Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Anatomie einer Datenschutzkatastrophe
IT-Sicherheit in der DSGVO
Joerg Heidrich
Heise Medien
Herbstakademie 2020
www.dsri.de
Über den Referenten
Studium der Rechtswissenschaften in Köln und Concord,
NH, USA
Justiziar und Datenschutzbeauftragter von Heise
Medien
Daneben seit 2001 als Rechtsanwalt für Internetrecht und
Datenschutz in Hannover tätig (recht-im-internet.de)
Fachanwalt für IT-Recht
Zertifizierter Datenschutzauditor DSGVO (TÜV)
Zertifizierter Datenschutzbeauftragter (TÜV)
Lehrbeauftragter Hochschule für Musik, Theater und
Medien Hannover
Mitglied des Deutschen Presserats
Referent und Fachautor
Folie 2 von 30 Joerg Heidrich Herbstakademie 2020
IT-Sicherheit & DSGVO: 3 Thesen Das Thema IT-Sicherheit hat in der DSGVO einen weitaus höheren Stellenwert erhalten als bisher im BDSG. IT-Sicherheit wird elementarer Bestandteil des Datenschutzes. Da fast immer personenbezogene Daten im Spiel sind, kann auch die IT- Sicherheit nicht mehr ohne Datenschutz gedacht werden. Schon wegen der Bußgelder. Teil einer generellen Tendenz zur gesetzlichen Regulierung der IT- Sicherheit. Folie 3 von 30 Joerg Heidrich Herbstakademie 2020
Folie 4 von 30 Joerg Heidrich Herbstakademie 2020
Art. 32: Sicherheit der Verarbeitung I
Unter Berücksichtigung
des Stands der Technik,
der Implementierungskosten
und der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere des Risikos für die Rechte und Freiheiten natürlicher
Personen
treffen der Verantwortliche und der Auftragsverarbeiter geeignete
technische und organisatorische Maßnahmen,
um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten;
Folie 5 von 30 Joerg Heidrich Herbstakademie 2020
Anforderungen an die IT-Sicherheit I „Stand der Technik“ nach LfD NDS Der Stand der Technik bezieht sich auf die bestmöglichen marktfähigen Techniken, die aktuell einen hohen Sicherheitsstandard aufweisen. Im Einzelfall ist die Forderung dadurch begrenzt, dass lediglich das jeweils technisch Machbare gefordert wird. Durch den technischen Wandel ist die Einordnung dynamisch zu verstehen. Nach unten grenzt sich der Stand der Technik von den „anerkannten Regeln der Technik“ (z.B. DIN-Normen), nach oben vom „Stand von Wissenschaft und Technik“ (neueste technische und wissenschaftliche Erkenntnisse) ab. Folie 6 von 30 Joerg Heidrich Herbstakademie 2020
Folie 7 von 30 Joerg Heidrich Herbstakademie 2020
LG Würzburg, Beschluss vom 13.09.2018 (Az. 11 O 1741/18) Folie 8 von 30 Joerg Heidrich Herbstakademie 2020
Anforderungen an die IT-Sicherheit II
Art. 32 nennt als „geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau
zu gewährleisten“:
die Pseudonymisierung und Verschlüsselung;
(...)
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten
und den Zugang zu ihnen bei einem physischen oder
technischen Zwischenfall rasch wiederherzustellen;
ein Verfahren zur regelmäßigen Überprüfung, Bewertung
und Evaluierung der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur Gewährleistung der
Sicherheit der Verarbeitung.
Folie 9 von 30 Joerg Heidrich Herbstakademie 2020
Folie 10 von 30 Joerg Heidrich Herbstakademie 2020
Folie 11 von 30 Joerg Heidrich Herbstakademie 2020
Folie 12 von 30 Joerg Heidrich Herbstakademie 2020
Folie 13 von 30 Joerg Heidrich Herbstakademie 2020
Folie 14 von 30 Joerg Heidrich Herbstakademie 2020
Quelle: GDPR Enforcement Tracker: http://www.enforcementtracker.com/ Folie 15 von 30 Joerg Heidrich Herbstakademie 2020
Folie 16 von 30 Joerg Heidrich Herbstakademie 2020
Was ist passiert? I Ein unverschlüsseltes Backup einer MSSQL-Datenbank der Autovermietung Buchbinder war frei zugänglich im Netz. Enthalten waren u.a. Vornamen, Namen, Adressen, Geburtsdaten, Führerscheinnummern und weiteren Informationen von ca. 3 Millionen Kunden. Insgesamt über zehn Terabyte. Auf dem Server war jedoch fatalerweise Port 445 offen, der Datenübertragungen per SMB (Server Message Block) erlaubt. Die Dateien waren jeweils mehrere hundert Gigabyte bis über ein Terabyte groß. Buchbinder hatte auf zwei Hinweise per E-Mail nicht reagiert. Folie 17 von 30 Joerg Heidrich Herbstakademie 2020
Was ist passiert? II Hinzu kommt eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Erfasst wurden dort neben Informationen über die Fahrer der gemieteten Autos auch die Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden wir auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Erfasst wurde auch Vereinsnamen (Krankheiten, sex. Vorlieben), Gewerkschaften, Parteien. Erfasst waren auch Kunden, die nicht bei Buchbinder direkt gemietet hatten (z.B. via mietwagen-billiger.de) Folie 18 von 30 Joerg Heidrich Herbstakademie 2020
Hohes Angriffspotential I
Geleakte Kundendaten sind für „Cyber-Kriminelle“ enorm wertvoll.
Es handelt sich um valide Informationen von Millionen Kunden, die
echt sein müssen, damit es zum Abschluss eines gültigen
Mietvertrags kommen kann.
