Archiv der Kategorie: BSI IT Grundschutz

Kriterien für die Nutzung von Cloud-Diensten

Beschluss des Rates der IT-Beauftragten der Ressorts vom 29. Juli 2015
Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung

1. Der IT-Rat hat mit Beschluss Nr. 2014/3 vom 12. Februar 2014 das BMI gebeten, einen Kriterienkatalog zum Einsatz von Cloud-Technologien in der Bundesverwaltung zu erarbeiten, der Mindestanforderungen statuiert in Bezug auf IT-Sicherheit, Datenschutz und zu Fragen von Interoperabilität und Standards, die Cloud-Dienste der IT-Wirtschaft erfüllen müssen, um durch die Bundesverwaltung in Anspruch genommen werden zu können.

2. Es ist zu beobachten, dass Softwarehersteller ihre Produkte zunehmend als Komplettdienstleistung – sogenannte Cloud-Dienste – anbieten, die auch den IT-Betrieb umfasst. Dort, wo Cloud-Angebote und Kauf-Software gemeinsam angeboten werden oder in Konkurrenz zueinander stehen, werden die Cloud-Angebote und der Fremdbetrieb gegenüber dem Kauf und dem Eigenbetrieb vom Cloud-Anbieter häufig als wirtschaftlich deutlich attraktiver dargestellt.

3. Die Bundesregierung hat es mit der Digitalen Agenda zu den Grundsätzen ihrer Digitalpolitik gemacht, die Autonomie und Handlungsfähigkeit der IT des Staates zu erhalten und insbesondere die technologische Souveränität für die IT des Staates zu stärken.

4. Der Einsatz von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung sollte daher erst nach sorgfältiger Abwägung von Risiken unter anderem für die IT-Sicherheit, der wirtschaftlichen und praktischen Folgen und der entsprechenden Mehrwerte erfolgen.

Vor diesem Hintergrund fasst der IT-Rat im Umlaufverfahren folgenden

Beschluss Nr. 2015/5

1. Cloud-Dienste im Sinne dieses Beschlusses sind Software-as-a-Service-, Platform-as-a-Service- und Infrastructure-as-a-Service-Dienstleistungen, die über Netzwerke und Anbieter der Wirtschaft außerhalb der öffentlichen Verwaltung des Bundes und der Länder erbracht werden.

2. Vor Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft ist zu prüfen, ob vergleichbare und anforderungsgerechte Leistungen durch die Bundesverwaltung selbst oder im Auftrag der Bundesverwaltung durch Dritte bereitgestellt werden. Dies schließt bundeseigene Inhouse-Gesellschaften mit ein. Sofern dies der Fall ist, ist die Nutzung dieser Leistungen zu bevorzugen.

3. Die Einrichtungen des Bundes werden ihre Planungen, Bedarfsbeschreibungen und Vergaben zur etwaigen Verwendung von Cloud-Diensten der IT-Wirtschaft nach folgenden Grundsätzen ausrichten:

a. Von den Einrichtungen des Bundes gehaltene schützenswerte Informationen (z. B. Betriebs- und Geschäftsgeheimnisse, sensible Daten über IT-Infrastrukturen des Bundes) müssen ausschließlich in Deutschland verarbeitet werden. Cloud-Anbieter müssen eine Vertraulichkeitsvereinbarung abschließen, nach der diese Daten nicht in den Bereich fremdstaatlicher Offenbarungspflichten und Zugriffsmöglichkeiten gelangen dürfen, die sich außerhalb der Bundesrepublik Deutschland gegen Cloud-Anbieter richten können.

b. Werden von einem Cloud-Anbieter Daten in Deutschland verarbeitet, die Privat- oder Dienstgeheimnisse gemäß §§ 203 und 353b StGB enthalten, ist darüber hinaus durch geeignete technische und organisatorische Regelungen sicherzustellen, dass diese Daten nicht unbefugt Dritten offenbart werden. Unbefugt ist eine Offenbarung insbesondere, wenn durch sie gegen gesetzliche Anforderungen des Datenschutzrechts sowie der §§ 203 und 353b StGB verstoßen wird. Die IT-Unterstützung für die Verarbeitung von Verschlusssachen (im Allgemeinen nur bis VS-NfD zulässig) unterliegt zudem den Regelungen der Verschlusssachenanweisung (VSA). Bei der Verarbeitung personenbezogener Daten sind §11 BDSG (Auftragsdatenverarbeitung) sowie die entsprechenden Nachweispflichten des Cloud-Anbieters zur Einhaltung des technischen und organisatorischen Datenschutzes zu beachten.

c. Soweit Cloud-Lösungen in Anspruch genommen werden, ist zur Vermeidung von „Lock-in-Effekten“ und wirtschaftlich ausnutzbaren Abhängigkeiten in möglichst hohem Maße Cloud-Lösungen auf Basis offener Standards der Vorzug zu geben, um die Möglichkeit eines Austauschs von Anbietern in wettbewerblicher Vergabe nicht zu erschweren oder zu verhindern. Insbesondere haben Planungen und die Ausrichtung eines Bedarfs auch zu berücksichtigen, dass besonders für den Fall von

