DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (8)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 8: LÖSUNG

Der EDSA betont, dass die entwendeten Daten (Adressen) grundsätzlich nicht sensibel sind und für die Betroffenen keine hohen Risiken entstehen. Je nach Einzelfall kann sich dies anders verhalten. So war die Datenpanne bei LEDGER auch für jene Kunden problematisch, bei denen „nur“ Adressdaten in unbefugte Hände gerieten. Wegen des betroffenen Produkts – Bitcoin-Valets – ist für Angreifer erkennbar, dass tendenziell die Wohnanschriften wohlhabender Personen erfasst sind.

Zugunsten des Verantwortlichen vermerkt der EDSA außerdem, dass der Angreifer (ehemaliger Mitarbeiter) die Adressdaten offenbar „nur“ für Werbezwecke nutzen wolle, allerdings wird auch angemerkt, dass insoweit ein Restrisiko weitergehender Missbräuche verbleibt. Die Daten sind „außer Kontrolle“. Ganz lebensnah wird vom EDSA festgestellt, bei Versuchen, sie wieder unter Kontrolle zu bringen – z.B. durch Aufforderungen oder gerichtliche Verfahren gegen den ehemaligen Mitarbeiter – sei der Erfolg „bestenfalls zweifelhaft“, Rdnr. 75 EDSA-Richtlinie.

Im konkreten Fall verbleiben keine hohen, aber doch Risiken. Folglich: Dokumentation notwendig, Meldung nach Art. 33 DS-GVO notwendig, Meldung nach Art. 34 DS-GVO entbehrlich (EDSA-Richtlinie, Rdnr. 77: Mitteilung an die Betroffenen vielleicht dennoch aus Imagegründen sinnvoll für den Verantwortlichen). Als mögliche Schutzvorkehrung wird empfohlen, Vertraulichkeitsklauseln in Arbeitsverträge aufzunehmen und gekündigten Mitarbeitern Zugriffsrechte zu entziehen. Beide Maßnahmen sind natürlich nicht immer wirksam. Das ist aber kein Grund, auf sie zu verzichten.


FALL 9: LÖSUNG

Fall Nr. 9 behandelt einen „Klassiker“ aus der Praxis: Personenbezogene Daten werden von Verantwortlichen versehentlich unbefugten Dritten offengelegt. In diese Fallgruppe gehören nicht nur (wie im Beispiel) falsch gewählte Dateianhänge und fehlerhafte Rechtevergaben, sondern auch die in der Praxis häufigen Fehladressierungen (bei traditionellen Briefen ebenso wie bei E-Mail und Telefax). Der EDSA bestätigt in seiner Falllösung, dass auch aus seiner Sicht insoweit gilt: Für das mit der Datenschutzverletzung entstehende Risiko ist entscheidend, welchen Personen die Daten versehentlich offengelegt wurden. Handelt es sich um vertrauenswürdige, dem Verantwortlichen gegenüber kooperative Dritte? Oder sind es völlig Unbekannte, deren Verhalten der Verantwortliche schwer beziehungsweise gar nicht prognostizieren kann?

Der Vorgang betrifft nicht die Integrität und Verfügbarkeit, sondern „nur“ die Vertraulichkeit der Daten. Wenn eine Weiterverwendung der Daten durch den unbeabsichtigten Empfänger mit guten Gründen ausgeschlossen werden kann, bestehen nicht nur keine hohen Risiken (Art. 34 DS-GVO), sondern – auch nach Ansicht des EDSA – gar keine Risiken (folglich auch keine Meldepflicht gemäß Art. 33 DS-GVO). Ist das Verhalten des Datenempfängers nicht vorhersehbar, so wird jedenfalls eine Meldung nach Art. 33 DS-GVO notwendig sein. Reagiert dieser Empfänger auf Lösch-Anforderungen des Verantwortlichen nicht oder gibt es sonstige Gründe, am rechtskonformen Verhalten des Empfängers zu zweifeln, wird auch eine Information der Betroffenen nach Art. 34 DS-GVO stattfinden müssen. Lösung im konkreten Fall: interne Dokumentation des Vorgangs, keine Meldung an Aufsichtsbehörde oder Betroffene.

Die EDSA-Richtlinie verlässt damit den Bereich der Datenschutz-Verletzungen durch vorsätzliches oder fahrlässiges Verhalten von Beschäftigten und gibt (in Rdnr. 84) noch diesbezügliche Präventions-Empfehlungen. Neben sehr allgemeinen Ratschlägen („Einführung robuster und effektiver Datenschutzregeln, -verfahren und -systeme“), finden sich bekannte und bewährte Vorgaben:
– differenzierte Rechtevergabe,
– unverzüglicher Rechteentzug bei Ausscheiden von Beschäftigten,
– Prüfung unüblicher/auffälliger Datenflüsse,
– Clean-Desk-Policy,
– Bildschirmsperren.

Im nächsten Schritt widmen wir uns mit dem EDSA gestohlenen elektronischen und Papier-Dokumenten.


FALL 10: GESTOHLENE GERÄTE MIT VERSCHLÜSSELTEN PERSÖNLICHEN DATEN

Bei einem Einbruch in eine Kindertagesstätte wurden zwei Tablets gestohlen. Die Tablets enthielten eine App mit Daten der betreuten Kinder (Name, Geburtsdatum, Bildung). Die Daten auf beiden Tablets (zum Zeitpunkt des Einbruchs ausgeschaltet) waren verschlüsselt, die App mit einem starken Passwort geschützt. Ein Backup der Daten war verfügbar. Per Fernzugriff wurde Löschbefehl für die Daten auf den Tablets erteilt.


FALL 11: GESTOHLENES GERÄT MIT UNVERSCHLÜSSELTEN DATEN

Das Notebook des Mitarbeiters eines Dienstleistungsunternehmens wurde gestohlen. Es enthielt Namen, Vornamen, Geschlecht, Adressen und Geburtsdaten von mehr als 100.000 Kunden. Es war nicht zu klären, ob auch andere Kategorien von persönlichen Daten betroffen waren. Der Zugriff auf die Festplatte des Notebooks war nicht durch ein Passwort geschützt. Persönliche Daten konnten aus täglich verfügbaren Backups wiederhergestellt werden.


FALL 12: GESTOHLENE PAPIERAKTEN MIT SENSIBLEN DATEN

Aus einer Reha-Einrichtung für Drogenabhängige wurde ein offen „herumliegendes“ Papier-„Logbuch“ gestohlen. Das Buch enthielt Identitäts- und Gesundheitsdaten der Patienten, die in die Reha-Einrichtung aufgenommen wurden. Die Daten waren nur auf Papier gespeichert und den behandelnden Ärzten stand keine Sicherungskopie zur Verfügung.

