> Datenpanne

Online-Skimming und EC-Karten-Skimming – Welche Gefahren für den Datenschutz Skimming verursacht

Datenschutz SkimmingFür die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.

Ihr externer Datenschutzbeauftragter erklärt, welche Gefahren für den Datenschutz Skimming verursachen kann und worauf Betroffene als auch verantwortliche Stellen, wie zum Beispiel Banken und Online-Shops, achten sollten.

Vorgehensweise bei EC-Karten- und Online-Skimming

Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.

Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.

„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können  

Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann. Wenn Sie mehr zu den Gefahren durch Phishing erfahren möchten, dann lesen Sie dich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.

„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten

Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.

Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.

Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.

Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.

Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Möchten Sie mehr zum Thema Datenpanne erfahren, dann lesen Sie unseren Beitrag „Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG“ und erfahren Sie, wie Sie sich gegen Datenpannen schützen können.

Falls Sie mehr zum Thema „ Datenschutz Skimming “ erfahren möchten oder sich nicht sicher sind, ob die getroffenen organisatorischen und technischen Vorkehrungen den datenschutzrechtlichen Bestimmungen genügen, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG

Personenbezogene DatenIm Zuge der Informationspflichten bei Datenpannen, die sich aus § 42a Bundesdatenschutzgesetz (BDSG) ergeben, müssen Organisationen Datenpannen melden. Im Datenschutz ist die Rede von einer Datenpanne, wenn sich Dritte unbefugt Zugriff auf personenbezogene Daten verschafft haben, dabei spielt es keine Rolle, ob die Datenpanne durch einen Hackerangriff, einen verlorenen Datenträger oder auf einem anderen Weg verursacht wurde.

Von Datenpannen waren bereits zahlreiche Organisationen, wie zum Beispiel Unternehmen sämtlicher Branchen, aber auch Behörden und Vereine, betroffen. Zuletzt hörte man unter anderem von der Datenpanne, die bei der Plattform „BlaBlaCar“ identifiziert wurde, dabei seien eine Vielzahl an personenbezogenen Daten, wie E-Mail-Adressen, IBAN- und Kontonummern, gestohlen worden.

Ihr externer Datenschutzbeauftragter erklärt, welche Maßnahmen verantwortliche Stellen, wie Unternehmen oder Behörden, ergreifen können, um sich vor Datenpannen zu schützen und erklärt, welche Informationspflichten bei Datenpannen beachtet werden sollten.

Informationspflichten bei Datenpannen

Informationspflichten bei DatenpannenDas Datenschutzrecht sieht bestimmte Maßnahmen vor, die bei einer sogenannten Datenpanne bzw. bei einem Datenverlust zu ergreifen sind. Gelangen personenbezogene Daten an Unbefugte, so ist die verantwortliche Stelle laut § 42a BDSG dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Datenverlust zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten. Der Datenschutzbeauftragte sollte prüfen, auf welche Daten der unbefugte Zugriff stattgefunden hat und welcher Personenkreis betroffen ist. Das Worst-Case-Szenario dürfte, wie in dem aktuellen Vorfall bei BlaBlaCar eingetroffen, sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann. Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Aus diesem Grund sollten verantwortliche Stellen Maßnahmen treffen, um Datenpannen vorzubeugen und die Eintrittswahrscheinlichkeit zu reduzieren.

Prävention statt Datenpanne – Maßnahmen zum Schutz vor Datenpannen

Unternehmen, Vereine, Behörden und auch alle übrigen verantwortlichen Stellen sollten, sofern sie personenbezogene Daten erheben, verarbeiten und nutzen, Maßnahmen ergreifen, um diese Informationen über Menschen zu schützen. Ein positiver Nebeneffekt, der sich aus dem Schutz personenbezogener Daten ergibt, ist der Schutz von weiteren sensiblen Daten, wie zum Beispiel Betriebsgeheimnissen. Neben den technischen und organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz in § 9 und in der Anlage zu § 9 Satz 1 erläutert werden, können verantwortliche Stellen weitere Mittel ergreifen. Zum einem empfiehlt es sich einen Datenschutzbeauftragten (interner / externer Datenschutzbeauftragter) zu bestellen. Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin, dabei zeigt er verantwortlichen Stellen Schwachpunkte auf und empfiehlt Maßnahmen, die zur einer Verbesserung beitragen.

