Erste flächendeckende Prüfungen auch bei Ärzten – Bayern startet
Nun ist die Schonfrist vorbei. Die ersten Prüfungen zur Umsetzung der DSGVO laufen an. In Bayern hat das Bayerische Landesamt für Datenschutzaufsicht in seiner Pressemitteilung vom 07.11.2018 flächendeckende Überprüfungen angekündigt.
Der Fokus liegt zurzeit auf folgenden Themen
- Sicherer Betrieb von Online-Shops
- Schutz vor Verschlüsselungs-Trojanern in Arztpraxen
- Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen
- Informationspflichten bei Bewerbungsverfahren
Sicherheit von Online-Shops
Die Prüfung der Sicherheit von Online-Shops wird hierbei primär automatisiert durchgeführt. Mit Hilfe von Schwachstelleninformationen und simplen Versionsprüfungen kann größtenteils automatisiert und vor allem großflächig der Sachstand der Umsetzung überprüft werden. Wie in Online-Shops üblich: 24 Stunden am Tag, 365 Tage im Jahr.
Primär wird davon ausgegangen, dass bei der Nutzung einer veralteten und angreifbaren Version der Shop-Software auch einfach ein unberechtigter Zugang zu personenbezogenen Daten möglich ist und somit ein Verstoß gegen die DSGVO sehr wahrscheinlich ist.
Am 08.11.2018 veröffentlicht Heise online einen Artikel über die Angreifbarkeit von WordPress Webseiten mit dem WooCommerce Plugin. Die Schlagzeile lautet „4 Millionen WordPress-Seiten mit WooCommerce-Plug-in von Übernahme gefährdet“. Die große Anzahl an verwundbaren Installationen zeigt den Handlungsbedarf. Wir haben den Fall ebenfalls in unserem Blog aufgegriffen.
Halten Sie Ihre Software stets auf einem aktuellen Stand!
IT-Security ist ein großer Teil des Fundaments für digitalisierte Unternehmen. Wir haben den Fall ebenfalls in unserem Blog aufgegriffen.
In diesem Fall war die Sicherheitslücke seit Ende August bekannt und wurde mit dem Sicherheitspatch im Oktober behoben. Zum Glück ist dies ein Fall von sogenannter “responsible disclosure”, bei dem das Bekanntmachen der Schwachstelle erst geschieht, sobald ein Update für die betroffene Software zur Verfügung steht, das die Schwachstelle schließt.
Nicht nur wenn Sie einen Online-Shop betreiben benötigen Sie das passende IT-Schutzkonzept für ihr Unternehmen um solche Vorfälle bestmöglich zu verhindern. Die MAMEDO IT-Consulting GmbH kann Ihnen bei der Entwicklung und Umsetzung eines für Sie passenden Schutzkonzeptes helfen. Alles aus einer Hand.
Schutz vor Verschlüsselungstrojanern in Arztpraxen
Ein weiterer Klassiker aus der IT-Security: Verschlüsselungs-Trojaner. Sie sind bei Cyber-Kriminellen voll im Trend. Eine der bekanntesten Varianten der letzen Jahre namens „WannaCry“ ist unter anderem damit berühmt geworden, dass viele Großkonzerne Opfer seiner Verschlüsselung wurden. Ebenfalls Opfer der Erpressung wurden verschiedene Krankenhäuser und andere medizinische Einrichtungen. Alleine die beiden Schädlinge “WannaCry” und “Petya” haben enorme Schäden verursacht.
Was würden Sie tun, wenn plötzlich auf Ihrem Bildschirm ein Benachrichtigungsfenster auftaucht und sie darüber informiert, dass nun alle Ihre Dateien verschlüsselt worden sind und nur gegen eine zeitnahe Zahlung eines Lösegeldes wieder entschlüsselt werden?
Wenn Sie auf diese Frage keine ausreichend gute Antwort haben, sollten Sie dringend Ihr IT-Sicherheitskonzept und Ihre Backup-Strategie überarbeiten. Die Taktik “ich habe keine für Angreifer wichtigen Daten, mir passiert nichts” hilft in diesem Fall nicht, denn durch die ungezielten und großflächigen Angriffe kann niemand behaupten, dass diese Angriffe für ihn keine Relevanz haben.
Genau diese flächendeckende und internationale Verbreitung der Schadcodes wird vermutlich auch der Grund sein, warum diese gezielte Prüfung vom Landesamt durchgeführt wird. Das Werk eines Verschlüsselungs-Trojaners bedeutet zwangsweise unerlaubten Zugriff auf die dann verschlüsselten Daten. Wird ein Verschlüsselungs-Trojaner kombiniert mit Datendiebstahl, überträgt er also auch die Daten zum Angreifer, ist dies ein Szenario, welches ein massives meldepflichtiges Datenleck verursacht, bei dem unter Umständen schnell hochsensible Daten in falsche Hände gelangen können – Denken Sie nur wieder an die Daten, die in Arztpraxen verarbeitet werden.
