Deutsche Datenbanken – ein kurzer Überblick

Langsam kommt man nicht mehr hinterher in Deutschland: Nahezu täglich gibt es neue Datenbanken, scheinbar ohne dass die Bürger es bemerken. Ich versuche hier eine kleine Übersicht zu erstellen und fortzuführen, ich freue mich jederzeit über weitere Hinweise.

Hinweis: Es gibt eine vollständige Übersicht – basierend auf der Anfrage eines Abgeordneten – die hier verlinkt ist.

  • Da wäre die Gen-Datenbank, die zunehmend auch bei einfachen Delikten mit „freiwilligem“ Material bestückt wird (Informationen),
  • die Elena-Datenbank, die Daten über die Einkommensverhältnisse aller Arbeitnehmer speichern wird (Informationen),
  • das Zentralregister in Flensburg,
  • das Bundeszentralregister,
  • das Bundesmelderegister mit der tollen neuer Steuer-Identifikation (Informationen),
  • mit Schufa und Creditreform zwei faktische Schuldnerdatenbanken, die Einblick in Vermögensverhältnisse und Vermögensverbindungen der Bürger geben,
  • ein Zahlungsprofil bei Kartenzahlung via EC-Karte bei easycash (Informationen),
  • die geplante zentrale EU-Datenbank für Fingerabdrücke, wobei noch nicht feststeht, wessen Abdrücke da drin stehen,
  • zentrale „Anti-Terror-Datei“,
  • durch die bald beschlossene Vorratsdatenspeicherung eine dezentral geführte aber zielgerichtet abfragbare Datenbank (1:n) für TK-Verbindungen aller Deutschen (Information),
  • es wird eine Datenbank angedacht, in der zentral alle Autos samt Halter, Versicherungen und TÜV geführt werden (hier bei SPON),
  • ebenfalls diskutiert wird die Einführung eines Verzeichnisses für Menschen die Ihre Religion, hin zum Islam, wechseln,
  • und ein Verzeichnis (Registerpflicht) für diejenigen die „gefährliche“ Stoffe wie Wasserstoffperoxid kaufen möchten
  • es wird eine „Einladerdatei“ angedacht: Wer einen visumpflichtigen Ausländer nach Deutschland einlädt, soll künftig in einer speziellen Datei gespeichert werden. (Hinweis bei Spitzelblog)
  • Zusätzlich wird immer stärker verlangt, biometrische Merkmale aller Bürger zentral zu speichern (Hier zu lesen)
  • Solarkastaster (Details gibt es hier)

Datenschutz und Zertifizierung

Der Europäische Datenschutz-Ausschuss (vgl. die aktuelle Verlautbarung hierzu) sieht keine rechtliche Möglichkeit für die Zertifizierung von Management-Systemen im Datenschutz (sondern hält den Zertifizierungs-Bereich auf Produkte und Dienstleistungen beschränkt).

Es besteht damit eine Angebots-Lücke bei offiziellen Zertifizierungen, da Unternehmen unter der DSGVO keine staatliche Zertifizierung für ihre Datenschutz-Prozesse erhalten können.

ISO 27001 und ISO 27552 für Groß-Unternehmen

Die ISO 27001 (IT-Sicherheit) und die darauf aufsetzende ISO 27552 (Datenschutz-Management; verfügbar ab voraussichtlich April 2019) wird zumindest für Groß-Unternehmen eine alternative Möglichkeit bieten, Datenschutz-Prozesse auf ISO-Basis einer Zertifizierung/Bestätigung durch akkreditierte Stellen zu unterziehen.

Für kleinere Unternehmen (welche sich eine teure Zertifizierung/Anerkennung nach ISO 27001/27552 nicht leisten können) ist keine Möglichkeit absehbar, ihre Unternehmen mit amtlicher Anerkennung im Datenschutz zertifizieren zu lassen.