  • Schlechtleistung, Unzuverlässigkeit oder Insolvenz eines Cloud-Anbieters,
  • Austausch von Subunternehmern, zu Gunsten solcher, die nicht die bei Vergabe geforderte Zuverlässigkeit und Vertrauenswürdigkeit haben,
  • Eingliederung des Cloud-Anbieters in ein anderes Unternehmen oder einen anderen Konzern oder sonstige Fälle des Wechsels des wirtschaftlichen Eigentums an ihm, wenn infolge dessen die geforderte Zuverlässigkeit und Vertrauenswürdigkeit nicht mehr besteht oder nicht mehr in der bei Vertragsschluss geforderten Weise belegt ist,
  • Kündigung des Vertragsverhältnisses aus wichtigem Grund oder regulärem Ende einer Vertragslaufzeit
    stets mehrere Anbieter am Markt zur Verfügung stehen, die die Aufgaben des ursprünglich beauftragten Anbieters übernehmen können.

d. Bei den Planungen zur Inanspruchnahme von Cloud-Diensten sind in Wirtschaftlichkeitsbetrachtungen auch angemessene Bewertungen mit Kostenschätzungen und Annahmen zu Risiken hinsichtlich der Wirtschaftlichkeit, Zuverlässigkeit und Sicherheit zu treffen. Hierzu zählen neben den Betriebskosten des Cloud-Dienstes insbesondere:

  • weitere Kosten auf Seiten des Cloud-Anwenders, hier vor allem
    o Schulung der Mitarbeiter und Administratoren,
    o Vorhalten von IT-Know-how zum Cloud-Dienst,
    o Verwalten und Überwachung des Cloud-Dienstes,
  • Migrationskosten zum Cloud-Dienst,
  • Aufwände für Migrationsszenarien, die ein gegebenenfalls notwendiger Anbieterwechsel gemäß Ziffer 3 c. erzeugen könnte oder die Kosten einer gegebenenfalls notwendigen Wiederaufnahme des Eigenbetriebs durch die Wiederbereitstellung von Personal und Sachmitteln („Insourcing“).

e. Vertragsverhältnisse zu Cloud-Diensten ohne angemessene Preissicherung werden nicht eingegangen.
f. Zur Absicherung der Verfügbarkeit als Teil der IT-Sicherheit erfolgt eine Beauftragung von Cloud-Diensten nur unter vertraglicher Vereinbarung von deutschem Recht und Gerichtsstand und ohne obligatorisch vorab zu betreibende Schlichtungsverfahren. Es ist zu gewährleisten, dass bei gegebenenfalls notwendigem Rechtsschutz beziehungsweise Eilrechtschutz keine Zeitverluste eintreten, zum Beispiel durch eine Einarbeitung in fremde Rechtsordnungen oder ein Auftreten vor entfernt gelegenen Gerichten, so dass die jeweilige Behörde handlungsfähig bleibt und ihre Forderungen effektiv durchsetzen kann. In Bezug auf den Betrieb der Cloud-Dienste werden zur Absicherung der Verfügbarkeit außerdem keine kurzfristigen einseitigen Kündigungsrechte oder Zurückbehaltungsrechte an den Leistungen zu Lasten des Auftraggebers akzeptiert.

g. Soweit im Zusammenhang mit der Nutzung von Cloud-Diensten Software zu erwerben ist (zum Beispiel auch zum Fremdbetrieb), ist einem Erwerb dauerhafter Nutzungsrechte (Kauf) grundsätzlich der Vorzug zu geben gegenüber zeitlich befristeten Nutzungsrechten (Miete) oder solchen Nutzungsrechten, zu denen sich der Anbieter kurzfristig einseitig ausübbare Kündigungs- oder Widerrufsmöglichkeiten vorbehält.

h. Vor jeder Beschaffung sind eine Risikoanalyse zur Nutzung des beabsichtigen Cloud-Dienstes anzufertigen, in denen die unter Ziffer 3 c. und 3 d. genannten Gesichtspunkte berücksichtigt werden, daraus angemessene Maßnahmen abzuleiten und diese Maßnahmen als Anforderung in der Bedarfsbeschreibung als Grundlage der dem Vertrag zu Grunde liegenden Leistungsbeschreibung zu formulieren. Die Risikoanalyse muss die aktuellen Sicherheitsempfehlungen des BSI berücksichtigen. Die Risikoanalyse und die darin getroffenen Entscheidungen werden nachvollziehbar dokumentiert. Vor einer Beauftragung sollte jeder Bieter darlegen, welche Sicherheitsmaßnahmen getroffen werden, um die jeweiligen Sicherheitsanforderungen umzusetzen. Eine Beauftragung kann nur erfolgen, wenn die Umsetzung dieser Sicherheitsanforderungen sowie angemessene Kontrollmöglichkeiten vertraglich zugesichert werden.

