DATENSCHUTZ
Löschauftrag die Zweite – Verschrottung von Datenträgern
In unserem Security Newsletter Januar 2022 haben wir Sie bereits über Löschfristen von Papierakten und nicht mehr notwendiger digitaler Informationen auf Fileservern oder entsprechenden Clouddiensten informiert.
Im zweiten Teil möchten wir nun auf die Verschrottung von Datenträgern selbst eingehen. Hier fehlt es häufig an standardisierten Prozessen, sodass Risiken für eine ungewollte Veröffentlichung vertraulicher Informationen gegenüber Dritten bleiben. In unserem Artikel gehen wir näher auf einen aktuellen Datenschutzvorfall ein und fassen für Sie die wichtigsten Informationen und Empfehlungen zur Umsetzung des Löschauftrages zusammen.
DATENSCHUTZ
100 € Schadensersatz für den Einsatz von Google Webfonts
Das LG München I hat dem Besucher einer Webseite, auf der Schriftarten von Google (“Google Webfonts”) eingebunden waren, ein Schmerzensgeld i.H.v. 100,00 € zugesprochen. Google Webfonts sind Schriftarten, die von Google kostenlos zur Verfügung gestellt und in die Webseite eingebunden werden. Damit erreicht man ein einheitliches Erscheinungsbild, auch wenn ein Webseitenbesucher die Schriftart nicht auf seinem Endgerät installiert hat. Das Problem dabei: in der Standardversion werden die IP-Adressen der Webseitenbesucher an Google übermittelt. Da die IP-Adresse gerichtlich als personenbezogenes Datum eingestuft wurde, ergibt sich durch die Einbindung von Google Fonts eine Übermittlung personenbezogener Daten in ein Drittland ohne Einwilligung der Website-Besucher. Wegen der Rechtswidrigkeit hat das LG München I dem Kläger ein Schmerzensgeld in Höhe von 100€ ausgesprochen. Der immaterielle Schaden ergab sich laut Gericht aus dem Kontrollverlust des personenbezogenen Datums „IP-Adresse“ des Klägers.
100€ erscheinen für die meisten Verantwortlichen sicher als verschmerzbar. Das Risiko besteht aber darin, einen gerichtlich bestätigten Verstoß zu begehen, werden Webfonts im Standard eingebunden, z.B. über automatisierte Webseitenscans von Aufsichtsbehörden. Das zweite Risiko besteht darin, dass eine bestimmte Menge von Webseitenbesuchern eine Klage auslösen könnten z.B. über Organisationen, die Massen von Verbrauchern vertreten.
Lösung: Werden Google Webfonts eingesetzt, sollten diese lokal auf dem Webserver gespeichert und von hier geladen werden. Google erlaubt diese Vorgehensweise. Damit erreichen Sie eine konforme Einbindung ohne Datenverarbeitung in einem Drittland und vermeiden das Einholen einer Einwilligung. Eine Anleitung zur Vorgehensweise, mit Erstellung des passenden Codes zur Einbindung, finden Sie hier.
DATENSCHUTZ
Trouble wegen Cookiebot
Die gängige Möglichkeit, auf Webseiten eine Einwilligung zur Datenverarbeitung einzuholen, erfolgt per Cookie Consent Tools. Diese Cookiebanner, die mittlerweile auf fast allen Webseiten eingebunden werden, sorgen dafür, dass bis zur Auswahl des Webseitenbesuchers
- alle Cookies erlauben
- keine Cookies erlauben
- individuelle Einstellungen
keine Datenverarbeitungen oder Übermittlungen ausgelöst werden.
In einem Eilverfahren vor dem VG Wiesbaden wollte ein Kläger erreichen, dass der Hochschule RheinMain untersagt wird, auf ihrer Webseite das Cookie Consent Tool von Cookiebot weiter einzusetzen. Hintergrund dafür war, dass Cookiebot selbst Daten der Webseitenbesucher an die eigenen Server übermittelte, um Webseitenbesucher über die IP-Adresse und ein weiteres Merkmal eindeutig zu identifizieren. Das VG Wiesbaden hatte dem Antrag in einem Eilverfahren stattgegeben.
Die Entscheidung wurde aber in einem Berufungsverfahren vor dem Hessischen Verwaltungsgerichtshof wegen fehlender Eilbedürftigkeit aufgehoben. Damit bleibt abzuwarten, was im Hauptsacheverfahren entschieden wird. In jeden Fall sollten Verantwortliche, die Cookiebot einsetzen, die weitere Entwicklung beobachten.
Wenn Sie aktuell unsicher sind, wie konform Ihr Webseitenauftritt aufgebaut ist, können wir Sie hierzu gerne beraten bzw. Ihre Webseiten einer Prüfung unterziehen. Hierzu möchten wir auch auf unseren Artikel „Anforderungen aus dem Datenschutz und der IT-Sicherheit für Websites“ verweisen.
