Christina Denz ist Journalistin, PR-Beraterin, Dozentin und Redakteurin der „BvD-News“.
„KI betrifft auch Datenschutzbeauftragte“, sagte BvD-Vorstandsvorsitzender Thomas Spaeing zum Auftakt der bislang größten Veranstaltung des BvD in seiner Geschichte. Denn KI beschleunige Cyberangriffe auf öffentliche wie nicht-öffentliche Stellen. Dabei hätten Datenschutzbeauftragte eine wichtige Beratungsfunktion, gerade auch bei kleinen und mittleren Unternehmen. Denn nicht immer könnten sie sich eigene IT-Sicherheitsfachleute leisten.
Kritik an der ePA
Dabei hatte Spaeing insbesondere den Medizinbereich im Blick. Denn dort sorgt nicht nur die seit bald 20 Jahren geplante elektronische Patientenakte (ePA) für Debatten. Auch sog. Fütter-Roboter und andere intelligente Versorgungssysteme, robotergestützte Operationen oder automatische Diagnostiksysteme benötigen eine Vielzahl an personenbezogenen Daten.
Aber selbst elementarste Fragen, was mit den gesammelten Daten geschieht, wo sie gespeichert werden, wer Zugriff auf sie erhält und wie sie gesichert und verschlüsselt sind, bleiben bislang unbeantwortet. Aktuell winkt selbst die Ärzteschaft in Teilen ab, weil sie den Datenschutz der ePA nicht garantieren kann, wie Thomas Spaeing ausführte.
Kritik an der ePA äußerte auch IT-Security-Analyst Carl Fabian Lüpke auf der Konferenz. Das bisherige Vorgehen bezeichnete er als „absolut haarsträubend“, nicht der Datenschutz sei an der schleppenden Entwicklung schuld, „sondern Stümperei“. Insbesondere kritisierte er, dass es für Privatkassen keine Verpflichtung zur zentralen Speicherung der Patientendaten gibt, sondern ausschließlich für Kassenpatienten. „Privacy kostet in Zukunft“, so Lüpke.
Cybercrime nutzt Schwachstellen in den Systemen
Dabei ist der Datenschutz nur eine Seite der Medaille. Die andere Seite ist die Cyberkriminalität. Sind Daten von Krankenhäusern, Praxen oder Unternehmen nicht sicher aufgesetzt, sind sie leicht von Kriminellen zu knacken. Schwachstellen im System sind das Einfallstor für Malware, Trojaner und Viren, warnen Fachleute wie Haya Shulmann.
Deshalb appelliert die international anerkannte Wissenschaftlerin vom Fraunhofer SIT in Darmstadt vor allem an kleine und mittelständische Betriebe, ihre IT-Systeme regelmäßig auf Schwachstellen zu untersuchen. Shulman weiß um die Schwierigkeiten des Mittelstands. „Oft gibt es dort keine Data-Security-Personen, da ist der Datenschutzbeauftragte der einzige, der sich mit Daten auskennt“, sagte sie in ihrer per Video übertragenen Key Note zum Auftakt der BvD-Verbandstage.
Laut Shulman haben sich Cyberangriffe seit der Corona-Pandemie und der dadurch ungeordnet explodierten Digitalisierung in allen Sektoren und Bereichen potenziert. Dabei wachse aktuell wieder die Bedeutung von E-Mail, die Hacker auf Social-Media-Plattformen wie LinkedIn und Facebook und mit Hilfe von Infostealer-Softwares gleich inklusive Passwörter erbeuteten. Die Daten wandern dann als Ware ins Darknet.
„Passwörter werden ein wichtiger Teil von Cyberkriminalität“, so Shulman. „Die persönlichen Daten spielen eine immer wichtigere Rolle in diesem kriminellen Ökosystem“. Es gebe im Darknet Millionen E-Mail-Adressen umfassende Listen.
Und dennoch würden etwa bei DAX-Konzernen und an Hochschulen - beide Bereiche untersuchten Shulman und ihr Team dezidiert auf IT-Sicherheitsstruktur – Passwörter mehrfach verwendet, von IT-Fachleuten wie von Studierenden und Mitarbeitenden. Schwachstellen gebe es aber auch bei Services und Ports, fand Shulman heraus.
