Unternehmen schützen Ihre Informationen durch diverse technische Maßnahmen vor Diebstahl und Missbrauch. Denn diese Daten machen ein Unternehmen erst erfolgreich. Um trotzdem an die begehrten Daten zu kommen, haben sich Hacker angepasst und greifen nicht mehr direkt die IT an, sondern suchen sich leichtere Wege, um ans Ziel zu kommen: die Mitarbeiter. Dabei gehen diese Cyber-Kriminellen äußerst geschickt vor und nutzen die menschlichen Schwächen aus.

Daher wird es immer wichtiger, Mitarbeiter gezielt für die Taktiken der Kriminellen zu sensibilisieren. Denn nur so kann verhindert werden, dass ein unbewusstes Fehlverhalten zu Datenverlust führen.
Das beginnt schon damit, dass in Konferenzräumen oder auf dem Schreibtisch keine sensiblen Unterlagen unbeobachtet liegen bleiben. Auch die Nutzung des Internets oder sozialer Medien mit dem Firmenrechner und das damit verbundene Risiko zu viele Informationen preis zu geben oder Schadsoftware runterzuladen wird immer problematischer.

Um ein entsprechendes Sicherheitsbewusstsein bei den Mitarbeitern zu schaffen, müssen Firmen zunächst klare und umsetzbare Richtlinien schaffen, an denen sich die Mitarbeiter orientieren können. Des Weiteren helfen Schulungen und Workshops den Mitarbeitern Gefahren zu erkennen und korrekt zu reagieren.

Wichtig ist, dass diese Maßnahmen regelmäßig durchgeführt und deren Umsetzung geprüft werden. Nur so erreicht man, dass die Maßnahmen zu einem wirklichen Umdenken und einer Handlungsveränderung bei den Mitarbeitern führen. Belehrungen reichen nicht – Beispiele schaffen Verständnis und verdeutlichen Folgen.

Trotz aller Warnungen scheuen Firmen immer noch die Investition für diese Sicherungsmaßnahme, da es keine messbaren Bedrohungen gibt. Denn wer kann schon sagen – Wie oft hat ein Externer sensible Daten gelesen. Welche Informationen zu Terminen bei Kunden wurden per Telefon an Fremde weitergegeben. Welche Passwörter von Mitarbeitern sind auch deren Freunden bekannt da es auch für private Accounts genutzt wird usw. Nur weil noch kein Schaden im eigenen Unternehmen bekannt geworden ist, heißt das nicht das die Bedrohung nicht da ist. Und ist der Schaden erst entstanden, hilft auch aller Ärger über den Mitarbeiter nicht.

Fazit:

Klare Regeln und ein hohes Sicherheitsbewusst sein bei den Mitarbeitern sind genauso wichtig wie die technischen Maßnahmen zur Sicherstellung der Informationssicherheit. Warten Sie nicht bis es zu spät ist, sondern investieren sie in Ihre Mitarbeiter.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Seit Februar 2019 gilt das IT-Grundschutz-Kompendium 2019 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Daher sollten sich alle, die für die IT-Sicherheit in Unternehmen oder Behörden zuständig sind, mit den Neuerungen auseinandersetzen.
Auf der Webseite  des BSI findet sich eine entsprechende Ausarbeitung.

Hier eine kurze Übersicht:

Zu den bereits vorhandenen 80 IT-Grundschutz Bausteinen sind 14 neue dazugekommen:

• APP.1.4 Mobile Anwendungen (Apps)
• APP.2.3 OpenLDAP
• APP.4.2 SAP-ERP-System
• APP.4.6 SAP ABAP-Programmierung
• IND.2.7 Safety Instrumented Systems
• INF.6 Datenträgerarchiv
• NET.4.1 TK-Anlagen
• NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver
• OPS.2.2 Cloud-Nutzung
• SYS.1.7 IBM Z-System
• SYS.2.4 Clients unter macOS
• SYS.3.3 Mobiltelefon
• SYS.4.3 Eingebettete Systeme

Von den 80 vorhandenen IT-Grundschutz Bausteinen sind 36 überarbeitet worden, allerdings nur bei 25 wurden umfangreichere Änderungen vorgenommen, die man sich ansehen sollte. Eine entsprechende Unterteilung wurde bereits, zur besseren Übersicht, auf der Webseite vorgenommen.

