Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter
Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 07. Januar 2021

DATENSCHUTZ NEWSLETTER

Liebe Kunden und Abonnenten des Newsletters,
ich freu mich, die erste Ausgabe des Newsletters im Jahr 2021 zu versenden und wünsche Ihnen allen ein erfolgreiches 2021.
Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Veränderungen in eigener Sache
  2. Rückblick auf den Datenschutz in 2020
  3. Solar Winds
  4. IT-Grundschutz nach BSI – Teil 6

1. Veränderungen in eigener Sache

Die Welt ist Wandel und man muss sich immer wieder Anpassen und neu ausrichten. Für 2021 gibt es einige kleinere Neuerungen, über die ich kurz, in eigener Sache, informieren möchte:
Ein Kunde hat mich richtiger Weise daraufhin gewiesen, dass „Gendern“ immer mehr an Bedeutung gewinnt. Diesem kann ich nur zustimmen und eine korrekte Ansprache aller Geschlechter ist heute Standard. Wir entwickeln und als Gesellschaft stetig fort, und gerade dort, wo es um Gleichberechtigung und gegen Rassismus geht, ist es sicherlich wichtig die Entwicklungen mitzumachen. Ich werde fortan versuchen in allen Dokumenten zu „gendern“. Dabei nutze ich vor allem neutrale, pluralisierte Formen der Ansprache von Personen-gruppen. Wo das nicht möglich ist, werde ich mit dem Doppelpunkt gendern. Zum Beispiel also „Kund:innen“. Ich habe den Doppelpunkt deswegen ausgesucht, weil er, im Gegensatz zum Stern, auch von „Screen-Readern“ problemlos gelesen wird. Natürlich sind auch weiterhin barrierefreie Webseiten/PDFs ein zeitgemäßes Thema und die (Vor)Lesbarkeit für sehbeschränkte Personen wird so mitberücksichtigt.
Ferner biete ich für alle Kunden jetzt Online-Videokonferenzen über Microsoft Teams bzw. eine Teams-Gruppe mit diversen Möglichkeiten für eine konstruktive Online-Zusammenarbeit an. Als Kunde benötigen Sie hierfür nichts und der Service ist kostenlos. Ich empfehle, für eine optimale Nutzung, die Installation der Teams-App. MS Teams funktioniert auf Apple wie auch auf Windows Endgeräten, und ebenso auf Tablets wie Smartphones.
Neu ist ebenso, das ich jetzt SAGE-Partner bin. SAGE ist ein Anbieter standardisierter Unternehmenssoftware, Warenwirtschaft und Buchhaltung, für kleine und mittelständische Unternehmen. SAGE hat auch Cloud-Server-Lösungen zu bezahlbaren Preisen im Angebot. Dass ich hier Partner geworden bin, hat keinen wirtschaftlichen Hintergrund. Es geht mir vielmehr darum, eine datenschutzkonforme Cloudlösung für Buchhaltung und Warenwirtschaft im Angebot zu haben, bei der ich am Ende auch effektiven Support geben kann. Dafür ist eine Partnerschaft von Vorteil.
Meine Online-Präsens ist auf die URL www.datenschutz-nord.org umgezogen. Dieses hat keine Auswirkungen auf das Aufrufen über andere URLs und den E-Mailverkehr mit mir. Es dient lediglich einer Zusammenführung verschiedener Dienste und Marketingmaßnahmen unter einer Domäne, womit ich mir das Leben einfacher machen wollte. Sie erreichen mich online wie gewohnt.
In 2020 war ich in den Themen Datenschutz und Digitalisierung auch als „Netzaktivist“ aktiv und habe mich an zahlreichen Aktionen „für ein besseres Internet“ beteiligt. In einer Vielzahl an Verfahren habe ich erfolgreich die Umsetzung eines angemessenen Datenschutzes auf Webseiten und in Online-Anwendungen erzwungen. Dieses betrifft vorwiegend Lernplattformen. Mein Versuch, den Artikel 8 der DSGVO für einen generell besseren Jugendschutz im Internet nutzen zu können, hat sich leider als nicht erfolgreich erwiesen. Jugendschutz im Internet ist immer noch ein Thema, in dem es keine Fortschritte gibt. Kinder und Jugendliche können im Internet, quasi völlig unbehelligt, berauschende Substanzen, zum Beispiel Legal Highs, Amphetamine und andere Aufputschmittel bestellen. Sie können auch ohne weiteres nicht jugendfreie, einschließlich gewalttätige und pornographische, Inhalte konsumieren. Einen funktionierenden Jugendschutz gibt es im Netz nicht. Das ist kein wünschenswerter Zustand und die Problematik muss angegangen werden.
Auch beim Datenschutz und der Digitalisierung an Schulen war ich in 2020 aktiv. Das Thema war viel komplexer und interessanter als mir anfangs bewusst war. Ich habe hier sehr viel dazu gelernt und werde auch in 2020 auf diesem Gebiet aktiv sein.

