EU Datenschutz Grundverordnung 2018

KW 6: Einmal hin, Alles raus! – Achtung: Weder Kunden noch Mitarbeiter mögen ihre Namen auf „Todeslisten“ sehen!

Autor:

Joachim Jakobs

Viele Unternehmen verzichten auf ein Rechtemanagement – bei einem Angriff kommen die Täter schnell an alle Informationen, an die auch die Mitarbeiter herankommen können. Mitarbeiter könnten so auf „Todeslisten“ gelangen. Berechtigungsmanagementsysteme können sogar Menschenleben retten.

Zwei Drittel der Unternehmen sollen innerhalb von zwei Jahren „fünf oder mehr“ Datenangriffen zum Opfer gefallen sein – behauptet das SC Magazine.

Sony Pictures Entertainment gefährdet seine Existenz

Die nüchternen Zahlen werden den Konsequenzen für die Betroffenen nicht gerecht; der Solutions Review berichtet von einem Angriff auf Sony Pictures Entertainment – dort sollen sich die Angreifer Zugangsdaten eines Administrators verschafft haben – diese Zugangsdaten hätten es den Angreifern erlaubt, „Alles“ innerhalb des Netzes zu tun: „Nachdem die Angreifer einmal Zugang hatten, konnten sie viele gemeine Dinge tun: Festplatten löschen, Daten stehlen und peinliche Mails von Entscheidern und Mitarbeitern veröffentlichen.“ Die „Daten“ – Sozialversicherungsnummern, Gesundheitszustand, Geburtsdaten und Gehältern von Zehntausenden Mitarbeitern, „Berühmtheiten“ und Freiberuflern – sollen etwa in Excel-Listen enthalten gewesen und nach dem Angriff im Internet gehandelt worden sein.

So musste Sony-Chairman Amy Pascal eine persönliche Tragödie erleben – sie hatte sich per Mail über die Rasse des damaligen US-Präsidenten Barack Obama lustig gemacht; nach der Veröffentlichung dieser Mails musste sie ihren Hut nehmen. Ein Nichts im Verhältnis zu den Konsequenzen für Andere!

Pierluigi Paganini, Cyber-Sicherheitsberater der Europäischen Union, berichtet , dass „Mitarbeiter und deren Familien“ persönlich bedroht worden seien: „Diese erschreckende Wendung der Ereignisse ist ohne Beispiel!“ Insgesamt soll der Angriff den Konzern 15 Millionen US-Dollar und den Börsenwert von Sony in der Woche danach 10 Prozent gekostet haben.


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Das US-Personalamt sammelt und verliert die Leben seiner Mitarbeiterdaten

Nach 2014 hat‘s ein paar weitere Beispiele gegeben – wer bei der US-Bundesregierung anheuern will, muss die Hosen runterlassen: In einem 127 seitigen Fragebogen mit der Bezeichnung „SF-86“ bleibt nix ungeklärt – die abc news weisen darauf hin, dass nicht nur Daten des Bewerbers, sondern auch die von „Verwandten, Freunden und sogar Mitbewohnern im Studentenwohnheim“ abgefragt würden. Dagegen ist Herr Bundesinnenminister Thomas de Maizière ja ein Waisenknabe!

2015 wurde ein Angriff aufs US-Personalamt (OPM) bekannt – und schwups! – schon waren die Daten – Darunter 5 bis 14 Millionen Fingerabdrücke – von 21 Millionen aktuellen und früheren Bundesbeamten in den Händen mutmaßlich chinesischer Angreifer. Jetzt wird die Beute angeblich im Dunklen Netz zum Verkauf angeboten .