INFORMATIONSSICHERHEIT
Fehlende Sicherheit im Homeoffice
Der Verband der TÜV-Prüfgesellschaften hat in einer Umfrage erhoben, dass in der laufenden Omikron-Welle ein Viertel aller Beschäftigten ausschließlich von zu Hause bzw. mobil arbeiten. Rechnet man die Beschäftigten hinzu, die regelmäßig zwischen dienstlichem Arbeitsplatz und zu Hause wechseln, geht man von der Hälfte aller Beschäftigten aus. Besorgniserregend sind weitere Erkenntnisse aus der Umfrage. Bei knapp der Hälfte der Befragten, gab es in Zusammenhang mit mobiler Arbeit keine Regeln. 14 Prozent gaben zudem an, dass ihre Organisation in den vergangenen 2 Jahren einen oder mehrere IT-Sicherheitsvorfälle, meist in Zusammenhang mit Schadsoftware-Attacken, bearbeiten musste.
Umsetzbare und klare Regeln, verbunden mit technischen Sicherheitsmaßnahmen sind ein absolutes Muss, um der aktuellen Gefahrenlage gerecht zu werden. Unsere Erfahrungen aus Audits zeigen häufig Schwachstellen:
- Komfort überwiegt gegenüber Sicherheit z.B. fehlende Zwei-Faktor-Authentifizierung
- Fehlende dem Stand der Technik entsprechende Sicherheitsmaßnahmen z.B. Antivirensystem mit erweiterten Funktionen und zentraler Annahme von Warnmeldungen
- Fehlende organisatorische Regeln wie Verbot der Nutzung von privatem Equipment z.B. USB-Sticks
Zusätzlich verschärft sich die Lage noch durch ein Urteil des OLG Dresden Az.: 4 U 1158/21. Das Gericht hat festgestellt, dass Geschäftsführer neben dem Unternehmen auch als Verantwortliche anzusehen sind, sodass die Pflichten und damit auch Sanktionen der Europäischen Datenschutzgrundverordnung (DSGVO) auch die Geschäftsführenden selbst treffen können.
Wir unterstützen Sie gerne jederzeit bei der Einführung geeigneter und verhältnismäßiger Maßnahmen für ein stabiles und sicheres mobiles Arbeiten.
INFORMATIONSSICHERHEIT
Cyberangriff auf die Unfallkasse Thüringen
Die Systeme der Unfallkasse Thüringen (UKT) sind Ziel eines Cyberangriffs geworden. Die Angreifer haben dabei mittels Ransomware alle Server verschlüsselt – mit der Konsequenz, dass Mitgliedsunternehmen Arbeitsunfälle nicht mehr digital melden konnten, der Zugriff auf Versichertendaten nicht möglich war und die UKT telefonisch nur eingeschränkt erreichbar war. Mit ihrem Angriff wollten die Hacker einer Sprecherin zufolge Lösegeld erpressen. Mittlerweile sind die Computersysteme der UKT im Wesentlichen wieder arbeitsfähig. Der Zugriff auf Versichertendaten sei nach der Neuaufstellung der IT-Systeme wieder möglich. Unter den Versicherungsschutz der UKT fallen rund 850.000 Menschen – darunter Angestellte des Landes und der Kommunen, Studierende, Schüler:innen und Kindergartenkinder.
INFORMATIONSSICHERHEIT
Rebuilding Landkreis Anhalt-Bitterfeld
Am 6. Juli 2021 hatte eine Ransomware den Landkreis Anhalt-Bitterfeld lahmgelegt und zu einem Katastrophenfall geführt. Seitdem kümmert sich die Landkreisverwaltung um den Wiederaufbau der IT-Infrastruktur, der sich voraussichtlich noch bis weit in das Jahr 2022 ziehen wird. Sabine Griebsch, Chief Digital Officer (CDO) im betroffenen Landkreis, ist als technische Einsatzleitung direkt am Wiederaufbau der Infrastruktur beteiligt und berichtet gemeinsam mit Manuel Atug, der den Fall als Externer in einem Expertengremium begleitete, über den Angriff, die Auswirkungen und was aus dem Vorfall gelernt werden kann.
Laut Griebsch waren die Angreifer vermutlich schon zu Beginn des Jahres in den Systemen, führten einen Tag vor Meldung des Ransomwarebefalls Powershellbefehle aus und installierten anschließend Backdoors. Dann wurden die Rechner verschlüsselt. Da die Angreifer alle Logs gelöscht hatten, war es schwierig, den Angriff konkret nachzuvollziehen. Man ging von einem komplett kompromittierten System aus, sodass die IT-Infrastruktur von Grund auf neu aufgebaut werden sollte.
Da Behörden an das Vergaberecht gebunden sind, müssen sie im Normalfall Aufträge ausschreiben. Ein Prozess, der sehr zeitintensiv ist, während die Verwaltung existentiell wichtige Dienste nicht mehr erbringen kann. Mit Ausrufen des Katastrophenfalls wollte man weitreichende Konsequenzen vermeiden und den Wiederaufbau erleichtern: Der Landkreis war demnach nicht mehr an das strenge Vergaberecht gebunden, konnte schnell neue Hardware anschaffen, Hilfe von anderen Behörden in Anspruch nehmen und dadurch innerhalb von drei Wochen ein Notnetz aufbauen sowie darüber hinaus eine sichere Wiederherstellung gewährleisten.
Eine Aufzeichnung des gesamten Vortrags von Sabine Griebsch und Manuel Atug auf dem Hackerkongress rC3 finden Sie hier.