Drimalski & Partner Blog Datenschutz-News 10/2021

Datenschutz-News 10/2021

In unseren Datenschutz-News 10/2021 informieren wir Sie zum aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland, den Schritten zur erfolgreichen Backup-Strategie sowie den aktuellen Datenschutz-Bußgeldern des letzten Quartals.

IT-Sicherheitslage bleibt angespannt bis kritisch

Mit seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden und fundierten Überblick über die Bedrohungen im Cyber-Raum vor. Der Bericht für 2021 ist nun erschienen.

Auch in diesem Jahr steht der Bericht zur Lage der IT-Sicherheit in Deutschland unter dem Eindruck der COVID-19-Pandemie. Sie hat mit ihren gesamtgesellschaftlichen Auswirkungen auch Folgen für die Arbeitssituation in praktisch allen Behörden, Organisationen und Unternehmen. Unter anderem mit der enormen Zunahme der Arbeit im Homeoffice haben sich neue Herausforderungen für die Informationssicherheit ergeben.

Nachfolgend der Link zum Download des aktuellen BSI-Lageberichts: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf?__blob=publicationFile&v=3

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn

Ein einfaches Backup schützt nicht vor Ransomware-Schäden

Gegen die wachsende Gefahr von Ransomware-Attacken brauchen IT-Verantwortliche mindestens…

  • eine moderne Anti-Malware-Lösung und
  • eine verlässliche Backup- und Replication-Software zur Datensicherung und -wiederherstellung.

Datensicherung ist eines der besonderen Ziele der DSGVO. Dafür sind regelmäßige Backups unverzichtbar. Die DSGVO regelt Backups nicht ausdrücklich. Nach Art. 5 DSGVO müssen Verantwortliche eine angemessene Sicherheit der verarbeiteten personenbezogenen Daten gewährleisten. Dafür sind nach Art. 32 Abs. 1 lit. c DSGVO technische und organisatorische Maßnahmen (sog. TOMs) notwendig, um die Daten zu schützen. Dazu gehört gem. DSGVO „[…] die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen […]”.

Mit einem einfachen Backup ist es aber nicht mehr getan. Ein Backup nach DSGVO stellt hohe Anforderungen an die Sicherheit der Daten. Daher fordert Art. 32 Abs. 1 lit. d DSGVO „[…] ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“.

Um die Angriffe bereits an der vordersten Front abzuwehren, ist eine ausgereifte Anti-Malware-Lösung Pflicht. Es gilt jedoch auch, im Hintergrund Vorsorge zu treffen, etwa in Form einer zuverlässigen Backup- und Replication-Lösung. Backups sollten dabei auch außerhalb der Produktivumgebung vorgehalten werden, denn ist die Schadsoftware erst ins System gelangt, hilft oft nur ein Neuaufbau der Anwendungen. Idealerweise sollte durch eine Immutable Repository-Funktion in Verbindung mit einer Zwei-Faktor-Authentifizierung das Backup manipulationssicher gestaltet werden. Erst dann sind die Daten im Ernstfall sicher.

7 Schritte zur erfolgreichen Backup-Strategie:

  • Regelmäßige Datensicherungen
  • Schutz vor Verschlüsselung
  • Absicherung der eingehenden Daten
  • Patch-Management
  • Passwortstrategie
  • Awareness
  • Ausreichendes IT-Sicherheitsbudget

Weitere Empfehlungen zum Aufbau einer Backupstrategie und dem Schutz Ihrer Backupdaten vor Ransomware können Sie>>HIER<<kostenlos per E-Mail bei uns anfordern.

1 Milliarde EUR an Bußgeldern in nur einem Quartal (‚EU‘)

Die DSGVO wird scharfgestellt. Die Aufsichtsbehörden für den Datenschutz innerhalb der EU haben von Juli bis einschließlich September 2021 (= Q3/2021) Bußgelder in einer Gesamthöhe von 984,47 Millionen EUR verhängt – also fast 1 Milliarde EUR!

Zwanzigmal mehr als im 1. Halbjahr: Das ist wirklich ordentlich. Erst recht, wenn man dies den ersten beiden Quartale 2021 gegenüberstellt. In diesen beiden Quartalen zusammen wurden nur 50,26 Millionen EUR an Bußgeld verhängt. Die Bußgelder haben sich also mal eben fast verzwanzigfacht. Und gegenüber dem gesamten Jahr 2020 wurden im 3. Quartal 2021 mehr als dreimal so hohe Bußgelder verhängt. Angesichts dieser doch horrenden Zahlen sollte wirklich jedes Unternehmen den Datenschutz ernst nehmen. Sonst kann es – wie man sieht – teuer werden.

Rekord-Einzelstrafe gegen Amazon: Der Vollständigkeit halber sei erwähnt, dass es im 3. Quartal auch zwei ziemlich hohe Einzelstrafen gegeben hat. Allein 746 Million EUR gingen an Amazon Europa in Luxemburg. Weitere 225 Million EUR gingen an WhatsApp in Irland.

Quelle: Der Verlag für die Deutsche Wirtschaft AG, Bonn

Über 900.000 EUR Bußgeld gegen Vattenfall (‚DE‘)

  • Empfänger:  Vattenfall Europe Sales GmbH              
  • Bußgeld: 901.389 EUR
  • Datum (Veröffentl.): 24.09.2021
  • Verletztes Recht: Art. 12 DSGVO, Abs. 13 DSGVO
  • Behörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
  • Vergehen: Das vorliegende Bußgeld steht mit Datenabgleichen im Zusammenhang, welche das Energieunternehmen im Zeitraum von August 2018 bis Dezember 2019 bei Vertragsanfragen für kundenseits lukrative Sonderverträge vorgenommen hatte. Die Sonderverträge dienten dabei der Neukundenwerbung und gingen mit Bonuszahlungen (Wechselboni) für die Kunden einher. Durch den Abgleich sollte ausgeschlossen werden, dass die Interessenten solche Verträge so regelmäßig abschlossen (d.h. den Vertrag abschlossen, den Bonus erhielten, kündigten, erneut den Vertrag schlossen usw.), dass sich das jeweilige Angebot für Vattenfall nicht mehr rentiert. Um solches sog. „wechselauffälliges Verhalten“ zu identifizieren, hatte das Unternehmen entsprechende Vertragsanfragen in ca. 500.000 Fällen mit Daten aus früheren Vertragsbeziehungen zu den Kunden abgeglichen, welche aufgrund rechtlicher Vorgaben bis zu zehn Jahre gespeichert werden mussten. Wie der HmbBfDI feststellte, waren die Kunden vom Bußgeldempfänger nicht ordnungsgemäß darüber informiert worden, dass solche Abgleiche vorgenommen werden würden. Dies wertete die Datenschutzaufsicht als eine Verletzung der Transparenz- und Informationspflichten des Unternehmens. Bei der Festsetzung der Bußgeldhöhe wurde mildernd berücksichtigt, dass Vattenfall während der Ermittlungen mit der Behörde umfassend kooperiert und die intransparenten Abgleiche nach dem ersten Eingreifen der Behörde eingestellt hatte. Der Bußgeldbescheid ist rechtskräftig.

Quellen: Süddeutsche Zeitung, Pressemitteilung HmbBfDI, Pressemitteilung EDPB, Compliance Essentials GmbH (https://www.dsgvo-portal.de/)

Die vollständige News inkl. Quellenangaben sowie weiteren Informationen zu den vorgenannten Bussgeldern können Sie als PDF hier herunterladen.

 
zurück

Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.