BayLDA: Fragebogen „Sind Sie fit für die DS-GVO?“

Halbzeit auf dem Weg zum europäischen Datenschutzrecht

Am 25. Mai 2016 ist die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Wirksam wird sie aber erst am 25. Mai 2018. Dies bedeutet, dass am 25. Mai 2017 die Hälfte der Vorbereitungszeit auf das neue Recht abgelaufen ist. Das Bayerische Landesamtes für Datenschutzaufsicht (BayLDA) nimmt diesen Tag zum Anlass, ca. 150 bayerischen Unternehmen unter Zugrundelegung des künftigen Rechts einen Prüffragebogen zuzuschicken, damit diese Unternehmen feststellen können, wie weit sie mit der Vorbereitung auf das neue Recht schon gekommen sind.

Die Fragen sind auf die Umsetzung der DS-GVO abgestellt und erwarten keinen Rücklauf, sondern können als Gradmesser der Umsetzung intern eingesetzt werden.

Testfragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA)

Smart City Barcelona: Die Daten gehören den Menschen

Barcelona ist in Europa Vorreiter beim Thema Smart City. Allerdings plant die Stadtverwaltung ohne große IT- und Internet-Anbieter. Francesca Bria, die verantwortliche Leiterin, will so die Privatisierung der Daten verhindern und sie vielmehr als gesellschaftliches Vermögen behalten und auswerten.

“Es gibt keine digitale Revolution ohne Demokratie”, sagte Francesca Bria, Chief Technology and Digital Innovation Officer der Stadt Barcelona, auf einer Podiumsdiskussion während der Konferenz Re:publica 17 diese Woche in Berlin. “Deshalb denken wir die Digitalisierung Barcelonas zunächst aus der Sicht der Bürger – und starten bei unseren Überlegungen ben nicht mit der Technologie und dem was theoretisch möglich wäre.”

Der spanische Staat hat die Digitalisierung der Städte beschlossen und die Richtlinien dafür vorgegeben. Doch die Verantwortung für die Umsetzung liegt bei den einzelnen Stadtverwaltungen. Gemeinsam mit ihrem Team überdenkt Bria seit ihrer Ernennung vor fast genau einem Jahr, die bisherige Smart-City-Agenda. “Wir überlegen uns, was die Bürger wirklich brauchen. Von da aus starten wir.”

Das Ziel sei es, die Infrastruktur eigenständig aufzubauen und sie selber zu betreiben. “Wenn die Plattform steht, geben wir Unternehmen aus Barcelona und der Umgebung die Möglichkeit, ihre Software und ihre Apps hier anzubieten.”

Damit sieht sie sich im Widerspruch zu den Angeboten der großen IT-Hersteller. “Smart City ist ein im Grunde ein Konzept, dass sich die Anbieter auf Grund ihrer Technologien ausgedacht haben”, erklärt Bria. Indirekt haben das die Analysten von Gartner schon vor rund zwei Jahren bestätigt.

Fazit ihrer umfasenden Smart-City-Studie war schon damals: “Die größte Erkenntnis ist, dass die meisten Investitionen in das Internet der Dinge in Städten von der Industrie und Wirtschaft kommen und nicht vom öffentlichen Sektor getätigt werden.” Dies bedeute allerdings auch, dass sich die Wirtschaftlichkeitsberechnungen an betriebswirtschaftlichen ausgerichtet werden und daher Dienstleister mit Netzwerkbetreibern zusammenarbeiten, “um die richtigen Daten, und nicht nur Massendaten, aus dem IoT zu erhalten und zügig sowie marktorientiert intelligente Dienste anzubieten.”

Hier grätscht Bria dazwischen: “Aber so denken wir nicht. Die Technologie ist ganz sicher ein Teil einer smarten Stadt. Aber wir denken, dass die Demokratie die Technologie führen soll – und nicht umgekehrt.” Damit geht sie noch über die von Gartner vor zwei Jahren aufgestellte Forderung hinaus, dass Kommunen und Stadtverwaltungen die “große Aufgabe der Governance” zufallen müsse.

Um die zu erfüllen, müüssten die Kommunen “Grundsatzentscheidungen über Datenbesitz, Identitätsmanagement von Daten, Persönlichkeitsrechten, dem Stand von Urheberrechten und Lizenzkriterien, sowie der Förderung von wissensbasierten Innovationen durch gleichberechtigten Zugriff und Verständnis von Kerndaten und Informationen” treffen.

