Archiv der Kategorie: BSI

KRITIS-Verordnung

TeleTrusT begrüßt Entwurf und sieht Nachbesserungsbedarf

Berlin, 23.02.2016 – Das Bundesministerium des Innern hat den Referenten-Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.

Mit der „KRITIS“-Verordnung wird §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung werden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen.

Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:

  1. Die Zugrundelegung der „500.000er-Regel“ für die Schwellenwerte wird als kritisch betrachtet. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, technisch und organisatorisch aufgefangen werden können. Sind im konkreten Fall also 500.000 Haushalte betroffen, kann ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden. TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
  2. Die Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher „Domino-Effekte“ außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt hat, kann durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigen, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
  3. Das für die Anlagenkategorie „Standortkopplung“ zugrunde gelegte Datenvolumen auf Basis des wichtigsten, und – gemessen am Datendurchsatz – weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert wird, ist das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
  4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein. TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.

PM-160223-TeleTrusT-KRITIS.pdf

Advertisements

BfDI Pressemitteilung : Europäische Arbeitsgruppe zum Datenschutz verabschiedet Entschließung zu Smart Borders

Newsletter des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Veröffentlicht am 10.06.2013

Nach Abschluss der 91. Sitzung der Artikel-29-Gruppe, einer europäischen Arbeitsgruppe zum Datenschutz, vom 5. bis 6. Juni 2013 in Brüssel informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit über die Ergebnisse. Die europäische Arbeitsgruppe hat eine Entschließung zum Smart-Border-Programm verabschiedet. Darin äußert sie schwerwiegende Bedenken gegen das von der EU-Kommission vorgeschlagene Ein- und Ausreiseregister (Entry-Exit-System). Schon die Machbarkeit dieses Vorhabens ist zweifelhaft, der ebenfalls höchst zweifelhafte Nutzen eines solchen Registers rechtfertigt keine weitere Großdatenbank auf EU-Ebene.Peter Schaar, der als deutscher Vertreter Mitglied der Arbeitsgruppe ist, sagt hierzu: Die EU-Kommission und die Regierungen der Mitgliedstaaten sollten die Warnungen der europäischen Datenschutzbehörden ernst nehmen. Die Europäische Union sollte das Projekt, das eine Vielzahl persönlicher Daten erfassen soll und dessen Kosten in keinem Verhältnis zum zu erwartenden Nutzen stehen, nicht weiter verfolgen.Am 28. Februar 2013 hatte die Europäische Kommission verschiedene Gesetzesvorschläge zur Erfassung von Reisenden vorgestellt. In dessen Zentrum steht eine neue Datenbank, in der alle Einreisen in den und Ausreisen aus dem Schengenraum von Drittstaatsangehörigen erfasst werden sollen, um so die illegale Migration zu bekämpfen.Die Entschließung sowie weitere Sitzungsergebnisse der Arbeitsgruppe finden Sie unter http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htmDie Artikel-29-Gruppe ist eine europäische Arbeitsgruppe zum Datenschutz. Sie ist eine unabhängige und beratende Instanz, deren Arbeit auf den Artikel 29 und 30 der Datenschutzrichtlinie (95/46/EG) sowie Artikel 15 der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) basiert. Primäre Aufgabe der Arbeitsgruppe ist es, die einheitliche Durchsetzung des Grundrechts auf Datenschutz (Artikel 8 Grundrechtecharta) und anderer Vorschriften des europäischen Datenschutzrechts und deren Weiterentwicklung zu fördern. Hierzu berät die Arbeitsgruppe die Europäische Kommission und die am europäischen Gesetzgebungsverfahren beteiligten Organe und veröffentlicht Entschließungen, Stellungnahmen und Arbeitspapiere.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
E-Mail: poststelle@bfdi.bund.de
Telefon: +49 (0) 228-997799-0
Internet: http://www.datenschutz.bund.de

Compliance und der steigende Bedarf an Sicherheit

Die wachsenden Anforderungen an die Einhaltung gesetzlicher Vorschriften erschwert es Unternehmen zunehmend die erforderlichen Sicherheitsabläufe ihre täglichen Prozesse zu integrieren. Dies kann zu negativen Prüfungsergebnissen und Datenmissbrauchsfällen führen, die ihrerseits kostspielige Maßnahmen zur Schadenseindämmung bis hin zur Zahlung von Strafgeldern zur Folge haben können.