2. Rückblick auf den Datenschutz in 2020

Ich fange einmal mit einer jüngst im Newsletter des BSI gelesenen Tatsache an: Auch in 2020 ist wieder „123456“ das beliebteste unsichere Passwort des Jahres gewesen. Es wird gefolgt von „12345678“ auf Platz Zwei. Wäre dieses ein Social Media Post, dann müsste ich hinzufügen, dass es noch Zeiten waren, als „1234“ den ersten Platz inne hatte und dass sich die Menschheit seitdem stark fortentwickelt hat. Wenn wir den Sarkasmus weglassen, so haben in 2020, unter dem Strich, unsichere Passwörter generell stark abgenommen. Dieses liegt daran, dass immer mehr Anbieter von Online-Zugängen nur noch Passwörter erlauben, die Zahlen, Buchstaben (klein und groß) und Sonderzeichen zusammen enthalten.
2020 war von der Corona-Krise geprägt und ein außergewöhnliches Jahr. Ich hatte zuerst die Befürchtung, dass der Datenschutz jetzt ins Hintertreffen gelangt und andere Prioritäten bestehen werden. Das Gegenteil hat sich bewahrheitet. Es gab mehr Datenschutz denn je und der Datenschutz geriet auch nicht ins Hintertreffen. Bei den Datenpannen, wie jedes Jahr, war menschliches Versagen wieder die Ursache Nummer Eins. Das ist auch völlig in Ordnung, denn Menschen machen nun mal Fehler. Dass es in der Hektik und den Belastungen der Corona Krise mehr menschliche Fehler im Datenschutz gegeben hat, kann ich aus meiner eigenen Anschauung heraus und den bei mir registrierten Vorfällen nicht feststellen.
Im Rückblick waren für mich vier Fälle von gehackten Webseiten bei Kunden und im Umfeld meines Netzwerkes, mit denen ich mich befassen musste, sehr verwunderlich. Derartige Vorfälle hatte ich in 2018 und 2019 gar nicht auf dem Tisch. Dagegen in 2020 gleich vier Stück. Alle vier Vorfälle betrafen Word-Press Seiten. Bei drei Vorfällen kann ich mit Sicherheit sagen, dass hier eine bekannte Schwachstelle in einem Plugin für den Hack genutzt wurde. Die hier betroffenen Webseiten waren länger nicht upgedated worden. Im vierten Fall vermute ich einen XSS-Angriff auf ein veraltetes Template als Angriffspunkt. Als im Frühherbst der bisher letzte dieser Hacks erfolgte, wusste ich auch kurzfristig nicht mehr, wie ich damit umgehen soll und ob jetzt jede nicht aktuelle Webseite im Internet gefunden und gehackt wird. Daher bin ich mit der Thematik auf viele Kunden auch sehr deutlich zugegangen. Alle Hacks dienten dem Zweck Schadware zur Verteilung an Webseitenbesucher in der Seite zu platzieren. In einem Fall ist dieses auch im größeren Umfang gelungen und ein Verfahren vor den Aufsichtsbehörden ist hier anhängig. Ferner gibt es Schadenersatzklagen von Betroffenen.
Andererseits gab es in 2020 keinen Fall, wo eine Datenpanne dadurch passiert ist, dass jemand sein auch dienstlich genutztes Tablet einmal zum Spielen an sein Kleinkind gegeben hat, das dann ungeahnte Fähigkeiten entwickelte und Dokumente per E-Mail verschickte. In 2019 gab es zwei dieser Fälle, die unter dem Strich nicht dramatisch waren, es aber durchaus gewesen wären, wenn das Kind andere Dokumente zum Verschicken angetippt hätte. Man sollte Kinder nicht unterschätzen, auch wenn Sie noch sehr klein sind, und dienstliche Endgeräte nicht ohne weiteres einem Kind in die Hand drücken.
2020 stand auch für das Jahr, in dem der Datenschutz im Arbeitsrecht angekommen war. Diese Tatsache hatte ich bereits mehrfach erwähnt. Mitarbeiter von Unternehmen benutzen zur Durchsetzung ihrer Arbeitsschutzrechte zunehmend den Datenschutz, um so gegen ihren Arbeitgeber vorzugehen. Grund ist dabei vor allem eine hohe Effektivität, die mit diesem Mittel erzielt wird, und die man vor den Arbeitsgerichten nicht erreicht. Die Einhaltung des Datenschutzes innerhalb von Beschäftigungsverhältnissen gewinnt daher auch für die Arbeitgeber eine sehr hohe Bedeutung und ist nicht mehr nur Verpflichtung der Arbeitnehmer in Bezug auf die personenbezogenen Daten des Unternehmens.
