DUD REPORT
Redaktion: Helmut Reimer
Report Der Hessische DSB: 43. Tätigkeitsbericht Der Datenschutz hatte auch 2014 Konjunktur, so Prof. Ronellenfitsch am 08.09.2015 bei der Vorstellung seines 43. Tätigkeitsberichts. Die nachrichtendienstlichen Tätigkeiten insbesondere der USA, europäische Vollharmonisierungsambitionen beim Datenschutzrecht und spektakuläre Gerichtsent-scheidungen, wie etwa die „Googleentscheidung“ des Europäischen Gerichtshofs führten dazu, dass der Datenschutz große Aufmerksamkeit auf sich lenkte. Dies führte allerdings nicht zu einem sensibleren Umgang mit den eigenen personenbezogenen Daten. Vielmehr musste der Hessische Datenschutzbeauftragte beobachten, dass ein Gutteil der Bevölkerung recht sorglos mit den eigenen Daten umgeht. Dies betrifft insbesondere die Nutzung sozialer Netzwerke. Davon abgesehen, blieb die Zahl der Eingaben und Beratungen im Berichtszeitraum im Vergleich zum Vorjahr mit 7143 dokumentierten Fällen gleichbleibend hoch. Die mit Abstand meisten Eingaben betreffen die Bereiche Auskunfteien / Inkassounternehmen, Videoüberwachung und elektronische Kommunikation und Internet. Auszüge aus den Berichtsschwerpunkten: Scoring der SCHUFA Da dem Hessischen Datenschutzbeauftragten zur Ermittlung von Scorewerten durch die SCHUFA zahlreiche Beschwerden vorlagen, ist das Scoring erneut verstärkt betrachtet worden. Alle Beschwerden wurden daraufhin überprüft, ob der Scorewert entsprechend den gesetzlichen Regelungen ermittelt wurde. Ob der Scorewert inhaltlich richtig ist und den Betroffenen zutreffend beschreibt, kann nicht überprüft werden. Bei Beschwerden über die Erheblichkeit der verwendeten Daten wurde die SCHUFA um Offenlegung der Gründe für den Scorewert gebeten. In allen überprüften Fällen hatte die SCHUFA die gesetzlichen Vorgaben eingehalten. In Bezug auf das Auskunftsverhalten der SCHUFA gegenüber den Betroffenen war jedoch Kritik angebracht. Die SCHUFA ist verpflichtet, Betroffenen auf Aufforderung umfassend Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen. Eine Überprüfung ergab jedoch, dass das Speicherdatum von Merkmalen für Zwecke des Scorings zwar verwendet wird, aber nicht in der Auskunft enthalten ist. Aufgrund meiner Intervention wurde die Auskunft um dieses Datenfeld erweitert. Googleurteil Nach dem „Googleurteil“ des Europäischen Gerichtshofs sind Suchmaschinenbetreiber nunmehr verpflichtet, die Verlinkung zu einer rechtmäßigen Veröffentlichung im Internet zu entfernen, wenn „die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiben nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen“. Mit seiner Entscheidung verdeutlicht der EuGH, dass das Recht des Einzelnen, im Internet nicht mehr gefunden zu werden – vielfach irreführend als Recht auf Vergessen oder „Recht auf Vergessen werden“ be-
DuD • Datenschutz und Datensicherheit 11 | 2015
zeichnet -, Vorrang haben müsse vor den wirtschaftlichen Interessen der Suchmaschinenbetreiber und vor dem Interesse der breiten Öffentlichkeit am Zugang zu der Information. Zugriffsberechtigungen in Krankenhausinformationssystemen Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im Jahr 2014 die Orientierungshilfe für Krankenhausinformationssysteme aktualisiert. Der Hessische Datenschutzbeauftragte hat seine Prüfungen der Systeme vor Ort fortgesetzt. Dabei wurde positiv festgestellt, dass bei den im letzten Jahr geprüften Krankenhäusern ein großer Teil der Orientierungshilfe umgesetzt wurde. So haben die geprüften Krankenhäuser inzwischen alle ein differenziertes Rollen- und Berechtigungskonzept erstellt. In dem Berechtigungskonzept wird nach Benutzergruppen differenziert. Auch die bisher benutzten Sammelkennungen wurden in der Regel nicht mehr eingesetzt. Probleme gab es jedoch nach wie vor hinsichtlich der verbindlichen Festlegung der Abläufe bei der Protokollierung und deren Umsetzung. Grundsätzlich ist die Protokollierung im Gesamtzusammenhang mit der Ausgestaltung der Zugriffsberechtigungen zu sehen. Je weitreichender die Zugriffsberechtigungen, umso wichtiger sind die Protokolle und deren regelmäßige Auswertung. Deren Etablierung wird Datenschutzverstößen präventiv entgegenwirken. Datenschutz im Kraftfahrzeug Die Zeiten, in denen das KFZ-Kennzeichen das einzige personenbeziehbare Datum des Autos war, sind lange vorbei. Bis zu 80 Steuergeräte verarbeiten im modernen Auto die durch das Verhalten des Fahrers verursachten Daten. Neuere Fahrzeuge senden die auf diese Weise anfal-lenden Daten auch an die Automobilhersteller. Diese Daten können personenbezo-gen Auskunft über Fahrverhalten und Aufenthaltsort liefern und sind geeignet für die Bildung von Persönlichkeitsprofilen. Prof. Ronellenfitsch hat deshalb in einer Entschließung mit den anderen Datenschutzbeauftragten des Bundes und der Länder von der Automobilindustrie insbesondere Folgendes gefordert: Bereits bei der Entwicklung von Angeboten für Kommunikation und Teledienste die Grundsätze von privacy by design bzw. privacy by default zu verwirklichen. Datenverarbeitungsvorgängen in und um das Auto müssen die Prinzipien der Datenvermeidung und der Datensparsamkeit zu Grunde liegen. Datenverarbeitungen müssen entweder vertraglich vereinbart sein oder sich auf eine ausdrückliche Einwilligung stützen. Für Fahrer, Halter und andere Nutzer von Fahrzeugen muss vollständige Transparenz gewährleistet sein. Der Jahresbericht steht auf der Website des DSB zur Verfügung: https://www.datenschutz.hessen.de/tb43inhalt.htm#entry4303
771
DUD REPORT