Compliance kostet

Bereits für das Jahr 2010 wurden die durchschnittlichen Unternehmenskosten für einen Datenmissbrauchsfall auf etwa 7,2 Millionen USD ermittelt.

Die gesetzlich verankerte Notwendigkeit zur Einhaltung von Compliance-Anforderungen hat zusammen mit spezifischen Strafzahlungen für die Nichteinhaltung dieser Vorschriften dazu geführt, dass ein Großteil der gesamten Sicherheitsausgaben allein für die Einhaltung der Compliances aufgewendet wird. Wobei es außer Frage steht, dass Compliance-Ausgaben der Gewährleistung des wirtschaftlichen Erfolgs eines Unternehmens und der Vermeidung möglicher Schäden am Markenimage dienen.

Wenig zielführend ist es jedoch, wenn der Fokus eines Unternehmens jedoch nicht auf die Vermeidung bzw. Reduzierung von Sicherheitsrisiken, sondern auf die Minimierung von Kostenaufwendungen gerichtet ist. Jedes Unternehmen muss sicherstellen, dass seine Sicherheitsausgaben mit einer angemessenen Risikotoleranz und den Geschäftszielen des Unternehmens gegen einander abgestimmt ist.

Das vorrangige Ziel eines Unternehmens darf es nicht sein, eine mögliche Prüfung oder Auditierung positiv hinter sich bringen zu wollen. Es wäre nicht nur ein Spiel mit dem Feuer. Selbst die Erfüllung der präskriptiven PCI-DSS-Anforderungen, stellt beispielsweise nur einen grundlegenden Sicherheitsstandard dar und sichert das Unternehmen nicht vor Datenmissbrauch. Ein weltweit agierender Identitätsdiebstahlring hatte zum Beispiel US-amerikanische Unternehmen trotz Einhaltung der PCI-Anforderungen angreifen und millionenfach Kreditkartendaten abgreifen können.

Regulierungsbehörden haben auf die steigenden Anforderungen reagiert und die Benachrichtigung über Missbrauchsfälle angeordnet und umfassende Kontrollen mit strengeren Geldstrafen für die Nichteinhaltung der Vorschriften eingeführt haben.

Die Einführung eines nachhaltigen Compliance-Programms stellt die Unternehmen jedoch vor grundsätzliche Herausforderungen. Der Spagat zwischen der Umsetzung von IT-Security-Anforderungen und Absicherung finanzrechtlicher Risiken und der Entscheidung für eine nachhaltige Absicherung durch ein Informationssicherheitsmanagementsystem (ISMS) – zum Beispiel in Anlehnung an ISO 27001 ff – fällt häufig nicht leicht.

Wandel der Sicherheitsbedrohungen

Bedrohungen gehen längst nicht mehr hauptsächlich von einzelnen Freizeit-Hackern aus. International organisierte, gewinnorientierte Profigruppen, beauftragt von internationalen Organisationen, von Gruppen aus dem Bereich des organisierten Verbrechens und sogar von Regierungen erwirtschaften Milliarden mit Identitätsdiebstahl und Datenklau. Angesichts dieser Unterstützung überrascht es wenig, dass Datenmissbrauch durch immer ausgefeiltere Technologien ermöglicht und oftmals auch durch Unternehmensangehörige unterstützt wird: Stichwort „Social Engineering“.

Dauerhafte Minimierung von Risiken

Basis eines jeden nachhaltigen Sicherheits- und Compliance-Programms ist ein, auf das Geschäftsmodell abgestimmtes Framework, mit dem alle branchenspezifischen und gesetzlichen Auflagen abgedeckt und gleichzeitig die zugrunde liegenden Sicherheitsrisiken minimiert werden können.

Die Abstimmung mit den Geschäftsprozessen ist dabei von entscheidender Bedeutung, um sicherzustellen, dass der Fokus auf unternehmensrelevante Risiken begrenzt wird.