Fingerabdrücke! Eine Schlagzeile vom Januar 2018 dazu: „Mehrere Lücken in Lenovos biometrischem Passwort-Manager“ und trotzdem heißt es ebenfalls im Januar: „Studie: Junge Leute akzeptieren biometrische Verfahren statt Passwort“ und: „Contactless Payment: Gemalto testet biometrische kontaktlose Kreditkarte“ . Was man so alles mit geklauten Abdrücken und den dazu gehörenden Fingern anstellen kann, lesen Sie in Chefsache: Datensicherheit! von letzter Woche

Ich komme schon wieder vom Thema ab – der Leckerbissen OPM (US-Personalamt) geht noch weiter! Der Solutions Review entrüstet sich: „Schockierenderweise hat der US-Generalinspekteur bekanntgegeben, dass das OPM über Jahre bis zu dem Angriff ohne jegliche Zugangsbeschränkung oder Verschlüsselung gearbeitet hat!“

Die Zustände bei Sony und dem OPM könnte man also frei nach dem Werbespruch eines Einzelhändlers so zusammenfassen: Einmal hin, Alles raus!

Luftpumpen im Angebot – der Cyber Security Berater Deloitte

Das ist aber nicht nur bei den Anwendern ein Thema, sondern auch bei denen, die Ihnen eine „Cyber-Security-Beratung“ aufschwätzen wollen, aber tatsächlich keine Ahnung zu haben scheinen, wovon sie reden: In einer 86 seitigen Broschüre sinniert Sam Balaji, „Business Leader Global Risk Advisory“ beim Wirtschaftsprüfungskonzern Deloitte im Mai 2017 über „verlorene Werte und verursachte Schäden“ der Cyberkriminalität, behauptet „schlechte Nachrichten machen gute Presse“ und sinniert über der Frage, ob „wir nicht anerkennen sollten, dass die Cyber Risiken im Geschäftsalltag heute unvermeidlich sind“. Was der Clown schluckt, bevor er sowas zu Papier bringt, ist nicht bekannt, jedenfalls scheint es, als ob seine Admins auch davon genascht haben: Die sollen auf eine Zwei-Faktor-Authentifizierung verzichtet haben. Ergebnis: Der Konzern soll um Daten von „mindestens sechs Kunden“ gebracht worden sein. Es handelt sich Medienberichten zufolge um „Blue-Chip-Firmen“, also Unternehmen von enormer Größe, deren Aktien global gehandelt werden. Später berichtete golem.de davon, „dass zahlreiche Systeme des Unternehmens teils ungeschützt direkt mit dem Internet verbunden seien“. „Zahlreich“ scheint mir ein unzulässiger Euphemismus zu sein: Die Rede ist von „7.000-12.000“ offenen, weltweit verteilten Rechnern. Zahlreich auch die verlorenen Mails: Es soll um „Millionen“ gehen.

Aber alles halb so wild: Nach Angaben der ThreatPost soll Deloitte darauf hingewiesen haben, dass „nur sehr wenige Kunden“ betroffen seien. Und Betriebsunterbrechungen bei Kunden hätte es gar keine gegeben. Da bin ich beruhigt! Unterm Strich klingt das jedenfalls ähnlich wie bei Sony und dem US-Personalamt: Einmal drin, Alles raus!

Allerdings finde ich es vor dem Hintergrund … sagen wir mal … mutig, wenn der Konzern fordert : „Cyberabwehr zentralisieren und professionalisieren“ und einen „Handlungsauftrag an Politik und Gesellschaft“ erteilt. Sie müssen damit rechnen, an 16 Standorten allein in Deutschland von dem Konzern „beraten“ zu werden. Achtung: Deloitte denkt in seiner Broschüre auch über eine „Welt jenseits der Passwörter“ nach. Da sollen sich gar „Sicherheit, Effizienz und Benutzererfahrung der digitalen Transformation“ verbessern lassen. Wie wäre es denn, wenn sich Deloitte einfach ein schlichtes Benutzermanagement gönnen würde, anstatt die Welt mit derlei hohlen Phrasen zu foltern?! Die Pressestelle hat sich gegenüber Chefsache: Datensicherheit! nicht geäußert. Vielleicht sind die ja auch noch bei der Party.

Accenture spuckt große Töne

Im Jenseits ohne Passwörter scheint sich die Unternehmensberatung Accenture zu befinden – die Unternehmens-“beratung“ soll vier Kundenserver ohne jede Passwortabfrage ins Netz gestellt haben. Dan O'Sullivan, Cyber Resilience Analyst beim Sicherheitsdienstleister Upguard spricht von einem „System Schock“. Im Detail sollen Programmierschnittstellen, Zugangsdaten (einschließlich 40.000 Klartext-Passwörter), Zertifikate, Kundendaten „und mehr Daten“ in Gefahr gewesen sein. Damit hätten „Accenture und seine Kunden“ angegriffen werden können, so O‘Sullivan. Klingt wie gehabt: Einmal drin, Alles raus!?

Er weist außerdem darauf hin, dass 94 der „Fortune Global 100“ und drei von vier der „Fortune Global 500” , der größten Unternehmen weltweit zu den Accenture-Kunden gehören.

Interessant ist an dieser Stelle eine Accenture-Pressemitteilung vom April 2017:

79 Prozent der US-Bürger seien wegen Datenschutz und Datensicherheit besorgt und fast zwei Drittel hätten mehr Vertrauen in Behörden und Dienstleister, wenn diese mehr in Datenschutz und Datensicherheit investieren würden. Dafür hatte Accenture angeblich 3500 US-Bürger befragt. Die Accenture-Pressestelle hat sich nicht zu den Upguard-Behauptungen geäußert. Es würde mich außerdem interessieren, wie es den Accenture-Kunden und deren Mitarbeitern geht.

Schließlich kann es hier durchaus physisch werden – vor einem Jahr titelte Pierluigi Paganini in seinem Blog: „United Cyber Kalifat veröffentlicht eine Todesliste mit 8.786 Personen aus den USA und Großbritannien“. Unternehmen und Institutionen müssen genau überlegen, ob das eigene Handeln in die Kritik Dritter geraten und für die Mitarbeiter zu einer echten Bedrohung werden könnte. Wer immer alles rausholen kann, wenn er erst einmal drin ist, könnte es nicht nur beim Rausholen belassen, sondern auch eine beliebige Anzahl an Menschen gefährden.

Jetzt mag sich Herr Müller-Lüdenscheid von der Müller KG aus Hintertupfingen denken: „Das kann ich sowieso alles vergessen, ich habe schließlich keine Millionen Mitarbeiter, sondern nur 100. Die Kriminellen aus dem Internet interessieren sich nicht für meine Firma! Und Geld für so einen globalen ahnungslosen Unternehmensberater habe ich auch nicht“. Zwei meines Erachtens bestechende Argumente dazu:

KMU – der Botnetze liebste Beute

1) Selbst wenn Sie Ihren Kunden nur anonym Gemüse auf dem Wochenmarkt verkaufen und nur gelegentlich eine berufliche Mail schreiben, sind Sie ab Mai gesetzlich verpflichtet, eine solche Risikoanalyse anzustellen!

Darin sollte unter dem Stichwort „Bedrohungen“ der Begriff „Botnetz“ auftauchen. Ohne zu übertreiben, kann man ein solches Botnetz als Hydra der Informationsgesellschaft bezeichnen: Dabei steuert der Betreiber eines solchen Botnetzes, der „Botnetz-Master“, beliebig viele Computer-Sklaven, die er zuvor mit seinem Schadprogram infiziert hat. Deren Verbreitung soll „dramatisch“ zunehmen : Die Angreifer verbessern ihre Technik permanent, die Bandbreite (im Glasfasernetz!) wächst mit gigantischer Geschwindigkeit und genauso nimmt die Anzahl vernetzter Geräte zu – jedes davon kann als Müllschleuder missbraucht werden. Die „Funkschau“ zählt ein halbes Dutzend davon auf: „Reaper, Persirai, Imeij, BrickerBot, Zyklon und WireX“. Ein anderes namens Mirai Okiru soll aktuell „Milliarden“ Geräte angreifen . „Okiru“ soll der japanische Begriff für „Aufwachen“ sein. Da der Quellcode seines bereits gewaltigen Vorläufers Mirai mittlerweile öffentlich ist , erwarten Sicherheitsforscher einen „Cyber Hurrican“. Ein prima Zeitpunkt fürs Aufwachen: Da sich die Angriffe automatisieren lassen, sind Mittelständler für Kriminelle so interessant, erläutert Greg Shannon, Wissenschaftler am Carnegie Mellon Institut: „Den Kriminellen ist es egal, wen sie angreifen; und weil ein einzelnes Unternehmen den Aufwand nicht lohnt, schreiben sie Viren oder Erpressungstrojaner, mit denen sie Tausende oder Millionen angreifen können.“ Mit anderen Worten: Die Schwachstellen im Mittelstand und die Leistungsfähigkeit der Botnetze sind so groß, dass keine Handarbeit erforderlich ist, um bei Ihnen Kasse zu machen – die Computersklaven sammeln weiterhin das Geld ein, während sich die Master irgendwo in der Sonne räkeln.

Wie das genau mit dem Geldeinsammeln funktioniert, wird Chefsache: Datensicherheit! in einer Artikelserie zu den Angriffen beschreiben.

DSGVO: Mitarbeiter arbeiten „nur auf Anweisung“ des Chefs

2.) Neben der Angriffsqualität dürfen Sie sich außerdem Sorgen wegen der spezifischen Forderungen der DSGVO bezüglich des Berechtigungsmanagements machen – so heißt es in Artikel 32 (4): „Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten

Für den Rechtsanwalt Horst Speichert ist somit klar, dass „neben Datenschutzrichtlinien und der Verpflichtung auf das Datengeheimnis auch eine lückenlose Verwaltung und Dokumentation von Zugriffsberechtigungen erforderlich“ ist.

Berechtigungsmanagement im Krankenhaus

Soweit die Theorie – was aber bedeutet das für die Praxis? In einem Wiki erläutert die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS), wie ein rollenspezifisches Berechtigungssystem in einem Krankenhaus aussehen sollte: Unterschiedliche Rechte sind demnach nicht nur dem ärztlichen Direktor, der Pflegedienstleitung und dem Verwaltungsdirektor, sondern auch der Chefärztin, dem Oberarzt, der Assistenzärztin, dem Pflegepersonal, der Verwaltung, der Abrechnung sowie dem Medizinischen Dienst der Krankenkassen einzuräumen: Die Personalabteilung erhält Zugriff auf die Mitarbeiterdaten, der Einkauf auf die der Lieferanten und das medizinische/pflegerische Personal auf die der Patienten. Wobei: Hier ist Liebe zum Detail gefragt: Der Arzt braucht keinen Zugriff auf die Postanschrift des Patienten, genauso könnte der Zugriff auf Patientendaten aus dem Urlaub überflüssig sein und schließlich ist fraglich, ob der Orthopäde Zugriff auf die Einträge des Kardiologen benötigt. Wenn das nicht der Fall ist, sollte das technisch unterbunden werden. Diese Maßnahmen entsprechen den Vorgaben der DSGVO: Datenschutz soll gemäß Erwägungsgrund 78 Standard sein und durch Technik gewährleistet werden.

„Im Normalfall“ – so die GMDS – stehen die Daten eines Patienten „nur dem ärztlichen und pflegerischen Personal der ihn behandelnden eigenen Station zur Verfügung“. Und dem „Personal (Ärzten, Physiotherapeuten, …)“, das eventuell von außen hinzugezogen werden muss. Aber: „Für das ärztliche und pflegerische Personal, das aufgrund spezieller Schichten für einen größeren Bereich oder sogar das ganze Krankenhaus zuständig sind, müssen für diesen Zeitraum die Berechtigungen entsprechend erweitert werden“. Und: „Mitarbeiter der Verwaltung, die für die Bearbeitung von DRGs (Diagnosis Related Groups = Fallpauschalen; Anm. d. Autors) ausgebildet wurden, dürfen auf die Patientenakten zugreifen, für deren Prüfung sie zuständig sind“. Genau genommen müsste die Forderung eigentlich lauten: „Mitarbeiter der Verwaltung … dürfen auf den Teil der Patientenakten zugreifen, für deren Prüfung sie zuständig sind.“ In – ausdrücklich begründeten! – Sonderfällen müssen „Ärzte, Pflegekräfte und die für DRG ausgebildeten Verwaltungsmitarbeiter“ auf bestimmte Patientendaten zugreifen können, „auch wenn kein Notfall vorliegt“. Empfangsmitarbeiter erhalten Zugriff auf den administrativen Teil der Krankenakte, Labormitarbeiter dürfen an die Laboranforderung und der Apotheker an die Bestellliste der Arzneimittel. Bei den Zugriffsrechten ist zwischen „Keine“, „Erstellen“, „Lesen“, „Ändern“ und „Vollzugriff“ zu unterscheiden. Der „Datenschutz-Guru“ empfiehlt außerdem die „Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten“.

Pseudonymisierung, Verschlüsselung, Haftung, Preise

Und vergessen Sie nicht: Für das Rechtemanagement nach Artikel 32 (4) DSGVO gilt ebenfalls Absatz 1 im gleichen Artikel: Sie müssen technische und organisatorische Maßnahmen zur Sicherung Ihres Rechtemanagements umsetzen. Diese Maßnahmen schließen nach Art 32 (1a) auch „die Pseudonymisierung und Verschlüsselung personenbezogener Daten“ ein. Den Namen vom Buchhalter Thomas Weber könnten Sie durch das Pseudonym „Buchhalter1“ ersetzen. Ob sich die geforderte „Verschlüsselung“ in Ihrem Unternehmen auf das Rechtemanagement als Ganzes beziehen kann, oder auf den einzelnen Datensatz (z.B. von Buchhalter1) oder gar die einzelnen Datenfelder (Vor- und Zunahme, Geburtsdatum, …) beziehen muss, ergibt sich aus Ihrer Risikoanalyse.

In jedem Fall ist der Chef verantwortlich für die Vergabe der Rechte – und muss für die Zustände in seinem Unternehmen (persönlich) gegenüber Aufsichtsbehörden und Gerichten geradestehen. Das könnte dazu führen, dass das Unternehmen in einem starren, unflexiblen Korsett endet, das sich nicht mehr mit der notwendigen Geschwindigkeit auf Marktveränderungen einstellen kann. Das glaubt Jamshed Kharkan, Geschäftsführer von C-IAM jedoch nicht: Administratoren könnten immer noch ganz wie gewohnt jederzeit an dem Zielsystem arbeiten. Aber: Das sei nicht empfehlenswert, da es nicht mehr dokumentiert werden könne.

Beim Aufwand zur Implementierung eines solchen Systems unterscheidet Kharkan zwischen „On Premises“ (also beim Kunden vor Ort) und Cloud-basierten Lösungen. On Premises-Lösungen seien „sehr aufwändig und teuer“: Infrastruktur, Implementierung, Beratung, Lizenzen und der Betrieb eines solchen Systems für einen einzigen Kunden verursachen nach Kharkans Ansicht hohe Aufwendungen. Stolz verweist Kharkan darauf, wie er den Geldbeutel seiner Kunden schont: „Bei der Nutzung der C-IAM Cloud entfallen beispielsweise Infrastruktur- und Betriebskosten. Zusätzlich werden durch das SaaS Lizenzmodell die Kosten übersichtlicher (User/Monat) und günstiger.“