erkennbar gewesen, so sind sie mittlerweile mit bloßem Auge nicht mehr als solche zu identifizieren.

Warum ist Cybersicherheit auch für das Datenschutzrecht relevant?

Unter datenschutzrechtlichen Gesichtspunkten kann bei Cyberangriffen und IT-Sicherheitsvorfällen insbesondere die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Allerdings kann eine pauschale Beantwortung zum Vorliegen einer Verpflichtung nicht gegeben werden. Aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren verbietet sich eine generische Bewertung im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Erforderlich ist bei der Behandlung stets eine exakte Betrachtung und Bewertung des Vorfalls.

Auslegungshilfe bietet zum Beispiel ein entsprechender Leitfaden einer Unterarbeitsgruppe des Arbeitskreises Datenschutz der Bitkom. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“. Anhaltspunkte zum Umgang mit Datenschutzverletzungen – insbesondere auch bei Ransomware-Angriffen – lassen sich zudem der Handreichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Umgang mit Data-Breach-Meldungen nach Art. 33 DS-GVO entnehmen.

Fazit

Das BSI bleibt auch in seinem aktuellen Jahresbericht bei der äußerst kritischen Einschätzung der vergangenen Jahre. Die IT-Sicherheits- bzw. Cybersicherheitslage ist und bleibt auch weiterhin angespannt. Für öffentliche und nicht-öffentliche Stellen wird mit Blick in die Zukunft auch zu beobachten sein, wie sich die rechtlichen Anforderungen des neuen Cybersicherheitsrechtes der Europäischen Union durch insbesondere die NIS-2-Richtlinie und den Cyber Resilience Act auswirken.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

An vielen anderen Stellen weist das Bundesamt für Sicherheit in der Informationssicherheit (BSI) zu Recht darauf hin, dass das Thema Cybersicherheit nicht allein Computersysteme, Netzwerke etc. betrifft. Eine immer größere Bedeutung nimmt der „Faktor Mensch“, also die Nutzerinnern und Nutzer der Technologien, ein. Insbesondere beim sogenannten Social Engineering nutzen Täter dieses vermeintlich schwächste Glied in der Verteidigungskette gezielt aus. In seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2022 weist das BSI explizit darauf hin, dass der Faktor „Mensch“ wie z.B. in den Fällen des Social Engineering immer bedeutsamer wird. Anwendungsfälle liegen insbesondere im Bereich der Betrugs-E-Mails. Hierbei nehmen Phishing-E-Mails laut Angaben des BSI mit rund 90 Prozent den größten Anteil ein. Social Engineering ist längst eine feste Begrifflichkeit im Bereich der Cybersicherheit aber auch des Datenschutzrechts. Im Datenschutzrecht bestehen insbesondere mit Blick auf die Sicherheit der Verarbeitung nach Art. 32 DS-GVO sowie hinsichtlich möglicher durch Social Engineering ausgelöster Datenschutzverletzungen bestehende Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DS-GVO entsprechende Anknüpfungspunkte. Doch was verstehen wir eigentlich unter Social Engineering und warum geht hiervon eine solche Gefahr aus? Diese und weitere Fragen soll der nachstehende Beitrag näher beleuchten.

Was verstehen wir unter Social Engineering?

Das BSI beschreibt in seinem Lagebericht Social Engineering wie folgt:

„Bei Cyber-Angriffen durch Social Engineering versuchen Kriminelle, ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Sowohl im Bereich der Cyber-Kriminalität als auch bei der Spionage gehen die Angreifer geschickt vor, um vermeintliche menschliche Schwächen wie Neugier oder Angst auszunutzen und so Zugriff auf sensible Daten und Informationen zu erhalten.“

An anderer Stelle wird Social Engineering als „gezielte Nutzung psychologischer Manipulationstechniken aufgefasst, um jemanden zu Handlungen zu bewegen, die nicht seiner Einstellung entsprechen.“ Im bildlichen Vergleich gesprochen erscheint Social Engineering dem Schachspiel sehr ähnlich, mit dem Unterschied, dass beim Social Engineering die Figur selbst ihren Zug ausführt. Zusammenfassend lässt sich festhalten, dass Social Engineering Angriffsmethoden beschreibt, welche zusätzlich eine soziale Komponente nutzen, um die Opfer dazu zu verleiten, durch den Angreifer gewollte Handlungen durchzuführen. Ausgenutzt werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.

