Ers­te flä­chen­de­cken­de Prü­fun­gen auch bei Ärz­ten – Bay­ern star­tet

Nun ist die Schon­frist vor­bei. Die ers­ten Prü­fun­gen zur Umset­zung der DSGVO lau­fen an. In Bay­ern hat das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht in sei­ner Pres­se­mit­tei­lung vom 07.11.2018 flä­chen­de­cken­de Über­prü­fun­gen ange­kün­digt.

Der Fokus liegt zur­zeit auf fol­gen­den The­men

  • Siche­rer Betrieb von Online-Shops
  • Schutz vor Ver­schlüs­se­lungs-Tro­ja­nern in Arzt­pra­xen
  • Erfül­lung der Rechen­schafts­pflicht bei Groß­kon­zer­nen und mit­tel­stän­di­schen Unter­neh­men
  • Infor­ma­ti­ons­pflich­ten bei Bewer­bungs­ver­fah­ren

Sicher­heit von Online-Shops

Die Prü­fung der Sicher­heit von Online-Shops wird hier­bei pri­mär auto­ma­ti­siert durch­ge­führt. Mit Hil­fe von Schwach­stel­len­in­for­ma­tio­nen und simp­len Ver­si­ons­prü­fun­gen kann größ­ten­teils auto­ma­ti­siert und vor allem groß­flä­chig der Sach­stand der Umset­zung über­prüft wer­den. Wie in Online-Shops üblich: 24 Stun­den am Tag, 365 Tage im Jahr.

Pri­mär wird davon aus­ge­gan­gen, dass bei der Nut­zung einer ver­al­te­ten und angreif­ba­ren Ver­si­on der Shop-Soft­ware auch ein­fach ein unbe­rech­tig­ter Zugang zu per­so­nen­be­zo­ge­nen Daten mög­lich ist und somit ein Ver­stoß gegen die DSGVO sehr wahr­schein­lich ist.

Am 08.11.2018 ver­öf­fent­licht Hei­se online einen Arti­kel über die Angreif­bar­keit von Wor­d­Press Web­sei­ten mit dem Woo­Com­mer­ce Plugin. Die Schlag­zei­le lau­tet „4 Mil­lio­nen Wor­d­Press-Sei­ten mit Woo­Com­mer­ce-Plug-in von Über­nah­me gefähr­det“. Die gro­ße Anzahl an ver­wund­ba­ren Instal­la­tio­nen zeigt den Hand­lungs­be­darf. Wir haben den Fall eben­falls in unse­rem Blog auf­ge­grif­fen.

Hal­ten Sie Ihre Soft­ware stets auf einem aktu­el­len Stand! 

IT-Secu­ri­ty ist ein gro­ßer Teil des Fun­da­ments für digi­ta­li­sier­te Unter­neh­men. Wir haben den Fall eben­falls in unse­rem Blog auf­ge­grif­fen.

In die­sem Fall war die Sicher­heits­lü­cke seit Ende August bekannt und wur­de mit dem Sicher­heits­patch im Okto­ber beho­ben. Zum Glück ist dies ein Fall von soge­nann­ter “respon­si­ble dis­clo­sure”, bei dem das Bekannt­ma­chen der Schwach­stel­le erst geschieht, sobald ein Update für die betrof­fe­ne Soft­ware zur Ver­fü­gung steht, das die Schwach­stel­le schließt.

Nicht nur wenn Sie einen Online-Shop betrei­ben benö­ti­gen Sie das pas­sen­de IT-Schutz­kon­zept für ihr Unter­neh­men um sol­che Vor­fäl­le best­mög­lich zu ver­hin­dern. Die MAMEDO IT-Con­sul­ting GmbH kann Ihnen bei der Ent­wick­lung und Umset­zung eines für Sie pas­sen­den Schutz­kon­zep­tes hel­fen. Alles aus einer Hand.

Schutz vor Ver­schlüs­se­lungs­tro­ja­nern in Arzt­pra­xen

Ein wei­te­rer Klas­si­ker aus der IT-Secu­ri­ty: Ver­schlüs­se­lungs-Tro­ja­ner. Sie sind bei Cyber-Kri­mi­nel­len voll im Trend. Eine der bekann­tes­ten Vari­an­ten der let­zen Jah­re namens „Wan­naCry“ ist unter ande­rem damit berühmt gewor­den, dass vie­le Groß­kon­zer­ne Opfer sei­ner Ver­schlüs­se­lung wur­den. Eben­falls Opfer der Erpres­sung wur­den ver­schie­de­ne Kran­ken­häu­ser und ande­re medi­zi­ni­sche Ein­rich­tun­gen. Allei­ne die bei­den Schäd­lin­ge “Wan­naCry” und “Pet­ya” haben enor­me Schä­den ver­ur­sacht.

