Mein Datenschutz-Blog - #THEPRIVÄCY

Hier bloggt das Deutsche Zentrum für Datenschutz & Informationssicherheit (DZDI) als Teil der yourIT Group. Seit über 15 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Informationssicherheits- (ISB) und Datenschutzbeauftragter (DSB) rund um EU-DSGVO, BDSG-neu und ISO 27001. Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen, Praxen, Kanzleien, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Mittwoch, 8. März 2017

Virenschutz oder Datenschutz?

Die Frage, ob Sie Virenschutz oder Datenschutz wollen, erscheint auf den ersten Blick absurd. Denn Sie brauchen beides. Tatsächlich aber können Virenschutz-Lösungen zum Problem für den Datenschutz werden.

Wenn der Schutz zur Gefahr wird

Kaum jemand verzichtet komplett auf einen Virenschutz für den PC oder das Notebook, eigentlich sollte es niemand tun. Bei Smartphones sieht es schon deutlich schlechter aus: Jeder fünfte Smartphone-Besitzer (20,7 %) nutzt sein Mobilgerät ohne jegliche Sicherheitsfunktionen zum Schutz des Geräts und der darauf befindlichen Daten, so eine Umfrage für das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Aus Sicht des Datenschutzes sollte auf jedem Endgerät ein Schutz vor Malware oder Schadsoftware vorhanden sein. Doch diese Forderung kann zu einem Datenrisiko führen, wenn man nicht darauf achtet, wie es der Anbieter der Antiviren-Software mit dem Datenschutz hält.
Tatsächlich gibt es eine ganze Reihe von Virenschutz-Lösungen, die zwar Malware erkennen und abwehren, die es aber selbst nicht so genau mit dem Datenschutz zu nehmen scheinen.

yourIT, Datenschutz, Virenschutz, securITy

Überprüfung von Datenschutzerklärungen ergab Mängel

Das Testinstitut AV-Test aus Magdeburg hat die Datenschutzerklärungen von 26 Antiviren-Programmen untersucht und dabei viele Unzulänglichkeiten und Probleme entdeckt. So hatten zwei Anti-Malware-Lösungen überhaupt keine Datenschutzerklärung.
In fast jeder untersuchten Datenschutzerklärung räumten sich die Hersteller zudem in erheblichem Umfang Zugriffsrechte auf Daten ein, die für den Einsatz einer Schutz-Software nicht nötig sein dürften, so AV-Test.

Einige Extrembeispiele untermauern diese Einschätzung: So haben einzelne Hersteller angegeben, dass sie Daten über das Geschlecht, die Berufsbezeichnung sowie Rasse und sexuelle Orientierung eines Nutzers verarbeiten wollen.
Der Bezug zum Schutzzweck der Software ist offensichtlich nicht vorhanden. Die Vermutung liegt nahe, dass die Anbieter Nutzerinformationen zu Werbezwecken erheben bzw. an Dritte für Werbemaßnahmen weitergeben. Eine informierte Einwilligung, wie sie der Datenschutz fordert, erfragen sie dafür vom Nutzer nicht.

Kein blindes Vertrauen in die IT-Sicherheit

Leider können Sie also nicht davon ausgehen, dass alle Lösungen, die Ihre Daten vor Angreifern schützen, selbst mit den Daten so umgehen, wie es der Datenschutz ver-langt. Auch IT-Sicherheitsanwendungen müssen hinterfragt werden, wie sie es mit dem Datenschutz halten, genau wie jede andere Applikation, die Sie installieren oder nutzen möchten.

Genau genommen sollten Sie bei IT-Sicherheitslösungen wie den Antiviren-Programmen noch genauer hinschauen, was in der Datenschutzerklärung steht. Denn Sicherheitsprogramme haben sehr mächtige Funktionen und oftmals weitgehende Zugriffsberechtigungen auf die Daten.
Diese Berechtigungen brauchen sie in Teilen zwar, um wirklich schützen zu können. Doch sie machen auch einen falschen Umgang mit personenbezogenen Daten durch Sicherheitssoftware so gefährlich.

Nutzen Sie also auf jedem Endgerät einen Virenschutz, aber prüfen Sie bei jedem Tool auch die Datenschutzerklärung. Virenschutz und Datenschutz werden beide gebraucht, getrennt voneinander sollten sie nicht sein. Ohne Virenschutz ist Datenschutz heute nicht mehr möglich, ohne Datenschutz sollte es jedoch keine Virenschutz-Lösung geben.

Virenschutz = Datenschutz? Testen Sie Ihr Wissen!

Frage: Virenschutz ist elementar für den Datenschutz. Stimmt das?

a. Ja, das stimmt. Trotzdem ist der Datenschutz beim Virenschutz nicht automatisch garantiert.
b. Virenschutz braucht man nur, wenn man das Internet nutzt.
c. Virenschutz-Lösungen berücksichtigen automatisch den Datenschutz.