Wer sich noch nicht so genau mit dem IT-Grundschutzkatalog auskennt, kann sich im Kompendium  informieren. Eine gute Übersicht für den Einstieg bietet auf dieser Seite auch die Mindmap.

Wer sich lieber beraten lassen möchte oder Unterstützung bei der Umsetzung benötigt, kann sich gern an uns wenden.

Sie erreichen uns unter info(at)anmatho.de | Tel.: +49 40 229 47 19 0

Nach der Umsetzung des IT-Sicherheitskatalog für Gas- und Stromnetzbetreiber 2018 hat die Bundesnetzagentur (BNetzA) nun auch einen IT-Sicherheitskatalog für Energieanlagen veröffentlicht.

Adressiert werden hierbei Betreiber von Anlagen zur Erzeugung, Speicherung, Fortleitung oder Abgabe von Energie, die entsprechend der Schwellenwerte der BSI-Kritisverordnung als Kritische Infrastrukturen bestimmt wurden.

Ziel des IT-Sicherheitskatalog ist der Schutz der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Betrieb von Energieanlagen erforderlich sind. Die Energieanlagenbetreiber werden dazu verpflichtet, IT-Sicherheitstechnische Mindeststandards umzusetzen. Diese umfasst die Einführung eines Informationssicherheits-Managementsystem und die Zertifizierung nach ISO 27001. Diese Zertifizierung ist dem BSI bis zum 31. März 2021 nach zu weisen. Dabei ist zu beachten, dass eine Umsetzung im Schnitt mindestens ein Jahr dauert. Und wenn viele Unternehmen gleichzeitig Unterstützung bei der Umsetzung benötigen, es zu Engpässen bei den beratenden Firmen kommen kann.

Bis zum 28. Februar 2019 ist der Bundesnetzagentur ein konkreter Ansprechpartner mit Kontaktdaten für die IT-Sicherheit zu benennen. Dieser Ansprechpartner soll Auskunft über den Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog geben und aufgetretene Sicherheitsvorfälle melden.
Zusätzlich ist eine Kontaktstelle zur Meldung von Störungen an das BSI zu melden.

Entsprechende Formulare finden Sie auf der Seite der Bundesnetzagentur unter:
https://www.bundesnetzagentur.de/

Unter dem Motto: „Mission (Im)possible“ brachte unser Forum am 11.12.2018 Kunden aus unterschiedlichen Branchen zusammen. Für die brennenden Themen zur Informationssicherheit und Datenschutz konnten wir Experten gewinnen, die die Probleme aus unterschiedlichen Perspektiven betrachten.

Nach einer kurzen Begrüßung durch unseren COO, Herrn Westerkamp, hat Herr Dondera vom LKA Hamburg in dem Vortrag „Cybercrime – reale Gefahren im Netz“ kurzweilige und mit vielen Fallbeispielen auf die aktuelle Bedrohungslage in der digitalen Welt aufmerksam gemacht. Er hat besonders darauf hingewiesen, wie wichtig neben der technischen Sicherheit auch die Schulung der Mitarbeiter ist. Denn niemand sollte der Meinung sein, dass er im Unternehmen blindlings Mailanhänge öffnen kann – so nach dem Motto „Das Firmennetzwerk ist doch gut geschützt“.