Was wür­den Sie tun, wenn plötz­lich auf Ihrem Bild­schirm ein Benach­rich­ti­gungs­fens­ter auf­taucht und sie dar­über infor­miert, dass nun alle Ihre Datei­en ver­schlüs­selt wor­den sind und nur gegen eine zeit­na­he Zah­lung eines Löse­gel­des wie­der ent­schlüs­selt wer­den?

Wenn Sie auf die­se Fra­ge kei­ne aus­rei­chend gute Ant­wort haben, soll­ten Sie drin­gend Ihr IT-Sicher­heits­kon­zept und Ihre Back­up-Stra­te­gie über­ar­bei­ten. Die Tak­tik “ich habe kei­ne für Angrei­fer wich­ti­gen Daten, mir pas­siert nichts” hilft in die­sem Fall nicht, denn durch die unge­ziel­ten und groß­flä­chi­gen Angrif­fe kann nie­mand behaup­ten, dass die­se Angrif­fe für ihn kei­ne Rele­vanz haben.

Genau die­se flä­chen­de­cken­de und inter­na­tio­na­le Ver­brei­tung der Schad­codes wird ver­mut­lich auch der Grund sein, war­um die­se geziel­te Prü­fung vom Lan­des­amt durch­ge­führt wird. Das Werk eines Ver­schlüs­se­lungs-Tro­ja­ners bedeu­tet zwangs­wei­se uner­laub­ten Zugriff auf die dann ver­schlüs­sel­ten Daten. Wird ein Ver­schlüs­se­lungs-Tro­ja­ner kom­bi­niert mit Daten­dieb­stahl, über­trägt er also auch die Daten zum Angrei­fer, ist dies ein Sze­na­rio, wel­ches ein mas­si­ves mel­de­pflich­ti­ges Daten­leck ver­ur­sacht, bei dem unter Umstän­den schnell hoch­sen­si­ble Daten in fal­sche Hän­de gelan­gen kön­nen — Den­ken Sie nur wie­der an die Daten, die in Arzt­pra­xen ver­ar­bei­tet wer­den.

In der Pres­se­mit­tei­lung des LDA Bay­ern steht, dass Mel­dun­gen zu Daten­schutz­pan­nen durch Angrif­fe von Ver­schlüs­se­lungs-Tro­ja­ner beo Ver­ant­wort­li­chen in Bay­ern wöchent­lich gemel­det wer­den. Es wäre ver­wun­der­lich, wenn sichin ande­ren Bun­des­län­dern ein ande­res Bild zei­gen wür­de. Die Dun­kel­zif­fer der nicht gemel­de­ten Vor­fäl­le in Arzt­pra­xen dürf­te sehr hoch sein. Vie­len wird der Zusam­men­hang zwi­schen einem Angriff durch Schad­soft­ware und der damit wahr­schein­lich not­wen­di­gen Mel­dung über eine Daten­schutz­pan­ne bei der Auf­sichts­be­hör­de nicht geläu­fig sein. Ach­ten Sie dar­auf, Ihre Mel­de­pflicht ein­zu­hal­ten. Die Mel­de­frist für Vor­fäl­le liegt im Regel­fall bei 72 Stun­den!

Falls Sie sich unsi­cher sind, ob Ihre Pra­xis oder Ihr Unter­neh­men aus­rei­chend gegen die­se Art von Angrif­fen geschützt sind, spre­chen Sie uns an. Die MAMEDO IT-Con­sul­ting GmbH unter­stützt Sie dabei, ein indi­vi­du­ell auf Ihr Unter­neh­men zuge­schnit­te­nes Sicher­heits­kon­zept zu ent­wi­ckeln und umzu­set­zen.

Erfül­lung der Rechen­schafts­pflicht bei Groß­kon­zer­nen und mit­tel­stän­di­schen Unter­neh­men

Durch die DSGVO ist eine Prü­fung der kor­rek­ten Umset­zung der daten­schutz­recht­li­chen Anfor­de­run­gen für die Auf­sichts­be­hör­den deut­lich ein­fa­cher gewor­den. Die Auf­sichts­be­hör­de kann nun auch ohne  einen kon­kre­ten Vor­fall oder Audits im Unter­neh­men eine Prü­fung durch­füh­ren. Die DSGVO legt Unter­neh­men, egal wel­cher Grö­ße, eine Rechen­schafts­pflicht auf. Unter­neh­men müs­sen nun­mehr nach­wei­sen, dass sie daten­schutz­kon­form arbei­ten.

Dreh und Angel­punkt für die Erfül­lung der Rechen­schafts­pflich­ten ist das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten. Soll­ten Sie die­ses noch nicht erstellt haben, oder soll­te die­ses noch lücken­haft sein, soll­ten Sie einen Fokus auf die Umset­zung legen.

Das BayL­DA hat laut sei­ner Pres­se­mit­tei­lung drei Groß­kon­zer­nen jeweils 50 Fra­gen gestellt. Ziel der Befra­gung ist die Prü­fung auf kor­rek­te Umset­zung und Prü­fung der Nach­weis­bar­keit der gesetz­li­chen Vor­ga­ben aus der DSGVO. Es wur­de schon jetzt bekannt­ge­ge­ben, dass nach Aus­wer­tung der Fra­gen jedes die­ser Unter­neh­men einer Vor-Ort Kon­trol­le unter­zo­gen wird.

Im Fal­le der KMUs wur­de das BayL­DA jeweils tätig, indem es jeweils 20 Fra­gen an die Unter­neh­men gestellt hat sowie teil­wei­se Unter­la­gen ange­for­dert wur­den. Der Fokus lag hier auf den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOMs). Aus­schlag­ge­bend ist, ob die ange­wen­de­ten TOMs zu dem risi­ko­ba­sier­ten Ansatz der DSGVO pas­send gewählt wer­den.

Ins­ge­samt wur­den 15 KMUs mit jeweils über 100 Mit­ar­bei­tern aus­ge­wählt. 50% hier­von sind im Zuge einer Beschwer­de bereits auf­ge­fal­len. Die ande­ren 50% wur­den aus unter­schied­li­chen Bran­chen über ganz Bay­ern ver­teilt aus­ge­wählt.

Was ist zu tun?

Wir sehen nun zuneh­mend die bereits ange­kün­dig­ten Prüf-Akti­vi­tä­ten der zustän­di­gen Auf­sichts­be­hör­den. Nicht nur in Bay­ern, son­dern in ganz Deutsch­land, wer­den die Auf­sichts­be­hör­den aktiv und gehen ihrer Prüf­pflicht nach. Wie es zu erwar­ten war, wer­den zunächst die neur­al­gi­schen Punk­te geprüft. Aus der Aus­wahl der zustän­di­gen Behör­de für Bay­ern kann man die Schwer­punk­te gut erken­nen: Es geht um IT-Secu­ri­ty und den damit ver­bun­de­nen Daten­schutz sowie die Rechen­schafts­pflich­ten — bei­des haben wir hier the­ma­ti­siert. Als drit­ter Schwer­punkt ste­hen die Infor­ma­ti­ons­pflich­ten, gera­de im Per­so­nal­we­sen, auf der Tages­ord­nung.

Es wird wie­der ein­mal deut­lich, dass Daten­schutz und IT-Secu­ri­ty zwei eng ver­bun­de­ne The­men sind, die nicht unab­hän­gig von­ein­an­der betrach­tet wer­den soll­ten. Gera­de der prak­ti­sche Daten­schutz stellt hier die Unter­neh­men oft­mals vor Her­aus­for­de­run­gen. Die MAMEDO IT-Con­sul­ting GmbH hilft bei der Umset­zung der Anfor­de­run­gen mit dem „alles aus einer Hand“ Kon­zept wei­ter.

Wir wer­den für Sie natür­lich auch das wei­te­re Vor­ge­hen im Auge behal­ten. Haben Sie Fra­gen zu den The­men Daten­schutz, Digi­ta­li­sie­rung oder IT-Secu­ri­ty? Dann tre­ten Sie mit uns in Kon­takt.

Sind Sie Besit­zer einer Arzt­pra­xis und haben Sie sich gefragt ob Sie einen Daten­schutz­be­auf­trag­ten bestel­len müs­sen? In unse­rem Blog fin­den Sie hier­zu eine Ant­wort.

Die­sen Bei­trag tei­len