Lösung: Die Antwort a. ist richtig. Virenschutz braucht man auf jedem Endgerät, gleich ob es einen Internetzugang hat oder nicht. Denn auch ein USB-Speicherstift kann zum Beispiel Malware einschleppen.
Trotzdem kann man nicht davon ausgehen, dass der Datenschutz beim Virenschutz automatisch stimmt. Prüfen Sie die Datenschutzerklärung des Anbieters genau, bevor Sie sich für eine Lösung entscheiden.

Frage: Antiviren-Software verarbeitet personenbezogene Daten nur zu Sicherheitszwecken. Stimmen Sie dem zu?

a. Ja, zu welchen Zwecken sollte ein Sicherheitsprogramm denn sonst Daten verarbeiten?
b. Man sollte in der Datenschutzerklärung prüfen, zu welchen Zwecken der Software-Anbieter personenbezogene Daten erhebt, nutzt und speichert. Man kann Erstaunliches finden ...

Lösung: Die Antwort b. ist richtig, wie eine Untersuchung von AV-Test ergeben hat. Ob die erhobenen Nutzerdaten wirklich dem Sicherheitszweck dienen oder nicht, können Sie sich klarmachen, indem Sie die Sicherheitsfunktionen betrachten und sich fragen, ob Sie diese denn möchten oder nicht.
So kann ein Zugriff auf die Standortdaten sinnvoll sein, wenn Sie die Funktion nutzen wollen, ein verlorenes oder gestohlenes Gerät wiederzufinden. Daten über das Geschlecht und die sexuelle Orientierung des Nutzers haben aber zweifellos nichts mit den Sicherheitsfunktionen zu tun. Trotzdem wollen manche Antiviren-Lösungen solche Daten erheben und verarbeiten. Hier ist mehr als Vorsicht angesagt – es empfiehlt sich die Suche nach einer anderen Antiviren-Software!

Mittwoch, 1. März 2017

Ist mit einem Pentester eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG notwendig

yourIT aus Hechingen ist im Bereich Datenschutz & Informationssicherheit als Dienstleister und Berater tätig. Das IT-Systemhaus mit dem Slogan "Security in everything we do" bietet seinen Kunden unter anderem professionelle Schwachstellenanalysen und Penetrationstests an. Hierzu wurden und werden deutschlandweit Systemhaus-Partner aufgebaut, die eine Versorgung mit gleichbleibender Qualität im gesamten Bundesgebiet sicherstellen können.

Folgende interessante Frage wurde von einem Partner an yourIT herangetragen:

"Muss mit einem externen Dienstleister, der im Auftrag einen Pentest durchführen soll, ein Vertrag nach §11 Bundesdatenschutzgesetz (BDSG) bzw. Artikel 28 Abs. 3 EU-Datenschutzgrundverordnung (EU-DSGVO) geschlossen werden? Es werden an den Auftragsdatenverarbeiter (neu: Auftragsverarbeiter) ja eigentlich keine personenbezogenen Daten geliefert, wenn man jetzt von den Kontaktdaten zum Audit absieht.

Muss für solche Dienstleistungen ein § 11 Vertrag geschlossen werden, oder ist hier eine Verschwiegenheitserklärung sinnvoller.

Es wird ja kein Auftrag erteilt zum verarbeiten der Daten, sondern zur Prüfung der Systeme."

yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit

Und hier die Antwort von yourIT:

Wir möchten gerne voranstellen, dass zur sicheren Durchführung von Schwachstellenanalysen und Penetrationstests (Pentests) unbedingt ein sauberes und durchdachtes Vertragswerk notwendig ist. Ohne eine vom Verantwortlichen des Auftraggebers unterzeichnete "Permission to Attack" darf z.B. kein Audit stattfinden.

Wir geben Ihnen Recht: Bis auf die Kontaktdaten zum Audit werden augenscheinlich keine personenbezogenen Daten an den Pentester geliefert. Aber: Im Verlauf des Audits kann es vorkommen, dass der Auditor oder Pentester Zugriff auf personenbezogene Daten bekommt, wenn er in die Systeme eindringen kann. Das ist ja auch sein Auftrag Schwachstellen zu finden.

Zur Klärung der obigen Fragestellung gibt es den § 11 Absatz 5 BDSG: „Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“

Wir empfehlen den zusätzlichen Abschluss einer Verschwiegenheitserklärung (Non-Disclosure-Vereinbarung) für die Wahrung von Betriebs- und Geschäftsgeheimnissen etc.

yourIT - Wir auditieren und zertifizieren Pentester

Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 förderfähig! Holen Sie sich bis zu 1.500 EUR FördermittelMehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer eigenen Website zusammengestellt: http://www.mITgroup.eu

Bonus für mittelständische Pentester - Jetzt Fördermittel nutzen!

Die yourIT-§-11-Zertifizierung für mittelständische Unternehmen - sponsored by ESF

Um die Wettbewerbsfähigkeit mittelständischer Unternehmen zu steigern, stehen für Beratungsprojekte wie z.B. die §-11-Zertifizierung Fördergelder des Europäischen Sozialfonds bereit. Handeln Sie jetzt! Nähere Infos hierzu finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Seiten