Dann gab es noch den Fall eines Feuers. Das passierte gleich zu Jahresbeginn 2020. Es war einer dieser Fälle, ohne Details nennen zu wollen, wo alle Eventualitäten eigentlich ausgeschlossen waren, aber dann das passierte, was sich vorher kein menschlicher Kopf hatte ausdenken können. Es brannten Räumlichkeiten, einschließlich der Server-Räume, komplett aus. Im Zusammenhang mit Feuer gibt es immer die Argumentation aus alten Zeiten, dass man den Feuerlöscher außen vor den Serverraum platzieren soll, damit man das Feuer von der Tür aus bekämpfen kann und nicht erst in den brennenden Raum muss, um sich den Feuerlöscher herauszuholen. Ich sehe das, um es auf den Punkt zu bringen, viel pragmatischer. Wenn es ein kleines Flämmchen oder ein Brand in einem Papierkorb ist, dann kann man sicher versuchen das Feuerchen zu löschen und es ist weitgehend egal, wo der Feuerlöscher hängt. Brennt hingegen der ganze Raum, dann machen Sie bitte die Tür wieder zu, Rufen die Feuerwehr und evakuieren das Gebäude. Kein Feuerlöscher, kein Heldentum, keine Serverrettung, einfach nur raus und Menschenleben retten. Und auch der Brandschutz hat für mich klaren Vorrang vor den Servern. Legt die Feuerwehr fest, dass im Serverraum zum Zweck des Gebäudebrandschutzes ein Sprinkler sein muss, dann muss das so sein. Die Gefahr, dass der Server bei Fehlalarm einen Wasserschaden erleidet, ist dann eben vorhanden. Der Brandschutz hat Vorrang. Der beste Schutz des Servers dagegen ist der, eine immer aktuelle externe Sicherheitskopie zu haben. Eine solche Sicherungskopie war in diesem Fall auch vorhanden und ermöglichte einen Notbetrieb mit späterer Installation neuer Server einschließlich aller Daten, ohne dass es zu gravierenden betrieblichen Leistungsausfall kam.
Im Rückblick war 2020 nicht nur ein Jahr im Zeichen der Corona-Krise, sondern auch im Zeichen der US-Wahlen und des Brexit. In diesem Zusammenhang möchte ich nochmal auf die Camebridge Analytica Geschichte zurückkommen. Der Ansatz dieser Firma war das sogenannte Micro-Targeting zur Beeinflussung von Wahlen. Hierzu eignete man sich widerrechtlich die personenbezogenen Daten von ca. 70 Millionen Facebook-Nutzern, fast ausschließlich Briten und Amerikaner, an. Aus Sicht des Datenschutzes ist dieses eine klare Straftat und muss gar nicht diskutiert werden. Cambridge Analytica glaubte, mit diesen Facebook-Daten die Personen so gut psychisch analysieren zu können, dass man diese dann mit gezielten Methoden manipulieren kann. In dem Sinne manipulieren, dass man einen prozentual relevanten Anteil der 70 Millionen Ziele dazu bewegt, jetzt so abzustimmen, wie die Kunden von Camebridge Analytica es dort in Auftrag gegeben haben. Diese Form des Micro-Targeting wurde im Vorwahlkampf 2016 zu Gunsten von Ted Cruz und im Brexit eingesetzt. Es wurde auch mit Spannung darauf geblickt, ob eine solche Technik in der US-Wahl 2020 zum Einsatz kommt. Das war, soweit bekannt, nicht der Fall, und es wurde auch kein Einsatz von Trollen und Social-Bots in größerem Ausmaß registriert. Unter dem Strich kann man den klaren Schluss ziehen, dass Micro-Targeting zur ideologischen Manipulation von Menschen nicht funktioniert. Insofern kann die seinerzeit getroffene Risikoeinschätzung relativiert werden und eine Gefahr für die Demokratie besteht hier nicht. Das ist sicher beruhigend, macht den Missbrauch der personenbezogenen Daten aber kein Stück besser. Im Zusammenhang mit den US-Wahlen und dem Brexit ist vor allem auffällig, dass hier Fake-News Strategien, insbesondere eine Kommunikation einfacher, plumper, in der Regel erlogener, populistischer Aussagen Menschen erreicht und zu einem beträchtlichen Erfolgt geführt haben. Das gilt auch für Verschwörungstheorien in der Corona-Krise, ist aber kein Gebiet des Datenschutzes.

