BSI: Unternehmensleitung darf Management von Cyberrisiken nicht wegdelegieren

Unternehmen werden heute regelmäßig Opfer von Cyberangriffen und die Bedrohungslage hat ein nie da gewesenes Ausmaß erreicht. Das Bundesamt für Sicherheit in der Informationstechnik plädiert dafür, dass sich die Unternehmensleitung dieser Tatsache bewusst sein muss, um Cybersicherheit als wichtigen Bestandteil des Risikomanagements etablieren zu können.

Das Handbuch „Management von Cyber-Risiken“ , das in Zusammenarbeit mit der Internet Security Alliance (ISA) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, erhält nun ein umfassendes Update. Es beschäftigt sich mit einer umfassenden Unternehmenskultur, die Cybersicherheit ständig im Blick hat und somit die Widerstandsfähigkeit von Unternehmen erhöht. Die aktualisierte Version des Handbuchs wurde am 22.03.2023 veröffentlicht.

Die Forderungen lassen sich auf die Einhaltung von sechs Prinzipien verdichten:

  1. Cybersicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen:
    Die Unternehmensleitung muss die Cybersicherheit nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko verstehen und angehen.
  2. Rechtliche Auswirkungen von Cyberrisiken verstehen:
    Die Unternehmensleitung sollte die rechtlichen Auswirkungen von Cyberrisiken in Bezug auf die individuellen Anforderungen ihres Unternehmens verstehen.
  3. Zugang zu Cybersicherheits-Expertise sowie regelmäßigen Austausch sicherstellen:
    Die Unternehmensleitung sollte einen angemessenen Zugang zu Cybersicherheits-Expertise fordern. Diskussionen über Cyberrisikomanagement sollten regelmäßig und in angemessenem Umfang auf die Tagesordnung gesetzt werden.

Das Hinweisgeberschutzgesetz (HinSchG) kommt!

Nachdem Bundestag und Bundesrat den Empfehlungen des Vermittlungsausschusses zugestimmt haben, tritt das Gesetz bereits Mitte Juni 2023 in Kraft! Ab diesem Zeitpunkt werden Unternehmen ab 250 Beschäftigte dazu verpflichtet sein, Whistleblowing in einem geschützten Rahmen zu ermöglichen. Für Unternehmen ab 50 Beschäftigte gilt dies ab dem 17. Dezember 2023. Betroffene Unternehmen müssen jetzt handeln und die erforderliche interne Meldestelle einrichten.

Wir helfen bei der Umsetzung!

BayLDA: Prüfung zu Stellung und Aufgaben von DSBs

Knapp fünf Jahre nach dem Geltungsbeginn der Datenschutz-Grundverordnung startet heute die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat. Michael Will, Präsident des BayLDA erläutert das Ziel der gemeinsamen europaweiten Prüfung: “Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartner:innen der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen. Sie leisten Tag für Tag einen zentralen Beitrag für das Gelingen datenschutzgerechter Digitalisierung. Mit der Datenschutz-Grundverordnung wurde ihre Stellung im Unternehmen als vorgelagerte Beratungs- und auch Kontrollinstanz nochmals gestärkt. Die gemeinsame Prüfaktion bildet den Rahmen für eine genaue Analyse der heutigen Handlungsbedingungen in der betrieblichen Praxis und den Austausch der Datenschutzbehörden über mögliche Verbesserungen oder auch Abhilfemaßnahmen. Wir werden versuchen, die Ergebnisse unserer Untersuchungen so rasch wie möglich auszuwerten und unsere Schlussfolgerungen damit für alle der mehr als 36.000 bei uns gemeldeten Datenschutzbeauftragten nutzbar zu machen.“


Zum Hintergrund:

Der Europäische Datenschutzausschuss hatte bereits in seiner konstituierenden Sitzung am 25. Mai 2018 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) verabschiedet, die gemeinsam mit mehreren aktuellen Entscheidungen des Europäischen Gerichtshofs, u.a. vom 22. Juni 2022 und 27. Oktober 2022, grundlegende Maßstäbe für die gemeinsame Prüfaktion der europäischen Datenschutzaufsichtsbehörden vermitteln. Im Mittelpunkt der Prüfung stehen neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Insbesondere die Ausübung von Zusatzfunktionen kann dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen bzw. Personalverantwortlichen. Ein besonderes Augenmerk gilt außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben. Präsident Will erläutert hierzu: „Auf Grundlage unserer Prüfbefugnisse werden wir die Handlungsbedingungen der betrieblichen Datenschutzbeauftragten gezielt in den Blick nehmen und uns sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen. Wir werden sehr genau hinterfragen, wie Datenschutzbeauftragte, die nur über eine sog. dotted line über verschiedene Hierarchieebenen hinweg an die Unternehmensleitung herantreten können, dem Erfordernis jederzeitiger unmittelbarer Berichtsrechte genügen, um so ein klares Bild zur Situation der Datenschutzorganisation zu vermitteln und Fehlentwicklungen entgegenzutreten.“

https://www.lda.bayern.de/media/pm/pm2023_03.pdf

200 Jahre Ohm – Die Technische Hochschule Nürnberg feiert Jubiläum

Die TH Nürnberg feiert ihr 200-jähriges Bestehen.

1823 als „Städtische Polytechnische Schule“ gegründet, wurde sie bereits früh von Physiker Georg Simon Ohm geprägt: Zunächst als Professor, ab 1839 als ihr Rektor.

Heute trägt sie seinen Namen: Technische Hochschule Nürnberg Georg Simon Ohm.

An der TH Nürnberg studieren derzeit mehr als 13.000 Studierende in über 60 Studiengängen an dreizehn Fakultäten.

Zum 200-jährigen Jubiläum zeigt sich Nürnbergs größte Hochschule in all ihren Facetten mit einem abwechslungsreichen Veranstaltungsprogramm an unterschiedlichen Orten in der ganzen Stadt.

Link zu den Veranstaltungen: https://www.th-nuernberg.de/veranstaltungen/jubilaeum/veranstaltungen/

KfW: Mittelständler häufig Ziel von Cyberattacken

Rund 29 % aller mittelständischen Unternehmen in Deutschland sind in den Jahren 2018-2020 Opfer von Cyberkriminalität geworden. Die Betroffenheit steigt mit der Breite und Intensität von Digitalisierungsaktivitäten und der Größe der mittelständischen Unternehmen. Wesentlicher Grund hierfür ist eine Kombination aus einer größeren Angriffsfläche dieser Unternehmen und unzureichenden Schutzvorkehrungen. Dies zeigt eine Sonderauswertung des jüngsten repräsentativen KfW-Mittelstandspanels.

Der stark ausgeprägte Zusammenhang zwischen Unternehmensgröße und der Betroffenheit von Cyberkriminalität zeigt sich darin, dass 28 % der kleineren Unternehmen mit weniger als fünf Beschäftigten Cyberkriminellen zum Opfer gefallen sind, aber 49 % der Unternehmen mit 100 oder mehr Beschäftigten. Ein wichtiger Grund hierfür ist, dass Cyberkriminelle vor allem umsatzstärkere Unternehmen im Blick haben. Die Analyse macht zudem deutlich, dass größere mittelständische Unternehmen häufiger zu den digitalen Vorreitern zählen und damit eine größere Angriffsfläche für potenzielle Cyberattacken bieten. Dabei nimmt die Betroffenheit von Cyberangriffen sowohl mit der thematischen Breite als auch mit der Intensität von Digitalisierungsaktivitäten zu. So waren insgesamt 45 % der Unternehmen mit vier oder mehr verschiedenen Projektarten sowie 43 % der Unternehmen mit Digitalisierungsausgaben in Höhe von mindestens 10.000 EUR von Cyberkriminalität betroffen. Unter den Unternehmen mit Digitalisierungsstrategie, welche als Indikator für besonders ambitionierte Digitalisierungsaktivitäten gilt, waren mit 37 % ebenfalls überdurchschnittliche viele Unternehmen Opfer von Cyberattacken. Zwischen einzelnen Wirtschaftszweigen gibt es dagegen kaum Unterschiede. So waren im Untersuchungszeitraum in allen Wirtschaftszweigen zwischen 28 % und 30% der Unternehmen von Cyberkriminalität betroffen. Lediglich Unternehmen des Forschungs- und Entwicklungsintensiven Verarbeitenden Gewerbes waren mit 35 % vergleichsweise häufiger von Angriffen betroffen.