Typische Themenfelder, bei denen Sie ein interner / externer Datenschutzbeauftragter zum Schutz von personenbezogenen Daten unterstützen kann, sind z. B.:

  • Betriebsvereinbarungen / Richtlinien / Dienstvereinbarungen
  • Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung von Mitarbeitern (Datenschutz-Schulung)
  • Beratung von Mitarbeitern, dem Betriebsrat/Personalrat/Mitarbeitervertretungen zu Datenschutzfragen
  • Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
  • Durchführung von Datenschutz-Kontrollen
  • Prüfung von Dienstleistern
  • Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern

Möchten Sie mehr zu den Informationspflichten bei Datenpannen oder über mögliche Maßnahmen zum Schutz vor Datenpannen erfahren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie gerne direkt Kontakt mit uns auf.

Besetzen Sie die Funktion des Datenschutzbeauftragten extern oder sorgen Sie für eine zielgerichtete Beratung Ihres internen Datenschutzbeauftragten durch einen Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner Datenschutzbeauftragter Unterstützung benötigt.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen in

 

 

Arbeitgeber aufgepasst! – „ Datenschutz Bewerbungen “ welche Bedeutung hat diese Begriffskombination?

Datenschutz BewerbungenDie Verbundenheit der Begriffe „ Datenschutz Bewerbungen “ wird von Arbeitgebern – trotz der hohen Bedeutung – häufig  schlichtweg ignoriert, vergessen oder falsch behandelt.

Zum Erschrecken der verantwortlichen Stellen (potenziellen Arbeitgeber) entstehen hierdurch allerdings regelmäßig, insbesondere bei Datenschutz-Verletzungen, Debatten über den richtigen Umgang mit Bewerbungsunterlagen. Bereits mehrfach fanden sich Meldungen in Medien, gleich durch Veröffentlichung in Zeitungen, Zeitschriften oder im Internet.

Am 10.08.2016 titelte beispielsweise die Kölner Express (www.express.de) : „Hallo, Datenschutz? Pulheimer findet Bewerbungsmappen einer Versicherung im Müll.

Ein Einwohner der Stadt Pulheim bei Köln fand klar erkennbare Bewerbungsunterlagen eines Unternehmens im Müll. Folglich wurden die Unterlagen nicht zurückgesendet, zerstört bzw. sicher vernichtet. Ähnliche Meldungen betrafen in der Vergangenheit zahlreiche Bereiche/Branchen, angefangen von Unternehmen und Universitäten bis hin zum Bundestag, da sie alle bereits für derartige Datenpannen verantwortlich waren.

Gelangt eine solche Panne an die Öffentlichkeit, so müssen sich „verantwortliche Stellen“ auf Bußgelder und auf einen erheblichen Imageverlust einstellen. Aus diesem Grund ist es Arbeitgebern anzuraten, neben den zahlreichen Anforderungen, die sie an Bewerber stellen, eine wesentliche Anforderung an sich selbst, den DATENSCHUTZ, nicht außer Acht lassen. Denn immer dann, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, greift das Datenschutzrecht. Ein Bewerber soll darauf vertrauen können, dass seine Bewerbungsdaten zum Zwecke der Bewerbung verwendet werden. Aus diesem Grund versendet er die Bewerbung und hierauf sollte dieser vertrauen können. Gleiches gilt bei einer Einstellung. Der Beschäftigtendatenschutz und Bewerberdatenschutz sollte berücksichtigt werden. Doch was ist darunter zu verstehen?

Wieso Datenschutz Bewerbungen („Beschäftigtendatenschutz“) schützt?