3. Solar Winds

Es gab in 2020 einen IT-Angriff auf die amerikanische Firma Solar Winds. Die Firma ist spezialisiert auf strategische Netzmanagement-Software. Der Angriff war einer der professionellsten des Jahres 2020. Chloe Chamberland, eine bei Wordfence tätige Spezialistin für Cyber-Abwehr, hat kurz vor Weihnachten hierzu einen Blogbeitrag verfasst. Ich möchte kurz darauf eingehen, da dieser sehr strukturiert die Analyse eines solchen Vorfalls beschreibt. Dabei werden die potentiellen Hacker in verschiedene Klassifizierungen eingeteilt:

      • Script Kiddies
      • Insider Threads
      • Hacktivists
      • Cybercriminals
      • APTs
„Script Kiddies“ sind die am geringsten qualifizierten Hacker, die oft auch Dritt-Tools nutzen und blind auf Massenangriff setzen. Bei „Insider Threads“ erfolgt der Zugang unberechtigter Dritter durch einen Insider im Unternehmen, der Zugangsdaten und notwendiges Wissen preisgibt. „Hacktivists“ zeichnen sich dadurch aus, dass sie gute Hacker sind, die kein vorrangiges finanzielles Interesse haben, sondern aus aktivistischen Motiven hacken. „Cybercriminals“ tun dasselbe, aber aus finanziellen Interessen heraus und ohne eine Ideologie damit promoten zu wollen. Und dann sind da noch die „APTs (Advanced Persistent Threats)“. Dieses sind hoch professionelle Hackergruppen, die langfristige, aufwendige Hacks begehen. Meistens mit dem Ziel einer E-Spionage oder Manipulation, und mit der Absicht einer längeren unentdeckten Verweildauer in fremden Systemen. Diese Gruppen werden oft von Regierungen gedeckt oder arbeiten in deren Auftrag.
In der Analyse werden dann die Professionalität des Hacks und die Ziele der Hacker detailliert untersucht. Natürlich werden auch technische Informationen, wenn es solche gibt, ausgewertet. Hiernach errechnet man Wahrscheinlichkeiten, um so zu bestimmen, welche Gruppierung für den Angriff verantwortlich war. Im Falle von Solar Winds ist das Ergebnis einer solchen Analyse sehr eindeutig: Es waren mit höchster Wahrscheinlichkeit APTs. Allerdings konnte bisher nicht herausgefunden werden, wer genau dahinter steckt. Bei diesem Hack wurden auch ca. 18.000 Kunden von Solar Winds mit betroffen und ebenso mit Trojanern infiziert. Darunter Intel, Cisco, Microsoft, die US-Atomwaffenbehörde und eine Vielzahl anderer amerikanischer Behörden.

4. IT-Grundschutz nach BSI – Teil 6