In dem Vortrag „Wirtschaftsspionage durch Social Engineering“ machte Herr Peine-Paulsen, vom Wirtschaftsschutz Niedersachsen, deutlich, dass das größte Risiko heute nicht mehr von dem klassischem Hacker im Keller ausgeht, der versucht auf technischem Wege an interessante Daten zu gelangen. Unternehmen werden heute mithilfe von gezielt geknüpften Kontakten und dem Aufbau von Vertrauen ausspioniert. Mitarbeiter jeder Hierarchiestufe werden manipuliert und so verleitet Interna preiszugeben. Dies betrifft nicht unbedingt nur die großen Unternehmen. Im Visier von Kriminellen sind besonders innovative Firmen. Und auch hier wurde darauf hingewiesen, wie wichtig die Sensibilisierung der Mitarbeiter ist.
Der Part „Technische Lösungen für mehr Sicherheit“ hat Herr Blohm von der Dr. Netik und Partner GmbH übernommen. Er zeigte technische Lösungen auf, die den Vorgaben der Informationssicherheit entsprechen und in der Praxis erfolgreich eingesetzt werden.

Nach einem leckeren Lunchbuffet in dem angenehmen Ambiente des Business Club Hamburg, ging es weiter mit dem Thema Datenschutz. Herr Dr. Frhr von dem Busche von der Kanzlei Taylor Wessing hat in seinem Vortrag „200 Tage DS-GVO – Erfahrungen aus der anwaltlichen Praxis“, deutlich gemacht, dass die DS-GVO weltweit immer häufiger als Maßstab für richtigen Datenschutz angesehen wird. Vorausdenkende Unternehmen sollten die Umsetzung der DS-GVO als Wettbewerbsvorteil nutzen, denn Sie hat Einfluss auf den nationalen und internationalen Markt.

Im Anschluss hat Frau Thiel, Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, mit Ihrem Vortrag „Ein halbes Jahr DS-GVO aus Sicht der Aufsichtsbehörde“ die neuen Herausforderungen, die die DS-GVO mit sich gebracht hat, aus Sicht der Behörde geschildert. Sie zeigte den Teilnehmern auf, wie die niedersächsische Behörde in Datenschutzfragen vorgeht und welche Art von Prüfungen bisher in die Wege geleitet wurden und künftig zu erwarten sind.

In der abschließenden Podiumsdiskussion diskutierten die Referenten und Teilnehmer lebhaft und kontrovers aktuelle Fragen zu den Themen Informationssicherheit und Datenschutz.

Alles in Allem war das Feedback der Teilnehmer sehr positiv und wir freuen uns schon jetzt auf die Veranstaltung im nächsten Jahr.

Derzeit grassiert der Trojaner Emotet in duzenden Firmen und Behörden, wo er Schäden in Millionenhöhe anrichtet. Das BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sind alarmiert.

Wie funktioniert Emotet?

Emotet ist ein Trojaner der mit E-Mail-Anhängen versandt wird. Die Mail wird auf den Empfänger optimal zugeschnitten und verleitet diesen dazu die doc-Datei zu öffnen und die Freigabe für die Ausführung eines Makros zu bestätigen. Daraufhin installiert sich der Trojaner unauffällig auf dem PC und fängt an das Kommunikationsverhalten und das Adressbuch des Betroffenen auszulesen. Und verbreitet sich weiter im gesamten Firmennetz. Das Ganze erfolgt automatisiert und in großer Zahl, sodass man hier auch von Dynamit-Phishing spricht. Die Vorlage für diese Art von Cybercrime wurde von den Methoden und Techniken der staatlich geförderten Hacker-Gruppen und der NSA abgeschaut und sind sehr effektiv.

Wie schützt man sich vor Emotet?

Zunächst sollten alle Mitarbeiter darüber informiert werden, dass die in der E-Mail angehängten Doc-Dateien in der Regel keine Makros ausführen müssen und eine Abfrage nicht bestätigt werden darf. Bekommt man eine solche Abfrage sollte das der IT gemeldet werden.
Administratoren, sollten nochmal prüfen, ob Sicherheits-Updates überall durchgeführt wurden. Des Weiteren sollten Gruppenrichtlinien die Ausführung von Makros so weit wie möglich verbieten. Auf jeden Fall sind Maßnahmen zur Stärkung des Sicherheitsniveaus im Firmennetzwerk zur Verhinderung oder zumindest Einschränkung einer Ausbreitung zu ergreifen.