Abschließend an dieser Stelle eine Ermunterung zu Feedback und Rückfragen: Ist die EDSA-Richtlinie aus Ihrer Sicht für die Praxis hilfreich? Welche Punkte fehlen oder welchen Positionen würden Sie widersprechen? Ihnen allen einen guten Start in den Sommer!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Beschäftigte
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (7)

Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.


FALL 6: LÖSUNG

Zunächst zu Fall 6: Die erste der drei Standard-Fragen (Dokumentation? Meldung nach Art. 33 DSGVO? Meldung nach Art. 34 DSGVO?) ist am schnellsten beantwortet: Der Vorfall muss natürlich dokumentiert werden.

Hinsichtlich der Meldepflichten nach Artt. 33 und 34 DS-GVO gilt die Grundaussage der Datenschutz-Aufsichtsbehörden, dass bei Datenverschlüsselung auf aktuellem Stand der Technik selbst ein Abhandenkommen der Daten kein Risiko für Betroffene begründet. Damit scheiden im vorliegenden Fall Meldepflichten sowohl gegenüber den Aufsichtsbehörden als auch (erst recht) gegenüber den Betroffenen aus.

Übrigens: Wie bei Grundsätzen meist, gibt es auch von diesem Grundsatz Ausnahmen. Falls „auf aktuellem Stand der Technik“ verschlüsselte Daten abhandenkommen, aber damit gerechnet werden muss, dass die Daten immer noch „interessant“ und missbrauchbar sind, wenn Jahre später durch technischen Fortschritt die Entschlüsselung für die Angreifer möglich sein wird, ergeben sich durchaus Risiken für künftigen Missbrauch und folglich – in solchen Ausnahmefällen – unter Umständen auch Meldepflichten. Nötig sind also zwei Prognosen: Wann wird die heute „sichere“ Verschlüsselung überwindbar? Und geht von der unbefugten Datennutzung dann noch Gefahr aus?

Ungeachtet nicht bestehender Meldepflichten hat auch im geschilderten Fall der Verantwortliche natürlich die vom Angreifer ausgenutzten Schwachstellen zu beseitigen. Die nach der Fallschilderung freiwillig erfolgte Information an Betroffene mit der Aufforderung zur Änderung des Passwortes wird vom EDSA als – obwohl nicht gesetzlich geschuldet – „guter Praxis entsprechend“ ausdrücklich gelobt (Richtlinie, Textziffern 59 und 62).


FALL 7: LÖSUNG

Bei Fall 7 wird natürlich ebenfalls eine interne Dokumentation benötigt. Die Datenschutzverletzung betrifft den Aspekt der Vertraulichkeit. Sehr nachvollziehbar leitet der EDSA im konkreten Fall die besondere Qualität des Angriffs und das besondere Risiko für die Betroffenen aus den vom Angreifer „erbeuteten“ bank- und vermögensrelevanten Informationen ab (Steuernummer, Benutzerkennung, für die Gruppe von etwa 2000 Bankkonten außerdem sogar Zugangspasswort). Auch bei der sehr großen Betroffenengruppe (ca. 100.000 Personen), von denen der Angreifer das Passwort nicht „erraten“ konnte, wurde ein umfangreicher Datensatz offenbart. Die Zusammengehörigkeit der verschiedenen Daten ermöglicht oder erleichtert künftige Attacken gegen diese Betroffenen bis hin zum Identitätsdiebstahl (Name und Vorname, Geschlecht, Geburtsdatum und -Ort, Steuernummer, Benutzerkennung bei der konkreten Bank).

Aus dem Risiko für die Betroffenen ergibt sich deshalb sowohl eine Meldepflicht an die Aufsichtsbehörde, als auch gegenüber dem Betroffenen und zwar auch gegenüber den bisher nicht informierten ca. 100.000 Betroffenen, bei denen der Bankzugang nicht offenbart wurde! Generell empfiehlt der EDSA (Textziffer 70 der Richtlinie) eine ganze Reihe von Schutzmaßnahmen gegen Hacker-Angriffe, die bei tatsächlichen Attacken (unabhängig von deren Erfolg) jeweils überprüft und gegebenfalls angepasst / aktualisiert werden sollten. Auch erfolglose Hacker-Angriffe sind ja jedenfalls ein Zeichen dafür, dass die IT-Systeme des Verantwortlichen für Angreifer „Interesse besitzen“.

Zu den Maßnahmen gehören:
– Verschlüsselung und Schlüssel-Management nach „Stand der Technik“, möglichst kein Passwort-Transfer zu den jeweiligen Anwendungen / Datenbanken, sondern Authentifikation z.B. durch Hashwert-Abgleich,
– Verwendung aktueller Soft- und Firmware mit Protokollierung der Update-Zeitpunkte,
– 2-Faktor-Authentifikation,
– Standardisierung der Nutzerzugriffe (Verwendung von White-Listen, also Limitierung des Nutzungsumfangs, soweit praktikabel), außerdem Beschränkung der Zahl der Authentifikations-Versuche,
– Firewall- und Penetrations-Tests,
– Regelmäßige Backups und Rücksicherungs-Versuche.

Damit verlassen wir zunächst den Bereich der Angriffe „von außen“ und befassen uns mit Attacken „von innen“. Für Datenschutz-Verletzungen durch Personen „aus dem Lager des Verantwortlichen“ behandelt der EDSA in den Fällen 8 und 9 der Richtlinie zwei grundverschiedene Konstellationen, nämlich einerseits den absichtlichen Angriff eines „bösen“ Internen, andererseits das Nutzer-Versehen, also die „klassische“, fahrlässige Datenverarbeitungs-Panne eines Mitarbeiters.


FALL 8: EXFILTRATION VON GESCHÄFTSDATEN DURCH EINEN EHEMALIGEN MITARBEITER

Der Mitarbeiter eines Unternehmens kopiert während seiner Kündigungsfrist Geschäftsdaten aus der firmeneigenen Datenbank, zu der er zugriffsberechtigt ist und die er zur Erfüllung seiner Arbeitsaufgaben benötigt. Monate später nutzt er die so gewonnenen Daten (vor allem Adressdaten), um die Kunden des Unternehmens zu kontaktieren und für sein neues Geschäft zu werben.

und – tatsächlich ein „Klassiker“ –


FALL 9: FEHLERHAFTE RECHTEVERGABE

Ein Versicherungsvertreter bemerkt, dass er – durch fehlerhafte Einstellungen einer per E-Mail erhaltenen Excel-Datei – auf Informationen von zwei Dutzend Kunden zugreifen kann, die nicht zu seinem Bereich gehören. Er war der einzige Empfänger der E-Mail. Die Vereinbarung zwischen dem für die Datenverarbeitung Verantwortlichen und dem Versicherungsvertreter verpflichtet den Vertreter zur Vertraulichkeit und zur Meldung von Datenpannen an den Verantwortlichen. Der Vertreter weist auf den Fehler hin und der Verantwortliche sendet ihm eine korrigierte Datei-Fassung mit der Bitte, die vorherige Nachricht zu löschen. Nach der internen Regelung muss der Vertreter die Löschung in einer schriftlichen Erklärung zu bestätigen; auch dies setzt der Vertreter korrekt um. Betroffen waren keine besonderen Kategorien von personenbezogenen Daten, sondern Kontaktdaten und Daten über die Versicherung selbst (Versicherungsart, Betrag).