Derartige Informationen lassen sich auf verschiedene Arten
missbrauchen:
Angreifer können gezielt nach persönlichen Kontaktdaten der
involvierten Mitarbeiter suchen. Anschließend könnte er diese
Daten für Social Engineering nutzen, um im Namen des
Mitarbeiters mit Kollegen, um sich Vertrauen zu erschleichen und
sich weitere Informationen oder gar Geld zukommen zu lassen.
Möglich und lukrativ wäre auch ein Phishing-Angriff auf
Buchbinder-Kunden: Der Täter könnte beispielsweise Phishing-
Mails verschicken, die dazu auffordern, die bei der
Autovermietung hinterlegten Kreditkartendaten zu aktualisieren.
Folie 19 von 30 Joerg Heidrich Herbstakademie 2020Hohes Angriffspotential II
Auch Buchbinder selbst droht erhebliches Ungemach.
Wer auf die Datenbank in den Wochen mit dem Leck tatsächlich
Zugriff hatte, lässt sich kaum nachvollziehen. Mitbewerber könnten
unbezahlbare Einblicke in Unternehmensgeheimnisse des
Autoverleihers erhalten haben.
Ein derartig schwerer IT-Sicherheitsvorfall dürfte schließlich auch zu
einem erheblichen Vertrauensverlust seitens der Kunden führen.
Folie 20 von 30 Joerg Heidrich Herbstakademie 2020Was hat die DSGVO damit zu tun? I
Heftiger Verstoß gegen diverse Vorschriften der DSGVO!
Vorhalten von Kundendaten in der Datenbank (Datensparsamkeit
und Löschfristen)
Dürften alte Daten noch gespeichert werden?
Gibt es rechtskonforme Löschkonzepte?
Folie 21 von 30 Joerg Heidrich Herbstakademie 2020Was hat die DSGVO damit zu tun? II
Heftiger Verstoß gegen diverse Vorschriften der DSGVO!
Anforderungen an die IT-Sicherheit (Art. 32 DSGVO)
IT-Sicherheits-Konzepte, ggf. auch beim Dienstleister
Stand der Technik?
Umgang mit Backups (alles an einem Ort?)
Umgang mit sensiblen personenbezogenen Daten (Unfall,
Vereine)
Daten von Prominenten, Politikern und Geheimnisträgern
Umgang mit Data Breaches: Meldung an die Aufsichtsbehörden
Umgang mit Data Breaches: Meldung an die Betroffenen?
Bußgelder
Schadensersatz
Folie 22 von 30 Joerg Heidrich Herbstakademie 2020Folie 23 von 30 Joerg Heidrich Herbstakademie 2020
Meldepflichten I
Art. 33 DSGVO: Meldung von Verletzungen des Schutzes
personenbezogener Daten an die Aufsichtsbehörde.
Im Falle einer Verletzung des Schutzes personenbezogener Daten
meldet der Verantwortliche unverzüglich und möglichst binnen
72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der
zuständigen Aufsichtsbehörde.
Voraussetzung: Die Verletzung des Schutzes personenbezogener
Daten führt „voraussichtlich zu einem Risiko für die Rechte und
Freiheiten natürlicher Personen“.
Bisher: Meldepflicht nur bei Verlust von sehr sensiblen Daten und
drohen von schwerwiegenden Beeinträchtigungen .
Folie 24 von 30 Joerg Heidrich Herbstakademie 2020Meldepflichten II
Vorgeschriebener Inhalt der Meldung an die Aufsichtsbehörde:
eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten, soweit möglich mit Angabe der
Kategorien und der ungefähren Zahl der betroffenen Personen und
der ungefähren Zahl der personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten
oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung
des Schutzes personenbezogener Daten
eine Beschreibung der von dem Verantwortlichen ergriffenen oder
vorgeschlagenen Maßnahmen zur Behebung der Verletzung des
Schutzes personenbezogener Daten (...)
Folie 25 von 30 Joerg Heidrich Herbstakademie 2020Meldepflichten III
Art. 34 DSGVO: Informationspflichten hinsichtlich der Betroffenen
Hat die Verletzung des Schutzes personenbezogener Daten
voraussichtlich ein hohes Risiko für die persönlichen Rechte und
Freiheiten natürlicher Personen zur Folge, so benachrichtigt der
Verantwortliche die betroffene Person unverzüglich von der
Verletzung.
„In klarer und einfacher Sprache“
„So rasch wie nach allgemeinem Ermessen möglich, in enger
Absprache mit der Aufsichtsbehörde“ (ErwG 86)
Folie 26 von 30 Joerg Heidrich Herbstakademie 2020Tipps für Data Breach Notification
Meldepflichten entstehen aufgrund der niedrigen Schwelle sehr
schnell. Seien Sie darauf vorbereitet!
Aufsichtsbehörde: „Wir werden eher neugierig, wenn ein
Unternehmen über lange Zeit nichts meldet!“
Bilden Sie ein gemischtes Team, das vorgebildet ist und innerhalb
von kurzer Zeit reagieren kann.
Erstellen eines Reaktionsplans.
Holen Sie sich Experten ins Boot, auch für
die Frage nach der Meldepflicht an die
einzelnen Bürger.
Ggf. Experten für PR hinzuziehen.
Folie 27 von 30 Joerg Heidrich Herbstakademie 2020Folie 28 von 30 Joerg Heidrich Herbstakademie 2020
Folie 29 von 30 Joerg Heidrich Herbstakademie 2020
Heise Medien
RA Joerg Heidrich
Fachanwalt für IT-Recht
Heise Medien GmbH & Co. KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: 05 11 - 53 52 0
www.heise.de
joerg.heidrich@heise.de
Twitter: @dasgesetzbinich
Folie 30 von 30 Joerg Heidrich Herbstakademie 2020Sie können auch lesen
