Die Datenschutzaufsichtsbehörden aus Bayern (BayLDA), Berlin (BlnBDI) und anderen Bundesländern betreiben aktuell zwei Prüfverfahren bei Unternehmen zur Absicherung von E-Mail-Accounts zum Schutz vor Phishing und Cyberattacken sowie zur Rechtmäßigkeit von Verträgen zur Auftragsverarbeitung.
Der Inhalt im Überblick
BayLDA: Präventionsprüfung zur Absicherung von E-Mail-Accounts
Im Rahmen der von der Stabstelle Prüfverfahren des BayLDA eingeleiteten Präventionsprüfung wurden zufällig ausgewählte Unternehmen aufgefordert, einen Fragebogen hinsichtlich grundlegender Sicherheitsanforderungen im Umgang mit E-Mail-Accounts nach Art. 32 DSGVO zu beantworten.
Hintergrund dieser Prüfung ist die massive Zunahme von Cyberattacken auf E-Mail-Accounts von Unternehmen in Bayern, aber auch bundesweit. Oft geht es darum, vertrauliche E-Mail-Kommunikation anzuzapfen, um z.B. finanzielle Transaktionen zu manipulieren. Es finden auch nachgelagerte Angriffe statt, die ein tieferes Eindringen in die Netzwerkstruktur ermöglichen oder für die weitere Verbreitung von Schadsoftware auf den Systemen von Kontakten (z. B. Kunden) sorgen. Nach der Kompromittierung eines einzelnen E-Mail-Kontos schreiben Cyberkriminelle meist alle Kontakte mit gefälschten E-Mails an.
Die Schäden erfolgreicher Angriffe sind erheblich und werden zum Teil als größte Gefahr für Unternehmen überhaupt eingestuft.
Ursachen liegen in fehlerhafter Bedienung oder unsachgemäßer Absicherung
Laut Anschreiben des BayLDA haben erfolgreiche Angriffe in der Regel zwei Gründe:
„Die eigentlichen Ursachen solcher Cyberangriffe sind nicht selten in einer unsachgemäßen Bedienung (u. a. auf Grund mangelndem Sicherheitsbewusstsein bei den Beschäftigten) oder in einer fehlerhaften Konfiguration und Absicherung der E-Mail-Accounts zu finden.“
Die Risiken können nach Ansicht des BayLDA mit vertretbaren Aufwänden verringert oder idealerweise gänzlich vermieden werden.
Handreichung mit Details zur Absicherung von E-Mail-Accounts
Daher beschränkt sich das BayLDA nicht auf eine bloße Kontrolle der angeschriebenen Unternehmen, sondern hat diesen gleichzeitig eine Unterstützung zur Absicherung von E-Mail-Accounts zur Verfügung gestellt und veröffentlicht.
In dieser Handreichung sind viele sehr sinnvolle sowohl technische als auch organisatorische Maßnahmen dargestellt, die für einen Schutz von E-Mail-Accounts von zentraler Bedeutung sind. Angesprochen werden insbesondere die Bereiche Phishing-Awareness und Sicherheitsbewusstsein, die Absicherung durch Passwörter und Zwei-Faktor-Authentifizierung sowie Maßnahmen bzgl. einer sicheren Konfiguration und Administration der Accounts.
Aufgrund der zentralen Bedeutung und des erheblichen Risikos ist dieser Maßnahmenkatalog sicherlich nicht nur für die überprüften, sondern für alle Unternehmen interessant. Die aufgeworfenen Fragen zeigen die grundlegenden Sicherheitsanforderungen im Umgang mit E-Mail-Accounts nach Art. 32 DSGVO und als Bestandteil (angemessener) TOMs von allen Verantwortlichen bei einer individuellen Bewertung der Sicherheitsstandards herangezogen werden. Auch im privaten Kontext dürfte die ein oder andere Empfehlung ohne großen Aufwand umgesetzt werden können, um die Sicherheit des privaten E-Mail-Accounts zu stärken.
BlnBDI: Prüfung von Musterverträgen zur Auftragsverarbeitung
Die aktuelle Prüfung der BlnBDI und weiterer Landesbehörden bezieht sich auf Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO, die von verschiedenen Webhosting-Dienstleistern angeboten werden. Hintergrund dieser Kontrolle sind regelmäßige Anfragen an die BlnBDI von Unternehmen, die Dienstleistungen im Bereich Webhosting in Anspruch nehmen möchten und bei der Auswahl potentieller Dienstleister festgestellt haben, dass deren Musterverträge nicht den Anforderungen des Art. 28 DSGVO entsprechen.
Checkliste zur Prüfung von AV-Verträgen
Auch wenn sich die konkrete Prüfung auf ausgewählte große Webhoster aus Berlin beschränkt, können deren Grundlagen für viele Unternehmen bundesweit, sowohl in der Rolle des datenschutzrechtlich Verantwortlichen als auch des Auftragsverarbeiters, eine hilfreiche Unterstützung darstellen, wenn es darum geht, Verträge zur Auftragsverarbeitung rechtskonform abzuschließen.
Zur Prüfung und Ausgestaltung solcher Vereinbarungen hat die BlnBDI eine Checkliste und weiterführende Nutzungshinweise für diese erstellt und veröffentlicht:
„Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“
Prüfungen mit Mehrwert
Die beiden aufsichtsbehördlichen Prüfverfahren behandeln datenschutzrechtlich bedeutsame Themenkomplexe. Es ist sehr erfreulich, dass sowohl das BayLDA als auch die BlnBDI dies zum Anlass nehmen entsprechende Maßnahmenempfehlungen, Handreichungen und Checklisten zu veröffentlichen.
Schade, daß das BayLDA eine wesentliche Maßnahmengruppe übersehen hat – Echtheitsbestätigung von Absendern. Maßnahmen dazu sind Prüfung von DKIM-Signaturen, Befolgung der DMARC-Richtlinien und Auswertung der SPF-Einträge auf Empfängerseite, und DANE-TLS und vergleichbare Techniken auf Sender- und Empfängerseite. Schon allein damit lassen sich viele gefälschte Nachrichten von vornherein identifizieren und entsprechend behandeln.