Tipps für Bürger gibt das BSI unter:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

Tipps für Administratoren finden Sie hier:

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html

Über eine Woche war das Klinikum Fürstenfeldbruck von der Rettungsleitstelle abgemeldet, da sämtliche Computer von dem Virus betroffen waren. Es konnten zwar Patienten aufgenommen werden, aber sämtliche Daten mussten händisch aufgenommen werden und müssen im Nachhinein digital erfasst werden.

Es wird vermutet, dass der Auslöser ein E-Mail-Anhang war indem die Schadsoftware versteckt gewesen ist. Nachdem dieser geöffnet wurde hat sich der Virus rasant im gesamten Netzwerk verbreitet und dafür gesorgt, dass die Rechner sich wiederholt hoch und runtergefahren haben.

Ein Ausfall der IT bedeutet, dass jede Blutprobe händisch beschriftet werden muss, jede Patienteninformation durch das Haus getragen werden und selbst die Essens-Auswahl der Patienten per Hand notiert werden muss. Das bedeutet, dass das Klinikum sich von der Rettungsleitstelle abmelden musste, um die Anzahl der Patienten zu reduzieren und die Technische Abteilung Nachtschichten einlegen musste, um den Betrieb wiederherzustellen.

Der Vorfall wurde gemeldet und jetzt ermittelt die Staatsanwaltschaft bzw. die Zentralstelle Cybercrime Bayern. Auch wenn nach der Woche Ausfall der Betrieb wieder angelaufen ist, benötigt es auch weiterhin Zeit, um alle Rechner wiederherzustellen und die Krise aufzuarbeiten. Denn nach jedem Notfall ist zu klären: „Was ist falsch gelaufen und was kann man zukünftig besser machen.“ Hinzu kommt die Schadensbilanz. Denn neben den angefallenen Überstunden konnten während dieser Zeit auch weniger Patienten aufgenommen werden.

Fazit:

Auch wenn man eine gut aufgestellte IT Sicherheit und einen Notfallplan hat, gibt es immer die Möglichkeit eines Angriffes der einem die Lücken im System aufzeigt, die es dann zu schließen gilt.

Anfang des Jahres gab es wieder eine erfolgreiche Zertifizierung eines ISMS nach ISO 27001, als Abschluss einer guten Zusammenarbeit zwischen der Stadtwerke Husum Netz GmbH und der ANMATHO AG. Im Wattkieker, das Kundenmagazin der Stadtwerke Husum, wurde hierzu ein Artikel veröffentlicht.

Mehr dazu

Mobile Endgeräte wie Smartphones, Tablets oder Laptops verbinden sich regelmäßig automatisch mit bekannten drahtlosen Netzwerken (sog. WLANs). Eine Komfortfunktion, die auch ein Sicherheitsrisiko in sich birgt.

Vortäuschung bekannter WLANs

Ein mobiles Endgerät, das aktiv nach bekannten Verbindungen sucht, sendet Anfragen (sog. „probe requests“), ob ein bekannter Hotspot bzw. ein bekanntes drahtloses Netzwerk in seiner Nähe ist. Antwortet dieses, wird in der Regel eine Verbindung mit diesem eingegangen. Angreifer lauschen im Rahmen der KARMA-Attacke nach entsprechenden Anfrage-Paketen, lesen den Namen des gesuchten WLANs aus der Anfrage und erstellen selbst ein entsprechendes – vor allem gleichnamiges – WLAN, in das sich das Opfer dann in der Regel automatisch einwählt. Da der Datenverkehr dieses „falschen“ drahtlosen Netzwerkes unter der Kontrolle des Angreifers steht, können hier Daten per Man-in-the-Middle-Angriff abgehört und manipuliert werden, der Angreifer steht hier zwischen dem Opfer und dem Internet. Durch solche Angriffe geraten regelmäßig Passworte in falsche Hände, ohne dass es das Opfer bemerkt.