Erhebt, verarbeitet und nutzt ein Unternehmen, eine Behörde etc. personenbezogene Daten, wie sie in einer großen Menge in Bewerbungen zu finden sind, so tragen sie die Verantwortung für die Daten und müssen diese vor dem Zugriff durch Unbefugte schützen. Der Begriff „Unbefugte“ sollte dabei breit gefasst werden, da nicht nur Dritte, Personen außerhalb der „verantwortliche Stelle“, keinen Zugriff auf Bewerbungsunterlagen erhalten sollten, sondern auch interne Mitarbeiter, die diese Daten nicht zur Aufgabenerfüllung benötigen. Grundsätzlich gilt, dass der berechtigte Kreis, der auf die Bewerbungsmappe zu greifen darf, möglichst klein gehalten werden sollte.

Neben dem berechtigten Kreis, der auf die Daten zugreifen darf, sollte eine „verantwortliche Stelle“ die Löschung der Bewerbungsunterlagen im Blick behalten, sofern eine Rücksendung der Bewerbungen ausgeschlossen wurde. Im Wesentlichen spielen zwei Kriterien eine große Rolle:

  • Wann sollen Bewerbungsunterlagen aus Datenschutz-Sicht gelöscht werden?
  • Wie sollen Bewerbungsunterlagen datenschutzkonform gelöscht werden?

WANN sollten die Unterlagen gelöscht werden?

Im Datenschutz gilt, dass personenbezogene Daten nach Zweckentfall unmittelbar gelöscht werden sollen. Der Zweck ist dabei häufig an gesetzliche Aufbewahrungsfristen gebunden. Bei Bewerbungen sollte im Hinblick auf die Aufbewahrungsfrist berücksichtigt werden, wie lange die „verantwortliche Stelle“ benötigt, um sich für oder gegen einen Bewerber zu entscheiden. Wurde der Bewerber abgelehnt, entfällt der Zweck. Möchte sich die „verantwortliche Stelle“ gegen mögliche Klagen der abgelehnten Bewerber schützen, wäre nach Ablehnung des Bewerbers eine angemessene Aufbewahrungsdauer denkbar. Auch bei der E-Mail-Archivierung sollte die kürzere Aufbewahrungsdauer der Bewerbungen berücksichtigt werden. Für Fragen sollten Sie sich unbedingt an Ihren Datenschutzbeauftragten wenden.

WIE sollten Unterlagen gelöscht werden?

shredderBewerbungsunterlagen sind nach Zweckentfall (wenn eine Rücksendung nicht vereinbart bzw. ausgeschlossen wurde) ordnungsgemäß zu vernichten, wobei das Entsorgen der vollständigen Unterlagen im Müll oder Container ohne weitere Maßnahmen zu ergreifen, NATÜRLICH NICHT als ordnungsgemäß gilt.

Handelt es sich um Unterlagen in Papierform, so sollten die personenbezogenen Daten, die sich darauf befinden, unkenntlich gemacht werden, wobei das Zerstören mittels Schredder (mit angemessener Sicherheitsstufe) zu empfehlen ist. Kann oder möchte eine „verantwortliche Stelle“ dies nicht selbst durchführen, so wäre ein sogenannter Entsorgungsdienstleister zu beauftragen. (Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung und die Kontrolle des Dienstleisters durch Ihren Datenschutzbeauftragten ist dringendst anzuraten.) Sofern Sie Fragen zur Auswahl eines geeigneten Dienstleister haben, nehmen Sie Kontakt zu uns auf.

Bewerbungsunterlagen, die per E-Mail oder über ein Bewerbungsportal eingereicht wurden, sind ebenfalls zu löschen. Es sollte, wie bereits erläutert, sichergestellt werden, dass Bewerbungen nicht archiviert werden.

Notwendige Maßnahmen zum Schutz der Bewerbungen („Beschäftigtendatenschutz“) im Überblick

  • Keine Entsorgung der Bewerbungsunterlagen im Müll/Container, ohne Mappen zu zerstören
  • Zerstören bzw. vollständige Vernichtung der Unterlagen in Papierform mittels Schredder oder Entsorgungsdienstleister
  • Vor Zugriff durch Dritte schützen (u. a. Büro verschließen, Unterlagen im Schrank verschließen)
  • Zugriff nur für kleinen Kreis im Unternehmen ermöglichen
  • Nach Zweckentfall löschen
  • Nicht archivieren

Sie haben weitere Fragen zur Handhabung mit Bewerbungen oder möchten mehr über Datenpannen, die E-Mail-Archivierung etc. erfahren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Firewall – eine Schutzmauer für den Datenschutz

Firewall für den DatenschutzJede Verbindung des Rechners (oder sonstiger IT-Geräte) mit dem Internet führt unweigerlich, zumindest zu einer theoretischen, Gefährdung durch die Außenwelt. Die Firewall („Brandschutzmauer“) hat die Aufgabe, unerlaubte Zugriffe auf den eigenen Rechner bzw. das lokale Netzwerk zu verhindern.