Wie funktioniert Social Engineering?

Wie in dem Papier der Risworkers zutreffend aufgeworfen wird, stellt Social Engineering per se keine Neuheit dar, denn Manipulationen werden vorgenommen, seit es Geheimnisse gibt, die andere erfahren wollen. Neu in diesem Zusammenhang ist jedoch die Effizienz und Zielgenauigkeit des Vorgehens durch Nutzung elektronischer Kommunikationswege. Social Engineering kann in verschiedenen Konstellationen auftreten wie beispielsweise zum Erhalt gesicherter Informationen wie Passwörtern und Zugangskennungen, um Zugang zu gesicherten IT-Netzwerken zu erhalten oder bei wirtschaftskriminellen Handlungen wie „man-in-the-middle-Angriffen“, Bankdaten- & Überweisungsbetrug und bei Wirtschaftsspionage.

Die wohl bekannteste Variante des Social Engineerings sind die sogenannten Phishing-E-Mails. Phishing-E-Mails zielen darauf ab, das Opfer mittels Social-Engineering-Methoden zur Preisgabe von Identitäts- oder Authentifizierungsdaten zu bewegen. Der Begriff Phishing setzt sich aus den englischen Wortbestandteilen „Password“ und „Fishing“ zusammen, das heißt der Angreifer versucht zum Beispiel durch geschickte Formulierungen das Opfer zur Preisgabe von Nutzer- bzw. Zugangsdaten zu bewegen. Dem Nutzer wird regelmäßig suggeriert, dass der Inhalt der E-Mail oder deren Anhang bzw. Verlinkung eine hohe Relevanz habe und deshalb geöffnet werden müsse. Gängige Methode stellt das Verstecken von Schadprogrammen hinter Download-Links dar, welche mittels E-Mail, Social-Media oder Webseiten verbreitet werden. Eine weitere beliebte Methode ist das Verschicken von elektronischen Rechnungen. In diesen sollen die manipulierten Dateien aufgrund ihrer Aufmachung den Anschein erwecken von einem vertrauenswürdigen Absender zu stammen, bspw. einem Vertrags- oder Geschäftspartner, einem Dienstleister oder Lieferanten. Das Problem mit dem Phising haben wir bereits in einem unserer früheren Beiträge thematisiert.

Eine weitere Variante des Social Engineering stellt der sogenannte CEO-Fraud dar. Als CEO-Fraud werden gezielte Social Engineering-Angriffe auf Beschäftigte von Unternehmen bezeichnet. Der Angreifer nutzt hierbei zuvor erbeutete Identitätsdaten (z. B. Telefonnummern, Passwörter, E-Mail-Adressen etc.), um sich als Vorstandsvorsitzender (CEO), Geschäftsführung o. Ä. auszugeben und Beschäftigte zur Auszahlung hoher Geldsummen oder zur Weitergabe vertraulicher oder sensitiver Informationen zu veranlassen.

