DuD Datenschutz und Datensicherheit 7 | 2012 543

DUD REPORT

Sopot Memorandum zum Datenschutz beim Cloud Computing

In Berlin wie auch weltweit bieten Dienstleister sowohl Behörden (z. B. Schulen, Universitäten) als auch Unternehmen verstärkt Cloud Computing an. Dabei versprechen sie eine kostengünstige Verla-gerung der Verarbeitung von Bürger-, Kunden- und Beschäftigten-daten auf Rechner in der „Wolke“ meist an nicht näher bestimm-ten Standorten. Das birgt insbesondere dann Risiken für den Da-tenschutz, wenn es sich um außereuropäische Anbieter handelt. Häufig wird bei solchen Angeboten auch übersehen, dass sich die datenverarbeitende Stelle ihrer Verantwortung nach dem Daten-schutzrecht nicht entziehen kann.

Hierzu hat die unter dem Vorsitz des Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, tagende Internationale Arbeitsgruppe zum Datenschutz in der Telekommu-nikation (auch bekannt als „Berlin Group“) bei ihrer Sitzung im pol-nischen Sopot am 24. April 2012 ein Memorandum beschlossen, das Anforderungen an das Cloud Computing enthält. Das Doku-ment wurde von Vertretern der Datenschutzbehörden aus 21 Län-dern verabschiedet und ist der erste internationale Kriterienkata-log für Cloud Computing.

Kernaussagen des Sopot Memorandums sind: Durch die Verlagerung der Datenverarbeitung in die Cloud darf der Datenschutz für die Betroffenen nicht abgesenkt werden;

verantwortliche Stellen müssen vor einer Inanspruchnahme von Cloud-Diensten eine Folgenabschätzung vornehmen;

Anbieter von Cloud-Diensten müssen für größtmögliche Trans-parenz sorgen und ihren Nutzern ein Höchstmaß an Kontrolle ermöglichen;

mehr Anstrengungen im Bereich der Zertifizierung und der Ent-wicklung von datenschutzgerechten und vertrauenswürdigen Geschäftsmodellen sind nötig;

die Gesetzgeber müssen die rechtlichen Rahmenbedingungen überprüfen und notwendige Ergänzungen ins Auge fassen.

Das Memorandum Working Paper on Cloud Computing – Privacy and data protection issues („Sopot Memorandum“) ist auf der Web-site http://www.datenschutz-berlin.de/attachments/873/Sopot_Me-morandum_Cloud_Computing.pdf?1335513083 verfügbar.

Frühjahrskonferenz der Europäischen Datenschutzbeauftragten, Luxemburg, 3./4. Mai 2012

Im Mittelpunkt der Konferenz (http://www.cnpd.public.lu/de/index.html) stand wie zu erwarten, das von der EU-Kommission vorge-schlagenen Reformpaket des EU-Datenschutzrechts. Die Konferenz fasste ihre Positionen dazu in einer Resolution zusammen.

Resolution on the European data protection reform

The Spring Conference of the European Data Protection Commis-sioners, (130 delegates from 38 countries) meeting in Luxembourg

on 3-4 May 2012, discussed recent developments for the moderni-zation of the data protection frameworks of the EU, the Council of Europe and the OECD. The Conference recognized the current ef-forts seeking to guarantee to citizens and consumers enhanced rights and effective ways for exercising them, while taking into ac-count technological changes and globalization. The Data Protec-tion Commissioners welcome in particular the following key aims:

the strengthening and clarification of the rights of individuals; the emphasis put on accountability of data controllers and pro-cessors;

the reduction of some administrative burdens and the search for consistency;

the key role devoted to independent data protection authorities; the move to develop a more comprehensive framework ensur-ing the application of the fundamental data protection princi-ples across all areas;

the initiative of the Council of Europe to revise Convention 108, which has been leading the way since 1981, including the ob-jective to assure consistency and compatibility with the legal framework of the EU and supporting firmly the intention to follow more closely the implementation of the Convention by States Parties;

the ongoing reflection process at the level of OECD on the evolv-ing international privacy landscape.

The Conference also analysed the proposed improvement of the European legal texts against the background of the international developments in the field of data processing and privacy, includ-ing in the transatlantic relations, in particular in light of the white paper of the U.S. Administration released on 23 February 2012 and the FTC Report published in March 2012.

Taking into account the previously adopted resolutions1, the Conference studied in more detail the recent legislative package of the European Commission aimed at modernizing EU data pro-tection rules. The Conference welcomes that the proposals address the new challenges resulting from the pervasive collection and use of personal data in a connected and globalised world. The Data Protection Commissioners are especially pleased with:

the rules providing for more transparency and greater control over the data processing;

the codification of the principle of data minimization; greater redress possibilities for data subjects; the strengthening of rules concerning the rights to access and to object;

the inclusion of rights in order to address the challenges arising out of the online environment (a specific protection of children, the “right to be forgotten” and the new right to data portability);

the attempt to introduce simplified and consistent rules for da-ta controllers;

the introduction of the principle of accountability;

1 Resolution on the need for a comprehensive data protection framework adopted by the European Data Protection Commissioners’ Conference in Brus-sels, 5 April 2011 and resolution on future development of data protection and privacy adopted by the European Privacy and Data Protection Commissioners’ Conference in Prague, 30 April 2010.

Redaktion:. Helmut Reimer

Report

544 DuD Datenschutz und Datensicherheit 7 | 2012

DUD REPORT

the introduction of mechanisms and tools serving as incentives to demonstrate accountability such as data protection by design and by default, privacy impact assessments, the appointment of DPOs and data breach notification duties;

the introduction of a one-stop shop solution both for controllers by creating the concept of a lead authority cooperating with oth-er concerned DPAs and also for individuals (subject to the latter being improved further);

the requirement of an active cooperation between DPAs and the strengthening of their independence and powers, including the introduction of administrative fines.

The Data protection Commissioners are convinced that the exper-tise and practical experience of DPAs can play an important role in the practical application of data protection rights also in the future, in particular through:1. the mandatory consultation of DPAs on legislative measures at

EU as well as at national level;2. the development of guidelines and recommendations for the

practical implementation, considering national and sectoral spe-cificities;

3. the possibility to carry out ex officio investigations and audits.They also highlighted that a good performance of these and oth-er tasks, including in international cooperation in the EU and be-yond, depends on the continued availability of adequate financial, technical and human resources.

With regard to the consistency of the EU package, the conference warns against the risk that too many exemptions and derogations hinder the effective application of core data protection principles. Exemptions provided for public authorities, law enforcement ac-tivities or the use of data for governmental purposes, including fis-cal purposes, must comply with the core aspects of data protection law. Essential data protection rules should be applied in a consist-ent way and independent of the respective sector.