Ihnen alle eine angriffs- und pannenfreie Woche!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (6)

Ergebnis zu Fall 5 aus Sicht des EDSA vorab und Erläuterung anschließend: Der Vorgang ist intern zu dokumentieren. Außerdem ist jedoch auch die Meldung an die Aufsichtsbehörde und sogar die Mitteilung an die möglicherweise Betroffenen notwendig. Im Detail:


FALL 5: LÖSUNG

Neben der selbstverständlichen internen Dokumentation ist sicher auch die Bejahung einer Meldepflicht an die Aufsichtsbehörde nach Art. 33 DS-GVO nachvollziehbar: Der Vorfall hat zwar die Datenverfügbarkeit für den Verantwortlichen nicht berührt und die Daten auch nicht verfälscht (die korrekten Bewerbungsdaten blieben für den Verantwortlichen ja weiter erhalten und nutzbar). Die Datenschutz-Vorgaben zur Vertraulichkeit (Schutz personenbezogener Daten gegen Zugriff unbefugter Dritter) sind jedoch ganz klar und sehr erheblich verletzt. Auch Risiken für betroffene Personen sind weder komplett auszuschließen, noch vernachlässigbar klein.

Weniger eindeutig ist die Entscheidung zu Art. 34 DS-GVO (Benachrichtigung der Betroffenen selbst): Der EDSA folgert eine entsprechende Benachrichtigungspflicht (in Rn. 55 der Richtlinie) daraus, dass die konkrete Datenschutzverletzung „wahrscheinlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen begründet“. Dies ist noch kein Argument, sondern nur eine Wiederholung des Wortlauts von Art. 34 DS-GVO. Etwas mehr „Substanz“ findet sich in Rn. 53: „Obwohl keine besonderen Kategorien personenbezogener Daten betroffen waren, enthalten die offenbarten Daten wesentliche Informationen über die Personen aus den Online-Formularen und könnten in verschiedener Weise missbraucht werden (Zusendung unerwünschter Werbung, Identitätsdiebstahl etc.)“.

Die „Zusendung unerwünschter Werbung“ stellt wohl kaum ein „hohes Risiko für die Rechte und Freiheiten“ dar. Identitätsdiebstahl allerdings kann erhebliche Nachteile und Schäden verursachen. Wenn die konkret betroffenen Datensätze dem Angreifer wirklich solche Wege öffnen, ist die Bejahung einer Informationspflicht der Betroffenen gemäß Art. 34 DS-GVO nachvollziehbar. Leider hat der EDSA bei der Fall-Schilderung die konkreten Datenarten nicht mitgeteilt, so dass seine Schlussfolgerung in diesem Punkt nicht prüfbar ist. Etwas pointierter: Der Sachverhalts-Bericht des EDSA zu Fall 5 genügt nicht den Anforderungen aus Art. 33 Abs. 3 und Art. 34 Abs. 2 DS-GVO.

Damit weiter zu Fall Nr. 6 und Nr. 7 im „Doppelpack“:


FALL 6: UNBEFUGTER ZUGRIFF AUF GEHASHTE PASSWÖRTER

Eine SQL-Injection-Schwachstelle wurde ausgenutzt, um Zugriff auf die Datenbank eines Web-Servers zu erlangen. Die in der Datenbank gespeicherten 1.200 Passwörter (Zugangs-Kennungen für die Nutzer eines Internetportals mit Koch-Rezepten) wurden mit einem starken Algorithmus gehasht; der Schutz wurde nicht kompromittiert. Der für die Verarbeitung Verantwortliche hat die betroffenen Personen sicherheitshalber per E-Mail über die Sicherheitsverletzung informiert und aufgefordert, ihre Passwörter zu ändern, insbesondere wenn das gleiche Passwort auch für andere Dienste verwendet wird.


FALL 7: ANGRIFF AUF ONLINE-BANKING-ANGEBOT

Beim Angriff auf ein Online-Banking-Portal wurden für ca. 100.000 Personen Informationen (teils Vorname, Nachname, Geschlecht, Geburtsdatum und -ort, Steuernummer, Benutzerkennung) an den Angreifer weitergegeben. Außerdem loggte sich der Angreifer erfolgreich in etwa 2.000 Konten, die ein Trivialpasswort verwendeten. Die Bank konnte alle unrechtmäßigen Anmeldeversuche identifizieren. Während des Angriffs erfolgten keine Transaktionen von diesen Konten. Die Bank reagierte durch Abschalten der Website und erzwungenes Zurücksetzen der Passwörter der kompromittierten Konten. Nur die Benutzer mit den kompromittierten Konten wurden informiert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Hacking
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (5)

Fall 4 aus dem Beispiels-Set des Europäischen Datenschutz-Ausschusses (EDSA) dürfte als Lehrbuch- und Übungsfall keine Probleme bereitet haben. Im wahren Leben würde er natürlich enorme Arbeit verursachen.


FALL 4: LÖSUNG

Sowohl die Vertraulichkeit der Daten wurde durch die Datenschutzverletzung aufgehoben (Datenexport durch einen unbekannten, unbefugten Dritten), als auch Integrität und Verfügbarkeit gestört (Änderung der Daten durch unbefugte Verschlüsselung, infolge ebenfalls betroffener Backup-Dateien endgültiger Datenverlust beim Verantwortlichen). Angesichts der betroffenen Datenkategorien (Ausweisnummern, Finanzdaten / Kreditkartendaten) müssen die Betroffenen Kenntnis vom Datenabfluss erhalten, dies schon wegen der für den Angreifer eröffneten Missbrauchsmöglichkeiten. Im Ergebnis also tatsächlich „das volle Programm“: Interne Dokumentation, Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen.

Bevor die EDSA-Richtlinie an dieser Stelle die „Fallgruppe Ransomware“ verlässt, gibt sie (in Textziffer 49 der Richtlinie) Empfehlungen für einen bestmöglichen Schutz gegen Ransomware-Attacken. Auch wenn Verantwortliche nicht alle Maßnahmen vollständig umsetzen, gilt – wie im Datenschutz so häufig: Verantwortliche sollten sich „bewegen“, also Schritt für Schritt Sicherheit erhöhen und bei ihrer Kosten/Nutzen-Betrachtung das Risiko von Cyber-Attacken nicht geringschätzen. Empfehlungen des EDSA sind unter anderem:
– Firmware, Betriebssystem und Anwendungssoftware auf Servern, Clients und sämtlichen Netzwerkkomponenten aktuell halten.
– Geeignete Teile des Netzwerks segmentieren oder isolieren, um die Verbreitung von Malware zu behindern.
– Back-up-Verfahren einführen und regelmäßig testen, einschließlich mittel- und langfristiger Backups auf separaten (vom Netzwerk getrennten) Speichermedien.
– Verwendung aktueller Software zur Malware-Erkennung.
– Einrichtung einer aktuellen, effektiven Firewall und Sicherstellung, dass die gesamte Netzwerk-Kommunikation mit dem Internet über diese Firewall verläuft (einschließlich des Zugriffs z.B. im Home-Office beschäftigter Mitarbeiter).
– Schulung der Mitarbeiter zur Erkennung und Vermeidung von Malware.
– Sorgfältige Analyse des Schadcodes im Falle einer tatsächlichen Attacke. Der EDSA verweist hier auch auf die Software des Projekts „no more ransom“: nomoreransom.org.
– Vollständige Protokollierung auf einem zentralen Logserver mit Zeitstempeln der Einträge.
– Zuverlässige Verschlüsselung oder Authentifizierung insbesondere für administrative Zugriffe.
– Regelmäßige Pen-Tests.
– Bildung eines Notfall-Teams beim Verantwortlichen oder Anschluss an organisationsübergreifende entsprechende Strukturen für IT-Sicherheits-Vorfälle.
– „Lernen aus Fehlern“: Anpassung der Schutzmaßnahmen nach Sicherheitsvorfällen.

Damit verlassen wir in Begleitung des EDSA den Bereich der Ransomware-Attacken und befassen uns für die nächsten drei Fälle mit Hacking aus Datenschutz-Sicht: unbefugtem Datenzugriff/Datenexport durch Dritte.


FALL 5: ZUGRIFF AUF BEWERBUNGSDATEN VON EINER INTERNETSEITE

Auf der Internetseite einer Personalvermittlung wurde Schadcode installiert, der unbefugten Dritten ermöglichte, auf dem Webserver gespeicherte Online-Bewerbungsdaten abzurufen. Der Vorfall wurde einen Monat später bemerkt. 213 Bewerbungen waren möglicherweise betroffen; besondere Kategorien personenbezogener Daten nicht involviert.

Ihre Meinung?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (4)

Fall 3 bewegte sich wieder im Bereich „Ransomware“ (Emotet und Co.). Dies wird auch für Fall 4 zutreffen, bevor wir uns gemeinsam mit dem EDSA ab Fall 5 anderen Bereichen zuwenden. Die Abhandlung von vier Beispielsfällen zu Ransomware-Attacken in der EDSA-Richtlinie ist gut begründbar, nachdem in den letzten Monaten und Jahren gerade dieser Bereich für ein relativ hohes Aufkommen an Datenschutzverletzungen gesorgt hat.

Durch den Vergleich der verschiedenen Fallvarianten verdeutlicht der EDSA außerdem, in welchen Konstellationen eine verantwortliche Stelle trotz Attacken relativ risiko- und störungsfrei bleibt. Zu den klaren Empfehlungen insoweit gehört sicher:
– möglichst vollständige Protokollierung von Datenexporten,
– Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich,
– Verschlüsselung von Daten nach aktuellem Stand der Technik, wenn ohne Funktionseinbuße durchführbar (z.B. bei Backup-Daten),
– zeitnahe und vollständige Backups, die gegen übergreifende Ransomware abgeschottet sind.


FALL 3: LÖSUNG

Vertraulichkeit: Die Analyse des Datenschutz-Vorfalls ergab keine unbefugten Daten-Exporte. Insoweit kann auf die Überlegungen bei Fall 2 zurückgegriffen werden: Für eine genaue Risiko-Abschätzung ist enorm wichtig, wie lückenlos das betroffene System Datenabflüsse protokolliert und wie zuverlässig ausgeschlossen werden kann, dass der Angreifer spätere Datenabflüsse angelegt/vorbereitet hat. In Fall 3 besteht der wichtigste Unterschied zu Fall 2 auch bezüglich Vertraulichkeit bei Quantität und Qualität der betroffenen Daten: Die Attacke erfasste tausende Patienten und Beschäftigte, außerdem hochsensible Datenkategorien (Gesundheitsdaten). Schon relativ geringe verbleibende Restrisiken hinsichtlich eines Vertraulichkeit-Bruches dürften deshalb eine Meldepflicht gegenüber der Aufsichtsbehörde begründen. So sieht das auch der Europäische Datenschutz-Ausschuss in Textziffer 37 und 39 seiner Richtlinie.

Integrität: Auch hier gelten die Überlegungen zu Fall 2, erneut gewissermaßen betrachtet durch ein „Vergrößerungsglas“ angesichts Quantität und Qualität der betroffenen Daten. Eine komplette Datenwiederherstellung war nicht möglich. Im Bereich „Daten-Integrität“ ergibt sich deshalb ebenso eine Meldepflicht gemäß Art. 33 DS-GVO.

Verfügbarkeit: Die Wiederherstellung der Daten (soweit Backups vorhanden waren) gelang trotz des größeren Datenvolumens zwar schneller als in Fall 2 (zwei anstelle fünf Arbeitstage). Wegen des betroffenen Verarbeitungs-Bereiches und der hundertfach größeren Zahl betroffener Personen sind die verbleibenden Risiken und Schäden dennoch erheblich höher als in Fall 2: Behandlungen von Patienten verzögerten sich, geplante ärztliche Maßnahmen mussten verschoben werden, das allgemeine Behandlungsniveau hat sich jedenfalls für die genannten zwei Tage reduziert.

Gerade mit Blick auf diese hohen Risiken/Schäden der Datenschutz-Attacke im Bereich der Datenverfügbarkeit ist auch eine Meldepflicht gegenüber den Betroffenen nach Art. 34 DS-GVO bei Fall 3 zu bejahen. Die betroffenen Beschäftigten und Patienten müssen also unverzüglich „in klarer und einfacher Sprache“ über die Art der Datenschutz-Pflichtverletzung benachrichtigt werden und außerdem die Informationen nach Art. 33 Abs. 3 lit. b, c und d DS-GVO erhalten (Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen des Vorfalls, Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Schutzmaßnahmen).

An dieser Stelle sei angemerkt: In der Praxis wird die Information betroffener Personen häufig allein dann erwogen, wenn die Betroffenen durch eigene Maßnahmen Risiken aus dem Datenschutz-Vorfall beseitigen oder mindern können (Beispiel: Aufruf an Nutzer, „geleakte“ Zugangsdaten für E-Mail Accounts zu verändern, die kompromittierten Accounts nicht mehr zu nutzen).

Art. 34 DS-GVO ist jedoch ganz klar nicht nur eine Vorschrift für den „Aufruf zur Selbsthilfe“. Der Verantwortliche muss betroffene Personen bei hohen Risiken einer Datenschutz-Verletzung auch benachrichtigen, wenn er ihnen keine geeigneten Schutzmaßnahmen vorschlagen kann. Dies folgt dem Datenschutz-Grundprinzip, dass betroffene Personen nicht als Datenobjekte behandelt werden dürfen, sondern über den Verbleib ihrer Daten ausreichend informiert werden müssen. Für das informationelle Selbstbestimmungsrecht ist natürlich auch wichtig, dass betroffene Personen wissen, ob und unter welchen Umständen ihre Daten (und welche genau) „verlorengingen“, sich also vielleicht in den Händen unbefugter Dritter befinden.

Die Fall-Lösung lautet deshalb:
(1) Dokumentation des Vorfalls: natürlich ja.
(2) Meldungen die Aufsichtsbehörde: ja.
(3) Meldung an die Betroffenen: ja.

Der EDSA befürwortet in seiner Richtlinie ausdrücklich auch eine Information an betroffene Personen, deren Behandlung im Krankenhaus längst abgeschlossen ist. Der Ausschuss verweist dafür auf die Möglichkeiten „öffentlicher Kommunikation oder entsprechender Maßnahmen, durch die Betroffenen in Vergleich bei fiktiver Weise informiert werden“ (Textziffer 39 EDSA-Richtlinie). Wenn Möglichkeiten zur individuellen Benachrichtigung (z.B. auf dem Postwege) fehlen, weil Kontaktdaten zu langjährig ausgeschiedenen Patienten/Beschäftigten nicht verfügbar sind, bedeutet die „öffentliche Benachrichtigung“ für den Verantwortlichen unter Umständen einen erheblichen Imageschaden und Wettbewerbsnachteil.

Auch dies kann und sollte Verantwortliche zu entsprechenden Sicherheits-Vorkehrungen motivieren (z.B. Abweisung veralteter MS-Office-Dateien in E-Mail-Anhängen). Natürlich gilt wie immer: Vollständiger Schutz und Risikoausschluss ist nicht erreichbar. Damit auf zur „letzten Ransomware-Attacke“.


FALL 4: RANSOMWARE OHNE BACKUP UND MIT DATENABFLUSS

Der Server eines öffentlichen Verkehrsunternehmens wurde einem Ransomware-Angriff ausgesetzt und seine Daten wurden verschlüsselt. Nach den Erkenntnissen der internen Untersuchung hat der Täter die Daten nicht nur verschlüsselt, sondern auch exportiert. Betroffen sind Daten von Kunden und Beschäftigten (mehrere tausend Personen). Neben grundlegenden Identitätsdaten waren auch Ausweisnummern und Finanzdaten wie Kreditkartendaten von der Sicherheitsverletzung betroffen. Es existiert eine Backup-Datenbank, die aber ebenfalls vom Angreifer verschlüsselt wurde.

Als vierte Variante im „Ransomware-Zyklus“ nun also der worst case und Albtraum Verantwortlicher, Betroffener sowie Datenschutzbeauftragter. Ergibt sich daraus bei den Meldepflichten „das volle Programm“? Prüfen Sie, notieren Sie Ihre Meinung und … bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (3)

Auf zur Lösung von Fall 2! Sie ist nicht sehr schwer, zumal Fall 1 im Vergleich verdeutlichte, wo die Probleme liegen könnten. Und bei der Überschrift zu Fall 2 haben wir, ebenfalls wie der Europäische Datenschutzausschuss, zusätzlich „mit der Zaunslatte gewinkt“: Das fehlende Back-up. Aber gehen wir Schritt für Schritt vor, um nichts zu übersehen:


FALL 2: LÖSUNG

Vertraulichkeit: Die Untersuchungen zum Vorfall haben ergeben, dass im betroffenen Zeitraum keine Datenabflüsse nach außen erfolgten. Dies ist eine gute Nachricht, erlaubt aber noch keine vollständige „Entwarnung“. Im Einzelfall (dies mahnt auch der EDSA in Textziff. 28 der Richtlinie an) muss genauer geprüft werden, ob die vorhandenen Protokolle wirklich alle Datenexporte zuverlässig ausschließen oder vielleicht bestimmte Exportwege gar nicht abdecken. Nur wenn tatsächlich sicher ausgeschlossen werden kann, dass (1) Daten unbefugt die Verarbeitungssysteme des Verantwortlichen verließen und / oder (2) der Angreifer sich im System des Verantwortlichen „eingenistet hat“ und bei späterer Gelegenheit Datenexporte möglich sind, wäre „Vertraulichkeit“ vom geschilderten Eingriff nicht verletzt.

Der Unterschied zu Fall 1 – und der Nachteil für den Verantwortlichen in Fall 2 – liegt bei dem Thema „Vertraulichkeit“, genauer in der Fall 1 gegebenen bzw. in Fall 2 fehlenden Datenverschlüsselung durch den Verantwortlichen. Anders als bei der Datenspeicherung ist für aktive EDV-Systeme eine Datenverschlüsselung häufig nicht möglich, weil die Verarbeitung dann übermäßig erschwert oder ausgeschlossen wäre. Seit vielen Jahren ist dieser Bereich ein Arbeitsfeld der Kryptografen, das sicher noch für viele weitere Jahre erhalten bleibt. Die in Fall 2 geschilderte Situation entspricht daher dem täglichen Normalzustand der meisten EDV-Systeme. Für diesen häufig anzutreffenden Fall ist bei Angriffen Dritter die möglichst vollständige Protokollierung von Datenabflüssen enorm wichtig, um das Risiko eines Vertraulichkeitsbruchs einschätzen zu können. Verbleiben insoweit Unsicherheiten, ist vom möglichen Zugriff Dritter, also dem worst-case-Szenario, auszugehen (so auch EDSA-Richtlinie Textziffer 30).

Integrität der Daten: Die vom Angreifer unbefugt verschlüsselten Daten wurden verändert, entsprechen also nicht mehr dem ursprünglichen, korrekten Zustand. Sie liegen – mangels vollständiger Backups – auch nicht als Duplikate in unveränderter, einsatzfähiger Art vor. Allerdings existieren (nach dem Sachverhalt: einwandfreie) Unterlagen in Papierform, wenn auch nicht für den gesamten Datenbestand. Die Daten sind also entweder korrekt vorhanden oder jedenfalls (soweit Papierdaten fehlen) klar als „unbefugt verändert“ erkennbar. Es besteht folglich nicht das Risiko einer künftigen Verarbeitung unbefugt/unabsichtlich verfälschter Daten.

Verfügbarkeit: Die Datenschutzverletzung führte nach dem Sachverhalt eindeutig zu einer Störung der Verfügbarkeit. Zum einen ist die Wiederherstellung der Daten teilweise (wenn auch für einen geringen Teil) überhaupt nicht möglich gewesen. Zum anderen war für die Datenwiederherstellung (im überwiegenden Teil) eine erneute Digitalisierung unter Nutzung der Papier-Unterlagen notwendig, die immerhin fünf Arbeitstage beanspruchte und Verzögerungen bei Kundenaufträgen verursacht hat.

Damit hat die Datenschutzverletzung nicht nur Risiken begründet, sondern sogar konkrete Schäden tatsächlich eintreten lassen. Eine Meldung nach Art. 33 DS-GVO ist folglich nötig. Hohe Risiken für die Rechte und Freiheiten natürlicher Personen ergeben sich demgegenüber aus dem Sachverhalt nicht. Der Umfang der Datenschutzverletzung ist quantitativ (Daten von „ein paar Dutzend Personen“) und qualitativ (keine Daten besonderer Kategorien) begrenzt. Eingetretene Schäden beschränken sich auf geringfügige Lieferverzögerungen. Meldepflichten nach Art. 34 DS-GVO entstehen deshalb nicht.

Gesamtergebnis also:
(1) Dokumentation ja.
(2) Meldung an die Aufsichtsbehörde ja.
(3) Meldung an Betroffene nein.


FALL 3: RANSOMWARE-ATTACKE AUF EIN KRANKENHAUS BEI VORHANDENEM BACKUP UND OHNE DATENABFLUSS

Das Informationssystem eines Krankenhauses/Gesundheitszentrums war einem Ransomware-Angriff ausgesetzt und ein erheblicher Teil der Daten wurde vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise einer externen Cybersecurity-Firma, um sein Netzwerk zu überwachen. Protokolle zur Verfolgung aller Datenströme, die das Unternehmen verlassen, einschließlich ausgehender E-Mails, sind verfügbar. Der Täter hat die Daten nur verschlüsselt, ohne zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten beziehen sich auf tausende Personen (Beschäftigte und Patienten). Backups waren in elektronischer Form verfügbar. Der größte Teil der Daten wurde wiederhergestellt. Dieser Vorgang dauerte jedoch 2 Arbeitstage und führte zu erheblichen Verzögerungen bei der Behandlung der Patienten mit abgesagten/verschobenen Operationen und zu einer Senkung des Serviceniveaus aufgrund der Nichtverfügbarkeit der Systeme.

Was meinen Sie? Interne Dokumentation: sicher. Meldung zur Aufsichtsbehörde? Mitteilung an die betroffenen Beschäftigten und Patienten?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (2)

Wie angekündigt wird Fall 1 aufgelöst, bevor wir uns dem nächsten Fall zuwenden. Entscheidend sind die schon genannten drei Kriterien:
(1) Wurden die Daten unbefugten Dritten zugänglich?
(2) Kam es zu einer unbeabsichtigten und/oder unbefugten Datenänderung?
(3) Gingen Daten verloren?

(Falls Jemand die von Informatik-Studenten seit Jahrzehnten benutzte Merkhilfe noch nicht kennt: Die drei englischen Schlagworte – confidentiality, integrity, availability – ergeben die im Datenschutz sinnfällige Abkürzung CIA.)


FALL 1: LÖSUNG

Confidentiality / Vertraulichkeit ist im Fall 1 nicht betroffen. Der Verantwortliche hatte die durch Ransomware unbefugt verschlüsselten Daten ja bereits zuvor selbst verschlüsselt. Diese Verschlüsselung des Verantwortlichen war auch gemäß dem aktuellen Stand der Technik erfolgt und von der Cyber-Attacke nicht betroffen. Der Angreifer hatte die zur Entschlüsselung notwendigen Kenntnisse also nicht erhalten.

Damit waren dem Angreifer allenfalls Daten zugänglich geworden, die er nicht entschlüsseln und auswerten konnte. Wer genauer überlegt, erhält einen „Zusatzpunkt“ für die Erkenntnis, dass mit dem technischen Fortschritt natürlich in den nächsten Jahren und Jahrzehnten eine Entschlüsselung der „nach heutigem Stand der Technik“ sicher verschlüsselten Daten doch möglich werden könnte. Der EDSA erwähnt dies in seiner Richtlinie beiläufig (Textziff. 20 am Ende), sieht in diesem Umstand aber kein beachtliches Risiko. Bei personenbezogenen Daten, die auch nach 10 oder 15 Jahren noch erhebliche Risiken für Betroffene verursachen können, wäre dies vielleicht anders zu beurteilen – Beispiel: Geschlechtsumwandlungen, schwere chronische Krankheiten, schwere Straftaten.

Integrity / „Echtheit“ stellt wohl ebenfalls kein Problem dar: Zwar hat der Angreifer die Daten seinerseits unbefugt (nochmals) verschlüsselt. Der Verantwortliche verfügt aber dank seines Back-up-Systems über einwandfreie, unveränderte Daten-Duplikate. Die Gefahr unerwünschter und unbemerkter Datenänderung kann also abgewehrt werden.

Availability / Verfügbarkeit: Das Einspielen der korrekten Daten vom Back-up- in das Arbeits-System erfolgte binnen „weniger Stunden nach dem Angriff“, die Attacke hatte „keine Auswirkungen auf den täglichen Betrieb“. Sie bewirkte insbesondere „keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen“. Mit anderen Worten: Die Daten waren zwar kurzzeitig (für einige Stunden) nicht im Arbeits-System des Unternehmens verfügbar. Dieser temporäre Ausfall wirkte sich jedoch auf die Datenverarbeitung beim Verantwortlichen nicht aus.

Im Ergebnis kommt der EDSA – sehr gut nachvollziehbar – zum Antwortmuster „Ja/Nein/Nein“, also:
(1) Interne Dokumentation des Vorfalls nötig.
(2) Keine Meldung an die Aufsichtsbehörde.
(3) Keine Meldung an die Betroffenen.

Hier noch ein Hinweis für die weiteren Fälle, vor allem aber für die Datenschutz-Praxis: Wenn bei Datenschutz-Vorfällen geprüft wird, ob eine Meldepflicht gegenüber der Aufsichtsbehörde (und eventuell gegenüber Betroffenen) besteht, ist dies immer intern zu dokumentieren. Das folgt für den Verantwortlichen schon aus seiner allgemeinen Nachweispflicht und weil er (sollte sich ein Vorfall „weiterentwickeln“, z.B. durch Beschwerden von Betroffenen oder anschließende Attacken) die nach der Datenschutz-Verletzung getroffenen Ermittlungen und Maßnahmen konkret aufzeigen muss.


FALL 2: RANSOMWARE OHNE AUSREICHENDES BACKUP

Einer der von einem landwirtschaftlichen Unternehmen genutzten Computer war einem Ransomware-Angriff ausgesetzt und seine Daten wurden vom Angreifer verschlüsselt. Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens zur Analyse des Vorfalls. Protokolle, die alle Datenströme, die das Unternehmen verlassen, nachverfolgen (einschließlich ausgehender E-Mails) sind verfügbar. Nach der Analyse der Protokolle und anderer Daten ergab die interne Untersuchung, dass der Täter die Daten nur verschlüsselt hat, ohne sie zu exportieren. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitrahmen des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen die Mitarbeiter und Kunden des Unternehmens, insgesamt ein paar Dutzend Personen. Keine Daten besonderer Kategorien waren betroffen. Es war kein Backup in elektronischer Form vorhanden. Die meisten Daten wurden aus Papier-Akten wiederhergestellt. Die Wiederherstellung der Daten dauerte 5 Arbeitstage und führte zu geringen Verzögerungen bei der Auslieferung von Aufträgen an Kunden.

Das nötige „Rüstzeug“ (C? I? A?) befindet sich bei Ihnen. Weiterhin gilt die Devise: Selbst lösen ist besser, als in der Richtlinie spicken! Bis zur Auflösung in einigen Tagen – alles Gute!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DATENSCHUTZ-VERLETZUNG UND MELDEPFLICHT – EINE MITMACH-SERIE (1)

Der Europäische Datenschutzausschuss hat als Richtlinie 01/2021 einen Text mit „examples regarding data breach notification“ am 14. Januar 2021 veröffentlicht und um Stellungnahmen gebeten. Wer den Text noch nicht kennt, findet den Link am Ende dieses Beitrags. Aber Achtung – wir haben einen anderen Vorschlag: Finden Sie doch einmal mit unserer Hilfe heraus, wie gut sich Ihre Auffassungen zu Art. 33, 34 DS-GVO mit den Ansichten des EDSA decken. In Form einer kleinen Serie werden wir hier im Blog weitere Beispielsfälle aus der EDSA-Richtlinie darstellen und für die Behandlung und Einordnung der Datenschutz-Verletzung maßgebliche Punkte besprechen. Anschließend können Sie den Fall lösen.

Im nächsten Teil unserer Serie erfahren Sie gleich zu Beginn, ob Sie richtig lagen – also, ob die Aufsichtsbehörden auch zu Ihrem Ergebnis kamen. Alle schulungserfahrenen Datenschutzschützer wissen: Auf diesem Weg liegt der Lernerfolg sicher höher, als bei schnellem Durchlesen der Richtlinie. Und damit Start und Bühne frei für Beispielsfall Nr. 1!

Hinweis: Die Richtlinie ist vom EDSA derzeit nur in englischer Sprache veröffentlicht. Wir verwenden unsere Arbeitsübersetzung.


FALL 1: RANSOMWARE MIT KORREKTEM BACKUP UND OHNE DATENABFLUSS

Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt. Der Angreifer hat auf diesen Systemen gespeicherte Daten verschlüsselt. Alle betroffenen Daten waren durch den Verantwortlichen mit einem modernen Verschlüsselungsalgorithmus gesichert. Der Schlüssel wurde bei dem Angriff nicht kompromittiert, das heißt der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschlüsselte persönliche Daten.

Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens, um den Vorfall zu untersuchen. Protokolle für alle Datenströme, die das Unternehmen verlassen haben (einschließlich ausgehender E-Mails), sind verfügbar. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen Kunden und Mitarbeiter des Unternehmens, insgesamt einige Dutzend Personen. Ein Backup war sofort verfügbar, und die Daten wurden wenige Stunden nach dem Angriff wiederhergestellt. Die Verletzung hatte keine Auswirkungen auf den täglichen Betrieb. Es gab keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen.

Drei Fragen stellt und beantwortet der EDSA in der Richtlinie für den Beispielsfall:
(1) Handelt es sich um eine Datenschutzverletzung und besteht eine Pflicht zur internen Dokumentation des Vorgangs?
(2) Ist eine Meldung an die Datenschutz-Aufsichtsbehörde nötig?
(3) Sind auch Betroffene über den Vorfall zwingend zu informieren?


FALL 1: LÖSUNGSHINWEISE

Bevor Sie sich an Fall 1 versuchen und die drei vorstehenden Fragen jeweils mit Ja / Nein beantworten, hier noch einiges „Rüstzeug“:

Für das Verständnis des Begriffs „Datenschutz-Verletzung“ ist Art. 4 Nr. 12 DS-GVO ausschlaggebend. Davon geht auch der EDSA in Richtlinie 01/2021 aus (dort Rn. 4). Eine „Verletzung des Schutzes personenbezogener Daten“ bedeutet demnach: „Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Die Definition ist sprachlich sicher keine Glanzleistung des Gesetzgebers. Kurz formuliert ist eine Datenschutz-Verletzung gegeben, wenn (1) Unbefugte Datenzugriff erhalten (Vertraulichkeit), (2) Daten versehentlich oder unbefugt verändert werden (Integrität) oder (3) der Datenzugriff unbeabsichtigt verloren geht (Verfügbarkeit). Diese drei Aspekte / Dimensionen einer Datenschutz-Verletzung nennt auch die EDSA-Richtlinie 01/2021 und beruft sich dabei auf Richtlinie WP 250 der früheren Art. 29-Gruppe (aus Zeiten der Datenschutz-Richtlinie EG 95/46).

Wer prüft, ob eine Datenschutz-Verletzung vorliegt, muss also stets untersuchen, ob (1) Daten an Unbefugte gelangten und/oder (2) Daten unbefugt/unbeabsichtigt verändert wurden und/oder (3) Daten verloren gingen. Bei dem letztgenannten Aspekt des Datenverlustes „genügt“ bereits eine zeitweise fehlende Verfügbarkeit, wenn sie die Verarbeitungsabläufe stört. Beispiel: In einem Unternehmen mit Geschäftszeiten zwischen 08:00 Uhr und 18:00 Uhr bemerkt die IT 19:00 Uhr ein Verfügbarkeitsproblem und kann den Fehler bis 21:00 Uhr durch Rücksicherung von Daten aus dem vorhandenen Backup beheben. Eine Datenschutz-Verletzung liegt nicht vor, weil die planmäßige Verarbeitung der Daten im Unternehmen nicht beeinträchtigt wird.

Ist keiner der drei Aspekte (Vertraulichkeit, Integrität, Verfügbarkeit) durch einen Datenschutz-Vorfall betroffen, liegt auch keine Datenschutz-Verletzung im Sinne der DS-GVO vor. Meldepflichten nach Art. 33 und 34 DS-GVO scheiden dann von vornherein aus. Wenn mindestens ein Element der Datenschutz-Verletzung bejaht werden muss, ist auf einer weiteren Stufe zu prüfen, ob die dann gegebene Datenschutz-Verletzung mit Risiken für Betroffene verbunden ist. Bejahendenfalls besteht die Meldepflicht nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde. Sind die Risiken für Betroffene besonders hoch, ist zusätzlich auch sie nach Art. 34 DS-GVO zu informieren.


FAZIT

Nun ist alles Nötige gesagt – prüfen Sie einmal den oben dargestellten Beispielsfall und legen Sie sich fest:
(1) Muss in Fall 1 eine Prüf-Dokumentation erfolgen?
(2) Fordert Fall 1 eine Meldung zur Aufsichtsbehörde gemäß Art. 33 DS-GVO?
(3) Ist die Informationen an Betroffene nach Art. 34 DS-GVO  notwendig?

Wir melden uns am Mittwoch mit der Auflösung und einem weiteren Fall. Wie eingangs versprochen, hier noch der Link zur EDSA-Richtlinie, gleichzeitig aber auch nochmals unsere Bitte, ihn nicht zu nutzen. – Wer beim Üben „schummelt“, zerstört den Lerneffekt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • EDSA
  • Europäischer Datenschutzausschuss
  • Fallübung
  • Ransomware
Lesen

DAS PROBLEM MIT DEM PHISHING

Vor dem Hintergrund des durch die Corona-Pandemie bedingten Anstiegs der im „Home-Office“ tätigen Beschäftigten ist es nahezu denklogisch, dass ebenfalls eine drastische Zunahme von sogenannten Phishing-E-Mails zu verzeichnen ist.

Dem neuen KnowBe4 Phishing-Report ist dabei zu entnehmen, dass zu den aktuellen Themen (Untersuchung von echten Phishing-E-Mail-Betreffzeilen aus der Praxis) u.a. folgende Themen gehören:  „IT: Jährliche Bestandsaufnahme der Geräte“, „Twitter: Sicherheitswarnung: Neuer oder ungewöhnlicher Twitter-Login“, „Amazon: Aktion erforderlich | Ihre Amazon Prime-Mitgliedschaft wurde abgelehnt“, „Zoom: Fehler bei geplanter Besprechung“, „Google Pay: Bezahlung gesendet“, „Microsoft 365: Aktion erforderlich: Aktualisieren Sie die Adresse für Ihren Xbox Game Pass für Konsolen-Abonnement“, „Arbeitstag: Erinnerung: Wichtiges Sicherheitsupgrade erforderlich“.

Daneben beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere Phishing-E-Mails zu Themen Änderungen von Datenschutzbestimmungen (bspw. PayPal), Teilnahmen an Gewinnspielen, Sicherheitsüberprüfungen (z.B. von Bank- und Kreditinstituten) sowie Aktualisierung von Nutzerdaten.

Was ein Phishing-Angriff ist, wie ein solcher erkannt werden kann und wie man sich bei einer Reaktion auf eine Phishing-E-Mail verhalten muss, soll im folgenden Beitrag näher beleuchtet werden.


WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.


WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.


WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.


WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.


FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • E-Mail
  • Homeoffice
  • Phishing
  • Social Engineering
Lesen

HOMEOFFICE UND MOBILES ARBEITEN

Auch bei der Arbeit im Homeoffice oder im Rahmen des sogenannten mobilen Arbeitens muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Im Folgenden erhalten Sie einige Anregungen, was konkret zu berücksichtigen ist und welche Maßnahmen zu ergreifen sind. Bitte beachten Sie darüber hinaus – sofern vorhanden – etwaige interne Richtlinien zu diesen Themen. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren.


SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken oder abschließbaren Transportbehältern. Bei einer längeren Abwesenheitszeit sind zudem – sofern möglich – die jeweiligen Räumlichkeiten zu verschließen oder mobile Endgeräte mitzuführen.


SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher, Mitreisende oder andere unbefugte Dritte – hierzu gehören grundsätzlich auch Familienangehörige und Mitbewohner – keine Einsicht auf Ihren Bildschirm oder etwaige Dokumente nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln.


HANDELN SIE IN RAHMEN VON TELEFONATEN UMSICHTIG

Wenn Sie Telefonate durchführen, sollten Sie je nach Sensibilität des Gesprächsinhaltes stets darauf achten, dass sich in unmittelbarer Nähe zu Ihnen keine unbefugten Personen aufhalten. Unter Umständen ist es sinnvoll, das Telefongespräch zunächst zu unterbrechen und einen Rückruf zu einem späteren Zeitpunkt zu vereinbaren. Erteilen Sie darüber hinaus nach Möglichkeit nur im beschränkten Umfang Auskünfte am Telefon. Insbesondere im Rahmen des Social Engineerings verlangen oftmals angebliche Kunden, Kollegen oder Dienstleister umfangreiche Informationen zu geschäftlichen Interna. Vereinbaren Sie im Zweifelsfall auch hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise Ihnen bereits bekannten Nummern.


NUTZEN SIE AUSSCHLIEßLICH SICHERE NETZWERKVERBINDUNGEN

Auch wenn die jeweils eingesetzten EDV-Geräte sich auf dem aktuellen technischen Stand befinden und über eine aktuelle Sicherheitssoftware verfügen, stellen ungesicherte Netzwerkverbindungen ein erhebliches Sicherheitsrisiko dar. Achten Sie deshalb insbesondere im Rahmen des mobilen Arbeitens auf die ausschließliche Nutzung gesicherter Netzwerkverbindungen. Sollten derartige Netzwerke nicht zur Verfügung stehen, kann unter Umständen auch das dienstliche Smartphone als persönlicher Hotspot verwendet werden.


TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten (z.B. externe Festplatten oder Drucker) und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


VERNICHTEN SIE DOKUMENTE UND HARDWARWE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


MELDUNG VON DATENSCHUTZVERLETZUNGEN

Die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 und Art. 34 DS-GVO sind ebenfalls im Rahmen des Homeoffices oder des mobilen Arbeitens einschlägig. Sollte Ihnen trotz Beachtung der zuvor aufgeführten Maßnahmen eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Berufsalltag
  • Datenschutzverletzung
  • Homeoffice
  • mobiles Arbeiten
  • Passwort
Lesen