Cyber-Krimi aus der Realität
Wirtschaftsprüfer und Rechtsanwalt Karl-Christian Bay sowie Datenschutz- und Informationssicherheitsberater Tobias Baader berichteten aus dem Inneren der Cyberattacke auf den Lebensmitteleinzelhändler tegut… gute Lebensmittel GmbH & Co. KG (tegut) im April 2021. Bay sitzt u.a. im Beirat des Mittelständlers. Was er den Zuhörenden erzählte, verschlug ihnen fast den Atem. Obwohl tegut laut Bay bereits mit seiner IT-Infrastruktur und insbesondere die Organisation an sich gut aufgestellt war, und - Glück im Unglück ein IT-Mitarbeiter sofort die Filialen abkoppelte, als er den Angriff bemerkte - durchlief das Unternehmen laut Bay alle Stadien einer klassischen Cyberattacke - von der Verschlüsselung der Daten, über unzählige Erpressungsversuche, versuchte DDOS-Attacken, Veröffentlichung von Unternehmensdaten im Darknet und Trittbrettfahrer, die an der Attacke mitverdienen wollten.
Im Jahr der Attacke 2021 auf tegut explodierte laut Baader die Zahl der Ransomware-Angriffe um 435%. In Folge des russischen Angriffskriegs auf die Ukraine stieg im Folgejahr 2022 auch die Zahl der zielgerichteten Angriff, u.a. DDOS-Attacken. Dabei schleusten die Angreifer mitunter so viel Traffic auf die Zielsysteme, dass die in die Knie gingen und nicht mehr erreichbar waren. Diesem Wahnsinns-Wachstum steht ein Mangel an ausgebildeten Fachleuten gegenüber.
Ihm zufolge sind rund 95% der Cybersecurity-Vorfälle auf menschliches Versagen zurückzuführen: Ein Mitarbeiter öffnet eine mit Schadsoftware bestückte E-Mail, eine Mitarbeiterin wird auf eine gefälschte Seite geleitet und gibt dort Daten ein. „Wir müssen dringend in die sog. Human Firewall und in Training der Beschäftigten investieren“, sagt Baader.
Das Vertrackte: Die Angreifer geben sich selten direkt erkennbar, sodass der Angriff meist lange Zeit bis zum eigentlichen Impakt unbemerkt bleibt. Vielmehr sprechen Fachleute von der „stillen Phase“, in der die Täter bereits im gekaperten System agieren, Daten und Befugnisse abschöpfen, aber das System keine Anzeigen eines Angriffs erkennen lässt. Bei tegut startete der Angriff typischerweise in der Nacht von Freitag auf Samstag gegen 4:30 Uhr. „Das Unternehmen ist extrem gut aufgestellt gewesen, es gab Krisenstäbe, Notfallprogramme. Bis zum Frühstück waren alle informiert“, sagt Bay.
tegut entschied sich, mit dem Vorfall in die Öffentlichkeit zu gehen und kein Lösegeld zu zahlen. Die zuständigen Ermittlungsbehörden, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige Datenschutzaufsichtsbehörde waren eng eingebunden. Und dennoch: Wie viele Unternehmen tatsächlich Opfer von Angriffen werden, ist nicht klar. Manches Unternehmen zahlt die geforderte Summe in der Hoffnung, die Geschäfte bald wieder normal fortführen zu können. Denn ein Angriff kann gerade für kleine und mittelständische Unternehmen mitunter existenzgefährdend sein.
Praxis und technischer Datenschutz im Fokus der BvD-Verbandstage
Daneben diskutierten die Fachleute auf den Verbandstagen viel über Aspekte aus der Praxis und technischen Datenschutz, nachdem in den vergangenen Jahren vor allem juristische Fragen zur DS-GVO die Themen der Tagungen bestimmten.
Unter den hochkarätigen Rednern waren neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, Prof. Ulrich Kelber, der österreichische Datenschutzaktivist Max Schrems, die SPD-Datenschutzexpertin und Bundestagsabgeordnete Carmen Wegge sowie der frühere Chefredakteur der „Süddeutschen Zeitung“, Autor und Kolumnist Prof. Dr. Dr. Heribert Prantl.
Kelber bekräftigte gleich zu Beginn der Tagung seine Forderung nach einer Herstellerhaftung bei digitalen Anwendungen für Datenschutz. „Warum muss der Mittelstand für etwas verantwortlich sein, was Microsoft, Google und andere entwickeln“, sagte er. Die Pflicht für „Privacy by Default & Design“ müsse bereits beim Hersteller beginnen. Vielfach habe das nutzende Unternehmen gar keine Möglichkeit mehr auf grundlegende Sicherheitsmerkmale Einfluss zu nehmen, wenn sie nicht schon zu Beginn implementiert wurden.
Wegge zeigte sich optimistisch, dass noch in der laufenden Legislatur das seit langem geplante Beschäftigtendatenschutzgesetz den Bundestag passieren werde. Anders als bei anderen Gesetzgebungsverfahren schalteten laut Wegge das Bundesarbeits- und Bundesinnenministerium den Stakeholderprozess vor die Ressortabstimmung. Dies solle helfen etwaige Widerstände im Vorfeld zu identifizieren und ein neuerliches Scheitern zu verhindern, führte Wegge aus. Bis Ende des Jahres soll dann der Referentenentwurf vorliegen.
Prantl beendete die BvD-Verbandstage mit einem eindringlichen Appell Datenschutz und Individualrechte stärker zu schützen. Gerade in der Corona-Pandemie habe die damalige Bundesregierung die Individualrechte kollektiviert. „Die Freiheitsrechte wurden klein und kleiner geschrieben“, so Prantl. Künftig dürfe in Krisen das Parlament nicht umgangen werden. „Die Hürden für Grundrechtseingriffe müssen wieder höher gelegt werden“, verlangte er. Kritik übte er an der kürzlich verabschiedeten Verordnung, wonach die Konten von Bürgerinnen und Bürger mit dem Bundeszentralamt für Steuern verknüpft werden sollen. Die geplante Personen-Identifikationsnummer für Verwaltungen habe das BVerfG bereits mehrfach als Negativbeispiel eines verfassungswidrigen Vorgehens verworfen, mahnte Prantl. Datenschutz sei kein Bürgerrecht, sondern ein Grundrecht.
Erste eigene EFDPO-Konferenz in Berlin
Parallel zu den Verbandstagen kam auch der Europäische Dachverband (EFDPO) in Berlin zusammen. Neben Kongress-Kooperationen in Brüssel und Venedig war dies die erste eigene Konferenz der EFDPO. Sechs Vorträge und Diskussionspanels neben sechs Sessions mit Expertinnen und Experten aus Deutschland, Frankreich, der Slowakei und der Tschechischen Republik standen auf dem Programm. Dabei ging es u.a. um die koordinierte Durchsetzungsaktion des EDSA zur Stellung des Datenschutzbeauftragten, aber vor allem um die zahlreichen neuen Rechtsakte, die im Zusammenhang mit der europäischen Digitalstrategie gerade verabschiedet wurden oder kurz vor der Verabschiedung stehen.
Insbesondere der Data Act wurde dabei von mehreren Referenten aus unterschiedlichen Blickwinken beleuchtet. Ein Stimmungsbild, das zum Abschluss des Kongresses von den Teilnehmenden eingeholt wurde, zeigte eine durchweg positive Resonanz der internationalen Gäste. Auch von vielen BvD-Mitgliedern wurde das neue englischsprachige Angebot, das in der Teilnahmegebühr der Verbandstage inkludiert war, sehr gut angenommen.
Im Anschluss an den Kongress hielt die EFDPO zudem noch ihre ordentliche Mitgliederversammlung ab. Auf der Tagesordnung standen unter anderem die Wahlen des Vorstands. Für den BvD wurde Thomas Spaeing als Präsident der EFDPO einstimmig im Amt bestätigt und wird nun gemeinsam mit acht weiteren Vorständen für die nächsten drei Jahre die Entwicklung des Dachverbands vorantreiben.
Ebenfalls im Amt bleibt der bisherige Vorstand des BvD. Die BvD-Mitgliederversammlung bestätigte den amtierenden Vorstand für zwei weitere Jahre im Amt.