Diese Grundsatzentscheidungen hat Barcelona offenbar bereits getroffen: Die Provider seien als Partner der Stadt herzlich willkommen, erklärt Bria. “Aber wir werden uns nicht von den Providern abhängig machen. Oder uns von ihnen die Regeln diktieren lassen.”

Die Entscheidung in Barcelona sei, dass sich die Politik gegen die Disruption der Stadt und für eine “technische Souveränität” ausgesprochen habe. “Wir wollen Nachhaltigkeit, soziales Wohnen, schlaue Verkehrsteuerung”, betont Bria. “Deshalb werden wir nicht mit Plattformen wie Uber oder AirBnB arbeiten und damit die Daten der Stadt an Unternehmen herausgeben.” Denn sie sei der Überzeugung, dass die Daten der Stadt den Menschen gehören: “Daten dürfen nicht privatisiert werden!”

vzbv: Schluss mit lästigen Werbeanrufen

Nach Bundesratsbeschluss: vzbv fordert rasches Handeln

  • Bundesrat beschließt Gesetzesinitiative, um unerlaubte Telefonwerbung zu bekämpfen.
  • Das Unterschieben von Verträgen soll endlich ein Ende haben.
  • vzbv fordert von Politik, rasch und konsequent zu handeln.

Verbraucherinnen und Verbraucher beschweren sich immer häufiger über unerlaubte Werbeanrufe. Am 12. Mai 2017 hat der Bundesrat beschlossen, einen Gesetzentwurf zur Stärkung des Verbraucherschutzes bei Telefonwerbung beim Deutschen Bundestag einzubringen. Die Länder wollen lästigen Werbeanrufen durch Entzug des wirtschaftlichen Anreizes ein Ende setzen. Der vzbv begrüßt diese Initiative und fordert die Bundesregierung und den Bundestag auf, die vorgeschlagenen Regelungen noch in dieser Legislaturperiode umzusetzen.

„Konsequentes gesetzliches Handeln bei unerlaubter Telefonwerbung ist überfällig“, sagt Heike Schulze, Referentin für Recht und Handel beim Verbraucherzentrale Bundesverband (vzbv). „Es ist nach wie vor ein großes Problem, dass Verbraucher durch unerwünschte Werbeanrufe belästigt und ihnen auf diesem Wege Verträge untergeschoben werden. Das muss endlich unterbunden werden. Nun können Regierung und Abgeordnete zeigen, ob ihnen der Schutz der Verbraucher vor solch üblen Maschen wirklich wichtig ist.“

Wirtschaftlichen Anreiz entziehen

Werbeanrufe ohne vorherige Einwilligung des Verbrauchers sind seit 2009 verboten. Die bei solchen Telefonaten mündlich geschlossenen Verträge sind aber trotzdem in den meisten Fällen gültig. „Für unseriöse Unternehmen besteht bislang ein wirtschaftlicher Anreiz, Verbraucher mit unerbetenen Werbeanrufen zu überrumpeln und ihnen dabei nicht erwünschte Verträge unterzuschieben“, so Schulze. Hier setzt die nun auf den Weg gebrachte Gesetzesinitiative an. Sie sieht vor, dass die bei Werbeanrufen geschlossenen Verträge nur wirksam sind, wenn Verbraucher das anschließend bereitgestellte Angebot in Textform, beispielsweise per Mail, genehmigen. Von Verbrauchern ausgehende telefonische Bestellungen wären weiterhin ohne eine solche Genehmigung möglich.

Zahlen belegen Handlungsbedarf

Neue Zahlen bestätigten die Notwendigkeit, endlich konsequent zu handeln. Die Ende März veröffentlichte Evaluation des Gesetzes gegen unseriöse Geschäftspraktiken zeige, dass jährlich rund 25.000 Beschwerdefälle wegen unerwünschter Telefonwerbung eingegangen seien. Für das Jahr 2016 verzeichnete die Bundesnetzagentur sogar einen Anstieg auf mehr als 29.000 Fälle. Dabei sei von einer hohen Dunkelziffer auszugehen. Die Zahlen zeigten auch, dass bisherige Maßnahmen keinen durchschlagenden Erfolg gebracht hätten.

Politik jetzt in der Pflicht

„Mit der Initiative stehen die Bundesregierung und der Deutsche Bundestag nun in der Pflicht, endlich verbraucherschützend einzugreifen. Der vzbv fordert schon seit mehr als zehn Jahren, die wirtschaftliche Attraktivität solcher Vorgehensweisen zu beseitigen. Nur so ist eine Besserung der Lage zu erwarten“, so Schulze. Die neue Möglichkeit müsse genutzt werden. Der Bundestag sollte daher das Gesetz noch in der laufenden Legislaturperiode verabschieden.

vzbv: Bundesrat verabschiedet Gesetz zum Datenschutz – Europarechtliche Zweifel bleiben bestehen

Der Bundesrat hat seine Zustimmung für ein Gesetz zum Datenschutz gegeben, mit dem das nationale Recht an die europäische Datenschutzgrundverordnung (DSGVO) angepasst werden soll („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“).

Hierzu Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv):

„Der vzbv begrüßt, dass im Laufe des parlamentarischen Prozesses die Entwürfe des Bundesministeriums des Innern sowie der Bundesregierung in wesentlichen Punkten nachgebessert wurden. Anders als im Referentenentwurf vorgesehen, können Unternehmen den Nutzungszweck von erhobenen Daten nicht über die Vorgaben der Datenschutzgrundverordnung hinaus ändern. Außerdem wurden die bisherigen verbraucherschützenden Regelungen zum Kreditscoring in das neue Gesetz überführt.

Aber dass Unternehmen Verbraucherrechte einschränken können, ist aus Sicht des vzbv inakzeptabel. Dazu gehört, dass sie unter bestimmten Bedingungen Daten von Verbrauchern verarbeiten können, ohne sie darüber informieren zu müssen. In manchen Fällen dürfen sie gar davon absehen, Daten zu löschen. Es ist mehr als fraglich, ob solche Einschränkungen überhaupt mit Europarecht vereinbar sind. Leider gelingt es dem Gesetzgeber somit nicht, Rechtssicherheit für alle Beteiligten zu schaffen.“

 

GDD: Praxishilfe DS-GVO V – Verzeichnis von Verarbeitungstätigkeiten

GDD veröffentlich Praxishilfe DS-GVO V. Sowohl Verantwortliche als auch Auftragsverarbeiter sowie deren Vertreter in der EU müssen nach jeweils ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO führen.

Aus dem Verfahrensverzeichnis bzw. der Verarbeitungsübersicht gemäß der §§ 4e und 4g BDSG/Artt. 18, 19 RL 95/46/EG wird künftig das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO. Nach Erwägungsgrund 82 der DS-GVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ das Verzeichnis von Verarbeitungstätigkeiten führen. Weiterhin kann die zuständige Aufsichtsbehörde die Vorlage verlangen, um die betreffenden Stellen hoheitlich zu kontrollieren. Bestehende Verarbeitungsübersichten nach den §§ 4e und 4g BDSG sind eine gute Grundlage für das VVT – müssen aber unter der DS-GVO angepasst werden.

Die Inhalte dieser Praxishilfe wurden im Rahmen des GDD-Erfakreises Köln, Unterarbeitsgruppe „VVT“ erstellt, mit freundlicher Unterstützung des GDD-Arbeitskreises „DS-GVO Praxis“.

GDD-Praxishilfe DS-GVO V – Verzeichis von Verarbeitungstätigkeiten, Version 1.0, Stand April 2017 (Muster einzeln als .docx)

BDSG neu: Bundestag beschließt neues Bundesdatenschutzgesetz

Der Bundestag hat Änderungen am Bundesdatenschutzgesetz verabschiedet, mit denen die hiesigen Regelungen an EU-Vorgaben angepasst werden sollen. Kritik kommt von Opposition und Datenschützern.

Lange hatte die Bundesregierung an ihrem umstrittenen Entwurf für ein neues Bundesdatenschutzgesetz gefeilt, mit dem die Vorgaben der EU-Datenschutzgrundverordnung und der Richtlinie zur Datenverarbeitung bei Polizei und Justiz mit nationalem Recht in Einklang gebracht werden sollen. Am 27. April wurde der Entwurf dann mit den Stimmen der Koalitionsparteien im Bundestag verabschiedet. »Frühzeitig und als erstes Land in Europa schafft Deutschland damit Rechtsklarheit«, hieß es anschließend zufrieden bei der Bundesregierung.

