Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Anatomie einer Datenschutzkatastrophe IT-Sicherheit in der DSGVO Joerg Heidrich Heise Medien Herbstakademie 2020 www.dsri.de
Über den Referenten Studium der Rechtswissenschaften in Köln und Concord, NH, USA Justiziar und Datenschutzbeauftragter von Heise Medien Daneben seit 2001 als Rechtsanwalt für Internetrecht und Datenschutz in Hannover tätig (recht-im-internet.de) Fachanwalt für IT-Recht Zertifizierter Datenschutzauditor DSGVO (TÜV) Zertifizierter Datenschutzbeauftragter (TÜV) Lehrbeauftragter Hochschule für Musik, Theater und Medien Hannover Mitglied des Deutschen Presserats Referent und Fachautor Folie 2 von 30 Joerg Heidrich Herbstakademie 2020
IT-Sicherheit & DSGVO: 3 Thesen Das Thema IT-Sicherheit hat in der DSGVO einen weitaus höheren Stellenwert erhalten als bisher im BDSG. IT-Sicherheit wird elementarer Bestandteil des Datenschutzes. Da fast immer personenbezogene Daten im Spiel sind, kann auch die IT- Sicherheit nicht mehr ohne Datenschutz gedacht werden. Schon wegen der Bußgelder. Teil einer generellen Tendenz zur gesetzlichen Regulierung der IT- Sicherheit. Folie 3 von 30 Joerg Heidrich Herbstakademie 2020
Art. 32: Sicherheit der Verarbeitung I Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; Folie 5 von 30 Joerg Heidrich Herbstakademie 2020
Anforderungen an die IT-Sicherheit I „Stand der Technik“ nach LfD NDS Der Stand der Technik bezieht sich auf die bestmöglichen marktfähigen Techniken, die aktuell einen hohen Sicherheitsstandard aufweisen. Im Einzelfall ist die Forderung dadurch begrenzt, dass lediglich das jeweils technisch Machbare gefordert wird. Durch den technischen Wandel ist die Einordnung dynamisch zu verstehen. Nach unten grenzt sich der Stand der Technik von den „anerkannten Regeln der Technik“ (z.B. DIN-Normen), nach oben vom „Stand von Wissenschaft und Technik“ (neueste technische und wissenschaftliche Erkenntnisse) ab. Folie 6 von 30 Joerg Heidrich Herbstakademie 2020
LG Würzburg, Beschluss vom 13.09.2018 (Az. 11 O 1741/18) Folie 8 von 30 Joerg Heidrich Herbstakademie 2020
Anforderungen an die IT-Sicherheit II Art. 32 nennt als „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“: die Pseudonymisierung und Verschlüsselung; (...) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Folie 9 von 30 Joerg Heidrich Herbstakademie 2020
Folie 11 von 30 Joerg Heidrich Herbstakademie 2020
Folie 12 von 30 Joerg Heidrich Herbstakademie 2020
Folie 13 von 30 Joerg Heidrich Herbstakademie 2020
Folie 14 von 30 Joerg Heidrich Herbstakademie 2020
Quelle: GDPR Enforcement Tracker: http://www.enforcementtracker.com/ Folie 15 von 30 Joerg Heidrich Herbstakademie 2020
Folie 16 von 30 Joerg Heidrich Herbstakademie 2020
Was ist passiert? I Ein unverschlüsseltes Backup einer MSSQL-Datenbank der Autovermietung Buchbinder war frei zugänglich im Netz. Enthalten waren u.a. Vornamen, Namen, Adressen, Geburtsdaten, Führerscheinnummern und weiteren Informationen von ca. 3 Millionen Kunden. Insgesamt über zehn Terabyte. Auf dem Server war jedoch fatalerweise Port 445 offen, der Datenübertragungen per SMB (Server Message Block) erlaubt. Die Dateien waren jeweils mehrere hundert Gigabyte bis über ein Terabyte groß. Buchbinder hatte auf zwei Hinweise per E-Mail nicht reagiert. Folie 17 von 30 Joerg Heidrich Herbstakademie 2020
Was ist passiert? II Hinzu kommt eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Erfasst wurden dort neben Informationen über die Fahrer der gemieteten Autos auch die Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden wir auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Erfasst wurde auch Vereinsnamen (Krankheiten, sex. Vorlieben), Gewerkschaften, Parteien. Erfasst waren auch Kunden, die nicht bei Buchbinder direkt gemietet hatten (z.B. via mietwagen-billiger.de) Folie 18 von 30 Joerg Heidrich Herbstakademie 2020
Hohes Angriffspotential I Geleakte Kundendaten sind für „Cyber-Kriminelle“ enorm wertvoll. Es handelt sich um valide Informationen von Millionen Kunden, die echt sein müssen, damit es zum Abschluss eines gültigen Mietvertrags kommen kann. Derartige Informationen lassen sich auf verschiedene Arten missbrauchen: Angreifer können gezielt nach persönlichen Kontaktdaten der involvierten Mitarbeiter suchen. Anschließend könnte er diese Daten für Social Engineering nutzen, um im Namen des Mitarbeiters mit Kollegen, um sich Vertrauen zu erschleichen und sich weitere Informationen oder gar Geld zukommen zu lassen. Möglich und lukrativ wäre auch ein Phishing-Angriff auf Buchbinder-Kunden: Der Täter könnte beispielsweise Phishing- Mails verschicken, die dazu auffordern, die bei der Autovermietung hinterlegten Kreditkartendaten zu aktualisieren. Folie 19 von 30 Joerg Heidrich Herbstakademie 2020
Hohes Angriffspotential II Auch Buchbinder selbst droht erhebliches Ungemach. Wer auf die Datenbank in den Wochen mit dem Leck tatsächlich Zugriff hatte, lässt sich kaum nachvollziehen. Mitbewerber könnten unbezahlbare Einblicke in Unternehmensgeheimnisse des Autoverleihers erhalten haben. Ein derartig schwerer IT-Sicherheitsvorfall dürfte schließlich auch zu einem erheblichen Vertrauensverlust seitens der Kunden führen. Folie 20 von 30 Joerg Heidrich Herbstakademie 2020
Was hat die DSGVO damit zu tun? I Heftiger Verstoß gegen diverse Vorschriften der DSGVO! Vorhalten von Kundendaten in der Datenbank (Datensparsamkeit und Löschfristen) Dürften alte Daten noch gespeichert werden? Gibt es rechtskonforme Löschkonzepte? Folie 21 von 30 Joerg Heidrich Herbstakademie 2020
Was hat die DSGVO damit zu tun? II Heftiger Verstoß gegen diverse Vorschriften der DSGVO! Anforderungen an die IT-Sicherheit (Art. 32 DSGVO) IT-Sicherheits-Konzepte, ggf. auch beim Dienstleister Stand der Technik? Umgang mit Backups (alles an einem Ort?) Umgang mit sensiblen personenbezogenen Daten (Unfall, Vereine) Daten von Prominenten, Politikern und Geheimnisträgern Umgang mit Data Breaches: Meldung an die Aufsichtsbehörden Umgang mit Data Breaches: Meldung an die Betroffenen? Bußgelder Schadensersatz Folie 22 von 30 Joerg Heidrich Herbstakademie 2020
Folie 23 von 30 Joerg Heidrich Herbstakademie 2020
Meldepflichten I Art. 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde. Voraussetzung: Die Verletzung des Schutzes personenbezogener Daten führt „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“. Bisher: Meldepflicht nur bei Verlust von sehr sensiblen Daten und drohen von schwerwiegenden Beeinträchtigungen . Folie 24 von 30 Joerg Heidrich Herbstakademie 2020
Meldepflichten II Vorgeschriebener Inhalt der Meldung an die Aufsichtsbehörde: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der personenbezogenen Datensätze; den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten (...) Folie 25 von 30 Joerg Heidrich Herbstakademie 2020
Meldepflichten III Art. 34 DSGVO: Informationspflichten hinsichtlich der Betroffenen Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. „In klarer und einfacher Sprache“ „So rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde“ (ErwG 86) Folie 26 von 30 Joerg Heidrich Herbstakademie 2020
Tipps für Data Breach Notification Meldepflichten entstehen aufgrund der niedrigen Schwelle sehr schnell. Seien Sie darauf vorbereitet! Aufsichtsbehörde: „Wir werden eher neugierig, wenn ein Unternehmen über lange Zeit nichts meldet!“ Bilden Sie ein gemischtes Team, das vorgebildet ist und innerhalb von kurzer Zeit reagieren kann. Erstellen eines Reaktionsplans. Holen Sie sich Experten ins Boot, auch für die Frage nach der Meldepflicht an die einzelnen Bürger. Ggf. Experten für PR hinzuziehen. Folie 27 von 30 Joerg Heidrich Herbstakademie 2020
Folie 28 von 30 Joerg Heidrich Herbstakademie 2020
Folie 29 von 30 Joerg Heidrich Herbstakademie 2020
Heise Medien RA Joerg Heidrich Fachanwalt für IT-Recht Heise Medien GmbH & Co. KG Karl-Wiechert-Allee 10 30625 Hannover Telefon: 05 11 - 53 52 0 www.heise.de joerg.heidrich@heise.de Twitter: @dasgesetzbinich Folie 30 von 30 Joerg Heidrich Herbstakademie 2020
Sie können auch lesen