In der Pressemitteilung des LDA Bayern steht, dass Meldungen zu Datenschutzpannen durch Angriffe von Verschlüsselungs-Trojaner beo Verantwortlichen in Bayern wöchentlich gemeldet werden. Es wäre verwunderlich, wenn sichin anderen Bundesländern ein anderes Bild zeigen würde. Die Dunkelziffer der nicht gemeldeten Vorfälle in Arztpraxen dürfte sehr hoch sein. Vielen wird der Zusammenhang zwischen einem Angriff durch Schadsoftware und der damit wahrscheinlich notwendigen Meldung über eine Datenschutzpanne bei der Aufsichtsbehörde nicht geläufig sein. Achten Sie darauf, Ihre Meldepflicht einzuhalten. Die Meldefrist für Vorfälle liegt im Regelfall bei 72 Stunden!
Falls Sie sich unsicher sind, ob Ihre Praxis oder Ihr Unternehmen ausreichend gegen diese Art von Angriffen geschützt sind, sprechen Sie uns an. Die MAMEDO IT-Consulting GmbH unterstützt Sie dabei, ein individuell auf Ihr Unternehmen zugeschnittenes Sicherheitskonzept zu entwickeln und umzusetzen.
Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen
Durch die DSGVO ist eine Prüfung der korrekten Umsetzung der datenschutzrechtlichen Anforderungen für die Aufsichtsbehörden deutlich einfacher geworden. Die Aufsichtsbehörde kann nun auch ohne einen konkreten Vorfall oder Audits im Unternehmen eine Prüfung durchführen. Die DSGVO legt Unternehmen, egal welcher Größe, eine Rechenschaftspflicht auf. Unternehmen müssen nunmehr nachweisen, dass sie datenschutzkonform arbeiten.
Dreh und Angelpunkt für die Erfüllung der Rechenschaftspflichten ist das Verzeichnis der Verarbeitungstätigkeiten. Sollten Sie dieses noch nicht erstellt haben, oder sollte dieses noch lückenhaft sein, sollten Sie einen Fokus auf die Umsetzung legen.
Das BayLDA hat laut seiner Pressemitteilung drei Großkonzernen jeweils 50 Fragen gestellt. Ziel der Befragung ist die Prüfung auf korrekte Umsetzung und Prüfung der Nachweisbarkeit der gesetzlichen Vorgaben aus der DSGVO. Es wurde schon jetzt bekanntgegeben, dass nach Auswertung der Fragen jedes dieser Unternehmen einer Vor-Ort Kontrolle unterzogen wird.
Im Falle der KMUs wurde das BayLDA jeweils tätig, indem es jeweils 20 Fragen an die Unternehmen gestellt hat sowie teilweise Unterlagen angefordert wurden. Der Fokus lag hier auf den technischen und organisatorischen Maßnahmen (TOMs). Ausschlaggebend ist, ob die angewendeten TOMs zu dem risikobasierten Ansatz der DSGVO passend gewählt werden.
Insgesamt wurden 15 KMUs mit jeweils über 100 Mitarbeitern ausgewählt. 50% hiervon sind im Zuge einer Beschwerde bereits aufgefallen. Die anderen 50% wurden aus unterschiedlichen Branchen über ganz Bayern verteilt ausgewählt.
Was ist zu tun?
Wir sehen nun zunehmend die bereits angekündigten Prüf-Aktivitäten der zuständigen Aufsichtsbehörden. Nicht nur in Bayern, sondern in ganz Deutschland, werden die Aufsichtsbehörden aktiv und gehen ihrer Prüfpflicht nach. Wie es zu erwarten war, werden zunächst die neuralgischen Punkte geprüft. Aus der Auswahl der zuständigen Behörde für Bayern kann man die Schwerpunkte gut erkennen: Es geht um IT-Security und den damit verbundenen Datenschutz sowie die Rechenschaftspflichten – beides haben wir hier thematisiert. Als dritter Schwerpunkt stehen die Informationspflichten, gerade im Personalwesen, auf der Tagesordnung.
Es wird wieder einmal deutlich, dass Datenschutz und IT-Security zwei eng verbundene Themen sind, die nicht unabhängig voneinander betrachtet werden sollten. Gerade der praktische Datenschutz stellt hier die Unternehmen oftmals vor Herausforderungen. Die MAMEDO IT-Consulting GmbH hilft bei der Umsetzung der Anforderungen mit dem „alles aus einer Hand“ Konzept weiter.
Wir werden für Sie natürlich auch das weitere Vorgehen im Auge behalten. Haben Sie Fragen zu den Themen Datenschutz, Digitalisierung oder IT-Security? Dann treten Sie mit uns in Kontakt.
Sind Sie Besitzer einer Arztpraxis und haben Sie sich gefragt ob Sie einen Datenschutzbeauftragten bestellen müssen? In unserem Blog finden Sie hierzu eine Antwort.