Die Änderungen sind allerdings umstritten, auch wenn einige kritisierte Punkte wie die deutliche Einschränkung der Informationsansprüche von Bürgern kurzfristig noch etwas entschärft wurden. Ursprünglich war geplant, dass Unternehmen die Lösch- und Auskunftsanfragen ablehnen können, wenn der Aufwand, diesen nachzukommen, für sie unverhältnismäßig hoch ist. Jetzt gibt es Ausnahmen nur noch für Unternehmen, die mit den betroffenen Bürgern ausschließlich oder überwiegend analog kommunizieren, also vor allem sehr kleine Firmen und lokale Geschäfte. Das Problem: Laut der EU-Datenschutzgrundverordnung, die zumindest an einigen Stellen kleine Spielräume lässt, sind in diesem Punkt keine nationalen Anpassungen erlaubt.

Andere stark kritisierte Punkte wurden nicht mehr verändert. So dürfen Krankenkassen und Versicherungen ihre Leistungsentscheidungen künftig automatisiert – also mit Computern und Algorithmen – treffen und müssen nicht mehr jeden Einzelfall von Mitarbeitern prüfen lassen. Auch werden die bisherigen Regelungen im Bundesdatenschutzgesetz zu besonders schützenswerten Informationen wie biometrischen Daten, Gesundheitsdaten oder Daten zur ethnischen Herkunft oder sexuellen Orientierung aufgeweicht – hier gibt es mehr Ausnahmen als bisher. Und die Kontrollmöglichkeiten für Aufsichtsbehörden bei Berufsgeheimnisträgern werden eingeschränkt. Dazu zählen nicht nur Ärzte und Anwälte, sondern auch Steuerberater, Apotheker und private Versicherungen.

Einschreiten der EU droht

Ebenfalls eingeschränkt wird die Kontrolle des Bundesdatenschutzbeauftragten über den Bundesnachrichtendienst und andere Behörden, obwohl die EU-Vorgaben hier effektive Durchsetzungsbefugnisse vorsehen. Ebenso könnte die Absenkung der Hürden für eine private Videoüberwachung öffentlich zugänglicher Bereiche noch Probleme mit der EU mit sich bringen. Hier schlägt ein Sicherheitsinteresse künftig den Datenschutz. Der Gesetzgeber nehme es sehenden Auges hin, dass der Europäische Gerichtshof die deutschen Regelungen korrigiert, warnt etwa Frank Spaeing, Vorsitzender der Deutschen Vereinigung für Datenschutz, und attestiert der Bundesregierung eine »Missachtung digitaler Grundrechte«.

Beim Bitkom heißt es, das neue Bundesdatenschutzgesetz sei inhaltlich kein großer Wurf, aber auch nicht besonders bedenklich. »Die wirklich wichtigen Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der EU-Verordnung geregelt, wie zum Beispiel das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen«, so Bitkom-Geschäftsleiterin Susanne Dehmel. Ärgerlich sei lediglich, dass die Regelung zur Datenverarbeitung im Beschäftigtenverhältnis über die formalen Anforderungen der EU-Verordnung hinausgeht und »damit eher noch bürokratische Hürden aufbaut«.

GDD: Muster zur Auftragsverarbeitung nach DS-GVO veröffentlicht

Die GDD-Praxishilfe DS-GVO IV widmet sich der Auftragsverarbeitung nach Art. 28 DS-GVO und stellt die GDD-Vertragsmuster von 2013 und 2017 gegenüber.
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen der DS-GVO gehört unter anderem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing-Dienstleistungen. In der vorliegenden Praxishilfe werden zunächst die GDD-Vertragsmuster von 2013 (§ 11 BDSG) und 2017 (Art. 28 DS-GVO) gegenübergestellt. Die Pflichtinhalte nach alter und künftiger Rechtslage sind dabei bemerkenswert deckungsgleich. Im Idealfall sollten Altverhältnisse auf das neue Muster umgestellt werden, da dieses spezifisch auf die gesetzlichen Erfordernisse der DS-GVO abgestimmt wurde. Sofern stattdessen am alten Vertrag festgehalten werden muss, bedarf es geringfügiger Nachbesserungen, um die gesetzlichen Mindestanforderungen zu erfüllen.

GDD-Praxishilfe DS-GVO IV – Mustervertrag zur Auftragsverarbeitung, Version 1.0, Stand März 2017.
Mustervertrag im .docx-Format.