Die Hauptbedrohung im Cyberraum geht von der Erpressung von Löse- oder Schweigegeld aus. Auch die gezielte Überlastung von Internetseiten ist eine weit verbreitete Angriffsmethode. Die Notwendigkeit von Schutzvorkehrungen zur Abwehr solcher Bedrohungen wird dabei insbesondere von kleinen und mittleren Unternehmen verkannt. Oft fehlt es ihnen an Personal mit fachlicher Expertise zum Thema IT-Sicherheit. Folglich bleiben notwendige Investitionen in IT-Sicherheit aus. Mittelständler, welche sich der Bedrohungslage bewusst sind, haben angesichts des Fachkräftemangels bei IT-Experten oftmals große Schwierigkeiten, geeignetes Personal zu rekrutieren oder geeignete externe IT-Dienstleister zu identifizieren.

„Vor allem kleine und mittlere Unternehmen müssen für die Bedrohungen durch Internetkriminalität sensibilisiert und dabei unterstützt werden, Know-how zur IT-Sicherheit aufzubauen“, sagt Dr. Fritzi Köhler-Geib, Chefvolkswirtin der KfW. Eine Bündelung bestehender Informationsplattformen könnte ein Weg sein, um die Transparenz hinsichtlich der von Cyberkriminalität ausgehenden Bedrohungslage zu erhöhen. Darüber hinaus ließen sich viele IT-Sicherheitsvorfälle durch entsprechende Schulungen, Trainings und regelmäßige Auffrischungskurse vermeiden. „Verbesserte Kenntnisse im Bereich IT-Sicherheit in den Unternehmen ermöglichen einen höheren Schutz vor Cyberkriminalität. Gleichzeitig können sie zu einer Stärkung der Digitalisierungsaktivitäten im Mittelstand beitragen. Denn die Anforderungen an Datenschutz und Datensicherheit sind immer noch das am häufigsten genannte Digitalisierungshemmnis im Mittelstand,“ so Dr. Fritzi Köhler-Geib.

Die aktuelle Studie ist abrufbar unter:


www.kfw.de/fokus

Zum Datenhintergrund:
Die Analyse zu Cyberkriminalität im Mittelstand basiert auf einer Auswertung der Hauptbefragung zum KfW-Mittelstandspanel 2021. Zur Grundgesamtheit des KfW-Mittelstandspanels gehören alle privaten Unternehmen sämtlicher Wirtschaftszweige, deren Umsatz die Grenze von 500 Mio. EUR pro Jahr nicht übersteigt. An der Hauptbefragung (Befragungszeitraum: 15.02.2021 bis 25.06.2022) haben sich 11.403 mittelständische Unternehmen beteiligt.

Trend Micro: Cybervorfälle häufig bei Auto-Zulieferern

Trend Micro hat eine Studie zur Cybersicherheit im Automobilsektor veröffentlicht. Die Analyse von mehr als 50 signifikanten Sicherheitsvorfällen zwischen Januar 2021 und Juni 2022 zeigt: Alle Bereiche entlang der Produktions- und Lieferkette sind betroffen. Besonders gefährdet sind die Zulieferer.

Am häufigsten kommt es zu Ransomware-Attacken und Datendiebstahl. Außerdem identifiziert der japanische IT-Sicherheitsspezialist Hochrisiko-Bereiche von vernetzten Autos und stellt Security-Prognosen für 2023 auf.

Die Automobilbranche steht unter Druck, die Transformation zur Elektromobilität zu meistern. Durch die Energiekrise hat die Entwicklung weiter an Fahrt aufgenommen. Immer mehr E-Autos kommen auf die Straße. Doch der Wandel in der Branche erhöht auch das Risiko für Sicherheitslücken, die gefährlich für Hersteller, Lieferanten und Kunden sein können. Cyberkriminelle nutzen Schwachstellen entlang der gesamten Produktions- und Lieferkette aus. Laut der Studie von VicOne, dem auf Automotive Cybersecurity spezialisierten Tochterunternehmen von Trend Micro, sind Zulieferer am häufigsten betroffen: Sie waren in 67 Prozent der untersuchten Vorfälle involviert.