Ausnutzung allgemeiner Hotspot-Namen

Als Gegenmaßnahme scannen die Netzwerkmanager aktueller mobiler Endgeräte passiv. Anstatt aktiv nach bekannten WLANs zu fragen, lauschen sie vermehrt, welche drahtlosen Netzwerke in der Nähe gerade aktiv sind, so lässt sich der oben beschriebene Angriff nicht mehr durchführen.

An dieser Stelle kommt jedoch die sog. Known-Beacons-Attacke ins Spiel: Bei dieser öffnen Angreifer eine Vielzahl an drahtlosen Netzwerken mit bekannten Namen, etwa von Hotelketten, Telekommunikationsunternehmen, Verkehrsgesellschaften oder anderen Hotspot-Anbietern. Diese verwenden stets den gleichen Hotspot-Namen, sodass sich mit großer Wahrscheinlichkeit auch hier das Gerät des Opfers mit dem WLAN des Angreifers verbindet. Auch in diesem Falle kann der gesamte Datenverkehr erneut vom Angreifer abgehört und manipuliert werden.

Ein prominentes und sehr mächtiges Tool, das die Known-Beacons-Attacke durchführen kann, ist „Wifiphisher“.

Gegenmaßnahmen

Um einem Known-Beacons-Angriff zu entgehen, sollten bekannte, öffentliche Hotspots nach Verwendung aus dem Speicher des jeweiligen Mobilgerätes gelöscht werden. Auf diese Weise sucht das Gerät weder aktiv noch passiv nach entsprechenden Netzen, verbindet sich nicht mit ihnen und kann im Ergebnis nicht angegriffen werden. Im Übrigen sollte auch der Name des drahtlosen Netzwerkes bei jedem Nutzer zu Hause nicht bei der Werkseinstellung belassen, sondern vielmehr individuell angepasst werden.

Die ANMATHO AG empfiehlt darüber hinaus grundsätzlich, nicht genutzte Kommunikationsfunktionen in mobilen Geräten – hier etwa auch Bluetooth – zu deaktivieren, um eine entsprechende Erkennung und damit mögliche Angriffe zu verhindern. Ein positiver Nebeneffekt ist dabei sicherlich die längere Akkulaufzeit Ihres Mobilgerätes.

Nicht nur das eine oder andere Stadtmarketing zählt Besucher in Innenstädten, sondern auch immer mehr Betreiber eines Ladengeschäftes erfassen ihre Kunden sowie vorbeigehende Passanten. Dies geschieht nicht nur in Hamburg, Berlin oder Pinneberg, sondern auch im beschaulichen Parchim in Mecklenburg-Vorpommern.

Aber was machen die nun? Wie erfassen etwa Stadtmarketing sowie Ladeninhaber Kunden und Passanten? Über Studenten, die sich etwas dazuverdienen?

Nein! Sondern mit der Hilfe all derer, die das WLAN ihres mobilen Endgerätes – etwa des Smartphones – aktiviert haben.

Aus persönlichen Daten wird ein persönliches Produkt

Der deutsche Einzelhandel hat bislang vor allem Kundenkarten ausgegeben, also das sogenannte Clubmodell ausprobiert: Damit hat er die Einkäufe und Vorlieben von Kunden ausgewertet sowie hin und wieder Papiercoupons mit grob individualisierten Angeboten in deren Briefkästen werfen lassen. Allerdings hält auch hier nunmehr eine verstärkte Digitalisierung Einzug, weshalb sich auch das Kosten-Nutzen-Verhältnis positiv verändert, und so entdecken auch immer mehr Kommunen für ihre Innenstädte das WLAN-Tracking, um ihre Besucher noch besser kennenzulernen.