Die Inhalte der Praxishilfe IV wurden erstellt im Rahmen des GDD-Arbeitskreises „DS-GVO-Praxis“ mit freundlicher Unterstützung der Unterarbeitsgruppen „Auftragsverarbeitung“ der GDD-Erfakreise Köln und Nürnberg.

Veritas Studie: Deutsche Unternehmen schlecht auf DSGVO vorbereitet

Vor allem kleine und mittelständische Betriebe haben noch erhebliche Defizite und scheitern schon bei der Beantwortung grundlegender Fragen der neuen Datenschutzverordnung.

48 Prozent der deutschen Unternehmen sehen sich schlecht auf die neue Datenschutzverordnung vorbereitet, die in knapp einem Jahr in Kraft tritt. Im Vergleich mit anderen europäischen Ländern liegt Deutschland damit auf dem letzten Platz, wie eine Studie des Information-Management-Spezialisten Veritas hervorgeht.

Die EU-Datenschutzgrundverordnung, kurz DSGVO oder englisch General Data Protection Regulation, GDPR, tritt am 25 2018 in Kraft. Damit sollen Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union harmonisiert werden. In der Praxis bedeutet das, vor allem dass bei personenbezogenen Daten Unternehmen nachweisen können müssen, wo diese gespeichert sind und wer sie auf welche Weise verarbeitet. Die Verordnung gilt jedoch auch für Organisationen, die Daten von EU-Bürgern Speichern, also auch für Google, Facebook, Amazon oder aber auch kleinere Anbieter, die innerhalb der EU Services oder Produkte anbieten.

Weltweit betrachtet bezweifeln 47 Prozent, die Deadline einhalten zu können. Unternehmen, die gegen die Vorgaben verstoßen drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes wobei die höhere Summe angesetzt wird. Für Unternehmen erwächst hier ein neues Risiko: 18 Prozent der Unternehmen befürchten im Fall einer Strafzahlung, gänzlich vom Markt zu verschwinden. 21 Prozent befürchten andere Folgen wie etwa Stellenabbau.

Auch die Außenwirkung bereitet Unternehmen Kopfzerbrechen. Das gilt vor allem für den Fall, wenn ein Compliance-Verstoß aufgrund der Verpflichtung, Datenlecks zu melden, an die Öffentlichkeit gelangt. 19 Prozent der Befragten gehen davon aus, dass negative Berichte in Medien oder sozialen Netzwerken Kunden veranlassen könnten, zur Konkurrenz zu wechseln. In Deutschland fürchten sich sogar 24 Prozent vor schlechter Presse – der globale Spitzenwert. Weitere zwölf Prozent erwarten den Wertverfall der Unternehmensmarke, in Deutschland sind es 15 Prozent.

Wo liegen die Daten?

Schon die erste Frage, die sich im Zuge der DSGVO stellt, können viele Unternehmen nicht mehr beantworten: Wo lagern Daten, was enthalten diese und inwieweit sind sie relevant? Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann.

Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen.

32 Prozent der Befragten gaben an, keine Technologie zu besitzen, mit der Daten verwaltet werden können. Was wiederum die effektive Suche nach den Daten erschwert.

Bei 42 Prozent der befragten Unternehmen weltweit sind keine Prozess definiert, nach denen Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Gemäß der DSGVO steht Unternehmen auch zu, Daten zu behalten. Das ist jedoch nur dann der Fall, wenn die betroffene Person über die Gründe informiert wurde. Sind diese jedoch erfüllt, müssen die fraglichen Informationen sofort gelöscht werden.

Noch gut ein Jahr haben Organisationen Zeit, sich auf die DSGVO vorzubereiten. Deutsche Unternehmen sehen sich zu 36 Prozent vorbereitet. Im Vereinigten Königreich, den USA und Frankreich seien etwa 60 Prozent der Befragten laut eigenen Angaben in der Lage, rechtzeitig alle Regelungen erfüllen zu können. Für alle anderen werden in den nächsten Monaten noch Investitionen zukommen. Im Schnitt gehen Unternehmen von 1,3 Millionen Euro Mehrkosten durch die DSGVO aus. Deutsche Unternehmen veranschlagen im Schnitt 820.000 Euro. Allerdings könnte diese Zahl noch steigen.

“Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen”, erklärt Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.

Laut Kranig seien es vor allem größere Unternehmen, die bereits geeignete Prozesse etwa für das Löschen von nicht mehr erforderlichen Daten installiert haben.

