Rechner für deren Betriebssysteme keine Updates und Sicherheits-Patches mehr vom Hersteller zur Verfügung gestellt bekommen müssen aus Sicherheitsgründen gesondert behandelt werden (Windows XP, Windows 7, Windows Server 2003, 2008 …). Bei Sicherheitsvorfällen, die auf veraltetet Betriebssysteme zurückzuführen sind, liegt ein Mitverschulden der verantwortlichen Stelle vor. Die Konsequenzen können hier sehr weitreichend sein.
Informationssicherheit
Nieder mit dem Passwortwahn – oder ist „lk54_:,/8Wq-LISs763“ ein gutes Passwort?
Die Debatte ist alt – was macht ein gutes und somit sicheres Passwort aus? In der Regel wird auf die Notwendigkeit komplexer Passwortregeln verwiesen, angereichert mit dem regelmäßigen Wechsel des Passworts. Ist dieses Paradigma wirklich angebracht und sorgt für sichere Authentisierung? Wir vertreten seit längerer Zeit einen diametralen Standpunkt, dass zu komplexe Passwörter und häufige erzwungene Passwortwechsel die Sicherheit schwächen, da die Passwörter unweigerlich notiert bzw. ungeschützt abgespeichert werden.
EU Datenschutz-Grundverordnung ab Mai 2018 – was ändert sich für Unternehmen
Die neue EU Datenschutz-Grundverordnung ist bereits seit dem 25. Mai 2016 in Kraft, wirksam wird sie aber erst am 25. Mai 2018. Welche Auswirkungen hat dies für Unternehmen, welche Schritte sind für die erforderliche Transformation des Datenschutz-Managementsystems notwendig, um den neu entstehenden Compliance Verpflichtungen nach zu kommen.
Datenschutz heute
Aktuell ist die EU Datenschutzrichtlinie 95/46EG aus dem Jahre 1995 für alle Mitgliedsstaaten in der Gestalt verpflichtend, dass die Aussagen der Richtlinie im nationale Gesetze umgesetzt worden sind. In Deutschland ist dies das Bundesdatenschutzgesetz (BDSG) oder in Österreich das Gesetz „Datenschutz 2000“. Dies hat u.a. die Folge, dass sich etwa Facebook und Google bei der Wahl des europäischen Firmensitzes für Irland entschieden haben. 28 nationale Gesetzgebungen mit einem heterogenen Datenschutzrecht, dass für europäisch agierende Unternehmen, aber für Bürger, in Sachen Rechtssicherheit sehr unbefriedigend ist.
Datenschutz 2018
Die EU Kommission hat im Januar 2012 den ersten Entwurf einer EU Datenschutz-Grundverordnung (DS-GVO) vorgestellt. Neben der unakzeptablen Heterogenität des europäischen Datenschutzrechts spielten noch weitere Gründe eine wichtige Rolle:
- Chancengleichheit für europäische Unternehmen, durch eine stärkere Verbindlichkeit der DS-GVO für US Internet Unternehmen (Anwendbarkeit und drastische Erhöhung der Geldbußen)
- Einzug der digitalen Lebens- und Arbeitswelt in das neue EU Datenschutzrecht
- Stärkung der Verbraucherrechte (z. B. im Internet-Handel)
DS-GVO: Zertifizierung (Art. 42)
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.
2 Zertifizierung (Art. 42)
Die in der DS-GVO vorgesehene Zertifizierung ist eine Neuerung zum BDSG. Im Erwägungsgrund 100 zur DS-GVO wird dazu ausgeführt:
„Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.“ (ErwGr 100 DS-GVO)
BYOD – Bring Your Own Desaster
Es gibt Themen die nahezu unsterblich sind. BYOD gehört zu dieser Kategorie. Vor einigen Jahren galt BYOD als topaktuell, und um eine Referentin zu zitieren „BYOD ist sexy – für Unternehmen und Mitarbeiter“. Ob dem so ist sehe ich als fraglich an, und betrachtet man die Verbreitung von BOYD in Unternehmen, so zeigen sich Zweifel an der damaligen euphorischen Aussage. Trotz alle dem, was ist aus Sicht des Datenschutzes und der Informationssicherheit anzumerken?