Bundeskabinett: Mehr Rechtssicherheit bei WLAN Das Bundeskabinett hat den vom Bundesminister für Wirtschaft und Energie vorgelegten Entwurf eines Zweiten Gesetzes zur Änderung des Telemediengesetzes (TMG)1 am 16.09.2015 beschlossen. Dieses soll Rechtsklarheit bei der Frage schaffen, wie WLANBetreiber ausschließen können, dass sie für Rechtsverletzungen anderer haften müssen. Nach der ursprünglichen Fassung des Entwurfs sollte ein geschäftsmäßiger Anbieter seinen Router einerseits verschlüsseln – in der Regel ist das bei Routern schon ab Werk voreingestellt. Andererseits sollte sich der Betreiber vom Nutzer zusichern lassen, dass dieser keine Rechtsverletzungen über den WLAN-Anschluss begehen werde. Dazu sollte z.B. ein „Klick“ auf eine Erklärung ausreichen, bevor sich der Nutzer im entsprechenden WLAN anmeldet. Private WLAN- Anbieter sollten die Nutzer ihres Anschlusses namentlich kennen – das galt beispielsweise für Familienmitglieder oder Mitbewohner in einer Wohngemeinschaft. Nach öffentlicher Konsultation: Zentrale Änderungen im Einzelnen Aufgrund der Stellungnahmen von zahlreichen Ländern, Verbänden und Unternehmen hat sich die Bundesregierung jetzt im Wesentlichen auf die folgenden Änderungen verständigt, welche das Angebot und die Nutzung von WLAN erheblich vereinfachen: Der WLAN-Anbieter muss seinen Anschluss nur noch „angemessen sichern“. Der Einsatz eines „anerkannten Verschlüsselungsverfahrens oder vergleichbarer Maßnahmen“ ist nicht mehr erforderlich. Vielmehr bleibt es dem WLAN-Betreiber selbst überlassen, wie er sein WLAN sichert. Damit wurden die Anforderungen an WLAN-Betreiber auf das Notwendigste reduziert und Technologieneutralität erreicht. Neben der angemessenen Sicherung muss sich der Betreiber wie bisher vom Nutzer zusichern lassen, dass dieser keine Rechtsverletzungen über den WLAN-Anschluss begehen wird. Nach wie vor kann er so mit nur einem Klick ins Internet gelangen. Erfüllt der WLAN-Betreiber beide Voraussetzungen, haftet er nicht als Störer für die von anderen über seinen Anschluss begangenen Rechtsverletzungen, kann also Abmahnungen und Unterlassungsklagen verhindern. Private WLAN-Anbieter müssen nach dem geänderten Entwurf Nutzer, denen sie ihren Anschluss überlassen, ebenso wenig wie der geschäftsmäßige Anbieter oder die öffentliche Einrichtung namentlich kennen. An alle Betreiber werden somit die gleichen Anforderungen gestellt. Damit schafft der Entwurf Rechtssicherheit und größtmögliche Praktikabilität. Mit den Änderungen rückt eine schnelle und stärkere Verbreitung von WLAN in deutschen Städten ein ganzes Stück näher. Nach Inkrafttreten können neue Geschäftsmodelle nahezu ohne Aufwand gestartet werden – auch bereits erfolgreich etablierte Geschäftsmodelle profitieren von der neuen gesetzlichen Grundlage. Weiterhin werden mit dem Entwurf § 10 TMG, der das Haftungsprivileg für Hostprovider betrifft, und § 2a TMG zum europäischen Sitzland bei audiovisuellen Mediendiensten auf Abruf geändert. Am 15. Juni wurde der Referentenentwurf bei der Europäischen Kommission notifiziert. Die hierdurch ausgelöste Stillhaltefrist lief 1 http://www.bmwi.de/BMWi/Redaktion/PDF/S-T/telemedienaenderungsgesetz-aende-rung,property=pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf
772
bis 16. September. Bis dahin konnten sich die Kommission und die anderen Mitgliedstaaten zu dem Vorhaben äußern. Nach Abschluss dieses Verfahrens hat das Kabinett den Entwurf beschlossen. Der Gesetzentwurf bedarf nicht der Zustimmung des Bundesrates. Somit könnte je nach Verlauf des parlamentarischen Verfahrens das Gesetz im zweiten Quartal 2016 in Kraft treten. Haftungsrisiken durch unklare Rechtslage hemmen bisher den Ausbau von öffentlichem WLAN in Deutschland Deutschland liegt mit durchschnittlich 1,87 W-LAN-Hotspots auf 10.000 Einwohner bei der Verfügbarkeit von WiFi-Locations und Hotspots international weit hinter vielen anderen Ländern (zum Vergleich: Südkorea: 37,35, UK 28,67, Schweden 9,94). Mit rund drei WLAN-fähigen Endgeräten pro Kopf sind wir dem weltweiten Durchschnitt aber um Längen voraus (1,2 Geräte pro Kopf). Eine Ursache für den geringen Ausbau der öffentlichen WLANHotspots liegt darin, dass potentielle Anbieter von WLAN-Internetzugängen aufgrund von Haftungsrisiken durch eine unklare Rechtslage verunsichert sind. Sie befürchten, als sogenannte „Störer“ für Rechtsverletzungen der Nutzer ihres WLAN auf Unterlassung in Anspruch genommen bzw. abgemahnt zu werden. Vor allem kleinere Unternehmen wie Cafés oder Hotels verzichten deshalb trotz des damit verbundenen Wettbewerbsnachteils oft auf die Bereitstellung von WLAN-Internetzugängen und damit auf potentielle Kunden: Einer Umfrage zufolge schrecken 59 Prozent der befragten geschäftlichen und privaten Nutzer wegen Haftungsrisiken und 43 Prozent wegen Sicherheitsbedenken davor zurück, einen Hotspot anzubieten.
Leitfaden zur Informationssicherheit in der Markt-, Meinungs- und Sozialforschung Der Bundesverband IT-Sicherheit e.V. (TeleTrusT), der ADM Arbeitskreis Deut-scher Markt- und Sozialforschungsinstitute e.V., die Deutsche Gesellschaft für Online-Forschung e.V. (DGOF) haben in einer verbandsübergreifenden Arbeitsgruppe einen Leitfaden zur Informationssicherheit in der Markt-, Meinungs- und Sozialforschung entwickelt und am 18.09.2015 veröffentlicht. Die Einrichtung der TeleTrusT/ADM-Arbeitsgruppe „IT-Sicherheit in der Marktforschung“ in Kooperation mit der DGOF ist Ausdruck der als permanente Aufgabe empfundenen gemeinsamen Verantwortung der drei Verbände für die Förderung der Sicherheit der in den Markt- und Sozialforschungsinstituten vorhandenen Daten und Informationen. „Die Hinweise und Empfehlungen des Leitfadens zur Informationssicherheit sind zu lesen als eine Checklis-te, die es den Marktund Sozialforschungsinstituten ermöglicht, ihr Konzept der Informationssicherheit um-fassend auszubauen, effizient zu überprüfen und entdeckte Schwachstellen gegebenenfalls zu beseitigen“, erläutert Erich Wiegand, Geschäftsführer des ADM und Leiter der Arbeitsgruppe. „Für Auftraggeber von Markt- und Sozialforschung bietet die Checkliste die Möglichkeit, die Sicherheit der an ein Forschungsinstitut übermittelten Unternehmens- und anderen Daten anhand objektiver Kriterien bewer-ten zu können“, ergänzt Dr. Holger Mühlbauer, Geschäftsführer von TeleTrusT. Der Leitfaden zur Informationssicherheit in der Markt-, Meinungs- und Sozialforschung steht im Internet als Download zur DuD • Datenschutz und Datensicherheit 11 | 2015
DUD REPORT
Verfügung (https://www.teletrust.de/publikationen/broschueren/ marktforschung/) und ist über die Geschäftsstellen der Verbände in gedruckter Form erhältlich.