Ziel ist die Erfassung von Kundenströmen, die Neuansiedlung von Unternehmen und die Ergründung sowie Erzeugung von Kundenwünschen. So könnte es möglicherweise von Vorteil sein, dem Kunden, der eine bestimmte Einkaufsstraße betritt, entsprechende Rabattcoupons für die in der Nähe befindlichen Geschäfte auf sein Mobilgerät zu schicken.

Wie funktioniert das?

Das entsprechende Verfahren kommt bereits millionenfach täglich in Deutschland zur Anwendung, wenn auch – trotz mancher Fernsehwerbung, die Rabatte verspricht, die nur aufgrund dieser Technologie möglich sind – ziemlich unbemerkt und basiert auf einem sehr simplen Prinzip.

Jedes elektronische Gerät, dass die Möglichkeit des Zugangs zu einem Netzwerk – etwa einem WLAN – besitzt, verfügt über eine sogenannte MAC-Adresse. Diese Adresse macht das Gerät in der Regel weltweit einzigartig. Wenn nun dieses Gerät über eine WLAN-Funktion verfügt und diese auch aktiviert ist, wird es ununterbrochen versuchen, sich mit den in der Nähe befindlichen WLAN-Netzen zu verbinden. Damit dies möglich ist, wird die MAC-Adresse stets an das jeweilige WLAN übermittelt, um im Falle einer erfolgreichen Verbindung mit diesem WLAN Datenpakete austauschen zu können. Erkennt das WLAN bzw. der dahinterstehende Router das anfragende Gerät als berechtigt, wird der Zugriff auf das WLAN gewährt. Andernfalls wird der Zugriff verweigert. In jedem Fall dokumentiert der Router die Anfrage und damit die jeweilige MAC-Adresse.

Diesen Prozess kann jeder zu Hause nachvollziehen, der einen Router mit einem aktivierten sowie sichtbaren WLAN besitzt. Auch in diesem werden erfolglose Anmeldeversuche von WLAN-fähigen Geräten dokumentiert.

Nach dem gleichen Prinzip erfolgt die Erfassung der Kunden bzw. Passanten mittels suggerierter WLAN-Netze. Auch hier interagiert das mobile Gerät des Passanten – bei eingeschalteter WLAN-Funktion – mit der sich in der Nähe befindenden Technik des Zählenden und überträgt dabei auch die MAC-Adresse.

Einige Betreiber solcher „Zählanlagen“ geben zwar an, dass die jeweilige MAC-Adresse gehasht wird, was nichts anderes bedeutet, als dass die Adresse nach einem definierten mathematischen Verfahren verändert wird und der sich ergebende Hashwert nicht in die MAC-Adresse zurückgerechnet werden kann, allerdings ergibt dieselbe MAC-Adresse bei demselben definierten mathematischen Verfahren immer den gleichen Hashwert. Hierdurch kann zwar eine erneute Erhebung festgestellt und dadurch Mehrfachzählungen ausgeschlossen werden, dies führt aber auch dazu, dass durch ein Ausprobieren von MAC-Adressen die dazugehörenden Hashwerte individuell ermittelt werden können. So etwas kann nur durch die Verwendung eines „Salt“ unterbunden werden, wobei hierbei der jeweilige Hash um eine zufällig gewählte Zeichenfolge ergänzt wird, die bei jeder Umrechnung wechselt und so eine Zuordnung zwischen MAC-Adresse sowie Hashwert unmöglich macht.

