Embed Size (px)
Citation preview
EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/ Annualreport/2013/AR2013_summary_DE.pdf
Projekt DIN-Norm zu Datenschutz-Löschfristen
Im Dezember 2012 stellte Secorvo die DIN-INS-Leitlinie zur „Ent-wicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ vor. Die Leitlinie unterstützt verant-wortliche Stellen dabei, ihre rechtlichen Pflichten zur Löschung personenbezogener Daten zu erfüllen. Sie gibt Empfehlungen für die Inhalte und den Aufbau eines Löschkonzepts sowie die Zuord-nung der Verantwortlichkeiten. Der Schwerpunkt liegt auf einer ef-fizienten Vorgehensweise zur Entwicklung von Löschregeln für Da-tenarten unter Verwendung von vereinheitlichten Löschklassen.
Die Leitlinie bietet die Chance, durch eine einheitliche Vorgehens-weise branchenweite oder sogar branchenübergreifende Löschre-geln für personenbezogene Daten festzulegen. Diese würden es Un-ternehmen erleichtern, angemessene Löschprozesse zu etablieren. Ende 2013 startete daher ein von den Unternehmen Blancco, DATEV, Deutsche Bahn, Secorvo und Toll Collect gefördertes Projekt, in dem die Leitlinie derzeit zu einer DIN-Norm weiterentwickelt wird. Am 12.02.2014 beschloss der DIN-Arbeitskreis für Identitätsmanagement und Datenschutz-Technologien (AK 05 im NIA 27) die Aufnahme ei-nes entsprechenden Normungsprojekts. Die Norm für Löschkonzep-te soll spätestens im Herbst 2015 verabschiedet werden.
Die veröffentlichte Leitlinie gibt bereits heute wesentliche Hil-festellung für die Entwicklung eigener Löschkonzepte. Sie ist zum Download verfügbar unterhttp://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf
Acronis Studie: Das IT-Sicherheitsbewusstsein der Deutschen
Eine am 27.03.2014 veröffentlichte repräsentative Studie von der GfK im Auftrag von Acronis hat das Klischee vom sicherheitsbe-wussten Deutschen bestätigt: demnach sichern 89,3% der befrag-ten Deutschen ihre Daten mit einem Backup. Nur bei etwa 10% sind die Daten ungesichert. In Sachen Datensicherungsverhalten zeichnen sich deutliche Unterschiede ab, insbesondere zwischen den Generationen.
An der Acronis Backup Studie beteiligten sich insgesamt 1.095 Männer und Frauen ab 14 Jahren. Hier die wichtigsten Ergebnisse im Überblick:
Etwa 10% sichern ihre Daten nicht – Häufigkeit variiert
Die Zahl der Personen, die kein Backup durchführen, liegt immer noch bei gut 10%. Vor allem Frauen führen seltener eine Sicherung ihrer Daten durch. Bei der Generation 60+, 1 Personen- Haushalten sowie Arbeitslosen ist die Bereitschaft auf eine Datensicherung zu verzichten am Höchsten. Im Gegensatz dazu stehen Beamte und Selbstständige mit 97,1% bzw. 94,1%. Die Häufigkeit eines Back-ups variiert allerdings stark. 44,5% sichern nur nach Bedarf, 25% zumindest wöchentlich oder öfter. Dabei sichern die Deutschen hauptsächlich spezielle Laufwerke/Ordner/Dokumente (File Back-up) statt des gesamten PCs einschließlich Betriebssystem mit allen Daten, Applikationen und Einstellungen (Image Backup). Im Not-
fall bedeutet das allerdings, dass das Betriebssystem (inklusive Up-dates) ebenso wie alle Einstellungen neu installiert werden müssen.
Verhaltene Nutzung der Cloud
Studien haben bereits gezeigt, dass die externe Festplatte ein be-liebter Speicherort für elektronische Daten ist. In einer repräsenta-tiven Bitkom-Studie zum Thema Datenschutz im Internet belegt die externe Festplatte Rang 3 der externen Speichergeräte. Auch die Ergebnisse der Acronis Studie bestätigen die Beliebtheit der ex-ternen Festplatte als Speicherort. 56,4% nutzen sie für die Ablage von gesicherten Daten, der Anteil an NAS (8,3%) ist dagegen eher gering. Die Nutzung der Cloud ist insgesamt sehr verhalten, in der Tendenz jedoch steigend. Das liegt auch daran, dass 20% der jun-gen Deutschen die Cloud bereits nutzen, bei den über 60-Jähri-gen sind dies nur 5,5%.