Projekt „Honeytrain“: Hacker@work In seiner Hacker-Falle „Honeytrain“ hat die Firma Sophos untersucht, wie industrielle Steuerungssysteme durch Eindringlinge identifiziert und angegriffen werden. Insgesamt registrierte Sophos 2,7 Millionen Zugriffsversuche aus aller Welt über einen Zeitraum von sechs Wochen auf ein simuliertes industrielles Steuerungssystem. Honeytrain – der perfekte Hacker-Bluff Beim Projekt Honeytrain handelte sich um eine originalgetreue Simulation eines U-Bahn Steuerungssystems, das mit echten Industrie-Steuerungssystemen arbeitet und originale Hard- und Software-Komponenten aus der Automatisierungs- und Leittechnik einsetzt. Videos von Überwachungskameras echter Bahnhöfe und Zugführerkabinen sorgten für die nötige optische Täuschung. Die Simulation war so perfekt, dass Angreifer den Eindruck hatten, in ein real existierendes System einzudringen. Ziel des Projekts war es herauszufinden, wie Angriffe auf kritische Infrastrukturen ablaufen, welche Gefahren drohen und wie verbreitet das Wissen über diese Systeme in der Hacker-Gemeinde ist. Über eine kontinuierliche Angriffsanalyse und -bewertung sollte ein umfassendes Bild über die Qualität, Quantität und Aggressivität der Angreifer entstehen. Dabei diente die Simulation lediglich als exemplarisches Vorbild. Ziel des Projekts war es nicht, mögliche Angriffe auf den realen Schienenverkehr darzustellen. Spannend war vor allem die Frage, wie weit die Hacker gehen würden. Begnügen sie sich mit dem bloßen Eindringen in die IT-Systeme? Nehmen sie Sachschäden oder gar Menschenleben in Kauf? Angriffe zielten auf Firewall, Zugsteuerung und Überwachungskameras 34 Prozent der versuchten Attacken zielten auf die Firewall des Systems. Als ebenfalls beliebt bei den Hackern erwies sich der Mediaserver. Er verarbeitet die Streams der Überwachungskameras und bietet diese über eine Webschnittstelle an. Ihn zu hacken war in 27 Prozent der Angriffsversuche das Ziel. Die Nachbauten von Steuerungssystemen, Protokollen und HMIs (Human-Machine-Interfaces, Benutzerschnittstellen) wurden in 23 Prozent der Fälle angegangen. Sieben Prozent der Angriffe entfielen auf das Infoportal, das die Webseite eines Verkehrsverbundes originalgetrau nachstellt. Lästiger Unfug über den Mediaserver Einige der erfolgreichen Zugriffe erfolgten über den Mediaserver. Hier nutzen die Angreifer eine Wörterbuchattacke. Mit dieser versuchen die Angreifer, einen unbekannten Benutzer oder ein unbekanntes Passwort anhand einer umfangreichen Wörterliste zu ermitteln. Ein konkretes Ziel gab es offenbar nicht. Der Angriff auf den Mediaserver zeigt ein eher spielerisches Vorgehen. Die Hacker verfügten offenbar über kein tieferes Know-how, sahen sich neugierig im System um und verschwanden wieder. In einem der Fälle nutzten die Angreifer die Möglichkeit, um die ursprünglichen Inhalte des Webangebots kreativ umzugestalten. Die Gäste beschränkten sich jedoch darauf, das Kamerabild eines U-Bahnhofs auszutauDuD • Datenschutz und Datensicherheit 11 | 2015
schen gegen ein eigenes Statement, dass die Nutzung von Webcams in der Öffentlichkeit kritisiert. Zugriff auf die Zugsteuerung Weit gefährlicher hätte einer der erfolgreichen Angriffe auf die Zugsteuerung (HMI, Human Machine Interface) werden können. Während der Dauer des Projekts konnten vier erfolgreiche Logins auf diesen Teil des Systems festgestellt werden. Zwei erfolgten über Wörterbuchattacken. In einem Fall gelang es den Angreifern, ein starkes Passwort zu überwinden. Anders als die ungebetenen Gäste auf dem Mediaserver verfügte diese Gruppe über eine sehr genaue Kenntnis industrieller Leitsysteme und wusste genau, in was für ein System sie eingedrungen waren. Die Hacker lasen Sicherheitseinstellungen der industriellen Komponenten über ein zentrales Tool aus und exportierten diese. In der Folge griffen die Eindringlinge auch auf die Visualisierung zu und aktivierten die Frontbeleuchtung eines Zuges. Auch schlimmeres wäre an dieser Stelle möglich gewesen. Die meisten Angriffe aus China und den USA Was die Herkunft der Zugriffsversuche angeht, so konnten China und die USA als führende Länder identifiziert werden, gefolgt von Frankreich, Polen und Moldawien. Deutschsprachige Länder sind kaum vertreten: nur ein Prozent der Angriffe (insgesamt 26.512) wurden aus Deutschland unternommen. Weit unter einem Prozent blieben Österreich und die Schweiz mit jeweils 166 und 243 Angriffen. Chester Wisniewski, Sicherheitsberater bei Sophos, mahnt Unternehmen zu mehr Sorgfalt: „Schon einfache Maßnahmen können dabei helfen, kritische Infrastrukturen sicherer zu machen. Diese reichen von einem sicheren Passwort, das in einer Vielzahl der Fälle nicht genutzt wurde, bis hin zu Überlegungen dazu, welcher Teil des Systems überhaupt eine Anbindung an das öffentliche Netzwerk benötigt. Abgesicherte Systemzonen und eine SSL-Verschlüsselung hätten den die Schwierigkeiten für die Angreifer um ein Vielfaches erhöht.“ Das Whitepaper sowie weitere Informationen zum HoneytrainProjekt finden Sie hier: https://www.sophos-events.com/honeytrain
Auszeichnung für ISO/IEC JTC 1/SC 27 „IT Sicherheitsverfahren“ ISO/IEC JTC1/SC 27 „IT Sicherheitsverfahren“ wurde während der 38. ISO-Generalversammlung, die vom 14. bis 18. September 2015 in Seoul, Korea, stattfindet, für seine besondere Leistung mit dem Lawrence D. Eicher Award ausgezeichnet. Der Award ist benannt nach dem langjährigen ISO-Generalsekretär Dr. Lawrence D. Eicher. Er wird seit 2003 jährlich im Rahmen der ISO-Generalversammlung vergeben. Der Award zeichnet Technische Komitees (TC) oder Unterkomitees (SC) für ihre besondere Leistung aus. Honoriert werden u. a. innovative Arbeitsweisen, Effektivität und effiziente Führung. Der diesjährige Gewinner, ISO/IEC JTC 1/SC 27 unter der Sekretariatsführung von DIN, beschäftigt sich mit der Grundlagennormung für IT-Sicherheitsverfahren. Der Arbeitsbereich lässt sich untergliedern in Informationssicherheits-Managementsysteme, Kryptographie, Evaluationskriterien, IT-Sicherheitsmaßnahmen
773
DUD REPORT
und Dienste sowie Identitätsmanagement und Schutz der Privatsphäre. Stellvertretend für das Komitee nahmen der Vorsitzende Dr. Walter Fumy, Chief Scientist der Bundesdruckerei GmbH, Berlin, und die Sekretärin Krystyna Passia (DIN) die Auszeichnung entgegen, die vom ISO-Präsidenten Dr. Zhang Xiaogang verliehen wurde. In seiner Laudatio wies der kommissarische ISO-Generalsekretär Kevin McKinley auf die besonderen Verdienste des Unterkomitees hin. So zeichnet sich ISO/IEC JTC1/SC 27 durch die Erarbeitung einer Vielzahl an anerkannten Normen aus, die sich mit den Sicherheitsrisiken der Informationstechnik auseinandersetzen. Dies ist eine Thematik, der sich weltweit Unternehmen heutzutage stellen. Diese Normen beantworten damit direkt die Bedürfnisse der Branche. Zu den bekanntesten Normen, die das Gremium erarbeitet hat, zählen: ISO/IEC 27001 (Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen) ISO/IEC 27002 (Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen) ISO/IEC 15408-1 bis -3 (Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit. Einführung und allgemeines Modell) ISO/IEC 15408-2 „Informationstechnik – IT-Sicherheitsverfahren – Evaluationskriterien für IT-Sicherheit) – ebenfalls bekannt als Common Criteria ISO/IEC 24760-1 bis -3 (Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Identitätsmanagement) ISO/IEC 29100 (Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Datenschutz) – ISO/IEC 29192-1 bis -4 (Informationstechnik – Sicherheitsverfahren – Lightweight cryptography) Hervorzuheben ist ferner das besondere Engagement der Experten und die gute Anbindung zur Industrie. Hierzu hält das Unterkomitee u. a. regelmäßig im jeweiligen Sitzungsland Industrieseminare zeitgleich zu seinen Sitzungen ab. Dies fördert das starke Engagement der nationalen Industrie des jeweiligen Gastgeberlandes und hilft, Rückmeldungen für weiteren Normungsbedarf zu erhalten. Ferner pflegt SC 27 eine Vielzahl aktiver Verbindungen zu anderen Gremien. Dr. Walter Fumy dankte ISO im Namen der Experten und des Management-Teams des ISO/IEC JTC1/SC 27 für diese besondere Auszeichnung. Mit zum Teil langjährigen Mitarbeitern aus insgesamt 71 Ländern, die eine erhebliche Arbeitsleistung in das Gremium einbringen, ist das Gremium, das vor 25 Jahren gegründet wurde, global aufgestellt. Die große Zahl an mitarbeitenden Nationen und Liaisons resultiert nicht zuletzt aus dem horizontalen Charakter des Arbeitsgebiets und dem weltweiten Bedarf an Sicherheitslösungen. Dr. Fumy dankte ferner DIN für die langjährige Unterstützung sowie auch ISO/IEC JTC 1 „Informationstechnik“.