Der Sicherheitsbeauftragte

Durch die zunehmende Beachtung der Bedeutung von IT-Sicherheit und Compliance sowie der damit einhergehenden beträchtlichen Kosten ist die Rolle des Sicherheitsbeauftragten im Wandel begriffen. CISOs (Corporate Information Security Officer) unterstehen zunehmend dem CEO oder CFO, statt innerhalb des IT-Bereichs zu operieren. Aus einem vor kurzem veröffentlichten Forrester-Bericht geht hervor, dass 54 Prozent der Unternehmen einen Chief Information Security Officer haben, der direkt einem leitenden Manager unterstellt ist und 42 Prozent einen CISO haben, der einer Person außerhalb der IT-Abteilung unterstellt ist. Der CISO wird zunehmend Zugriff und Einfluss auf die Art und Weise der geschäftlichen Entscheidungsfindung haben. In einem aktuellen CSO Online-Artikel bestätigt Eric Cowperthwaite, CSO von Providence Health & Services mit Sitz in Seattle, USA, diesen Trend:

„Der CSO/CISO ist zu einem dauerhaften Bestandteil der Gruppe von Personen geworden, die am runden Tisch sitzen und darüber entscheiden, wie das Unternehmen seinen Geschäften nachgeht. Der CSO steht an der Spitze der Sicherheit des Unternehmens. Seine Funktion wird mittlerweile als absolut notwendig erachtet und ist schon lange kein reines Lippenbekenntnis mehr, um sich Auditoren vom Hals zu halten. Meiner Ansicht nach ist dies eine bedeutende Veränderung.“

Durch eine Abstimmung mit den Geschäftsanforderungen kann der Sicherheitsfokus früher in neue Initiativen einbezogen werden. Dadurch können Sicherheitsteams die Risikominimierung früher in die Planungsphase einbringen anstatt nachträglich kostenintensive Behebungsmaßnahmen hinzuzufügen, durch die neue Geschäftsinitiativen verlangsamt oder gehemmt werden.

Ein nachhaltiges Compliance-Programm muss die Vielzahl der gesetzlichen und branchenspezifischen Bestimmungen, mit denen ein Unternehmen konfrontiert ist, effektiv bewältigen und problemlos an neue und sich wandelnde Bestimmungen anpassbar sein. Viele Unternehmen haben ihren Ansatz weiterentwickelt und verfügen nun über ein zentrales Team, um die Sicherheits- und Compliance-Kontrollen zu koordinieren.

Die Straffung der Compliance-Aktivitäten zu einem allgemeinen Framework ist kein einfaches Unterfangen. Sicherheits- und Compliance-Teams können aus mehreren Gruppen innerhalb eines Unternehmens/Konzerns bestehen, wodurch organisatorische und geografische Grenzen überschritten werden.

Ein effektiver Ansatz besteht darin, das Sicherheitsrisiko eines Unternehmens zu minimieren und Compliance sozusagen als Nebenprodukt zu ermöglichen. Bei Heartland kann man diesen Ansatz nun nachvollziehen, wie aus dem aktuellen Kommentar von Kris Herrin, CTO von Heartland hervorgeht: „Einer der wichtigsten Punkte für uns besteht darin, sicherzustellen, dass Sicherheitskontrollen nachhaltig sind und so ausgeführt werden, dass die Kontrolle für uns auch zukunftsfähig ist […]

Es geht einfach nicht, dass wir einfach in einem Quartal etwas einführen, nur weil es sinnvoll scheint, und dann ein Jahr später erkennen, dass dadurch die Risiken nicht wie gehofft minimiert werden. “

Um ihre Sicherheit sowohl kurz- als auch langfristig zu verbessern, müssen Unternehmen sicherstellen, dass die passenden Kontrollen und Tools für das jeweilige Sicherheitsrisiko definiert werden und in ein umfassendes Risikominimierungsprogramm passen, das die Implementierung, Stellenbesetzung und Sicherheitsprozessplanung festlegt und mit der Risikotoleranz und den Geschäftszielen des Unternehmens abgestimmt wird.

Dementsprechend lässt sich nachhaltige Compliance am besten dadurch erzielen, dass der Schwerpunkt auf eine Verbesserung der Gesamtsicherheitssituation des Unternehmens gelegt wird.