The conference therefore notes that further improvements to the current proposals are needed, especially to bring the proposed Directive regarding the area of police and justice more in line with the core principles of the General Data Protection Regulation. Rules on the transfer of data between private parties and law enforce-ment bodies are, for instance, still missing. Having this in mind, the Data Protection Commissioners are prepared to contribute active-ly to the success of a modernised and effective data protection framework for Europe.

The strengthening and simplification of data protection is more important than ever. The Conference therefore encourages both the Council of Europe to accomplish the ambitious revision of Con-vention 108 and the European Parliament and the Council to main-tain the current progress in the legislative process.

Europarat: Modernisierung der Datenschutzkonvention

Bei dem „Übereinkommen zum Schutz des Menschen bei der au-tomatischen Verarbeitung personenbezogener Daten (Konventi-on Nr. 108)“ kurz Datenschutzkonvention (DSKonv) oder auch Da-tenschutzübereinkommen handelt es sich um den ersten völker-rechtlichen Vertrag Europas zur Sicherstellung eines einheitlichen Datenschutzniveaus.

Unterzeichnet wurde die Datenschutzkonvention / das Daten-schutzübereinkommen am 28. Januar 1981. Der 28. Januar steht deshalb für den europäischen Datenschutztag.

Derzeit arbeitet der Europarat an der Modernisierung der Daten-schutzkonvention. Die Arbeiten zur Modernisierungen der Konven-tion haben mit einer umfangreichen Konsultation von Regierun-gen, Unternehmen und der Zivilgesellschaft begonnen. Das ge-genwärtig erreichte Stadium weist die Notwendigkeit von tech-nologisch neutralen Vorschriften hin, die eine kontinuierliche Ko-härenz mit dem rechtlichen Rahmen der Europäischen Union wah-ren, sein Potenzial als universelle Norm bekräftigen und den Fol-low-up-Mechanismus stärken.

Über einige konkrete Vorschläge wird bereits diskutiert, wie zum Beispiel über die Sicherstellung, dass der Datenfluss auf der gan-zen Welt angemessen geschützt wird, Stärkung der Rechte jedes Einzelnen und Förderung der Transparenz und Verantwortlichkeit derer, die persönliche Daten bearbeiten.

Der aktuelle Entwurf mit den vorgeschlagenen Änderungen der Konvention Nr. 108 vom 27. April 2012 ist auf der Website des Eu-roparats http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-PD-BUR_2012_01Rev2FIN_en.pdf verfügbar.

BfDI: 3. Tätigkeitsbericht zur Informationsfreiheit 2010/2011

Der Bundesbeauftragte für den Datenschutz und die Informations-freiheit Peter Schaar hat am 24. April 2012 seinen 3. Tätigkeitsbe-richt zur Informationsfreiheit für die Jahre 2010 und 2011 vorgelegt.

Im Jahr 2012 wurden 3.280 Anträge auf Informationszugang ge-stellt. Das ist im Vergleich zum Vorjahr eine Steigerung von 110 Pro-zent. Noch im ersten Berichtszeitjahr 2010 verzeichneten die Bun-desbehörden nur 1.557 Anträge nach dem Informationsfreiheits-gesetz.

Schaar: „Die Bundesregierung sollte das gestiegene Interesse der Bürgerinnen und Bürger an Verwaltungsinformationen ernst neh-men. Besonders kritisch sehe ich daher Bestrebungen des Bundes-wirtschaftsministeriums, die im Markttransparenzstellengesetz-entwurf vorgesehene Markttransparenzstelle beim Bundeskar-tellamt grundsätzlich vom Informationsfreiheitsgesetz auszuneh-men. Eine solche Bereichsausnahme wäre unangebracht und kei-nesfalls im Sinne der Verbraucher.

Vielmehr sollte die Bundesregierung den Informationszugang erleichtern, indem die auf verschiedene Gesetze aufgeteilten Rege-lungen zum Informationszugang einheitlich gestaltet und erwei-tert werden. Von der laufenden, durch den Bundestag angestoße-nen Evaluation des Informationsfreiheitsgesetzes erwarte ich ei-ne Stärkung des Rechts auf Zugang zu öffentlichen Dokumenten.

Insbesondere die Rechtsprechung hat in den letzten zwei Jahren wichtige Beiträge für eine breitere Anwendung des Informations-freiheitsgesetzes geleistet. Erst jüngst hat das Bundesverwaltungs-gericht deutlich gemacht, dass auch Informationen über die Regie-rungstätigkeit grundsätzlich herausgegeben werden müssen. Das Gericht hat damit der Verwaltung beim Erfinden von Verweige-rungsgründen einen Riegel vorgeschoben.

Statt Ausnahmen vom Zugang zu öffentlichen Dokumenten zu erfinden, sollten die Behörden verstärkt Informationen auch ohne Antrag zur Verfügung stellen. Die e-Government-Initiative der Bun-

DuD Datenschutz und Datensicherheit 7 | 2012 545

DUD REPORT

desregierung ist zu unverbindlich. Die naheliegende Verknüpfung dieses Ansatzes mit dem Rechtsanspruch auf Informationszugang wird peinlich vermieden.“

Hier steht der Tätigkeitsbericht zum Download bereit:http://www.bfdi.bund.de/SharedDocs/Publikationen/Taetigkeitsbe-richte/TB_IFG/3TB10_11.html?nn=411766

BayLDA: Überprüfung des datenschutz-konformen Einsatzes von Google Analytics

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bei 13.404 Webseitenanbietern geprüft, ob das Programm Goog-le Analytics datenschutzkonform eingesetzt wird.

1. Grundlegende Entscheidung der Datenschutzaufsichtsbe-

hörden

Im November 2009 hatte sich der Düsseldorfer Kreis, das bundes-weite Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, zu den Voraussetzungen für eine daten-schutzkonforme Ausgestaltung von Analyseverfahren zur Reich-weitenmessung bei Internetangeboten geäußert2

Auf dieser Grundlage hat der Hamburgische Beauftragte für Da-tenschutz und Informationsfreiheit federführend für die Aufsichts-behörden in Deutschland Verhandlungen mit der Firma Google ge-führt und sich darüber verständigt, wie das Produkt angepasst wer-den muss, damit es die deutschen Nutzer datenschutzkonform ein-setzen können. Als Ergebnis dieser Gespräche hat Google das Ver-fahren im Jahr 2011 dahingehend geändert, dass

Google ein Deaktivierungs-Add-On (http://tools.google.com/dlpage/gaoptout?hl=de) zur Verfügung gestellt hat, auf das die Webseitenbetreiber die Nutzer hinzuweisen haben und das die Nutzer auf ihrem Rechner installieren können, um von ihrem Recht auf Widerspruch gegen die Erfassung von Nutzungsda-ten Gebrauch zu machen,

auf Anforderung des Webseitenbetreibers Google das letzte Ok-tett der IP-Adresse des Nutzers vor jeglicher Speicherung schon innerhalb von Europa gelöscht wird, so dass insoweit keine Da-ten in die USA fließen und keine Identifizierung des Nutzers mehr möglich ist und

Google mit den Webseitenbetreibern, die Google Analytics ein-setzen wollen, zur Sicherstellung des ordnungsgemäßen Um-gangs mit den Daten der Nutzer einen Vertrag zur Auftragsda-tenverarbeitung nach den Vorschriften des Bundesdatenschutz-gesetzes abschließt.

