Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me

Die Seite wird erstellt Reinhold Heinz
 
WEITER LESEN
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Anatomie einer Datenschutzkatastrophe
IT-Sicherheit in der DSGVO

Joerg Heidrich
Heise Medien

Herbstakademie 2020

                                        www.dsri.de
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Über den Referenten

   Studium der Rechtswissenschaften in Köln und Concord,
    NH, USA
   Justiziar und Datenschutzbeauftragter von Heise
    Medien
   Daneben seit 2001 als Rechtsanwalt für Internetrecht und
    Datenschutz in Hannover tätig (recht-im-internet.de)
   Fachanwalt für IT-Recht
   Zertifizierter Datenschutzauditor DSGVO (TÜV)
   Zertifizierter Datenschutzbeauftragter (TÜV)
   Lehrbeauftragter Hochschule für Musik, Theater und
    Medien Hannover
   Mitglied des Deutschen Presserats
   Referent und Fachautor

Folie 2 von 30                      Joerg Heidrich             Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
IT-Sicherheit & DSGVO: 3 Thesen

 Das Thema IT-Sicherheit hat in der DSGVO einen weitaus höheren
  Stellenwert erhalten als bisher im BDSG.
 IT-Sicherheit wird elementarer Bestandteil des Datenschutzes.
 Da fast immer personenbezogene Daten im Spiel sind, kann auch die IT-
  Sicherheit nicht mehr ohne Datenschutz gedacht werden. Schon
  wegen der Bußgelder.
 Teil einer generellen Tendenz zur gesetzlichen Regulierung der IT-
  Sicherheit.

Folie 3 von 30                Joerg Heidrich                Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Folie 4 von 30   Joerg Heidrich   Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Art. 32: Sicherheit der Verarbeitung I

  Unter Berücksichtigung
   des Stands der Technik,
   der Implementierungskosten
   und der Art, des Umfangs, der Umstände und der Zwecke der
     Verarbeitung
   sowie der unterschiedlichen Eintrittswahrscheinlichkeit und
     Schwere des Risikos für die Rechte und Freiheiten natürlicher
     Personen
   treffen der Verantwortliche und der Auftragsverarbeiter geeignete
     technische und organisatorische Maßnahmen,
   um ein dem Risiko angemessenes Schutzniveau zu
     gewährleisten;

Folie 5 von 30                      Joerg Heidrich                      Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Anforderungen an die IT-Sicherheit I

  „Stand der Technik“ nach LfD NDS
  Der Stand der Technik bezieht sich auf die bestmöglichen
   marktfähigen Techniken, die aktuell einen hohen
   Sicherheitsstandard aufweisen.
  Im Einzelfall ist die Forderung dadurch begrenzt, dass
   lediglich das jeweils technisch Machbare gefordert wird.
  Durch den technischen Wandel ist die Einordnung
   dynamisch zu verstehen.
  Nach unten grenzt sich der Stand der Technik von den
   „anerkannten Regeln der Technik“ (z.B. DIN-Normen), nach
   oben vom „Stand von Wissenschaft und Technik“ (neueste
   technische und wissenschaftliche Erkenntnisse) ab.

Folie 6 von 30                    Joerg Heidrich              Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Folie 7 von 30   Joerg Heidrich   Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
LG Würzburg, Beschluss vom 13.09.2018 (Az. 11 O 1741/18)

Folie 8 von 30                             Joerg Heidrich   Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Anforderungen an die IT-Sicherheit II

  Art. 32 nennt als „geeignete technische und organisatorische
  Maßnahmen, um ein dem Risiko angemessenes Schutzniveau
  zu gewährleisten“:
   die Pseudonymisierung und Verschlüsselung;
   (...)
   die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten
      und den Zugang zu ihnen bei einem physischen oder
      technischen Zwischenfall rasch wiederherzustellen;
   ein Verfahren zur regelmäßigen Überprüfung, Bewertung
      und Evaluierung der Wirksamkeit der technischen und
      organisatorischen Maßnahmen zur Gewährleistung der
      Sicherheit der Verarbeitung.

Folie 9 von 30                     Joerg Heidrich                  Herbstakademie 2020
Anatomie einer Datenschutzkatastrophe - IT-Sicherheit in der DSGVO Joerg Heidrich - Synology.me
Folie 10 von 30   Joerg Heidrich   Herbstakademie 2020
Folie 11 von 30   Joerg Heidrich   Herbstakademie 2020
Folie 12 von 30   Joerg Heidrich   Herbstakademie 2020
Folie 13 von 30   Joerg Heidrich   Herbstakademie 2020
Folie 14 von 30   Joerg Heidrich   Herbstakademie 2020
Quelle: GDPR Enforcement Tracker: http://www.enforcementtracker.com/

Folie 15 von 30                                        Joerg Heidrich   Herbstakademie 2020
Folie 16 von 30   Joerg Heidrich   Herbstakademie 2020
Was ist passiert? I

  Ein unverschlüsseltes Backup einer MSSQL-Datenbank
   der Autovermietung Buchbinder war frei zugänglich im
   Netz.
  Enthalten waren u.a. Vornamen, Namen, Adressen,
   Geburtsdaten, Führerscheinnummern und weiteren
   Informationen von ca. 3 Millionen Kunden.
  Insgesamt über zehn Terabyte.
  Auf dem Server war jedoch fatalerweise Port 445 offen,
   der Datenübertragungen per SMB (Server Message
   Block) erlaubt. Die Dateien waren jeweils mehrere
   hundert Gigabyte bis über ein Terabyte groß.
  Buchbinder hatte auf zwei Hinweise per E-Mail nicht
   reagiert.

Folie 17 von 30                    Joerg Heidrich           Herbstakademie 2020
Was ist passiert? II

  Hinzu kommt eine Datenbank mit über 500.000 Unfällen,
   die bis ins Jahr 2006 zurückreichen.
  Erfasst wurden dort neben Informationen über die Fahrer
   der gemieteten Autos auch die Namen, Adressen und
   Kennzeichen von Unfallgegnern sowie eventueller Zeugen
   samt Telefonnummern.
  Vereinzelt fanden wir auch Namen und Kontaktdaten von
   Verletzten und tödlich Verunglückten.
  Erfasst wurde auch Vereinsnamen (Krankheiten, sex.
   Vorlieben), Gewerkschaften, Parteien.
  Erfasst waren auch Kunden, die nicht bei Buchbinder direkt
   gemietet hatten (z.B. via mietwagen-billiger.de)

Folie 18 von 30                    Joerg Heidrich               Herbstakademie 2020
Hohes Angriffspotential I

    Geleakte Kundendaten sind für „Cyber-Kriminelle“ enorm wertvoll.
     Es handelt sich um valide Informationen von Millionen Kunden, die
     echt sein müssen, damit es zum Abschluss eines gültigen
     Mietvertrags kommen kann.
    Derartige Informationen lassen sich auf verschiedene Arten
     missbrauchen:
       Angreifer können gezielt nach persönlichen Kontaktdaten der
         involvierten Mitarbeiter suchen. Anschließend könnte er diese
         Daten für Social Engineering nutzen, um im Namen des
         Mitarbeiters mit Kollegen, um sich Vertrauen zu erschleichen und
         sich weitere Informationen oder gar Geld zukommen zu lassen.
       Möglich und lukrativ wäre auch ein Phishing-Angriff auf
         Buchbinder-Kunden: Der Täter könnte beispielsweise Phishing-
         Mails verschicken, die dazu auffordern, die bei der
         Autovermietung hinterlegten Kreditkartendaten zu aktualisieren.

Folie 19 von 30                     Joerg Heidrich                    Herbstakademie 2020
Hohes Angriffspotential II

    Auch Buchbinder selbst droht erhebliches Ungemach.
    Wer auf die Datenbank in den Wochen mit dem Leck tatsächlich
     Zugriff hatte, lässt sich kaum nachvollziehen. Mitbewerber könnten
     unbezahlbare Einblicke in Unternehmensgeheimnisse des
     Autoverleihers erhalten haben.
    Ein derartig schwerer IT-Sicherheitsvorfall dürfte schließlich auch zu
     einem erheblichen Vertrauensverlust seitens der Kunden führen.

Folie 20 von 30                       Joerg Heidrich                     Herbstakademie 2020
Was hat die DSGVO damit zu tun? I

   Heftiger Verstoß gegen diverse Vorschriften der DSGVO!
    Vorhalten von Kundendaten in der Datenbank (Datensparsamkeit
      und Löschfristen)
    Dürften alte Daten noch gespeichert werden?
    Gibt es rechtskonforme Löschkonzepte?

Folie 21 von 30                 Joerg Heidrich                Herbstakademie 2020
Was hat die DSGVO damit zu tun? II

    Heftiger Verstoß gegen diverse Vorschriften der DSGVO!
     Anforderungen an die IT-Sicherheit (Art. 32 DSGVO)
          IT-Sicherheits-Konzepte, ggf. auch beim Dienstleister
          Stand der Technik?
          Umgang mit Backups (alles an einem Ort?)
          Umgang mit sensiblen personenbezogenen Daten (Unfall,
           Vereine)
          Daten von Prominenten, Politikern und Geheimnisträgern
     Umgang mit Data Breaches: Meldung an die Aufsichtsbehörden
     Umgang mit Data Breaches: Meldung an die Betroffenen?
     Bußgelder
     Schadensersatz

Folie 22 von 30                   Joerg Heidrich                Herbstakademie 2020
Folie 23 von 30   Joerg Heidrich   Herbstakademie 2020
Meldepflichten I

   Art. 33 DSGVO: Meldung von Verletzungen des Schutzes
    personenbezogener Daten an die Aufsichtsbehörde.
   Im Falle einer Verletzung des Schutzes personenbezogener Daten
    meldet der Verantwortliche unverzüglich und möglichst binnen
    72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der
    zuständigen Aufsichtsbehörde.
   Voraussetzung: Die Verletzung des Schutzes personenbezogener
    Daten führt „voraussichtlich zu einem Risiko für die Rechte und
    Freiheiten natürlicher Personen“.
   Bisher: Meldepflicht nur bei Verlust von sehr sensiblen Daten und
    drohen von schwerwiegenden Beeinträchtigungen .

Folie 24 von 30                    Joerg Heidrich                   Herbstakademie 2020
Meldepflichten II

  Vorgeschriebener Inhalt der Meldung an die Aufsichtsbehörde:
   eine Beschreibung der Art der Verletzung des Schutzes
     personenbezogener Daten, soweit möglich mit Angabe der
     Kategorien und der ungefähren Zahl der betroffenen Personen und
     der ungefähren Zahl der personenbezogenen Datensätze;
   den Namen und die Kontaktdaten des Datenschutzbeauftragten
     oder einer sonstigen Anlaufstelle für weitere Informationen;
   eine Beschreibung der wahrscheinlichen Folgen der Verletzung
     des Schutzes personenbezogener Daten
   eine Beschreibung der von dem Verantwortlichen ergriffenen oder
     vorgeschlagenen Maßnahmen zur Behebung der Verletzung des
     Schutzes personenbezogener Daten (...)

Folie 25 von 30                    Joerg Heidrich                      Herbstakademie 2020
Meldepflichten III

   Art. 34 DSGVO: Informationspflichten hinsichtlich der Betroffenen
   Hat die Verletzung des Schutzes personenbezogener Daten
    voraussichtlich ein hohes Risiko für die persönlichen Rechte und
    Freiheiten natürlicher Personen zur Folge, so benachrichtigt der
    Verantwortliche die betroffene Person unverzüglich von der
    Verletzung.
   „In klarer und einfacher Sprache“
   „So rasch wie nach allgemeinem Ermessen möglich, in enger
    Absprache mit der Aufsichtsbehörde“ (ErwG 86)

Folie 26 von 30                    Joerg Heidrich                  Herbstakademie 2020
Tipps für Data Breach Notification

    Meldepflichten entstehen aufgrund der niedrigen Schwelle sehr
     schnell. Seien Sie darauf vorbereitet!
    Aufsichtsbehörde: „Wir werden eher neugierig, wenn ein
     Unternehmen über lange Zeit nichts meldet!“
    Bilden Sie ein gemischtes Team, das vorgebildet ist und innerhalb
     von kurzer Zeit reagieren kann.
    Erstellen eines Reaktionsplans.
    Holen Sie sich Experten ins Boot, auch für
     die Frage nach der Meldepflicht an die
     einzelnen Bürger.
    Ggf. Experten für PR hinzuziehen.

Folie 27 von 30                     Joerg Heidrich                   Herbstakademie 2020
Folie 28 von 30   Joerg Heidrich   Herbstakademie 2020
Folie 29 von 30   Joerg Heidrich   Herbstakademie 2020
Heise Medien

                  RA Joerg Heidrich
                  Fachanwalt für IT-Recht
                  Heise Medien GmbH & Co. KG
                  Karl-Wiechert-Allee 10
                  30625 Hannover

                  Telefon: 05 11 - 53 52 0
                  www.heise.de
                  joerg.heidrich@heise.de

                  Twitter: @dasgesetzbinich

Folie 30 von 30                Joerg Heidrich   Herbstakademie 2020
Sie können auch lesen