DER „STAND DER TECHNIK“

„Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“. Ähnlich zu dieser Art. 32 Datenschutz-Grundverordnung (DS-GVO) entstammenden Regelung ergeben sich die hinsichtlich bestimmter Produkte oder Sektoren einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, Art. 52 Abs. 7 Satz 1 Rechtsakt zur Cybersicherheit (CSA-VO), § 19 Abs. 4 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)). Im IT-Sicherheits- und Datenschutzrecht wird zur Bestimmung eines entsprechenden Schutzniveaus in letzter Konsequenz all zu oft auf den unbestimmten Rechtsbegriff „Stand der Technik“ zurückgegriffen. Doch was verstehen wir unter diesem Begriff und wie ist der „Stand der Technik“ in der Praxis zu bestimmen. Mit diesen Fragen soll sich der nachfolgende Beitrag näher befassen.


WARUM BEZIEHEN WIR UNS AUF DEN „STAND DER TECHNIK“?

Bei der Begrifflichkeit „Stand der Technik“ handelt es sich insoweit um einen unbestimmten Rechtsbegriff. Durch die Verwendung unbestimmter Rechtsbegriffe soll eine bestimmte zu erfüllende Anforderung geregelt, jedoch nicht festgelegt werden, wie diese Anforderung im Einzelnen ausgestaltet sind. Unbestimmte Rechtsbegriffe sind grundsätzlich uneingeschränkt gerichtlich überprüfbar. Die Anforderungen an die konkrete Bestimmbarkeit hängen wiederrum von den Eigenarten des zu regelnden Sachbereiches, insbesondere hinsichtlich Ausmaßes, Art und Intensität von Grundrechtseingriffen, ab.

Vor allem aufgrund der dynamischen Technologieentwicklung kommt dem Begriff „Stand der Technik“ im IT-Sicherheits- und Datenschutzrecht besondere Bedeutung zu, da durch die Verwendung dieses zunächst unbestimmten Rechtsbegriffs, entsprechende Flexibilität bei der Festlegung des Sicherheitsniveaus gewahrt werden kann. Der technische Fortschritt unterliegt aufgrund der hohen Dynamik technischer Innovationen und den damit einhergehenden immer kürzeren Innovationszyklen zugleich sich kontinuierlich ändernden Anforderungen an das zu bestimmende Sicherheitsniveau. Insbesondere wegen der zunehmenden Komplexität von IT-Systemen ist eine absolute Sicherheit nicht erreichbar. Eine weitergehende Konkretisierung des Begriffs erfolgt daher regelmäßig nicht. Entscheidend für die tatsächliche Bestimmbarkeit des jeweiligen Sicherheitsniveaus ist mithin die tatsächliche Bestimmbarkeit des jeweiligen Stands der Technik.


WAS IST DER „STAND DER TECHNIK“?

Der Rechtsbegriff „Stand der Technik“ hat eine längere Entwicklung zurückgelegt als es seine aktuelle Verwendung im IT-Sicherheits- und Datenschutzrecht aufgrund zunehmender Implikationen in Gesetzen vermuten lässt. In den jüngeren Gesetzgebungsverfahren hat der Begriff – wie eingangs erwähnt – immer häufiger zur Bestimmung eines Technologieniveaus herangezogen. In den europarechtliche Normen Art. 32 DS-GVO sowie Art. 14 der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) erfolgt eine die Verwendung des Begriffs „state oft the art“.

