BSI veröffentlicht Entscheidungshilfe für Manager

Das BSI hat die neue Broschüre „Überblick IT-Grundschutz“ vorgestellt, die hier heruntergeladen werden kann.

Die Broschüre richtet sich an Entscheider, die mit dem Thema Informationssicherheit in ihrem Unternehmen konfrontiert sind und zeigt auf, warum Informationssicherheit notwendig ist, wie sie organisiert werden kann und wie mit Hilfe des BSI IT-Grundschutzes eine Unterstützung bei Umsetzung der Informationssicherheit erfolgen kann.

Einträge in Robinson-Liste nur eingeschränkt für unternehmerisch Tätige möglich

Die Eintragung in die sogenannte Robinsonliste hatten wir als Möglichkeit dargestellt, sich gegen ungebetene Werbung schützen zu können. Durch den Eintrag soll im Idealfall eine „Isolation“ von Werbemaßnahmen möglich sein wie bei dem Held des Buches „Robinson Crusoe“. Allerdings ist zur Zeit ein derart vollständiger Schutz gegen Werbung noch nicht möglich. Die Befolgung der Liste ist freiwillig. Immerhin aber hat eine wachsende Anzahl von Unternehmen erkannt, dass es auch für sie von Interesse sein kann, sich an die Liste zu halten, etwa um kostenpflichtige Abmahnungen zu verhindern. Leider jedoch ist die Eintragung bislang nur folgenden Gruppen erlaubt: privaten Verbrauchern, Kleingewerbetreibenden, Freiberuflern und Selbständigen. Kleine und mittelständische Unternehmen fallen daher bereits nicht mehr unter die möglichen Nutzer.

Mögliche Gefahren bei der Weitergabe der Personalausweisnummer

Das Kopieren von Personalausweisen hatten wir bereits in unserem Infobrief als Datenschutzproblem dargestellt. Bereits die Kenntnis persönlicher Kerndaten kann von Datendieben missbraucht werden. Dazu gehört auch die Personalausweisnummer. Hier besteht die besondere Gefahr des so genannten Identitätsdiebstahls. Durch Kenntnis u.a. der Personalausweisnummer sind Fälschungen von Dokumenten und falsche Angaben gegenüber Behörden und Institutionen möglich, die ernsthafte persönliche und finanzielle Konsequenzen nach sich ziehen können.

So ist denkbar, dass Straftaten begangen und in diesem Zusammenhang die falsche Identität des Opfers des Datendiebstahls angenommen wird. Dies kann zur Folge haben, dass Einträge im Bundeszentralregister (dem zentralen Strafregister der Bundesrepublik Deutschland) zulasten des Opfers erfolgen und im schlimmsten Fall eine Verhaftung oder Strafe. Weiterhin ist möglich, dass ein Kreditkartenkonto auf den Namen des Opfers eröffnet und dann mit der fremden Identität eingekauft wird. Ggf. werden unter der falschen Identität sogar weitere offizielle Dokumente wie Führerschein oder Reisepass beantragt, die dann zusätzlich noch eine gesteigerte Glaubhaftigkeit für sich haben. Mittels eines gefälschten Führerscheins kann der Täter dann die Folgen von Straßenverkehrsdelikten – von Einträgen im Verkehrszentralregister bis hin zu Bußgeldern, Strafen und Haftbefehlen – auf das Opfer des Identitätsbetruges „abwälzen“.

Diesen Gefahren ist durch entsprechende Vorsicht bei der Weitergabe von Daten wie der Personalausweisnummer entgegenzuwirken. Kommt es zum Ernstfall, so sind unverzüglich Behörden und Kreditinstitute zu informieren und Einträge bei Kreditauskunfteien vornehmen zu lassen.

Wirtschaftsprüfer und Auftragsdatenverarbeitung § 11 BDSG

Häufig wird die Frage gestellt, ob auch ein Wirtschaftsprüfer eine Vertragsanlage zur Auftragsdatenverarbeitung hinsichtlich § 11 BDSG unterzeichnen muss.

Bei dieser Frage hat der Landesdatenschutzbeauftragte des Landes Sachsen-Anhalt die Meinung vertreten, dass eine Auftragsdatenverarbeitung nur dann vorläge, wenn die beauftragte Stelle den strikten Anweisungen des Auftraggebers im Hinblick auf ihren Auftrag unterliegen würde.
Regelmäßig sei dies bei einem Wirtschaftsprüfer nicht der Fall. Wirtschaftsprüfer entscheiden in der Regel selbst über die Art und Weise der Prüfung und sind nicht an Weisungen des Auftraggebers gebunden.

Daher sei ausgeschlossen, dass Wirtschaftsprüfung als Auftragsdatenverarbeitung anzusehen sei.

Wenn Wirtschaftsprüfer also (ihrer Aufgabe entsprechend) zur Erfüllung ihres Auftrages selbständige fachlich intellektuelle Leistungen  erbringen und nicht nur Daten in ihrem Rechner verarbeiten, gilt für die Datenweitergabe § 28 BDSG. Aus diesem Grunde ist § 11 BDSG hier nicht anzuwenden.

Handy-Nummern bei Facebook

Mitte Oktober 2012 trieb Facebook den Datenschützern einmal mehr die Schweißtropfen auf die Stirn. Um das eigene Konto zusätzlich zu sichern, konnten die Nutzer ihre Handynummer eingeben. Diese wurde von Facebook – und zwar ohne die Einverständniserklärung der Nutzer – zur Rückwärtssuche freigegeben. Das bedeutet, wer nach der Nummer suchte, erhielt Name, Geschlecht und Profilbild.

Wenige Tage später hat ein Unbekannter, der unter dem Namen Suriya Prakas auftrat, eine Liste mit mehr als 850 Namen und Telefonnummern veröffentlicht. Mit Hilfe von einem einfachen Script erzeugte er Zufallstelefonnummern und fragte über Facebook ab, ob es ein dazugehöriges Profil gäbe. Wenn das Script fündig wurde, speicherte es die dazugehörigen bei Facebook registrierten Namen und Nummern ab.

Bemerkenswerterweise wurde Suriya Prakas beim Abruf der massenhaften Datensätze (zehntausend Datensätze in einem Durchlauf) über die mobile Version von Facebook nicht blockiert. Erst als eine E-Mail mit einem Hinweis auf ein Sicherheitsproblem eintraf, wurde nach einigen Tagen der Massenzugriff gestoppt.

Facebook hat die Darstellung des Unbekannten nicht bestritten. Ein Sprecher bemerkte, dass eine Zugriffssperre bei zu vielen Datenabrufen greifen würde und dass man die Obergrenze nach den Enthüllungen reduziert hätte.