Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) startet seine „Cybersicherheitsinitiative zum Schutz personenbezogener Daten“. Dazu wird als erster Baustein ein neuer Online-Service angeboten, über den die HTTPS-Verschlüsselung einer Webseite zur Überprüfung gemeldet werden kann.

AKTUELLE GEFÄHRDUNGSLAGE

Cyberangriffe haben in den vergangenen Jahren spürbar zugenommen. Dafür gibt es verschiedene Gründe, wobei der Profit durch den gezielten Verkauf personenbezogener Daten im Darknet als Hauptmotivation relativ weit oben steht. Für Cyberkriminelle ist dieses „Geschäft“ rentabel, für Unternehmen dagegen der blanke Horror: schließlich drohen durch solche Angriffe einerseits empfindliche finanzielle Verluste, andererseits aber auch nachhaltige Imageschädigungen, die eine Abwanderung von Kunden zur Folge haben können. Für die Betroffenen sind neben finanziellen Schäden auch die Verletzung ihrer Persönlichkeitsrechte, wie z. B. Rufschädigung oder Diskriminierung, zu befürchten.
Als Datenschutzaufsichtsbehörde ist das BayLDA bei der Aufarbeitung solcher Vorfälle bereits heute involviert: Nach § 42a Bundesdatenschutzgesetz (BDSG) besteht eine Meldepflicht von Unternehmen über Sicherheitsvorfälle, wenn sensible Daten betroffen sind (z. B. Bank- oder Gesundheitsdaten) und gleichzeitig den betroffenen Personen schwer- wiegende Beeinträchtigungen drohen. Während früher dem BayLDA im Rahmen dieser sog. Datenpannenmeldungen meist die Fehlversendung vertraulicher Unterlagen oder der Verlust von Datenträgern mitgeteilt wurde, wird die Behörde mittlerweile vermehrt auch mit Meldungen von Hacking-Angriffen konfrontiert. So melden Unternehmen, dass Kundendaten aus dem Webshop gestohlen wurden oder Ärzte, dass sie aufgrund eines Verschlüsselungstrojaners nicht auf Patientendaten zugreifen können. Vorfälle, bei denen es hunderttausende Betroffene gibt oder ein sehr ho- her finanzieller Schaden entsteht, sind keine Seltenheit mehr.

DIE CYBERSICHERHEITSINITIATIVE

Gerade aufgrund der gestiegenen Gefährdungslage im Internet und dem Ausblick, dass eine baldige Besserung hier- bei nicht erkennbar ist, stärkt das BayLDA seinen Fokus auf Maßnahmen zur Cybersicherheit für bayerische Unternehmen, damit diese personenbezogene Daten zeitgemäß, angemessen und wirksam vor den täglichen Gefahren im digitalen Zeitalter besser schützen. Das BayLDA will künftig insbesondere durch flächendeckende automatisierte Prüfungen Schwachstellen und Sicherheitslücken aufzeigen, um dadurch Unternehmen in Bayern zu sensibilisieren und, sollte es notwendig sein, auch dazu zu bewegen, sicherheitsrelevante Themen mit entsprechender Ernsthaftigkeit zu begegnen. Letztendlich drohen ab Mai 2018 durch die Datenschutz-Grundverordnung (DS-GVO) bei Verstößen Bußgelder in empfindlicher Größenordnung: Bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens (je nachdem, welcher Betrag höher ist) können verhängt werden.

ONLINE SERVICE – HTTPS-CHECK

Als ersten Schritt dieser Cybersicherheitsinitiative prüft das BayLDA die Verschlüsselung von Webseiten bayerischer Anbieter (Details zum Ablauf der Prüfung siehe Anhang). Die Erfahrung des BayLDA zeigt bislang, dass Webserver von Unternehmen nicht immer entsprechend dem Stand der Technik betrieben werden. Das Hauptproblem liegt dabei im Fehlen eines Zertifikats oder einer nicht ausreichenden HTTPS-Konfiguration – was dazu führt, dass Kundendaten unverschlüsselt oder schwach verschlüsselt durch das Internet zum Zielserver übertragen und letztendlich abgegriffen werden können. Zwar können auch Daten, die entsprechend dem Stand der Technik verschlüsselt sind, abgefangen werden – jedoch ist bei diesen ein „Knacken“ massenhafter Daten ohne unverhältnismäßigen Aufwand kaum möglich.
Neben der Prüfung einiger von uns ausgewählter Webseiten bietet der neue Online-Service des BayLDA erstmals die Möglichkeit an, dass konkrete Webseiten zur Überprüfung mitgeteilt werden. Sowohl Unternehmen, die Ihre eigene Webseite prüfen lassen wollen, als auch Bürger, die bestimmte Internet-Dienste prüfen lassen möchten, können die jeweilige URL auf der Homepage des BayLDA in ein dafür vorgesehenes Formularfeld eingeben. Unternehmen, die ihre eigene Webseite eingegeben haben, erhalten ein schriftliches Feedback mit dem Ergebnis der Prüfung. Bürger, die eine Webseite von Dritten nennen, bekommen keine persönliche Rückmeldung, können allerdings sicher sein, dass wir die Einhaltung der Mindestanforderungen an die HTTPS-Verschlüsselung bei den gemeldeten Webseiten sicherstellen werden. Falls die HTTPS-Verschlüsselung der Webseite den gesetzlichen Anforderungen nicht entspricht, werden die betroffenen Unternehmen zur Nachbesserung aufgefordert und als letztes Mittel auch per Anordnung dazu gezwungen. Der HTTPS-Check kann über folgenden Link auf der Webseite des BayLDA angestoßen werden:

www.lda.bayern.de/de/httpscheck.html

Andreas Sachs, Vertreter des Präsidenten und gleichzeitig Leiter des Referats für IT-Sicherheit und technischen Datenschutz im BayLDA, äußert sich zur Cybersicherheitsinitiative und dem neuen Online-Service wie folgt:

„Prävention bleibt auch im technischen Datenschutzumfeld das A und O. Während man in der Vergangenheit das Gefühl hatte, gegen Windmühlen ankämpfen zu müssen, stellen wir jetzt zumindest fest, dass ‚Sicherheit‘ in den Köpfen angekommen ist. Der nächste Schritt ist nun, aufzuzeigen, an welchen Stellen die Unternehmen konkret anpacken müssen. Wir wollen auch künftig unseren Teil dazu beitragen, dass die Anzahl kritischer Vorfälle in Bayern möglichst gering bleibt und im Zweifelsfall, wenn es doch dazu kommt, dass der Schaden durch eine gezielte Aufarbeitung minimiert wird. Sollten wir jedoch bei unseren Prüfungen auf ’schwarze Schafe‘ treffen, die sich weigern, den gesetzlichen Anforderungen an den Datenschutz nachzukommen, werden wir diese mit Anordnungen oder Bußgeldern zwingen, den Grundrechtsschutz ihrer Beschäftigten, Kunden und/oder Interessenten zu wahren.“

Das BayLDA appelliert an alle bayerischen Verantwortlichen, d. h. Unternehmen, Vereine, Verbände, freiberuflich Tätigen usw., die mit personenbezogenen Daten umgehen, das Thema Cybersicherheit ernst zu nehmen. Mit der DS-GVO wird der Gesichtspunkt der Sicherheit der Verarbeitung auch formell bedeutender, sodass es für Unternehmen keinerlei Spielraum gibt, dieses Thema nur stiefmütterlich zu behandeln.