Gerade kleinere Lieferanten sind oft schlechter vor Cyberangriffen geschützt und brauchen länger, um sich wieder zu erholen. Dies führt zu Produktionsverzögerungen bis hin zu Ausfällen. Das größte Risiko sind derzeit Ransomware-Attacken. Im Studienzeitraum waren 43 Unternehmen aus der Automobilindustrie Opfer solcher Angriffe. Am häufigsten kam dabei Malware aus der Conti-Familie zum Einsatz. Außerdem gab es neun Daten-Vorfälle. Vor allem Kundeninformationen (41,7 Prozent) und sensible Unternehmensinformationen (16,7 Prozent) wurden gestohlen.

BayLfD: Arbeitspapier zu Löschen oder Archivieren

Ein effektives Datenschutzmanagement erfordert vom Verantwortlichen sich nicht nur, sich Gedanken um die Zulässigkeit der Datenerhebung zu machen. Der datenschutzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch auf den Vorgang des Löschens.
Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist“. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.
In der Praxis kann sich die Frage stellen, ob der Verantwortliche durch die Archivierung von personenbezogenen Daten den Datenschutz umsetzen kann oder vielleicht sogar muss (Archivierung als Löschungssurrogat).
Den damit zusammenhängenden Fragen widmet sich ein Arbeitspapier (Löschung oder Archivierung?), das der Bayerische Landesbeauftragte für den Datenschutz als Datenschutz-Aufsichtsbehörde für den bayerischen öffentlichen Sektor und die Generaldirektion der Staatlichen Archive Bayerns als zentrale staatliche Fachbehörde für alle Fragen des Archivwesens gemeinsam erarbeitet haben. Das Arbeitspapier skizziert die wesentlichen Aspekte der archivrechtlichen Aufbewahrungs- und der datenschutzrechtlichen Löschungsregelungen; es behandelt Gemeinsamkeiten, Unterschiede und grundlegende Wertungen, die im Schnittbereich beider Rechtsmaterien auftauchen.
Es charakterisiert die Archivierung als Löschungssurrogat und geht – unter Berücksichtigung der je eigenen Perspektive von Datenschutz- und Archivrecht – auf die Frage der Aufbewahrungsdauer ein. Der Aspekt der datenschutzrechtlichen Informationspflichten bei der Archivierung von Unterlagen bleibt ebenfalls nicht unbeachtet. Damit stellt das Arbeitspapier auch einen guten Ratgeber für die Herausforderungen dar, denen sich Verantwortliche nicht nur aus dem öffentlichen Bereich im Rahmen der Digitalisierung konfrontiert sehen. Damit dürfte das Arbeitspapier auch für Verantwortliche aus dem privatrechtlichen Bereich hilfreiche Anregungen bieten, die die Verarbeitung personenbezogener Daten im Spannungsfeld von Datenschutz- und Archivrecht organisieren müssen.

BfDI untersagt Betrieb der Fanpage der Bundesregierung

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 22.02.2023

Der BfDI, Professor Ulrich Kelber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI zu Beginn der Woche versendet. Das BPA hat ab Erhalt des Bescheids vier Wochen Zeit diesen umzusetzen.

Der BfDI sagte dazu: „Ich habe lange darauf hingewiesen, dass der Betrieb einer Facebook Fanpage nicht datenschutzkonform möglich ist. Das zeigen unsere eigenen Untersuchungen und das Kurzgutachten der Datenschutzkonferenz. Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich. Ich finde es wichtig, dass der Staat über soziale Medien erreichbar ist und Informationen teilen kann. Das darf er aber nur, wenn die Grundrechte der Bürgerinnen und Bürger gewahrt bleiben.“