Permanente Änderung der Bedrohungen

Ein nachhaltiges Sicherheits- und Compliance-System muss so strukturiert sein, dass es an geänderte Geschäftsprozesse, neue Compliance-Bestimmungen, weiter entwickelte IT-Systeme und sich permanent ändernde Bedrohungen angepasst werden kann. Hierzu zählen Veränderungen bei der Art der Angriffe und neue Risiken, die mit sich ändernden Technologien und sich weiter entwickelnden Geschäftsmodellen verbunden sind.

Der Rüstungswettbewerb

Das Wesen der Angriffe hat sich im „Rüstungswettbewerb“ zwischen IT-Verantwortlichen und Hackern stetig weiter entwickelt. Die Kenntnisse der IT-Mitarbeiter haben sich in Richtung Sicherheit orientiert und der Einsatz dedizierter Sicherheitswerkzeuge nimmt zu. Aber auch Hacker arbeiten zunehmend professioneller und organisierter. Sie werben Talente an, investieren in Forschung und Entwicklung und erstellen neue, ausgereiftere Tools. 85 Prozent der Angriffe sind mittlerweile auf finanziell gut ausgestattete Organisationen, einschließlich des organisierten Verbrechens und Regierungen, zurückzuführen.

Die Betriebskosteneinsparungen durch Nutzung von Virtualisierungs- und Cloud-Services haben jedoch dazu geführt, dass in einigen Unternehmen die Einführung dieser Services das Verständnis der damit verbundenen Risiken bereits überholt hat und die Sicherheitsteams nunmehr versuchen, wieder aufzuholen.

Viele Sicherheitsverstöße werden jedoch nicht externen Angreifern verübt, sondern von finanziell oder politisch motivierten Insidern. Laut Data Breach Investigations Report 2010 wurden 27 Prozent der Sicherheitsverstöße ausschließlich durch interne Komplizen verübt.

In dynamischen Unternehmensumgebungen wächst das Risiko von Benutzeraktivitäten, die zu einem Sicherheitsverstoß beitragen. Aus demselben Verizon-Bericht geht hervor, dass 90 Prozent der internen Aktivitäten, die einem Sicherheitsverstoß zugeordnet werden konnten, durch vorsätzliches Handeln, 6 Prozent durch zweckwidriges Handeln und 4 Prozent durch unbeabsichtigtes Handeln erfolgt sind.

Ein größeres Einzelhandelsunternehmen in den USA hat vor kurzem einen Ausfall hinnehmen müssen, als ein neuer Administrator Veränderungen an den Gruppenrichtlinien für Active Directory außerhalb des Änderungskontrollprozesses vorgenommen hat. Als er bemerkte, dass er einen Ausfall verursacht hatte, versuchte der Administrator, seine Spuren zu verwischen. Seine Handlungen führten direkt dazu, dass der Produktversand mehrere Tage zum Erliegen kam, während man versuchte, den Betrieb wiederherzustellen. Diese Aktivität war zwar nicht mutwillig, aber dennoch unangemessen, und hatte beträchtliche negative Auswirkungen.

Risiken lassen sich durch relativ einfache Kontrollen erheblich mindern. Ein Beispiel für solche Kontrolle wäre eine Richtlinie, die sicherzustellt, dass die Konten von Mitarbeitern, die das Unternehmen verlassen, schnell deaktiviert werden, dass gemeinsam genutzte administrative Konten vermieden werden und dass die Aktivität privilegierter Benutzer, seien es Administratoren oder Endbenutzer, überwacht wird.

Der erste Schritt besteht darin, den erforderlichen Mindestzugriff zu gewährleisten. Der zweite Schritt besteht in Überwachung der Nutzung der Berechtigungen.

Insider und Verantwortung

Jeder, der direkt oder indirekt vertrauliche Informationen oder die Systeme und Anwendungen verwaltet, auf denen diese gehostet werden, ist zu den Insidern zu zählen. Demnach können Insider auch Mitarbeiter von Partnern und Anbietern von Managed Services, Hosting- oder Cloud-Lösungen sein.

Unternehmen müssen erkennen, dass das Outsourcen nicht auch die Verantwortlichkeit auslagert. Der Schwerpunkt von Verhandlungen wird zunehmend darauf gelegt, spezifische Kontrollen zu verhandeln und unabhängige Sicherheitsaudits zu verlangen. Dienstleister sind angehalten nachhaltige Sicherheitsprozesse und routinemäßige Audits in ihre Serviceangebote einzubauen, um wettbewerbsfähig zu bleiben.

Vor der Unterzeichnung eines Vertrags ist es von entscheidender Bedeutung, entsprechende risikobeschränkende Service-Level-Agreements, erforderliche Kontrollen und Auditberechtigungen festzulegen und diese in das Vertragsdokument aufzunehmen.

Fazit

Ein Compliance-System, das Ihre Compliance-, Sicherheits- und Geschäftsziele umfassend umsetzt, ist heute so wichtig wie nie zuvor. Die Aufgabe, sich überschneidende und ständig weiterentwickelnde gesetzliche und branchenspezifische Auflagen zu erfüllen, ist komplex.

Der Fokus muss auf der Risikoverwaltung in Abstimmung mit der Risikotoleranz und den Geschäftszielen des Unternehmens liegen.

Daneben sind IT-Abteilungen mit einer zunehmenden Vielfalt von Bedrohungen konfrontiert. Durch neue Technologien wie Outsourcing und Cloud-Computing werden die Netzwerkgrenzen immer fließender. Finanziell oder politisch motivierte Angriffe durch technisch versierte organisierte Gruppen oder böswillige Insider veranlassen Unternehmen so schnell wie möglich ein ausgereiftes Sicherheitssystem zu entwickeln. Das in der Lage ist, angemessene Sicherheitskontrollen für ihre kritischen Daten und Infrastrukturen zu entwickeln, zu implementieren und zu überwachen.

Nur ein integrierter, nachhaltiger Compliance-Ansatz basierend auf vernünftigen Sicherheitsprinzipien ist effektiv, nachhaltig und skalierbar und ermöglicht es Ihnen, Ihre Compliance-Ziele zu erreichen sowie die Gesamtsicherheit Ihres Unternehmens zu verbessern.

Arztpraxis und Datenschutz

Ein niedergelassener Arzt wandte sich an den Datenschutzbeauftragten. Der Arzt, der auch substitutionsgestützte Behandlungen Opiatabhängiger durchführt, berichtete, dass nach den einschlägigen Richtlinien der Bundesärztekammer so genannte Sicht-Urinkontrollen bei der Behandlung von Subtitutionspatienten vorgeschrieben seien. Er beabsichtigte, diese Kontrollen künftig mittels einer Videoüberwachungskamera durchzuführen, die in der für die Urinabgabe vorgesehenen Patiententoilette installiert werden solle. Konkret sollte die Urinabgabe der betroffenen Substitutionspatienten in der Weise überwacht werden, dass der Vorgang auf einem in einem Nebenraum installierten Monitor vom Arzt oder anderem Praxispersonal beobachtet wird. Eine Aufzeichnung der Kamerabilder war nach den Plänen des Arztes nicht vorgesehen.

(Datenschutzrechtlich handelt es sich bei der vom Arzt geplanten Kontrolle der Urinabgabe um eine Erhebung personenbezogener Daten i. S. d. § 6b Abs. 1 BDSG. Im vorliegenden Fall musste geprüft werden, ob die datenschutzrechtliche Erforderlichkeit gegeben ist).

Ein anderer Fall:

Eine Radiologie-Praxis warnte vor einiger Zeit ihre Patienten vor dem Verlust von Daten. Ein Webserver, auf dem sensible Patienten-Informationen von 230.000 Bürgern gespeichert waren, wurde von Unbekannten gehackt. Unter den auf dem Server gespeicherten Daten befanden sich die Namen, Sozialversicherungsnummern, Kennzahlen der medizinischen Diagnosen und Adressen der betroffenen Patienten nebst einigen weiteren persönlichen Daten.

Ein weiterer, wenn auch nicht neuer Aspekt

Regelungen zur Abwicklung des Hausarztvertrages in Schleswig-Holstein verstoßen nach Ansicht des OVG Schleswig-Holstein gegen den Datenschutz. Sie zwängen Ärzte dazu, sensible Patientendaten an die Hausärztliche Vertragsgemeinschaft und deren Dienstleister weiterzugeben, hieß es in einem Beschluss. Die Ärzte haben keine vollständige Kontrolle über die Daten.

Ein Albtraum für den Patienten

Die Operation am Kniegelenk mit der schonenden Methode der Arthroskopie verläuft zunächst reibungslos – doch dann fällt der Bildschirm aus. Die Bild- und Videodaten der kleinen Kamera im Inneren des Knies werden nicht mehr auf das Display und den zentralen Server übertragen. Der Orthopäde muss die Operation unterbrechen. Die Ursache: Ein Virus hat das System lahmgelegt.

Solche Beispiele zeigen das Risiko auf, das im Umgang mit den besonderen, persönlichen Daten im Gesundheitswesen und den medizinischen IT-Systemen steckt.

Zeitgleich wächst das Bewusstsein um den Schutz der eigenen persönlichen Daten in der Bevölkerung.

Da ist es verständlich, dass Patienten sich mehr oder weniger besorgt in die Hände des Arztes ihres Vertrauens begeben und ein Bedürfnis besteht, die eigenen Daten geschützt wissen zu wollen.

Der einzelne Nutzer von modernen Instrumenten der Kommunikation ist nur noch  bedingt in der Lage diese Entwicklung zu beeinflussen. Je umfangreicher und umfassender die Verwendung von persönlichen Daten in einzelnen Tätigkeitsfeldern und Branchen ist, desto größer ist die Verantwortung der Nutznießer solcher Daten. Um dies jedoch nicht dem Wissenstand und den Erfordernissen vor Ort zu überlassen, hat der Gesetzgeber mit dem Bundesdatenschutzgesetz den Rahmen festgelegt.

Gerade Betriebe für die die Verwendung von besonders schützenswerten personenbezogenen Daten wie z. B. Daten zu Gesundheit, zur ethnischen oder rassischen Herkunft oder zur Religion, unablässig ist, sind zu erhöhter Sorgfaltspflicht verpflichtet.

Das Bundesdatenschutzgesetz schreibt die Bestellung eines Datenschutzbeauftragten bei Vorliegen einer automatisierten Verarbeitung von personenbezogenen Daten ab einer Mitarbeiteranzahl von 10 Mitarbeitern, die mit diesen Daten befasst sind, vor.

Analog dieser Formulierung müssten die meisten niedergelassenen Ärzte sich ad jure keine Gedanken zum Thema Datenschutz machen, zumal die ärztliche Schweigepflicht scheinbar die Schutzbedürfnisse der Patienten abdeckt.

Die Inhalte elektronischer Medien sind nicht ausschließlich unter vollständiger Kontrolle des Arztes. Es gibt Schnittstellen zu fremden Systemen, zwischen denen Daten übermittelt werden und die Absicherung gegenüber unberechtigten Fremdzugriffen kann häufig nicht mit der technischen  Fertigkeit unlauterer Zeitgenossen stand halten.

Wenn durch die automatisierte Verarbeitung von personenbezogenen Daten besondere Risiken für die Freiheit und die Rechte von Betroffenen bestehen, sieht der Gesetzgeber eine verbindliche Vorabkontrolle nach § 4d Absatz 9 des BDSG vor. Dies ist immer der Fall, wenn gesundheitliche Informationen wie z. B. physische, psychische oder soziale Befindlichkeiten betroffen sind. Diese Prüfung, die in §4 Absatz 5 des BDSG beschrieben ist, muss vor Beginn der Verarbeitung von personenbezogenen Daten durchgeführt werden und betrifft somit alle ärztlichen Fachrichtungen.

Die Vorabkontrolle kann nach BDSG entfallen, wenn alle Patienten schriftlich ihr Einverständnis zur Verarbeitung ihrer Daten geben bzw. gegeben haben. Dies mag bei vollständig neuen Praxen technisch möglich sein, bei älteren Praxen ist es jedoch kaum praktikabel. Zwar ist ein Arzt entsprechend seiner Berufsordnung zur Dokumentation seiner patientenbezogenen Aktivitäten verpflichtet, es ist jedoch vorbehalten, ob dies elektronisch oder herkömmlich geschehen soll. Eine weitere mögliche Ausnahme besteht deshalb theoretisch in der Möglichkeit die Patientendaten nicht elektronisch zu verarbeiten und sich damit dem BDSG nicht unterwerfen zu müssen.

Damit bestehen für jede Arztpraxis nur zwei Möglichkeiten sich gesetzeskonform aufzustellen:

–          entweder durch die Bestellung eines Datenschutzbeauftragten oder

–          durch die explizite, schriftliche Einwilligung aller Patienten in die Verarbeitung ihrer Daten.

Die Sensibilisierung der Öffentlichkeit, die Sorge der Patienten um den sicheren Umgang mit ihren Daten und nicht zu Letzt die doch erheblichen Strafen im Falle einer Abmahnung, sollten jeden Arzt bzw. jede Ärztin dazu bewegen, für die eigene Praxis gesetzeskonform einen erfahrenen, externen Datenschutzbeauftragten zu bestellen.

Dabei ist weder der Beschluss, dass der beauftragte IT-Systembetreuer sich auch um den Datenschutz kümmert, noch die alleinige Benennung eines/r Praxismitarbeiters/in als Datenschutzbeauftragte/r eine erschöpfende Lösung. Ein Systembetreuer ist allein auf Grund der Ausführungen des BDSG, in denen diese Personalunion ausgeschlossen wird, unzureichend. Die sich rasant entwickelnden IT-Technologien und die Fortschreibung des juristischen Basiswissens sind nur in Ausnahmefällen von medizinischem Fachpersonal abdeckbar. Ganz zu schweigen vom zusätzlichen Zeitaufwand, der der Betreuung der Patienten fehlt. Ein hauptberuflicher medizinischer Datenschutzexperte klärt viele der anstehenden Themen in Bruchteilen der Zeit und benötigt keinen Zusatzaufwand an permanenter Fortbildung.

Gerne unterstützen wir Sie weiterführend mit unserer Expertise bei Ihrem Thema „Datenschutz in Arzt-Praxen“.

Kampf gegen Botnetze

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der deutschen Internetwirtschaft (ECO) stellten anlässlich des 8. Deutschen Anti-Spam Kongresses dieser Tage in Wiesbaden das Botnetz-Beratungszentrum vor, dessen Gründung beim 4. Nationalen IT-Gipfel 2009 beschlossen wurde.

Neben den beiden genannten Organisationen sind die Telekom-Provider 1&1, Kabel BW, Net Cologne, QSC, Telekom und Versatel an dem Projekt beteiligt.

Spezialisten schätzen, dass 95 % des weltweiten Spams, der größte Teil der DoS-Attacken (Denial-of-Services) und der per eMail verbreiteten Malware sich über Botnetze verbreiten. Es wird deshalb geraten, unbedingt eine Anti-Spam-Lösung einzusetzen, die Links in Emails oder Umleitungen von Websites erkennt und daraufhin prüft. Denn die wenigsten Anwender bemerken, wenn ihr System Teil eines Botnetzes geworden ist.

Über die Adresse Botfrei.de werden nun Informationen und Tools bereitgestellt, um befallene Rechner und Systeme zu befreien und vor Angriffen zu schützen.
In der Rubrik Informieren erfahren Sie, was Botnetze sind, welchen Schaden sie anrichten können und wie sie die Daten auf Ihrem Computer bedrohen können. In der Rubrik Säubern steht der DE-Cleaner zur Verfügung, mit dem Sie Ihren Rechner von Schadprogrammen befreien können. Unter Vorbeugen finden Sie viele hilfreiche Hinweise, wie Sie Ihren Computer nachhaltig vor neuen Infektionen schützen.

Wer zusätzliche Informationen benötigt, kann sich über die eingerichteten Hotlines an die beteiligten Provider wenden. Im ersten Schritt haben jedoch bislang nur 1&1 und Kabel BW die Telefonhotline in Betrieb genommen, die anderen Provider werden noch folgen.

IT-Sicherheitsunternehmen bieten zudem Tools an, die Rechner aus Botnetzen befreien. Noch sicherer ist es jedoch, die infizierte Hardware auszutauschen.

Mit der Arbeit des Beratungszentrums soll die Zahl der infizierten und in einem Botnetz eingebundenen Computer gesenkt werden und so den Cyberkriminellen die Grundlage entzogen werden. Wenngleich dieser Ansatz bislang nur in Deutschland existiert und damit einer weltweiten Verbreitung allein wohl kaum effektiv Paroli bieten kann, so kann nur eine breite Bekanntmachung und möglichst flächendeckende Information letztlich die Ausbreitung eindämmen.