2. Anforderungen an den datenschutzkonformen Einsatz

von Google Analytics

Die Anpassungen von Google ermöglichen es deutschen Websei-tenbetreibern, das Analysetool Google Analytics datenschutzkon-form einzusetzen. Konkret ist jeder einzelne Webseitenbetreiber in der Pflicht, Google Analytics nur einzusetzen, wenn

der von Google vorbereitete Vertrag zur Auftragsdatenverarbei-tung schriftlich abgeschlossen worden ist,

die Datenschutzerklärung auf der Webseite auf den Einsatz von Google Analytics und die bestehenden Widerspruchsmöglich-

2 www.lda.bayern.de/onlinepruefung/Beschluss_Reichweitenmessung.pdf - Beschluss vom 26./27.11.2009

keiten hinweist und über die damit verbundenen Datenverar-beitungen aufklärt,

die Anonymisierungsfunktion im Quellcode eingebunden ist und,

falls diese Anonymisierungsfunktion bisher nicht eingesetzt war, ein bisher bestehendes Google-Analytics-Profil geschlos-sen wird, um die Löschung (der noch nicht datenschutzkonform generierten) Altdaten sicherzustellen.

3. Ergebnis der Prüfung durch das BayLDA

Das BayLDA hat nun in einem ersten Durchgang 13.404 Webseiten auf den datenschutzkonformen Einsatz von Google Analytics hin überprüft. Hierfür hat es eine eigene Software entwickelt, mit der automatisiert festgestellt werden kann, ob Google Analytics ent-sprechend den o.g. Vorgaben eingesetzt wird. Geplant ist, in ab-sehbarer Zeit auch die datenschutzkonforme Nutzung anderer Pro-gramme zur Reichweitenmessung zu überprüfen.

Die Prüfung hatte zum Ergebnis, dass auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google Ana-lytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutz-konform einsetzen. Soweit der Einsatz nicht datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371 Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung informieren und auffordern, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten.

4. Angebot an bayerische Webseitenbetreiber

Das BayLDA bietet allen bayerischen Webseitenbetreibern aus dem nicht-öffentlichen Bereich an, ihren Internetauftritt im Hin-blick auf den datenschutzkonformen Einsatz von Google Analytics, d.h. auf die o.g. Kriterien hin überprüfen zu lassen. Hierzu genügt eine e-mail mit Angabe der jeweiligen URL in der Betreffzeile an onlinepruefung@lda.bayern.de. Ende Mai 2012 plant das BayLDA dann einen zweiten Prüfdurchgang mit den neu hinzugekomme-nen Internetadressen durchführen.

„Ziel dieser Aktion ist es primär, datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen. Aus diesem Grund wird das BayLDA im Rah-men dieser Prüfung bei Feststellung von Verstößen zunächst kei-ne Bußgeldverfahren einleiten, sondern erst dann, wenn ein Web-seitenbetreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.“ so Thomas Kranig.

DsiN: Sensibilisierung des Mittelstands für IT-Sicherheit

Pilotprojekt von Deutschland sicher im Netz e.V. (DsiN) für Steuer-berater und Wirtschaftsprüfer.

Ziel ist es, diese als engagierte Unterstützer zu gewinnen, um die Entscheider in kleinen und mittelständischen Unternehmen per-sönlich auf die Wichtigkeit und Bedeutung von IT-Sicherheit an-zusprechen. DsiN bietet den Steuerberatern und Wirtschaftsprü-fern kostenfreie Workshops an, in denen sie erfahren, wie sie in ih-rer Kanzlei die IT-Sicherheit verbessern und wie sie auch ihre Man-danten für das Thema IT-Sicherheit sensibilisieren können. Steu-erberater und Wirtschaftsprüfer sind hervorragende Multiplikato-

546 DuD Datenschutz und Datensicherheit 7 | 2012

DUD REPORT

ren im Mittelstand: Ihnen hört der Chef zu! So erreicht der Appell für mehr IT-Sicherheit den Entscheider und die Verantwortlichen in den KMUs.

Als Partner konnte DsiN die Bundesteuerberaterkammer, die DA-TEV eG, den Deutschen Steuerberaterverband e.V. sowie dem Ins-titut der Wirtschaftsprüfer in Deutschland e.V. gewinnen. Dass der Multiplikatoren-Ansatz, welchen das Bundesministerium für Wirt-schaft und Technologie (BMWI) unter dem Dach der Task Force „IT-Sicherheit in der Wirtschaft“ fördert, sinnvoll ist und funktioniert, verdeutlicht eine Umfrage unter den 700 Teilnehmern der bereits erfolgreich durchgeführten Workshops: Über die Hälfte der bishe-rigen Teilnehmer geht davon aus, dass ihre Mandanten IT-Sicher-heit im Geschäftsalltag vernachlässigen. Mehr als 90 Prozent der Befragten sind der Meinung, dass sie ihren Mandanten wichtige Impulse zum Thema IT-Sicherheit geben können. Nahezu ebenso viele sind entschlossen, ihre Mandanten tatsächlich auch auf das Thema anzusprechen.

TeleTrusT: Eckpunktepapier - Smart Grids mit mehr IT-Sicherheit

Die Herausforderungen, die sich aus dem Umbau der Energiever-sorgung ergeben werden, sind gravierend und im Detail noch nicht absehbar. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) zeigt in einem am 08.05.2012 veröffentlichten Eckpunktepapier auf, wie beim Aufbau vom Smart Grids sichere Lösungen zu entwickeln, zu integrieren bzw. zu betreiben sind.

TeleTrusT fordert insbesondere die Beachtung folgender Punkte:1. Berücksichtigung von IT-Sicherheitsaspekten bereits in der Pla-

nungs- und Normierungsphase2. Etablierung eines hohen bzw. teilweise sehr hohen Niveaus hin-

sichtlich der Sicherheitsziele im gesamten Smart Grid (Vertrau-lichkeit, Integrität, Authentizität, Nicht-Abstreitbarkeit, Verfüg-barkeit, Verbindlichkeit, Zuverlässigkeit)

3. Vorgaben von IT-Sicherheitsstandards durch Politik, Gesetzge-bung und Regulierungsinstitutionen

4. Überwachung der Umsetzung von Sicherheitsvorgaben 5. Regelmäßige Prüfung und Anpassung der Sicherheitsvorgaben

an geänderte Rahmenbedingungen6. Definition von Schutzprofilen und Zertifizierungsprozessen für

alle kritischen Komponenten7. Aufbau und Nutzung von vertrauenswürdigen Sicherheitsinf-

rastrukturen und –dienstleistungen8. Angemessene Notfall-, Krisen- und Business Continuity-Kon-

zepte und der Nachweis der Umsetzbarkeit dieser Konzepte 9. Klare und transparente Regelungen zu Zugriffsrechten auf Da-

ten aus Mess- und Verbrauchseinheiten über die gesamte Pro-zesskette

10. Separate Betrachtung und Behandlung der Verwendungszwe-cke der Daten

11. Strikte Umsetzung des Grundsatzes der Datensparsamkeit bei der Erfassung und Übermittlung von Daten

12. Offene Kommunikation über Chancen und Risiken sowie akzep-tierte Restrisiken.

Das Eckpunktepapier wurde von der TeleTrusT-Arbeitsgruppe „Smart Grids“ erarbeitet und ist unter http://www.teletrust.de/pu-blikationen/broschueren/smart-grids/ oder über die TeleTrusT-Bun-desgeschäftsstelle verfügbar.

Lettland: eID-Know-how aus Deutschland

Das lettische Amt für Staatsangehörigkeit und Migration – eine un-terstellte Behörde des Innenministerium Lettlands – informiert mit einer Pressemitteilung vom 08.05.2012 über den Aufbau eines neu-es Pass- und Migrationsinformationssystems, welches für die Aus-stellung von elektronischen Ausweis- und Visadokumenten erfor-derlich ist.

Eine bereits vorhandene PKI (Public Key Infrastruktur), die bisher die notwendigen Zertifikate für das Auslesen von elektronischen Reisepässen und elektronischen IDs (Identification Documents) be-reitstellt, wird durch eine neue PKI ersetzt und um das Hintergrund-system zur Gültigkeitsprüfung der Dokumente erweitert.

Die PKI ist zentraler Bestandteil der lettischen Border Control-In-frastruktur und stellt den Vertrauensanker für die Ausstellung elek-tronischer Identitätsdokumente in Lettland dar. Darüber hinaus er-möglicht die PKI die Verifikationsprüfung von Pässen und Auswei-sen bei Grenzkontrollen und in allen lettischen Botschaften welt-weit.

Das neu aufgebaute System basiert auf der secunet Lösung eID PKI Suite. Die eID PKI Suite enthält einerseits die PKI-Komponen-ten, die zur Ausstellung der Ausweisdokumente entsprechend den ICAO-Vorgaben (International Civil Aviation Organisation) erforder-lich sind und andererseits auch die EAC-PKI-Komponenten zur Prü-fung elektronischer Dokumente.

EAC (Extended Access Control) ist die Standardschutzfunktion, die digital gespeicherte Daten in aktuellen elektronischen Reise-pässen und eIDs vor unberechtigtem Zugriff geschützt. EAC ver-langt unter anderem, dass ein Ausweislesegerät seine Berechti-gung gegenüber dem elektronischen Reisedokument nachweisen muss. Für diese Authentifizierung muss das Lesegerät über Zerti-fikate und entsprechende kryptografische Schlüssel verfügen. In Lettland werden diese künftig über die secunet eID PKI Suite be-reitgestellt.

Microsoft: 12. Security Intelligence Report

Microsoft veröffentlichte am 25.04.2012 die zwölfte Ausgabe des halbjährlichen Security Intelligence Report (SIRv12), der ab sofort unter www.microsoft.com/sir heruntergeladen werden kann. Aus dem aktuellen SIRv12 geht hervor, dass der Computerwurm Con-ficker in den letzten zweieinhalb Jahren nahezu 220 Millionen Mal verzeichnet wurde – damit ist der 2008 erstmalig registrierte Wurm weiterhin eine der größten Bedrohungen für Unternehmen. Man-gelnde Grundeinstellungen und -maßnahmen der IT-Sicherheit, wie unsichere oder fehlende Passwörter und nicht gepatchte Sys-teme, werden von Conficker und anderen Schadprogrammen wei-terhin ausgenutzt. Microsoft veröffentlicht daher zusammen mit der aktuellen SIR-Ausgabe Anleitungen für Verbraucher, Unterneh-men und staatlichen Organisationen, um einen umfassenden und ganzheitlichen Ansatz zu vermitteln.

Obwohl Microsoft im Oktober 2008 – noch vor der ersten Regis-trierung von Conficker – entsprechende Patches bereitstellte, und zusammen mit anderen Unternehmen verstärkt über die Bedro-hung aufklärte, befiel der Computerwurm in kürzester Zeit meh-rere Tausend Systeme. Gemessen an den Zahlen von Anfang 2009 bis zum vierten Quartal 2011 ist die Erkennungsrate auf mehr als 225 Prozent angestiegen. Im letzten Quartal 2011 waren weltweit 1,7 Millionen Systeme von Conficker betroffen.

DuD Datenschutz und Datensicherheit 7 | 2012 547

DUD REPORT

Fehlende Sicherheitsgrundlagen bieten größte Angriffsfläche

Aus dem Microsoft Security Intelligence Report geht weiterhin her-vor, dass viele zielgerichtete und mit langfristigen Mustern agieren-de Cyberbedrohungen, sogenannte „Advanced Persistent Threats“ (APTs), in ihrer Vorgehensweise nicht raffinierter sind als andere Si-cherheitsbedrohungen. APTs richten sich häufig gegen Unterneh-men oder bestimmte Personen, nutzen aber in den meisten Fällen die bekannten Taktiken wie unsichere Kennwörter oder nicht ge-patchte Schwachstellen – einzig die Beharrlichkeit und Entschlos-senheit, mit der Cyberkriminelle vorgehen, um dem Angriffsziel zu schaden, unterscheidet sie von breit angelegten Attacken.

Microsoft empfiehlt daher Verbrauchern und Unternehmen sich an folgenden Hinweisen zu orientieren, um sich vor Angriffen zu schützen:

Nutzen Sie sichere Passwörter und sensibilisieren Ihre Mitarbei-ter dahingehend.

Schützen Sie Ihre Systeme und Netzwerke, indem Sie regelmä-ßig Updates installieren.

Verwenden Sie Antivirus-Software von vertrauenswürdigen An-bietern.

Investieren Sie in neuere Lösungen mit höherem Software-schutz.

Nutzen Sie Cloud-Dienste als Unternehmensressource.Neben dem optimalen Schutz der Systeme nimmt auch der Web-

browser eine zentrale Rolle für die Sicherheit ein. Microsoft ließ da-her den Internet Explorer von unabhängigen Experten des Fraun-hofer-Instituts für Sichere Informationstechnologie (SIT) testen, um weitere Erkenntnisse für zukünftige Entwicklungen zu erlangen3.

Unternehmen rät Microsoft einen mehrdimensionalen Ansatz für das Sicherheitsmanagement:

Prävention: Führen Sie grundlegende Sicherheitsregeln ein und spielen Sie Updates rechtzeitig in Ihre Systeme ein.

Erfassung: Überwachen und analysieren Sie sorgfältig identifi-zierte Angriffe. Halten Sie sich über aktuelle Sicherheitsereignis-se auf dem Laufenden und nutzen Sie glaubwürdige Quellen.

Eindämmung: Falls es zu einer Infizierung kommt, stellen Sie si-cher, dass sich das Schadprogramm nicht weiter verbreitet. Um Angriffe einzudämmen sollten Verwaltungsmodelle entwickelt werden, die die Zugriffsrechte begrenzen. Greifen Sie zudem auf verfügbare Technologien wie z.B. Internet Protocol Securi-ty (IPsec) zurück. Mit IPSec wird die Zugriffskontrolle, Datenin-tegrität, Verschlüsselung und Authentifizierung gewährleistet.

Wiederherstellung: Halten Sie einen durchdachten Wiederher-stellungs-Plan bereit. Führen Sie eine „Krisen-Task-Group“ ein, die in Desktop- und anderen Bereichen die Reaktionsmöglich-keiten des Unternehmens zur Wiederherstellung in verschiede-nen Angriffsszenarien testen.

Über den Microsoft Security Intelligence Report

Microsoft erstellt den Security Intelligence Report zweimal im Jahr und informiert damit über Veränderungen in der Sicherheitsland-schaft. Zudem werden Benutzern Anleitungen zum Schutz ihrer Netzwerke zur Verfügung gestellt. Die vorliegende Ausgabe des Security Intelligence Report umfasst zwischen Juli und Dezember 2011 generierte Daten und Analysen von mehr als 600 Millionen Systemen in über 100 Ländern weltweit. Im Rahmen seiner Cor-porate Technical Responsibility (CTR) ist sich Microsoft als techno-logieführendes Unternehmen seiner Verantwortung bewusst und

3 DuD, 2012/5, S.380

will mit dem SIR zu mehr Transparenz beitragen, damit sich Ver-braucher und Unternehmen besser vor Gefahren aus dem Inter-net schützen können.

Eine Zusammenfassung der Berichtsergebnisse für Deutsch-land kann unter folgenden Link heruntergeladen werden: http://download.microsoft.com/download/5/3/0/530D26BD-1997-443E-A31C-AD544 9D583F7/Microsoft_Security_Intelligence_Report_12_Zusammenfassung.pdf

Symantec: Deutschland ist Cybercrime-Europameister

Cyberkriminelle stellen neue Weltrekorde auf und Deutschland spielt ganz oben mit – das ist das Ergebnis der 17. Auflage des Si-cherheitsberichts Internet Security Threat Report (http://www.sym-antec.com/threatreport/) den Symantec am 02. Mai 2012 vorlegte. So explodierte die Zahl der Cyber-Angriffe auf 5,5 Milliarden welt-weit, ein Anstieg um 81 Prozent zum Vorjahr. Insgesamt entdeckte der Sicherheitsspezialist im vergangenen Jahr 403 Millionen Schad-codes. Deutschland steht bei böswilligen Cyberaktivitäten im Eu-ropavergleich auf dem ruhmlosen ersten Platz noch vor Russland und Großbritannien.

Auch bei Phishing-Aktivitäten stieg das Land europaweit vom zweiten auf den ersten Rang. Zudem findet sich Deutschland als Quelle webbasierter Angriffe sowie Netzwerkattacken jeweils auf dem zweiten Platz wieder. Gleiches gilt für die Anzahl bot-infizier-ter Rechner in Europa – lediglich Italien beherbergt noch mehr Bot-infizierte Computer.

Sprunghafter Anstieg bei Gefahren im Mobilbereich

2011 sind mobile Geräte wie Android Smartphones zum ersten Mal ernsthaft ins Visier der Cyberkriminellen geraten. Die Lage ist noch nicht vergleichbar mit der im PC-Bereich. So sieht Symantec bis da-to rund 3600 neue Schadcode-Varianten für mobile Endgeräte. Die Zahl der Sicherheitslücken auf mobilen Plattformen hat sich mit ei-nem Anstieg von 93 Prozent zum Vorjahr nahezu verdoppelt.

In erster Linie zielten die Angreifer 2011 auf das Sammeln von Daten, Übermitteln von Inhalten und das Anwender-Tracking ab. Speziell Unternehmen müssen sich verstärkt mit diesen Gefahren auseinandersetzen, da wegen dem Konzept „Bring your own De-vice“ (BYOD) immer mehr mobile Endgeräte in den Arbeitsalltag Einzug halten.

Gezielte Attacken gegen den Mittelstand

Der Trend zu gezielten Angriffen legte im vergangenen Jahr wei-ter zu. Ende 2011 verzeichnete Symantec 82 Attacken pro Tag. Die Täter setzen Social-Engineering-Techniken ein und passen ihre Schadprogramme so an ihr Ziel an. Diese Form des gezielten An-griffs hebt sich signifikant von den üblichen digitalen Übergriffen ab. Während in der Vergangenheit hauptsächlich der öffentliche Sektor im Visier war, haben die Akteure ihre Aktivität 2011 breiter gestreut. Sie nahmen verstärkt den Mittelstand ins Visier. So traf mehr als die Hälfte dieser Angriffe weltweit Unternehmen mit we-niger als 2500 Mitarbeitern. 18 Prozent der betroffenen Organisa-tionen beschäftigten sogar weniger als 250 Angestellte.

Für diese Entwicklung gibt es eine Reihe von Gründen: Häufig sind kleinere Firmen als Zulieferer oder Partner an große Firmen gebunden und bieten so einen idealen Ausgangsort, um von dort

548 DuD Datenschutz und Datensicherheit 7 | 2012

DUD REPORT

aus das eigentliche Ziel - den Großkonzern - zu attackieren. Außer-dem verfügen mittelständische Firmen über wertvolles Know-how und wiegen sich tendenziell eher in Sicherheit. Sie sind im Vergleich zu großen Organisationen oftmals schlechter geschützt.

Die Angreifer konzentrieren ihre Aktionen bei mittelständischen Unternehmen auch auf andere Zielpersonen als bei Großunterneh-men. Anstelle von Geschäftsführern oder Personen mit leitenden Funktionen haben 58 Prozent der Angriffe Mitarbeiter aus den Be-reichen Personalabteilung, Public Relations oder dem Vertrieb ins Visier genommen. Mögen diese Personen im ersten Schritt auch keinen Zugriff auf sensible Informationen haben, bieten sie einen direkten und leich-ten Zugang ins Unternehmen. Denn solche Personen sind für die Angreifer im Netz einfacher zu identifizieren - sie sind es gewohnt, auf Anfragen unbekannter Quellen zu reagieren, Angebote als E-Mail-Anhang zu erhalten und diese zu öffnen.

Mehr Datenverluste und kein Ende in Sicht

Pro Datendiebstahl wurden 2011 durchschnittlich 1,1 Millionen personenbezogener Daten entwendet. Hackerangriffe sind für den Großteil der Diebstähle verantwortlich – 2011 waren das ins-gesamt 187 Millionen Identitäten. Am häufigsten fielen die Daten aber durch Diebstahl oder Verlust mobiler Geräte wie Smartpho-nes oder USB-Sticks in falsche Hände. Insgesamt gingen auf diesem Weg rund 18,5 Millionen Identitäten verloren. Werden diese Infor-mationen auf mobilen Geräten weiter ohne wirkungsvollen Schutz abgelegt, wird die Zahl der Datenverluste weiter steigen.

Weniger Spam dank Botnetz-Abschaltung

Gute Nachrichten zum Schluss: Die Spam-Rate sank im vergange-nen Jahr deutlich von 85 auf 75 Prozent aller weltweit versendeten E-Mails. Auch die Zahl neu entdeckter Schwachstellen ging um 20 Prozent zurück. Diese sinkenden Zahlen auf der einen und die ra-sant wachsende Anzahl an Malware auf der anderen Seite zeichnen ein interessantes Bild. Die Angreifer können dank der Toolkits beste-hende Sicherheitslücken schnell und einfach ausnutzen. Und sie lö-sen sich von Spam-Methoden zu Gunsten von Social Media Netzen, in denen sie ihre Angriffe starten. Hier treffen sie auf arglose User, die ihren Schutz oft vernachlässigen und so oft ein leichtes Opfer sind.

Über den Symantec Internet Security Threat Report

Der Internet Security Threat Report (ISTR) bietet einen Überblick über die globale aktuelle Lage der Internetsicherheit. Er basiert auf Daten aus dem Global Intelligence Network, das Symantec zur Bewertung aktueller Trends bei bösartigem Code sowie Phishing- und Spam-Aktivitäten nutzt.

Über Security Technology and Response

Der „Symantec Internet Security Threat Report“ wird von der Abtei-lung Symantec Security Technology and Response (STAR) erstellt. STAR, das auch Security Response umfasst, ist ein weltweites Team von Sicherheitsingenieuren, Bedrohungsanalysten und Forschern, das die Funktionalität, die Inhalte und das fachliche Expertenwis-sen für alle Geschäfts- und Endverbraucher-Sicherheitsproduk-te von Symantec liefert. STAR wertet die Daten des Global Intel-ligence Reports aus, der sich auf mehr als 64,6 Millionen Angriffs-sensoren stützt. Dieses Netzwerk überwacht in mehr als 200 Län-dern rund 47.000 Schwachstellen, die über 40.000 Technologien von mehr als 15.000 Anbietern betreffen. Die Informationen über Spam, Phishing und Malware werden von verschiedenen Quellen

gesammelt, darunter das Symantec Probe Network, Skeptic, Sym-antec.cloud sowie zahlreiche weitere Sicherheitstechnologien von Symantec.

EADS CASSIDIAN gründet „Cassidian CyberSecurity”

EADS Cassidian hat am 27. April 2012 die Gründung eines neuen Un-ternehmens mit dem Namen „Cassidian CyberSecurity“ bekannt-gegeben. Das Unternehmen wird sich speziell auf den rasch wach-senden Markt für Cyber Security in Europa und dem Nahen Osten konzentrieren – mit anfänglichem Schwerpunkt auf Deutschland, Großbritannien und Frankreich. Durch die Bündelung der gesam-ten im EADS-Konzern vorhandenen Cyber Security Expertise wird sich Cassidian CyberSecurity als spezialisierter Anbieter auf diesem Markt etablieren.

Um angemessen auf spezifische nationale Anforderungen in Deutschland, Großbritannien und Frankreich reagieren zu kön-nen, werden die geschäftlichen Aktivitäten von Cassidian Cyber-Security zunächst auf drei selbstständige nationale Gesellschaften unter dem Dach einer globalen Cyber-Security-Organisation ver-teilt. Auf diese Weise entstehen dynamische und flexible Struktu-ren, die ihren nationalen Charakter behalten werden. Dies ist auch Voraussetzung für den Aufbau vertrauensvoller Partnerschaften in Europa, um Regierungen und Behörden, strategische Industrien und kritische Infrastrukturen besser betreuen und Synergieeffek-te zwischen den verschiedenen Ländern ausschöpfen zu können.

Das Produkt- und Serviceportfolio von Cassidian CyberSecurity basiert auf drei Säulen:

Cyber Defence & Professional Services stellt hochwertige profes-sionelle Services bereit. Dazu zählen Angriffsanalyse und -be-kämpfung, Risikomanagement und Überprüfung von Sicher-heits-Infrastruktur-Architekturen sowie der Betrieb von Opera-tion Center für die Sicherheitsüberwachung von Scada- und IT-Systemen. Die Operation Center, über die Cyber-Security-Servi-ces standortfern erbracht werden können, werden zunächst in Frankreich, Deutschland und Großbritannien eingerichtet.

Trusted Infrastructure realisiert Hochsicherheitslösungen auf nationaler und europäischer Ebene und entwickelt Technologi-en wie zum Beispiel Kryptographie oder digitales Identitätsma-nagement entsprechend den nationalen Anforderungen.

Secure Mobility entwickelt hochmoderne Sicherheitsprodukte und services für Industrie- und Regierungskunden. Dazu zählen mobile Endgeräte (Sprach Datenübertragung, Anwendungen) und Kommunikationsknoten.

Im Bereich Cyber-Sicherheit wird derzeit ein dramatischer Anstieg des Gefährdungsniveaus mit immer komplexeren Angriffen ver-zeichnet. Dabei sind die potenziellen Verursacher in den Reihen anderer Staaten ebenso zu suchen wie bei terroristischen Grup-pierungen, „Hacktivisten“, kriminellen Banden und konventionel-len Hackern. 2010 wurde das Marktpotential auf 50 Mrd. Euro ge-schätzt.

Um die Aufbauphase zu unterstützen, wird Cassidian CyberSecu-rity ein Cyber-Trainingszentrum einrichten. Ziel ist es, Nachwuchs-kräfte für diesen Bereich zu gewinnen und der steigenden Nachfra-ge nach qualifizierten Cyber-Security-Experten gerecht zu werden.

DuD Datenschutz und Datensicherheit 7 | 2012 549

DUD REPORT

Das neue Unternehmen wird über eigene Forschungs- und Ent-wicklungsressourcen verfügen und 20 Prozent der geplanten In-vestitionen in diesen Bereich einbringen.

BSI: Zertifizierungsverfahren für Hochsicherheitsfestplatte HS256S von DIGITTRADE

Mit der Vergabe einer offiziellen Zertifizierungs-ID (BSI-DSZ-CC-0825) hat das Bundesamt für Sicherheit in der Informationstech-nik (BSI) die mobile Hochsicherheitsfestplatte HS256S von DIGIT-TRADE offiziell als zertifizierungswürdig anerkannt. Damit wurde eine weitergehende, intensive Prüfung der mit dem Innovations-preis-IT ausgezeichneten Speicherlösung für höchste Ansprüche an die Datensicherheit eingeleitet.

Die HS256S wurde nach der neuesten Sicherheitsanforderungen des BSI an mobile Speichermedien entwickelt und schließt die „Si-cherheitslücke Mensch“ im Umgang mit mobilen Daten: Hochsen-sible Geschäftsdaten von Unternehmen sowie Behörden werden auf der HS256S über ein integriertes Hardwareverschlüsselungs-modul nach AES mit 256-Bit im CBC-Modus gespeichert. Da die Ver-schlüsselung automatisiert in Echtzeit erfolgt, treten weder Zeit-verluste auf noch sind Kenntnisse über Verschlüsselungsmecha-nismen auf der Anwenderseite notwendig. Eine Zwei-Stufen-Au-thentifizierung via Smartcard und 8-stelliger PIN gewährleistet zu-gleich, dass nur autorisierte Nutzer Zugang zu den hochgesicher-ten Daten erhalten. Verfügt ein Anwender demnach lediglich über ein Authentifizierungsmerkmal – also nur Smartcard oder nur PIN – ist kein Zugriff auf die Daten möglich.

Mit der Verwaltung des kryptografischen Schlüssels ohne Soft-ware oder PC setzt die Hochsicherheitsfestplatte zudem neue Maßstäbe in der Hardware-Kryptografie: Der Anwender kann den Schlüssel mit kryptografisch sicheren Zufallszahlen auf der Smart-card selbst erstellen, jederzeit ändern, auf weitere Smartcards ko-pieren und bei Bedarf zerstören. Aufgrund der Kombination ihrer Sicherheitseigenschaften ist die HS256S – verglichen mit anderen mobilen Speicherlösungen – einzigartig. Sie ist bislang auch die einzige Festplatte, die dank ihres hohen Sicherheitsniveaus vom BSI als zertifizierungswürdig anerkannt wurde.

Fraunhofer Senat beschließt Integration der Berliner IuK-Institute

In der Sitzung vom 8. Mai 2012 beschloss der Senat der Fraunho-fer-Gesellschaft die Zusammenlegung der Berliner Fraunhofer-In-stitute FIRST, FOKUS und den Berliner Teil des ISST. Ziel ist es, das Angebot in der IuK-Forschung weiter zu profilieren und auszubau-en. Die Integration erfolgt zum 1. Juli 2012.

Unter Federführung von Prof. Dr. Radu Popescu-Zeletin, Leiter des Fraunhofer-Instituts für Offene Kommunikationssysteme FO-KUS wurde ein Konzept für Strukturen und Arbeitsfelder des neu-en IuK-Instituts erarbeitet. Mit eingebunden waren der Gesamt-betriebsrat sowie ein Integrationsteam, an dem Mitarbeitende al-ler betroffenen Institute beteiligt waren. Im neuen Institut werden etwa 500 Mitarbeiterinnen und Mitarbeiter beschäftigt sein, die in Zukunft alle unter dem Namen FOKUS agieren.

Die inhaltliche Planung basiert auf dem Leitthema »Smart Cities«. Denn die Stadt der Zukunft benötigt ganzheitliche IuK-Lösungen, sei es für Mobilität, eHealth, öffentliche Sicherheit, eGovernment oder Energie. Um Know-how und Kompetenzen zu nutzen, wer-den die an den Instituten bestehenden Forschungseinheiten wei-tergeführt, in Form von elf Kompetenzzentren. Das integrierte In-stitut setzt weiterhin auf eine internationale Ausrichtung und in-terkulturelle Offenheit – bei Mitarbeitern wie in den Projekten. Die enge Anbindung an die Fakultät für Elektrotechnik und Informatik der Technischen Universität Berlin soll erhalten und gestärkt wer-den, mit einer Professur im Fachgebiet »Offene verteilte Systeme«.

Im Zuge der Integration werden keine Stellen abgebaut. Stand-ort des neuen Instituts ist Charlottenburg. Mitglieder der Instituts-leitung des integrierten Instituts sind Prof. Dr. Radu Popescu-Zele-tin (geschäftsführend) und – bis zum 30. September 2012 – Prof. Dr. Stefan Jähnichen, bislang Leiter des Fraunhofer-Instituts für Rech-nerarchitektur und Softwaretechnik FIRST.

Fraunhofer Innovationszentrum für Öffentliche Sicherheit

Zur Eröffnung des neu gegründeten Innovationszentrums für Öf-fentliche Sicherheit kamen zahlreiche hochrangige Persönlichkei-ten aus Politik, Wirtschaft und Forschung – darunter Bundesinnen-minister Dr. Hans-Peter Friedrich und der Bayerische Ministerpräsi-dent a.D. Dr. Günther Beckstein. Das Innovationszentrum ist beim Fraunhofer-Institut FOKUS angesiedelt und berät Bund, Länder und Unternehmen zu informationstechnischen Herausforderungen im Bereich der öffentlichen Sicherheit.

Der Bundesminister unterstrich in seiner Ansprache die Bedeu-tung von IT-Innovationen für die moderne Gesellschaft und die Fra-gen der öffentlichen Sicherheit:

„Staatliche Stellen müssen sich im Schadensfall schnell und un-kompliziert fach- und Ebenen übergreifend mit den relevanten pri-vaten Akteuren vernetzen. Dafür brauchen wir intelligente Infor-mations- und Kommunikationslösungen. Hier ist auch das Inno-vationszentrum mit seiner Kompetenz und seinem Netzwerk ge-fragt“, so der Bundesinnenminister.

Ziel des Innovationszentrums ist es, Forschung, Industrie und Po-litik eng zu vernetzen und gemeinsam IT-Lösungen für die Öffentli-che Sicherheit zu entwickeln, die sich nahtlos in das alltägliche Le-ben von Bürgerinnen und Bürgern einbinden lassen.

FOKUS schafft damit einen weiteren Raum für integrative Inno-vationsarbeit. Am Berliner Standort laufen künftig die Fäden aus Politik, öffentlichen Behörden und Forschungseinrichtungen zu-sammen, die gemeinsam an Lösungen für die öffentliche Sicher-heit arbeiten. Leiter des neuen Innovationszentrums ist Prof. Dr. Jo-chen Schiller von der Freien Universität Berlin. Im Innovationszent-rum für Öffentliche Sicherheit werden Technologien entstehen, mit denen die Sicherheit der Menschen wahrnehmbar verbessert wird.

Durch die übergreifende Zusammenarbeit können Politik, Ver-waltung, Wirtschaft und Bevölkerung über das Innovationszent-rum als Schnittstelle Sicherheitslösungen wechselseitig befördern und dabei helfen, zukunftsträchtige für die Praxis zu entwickeln.