Grundsätzlich wird zwischen einer „Personal Firewall“, die auf dem eigenen System installiert ist, und einer externen Firewall unterschieden. Bei den meisten Personal Firewalls, auch bekannt unter Desktop Firewall, entsteht mit der Zeit ein eigenes Regelwerk, sodass sich der Nutzer nicht um Konfigurationen kümmern muss.

Unternehmen greifen allerdings meistens auf externe Firewall-Lösungen zurück, da diese auf separaten Geräten installiert sind und manuell nach eigenen Bedürfnissen konfiguriert werden können.

Wie funktioniert eine Firewall?

Um die Funktionsweise einer Firewall zu beschreiben, nehmen wir als Beispiel ein Bürogebäude mit verschiedenen Eingängen. Zunächst gibt es einen Personaleingang, an dem nur Beschäftigte kontrolliert werden. Angestellte, Reinigungskräfte, Hausmeister, Werkstudenten werden über den Personaleingang durchgelassen. Es muss allerdings auch sichergestellt werden, dass nicht berechtigte Personen keinen Einlass erhalten. Zu diesem Zweck erhält der Pförtner eine Liste mit Regeln, wem er die Schranke öffnen darf. In diesem Zusammenhang erhalten z. B. alle Mitarbeiter automatisch einen Berechtigungsausweis, durch den die Kontrolle erleichtert wird. Dienstleister und externe Personen erhalten hier keinen Zutritt. Daneben existiert der Haupteingang, an dem Besucher empfangen und ebenfalls kontrolliert werden. Eine Anmeldung hat bei der Empfangskraft zu erfolgen, damit diese entscheiden kann, wer ins Bürogebäude darf.

Nach dem gleichen Prinzip funktioniert eine Firewall, die mit Hilfe eines sogenannten Firewall-Regelwerks u. a. die Absender- oder Zieladressen von Datenpaketen kontrolliert und prüft, ob diese durchgelassen oder abgewehrt werden. Feste Regeln, entscheiden darüber, ob ein Datenpaket die Schranke passieren (pass) darf, abgelehnt (deny, reject) oder verworfen (drop) wird. Um sich vor Gefahren von außen zu schützen, sollten diese Regeln regelmäßig geprüft und aktualisiert werden.

Die Firewall kann jedoch mehr als nur Zugriffe von außen regeln. Sie ist des Weiteren in der Lage Zugriffe auf das Internet von innen heraus zu steuern. Verbietet der Arbeitgeber seinen Mitarbeitern über den Firmen-Internetzugang den Zugriff auf Webseiten, wie z. B. auf Facebook, kann er die entsprechenden Internetseiten über die Firewall sperren bzw. ggf. durch Black- und Whitelists steuern. Hierdurch ist es möglich, den Zugriff auf bestimmte Seiten zu beschränken und eine Liste erlaubter Programme zu erstellen.

Funktionen einer Firewall

  • Die Zugangskontrolle auf Netzebene (Verhinderung von Zugriffen aus dem Internet),
  • Zugangskontrolle auf Benutzerebene (Identifizierung und Authentifizierung aller Benutzer),
  • Zugangskontrolle auf Dienste-Ebene (Sperrung und Freigabe von Internet-Diensten, wie beispielsweise http, ftp),
  • Kontrolle auf Anwendungsebene (Für bestimmte Dienste, z. B. ftp, werden nur unkritische Befehlsoptionen zugelassen),
  • Beweissicherung und Protokollauswertung (z. B. Protokollierung aller sicherheitsrelevanter Vorkommnisse). Protokolldaten des Firewall-Systems sollten idealerweise pseudonymisiert gespeichert werden, da es sich aus Sicht des Datenschutzes um Daten mit Personenbezug handeln kann.