griffstaktik? Sind DDoS-Attacken eine unterschätzte Gefahr oder werden sie zu Unrecht gehypt? Was macht DDoS-Attacken so gefährlich? Das Gefährliche an DDoS-Attacken ist deren Einfachheit. Im Endeffekt geht erst einmal nichts dabei „zu Bruch“, außer vielleicht wichtige Kundenbeziehungen und Vertrauen in das geschädigte Unternehmen, das Produkt oder die Marke. Denn wenn Sie heute in einem Management Meeting fragen, wie lange ein Unternehmen ohne Kommunikation über Webseite, Internet und E-Mail arbeiten kann, ohne ernsthaften Schaden zu nehmen, werden die genannten Zeitabstände immer kürzer. Stellen Sie sich vor, Sie sind Manager eines Unternehmen, welches 70 % seiner Absätze im Onlinegeschäft über einen Shop macht, und in der Weihnachtszeit ist Ihr Shop plötzlich für mehrere Tage nicht mehr erreichbar. Dann reden Sie zum einen über den Umsatzausfall, aber noch mehr über den Verlust von Kunden und Interessenten, die Ihre Webseite nie wieder besuchen. Das Potenzial hinter dieser Angriffstechnik ist riesig Zudem kann ein Angreifer relativ einfach einen Angriff so steuern, dass der Attackierte selbst zum Angreifer eines weiteren Ziels wird. So gibt es zum Beispiel Protokolle, die es Ihnen ermöglichen, mit einer kleinen Anfrage eine relativ große Zahl an Antworten zu erhalten. Als Beispiel: Wenn Sie einen Server fragen, welches die letzten verbundenen Clients waren, dann ist Ihre Frage sehr klein, jedoch die Antwort unter Umständen eine große Liste. Wenn Sie als Hacker dies noch so modifizieren, dass die Absenderadresse, die Sie für diesen Angriff verwenden, die eines weiteren Zieles ist, dann gehen alle Antworten des Angriffsziels 1 als Antwort an Angriffsziel 2. Dies bedeutet, der Angriff kann von einer kleinen Bandbreite gestartet werden und dann über andere zu einer großen Attacke multipliziert werden. Wenn wir nun bedenken, was uns hier allein das Internet of Things an Möglichkeiten beschert, nimmt das ein Ausmaß ungeahnter Größe an. Heute jedoch werden diese DDoS-Attacken in der Regel auch genutzt, um primäre Sicherheitsinfrastruktur auszuschalten und damit eventuelle unsichere Backups/Notfallszenarien einzuschalten oder gar einfach nur das Sicherheitsteam abzulenken, um an anderer Stelle dann sich Zugang zu verschaffen. Und wie schütze ich mein Netzwerk? Es gibt bereits verschiedene Lösungsanbieter auf dem Markt, die es ermöglichen, solche Attacken zu erkennen und dann den DDoS-Datenstrom bei Erkennen des Angriffes in einem Backbone direkt umzuleiten. Dies hat den Vorteil, dass alle kritischen Systeme weiterlaufen und der Datenmüll einfach ins Nirwana umgeleitet wird. Weitere Informationen zum BISG (Bundesfachverband der ITSachverständigen und Gutachter e. V) sind unter www.bisg-ev.de zu finden.
Behörden USB-Stick als BSI Version lieferbar DDoS-Attacken – eine unterschätzte Gefahr? „Forscher warnen vor DDoS-Attacken“, „Ernste DDoS-Bedrohungslage“, „BitTorrent lässt sich für DDoS-Attacken missbrauchen“ – die Schlagzeilen über Distributed-Denial-of-Service-Angriffe häufen sich in letzter Zeit. Im Vergleich zum Vorjahr soll sich die Zahl der Attacken mehr als verdoppelt haben. Und Experten warnen: Der Zenit ist noch lange nicht erreicht. Doch was steckt hinter dieser An774
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeichnete am 16.08.2015 zwei Kanguru Defender USB-Sticks mit dem BSI-Zertifikat und Common Criteria Stufe EAL2+ aus. Mit FIPSund BSI-Zertifikat besitzen die hardwareverschlüsselten USB-Sticks die beiden höchsten Akkreditierungen und gelten als sicherste Flash-Datenspeicher der Welt. BSI-zertifizierte USB-Sticks Kanguru Defender Im deutschsprachigen europäischen Raum ist KanDuD • Datenschutz und Datensicherheit 11 | 2015
DUD REPORT
guru Defender exklusiv bei OPTIMAL System-Beratung erhältlich. Mit diesen Sticks kann man sicher sein, dass die Daten auch im Falle eines Verlust des Sticks nicht von Hackern ausgelesen werden können. BSI zertifizierte USB-Sticks und verfügbare Größen Die beiden USB-Stick’s Kanguru Defender Elite200 und Kanguru Defender 2000 sind vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und in den Grössen 4GB, 8GB, 16GB, 32GB, 64GB und 128 GB verfügbar (BSI Zertifikat BSI-DSZCC-0772-2014). Zum testen bietet der exklusive deutsche Distributor OPTIMAL vergünstigte Muster an. Weitere Zertifizierungen und Sicherheit Die USB-Stick’s sind weiterhin Common Criteria und FIPS 140-2 zertifiziert. Die USB-Sticks sind BadUSB sicher und löschen sich nach 6-maliger falscher Passworteingabe selbstständig. Der Kanguru Defender Elite200 verfügt über einen physischen Schreibschutz, der Kanguru Defender 2000 über einen Softwareschreibschutz der Mittels eines Programms auch in ein CDROM überführt werden kann. Ideal für Behörden Auf Grund der Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik sind die Kanguru Sticks ideal für Behörden und öffentliche Verwaltungen, die höchste Ansprüche an die Datensicherheit haben. Optionen der USB-Stick’s Die USB-Stick’s lassen sich optional aus der Ferne oder per lokalem Programm verwalten und bieten somit eine erweiterte Sicherheit. Auch diese zusätzlichen Komponenten sind vom BSI zertifiziert. Weiterführende Links: Webseite der OPTIMAL: http://www.optimal.de Zertifikat des BSI: https://www.bsi.bund.de/SharedDocs/Zertifikate /CC/Sonstiges/0772.html
TÜV SÜD Sec-IT Standard: Zertifizierte Auftragsdatenverarbeitung Die am 09.09.2015 veröffentlichten Befragungsergebnisse des TÜV SÜD Datenschutzindikators (DSI) weisen darauf hin, dass sich viele Unternehmen unzureichend mit der Sicherheit von personenbezogenen Daten auseinandersetzen, wenn sie deren Verarbeitung an externe Auftragnehmer weitergeben. So überprüfen und dokumentieren beispielsweise nur 23 Prozent der Befragten die gesetzlich geforderte Einhaltung der Datenschutzpflichten bei ihren Dienstleistern. Um ihnen die Orientierung zu erleichtern und den Schutz personenbezogener Daten zu verbessern, bietet TÜV SÜD nun eine Zertifizierung für Auftragnehmer von Auftragsdatenverarbeitungen an. Werden personenbezogene Daten durch einen Dienstleister im Auftrag erhoben oder verarbeitet, müssen dessen Auftraggeber gemäß § 11 Bundesdatenschutzgesetz regelmäßig die Einhaltung technischer und organisatorischer Maßnahmen zum Datenschutz beim Dienstleister prüfen und bewerten. Das neue Prüfzeichen von TÜV SÜD „Zertifizierte Auftragsdatenverarbeitung“ erleichtert diese Pflicht. Die Zertifizierung richtet sich zum Beispiel an MarketingDuD • Datenschutz und Datensicherheit 11 | 2015
Agenturen, Lettershops, Hosting- oder Cloudhosting- sowie Backup- oder Datensicherungsdienstleister, Dienstleister für Datenträgervernichtung oder für Lohn- und Gehaltsabrechnung, Anbieter von CRM- oder Kundenverwaltungssystemen sowie Service- oder Callcenter. „Die Anforderungen bei der Prüfung und Bewertung der Auftragsdatenverarbeitungen orientieren sich am Bundesdatenschutzgesetz, übertreffen dessen Anforderungen jedoch“, erklärt Florian Labitzke, Produktmanager Datenschutz bei der TÜV SÜD Sec-IT GmbH. „Bei den Auftragnehmern von Auftragsdatenverarbeitungen werden die Eignung und Angemessenheit von leistungs- und auftragsbezogenen Dokumentationen, allgemeinen Maßnahmen zum Datenschutz sowie technischen und organisatorischen Maßnahmen zum Datenschutz geprüft.“ Die Zertifizierung basiert auf einer Dokumentenprüfung und einem Audit vor Ort. Werden personenbezogene Daten im Rahmen von Auftragsdatenverarbeitungen elektronisch übermittelt oder anderweitig elektronisch bereitgestellt, kann darüber hinaus die Durchführung eines Schwachstellen-Scans erforderlich sein. Der erste Kunde, der das TÜV SÜD Sec-IT Prüfzeichen „Zertifizierte Auftragsdatenverarbeitung“ erhalten hat, ist die Infoniqa Payroll GmbH in Böblingen. Das Unternehmen, das sich auf Dienstleistungen im Bereich der Lohn- und Gehaltsabrechnung spezialisiert hat, erfüllt die Anforderungen des Standards und kann dies nun gegenüber seinen Auftraggebern durch Prüfzeichen und Zertifikat kommunizieren.
Cookies & Co.: BVDW-Whitepaper beleuchtet alternative Tracking-Technologien Ein verlässlich funktionierendes Tracking, das eindeutige Ergebnisse über alle zur Messung des Nutzungsverhaltens benötigten Metriken liefert und zugleich eine optimale Auslieferungskontrolle und -steuerung für Werbung erlaubt, ist für Online-Angebote und Online-Werbungtreibende unerlässlich. Welche Alternativen es hierfür zum derzeit gängigen Tracking mittels Cookies gibt, erläutern Experten der Fokusgruppe Targeting im BVDW – Bundesverband Digitale Wirtschaft e.V. – im Whitepaper (veröffentlicht am 08.09.2015) „Browser-Cookies und alternative Tracking-Technologien“, das ab sofort auf der BVDW-Website (http://www.bvdw.org/) als Download zur Verfügung steht. Lange waren Browser-Cookies das leistungsfähigste Instrument zur technischen Erfassung des Nutzungsverhaltens. Die wachsende Mobile-Nutzung, insbesondere in Form von Apps, eine sinkende Cookie-Akzeptanz (vor allem von Third-Party-Cookies) und Änderungen im Default-Cookie-Handling seitens einiger BrowserAnbieter führen jedoch dazu, dass alternative Technologien zum Browser-Cookie immer mehr an Bedeutung gewinnen. Das in Kooperation mit dem Ressort Recht im BVDW erstellte Whitepaper befasst sich zunächst mit einer datenschutzrechtlichen Einordnung des Themenkomplexes Tracking auf Basis der Differenzierung von personenbezogenen Daten, Nutzungsdaten, pseudonymen Daten und anonymen Daten. Neben einer ausführlichen und praxisorientierten Darstellung des Browser-Cookie-Trackings, erläutert das Whitepaper alternative browser-basierte Trackingtechnologien wie Fingerprinting, Common-IDs, eTag, Local Storage, Flash-Cookies und Authentication Cache, sowie app-basiertes Tracking mittels endgeräteabhängiger IDs. Den Abschluss bilden rechtliche In775
DUD REPORT
formationen zur Selbstregulierung in Deutschland (DDOW) sowie Ausblicke auf die Regelungen einer künftigen Datenschutzgrundverordnung.
Strategie Intelligente Vernetzung Der gesellschaftliche Wandel im Zuge der Digitalisierung ist eine zentrale gesamtwirtschaftliche, gesellschaftliche und damit auch politische Gestaltungsaufgabe. Getrieben wird diese Veränderung durch die Vernetzung von Sektoren und Akteurinnen und Akteuren sowie die Digitalisierung von Informationen. Ihr Zusammenspiel ermöglicht eine Vielzahl von Innovationen, aber birgt auch neue Arten der Probleme. Mit dem Beschluss der Digitalen Agenda hat die Bundesregierung einen Grundstein für die Förderung der digitalen Entwicklung gelegt. Ein Handlungsfeld der digitalen Agenda betrifft die digitale Wirtschaft und digitales Arbeiten. Eine zentrale Maßnahme in diesem Handlungsfeld ist die Strategie „Intelligente Vernetzung“, mit der in den Basissektoren Bildung, Energie, Gesundheit, Verkehr und Verwaltung zusätzliche Wachstums- und Effizienzpotenziale durch Informations- und Kommunikationstechnologien geschaffen werden sollen – stets unter Berücksichtigung des Datenschutzes und der Datensicherheit. Die vorliegende Publikation (http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/strategie-intelligente-vernetzung,property= pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf) gibt einen umfassenden Einblick in die durch die Bundesregierung erarbeitete Strategie „Intelligente Vernetzung“.
Forum Privatheit: White paper „Verstecktes Internet“ Vernetzte Autos, Smart TV sowie Endgeräte wie Smart Watches stellen den Schutz der Privatsphäre vor neue Herausforderungen. Im White Paper „Verstecktes Internet“ skizzieren Experten des „Forum Privatheit“ (https://www.forum-privatheit.de/forum-privatheitde/index.php) problematische Aspekte smarter Technologien.
Förderung für ISIS12 im Rahmen der Initiative Cybersicherheit Das InformationsSIcherheitsmanagementSystem ISIS12 wird offiziell für den Einsatz in mittelständischen Unternehmen und staatlichen Behörden empfohlen. Nach dem IT-Planungsrat von Bund und Ländern spricht sich nun auch das Bayerische Staatsministerium des Innern, für Bau und Verkehr für das Vorgehensmodell aus. Zur Erhöhung des IT-Sicherheitsniveaus in den bayerischen Kommunen wird die Implementierung von ISIS12 durch das Bayerische Innenministerium gefördert. Finanziell gefördert werden kleine und mittelgroße staatliche und kommunale Behörden bei der Implementierung eines modernen Informationssicherheits-Managementsystems (ISMS), das den Anforderungen der „Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung“ des IT-Planungsrats entspricht. ISIS12 ist das derzeit einzige vom IT-Planungsrat akzeptierte Verfahren, das 776
zum BSI IT-Grundschutz weiterentwickelt werden kann. Förderberechtigt sind alle bayerischen kommunalen Gebietskörperschaften und deren Zusammenschlüsse sowie die von ihnen in öffentlichrechtlicher Form geführten Unternehmen und Einrichtungen mit bis zu 500 Arbeitsplätzen. Interessierte Kommunen wenden sich direkt an den Projektträger, den Bayerischen IT-Sicherheitscluster e.V. in Regensburg. Besondere Empfehlung von ISIS12 auch für mittelständische Unternehmen In einem Schreiben an den Präsidenten des Bayerischen Handelskammertags spricht sich Innenminister Joachim Herrmann ausdrücklich für das Informationsmanagementsystem ISIS12 für kleine und mittlere Unternehmen aus. Der Bayerische IT-Sicherheitscluster e.V. habe mit nur 12 konkreten Schritten ein ISMS entwickelt, das es ermöglicht, die Informationssicherheit durch klare Handlungsempfehlungen auf ein hohes, aber dennoch vom Aufwand leistbares Maß zu steigern. Herrmann plädiert daher für die Verbreitung von ISIS12 im bayerischen Mittelstand: „Bayern soll auch digital das sicherste Bundesland bleiben und ich bitte Sie, sich für die Umsetzung von ISIS12 in Ihren Unternehmen einzusetzen“, so der Minister in dem Schreiben. Auch das sächsische Staatsministerium für Wirtschaft, Arbeit und Verkehr (SMWA) möchte in Zukunft Unternehmen bei der Verbesserung des Informationssicherheitsniveaus unterstützen und dafür gezielt das ISIS12-Vorgehensmodell einsetzen. Das Angebot gilt für kleine und mittlere Unternehmen (KMU) aus den Bereichen verarbeitendes Gewerbe, Handwerk, Handel und Dienstleistungen. Als Unterstützung erhalten die interessierten Unternehmen mit einem entsprechenden Förderprogramm einen Zuschuss, der bis zu 40 Prozent der zuwendungsfähigen Ausgaben betragen kann und nicht zurückgezahlt werden muss. Beantragt werden kann der Zuschuss bei der zuständigen Bewilligungsstelle der Sächsischen Aufbaubank (SAB). Über ISIS12 Das InformationsSIcherheitsSystem ISIS12 ist 2010 aus dem Netzwerk für Informationssicherheit im Mittelstand (NIM) mit Hochschule und Universität Regensburg sowie sieben Unternehmen heraus entstanden. Neben BSI-Grundschutz und ISO 27001 sollte ein Informationsmanagementsystem entwickelt werden, das vor allem für kleine und mittlere Unternehmen vergleichsweise einfach und kostengünstig umgesetzt werden kann. Seit 2013 können Unternehmen die Lizenz für die Implementierung von ISIS12 erwerben. Die Lizenznehmer werden vom Bayerischen IT-Sicherheitscluster e.V. ausgebildet. Ein vom Freistaat Bayern bei Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) in Auftrag gegebenes Gutachten bestätigt, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des ITPlanungsrats an ein ISMS erfüllt. Im März 2015 wurde ISIS12 vom IT-Planungsrat als ein ISMS auf Basis IT-Grundschutz des BSI oder ISO 27001 für den Einsatz in der kommunalen Sicherheit empfohlen. ISIS12 wurde außerdem in die Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen vom Deutscher Landkreistag, Deutscher Städtetag, Deutscher Städte- und Gemeindebund gemeinsam mit der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister in Deutschland (VITAKO) aufgenommen.
DuD • Datenschutz und Datensicherheit 11 | 2015
DUD REPORT
Datenschutz für Kinder – Ergebnis einer weltweiten Prüfaktion Das Global Privacy Enforcement Network (GPEN) hat nun sein Gesamtergebnis des dies-jährigen “Sweep Days” veröffentlicht. Die Erfahrungen der teilnehmenden Aufsichtsbehörden decken sich dabei (leider) mit den Feststellungen des BayLDA. Wie bereits früher berichtet, war das BayLDA auch im Jahr 2015 an der internationalen Prüfaktion des Global Pri-vacy Enforcement Networks (GPEN) (https://www.privacyenforcement.net/), dem sog. „Sweep-Day“, beteiligt. Das BayLDA untersuchte jeweils 25 zufällig ausgewählte (bayerische und internationale) iOS- und Android-Apps, die sich direkt an Kinder richten, und stellte dabei fest, dass nur ca. 75 Prozent der Apps überhaupt über eine Datenschutzerklärung verfügten, wobei sich diese jedoch nur bei 50 Prozent der geprüften Apps auch konkret auf den Datenumgang durch die App bezog. Etwa die Hälfte der gefundenen Datenschutzerklärungen war zu-dem nur auf Englisch verfügbar, obwohl die Apps selbst in deutscher Sprache gehalten sind und sich an Kinder richten. Das Ergebnis der internationalen Prüfungsaktion, an der sich 29 Datenschutzaufsichtsbehörden aus der ganzen Welt beteiligt haben, die sich insgesamt 1.494 Webseiten und Apps näher angesehen haben, liegt nun ebenfalls vor und wurde durch die Datenschutzaufsichtsbehörde in Großbritannien unter https://ico.org.uk/ about-the-ico/news-and-events/news-and-blogs/2015/09/questions-raised-over-children-s-websites-and-apps/ veröffentlicht. Das Gesamtergebnis wurde als „besorgniserregend“ zusammengefasst, da in ca. 40 % der untersuchten Webseiten und Apps datenschutzrechtliche Probleme erkannt wurden, insbesondere was den Umfang der erhobenen personenbezogenen Daten und deren Übermittlung an Dritte anbelangt. Die einzelnen weiteren Kritikpunkte können der Veröffentlichung der britischen Datenschutzaufsichtsbehörde entnommen werden. Wenngleich sich die Prüfungsergebnisse der anderen Datenschutzaufsichtsbehörden nicht nur auf Apps, sondern auch auf Webseiten beziehen (es war den Teilnehmern an der Prüfaktion freigestellt, ob sie Webseiten und/oder Apps prüfen), sieht das BayLDA seine Erfahrungen durch die Ergebnisse anderer Datenschutzaufsichtsbehörden bestätigt. „Dabei ist es besonders schade und stimmt nachdenklich, dass auch Anbieter bayerischer Apps die Chance nicht wahrnehmen, sich in datenschutzrechtlicher Hinsicht merklich positiv von anderen internationalen Anbietern von Apps abzuheben. Eigentlich sollte es für deutsche Anbieter einer App mit dem Zielpublikum der Kinder eine Selbstverständlichkeit sein, eine leicht verständliche Datenschutzerklärung in deutscher Sprache anzubieten und diese nicht in englischer Sprache abzufassen bzw. ganz auf eine Information zum Umgang mit den personenbezogenen Daten der Nutzer (Kinder) zu verzichten. Leider sieht die Realität anders aus.“ so Thomas Kranig, Präsident des BayLDA.
DuD • Datenschutz und Datensicherheit 11 | 2015
Das BayLDA ist derzeit dabei, die eigenen Prüfungsergebnisse bezüglich der Apps bayerischer Anbieter aufzuarbeiten. Insgesamt haben sich die bayerischen App-Anbieter – leider erst nach der Prüfung – sehr verständig und kooperativ gezeigt, so dass teilweise bereits eine erste Kontaktaufnahme mit den App-Anbietern zu einer umgehenden Überarbeitung der Apps geführt hat. In anderen Fällen steht eine solche Überarbeitung der Apps noch aus. Das BayLDA wird auf eine zeitnahe Umsetzung achten.
Kooperation für mehr Cyber-Sicherheit in Deutschland Zur Verbesserung der Cyber-Sicherheit wollen Wirtschaft und Politik künftig enger zusammenarbeiten. Zu diesem Zweck wollen Volkswagen, Allianz, BASF und Bayer die „DCSO Deutsche Cyber-Sicherheitsorganisation GmbH“ gründen. Das Kompetenzzentrum soll als bevorzugter Cyber-Sicherheitsdienstleister der deutschen Wirtschaft arbeiten. „Sichere Cyber-Systeme sind eine grundlegende Voraussetzung für unternehmerischen Erfolg“, sind sich die IT-Verantwortlichen der Gründungsunternehmen einig. „Angesichts zunehmender Angriffe auf Unternehmenssysteme müssen Wirtschaftsunternehmen allerdings noch enger als bisher miteinander und mit staatlichen Organisationen zusammenarbeiten. Die Gründung der DCSO ist deshalb ein wichtiger Schritt, um gemeinsam die Cyber-Sicherheit in Deutschland zu fördern.“ Die DCSO wird mit dem Bundesministerium des Innern (BMI) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeiten. Sie baut Schwerpunktwissen zu Cyber-Sicherheit auf. Engerer Informationsaustausch soll helfen, ein anonymisiertes Lagebild der nationalen Cyber-Sicherheit zu erstellen. Zudem sollen in Deutschland tätige Unternehmen dabei unterstützt werden, ihre Sicherheitsarchitektur zu verbessern. Ihnen bietet die DCSO hochwertige Dienstleistungen, um Cyber-Gefahren zu identifizieren und abzuwehren. Dazu gehören beispielsweise ein Frühwarnsystem sowie Security-Audits, in denen die Informationssicherheit von Unternehmen geprüft wird. Erste Services starten 2016. In einer nächsten Stufe plant die DCSO, mit Kooperationspartnern auch neue Sicherheitstechnologien zu entwickeln. Die DCSO ist offen für weitere Partner. Im Fachbeirat der Gesellschaft können Unternehmen und Branchenverbände das Dienstleistungsangebot der DCSO gemeinsam weiterentwickeln. Der Beirat dient auch als gemeinsames Forum für Cyber-Sicherheit in Deutschland. Die DCSO wird ihren Sitz in Berlin haben und als wirtschaftlich eigenständige Gesellschaft mit beschränkter Haftung arbeiten. Die Gründungsgesellschafter Volkswagen AG, Allianz SE, BASF SE und Bayer AG stellen das Gründungs- und Startkapital. Nach Einholung der kartellrechtlichen Genehmigung werden sie zu jeweils 25 Prozent an der DCSO beteiligt sein. Gewinne sollen in Forschung und Entwicklung sowie strategische Projekte reinvestiert werden.
777
springer-gabler.de
Zentrales Nachschlagewerk rund um die internationale Wirtschaft Springer Fachmedien Wiesbaden (Hrsg.) Kompakt-Lexikon Internationale Wirtschaft 2.000 Begriffe nachschlagen, verstehen, anwenden
t
2013. XI, 459 S. Brosch. € (D) 19,99 | € (A) 20,55 | *sFr 25,00 ISBN 978-3-658-03038-4
Das Lexikon für Studium und Praxis definiert mehr als 2.000 Stichwörter zu Themen wie internationale Steuern, Wirtschaftspraxis und gesetzliche Regelungen. Einfach und verständlich werden die grundlegenden Fachbegriffe erklärt sowie die Wechselwirkungen zwischen den verschiedenen Bereichen dargestellt. Damit ist das KompaktLexikon Internationale Wirtschaft ein ideales Nachschlagewerk für Studierende der Wirtschaftswissenschaften an Universitäten und Fachhochschulen sowie für alle, die sich mit den vielfältigen Themen der Internationalen Ökonomie beschäftigen.
t t
Ein zentrales Nachschlagewerk für alle relevanten Aspekte rund um die internationale Wirtschaft Kompakt und verständlich erklärt Praxiswissen auf den Punkt gebracht
€ (D) sind gebundene Ladenpreise in Deutschland und enthalten 7% MwSt. € (A) sind gebundene Ladenpreise in Österreich und enthalten 10% MwSt. Die mit * gekennzeichneten Preise sind unverbindliche Preisempfehlungen und enthalten die landesübliche MwSt. Preisänderungen und Irrtümer vorbehalten.
Jetzt bestellen: springer-gabler.de
DUD REPORT
Veranstaltungskalender 11 | 2015
Veranstaltungen November Zeit und Ort
Thema der Veranstaltung
Veranstalter
02. – 03. November 2015 in Hannover
IT-Security-Auditor (TÜV)
TÜV Rheinland Akademie GmbH Am Grauen Stein, 51105 Köln Tel.: 0800/84840-06; Fax: 0800/84840-44 E-Mail:
[email protected]
02. – 06. November 2015 in Bochum
T.I.S.P.-Zertifikat – TeleTrusT Information Security Professional
isits International School of IT Security Lennershofstr. 19, 44801 Bochum Tel.: 0234/32-22873; Fax: 0234-32-14957 E-Mail:
[email protected]
04. – 05. November 2015 in Frankfurt / Main
IT-Sicherheit für Datenschutzbeauftragte
audatis Training - Datenschutz und Informationssicherheit Wittekindstr. 3, 32051 Herford Tel.: 05221/85496-90; Fax: 05221/85496-99
09. – 10. November 2015 in Fürstenfeldbruck
IT-Risikomanagement
ESG GmbH / ESG Cyber Training Center Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck Tel.: 089/92162080; Fax: 089/9216162080 E-Mail:
[email protected]
10. – 11. November in Bonn
BSI-Grundschutz in der Praxis - Die Umsetzung des IT-Grundschutz nach BSI in allen Schritten praxisnah vermittelt
Cyber Akademie Friedrich-Ebert-Allee 57, 53113 Bonn Tel.: 0228/9709-70; Fax: 0228/97097-77
10. – 11. November in Berlin
Information Security Solutions Europe – ISSE 2015
Revolution Events Ltd. Hawkwell Barn, Hawkwell Business Centre, Maidstone Road (A228), 0 Pembury, Kent, TN 4AG Tel.: +44-1892-820930; Fax: +44-1892-820931
10. – 13. November 2015 in Karlsruhe
Security Engineering - Sichere Systeme durch Security by Design
Secorvo Security Consulting GmbH Ettlinger Straße 12-14, 76137 Karlsruhe Tel.: 0721/255171-0;: Fax: 0721/255171-100 E-Mail:
[email protected]
13. November 2015 in Frankfurt / Main
Das IT-Sicherheitsgesetz
Gesellschaft für Informatik Wissenschaftszentrum, Ahrstr. 45, 53175 Bonn Tel.: 0228/302-145; Fax: 0228/302-167
16. – 17. November 2015 in München
Praxisorientierte Verschlüsselungslösungen - aktuelle Ansätze aus dem Bereich der Verschlüsselungstechnologien,
CBT Training & Consulting GmbH Elektrastr. 6a, 81925 München Tel.: 089/4576918-0; Fax: 089/4576918-25
16. – 19. November 2015 in Karlsruhe
ISSECO Certified Professional for Secure Software Engineering (CPSSE)
Secorvo Security Consulting GmbH Ettlinger Straße 12-14, 76137 Karlsruhe Tel.: 0721/255171-0;: Fax: 0721/255171-100 E-Mail:
[email protected]
16. – 21. November 2015 in Darmstadt
T.I.S.P. TeleTrusT Information Security Professional
Fraunhofer-Institut für Sichere Informationstechnologie (SIT) Rheinstraße 75, 64295 Darmstadt Tel.: 06151/869-282; Fax: 06151/869-127 E-Mail :
[email protected]
17. – 20. November 2015 in München
IT-Forensik CERT-Spezialist: IuK Forensik, Incident-Response & IT-Recht
CBT Training & Consulting GmbH Elektrastr. 6a, 81925 München Tel.: 089/4576918-0; Fax: 089/4576918-25
18. – 20. November 2015 in Fürstenfeldbruck
IT-Compliance Manager Seminar – mit TÜV Rheinland geprüfter Qualifikation
ESG GmbH / ESG Cyber Training Center Livry-Gargan-Straße 6, 82256 Fürstenfeldbruck Tel.: 089/92162080; Fax: 089/9216162080 E-Mail:
[email protected]
19. – 20. November in Köln
DAFTA 2015: Datenschutz in der Industrie 4.0
GDD - Gesellschaft für Datenschutz und Datensicherheit e.V. Heinrich-Böll-Ring 10, 53119 Bonn Tel.: 0228/96967-500; Fax: 0228/96967-525
24. – 25. November 2015 in Ismaning
Seminar „PKI Grundlagen und Realisierungskonzepte“
Secardeo GmbH Hohenadlstr.4, 85737 Ismaning Tel.: 089/189358-90; Fax: 089/189358-99
DuD • Datenschutz und Datensicherheit
11 | 2015
779
IMPRESSUM
DATENSCHUTZ UND DATENSICHERHEIT DuD – Datenschutz und Datensicherheit Recht und Sicherheit in Informationsverarbeitung und Kommunikation Ausgabe 11/2015, 39. Jahrgang | www.dud.de Verlag Springer Gabler | Springer Fachmedien Wiesbaden GmbH | Abraham-Lincoln-Straße 46 | 65189 Wiesbaden Amtsgericht Wiesbaden, HRB 9754 | USt-IdNr. DE811148419 www.springer-gabler.de Herausgeber Prof. Dr. B. Buchner Dr. jur. B. A. Mester Universitätsallee | GW1 | 28359 Bremen Postfach 2503 | 26111 Oldenburg Telefon: (0421) 218-66040 Telefon: (0441) 798-4133 Telefax: (0421) 218-66052 Telefax: (0441) 798-4136 E-Mail:
[email protected] [email protected] Dipl.-Inform. D. Fox Prof. Dr. H. Reimer Ettlinger Straße 12-14 | 76137 Karlsruhe Eichendorffstr. 16 | 99096 Erfurt Telefon: (0721) 255171-203 Telefon: (0361) 3464013 Telefax: (0721) 255171-100 Telefax: (0361) 3464014 E-Mail:
[email protected] E-Mail:
[email protected] Seniorherausgeber Dr. K. Rihaczek | Bad Homburg Beirat Dr. G. Bitz | SAP AG | Walldorf Prof. Dr. C. Busch | Fraunhofer Institut Graphische Datenverarbeitung | Darmstadt Prof. Dr. A. Büllesbach | Stuttgart Prof. Dr. R.W. Gerling | Datenschutzbeauftragter der Max-Planck-Gesellschaft | München Prof. Dr. R. Grimm | Institut für Wirtschafts- und Verwaltungsinformatik der Universität Koblenz-Landau M. Hansen | Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein | Kiel Prof. Dr. P. Horster | Institut für Systemsicherheit an der Universität Klagenfurt Th. Königshofen | Sicherheitsbevollmächtigter | Group Business Security | Deutsche Telekom AG | Bonn LL.M G. Krader | Konzern-Datenschutzbeauftragte Deutsche Post World Net | Bonn I. Münch | Bundesamt für Sicherheit in der Informationstechnik | Bonn Dr. T. Petri | Bayerischer Landesbeauftragter für den Datenschutz | München Prof. Dr. A. Roßnagel | Projektgruppe verfassungsverträgliche Technikgestaltung provet) | Universität Kassel P. Schaar | Vorsitzender, Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) | Berlin S. Schreiber | SySS GmbH | Tübingen Prof. Dr. R. Schweizer | Professor an der Hochschule St. Gallen Prof. Dr. J. Taeger | Carl von Ossietzky Universität Oldenburg Prof. Dr. M.T. Tinnefeld | Juristin, Publizistin | München A. Voßhoff | Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Dr. M. Waidner | Fraunhofer-Institut für Sichere Informationstechnologie | Darmstadt Dr. C. Wegener | wecon.it-consulting | Gevelsberg Bezugsmöglichkeiten Jährlich erscheinen 12 Hefte. Jahresabonnement 2015 EUR 299,Jahresabonnement 2015 (Firmen, Institutionen und Bibliotheken) EUR 419,Jahresabonnement 2015 (Studenten) EUR 98,- oder zum Vorzugspreis EUR 149,- gültig für persönliche Mitglieder der AwV (Arbeitsgemeinschaft für wirtschaftliche Verwaltung), des BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.), der DVD (Deutschen Vereinigung für Datenschutz e.V.), der DGRI (Deutsche Gesellschaft für Recht und Informatik), des FIfF (Forum Informatiker/Innen für Frieden und Gesellschaftliche Verantwortung e.V.), der GI (Gesellschaft für Informatik), für persönliche Mitglieder von TeleTrusT (Der IT-Sicherheitsverband Deutschlands). Der Vorzugspreis wird eingeräumt, wenn eine Bestätigung der Mitgliedschaft bzw. eine Studienbescheinigung vorgelegt wird. Einzelheftpreis EUR 41,Alle Preise gelten zuzüglich Versandkosten. Alle Bezugspreise und Versandkosten unterliegen der Preisbindung. Bezug durch den Buchhandel oder den Verlag. Abbestellungen müssen schriftlich spätestens 6 Wochen vor Ende des Bezugszeitraumes erfolgen. Im laufenden Jahrgang kann jeweils ein Sonderheft erscheinen, das nach Umfang berechnet und den Abonnenten im Erscheinungsjahr mit einem Nachlass von 25% des jeweiligen Ladenpreises geliefert wird. Bei Nichtgefallen kann das Sonderheft innerhalb einer Frist von 3 Wochen zurückgegeben werden. Hinweise für Autoren Bitte beachten Sie die ausführlichen Informationen unter www.dud.de. Manuskripte möglichst in maschinenlesbarer Form (Word-Datei) an den zuständigen Herausgeber (Report: Herr Reimer, Recht: Frau Mester oder Herr Buchner und Technik: Herr Fox) senden. Leserbriefe an die Herausgeber sind erwünscht, deren Publikation und eventuelle Kürzungen vorbehalten.
780
Geschäftsführer Armin Gross Joachim Krieger Dr. Niels Peter Thomas Gesamtleitung Produktion Olga Chiarcos Gesamtleitung Anzeigen Armin Gross Abonnentenverwaltung | Leserservice Springer Customer Service Center GmbH Haberstr. 7 | D-69126 Heidelberg Telefon: (06221) 345-4303 Telefax: (06221) 345-4229 Montag bis Freitag, 8.00 Uhr bis 18.00 Uhr E-Mail:
[email protected] Produktmanagement Elke Janosch Telefon: (030) 82 787-5367 Telefax: (030) 82 787-5365 E-Mail:
[email protected] Anzeigen Anzeigenleitung: Yvonne Guderjahn Telefon: (0611) 7878-155 Telefax: (0611) 7878-78155 E-Mail:
[email protected] Anzeigendisposition: Petra Steffen-Munsberg Telefon: (0611) 7878-164 Telefax: (0611) 7878-78164 E-Mail: petra.steff
[email protected] Es gilt die Anzeigenpreisliste vom 01.10.2012. Produktion Frieder Kumm Technische Redaktion Oliver Reimer Am Hohlstedter Weg 1a | 99441 Großschwabhausen Telefon: (036454) 130040 Telefax: (036454) 130041 E-Mail:
[email protected] Satz Oliver Reimer | Großschwabhausen Druck und Verarbeitung Stürtz GmbH | Würzburg Gedruckt auf säurefreiem und chlorarm gebleichtem Papier. | Printed in Germany ISSN print 1614-0702 © Springer Gabler ist eine Marke von Springer DE. Springer DE ist Teil der Fachverlagsgruppe Springer Science+Business Media. Alle Rechte vorbehalten. Kein Teil dieser Zeitschrift darf ohne schriftliche Genehmigung des Verlages vervielfältigt oder verbreitet werden. Unter dieses Verbot fällt insbesondere die gewerbliche Vervielfältigung per Kopie, die Aufnahme in elektronische Datenbanken und die Vervielfältigung auf CD-ROM und allen anderen elektronischen Datenträgern. Dieser Ausgabe liegt eine Beilage der TÜV Nord Akademie bei. Wir bitten unsere Leser und Leserinnen um Beachtung.
DuD • Datenschutz und Datensicherheit
11 | 2015