Da sich insbesondere die Interessen von Betreibenden von Fanpages und von Meta ergänzen, besteht nach Einschätzung des BfDI eine gemeinsame Verantwortlichkeit für die Verarbeitung der bei Nutzung der Fanpage erhobenen personenbezogenen Daten. Das BPA muss als Verantwortlicher nachweisen können, dass die Grundsätze des Datenschutzrechts eingehalten werden. Einen solchen Nachweis konnte das BPA im Verfahren nicht zur aufsichtsbehördlichen Überzeugung erbringen. Der BfDI kritisiert insbesondere, dass es nach seiner Begutachtung hier bislang an einer wirksamen Rechtsgrundlage für die Datenverarbeitung fehlt. Außerdem muss nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz für die Verwendung nicht unbedingt erforderlicher Cookies und ähnlicher Trackingtechnologien eine Einwilligung eingeholt werden. Im Falle der Facebook Fanpages wird eine solche Einwilligung jedoch nach Ergebnis der aufsichtsbehördlichen Prüfungen derzeit nicht wirksam eingeholt.

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI zu klagen.

Dokument aus dem Verwaltungsverfahren:

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

EDSA entscheidet über Cookie-Banner und Cloud-Dienste 

Der Europäische Datenschutzausschuss (EDSA) ist in seiner gestrigen Sitzung mit der Task Force Cookie-Banner sowie mit seiner koordinierten Maßnahme zu Cloud-Diensten zu Ergebnissen gekommen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die Fortschritte zu einer einheitlicheren Aufsicht in diesen Bereichen.

Dazu sagte der BfDI: Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet. Wenn Webseitenbetreibende aber unbedingt personenbezogene Daten sammeln wollen, dann dürfen sie sich eine Einwilligung dafür nicht mit unfairen oder rechtswidrigen Mitteln holen. Nach den Richtlinien zu trügerischen Designmustern habe ich mich mit meinen Kolleginnen und Kollegen im EDSA jetzt darauf geeinigt, wie wir das in der Aufsicht möglichst einheitlich umsetzen. Die Ergebnisse des Abschlussberichts der Task Force Cookie-Banner entsprechen nun zum größten Teil dem, was wir in Deutschland schon in der Orientierungshilfe Telemedien festgehalten haben.

Der EDSA hat außerdem seine erste koordinierte Durchsetzungsmaßnahme durchgeführt. Dabei haben die EDSA-Mitglieder die Nutzung von Cloud-Diensten bei öffentlichen Einrichtungen untersucht. Professor Kelber sieht sich durch die Ergebnisse der Untersuchung bestärkt: Meine Behörde berät die Bundesregierung beispielsweise zum Thema souveräne Cloud, unter anderen in den Gremien des IT-Rats und des IT-Planungsrats. Wir betonen dabei immer wieder, dass gerade mit Blick auf die Schwierigkeiten internationaler Datentransfers bei Cloud-Projekten der Datenschutz von Anfang an mitgedacht werden muss. Der EDSA sorgt dafür, dass wir auch hier eine europaweit einheitliche Linie haben.

Die Pressemitteilung des EDSA zur Sitzung finden Sie hier.

Quelle: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/02_EDSA-Cookie-Banner-Cloud-Dienste.html?nn=251944

BSI: Weltweiter Ransomware-Angriff

Bei einem weltweit breit gestreuten Ransomware-Angriff wurden laut Medienberichten tausende ESXi-Server, die u. a. zur Virtualisierung von IT-Fachverfahren genutzt werden, verschlüsselt. Der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada, auch weitere Länder sind betroffen.

Nach derzeitigem Kenntnisstand wird davon ausgegangen, dass dabei die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor ausgenutzt wird. Das BSI hatte zu dieser Zeit vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt. Zum aktuellen IT-Sicherheitsvorfall hat das BSI nun eine Cyber-Sicherheitwarnung mit entsprechenden Schutzmaßnahmen veröffentlicht.

Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich.

Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im engen Austausch mit seinen internationalen Partnern. Das BSI wird über aktuelle Erkenntnisse informieren.

* ESX und ESXi sind Bezeichnungen von Hypervisoren von VMware zur Virtualisierung von Servern, Rechenzentren und Rechnersystemen. ESX steht hierbei für „Elastic Sky X“, ESXi bedeutet „Elastic Sky X integrated“.

Quelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2023/230206_ESXi-Schwachstelle-massiv-ausgenutzt.html