Firewall als technische Maßnahmen für den Datenschutz

Jede verantwortliche Stelle, die personenbezogene Daten erhebt, verarbeitet und / oder nutzt, ist verpflichtet, technische und organisatorische Maßnahmen (TOM) zu treffen, um die Anforderungen aus der Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) zu erfüllen. Der Einsatz einer Firewall sollte als technische Maßnahme fest integriert sein, da der Einsatz für den Schutz von Daten eine erhebliche Rolle spielen kann.

Eine Firewall ermöglicht, wie bereits erläutert, das Sperren von Webseiten (z. B. Facebook, Dropbox, …) , was einerseits den Arbeitgeber erfreut, da diese Seiten durch die Privatnutzung häufig viel Arbeitszeit kosten, und andererseits auch den Datenschutzbeauftragten erfreuen dürfte. Gründe hierfür liegen z. B. darin, dass der unkontrollierte Transfer von internen (sensiblen) Informationen (Betriebsgeheimnisse, personenbezogene Daten) an nicht berechtigte Dritte eingedämmt wird.

Eine Firewall ermöglicht nicht nur den Schutz sensibler Informationen einer „verantwortlichen Stelle“ durch das Sperren von Internetseiten, sie schottet auch das lokale Netzwerk vor „böswilligen“ Zugriffen aus der Außenwelt ab. Mit dieser Maßnahme kann das Risiko von Datenpannen reduziert werden.

Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei einer Datenpanne dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.

Aus diesem Grund ist der Einsatz einer Firewall, aber auch weiterer Schutzmaßnahmen anzuraten. Kleinere Unternehmen oder Privathaushalte sollten zumindest zu einer aktuellen Anti-Viren-Software greifen. Bei nicht-öffentliche Stellen der Privatwirtschaft [Unternehmen (Einzelfirmen, Freiberufler wie Ärzte, Rechtsanwälte, Steuerberater), Firmen [Aktiengesellschaften (AG) GmbHs, KGs, OHGs, GbR, UGs, Partnergesellschaften usw.] und Konzerne, aber auch Parteien] und bei öffentlichen Stellen (Behörden, Körperschaften des öffentlichen Rechts, Gemeinden, …) sollten weitere der technischen und organisatorischen Maßnahmen ergriffen werden.

Sie haben eine Frage zu diesem Thema oder möchten mehr über die technischen und organisatorischen Maßnahmen erfahren? Sprechen Sie doch mit Ihrem Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft

Bildschirmfoto 2016-07-04 um 13.21.02Für die meisten Internet-Nutzer dürfte die Information, dass im World Wide Web (WWW) zahlreiche Gefahren lauern, nicht neu sein. Zu den Bedrohungen zählen unter anderem Schadprogramme, wie Viren, trojanische Pferde (Trojaner), Spyware etc., und Phishing-Angriffe.

Der Begriff „Phishing“ setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen, die bereits bestens beschreiben, welches Ziel mit Phishing-Angriffen verfolgt wird. Betrüger versuchen zumeist, mittels gefälschter E-Mails und Webseiten, an Zugangsdaten, Passwörter, Kreditkartennummern oder sonstige vermeintlich wertvolle Datensätze zu gelangen.  Die gefälschten E-Mails und Webseiten können auf den ersten Blick sehr professionell wirken, sodass häufig zahlreiche Personen auf die Phishing-Attacken reinfallen.

Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert Sie über die Auswirkungen einer Phishing-Attacke auf den Datenschutz und wie Sie sich vor Phishing-Angriffen schützen können.