Private Zertifizierungsangebote

Die bestehende Lücke wird derzeit von mehreren privaten Anbietern adressiert. Dies sind rechtlich gesehen also weder offizielle Zertifizierungsverfahren gem. Art. 42 (1) DSGVO, noch entsprechen diese einer ISO-Normierung.

Durch die privaten Anbieter erfolgt eine Überprüfung und Dokumentation der Einhaltung der Anforderungen der DSGVO ohne Erteilung eines staatlich anerkannten Zertifikats.

CPS: Certified Privacy Standard

Die IITR Datenschutz GmbH hat sich nach der oben zitierten Verlautbarung des Europäischen Datenschutz-Ausschusses entschlossen, unter der Bezeichnung „Certified Privacy Standard“ einen Datenschutz-Standard vorzulegen. Die Voraussetzungen sind in einem Konformitätsbewertungs-System zusammengefasst. Als Grundlage dient das im April 2018 vorgestellte Compliance-Kit der IITR Datenschutz GmbH. Dieses stellt u.a. ein Datenschutz-Management-System zur Verfügung und bildet dazu die strukturellen Anforderungen der DSGVO nach, wobei sich der Aufbau an der ISO High-Level-Structure orientiert.

Partiell vergleichbar dazu wäre die BS 10012 des BSI (British Standards Institution), soweit diese inhaltlich auf DSGVO-Bestimmungen Bezug nimmt.

Zwei Ausführungen des Certified Privacy Standard

CPS 100 für mittelständische Unternehmen

Dieser Standard sichert die Konformität mit den Bestimmungen der DSGVO zum Zeitpunkt der Überprüfung zu. Durch die im zugrundezulegenden Compliance-Kit implementierte Versionierung der jeweils aktuellen Dokumentenlage kann die Konformität fortlaufend im Compliance-Kit dokumentiert werden.

CPS 600 für kleine Unternehmen

Dieser Standard sichert die Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht zum Zeitpunkt der Überprüfung zu. Durch die implementierte Versionierung im hierbei verwendeten Datenschutz-Kit wird zwischen den Überprüfungen der Stand der jeweils vorliegenden Dokumentenlage dokumentiert.

Auditierungen

Die Überprüfung des CPS 100 erstreckt sich auf die Dokumentenlage im Compliance-Kit der IITR Datenschutz GmbH und wird durch eine eigenständige Gesellschaft als unabhängige Stelle vorgenommen.

Die Überprüfung des CPS 600 ist auf das Datenschutz-Kit der IITR Datenschutz GmbH abgestimmt und wird durch eine eigenständige Gesellschaft vorgenommen. Die Bestätigung erfolgt durch die IITR Datenschutz GmbH.

Ungehinderter Zugang zu Kritis Infrastrukturen

Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.

Es ist kein Geheimnis mehr das leider immer noch ungesicherte Fernzugänge auf Kritis Infrastrukturen möglich sind.

Das aber „freundlicherweise“ schon Zugangsdaten voreingestellt sind ist nun doch wert die ganze Sache einmal mehr kritisch zu hinterfragen

Aktueller Artikel auf golem.de

Woran liegt es ?

Mangelndes Wissen bei den Betreibern ?

Ignoranz seitens der Hersteller und Betreiber ?

Es wird dringend Zeit das auch vom Gesetzgeber verschärft auf dieses Problem reagiert wird.

 

Datenpanne bei Alexa

Kunde erhält 1700 fremde Sprachaufzeichnungen

Ein Nutzer des Sprachassistenten wollte von Amazon eine Auskunft über die zu ihm gespeicherten Daten erhalten. Die Antwort enthielt außerdem 1700 Sprachaufzeichnungen eines anderen Kunden.

Der Internet-Konzern Amazon hat ein Datenleck bei seinem digitalen Sprachassistenten Alexa bestätigt. „Dieser unglückliche Fall war die Folge eines menschlichen Fehlers und ein isolierter Einzelfall“, erklärte der Konzern am Donnerstag. Das Problem sei mit den beiden beteiligten Kunden geklärt und Maßnahmen zur weiteren Verbesserung der Prozesse ergriffen worden. „Wir standen auch vorsorglich in Kontakt mit den zuständigen Behörden.“

Das Computermagazin „c’t“ hatte zuvor berichtet, dass 1700 Alexa-Sprachaufzeichnungen von Amazon an einen Unbefugten versendet worden seien. Ein Kunde habe gemäß seines Rechts auf Selbstauskunft seine gespeicherten Daten abgerufen und dabei auch die Sprachaufzeichnungen aus einer anderen Wohnung erhalten. Nachdem er Amazon über die Panne informiert habe, hätte der Konzern die Daten zwar gelöscht, den betreffenden Nutzer aber nicht informiert.

Datenschützer kritisieren seit längerem den fraglichen Umgang von Daten, die von Alexa, Apples Siri, Google Home und anderen Sprachaufzeichnern gesammelt werden.

Malware in Bewerbungen

Wer ein Stellenangebot ausgeschrieben hat, sollte aktuell besonders wachsam sein.

Unbekannte nutzen die Daten in Stellenanzeigen und verbreiten einen Virus, der aktuell nicht als Schadsoftware erkannt wird.

Die angeblichen Bewerbungen mit dem Betreff „Bewerbung auf Ihre Stellenanzeige bei meinestadt.de“ enthalten teils ein Bewerbungsfoto. 

Daran  erkennen Sie die gefährlichen Bewerbungen. Malware in Bewerbungen weiterlesen

Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm

Im bayerischen Fürstenfeldbruck muss die örtliche Klinik seit Tagen fast komplett ohne Computer auskommen; verantwortlich ist Malware.

Das Klinikum Fürstenfeldbruck in Bayern muss seit einer Woche ohne Computer auskommen, nachdem offenbar ein per Mail empfangener Trojaner die IT-Systeme infiziert hat.

Das meldet der Münchner Merkur unter Berufung auf Verantwortliche des Krankenhauses in der Kreisstadt westlich von München.

Noch immer werden demnach fast alle der 450 vorhandenen Computer überprüft und die Angelegenheiten des Hauses müssen weitgehend ohne IT-Unterstützung erledigt werden.

Erst in den kommenden Tagen sollten alle Geräte wieder funktionieren. Fürstenfeldbruck: Malware legt Klinikums-IT komplett lahm weiterlesen

Cyberangriff: KraussMaffei von Hackern erpresst

Ein Hackerangriff mit einem Trojaner hat die Fertigung und Montage des Maschinenbauers KraussMaffei lahmgelegt. Die Angreifer forderten Lösegeld.

Der Maschinenbaukonzern Krauss Maffei ist nach eigenen Angaben von einem schweren Cyberangriff getroffen worden.

Nach der Attacke vor gut zwei Wochen habe das Unternehmen mit Hauptsitz in München an einigen Standorten nur mit gedrosselter Leistung produziert, da viele Rechner aufgrund einer Trojaner-Attacke lahmgelegt worden seien, bestätigte ein Unternehmenssprecher am Donnerstagabend. Cyberangriff: KraussMaffei von Hackern erpresst weiterlesen

Emotet legt ganze Firmen lahm (5.12.2018)

Emotet legt ganze Firmen lahm (5.12.2018)

Eine neue Trojaner-Generation mit völlig authentisch wirkenden emails bedroht zurzeit Firmen und natürlich auch Privatleute

BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sehen eine akute Welle von Infektionen mit Emotet, die Millionenschäden anrichtet.

Eine Cybercrime-Gang legt derzeit in Deutschland ganze Firmen lahm. Die Schäden erreichen schon in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht überblicken. Der Verursacher ist Emotet – ein Trojaner, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.

Die Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder Bekannten. Emotet legt ganze Firmen lahm (5.12.2018) weiterlesen