“Viel problematischer ist die Situation bei kleinen und mittelständischen Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen”, warnt Kranig.

Jedoch mache es für einen Betroffenen es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Die Verbraucher werden durch die DSGVO gestärkt die Betroffenenrechte gegenüber allen Verantwortlichen geltend machen. “Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant”, warnt der Datenschutzexperte.

“Wenn geschäftliche Beziehungen zur Region existieren, gilt die DSGVO”, erklärt Andreas Bechter, Senior Product Manager bei Veritas. Ein Verdrängen der Anforderungen mache keinen Sinn. “Jetzt wäre es an der Zeit, einen Berater einzubeziehen, der den aktuellen Stand evaluiert und dem Unternehmen hilft eine Compliance-Strategie zu entwickeln. Den Kopf in den Sand zu stecken ist keine Alternative – es geht um Arbeitsplätze, Reputation und das Wohlergehen des Unternehmens.”

Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Unternehmen mit mindestens 1000 Mitarbeitern in Europa, Asien und den USA befragt .

BSI: Mindeststandards für Browser veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Mindeststandard zum Thema Sichere Web-Browser veröffentlicht. Bei einer Überprüfung fiel der Browser Microsoft Edge negativ auf.

Der Mindeststandard beschreibt Sicherheitsanforderungen an Web-Browser, die auf Arbeitsplatzrechnern der Bundesverwaltung eingesetzt werden. Diese Anforderungen sind zum Erreichen eines Mindestmaßes an Informationssicherheit einzuhalten. Als nationale Cyber-Sicherheitsbehörde nimmt das BSI mit diesem Mindeststandard seine gesetzliche Aufgabe nach Paragraf 8 Abs. 1 BSIG wahr, die Informationssicherheit der Informationstechnik des Bundes präventiv weiter zu stärken. Der Mindeststandard richtet sich hauptsächlich an IT-Verantwortliche, IT-Sicherheitsbeauftragte und IT-Fachkräfte in der Bundesverwaltung. Darüber hinaus können aber auch Wirtschaft und Gesellschaft, sowie Länder und Kommunen diese Empfehlungen heranziehen.

Web-Browser gehören heute zur Standardausstattung von Arbeitsplatzrechnern. Durch ihre Funktionsvielfalt erreichen sie oft die Mächtigkeit moderner Betriebssysteme. Diese Komplexität und das damit verbundene Potenzial für Schwachstellen sowie ihre weite Verbreitung macht Browser zu einem beliebten Ziel für Cyber-Angreifer.

Sind bereits bei der Entwicklung des Web Browsers entsprechende Sicherheitsmechanismen implementiert worden, kann vielen dieser Risiken in der Betriebsphase zuverlässig begegnet werden. Der Mindeststandard umfasst daher sowohl funktionale Mindestanforderungen, die Anwender bei der Produktauswahl unterstützen, als auch darauf aufbauende Sicherheitsanforderungen, die den sicheren Betrieb des Web-Browsers regeln.

Der Mindeststandard für sichere Web-Browser sowie ein Abgleich gängiger Web-Browser mit den Anforderungen des Mindeststandards sind auf der Webseite des BSI abrufbar. Überprüft wurden die Browser Firefox, Chrome, Internet Explorer und Microsoft Edge. Eine Tabelle zeigt das Resultat der Überprüfung der vom BSI festgelegten Sicherheitsaspekte bei den einzelnen Browsern. Viele Anforderungen werden von den aktuellen Browser-Versionen erfüllt. Allerdings fand das BSI bei jedem der untersuchten Programme kleinere Mängel, die sich aber über Plug-ins umgehen lassen. Einen besonderen Mangel stellte das BSI bei Microsoft Edge (Version 38.14393.0.0) fest: Dieser Browser zeigt nicht klar an, mit welchem Standard die Kommunikation zum Server verschlüsselt wird.

 

Verbraucherschützer warnen vor gefälschten USB-Sticks auf Online-Marktplätzen

Kingston hatte im Januar USB-Sticks mit einer Kapazität von 2 TByte auf den Markt gebracht hat. Die kosten aktuell je nach Anbieter zwischen 1579 (Alternate) und 3620 Euro (Amazon). Für 20 bis 50 Euro sind Speicher-Sticks mit der Kapazität dagegen trotz anderslautender Angebote auf Onlinemarktplätzen nicht zu haben.