Mehr Aufmerksamkeit für wichtige Daten bei Jüngeren
Außerdem wollte Acronis wissen, wie die Deutschen mit ihren wichtigsten Daten umgehen. Dabei stellte sich heraus, dass nur 50% ihren wichtigen Daten einen besonderen Stellenwert einräu-men. Während 59% der Personen im Alter ab 60 Jahren alle Daten im regulären Backup abdecken, schenkt die junge Generation im Alter bis 29 Jahre mit 66,9% den wichtigen Daten mehr Aufmerk-samkeit. Laut Acronis Studie liegen die wichtigen Daten bei über 54% in Form von Office-Dokumenten (Word, Excel, Powerpoint) und PDFs vor, gefolgt von Fotos (25,4%). Weit abgeschlagen da-von sind beispielsweise Musik (4,3%), Videos (2,3%) und Kontak-te (2,2%). Besonders große Unterschiede gab es hier erneut zwi-schen den Generationen. Während die Teilnehmer unter 40 Jah-ren vermehrt Fotos als wichtige Daten nannten (29,8% bzw. 34,6%), waren es im Alter ab 50+ hauptsächlich Office-Dokumente (65,4% bzw. 59,3%).
Jeder zweite Deutsche von Datenverlust betroffen
Jeder zweite Deutsche hat bereits Daten verloren, bei den Teilneh-mern unter 30 Jahren ist die Quote mit 65% sogar am Höchsten. Be-sonders davon betroffen waren vor allem Fotos (48%) und Office-Dokumente (34,5%). 64,4% der ältere Generation 60+ gab an, noch nie einen Datenverlust erlebt zu haben. Trotz aller Schwierigkeiten wären insgesamt weniger als 80% bereit Geld für die Wiederher-stellung ihrer Daten zu zahlen, sollten sie diese einmal verlieren. Über 36% würden nur bis zu 50 Euro investieren.
Die repräsentative Acronis Backup-Studie wurde von der GfK im Zeitraum vom 23. – 28. Januar 2014 in Deutschland durchgeführt.
Weitere Informationen unter: http://www.acronis.de/de-de/ personal/pc-backup/
Europäisches Parlament: eIDAS-Verordnung1 angenommen
Auf Grundlage des von Marita Ulvskog vorgetragenen Berichtes über den Vorschlag für eine Verordnung des Europäischen Parla-ments und des Rates über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (Referenz: A7-0365/2013, http://www.europarl.europa.eu/news/de/news-room/plenary/2014-04-02) vom 06.11.2013 hat das Europäi-
1 Siehe auch DuD 2014, Heft4, S.267
426 DuD • Datenschutz und Datensicherheit 6 | 2014
DUD REPORT
sche Parlament in der Plenarsitzung am 03.04.2014 der von der EU-Kommission vorgeschlagenen eIDAS-Verordnung zugestimmt. Da-mit sind umfangreiche Änderungen von Inhalt und Wortlaut ver-bunden, die nun von der Kommission in den finalen Verordnungs-entwurf übernommen werden, der dann der abschließenden Tri-log Verhandlung zugrunde liegen wird.
Das Abstimmungsergebnis im Parlament:Zustimmung 534Ablehnung 73Enthaltungen 7
Mobiles Geschütztes Fernmeldeaufklärungssystem in Daun: DS eingehalten
Die Bundesbeauftragte für den Datenschutz und die Informati-onsfreiheit Andrea Voßhoff konnte bei ihrem Besuch keine Daten-schutzverletzung durch den Testeinsatz des Mobilen Geschützten Fernmeldeaufklärungssystems (MoGeFA) am Bundeswehrstand-ort in Daun feststellen.
Am 26. März 2014 haben Mitarbeiter der Bundesbeauftragten das MoGeFA am Bundeswehrstandort Daun in der Eifel kontrol-liert. Anlass waren Pressemeldungen und die Anfragen eines Bun-destagsabgeordneten zum Datenschutz beim MoGeFA in der Fra-gestunde des Deutschen Bundestages am 19. Februar 2014. Unklar war in diesem Zusammenhang insbesondere, ob zivile Kommu-nikation im Umfeld durch dieses System mitgehört werden kann.
Bei dieser Kontrolle wurde festgestellt, dass das Testmodell des Mobilen Geschützten Fernmeldaufklärungssystems keine zivile Kommunikation erfasst. Die in Daun vorgesehenen Tests betref-fen ausschließlich militärische Frequenzen. Ferner sind technische und organisatorische Vorkehrungen dafür getroffen worden, damit keine sensible zivile Kommunikation empfangen werden kann. Die Bundeswehr würde nur dann zivilen Funkverkehr erfassen, wenn von Bürgern missbräuchlicherweise Funkfrequenzen der Bundes-wehr genutzt würden. Allerdings hat die Bundeswehr auch für die-sen Fall Vorkehrungen getroffen, solche Daten unverzüglich zu lö-schen.
Andrea Voßhoff: „Ich sehe derzeit keine datenschutzrechtliche Gefährdung der Dauner Bevölkerung durch den Testeinsatz. Ich beabsichtige, die verschiedenen Entwicklungsphasen des MoGe-FA weiterhin zu begleiten.“
FireEye: Neuer Mandiant Threat Report
FireEye, Inc., Experte bei der Abwehr von bisher unbekannten Cy-berangriffen, veröffentlichte am 11.04.2014 den nunmehr fünften jährlichen Mandiant M-Trends Report. Der Report „Beyond the Breach“ basiert auf intensiven Forschungsaktivitäten und Analy-sen von Mandiant aus dem Jahr 2013. Er zeigt die Taktiken und Me-thoden der Angreifer auf, mit denen sich diese einen Zugriff auf die sensiblen Daten von Unternehmen verschaffen wollen. Er verweist darüber hinaus auf kommende, global auftretende neue Gefah-ren, die vermutlichen Motive der Cyberkriminellen sowie ihre be-vorzugten Opfer.
Auf Basis der von Mandiant im Jahr 2013 untersuchten Vorfälle bietet „Beyond the Breach“ einige wichtige Erkenntnisse:
Die Zeit bis zur Entdeckung von Angriffen schrumpft weiter
Die durchschnittliche Zeit, in der sich Angreifer ungehindert in Fir-mennetzwerken bewegen konnten, sank von 243 Tagen im Jahr 2012 auf 229 Tage im Jahr 2013. Der Rückgang scheint angesichts des entsprechenden Verhältnisses von 2011 auf 2012 (von 416 auf 243 Tage) vergleichsweise geringer. In jedem Fall aber können sich Unbefugte unter Umständen jahrelang unentdeckt in Unterneh-mensnetzwerken herumtreiben – in einem konkreten Fall sogar sechs Jahre und drei Monate.
Unternehmen müssen generell ihre Fähigkeiten bei der Ent-
deckung von Angriffen verbessern
Im Jahr 2012 hatten noch 37 Prozent der Unternehmen eigenstän-dig Attacken entdeckt – im Jahr 2013 waren es nur noch 33 Prozent.
Phishing E-Mails tarnen sich als Nachricht aus der Unterneh-
mens-IT
44 Prozent der im Report erfassten Phishing E-Mails gaben sich als Nachricht der jeweiligen IT-Abteilungen in den Unternehmen aus. Die überwiegende Mehrheit dieser E-Mails wurde an einem Diens-tag, Mittwoch oder Donnerstag versendet.
Cyberangriffe im Zuge von politischen Konflikten betreffen
zunehmend auch Unternehmen
Im letzten Jahr hat Mandiant eine erhöhte Zahl von Vorfällen fest-gestellt, wo Cyber-Angriffe im Rahmen zwischenstaatlicher Kon-flikte auch Unternehmen in den jeweiligen Ländern betrafen. Hier-bei ist besonders die Syrian Electronic Army (SEA) zu erwähnen, die Webseiten und Social Media Accounts von privaten Organisa-tionen manipulierte, um auf ihre politischen Ziele aufmerksam zu machen.
Mutmaßlich aus dem Iran stammende Angreifer spionieren
bei Energieversorgern, Behörden und Regierungen
Intensive Untersuchungen im Energiesektor und bei Behörden ha-ben erhöhte Cyber-Spionageaktivitäten gezeigt, deren Ursprung vermutlich im Iran liegt. Das legt den Schluss nahe, dass Angrif-fe zunehmend auch aus Überwachungsgründen geführt werden. Und obwohl die Angriffe aus dem Iran längst nicht auf dem neu-esten technischen Stand sind, besteht kein Grund zu Beruhigung – die Angreifer werden ihre Methoden im Lauf der Zeit zweifels-ohne verfeinern.
Eine Vollversion des 2014 Mandiant M-Trends-Reports ist erhält-lich unter: www.mandiant.com/m-trends2014
Projekt VeriMetrix: Kennzahlensystem zur Datenschutzbewertung von Cloud-Angeboten
Wie sicher ist die Cloud? Viele Unternehmen und Behörden haben Bedenken, dass ihre Daten bei externen Cloud-Anbietern nicht ausreichend geschützt sind. Das Projekt VeriMetrix – über das am 09.04.2014 vom Fraunhofer SIT informiert wurde – macht deshalb die Sicherheit von Cloud-Daten messbar: Ziel von VeriMetrix ist ei-ne Lösung, mit welcher potenzielle Nutzer Datenschutz und Da-
DuD • Datenschutz und Datensicherheit 6 | 2014 427
DUD REPORT
![[DE] eIDAS: Elektronisches Unterschreiben | Dr. Ulrich Kampffmeyer | PROJECT CONSULT | BANKINGCLUB](https://img.pdfslide.org/doc/110x75/58ee83691a28abba028b4575/de-eidas-elektronisches-unterschreiben-dr-ulrich-kampffmeyer-project.jpg)