In seiner Kalkar-I-Entscheidung beschäftigte sich das Bundesverfassungsgericht 1978 (BVerfG, Beschl. v. 8.8.1978 – 2 BvL 8/77) erstmals mit den Begriffen „anerkannten Regeln der Technik“, „Stand von Wissenschaft und Technik“ und „Stand der Technik“ und so mit der heute bekannten „Drei-Stufen-Theorie. Das Technologieniveau „Stand der Technik“ ist zwischen dem Technologiestand „Stand der Wissenschaft und Forschung“ und dem Technologiestand „allgemeinanerkannten Regeln der Technik“ einzuordnen. Eingegrenzt werden die drei Begriffe zum Technologieniveau zudem durch die „Allgemeine Anerkennung“ sowie die „Bewährung in der Praxis“. Eine Unterscheidung zwischen den drei Begrifflichkeiten ist die wesentliche Grundlage für die Bestimmung des geforderten Technologiestandes. In der Praxis kommt es noch zu häufig zu einer Vermischung und somit keiner trennscharfen Unterscheidung der Begrifflichkeiten. Den „Stand der Technik“ bestimmt das BVerfG als Front der technischen Entwicklung. Somit umfasst der „Stand der Technik“ nicht die beste zur Verfügung stehende Technologie, sondern jene fortschrittlichen Verfahren, die in hinreichendem Maße zur Verfügung stehen und auf gesicherten Erkenntnissen beruhen oder mit Erfolg erprobt wurden. Kurz gesagt: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung eines IT-Sicherheitsziel. Für die Bestimmung eines erforderlichen Sicherheitsniveaus eignet sich daher der Begriff „Stand der Technik“ besonders gut, vollziehen sich IT-Sicherheits- und Datenschutzrecht nicht als wissenschaftliche Konzeption, die sich nach Theoriestatus und Erprobung in der Praxis zu einem anerkannten Standard manifestieren. Von Vorteil ist insoweit, dass eine dynamische in Bezugnahme möglich ist, da auf eine allgemeine Anerkennung verzichtet wird. Dies ist wiederrum erforderlich, um dem technischen Fortschritt gerecht zu werden. Trotz oder vielleicht gerade aufgrund seiner des häufigen Gebrauchens führt die Auslegung sowie Anwendung des „Stand der Technik“ in der Praxis zuweilen jedoch zu ungeahnten Schwierigkeiten.


WIE KÖNNEN WIR DEN STAND DER TECHNIK BESTIMMEN?

Es beststehen zuweilen Verwendungssituationen, in denen direkt aus dem Gesetz durch einen Verweis auf eine technische Norm der „Stand der Technik“ näher bestimmt wird, so beispielsweise in § 18 Abs. 2 Satz 2 De-Mail-Gesetz mit dem Verweis auf die Technische Richtlinie 01201 De-Mail des Bundesamt für Sicherheit in der Informationssicherheit (BSI). Zur weiteren Konkretisierung kann regelmäßig eine Orientierung mittels des sogenannten Soft Law in Form von „branchenüblichen Normen und Standards“ erfolgen. Hierfür kommen eine Reihe nationaler wie auch internationaler technischer Normen, Best Practice, Praxisleitfäden und vergleichbarer Standards in Betracht. Zu nennen sind insbesondere DIN-Normen vom Deutschen Institut für Normung sowie ISO-Normen der International Organisation for Standardization mit Bezug zur IT-Sicherheit wie beispielsweise DIN ISO 19600 für den Inhalt von Compliance Management Systeme, ISO 20000 für IT-Service Management, ISO/IEC 27000-Reihe für Informationssicherheits-Managementsysteme, ISO/IEC 27018 mit datenschutzrechtlichen Anforderungen für Cloud-Anbieter oder die IEC 62443 im Bereich IT-Sicherheit für industrielle Systeme. Von zunehmender Bedeutung sind zudem das IT-Grundschutz-Kompendium des BSI sowie Praxisleitfäden von Interessenverbänden, beispielsweise Bitkom-Kompass für IT-Sicherheitsstandards oder die Handreichung des TeleTrust Bundesverband IT-Sicherheit e.V. Bei diesen technisch geprägten Standards handelt es sich nicht per se um verbindliche Rechtsnormen, sondern laut eines Urteil des Bundesgerichtshof (BGH, Urt. v. 22.8.2019 – III ZR 113/18) vielmehr um „private Regelwerke mit Empfehlungscharakter“.  Dennoch sind diese Regelungswerke zugleich bei der Frage, ob ein bestimmter Sicherheitsstandard eingehalten wird, zur Auslegung heranzuziehen.  Im Grundsatz tragen die technischen Normen und Standards die widerlegliche Vermutung in sich, den aktuellen Stand der Technik einzuhalten. Weiterhin mögen die technischen Normen, Standards und Regelwerke im Ergebnis zwar als unverbindlich und daher als nicht durchsetzbar gelten, entfalten sich durch ihre branchenweite Befolgung aber zunehmende faktische Verbindlichkeit. Jedoch birgt auch die Verwendung derartiger Standards Probleme, welche insbesondere mit Blick auf die ISO-27000-Reihe oder IT-Grundschutz-Kompendium im unterschiedlichen Verwendungs- und Umsetzungsgrad und mithin einer fehlenden Vergleichbarkeit bei der Umsetzung zu sehen sein können. Darüber hinaus unterliegen viele der genannten Standards einer hohen Abstraktheit, was gleichwohl bei den Rechtsanwendern zu einer Scheinsicherheit führt.