Auf welchem Weg erfolgen Phishing-Angriffe?Bildschirmfoto 2016-07-06 um 16.57.50

Die Täter versuchen in den meisten Fällen über gefälschte E-Mails und Webseiten an sensible Daten zu gelangen. Phishing-Attacken über andere Kommunikationskanäle, wie SMS oder Anrufe, können allerdings nicht ausgeschlossen werden. Meistens geben sich die Täter als Banken, Online-Shops oder andere Firmen aus, die aufgrund von abgelaufen Kreditkarten, zu aktualisierenden Kontoeinstellungen, nicht gezahlter Rechnungen etc. den Kontakt zu den Betroffenen suchen. In den gefälschten E-Mails befinden sich meistens Verlinkungen zu gefälschten Webseiten, die einem Anmeldeportal ähneln und die Betroffenen zur Eingabe der Zugangsdaten, Passwörter etc. verleihen sollen. Das Ausspähen von Zugangsdaten im Bereich der sozialen Medien, wie Facebook, Twitter etc. ist ebenfalls keine Seltenheit mehr.

Ähnlich aussehende Domainnamen sind weitere Methoden, die Betroffene auf gefälschte Seiten führen sollen. Möglichkeiten, die sich den Tätern bieten, sind zum Beispiel die Buchstaben „ä“, „ö“ und „ü“ oder die Verwendung von kyrillischen Buchstaben, die sich beispielsweise beim „a“ nicht unterscheiden. Wird die Beispiel-Adresse: http//:www.ihr-externer-datenschutzbeauftragte-baender.com/ gefälscht und heißt nun http//:www.ihr-externer-datenschutzbeauftragte-bänder.com/, wird dies den wenigstens Betroffenen auffallen.

Eine weitere Möglichkeit um Zugangsdaten auszuspähen, ist der Einsatz von Trojanern. Der Betroffene besucht eine infizierte Webseite oder erhält eine E-Mail bzw. eine SMS mit einem Link oder einem Anhang. Beim Öffnen installiert sich der Betroffene ein Schadprogramm auf sein Endgerät. Das trojanische Pferd läuft, ohne Wissen des Betroffenen im Hintergrund und kann sämtliche Zugangsdaten ausspionieren.

Welche Auswirkungen haben Phishing-Angriffe auf den Datenschutz?

Das Ausspähen von Daten bei Privatpersonen, insbesondere von Kreditkarten- und Kontodaten, kann für die betroffenen Personen zu einem hohen finanziellen Schaden führen, wobei eine Phishing-Attacke bei Unternehmen, Behörden, Vereinen etc., neben einem beträchtlichen finanziellen Schaden, zu einem hohen Imageverlust führen kann.

Bei einer Phishing-Attacke werden in der Regel, wie bereits erläutert, Benutzerkennungen, Kreditkartenummer oder sonstige, teilweise sensible, Datensätze ausgespäht. Bei diesen Daten bzw. Informationen handelt es sich um personenbezogene Daten, die vom Datenschutzrecht geschützt werden sollen. Besteht beispielsweise die Gefahr, dass personenbezogene Daten der Mitarbeiter, Kunden oder Lieferanten ausgespäht worden sind, ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern führen Datenpannen zu einem erheblichen Imageverlust. Oder möchten Sie etwa Ihre persönlichen Daten einem Unternehmen anvertrauen, das diese verliert?

Neben den personenbezogenen Daten sollte, jeder „verantwortlichen Stelle“ (wir erinnern uns: sogenannte „verantwortliche Stellen“ können z. B.: Behörden, Unternehmen, Vereine oder Stiftungen sein) der Schutz von weiteren sensiblen Daten, wie Betriebsgeheimnissen, am Herzen liegen.

Wie kann ich mich vor Phishing-Attacken schützen?

Die Internet-Kriminalität hat sich mit der Technik weiterentwickelt, wodurch Betroffenen die Unterscheidung zwischen gefälschten und originalen Webseiten, SMS sowie E-Mails erschwert wird. Nichtsdestotrotz lassen sich zahlreiche Maßnahmen ergreifen, um das Risiko, „Opfer“ einer Phishing-Attacke zu werden, drastisch zu minimieren.

Eine dieser Maßnahmen ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen. Privatpersonen und verantwortliche Stellen sollten sich allerdings nicht ausschließlich auf die Filter-Programme verlassen, da die Täter regelmäßig Änderungen vornehmen, wodurch die Filter-Programme umgangen werden können.