Weitere Beispiele liegen in bekannten Vorgehensweisen wie dem angeblichen Anrufen des externen IT-Verantwortlichen oder des Admins, welcher zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt, oder es werden in dem Telefonat unverfängliche Fragen, zum Beispiel nach Art und Version des verwendeten Internet-Browsers, Flash-Players und ähnlicher Standardanwendungen für die Exploits verfügbar sind, gestellt. Für die Opfer erscheinen die Fragen zuweilen belanglos. Beliebt sind ebenfalls angebliche Anrufe von Studenten, welche Daten für eine bestimmte Studie erheben. Ebenso stellen der USB-Drop (das gezielte Platzieren eines infizierten Speichermediums), das Dumpster Diving (das Durchsuchen des Papiermülls nach relevanten aber achtlos weggeworfenen und nicht geschredderten Dokumenten bzw. Informationen) sowie das Shoulder Surfing (das Mitlesen und Ausspähen von Bildschirminhalten über die Schulter des Opfers) klassische Varianten des Social Engineerings dar. Das zentrale Merkmal bei Social Engineering-Angriffen liegt stets in der Täuschung des Opfers über die Identität und die Absicht des Täters. Hierbei sind vor allem auch personalisierte Angriffe auf bestimmte Opfer denkbar.

Welche Auswirkungen hat das Social Engineering auf den Datenschutz?

Für die datenschutzrechtliche Komponente soll hierfür insbesondere der Blick auf den Eintritt möglicher Melde- und Benachrichtigungspflichten gemäß Art. 33 bzw. Art. 34 DS-GVO gelegt werden. Beide Normen knüpfen an das Vorliegen einer Verletzung des Schutzes personenbezogener Daten (kurz Datenschutzverletzung) gemäß Art. 4 Nr. 12 DS-GVO an. Dies ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den Fällen eines erfolgreichen Social Engineering-Angriffs, zum Beispiel durch Reaktion auf eine Phishing-E-Mail, durch Klick auf einen manipulierten Link oder durch Informationsweitergabe bei einem CEO-Fraud, ist in der Regel vom Vorliegen einer Datenschutzverletzung auszugehen. Der Europäische Datenschutzausschuss geht in seiner Richtlinie 01/2021 „on Examples regarding Personal Data Breach Notification“ in Fall Nr. 17 ebenfalls auf die Thematik des Social Engineerings ein. Die Folge des Angriffs ist ein Identitätsdiebstahl. Der EDSA stellt in diesem Fall dar, dass unter dem Risikoaspekt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, da in der konkreten Fallgestaltung die abgeflossenen Abrechnungsdaten Aufschluss über das Privatleben der betroffenen Person geben können (zum Beispiel Gewohnheiten, Kontakte) und zudem ein materieller Schaden entstehen könnte (zum Beispiel Stalking, Gefährdung der körperlichen Integrität). Folglich sind sowohl eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DS-GVO als auch eine Benachrichtigung der betroffenen Person durch den Verantwortlichen gemäß Art. 34 DS-GVO erforderlich. Dieser Fall zeigt mithin welche datenschutzrechtlichen Auswirkungen möglich sein können. Wobei im Folgenden noch mögliche Schadenersatzansprüche von betroffenen Personen gemäß Art. 82 DS-GVO die Folge sein können.

Fazit

Die Gefahr vor Social Engineering-Angriffen ist groß und zudem allgegenwärtig. Die Risiken für Institutionen bestehen insbesondere im Datenabfluss, in der Preisgabe vertraulicher Informationen oder Organisations-Knowhow, Reputationsfolgeschäden sowie möglichen finanziellen bzw. wirtschaftlichen Schäden. Der effektivste Schutz vor Social Engineering-Angriffen ist die Sensibilisierung. Insbesondere persönlicher Kontakt via E-Mail oder Telefon kann durch kritische Nachfragen ausgehebelt werden. Bei personalisierten E-Mails kann eine Überprüfung der Absenderadresse oder des enthaltenen Links möglicherweise Aufschluss geben. Im Zweifel sollten externe Links oder Anhänge nie geöffnet werden oder es muss eine Verifizierung beim tatsächlichen Absender erfolgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ist Ihr Passwort sicher? Jedes Jahr im Dezember veröffentlicht das Hasso-Plattner-Institut (HPI) in Potsdam das Ranking der beliebtesten deutschen Passwörter. Berücksichtigt werden hierbei die Passwörter aus sogenannten „Leaks“. Einerseits kann dies aus unverschlüsselt abgelegten Passwort-Datenbanken der jeweiligen Diensteanbieter stammen, andererseits resultieren derartige Leaks auch oftmals aus unsicheren Passwörtern selbst, deren Verschlüsselung („Hash-Wert“) aufgrund einer unzureichenden Komplexität des Passworts und der Verschlüsselungstechnik umgekehrt werden kann.

Passwort als Authentisierungsmerkmal

Passwörter dienen dem Schutz unserer Kundenkonten, Online-Profilen und somit auch unserer digitalen Identitäten. Ähnlich wie bei einem Schlüssel für die Wohnungstür, ist ein Zutritt zum jeweils geschützten Bereich ausschließlich für den Besitzer des korrekten Passwortes möglich. Umso wichtiger ist es, unsere „digitalen Besitztümer“ ähnlich wie diese der analogen Welt zu schützen.

Ein Passwort muss grundsätzlich geheim bleiben, sodass ein Zutritt durch Unbefugte erschwert wird. Auch wenn zu keinem Zeitpunkt ein hundertprozentiger Schutz erreicht werden kann, sollten grundlegende Maßnahmen in jedem Fall umgesetzt werden. Auch ein Wohnungseinbruch kann nur in seltenen Fällen gänzlich verhindert werden. Oftmals sind es jedoch die vielen kleineren Dinge, welche die Wahrscheinlichkeit, Opfer eines solches Verbrechens zu werden, erheblich reduzieren.

Damit ein Passwort geheim bleibt, darf es unter keinen Umständen mit weiteren Personen geteilt werden. Auch das Notieren eines Passwortes auf Klebezetteln und das Anbringen dieser in unmittelbarer Nähe zu den Endgeräten sorgt für ein erhebliches Risiko. Unbestritten ist es unmöglich eine Vielzahl von komplexen Passwörtern verlässlich im Kopf zu behalten. Hierzu sollten sogenannte „Passwortmanager“ genutzt werden. Zu diesem Thema hält auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einige Empfehlungen bereit.

Zusätzlich muss ein Passwort über eine ausreichende Länge und Komplexität verfügen, um mit einer großen Wahrscheinlichkeit vor gängigen Angriffen geschützt zu sein.

Beliebte Passwörter: Geringe Länge, Geringe Komplexität

Das alljährlich veröffentlichte Ranking des Hasso-Plattner-Institutes zeigt jedoch, dass viele Passwörter nur über eine geringe und Komplexität verfügen sowie sich darüber hinaus an offensichtlichen Tastatur-Mustern bedienen. Der Schutz derartiger Passwörter ist denkbar gering.

Die Top Ten der Passwörter im Jahr 2022

Die Top Ten der Passwörter im Jahr 2021

Die Übersichten der letzten beiden Jahre zeigen deutlich, dass die Varianz der unsicheren Passwörter zumeist ebenfalls gering ist. Die hier aufgelisteten Passwörter sind selbstverständlich auch potenziellen Angreifern bekannt, sodass im Falle eines sogenannten „Brute-Force-Angriffs“ (Passwortknacken durch Ausprobieren) diese Passwörter zu Beginn getestet werden.

Die Wahl eines sicheren Passwortes

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Für besonders sensible Zugänge, wie zum Beispiel die zum Online-Banking oder zum Router, empfehlen sich längere Passwörter von mindestens 20 Zeichen.

Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Darüber hinaus empfiehlt sich die Nutzung des zuvor erwähnten Passwortmanagers.

Die ausschließliche Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des BSI bei sicheren Passwörtern nicht mehr erforderlich (siehe BSI IT-Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23). Unverzüglich zu ändern sind hingegen voreingestellte Passwörter.

Zusätzliche Maßnahme: Zwei-Faktor-Authentisierung

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und Apps angeboten. Dieses Verfahren schützt Sie somit auch dann, wenn Ihr Passwort einmal in die Hände von Unbefugten gelangen sollte.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.