FAZIT

Der Umgang und die Verwendung mit dem unbestimmten Rechtsbegriff Stand der Technik gestaltet sich in der Praxis alles andere als leicht. So zwingend die Verwendung des unbestimmten Rechtsbegriffs ist, um auf den stetig technischen Fortschritt und die IT-Systemen innewohnende Dynamik mit größtmöglicher Flexibilität zu reagieren. Umso schwieriger erscheint die tatsächliche Bestimmung des entsprechend einzuhaltenden Schutzniveaus, selbst unter Heranziehung branchenüblicher Normen und Standards.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Informationssicherheit
  • IT-Grundschutz
  • Stand der Technik
  • Technische-organisatorische Maßnahmen
Lesen

EIN FROHES NEUES JAHR!

Zu Beginn des neuen Jahres möchten wir unseren Blog-Lesern zuallererst ein frohes und gesundes neues Jahr wünschen! Wir freuen uns, Ihnen auch in diesem Jahr in unseren wöchentlichen Beiträgen eine Übersicht über aktuelle und wichtige Themen aus den Bereichen des Datenschutzes und der Informationssicherheit bieten zu können. Möchten Sie zu einzelnen Beiträgen Fragen oder Feedback äußern? Haben Sie Vorschläge für interessante Beiträge? Zögern Sie nicht, die jeweiligen Verfassenden zu anzusprechen. Die Kontaktmöglichkeiten erfahren Sie am Ende eines jeden Beitrages.

Diesen ersten Beitrag im Jahr 2022 möchten wir ebenfalls gern nutzen, um in eigener Sache auf das Thema Datenschutz beziehungsweise Informationssicherheit und Qualitätsmanagement aufmerksam zu machen. Einerseits bieten diese Bereiche in ihrer Gesamtheit einzelne Berührungspunkte zueinander, andererseits bedarf auch die Arbeit von Datenschutz- und Informationssicherheitsbeauftragten bestimmten Leistungs- und Qualitätsstandards, um die jeweils gesetzlich definierten Aufgaben vollumfänglich erfüllen zu können.

Auch wenn beispielsweise die Datenschutz-Grundverordnung (DS-GVO) keine näheren Anforderungen an die Qualität der Arbeit des Datenschutzbeauftragten setzt, wird insbesondere in der Darstellung des Art. 37 Abs. 5 DS-GVO deutlich, dass ein Datenschutzbeauftragter sowohl auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis, aber auch auf Grundlage seiner Fähigkeiten zur Erfüllung der in Art. 39 DS-GVO benannten Aufgaben zu benennen ist. Aus dem Aufgabenkatalog des Art. 39 DS-GVO wird deutlich, dass im besten Falle nicht nur die verantwortliche Stelle ein Datenschutzmanagementsystem vorweisen kann, sondern dass auch der Datenschutzbeauftragte strukturiert und koordiniert die einzelnen Aufgabenbereiche zu managen und durchzuführen hat. Dies gilt umso mehr für externe Datenschutzbeauftragte, die oftmals eine Vielzahl von verantwortlichen Stellen beraten.