Aufgrund der lebenslangen Verknüpfung von MAC-Adresse und mobilem Gerät ist nach Ansicht des Düsseldorfer Kreises ein Personenbezug hinsichtlich des Gerätebesitzers zu bejahen. In seiner Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter stellt er daher klar:

„Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind, können regelmäßig durch verschiedene Stellen einer Person zugeordnet werden. So werden die Kennungen mitunter von den Netzbetreibern gemeinsam mit dem Namen etc. einer Person gespeichert oder die Kennungen in Verbindung mit einer Registrierung der registrierten Person zugeordnet. Die bekanntesten Kennungen sind die:

  • IMEI: International Mobile Equipment Identity (=Gerätenummer);
  • UDID: Unique Device ID (=Gerätenummer eines iOS-Gerätes);
  • IMSI: International Mobile Subscriber Identity (=Kartennummer);
  • MAC-Adresse: Media AccessControl-Adresse (=Hardware-Adresse eines Netzwerkadapters);
  • MSISDN: Mobile Subscriber ISDN-Number (=Mobilfunknummer)“.

Im Ergebnis bedeutet dies: Wird der jeweilige Hashwert nicht mit einem „Salt“ versehen, setzt sich der Personenbezug im Hashwert fort, es liegen unstreitig personenbezogene Daten vor, die unzweifelhaft durch das Datenschutzrecht geschützt sind. Der jeweilige Hashwert kann so für differenzierte Bewegungsprofile der jeweiligen Geräte genutzt werden, die umso aussagekräftiger werden, je öfter sich das Geräte im erfassten Bereich befindet. Besonders Anwohner und Mitarbeiter von entsprechend überwachten Bereichen dürften hier betroffen sein.

Da das gesamte Verfahren von unterschiedlichsten Stimmen sehr kritisch gesehen wird, wurde mittlerweile die Bundesdatenschutzbeauftragte um die Prüfung des Einsatzes entsprechender Technologien gebeten, die dabei insbesondere den Aspekt der fehlenden Benachrichtigung der Betroffenen herausstellte. Diese wüssten gar nicht, dass Informationen ihres mobilen Gerätes weiterverarbeitet werden.

Ergebnis

Das hier beschriebene Verfahren ist – wenn eine Zuordnung der Hashwerte bestehen bleibt – durchaus kritisch zu sehen. Im Hinblick auf die DS-GVO wird in diesem Zusammenhang sehr interessant werden, wie der Betreiber einer entsprechenden Technik vor allem den proaktiven Informationspflichten nach Art. 13 DS-GVO, die bereits bei der Datenerhebung zu erfüllen sind, entsprechen kann.

Die ANMATHO AG empfiehlt, nicht genutzte Kommunikationsfunktionen in mobilen Geräten – hier etwa auch Bluetooth – grundsätzlich zu deaktivieren, um eine entsprechende Erkennung zu verhindern. Ein positiver Nebeneffekt ist dabei sicherlich die längere Akkulaufzeit Ihres Mobilgerätes.

Was bedeutet die Datenschutz-Grundverordnung (DSGVO) für mein Unternehmen und wie gehe ich mit dem Anforderungskatalog um? Diese und viele andere Fragen rund um die DSGVO wurden am 13. Dezember 2017 auf dem ANMATHO Forum besprochen.

Auch dieses Jahr war der Veranstaltungsort der „Business-Club-Hamburg“ im Heine Park mit Blick auf die Elbe. Bei einem traumhaften Sonnenaufgang fanden sich viele der Teilnehmer bereits früh ein und hatten so die Möglichkeit, sich bei einem Kaffee bekannt zu machen.

Nach einer kurzen Einführung durch Herrn Westerkamp (Mitglied der Geschäftsführung – ANMATHO AG) in die aktuelle Thematik, startete das Forum pünktlich mit dem ersten Vortrag „Die EU-Datenschutz-Grundverordnung: Welche Anforderungen werden an Unternehmen gestellt?“ von Herrn Dr. Freiherr von dem Bussche ( Fachanwalt für Informationstechnologierecht bei der Wirtschaftskanzlei Taylor Wessing). Inhaltlich wurden die rechtlichen Neuerungen erörtert – welche Gesetze gelten für die gesamte EU, welche nationalen Ergänzungen gibt es, wie werden Datenschutzverletzungen gemeldet – und vieles mehr.

Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO

Mit dem Vortrag von Herr Prof. Dr. Caspar (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit) „Die Sichtweise der Datenschutzbehörde auf die EU-DSGVO. Erwartungen und Empfehlungen“ schloss sich die schon lange erwartete Antwort der Aufsichtsbehörde zur Umsetzung der neuen Datenschutzregularien an. Insbesondere wies Prof. Dr. Caspar auf den Umbruch im Datenschutz hin und inwieweit die Betroffenenrechte durch das europaweite Gesetz gestärkt werden. Besonders interessant für die Unternehmen waren die Ausführungen, welcher Instrumente sich die Aufsichtsbehörde im Hinblick auf die Umsetzungsüberprüfung bedienen kann und mit welchen Herausforderungen und Schwierigkeiten die Behörde selbst zu kämpfen hat.

Nach diesen beiden spannenden Vorträgen war es kaum verwunderlich, dass es in der darauf folgenden Pause reichlich Diskussionsstoff gab und die Referenten sich vielen interessierten Fragen der Teilnehmer gegenüber sahen.

Das Datenschutz-Managementsystem

Nach der Pause, die ausreichend Platz für angeregte Gespräche bot, sprach Herr Westerkamp (ANMATHO AG) zur praktischen Umsetzung der DSGVO. Mit dem Vortrag „Das Datenschutz-Managementsystem – Einführung eines Regelprozesses zur Erfüllung der EU-DSGVO“ konnte die ANMATHO AG den Teilnehmern aufgrund ihrer langjährigen Erfahrung beim Aufbau und der Implementierung von Managementsystemen einen bewährten Ansatz liefern, um die Anforderungen und Pflichten der DSGVO strukturiert umzusetzen. Hier war für die Teilnehmer von besonderem Interesse, dass sich das von der DSGVO in Art. 32 Abs. 1 Ziff. d) geforderte Verfahren zum kontinuierlichen Verbesserungsprozess relativ leicht in ein bereits vorhandenes Informationssicherheits-Managementsystem implementiert werden kann. Aber auch die sinnvolle Nutzung und datenschutzrechtliche Umformung des ISO 27001-Standards als Umsetzungsrahmen, fanden offene Ohren.

Während des Lunchbuffets hatten die Teilnehmer die Möglichkeit, sich mit leckeren warmen und kalten Speisen zu stärken und sich untereinander zu den Umsetzungsproblematiken auszutauschen.

Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich

Frisch gestärkt ging es nach der Mittagspause in den Vortrag „Datenschutzrechtliche Zertifizierungen und Siegel im Online-Bereich. Was ist für andere Branchen im Bereich Zertifizierungen zu erwarten“ von Herrn Prof. Dr. Bauer (geschäftsführender Gesellschafter der ePrivacy GmbH). Hierbei gab es auch Informationen zu nutzungsbasierter Online-Werbung – sprich die Art von Werbung, die Anzeigen auf Webseiten und in mobilen Anwendungen nach dem Surfverhalten von Internetnutzern ausrichtet und wie man in Zukunft damit umgehen sollte.

Fortbildungsmöglichkeiten für den Bereich Datenschutz

Herr Koßmann (Seminarbereichsleiter Nord der TÜV Rheinland Akademie GmbH) setzte mit seiner Übersicht zu den „Fortbildungsmöglichkeiten für den Bereich Datenschutz“ einen sehr anschaulichen Abschluss der Vorträge.

Beim anschließenden „Get together“ konnten die Teilnehmer den Tag nochmal Revue passieren lassen und die vielen – teils neuen – Informationen untereinander diskutieren. Alles in allem war die Veranstaltung rundum gelungen, interessant und informativ – wozu neben den adäquaten Referenten auch wieder einmal das angenehmen Ambiente, der souveräne Service und die vorzügliche Küche des Business Clubs Hamburg beigetragen haben.

Wir freuen uns schon jetzt auf ein Wiedersehen mit Ihnen beim nächsten ANMATHO Forum im Jahr 2018!