Es geht im neuen Jahr mit der Schutzbedarfsfeststellung weiter. In der Schutzbedarfs-feststellung wird, wie das Wort schon sagt, der Schutzbedarf eines IT-Systems beschrieben, der im wesentlichem vom Schutzbedarf der Anwendungen abhängt. In der Regel folgt man dem sogenannten Maximumprinzip, wonach man den Schutzbedarf des IT-Systems am maximalen Schutzbedarf der Anwendungen festmacht. Durch die Kumulation vieler wichtiger Anwendungen auf einem IT-System kann sich insgesamt aber auch ein höherer Schutzbedarf ergeben, als der maximale Schutzbedarf der einzelnen Anwendungen. Theoretisch kann aber auch eine Anwendung mit hohem Schutzbedarf auf mehrere IT-Systeme verteilt sein, so dass der Schutzbedarf der IT-Systeme unterhalb dem der Anwendung liegt. Eine individuelle Bewertung ist also im Endeffekt von Nöten. Der Schutzbedarf wird für die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit für jedes IT-System im Unternehmen separat festgelegt und tabellarisch dokumentiert.
Eine Schutzbedarfsfeststellung erfolgt aber nicht nur für die IT-Systeme, sondern auch für die Kommunikationsverbindungen. Als besonders kritische Verbindungen mit hohem schutzbedarf gegen einen Angriff von Außen gelten dabei:
  • Verbindungen, die aus dem Unternehmen heraus in ein öffentliches Netz oder ein öffentliches Gelände reichen.
  • Verbindungen, über die besonders schützenswerte Daten übertragen werden.
  • Verbindungen, über die vertrauliche Informationen nicht übertragen werden dürfen aber übertragen werden könnten.
Auch hier bestimmt man den Schutzbedarf der einzelnen Kommunikationsverbindungen separiert für die drei Grundwerte und hält das Ergebnis tabellarisch fest.
Hiernach erfolgt noch eine Schutzbedarfsfeststellung für Räumlichkeiten. In der Regel bemisst sich der Schutzbedarf eines Raumes daran, welche IT-Systeme sich in dem Raum befinden und welche Daten bzw. Datenträger in dem Raum verarbeitet werden. Auch hier kann es wieder zu Kumulationseffekten kommen. Und auch der Schutzbedarf von Räumlichkeiten wird, was jetzt sicher nicht mehr überrascht, separiert für die räumlichen Einheiten für die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit bestimmt und tabellarisch festgehalten.
Im nächsten Newsletter geht es dann mit der Modellierung weiter. Was genau sich dahinter verbirgt, erkläre ich im Teil 7.
Ich bedanke mich für Ihre Aufmerksamkeit und wünsche Ihnen ein erfolgreiches Jahr 2021.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz.de
Web: www.tl-datenschutz.de