Aus diesem Grund haben wir als Dresdner Institut für Datenschutz das vergangene Jahr genutzt, um unsere Beratungs- und Lehrtätigkeit in den Bereichen des Datenschutzes und der Informationssicherheit einmal näher zu betrachten, essenzielle Prozesse zu identifizieren sowie Verbesserungspotenzial zu erkennen und auszuschöpfen. Ein wichtiger Baustein war in diesem Zusammenhang beispielsweise die Befragung unserer Vertragsparteien im Sommer 2021 hinsichtlich der Zufriedenheit mit unseren Dienstleistungen. Unter anderem diese Ergebnisse flossen in ein umfassendes Qualitätsmanagementsystem ein, welches wir im letzten Quartal des vergangenen Jahres einer externen Auditierung unterzogen. Das Ergebnis kann sich sehen lassen: Unser Qualitätsmanagement für die Beratung und Lehrtätigkeit in den Bereichen Datenschutz und Informationssicherheit ist nun zunächst bis 2024 nach ISO 9001:2015 zertifiziert.

Auch das neue Jahr wollen wir nutzen, um möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Den ersten Termin  unserer Online-Sprechstunde erfahren Sie bereits in den nächsten Tagen auf unserer Internetseite www.dids.de. Dort erhalten Sie dann auch die Möglichkeit zur Anmeldung sowie weiterführende Hinweise.

Auch darüber hinaus haben wir für Sie einige weitere Überraschungen vorbereitet, welche wir Ihnen nach und nach im Laufe des Jahres vorstellen wollen oder welche Ihnen hier in unserem Blog begegnen werden. Seien Sie gespannt! In diesem Sinne: Starten Sie gut in das neue Jahr und bleiben Sie stets neugierig – insbesondere natürlich in Bezug auf die Themen Datenschutz und Informationssicherheit!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Blog
  • Datenschutz
  • Datenschutzsprechstunde
  • Informationssicherheit
  • Qualitätsmanagement
Lesen

DIE MENSCHLICHE FIREWALL – DER NUTZER ALS SICHERHEITSRISIKO?

Mit Blick auf die Gefährdungslage der IT-Sicherheit ist für die letzten Jahre sowohl im privaten als auch im betrieblichen Umfeld ein stetiger Anstieg von Bedrohungsszenarien zu verzeichnen. Auch wenn Angreifer für Cyberangriffe zunehmend auf Schadprogramme zurückgreifen, kann durch den alleinigen Einsatz von Antiviren-Softwares kein umfassender Schutz gewährleistet werden. Zunehmend wird der Nutzer zur entscheidenden Sicherheitsbarriere. Hierbei ergeben sich sowohl Chancen als auch Risiken.


DER NUTZER ALS SICHERHEITSRISIKO?

Seit Beginn der Covid-19-Pandemie und der damit einhergehenden Dezentralisierung der betrieblichen IT-Infrastrukturen durch die Verlagerung der Arbeitstätigkeiten ins „Homeoffice“ ergeben sich für Cyberkriminelle zunehmend neue Angriffsmöglichkeiten. An dieser Stelle besonders hervorzuheben ist das sogenannte „Social Engineering“, welches nach wie vor eines der beliebtesten Werkzeuge zur Verwirklichung krimineller Absichten darstellt. Zudem zielt es auf das vermeintlich schwächste Glied in der IT-Sicherheit ab: den Nutzer.

