Es ist wieder die „stade Zeit“ wie man in Bayern sagt. Weihnachten ist da und alle freuen sich auf ein paar besinnliche Tage im Kreis der Familie. Blicken wir noch einmal zurück auf einige wichtige Datenschutzthemen 2017…
DIE DSGVO STEHT VOR DER TÜR
Am 25. Mai 2018 wird es dann soweit sein: Die DS-GVO wird nach zweijährige Übergangsfrist gültig, d. h. auch bei bayerischen Unternehmen anwendbar. Zur „Halbzeit“ dieser Übergangsfrist am 25. Mai 2017 hatte das BayLDA eine erste große Sensibilisierungsaktion hierzu gestartet und einen DS-GVO-Fragebogen an zahlreiche Unternehmen in Bayern verschickt. Ziel war es, Unternehmen und Verbänden zu signalisieren, welche Anforderungen die DS-GVO stellt und nach welchen Kriterien die Datenschutzaufsichtsbehörden ab dem Mai 2018 dann auch konsequent prüfen und kontrollieren wollen. Die Resonanz auf diese Aktion des BayLDA war durchwegs positiv. Allerdings musste im Ergebnis festgestellt werden, dass der Umsetzungsstand der neuen gesetzlichen Anforderungen im Datenschutzrecht bei bayerischen Unternehmen längst noch nicht so weit war wie erhofft. Eine Selbsteinschätzung kann auf Seiten des BayLDA vorgenommen werden: https://www.lda.bayern.de/tool/start.html
KRITISCHE SCHWACHSTELLE IN WLAN-VERSCHLÜSSELUNG
Im Oktober warnte das Bundesamt für Sicherheit in der Informationstechnik, dass der Sicherheitsstandard WPA2, der insbesondere zur Verschlüsselung von WLAN-Netzwerken empfohlen wird, über kritische Schwachstellen verwundbar sei. Betroffen waren demnach alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet dazu, WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen. Die Ursache der Schwachstellen waren Designfehler des zugrunde liegenden IEEE-Standards 802.11. Die Hersteller reagierten schnell mit entsprechenden Updates bzw. Patches
BAYLDA PRÜFTE WEBSEITENVERSCHLÜSSELUNG
Als ersten Schritt dieser Cybersicherheitsinitiative prüfte das BayLDA die Verschlüsselung von Webseiten bayerischer Anbieter. Die Erfahrung des BayLDA zeigte, dass Webserver von Unternehmen nicht immer entsprechend dem Stand der Technik betrieben werden. Das Hauptproblem läge dabei im Fehlen eines Zertifikats oder einer nicht ausreichenden HTTPS-Konfiguration – was dazu führe, dass Kundendaten unverschlüsselt oder schwach verschlüsselt durch das Internet zum Zielserver übertragen und letztendlich abgegriffen werden können. Zwar können auch Daten, die entsprechend dem Stand der Technik verschlüsselt sind, abgefangen werden – jedoch ist bei diesen ein „Knacken“ massenhafter Daten ohne unverhältnismäßigen Aufwand kaum möglich. Neben der Prüfung einiger vom BayLDA ausgewählter Webseiten bietet der neue Online-Service erstmals die Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Sowohl Unternehmen, die Ihre eigene Webseite prüfen lassen wollen, als auch Bürger, die bestimmte Internet-Dienste prüfen lassen möchten, können die jeweilige URL auf der Homepage des BayLDA in ein dafür vorgesehenes Formularfeld eingeben. Unternehmen, die ihre eigene Webseite eingegeben haben, erhalten ein schriftliches Feedback mit dem Ergebnis der Prüfung. Bürger, die eine Webseite von Dritten nennen, bekommen keine persönliche Rückmeldung, können allerdings sicher sein, dass wir die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen werden. Falls die HTTPS-Verschlüsselung der Webseite den gesetzlichen Anforderungen nicht entspricht, werden die betroffenen Unternehmen zur Nachbesserung aufgefordert und als letztes Mittel auch per Anordnung dazu gezwungen. Der HTTPS-Check kann über folgenden Link auf der Webseite des BayLDA angestoßen werden: www.lda.bayern.de/de/httpscheck.html
Weiter geht es nach den Feiertagen in Teil 2…