550 DuD Datenschutz und Datensicherheit 7 | 2012

DUD REPORT

Datenschutz: Unternehmen unterschätzen finanzielles Risiko

Schätzungsweise 90 Prozent der deutschen Unternehmen besitzen noch kein angemessenes Datenschutz-Managementsystem. Doch der aktuelle Entwurf der EU-Datenschutzverordnung will die Effek-tivität der Schutzfunktion deutlich erhöhen. Unternehmen, die die-se datenschutzrechtlichen Vorgaben nur halbherzig umsetzen, ge-hen jetzt ein großes Risiko ein. Denn der Entwurf sieht erstmals har-te Geldstrafen in Höhe von bis zu zwei Prozent des weltweiten Um-satzes vor. Daher sollten Firmen schnellstmöglich ein Datenschutz-Management aufbauen. Das ist das Ergebnis einer Expertenanaly-se von Steria Mummert Consulting (http://www.steria.com/de/), das am 03. Mai 2012 veröffentlicht wurde.

Der Entwurf der EU-Kommission zur Datenschutzverordnung wurde bisher in der Öffentlichkeit überwiegend aus Sicht der Ver-braucher diskutiert. Vor dem Hintergrund wachsender Bedenken gegen die Sammlung personenbezogener Daten durch soziale Netzwerke erscheint die Verordnung als notwendige politische Maßnahme, um der missbräuchlichen Nutzung dieser Daten ent-gegenzuwirken. Für die Mehrzahl der Unternehmen ist jedoch be-sonders relevant, dass die Kommission die Effektivität des Daten-schutzes künftig erheblich steigern möchte. Bisher gaben sich vie-le Firmen damit zufrieden, eine Datenschutzerklärung in den Web-auftritt zu integrieren, Passagen zum Datenschutz in Vertragstexte aufzunehmen und ab einer bestimmten Unternehmensgröße ei-nen Datenschutzbeauftragten zu benennen. Weder Verbraucher-beschwerden noch die drohenden Sanktionen bei Verstößen lie-ßen es wirtschaftlich erscheinen, darüber hinausgehende Maßnah-men zu ergreifen.

„Dieser eher reaktive Umgang mit dem Thema Datenschutz er-weist sich mit Inkrafttreten der neuen Verordnung als riskant. Un-abhängig davon, ob der Entwurf in einzelnen Punkten noch geän-dert wird, ist deutlich, dass die Datenschutzvorgaben künftig mit-tels harter Sanktionen durchgesetzt werden“, sagt Markus Katz von Steria Mummert Consulting. Der aktuelle Entwurf sieht erstmals Geldbußen vor, die proportional zum weltweiten Umsatz eines Un-ternehmens festgelegt werden. 0,5 Prozent werden fällig, wenn das Unternehmen den Betroffenen zum Beispiel nicht unverzüg-lich antwortet, ein Prozent Strafe droht zum Beispiel bei nicht recht-zeitiger Datenlöschung und zwei Prozent vom weltweiten Umsatz können verhängt werden, wenn eine Firma personenbezogene Da-ten ohne ausreichende Rechtsgrundlage verarbeitet.

Zur Vermeidung der teilweise für die Geschäftsleitung noch un-bekannten Risiken sollten Unternehmen ein angemessenes Daten-schutz-Managementsystem betreiben. Das bedeutet auch, Daten-schutzprozesse aktiv zu gestalten. Denn lediglich reaktive Maßnah-men vorzunehmen ist unbequem und mit einem hohen Aufwand verbunden. Unternehmen, die diese Aufgabe erfolgreich umset-

zen, steigern dauerhaft ihre Effizienz und gehen zugleich wesent-lich weniger Risiken ein.

Die im Entwurf vorliegende EU-Datenschutz-Grundverordnung wird umgehend nach ihrer Verabschiedung wirksam und gewährt dann keinerlei zeitlichen oder inhaltlichen Spielraum. Aufgrund des stetig steigenden Interesses der Öffentlichkeit an Datenschutz ist mit einem weiteren Anstieg der Beschwerden bei den Aufsichts-behörden zu rechnen.

ETAS plant Übernahme von ESCRYPT

ETAS (http://www.etas.com/de/) plant, die ESCRYPT GmbH (https://www.escrypt.com/), ein auf Sicherheitslösungen spezialisiertes Sys-temhaus mit Sitz in Bochum zu übernehmen. Ein entsprechender Vertrag wurde am 26. April 2012 in Düsseldorf unterzeichnet. Die Transaktion steht unter dem Vorbehalt kartellbehördlicher Geneh-migungen.

„Mit der Übernahme bauen wir unsere Position im stark wach-senden Markt für Sicherheitsdienstleistungen aus“, sagte Fried-helm Pickhard, Vorsitzender der ETAS-Geschäftsführung. ESCRYPT ist mit seinen Sicherheitslösungen für eingebettete elektronische Systeme das führende Systemhaus. Eingesetzt werden die Lösun-gen in der Automobilindustrie und vielen weiteren Branchen, wie der Medizintechnik, der Automatisierungstechnik, der Chip- und Informationstechnik oder dem Maschinenbau.

ETAS erweitert mit dem Erwerb von ESCRYPT das bestehende Portfolio für eingebettete Systeme. Der Grundstein für den Ausbau des ETAS-Portfolios wurde bereits mit dem neuen, weltweit agie-renden Geschäftsfeld „Embedded Systems Consulting“ gelegt, das Anfang 2012 etabliert wurde. Das neue Geschäftsfeld bietet unab-hängige, globale Beratungs-Dienstleistungen an.

Ausgebaut werden soll nun insbesondere das Angebot im Be-reich Funktionale Sicherheit und Embedded Security.

„Durch die Kombination mit ETAS ermöglichen wir ESCRYPT die nächste Stufe der Expansion, insbesondere auf internationaler Ebe-ne“, ergänzte Prof. Dr.-Ing. Christof Paar, Inhaber des Lehrstuhls für Eingebettete Sicherheit an der Ruhr-Universität Bochum und ne-ben Herrn Willi Mannheims einer der zwei Hauptgesellschafter der ESCRYPT GmbH. Gegründet wurde das Unternehmen 2003 als Spin-Off des Horst Görtz Instituts für IT-Sicherheit (HGI) der Ruhr-Universität Bochum und hat heute weitere Niederlassungen in München und Wolfsburg sowie in Ann Arbor/USA.

Die ETAS Entwicklungs- und Applikationswerkzeuge für elekt-ronische Systeme GmbH wurde 1994 als Tochtergesellschaft der Robert Bosch GmbH gegründet. Weltweit beschäftigt ETAS heute rund 650 Mitarbeiter und ist in Deutschland, den USA, Japan, Ko-rea, China, Indien, Frankreich, Großbritannien, Schweden, Italien, Brasilien und der Russischen Föderation vertreten.