i. Der Cloud-Anbieter hat eine ausreichende Informationssicherheit nachzuweisen. Dies kann durch ein Zertifikat „ISO 27001 auf der Basis von IT-Grundschutz“ oder durch zukünftige, gleichwertige BSI-Verfahren geschehen. Die Anerkennung anderer Zertifizierungen bzw. Sicherheitsnachweise ist im Einzelfall zu prüfen. In Betracht kommen jedoch nur Nachweise der Informationssicherheit, die von einer vertrauenswürdigen und unabhängigen Stelle ausgestellt werden und deren Prüfanforderungen sowie das Evaluationsschema zur Begutachtung offen liegen.
Die Verpflichtung zur Erfüllung von Sicherheitsvorgaben muss vom Cloud-Anbieter auch an etwaige Subunternehmer weitergegeben und von diesen vertraglich übernommen und erfüllt werden. Der Cloud-Anbieter muss (gegebenenfalls unter einer Vertraulichkeitsvereinbarung) dem Auftraggeber Einblick in die zum Erlangen des Zertifikats erstellten Audit-Reports gewähren.
Für einen hohen Schutzbedarf richten sich die Maßnahmen der Informationssicherheit nach einer eingehenden Risikoanalyse, wie sie gemäß ISO 27001 auf der Basis von IT-Grundschutz gefordert wird sowie nach den gemäß der Einschätzung des Bedarfsträgers zusätzlich erforderlichen Maßnahmen. Insbesondere kann die Beschaffungsstelle auf Grundlage der Risikoanalyse gemäß Ziffer 3h), auch auf Veranlassung des Bedarfsträgers, im Einzelfall den Nachweis strengerer Anforderungen verlangen.

j. Cloud-Anbieter müssen ein Notfall-Management nachweisen, vorzugsweise basierend auf dem BSI-Standard 100-4 oder der Norm ISO 22301.
Abweichungen von diesen Grundsätzen müssen sich auf besonders begründete Ausnahmen beschränken.
4. Die Grundsätze in Ziffer 3 dieses Beschlusses gelten für die IT-Unterstützung und Aufgabenerfüllung im Inland. Aufgrund der besonderen Anforderungen sind für die Informationstechnik des Auswärtigen Amts, des Bundesministeriums für Verteidigung sowie des Bundesnachrichtendienstes und anderer, im Auftrag der Bundesregierung im Ausland tätigen Behörden Abweichungen möglich.

5. Komponenten, die bereits in Maßnahmen des Programms „Gemeinsame IT des Bundes“ entwickelt werden und anforderungsgerecht sind, werden von den Einrichtungen des Bundes nicht unabhängig davon als Cloud-Lösungen entwickelt oder erstbeschafft. Für die Fortführung alternativer Cloud-Lösungen dürfen Mittel nur veranschlagt werden, soweit dies wirtschaftlich ist.
6. Weitergehende gesetzliche Regelungen, zum Beispiel zum Umgang mit personenbezogenen Daten, oder spezielle Regelungen zum Geheimschutz (zum Beispiel VSA) bleiben von diesem Beschluss unberührt.

7. Der Beschluss wird veröffentlicht.

Advertisements

Welche Arztpraxis verschreibt wem welche Medikamente?

Sie stimmen sicher mit uns überein, dass solche Informationen für die Pharma-Industrie von unschätzbarem Wert sind.

Vor wenigen Tagen wurde bekannt, dass mehrere Rechenzentren, die Rezept-Daten der Apotheken verarbeiten, sich mit dem illegalen Verkauf von Millionen von Patientendaten einen Nebenerwerb geschaffen haben.

Es wäre legal, wenn Daten aus der Verarbeitung von Rezeptinhalten anonymisiert zur Marktforschung genutzt und damit auch verkauft worden wären. Das erschreckende an dem Vorfall ist jedoch, wie gering das Wissen der Verantwortlichen in Bezug auf den Schutz der besonderen persönlichen Gesundheitsdaten nach dem Bundesdatenschutzgesetz ist. Oder kann man davon ausgehen, dass hier bewusst gegen geltendes Recht verstoßen wurde?

Thilo Weichert vom Unabhängigen Datenschutzzentrum Schleswig Holstein in Kiel hält die ihm von einem ehemaligen Mitarbeiter eines der Apotheken-Rechenzentren zugespielten Daten für valide. Es könne sich dahinter einer der größten Datenskandale des Gesundheitswesens in der Bundesrepublik verbergen.

Daten sind das Kapital der Zukunft; persönliche Daten von unschätzbarem Wert; Gesundheitsdaten der Zugang zu den sensibelsten Bereichen eines jeden.

Die späteren Folgen jedes leichtfertigen Umgangs mit den eigenen Daten, sei es als Kunde im Internet, über Payback-Karten, Speicherchips auf Personalausweis oder Gesundheitskarte oder einfach als Nutzer von Social Media Netzwerken, sind bei Weitem nicht absehbar. Fragen Sie Ihren Arzt oder Apotheker wie er/sie sich für den Schutz Ihrer sensiblen Daten einsetzt.

Datenvieh oder Daten-Fee: Welchen Wert haben Trackingdaten

Vom 27. bis 30.12.2011 fand in Berlin die 28. Konferenz des Chaos Computer Clubs („Datenvieh oder Daten-Fee: Welchen Wert haben Trackingdaten?“) statt. Mit seinem Beitrag zum Thema Tracking von Usern, Umgang mit Cookies und dem Wertgehalt von Trackingdaten erregte Rene Meissner viel Aufmerksamkeit.

Hier ist das komplette Video oder kürzer in Form eines Interviews mit dem Deutschland Radio.

Der Vortrag befasst sich mit den Themen:

Wie funktioniert Targeting bzw. Retargeting?

Wer verdient an Targeting?

Welche Daten sind denn überhaupt wertvoll?

Was hat ein angebotener Newsletter mit der Generierung von Daten zu tun?

Welcher Wert steht hinter solchen Aktivitäten?

Wie funktionieren: Cookie Weiche, App-Tracking und Network Operator?

Reicht das Löschen der Cookies um sich dagegen zu schützen?

Welche Tools gibt es gegen das Tracking?

Wie sehen gesetzliche Maßnahmen gegen die Datensammelwut aus?

EU-Verfahren zur Vorratsdatenspeicherung

22.11.2011 Das von Bundesregierung und EU bisher unter Verschluss gehaltene zweite Mahnschreiben der EU-Kommission zur Vorratsdatenspeicherung vom 27.10.2011 ist heute vom AK Vorrat veröffentlicht worden.[1] EU-Innenkommissarin Malmström fordert die Bundesregierung darin auf, bis Jahresende eine sechsmonatige Vorratsspeicherung von Verbindungs- und Standortdaten aller Nutzer von Telefonfestnetz, Mobilfunk, Internet-Telefonie und E-Mail wieder einzuführen. Geschieht dies nicht, kann die EU-Kommission Klage vor dem Europäischen Gerichtshof erheben. Dieser kann dann eine Strafzahlung verhängen.

Dem Schreiben zufolge hat die Bundesregierung der EU mitgeteilt, sie würde „derzeit neue Maßnahmen ausarbeiten, um der Richtlinie 2006/24/EG nachzukommen“. Demgegenüber hat die Bundesregierung der EU nicht mitgeteilt, dass eine Beibehaltung des geltenden Verbots einer Vorratsdatenspeicherung beabsichtigt sei. Eine solche Meldung wäre nach dem EU-Vertrag jedoch Voraussetzung dafür, von der 2006 beschlossenen Richtlinie zur mindestens sechsmonatigen verdachtslosen Vorratsdatenspeicherung abweichen zu können.

64.704 Bürgerinnen und Bürgern haben im Oktober von der Bundesregierung in einer Petition gefordert, eine „Abweichung Deutschlands von der EU-Richtlinie 2006/24 zur Vorratsdatenspeicherung genehmigen zu lassen (Art. 114 Abs. 4 AEUV) und nötigenfalls die Genehmigung einzuklagen.“[2] Auch der Arbeitskreis Vorratsdatenspeicherung erwartet von der Bundesregierung, dass sie sich endlich auf eine Nichtumsetzung einigt und eine entsprechende Genehmigung der EU-Kommission beantragt.

„Insbesondere CDU und CSU müssen einsehen, dass es in der Koalition, in der Bevölkerung und selbst unter ihren eigenen Wählern[3] keine Mehrheit für eine verdachtslose Speicherung aller unserer Verbindungen ins Blaue hinein gibt“, fordert Michael Ebeling vom Arbeitskreis Vorratsdatenspeicherung. „Stattdessen versucht man die Vorratsdatenspeicherung mit Hilfe jedes inhaltlich noch so fadenscheinigen Arguments gegen vielfach geäußerte Sachkenntnis durchdrücken zu wollen. Das war auch bei der Einführung der Vorratsdatenspeicherung Ende 2007 schon so und endete in der Nichtigerklärung durch das Bundesverfassungsgericht…“

Die Bundesjustizministerin hat im Sommer eine verdachtslose Vorratsspeicherung aller Internetverbindungen und eine anlassbezogene Speicherung sonstiger Daten vorgeschlagen,[4] während der Bundesinnenminister eine anlasslose Erfassung auch sämtlicher Telefonate und E-Mails einschließlich Positionsdaten fordert. Die Verhandlungen der Minister dauern an. Dem Europäischen Gerichtshof liegen gegenwärtig 20 Vertragsverletzungsklagen gegen Deutschland vor.[5]

Quelle: Arbeitskreis Vorratsdatenspeicherung, Lizenz: CC BY 2.0

Das Schreiben der EU-Kommission vom 27. Oktober 2011 im Wortlaut:

Europäische Kommission
Brüssel, den 27.10.2011
Vertragsverletzung Nr. 2011/2091
K(2011) 7509 endg.

Mit Gründen versehene Stellungnahme

gemäß Artikel 258 des Vertrags über die Arbeitsweise der Europäischen Union

gerichtet an die Bundesrepublik Deutschland

wegen fehlender Umsetzung oder Aufrechterhaltung von Maßnahmen, die notwendig sind, um die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [L 105/54, 13.4.2006] nachzukommen.

1. Artikel 15 Absatz 1 der Richtlinie 2006/24/EG sieht vor, dass die Mitgliedsstaaten die Rechts- und Verwaltungsvorschriften in Kraft setzen, die erforderlich sind, um dieser Richtlinie bis spätestens 15. September 2007 nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis.

2. Artikel 15 Absatz 3 der Richtlinie 2006/24/EG sieht vor, dass jeder Mitgliedsstaat bis 15. März 2009 die Anwendung dieser Richtlinie auf die Speicherung von Kommunikationsdaten betreffend Internetzugang, Internet-Telefonie und Internet-E-Mail aufschieben kann. Die Bundesrepublik Deutschland machte von dieser Möglichkeit Gebrauch.

3. Da die Bundesrepublik Deutschland die Kommission innerhalb der genannten Frist nicht über nationale Umsetzungsmaßnahmen unterrichtet hatte, leitete die Kommission am 27. November 2007 durch Übermittlung eines Aufforderungsschreibens (Aktenzeichen SG(2007)D207204) ein Verfahren nach Artikel 258 des Vertrags über die Arbeitsweise der Europäischen Union (vormals Artikel 226 EGV) gegen die Bundesrepublik Deutschland ein. Die Bundesrepublik Deutschland antwortete auf das Aufforderungsschreiben am 18. Januar 2008 durch Übermittlung des Gesetzes zur Neuregelung der Telekommunikationsüberwachung vom 21. Dezember 2007 (SG(2008)A/00731), durch das den Angaben der Bundesrepublik Deutschland zufolge die Richtlinie 2006/24/EG vollständig umgesetzt worden ist.

4. Nach Prüfung des gemeldeten Gesetzes stellte die Kommission das Verfahren im September 2008 ein.

5. Am 2. März 2010 entschied das Bundesverfassungsgericht, dass die Regelungen des Telekommunikationsgesetzes und der Strafprozessordnung über die Vorratsdatenspeicherung mit dem deutschen Grundgesetz nicht vereinbar sind.

6. Mit Schreiben vom 23. Juni 2010 bestätigte die Bundesrepublik Deutschland, dass das Bundesverfassungsgericht die nationale Umsetzung der Richtlinie 2006/24/EG verworfen hatte, indem die §§ 113a und 113b des Telekommunikationsgesetzes sowie § 100g Absatz 1 Satz 1 der Strafprozessordnung, soweit danach Verkehrsdaten nach § 113a des Telekommunikationsgesetzes erhoben werden durften, für nichtig erklärt wurden.

7. Da die Bundesrepublik Deutschland die Kommission nicht davon in Kenntnis gesetzt hatte, dass sie nach dem Urteil des Bundesverfassungsgerichts neue Bestimmungen erlassen hatte, um der Richtlinie 2006/24/EG nachzukommen und der Kommission keine anderen Informationen vorlagen, die sie zur Annahme berechtigten, dass die Bundesrepublik Deutschland die notwendigen Bestimmungen erlassen hatte, musste sie davon ausgehen, dass die Bundesrepublik Deutschland solche neuen Bestimmungen noch nicht erlassen hatte.

8. Aus diesem Grunde hat die Kommission die Bundesrepublik Deutschland mit Schreiben Nr. K(2011)4112 (Ref. SG-Greffe(2011)D/9667) vom 17. Juni 2011 nach dem Verfahren des Artikels 258 des Vertrags über die Arbeitsweise der Europäischen Union Gelegenheit gegeben, sich binnen zwei Monaten hierzu zu äußern.

9. Mit Schreiben vom 15. August 2011 äußerte die Bundesrepublik Deutschland die Auffassung, dass in Deutschland durch geltende Rechtsvorschriften eine Teilumsetzung der Richtlinie 2006/24/EG besteht. Nach Auffassung der Bundesrepublik Deutschland sind Teile der Verpflichtungen der Artikel 1, 2, 4, 5, 6, 7, 9 der Richtlinie 2006/24/EG, die insbesondere die Speicherung von Namen und Anschrift der Teilnehmer oder registrierten Benutzer, die Weitergabe dieser Daten für Zwecke der Strafverfolgung, die Gewährleistung von Datenschutz und Datensicherheit und die Einrichtung einer Kontrollstelle betreffen, auch nach der Entscheidung des Bundesverfassungsgerichts in Deutschland durch geltende Rechtsvorschriften umgesetzt (S. 5).

10. Artikel 1 Absatz 1 der Richtlinie 2006/24/EG sieht vor, dass mit der Richtlinie die Vorschriften der Mitgliedsstaaten über die Pflichten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes im Zusammenhang mit der Vorratsspeicherung bestimmter Daten, die von ihnen erzeugt oder verarbeitet werden, harmonisiert werden sollen.

11. Artikel 3 Absatz 1 der Richtlinie 2006/24/EG sieht vor, dass die Mitgliedsstaaten durch entsprechende Maßnahmen dafür Sorge tragen, dass die in Artikel 5 der Richtlinie genannten Daten, soweit sie im Rahmen ihrer Zuständigkeit im Zuge der Bereitstellung der betreffenden Kommunikationsdienste oder Betreiber eines öffentlichen Kommunikationsnetzes erzeugt oder verarbeitet werden, gemäß den Bestimmungen der Richtlinie auf Vorrat gespeichert werden.

12. Es ist unbestritten, dass die Verpflichtungen der Richtlinie 2006/24/EG nicht vollständig erfüllt werden durch die von der Bundesrepublik Deutschland im Schreiben vom 15. August 2011 angeführte Teilumsetzung der Verpflichtungen der Artikel 1, 2, 4, 5, 6, 7, 9 der Richtlinie in Deutschland. Die Bundesrepublik Deutschland bestätigte in diesem Schreiben, dass das Bundesverfassungsgericht insbesondere die Umsetzung der Speicherpflicht für Verkehrsdaten gemäß Artikel 5 der Richtlinie 2006/24/EG für nichtig erklärt hat. Die von der Bundesrepublik Deutschland im Schreiben vom 15. August 2011 aufgeführte Teilumsetzung der Richtlinie in Deutschland durch geltende Rechtsvorschriften umfasst nicht alle Kategorien von auf Vorrat zu speichernden Daten, die Artikel 5 der Richtlinie vorsieht.

13. Hinsichtlich der Kategorien von auf Vorrat zu speichernden Daten, die in Artikel 5 der Richtlinie 2006/24/EG aufgeführt werden, bezieht sich die von der Bundesrepublik Deutschland im Schreiben vom 15. August 2011 angeführte Teilumsetzung der Richtlinie in Deutschland durch geltende Rechtsvorschriften auf folgende Bestimmungen: Artikel 5 Absatz 1 Buchstabe a Nummer 1 Ziffer ii über die Speicherung des Namens und der Anschrift des Teilnehmers oder registrierten Benutzers betreffend Telefonfestnetz und Mobifunk; Artikel 5 Absatz 1 Buchstabe a Nummer 2 Ziffer iii über die Speicherung des Namens und der Anschrift des Teilnehmers bzw. registrierten Benutzers, dem eine Internetprotokoll-Adresse (IP-Adresse), Benutzerkennung oder Rufnummer zum Zeitpunkt der Nachricht zugewiesen war; Artikel 5 Absatz 1 Buchstabe b Nummer 1 Ziffer ii über die Speicherung des Namens und der Anschrift des Teilnehmers oder registrierten Benutzers betreffend Telefonfestnetz und Mobifunk; Artikel 5 Absatz 1 Buchstabe b Nummer 2 Ziffer ii über die Speicherung des Namens und der Anschrift der Teilnehmer oder registrierten Benutzer und der Benutzerkennung des vorgesehenen Empfängers einer Nachricht.

14. Hinsichtlich der Kategorien von auf Vorrat zu speichernden Daten, die in Artikel 5 der Richtlinie 2006/24/EG aufgeführt werden, umfasst die von der Bundesrepublik Deutschland im Schreiben vom 15. August 2011 angeführte Teilumsetzung der Richtlinie in Deutschland durch geltende Rechtsvorschriften nicht die folgenden Bestimmungen: die Verpflichtung zur Speicherung der Rufnummer des anrufenden Anschlusses betreffend Telefonfestnetz und Mobilfunk gemäß Artikel 5 Absatz 1 Buchstabe a Nummer 1 Ziffer i; die Verpflichtung zur Speicherung der zugewiesenen Benutzerkennung(en) gemäß Artikel 5 Absatz 1 Buchstabe a Nummer 2 Ziffer i; die Verpflichtung zur Speicherung der Benutzerkennung und der Rufnummer, die jeder Nachricht im öffentlichen Telefonnetz zugewiesen werden, gemäß Artikel 5 Absatz 1 Buchstabe a Nummer 2 Ziffer ii; die Verpflichtung zur Speicherung der ausgewählten Rufnummer(n) (der Rufnummer(n) des angerufenen Anschlusses) und der Nummer(n), an die der Anruf bei Zusatzdiensten wie Rufweiterleitung oder Rufumleitung geleitet wird, gemäß Artikel 5 Absatz 1 Buchstabe b Nummer 1 Ziffer i; die Verpflichtung zur Speicherung der Benutzerkennung oder Rufnummer des vorgesehenen Empfängers eines Anrufs mittels Internet-Telefonie gemäß Artikel 5 Absatz 1 Buchstabe b Nummer 2 Ziffer i; die Verpflichtung zur Speicherung der zur Bestimmung von Datum, Uhrzeit und Dauer einer Nachrichtenübermittlung benötigten Daten gemäß Artikel 5 Absatz 2 Buchstabe c; die Verpflichtung zur Speicherung der zur Bestimmung der Art einer Nachrichtenübermittlung benötigten Daten gemäß Artikel 5 Absatz 1 Buchstabe d; die Verpflichtung zur Speicherung der zur Bestimmung der Endeinrichtung oder der vorgeblichen Endeinrichtung von Benutzern benötigten Daten gemäß Artikel 5 Absatz 1 Buchstabe e; die Verpflichtung zur Speicherung der zur Bestimmung des Standorts mobiler Geräte bemötigten Daten gemäß Artikel 5 Absatz 1 Buchstabe f.

15. Die Kommission ist daher der Auffassung, dass die von der Bundesrepublik Deutschland im Schreiben vom 15. August 2011 angeführte Teilumsetzung der Richtlinie in Deutschland durch geltende Rechtsvorschriften einer vollständigen Umsetzung der Artikel 3 und 5 der Richtlinie nicht gleichkommt. Zudem erfüllt solch eine Teilumsetzung nicht die Ziele der Richtlinie, die Artikel 1 vorsieht.

16. Die Kommission ist daher der Auffassung, dass Deutschland seinen Verpflichtungen aus Artikel 15 der Richtlinie 2006/24/EG und aus Artikel 4 Absatz 3 des Vertrags über die Europäische Union nicht nachkommt.

17. Aus den von der Bundesrepublik Deutschland mit Schreiben vom 15. August 2011 übermittelten Bemerkungen geht hervor, dass die Behörden der Bundesrepublik Deutschland derzeit neue Maßnahmen ausarbeiten, um der Richtlinie 2006/24/EG nachzukommen. Der Kommission wurde kein Textentwurf dieser Maßnahmen und kein Zeitplan zur Umsetzung dieser Maßnahmen mitgeteilt.

Da der Kommission keine diesbezüglichen Mitteilungen vorliegen, geht sie davon aus, dass diese Maßnahmen noch nicht erlassen wurden.

18. Die Kommission ist der Ansicht, dass es Aufgabe der Behörden der Bundesrepublik Deutschland ist, die notwendigen Verfahren durchzuführen, um der Richtlinie 2006/24/EG nachzukommen, und die Kommission hiervon in Kenntnis zu setzen.

19. Die Kommission stellt daher fest, dass die Bundesrepublik Deutschland immer noch nicht die neuen Maßnahmen ergriffen hat, die notwendig sind, um der Richtlinie 2006/24/EG nachzukommen, und der Kommission auf jeden Fall keine solchen Maßnahmen mitgeteilt hat.

Aus diesen Gründen gibt die Europäische Kommission

nachdem sie der Bundesrepublik Deutschland mit Aufforderungsschreiben vom 17. Juni 2011 (Ref. SG-Greffe(2011)D/9667) Gelegenheit zur Äußerung gegeben hat und in Anbetracht der Antwort der Regierung der Bundesrepublik Deutschland vom 15. August 2011

gemäß Artikel 258 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union

folgende mit Gründen versehene Stellungnahme ab:

Die Bundesrepublik Deutschland hat ihre Verpflichtungen aus Artikel 15 der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [L 105/54, 13.4.2006] und aus Artikel 4 Absatz 3 des Vertrags über die Europäische Union verletzt, indem sie nicht die Rechts- und Verwaltungsvorschriften, die notwendig sind, um dieser Richtlinie nachzukommen, erlassen, mitgeteilt oder aufrechterhalten hat.

Die Kommission fordert die Bundesrepublik Deutschland gemäß Artikel 258 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union auf, die notwendigen Maßnahmen zu treffen, um dieser mit Gründen versehenen Stellungnahme binnen zwei Monaten nach Eingang dieses Schreibens nachzukommen.

Brüssel, den 27.10.2011

Für die Kommission
Cecilia Malmström
Mitglied der Kommission

Quelle: Arbeitskreis Vorratsdatenspeicherung, Lizenz: CC BY 2.0

Datenschutz und Datensicherheit im Medizinbereich – immer neue Schreckensmeldungen

Sicher, es ist so einfach: im Schadensfall haften die Verantwortlichen d. h. die Führungskräfte und damit sind die Mitarbeiter außen vor und müssen sich eigentlich keine Gedanken machen zum eigenen Umgang mit Daten und IT-Sicherheit. Dabei wäre es ein Leichtes mit kleinen Maßnahmen die Sicherheit und Gesetzeskonformität herzustellen und die Sensibilität zu schaffen.

Die Notwendigkeit zum Schutz der IT-Systeme und damit der mit diesen Systemen genutzten und verarbeiteten Daten steigt stringent, denn dabei geht es zunehmend um die Absicherung der Existenz. Gerade erst sind die Daten einer österreichischen Krankenkasse der Gruppe „Anonymus“ in die Hände gefallen. Und es ist noch nicht so lange her, dass in Norddeutschland Patientendaten eines Pflegedienstes im Altpapier gefunden wurden.

Die meisten werden denken: das kann uns nicht passieren. Wir haben diese oder jene interne Regelung und einen verlässlichen Provider für die IT. Die genannten Einrichtungen dachten dies auch. Haben Sie Zeit sich mit den Sicherheitslöchern in Ihrem Haus zu befassen? Sie werden sagen, dass Sie das nicht müssen, da Ihr IT-Provider sich darum kümmert und Ihnen diese Leistung zusagt. Wie ist das mit dem Bock und dem Gärtner? Die gesetzlichen Regelungen haben diese Lücke erkannt und deshalb eine Personalunion von IT-Administration und Datenschutz- und Datensicherheitsfunktionen strikt ausgeschlossen. Erst die Überprüfungen und Tests eines unabhängigen Spezialisten gewährleisten zielgerichtet die tatsächliche Wirkung des Datenschutzes und sind ein Garant für ein vorhandenes, berechtigtes Sicherheitsbewusstsein.

Neben der Auditierung des Datenschutzes in Ihrem Unternehmen betrachten wir, zur Vervollständigung ihrer Absicherung, die Eignung und die Sicherheit Ihrer IT-Systeme in Ihren geschäftskritischen Bereichen und weisen auf mögliche Schwachstellen hin. Bei größeren Systemen und erhöhten Anforderungen führen wir vollständige Sicherheitsaudits durch, die über einen strukturierten Ablauf ihnen ein detailliertes Bild der aktuellen Situation letztendlich in Form eines ausführlichen Berichts liefert und praxisbezogene, revisionssichere Handlungsempfehlungen enthält. Dabei stützen wir uns auf die Vorgaben der DIN EN ISO 27001 ff und den strukturierten IT-Grundschutz-Katalogen des Bundesamtes für Informationssicherheit (BSI).

Kampf gegen Botnetze

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verband der deutschen Internetwirtschaft (ECO) stellten anlässlich des 8. Deutschen Anti-Spam Kongresses dieser Tage in Wiesbaden das Botnetz-Beratungszentrum vor, dessen Gründung beim 4. Nationalen IT-Gipfel 2009 beschlossen wurde.

Neben den beiden genannten Organisationen sind die Telekom-Provider 1&1, Kabel BW, Net Cologne, QSC, Telekom und Versatel an dem Projekt beteiligt.

Spezialisten schätzen, dass 95 % des weltweiten Spams, der größte Teil der DoS-Attacken (Denial-of-Services) und der per eMail verbreiteten Malware sich über Botnetze verbreiten. Es wird deshalb geraten, unbedingt eine Anti-Spam-Lösung einzusetzen, die Links in Emails oder Umleitungen von Websites erkennt und daraufhin prüft. Denn die wenigsten Anwender bemerken, wenn ihr System Teil eines Botnetzes geworden ist.

Über die Adresse Botfrei.de werden nun Informationen und Tools bereitgestellt, um befallene Rechner und Systeme zu befreien und vor Angriffen zu schützen.
In der Rubrik Informieren erfahren Sie, was Botnetze sind, welchen Schaden sie anrichten können und wie sie die Daten auf Ihrem Computer bedrohen können. In der Rubrik Säubern steht der DE-Cleaner zur Verfügung, mit dem Sie Ihren Rechner von Schadprogrammen befreien können. Unter Vorbeugen finden Sie viele hilfreiche Hinweise, wie Sie Ihren Computer nachhaltig vor neuen Infektionen schützen.

Wer zusätzliche Informationen benötigt, kann sich über die eingerichteten Hotlines an die beteiligten Provider wenden. Im ersten Schritt haben jedoch bislang nur 1&1 und Kabel BW die Telefonhotline in Betrieb genommen, die anderen Provider werden noch folgen.

IT-Sicherheitsunternehmen bieten zudem Tools an, die Rechner aus Botnetzen befreien. Noch sicherer ist es jedoch, die infizierte Hardware auszutauschen.

Mit der Arbeit des Beratungszentrums soll die Zahl der infizierten und in einem Botnetz eingebundenen Computer gesenkt werden und so den Cyberkriminellen die Grundlage entzogen werden. Wenngleich dieser Ansatz bislang nur in Deutschland existiert und damit einer weltweiten Verbreitung allein wohl kaum effektiv Paroli bieten kann, so kann nur eine breite Bekanntmachung und möglichst flächendeckende Information letztlich die Ausbreitung eindämmen.

Gefangen im Internet

„Wer dem Internet zu sehr vertraut, ist schnell darin gefangen“.

(Zitat von Thomas Floss vom BvD, Bundesverband der Datenschutzbeauftragten e. V.)

Durch den BvD wurde Ende 2008 das Projekt Datenschutz geht zur Schule in Westfalen initiiert und mittlerweile im Rahmen einer ständigen Arbeitsgruppe bundesweit fortgeführt.

Erfahrene, professionelle Datenschützer besuchen vorwiegend weiterführende Schulen und erläutern anhand konkreter Beispiele aus ihrem Arbeitsalltag den sicheren Umgang mit dem Internet und den für Viele die neuen Medien Email, Social Networking, Online Communities und Messaging und warnen vor den Gefahren eines zu leichfertigen Umgangs damit.

So wird zum Beispiel plastisch anhand eines authentischen Vorfalls gezeigt, wie ein Hacker über den gehackten Messenger-Zugangs eines Mitschülers dessen Kontaktdaten ausspioniert hatte und an die Mädchen in diesen Adressdaten einen als Bildschirmschoner getarnten Trojaner schickte mit dem er dann Daten (Bilder) von den Rechnern der Mädchen herunterladen konnte und sogar über deren WebCam in ihre Zimmer sehen konnte.

Als die Polizei bei dem Täter eintraf, liefen simultan 150 Videos auf seinem Computer mit Blicken in fremde Kinderzimmer.

Die attackierten Kinder begingen, um diesen Zugang zu ermöglichen, eine Reihe von Fehlern, die auf fehlendes Wissen und Risikobewusstsein hindeuten. Durch eine strukturierte Aufklärung wären solche kriminellen Vorkommnisse deutlich reduzierbar gewesen.

Dieses Beispiel zeigt die Notwendigkeit eines bewussten Umgangs mit dem Internet und elektronischen Medien. Die Nutzungsmöglichkeiten und die Verbreitung stehen jedoch allesamt erst am Anfang ihrer Entwicklung. Die Crux dabei ist, dass das Netz schon heute nichts vergisst, absolut nichts; auch nichts vordergründig wieder Gelöschtes.

Anwender, Eltern, Kinder oder besser jede/r NutzerIn eines Computers, internet-fähigen Handys oder ähnlicher Geräte kommt nicht umhin, sich nicht nur mit neuen, faszinierenden Funktionen zu beschäftigen, sondern verstärkt auch mit dem eigenen Schutz vor deren immer neuen Gefahren.

Wie die technische Entwicklung – stolz präsentiert auf der diesjährigen IFA in Berlin – zeigt, werden die Anforderungen zudem nicht bei den Telekommunikationsmedien stehen bleiben, sondern in weitere Bereiche unseres Alltags vordringen. Beliebt waren TV-Geräte mit Internetanschluss. Aber auch Haushalts- bzw. Küchengeräte oder die Autoelektronik werden den gleichen, sorgsamen Umgang mit der Preisgabe der eigenen Daten und Medien erfordern.

%d Bloggern gefällt das: