Technischer Datenschutz -Aktuelle Herausforderungen und

Lösungen

Dr. Ronald PetrlicReferatsleiter: Technisch-organisatorischer Datenschutz und Datensicherheit

2

Lösungen?

• Seit Mai 2018: Zahl an Beschwerden / Datenpannenmeldungen konstant hoch

3

1 Jahr DSGVO: Zahlen

Vor DSGVO: ~10 Datenpannenmeldungen pro Monat

• Fokus 2018: Beratung, Schulung

• Fokus 2019: Kontrolle(~10.000 Verantwortliche in BW müssen mit Kontrolle rechnen!)

4

1 Jahr DSGVO: Zahlen

DATENPANNEN

5

• Phishing• Verschlüsselungstrojaner!!!• Fehler beim Kuvertieren

• Fehlerhafter Versand von E-Mails, CC statt BCC

• Verlust / Diebstahl von Datenträgern

• Interne Daten über Internet zugänglich

• …

6

(Häufige) Beispiele für Datenpannen

• In letzter Zeit: Wellen an gut gemachten Phishing-Mails inkl. Verschlüsselungstrojanern (Emotet,…) im Umlauf– Problem: nicht nur Kontakte werden ausgelesen, sondern auch Inhalte (potentiell

vertrauliche, bspw. bei Arztpraxen, Kanzleien, etc.!)

– Frage der Benachrichtigung der Betroffenen:• Was gilt es zu benachrichtigen?

– Dass die Mail gefährlich ist? I.d.R. zu spät… (aber trotzdem wichtig)– Dass womöglich sensible Daten abgeflossen sind? Ja!

– Was tun?• Sensible Mails (wenn es sie denn gibt…) zeitnah löschen

(Arztpraxis, Bewerbungen, etc.)• Sensibilisierung!!!• Verhindern, dass sich Trojaner (im Netzwerk) ausbreiten können• Backups (geschützt!)• Sehr gute Empfehlungen vom BSI und vom LDA Bayern

– Bußgelder nicht mehr auszuschließen…

7

Spear Phishing /Verschlüsselungstrojaner

• Ende der Gandcrab-Kampagne– Betrüger bedanken sich bei Opfern für „Zusammenarbeit“– In einem Jahr: 2 Milliarden $ verdient (eigentliche Gruppe: 150 Mio $)

8

Verschlüsselungstrojaner

• Häufung von Angriffen über Fernwartungszugang– Muss Fernwartungszugang wirklich dauerhaft aktiviert sein? – Starke Authentifizierung ein Muss!

– Bei Fernwartung durch Dienstleister• Fernwartung nicht ohne Beisein möglich machen und durchführen lassen

(Kontrolle behalten!)

• Spannende Frage: Wer ist für IT-Sicherheit verantwortlich?

9

Fernwartung

• Immer häufiger in letzter Zeit:– Datenpanne bei IT-Dienstleister

àAbfluss von personenbezogenen Daten, für die Kunde verantwortlich istàAngriff auf Kunden über Dienstleister

– Probleme:• Mangelhafte Benachrichtigung der Kunden (IR: keine Meldekette)• Wer ist für IT-Sicherheit verantwortlich?

10

Beziehung zwischen Verantwortlichem und Dienstleister

INTERESSANTE/ HÄUFIGE FRAGEN

11

• Artikel 32 DS-GVO: Sicherheit der Verarbeitung– Weitestgehend bekannt (§ 9 samt Anlage BDSG-alt)

– Neu: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Abs. 1 d)) àPenetration Tests!

àTOM-Listen aus dem Internet reichen nicht mehr!

– Außerdem: Nichteinhaltung der Vorgaben nun bußgeldbewährt!– Empfehlung: Orientierung an Empfehlungen und Technischen Richtlinien des

BSI (Verpflichtung nur für öffentliche Stellen i.R.v. § 64 BDSG)

à Maßnahmen sollen ein dem Risiko angemessenes Schutzniveau gewährleisten

12

Sicherheit der Verarbeitung

• „Gute“ Penetration Tests fördern i.d.R. Schwachstellen zu Tage – Ein „braver“ Verantwortlicher muss womöglich häufiger eine

Datenpanne an die AB meldenà Angst, damit in den Fokus der AB zu geraten?

• Nein, es zeigt der AB, dass der Verantwortliche seinen Job macht!

• Anders formuliert:

13

Sicherheit der Verarbeitung

• Wie kann ein Nutzer „identifiziert“ werden, der von seinen Betroffenenrechten (Art. 15ff) Gebrauch machen möchte? – Ausgangslage: Elektronischer Weg ausdrücklich erlaubt (Art. 12)– Problem: eindeutige Identifizierung des Betroffenen – Unzureichende Identitätsfeststellung großes Einfallstor für Angriffe!

– Einfacher Fall: es existiert bereits ein Online-Konto: auf zusätzliche Identifizierung kann verzichtet werden à Bereitstellung über Online-Konto• allerdings: aus Sicherheitssicht 2-Faktor-Authentifizierung sinnvoll

– Schwieriger Fall: bisher noch keine Mail-Adresse bekannt

– Interessante Fälle: • Online-Dienstleister, die nur Pseudonyme haben? Reicht Bereitstellung eines Cookies? • Dienstleister, die nur MAC-Adressen kennen? Reicht Bereitstellung von MAC-Adresse?

14

Identifizierung bei Auskunftsersuchen

• Studie Uni Hasselt (2019):

– 15 von 55 untersuchten Organisationen angreifbar

• Studie Uni Oxford (2019):

– Anfrage mit Fake-Mailadresse

– Zeitdruck für Verantwortliche

à ¼ der Verantwortlichen haben sensible Daten ohne weitere Identifizierung „geleakt“

(Mittelständler schneiden am schlechtesten ab)

• Geleakte „unkritische“ Informationen von einem Verantwortlichen lassen sich

wiederum nutzen, um weitergehende Angriffe durchzuführen (Social Engineering)

• „Seitenkanalangriff“: Es kann schon von Interesse sein, *dass* jemand einen

bestimmten Dienst nutzt (Bsp.: Dating-Portal)

15

Identifizierung bei

Auskunftsersuchen

• Verantwortliche sollten sich fragen:– Wie sensibel sind die Daten der Betroffenen, die ich verarbeite?– Welchen Dienst erbringe ich? Wer ist der (potentielle) Angreifer?

• Identifizierung sollte sich dann nach Sensibilität und Angreifer richten– Keine pauschale Empfehlung für Vorgehensweise

• In manchen Fällen kann Vorlage eines Scans einer geschwärzten Ausweiskopie sinnvoll/ausreichend sein, in manchen nicht…

• In manchen Fällen kann Identifizierung mittels Videochat sinnvoll sein

• In jedem Fall: – Überlegung dokumentieren– Prozess aufsetzen und testen

16

Identifizierung bei Auskunftsersuchen

• Dürfen E-Mails mit personenbezogenen Daten noch ohne

Ende-zu-Ende-Verschlüsselung an Nutzer versendet werden?

– Ja!

• Aber: Risiko prüfen!

– Bei sensiblen Daten: Alternativen bieten (bspw. Online-Portal, PDF-

Verschlüsselung, …)

• Sicherstellen, dass Mailserver Transportverschlüsselung nach Stand der

Technik unterstützt!

– Empfehlung: BSI TR-03108 („Sicherer E-Mail-Transport“)

17

Häufig gestellte Fragen

• Google Transparency Report: E-Mail-Verschlüsselung bei Übertragung

• „E-Mail Made in Germany“: Mail-Transport TLS-geschützt• Arbeiten mit IM an Transparenz-Tool!

18

Häufig gestellte Fragen

• Frankfurter Allgemeine Sonntagszeitung, 15.09.2019

19

Häufig gestellte Fragen

• „Ist Office 365 zulässig?“– So pauschal nicht zu beantworten

• es gibt nicht *das eine* Office 365

– Verantwortliche sollten sich fragen:• Um welche Daten geht es? • Welche Version von Office 365 soll zum Einsatz kommen?• Wo sollen die Daten gespeichert werden? • Ist Übertragung von Telemetriedaten deaktivierbar?

20

Häufig gestellte Fragen

• „Welcher Messenger ist ok?“– Auch wieder schwierig zu beantworten…

– Scorecard der EFF:

21

Häufig gestellte Fragen

As such, the results in the scorecard below should not be read as endorsements of individual tools or guarantees of their security; they are merely indications that the projects are on the right track.

• „Welcher Messenger ist ok?“– Unabhängige, tiefergehende Tests bisher nicht durchgeführt– E2E-Verschlüsselung bei den gängigen Messengern Standard– Am Ende geht es um das Vertrauen in den Anbieter– Ob selbstentwickelte Lösungen wirklich besser sind, darf bezweifelt

werden…

– Auch hier wieder: Verantwortliche sollten sich fragen:• Wofür soll der Messenger zum Einsatz kommen? • Wer soll damit mit wem kommunizieren? • Auf welchem Gerät soll das stattfinden (BYOD)?• Einwilligung möglich?• …

22

Häufig gestellte Fragen

• Einwilligung bei Reichweitenanalyse nötig?

– Nein: bei lokal installierten Tools (bspw. Matomo)

– Ja: bei Verwenden von Tools Dritter (bspw. Google Analytics)

• ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung

• Einwilligung bei Cookies?

– Nicht für notwendige Cookies (Warenkorb, etc.)

• Einbindung von Social Plugins?

– Bspw. Shariff-Lösung

• Details: siehe FAQs auf der Website des LfDI BW

23

Tracking

BUSSGELDER

24

• Mehr als die Hälfte der Bußgelder in BW wurden aufgrund von Verstößen gegen t.o. Maßnahmen verhängt (~ 250.000 €)– Das ist eine neue, sehr beachtenswerte Entwicklung und zeigt

Bedeutung für technischen Datenschutz!

25

Bußgelder für Verstöße gegen t.o. Maßnahmen

• Beispiele– Passwörter im Klartext gespeichert („Knuddels-Fall“)– Papierakten nicht richtig entsorgt – Datenspeicher werden weiterverkauft, ohne zu löschen (bspw.

Gesundheitsgeräte)– Bewerberportale, Webshops, etc. nicht richtig gesichert– Tracking

– Nicht, dass es Angriff gibt, sondern die Umstände zählen..• Wie konnte es dazu kommen?• Was ist in dem Zusammenhang noch alles passiert und schief gelaufen?

– Aktuell beschäftigt sich Bußgeldstelle mit einigen interessanten Fällen aus dem Technik-Bereich

26

Bußgelder für Verstöße gegen t.o. Maßnahmen

ZUSAMMENFASSUNG UND AUSBLICK

27

• Datenschutzfolgenabschätzung– Bisher keine einzige ordentliche DSFA gesehen– Blick in Musterbeispiel „Insight AG“ vom LDA Bayern sehr zu empfehlen!

• Datenübertragbarkeit– Noch keine Anfrage von Verantwortlichen / Beschwerde von Betroffenen

• Art. 25: nimmt nicht (direkt) den Hersteller i.d. Pflicht– Verantwortliche (v.a. KMUs, Vereine, etc.) haben i.d.R. nicht die „Macht“,

Art. 25-konforme Software vom Hersteller zu verlangen• Besonders schwierig bei Monopolisten (Betriebssystem, Office-Anwendungen, ERP-Systeme, etc.)

– AB kann ebenfalls nicht gegen Hersteller vorgehen… à nur gegen Verantwortlichen, der Software einsetzt

28

Weitere Erkenntnisse nach über einem Jahr DSGVO

• Technischer Datenschutz mit der DSGVO wichtig geworden #DSGVOwirkt

• Es gibt noch einiges zu tun im Bereich des technischen Datenschutzes – Es braucht mehr Techniker als DSB und in den Aufsichtsbehörden

• Hier tut sich immer noch viel zu wenig

– Dienstleister als großes Problem• Häufig nicht sorgfältig in Bezug auf IT-Sicherheit• Wenn etwas passiert à Verantwortlichkeit wird von sich gewiesen à Kunden alleine gelassen• Aber auch als Verantwortlicher sollte man wissen, was der Dienstleister (bei dem es eine

Datenpanne gab) eigentlich für Dienste erbringt und welche Daten er verarbeitet• Bei Websites und Apps: es wird alles eingebunden was geht (an Tracking) à Kunden sind sich

häufig nicht darüber im Klaren

– Stand der Technik immer noch schwierig zu bestimmen• Wollen Entscheidungen herbeiführen (Passwort-Hashes, 2-Faktor-Authentifizierung, etc.)

29

Zusammenfassung und Ausblick

31

Vielen Dank für Ihre Aufmerksamkeit

petrlic@lfdi.bwl.de@rpetrlic (privat)