Der Faktor Mensch spielt bei Phishing-Attacken eine erheblich große Rolle. Um so wichtiger ist es, dass feste Mitarbeiter, aber insbesondere auch Praktikanten, Freiberufler, ehrenamtliche Hilfskräfte oder sonstige Aushilfen geschult bzw. sensibilisiert werden.

Anzeichen für gefälschte SMS, E-Mails und Webseiten können sein:

  • Nachrichten in fremder Sprache oder in schlechtem Deutsch (Grammatikfehler, fehlende Umlaute, kyrillische Buchstaben, fehlende Sonderzeichen),
  • Absender, die nicht zugeordnet werden können (z.B. die Rechnung eines Online-Shops, den man nicht kennt),
  • Unpersönliche Anrede (z.B. „Sehr geehrte Damen und Herren“, „Sehr geehrter Kunde“ oder besonders kreativ „Hallo“),
  • Die Aufforderung, eine Datei zu öffnen oder einem Link zu folgen,
  • Link-Adresse und anzuzeigender Text verweisen auf verschiedene Webseiten siehe Beispiel 3 (Um die tatsächliche Adresse zu sehen, kann mit dem Cursor über über den Link fahren. Nicht anklicken!),
  • Die Aufforderung, personenbezogene Daten, wie PIN, TAN, Passwörter etc. anzugeben,
  • Die Drohung mit Konsequenzen, wenn eine, meist sehr knapp bemessene, Frist nicht eingehalten wird (z.B. „Wir bitten Sie schnellstmöglich unserer Forderung nachzukommen, ansonsten sind wir gezwungen ein Inkassobüro zu beauftragen“, „Falls Sie der Zahlung bis XXX nicht nachkommen, werden wir Ihnen weitere Kosten des MahnverfahrenBildschirmfoto 2016-07-06 um 16.50.46s und der Verzugszinsen in Rechnung stellen“ oder die verlockende und weniger ermahnende Variante„Sie haben gewonnen! Nur Heute!“)
  • Die Absenderadressen sind gefälscht,
  • Das Kürzel https:// fehlt.

Beispiel 1

Phishing Datenschutz

Beispiel 2

Phishing Datenschutz

Beispiel 3

Phishing Datenschutz

Auf Phishing-Angriff reingefallen – Wie gehen Sie vor?

Sollten Sie auf einen Angriff reingefallen sein und einen Link geöffnet bzw. sensible Daten übermittelt haben, dann sollten Sie schnell reagieren. Zum einen sollten Sie, wenn Sie Mitarbeiter in einem Unternehmen, einer Behörde etc. sind, die IT-Abteilung unverzüglich informieren, damit diese den Rechner auf Schadprogramme untersuchen kann. Wurden Benutzerkennungen und Passwörter eingegeben, so sollten diese UNVERZÜGLICH —-> also SOFORT geändert werden.

Den „Opfern“ einer Phishing-Attacke ist zudem anzuraten, eine Strafanzeige bei der Polizei zu erstatten. „Verantwortliche Stelle“ sollten des Weiteren prüfen, ob die Täter Zugriff auf Informationen / Daten der „verantwortlichen Stellen“ hatten. Kann nicht ausgeschlossen werden, dass Unbefugte auf Informationen zugreifen konnten, so sollte geprüft werden, um welche Art der Daten es sich handelt. Gelangen personenbezogene Daten an Unbefugte, so sollten, wie bereits erläutert, Betroffene und die Aufsichtsbehörde über die Datenpanne informiert werden. Dieser Informationspflicht muss insbesondere bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten und zwar UNVERZÜGLICH (ohne schuldhaftes Zögern) nachgegangen werden.

Ob und inwieweit dieser Informationspflicht nachgegangen werden muss, hängt dabei von den einzelnen Gegebenheiten ab und kann nicht pauschal beantwortet werden. Umso wichtiger ist es einen Datenschutzbeauftragten einzuschalten, damit dieser den Sachverhalt prüfen und die erforderlichen Maßnahmen einleiten kann.

Haben Sie noch Fragen zu Phishing-Angriffen – sowie zum richtigen Verhalten bei einer Datenpanne oder einem Datenverlust? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie sich direkt ein unverbindliches Datenschutz-Angebot an.

Unser Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

Unsere Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne/n]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen