NIS2: Modifizierung der Cybersecurity für Europas digitale Infrastruktur

Die Wichtigkeit der Cybersecurity nimmt mit zunehmender globaler Vernetzung immer mehr an Bedeutung zu und stellt eine Herausforderung für Unternehmen, Regierungen und auch Bürger dar. Statistiken zeigen, dass rund 46 % der befragten Unternehmen in Deutschland mindestens einmal Opfer einer Cyber-Attacke geworden sind.

Die am 16. Januar 2023 in Kraft getretene NIS2 EU-Richtlinie – eine Modifizierung der in 2016 eingeführten EU-Vorschriften zur Cybersicherheit – erweitert den bestehenden Rechtsrahmen, um zum einen mehr Sektoren abzudecken und zum anderen den Schutz der kritischen Infrastruktur aufrechtzuerhalten. Mit diesem breitgefächerten Geltungsbereich soll nun das Cybersicherheitsniveau in Europa langfristig erhöht werden.

Wer ist betroffen?

Betroffen sind Unternehmen und Organisationen, die als Operatoren von Kritischen Infrastrukturen (KRITIS) eingestuft werden. In der Richtlinie werden zwei Kategorien genannt – und zwar die Betreiber wesentlicher Dienste (Operators of Essential Services OES) und die Anbieter digitaler Dienste (Digital Service Providers DSP).

Die Betreiber wesentlicher Dienste umfassen Unternehmen, die als wesentlich für das Funktionieren von Wirtschaft und Gesellschaft angesehen werden, wie Unternehmen der Energieversorgung, Gesundheitswesen, Trinkwasser- und Abwasserversorgung. Die Größe des Unternehmens ist in diesem Fall unbeachtlich.

Die Anbieter digitaler Dienste sind Unternehmen, die Online-Dienste anbieten, z.B. Cloud Computing-Anbieter und Suchmaschinen. Hierbei allerdings haben die Unternehmen die Vorgaben der Richtlinie nur dann zu erfüllen, wenn sie eine bestimmte Größe überschreiten. Während mittlere Unternehmen mit mehr als 50 MitarbeiterInnen und einem Jahresumsatz von mindestens 10 Mio. EUR den Vorgaben gerecht werden müssen, sind große Unternehmen mit mehr als 250 MitarbeiterInnen und einem Jahresumsatz von mindestens 50 Mio. EUR davon betroffen.

Was ist zu tun?

Zunächst müssen die betroffenen Unternehmen prüfen, ob sie als Netz- und Informationssystemdienst eingestuft werden und dann ihre Security-Maßnahmen überprüfen, ggf. anpassen. Ein großer Fokus liegt nun bei einer Risikobewertung zur Ermittlung und Bewertung von potenziellen Angriffen und möglichen IT-Sicherheitsrisiken. Außerdem bedarf es der Implementierung eines Sicherheitsmanagementsystems, um die Sicherheitsmaßnahmen effektiv und regelmäßig zu überprüfen. Für eine adäquate Umsetzung der Sicherheitsmaßnahmen, müssen die Unternehmen ihr Personal über die Richtlinie informieren. Des Weiteren müssen Sicherheitsvorfälle bei der zuständigen Behörde gemeldet werden. Ein weiterer Fokus ist auf die Sicherheit von Lieferketten (Supply Chain Security) gerichtet – die Unternehmen sollen ihre Lieferketten prüfen und dafür sorgen, dass sich auch ihre Zulieferer ausreichend vor Cyberbedrohungen schützen.

Wie hilft nun die NIS2 EU-Richtlinie die Risiken vor Cyberangriffen zu minimieren?

Die Umsetzung der Richtlinie trägt dazu bei, dass das Risiko vor Cyberangriffen und Datenlecks enorm verringert wird. Somit werden zum einen durch die Vorfälle verursachten Kosten minimiert und zum anderen mögliche Bußgelder vermieden.