Dem „Faktor Mensch“ sind im Rahmen der IT-Sicherheit zwei wesentliche Aufgaben zuzuschreiben: Einerseits proaktiv mögliche Bedrohungslagen und potenzielle Gefährdungen für die IT-Sicherheit zu erkennen und andererseits reaktiv auf derartige Ereignisse angemessen zu reagieren, um bereits eingetretene Schäden zu minimieren. Besonders entscheidend ist an dieser Stelle das Bewusstsein der Nutzer über sowie die Einhaltung von definierten internen Meldeprozessen im Hinblick auf die gesetzlichen Melde- und Benachrichtigungspflichten, beispielsweise gemäß Art. 33 und Art. 34 Datenschutz-Grundverordnung (DS-GVO).

Unterstützung können hierbei etwaige Sicherheitsrichtlinien, Anweisungen oder verschriftlichte Prozesse schaffen, welche sowohl das Verständnis als auch die Sensibilität hinsichtlich (potenzieller) Bedrohungslagen fördern. Darüber hinaus ist darauf zu achten, dass getroffene Vorkehrungen und Regelungen auf ein gewisses Maß an Akzeptanz seitens der Nutzer stoßen.


SENSIBILISIERUNG IST DER SCHLÜSSEL

Ein wesentliches Element stellt hierbei die Sensibilisierung einzelner Nutzer und Nutzergruppen dar. Dies geht beispielsweise auch aus dem Baustein „ORP.3: Sensibilisierung und Schulung zur Informationssicherheit“ des BSI IT-Grundschutzes hervor. Bereits im Rahmen des Onboardings ist sicherzustellen, dass die Nutzer mit den grundlegenden Anforderungen und Richtlinien vertraut gemacht werden. Ergänzend hierzu sollten zeitnah weitere Sensibilisierungsmaßnahmen durchgeführt werden, um die Thematik gegenwärtig und präsent zu halten. Im weiteren Verlaufe können zu aktuellen oder besonders sensiblen Schwerpunkten weitere Maßnahmen ergriffen werden.

Von entscheidender Bedeutung ist es dabei, ein gutes Maß an Sensibilisierungsmaßnahmen zu finden. Während eine unzureichende Sensibilisierung die Wirksamkeit der übrigen getroffenen technischen und organisatorischen Maßnahmen erheblich abschwächt, kann eine Übersensibilisierung aufgrund der Informationsfülle ebenfalls zu einer Abschwächung des Schutzniveaus führen. Abhilfe kann insbesondere ein Sensibilisierungskonzept schaffen, welches dabei insbesondere aktuelle Bedrohungsszenarien und die spezifischen Anforderungen der jeweiligen Organisation berücksichtigt. Mittels eines solchen Konzeptes lässt sich zudem unter Zuweisung von Verantwortlichkeiten ein zeitlich und inhaltlich koordiniertes Awareness-Management dokumentiert nachweisen.

Zu berücksichtigen ist in jedem Falle, dass es auch mit einer einmaligen Durchführung von Sensibilisierungsmaßnahmen nicht getan ist, sondern diese regelmäßig wiederholt werden sollten. Die stetige Berücksichtigung aktueller Bedrohungsszenarien und Angriffsmodelle vermeidet dabei repetitive Inhalte.

Eine umfassende Darstellung der sich ergebenden Sicherheitsrisiken sowie Umsetzungsmöglichkeiten für Sensibilisierungsmaßnahmen können Sie unserem Beitrag „Die menschliche Firewall – Der Nutzer als Sicherheitsrisiko?“ entnehmen, welcher in der Ausgabe Nr. 06/2021 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Awareness
  • Informationssicherheit
  • IT-Sicherheit
  • Meldepflichten
  • Sensibilisierung
Lesen

EMOTET – AKTUELLE INFORMATIONEN

Die bekannteste Schadsoftware-Familie Emotet breitet sich erneut rasant aus. Mehr als 27.800 Varianten wurden durch Experten von GDATA im ersten Halbjahr 2020 bisher identifiziert. Durch die neuste Version wird dem Nutzer suggeriert, dass für die Nutzung von Microsoft Word ein Upgrade notwendig sei, damit die Inhalte einer Datei aufgerufen werden können. Die Nachrichten nutzen Social Engineering, um Nutzer davon zu überzeugen, den Dateianhang zu öffnen. Anknüpfungspunkte sind beispielsweise Rechnungen, Versandinformationen, Lebensläufe, Details zu einer Bestellung oder wichtige Informationen zur COVID-19-Pandemie. Insbesondere das aktuelle Infektionsgeschehen rund um die COVID-19-Pandemie wird immer wieder als Aufhänger genutzt (bspw. über Bereitstellung von Schutzmasken, Beantragung von Krediten und Förderungen sowie Empfehlungen und Ratschlägen der WHO oder des Bundesministeriums für Gesundheit).


WAS IST EMOTET?

Bei Emotet handelt es sich um eine Schadsoftware, die ursprünglich als Trojaner zur Manipulation von Online-Banking-Transaktionen entwickelt wurde. Mittlerweile hat sich der Virus jedoch als eine Art Allzweckwaffe der Cyberkriminellen etabliert. Der Grund hierfür ist eine einzigartige Flexibilität und Funktionalität des Schädlings. Emotet fungiert in vielen Fällen lediglich als „Türöffner“. Es handelt sich um einen sog. Maleware-Distributor. Die Gefahr durch Emotet liegt außerdem darin, dass bei einer Infektion neben den E-Mail-Kontakten des Nutzers auch Kommunikationsinhalte ausgelesen werden.


WIE FUNKTIONIERT EMOTET?

Der Trojaner ist in der Lage, authentisch aussehende E-Mails zu verschicken. Emotet erlangt die entsprechendenInformationen durch das Auslesen von Kontaktbeziehungen und E-Mail-Inhalten aus den Postfächern infizierter Systeme. Diese Informationen nutzen die Täter zur weiteren Verbreitung des jeweiligen Schadprogramms. Es werden gezielt E-Mails verschickt, die scheinbar von bereits bekannten Kontakten kommen und oft auch Auszüge aus einer früheren Kommunikation enthalten. Aufgrund der korrekten Angabe der Namen und E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken diese Nachrichten authentisch. Sprachlich weisen die E-Mails kaum noch Fehler in Rechtsschreibung oder Grammatik auf. Dies verleitet zum unbedachten Öffnen des infizierten Dateianhangs oder der in der Nachricht enthaltenen Links.

Ist das System erst einmal infiziert, lädt Emotet weitere Schadsoftware nach, wie zum Beispiel den Banking-Trojaner Trickbot. Es kann aber grundsätzlich jede Art von Malware entalten sein, welche Zugangsdaten ausspäht und den Cyberkriminellen einen Zugriff auf die IT-Infrastruktur gewährt. Emotet durchsucht das Adressbuch und Kommunikationen seiner Opfer und verbreitet sich im Anhang von vermeintlich authentischen E-Mails im Schneeballsystem immer weiter. Außerdem wird eine Verbreitung im gesamten Netzwerk des Opfers möglich. Die Schadprogramme führen zu einem Datenabfluss oder ermöglichen durch Verschlüsselung die vollständige Kontrolle über das System. Bei Verschlüsselung folgt meist eine Lösegeldforderung zur Wiederherstellung der Dateien.


WIE KANN MAN SICH SCHÜTZEN?

Neben allgemein erforderlichen technischen und organisatorischen Maßnahmen wie bspw. Installation von Sicherheitsupdates für Betriebssystem und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.), regelmäßige Backups und Einschränkungen von administrativen Benutzer-Rechten kann der bedeutsamste Schutz durch das Deaktivieren von Makros in Office-Anwendungen erreicht werden. Setzen Sie zudem eine Antiviren-Software ein und aktualisieren Sie diese immer wieder. Viele Infektionsfälle betreffen E-Mails mit angehängten .doc-Dateien, also veralteten Word-Versionen. Es empfiehlt sich, derartige Anhänge generell abzuweisen.

Ein Erkennungsmerkmal ist, dass im Absenderfeld der Name nicht zur angezeigten E-Mail-Adresse passt. Auffallend sind zudem ein sehr kurzer Text sowie Dateianhänge oder eingefügte Links mit der Aufforderung, diese zu öffnen. Die Schadsoftware verbirgt sich dann entweder im angehängten Dokument oder auf der verlinkten Website. Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Links und Anhänge sollten keinesfalls sorglos geöffnet werden. Eine entsprechende Sensibilisierung der Beschäftigten ist daher in jedem Fall ratsam, da der wohl entscheidendste Sicherheitsfaktor der Mensch bleibt. Wird im eigenen Posteingang eine verdächtige Nachricht eines bekannten Absenders erkannt, sollte der angegebene Absender informiert werden.


WAS IST BEI EINER INFIZIERUNG ZU TUN?

Informieren Sie Ihr Umfeld – und zuerst die IT – über die Infektion, denn Ihre E-Mailkontakte sind in diesem Fall besonders gefährdet. Die Schäden können sowohl wirtschaftlich als auch datenschutzrechtlich immens sein. Die Folge einer Infektion durch Emotet ist häufig ein großflächiger oder nahezu vollständiger Ausfall der IT-Infrastruktur. Aus diesen Gründen sollten in jedem Fall die betroffenen Rechner von Netzwerk isoliert werden. Anschließend müssen alle Schadkomponenten entfernt werden. Alle bei dem betroffenen System genutzten Zugangsdaten sind im Regelfall zu ändern, da diese abgegriffen werden konnten.


IST EINE MELDUNG AN DIE AUFSICHTSBEHÖRDE UND EINE INFORMATION AN DIE BETROFFENEN NOTWENDIG?

Sollte es zu einer Infektion durch Emotet kommen, liegt eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO, weshalb eine ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO verpflichtend ist.

Eine Information an das betriebliche Umfeld ist schon deshalb sinnvoll, da nur so eine Ausbreitung von Emotet gestoppt werden kann. Bestehende Kontakte bzw. Kommunikationspartner werden mit hoher Wahrscheinlichkeit auf Grund der abgegriffenen Daten attackiert. Durch eine entsprechende Information besteht die Chance, dass eine Vorbereitung auf einen personalisierten Angriff ermöglicht wird. Datenschutzrechtlich besteht gemäß Art. 34 DS-GVO sogar eine Verpflichtung zur Benachrichtigung der Betroffenen, falls ein hohes Risiko für diese vorliegt – bei einer Emotet-Infektion ist davon auszugehen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Datenschutzverletzung
  • Emotet
  • Informationssicherheit
  • IT-Sicherheit
  • Schadsoftware
Lesen

[R]ECHT KOMPAKT! – BLOG

Das Dresdner Institut für Datenschutz begrüßt Sie als Leser des [R]echt Kompakt! – Blog. In kurzen und verständlichen Beiträgen wollen wir Ihnen auf diesen Seiten zukünftig aktuelle Themen des Datenschutzes und der Informationssicherheit näher bringen, Rechtsprechungen erläutern und pragmatische Lösungsmöglichkeiten aufzeigen. Über die RSS-Funktion können Sie sich darüber hinaus ganz komfortabel und ohne Registrierung über neue Beiträge informieren lassen.

Wir wünschen Ihnen mit den folgenden Beiträgen viel Freude. Gern können Sie uns über den auf der Startseite veröffentlichten Kontaktdaten Ihr Feedback oder Anregungen zu zukünftigen Themen mitteilen.

Ihr Team des Dresdner Instituts für Datenschutz

    Tags:
  • Beiträge
  • Blog
  • Datenschutz
  • DID
  • Dresdner Institut für Datenschutz
  • Informationssicherheit
Lesen