Einen weiteren Vorteil bringt die Richtlinie im Rahmen der Aufrechterhaltung des Betriebs – die Unternehmen sind nun verpflichtet, ihre Backup- und Wiederherstellungspläne zu überprüfen und diese auf einem aktuellen Stand zu halten. Das heißt auch, dass die angemessenen technischen und organisatorischen Maßnahmen zu treffen sind, um die Risiken eines Netzwerks- und Informationssystems zu bewältigen.

Die NIS2 EU-Richtlinie ist ein wichtiger Schritt für die Cybersicherheit in Europa. Indem sie klare Verpflichtungen und Mindestsicherheitsanforderungen vorschreibt, trägt sie dazu bei, die Widerstandsfähigkeit der digitalen Infrastruktur zu stärken und die Auswirkungen von Cyberangriffen zu minimieren. Zur Umsetzung wurde eine Frist von 21 Monaten vorgesehen – bis Oktober 2024 müssen die EU-Mitgliedstaaten die Richtlinie in nationales Recht überführen.

Rekordstrafe gegen Meta: 1,2 Milliarden Euro

Meta übermittelt nach wie vor Nutzerdaten an die USA. Damit haben sie gegen die DSGVO verstoßen, wofür dem Konzern nun eine Rekordstrafe in Höhe von 1,2 Milliarden Euro droht.

Die Strafe wurde durch die irische Datenschutzbehörde DCP verhängt, da der Konzern seinen europäischen Sitz in Dublin hat. Über Jahre hinweg ging die DCP nicht gegen Meta vor, wurde nun jedoch vom EDSA (Europäischer Datenschutzausschuss) zum Handeln genötigt und verhängte die Strafe in einer Höhe, die sogar die vergangene Rekordstrafe für Amazon in Luxemburg (immerhin 746 Millionen Euro) in den Schatten stellt.
Über die Geldstrafe hinaus hat Meta die Übersendung von personenbezogenen Daten aus Europa an die USA zu unterbinden.

Meta wird gegen das Verfahren in Berufung gehen, was den Prozess über mehrere Jahre strecken könnte. In der Zwischenzeit könnte zwischen EU und USA ein neuer Datenpakt zur Regulierung des Datentransfers beschlossen werden. Es sei also in den Raum gestellt, ob Meta dabei auf Zeit spielen will, denn in der Vergangenheit wurde mehrfach die Absicht bekundet, sich aus der EU zurückzuziehen, falls sich eine dauerhafte Unterbindung der Weitergabe personenbezogener an die Vereinigten Staaten abzeichnete.

Das Verfahren bezog sich dabei konkret auf Facebook, nicht etwa Instagram oder andere Dienste von Meta. Mit dem Beschluss summieren sich die Gesamtstrafen, die Facebook/Meta im Rahmen der DSGVO zahlen muss, auf 2,5 Milliarden Euro.

Weitere Informationen finden Sie hier:
https://www.zdf.de/nachrichten/wirtschaft/meta-milliarden-strafe-eu-datenschutz-verstoesse-100.html

Gefährliche Top-Level-Domain: Phishing von Googles .zip-TLD

Kürzlich wurde die generische Top-Level-Domain .zip zum Registrieren von Domains von Google freigegeben. Laut der ISC (Internet Storm Center) sind bereits rund 1200 Einträge registriert. Unter diesen Einträgen finden sich jedoch zahlreiche Domains für (potenzielle) Phishing-Angriffe.

Da es sich bei .zip zeitgleich um eine populäre Dateiendung handelt, können Links zu .zip-Domains genutzt werden, um Phishing-Seiten als Download von regulärer Software zu tarnen.
So wird bereits „microsoft-office.zip“ zum „phishen“ von Microsoft-Login-Daten genutzt. Zwar filtern die Webbrowser diverse betrügerische Seiten heraus und geben Warnhinweise, eine Garantie ist das jedoch nicht.

Aktuell ist es ratsam, dass IT-Verantwortliche den Zugriff auf .zip-Domains bis auf Weiteres grundsätzlich zu blockieren, um auf Nummer sicher zu gehen.

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Gefaehrliche-Top-Level-Domain-Phishing-von-Googles-zip-TLD-9052040.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Bun­destag und Bun­desrat segnen Whist­le­b­lower-Gesetz ab

Über Monate zogen sich die Ausarbeitungen des Hinweisgeberschutz- bzw. Whistleblower-Gesetzes hin. Anderthalb Jahre nach der ursprünglichen Vorlage des Gesetzes (und anderthalb Jahre nach Ablauf der Umsetzungsfrist, welche von der EU vorgegeben wurde), ist das Gesetz nun von Bundestag und Bundesrat durchgewunken.

Das Whistleblower-Gesetz wird voraussichtlich im Juni 2023 in Kraft treten.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/whistleblower-hinweisgeber-gesetz-gesetzgebung-zustimmung-bundesrat-verabschiedung-bundestag/

Landratsamt wegen mutmaßlichen Cyberangriffs geschlossen

Das Landratsamt im Landkreis Ludwigsburg und deren diverse Einrichtungen wie das Jobcenter, Kfz-Zulassung, Führerscheinstelle, Asylbereich und Ausländerbehörde sind aktuell aufgrund eines mutmaßlichen Cyberangriffs geschlossen.

Am 10. Mai gab es Auffälligkeiten in den IT-Systemen, was den Verdacht auf einen Cyberangriff weckte. Die PCs der Mitarbeiter, sowie die komplette IT-Infrastruktur sind seitdem heruntergefahren.

Gegenwärtig wird noch nach der Ursache der Auffälligkeiten gesucht. Wann die Behörde wieder öffnet ist noch unklar.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/security-landratsamt-wegen-mutmasslichen-cyberangriffs-geschlossen-2305-174101.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Kirchliches Datenschutzrecht

Bei der Behandlung einer Frau in einem kirchlich geführtem Krankenhaus werden ihre Unterlagen versehentlich in der Patientenakte einer anderen Patientin hinterlegt. Ein schwerer Lapsus aus Sicht sowohl der Datenschutz-Grundverordnung als auch des Datenschutzgesetzes innerhalb der Kirche.

Mit der Begründung, dass keine generelle organisatorische Schwäche vorliege, legte die kirchliche Datenschutzaufsicht jedoch lediglich eine förmliche Beanstandung vor und beließen es dabei. Denn für Kirchen und religiöse Einrichtungen gilt das innerkirchliches Datenschutzgesetz KDS (Gesetz über den Kirchlichen Datenschutz). Innerhalb des KDS steht es der staatlichen Datenschutzaufsicht nicht zu, Anordnungen oder Bußgelder zu verhängen.

Das kirchliche Datenschutzrecht gilt in allen Einrichtungen, deren Trägerschaft die Kirche innehat. Wer Wert darauf legt, dass die eigenen personenbezogenen Daten ausschließlich nach der DSGVO verarbeitet werden, sollte stets im Vorfeld auf die Trägerschaft von Einrichtungen wie Kindergärten, Krankenhäusern und Pflegeeinrichtungen legen.

Weitere Informationen finden Sie hier:
https://www.zaftda.de/tb-kirchen/katholische-kirche/834-kdsa-ost-tb-7-2022/file

Bußgeld für schwedische Firma für verlorenen USB-Stick

200.000 Schwedische Kronen (≙ 17.566 Euro) muss das Unternehmen Region Skåne zahlen. Einem Mitarbeiter des Unternehmens ging ein USB-Stick abhanden, der unverschlüsselte Gesundheitsdaten sowie persönliche Identifikationsnummern von fast 2000 Personen enthielt.

Die Datenschutzbehörde sieht darin ein hohes Risiko für Rechte und Freiheiten der Personen, für deren Schutz keine angemessenen Sicherheitsmaßnahmen getroffen wurden.
Der USB-Stick wurde nicht mehr gefunden.

Weitere Informationen finden Sie hier:
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-region-sk%C3%A5ne-2023-04-27-SE-2812.php

Deutschland zahlt 61.600 Euro an die EU-Kommission – täglich

Vor dem Europäischen Gerichtshof wurde eine Klage gegen den Deutschen Staat für die versäumte Umsetzung eines nationalen Gesetzes zur EU-Whistleblower-Richtline eingereicht. Diese Richtline, laut der die Möglichkeit eingerichtet werden muss, Verstöße in Behörden oder Privatwirtschaft vertraulich zu melden, hätte bis zum 17. Dezember 2021 in Gesetzesform festgehalten werden müssen.

Für die versäumte Umsetzung müsste der Staat gemäß der Klage für jeden Tag seit Ablauf der Frist 61.600 Euro zahlen. Zumindest ein Pauschalbetrag wird zur Strafe gezahlt werden müssen, selbst wenn die Regierung ein Gesetz kurzfristig auf den Weg bringen sollte und die Klage als Resultat zurückgezogen würde.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/138063-whistleblower-deutschland-kommission?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Über 800.000 Euro Bußgeld für norwegische Fitnesscenter-Kette

Ein Bußgeld in Höhe von 10.000.000 Norwegische Kronen (≙ 858.590) muss die Fitnesscenter-Kette SATS zahlen. Aufsichtsbehörden von Norwegen, Dänemark und Finnland kooperierten in diesem Verfahren.

Gegen das Unternehmen gingen zwischen 2018 und 2021 mehrere Beschwerden von Kunden ein:

  • Aufforderungen zur Überprüfung oder Löschung der personenbezogenen Daten wurde nur unzureichend Folge geleistet.
  • Grundlagen für die Verarbeitung von Daten der Mitglieder der Fitnesscenter wurden nicht richtig definiert und über das Erforderliche hinaus verarbeitet.
  • In den offiziellen Datenschutzinformationen wurde eine andere Verarbeitungsgrundlage aufgeführt, als in der Praxis tatsächlich angewandt wurde.
  • Gesperrte Mitglieder wurden nicht ausreichend darüber informiert, dass ihre Daten weiterhin gespeichert werden.

Weitere Informationen finden Sie hier:
https://www.datatilsynet.no/contentassets/f974410ee2e142c99cfc208cbae7634e/administrative-fine—sats-asa.pdfhttps://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-fitnesscenter-kette-sats-2023-04-25-NO-2803.php

ChatGPT: Deutsche Datenschutzbehörden werden aktiv

Die deutschen Datenschutzbehörden  haben eine Prüfung von ChatGPT angekündigt. Geklärt werden soll die Frage, ob die Datenverarbeitung durch die KI-Software mit der DSGVO vereinbar ist.
Dafür wurde dem Unternehmen OpenAI, welches in San Francisco sitzt und ChatGPT betreibt, ein Fragenkatalog zur Beantwortung vorgelegt. Bis Juni wird mit einer Antwort gerechnet.

Der Fragenkatalog beinhaltet unter anderem:

  • Wird die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien gerecht?
  • Für welche Zwecke werden Nutzerdaten gespeichert?
  • Welche Altersgrenze ist für die Nutzung von ChatGPT vorgesehen und wie wird die Altersgrenze überprüft?
  • Werden die Nutzungsdaten für maschinelles Lernen verwendet?
  • Aus welchen Quellen bezieht ChatGPT die Auskünfte, die sie über Personen ausgibt?

Ohne Antworten auf diese und andere Fragen lässt sich nicht beurteilen, ob ChatGPT überhaupt sicher bzw. datenschutzkonform genutzt werden kann.
In Italien wird die Software aktuell blockiert. Abhängig von den Antworten, die OpenAI auf den vorliegenden Fragenkatalog liefert, könnte es in der EU zu weiteren Einschränkungen oder Verboten kommen.

Seitens der EU ist ein aktuelles Ziel die Erstellung eines Regelwerks zur Anwendung von KI im europäischen Raum.

Weitere Informationen finden Sie hier:
https://datenschutz.hessen.de/presse/hessischer-datenschutzbeauftragter-fordert-antworten-zu-chatgpt
https://www.baden-wuerttemberg.datenschutz.de/lfdi-informiert-sich-bei-openai-wie-chatgpt-datenschutzrechtlich-funktioniert/